Sachverhalt
Im August 2023 bewertete eine Patientin die Ordination eines Facharztes auf Google negativ. In ihrer Rezension äußerte sie sich kritisch über ihre Behandlung. Der betroffene Facharzt reagierte darauf mit einer ausführlichen Antwort, in der er unter anderem die medizinische Diagnose der Patientin („Reizung eines Sehnenansatzes“) offenlegte.
Die Datenschutzbehörde (DSB) wurde auf diesen Vorgang aufmerksam und leitete ein Verwaltungsstrafverfahren gegen den Arzt ein. Die DSB sah in der Veröffentlichung der Diagnose einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO), da es sich um eine unrechtmäßige Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten) handelte.
Entscheidung des Bundesverwaltungsgerichts
Das Bundesverwaltungsgericht bestätigte die Entscheidung der Datenschutzbehörde weitgehend, reduzierte jedoch die Geldstrafe. Folgende wesentliche Punkte wurden festgestellt:
- Unrechtmäßige Verarbeitung von Gesundheitsdaten: Die Veröffentlichung der Diagnose in einer Google-Antwort durch den Facharzt stellte eine Verarbeitung besonderer Kategorien personenbezogener Daten dar, die nur unter bestimmten Voraussetzungen erlaubt ist (Art. 9 Abs. 2 DSGVO). Keine dieser Ausnahmen war im vorliegenden Fall erfüllt.
- Kein rechtfertigendes berechtigtes Interesse: Der Arzt argumentierte, dass er sich gegen eine negative Bewertung verteidigen musste. Das Gericht stellte jedoch fest, dass dies keine ausreichende Rechtfertigung für die Veröffentlichung der sensiblen Gesundheitsdaten war.
- Grundsatz der Datenminimierung verletzt: Nach Art. 5 Abs. 1 lit. c DSGVO dürfen personenbezogene Daten nur in dem für den Verarbeitungszweck notwendigen Umfang genutzt werden. Die Nennung der Diagnose war nicht erforderlich, um auf die Kritik zu reagieren.
- Mildernde Umstände: Der Arzt hatte die Antwort auf die Google-Rezension nach Aufforderung durch die Datenschutzbehörde gelöscht und zeigte sich im Verfahren kooperativ. Diese Umstände führten zu einer Reduktion der ursprünglichen Geldstrafe von 4.000 Euro auf 3.000 Euro.
Rechtliche Bewertung und Auswirkungen
Die Entscheidung des BVwG unterstreicht, dass Unternehmen und Dienstleister beim Umgang mit Online-Bewertungen die DSGVO streng beachten müssen. Besonders heikel ist die Veröffentlichung sensibler personenbezogener Daten wie Gesundheitsinformationen. Folgende Punkte sind für Unternehmen besonders relevant:
1. Antworten auf Google-Rezensionen mit Bedacht formulieren
Unternehmen dürfen keine personenbezogenen Daten ihrer Kunden oder Patienten in öffentlichen Antworten auf Rezensionen preisgeben. Eine sachliche, allgemeine Antwort ohne Offenlegung sensibler Informationen ist rechtlich sicherer.
2. Datenschutzrechtliche Schulung der Mitarbeiter
Alle Mitarbeiter, die mit Online-Bewertungen umgehen, sollten über die datenschutzrechtlichen Bestimmungen geschult werden. Dies hilft, teure Strafen zu vermeiden.
3. Nutzung interner Kommunikationswege
Falls eine Rezension sensible Themen anspricht, ist es ratsam, die betroffene Person direkt und nicht öffentlich zu kontaktieren. So können Datenschutzverstöße verhindert werden.
4. Rechtliche Beratung bei kritischen Bewertungen
Unternehmen, insbesondere im Gesundheitssektor, sollten im Zweifel rechtliche Beratung einholen, bevor sie auf negative Rezensionen reagieren. Datenschutzverletzungen können zu empfindlichen Strafen führen.
5. Beantragung der Löschung unzulässiger Rezensionen
Falls eine Bewertung selbst gegen Datenschutzvorschriften verstößt, kann eine Löschung bei Google beantragt werden.
Fazit
Die Entscheidung des Bundesverwaltungsgerichts ist ein wichtiger Hinweis darauf, wie sensibel der Umgang mit personenbezogenen Daten in Online-Bewertungen sein muss. Besonders Gesundheitsdienstleister sollten sich bewusst sein, dass bereits die Nennung einer Diagnose einen DSGVO-Verstoß darstellen kann. Unternehmen sollten daher strenge Datenschutzrichtlinien für den Umgang mit Google-Rezensionen implementieren, um teure Sanktionen zu vermeiden.
ATB.LAW bietet umfassende Unterstützung in den Bereichen Datenschutz, Compliance und Prozessführung. Kontaktieren Sie uns per E-Mail unter taudes@atb.law oder telefonisch unter +43 1 3912345.
