Kategorien
Neueste Beiträge
Datenschutz bei öffentlichen Bewertungen
Negative Bewertungen von Unternehmen, Arztpraxen, Krankenhäusern etc. auf Google, Jameda oder sonstigen Bewertungsplattformen durch Kunden, Patienten etc. bieten oft Anlass zum Streit, da derartige Bewertungen erhebliche Auswirkungen auf das Neukundengeschäft haben können. In einer digitalisierten Welt geben wir Empfehlungen nicht mehr ausschließlich durch Mundpropaganda weiter. Vermeintlich authentische Bewertungen durch Kunden genießen viel Beachtung, da oft wenig andere Möglichkeiten bestehen, die Qualität des Leistungsangebotes abschätzen zu können. So bewerten wir unsere Dienstleister, Händler, Ärzte etc. in den sozialen Medien, in Suchmaschinen und auf eigens dafür erstellten Portalen. Dabei ist der Datenschutz bei öffentlichen Bewertungen für die bewertete Einrichtung so manches Mal schon zu einer unbeabsichtigten Datenschutzfalle für den bewerteten Verantwortlichen geworden. Inwiefern, das erläutern wir in diesem Beitrag.
Mehr zum Löschungswunsch gegenüber den Bewertungsplattformen können Sie hier erfahren.
Nennung personenbezogener Daten
Wenn ein Verantwortlicher eine positive Bewertung erhält, ist dies natürlich die erfreuliche Variante. Nun kommt es aber leider doch ab und an vor, dass ein Dienstleister eine Negativbewertung erhält. Um diese dann eventuell doch noch in eine positive umzuwandeln, selbst wenn es nur darum geht, ein Entgegenkommen zu zeigen, antwortet der Verantwortliche möglichst höflich.
Dann gibt es Situationen, in denen ein Verantwortlicher sich durch eine unvorteilhafte Beurteilung angegriffen fühlt und seinem Ärger öffentlich Luft macht.
Folge: Datenpanne durch identifizierende Reaktion auf negative Bewertung
Im Ärger kann es vorkommen, dass der Bewertete versehentlich sein Datenschutzbewusstsein vergisst und die bislang anonym bewertende Person eventuell mit ihrem tatsächlichen Namen in der Reaktion auf die Bewertung anspricht. Möglicherweise wird dann noch die Ursache einer Dienstleistung genannt – ein behandelnder Arzt erwähnt womöglich noch, dass er die Pilzinfektion des jeweiligen Patienten behandelt hat; Informationen, die dem strengen Schutz von Gesundheitsdaten nach Art. 9 DSGVO und dem strafrechtlichen Schutz des § 203 StGB (ärztliches Berufsgeheimnis) unterliegen. Damit ist sie dann auch schon eingetreten: die Datenpanne. Wenn dabei – wie in dem Beispiel – noch personenbezogene Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DSGVO – z. B. Gesundheitsdaten wie in dem Beispiel – genannt werden, ist es umso verheerender. – Weiteres zur Meldung von Datenschutzvorfällen können Sie hier nachlesen. – Dieser Datenschutzvorfall ist dann der Datenschutzaufsichtsbehörde zu melden (siehe Art. 33 DSGVO). Im Beispielsfall dürft die Information des Betroffenen entbehrlich sein, da dieser durch die direkte Reaktion auf seine Bewertung bereits Kenntnis von der Datenpanne hat. Nimmt der Verantwortliche jedoch an, dass der Betroffene keine automatische Benachrichtigungen über die Reaktion auf seine Bewertung erhält und so von dem Datenschutzvorfall erfährt, muss dieser umgehend nach Art. 34 DSGVO über den Vorfall und seine Rechte informiert werden.
Vermeidung eines Datenschutzvorfalles dieser Art
Solch ein Datenschutzvorfall lässt sich mit einfachen Mitteln vermeiden. Die wichtigste und in solch einem Fall sicherlich auch effektivste Maßnahme ist die Sensibilisierung und konstante Stärkung des Datenschutzbewusstseins. So lässt sich dann womöglich auch ein Datenschutzvorfall im Affekt vermeiden.
Des Weiteren kann es hilfreich sein, in den unternehmensinternen Richtlinien zum Datenschutz entsprechende Anweisungen festzuhalten, wie bei der Beantwortung von Lob und Kritik in sozialen Medien, Bewertungsportalen etc. umzugehen ist. Dabei ist der explizite Hinweis essentiell, keine personenbezogenen Daten, also bspw. nicht den tatsächlichen Namen der Person, Gesundheitsdaten, den Leistungsumfang (bspw. die Entfernung einer Warze) etc., preiszugeben. – Wie wir unermüdlich betonen, kann ein Verantwortlicher dann aufgrund der schriftlichen Richtlinien auch nachweisen, dass er seinen Nachweispflichten als Verantwortlicher nachkommt (Art. 5 Abs. 2 DSGVO). –
Auswahl bisheriger Vorfälle
Nun hören wir zumeist von verhängten Bußgeldern aufgrund anderer Themen, wie z. B. fehlender Maßnahmen zur Datensicherheit, Marketing ohne Einwilligung oder unzureichender Informationspflichten gemäß Art. 13 DSGVO. Weniger dagegen erfahren wir von Bußgeldern aufgrund von Datenschutzvorfällen als Folge von unbefugter Veröffentlichung personenbezogener Daten im Zuge von öffentlichen Bewertungen. Ein paar davon gibt es dann aber doch:
Nennung des Klarnamens als unrechtmäßige Verarbeitung personenbezogener Daten
Eine Kundin hinterließ bei Google eine negative Bewertung, worauf der Gewerbetreibende antwortete. Dabei machte er auch seinem Ärger Luft und nannte im Zuge seiner Antwort auf die kritische Rezension ihren Namen. Hierzu entschied das Bundesverwaltungsgericht (W292 2273362-1/10E), dass ein Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO (Grundsatz der Rechtmäßigkeit) vorliegt, da es für die Veröffentlichung des Namens keine Rechtsgrundlage gab.
Zusätzliche Nennung eines Gesundheitsdatums
In einem anderen Fall erhielt ein Facharzt eine negative Beurteilung und reagierte auf diese. Dabei nannte er dann neben dem Klarnamen der Person ebenfalls den Behandlungsgrund. Dies resultierte in einem Bußgeld von 10.000 Euro (Verfahrenszahl: DSB-D550.747).
Bericht der hessischen Datenschutzaufsichtsbehörde
Im 51. Tätigkeitsbericht zum Datenschutz und 5. Tätigkeitsbericht zur Informationsfreiheit ging der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel unter Punkt 12.1, Seite 166 ebenfalls auf die Problematik der unrechtmäßigen Verarbeitung personenbezogener Daten ein. Auch er berichtet von nicht seltenen Beschwerden aufgrund der Nennung von Klarnamen oder anderer aufgrund des Geschäftsverhältnisses bekannter personenbezogener Daten.
Fazit
Die Wahrscheinlichkeit eines solchen Datenschutzvorfalles ist sicherlich leichter vermeidbar als einen Cyber-Angriff abzuwehren. Schließlich basiert dieser Art der Verarbeitung auf einer aktiven, in der eigenen Verantwortung liegenden und bewussten Veröffentlichung von personenbezogenen Daten. Schafft ein Verantwortlicher es, alle im Unternehmen tätigen Personen dahingehend zu sensibilisieren, bei der Reaktion auf – auch negative – Rezensionen keine personenbezogenen Daten unrechtmäßig zu veröffentlichen, kann er damit schon mal Bußgelder, Schadenersatzansprüche, Abmahnungen und auch Rufschäden vermeiden.
Gern unterstützen wir Sie bei der Erstellung notwendiger Richtlinien und bei der Sensibilisierung der Beschäftigten. Kontaktieren Sie uns gern heute.