Datenschutz bei Online-Arztterminen

Online-Terminbuchungen erleichtern den Praxisalltag, erfordern aber besondere Sorgfalt beim Umgang mit Gesundheitsdaten. Alle wichtigen Informationen zum aktuellen Beschluss der Datenschutzkonferenz.

Relevanz der Online-Terminvergabe

Terminbuchungen finden in Arztpraxen ebenso wie in sämtlichen anderen Lebensbereichen immer häufiger online statt. Das liegt zum einen an einer immer digitaler werdenden Welt, die gerade für die jüngere Generation Vereinfachung und Zeitersparnis darstellt. Andererseits leiden Praxen vermehrt unter , was sich wiederum durch frustrierte Patienten zeigt, die die Praxen telefonisch nicht erreichen können. Deshalb kann die Online-Terminvergabe eine ressourcensparende und attraktive Lösung aus Praxen-Sicht darstellen.

Die technische Komponente solcher Konzepte übernehmen regelmäßig externe Dienstleister. Die Buchung erfolgt dann entweder direkt über die Praxis-Webseite oder über eine externe Plattform wie etwa Doctolib. Dass Praxen ihre eigenen Buchungskalender selbst programmieren und in ihre Webseite einbinden, kommt eher selten vor.

Outsourcing nur mit klarer Rechtsgrundlage

Zunächst stellt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (Datenschutzkonferenz, DSK) in ihrem Beschluss (abrufbar ) klar, dass aufgrund der Verarbeitung von durch externe Dienstleister besondere Vorgaben der Datenschutzgrundverordnung (DSGVO) zu beachten sind. Die Einbindung solcher Terminverwaltungsunternehmen sei grundsätzlich zulässig, wenn sie auf Grundlage einer wirksamen
im Sinne von Art. 28 DSGVO erfolgt. Die zentrale Verantwortlichkeit für die Datenverarbeitung verbleibt dabei bei der Heilberufspraxis. Eine Einwilligung der Patienten sei dann nicht erforderlich, allerdings eine Information nach Art. 13 DSGVO. Parallel solle aber weiterhin eine andere Option der Terminbuchung existieren, beispielsweise telefonisch oder vor Ort. Generell brauche es auch stets eine Rechtsgrundlage für die Datenverarbeitung.

Datenverarbeitung ohne Einwilligung

Die DSK führt aus, dass bei fehlender Einwilligung eine Datenverarbeitung nur zulässig ist, wenn dies zur Durchführung eines konkreten Termins erforderlich ist. Dann könne sich die Rechtmäßigkeit der Verarbeitung aus Art. 6 Abs. 1 S. 1 lit. b und Art. 9 Abs. 2 lit. h DSGVO ergeben. Auch dürfe man nur Informationen verarbeiten, die „für das Terminmanagement unbedingt notwendig“ sind. Dazu würden insbesondere Name, Geburtstag, Art des Termins, behandelnder Arzt und eine Kontaktmöglichkeit zählen. 

Zulässigkeit von Terminerinnerungen

Ein erweitertes Serviceangebot wie Terminerinnerungen via SMS oder E-Mail setzt hingegen eine ausdrückliche, informierte Einwilligung voraus. Diese muss freiwillig erfolgen und dokumentiert werden. Diesbezüglich trifft die Heilberufspraxis die Beweispflicht. Es ist auch darauf zu achten, nur den gewünschten Kommunikationskanal zu verwenden und nur die hierfür erforderlichen Kontaktinformationen zu verarbeiten. 

Unzulässige Datenweitergaben

Generell gelte, dass eine pauschale Weitergabe von Patientenstammdaten an den Dienstleister im Vorfeld unzulässig sei. Vielmehr finde meist eine Datenübertragung durch den Patienten selbst statt.

Zudem sei darauf zu achten, dass der externe Dienstleister die Daten nicht zu eigenen Zwecken – etwa zu Marketing- oder Analysezwecken – nutzen darf. Wird der Praxis eine solche Zweckänderung bekannt, sei sie verpflichtet, einen datenschutzkonformen Zustand unverzüglich wiederherzustellen.

Löschung und Sicherheit als Daueraufgaben

Die DSK betont außerdem die Pflicht zur zeitnahen Löschung von Daten nach dem Ablauf des gebuchten Termins, da diese Daten nicht zur medizinischen Behandlungsdokumentation gehören würden. Sollten sich doch medizinisch relevante und dokumentationspflichtige Informationen im befinden, seien diese in die entsprechende Dokumentation zu übertragen. Erfolgt die Löschung über den externen Dienstleister, hat die Praxis sicherzustellen, dass diese tatsächlich erfolgt.

Weiter führt die DSK aus, dass Heilberufspraxen vor einer Beauftragung sicherstellen müssen, dass technische und organisatorische Maßnahmen zum Schutz der Gesundheitsdaten ergriffen wurden. Dazu zähle insbesondere die Mandantentrennung beim Dienstleister, gesicherte Schnittstellen zur Praxissoftware und ein angemessenes Verschlüsselungs- und Zugangskonzept. Werden Drittstaaten gemäß Art. 44 DSGVO wie etwa die in die Verarbeitung eingebunden, beispielsweise im Rahmen von Hosting, Wartung oder Support, seien die Anforderungen an eine internationale Datenübertragung zu erfüllen. Für Praxen bedeutet dies, zu überprüfen, ob eine solche Datenverarbeitung stattfindet und wenn ja, ob sie datenschutzkonform erfolgt.

Sonderfall: Nutzerkonto beim Dienstleister

In vielen Fällen bieten Terminverwaltungsunternehmen ihren Service nicht nur gegenüber der Praxis an, sondern ermöglichen auch Patienten das Anlegen eines Nutzerkontos. Dies beinhaltet regelmäßig die Zustimmung zu AGB oder Datenschutzhinweisen. 

In diesem Fall liege eine eigenständige vertragliche Beziehung zwischen Nutzer und Dienstleister vor. Für die damit einhergehende sei das Unternehmen selbst datenschutzrechtlich verantwortlich. Wird im Rahmen dieses Vertragsverhältnisses auf Gesundheitsdaten zugegriffen, sei in der Regel eine ausdrückliche Einwilligung erforderlich. Dann müsse klar abgegrenzt werden, aus welcher Vertragsbeziehung sich die jeweilige Datenverarbeitung ergibt. Für Praxen sei in diesem Zusammenhang relevant, in ihrer Kommunikation mit den Patienten klar erkennbar darzustellen, wer im konkreten Fall die datenschutzrechtliche Verantwortlichkeit trägt.

Fazit

In Anbetracht der zunehmenden Digitalisierung der Terminvergabe im Gesundheitswesen sollte der Datenschutz nicht außer Acht gelassen werden. Der Beschluss der DSK liefert dazu eine wichtige Orientierung und konkrete Maßstäbe. Für Heilberufspraxen bedeutet das, dass die Einbindung externer Dienstleister unter bestimmten Bedingungen zulässig ist, aber ein hohes Maß an Sorgfalt erfordert. Das geht von der Auswahl der Dienstleister über die Vertragsgestaltung bis hin zur Kontrolle der Verarbeitung. Wer diese Anforderungen konsequent umsetzt, schützt nicht nur sensible Gesundheitsdaten, sondern stärkt zugleich das Vertrauen der Patienten in digitale Prozesse.

Wichtige Punkte im Überblick:

• Die Terminvergabe über externe Dienstleister ist zulässig, wenn ein Vertrag nach Art. 28 DSGVO besteht.
• Eine Einwilligung muss gegebenenfalls nicht erfolgen, aber jedenfalls ein Hinweis.
• Es dürfen nur notwendige Daten erfasst werden. 
• Keine zweckfremde Eigennutzung durch Dienstleister.
• Termindaten sind zeitnah zu löschen.
• Bei Nutzerkonten beim Dienstleister bedarf es einer klaren Abgrenzung der Verantwortlichkeiten.

ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.