Immer mehr Praxen bieten an, Termine online zu buchen. Gleichzeitig gehen immer mehr Fragen oder Beschwerden dazu bei den Datenschutzaufsichtsbehörden ein. Die Datenschutzkonferenz, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden, hat ein Positionspapier vorgelegt, um Praxen aufzuklären.

Beauftragung externer Dienstleister mit dem Terminmanagement

Generell ist es zulässig, wenn Praxen externe Dienstleister mit dem Terminmanagement beauftragen, betonen die Datenschutzaufsichtsbehörden des Bundes und der Länder. Eine Einwilligung der Patienten einzuholen, sei nicht notwendig – die Patienten müssten aber informiert werden, dass ein externer Dienstleister eingebunden wird. Generell sollte es neben der digitalen Terminvereinbarung auch immer eine alternative Möglichkeit geben, einen Termin zu vereinbaren.

Datenverarbeitung mit Grenzen

Der Datenverarbeitung sind allerdings Grenzen gesetzt: So dürften nur Daten in den Terminkalender eingetragen werden, die „zur Wahrnehmung des konkreten Termins erforderlich sind, also insbesondere Name, Geburtsdatum, behandelnde Ärztin oder behandelnder Arzt, Art des Termins (z. B. Kontrolle, Röntgen) und eine Kontaktmöglichkeit zur eventuell notwendigen kurzfristigen Absage des Termins“. Eine pauschale Übermittlung aller Patientenstammdaten an den Dienstleister im Vorfeld halten die Datenschutzbeauftragten für nicht zulässig.

Die Daten dürfen im Terminkalender selbst nur so lange gespeichert werden wie nötig – das heißt, kurz nach dem Termin müssen sie gelöscht werden. „Eintragungen im Terminkalender sind als solche nicht Teil der Behandlungsdokumentation und unterliegen somit nicht der berufsrechtlichen Dokumentationspflicht; soweit Inhalte des Terminkalenders dokumentationspflichtig sind, sind diese in die Dokumentation zu übernehmen und dort in der gebotenen Weise zu speichern“, betonen die Datenschutzbeauftragten. Erfolge die Terminvergabe durch einen beauftragten Dienstleister, müsse dieser die erforderliche Löschung gewährleisten.

Eine Terminerinnerung darf nur nach ausdrücklicher Einwilligung des Patienten verschickt werden. Die Praxis muss dabei nachweisen, dass diese Einwilligung vorliegt.

Die Patientendaten dürfen nicht durch das Terminverwaltungsunternehmen zu eigenen Zwecken verarbeitet werden. „Bei Kenntnis einer Verwendung dieser Daten für eigene Zwecke des Dienstleisters ist die Heilberufspraxis verpflichtet, gegenüber ihrem Dienstleister dafür zu sorgen, dass dieser einen datenschutzkonformen Zustand herstellt“, heißt es in dem Positionspapier.

Auch, wenn ein Dienstleister mit der Datenverarbeitung beauftragt wird: Datenschutzrechtlich verantwortlich ist die Praxis.

Anders liegt der Fall, wenn die Patienten direkt mit dem Terminverwaltungsunternehmen einen Vertrag schließen, also auf dessen Website ein Nutzerkonto anlegen. Dann sei das Unternehmen datenschutzrechtlich verantwortlich.

Erforderlich sei dabei aber eine saubere Trennung der Verantwortlichkeiten: Die Patientinnen und Patienten müssten bei jeder Interaktion mit der Website, die sie nutzen, um mit der Praxis einen Termin zu vereinbaren, in der Lage sein zu erkennen, wer für die jeweilige Datenverarbeitung verantwortlich ist.

Quelle: Datenschutzkonferenz (DSK), Ärztenachrichtendienst (änd)