Terminverwaltung wird in medizinischen Praxen zunehmend über externe Dienstleister im Internet abgewickelt. Solche Angebote erleichtern die Organisation, bergen jedoch zugleich erhebliche datenschutzrechtliche Risiken, insbesondere wenn Patientendaten ausgelagert werden. In diesem Beitrag erfahren Sie, worauf Sie achten müssen und wie Sie die Einbindung datenschutzgerecht gestalten.
Warum Terminverwaltungs-Dienstleister datenschutzrechtlich relevant sind- Bei externen Dienstleistern zur Terminverwaltung wird regelmäßig Patienten- und Gesundheitsdaten verarbeitet – sei es bei der Online-Terminvereinbarung oder Terminerinnerungen.
- Es gilt zu prüfen, ob diese Datenverarbeitung als Auftragsverarbeitung im Sinne von Artikel 28 DSGVO oder als eigenständige Verantwortlichkeit einzustufen ist.
- Das Risiko liegt darin, dass zu viele oder unzureichend geschützte Daten an Dritte gehen oder der Dienstleister nicht die erforderlichen Garantien bietet.
- Wenn der Dienstleister ausschließlich Daten im Auftrag der Praxis verarbeitet, liegt eine Auftragsverarbeitung nach Artikel 28 DSGVO vor – eine gesonderte Einwilligung der Patientinnen und Patienten ist nicht zwingend erforderlich.
- Allerdings: Eine Übermittlung von allen Daten aller jemals behandelten Personen ohne konkrete Erforderlichkeit ist unzulässig. Daten dürfen nur übermittelt werden, wenn sie für den Aufgabenbereich der Terminverwaltung wirklich erforderlich sind.
- Werden über das reine Terminmanagement hinausgehend Gesundheitsdaten oder andere sensible Daten verarbeitet – etwa wenn der Dienstleister selbst ein Nutzerkonto bereitstellt – ist gegebenenfalls eine ausdrückliche Einwilligung erforderlich.
- Es muss ein schriftlicher Vertrag mit dem Dienstleister bestehen, der Umfang, Zweck, Dauer und Art der Datenverarbeitung sowie die technischen und organisatorischen Maßnahmen genau regelt.
- Der Dienstleister muss ausreichende Garantien bieten, dass die Verarbeitung im Einklang mit der DSGVO erfolgt – z. B. durch Verschlüsselung, Zugriffskontrollen, Löschfristen.
- Auch bei Auftragsverarbeitung muss die Praxis die betroffenen Personen darüber informieren, dass ein externer Dienstleister Daten verarbeitet und welche Kategorien von Daten verarbeitet werden.
- Dies sollte in der Datenschutzerklärung oder bei der Terminvereinbarung transparent dargestellt werden.
- Terminerinnerungen (z. B. SMS oder E-Mail) dürfen nur versendet werden, wenn hierfür eine aktive Einwilligung der Patientin oder des Patienten vorliegt und Kanal und Zweck eindeutig definiert sind.
- Löschung von Kalendereinträgen: Sobald ein Termin verstrichen ist, sind die darin enthaltenen Patientendaten zu löschen – sowohl bei der Praxis als auch beim Dienstleister, sofern kein weiterer rechtlicher Grund zur Speicherung besteht.
- Wählen Sie Dienstleister sorgfältig: Achten Sie auf Datenschutzzertifikate, Hosting in der EU und klare Vertragsbedingungen.
- Prüfen Sie regelmäßig Ihre Prozesse zur Auswahl, Überwachung und Kündigung von Dienstleistern.
- Überarbeiten Sie Ihre Datenschutzerklärung, sodass sie die Nutzung eines externen Terminverwaltungsdienstes angemessen erläutert.
- Schulen Sie Mitarbeitende darauf, nicht mehr Daten als nötig an Dienstleister weiterzugeben und bei Auswahl von Feldern im Tool zurückhaltend zu sein.
- Dokumentieren Sie Ihre Entscheidungen – z. B. warum Daten erforderlich sind, wie Vertragspartner ausgewählt wurden und welche Maßnahmen vereinbart wurden.
Die Einbindung externer Dienstleister zur Terminverwaltung kann Praxen erhebliche Erleichterung bringen – vorausgesetzt, sie wird datenschutzkonform umgesetzt. Entscheidend sind: die passende rechtliche Einordnung, ein sorgfältig ausgestalteter Vertrag, klare Informationspflichten und eine genaue Kontrolle der Datenweitergabe. Mit diesen Schritten schützen Sie sowohl die Rechte der Patientinnen und Patienten als auch Ihre eigene Praxis vor datenrechtlichen Risiken.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz