POLITIK | 57 zm115 Nr. 07, 01.04.2025, (563) DIENSTLEISTER BEIM TERMINMANAGEMENT Wenn Ärzte externe Dienstleister zum Terminmanagement einbeziehen, gibt es vieles zu beachten, erklärt die Berliner Datenschutzbeauftragte auf ihrer Webseite in ihren FAQ „Terminverwaltung in Arztpraxen“ (Auszug): „Sie müssen die Dienstleister danach beurteilen, ob sie ausreichende technische und organisatorische Maßnahmen treffen. Das ist nicht einfach. Lassen Sie sich am besten unabhängig beraten. Haben die Dienstleister ein anerkanntes Datenschutz- oder zumindest Informationssicherheitszertifikat für die gesamte von Ihnen in Anspruch genommene Dienstleistung erhalten, können Sie dies positiv berücksichtigen. Bekannt gewordene Sicherheitsvorfälle sind dagegen ein negatives Indiz. Besonderes Augenmerk bedarf die Sicherheit der Webanwendung bzw. der mobilen App, die Sie Ihren Patient:innen für die Buchung eines Termins in Ihrer Praxis über die Dienstleister bereitstellen, einschließlich aller Schnittstellen, über die aus dem Internet auf die dafür genutzten Systeme zugegriffen werden kann. Ebenso wichtig ist der sichere Anschluss der Systeme der Dienstleister an Ihr Praxissystem. Aus dem Betrieb des Diensts für das Terminmanagement dürfen für die in Ihrem Praxisverwaltungssystem gespeicherten Daten keine signifikanten zusätzlichen Risiken entstehen. Daher ist stets vorzusehen, dass die Verbindung zwischen Praxissystemen und den Systemen der Dienstleister von Ihrer Praxis aus aufgebaut wird und sichere Verfahren für Authentifikation und Verschlüsselung zum Einsatz kommen. Darüber hinaus müssen Sie Dienstleister, die Zugriff auf Daten haben, die der Schweigepflicht unterliegen, unter Verweis auf die strafrechtlichen Bestimmungen zur Geheimhaltung verpflichten. Die Dienstleister müssen das ihrerseits mit ihrem Personal und allen Unterauftragnehmern tun. Auch wenn die Dienstleister ihren Sitz in Deutschland haben, kann es sein, dass sie weitere Dienstleister aus dem Ausland einschalten. Dies können zum Beispiel Cloud-Anbieter sein, die die Dienstleister möglicherweise einsetzen, um die eigene Datenverarbeitung zu betreiben. Beachten Sie, dass auch die Einbindung von Drittinhalten in einer App oder auf einer Website (beispielsweise Schriftarten, Stadtpläne, Skripte) dazu führt, dass diese Dritten Kenntnis von personenbezogenen Daten erhalten. Hierfür gibt es regelmäßig keine Rechtsgrundlage. Besondere Probleme ergeben sich, wenn Dienstleister entweder Server außerhalb Deutschlands betreiben oder von Orten außerhalb Deutschlands Zugriffsmöglichkeiten auf die Daten bestehen, etwa im Rahmen von Support, Administration oder Wartung. Sollten Sie in Betracht ziehen, Dienstleister einzuschalten, bei denen irgendein Schritt der Datenverarbeitung (einschließlich Support, Administration, Wartung, auch durch weitere Dienstleister) außerhalb Deutschlands erfolgt, sollten Sie spezialisierten datenschutzrechtlichen Rat einholen. Auch wenn europäische Tochtergesellschaften von Nicht-EU/EWR-Unternehmen (insbesondere aus den USA) einbezogen werden, etwa für den Betrieb der Server, müssen Sie sicherstellen, dass diese nicht etwa personenbezogene Daten an ausländische Behörden herausgeben müssen. Technische und vertragliche Maßnahmen werden hier in der Regel nicht helfen. Wenn Sie nicht sicher nachweisen können, dass die Dienstleister – und alle weiter einbezogenen Dienstleister – diese Anforderungen erfüllen, dürfen Sie diese nicht einsetzen. Sie dürfen nur diejenigen Daten für das Terminmanagement verwenden, die dafür notwendig sind. Daraus folgt die Anforderung, an die Dienstleister nur diejenigen Daten zu übergeben, die diese zur Erbringung der Dienstleistung benötigen. In der Regel sollte es genügen, dass die Dienstleister selbst die für die Buchung des Termins notwendigen Daten erheben, sodass es nicht notwendig ist, den Dienstleistern vorab personenbezogene Daten Ihrer Patient:innen bereitzustellen. Sie dürfen keine Daten für das Terminmanagement länger als für diesen Zweck erforderlich speichern. Bedenken Sie: Nimmt ein:e Patient:in den vereinbarten Termin wahr, dann dokumentieren Sie die für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse sowie gegebenenfalls deren Abrechnung in Ihrem Praxisverwaltungssystem und bewahren die Angaben dort auf, bis zehn Jahre nach Abschluss der Behandlung vergangen sind. Die in Ihrem Terminmanagementsystem gespeicherten Daten werden für Dokumentationszwecke dagegen nicht benötigt und sind daher im Anschluss an den Termin nach einer kurzen Frist zu löschen. Die Verpflichtung der Dienstleister, diese Löschung vorzunehmen, sollten sie vertraglich festhalten. Für die Daten von Patient:innen, die nicht zu dem vereinbarten Termin erscheinen, gilt das Gleiche. Sie können die Daten nur dann länger speichern, wenn Sie für den Ausfall Schadensersatz geltend machen und auch dann nur so lange, wie hierfür notwendig." durch weitere Dienstleister) außerhalb Deutschlands erfolgt, sollten Sie spezialisierten datenschutzrechtlichen Rat einholen." Eine Empfehlung für Unternehmen mit einem besonders hohen Datenschutzstandard kann die Behörde nicht aussprechen. Man prüfe Dienstleister, wenn Beschwerden eingehen oder auch von Amts wegen. Diese Prüfungen seien in aller Regel jedoch nicht umfassend – mit der jetzt bekanntgewordenen Einschränkung: Die Berliner Doctolib GmbH muss von der französischen Datenschutzbehörde CNIL geprüft werden. mg
RkJQdWJsaXNoZXIy MjMxMzg=