Berliner Datenschutzbeauftragte: Terminverwaltung in Arztpraxen — Was ist zu beachten?
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Aus dem Jahresbericht 2021 (Pressemitteilung / BERICHT KOMPLETT) vom 24. Mai 2022:
6.5. Terminverwaltung in Arztpraxen — Was ist zu beachten?
Auch in diesem Jahr erhielten wir wieder zahlreiche Anfragen und Beschwerden von Bürger:innen aus dem gesamten Bundesgebiet zur Datenverarbeitung durch ein Unternehmen, das von Arztpraxen häufig zur Terminverwaltung eingesetzt wird. Zunehmend wandten sich auch Arztpraxen, Medizinische Versorgungszentren und Krankenhäuser an uns und baten um Hinweise, was sie bei der Inanspruchnahme von Anbieter:innen von Terminverwaltungssoftware beachten müssen.
Viele Praxen sind dazu übergegangen, ihre Terminverwaltung auf darauf spezialisierte Terminverwaltungsunternehmen auszulagern. Für die Praxen sind solche Unternehmen attraktiv, weil diese ihnen versprechen, die Auslastung bei reduzierter Wartezeit für die Patient:innen zu verbessern. Außerdem locken sie mit Zusatzfunktionen wie Terminerinnerungen für die Patient:innen.
Die so vertriebenen Lösungen kommen zum Einsatz, wenn Patient:innen selbst über eine dafür eingerichtete Internetseite von Terminverwaltungsunternehmen einen Termin in der Praxis buchen149 oder wenn Patient:innen telefonisch oder in der Arztpraxis einen Termin vereinbaren und dieser Termin durch das Praxispersonal in das Online-Kalendersystem eines Terminverwaltungsunternehmens eingetragen wird. Im letzteren Fall erfahren die Patient:innen von der Verarbeitung ihrer Daten durch das Terminverwaltungsunternehmen oftmals erst dadurch, dass sie kurz vor dem Termin eine E-Mail oder SMS mit einer Terminerinnerung von dem Unternehmen erhalten.150 Nicht nur Patient:innen, sondern auch Arztpraxen haben uns gefragt, ob die Patient:innen in den Einsatz von Terminverwaltungsunternehmen einwilligen müssen.
Eine Einwilligung der Patient:innen ist dann nicht erforderlich, wenn Terminverwaltungsunternehmen sog. Auftragsverarbeiter:innen der Arztpraxen sind. Auftragsverarbeiter:innen handeln auf Weisung der Arztpraxen. Die Datenverarbeitung durch Terminverwaltungsunternehmen ist dann insoweit – wie auch bei der Inanspruchnahme sonstiger IT-Dienstleistungsfirmen – vollständig den Arztpraxen, die diesen Dienst nutzen, zuzurechnen. Die Arztpraxen müssen die Patient:innen allerdings in ihrer Datenschutzinformation über den Einsatz von Auftragsverarbeiter:innen informieren.
Anders sieht es aus, wenn Arztpraxen ihre Patient:innen per E-Mail oder SMS an vereinbarte Arzttermine erinnern möchten. Denn Arztpraxen dürfen Patient:innen eine Terminerinnerung nur dann übermitteln oder durch Auftragsverarbeiter:innen übermitteln lassen, wenn die Patient:innen ggü. der Arztpraxis ausdrücklich darin eingewilligt haben, dass ihre Telefonnummern oder E-Mail-Adressen für die Terminerinnerung genutzt werden dürfen.151 Arztpraxen sollten insoweit ihre Verfahrensweise überprüfen und ggf. anpassen.
Der Zweck der Speicherung der Termindaten entfällt, sobald der Termin vergangen ist. Da die Praxen die Termine inhaltlich in den Patient:innenakten dokumentieren, ist eine zusätzliche Speicherung in den Systemen der Terminverwaltungsunternehmen nach Ablauf des Termins unzulässig. Die somit nach Ablauf des Termins erforderliche zeitnahe Löschung der Daten aus dem Online-Kalendersystem sollte bereits im Auftragsverarbeitungsvertrag festgelegt werden.
Die Ärzt:innen müssen sicherstellen, dass die Sicherheit der Verarbeitung durch ihre Auftragsverarbeiter:innen gewährleistet ist, da sie selbst für die Verarbeitung der Daten verantwortlich bleiben. Da die Bewertung des Sicherheitsniveaus von Terminverwaltungsunternehmen eine komplexe Fragestellung ist, empfiehlt es sich für die meisten Arztpraxen, dazu externe Beratung einzuholen, zumindest aber auf gängige Datenschutz- oder Informationssicherheitszertifizierungen der Unternehmen zu achten. Außerdem müssen sie sicherstellen, dass sie die Unternehmen im Auftragsverarbeitungsvertrag zur Geheimhaltung verpflichten, um die ihnen als Berufsgeheimnisträger:innen obliegende gesetzliche Schweigepflicht zu erfüllen.
Auch für den Fall, dass Teile der Datenverarbeitung durch Auftragsverarbeiter:innen außerhalb Deutschlands, insbesondere außerhalb des Geltungsbereichs der DS-GVO stattfinden sollen, ist es geboten, diesbezüglich datenschutzrechtlichen Rat einzuholen.
Häufig besteht Unsicherheit sowohl bei Patient:innen als auch bei Ärzt:innen, was datenschutzrechtlich zu beachten ist, wenn Terminverwaltungsunternehmen eingesetzt werden. Häufig wiederkehrende Fragen haben wir in einer Informationssammlung beantwortet, die auf unserer Webseite abgerufen werden kann.