Social Media? Bitte nicht!
Social Media Portale werden gern als Praxismarketing eingesetzt. Viele Agenturen werben damit, dass gerade im ärztlichen Kontext auf diesem Wege viele Patienten rekrutiert werden können. Ich habe in den vergangenen Wochen zu jeder Agentur Kontakt aufgenommen, die mir eine Werbeanzeige bei Instagram eingeblendet hat.
Meine einfache Frage war: Wissen Sie, dass Social Media Plattformen für Gesundheitsdienstleister einen Datenschutzverstoß darstellen?
Die ganz einfache Antwort zusammengefasst: Nein. Von 11 befragten Agenturen war dieser Umstand entweder nicht bekannt (das wäre erschreckend) oder war bekannt und wurde durch Unwissenheit überspielt (das wäre grob fahrlässig, wenn nicht sogar Vorsatz).
Hier sind die Fakten:
Social Media ist eine tolle Marketingmöglichkeit, viele Menschen nutzen Instagram, Facebook oder TikTok in ihrer Freizeit. Jedes Unternehmen kann eine langfristige Bindung mit potenziellen Kunden aufbauen. Über Datenanalysen haben die Unternehmen einen guten Einblick darüber, welche Kampagnen sich besonders gut eignen und eine große Resonanz hervorrufen.
Aber der Einsatz von Social Media ist mit der Datenschutzgrundverordnung nicht vereinbar.
Ein Social Media Portal ist im Sinne der DSGVO ein Auftragsverarbeiter. Warum? Die Praxisinhaber:in nutzt eine Social Media Plattform für Werbung. Die Praxis verfolgt also ein klares Ziel und wählt dafür ein Medium, mit dessen Hilfe das Ziel erreicht werden soll. Eine klare, bewusste Entscheidung also.
Nach Art. 28 Abs. 1 DSGVO darf ein Verantwortlicher (Praxisinhaber:in) nur mit „Auftragsverarbeitern [arbeiten], die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Alles andere ist also verboten.
Jede Praxisinhaber:in muss sich zudem bewusst sein, dass sie bei Datenschutzverstößen durch den Auftragsverarbeiter (potentiell) gemeinsam haftet. Das sagt der Art. 26 DSGVO.
Es gibt also keine Unklarheit. Wenn eine Praxis sich trotzdem zum Einsatz von Social Media entscheidet, tut sie das mit vollem Risiko. Es sollte bedacht werden, dass die Kommunikation (dazu zählt auch der Aufruf eines Profils) von ambulanten Praxen mit anderen natürlichen Personen in wahrscheinlich 99% der Fälle auf eine Patientenbeziehung oder ein medizinisches Interesse einer interessierten Person hinausläuft.
Man stelle sich eine Praxis vor, die dafür bekannt ist, Schwangerschaftsabbrüche durchzuführen. Jede Person, die dieser Praxis auf sozialen Medien folgt, kann sehr wahrscheinlich eine Berührung mit diesem Angebot haben. Ist dieses Wissen ungefährlich? Wenn ich mir ein Praxis-Profil anschaue, kann ich fast immer die Konten einsehen, die diesem Account folgen. Und wer dieser Person folgt, wer dieser Person folgt, usw….