Zahnärztliche Mitteilungen Nr. 20

zm 111, Nr. 20, 16.10.2021, (1930) INTERVIEW DR. PATRICK BREYER „EIN KOMPLETTER IMPORT DER STAMMDATEN UND DER TERMINHISTORIE IST UNZULÄSSIG“ Mit dem Fokus auf maximalen Service und wirtschaft- lichen Nutzen für die Mediziner und für sich selbst überschreiten Terminmanagement-Dienstleister nach Einschätzung von Dr. Patrick Breyer klar die zulässigen Möglichkeiten der Auftragsdatenverarbei- tung. Im Interview erklärt er, warum Patienten Terminerinnerungen zustimmen müssen, wann Ärzte mit in der Haftung sind und wie ein gesetzes- konformes Terminmanagement aussieht. Herr Dr. Breyer, auf welcher gesetzlichen Grundlage dürfen Zahnärzte ihre kompletten Patientenstammdaten an Anbieter von Terminmanagement-Dienstleistungen wie Doctolib übertragen? DR. PATRICK BREYER: Im Rahmen der Auftragsdaten- verarbeitung (Artikel 28 DSGVO) kann eine externe Terminvergabe zwar zulässig sein. Ein Stammdaten- Import in Bezug auf sämtliche Patientinnen und Patienten ist aber nicht erforderlich und deshalb auch nicht zulässig: Für die Feststellung der freien Termine in einer Arztpraxis bedarf es keiner namentlichen Zuordnung. Die Berliner Datenschutzbeauftragte (BlnBDI) hat korrekt dargestellt, dass es auch für Terminerinnerungen durch Doctolib einer Einwilligung der Betroffenen bedarf, denn Terminerinnerungen sind für die Erbringung der ärztlichen Leistungen nicht erforderlich. Ist es vor dem Hintergrund der DSGVO zulässig, wenn Zahnärzte teilweise oder komplett die Terminhistorie ins System eines Terminmanagement- Dienstleisters exportierent? Dies ist nicht erforderlich und daher unzulässig. Ist es vor dem Hintergrund der DSGVO zulässig, wenn Doctolib personalisierte Daten von künftigen Terminen in sein System importiert? Die BlnBDI hat korrekt dargestellt, dass es für Terminerinnerungen durch Doctolib einer Einwilligung der Betroffenen bedarf, denn Terminerinnerungen sind für die Erbringung der ärztlichen Leistungen nicht erforderlich. Dementsprechend dürfen auch nur die Termine derjenigen Patienten übermittelt werden, die eingewilligt haben. Im Winter 2020 wurde ein Datenleck bei Doctolib bekannt, das Zugriff auf unverschlüsselte Termindatensätze erlaubt haben soll. Wer haftet in einem solchen Fall für etwaigen Datendiebstahl oder -missbrauch? Eine Auftragsdatenverarbeitung lässt die Verantwort- lichkeit des Auftraggebers unberührt. Er kann im Verschuldensfall haftbar sein. Wenn ein Arzt etwa Kenntnis davon erlangt, dass Doctolib nicht DSGVO- konform arbeitet, wäre er verpflichtet, diese Auftrags- verarbeitung abzubrechen und die Daten wieder selbst oder durch einen anderen DSGVO-konformen Auftragsverarbeiter verarbeiten zu lassen. Wie können sich Zahnärzte im Zusammenarbeit mit Dienstleistern wie Doctolib haftungsrechtlich am besten schützen? Datenschutz-Gütesiegel (wie sie Doctolib nicht hat) können eine Orientierungshilfe bieten. Für verbindliche Auskünfte empfiehlt es sich, den Rat der zuständigen Landesdatenschutzbehörde einzuholen. Was die vertragliche Haftung angeht, kann anwaltliche Hilfe in Anspruch genommen werden. Das Gespräch führte Marius Gießmann. Foto: Oliver Franke Dr. Patrick Breyer ist Jurist, Politiker und Bürgerrechtler. 2006 war der damalige Richter Gründungsmitglied der Piraten- partei und von 2012 bis 2017 Landtagsabgeordneter in Schleswig-Holstein. Bei der Europawahl 2019 war Breyer Spitzenkandidat der Piraten- partei Deutschland und zog ins Europaparlament ein, wo er sich seitdem vor allem um Datenschutzthemen kümmert. 36 | PRAXIS