Am 16. Juni 2025 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) per Beschluss ein „Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement“ veröffentlicht, das klare Anforderungen an den datenschutzkonformen Einsatz von Dienstleistern bei der Online-Terminbuchung für Heilberufspraxen formuliert. Insbesondere Arztpraxen, Zahnarztpraxen und therapeutische Einrichtungen sollten diese Vorgaben beachten, um Patientendaten DSGVO-konform zu verarbeiten.
Zulässigkeit externer Terminverwaltungsdienste
Die Nutzung externer Dienstleister zur Online-Terminbuchung ist grundsätzlich zulässig. Einer gesonderten Zustimmung der Patienten bedarf es hierfür nicht. Voraussetzung ist eine DSGVO-konforme Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO (AVV). Patienten müssen außerdem gem. Art. 13 DSGVO in transparenter Form über die Einbindung des Dienstleisters informiert werden.
Neben der digitalen Terminbuchung sollte auch immer eine alternative Buchungsoption bestehen (z.B. telefonisch oder vor Ort).
Terminbuchung auch ohne Einwilligung
Die Verarbeitung der Daten, die für die medizinische Behandlung erforderlich sind bedarf keiner datenschutzrechtlichen Einwilligung der Patienten. Heilberufspraxen können sich insofern auf Art. 6 Abs. 1 S. 1 b) und Art. 9 Abs. 2 h) DSGVO stützen. Erforderlich ist die Verarbeitung von Patientendaten zur Terminbuchung nach Ansicht der DSK dann, wenn der konkrete Patient einen in der Zukunft liegenden Termin mit der Praxis vereinbart.
Verarbeitet werden dürfen nur jene Informationen, die zwingend für die Terminvereinbarung erforderlich sind, also insb. Name, Geburtsdatum, behandelnder Arzt, Art des Termins und eine Kontaktmöglichkeit für kurzfristige Absagen.
Keine pauschale Übermittlung von Patientendaten
Eine pauschale Übermittlung aller Stammdaten aus einem Praxisverwaltungssystem (PVS) ist demgegenüber unzulässig. Die Übermittlung der Patientendaten zur Terminbuchung beschränkt sich auf die – zuvor genannten – zur Wahrnehmung des konkreten Termins erforderlichen Daten.
Einwilligung für Erinnerungsdienste
Terminerinnerungen (z.B. per SMS oder E-Mail) sind für die Wahrnehmung des konkreten Termins nicht erforderlich. Die Kontaktdaten der Patienten dürfen zu diesem Zwecke nur nach entsprechender Information und Einwilligung verarbeitet werden.
Praxistipp: Die Einwilligung muss nachgewiesen werden können. Sie sollte also in schriftlicher oder elektronischer Form vorliegen.
Verbot der Nutzung von Patientendaten zu eigenen Zwecken des Terminverwaltungsdienstleisters
Patientendaten, die im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO zum Zwecke der Terminbuchung an den Dienstleister übermittelt werden, darf dieser nicht zu eigenen Zwecken nutzen. Dies gilt sowohl statistische Auswertungen als auch werbliche Nachrichten. Die Praxis ist als Verantwortliche dazu verpflichtet, die Einhaltung im Rahmen der laufenden Kontrolle zu überwachen und bei Verstößen umgehend einzuschreiten.
Löschfristen: Termindaten sind flüchtig
Kalendereinträge sind nicht Teil der Behandlungsdokumentation und unterliegen nicht der berufsrechtlichen Dokumentationspflicht. Dokumentationspflichtige Inhalte des Terminkalenders sind in die Dokumentation zu übertragen. Termineinträge müssen „innerhalb einer kurzen Frist“ nach Erbringung der Leistung gelöscht werden. Bei Terminvergabe durch einen Dienstleister muss dieser die Löschung entsprechend gewährleisten.
Technische und organisatorische Maßnahmen (TOMs)
Die DSK betont die Notwendigkeit angemessener Sicherheitsvorkehrungen durch den Dienstleister. Dazu zählen etwa verschlüsselte Schnittstellen zum PVS, Zugriffskontrollen, Mehrfaktorauthentifizierung und strikte Datentrennung. Praxen sollten vom Auftragsverarbeiter einen ausführlichen TOM-Katalog als Anlage zum AVV fordern, um nachweisen zu können, dass sämtliche Anforderungen nach Art. 32 DSGVO eingehalten werden.
Besondere Vorsicht bei Übermittlung von Patientendaten in Drittstaaten
Sofern Support, Wartung oder Hosting der Terminverwaltungs-Software außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgen, müssen die Vorgaben der Art. 44 ff. DSGVO bereits vor der Auftragsvergabe erfüllt sein.
Eigenverantwortliche Nutzerkonten in Terminbuchungsportalen
Einige Plattformen (wie z.B. Doctolib oder Jameda) ermöglichen es Patienten, ein Nutzerprofil anzulegen, um Termine bei verschiedenen Praxen zentral zu verwalten. Bietet der Anbieter eigene Patientenprofile oder Konten an und erhebt/verarbeitet dabei selbstständig Daten, handelt er für diese Vorgänge als eigener Verantwortlicher. Er schließt mit den Patienten direkt einen Nutzungsvertrag, der außerhalb der rein auftragsbezogenen Datenverarbeitung liegt. In diesem Fall bedarf es einer separaten Rechtsgrundlage für die Verarbeitung von Patientendaten (z.B. per Einwilligung), und die Verantwortlichkeiten müssen klar getrennt werden.
Wenn Praxis und Anbieter über die Zwecke und Mittel der Datenverarbeitung gemeinsam entscheiden kann auch eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) bestehen.
Für die Praxis bedeutet das: Sie müssen im Vorfeld klären, wer wofür verantwortlich ist.
Fazit
Das DSK Positionspapier erfindet das datenschutzrechtliche Rad nicht neu, sondern gibt im Wesentlichen eine Übersicht über die bereits geltenden Regelungen. Vor Einbindung externer Terminverwaltungsdienste sollten Praxen sich mit den datenschutzrechtlichen Anforderungen beschäftigen, um die Daten ihrer Patienten angemessen zu schützen und Haftungsrisiken zu minimieren. So gelingt eine moderne, effiziente DSGVO-konforme Terminverwaltung, die für Praxen und Patienten gleichermaßen von Vorteil ist.
Das Positionspapier der DSK finden Sie als PDF hier.
Hierzu beraten wir Sie gerne.
Autor: Nicolas Fischer
Autor
UNVERBINDLICHE KONTAKTAUFNAHME
UNVERBINDLICHE KONTAKTAUFNAHME
Sind Sie unsicher, ob Sie mit Ihrer Angelegenheit bei uns richtig sind?
Nehmen Sie gerne unverbindlich Kontakt mit uns auf und schildern uns Ihr Anliegen.
Wir freuen uns auf Ihren Anruf.
