Online-Terminvereinbarung beim Arzt? Ja – aber bitte vertraulich!
Viele Patienten erhalten nach einem Telefonat mit einer Praxis per Mail oder SMS eine Erinnerung für einen Arzttermin. Wir beantworten häufige Fragen dazu.
(Bild: Shift Drive/Shutterstock.com)
Es ist oft schwierig, Arzttermine zu vereinbaren: Telefonverbindungen sind entweder besetzt oder man steckt in einer Warteschleife. Für Arztpraxen ist die Terminvergabe personalintensiv und aufwendig. Angesichts der Digitalisierung der Arztpraxen ist es daher naheliegend, für die Terminvermittlung online das Internet zu nutzen. Inzwischen bieten fast alle Arztpraxen, viele Krankenhäuser und sonstige Heilberufe derartige Online-Terminvermittlungen an.
So praktisch dies ist – viele Menschen schrecken davor zurück, weil sie dem Internet und den digitalen Angeboten nicht trauen: Wo landen meine Gesundheitsdaten? Bleibt das Patientengeheimnis gewahrt? Kann ich dem Online-Dienst vertrauen? Was kann ich selbst tun, um die Kontrolle über meine Gesundheitsdaten zu wahren?
Die Befürchtungen sind oft berechtigt: So sind Patienten irritiert, wenn sie zum Beispiel persönlich oder telefonisch einen Termin vereinbart haben und dann per Mail oder SMS von einem für sie unbekannten Anbieter eine Terminerinnerung oder -bestätigung erhalten. Medien berichten immer wieder, dass Cyberkriminelle sich über Terminportale den Zugang zu massenhaft Patientendaten beschafft haben. Auch wird berichtet, dass Ärzte angeblich anonymisiert ihre Patientendaten gegen Geld oder Kostenvergünstigung für die Forschung oder gar für das Training von "Künstlicher Intelligenz" zur Verfügung stellen. Besonders frustriert sind manche Patienten, wenn ein Arzt Termine nur noch online vergibt und hierbei ausschließlich auf einen externen Dienstleister verweist.
Wer seinem Arzt hierzu Fragen stellt, stößt regelmäßig auf Unverständnis oder Unwissenheit. Heilberufler sind Medizinexperten. Wie ihre Informationstechnik funktioniert, wissen sie oft nicht, selbst bei der Organisation ihrer Praxis verlassen sie sich regelmäßig auf externe Unterstützung. Unternehmen nutzen diese Unkenntnis aus, indem sie dem Arzt ein kostengünstiges Sorglos-Paket anbieten und behaupten, dass alle Regeln des Datenschutzes beachtet würden. Bei genauerem Hinsehen verstößt die Praxis dann aber doch gegen den Datenschutz und gegen ärztliches Standesrecht.
Im Folgenden werden einige immer wieder von Patienten und Ärzten gestellte Fragen beantwortet. Die für Ärzte geltenden Antworten können übertragen werden auf Kliniken oder sonstige Heilberufe.
Ist eine Online-Terminverwaltung überhaupt zulässig?
Grundsätzlich ist eine Onlinevermittlung von Arztterminen erlaubt und zugleich eine Entlastung sowohl für den Patienten als auch für den Arzt. Voraussetzung ist aber, dass hierbei die ärztliche Vertraulichkeit – das Patientengeheimnis – gewahrt bleibt. Danach sind Daten über eine medizinische Behandlung besonders zu schützen; dies gilt nicht nur für Angaben zu Diagnosen und Therapien, sondern schon für Informationen über den behandelnden Arzt oder über einen Arzttermin.
Woran erkenne ich, dass eine Terminvereinbarung datenschutzkonform ist?
Bisher gibt es leider keine unabhängige und transparente Zertifizierung von Termin-Tools. Wirbt ein Anbieter mit Datenschutzzertifikaten, so verbergen sich dahinter oft Mogelpackungen. So beschränkt sich z.B. das beworbene Zertifikat nur auf einzelne Bauteile oder spezielle Dienste. Zumeist sind die Zertifikate mangels Transparenz nicht überprüfbar. Auf Webseiten findet sich oft die Behauptung, ein Dienst sei konform mit der Datenschutz-Grundverordnung (DSGVO). Derartige Behauptungen erweisen sich bei genauerer Prüfung in vielen Fällen als falsch.
Arzt-Webseite oder eigenständiger Terminanbieter?
Ist ein Online-Termin-Tool in die Webseite eines Arztes integriert und können dort die Terminanfragen direkt eingegeben werden, ohne dass auf einen weiteren Anbieter verwiesen wird, so wird der Web-Dienstleister für den Arzt als Auftragsverarbeiter tätig und unterliegt als Mitwirkender dem Patientengeheimnis. Er darf dann Daten, von denen er Kenntnis erlangt, nicht für eigene Zwecke nutzen. Verweist dagegen eine Arzt-Webseite auf einen eigenständigen externen Online-Anbieter, wie dies zum Beispiel bei Doctolib der Fall ist, bei dem der Patient ein eigenes Konto einrichten muss. Dann unterfallen die dort anfallenden Daten nicht dem Patientengeheimnis und sind nur eingeschränkt geschützt.
Ein Arzt bietet eine Terminvermittlung nur über einen externen Terminanbieter an und ich möchte meine Daten bestmöglich schützen: Was kann ich tun?
Es ist standesrechtlich fraglich, ob es zulässig ist, dass ein Arzt Terminanfragen nur noch digital annimmt. In solchen Fällen kann man sich bei der lokalen Ärztekammer beschweren. Gibt es keine andere Alternative für eine Terminvereinbarung als einen eigenständigen externen Anbieter und ist man auf die Behandlung dringend angewiesen, dann kann man bei dem Anbieter ein Konto einrichten und den Termin vereinbaren. Nachdem der Termin vorbei ist, kann man das Konto wieder löschen, ohne dass sich daraus Nachteile ergeben. Dies hat zur Folge, dass der Anbieter die Daten wieder löschen muss.
GenĂĽgt ein Aushang im Wartezimmer, wenn ein Arzt einen externen Termindienst in Anspruch nimmt?
Nein, es bedarf einer persönlichen, expliziten Einwilligung. Diese setzt voraus, dass der Patient zuvor über die Identität des Dienstleisters und den Zweck seiner Einbeziehung persönlich informiert wurde. Die Einwilligung muss ausdrücklich erfolgen. Sie muss zudem freiwillig sein. Davon kann nicht ausgegangen werden, wenn es keine Alternative zur Einwilligung gibt. Nutzt jemand einen externen Termindienst aus eigener Initiative, so kann hierin eine Einwilligung gesehen werden.
Ist eine digitale Terminbestätigung zulässig, wenn ich analog einen Termin vereinbart habe?
Ein digitaler Austausch mit einem Arzt, zum Beispiel per E-Mail oder SMS ist zulässig, wenn der Patient dem ausdrücklich zugestimmt hat. Eine digitale Terminbestätigung bei einer nicht-digitalen Terminvereinbarung ist also nur zulässig, wenn der Patient hierfür zuvor seine Einwilligung erteilt hat.
Habe ich einen Auskunftsanspruch ĂĽber meine Daten?
Ja, Artikel 15 DSGVO verpflichtet verantwortliche Stellen, über sämtliche dort gespeicherten Daten Auskunft zu erteilen. Ein Antrag hierfür bedarf keiner besonderen Form. Auch Kopien von Dokumenten müssen herausgegeben werden. Ist ein Unternehmen aber ausschließlich als Auftragsverarbeiter eines Arztes tätig, so ist nur der Arzt auskunftspflichtig.
Wann sind meine Termindaten zu löschen?
Terminvereinbarungen sind nicht besonders dokumentationspflichtig. Sie sind zu löschen, nachdem sie nicht mehr erforderlich sind. Dies ist grundsätzlich nach Ablauf des Termins der Fall.
Was kann ich tun, wenn ich Unregelmäßigkeiten feststelle?
Für Verstöße gegen den Datenschutz ist die Datenschutzbehörde des jeweiligen Bundeslands zuständig, in dem der Arzt oder der Dienstleister seinen Sitz hat. Eine Liste mit den Adressen ist auf der Seite der Bundesbeauftragten für Datenschutz und Informationsfreiheit zu finden. Möglich ist bei einer Beschwerde gegen einen Arzt oder ein Krankenhaus auch eine Anrufung der zuständigen Ärztekammer.
Immer wieder wird behauptet, das Angebot des weit verbreiteten Terminvermittlers Doctolib sei unzulässig. Weshalb wird es seit Jahren von immer mehr Ärzten ohne Beanstandungen genutzt?
Seit ihrem Jahresbericht 2019 kritisiert die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) regelmäßig das Terminverwaltungsangebot von Doctolib. Dort gingen und gehen sehr viele Beschwerden ein, die aber bisher nicht abschließend behandelt wurden. Der Grund: Erst Anfang 2025 haben sich offenbar die BlnBDI und die französische Datenschutzaufsicht (Commission Nationale de l’Informatique et des Libertés – CNIL) darauf verständigt, dass für Sanktionen gegen Doctolib nicht die BlnBDI, sondern die CNIL zuständig sei. Doctolib in Berlin ist Tochter eines französischen Konzerns. Wie die CNIL die Beschwerden weiter behandeln wird, ist unklar. Weshalb die Ärztekammern und die Staatsanwaltschaften bisher untätig geblieben sind, ist nicht bekannt.
Eine ausführliche juristische Praxishilfe "Umgang mit Online-Terminmanagementsystemen" von Datenschutz-Fachverbänden (GMDS/BvD/DVD/GDD/FED) finden Sie hier.
(mack)