Externe Terminverwaltung
Die Terminverwaltung insbesondere per Telefon stellt für Heilberufspraxen eine permanente Dauerbelastung dar. Es ist deshalb nicht verwunderlich, dass immer mehr Praxen an eine Auslagerung der Terminvergabe auf das Internet unter Einbindung externer Dienstleister nachdenken. Dementsprechend ist in den letzten Jahren das Angebot von Unternehmen für derartige Dienstleistungen stetig gestiegen. Dabei haben sich unterschiedliche Modelle herausgebildet:
- Terminvereinbarung über die Homepage der Heilberufspraxis mit Unterstützung eines Dienstleisters
- Terminvereinbarung über Plattform eines externen Unternehmens im Internet
Verarbeitung von Patientendaten
Die Auslagerung der Terminverwaltung geht einher mit einer externen Verarbeitung von Patientendaten durch die beauftragten Dienstleister. Inwieweit es dabei auf die Einwilligung der Patientinnen und Patienten ankommt, hängt davon ab, in welchem Umfang die Praxis dem beauftragten Unternehmen im Vorfeld der Auslagerung Patientendaten bereitstellt und ob eine Terminbuchung über die Homepage der Praxis via eines von einem Dienstleister eingebetteten Buttons oder über ein beim Dienstleister anzulegendes Nutzerkonto erfolgt.
Sofern eine Heilberufspraxis einen Dienstleister zur Verwaltung von Behandlungsterminen beauftragen möchte, ist dies grundsätzlich auch ohne Einwilligung der Patientinnen und Patienten der Praxis zulässig, sofern es sich datenschutzrechtlich um eine Auftragsverarbeitung nach Art. 28 DS-GVO handelt. Voraussetzung dazu ist, dass die Praxis dem beauftragten Unternehmen auf der Grundlage eines Vertrags verbindlich Gegenstand, Dauer, Art und Zweck der in diesem Zusammenhang beabsichtigten Datenverarbeitung vorgibt und die Art der zu verarbeitenden Daten einschließlich der Verteilung der datenschutzrechtlichen Pflichten und Rechte zwischen Auftraggeber und Auftragnehmer festlegt. Näheres ergibt sich aus Art. 28 Abs. 3 DS-GVO.
Im Rahmen einer derartigen Beauftragung dürfen personenbezogene Daten zwischen Auftraggeber und Auftragnehmer auch ohne Einwilligung der Patientinnen und Patienten ausgetauscht bzw. übermittelt werden, wenn die Kenntnis der Daten zur Erfüllung des Auftrags erforderlich ist. Im Zusammenhang mit den Aufgaben der externen Terminverwaltung bedeutet dies, dass nur solche Patientendaten ohne Einwilligung durch die Praxis an das Unternehmen übermittelt werden dürfen, die tatsächlich für die Vergabe von Behandlungsterminen erforderlich sind.
Welche das sind, hängt von der konkreten Ausgestaltung und der seitens des Dienstleisters angebotenen Terminbuchungsverfahrens ab. Es dürfen zumindest nur die Daten solcher Patientinnen und Patienten sein, bei denen die Terminvereinbarung wahrscheinlich ist. Eine pauschale Bereitstellung von Daten aller jemals in der Praxis behandelten Personen, also auch von denen, die mittlerweile verstorben sind oder bei denen das Behandlungsverhältnis beendet wurde, scheidet auf jeden Fall aus. Ob und ggf. welche patientenbezogenen Gesundheitsangaben an den Dienstleister übermittelt werden, sollte im Einzelfall geklärt werden. Im Zweifel hat der Dienstleister die Erforderlichkeit der von ihm angeforderten Daten zu belegen. Sofern die Kenntnis von Patientendaten für die Vergabe der Behandlungstermine nicht erforderlich, aber hilfreich sein sollte, wäre deren Bereitstellung im Rahmen einer informierten Einwilligung denkbar.
Terminerinnerungen nur mit Einwilligung
Im Wege eines erweiterten Serviceangebots besteht häufig die Möglichkeit, den Patientinnen und Patienten der Praxis eine Terminerinnerung zuzusenden. Auf der Basis einer informierten Einwilligung der Betroffenen und insbesondere unter Festlegung des zu nutzenden Kommunikationskanals (SMS, E-Mail o.ä.) dürfen die zu diesem Zweck erforderlichen Kontaktdaten seitens der Praxis dem Dienstleister bereitgestellt werden.
Löschung von Termineintragungen im Kalender
Eine Speicherung der patientenbezogenen Eintragungen im Terminkalender ist nach Ablauf des vereinbarten Termins nicht mehr erforderlich. Der Terminkalender selbst ist nicht Teil der berufs- und vertragsrechtlich zu führenden Behandlungsdokumentation. Die Daten sind deshalb durch den Dienstleister innerhalb einer kurzen Frist zu löschen. Dies sollte die Praxis im Vorfeld der Beauftragung mit dem Dienstleister festlegen und im weiteren Verlauf überprüfen.
Online-Terminbuchung über ein Nutzerkonto
Teilweise bieten Unternehmen die Möglichkeit der Online-Terminbuchung nur unter der Voraussetzung an, dass die Patientinnen und Patienten zunächst ein Nutzerkonto bei dem Dienstleister anlegen, über den dann Terminvereinbarungen mit Heilberufspraxen getroffen, aber auch andere telematische Anwendungen genutzt werden können. In diesem Fall ist zwischen dem Auftragsverhältnis zwischen Praxis und Dienstleister und dem Vertragsverhältnis zwischen den einzelnen Patientinnen und Patienten und dem Unternehmen zu differenzieren. Das Anlegen des Nutzerkontos basiert ausschließlich auf der gegenüber dem Unternehmen abzugebenden Zustimmung der Patientinnen und Patienten zu einer entsprechenden vertraglichen Vereinbarung. Eine Datenverarbeitung im Zusammenhang mit der Anlage und der Verwaltung des Nutzerkontos bedarf regelmäßig der Einwilligung der Nutzerinnen und Nutzer und hat zunächst noch keinen Bezug zu dem Auftrag einer Heilberufspraxis zur externen Terminverwaltung. Den Betroffenen sollte es selbst überlassen sein, ob und ggf. inwieweit zum Zwecke des Betriebs des Nutzerkontos ihrerseits Gesundheitsdaten bereitgestellt werden.
Die mit dem Anlegen eines Nutzerkontos verbundene zusätzliche Verarbeitung personenbezogener Daten der Patientinnen und Patienten steht aus datenschutzrechtlicher Sicht im Widerspruch zu dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DS-GVO. Heilberufspraxen, die einen Dienstleister zur externen Terminverwaltung auswählen, sollten dies berücksichtigen.
Check
- Setzt der ausgewählte Dienstleister für die Auslagerung der Vergabe von Behandlungsterminen das Anlegen eines Nutzerkontos voraus? Welche Gründe sprechen angesichts des Grundsatzes der Datenminimierung dennoch für diesen Dienstleister?
- Liegt der Beauftragung des Terminverwaltungsunternehmens ein wirksamer Vertrag im Sinne des Art. 28 Abs. 3 DS-GVO zugrunde?
- In welchem Umfang sollen Patientendaten dem beauftragten Dienstleister zur Terminverwaltung durch die Praxis bereitgestellt werden? Sind die erbetenen Daten zur Auftragserfüllung tatsächlich erforderlich? Auf welcher Rechtsgrundlage basiert die Datenübermittlung?
- In welcher Weise werden die Patientinnen und Patienten über die Auslagerung der Terminvergabe informiert?
- Unter welchen Voraussetzungen erfolgt die Versendung von Terminerinnerungen?
- Wie lange werden patientenbezogene Termineintragungen im Online-Kalender gespeichert?
Links
Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement (externer PDF-Download)