Datenschutz in Arztpraxen und Doctolib – was muss beachtet werden?
Die Vereinbarung von neuen Arztterminen, der Überblick über bereits bestehende Termine sowie über benötigte Dokumente und gestellte Diagnosen wird durch den Einsatz verschiedener digitaler Softwarelösungen mittlerweile stark vereinfacht. Dies kommt nicht nur den Patient:innen zugute, sondern vor allem auch den Arztpraxen selbst. Neue Lösungen bergen jedoch auch immer neue Herausforderungen. Besonders im Bereich Datenschutz in Arztpraxen gibt es bei jedem Prozess bestimmte Aspekte zu beachten, um einen reibungslosen Ablauf und die Einhaltung der DSGVO zu garantieren. Welche Stolperfallen finden sich bei Doctolib in Bezug auf den Datenschutz in Arztpraxen und was müssen Praxisinhaber:innen beachten?
Welchen Vorteil bietet Doctolib für Arztpraxen und Patient:innen?
Doctolib ist eine der bekanntesten Softwarelösungen für Online-Buchungen, Terminmanagement, Patientenkommunikation und sogar Videosprechstunden. Die Organisation der Termine wird durch den Einsatz von Doctolib sowohl für die Patient:innen als auch für die Arztpraxen deutlich erleichtert. Über eine App können Patient:innen kinderleicht nach Praxen im Umkreis suchen, welche Doctolib nutzen und entsprechend registriert sind. Das ursprünglich französische Unternehmen im Bereich E-Health mit deutschem Tochterunternehmen in Berlin verspricht ein umfangreiches Leistungsangebot für die reibungslose Abwicklung von Terminbuchungen und digitalen Praxisangeboten.
Doctolib – gibt es einen datenschutzrechtlichen Haken?
Das umfangreiche Angebot täuscht nicht über eine gewisse Skepsis seitens Patient:innen, Datenschützer:innen sowie Sicherheitsforscher:innen gegenüber Doctolib hinweg. Bereits 2021 wurde die Software durch eine Berliner Datenschutz-Aufsichtsbehörde überprüft. Diese Überprüfung geschah auf Grundlage der Meldung unzulässiger Datenweitergaben an zwei große US-Unternehmen. Nach der Meldung reagierte Doctolib mit der – bestätigten – Löschung der Daten durch die beiden Unternehmen. Das zweite Mal erregte Doctolib die Aufmerksamkeit der Datenschutz-Aufsichtsbehörde in Berlin im Zusammenhang mit der Vergabe von Impfterminen. Hierbei ging es um die Nichteinhaltung von Grenzen der Auftragsverarbeitung bzw. um das Versäumnis, einen entsprechenden Vertrag abzuschließen. Durch diese Versäumnisse mussten Berliner Bürger:innen zwangsläufig einen Account bei Doctolib erstellen, um überhaupt einen Impftermin zu erhalten. Die geschilderten Vorfälle sorgten für negative Aufmerksamkeit und die Hinterfragung des Unternehmens. Inwiefern arbeitet Doctolib datenschutzkonform und was müssen Inhaber:innen einer Arztpraxis beachten, um bei der Nutzung von Doctolib die DSGVO einzuhalten?
Welche Patientendaten werden bei der Nutzung von Doctolib verarbeitet?
Um eine datenschutzrechtliche Einordnung vorzunehmen, müssen wir uns erst einmal damit auseinandersetzen, welche Daten Doctolib überhaupt verarbeitet. Für die Registrierung auf der Plattform müssen Patient:innen persönliche Daten wie Name, Telefonnummer und E-Mail-Adresse angeben. Diese werden von Doctolib in eigener Verantwortlichkeit verarbeitet. Gesundheitsdaten kommen erst an der Schnittstelle zu den jeweiligen Praxen ins Spiel. Wird eine Anfrage an die Praxen gestellt, werden Gesundheitsdaten in Form des Besuchsgrundes angegeben und verarbeitet. Welche weiteren Daten erfasst und verarbeitet werden hängt von der jeweiligen gebuchten Leistung ab. Gesundheitsdaten fallen datenschutzrechtlich unter das Berufsgeheimnis und werden beispielsweise bei Videosprechstunden, der Kommunikation mit dem/der Patient:in über den Messenger sowie bei dem Austausch von Dokumenten relevant. Nach eigener Aussage besteht für Doctolib kein Zugang zu Gesundheitsdaten dieser Art.
Des Weiteren haben Arztpraxen die Möglichkeit, Doctolib weiterführend durch einen Anschluss an das eigene Praxisverwaltungssystem zu integrieren. Doctolib ist es untersagt, durch diesen Anschluss erhaltene Daten in jeglicher Form für die eigenen Zwecke zu nutzen. Bei der Nutzung einer Software bestehen folglich unterschiedliche Schnittstellen und Stolperfallen, die es im Hinblick auf den Datenschutz in der eigenen Arztpraxis zu berücksichtigen gilt.
Was gilt es für den Datenschutz in der Arztpraxis bei Nutzung von Doctolib zu beachten?
Wie bereits dargestellt verarbeitet Doctolib Daten unterschiedlicher Art. Bei dieser Datenverarbeitung ist die vertragliche Zuständigkeit unterschiedlich. Tritt Doctolib als klassischer Auftragsverarbeiter auf, wie bei den meisten anfallenden Leistungen, so besteht für die Beteiligten die Pflicht über den Abschluss eines sogenannten Auftragsverarbeitungsvertrags gem. Art. 28 DSGVO. In Bezug auf die Kontoerstellung des/der Patient:in bei Doctolib erfüllt das Unternehmen jedoch nicht nur die Zuständigkeit eines klassischen Auftragsverarbeiters, sondern verarbeitet Daten auch für den eigenen Zweck. In Bezug auf diesen Sachverhalt ist die Lage nicht eindeutig, da nicht bekannt ist, ob seitens Doctolib eine Vereinbarung im Sinne der gemeinsamen Verantwortlichkeit gem. Art. 26 abgeschlossen wird. Die datenschutzrechtliche Betrachtung ist somit nicht nur einseitig zu sehen, sondern stellt die Verantwortlichkeit auf beiden Seiten fest.
Wie müssen Praxiseigentümer:innen ihre Patient:innen informieren?
Arbeitet eine Praxis mit Doctolib zusammen, ist es datenschutzrechtlich zwingend notwendig, die Patient:innen über die Verarbeitung ihrer Daten zu informieren. Dazu wird eine DSGVO konforme Datenschutzerklärung genutzt, in welcher Doctolib als Empfänger/ Empfängerkategorie aufgeführt ist. Dies ist im Hinblick auf die Speicherung der Gesundheitsdaten der Patient:innen auf den Servern von Doctolib sowie im Hinblick auf die Übermittlung dieser Daten unerlässlich. Trotz der Angabe seitens Doctolib, dass das Unternehmen nicht auf die Daten zugreifen kann, müssen Praxisinhaber:innen ihre Patient:innen in Form einer solchen Datenschutzerklärung über die entsprechende Datenverarbeitung informieren. Für die sichere Nutzung von Doctolib ist die Information der Patient:innen hinsichtlich des Datenschutzes in der Arztpraxis essentiell.
Bei der digitalen Übertragung von Patientendaten spielt auch die Diskussion um das E-Rezept eine große Rolle. Wie ist das E-Rezept datenschutzkonform anwendbar und welche Hürden gilt es zu überwinden? Lesen Sie hier mehr zu diesem Thema.