Themen A bis Z

Terminverwaltung von Arztterminen

Mein Arzt/meine Ärztin setzt zur Terminverwaltung ein Terminverwaltungs-Unternehmen ein. Darf mein Arzt/meine Ärztin ohne meine Einwilligung meine personenbezogenen Daten an dieses Unternehmen weitergeben?

Arztpraxen setzen Terminverwaltungs-Unternehmen in der Regel als so genannte Auftragsverarbeiter ein. Als Auftragsverarbeiter sind diese Unternehmen bei der Datenverarbeitung, die sie für die Arztpraxen vornehmen, streng an die Weisungen der Arztpraxen gebunden. Das schließt insbesondere eine Datenverarbeitung durch den Auftragsverarbeiter zu eigenen Zwecken aus. Außerdem sind die Praxen gesetzlich dazu verpflichtet, die von ihnen eingesetzten Auftragsverarbeiter zur Verschwiegenheit zu verpflichten. Für den Einsatz eines Auftragsverarbeiters müssen Arztpraxen keine Einwilligung der Patient:innen einholen. Sie müssen die Patient:innen allerdings in ihrer Datenschutzinformation über den Einsatz von Auftragsverarbeitern informieren.

Ich bin Patient:in und habe von einem Terminverwaltungs-Unternehmen eine SMS/E-Mail mit einer Erinnerung an einen Arzttermin erhalten. Warum hat das Unternehmen Kenntnis von meinen Daten und was kann ich dagegen tun?

Arztpraxen dürfen Ihnen als Patient:in eine Terminerinnerung nur dann übermitteln oder übermitteln lassen, wenn Sie gegenüber der Arztpraxis eingewilligt haben, dass Ihre Telefonnummer oder E-Mail-Adresse für die Terminerinnerung genutzt werden darf. Soweit die Praxis die Terminerinnerung nicht selbst versenden, sondern hierfür ein anderes Unternehmen als Auftragsverarbeiter einsetzen möchte, sollte die Arztpraxis Sie zudem im Rahmen der Einwilligungserklärung darüber informieren, dass Ihre personenbezogenen Daten für die Terminerinnerung an einen Auftragsverarbeiter weitergegeben und von diesem für die Terminerinnerung verarbeitet werden. Eine erteilte Einwilligung können Sie jederzeit für die Zukunft widerrufen. Ab dem Zeitpunkt des Widerrufs dürfen Ihnen dann keine Terminerinnerungen mehr geschickt werden.

Ich bin Arzt/Ärztin und möchte in meiner Praxis eine Software eines Terminverwaltungs-Unternehmens einsetzen. Ist das datenschutzkonform möglich?

Als Arzt/Ärztin sind Sie verantwortlich für die datenschutzkonforme Verarbeitung der personenbezogenen Daten Ihrer Patient:innen. Sie sind also verpflichtet, angemessene und geeignete Maßnahmen zu ergreifen, um das Risiko eines Sicherheitsvorfalls oder einer Datenpanne ausreichend zu minimieren. Da es sich bei den Daten Ihrer Patient:innen um besonders sensible Daten (Gesundheitsdaten) handelt, werden besonders hohe Anforderungen an den Umgang mit diesen Daten an Sie gestellt. Dies ergibt sich nicht nur aus dem Datenschutzrecht, sondern ebenfalls aus dem Straf- und dem Berufsrecht (Schweigepflicht).

Wenn Sie einen Dienstleister für das Terminmanagement als Auftragsverarbeiter einbeziehen, sollten Sie insbesondere auf Folgendes achten:

  • Sie müssen den Dienstleister danach beurteilen, ob er ausreichende technische und organisatorische Maßnahmen trifft. Das ist nicht einfach. Lassen Sie sich am besten unabhängig beraten. Hat der Auftragsverarbeiter ein anerkanntes Datenschutz- oder zumindest Informationssicherheitszertifikat für die gesamte von Ihnen in Anspruch genommene Dienstleistung erhalten, können Sie dies positiv berücksichtigen. Bekannt gewordene Sicherheitsvorfälle sind dagegen ein negatives Indiz.

  • Besonderes Augenmerk bedarf die Sicherheit der Webanwendung bzw. der mobilen App, die Sie über den Dienstleister Ihren Patient:innen für die Buchung eines Termins in Ihrer Praxis bereitstellen, einschließlich aller Schnittstellen, über die aus dem Internet auf die dafür genutzten Systeme zugegriffen werden kann, und der sichere Anschluss der Systeme des Dienstleisters an Ihr Praxissystem. Aus dem Betrieb des Dienstes für das Terminmanagement dürfen für die in Ihrem Praxisverwaltungssystem gespeicherten Daten keine signifikanten zusätzlichen Risiken entstehen. Daher ist stets vorzusehen, dass die Verbindung zwischen Praxissystemen und den Systemen des Dienstleisters von Ihrer Praxis aus aufgebaut wird und sichere Verfahren für Authentifikation und Verschlüsselung zum Einsatz kommen.

  • Alle Personen, die bei dem Dienstleister oder einem Unterauftragnehmer mit den Daten Ihrer Patientinnen und Patienten umgehen, müssen im gleichen Umfang wie Sie selbst der Schweigepflicht unterliegen. Dies ist aufgrund gesetzlicher Bestimmung bei Dienstleistern gegeben, die nur mit in Deutschland tätigem Personal agieren. Bei Personal, das außerhalb Deutschlands tätig wird, muss Ihnen der Auftragsverarbeiter nachweisen, dass Schweigepflicht und Beschlagnahmeverbot für die gesamte Verarbeitungskette gilt.

  • Darüber hinaus müssen Sie Dienstleister, die Zugriff auf Daten haben, die der Schweigepflicht unterliegen, unter Verweis auf die strafrechtlichen Bestimmungen zur Geheimhaltung verpflichten. Die Dienstleister müssen das ihrerseits mit ihrem Personal und allen Unterauftragnehmern tun.

  • Auch wenn Ihr Dienstleister seinen Sitz in Deutschland hat, kann es sein, dass er weitere Dienstleister aus dem Ausland einschaltet. Dies können zum Beispiel Cloudanbieter sein, die der Dienstleister möglicherweise einsetzt, um die eigene Datenverarbeitung zu betreiben. Beachten Sie, dass auch die Einbindung von Dritt-Inhalten in einer App oder auf einer Webseite (z. B. Schriftarten, Stadtpläne, Skripte) dazu führt, dass diese Dritten Kenntnis von personenbezogenen Daten erhalten. Hierfür gibt es regelmäßig keine Rechtsgrundlage.

  • Besondere Probleme ergeben sich, wenn Ihr Dienstleister entweder Server außerhalb Deutschlands betreibt oder von Orten außerhalb Deutschlands Zugriffsmöglichkeiten auf die Daten bestehen, etwa im Rahmen von Support oder Administration und Wartung.

  • Sollten Sie in Betracht ziehen, einen Dienstleister einzuschalten, bei dem irgendein Schritt der Datenverarbeitung (einschließlich Support, Administration, Wartung, auch durch weitere Dienstleister) außerhalb Deutschlands erfolgt, sollten Sie daher spezialisierten datenschutzrechtlichen Rat einholen. Auch wenn europäische Tochtergesellschaften von Nicht-EU-/EWR- (insbesondere US-) Unternehmen einbezogen werden, etwa für den Betrieb der Server, müssen Sie sicherstellen, dass diese nicht etwa personenbezogene Daten an ausländische Behörden herausgeben müssen. Technische und vertragliche Maßnahmen werden hier in der Regel nicht helfen. Wenn Sie nicht sicher nachweisen können, dass ein Dienstleister – und alle weiter einbezogenen Dienstleister – diese Anforderungen erfüllt, dürfen Sie ihn nicht einsetzen.

  • Erfüllt ein Dienstleister die genannten Forderungen und Sie entscheiden sich, ihn in Anspruch zu nehmen, dann müssen Sie mit ihm einen Vertrag schließen, der den gesetzlichen Anforderungen (Art. 28 Abs. 3 Datenschutz-Grundverordnung) entspricht.

  • Darüber hinaus müssen Sie Ihre Patient:innen über den Einsatz des Dienstleisters in Ihrer Datenschutzinformation in Kenntnis setzen.

  • Die Verwendung der Daten durch den Dienstleister für seine eigenen Zwecke ist ausgeschlossen. Diese Festlegung gehört auch in den Vertrag mit dem Auftragsverarbeiter. Bei Kenntnis einer Verwendung für eigene Zwecke sind Sie verpflichtet, dem entgegenzutreten und einen datenschutzkonformen Zustand herzustellen.

  • Ihre Weisungsbefugnis gegenüber dem Dienstleister darf nicht eingeschränkt werden.

  • Sollte der Dienstleister anderweitig — z. B. über das Angebot einer „Arztsuche“ — in eigener Verantwortung mit Ihren Patient:innen in Kontakt kommen, so ist eine saubere Trennung der Verantwortlichkeiten erforderlich, die auch für die Patient:innen klar erkennbar bleibt. Ihre Patient:innen müssen bei jeder Interaktion mit der Webseite, die sie nutzen, um mit Ihrer Praxis einen Termin zu vereinbaren, wissen, wer für die jeweilige Datenverarbeitung verantwortlich ist. Dies wird mit einer klaren Gestaltung — Ihre Internetdomäne, Ihr Logo, Ihre Farbgebung, Ihr Impressum — erreicht, mit einer verklausulierten Erläuterung in der Datenschutzerklärung nicht.

  • Sie dürfen nur diejenigen Daten für das Terminmanagement verwenden, die dafür notwendig sind. Daraus folgt die Anforderung, an den Dienstleister nur die Daten zu übergeben, die dieser zur Erbringung der Dienstleistung benötigt. In der Regel sollte es genügen, dass der Dienstleister selbst die für die Buchung des Termins notwendigen Daten erhebt, so dass es nicht notwendig ist, ihm vorab personenbezogene Daten Ihrer Patient:innen bereitzustellen.

  • Sie dürfen keine Daten für das Terminmanagement länger als für diesen Zweck erforderlich speichern. Bedenken Sie: Nimmt ein:e Patient:in den vereinbarten Termin wahr, dann dokumentieren Sie die für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse sowie ggf. deren Abrechnung in Ihrem Praxis­verwaltungs­system und bewahren die Angaben dort auf, bis zehn Jahre nach Abschluss der Behandlung vergangen sind. Die in Ihrem Terminmanagementsystem gespeicherten Daten werden für die Dokumentationszwecke dagegen nicht benötigt und sind daher im Anschluss an den Termin nach einer kurzen Frist zu löschen. Die Verpflichtung des Dienstleisters, diese Löschung vorzunehmen, sollten sie vertraglich festhalten. Für die Daten von Patient:innen, die nicht zu dem vereinbarten Termin erscheinen, gilt das Gleiche. Sie können Sie nur dann länger speichern, wenn Sie für den Ausfall Schadensersatz geltend machen und auch dann nur so lange, wie hierfür notwendig.

Möchten Sie Ihren Patient:innen per SMS/E-Mail Erinnerungen an ihren Termin senden, bedarf es einer ausdrücklichen Einwilligung der Patient:innen. Dass Sie eine Einwilligung eingeholt haben, muss von Ihnen nachweisbar sein. Möchten Sie die Terminerinnerung über einen Dienstleister versenden, sollten Sie die Patient:innen im Zusammenhang mit der Einholung der Einwilligung über den Einsatz des Dienstleisters informieren, da eine Einwilligung nur wirksam ist, wenn sie informiert erfolgt.

Ich bin Arzt/Ärztin. Können Sie mir eine Empfehlung für einen Dienstleister geben, der datenschutzkonform arbeitet?

Leider ist uns dies gesetzlich verwehrt.  

Ich bin Arzt/Ärztin und möchte die Firma X als Dienstleister einsetzen. Können Sie mir eine Einschätzung des Dienstleisters geben? Wenn Sie eine Prüfung des Dienstleisters vorgenommen haben, können Sie mir das Ergebnis mitteilen?

Wir prüfen Dienstleister dieser und anderer Branchen, wenn uns Beschwerden erreichen oder auch von Amts wegen. Diese Prüfungen sind jedoch in aller Regel nicht umfassend, sondern konzentrieren sich auf bekannte kritische Punkte. Eine umfassende Einschätzung ist uns daher selten möglich. Erforderlichenfalls und unter sehr engen Voraussetzungen werden wir Berliner Unternehmen oder Behörden davor warnen, einen bestimmten Dienstleister in Anspruch zu nehmen, wenn dies nicht datenschutzkonform möglich ist.

Einsicht in unsere Akten oder Auskunft gewähren wir im Rahmen des Berliner Informationsfreiheitsgesetzes. Dabei sind wir verpflichtet, schutzbedürftige Betriebs- oder Geschäftsgeheimnisse der geprüften Unternehmen zu wahren.

 

zurück zur Seite: