• Auf Heilpraktiker-Foren gibt es einen großen internen Bereich für Heilpraktiker. In diesem geschützten Bereich können Realfälle der Praxis oder andere sensible Themen diskutiert werden.


    Es befinden sich momentan über 2800 Themen mit über 48000 Beiträgen darin. Ein wertvolles Nachschlagewerk nicht nur für Heilpraktiker die erst begonnen haben, sondern auch für die gestandenen die schon über jahrelange Erfahrung verfügen.

    Nähere Informationen unter: Interner Bereich für Heilpraktiker - Info

Abmahnungen auf Grund fehlender SSL-Verschlüsselung

Jochen Pippir

20/80
Administrator
Forumsunterstützer
Heilpraktiker
Ort
Neu-Ulm
Therapien
Ortho-Bionomy®, Dorn-Breuss, FRZ nach Marquardt, NLP,
Status
HP
Derzeit werden wegen fehlender SSL-Verschlüsselung vermehrt Webseiten abgemahnt.

Nähere Informationen unter:

 
Das betrifft aber ja nur Webseiten mit Formularen, die Daten erfassen...?
 
Das betrifft aber ja nur Webseiten mit Formularen, die Daten erfassen...?

Ja, nur wenn Daten erfasst werden. Es ist aber zu empfehlen grundsätzlich eine SSL Verschlüsselung auf Webseiten einzusetzen. Zum anderen bringt das mehr Vertrauen und zum anderen ist es inzwischen ein SEO-Merkmal.
 
OK, danke für den Tipp.
 
Die Zusammenfassung auf dem Link ist schon beeindruckend. Neben fehlender SSL Verschlüsselung sind da noch ganze andere Perlen zu finden, wie zum Beispiel Abmahnung wegen Google Fonts usw.

Ich lade von meiner Seite nur noch Ressourcen von meinem Server runter, denn genau dieses Problem ist schon länger bekannt und wird durch Anbieter wie erecht24 schon länger thematisiert.

Faszinierend ist allerdings die Tatsache, dass es immer noch Seiten gibt, die die elementaren Hausaufgaben nicht gemacht haben - und dazu gehört nunmal die verschlüsselte Übertragung der Daten. Leute, raus aus der groben Fahrlässigkeit! Unternimmt etwas!

Ich habe von vielen gelesen, die letztes Jahr gemeint haben erstmal warten zu wollen, das ganze sei Panikmache und würde einen so oder so nicht betreffen. Da darf man sich nicht beschweren, wenn man die Lage falsch eingeschätzt hat.

Wenn ich nach links und rechts schaue, sehe ich Seiten, die keinen Datenschutzbeauftragten benannt haben oder jemanden benennen, der für die Rolle nicht qualifiziert ist (Geschäftsführer oder Admins dürfen nicht). Letztens sogar ein neuer Anbieter einer online Terminbuchung gefunden, der die Seite unverschlüsselt, ohne Angabe von Datenschutzbestimmungen oder Impressum auf fremder Domain betreibt. Das ist schon sehr gewagt.
 
Das Problem ist, dass zumindest in unserem Bereich viele einfach gar nicht wissen, was - beispielsweise - SSL ist. Manche setzen da einen Studenten ran oder buchen irgendwo ein Website (inkl. Domain). Kürzlich einer Bekannten passiert, die eine humanitäre Organisation gegründet hatte. Und die Domain dazu hat sie nicht auf sich registriert, sondern anscheinend "mitgebucht". Als sie den Provider aus Kostengründen wechseln wollte, erklärte ihr der alte, dass sie dann ihre Domain nicht mitnehmen könne. Dumm gelaufen...

Ein Datenschutzbeauftragter ist doch nur notwendig bei Unternehmen. Soweit ich weiß, müssen wir als Freiberufler keinen Datenschutzbeauftragten haben - oder?
 
Ich verstehe das Problem, sich nicht auskennen ist nunmal keine Entschuldigung, das wurde wirklich von allen Seiten mehrfach wiederholt.

Das mit DSB ist lustiger. Sobald besondere Daten umfangreich verarbeitet werden (dazu gehören nunmal Therapeuten), muss eine Datenschutzfolgenabschätzung durchgeführt werden. Jeder, der das machen muss, muss einen DSB benennen. Therapeuten, die alleine arbeiten, sind davon nicht betroffen. So ist mein Kenntnisstand. Für Berufe, die der rechtlichen Schweigepflicht unterliegen (dazu gehört nicht der HP), gab es noch irgenwann eine weitere Aussage die gerne zitiert wurde, die Ber im Kontext falsch ist.

Es wird gerne vergessen, dass der HP eine besonders schwierige Position hat, weil eben vieles auf die Schweigepflicht aufbaut.
 
Natürlich ist "sich nicht auskennen" keine Entschuldigung. Soll auch keine sein... (wobei viele nicht mal wissen, dass sie sich nicht auskennen...).
 
Ein Datenschutzbeauftragter ist doch nur notwendig bei Unternehmen. Soweit ich weiß, müssen wir als Freiberufler keinen Datenschutzbeauftragten haben - oder?
Müssen wir auch, wenn in der Praxis mehr als zehn Personen arbeiten. So der derzeitige Stand. Das ist völlig unabhängig von dem Status als Freiberufler.
 
Nein, betr. Ärzte und HP ab 10. Ich kann dir dazu gerne mal was vom VFP raussuchen. Muss aber Zeit dafür finden.
 
Ärzte ja. HPs nein.

Die Aussage, die damals die Runde gemacht hat (habe ich gerade auch nicht zur Hand),
bezog sich auf Heilberufe, die unter § 203 StGB fallen. HPs tun dies nicht, ist keine staatlich geregelte Ausbildung...
 
Ich zitiere aus der aktuellen FAQ zur DSGVO des VFP:
„Wann muss ein Datenschutzbeauftragter benannt werden?“
Ob Sie einen Datenschutzbeauftragten ernennen müssen, ergibt sich aus zwei Rechtsgrundlagen: Artikel 37 Abs. 1 b) und c) der DS-GVO (https://dsgvo-gesetz.de) und § 38 Abs. 1 Satz 1 BDSG neue Fassung (https://dsgvo-gesetz.de/bdsg-neu).
Anhand dieser Kriterien können Sie eine Beurteilung vornehmen. Allgemein lässt sich sagen, dass ein Datenschutzbeauftragter – der übrigens auch betriebsintern kostensparend bestimmt werden kann – bestellt werden muss, wenn mindestens zehn Personen mit der Datenverarbeitung betraut sind.
 
Ja genau. Dann geht es aber noch laange weiter....

Es war lange die Diskussion, ob ein Therapeut nach Art. 37 Abs.1 c) tatsächlich "umfangreiche Verarbeitung" durchführt.

Wie eine "umfangreiche Verarbeitung" zu verstehen ist, kann indirekt über Erwägungsgrund 91 herleiten.

https://dsgvo-gesetz.de/erwaegungsgruende/nr-91/

Kurzgefasst steht da:
  • wenn man eine Datenschutzfolgenabschätzung braucht, dann braucht einen DSB.
  • Verarbeitet man besondere Daten (z.Bsp. Gesundheitsdaten), dann braucht man eine Datenschutzfolgenabschätzung.
Also würde jeder Therapeut immer sofort einen DSB bestellen müssen, wenn da nicht der folgende Satz drin stehen würde:

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.

Genau diese Strecke wurde lange als Argumentation dafür genutzt, dass man als einzelner Therapeut keinen externen DSB bestellen muss. Die Strecke "2 bis 9 Therapeuten", die so gerne als "entscheidet es selber, euer Risiko" bezeichnet wurde, bekommt dank Erwägungsgrund 91 einen sehr deutlichen drall in Richtung "man braucht ein DSB".

Irgendwann kam dann die Entwarnung, dass man, wenn man 2 bis 9 Therapeuten hat, keinen externen DSB braucht. Allerdings war diese Entwarnung an § 203 StGB geknüpft, was bei dem HP eben nicht greift.
 
Der Verband wird - hoffentlich - doch keine so falschen Infos seinen Mitgliedern geben, so dass ich hierzu zunächst mal die zitierte Ansicht des VFP-Anwaltes für richtig halte.
 
Dazu kann ich nichts sagen. Die Zitate sind korrekt und die Aussage, man könne selber eine "Beurteilung vornehmen" ist mMn unverantwortlich.
Erst recht, wenn man Erwägungsgrund 91 nicht in der Meldung einbezieht.
Erst durch Erwägungsgrund 91 wird das ganze ja richtig spannend und bekommt einen anderen Kontext.

Waren es nicht die VFP'ler die behauptet haben, man wäre ja gar nicht betroffen, denn man würde ja schliesslich keine "Daten verarbeiten"?
 
Wie viele Menschen von denen die hier User sind haben 10 Angestellte in der Praxis und selbst wenn sollte das Benennen des DSB kein Problem sein.
 
Das Problem dürften weder die Solisten noch die Praxen mit 10 oder mehr Therapeuten sein.
Die Meinungen gehen auseinander, wenn es um die 2 bis 9 Therapeuten geht.
 
Stimme Dir zu. Nach weiterer Recherche ist die Aussage in der VFP-FAQ nicht haltbar.
Danke für Deine Hinweise.
Da besteht derzeit große Rechtsunsicherheit. Nach den derzeitig gelesenen Infos betrifft das übrigens Ärzte ganz genauso. Die Unterscheidung wg. §203 StGB scheint hier nach derzeitiger juristischer Auffassung irrelevant zu sein.

Ist natürlich für kleine Praxen der Knaller. Man stellt beispielsweise zur eigenen Entlastung als allein tätiger Behandler eine Mitarbeiterin als Minijob ein, die kleine Büroarbeiten erledigen soll. Dann kommt bei restriktiver Auslegung der Vorschriften dann gleich die Bestellung eines DSB dazu, also mind. 600 Euro jährlich, wenn man das einen Dienstleister machen lässt.
 
Die Einstellung von "Mini-Jobbern" ist generell zu überlegen, denn damit kommen auch weitere Anforderungen auf einen zu. So muss dann zwingend ein Personal-WC vorhanden sein (bei reinen Inhaber-Praxen ist das nicht zwingend). Außerdem ist dann die Berufsgenossenschaft mit ihrem arbeitsmedizinischen Dienst im Boot - und will dafür natürlich auch Geld. Kurz gesagt: Die erhoffte Arbeitsersparnis für kleines Geld ist eine Illusion...
 
Zuletzt bearbeitet:
Zurück
Oben