Diese Abmahnrisiken verstecken sich auf der Praxis-Website

Internetseiten sind öffentlich zugänglich, leicht überprüfbar und damit ein häufiger Ansatzpunkt für Abmahnungen. Hinzu kommt, dass auf Praxis-Webseiten sehr sensible Gesundheitsdaten verarbeitet werden. Fehler können daher nicht nur wettbewerbsrechtliche Konsequenzen haben, sondern auch datenschutzrechtliche Sanktionen nach sich ziehen.

Bereits im Rahmen alltäglicher Website-Funktionen werden in den Praxen Gesundheitsdaten verarbeitet. Das betrifft nicht nur die Übermittlung medizinischer Unterlagen, sondern auch scheinbar harmlose Anwendungen wie Terminbuchungen, bei denen Patienten Beschwerden schildern, sowie Kontaktformulare, Rückrufanfragen oder digitale Fragebögen zur Anamnese.

Nach der Datenschutz-Grundverordnung (DSGVO) unterliegen Gesundheitsdaten einem besonders strengen Schutz. Ihre Verarbeitung ist nur unter engen Voraussetzungen zulässig. Typischerweise wird dieses Schutzniveau häufig unterschätzt. Viele eingesetzte Tools stammen aus dem allgemeinen Dienstleistungsbereich und sind nicht auf medizinische Anforderungen zugeschnitten. Was in anderen Branchen problemlos eingesetzt werden kann, ist im zahnärztlichen Umfeld unter Umständen unzulässig.

Ein klassischer Schwachpunkt vieler Praxis-Websites ist das Impressum. Für Zahnärzte gelten spezielle Anforderungen, die über die üblichen Pflichtangaben hinausgehen. Erforderlich sind etwa die korrekte Berufsbezeichnung, Angaben zum Staat der Verleihung, die zuständige Zahnärztekammer/Aufsichtsbehörde sowie Hinweise auf die maßgeblichen berufsrechtlichen Regelungen. Im Alltag finden sich dort jedoch oft veraltete oder lückenhafte Angaben, ungeprüft übernommene Vorlagen oder schlicht fehlende Informationen. Auch sogenannte Haftungsausschlüsse (zum Beispiel für Links auf andere Websites) werden oft eingebunden, ohne ihren rechtlichen Nutzen zu hinterfragen. Solche Disclaimer bringen in der Regel keinen Vorteil und können bei fehlerhafter Gestaltung sogar zusätzliche Risiken begründen. Ein rechtssicheres Impressum muss stets individuell auf die konkrete Praxis abgestimmt sein.

Wie schnell selbst vermeintliche Details zum Problem werden können, zeigt ein typischer Fall: Sofern eine Umsatzsteuer-Identifikationsnummer oder eine Wirtschafts-Identifikationsnummer vorhanden ist, muss man sie im Impressum angeben. Während die fehlende Angabe bereits ein abmahnfähiger Wettbewerbsverstoß sein kann, birgt die falsche Angabe ein zusätzliches Risiko. Besonders kritisch ist die Veröffentlichung der regulären Steuernummer anstelle der Umsatzsteuer-Identifikationsnummer, da diese nicht für die öffentliche Verwendung bestimmt ist und von Dritten missbraucht werden kann. Praxisinhaber setzen sich damit nicht nur einem Abmahnrisiko aus, sondern eröffnen zugleich Möglichkeiten für Missbrauch.

Digitale Angebote werden häufig über externe Dienstleister realisiert. Dazu zählen insbesondere Terminbuchungssysteme, Anfrageformulare oder Lösungen zur Anforderung von Rezepten und Unterlagen. In diesen Fällen werden immer auch Gesundheitsdaten verarbeitet, etwa wenn Patienten den Anlass ihres Besuchs angeben. Ergänzend kommen häufig Dienste wie Kartenanwendungen zur Standortdarstellung hinzu. Damit verbunden sind verschiedene datenschutzrechtliche Anforderungen. Entscheidend ist, dass die Datenübertragung technisch abgesichert ist, typischerweise durch eine durchgehende Verschlüsselung. Ebenso muss geklärt werden, wo die Daten gespeichert werden und ob Übermittlungen in Staaten außerhalb der EU stattfinden und wenn ja ob ein entsprechender Angemessenheitsbeschluss vorliegt.

Zudem ist ein Vertrag zur Auftragsverarbeitung mit dem Anbieter erforderlich. Nicht zuletzt stellt sich die Frage, ob der eingesetzte Dienstleister überhaupt für den Umgang mit sensiblen Gesundheitsdaten geeignet ist. Viele branchenfremde Lösungen erfüllen diese Anforderungen nämlich nicht.

Consent-Tools zur Steuerung von Cookies und anderen Diensten sind inzwischen weit verbreitet und auf nahezu jeder Website anzutreffen. Doch es zeigt sich, dass viele Implementierungen nicht den rechtlichen Anforderungen entsprechen. Häufig sind Einwilligungen voreingestellt, Informationen unklar oder zu pauschal formuliert und Ablehnmöglichkeiten unnötig erschwert. Auch eine saubere Trennung zwischen technisch notwendigen und einwilligungspflichtigen Diensten fehlt oft.

Denn eine wirksame Einwilligung im Sinne der DSGVO setzt voraus, dass Nutzer eine echte, informierte und freiwillige Entscheidung treffen können. Dazu gehört, dass keine Voreinstellungen bestehen, alle relevanten Informationen verständlich bereitgestellt werden und die Ablehnung genauso einfach möglich ist wie die Zustimmung. Genau hier liegen oftmals die größten Defizite. Viele Standardlösungen sind eher auf hohe Zustimmungsraten als auf rechtliche Konformität ausgelegt. Besonders kritisch wird es, wenn Analyse- oder Marketing-Tools ohne wirksame Einwilligung eingesetzt werden. Bereits das Setzen entsprechender Cookies oder die Übermittlung von Nutzerdaten an Dritte können einen Rechtsverstoß darstellen, gerade wenn externe Anbieter eingebunden sind und Daten – etwa IP-Adressen oder Nutzungsverhalten – an Server außerhalb der Praxis übertragen werden.

Ein weiteres Problem: die Ausgestaltung der Nutzeroberfläche. Häufig werden sogenannte „Dark Patterns“ verwendet, also Gestaltungen, die Nutzer gezielt zur Zustimmung lenken. Dazu gehören etwa hervorgehobene „Akzeptieren“-Buttons bei unauffälliger Ablehnoption oder mehrstufige Prozesse, die eine Ablehnung unnötig kompliziert machen. Solche Gestaltungen werden zunehmend kritisch gesehen und können die Einwilligung unwirksam machen.

Erschwerend kommt hinzu, dass viele Praxisinhaber keinen vollständigen Überblick über die tatsächlich eingebundenen Dienste haben. Gerade bei über Jahre gewachsenen Websites wurden meist zusätzliche Funktionen integriert, ohne diese systematisch zu dokumentieren oder regelmäßig zu überprüfen. Webdesigner binden nicht selten automatisch weitere Dienste ein, etwa Analyse-Tools oder Tracking-Skripte. Dadurch kann es zu Datenübertragungen kommen, die dem Betreiber weder bewusst sind noch von einer Einwilligung gedeckt werden.

Im Ergebnis entsteht eine riskante Konstellation: Einerseits verlässt sich der Praxisinhaber auf ein vermeintlich vorhandenes Consent-Tool, andererseits werden Datenverarbeitungen durchgeführt, die rechtlich nicht abgesichert sind. Gerade im medizinischen Bereich ist dies besonders problematisch, da bereits die Nutzung bestimmter Website-Funktionen Rückschlüsse auf den Gesundheitszustand zulassen kann.

Es zeigt sich, dass ein Zusammenspiel aus Technik, rechtlicher Bewertung und regelmäßiger Kontrolle zwingend notwendig ist. Nur wenn bekannt ist, welche Dienste tatsächlich eingesetzt werden und wie diese eingebunden sind, kann eine wirksame Einwilligungslösung umgesetzt werden.

Die Datenschutzerklärung ist ein weiterer Bereich, in dem häufig Fehler auftreten. In vielen Fällen entspricht sie nicht mehr dem aktuellen Stand der Website oder bildet die tatsächlichen Datenverarbeitungen nicht korrekt ab. Oft wird sie einmal erstellt und anschließend über lange Zeit unverändert übernommen, obwohl sich die Website technisch weiterentwickelt. Umgekehrt finden sich nicht selten überladene Erklärungen, die vorsorglich zahlreiche Dienste aufführen, die tatsächlich gar nicht genutzt werden.

Beides ist problematisch. Die Datenschutzerklärung muss die realen Verarbeitungsprozesse vollständig, zutreffend und aktuell beschreiben. Abweichungen hiervon können rechtliche Konsequenzen nach sich ziehen. Eine regelmäßige Überprüfung und Anpassung ist daher unerlässlich.

Ein verbreitetes Missverständnis besteht darin, die rechtliche Verantwortung bei den Webdesignern oder Agenturen zu sehen. Tatsächlich ist jedoch der Praxisinhaber verantwortlich für die Inhalte und die rechtliche Ausgestaltung der Website. Das bedeutet, dass Verstöße unmittelbar ihm zugerechnet werden. Mögliche Folgen sind behördliche Bußgelder, Schadensersatzansprüche oder wettbewerbsrechtliche Abmahnungen. Zwar kann unter Umständen ein Rückgriff auf beauftragte Dienstleister erfolgen, dies ändert jedoch nichts an der primären Haftung gegenüber Dritten.

Wie schnell es zu rechtlichen Risiken kommen kann, zeigt ein häufig unterschätztes Detail: In vielen Online-Formularen wird bei der Anrede oder beim Geschlecht nur eine Auswahl zwischen „Frau“ und „Herr“ beziehungsweise „männlich“ und „weiblich“ angeboten – teilweise sogar als verpflichtendes Feld. Für Personen mit nicht-binärer Geschlechtsidentität kann dies jedoch eine unzulässige Benachteiligung darstellen. Die Rechtsprechung hat dazu klare Grenzen gezogen. So wurde mehrfach entschieden, dass die verpflichtende Auswahl zwischen „Frau“ und „Herr“ das allgemeine Persönlichkeitsrecht verletzen kann. Entsprechende Gestaltungen wurden von Gerichten untersagt, teilweise wurden zusätzlich Entschädigungsansprüche zugesprochen. Auch eine Benachteiligung im Sinne des Allgemeinen Gleichbehandlungsgesetzes kann vorliegen. Für Praxisinhaber bedeutet dies: Selbst scheinbar kleine Gestaltungsentscheidungen auf der Website können rechtliche Konsequenzen haben. Gerade bei Standardformularen, die häufig unverändert von Drittanbietern übernommen werden, besteht ein großes Risiko, unbeabsichtigt gegen geltendes Recht zu verstoßen.

Webseiten von Zahnarztpraxen bewegen sich in einem rechtlich anspruchsvollen Umfeld. Doch viele Risiken lassen sich durch eine bewusste Gestaltung und eine regelmäßige Überprüfung vermeiden. Vorlagen und Standardlösungen bieten dabei keine ausreichende Sicherheit. Wer seine Website kontinuierlich pflegt und auch rechtlich im Blick behält, minimiert nicht nur das Risiko von Abmahnungen und Bußgeldern, sondern stärkt zugleich das Vertrauen seiner Patienten.