Die digitale Terminvergabe hat sich längst auch im Gesundheitswesen etabliert. Immer mehr Arztpraxen greifen auf externe Dienstleister zurück, um ihren Patienten die Möglichkeit zu geben, Termine online zu vereinbaren. Was den Komfort erhöht, stellt aus datenschutzrechtlicher Sicht Anforderungen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in einem Beschluss vom 16.06.2025 nun wichtige Klarstellungen zur Online-Terminvergabe in der Arztpraxis getroffen, um Orientierung und Rechtssicherheit zu schaffen.
Digitalisierung und Gesundheitsdaten
Die Möglichkeit, Arzttermine bequem über Smartphone oder Computer zu buchen, entspricht dem Zeitgeist. Patienten schätzen die Flexibilität und Schnelligkeit. Außerdem entlastet das digitale Terminmanagement überlastete Telefonleitungen und knappe Personalressourcen in den Praxen. Dass dabei in der Regel nicht die Praxis selbst, sondern ein externer Anbieter die technische Infrastruktur betreibt, ist mittlerweile die Regel. Die Terminvergabe findet dann entweder direkt auf der Webseite der Arztpraxis statt oder über eine eigene Homepage des Dienstleisters, wie etwa Doctolib.
Doch gerade im Gesundheitswesen trifft Digitalisierung auf besonders schützenswerte Gesundheitsdaten. Insofern stellt sich die Frage, wer personenbezogene Daten darf und unter welchen Bedingungen dies möglich ist.
Zulässigkeit vom Einsatz externer Dienstleister
Die datenschutzrechtliche Einbindung von Terminverwaltungsunternehmen ist laut der DSK grundsätzlich möglich. Voraussetzung sei, dass die Verarbeitung im Rahmen einer wirksamen Auftragsverarbeitung nach Art. 28 Datenschutzgrundverordnung (DSGVO) erfolgt. Die Verantwortung für die Einhaltung des Datenschutzes verbleibe jedoch bei der Heilberufspraxis. Das bedeute auch, dass Patienten nach Art. 13 DSGVO darüber informiert werden müssen, dass ein Dienstleister eingebunden ist. Eine Einwilligung sei aber nicht erforderlich, sofern keine darüberhinausgehende Datenverarbeitung erfolgt. Wichtig sei auch, dass eine alternative Buchungsmöglichkeit bestehen bleibt. Niemand soll gezwungen sein, ausschließlich über digitale Wege einen Termin zu vereinbaren.
Was ohne Einwilligung erlaubt ist – und was nicht
Wenn ein Patient einen Termin vereinbart und eine Einwilligung fehlt, dürften Praxen nur die dafür erforderlichen Daten verarbeiten. Das betreffe vor allem Basisinformationen wie Name, Geburtsdatum, Art des Termins, behandelnde Person und Kontaktangaben. Diese Verarbeitung könne dann auf die gesetzliche Grundlage nach Art. 6 Abs. 1 S. 1 lit. b und Art. 9 Abs. 2 lit. h DSGVO gestützt werden.
Darüberhinausgehende Serviceleistungen, wie etwa Terminerinnerungen per SMS oder E-Mail, würden dagegen eine ausdrückliche Einwilligung erfordern. Die Praxis müsse das Vorliegen einer solchen und deren freiwillige und informierte Erteilung nachweisen können. Auch darf der gewählte Kommunikationskanal nicht ohne Einwilligung gewechselt werden.
Grenzen der Datennutzung: Kein Freibrief für Dienstleister
Die DSK macht in ihrem Beschluss (abrufbar hier) deutlich, dass eine Übermittlung sämtlicher Patientenstammdaten an den Dienstleister im Vorfeld unzulässig ist. Es dürfe nur verarbeitet werden, was für die Durchführung des konkreten Termins notwendig ist, und diese Angaben liefere in der Regel der Patient selbst.
Nicht zulässig sei auch die Nutzung der Daten zu anderen Zwecken durch den Dienstleister, etwa für eigene Analysen oder Werbemaßnahmen. Hier gelte eine strikte Zweckbindung. Kommt es dennoch zu einer Kenntniserlangung oder Vermutung über eine Zweckänderung, sei der Praxisbetreiber verpflichtet, unverzüglich für Abhilfe zu sorgen.
Löschung, Technik, Kontrolle
Auch nach dem Termin endet die datenschutzrechtliche Verantwortung nicht. Die im Rahmen der Terminvergabe erhobenen Daten seien grundsätzlich zeitnah zu löschen, da sie nicht zur medizinischen Behandlungsdokumentation zählen würden. Nur wenn ein Eintrag auch dokumentationspflichtige Informationen enthält, sei eine Übertragung in die Patientenakte notwendig.
Heilberufspraxen müssten außerdem, wie alle sonstigen datenschutzrechtlich Verantwortlichen, sicherstellen, dass technische und organisatorische Schutzmaßnahmen existieren. Dazu gehören unter anderem eine wirksame Mandantentrennung beim Dienstleister, gesicherte Schnittstellen zur Praxissoftware sowie Regelungen für den Zugriff und die Verschlüsselung. Werden externe Dienstleister aus Drittstaaten eingebunden, etwa im Rahmen von Hosting oder Support, müssten die Vorgaben der Art. 44 ff. DSGVO erfüllt sein. Gerade, wenn also etwa eine Datenübermittlung in die USA stattfinden soll, ist aufgrund der mittlerweile eher brüchigen Datenschutzbeziehungen besondere Vorsicht walten zu lassen.
Nutzeraccount bei der Plattform
Ein Sonderfall entsteht, wenn Patienten direkt ein Nutzerkonto bei dem Terminverwaltungsunternehmen anlegen. Dann liege eine eigenständige vertragliche Beziehung vor, bei der der Dienstleister selbst datenschutzrechtlich verantwortlich sei. Werden dabei Gesundheitsdaten verarbeitet, sei in der Regel eine ausdrückliche Einwilligung erforderlich. Für Praxen bedeute das, dass sie in der Lage sein müssen, ihren Patienten klar zu vermitteln, wer im konkreten Fall für welche Datenverarbeitung verantwortlich ist. Hierfür sei eine sorgfältige Abgrenzung notwendig.
Fazit
Die DSK hat einen praxisnahen Rahmen geschaffen, der Orientierung für den datenschutzkonformen Einsatz der Online-Terminvergabe in der Arztpraxis bietet. Für Heilberufspraxen ergibt sich daraus kein grundsätzlicher Hinderungsgrund, digitale Buchungsangebote einzusetzen, wohl aber die Pflicht, mit Augenmaß und Sorgfalt vorzugehen. Laut der DSK kann wer die Anforderungen an Vertragsgestaltung, technische Sicherheit, Informationspflichten und Zweckbindung beachtet, die Online-Terminvergabe in der Arztpraxis nicht nur effizient, sondern auch rechtssicher gestalten. Im Ergebnis profitieren davon alle Beteiligten: Praxisteams werden entlastet, Patienten erhalten besseren Service und der Schutz sensibler Gesundheitsdaten bleibt gewährleistet.
