Online-Arzttermine: Datenschützer geben Hilfestellung für Praxen und Patienten
Arzttermine werden immer häufiger online vereinbart. Doch es gibt Unklarheiten darüber, was Diensteanbieter und Arztpraxen dürfen. Zunehmend gehen daher immer mehr Beschwerden wegen Terminbuchungsportalen wie Doctolib ein, speziell auch bei Berliner Datenschutzbeauftragten, Maike Kamp. Da es sowohl bei Patienten als auch bei Praxisinhabern Unklarheiten gibt, reagiert die Datenschutzkonferenz (DSK), deren Vorsitz Kamp innehat, auf häufige Fragen aus der Praxis.
Eigentlich sind für das Buchen von Terminen kaum Daten erforderlich, dennoch verlangt manch ein System den Zugriff auf die Stammdaten der Patienten. Aufgrund der wachsenden Zahl an Beratungsanfragen hat die DSK ein Positionspapier "Datenschutz bei der Terminverwaltung durch Heilberufspraxen" verfasst – für den datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und Terminmanagement.
Wird die Terminverwaltung ausgelagert, werden die Daten von Patienten auch von dem von der Praxis beauftragten Dienstleister verarbeitet. Zwar ist dafür keine Einwilligung der Patienten erforderlich, allerdings müssen diese über den Einsatz von Dienstleistern für die Terminvergabe informiert werden. Zudem sollte es "auch immer eine alternative Möglichkeit" für die Terminvergabe geben. Sofern die Praxen zur Vergabe von Behandlungsterminen Patientendaten verarbeiten, braucht es entweder eine Einwilligung der Patienten oder eine gesetzliche Grundlage. Unklar ist oft, in welchem Umfang die Patientendaten verarbeitet werden dürfen.
Laut den Datenschützern (PDF) sollten nur Daten verwendet werden, die für das Eintragen von Terminen notwendig sind, "also insbesondere Name, Geburtsdatum, behandelnde Ärztin oder behandelnder Arzt, Art des Termins (z. B. Kontrolle, Röntgen) und eine Kontaktmöglichkeit", etwa für kurzfristige Terminänderungen. "Zur Durchführung der Terminvergabe durch einen Dienstleister bedarf es nur der zur Vereinbarung eines konkreten Termins erforderlichen Patientendaten."
Die Datenschützer betonen, dass es "im Vorfeld im Regelfall insoweit keiner pauschalen Bereitstellung von Stammdaten aller in der Heilberufspraxis jemals behandelten Patientinnen und Patientendaten an das beauftragte Dienstleistungsunternehmen [bedarf]". Die erforderlichen Daten werden "bei einer Online-Terminvereinbarung regelmäßig durch die Patientinnen und Patienten selbst mitgeteilt oder bei einer Terminvereinbarung vor Ort oder telefonisch durch die Heilberufspraxis erhoben und in den Terminkalender eingetragen".
Nur mit ausdrücklicher Einwilligung
Denkbar sei als Serviceangebot hingegen eine Terminerinnerung, "sofern die Patientinnen und Patienten auf Nachfrage und entsprechend informiert damit einverstanden sind, dürfen die zu diesem Zweck erforderlichen Kontaktdaten – je nach gewähltem Kommunikationskanal – zusätzlich verarbeitet werden", stellt die DSK klar. Wichtig ist, dass die Praxis nachweisen kann, dass eine Einwilligung vorliegt.
Außerdem muss die Arztpraxis "aussagekräftige Informationen über die externe Terminvereinbarung und -verwaltung" bereitstellen und auch, welches Unternehmen "Empfänger der Daten" ist. Sofern Patienten ein Nutzerkonto bei einem der Dienstleister anlegen und diese dafür einen Vertrag mit dem Terminverwaltungsunternehmen abschließen, selbiges datenschutzrechtlich verantwortlich. "Werden hierbei auch Gesundheitsdaten verarbeitet, benötigt das Terminverwaltungsunternehmen im Regelfall eine wirksame Einwilligung der betroffenen Nutzerinnen und Nutzer", heißt es in der Erklärung.
Anfang des Jahres hat Doctolib Patienten in seiner Datenschutzerklärung für Patienten darüber informiert, Daten für KI-Trainingszwecke nutzen zu wollen. Eine Einwilligung ist bei gesundheitsbezogenen Daten erforderlich. Sofern "keine Gesundheitsdaten betroffen sind", führt Doctolib "berechtigtes Interesse" als Rechtsgrundlage für die Datenverarbeitung an.
Keine weitere Datenverarbeitung durch Dienstleister
Die Daten, die im Terminkalender verarbeitet werden, dürfen nicht einfach für eigene Zwecke durch den Dienstleister weiterverarbeitet werden. "Bei Kenntnis einer Verwendung dieser Daten für eigene Zwecke des Dienstleisters ist die Heilberufspraxis verpflichtet, gegenüber ihrem Dienstleister dafür zu sorgen, dass dieser einen datenschutzkonformen Zustand herstellt", heißt es im Bericht. Zudem müssen die Eintragungen im Terminkalender "innerhalb einer kurzen Frist" gelöscht werden. "Denn Eintragungen im Terminkalender sind als solche nicht Teil der Behandlungsdokumentation und unterliegen somit nicht der berufsrechtlichen Dokumentationspflicht", erklären die Datenschützer.
Die Verantwortung für die Datenverarbeitung tragen die Arztpraxen, etwa auch darüber, ob beim Dienstleister geeignete Datenschutzmaßnahmen wie eine "Mandantentrennung" erfolgt oder ob die Webanwendung und "Verzahnung" mit dem Praxisverwaltungssystem sicher sind oder dafür Löschfristen einzuhalten. Immer wieder kommt es beispielsweise vor, dass sich Patienten über eine SMS zur Terminerinnerung von ihrem Arzt wundern, teilweise sind die Erinnerungen sogar an andere Personen adressiert. Laut Datenschützern sei eine für die Patienten erkennbare "saubere Trennung der Verantwortlichkeiten erforderlich".
Innere Sicherheit und Freiheit
Ebenso hat die DSK auf ihrer Zwischenkonferenz am 16. Juni 2025 eine Entschließung zum Verhältnis von innerer Sicherheit und Freiheit verabschiedet (PDF). Hintergrund ist die aktuelle Debatte um die Novellierung verschiedener Sicherheitsgesetze. "Freiheit und Sicherheit sind unabdingbare Voraussetzungen für eine Demokratie. Zur Sicherheit gehört auch, dass sich die Menschen im Land darauf verlassen können, dass der Staat und seine Institutionen ihre Rechte und Freiheiten achten, sich an verfassungskonforme Gesetze und gegebene Garantien halten. Dem Datenschutzrecht kommt dabei eine zentrale Bedeutung zu, da es staatliche Datenverarbeitungen im Einklang mit dem Rechtsstaat sicherstellt", sagte Kamp.
Zudem gibt die DSK eine Orientierungshilfe zu TOMs (technische und organisatorische Maßnahmen) bei der Entwicklung und dem Einsatz von KI-Systemen (PDF). "Angesichts der umfangreichen Verarbeitungen personenbezogener Daten und der potenziell hohen Risiken hat der Datenschutz bei KI-Systemen eine hohe Relevanz", erklärt Meike Kamp. Die Orientierungshilfe soll helfen, den Datenschutz von Anfang an mitzudenken.