POLITIK | 63 Beschwerden zufolge null kooperativ und teilte den betroffenen Personen weder die Kontaktdaten der tatsächlich verantwortlichen Praxis mit, „noch informierte es die Praxis über die fehlgeleitete Terminnachricht und das entsprechende Löschungsersuchen der EmpfängerInnen“. Fazit der BlnBDI: „Die betroffenen Personen, deren E-Mail-Adresse oder Telefonnummer unrechtmäßig verwendet wurde, werden durch diese Verfahrensweise sowohl von den ärztlichen Praxen, die solche Terminnachrichten veranlassen, als auch von dem als Auftragsverarbeiter eingesetzten Dienstleister schlicht im Regen stehen gelassen.“ Der Ermahnung der Datenschützer lautet darum, ärztliche Praxen hätten nicht nur die technischen und organisatorischen Maßnahmen zu treffen, die ein Versenden von Nachrichten an falsche EmpfängerInnen verhindern. „Sie sollten zudem einen Link zur Abmeldung in die Nachrichten integrieren, über den die Betroffenen die weitere Zusendung von Nachrichten ablehnen können.“ Stammdaten werden ohne Einverständnis übernommen Ablehnen können PatientInnen einem Bericht des Südwestrundfunks (SWR) zufolge mancherorts nicht einmal die Speicherung ihrer Daten bei Doctolib, wenn der Praxisverbund oder die Klinik den Dienstleister nutzen. In einem konkreten Fall vereinbarte eine Patientin ihren Termin im Schlaflabor der Uniklinik Mannheim 2022 bewusst telefonisch. Ein Jahr später erhält sie plötzlich E-Mails und SMS von Doctolib, die sie an ihren Nachfolgetermin erinnern sollen. Die Rentnerin kennt das Portal für die Vergabe von Arztterminen jedoch überhaupt nicht, schreibt der SWR. „Woher hat Doctolib also ihre sensiblen Daten? Die Betroffene ist sich sicher, nirgends eine Einverständniserklärung zur Freigabe ihrer Daten unterschrieben zu haben.“ Als sie bei der Uniklinik nachhakt, erfährt sie, dass man dort jetzt Doctolib als Terminsoftware nutzt. Ihre Kontaktdaten seien darum dorthin übermittelt worden. Denn sobald eine Praxis oder eine Klinik Doctolib verwendet, greift die Software laut Thilo Weichert – dem ehemaligen Datenschutzbeauftragten von Schleswig-Holstein und DoctolibExperten – auf den kompletten Patientenstammdatensatz zu. Ein Vorgehen, das absolut rechtswidrig ist, ist sich Jurist Weichert sicher. Auf Nachfrage des SWR gibt sich Doctolib hingegen ganz entspannt. Eine Einwilligung der PatientInnen sei nicht erforderlich, damit Patientendaten ins DoctolibTerminmanagementsystem übertragen werden, heißt es. Erst nachdem der Wechsel ins neue System erfolgt sei, „ist es für die Praxen verpflichtend, ihre PatientInnen über die Nutzung von Doctolib für das Terminmanagement zu informieren“. Darauf weise man die Kunden – gemeint sind hier die Ärzte – aber hin, so das Unternehmen. Thema erledigt? Pikantes Detail im Fall der Rentnerin, die mit der Verwendung ihrer Daten nicht einverstanden war: Dem SWR erzählte sie, die Uniklinik habe im Gespräch nach ihrer Untersuchung argumentiert, sie werde nicht mehr behandelt, wenn sie der Terminvergabe über Doctolib nicht zustimmt. Auf die Nachfrage der Journalisten wollte sich die Uniklinik Mannheim dazu dann aber lieber nicht äußern. Die Drohkulisse: Ohne Doctolib keine Behandlung Auch Weichert berichtete dem SWR, dass viele Ärzte und sogar Krankenhäuser und Krankenhausketten mittlerweile voraussetzen, dass PatientInnen die Terminbuchung des umstrittenen Dienstleisters in Anspruch nehmen. Das dürfte wohl an dessen Marktmacht liegen. Seit 2016 baute Doctolib seine Nutzerzahlen – auch mit Maßnahmen wie seiner kostenlosen COVID-Impfvermittlung in Berlin (siehe Kasten) – kontinuierlich aus. Nach Angaben des Unternehmens gehörten Mitte April 13 Millionen Deutsche zu den Kunden. Angeblich werden rund 1,9 Millionen Onlinetermine bei 25.000 Ärzten und Therapeuten pro Monat durch die Dienstleistung vereinbart – Tendenz steigend. mg zm113 Nr. 13, 01.07.2023, (1161) DER FALL BERLIN: COVID-IMPFTERMINE ONLINE GAB'S NUR GEGEN VERTRAGSABSCHLUSS Der Jahresbericht 2022 der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) führt auch noch einmal aus, inwiefern Doctolibs Geschäftspraxis in Zusammenhang mit der COVID-Impf-Organisation in Berlin für Irritationen gesorgt hat (siehe zm 7/2023). Das bereits geschilderte Problem: Um online einen Impftermin zu vereinbaren, mussten die BürgerInnen ein Nutzerkonto bei dem umstrittenen Auftragsverarbeiter anlegen und dafür ein Vertragsverhältnis mit diesem eingehen. Im Anschluss wurden viele BürgerInnen nach der Impfung dann von einer E-Mail des Auftragsverarbeiters überrascht, in der ihnen mitgeteilt wurde, dass ihre persönlichen Impfdokumente (unter anderem der ausgefüllte Anamnesebogen) in ihr Nutzerkonto hochgeladen worden seien, berichten die Datenschützer. Beim Versuch, diese hochgeladenen Impfdokumente in ihrem Nutzerkonto einzusehen, fanden einige BerlinerInnen dann aber nicht ihre eigenen Dokumente, sondern die Dokumente anderer Personen vor. Der Vorfall kommt für die Datenschützer wenig überraschend. Bereits 2020 informierte die BlnBDI die Berliner Gesundheitsverwaltung über Unregelmäßigkeiten bei Doctolib. Dort zeigte man sich uneinsichtig: Statt der wiederholten Forderung der Datenschutzbehörde nachzukommen, einen rechtskonformen Zustand herzustellen, verlängerte der Senat den Vertrag mit dem Auftragsverarbeiter „ohne die datenschutzrechtlich gebotene Anpassung“. Das mag auch an dem unschlagbaren Preis gelegen haben. Denn die Senatsverwaltung kostete die Impforganisation für die Hauptstadt 0 Euro. Die Vermittlungsgebühr zahlten indirekt die Impflinge, indem sie mit einer Buchung die werbewirksamen Kundenzahlen des Unternehmens in die Höhe trieben.
RkJQdWJsaXNoZXIy MjMxMzg=