Datenschutz bei Online-Terminbuchungen

Datenschutz bei Online-Terminbuchungen

Noch rufen viele Patienten in der Arztpraxis an, um einen Termin zu buchen und ärgern sich über eine eventuell schlechte Erreichbarkeit. Für die Arztpraxen ist der Unmut der Patienten sowie der teure Personaleinsatz am Telefon genauso ärgerlich. Mit der unaufhaltbaren Digitalisierung sind aber Online-Terminbuchungsportale weiter auf dem Vormarsch. Wie steht es dabei mit dem Datenschutz bei Online-Terminbuchungen? Was gibt es zu beachten? Lesen Sie weiter, um mehr zu erfahren.

Online-Datenverarbeitung

Wie die Bezeichnung „Online-Terminbuchung“ schon sagt, werden hierbei Daten von Patienten über Arztbesuche online verarbeitet. Da die Datenschutzaufsichtsbehörden schon den Arzttermin als solchen als Gesundheitsdatum und damit als personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO einordnen, gelten die strengeren Rechtsgrundlagen des Art. 9 Abs. 2 DSGVO. Dabei kommt es zur Verarbeitung personenbezogener Daten. Folglich benötigt der Verantwortliche eine Rechtsgrundlage für diese Datenverarbeitung. Des Weiteren muss ein Verantwortlicher auch entsprechende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ergreifen, um dabei den Schutz der Daten gewährleisten zu können.

Prüfung des Anbieters

Wenn ein Verantwortlicher die Software zur Terminbuchung nicht gerade selbst entwickelt hat oder sie auf eigenen Servern läuft, sondern im Rahmen von beispielsweise Software-as-a-Service-Angeboten (SaaS), muss der Verantwortliche den Anbieter des Programmes und die angebotene Datenverarbeitungslösung prüfen.

Unternehmensstandort des Anbieters

Dabei ist der Standort zu betrachten. Es ist festzustellen, wo der Hauptsitz des Unternehmens ist oder ob es sich um den Standort eines Tochterunternehmens handelt, wo die Datenverarbeitung stattfindet und ob dabei Unterauftragnehmer in Staaten außerhalb der EU zum Einsatz kommen. – Ausschlaggebend dafür, dass die DSGVO greift, ist allerdings die Tatsache, dass personenbezogene Daten von EU-Bürgern bzw. von sich in der EU befindenen Personen verarbeitet werden (siehe Art. 3 Abs. 2 DSGVO). – Der Grund der Frage danach liegt natürlich darin, festzustellen, ob sich ein Standort außerhalb der EU, dem EWR oder in einem sogenannten Drittland befindet, ohne dass dabei die Daten durch eine der in Artt. 4447 DSGVO vorgesehenen Maßnahmen geschützt sind. Es ist schließlich zu vermeiden, dass personenbezogene Daten in einem Land verarbeitet werden, dass als unsicheres Drittland gemäß der DSGVO gilt, ohne gleichwohl den Schutz der Daten zu gewährleisten.

Übermittlung personenbezogener Daten in ein Drittland

Die Datenübermittlung in ein Drittland darf nur mit geeigneten Garantien stattfinden. Dabei ist der Abschluss von Standardvertragsklauseln (auch: SCC) die wahrscheinlich bekannteste Variante (siehe Art. 46 Abs. 2 lit. c) DSGVO). – Mehr zu diesen können Sie hier lesen. –

Daraus ergibt sich dann auch die Notwendigkeit der Durchführung einer Risikoanalyse oder Beurteilung der Folgen einer Datenübermittlung in ein Drittland – auch bekannt als Transfer Impact Assessment (auch: TIA). – Weiteres erläutern wir in diesem Beitrag. –

Technische und organisatorische Maßnahmen

Generell besteht auch die Möglichkeit, dass der Verantwortliche bei Angebot der Online-Terminbuchung die personenbezogenen Daten verschlüsselt, sodass der Anbieter gar keinen Zugriff auf die personenbezogenen Daten hätte. Hier ist die Möglichkeit der technischen Umsetzung zu beachten. Um den (potentiellen) Patienten freie Termine anzuzeigen, muss die Terminbuchungslösung entweder sich permanent mit der Terminplanungs-Software bzw. dem entsprechenden Modul der Arzt-Software synchronisieren oder die gesamte Terminverwaltung wird auf den Anbieter der Online-Terminbuchung verlagert.

Natürlich sind weitere Maßnahmen zum Datenschutz und zur -sicherheit nicht zu vernachlässigen. Welche Maßnahmen am effektivsten sind, um den jeweiligen Zweck zu erfüllen, muss ein Verantwortlicher prüfen. Anschließend darf die Dokumentation der ergriffenen Maßnahmen nicht fehlen.

Einbezug der Art der verarbeiteten personenbezogenen Daten

Der Anbieter eines Online-Terminbuchungsdienstes selbst hat auch bei sich geeignete und angemessene technische und organisatorische Maßnahmen zu implementieren, um den Schutz und die Sicherheit der personenbezogenen Daten zu gewährleisten.

Die Maßnahmen richten sich u. a. auch nach der Art der personenbezogenen Daten. Die personenbezogenen Daten, die eine Arztpraxis, die ihren Patienten solch einen Dienst zur Verfügung stellt, verarbeitet, sind im Gegensatz zu denen einer Autoreparaturwerkstatt weitaus sensibler. Eine Arztpraxis verarbeitet schließlich personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO. Dagegen ist die Wahrscheinlichkeit, dass eine Autoreparaturwerkstatt solche personenbezogenen Daten verarbeitet, geringer.

Abschluss eines Auftragsverarbeitungsvertrages

Bietet ein Verantwortliche seinen Kunden, Patienten etc. die Möglichkeit, Termine mithilfe eines Online-Portals zu buchen, so wird es sich regelmäßig um eine Auftragsverarbeitung handeln. Folglich ist ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO abzuschließen. – Dieser kann allerdings durch den Abschluss der Standardvertragsklauseln ersetzt werden. Der Grund liegt darin, dass die Inhalte der Standardvertragsklauseln die eines Auftragsverarbeitungsvertrages abdecken. –

Wir empfehlen übrigens, einen Auftragsverarbeitungsvertrag eines potentiellen Geschäftspartners vor Abschluss des Dienstleistungsvertrages zu prüfen. Dies rührt u. a. daher, dass der Anbieter eines solchen Portals personenbezogene Daten nicht verarbeiten darf, bevor die Parteien einen DSGVO-konformen Auftragsverarbeitungsvertrag abgeschlossen haben. In vielen Fällen beginnt diese Verarbeitung aber mit Vertragsabschluss, was streng genommen eine meldepflichtige Datenpanne darstellt. Des Weiteren begründet sich diese Empfehlung auch damit, dass ein Verantwortlicher so vermeiden kann, dass ein Anbieter personenbezogene Daten rechtswidrig verarbeitet. Es gilt schließlich, dass ein nicht DSGVO-konformer Auftragsverarbeitungsvertrag einem gar nicht abgeschlossenen Vertrag gleichzusetzen wäre. – Übrigens: Die Prüfung und auch die Erstellung von Auftragsverarbeitungsverträgen gemäß Art. 28 Abs. 3 DSGVO übernehmen wir gern für Sie im Zuge unserer Beratung zum Datenschutz Ihrer Einrichtung, Praxis, Organisation etc. –

Durchführung einer Datenschutz-Folgenabschätzung

Die Liste der Datenschutzkonferenz (kurz: DSK) gemäß Art. 35 Abs. 4 DSGVO nennt nicht explizit, dass bei Einsatz eines Online-Terminbuchungsdienstes eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen ist. Aber auch hier muss ein Verantwortlicher beachten, welche Art von personenbezogenen Daten er verarbeitet. Daraus lässt sich dann auch die Höhe des möglichen Risikos für die Rechte und Freiheiten der betroffenen Personen ableiten (Schwellwertanalyse). Wenn die Verarbeitung von personenbezogenen Daten also möglicherweise zu einem hohen Risiko führen kann, so ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen.

Zu bedenken ist dabei auch, dass eine nicht öffentliche Stelle einen Datenschutzbeauftragten benennen muss, wenn eine Verarbeitungstätigkeit die Durchführung einer Datenschutz-Folgenabschätzung nach sich zieht (siehe Art. 37 Abs. 1 lit. b) DSGVO, § 38 Abs. 1 BDSG). In solch einem Fall ist es auch unerheblich, wie viele Personen ständig personenbezogene Daten verarbeiten, also ob der Schwellwert von 20 Personen überschritten wird.

Minimierung der erhobenen personenbezogenen Daten

Natürlich sind alle Grundsätze der Verarbeitung personenbezogener Daten wichtig. Der Grundsatz der Datenminimierung des Art. 5 Abs. 1 lit. c) DSGVO – verdient eine besondere Erwähnung. Das bedeutet, die in einem Online-Terminbuchungsportal abgefragten Daten sollten sich auf ein Minimum beschränken: Entweder es werden nur die wirklich notwendigen Daten abgefragt. Alternativ besteht aber auch die Möglichkeit, eindeutig zu kennzeichnen, welche Angaben optional und damit freiwillig und welche Pflicht und damit wirklich notwendig sind. An dieser Stelle zeigt sich dann u. a., inwiefern sowohl der Anbieter als auch der Verantwortliche als Geschäftspartner des Anbieters Art. 25 DSGVO einhalten (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen). In der Praxis zeigt sich dies beispielsweise darin, dass es möglich ist, einen Termin zu buchen, auch wenn optionale Informationen nicht angegeben werden.

Besonders brisant ist diese Thematik, wenn beispielsweise eine Arztpraxis den Patienten anbietet, Termine über ein solches Portal zu buchen. Hier empfiehlt es sich beispielsweise, die Angabe von gesundheitlichen Beschwerden nur als optional vorzusehen oder gar nicht danach zu fragen.

§ 203 StGB

Bietet ein Verantwortlicher, der einer beruflichen Schweigepflicht unterliegt, seinen Patienten, Kunden etc. die Nutzung eines Online-Terminbuchungsdienstes an, so hat er auch den Anbieter des Dienstes auf die Berufsschweigepflicht nach § 203 StGB zu verpflichten. So vermeidet der Verantwortliche, sich selbst strafbar zu machen.

Sonstige Pflichten beim Einsatz von Online-Terminbuchungsdiensten

Die in diesem Beitrag schon genannten Dokumente sind im Zuge der Dokumentation eines Verantwortlichen bei der Verarbeitung personenbezogener Daten nicht abschließend. Hinzukommen u. a. die Informationspflichten des Verantwortlichen: Er muss also in einer Datenschutzinformation nach Art. 13 DSGVO den betroffenen Personen die relevanten Informationen bereitstellen. Diese Verarbeitung ist im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO festzuhalten. Auch darf eben die Dokumentation der angesprochenen technischen und organisatorischen Maßnahmen nicht fehlen.

Bietet ein Verantwortlicher seinen Patienten, Kunden etc. neben der reinen Online-Terminbuchung auch eine Terminerinnerungsfunktion an, so benötigt er hierfür nach Ansicht der Berliner Datenschutzaufsichtsbehörde eine gesonderte Einwilligung der betroffenen Person (Link).

Fazit

Die Möglichkeit, Termine online zu buchen, kann hilfreich sein – das für sowohl den Verantwortlichen als auch für dessen Kunden, Patienten o. Ä. Dabei ist es aber wichtig, die Pflichten gemäß der DSGVO nicht zu vernachlässigen. Zum einen helfen die Datenschutzaufsichtsbehörden: So beantwortet beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit zu dieser Thematik Fragen auf ihrer Webseite (Link). Zum anderen unterstützen und beraten wir Sie auch gern dabei. Kontaktieren Sie uns für ein kostenfreies Erstgespräch.

 

Mehr zu diesem Thema finden Sie auch im Beitrag von Rechtsanwalt David Seiler mit Fokus auf Doctolib GmbH.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.