Online-Terminbuchungen in Arzt-, Physiotherapie- oder Psychotherapiepraxen bieten Komfort, werfen jedoch datenschutzrechtliche Fragen auf. Die Datenschutzkonferenz (DSK) hat dazu am 16. Juni 2025 ein Positionspapier veröffentlicht, das aus Sicht der Aufsichtsbehörden Anforderungen an den datenschutzkonformen Einsatz externer Terminverwaltungsdienste konkretisiert. Im Fokus stehen die datenschutzrechtliche Rollenverteilung, die Zulässigkeit der Datenerhebung und die Absicherung sensibler Gesundheitsdaten nach DSGVO.
Verantwortlichkeit: Auftragsverarbeitung oder eigene Verantwortung?
Wird ein Terminbuchungsdienst ausschließlich im Auftrag der Praxis betrieben (ohne eigenes Patientenkonto), liegt eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Die Praxis bleibt in diesem Fall allein verantwortlich und muss mit dem Dienst einen entsprechenden Vertrag abschließen.
Bietet der Anbieter hingegen eigene Konten oder verarbeitet Daten zu eigenen Zwecken (z. B. Terminerinnerungen oder Profilbildung), wird er eigenständig Verantwortlicher im Sinne der DSGVO. Hier gelten weitergehende Informationspflichten und die Einholung einer datenschutzrechtlich wirksamen Einwilligung – insbesondere bei Gesundheitsdaten.
Datensparsamkeit und Einwilligung
Im Einklang mit dem Prinzip der Datenminimierung dürfen nur solche Angaben erhoben werden, die für die Terminvergabe zwingend erforderlich sind – etwa Name, Kontaktdaten, Versicherungsstatus.
Die Erfassung sensibler Gesundheitsdaten (z. B. Beschwerden oder Diagnosen) ist nur zulässig, wenn sie für die Terminlogik erforderlich ist und eine ausdrückliche, freiwillige und dokumentierte Einwilligung vorliegt. Solche Angaben dürfen nicht als Pflichtfeld ausgestaltet sein.
Nutzung von Kontaktdaten für Terminerinnerungen
Eine Nutzung von E-Mail-Adresse oder Telefonnummer zur automatisierten Terminerinnerung (z. B. per SMS) ist nur mit gesonderter Einwilligung zulässig. Eine bloße Angabe der Kontaktdaten bei der Terminbuchung reicht nicht aus. Die Verarbeitung muss zweckgebunden erfolgen – ausschließlich zur Erinnerung, nicht für Werbung oder Analytik.
Technische Sicherheit und Cloud-Anforderungen
Unabhängig von der Verantwortlichkeit sind Anbieter verpflichtet, geeignete technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO umzusetzen. Dazu zählen unter anderem:
Ende-zu-Ende-Verschlüsselung
Zugriffskontrollen
sichere Authentifizierung
datenschutzfreundliche Voreinstellungen
Werden Gesundheits- oder Sozialdaten über Cloud-Dienste verarbeitet, ist gemäß § 393 SGB V ein C5-Testat der BSI-Cloud-Standards erforderlich:
ab Juli 2024: Typ 1
ab Juli 2025: Typ 2
Sonderfall: Terminservice 116117 der Kassenärztlichen Vereinigungen
Der Terminservice der Kassenärztlichen Vereinigungen (116117) ist gesetzlich geregelt (§ 75 Abs. 1a SGB V) und dient der zentralen Vermittlung von Terminen. Die Datenverarbeitung erfolgt ausschließlich durch die jeweils zuständige KV, ohne Werbezwecke, Tracking oder Profilbildung. Eine Einbindung in Praxiswebseiten ist – anders als bei privatwirtschaftlichen Lösungen – nicht vorgesehen. Der Dienst stellt eine datenschutzkonforme und sichere Ergänzung zur individuellen Online-Terminvergabe dar.
Fazit
Das DSK-Positionspapier vom Juni 2025 konkretisiert aus aufsichtsbehördlicher Sicht, welche Anforderungen für den Einsatz externer Terminverwaltungsdienste in Heilberufspraxen gelten:
Rolle klären: Handelt es sich um eine Auftragsverarbeitung oder eine eigenständige Datenverarbeitung?
Vertrag abschließen: Bei Auftragsverarbeitung ist ein AV-Vertrag zwingend.
Einwilligung einholen: Für Gesundheitsdaten und Terminerinnerungen erforderlich.
Nur notwendige Daten abfragen: Pflicht zur Datensparsamkeit beachten.
Sicherheit gewährleisten: Umsetzung technischer organisatorischer Maßnahmen
Hinweis: Wir unterstützen sowohl Heilberufsträgerinnen und -träger als auch Anbieter von Terminverwaltungslösungen dabei, den Einsatz datenschutzkonform und rechtssicher zu gestalten – von der Anbieterprüfung über AV-Verträge bis zur Gestaltung von Einwilligungs- und Informationsprozessen.
Der Artikel ist erstmalig in ausfühlicherer Fassung erschienen auf Legal Bytes - dataandlaw.com.
www.dataandlaw.com