Wann ein Online-Kalender gegen den Datenschutz verstößt
Die hohen Anforderungen an den Datenschutz, denen auch Arztpraxen nach Inkrafttreten der neuen EU-Datenschutzgrundverordnung (DSGVO) vom 25. Mai dieses Jahres genügen müssen, haben Abmahnanwälten und anderen Scharlatanen Tür und Tor geöffnet.
Fehlende Zustimmung der Patienten
Essenziell im konformen Umgang mit der DSGVO ist für Praxisteams das Verständnis für deren Zweck und Zielsetzung. So gibt die DSGVO den zuständigen Aufsichtsbehörden einen umfassenden Katalog an Untersuchungs- und Abhilfebefugnissen an die Hand, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen.
Grundsätzlich ist eine Arztpraxis somit gut beraten, ihr Datenschutzkonzept und damit die Einhaltung der Datenschutzbestimmungen selbst einer regelmäßigen Überprüfung zu unterziehen und nicht als statischen Ist-Zustand zu begreifen, um bei möglichen aufsichtsbehördlichen Kontrollen bestmöglich gewappnet zu sein.
DSGVO-Fallstricke lauern für Arztpraxen zum Beispiel auch, wenn sie ihren Patienten als Service die Online-Terminvereinbarung anbieten – so zum Beispiel die Datennutzung und -verarbeitung ohne Zustimmung.
Manche Praxen schicken Patienten, wenn diese außerhalb der Sprechstundenzeiten angerufen haben, anschließend über einen Dienstleister eine SMS mit Link zur Online-Terminbuchung.
Dies geschieht offensichtlich, indem die Praxis automatisch die Telefonnummer, von der sie angerufen wurde, erkennt und speichert sowie weitergibt. Dies alles erfolgt allerdings ohne die in der DSGVO verankerte, obligate Zustimmung der betreffenden Patienten.
Jameda: Für Online-Kalender ist Patienteneinwilligung nötig
Wie der Münchener Anbieter Jameda, nach eigenen Angaben Deutschlands größte Arztempfehlung und Marktführer für Online-Arzttermine, auf Nachfrage der „Ärzte Zeitung“ erläutert, benötigen Praxen, die ihre Termine in einem Online-Kalender verwalten und in diesen personenbezogene Patientendaten eintragen, von ihren Patienten gemäß Art. 9 Abs. 2 DSGVO eine Einwilligung.
Zu den personenbezogenen Patientendaten gehören beispielsweise Name, Anschrift und Kontaktmöglichkeit des Patienten sowie Informationen zur Krankheitsgeschichte.
Hierzu sei es für Praxisteams, wie Jameda hinweist, empfehlenswert, mit ihren Patienten einen Auftragsverarbeitungs-Vertrag (AVV) abzuschließen. In der Regel stellen Anbieter von Online-Terminkalendern Praxen einen juristisch geprüften AVV zur Verfügung, heißt es.
Eine Ausnahme gibt es: Ärzte müssen keinen AVV mit Patienten abschließen, wenn diese Termine online buchen und der Anbieter der Online-Terminbuchung sicherstellt, dass Patienten im Buchungsprozess der Weitergabe ihrer Daten zustimmen. Wichtig hierbei ist, dass der Arzt keine weiteren Notizen zum Patienten in den Kalender einträgt.
Kalendereinsicht für Dritte tabu
Bieten Praxen ihren Patienten eine Online-Terminbuchung auf ihrer Praxis-Homepage an – damit ist keine Buchung per E-Mail gemeint –, ist es empfehlenswert, in der Datenschutzerklärung darüber aufzuklären, dass hierfür der Service eines Drittanbieters genutzt wird. Einen entsprechenden Textbaustein stellt der Online-Terminbuchungs-Anbieter in der Regel zur Verfügung.
Eine weitere DSGVO-Schwachstelle in Praxen ist nach Beobachtung von Jameda oft der Terminkalender. Dieser darf für Patienten nicht einsehbar sein.
Lässt es sich nicht vermeiden, dass der Kalender im unmittelbaren Sichtfeld von Patienten ist, sollten Praxen die Möglichkeit haben, die Patientendaten auszublenden, sodass keine personenbezogenen Daten mehr zu sehen sind.
Quelle: www.aerztezeitung.de