Terminvergabelösungen für die Homepage von Arztpraxen – datenschutzrechtliche Zulässigkeit
Verschiedene technische Ausgestaltungen von Terminvergabelösungen
Digitale Möglichkeiten, um die Vergabe von Terminen in Arztpraxen zu vereinfachen, sind vielfältig vorhanden. Je nach Lösungsansatz können sich unterschiedliche rechtliche Probleme ergeben. Zu unterscheiden sind dabei insbesondere die folgenden drei Konstellationen:
Die Terminvergabesoftware läuft lokal auf dem Webserver der Arztpraxis.
Die Terminvergabesoftware wird von einem Drittserver in die eigene Homepage eingebettet, z. B. über ein Inlineframe / IFrame.
Die Terminvergabesoftware ist über ein externes Portal umgesetzt, bei dem sich Patienten selbst ein Nutzerkonto anlegen müssen.
Was sind die datenschutzrechtlich kritischen Punkte?
Die Vergabe eines Termins in einer Arztpraxis bedeutet in aller Regel das Vorliegen von sog. besonderen Kategorien personenbezogener Daten in Form von Gesundheitsdaten, also sensiblen Daten. Denn eine Person, die einen Termin in einer Arztpraxis vereinbart hat, wird in aller Regel in der Arztpraxis Patient sein. Damit liegen personenbezogene Gesundheitsdaten vor. Aus der Art der Arztpraxis kann ggf. weiter auf die Art der Erkrankung oder des Anliegens geschlossen werden. Selbst wenn in Einzelfällen Termine für Dritte vereinbart werden, z. B. für die eigenen Kinder, so wird in aller Regel dennoch ein erkennbarer Personenbezug aufgrund der familiären Verbindung gegeben sein.
Es liegen somit personenbezogene Daten in Form sogar von Gesundheitsdaten vor. Für die Verarbeitung dieser Daten bedarf es einer Rechtsgrundlage und die Betroffenen müssen ausreichend informiert sein. Daneben ist – getrennt von der DSGVO – das ärztliche Berufsgeheimnis gemäß § 203 StGB zu beachten.Einige Anbieter von Terminvergabelösungen sind in der letzten Zeit unter datenschutzrechtlichen Aspekten in die Kritik geraten, nachdem sie angekündigt haben, Daten aus den Terminvergaben für das Training von KI-Systemen verwenden zu wollen.
Welche Hilfestellungen bestehen für die datenschutzrechtliche Ausgestaltung?
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 16.06.2025 einen Beschluss gefasst, mit dem einige datenschutzrechtliche Aspekte im Zusammenhang mit Terminvergabelösungen, die durch Arztpraxen genutzt werden, klargestellt werden. Diese werden im Folgenden zusammengefasst:
Ist die Auslagerung der Terminvergabe durch Arztpraxen überhaupt zulässig?
Die Auslagerung der Terminvergabe auf externe Unternehmen ist auch durch Arztpraxen und auch bei Betroffenheit von Gesundheitsdaten datenschutzrechtlich zulässig. In der Regel wird es sich anbieten, eine Auftragsverarbeitung gemäß Art. 28 DSGVO mit dem externen Anbieter – soweit ein solcher einbezogen wird – abzuschließen. Eine Einwilligung von Patienten zur Einbindung des externen Dienstes ist dann nicht erforderlich.
Über die Einbindung des externen Dienstleisters ist jedoch zu informieren. Dies kann beispielsweise über die Datenschutzerklärung auf der Webseite erfolgen.
Neben den datenschutzrechtlichen Aspekten gelten weitere rechtliche Anforderungen. So ist z. B. zu beachten, dass der Einsatz von Auftragsverarbeitern im Gesundheitswesen zum Teil besonders reguliert ist. Im Anwendungsbereich von § 393 SGB V etwa darf der Einsatz von Cloud-Computing-Diensten im Rahmen einer Auftragsverarbeitung nur erfolgen, wenn der Anbieter ein C5-Testat vorlegen kann (oder ein gleichwertiges Testat oder Zertifikat nach der C5-Gleichwertigkeitsverordnung).
Darf die digitale Terminvergabe die einzige Möglichkeit zur Terminvereinbarung sein?
Nach Auffassung der DSK ist es unzulässig, wenn eine Terminvereinbarung mit der Arztpraxis ausschließlich über digitale Terminvergabelösungen möglich ist. Es müsse stets die Möglichkeit einer alternativen Terminvereinbarung bestehen.
Die Auffassung der DSK mag zu hinterfragen sein. Denn der über die digitale Terminvergabe gewünschte Entlastungseffekt kann unterlaufen werden, wenn beispielsweise das Telefonaufkommen am Empfang zur Terminvergabe weiterhin hoch bleibt. Es sind jedoch „vermittelnde“ Lösungen denkbar, um das Problem zu lösen, z. B. eine automatisierte Telefonansage mit Verweis auf das digitale Terminvergabesystemen sowie der alternativen Möglichkeit, sich zu einem menschlichen Ansprechpartner durchstellen zu lassen.
Welche weiteren Anforderungen zur datenschutzrechtlichen Ausgestaltung bestehen?
Die konkrete Art und Weise der datenschutzrechtlichen Ausgestaltung ist abhängig von der Art der Terminvergabelösung (siehe die Darstellung oben). Generell sind die folgenden Punkte zu beachten:
Es ist strikt darauf zu achten, dass nur solche Daten verarbeitet werden, die für den Zweck der Terminvergabe erforderlich sind. Darüber hinausgehende Datenverarbeitungen bedürfen der Einwilligung. „Erforderlich“ bedeutet in diesem Zusammenhang, dass die Daten für die Terminvergabe unbedingt notwendig sein müssen. Hierzu können etwa zählen: Name, Geburtsdatum, behandelnder Arzt, Art des gewünschten Termins und Kontaktmöglichkeit z. B. zur Terminabsage.
Das Terminvergabesystemen muss derart ausgestaltet sein, dass dem externen Anbieter nicht vorab zur Terminanfrage Daten zu Patienten zugesendet werden. Unzulässig soll es nach Auffassung der DSK z. B. sein, dem externen Dienstleister vorab die Stammdaten sämtlicher Patienten der Arztpraxis zukommen zu lassen.
Je nachdem, welche Funktionen von der Terminvergabelösung geboten werden, wird sich regelmäßig die Frage ergeben, welche Daten in dem vorstehenden Sinne tatsächlich „erforderlich“ sind. Soweit beispielsweise eine Terminvergabelösung die Funktion vorsieht, dass lediglich Bestandspatienten Termine vereinbaren können, könnte es erforderlich sein, vorab die Stammdaten dieser Patienten an den externen Dienstleister zu übermitteln. Denn dann kann direkt festgestellt werden, ob ein Bestandspatient den Termin anfragt. Dennoch bleibt auch hinsichtlich solcher Funktionen zu fragen, ob nicht alternative technische Ausgestaltungsmöglichkeiten bestehen. Insbesondere kann überlegt werden, ob ein Hinweis gegenüber dem Patienten ausreichend sein kann, dass eine Terminvergabe lediglich Bestandspatienten eröffnet wird. Sollte sich ein hoher Grad an Patienten aufrichtig verhalten, könnte die Vorabübermittlung von Stammdaten der Patienten nicht erforderlich sein. Dies soll veranschaulichen, dass hinsichtlich der konkreten Funktionen der Terminvergabelösung sowie hinsichtlich der konkreten Gegebenheiten und Anforderungen der Arztpraxis jeweils eine gesonderte Beurteilung folgen kann und muss.
Der externen Dienstleister darf die Daten nicht für eigene Zwecke verwenden, sondern lediglich streng weisungsgebunden im Rahmen der abgeschlossenen Auftragsverarbeitung – soweit eine solche abgeschlossen ist. Dies kann z. B. Anbieter von Terminvergabelösungen betreffen, die zu eigenen Zwecken ein KI-Training mit Patientendaten durchführen, obwohl sie lediglich weisungsgebunden im Rahmen einer Auftragsverarbeitung tätig werden.
Soweit die externen Dienstleister ihren Sitz außerhalb der EU haben oder Leistungen von außerhalb der EU erbringen oder Unterauftragnehmer außerhalb der EU einsetzen, bedarf dieser sog. Drittstaatentransfer der gesonderten datenschutzrechtlichen Bewertung und Ausgestaltung. Insbesondere ist sicherzustellen, dass in dem jeweiligen Ausland ein angemessenes Datenschutzniveau besteht oder es sind – soweit möglich – gesonderten datenschutzrechtlichen Bewertung und Ausgestaltung. Insbesondere ist sicherzustellen, dass in dem jeweiligen Ausland ein angemessenes Datenschutzniveau besteht oder es sind – soweit möglich – gesonderte Absicherungsmaßnahmen zum Schutz der Daten zu treffen. Dies gilt auch für den Fall, dass an den externen Dienstleister nicht per se Daten gesendet werden, sondern dass der Dienstleister „lediglich“ im Rahmen von Wartungsarbeiten potentiell Zugang zu personenbezogenen Daten erhält.
Müssen die Termine aus dem Terminvergabesystemen gelöscht werden?
Ja, die Termine aus dem Terminvergabesystem müssen zeitnah gelöscht werden. Soweit die Termine als Teil der Behandlungsdokumentation zu betrachten sind, sind sie in diese Dokumentation zu überführen, jedoch ansonsten aus dem Terminvergabesystem zu entfernen. Hier soll eine eher kurze Löschfrist maßgeblich sein.
Dürfen Terminerinnerungen z. B. per E-Mail oder per SMS gesendet werden?
Nach Auffassung der DSK ist es für die Wahrnehmung eines konkreten Termins nicht erforderlich, an den Termin zu erinnern. Mit Blick darauf, dass mitunter eine nicht unerhebliche Anzahl an Patienten den Termin vergisst und so den reibungslosen Ablauf in der Arztpraxis erschwert, mag diese Auffassung der DSK zu hinterfragen sein.
Die Auffassung der DSK zugrunde gelegt, bedürfen Terminerinnerungen einer Einwilligung. Die Erteilung der Einwilligung muss durch die Arztpraxis nachgewiesen werden können. Dies kann den Sinn und Zweck einer einfachen Terminerinnerung mitunter erheblich beeinträchtigen. Zumindest ist es erforderlich, dass bereits im Rahmen der Terminvereinbarung oder bei einem sonstigen Kontakt die Einwilligung in ausreichendem Maße abgefragt wird. Die Einwilligung muss dabei eine Information über das gewählte Kommunikationsmedium und dessen Risiken umfassen.
Muss die Datenschutzerklärung ergänzt werden?
Ja, die Datenschutzerklärung, z. B. auf der Homepage, wenn über diese die Terminvergabe erfolgt, muss ergänzt werden. Insbesondere ist anzugeben, welche Rechtsgrundlage für die Datenverarbeitung zum Zwecke der Terminvergabe besteht, sowie ggf. welche Dritten für die Terminvergabe als externe Dienstleister einbezogen werden.
Wie verhält es sich bei Terminvergabelösungen, bei denen ein Nutzerkonto anzulegen ist?
Bei Terminvergabelösungen, bei denen ein Nutzerkonto anzulegen ist, kann die datenschuldrechtliche Situation insgesamt komplexer ausfallen. In dieser Situation wird der Patient einen gesonderten Vertrag mit dem Anbieter der Terminvergabelösung abschließen. Der Anbieter wird dann zugleich der datenschutzrechtlich Verantwortliche sein, der seinerseits über verschiedene datenschutzrechtliche Aspekte zu informieren hat und für das Bestehen einer ausreichenden Rechtsgrundlage Sorge zu tragen hat. Dieser Anbieter kann sich dabei möglicherweise nicht auf die ansonsten für Arztpraxen denkbaren Rechtsgrundlagen der DSGVO berufen, da er selbst in aller Regel kein Berufsgeheimnisträger (also ein Arzt) sein wird.
Dennoch setzt auch die Arztpraxis diesen externen Anbieter und dessen Terminvergabelösung ein und hat gewisse Teile des Ablaufs selbst datenschutzrechtlich auszugestalten. Die Abgrenzung der beiderseitigen Verantwortungsbereiche bedarf dabei einer besonderen Betrachtung. Insbesondere ist zu klären, ob eine sog. gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO besteht.
Dies verdeutlicht, dass bereits bei der Auswahl der Terminvergabelösung die jeweiligen Besonderheiten des Systems und die organisatorischen Folgen zu betrachten sind. Für unterschiedliche Arztpraxen werden die Bedürfnisse dabei unterschiedlich ausfallen.
Welche Risiken bestehen, unerkannt in die Haftung zu geraten?
Im Rahmen der Umsetzung einer Terminvergabelösung bestehen besondere Risiken aufgrund von unerkannt eingebundenen oder letztlich nicht durchdachten Techniken, über die weitergehende Datenverarbeitungen erfolgen.
So werden auf vielen Internetseiten Techniken eingesetzt, um das Nutzerverhalten auf einer Webseite auszuwerten – es findet also ein Tracking statt. Dabei werden auf mehr oder weniger umfangreiche Art und Weise Daten auf dem eigenen Server erhoben und oftmals an Dritte weitergeleitet. Regelmäßig sind solche Trackingmechanismen in der eingesetzten Software als „Standard“ bereits enthalten und sie müssen aktiv deaktiviert werden. Wird ein solches Tracking unerkannt durchgeführt, kann ein erheblicher Datenschutzverstoß im Bereich der Gesundheitsdatenverarbeitung entstehen.
Dasselbe kann gelten, wenn Webseitenelemente von Drittservern eingebunden werden. Sollte z. B. die auf der Webseite eingesetzte Schriftart von dem externen Webserver eines Dritten eingebunden werden, erhält dieser Dritte letztlich über die IP-Adresse in aller Regel personenbezogenen Daten.
Bei der technischen Ausgestaltung ist daher besondere Sorgfalt darauf zu legen, welche Datenverarbeitungen tatsächlich erfolgen. Jede dieser Datenverarbeitungen, insbesondere jede Datenübermittlung an Dritte, sollte gesondert bewertet werden.
Zusammenfassung
Der Beschluss der DSK bestätigt, dass die Einbindung von externen Terminvergabelösungen durch Arztpraxen datenschutzrechtlich möglich ist. Je nach Art der technischen Ausgestaltung können dabei mehr oder weniger umfangreiche Ausgestaltungsmaßnahmen erforderlich werden. Besonders erfreulich ist, dass eine Ausgestaltung ohne Einwilligung durch die Patienten möglich ist, wenn die richtige Auswahl und die richtige Ausgestaltung erfolgt.
Bedacht ist auf die richtige technische und rechtliche Ausgestaltung zu legen. Dabei sollte der Blick nicht auf den Datenschutz verengt werden, da sich rechtliche Anforderungen auch aus anderen Rechtsbereichen ergeben. So dürfen in bestimmten Bereichen nur Dienstleister mit einem C5-Testat eingesetzt werden (oder einem gleichwertigen Testat oder Zertifikat). Auch bei Auslandsübermittlungen und bei der Nutzung von Daten zu eigenen Zwecken durch den Drittanbieter ist Vorsicht geboten.
Wie verhält es sich bei Terminvergabelösungen, bei denen ein Nutzerkonto anzulegen ist?
Bei Terminvergabelösungen, bei denen ein Nutzerkonto anzulegen ist, kann die datenschuldrechtliche Situation insgesamt komplexer ausfallen. In dieser Situation wird der Patient einen gesonderten Vertrag mit dem Anbieter der Terminvergabelösung abschließen. Der Anbieter wird dann zugleich der datenschutzrechtlich Verantwortliche sein, der seinerseits über verschiedene datenschutzrechtliche Aspekte zu informieren hat und für das Bestehen einer ausreichenden Rechtsgrundlage Sorge zu tragen hat. Dieser Anbieter kann sich dabei möglicherweise nicht auf die ansonsten für Arztpraxen denkbaren Rechtsgrundlagen der DSGVO berufen, da er selbst in aller Regel kein Berufsgeheimnisträger (also ein Arzt) sein wird.
Dennoch setzt auch die Arztpraxis diesen externen Anbieter und dessen Terminvergabelösung ein und hat gewisse Teile des Ablaufs selbst datenschutzrechtlich auszugestalten. Die Abgrenzung der beiderseitigen Verantwortungsbereiche bedarf dabei einer besonderen Betrachtung. Insbesondere ist zu klären, ob eine sog. gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO besteht.
Dies verdeutlicht, dass bereits bei der Auswahl der Terminvergabelösung die jeweiligen Besonderheiten des Systems und die organisatorischen Folgen zu betrachten sind. Für unterschiedliche Arztpraxen werden die Bedürfnisse dabei unterschiedlich ausfallen.
Welche Risiken bestehen, unerkannt in die Haftung zu geraten?
Im Rahmen der Umsetzung einer Terminvergabelösung bestehen besondere Risiken aufgrund von unerkannt eingebundenen oder letztlich nicht durchdachten Techniken, über die weitergehende Datenverarbeitungen erfolgen.
So werden auf vielen Internetseiten Techniken eingesetzt, um das Nutzerverhalten auf einer Webseite auszuwerten – es findet also ein Tracking statt. Dabei werden auf mehr oder weniger umfangreiche Art und Weise Daten auf dem eigenen Server erhoben und oftmals an Dritte weitergeleitet. Regelmäßig sind solche Trackingmechanismen in der eingesetzten Software als „Standard“ bereits enthalten und sie müssen aktiv deaktiviert werden. Wird ein solches Tracking unerkannt durchgeführt, kann ein erheblicher Datenschutzverstoß im Bereich der Gesundheitsdatenverarbeitung entstehen.
Dasselbe kann gelten, wenn Webseitenelemente von Drittservern eingebunden werden. Sollte z. B. die auf der Webseite eingesetzte Schriftart von dem externen Webserver eines Dritten eingebunden werden, erhält dieser Dritte letztlich über die IP-Adresse in aller Regel personenbezogenen Daten.
Bei der technischen Ausgestaltung ist daher besondere Sorgfalt darauf zu legen, welche Datenverarbeitungen tatsächlich erfolgen. Jede dieser Datenverarbeitungen, insbesondere jede Datenübermittlung an Dritte, sollte gesondert bewertet werden.
Zusammenfassung
Der Beschluss der DSK bestätigt, dass die Einbindung von externen Terminvergabelösungen durch Arztpraxen datenschutzrechtlich möglich ist. Je nach Art der technischen Ausgestaltung können dabei mehr oder weniger umfangreiche Ausgestaltungsmaßnahmen erforderlich werden. Besonders erfreulich ist, dass eine Ausgestaltung ohne Einwilligung durch die Patienten möglich ist, wenn die richtige Auswahl und die richtige Ausgestaltung erfolgt.
Bedacht ist auf die richtige technische und rechtliche Ausgestaltung zu legen. Dabei sollte der Blick nicht auf den Datenschutz verengt werden, da sich rechtliche Anforderungen auch aus anderen Rechtsbereichen ergeben. So dürfen in bestimmten Bereichen nur Dienstleister mit einem C5-Testat eingesetzt werden (oder einem gleichwertigen Testat oder Zertifikat). Auch bei Auslandsübermittlungen und bei der Nutzung von Daten zu eigenen Zwecken durch den Drittanbieter ist Vorsicht geboten.