Dürfen Geheimnisträger auf ihren Webseiten Drittanbieter wie Google, facebook, etc. nutzen?

An Geheimnisträger werden hohe Anforderungen an deren Vertraulichkeit gestellt. Sie sind zur Verschwiegenheit verpflichtet. Diese Pflicht bezieht sich auf alles, was ihnen bei Ausübung ihrer Berufe bekanntgeworden ist, nur mit Ausnahme von Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Das Ziel der Schweigepflicht ist also nicht weniger als der Schutz der Privatsphäre einer Privatperson oder eines Unternehmen vor unerlaubter Weitergabe von vertraulichen und sensiblen Informationen an Dritte. Die Schweigepflicht lässt sich aus dem informellen Selbstbestimmungsrecht ableiten, hat also vergleichbaren Grundrfechtsstatus.

Selbst der Besuch bei einem Arzt oder der Anruf beim Rechtsanwalt, ohne dass man weiß, um welche Krankheit es geht oder was Inhalt des Telefonats war, sind schon Informationen, die unter die Verschwiegenheitspflicht fallen. So fasst denn auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Historie zur Vorratsdatenspeicherung kritisch zusammen, dass die Erfassung der Daten von Berufsgeheimnisträgern… im Rahmen einer Vorratsdatenspeicherung, die – anders als vom Gesetzgeber angekündigt – faktisch die Bildung aussagekräftiger Bewegungsprofile ermögliche (Historie zur Vorratsdatenspeicherung). 

Wer Geheimnisträger ist, ergibt sich insbesondere aus § 203 StGB. Bspw. Arzt, Psychologe, Anwalt, Steuerberater, Familien- oder Sozialberater oder Mitarbeiter einer Krankenversicherungsgesellschaft. Priester und Pfarrer unterliegen nicht der Strafdrohung des § 203 StGB. Sie unterliegen aber trotzdem dem Beichtgeheimnis.

Die Anforderungen an Geheimnisträger sind hoch – selbstverständlich hoch. Im Büro oder Praxis ist (meistens) alles auf Datenschutz eingestellt, aber dann haben Geheimnisträger ihre Webseiten. Und dort gibt es dann Drittanbieter (regelmäßig aus den USA) wie Google Ananlytics, Google Ads, Microsoft Advertising, Taboola, Twitter, Facebook, Facebook Pixel, Google Ads Remarketing, Google Tag Manager, Google Maps, Google Fonts, usw., usw., die über so genannte Cookies Daten erhalten.

Nutzer sind hier -um es noch einmal zu betonen-

  • der Betroffene, der wegen eines möglichen Strafverfahrens Kontakt zu einem Strafverteidiger aufnehmen will,
  • der Betroffene, der Schlafaussetzer hat hat und sich nach einer online-Arzt-Lösung umschaut,
  • oder der Betroffene, der bei seiner Arbeitsstelle eines bekannten Unternehmens gemobbt wird und einen Psychologen benötigt.

Das folgende Beispiel ist von einer Webseite, auf der online-Dienstleistungen im Gesundheitsbereich angeboten wrden:

Eine „schöne Sammlung“ von Drittanbietern!

Für das Setzen der Cookies für Drittanbieter zu Marketingzwecken ist die Einwilligung der Nutzer notwendig. Ein so genanntes Cookie Consent Tool ermöglicht es, Unternehmen Cookies compliant zu setzen und Einwilligungen zu dokumentieren. Regelmäßig kann der Betroffene die Auswahl an Cookies zu Marketing- oder zu statistischen Zwecken (indiviuell) ablehnen oder annehmen, bzw. organisieren. Das klingt gut. Es gibt dem Nutzer die Entscheidungsfreiheit.

Aber kann man das „eins zu eins“ für Gemeinnisträger übernehmen? Reicht die Möglichkeit des Ablehnens wirklich aus? Oder darf ein Geheimnisträger auf seiner Webseite keine Drittanbieter zu Marketing- und Statistikzwecken nutzen?

Die Möglichkeit des Betroffenen, in die Verwendung seiner Daten einzuwilligen, ist begrenzt. Dies mag auf den ersten Eindruck nicht verständlich sein, da es doch jedem selbst überlassen sein soll, sich für oder gegen die Verwendung seiner Daten zu entscheiden. Grenzen findet die Einwilligungsmöglichkeit bei fehlender Freiwilligkeit (z.B. bei verpflichtenden AIDS-Tests für jeden Bewerber), so Iraschko-Luscher in „Einwilligung – ein stumpfes Schwert des Datenschutzes? in Datenschutz und Datensicherheit (DuD) 2006, 706 ff.).

Meines Erachtens ist bei Geheimnisträgern das Nutzen von Drittanbietern nicht DSGVO-konform, weil es an der Freiwilligkeit der Zustimmung fehlt (vgl. § 7 Abs. 4 DSGVO, Art. 7 DSGVO). Wer sich an einen Geheimnisträger wendet, ist regelmäßig in einer Stresssituation. Er klickt regelmäßig „alles akzeptieren“, um zu seinem eigentlichen Thema zu kommen. Zudem vertraut er unbewusst darauf, dass mit seinen Daten vom Geheimnisträger vertraulich umgegangen wird, so dass er gar nicht im Fokus hat, dass Daten von ihm an Google & Co weitergegeben werden.

Darüber hinaus fehlt es an einer rechtswirksamen Entbindung der Schweigepflicht. Dafür gibt die Einwilligung im Cookie-Consent-Tool gar nichts her. Der Betroffene muss ausdrücklich den Gehmeinnisträger aus der Verschwiegenheit entlassen und zwar in einer Form, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert (vgl. Erwägungsgrund 32 zur Einwilligung in Erwägungsgründe DSGVO).

Fazit:

Geheinmisträger dürfen auf ihren Webseiten keine Drittanbieter für Marketing- und Statistikzwecken nutzen. Es fehlt an der Freiwilligkeit der Einwilligung in die zu setzenden Cookies und vor allem an der rechtswirksamen Entbindung von der Schweigepflicht.

Stephanie Iraschko-Luscher

30.01.2023

MGDS – Ihre Unternehmensberatung für Datenschutz in Hamburg