Datenschutz bei Online-Terminbuchungs-Tools für Heilberufe und Arztpraxen

Kostenloses Erstgespräch

Leistungen

Datenschutzberatung

externer Datenschutzbeauftragter (DSB)

Informationssicherheit

IT-Recht

Online-Terminbuchung Datenschutz Arztpraxis

DSK konkretisiert Anforderungen an den Datenschutz

Die Datenschutzkonferenz (DSK) hat in ihrem Beschluss vom 16. Juni 2025 konkrete Datenschutz-Vorgaben für den rechtskonformen Einsatz von Online-Terminbuchungs-Tools durch Heilberufpraxen formuliert – etwa in einer Arztpraxis oder Physiotherapie- oder Psychotherapiepraxis. Hintergrund ist die zunehmende Auslagerung der Online-Terminvergabe an externe Anbieter – ein Vorgang, der regelmäßig mit der Verarbeitung sensibler personenbezogener Daten verbunden ist. Das Positionspapier schafft Klarheit darüber, wann Anbieter von Online-Terminbuchungen als Auftragsverarbeiter und wann als eigenständig Verantwortliche handeln und wie der Datenschutz dabei eingehalten werden kann.

Anbieterbeziehungen

Viele Praxen binden Buchungstools über ihre Webseiten oder Apps ein. Die DSK unterscheidet zwei Grundmodelle:

  • Auftragsverarbeitung: Wird das Terminverwaltungssystem ausschließlich im Auftrag der Praxis genutzt – etwa durch eine technisch eingebundene Lösung ohne eigenes Nutzerkonto – liegt eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. In diesem Fall bleibt die Praxis allein verantwortlich.
  • eigenständige Verantwortung: Anders verhält es sich, wenn das Unternehmen eigene Patientenprofile oder Konten anbietet und dadurch selbstständig Daten erhebt oder verarbeitet. Dann agiert es als eigenständig Verantwortlicher mit entsprechenden Pflichten. In bestimmten Konstellationen kann es auch zu einer gemeinsamen Verantwortung von Praxis und Anbieter kommen.

Zentrale Voraussetzung für beide Modelle ist Transparenz: Patientinnen und Patienten müssen klar erkennen können, ob sie mit der Praxis oder mit einem externen Anbieter interagieren. Dies betrifft sowohl die Buchungsoberfläche als auch die datenschutzrechtliche Information nach Art. 13 DSGVO.

Auswirkungen auf die Arztpraxis

Für die Praxisleitung ergibt sich die Pflicht, das jeweilige Verhältnis zum Anbieter genau zu prüfen. Wird das System im Rahmen einer Auftragsverarbeitung eingesetzt, ist ein Vertrag gemäß Art. 28 DSGVO zwingend erforderlich. Bei Anbietern mit eigenem Nutzerkonto und eigenständiger Datenverarbeitung ist zusätzlich die datenschutzrechtliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO notwendig – sofern Gesundheitsdaten betroffen sind. Bei gemeinsamen Verantwortlichen im Sinne von Art. 26 DSGVO ist zudem eine entsprechende Joint-Controller-Vereinbarung.

Datensparsamkeit und Transparenz

Besonders betont die DSK die Pflicht zur Datensparsamkeit. Angaben zu Beschwerden, Diagnosen oder sonstigen Gesundheitsdaten dürfen nur dann abgefragt werden, wenn sie für die Auswahl eines passenden Termins unbedingt erforderlich sind. Andernfalls ist eine ausdrückliche, informierte und freiwillige Einwilligung notwendig. Pflichtfelder für solche Informationen sind unzulässig.

Terminerinnerung nur mit Einwilligung

Auch die Nutzung von Telefonnummern oder E-Mail-Adressen zur Terminerinnerung ist nur mit gesonderter Einwilligung zulässig. Eine automatisierte Nutzung ohne vorherige Zustimmung – etwa weil die Daten ohnehin angegeben wurden – ist unzulässig. Zudem darf eine solche Nutzung ausschließlich der Terminerinnerung dienen.

Die Gestaltung der Buchungsoberfläche muss zudem erkennen lassen, ob eine Weiterleitung zu einem externen Anbieter erfolgt. Eine nahtlose Einbettung, bei der dies für Patientinnen und Patienten nicht erkennbar ist, ist datenschutzrechtlich problematisch.

Datenschutz Anforderungen an Online-Terminbuchungs-Tools

Ein bereits 2023 veröffentlichtes Gutachten der gemeinnützigen Initiative „Gesundheitsdatenschutz“ analysierte verschiedene Online-Terminvergabetools und kam zu kritischen Ergebnissen. Es wurde bemängelt, dass viele Dienste nicht hinreichend transparent über die Verantwortlichkeit aufklären und teilweise auf Werbe- und Tracking-Technologien zurückgreifen, obwohl sensible Gesundheitsdaten verarbeitet werden. Das Gutachten empfiehlt, bei der Anbieterwahl konsequent die DSGVO sowie ärztliche und psychotherapeutische Verschwiegenheitspflichten zu beachten.

Online-Terminbuchung Anbieter

Am Markt haben sich drei Anbieter besonders etabliert: Doctolib, Jameda und Dr-Flex. Während Doctolib mit einem umfangreichen digitalen Gesundheitsangebot auftritt, kombiniert Jameda die Terminbuchung mit einem Bewertungsportal. Dr-Flex wiederum bietet vor allem technisch integrierbare Lösungen für Praxiswebseiten. In allen Fällen ist zu klären, ob es sich um eine Auftragsverarbeitung oder eine gemeinsame bzw. eigenständige Verantwortlichkeit handelt.

Eine Sonderrolle nimmt der Terminservice der Kassenärztlichen Vereinigungen (116117) ein. Dieser basiert auf § 75 Abs. 1a SGB V und dient der gesetzlich vorgesehenen Vermittlung von Terminen, etwa bei Haus- oder Fachärztinnen und -ärzten sowie Psychotherapeutinnen und Psychotherapeuten. Die Datenverarbeitung erfolgt durch die jeweils zuständige Kassenärztliche Vereinigung – ohne Werbung, Tracking oder Drittvermarktung. Eine Einbindung wie bei privatwirtschaftlichen Buchungstools ist nicht vorgesehen. Die Vermittlung basiert auf bereitgestellten Kapazitäten, nicht auf individuelle Terminangebote.

Technische und organisatorische Maßnahmen

Werden personenbezogene Daten über Online-Terminverwaltungssysteme verarbeitet, müssen Anbieter technische und organisatorische Maßnahmen nach Art. 32 DSGVO umsetzen – etwa Verschlüsselung, Zugriffskontrollen und sichere Authentifizierungsverfahren. Kommt es zu einer umfangreichen Verarbeitung von Gesundheitsdaten, ist eine Datenschutz-Folgenabschätzung erforderlich.

Schweigepflicht

Auch berufsrechtlich bestehen klare Vorgaben: Die ärztliche und psychotherapeutische Schweigepflicht nach § 203 StGB verbietet eine unbefugte Kenntnisnahme von Patientendaten. Terminverwaltungsunternehmen dürfen Gesundheitsdaten nur dann verarbeiten, wenn die betroffene Person ausdrücklich zugestimmt hat. Außerdem müssen sämtliche Mitarbeitende zur Vertraulichkeit verpflichtet werden.

C5-Testat?

Besonders zu beachten: Nach § 393 SGB V müssen Anbieter von Cloud-basierten Systemen für die Verarbeitung von Gesundheits- oder Sozialdaten ab Juli 2024 ein C5-Testat (Typ 1), ab Juli 2025 ein C5-Testat (Typ 2) vorlegen.

Fazit

Der Beschluss der Datenschutzkonferenz schafft wichtige Orientierung für den rechtskonformen Umgang mit digitalen Terminbuchungslösungen. Praxen müssen die Rollen der eingebundenen Anbieter rechtlich einordnen, datenschutzkonforme Informationen bereitstellen und Einwilligungen korrekt einholen. Dabei gilt: Gesundheitsdaten dürfen nur bei rechtlicher Grundlage oder ausdrücklicher Zustimmung verarbeitet werden.

Für Anbieter digitaler Terminverwaltungssysteme gelten – insbesondere bei eigenständiger Datenverarbeitung – umfangreiche Pflichten in Bezug auf Transparenz, Datensicherheit und Zweckbindung. Nur wer diese Anforderungen erfüllt, kann zu einer vertrauenswürdigen Digitalisierung des Gesundheitswesens beitragen.

Wir unterstützen sowohl Heilberufsträgerinnen und Heilberufsträger als auch Anbieter von Terminverwaltungstools als Rechtsanwälte und externe Datenschutzbeauftragte dabei, die Terminvergabe datenschutzkonform und rechtssicher zu gestalten – von der Auswahl geeigneter Systeme über die Prüfung der Anbieterrollen bis hin zur Gestaltung von Einwilligungen, AV-Verträgen und Informationspflichten.

Quellen:

,
Kostenloses Erstgespräch
de_DEDeutsch
en_USEnglish de_DEDeutsch