Kann Doctolib datenschutzkonform die Terminverwaltung in der Arztpraxis verbessern?
Doctolib ist gerade in der Corona-Pandemie durch die Möglichkeit sich bei vielen Schnell- oder PCR-Teststellen oder Impfpraxen einen Termin zu buchen – sehr bekannt geworden und so fragen sich manche Arztpraxen, ob sie ihre Terminvergabe über diesen Dienstleister kundenfreundlicher gestalten und rationalisieren können und ob das datenschutzrechtlich zulässig ist. Das Personal in der Praxis soll sich mit den Patienten beschäftigen, die in der Praxis betreuen, aber auch die in der Telefonwarteschlange nicht mit der Folge, dass diese zu anderen Arztpraxen abwandern, frustieren. Personal ist aber allerorten knapp, gerade auch durch Corona-bedingte Krankheitsausfälle. Jedoch stand Doctolib letztes Jahr datenschutzrechtlich in der Kritik, so dass sich die Frage stellt, ob Doctolib datenschutzkonform von der Arztpraxis genutzt werden kann und ob die Kritik überhaupt auf den ärztlichen Teil der Datenverarbeitung abzielte.
Verschiedene Terminbuchungsmöglichkeiten über Doctolib
Doctolib ist ein Unternehmen mit Sitz in Berlin und einer französischen Muttergesellschaft, welches es auf verschiedenen Wegen Ärzte und Patienten zusammenführen und hierzu die Terminvergabe vereinfachen will. So können Patienten über ein von Doctolib betriebenes Internetportal Ärzte in ihrer Nähe mit bestimmten Fachrichtungen recherchieren und diese entweder klassisch über die angezeigt Telefonnummer kontaktieren oder – wenn die Ärzte mit Doctolib einen Servicevertrag abgeschlossen haben – auch direkt über Doctolib.de einen Termin bei der jeweiligen Arztpraxis buchen. Doctolib bietet die Arztsuche und Terminbuchungsoption auch über eine Smartphone App an.
Doctolib bietet daneben Arztpraxen an, die Terminverwaltung über eine cloudbasierte Softwareanwendung zu übernehmen. Zu diesem Vertrag, mit dem der Service von Doctolib abonniert wird, schließt die Arztpraxis einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO ab. Dieser Vertrag enthält auch die Verpflichtung auf die strafbewehrte Berufsgeheimnispflicht nach § 203 StGB. Mit dem Abo des Terminverwaltungsservice von Doctolib hat eine Arztpraxis die Möglichkeit, einerseits die Termine ihrer Patienten, die vor Ort oder per Telefon ausgemacht werden, dort einzutragen und wenn dies gewünscht wird und hierzu die Handynummer oder E-Mail-Adresse von Patienten mitgeteilt wird, auch einen Terminerinnerungs-Service optional einzurichten. Andererseits können die noch vergebenen Termine als noch frei für die Personen angezeigt werden, die sich selbst über die Doctolib-Webseite oder die Doctolib-App einen Termin buchen wollen.
Unterschiedliche Rechtsverhältnisse und Verantwortlichkeiten
Um nun die Frage, ob die Kritik an Doctolib berechtigt ist und ob Arztpraxen die Terminverwaltung von Doctolib datenschutzkonform in Anspruch nehmen kann, muss man sich zunächst die datenschutzrechtliche Verantwortlichkeit ansehen:
Doctolib ist ausweislich der Allgemeinen Nutzungsbedingungen (ANB) für die verschiedenen Leistungen, die das Unternehmen seinen Nutzern anbietet, datenschutzrechtlich selbst verantwortlich.
Doctolib bietet die Nutzung des Ärzteverzeichnisses, eine Online-Terminbuchung, eine Telekonsultation (Videosprechstunde) und eine Dokumentenverwaltung für medizinische Dokumente, Befunde etc. an. Diese Leistungen erbringt Doctolib über seine Webseite und seine App, die via Apple-Store oder Google Play Store geladen werden kann. Wer die Leistungen in Anspruch nehmen will, muss einen kostenlosen Nutzungsvertrag mit Doctolib abschließen und hierzu die ANB akzeptieren. Dieser Leistungsbereich von Doctolib liegt also außerhalb der Verantwortung von Arztpraxen, die die Terminverwaltungsleistung von Doctolib nutzen.
Ärzte sind datenschutzrechtlich selbst für die Sicherheit der Daten ihrer Patienten verantwortlich. Das ergibt sich aus dem ärztlichen Berufsrecht, § 9 MBOÄ, dem strafbewehrten Berufsgeheimnis des § 203 StGB und der EU-Datenschutzgrundverordnung, Art. 9 DSGVO sowie § 22 BDSG.
Ärzte dürfen datenschutzrechtlich, wie alle anderen Verantwortlichen auch, Datenverarbeitungsprozesse outsourcen und sich entsprechender Dienstleister bedienen. Diese sind streng weisungsgebunden, dürfen die zu verarbeitenden Daten nicht für eigene Zwecke nutzen und haben die nach Art. 32 DSGVO zu vereinbarenden technischen und organisatorischen Datenschutzmaßnahmen umzusetzen. Der Verantwortliche, hier also die Arztpraxis, muss hierzu mit dem Auftragsverarbeiter, in dem Fall Doctolib, einen Vertrag zur Auftragsverarbeitung (kurz AVV) nach Art. 28 DSGVO abschließen, der standardmäßig von Doctolib angeboten wird.
Die Besonderheit an einem Auftragsverarbeitungsvertrag ist, dass dieser eine faktische Privilegierung des Auftragsverhältnisses darstellt, der Gesetzgeber dadurch die Arbeitsteilung und Spezialisierung in der Wirtschaft anerkennt und nicht im Rahmen eines Einwilligungserfordernisses zur Disposition der Betroffenen, hier der Patient.
Kurz gesagt: der Arzt braucht keine Einwilligung, um einen Auftragsverarbeiter einzuschalten, also auch nicht, um Doctolib für die Terminverwaltung in einer Arztpraxis zu nutzen.
Die für die deutsche Doctolib GmbH zuständige Datenschutz-Aufsichtsbehörde in Berlin schreibt dazu in einer FAQ:
Arztpraxen setzen Terminverwaltungs-Unternehmen in der Regel als so genannte Auftragsverarbeiter ein. Als Auftragsverarbeiter sind diese Unternehmen bei der Datenverarbeitung, die sie für die Arztpraxen vornehmen, streng an die Weisungen der Arztpraxen gebunden. Das schließt insbesondere eine Datenverarbeitung durch den Auftragsverarbeiter zu eigenen Zwecken aus. Außerdem sind die Praxen gesetzlich dazu verpflichtet, die von ihnen eingesetzten Auftragsverarbeiter zur Verschwiegenheit zu verpflichten. Für den Einsatz eines Auftragsverarbeiters müssen Arztpraxen keine Einwilligung der Patient*innen einholen. Sie müssen die Patient*innen allerdings in ihrer Datenschutzinformation über den Einsatz von Auftragsverarbeitern informieren.
Informationspflicht über Dienstleister
Es besteht lediglich eine Informationspflicht nach Art. 13 DSGVO. Nach Art. 13 Abs. 1 e) DSGVO ist der Veranwtortliche verpflichtet, konkrete Empfänger oder Kategorien von Empfänger personenbezogene Daten anzugeben, wozu auch Auftragsverarbeiter gehören. Umstritten ist, ob der konkret Empfänger genannt werden muss oder die Angabe einer Kategorie von Empfänger (Auftragsverarbeiter) genügt. Die Datenschutzaufsichtsbehörden vertreten die Ansicht, dass nach Möglichkeit der Empfänger konkret anzugeben ist, da der Betroffene wissen soll, wer seine Daten verarbeitet.
Bei der telefonischen Terminvereinbarung muss die Datenschutzinformation nicht am Telefon erfolgen, sondern kann alsbald z.B. im Rahmen einer Terminbestätigung per E-Mail oder auch erst vor Ort in der Arztpraxis erfolgen.
Siehe LDA Sachsen TB 2017/2018, dort „3.1.3 Auslegung des Artikel 13 DSGVO zur Informationspflicht der betroffenen Personen bei Direkterhebungen“
Strafbarkeit beim Einsatz von IT-Dienstleistern in Arztpraxen
Mit einer Strafgesetzänderung im Herbst 2017 hat der Gesetzgeber anerkannt, dass auch Berufsgeheimnisträger, wozu auch Ärzte gehören, sich der Unterstützung von IT-Spezialisten – im Gesetz „sonstige mitwirkende Personen“ genannt – bedienen dürfen. Allerdings muss der Berufsgeheimnisträger diese Personen darüber belehre, dass diese sich ebenfalls strafbar machen, wenn sie gegen unbefugt diese Geheimnisse offenbaren, § 203 Abs. 4 StGB. Der AV-Vertrag von Doctolib enthält eine entsprechende Klausel. Auch strafrechtlich steht dem Einsatz eines so verpflichteten Dienstleisters nichts entgegen.
Terminvereinbarung oder Terminabsage durch andere Personen als den Patienten selbst
Soll ein Termin durch einen Dritten (z.B. Ehepartner, Kind, Pflegedienst) abgesagt oder verschoben werden, bedarf es hierzu einer Einwilligung bzw. Bevollmächtigung durch den Patienten. Siehe Ziff. 21 der FAQ der Landesdatenschutzaufsicht Niedersachsen
Datenschutzrechtliche Kritik
Ändert sich die das gefundene Ergebnis der datenschutzrechtlichen Zulässigkeit des Einsatzes von Doctolib durch die vorgetragene Kritik an Doctolib? Soweit mir bekannt ist, bezieht sich die datenschutzrechtliche Kritik an Doctolib auf die Einbindung von Marketing- und Tracking-Cookies auf der Doctolib-Webseite bis ca. Mitte 2021, die sich auch auf die Android-App auswirkte. Zudem kam es bei Kunden von Doctolib zu Datenpannen durch Sicherheitslücken, die dazu geführt haben, dass auf die Termindaten dieses Kunden über die Sicherheitslücken in dem System dieses Kunden zugegriffen werden konnte. Einerseits betrifft die Kritik an der Datenverarbeitung über die Doctolib-Webseite und App ausschließlich die Verantwortung von Doctolib und nicht die an Doctolib angeschlossenen Arztpraxen und andererseits lobt das Unternehmen, welches das Tracking aufgedeckt hat, selbst, dass Doctolib sehr schnell auf die Kritik reagiert hat. Tracking ist nicht generell unzulässig, wenn man darauf hinweist und die erforderliche Einwilligung hierzu einholt. Allerdings ist es nicht einfache, eine rechtssichere Einwilligung nach Art. 7 DSGVO und nach § 25 TTDSG einzuholen und es war wohl nicht sicher, ob die Einwilligung von Doctolib im Rahmen des Cookie-Banners bzw. Consent-Management-Systems ausreichend war. Doctolib hat jedenfalls Tracking- und Werbecookies von seiner Seite entfernt und die Datenempfänger Facebook und Outbrain zur Löschung der zuvor übermittelten Daten aufgefordert. Wie ein Scan mit einem Webseitenanalysetool zeigt, werden die in den Berichten erwähnten Datenempfänger nicht mehr eingebunden. Lediglich die datenschutzrechtlich kritische Einbindung von dynamischen Google-Fonts erfolgte am 02.03.2022. Dafür ist aber Doctolib und nicht die Arztpraxis verantwortlich.
Dass Doctolib nicht für die Schutzlücken bei Dritten verantwortlich ist, bedarf keiner weiteren Erläuterung.
Somit spricht datenschutzrechtlich unter den hier beleuchteten Aspekten datenschutzrechtlich nichts gegen den Einsatz eines IT-Dienstleisters, wie Doctolib, für die Terminverwaltung in einer Arztpraxis.
Autor: David Seiler, Rechtsanwalt, Lehrbeauftragter Datenschutzrecht und IT-Security Law (b-tu)