Online-Terminverwaltung im Gesundheitswesen

Das müssen Praxen beachten

Eine ganze Reihe Praxen haben bereits ihre Terminverwaltung auf Terminverwaltungsunternehmen ausgelagert. Doch was müssen die Praxen in Sachen Datenschutz dabei beachten? 

Es habe 2021 „zahlreiche Anfragen und Beschwerden von Bürger:innen aus dem gesamten Bundesgebiet zur Datenverarbeitung durch ein Unternehmen, das von Arztpraxen häufig zur Terminverwaltung eingesetzt wird“, gegeben, heißt es im kürzlich veröffentlichten Jahresbericht des 

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Und: „Zunehmend wandten sich auch Arztpraxen, Medizinische Versorgungszentren und Krankenhäuser an uns und baten um Hinweise, was sie bei der Inanspruchnahme von Anbieter:innen von Terminverwaltungssoftware beachten müssen.“

Wenn Patienten einen Termin selbst über eine Internetseite einen Termin buchten, sei die Datenverarbeitung offensichtlich. 

Wenn aber Patienten telefonisch oder in der Arztpraxis einen Termin vereinbaren und dieser dann durch das Praxispersonal in ein Online-Kalendersystem eines Terminverwaltungsunternehmens eingetragen werde, erführen die Patienten oft erst durch eine Terminerinnerung per SMS oder Mail davon, dass ihre Daten durch das Terminverwaltungsunternehmen verarbeitet würden, heißt es weiter.

„Nicht nur Patient:innen, sondern auch Arztpraxen haben uns gefragt, ob die Patient:innen in den Einsatz von Terminverwaltungsunternehmen einwilligen müssen.“

Die Antwort: Eine Einwilligung  sei dann nicht erforderlich, wenn Terminverwaltungsunternehmen sogenannte Auftragsverarbeiter der Arztpraxen sind, wenn sie also auf Weisung der Arztpraxis handeln.  

Aber: Die Arztpraxen müssen in ihrer Datenschutzinformation über den Einsatz von Auftragsverarbeitern informieren.

Anders sieht es aus, wenn per E-Mail oder SMS an Termine erinnert wird. Dann müssen die Patienten ausdrücklich zustimmen, dass ihre Telefonnummer oder E-Mail-Adresse für die Terminerinnerung genutzt werden dürfen. 

Soweit die Praxis die Terminerinnerung nicht selbst versendet, sollte sie im Rahmen der Einwilligungserklärung auch darüber informieren, dass personenbezogene Daten für die Terminerinnerung an ein auftragsverarbeitendes Unternehmen weitergegeben werden.

 

Kritik 

Allerdings sehen die Datenschützer einige Anbieter von Online-Terminbuchungen äußerst kritisch. Für Patienten sei es zwar komfortabel, selbst über ein Online-Terminvergabeportal Termine mit Arztpraxen zu vereinbaren. „Bereits bei der Suche nach einem Termin kann es allerdings dazu kommen, dass höchstpersönliche Informationen wie die gesuchten Fachärzt:innen oder Behandlungsmethoden oder sogar Symptome eingegeben werden“, warnt die Berliner Datenschutzbeauftragte – und diese Daten könnten zum Teil auch in Ländern wie den USA landen, wo die DGSVO nicht gelte.

2021 beispielsweise habe es Hinweise darauf gegeben, dass ein Anbieter Daten unzulässig an Dritte übermittelte und seinen Löschverpflichtungen nach Schließung eines Kontos nicht nachkomme. 

Haben Patienten bei einem Terminverwaltungsunternehmen ein Nutzungskonto eingerichtet, um selbst Termine bei Arztpraxen online suchen zu können, bestehe ein Vertragsverhältnis mit dem Terminverwaltungsunternehmen. Werde dieses Vertragsverhältnis gekündigt, entfalle der Zweck, für den das Unternehmen die personenbezogenen Daten gespeichert habe – die Daten müssten gelöscht werden.  

Auf der Website der Berliner Datenschützer gibt es eine Übersicht über Fragen zum Einsatz von  Terminverwaltungsunternehmen. Die Fragen und Antworten finden Sie hier.

11.07.2022, 10:12, Autor/-in: ks
Mehr unter: https://www.aend.de/article/218912
Zuletzt abgerufen am 11.07.2022 – 17:04 Uhr

 

Hier finden Sie die Bewertung durch:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Aus <https://www.datenschutz-berlin.de/impressum> 

Friedrichstr. 219
10969 Berlin
Eingang Besucher:innen:
Puttkamerstr. 16-18

Tel.: +49 30 13889-0
Fax: +49 30 2155050
E-Mail: mailbox@datenschutz-berlin.de

https://www.datenschutz-berlin.de/infothek-und-service/themen-von-a-bis-z/terminverwaltung
Zuletzt abgerufen am 11.07.2022 – 17:04 Uhr

 

Meine behandelnde Praxis setzt zur Terminverwaltung ein Terminverwaltungsunternehmen ein. Darf meine Praxis meine personenbezogenen Daten ohne meine Einwilligung an dieses Unternehmen weitergeben?

Ärztliche Praxen setzen Terminverwaltungsunternehmen in der Regel als so genannte Auftragsverarbeiter:innen ein. In dieser Funktion sind die Unternehmen bei der Datenverarbeitung, die sie für die Behandlungspraxen vornehmen, streng an die Weisungen der Praxen gebunden. Das schließt insbesondere eine Datenverarbeitung durch die Unternehmen zu eigenen Zwecken aus. Außerdem sind die Praxen gesetzlich dazu verpflichtet, die von ihnen eingesetzten Unternehmen zur Verschwiegenheit zu verpflichten. Für den Einsatz von Auftragsverarbeiter:innen müssen ärztliche Praxen keine Einwilligung der Patient:innen einholen. Sie müssen diese allerdings in ihrer Datenschutzinformation über den Einsatz von auftragsverarbeitenden Unternehmen informieren.

 

Ich bin Patient:in und habe von einem Terminverwaltungsunternehmen eine SMS bzw. eine E-Mail mit einer Erinnerung an einen Behandlungstermin erhalten. Warum hat das Unternehmen Kenntnis von meinen Daten und was kann ich dagegen tun?

Ärztliche Praxen dürfen Ihnen als Patient:in eine Terminerinnerung nur dann übermitteln oder übermitteln lassen, wenn Sie gegenüber der Praxis eingewilligt haben, dass Ihre Telefonnummer bzw. E-Mail-Adresse für die Terminerinnerung genutzt werden darf. Soweit die Praxis die Terminerinnerung nicht selbst versendet, sondern hierfür ein anderes Unternehmen einsetzen möchte, sollte die Praxis Sie im Rahmen der Einwilligungserklärung darüber informieren, dass Ihre personenbezogenen Daten für die Terminerinnerung an ein auftragsverarbeitendes Unternehmen weitergegeben und von diesem für die Terminerinnerung verarbeitet werden. Eine erteilte Einwilligung können Sie jederzeit widerrufen. Ab dem Zeitpunkt des Widerrufs dürfen Ihnen dann keine Terminerinnerungen mehr geschickt werden.

 

Ich bin Ärztin bzw. Arzt und möchte in meiner Praxis die Software eines Terminverwaltungsunternehmens einsetzen. Ist das datenschutzkonform möglich?

Als Ärztin bzw. Arzt sind Sie verantwortlich für die datenschutzkonforme Verarbeitung der personenbezogenen Daten Ihrer Patient:innen. Sie sind also verpflichtet, angemessene und geeignete Maßnahmen zu ergreifen, um das Risiko eines Sicherheitsvorfalls oder einer Datenpanne ausreichend zu minimieren. Da es sich bei den Daten Ihrer Patient:innen um besonders sensible Daten (Gesundheitsdaten) handelt, werden besonders hohe Anforderungen an den Umgang mit diesen Daten an Sie gestellt. Dies ergibt sich nicht nur aus dem Datenschutzrecht, sondern ebenfalls aus dem Straf- und dem Berufsrecht (Schweigepflicht).

 

Wenn Sie ein externes Unternehmen (im Folgenden: Dienstleister:in) für das Terminmanagement einbeziehen, sollten Sie insbesondere auf Folgendes achten:

Sie müssen die Dienstleister:innen danach beurteilen, ob sie ausreichende technische und organisatorische Maßnahmen treffen. Das ist nicht einfach. Lassen Sie sich am besten unabhängig beraten. Haben die Dienstleister:innen ein anerkanntes Datenschutz- oder zumindest Informationssicherheitszertifikat für die gesamte von Ihnen in Anspruch genommene Dienstleistung erhalten, können Sie dies positiv berücksichtigen. Bekannt gewordene Sicherheitsvorfälle sind dagegen ein negatives Indiz.

Besonderes Augenmerk bedarf die Sicherheit der Webanwendung bzw. der mobilen App, die Sie Ihren Patient:innen für die Buchung eines Termins in Ihrer Praxis über die Dienstleister:innen bereitstellen, einschließlich aller Schnittstellen, über die aus dem Internet auf die dafür genutzten Systeme zugegriffen werden kann. Ebenso wichtig ist der sichere Anschluss der Systeme der Dienstleister:innen an Ihr Praxissystem. Aus dem Betrieb des Diensts für das Terminmanagement dürfen für die in Ihrem Praxisverwaltungssystem gespeicherten Daten keine signifikanten zusätzlichen Risiken entstehen. Daher ist stets vorzusehen, dass die Verbindung zwischen Praxissystemen und den Systemen der Dienstleister:innen von Ihrer Praxis aus aufgebaut wird und sichere Verfahren für Authentifikation und Verschlüsselung zum Einsatz kommen.

Alle Personen, die bei den Dienstleister:innen mit den Daten Ihrer Patient:innen umgehen, müssen im gleichen Umfang wie Sie selbst der Schweigepflicht unterliegen. Dies ist aufgrund gesetzlicher Bestimmung bei Dienstleister:innen gegeben, die nur mit in Deutschland tätigem Personal agieren. Bei Personal, das außerhalb Deutschlands tätig wird, müssen Ihnen die Dienstleister:innen nachweisen, dass die Schweigepflicht und das Beschlagnahmeverbot für die gesamte Verarbeitungskette gilt.

Darüber hinaus müssen Sie Dienstleister:innen, die Zugriff auf Daten haben, die der Schweigepflicht unterliegen, unter Verweis auf die strafrechtlichen Bestimmungen zur Geheimhaltung verpflichten. Die Dienstleister:innen müssen das ihrerseits mit ihrem Personal und allen Unterauftragnehmer:innen tun.

Auch wenn die Dienstleister:innen ihren Sitz in Deutschland haben, kann es sein, dass sie weitere Dienstleister:innen aus dem Ausland einschalten. Dies können zum Beispiel Cloud-Anbieter:innen sein, die die Dienstleister:innen möglicherweise einsetzen, um die eigene Datenverarbeitung zu betreiben. Beachten Sie, dass auch die Einbindung von Drittinhalten in einer App oder auf einer Website (beispielsweise Schriftarten, Stadtpläne, Skripte) dazu führt, dass diese Dritten Kenntnis von personenbezogenen Daten erhalten. Hierfür gibt es regelmäßig keine Rechtsgrundlage.

Besondere Probleme ergeben sich, wenn Dienstleister:innen entweder Server außerhalb Deutschlands betreiben oder von Orten außerhalb Deutschlands Zugriffsmöglichkeiten auf die Daten bestehen, etwa im Rahmen von Support, Administration oder Wartung.

Sollten Sie in Betracht ziehen, Dienstleister:innen einzuschalten, bei denen irgendein Schritt der Datenverarbeitung (einschließlich Support, Administration, Wartung, auch durch weitere Dienstleister:innen) außerhalb Deutschlands erfolgt, sollten Sie spezialisierten datenschutzrechtlichen Rat einholen. Auch wenn europäische Tochtergesellschaften von Nicht-EU/EWR-Unternehmen (insbesondere aus den USA) einbezogen werden, etwa für den Betrieb der Server, müssen Sie sicherstellen, dass diese nicht etwa personenbezogene Daten an ausländische Behörden herausgeben müssen. Technische und vertragliche Maßnahmen werden hier in der Regel nicht helfen. Wenn Sie nicht sicher nachweisen können, dass die Dienstleister:innen – und alle weiter einbezogenen Dienstleister:innen – diese Anforderungen erfüllen, dürfen Sie diese nicht einsetzen.

Erfüllen Dienstleister:innen die genannten Forderungen, und Sie entscheiden sich, sie in Anspruch zu nehmen, dann müssen Sie mit diesen einen Vertrag schließen, der den gesetzlichen Anforderungen nach Art. 28 Abs. 3 DS-GVO entspricht.

Darüber hinaus müssen Sie Ihre Patient:innen über den Einsatz der Dienstleister:innen in Ihrer Datenschutzinformation in Kenntnis setzen.

Die Verwendung der Daten durch die Dienstleister:innen für deren eigenen Zwecke ist ausgeschlossen. Diese Festlegung gehört auch in den Vertrag mit den Dienstleister:innen. Bei Kenntnis einer Verwendung für eigene Zwecke sind Sie verpflichtet, dem entgegenzutreten und einen datenschutzkonformen Zustand herzustellen.

Ihre Weisungsbefugnis gegenüber den Dienstleister:innen darf nicht eingeschränkt werden.

Sollte die Dienstleister:innen anderweitig – beispielsweise über das Angebot einer „Suche nach Ärzt:innen“ – in eigener Verantwortung mit Ihren Patient:innen in Kontakt kommen, so ist eine saubere Trennung der Verantwortlichkeiten erforderlich, die auch für die Patient:innen klar erkennbar bleibt. Ihre Patient:innen müssen bei jeder Interaktion mit der Website, die sie nutzen, um mit Ihrer Praxis einen Termin zu vereinbaren, wissen, wer für die jeweilige Datenverarbeitung verantwortlich ist. Dies wird mit einer klaren Gestaltung Ihrer Internetdomäne, des Logos, der Farbgebung und des Impressums erreicht, mit einer verklausulierten Erläuterung in der Datenschutzerklärung nicht.

Sie dürfen nur diejenigen Daten für das Terminmanagement verwenden, die dafür notwendig sind. Daraus folgt die Anforderung, an die Dienstleister:innen nur diejenigen Daten zu übergeben, die diese zur Erbringung der Dienstleistung benötigen. In der Regel sollte es genügen, dass die Dienstleister:innen selbst die für die Buchung des Termins notwendigen Daten erheben, sodass es nicht notwendig ist, den Dienstleister:innen vorab personenbezogene Daten Ihrer Patient:innen bereitzustellen.

Sie dürfen keine Daten für das Terminmanagement länger als für diesen Zweck erforderlich speichern. Bedenken Sie: Nimmt ein:e Patient:in den vereinbarten Termin wahr, dann dokumentieren Sie die für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse sowie gegebenenfalls deren Abrechnung in Ihrem Praxisverwaltungssystem und bewahren die Angaben dort auf, bis zehn Jahre nach Abschluss der Behandlung vergangen sind. Die in Ihrem Terminmanagementsystem gespeicherten Daten werden für Dokumentationszwecke dagegen nicht benötigt und sind daher im Anschluss an den Termin nach einer kurzen Frist zu löschen. Die Verpflichtung der Dienstleister:innen, diese Löschung vorzunehmen, sollten sie vertraglich festhalten. Für die Daten von Patient:innen, die nicht zu dem vereinbarten Termin erscheinen, gilt das Gleiche. Sie können die Daten nur dann länger speichern, wenn Sie für den Ausfall Schadensersatz geltend machen und auch dann nur so lange, wie hierfür notwendig.

 

Ich bin Ärztin bzw. Arzt und möchte meinen Patient:innen Erinnerungen an deren Termin senden. Wie ist dies datenschutzkonform möglich?

Möchten Sie Ihren Patient:innen per SMS bzw. E-Mail Erinnerungen an deren Termin senden, bedarf es der ausdrücklichen Einwilligung der Patient:innen. Dass Sie die Einwilligung eingeholt haben, muss nachweisbar sein. Möchten Sie die Terminerinnerung über externe Dienstleister:innen versenden, sollten Sie die Patient:innen im Zusammenhang mit der Einholung der Einwilligung über den Einsatz der Dienstleister:innen informieren, da eine Einwilligung nur wirksam ist, wenn sie informiert erfolgt.

 

Ich bin Ärztin bzw. Arzt. Können Sie eine Empfehlung für Dienstleister:innen aussprechen, die datenschutzkonform arbeiten?

Leider ist uns dies gesetzlich verwehrt.

 

Ich bin Ärztin bzw. Arzt und möchte die Firma X als Dienstleister:in einsetzen. Können Sie mir eine Einschätzung des Unternehmens geben? Wenn Sie eine Prüfung des Unternehmens vorgenommen haben, können Sie mir das Ergebnis mitteilen?

Wir prüfen Dienstleister:innen dieser und anderer Branchen, wenn uns Beschwerden erreichen oder auch von Amts wegen. Diese Prüfungen sind jedoch in aller Regel nicht umfassend, sondern konzentrieren sich auf bekannte kritische Punkte. Eine umfassende Einschätzung ist uns daher selten möglich. Erforderlichenfalls und unter sehr engen Voraussetzungen werden wir Berliner Unternehmen oder Behörden davor warnen, bestimmte Dienstleister:innen in Anspruch zu nehmen, wenn dies nicht datenschutzkonform möglich ist. Einsicht in unsere Akten oder Auskunft gewähren wir im Rahmen des Berliner Informationsfreiheitsgesetzes. Dabei sind wir verpflichtet, schutzbedürftige Betriebs- oder Geschäftsgeheimnisse der geprüften Unternehmen zu wahren.

Posted on