{"id":39115,"date":"2022-06-27T09:52:00","date_gmt":"2022-06-27T07:52:00","guid":{"rendered":"http:\/\/iuzb.de\/?p=39115"},"modified":"2022-06-27T09:56:44","modified_gmt":"2022-06-27T07:56:44","slug":"berliner-datenschutzbeauftragte-mit-klick-zum-termin-terminvergabeportale-und-ihr-umgang-mit-den-daten-der-patientinnen","status":"publish","type":"post","link":"https:\/\/iuzb.de\/?p=39115","title":{"rendered":"Berliner Datenschutzbeauftragte: Mit Klick zum Termin \u2014 Terminvergabeportale und ihr Umgang mit den Daten der Patient:innen"},"content":{"rendered":"<p><strong>Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit<\/strong><\/p>\n<p>Aus dem Jahresbericht 2021 (<a href=\"https:\/\/www.datenschutz-berlin.de\/fileadmin\/user_upload\/pdf\/pressemitteilungen\/2022\/20220524-PM-Jahresbericht-2021-BlnBDI.pdf\" target=\"_blank\" rel=\"noopener\">Pressemitteilung<\/a> \/ <a href=\"https:\/\/www.datenschutz-berlin.de\/fileadmin\/user_upload\/pdf\/publikationen\/jahresbericht\/BlnBDI-Jahresbericht-2021-Web.pdf\" target=\"_blank\" rel=\"noopener\">BERICHT KOMPLETT<\/a>) vom 24. Mai 2022:<\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><strong>6.6 Mit Klick zum Termin \u2014 Terminvergabeportale und<br \/>\nihr Umgang mit den Daten der Patient:innen<\/strong><\/span><\/p>\n<p style=\"text-align: justify;\"><strong>F\u00fcr Patient:innen ist es komfortabel, selbst \u00fcber ein Online-Terminvergabeportal Termine mit Arztpraxen zu vereinbaren. Bereits bei der Suche nach einem Termin kann es allerdings dazu kommen, dass h\u00f6chstpers\u00f6nliche Informationen wie die gesuchten Fach\u00e4rzt:innen oder Behandlungsmethoden oder sogar Symptome eingegeben werden. Aufgrund von zwei Hinweisen pr\u00fcften wir bei einem Anbieter, ob diese Daten unzul\u00e4ssig an Dritte \u00fcbermittelt werden, und ob der Anbieter seinen L\u00f6schverpflichtungen nach Schlie\u00dfung eines Kontos nachkommt.<\/strong><\/p>\n<p style=\"text-align: justify;\">Sofern Terminverwaltungsunternehmen Webseiten betreiben, \u00fcber die Patient:innen selbst Termine bei Arztpraxen buchen k\u00f6nnen, m\u00fcssen sie sicherstellen, dass die von den Patient:innen eingegebenen (Gesundheits-)Daten vertraulich behandelt werden. Die Verarbeitung von besonderen Kategorien personenbezogener Daten i. S. d. <a href=\"https:\/\/dsgvo-gesetz.de\/art-9-dsgvo\/\" target=\"_blank\" rel=\"noopener\">Art. 9 DS-GVO<\/a>, zu denen auch Gesundheitsdaten z\u00e4hlen, erfordert besondere Sorgfalt. \u00dcberwacht das Unternehmen zur Gew\u00e4hrleistung der Sicherheit der von ihm angebotenen Dienste die Interaktionen der Patient:innen mit seiner Internetseite, d\u00fcrfen dabei keine f\u00fcr diesen Zweck nicht erforderlichen Daten erfasst werden. Besonders problematisch ist die \u00dcbermittlung sensitiver Daten wie z. B. die \u00dcbermittlung von Symptomen an Unternehmen in Staaten mit einem unzureichenden Datenschutzniveau.<\/p>\n<p style=\"text-align: justify;\">Ein solches Vorgehen wurde uns dieses Jahr durch Sicherheitsforscher:innen bei einer App eines Terminverwaltungsanbieters gemeldet, bei dem wir bereits in der Vergangenheit dasselbe Vorgehen im Kontext seiner Internetseite moniert hatten. Durch die Sicherheitsforscher:innen wurde festgestellt, dass Daten u. a. an ein US-amerikanisches Unternehmen und damit in einen unsicheren Drittstaat \u00fcbermittelt wurden.<\/p>\n<p style=\"text-align: justify;\">Haben Patient:innen bei einem Terminverwaltungsunternehmen ein Nutzungskonto eingerichtet, um selbst Termine bei Arztpraxen online suchen zu k\u00f6nnen, besteht ein Vertragsverh\u00e4ltnis zwischen den Patient:innen und dem Terminverwaltungsunternehmen. Wird dieses Vertragsverh\u00e4ltnis gek\u00fcndigt, entf\u00e4llt der Zweck, f\u00fcr den das Terminverwaltungsunternehmen die personenbezogenen Daten der Patient:innen gespeichert hat. Mit dem Entfallen des Zwecks geht in aller Regel die Pflicht der\/des Verantwortlichen zur unverz\u00fcglichen Datenl\u00f6schung einher. Ausgenommen sind lediglich Daten, f\u00fcr die eine gesetzliche Aufbewahrungspflicht besteht. Die L\u00f6schung m\u00fcssen die Verantwortlichen selbst vornehmen. Sie k\u00f6nnen ihr nicht dadurch nachkommen, dass sie den Patient:innen \u2013 wie es tats\u00e4chlich in einem Fall vorgekommen ist \u2013 die L\u00f6schung ihrer Daten selbst aufgeben.<\/p>\n<p style=\"text-align: justify;\">Wir haben den betreffenden Anbieter in beiden F\u00e4llen um Stellungnahme gebeten und ihn aufgefordert, die vorgefundenen M\u00e4ngel zu beheben.<\/p>\n<blockquote>\n<p style=\"text-align: justify;\">Eine \u00dcbermittlung von unverschl\u00fcsselten Gesundheitsdaten durch Terminverwaltungsunternehmen an Dritte in unsicheren Drittstaaten im Zuge der Terminsuche oder -buchung durch die Patient:innen ist unzul\u00e4ssig, auch wenn sie zu Zwecken der Nutzungsanalyse erfolgt. Au\u00dferdem m\u00fcssen sich die Patient:innen darauf verlassen k\u00f6nnen, dass nach einer Vertragsk\u00fcndigung ihre personenbezogenen Daten ohne weiteres Zutun von ihrer Seite gel\u00f6scht werden.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit Aus dem Jahresbericht 2021 (Pressemitteilung \/ BERICHT KOMPLETT) vom 24. Mai 2022: &nbsp; 6.6 Mit Klick zum Termin \u2014 Terminvergabeportale und ihr Umgang mit [&#8230;]<\/p>\n","protected":false},"author":13,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"iawp_total_views":1,"footnotes":""},"categories":[177,321,108,68],"tags":[],"class_list":["post-39115","post","type-post","status-publish","format-standard","hentry","category-berlin","category-beauftragte-datenschutz-und-informationsfreiheit","category-datenschutz-und-informationsfreiheit","category-recht"],"_links":{"self":[{"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/posts\/39115","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/iuzb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=39115"}],"version-history":[{"count":6,"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/posts\/39115\/revisions"}],"predecessor-version":[{"id":39118,"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/posts\/39115\/revisions\/39118"}],"wp:attachment":[{"href":"https:\/\/iuzb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=39115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iuzb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=39115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iuzb.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=39115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}