Neben einem Kalender steht ein Wecker.
Gesundheit

Terminverwaltung in Arztpraxen

Die mich behandelnde Arztpraxis setzt zur Terminverwaltung ein Terminverwaltungsunternehmen ein. Darf die Praxis meine personenbezogenen Daten ohne meine Einwilligung an dieses Unternehmen weitergeben?

Arztpraxen setzen Terminverwaltungsunternehmen in der Regel als sogenannte Auftragsverarbeiter ein. In dieser Funktion sind die Unternehmen bei der Datenverarbeitung, die sie für die Arztpraxen vornehmen, streng an die Weisungen der Praxen gebunden. Das schließt insbesondere eine Datenverarbeitung durch die Unternehmen zu eigenen Zwecken aus. Außerdem sind die Praxen gesetzlich dazu verpflichtet, die von ihnen eingesetzten Unternehmen zur Verschwiegenheit zu verpflichten. Für den Einsatz von Auftragsverarbeitern müssen Arztpraxen keine Einwilligung der Patient:innen einholen. Sie müssen diese allerdings in ihrer Datenschutzinformation über den Einsatz von auftragsverarbeitenden Unternehmen informieren.

Ich bin Patient:in und habe von einem Terminverwaltungsunternehmen eine SMS bzw. eine E-Mail mit einer Erinnerung an einen Behandlungstermin erhalten. Warum hat das Unternehmen Kenntnis von meinen Daten und was kann ich dagegen tun?

Arztpraxen dürfen Ihnen als Patient:in eine Terminerinnerung nur dann übermitteln oder übermitteln lassen, wenn Sie gegenüber der Praxis eingewilligt haben, dass Ihre Telefonnummer bzw. E-Mail-Adresse für die Terminerinnerung genutzt werden darf. Soweit die Praxis die Terminerinnerung nicht selbst versendet, sondern hierfür ein anderes Unternehmen einsetzen möchte, sollte die Praxis Sie im Rahmen der Einwilligungserklärung darüber informieren, dass Ihre personenbezogenen Daten für die Terminerinnerung an ein auftragsverarbeitendes Unternehmen weitergegeben und von diesem für die Terminerinnerung verarbeitet werden. Eine erteilte Einwilligung können Sie jederzeit widerrufen. Ab dem Zeitpunkt des Widerrufs dürfen Ihnen dann keine Terminerinnerungen mehr geschickt werden.

Ich bin Ärztin bzw. Arzt und möchte in meiner Praxis die Software eines Terminverwaltungsunternehmens einsetzen. Ist das datenschutzkonform möglich?

Als Ärztin bzw. Arzt sind Sie verantwortlich für die datenschutzkonforme Verarbeitung der personenbezogenen Daten Ihrer Patient:innen. Sie sind also verpflichtet, angemessene und geeignete Maßnahmen zu ergreifen, um das Risiko eines Sicherheitsvorfalls oder einer Datenpanne ausreichend zu minimieren. Da es sich bei den Daten Ihrer Patient:innen um besonders geschützte Daten (Gesundheitsdaten) handelt, werden besonders hohe Anforderungen an den Umgang mit diesen Daten an Sie gestellt. Dies ergibt sich nicht nur aus dem Datenschutzrecht, sondern ebenfalls aus dem Straf- und dem Berufsrecht (Schweigepflicht).

Wenn Sie ein externes Unternehmen (im Folgenden: Dienstleister) für das Terminmanagement einbeziehen, sollten Sie insbesondere auf Folgendes achten:

  • Sie müssen die Dienstleister danach beurteilen, ob sie ausreichende technische und organisatorische Maßnahmen treffen. Das ist nicht einfach. Lassen Sie sich am besten unabhängig beraten. Haben die Dienstleister ein anerkanntes Datenschutz- oder zumindest Informationssicherheitszertifikat für die gesamte von Ihnen in Anspruch genommene Dienstleistung erhalten, können Sie dies positiv berücksichtigen. Bekannt gewordene Sicherheitsvorfälle sind dagegen ein negatives Indiz.

  • Besonderes Augenmerk bedarf die Sicherheit der Webanwendung bzw. der mobilen App, die Sie Ihren Patient:innen für die Buchung eines Termins in Ihrer Praxis über die Dienstleister bereitstellen, einschließlich aller Schnittstellen, über die aus dem Internet auf die dafür genutzten Systeme zugegriffen werden kann. Ebenso wichtig ist der sichere Anschluss der Systeme der Dienstleister an Ihr Praxissystem. Aus dem Betrieb des Diensts für das Terminmanagement dürfen für die in Ihrem Praxisverwaltungssystem gespeicherten Daten keine signifikanten zusätzlichen Risiken entstehen. Daher ist stets vorzusehen, dass die Verbindung zwischen Praxissystemen und den Systemen der Dienstleister von Ihrer Praxis aus aufgebaut wird und sichere Verfahren für Authentifikation und Verschlüsselung zum Einsatz kommen.

  • Alle Personen, die bei den Dienstleistern mit den Daten Ihrer Patient:innen umgehen, müssen im gleichen Umfang wie Sie selbst der Schweigepflicht unterliegen. Dies ist aufgrund gesetzlicher Bestimmung bei Dienstleistern gegeben, die nur mit in Deutschland tätigem Personal agieren. Bei Personal, das außerhalb Deutschlands tätig wird, müssen Ihnen die Dienstleister nachweisen, dass die Schweigepflicht und das Beschlagnahmeverbot für die gesamte Verarbeitungskette gilt.

  • Darüber hinaus müssen Sie Dienstleister, die Zugriff auf Daten haben, die der Schweigepflicht unterliegen, unter Verweis auf die strafrechtlichen Bestimmungen zur Geheimhaltung verpflichten. Die Dienstleister müssen das ihrerseits mit ihrem Personal und allen Unterauftragnehmern tun.

  • Auch wenn die Dienstleister ihren Sitz in Deutschland haben, kann es sein, dass sie weitere Dienstleister aus dem Ausland einschalten. Dies können zum Beispiel Cloud-Anbieter sein, die die Dienstleister möglicherweise einsetzen, um die eigene Datenverarbeitung zu betreiben. Beachten Sie, dass auch die Einbindung von Drittinhalten in einer App oder auf einer Website (beispielsweise Schriftarten, Stadtpläne, Skripte) dazu führt, dass diese Dritten Kenntnis von personenbezogenen Daten erhalten. Hierfür gibt es regelmäßig keine Rechtsgrundlage.

  • Besondere Probleme ergeben sich, wenn Dienstleister entweder Server außerhalb Deutschlands betreiben oder von Orten außerhalb Deutschlands Zugriffsmöglichkeiten auf die Daten bestehen, etwa im Rahmen von Support, Administration oder Wartung.

  • Sollten Sie in Betracht ziehen, Dienstleister einzuschalten, bei denen irgendein Schritt der Datenverarbeitung (einschließlich Support, Administration, Wartung, auch durch weitere Dienstleister) außerhalb Deutschlands erfolgt, sollten Sie spezialisierten datenschutzrechtlichen Rat einholen. Auch wenn europäische Tochtergesellschaften von Nicht-EU/EWR-Unternehmen (insbesondere aus den USA) einbezogen werden, etwa für den Betrieb der Server, müssen Sie sicherstellen, dass diese nicht etwa personenbezogene Daten an ausländische Behörden herausgeben müssen. Technische und vertragliche Maßnahmen werden hier in der Regel nicht helfen. Wenn Sie nicht sicher nachweisen können, dass die Dienstleister – und alle weiter einbezogenen Dienstleister – diese Anforderungen erfüllen, dürfen Sie diese nicht einsetzen.

  • Erfüllen Dienstleister die genannten Forderungen, und Sie entscheiden sich, sie in Anspruch zu nehmen, dann müssen Sie mit diesen einen Vertrag schließen, der den gesetzlichen Anforderungen nach Art. 28 Abs. 3 DSGVO entspricht.

  • Darüber hinaus müssen Sie Ihre Patient:innen über den Einsatz der Dienstleister in Ihrer Datenschutzinformation in Kenntnis setzen.

  • Die Verwendung der Daten durch die Dienstleister für deren eigenen Zwecke ist ausgeschlossen. Diese Festlegung gehört auch in den Vertrag mit den Dienstleistern. Bei Kenntnis einer Verwendung für eigene Zwecke sind Sie verpflichtet, dem entgegenzutreten und einen datenschutzkonformen Zustand herzustellen.

  • Ihre Weisungsbefugnis gegenüber den Dienstleistern darf nicht eingeschränkt werden.

  • Sollten die Dienstleister anderweitig – beispielsweise über das Angebot einer „Suche nach Ärzt:innen“ – in eigener Verantwortung mit Ihren Patient:innen in Kontakt kommen, so ist eine saubere Trennung der Verantwortlichkeiten erforderlich, die auch für die Patient:innen klar erkennbar bleibt. Ihre Patient:innen müssen bei jeder Interaktion mit der Website, die sie nutzen, um mit Ihrer Praxis einen Termin zu vereinbaren, wissen, wer für die jeweilige Datenverarbeitung verantwortlich ist. Dies wird mit einer klaren Gestaltung Ihrer Internetdomäne, des Logos, der Farbgebung und des Impressums erreicht, mit einer verklausulierten Erläuterung in der Datenschutzerklärung nicht.

  • Sie dürfen nur diejenigen Daten für das Terminmanagement verwenden, die dafür notwendig sind. Daraus folgt die Anforderung, an die Dienstleister nur diejenigen Daten zu übergeben, die diese zur Erbringung der Dienstleistung benötigen. In der Regel sollte es genügen, dass die Dienstleister selbst die für die Buchung des Termins notwendigen Daten erheben, sodass es nicht notwendig ist, den Dienstleistern vorab personenbezogene Daten Ihrer Patient:innen bereitzustellen.

  • Sie dürfen keine Daten für das Terminmanagement länger als für diesen Zweck erforderlich speichern. Bedenken Sie: Nimmt ein:e Patient:in den vereinbarten Termin wahr, dann dokumentieren Sie die für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse sowie gegebenenfalls deren Abrechnung in Ihrem Praxisverwaltungssystem und bewahren die Angaben dort auf, bis zehn Jahre nach Abschluss der Behandlung vergangen sind. Die in Ihrem Terminmanagementsystem gespeicherten Daten werden für Dokumentationszwecke dagegen nicht benötigt und sind daher im Anschluss an den Termin nach einer kurzen Frist zu löschen. Die Verpflichtung der Dienstleister, diese Löschung vorzunehmen, sollten sie vertraglich festhalten. Für die Daten von Patient:innen, die nicht zu dem vereinbarten Termin erscheinen, gilt das Gleiche. Sie können die Daten nur dann länger speichern, wenn Sie für den Ausfall Schadensersatz geltend machen und auch dann nur so lange, wie hierfür notwendig.

Ich bin Ärztin bzw. Arzt und möchte meinen Patient:innen Erinnerungen an deren Termin senden. Wie ist dies datenschutzkonform möglich?

Möchten Sie Ihren Patient:innen per SMS bzw. E-Mail Erinnerungen an deren Termin senden, bedarf es der ausdrücklichen Einwilligung der Patient:innen. Dass Sie die Einwilligung eingeholt haben, muss nachweisbar sein. Möchten Sie die Terminerinnerung über externe Dienstleister versenden, sollten Sie die Patient:innen im Zusammenhang mit der Einholung der Einwilligung über den Einsatz der Dienstleister informieren, da eine Einwilligung nur wirksam ist, wenn sie informiert erfolgt.

Ich bin Ärztin bzw. Arzt. Können Sie eine Empfehlung für Dienstleister aussprechen, die datenschutzkonform arbeiten?

Leider ist uns dies gesetzlich verwehrt.

Ich bin Ärztin bzw. Arzt und möchte das Unternehmen X als Dienstleister einsetzen. Können Sie mir eine Einschätzung des Unternehmens geben? Wenn Sie eine Prüfung des Unternehmens vorgenommen haben, können Sie mir das Ergebnis mitteilen?

Wir prüfen Dienstleister dieser und anderer Branchen, wenn uns Beschwerden erreichen oder auch von Amts wegen. Diese Prüfungen sind jedoch in aller Regel nicht umfassend, sondern konzentrieren sich auf bekannte kritische Punkte. Eine umfassende Einschätzung ist uns daher selten möglich. Erforderlichenfalls und unter sehr engen Voraussetzungen werden wir Berliner Unternehmen oder Behörden davor warnen, bestimmte Dienstleister in Anspruch zu nehmen, wenn dies nicht datenschutzkonform möglich ist. Einsicht in unsere Akten oder Auskunft gewähren wir im Rahmen des Berliner Informationsfreiheitsgesetzes. Dabei sind wir verpflichtet, schutzbedürftige Betriebs- oder Geschäftsgeheimnisse der geprüften Unternehmen zu wahren.