Berliner Datenschutzbeauftragte: Mit Klick zum Termin — Terminvergabeportale und ihr Umgang mit den Daten der Patient:innen
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Aus dem Jahresbericht 2021 (Pressemitteilung / BERICHT KOMPLETT) vom 24. Mai 2022:
6.6 Mit Klick zum Termin — Terminvergabeportale und
ihr Umgang mit den Daten der Patient:innen
Für Patient:innen ist es komfortabel, selbst über ein Online-Terminvergabeportal Termine mit Arztpraxen zu vereinbaren. Bereits bei der Suche nach einem Termin kann es allerdings dazu kommen, dass höchstpersönliche Informationen wie die gesuchten Fachärzt:innen oder Behandlungsmethoden oder sogar Symptome eingegeben werden. Aufgrund von zwei Hinweisen prüften wir bei einem Anbieter, ob diese Daten unzulässig an Dritte übermittelt werden, und ob der Anbieter seinen Löschverpflichtungen nach Schließung eines Kontos nachkommt.
Sofern Terminverwaltungsunternehmen Webseiten betreiben, über die Patient:innen selbst Termine bei Arztpraxen buchen können, müssen sie sicherstellen, dass die von den Patient:innen eingegebenen (Gesundheits-)Daten vertraulich behandelt werden. Die Verarbeitung von besonderen Kategorien personenbezogener Daten i. S. d. Art. 9 DS-GVO, zu denen auch Gesundheitsdaten zählen, erfordert besondere Sorgfalt. Überwacht das Unternehmen zur Gewährleistung der Sicherheit der von ihm angebotenen Dienste die Interaktionen der Patient:innen mit seiner Internetseite, dürfen dabei keine für diesen Zweck nicht erforderlichen Daten erfasst werden. Besonders problematisch ist die Übermittlung sensitiver Daten wie z. B. die Übermittlung von Symptomen an Unternehmen in Staaten mit einem unzureichenden Datenschutzniveau.
Ein solches Vorgehen wurde uns dieses Jahr durch Sicherheitsforscher:innen bei einer App eines Terminverwaltungsanbieters gemeldet, bei dem wir bereits in der Vergangenheit dasselbe Vorgehen im Kontext seiner Internetseite moniert hatten. Durch die Sicherheitsforscher:innen wurde festgestellt, dass Daten u. a. an ein US-amerikanisches Unternehmen und damit in einen unsicheren Drittstaat übermittelt wurden.
Haben Patient:innen bei einem Terminverwaltungsunternehmen ein Nutzungskonto eingerichtet, um selbst Termine bei Arztpraxen online suchen zu können, besteht ein Vertragsverhältnis zwischen den Patient:innen und dem Terminverwaltungsunternehmen. Wird dieses Vertragsverhältnis gekündigt, entfällt der Zweck, für den das Terminverwaltungsunternehmen die personenbezogenen Daten der Patient:innen gespeichert hat. Mit dem Entfallen des Zwecks geht in aller Regel die Pflicht der/des Verantwortlichen zur unverzüglichen Datenlöschung einher. Ausgenommen sind lediglich Daten, für die eine gesetzliche Aufbewahrungspflicht besteht. Die Löschung müssen die Verantwortlichen selbst vornehmen. Sie können ihr nicht dadurch nachkommen, dass sie den Patient:innen – wie es tatsächlich in einem Fall vorgekommen ist – die Löschung ihrer Daten selbst aufgeben.
Wir haben den betreffenden Anbieter in beiden Fällen um Stellungnahme gebeten und ihn aufgefordert, die vorgefundenen Mängel zu beheben.
Eine Übermittlung von unverschlüsselten Gesundheitsdaten durch Terminverwaltungsunternehmen an Dritte in unsicheren Drittstaaten im Zuge der Terminsuche oder -buchung durch die Patient:innen ist unzulässig, auch wenn sie zu Zwecken der Nutzungsanalyse erfolgt. Außerdem müssen sich die Patient:innen darauf verlassen können, dass nach einer Vertragskündigung ihre personenbezogenen Daten ohne weiteres Zutun von ihrer Seite gelöscht werden.