Online-Terminvergabe in Heilberufspraxen: Was datenschutzrechtlich zu beachten ist
Die DSK hat neue Anforderungen zum Einsatz von Dienstleistern für Online-Terminbuchungen veröffentlicht. Was Praxen jetzt konkret umsetzen müssen – kompakt und verständlich erklärt.
Fokus-Stichwort: Online-Terminbuchung
Wer darf was wissen – und warum?
Immer mehr Heilberufspraxen nutzen externe Anbieter für die Online-Terminbuchung. Das spart Zeit. Aber es wirft auch viele datenschutzrechtliche Fragen auf. Die Datenschutzkonferenz (DSK) hat am 16. Juni 2025 ein Positionspapier veröffentlicht, das Klarheit schaffen soll. Was steht drin – und was ist jetzt zu tun?
Das Wichtigste vorab
Praxen dürfen Dienstleister für die Terminverwaltung beauftragen. Aber nur unter klaren Bedingungen. Die Verarbeitung muss im Rahmen eines Auftrags erfolgen. Die Einbindung externer Anbieter ist keine rechtliche Grauzone mehr – aber sie bleibt risikobehaftet, wenn Praxen nicht aktiv werden.
1. Was ist erlaubt – und was nicht?
Erlaubt ist:
-
Ein externer Dienstleister verwaltet Termine im Auftrag der Praxis (Art. 28 DSGVO).
-
Die Datenverarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b und Art. 9 Abs. 2 lit. h DSGVO.
-
Nur Daten, die für den konkreten Termin notwendig sind, dürfen verarbeitet werden.
Nicht erlaubt ist:
-
Die pauschale Übermittlung aller Patientendaten „auf Vorrat“.
-
Die Nutzung der Patientendaten durch den Dienstleister für eigene Zwecke.
-
Die unbegrenzte Speicherung von Termindaten nach dem Termin.
2. Klare Regeln für die Praxis
Praxen müssen sicherstellen, dass alle Anforderungen erfüllt sind. Dazu gehören:
Pflichtmaßnahmen:
-
AV-Vertrag abschließen
Der Vertrag nach Art. 28 DSGVO muss alle wesentlichen Punkte regeln. Dazu gehört auch die Verpflichtung zur Löschung nach Zweckfortfall. -
Datenminimierung durchsetzen
Nur Name, Geburtsdatum, Terminart und Kontaktdaten – mehr nicht. Keine Sammelübertragung alter Stammdaten. -
Einwilligungen einholen – aber gezielt
Terminerinnerungen per SMS oder E-Mail? Nur mit dokumentierter Einwilligung. -
Löschfristen definieren
Terminkalender sind kein Archiv. Termineinträge müssen zeitnah nach dem Termin gelöscht werden. -
Informationspflicht erfüllen
Die Datenschutzinformationen der Praxis müssen das beauftragte Unternehmen klar benennen – inklusive Zweck und Rechtsgrundlage. -
Datenverarbeitung in Drittstaaten prüfen
Support aus dem Ausland? Nur mit geeigneten Garantien (z. B. Standardvertragsklauseln) und dokumentierter Risikoprüfung. -
IT-Sicherheit bewerten
Mandantentrennung, Verschlüsselung, Zugriffskontrolle – all das muss im AV-Vertrag adressiert sein.
3. Vorsicht bei Nutzerkonten der Patient:innen
Manche Plattformen bieten Patienten eigene Nutzerkonten an. Das ist datenschutzrechtlich ein anderer Fall.
Folge:
-
Das Terminverwaltungsunternehmen wird datenschutzrechtlich eigenständig verantwortlich.
-
Gesundheitsdaten dürfen nur mit wirksamer Einwilligung verarbeitet werden.
-
Es braucht eine klare Trennung der Verantwortlichkeiten – auch auf der Website.
Konkrete Maßnahme für Praxen:
-
Kennzeichnen Sie auf Ihrer Website deutlich, wann Patient:innen in eine Drittplattform wechseln.
-
Verlinken Sie die Datenschutzinformationen des Dienstleisters.
Was sagt die Aufsicht?
Die DSK macht klar: Bei Verstößen drohen aufsichtsrechtliche Maßnahmen. Wer zu viele Daten weitergibt oder keine Löschung durchsetzt, riskiert Bußgelder.
Fazit: Kein Grund zur Panik – aber zur Umstellung
Wer einen externen Dienstleister nutzt, muss jetzt handeln. Die Anforderungen sind machbar – wenn die Abläufe überprüft und angepasst werden.
Checkliste für die Praxisleitung
| Maßnahme | Erledigt? |
|---|---|
| AV-Vertrag vorhanden und geprüft? | ☐ |
| Löschfristen dokumentiert? | ☐ |
| Informationspflicht vollständig umgesetzt? | ☐ |
| Einwilligungen für Erinnerungen dokumentiert? | ☐ |
| Drittstaatentransfers bewertet und abgesichert? | ☐ |
Wenn Sie in Ihrer Praxis externe Tools für die Online-Terminbuchung einsetzen, prüfen Sie jetzt die Umsetzung dieser Punkte. Wer seine Prozesse sauber dokumentiert und auf das Positionspapier der DSK reagiert, ist auf der sicheren Seite.
Sind Sie sicher, dass Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks