Angebot erhalten
Anfragen

Online-Terminvergabe und Datenschutz: So setzen Arztpraxen DSGVO-konforme Lösungen um

Die digitale Terminvergabe ist heute Standard in vielen Arzt- und Zahnarztpraxen. Sie erleichtert den Praxisalltag und spart Ressourcen, doch sie bringt auch Datenschutzpflichten mit sich. Patientendaten sind hochsensibel, und mit dem Einsatz externer Dienstleister oder künstlicher Intelligenz (KI) wächst das Risiko datenschutzrechtlicher Verstöße.

Die Datenschutzkonferenz (DSK) hat ein neues Positionspapier zum datenschutzkonformen Einsatz von Terminverwaltungsunternehmen für Heilberufe veröffentlicht. Darin werden zentrale Anforderungen für Heilberufspraxen klar benannt – ein Must-read für alle, die digitale Prozesse in der Patientenkommunikation verantworten.

Warum ist Datenschutz bei Online-Terminvergaben wichtig?

Ob über die Praxiswebsite oder über Plattformen externer Anbieter: Bei der digitalen Terminvergabe werden personenbezogene (Gesundheits)Daten verarbeitet – Name, Geburtsdatum, Terminart, Kontaktinformationen. Hier greift die Datenschutz-Grundverordnung (DSGVO) besonders streng.

Viele Praxen und Anbieter sind sich der konkreten Anforderungen nicht bewusst. Das neue DSK-Positionspapier liefert deshalb dringend benötigte Klarheit.

Die 5 wichtigsten Anforderungen für die DSGVO-konforme Terminvergabe in Praxen

1. Externe Dienstleister sind Auftragsverarbeiter – kein Fall für Einwilligung

Die DSK stellt klar: Der Einsatz von Terminverwaltungsdiensten ist als Auftragsverarbeitung nach Art. 28 DSGVO zulässig. Patient*innen müssen dem nicht zustimmen – die Praxis muss jedoch:

  • einen schriftlichen Auftragsverarbeitungsvertrag (AVV) abschließen,

  • den Dienstleister sorgfältig auswählen,

  • und in ihren Datenschutzhinweisen transparent informieren (Art. 13 DSGVO).

2. Datenminimierung: Nur was wirklich nötig ist

Erlaubt ist nur die Verarbeitung der Daten, die für die konkrete Terminvergabe erforderlich sind:

  • Name und Geburtsdatum

  • Terminart und behandelnder Ärztin

  • Kontaktweg für Terminbestätigung oder -absage

3. Terminerinnerungen nur mit Einwilligung

Eine Erinnerung per SMS oder E-Mail ist ein Service, aber nicht zwingend notwendig für die medizinische Versorgung. Deshalb gilt hier: Nur mit einer freiwilligen, informierten und dokumentierten Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erlaubt.

4. Keine Verarbeitung für eigene Zwecke durch Dienstleister

Der Dienstleister darf die erhaltenen Daten ausschließlich auf Weisung der Praxis verarbeiten. Eine Verwendung zu eigenen Zwecken – etwa zu Werbezwecken oder Analysezwecken – ist verboten. Das muss im AVV klar geregelt und kontrolliert werden.

5. Offline-Alternative muss bestehen bleiben

Digitale Lösungen dürfen niemanden ausschließen. Es muss stets eine alternative Möglichkeit zur Terminvereinbarung geben – etwa telefonisch oder persönlich in der Praxis.

Einsatz von Künstlicher Intelligenz (KI): Besonders hohe Datenschutzanforderungen sind zu beachten

Immer häufiger setzen Praxen oder Dienstleister auf KI-basierte Lösungen wie Chatbots oder intelligente Sprachassistenten zur Terminvereinbarung. Dabei handelt es sich oft um automatisierte Verarbeitungsvorgänge im großen Stil, mit erheblichen datenschutzrechtlichen Auswirkungen.

Pflicht zur Benennung eines Datenschutzbeauftragten (DSB)

Laut Art. 37 DSGVO ist bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten (wie Gesundheitsdaten) oder automatisierter Entscheidungsfindung ein Datenschutzbeauftragter zwingend zu benennen. Das betrifft auch kleine Praxen, wenn KI-Systeme eingesetzt werden.

Strenge Anforderungen an KI-Dienstleister

Vor dem Einsatz solcher Systeme sollten Praxen unbedingt prüfen:

  • Ist ein AVV vorhanden und korrekt ausgefüllt?

  • Erfolgt die Verarbeitung ausschließlich in der EU oder werden Daten in Drittländer übermittelt?

  • Wird eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt?

  • Können Patient*innen der automatisierten Verarbeitung widersprechen (Art. 22 DSGVO)?

Die Verantwortung für die datenschutzkonforme Einbindung von KI liegt bei der Praxis – unabhängig vom Anbieter.

__________________________________________________________________________________

„Das neue DSK-Positionspapier ist ein wichtiger Schritt hin zu mehr Klarheit für Praxen und Patientinnen. Es unterstreicht, dass Digitalisierung nur dann Vertrauen schafft, wenn sie datenschutzkonform umgesetzt wird.“

Elisa Drescher, Datenschutzjuristin und externe Datenschutzbeauftragte

__________________________________________________________________________________

Praktische Empfehlungen für Praxen

Infografik mit dem Titel „Praktische Empfehlungen für Praxen“ auf hellblauem Hintergrund. Sechs Empfehlungen sind in weißen Kästen mit grünen Häkchen aufgelistet: Bestehende Verträge mit Terminplattformen prüfen AVV nach Art. 28 DSGVO abschließen oder aktualisieren Patient*innen transparent informieren (z. B. Website, Datenschutzerklärung) Einwilligungen für Zusatzdienste (z. B. Terminerinnerung) dokumentieren Datenschutz-Folgenabschätzung bei KI-Einsatz durchführen Datenschutzbeauftragten benennen, wenn gesetzlich erforderlich

Digitalisierung mit Verantwortung

Ob klassische Online-Terminbuchung oder KI-gestützte Services: Wer digitale Tools in der Arztpraxis nutzt, trägt Verantwortung für den Schutz sensibler Gesundheitsdaten. Das neue DSK-Positionspapier bietet eine klare Orientierung, wie Praxen und Anbieter die DSGVO rechtskonform und praxisnah umsetzen können. Wir helfen Ihnen dabei, dies praktisch in Ihrer Praxis umzusetzen.

Kostenloses Erstgespräch vereinbaren

Online-Meeting buchen
Online-Meeting buchen

10 % RABATT

IM MÄRZ