Tipps für den Einsatz von Doctolib & Co.
Der stellvertretende Berliner Datenschutzbeauftragte gibt in dem heute erschienenen Jahresbericht und den FAQ auf ihrer Webseite wichtige Tipps für Ärzte und Zahnärzte, was bei der Nutzung von Doctolib & Co. zu beachten ist. Denn als Vertragspartner eines Dienstleisters sind sie verantwortlich für die datenschutzkonforme Verarbeitung der personenbezogenen Daten der PatientInnen:
„Sie müssen den Dienstleister danach beurteilen, ob er ausreichende technische und organisatorische Maßnahmen trifft. Das ist nicht einfach. Lassen Sie sich am besten unabhängig beraten. Hat der Auftragsverarbeiter ein anerkanntes Datenschutz- oder zumindest Informationssicherheitszertifikat für die gesamte von Ihnen in Anspruch genommene Dienstleistung erhalten, können Sie dies positiv berücksichtigen. Bekannt gewordene Sicherheitsvorfälle sind dagegen ein negatives Indiz.
Besonderes Augenmerk bedarf die Sicherheit der Webanwendung bzw. der mobilen App, die Sie über den Dienstleister Ihren Patient:innen für die Buchung eines Termins in Ihrer Praxis bereitstellen, einschließlich aller Schnittstellen, über die aus dem Internet auf die dafür genutzten Systeme zugegriffen werden kann, und der sichere Anschluss der Systeme des Dienstleisters an Ihr Praxissystem. Aus dem Betrieb des Dienstes für das Terminmanagement dürfen für die in Ihrem Praxisverwaltungssystem gespeicherten Daten keine signifikanten zusätzlichen Risiken entstehen. Daher ist stets vorzusehen, dass die Verbindung zwischen Praxissystemen und den Systemen des Dienstleisters von Ihrer Praxis aus aufgebaut wird und sichere Verfahren für Authentifikation und Verschlüsselung zum Einsatz kommen.
Alle Personen, die bei dem Dienstleister oder einem Unterauftragnehmer mit den Daten Ihrer Patientinnen und Patienten umgehen, müssen im gleichen Umfang wie Sie selbst der Schweigepflicht unterliegen. Dies ist aufgrund gesetzlicher Bestimmung bei Dienstleistern gegeben, die nur mit in Deutschland tätigem Personal agieren. Bei Personal, das außerhalb Deutschlands tätig wird, muss Ihnen der Auftragsverarbeiter nachweisen, dass Schweigepflicht und Beschlagnahmeverbot für die gesamte Verarbeitungskette gilt.
Darüber hinaus müssen Sie Dienstleister, die Zugriff auf Daten haben, die der Schweigepflicht unterliegen, unter Verweis auf die strafrechtlichen Bestimmungen zur Geheimhaltung verpflichten. Die Dienstleister müssen das ihrerseits mit ihrem Personal und allen Unterauftragnehmern tun.
Auch wenn Ihr Dienstleister seinen Sitz in Deutschland hat, kann es sein, dass er weitere Dienstleister aus dem Ausland einschaltet. Dies können zum Beispiel Cloudanbieter sein, die der Dienstleister möglicherweise einsetzt, um die eigene Datenverarbeitung zu betreiben. Beachten Sie, dass auch die Einbindung von Dritt-Inhalten in einer App oder auf einer Webseite (z. B. Schriftarten, Stadtpläne, Skripte) dazu führt, dass diese Dritten Kenntnis von personenbezogenen Daten erhalten. Hierfür gibt es regelmäßig keine Rechtsgrundlage.
Besondere Probleme ergeben sich, wenn Ihr Dienstleister entweder Server außerhalb Deutschlands betreibt oder von Orten außerhalb Deutschlands Zugriffsmöglichkeiten auf die Daten bestehen, etwa im Rahmen von Support oder Administration und Wartung.
Sollten Sie in Betracht ziehen, einen Dienstleister einzuschalten, bei dem irgendein Schritt der Datenverarbeitung (einschließlich Support, Administration, Wartung, auch durch weitere Dienstleister) außerhalb Deutschlands erfolgt, sollten Sie daher spezialisierten datenschutzrechtlichen Rat einholen. Auch wenn europäische Tochtergesellschaften von Nicht-EU-/EWR- (insbesondere US-) Unternehmen einbezogen werden, etwa für den Betrieb der Server, müssen Sie sicherstellen, dass diese nicht etwa personenbezogene Daten an ausländische Behörden herausgeben müssen. Technische und vertragliche Maßnahmen werden hier in der Regel nicht helfen. Wenn Sie nicht sicher nachweisen können, dass ein Dienstleister – und alle weiter einbezogenen Dienstleister – diese Anforderungen erfüllt, dürfen Sie ihn nicht einsetzen.
Erfüllt ein Dienstleister die genannten Forderungen und Sie entscheiden sich, ihn in Anspruch zu nehmen, dann müssen Sie mit ihm einen Vertrag schließen, der den gesetzlichen Anforderungen (Art. 28 Abs. 3 Datenschutz-Grundverordnung) entspricht.
Darüber hinaus müssen Sie Ihre Patient:innen über den Einsatz des Dienstleisters in Ihrer Datenschutzinformation in Kenntnis setzen.
Die Verwendung der Daten durch den Dienstleister für seine eigenen Zwecke ist ausgeschlossen. Diese Festlegung gehört auch in den Vertrag mit dem Auftragsverarbeiter. Bei Kenntnis einer Verwendung für eigene Zwecke sind Sie verpflichtet, dem entgegenzutreten und einen datenschutzkonformen Zustand herzustellen.
Ihre Weisungsbefugnis gegenüber dem Dienstleister darf nicht eingeschränkt werden.
Sollte der Dienstleister anderweitig - etwa über das Angebot einer „Arztsuche“ - in eigener Verantwortung mit Ihren Patient:innen in Kontakt kommen, so ist eine saubere Trennung der Verantwortlichkeiten erforderlich, die auch für die Patient:innen klar erkennbar bleibt. Ihre Patient:innen müssen bei jeder Interaktion mit der Webseite, die sie nutzen, um mit Ihrer Praxis einen Termin zu vereinbaren, wissen, wer für die jeweilige Datenverarbeitung verantwortlich ist. Dies wird mit einer klaren Gestaltung - hre Internetdomäne, Ihr Logo, Ihre Farbgebung, Ihr Impressum - erreicht, mit einer verklausulierten Erläuterung in der Datenschutzerklärung nicht.
Sie dürfen nur diejenigen Daten für das Terminmanagement verwenden, die dafür notwendig sind. Daraus folgt die Anforderung, an den Dienstleister nur die Daten zu übergeben, die dieser zur Erbringung der Dienstleistung benötigt. In der Regel sollte es genügen, dass der Dienstleister selbst die für die Buchung des Termins notwendigen Daten erhebt, so dass es nicht notwendig ist, ihm vorab personenbezogene Daten Ihrer Patient:innen bereitzustellen.
Sie dürfen keine Daten für das Terminmanagement länger als für diesen Zweck erforderlich speichern. Bedenken Sie: Nimmt ein:e Patient:in den vereinbarten Termin wahr, dann dokumentieren Sie die für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse sowie ggf. deren Abrechnung in Ihrem Praxisverwaltungssystem und bewahren die Angaben dort auf, bis zehn Jahre nach Abschluss der Behandlung vergangen sind. Die in Ihrem Terminmanagementsystem gespeicherten Daten werden für die Dokumentationszwecke dagegen nicht benötigt und sind daher im Anschluss an den Termin nach einer kurzen Frist zu löschen. Die Verpflichtung des Dienstleisters, diese Löschung vorzunehmen, sollten sie vertraglich festhalten. Für die Daten von Patient:innen, die nicht zu dem vereinbarten Termin erscheinen, gilt das Gleiche. Sie können Sie nur dann länger speichern, wenn Sie für den Ausfall Schadensersatz geltend machen und auch dann nur so lange, wie hierfür notwendig.”
Wenn Praxen per SMS/E-Mail Terminerinnerungen senden wollen, bedarf es einer ausdrücklichen Einwilligung der PatientInnen. „Dass Sie eine Einwilligung eingeholt haben, muss von Ihnen nachweisbar sein. Möchten Sie die Terminerinnerung über einen Dienstleister versenden, sollten Sie die Patient:innen im Zusammenhang mit der Einholung der Einwilligung über den Einsatz des Dienstleisters informieren, da eine Einwilligung nur wirksam ist, wenn sie informiert erfolgt.”
Als besonders problematisch bewertet die Behörde die Übermittlung von Symptomen an Unternehmen in Staaten mit einem unzureichenden Datenschutzniveau. Ein solches Vorgehen war 2021 durch SicherheitsforscherInnen bei der App eines Terminverwaltungsanbieters gemeldet worden. Die Prüfung der Berliner Datenschutzbeauftragten zu diesem Fall dauert jedoch noch an.