• Home
  • News
  • Ärzte sind für datenschutzkonforme Verarbeitung verantwortlich
Datenschutzbeauftragter zu Doctolib

Ärzte sind für datenschutzkonforme Verarbeitung verantwortlich

Symbol der Doctolib-App auf einem Smartphone-Bildschirm auf blauem Hintergrund
Installieren oder nicht? Patientinnen und Patienten, die mit ihren Daten nicht die KI-Anwendungen von Doctolib trainieren lassen möchten, sollten sich vor der Entscheidung die neuen Datenschutzhinweise des Unternehmens genau anschauen. Claudia Nass - stock.adobe.com
mg
Praxis
Jetzt steht fest: Für die Untersuchung etwaiger Datenschutzverstöße von Doctolib sind nicht deutsche, sondern französische Behörden zuständig. Verantwortlich wären im Fall der Fälle indes: deutsche Ärzte und Zahnärzte.

Schon länger war strittig, ob die Doctolib SAS mit Sitz in Paris datenschutzrechtlich verantwortlich für die Berliner Doctolib GmbH ist. Ende 2024 konnten deutsche und französische Behörden den Sachverhalt endlich klären.

Seitdem gilt: Verantwortlich ist das Mutterunternehmen. Daraus ergibt sich laut Datenschutz-Grundverordnung (DSGVO), dass die zuständige Aufsichtsbehörde nicht die Berliner Datenschutzbeauftragte (BlnBDI) ist – die in der Vergangenheit diversen Beschwerden nachgegangen war –sondern die französische Commission Nationale de l’Informatique et des Libertés, kurz CNIL.

Erst jüngst hatte der Terminservice-Dienstleister für Schlagzeilen gesorgt, da er Patientendaten zum Training von Künstlicher Intelligenz nutzen will. Ein Umstand den die Berliner Behörde beobachtet. Sollte sie mögliche Datenschutzverstöße feststellen, würde sie die CNIL informieren, teilte der Sprecher mit.

Auf die Haftung der Arztpraxen bei Nutzung der Doctolib-Services hat die Klärung der datenschutzrechtlichen Zuständigkeit keinen Einfluss. Sie sind für die datenschutzkonforme Verarbeitung ihres gewählten Dienstleisters verantwortlich, heißt es in den FAQ „Terminverwaltung in Arztpraxen“ der Berliner Behörde.

Die juristische Bewertung ist aber womöglich komplizierter geworden. Konkret heißt es: „Sollten Sie in Betracht ziehen, Dienstleister einzuschalten, bei denen irgendein Schritt der Datenverarbeitung (einschließlich Support, Administration, Wartung, auch durch weitere Dienstleister) außerhalb Deutschlands erfolgt, sollten Sie spezialisierten datenschutzrechtlichen Rat einholen."

Dienstleister beim Terminmanagement

Wenn Ärzte externe Dienstleister zum Terminmanagement einbeziehen, gibt es vieles zu beachten, erklärt die Berliner Datenschutzbeauftragte in ihren FAQ „Terminverwaltung in Arztpraxen“ (Auszug):

  • "Sie müssen die Dienstleister danach beurteilen, ob sie ausreichende technische und organisatorische Maßnahmen treffen. Das ist nicht einfach. Lassen Sie sich am besten unabhängig beraten. Haben die Dienstleister ein anerkanntes Datenschutz- oder zumindest Informationssicherheitszertifikat für die gesamte von Ihnen in Anspruch genommene Dienstleistung erhalten, können Sie dies positiv berücksichtigen. Bekannt gewordene Sicherheitsvorfälle sind dagegen ein negatives Indiz.

  • Besonderes Augenmerk bedarf die Sicherheit der Webanwendung bzw. der mobilen App, die Sie Ihren Patient:innen für die Buchung eines Termins in Ihrer Praxis über die Dienstleister bereitstellen, einschließlich aller Schnittstellen, über die aus dem Internet auf die dafür genutzten Systeme zugegriffen werden kann. Ebenso wichtig ist der sichere Anschluss der Systeme der Dienstleister an Ihr Praxissystem. Aus dem Betrieb des Diensts für das Terminmanagement dürfen für die in Ihrem Praxisverwaltungssystem gespeicherten Daten keine signifikanten zusätzlichen Risiken entstehen. Daher ist stets vorzusehen, dass die Verbindung zwischen Praxissystemen und den Systemen der Dienstleister von Ihrer Praxis aus aufgebaut wird und sichere Verfahren für Authentifikation und Verschlüsselung zum Einsatz kommen.

  • Darüber hinaus müssen Sie Dienstleister, die Zugriff auf Daten haben, die der Schweigepflicht unterliegen, unter Verweis auf die strafrechtlichen Bestimmungen zur Geheimhaltung verpflichten. Die Dienstleister müssen das ihrerseits mit ihrem Personal und allen Unterauftragnehmern tun.

  • Auch wenn die Dienstleister ihren Sitz in Deutschland haben, kann es sein, dass sie weitere Dienstleister aus dem Ausland einschalten. Dies können zum Beispiel Cloud-Anbieter sein, die die Dienstleister möglicherweise einsetzen, um die eigene Datenverarbeitung zu betreiben. Beachten Sie, dass auch die Einbindung von Drittinhalten in einer App oder auf einer Website (beispielsweise Schriftarten, Stadtpläne, Skripte) dazu führt, dass diese Dritten Kenntnis von personenbezogenen Daten erhalten. Hierfür gibt es regelmäßig keine Rechtsgrundlage.

  • Besondere Probleme ergeben sich, wenn Dienstleister entweder Server außerhalb Deutschlands betreiben oder von Orten außerhalb Deutschlands Zugriffsmöglichkeiten auf die Daten bestehen, etwa im Rahmen von Support, Administration oder Wartung.

  • Sollten Sie in Betracht ziehen, Dienstleister einzuschalten, bei denen irgendein Schritt der Datenverarbeitung (einschließlich Support, Administration, Wartung, auch durch weitere Dienstleister) außerhalb Deutschlands erfolgt, sollten Sie spezialisierten datenschutzrechtlichen Rat einholen. Auch wenn europäische Tochtergesellschaften von Nicht-EU/EWR-Unternehmen (insbesondere aus den USA) einbezogen werden, etwa für den Betrieb der Server, müssen Sie sicherstellen, dass diese nicht etwa personenbezogene Daten an ausländische Behörden herausgeben müssen. Technische und vertragliche Maßnahmen werden hier in der Regel nicht helfen. Wenn Sie nicht sicher nachweisen können, dass die Dienstleister – und alle weiter einbezogenen Dienstleister – diese Anforderungen erfüllen, dürfen Sie diese nicht einsetzen.

  • Sie dürfen nur diejenigen Daten für das Terminmanagement verwenden, die dafür notwendig sind. Daraus folgt die Anforderung, an die Dienstleister nur diejenigen Daten zu übergeben, die diese zur Erbringung der Dienstleistung benötigen. In der Regel sollte es genügen, dass die Dienstleister selbst die für die Buchung des Termins notwendigen Daten erheben, sodass es nicht notwendig ist, den Dienstleistern vorab personenbezogene Daten Ihrer Patient:innen bereitzustellen.

  • Sie dürfen keine Daten für das Terminmanagement länger als für diesen Zweck erforderlich speichern. Bedenken Sie: Nimmt ein:e Patient:in den vereinbarten Termin wahr, dann dokumentieren Sie die für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse sowie gegebenenfalls deren Abrechnung in Ihrem Praxisverwaltungssystem und bewahren die Angaben dort auf, bis zehn Jahre nach Abschluss der Behandlung vergangen sind. Die in Ihrem Terminmanagementsystem gespeicherten Daten werden für Dokumentationszwecke dagegen nicht benötigt und sind daher im Anschluss an den Termin nach einer kurzen Frist zu löschen. Die Verpflichtung der Dienstleister, diese Löschung vorzunehmen, sollten sie vertraglich festhalten. Für die Daten von Patient:innen, die nicht zu dem vereinbarten Termin erscheinen, gilt das Gleiche. Sie können die Daten nur dann länger speichern, wenn Sie für den Ausfall Schadensersatz geltend machen und auch dann nur so lange, wie hierfür notwendig."

Eine Empfehlung für Unternehmen mit einem besonders hohen Datenschutzstandard kann die Behörde nicht aussprechen Man prüfe Dienstleister, wenn Beschwerden eingehen oder auch von Amts wegen. Diese Prüfungen seien in aller Regel jedoch nicht umfassend, sondern konzentrierten sich auf bekannte kritische Punkte.

Mit der jetzt bekanntgewordenen Einschränkung: Die Berliner Doctolib GmbH muss von der französischen Datenschutzbehörde CNIL geprüft werden.

Verwandte Nachrichten

Meistgelesene Beiträge

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.