Die Datenschutzkonferenz (DSK) hat mit der aktuellen Bewertung des Online-Terminmanagementsystems Doctolib eine kritische Haltung gegenüber diesem cloudbasierten Dienst eingenommen. Auch die Deutsche Datenschutzvereinigung (DVD) hat sich kritisch gegenüber Doctolib positioniert.
Die Sensibilisierung für den Schutz besonders schützenswerter Gesundheitsdaten ist zweifellos berechtigt und notwendig. Gleichzeitig zeigt die öffentliche Debatte, dass differenzierte Analysen oft zu kurz kommen. Begriffe wie „Datenkraken“ erschweren eine sachliche Auseinandersetzung mit der Frage, wie cloudbasierte Systeme datenschutzkonform ausgestaltet werden können. Grundsätzlich besteht auf Seiten der Praxen ein hoher Bedarf, solche cloudbasierten Lösungen zu nutzen, sofern die datenschutzrechtlichen Grundprinzipien – wie Zweckbindung, Datenminimierung, technisch-organisatorische Maßnahmen und klar geregelte Auftragsverarbeitung – eingehalten werden. Neben den benötigten Funktionen können solche Anbieter häufig einen besseren Schutz vor Cyberrisiken bieten, als es eine Praxis mit ihren begrenzten Mitteln umsetzen kann.
Am Beispiel Doctolib wird deutlich, dass pauschale Kritik nicht leider keinen Weg aufweist, wie solch ein Dienst datenschutzkonform eingesetzt werden könnte. Es bedarf es einer präzisen Aussage: Welche datenschutzrechtlichen Anforderungen werden nicht erfüllt? Wo bestehen konkrete technische oder vertragliche Defizite? Eine sachlich geführte Diskussion, die aber auch durch den Anbieter mit konkreten Informationen zu den ergriffenen Datenschutzmaßnahmen unterstützt wird, kann wesentlich zur Verbesserung der Datenschutzpraxis beitragen.
Vor diesem Hintergrund stellt sich für betriebliche Datenschutzbeauftragte in Arztpraxen oder medizinischen Einrichtung ganz konkret die Frage, welche Anforderungen erfüllt werden müssen, um den Einsatz cloudbasierter Terminmanagementlösungen datenschutzkonform zu gestalten. Dabei ist die Aufgabe des Datenschutzbeauftragten nicht nur fokussiert auf technische oder formale Aspekte, sondern sie verlangt eine umfassende datenschutzrechtliche Bewertung auf Basis der tatsächlichen Systemarchitektur, der vertraglichen Regelungen und der praktischen Umsetzung im Alltag der Einrichtung.
Was bedeutet das für Datenschutzbeauftragte?
Für betriebliche Datenschutzbeauftragte ergibt sich daraus eine klare Handlungsaufforderung: Datenschutzbeauftragte müssen überprüfen, dokumentieren und bewerten, ob und wie ein externer Dienstleister – wie Doctolib – datenschutzkonform eingesetzt werden kann. Dabei stehen insbesondere folgende Prüfbereiche im Fokus:
- Abschluss eines wirksamen Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO, welcher die Verarbeitung personenbezogener Daten regelt.
- Transparente Information der betroffenen Personen über die Datenverarbeitung und Identität des Dienstleisters, welcher bei der Datenverarbeitung involviert.
- Sicherstellung geeigneter technischer und organisatorischer Maßnahmen seitens des Dienstleisters, welche den Schutz der sensibler Patientendaten gewährleistet. Hierbei ist insbesondere das Vorhandensein eines C5-Testats zu prüfen.
- Eindeutige Regelung der Verantwortlichkeiten hinsichtlich der Betroffenenrechte und, Datenlöschung.
- Risikoabschätzung in Form einer Datenschutz-Folgenabschätzung für die Verarbeitung besonders sensibler Daten in der Cloud.
- Rollenklärung: Ist der Dienstleister tatsächlich als Auftragsverarbeiter tätig oder verarbeitet dieser Daten (z. B. durch Registrierungspflicht) für eigene Zwecken.
Nur wenn die datenschutzrechtlichen Anforderungen konsequent berücksichtigt werden, kann der Einsatz digitaler Terminverwaltungsdienste wie Doctolib im Einklang mit der Datenschutz-Grundverordnung erfolgen.
Klare Zweckbindung und Rollenabgrenzung bei der Auftragsverarbeitung
Aus datenschutzrechtlicher Sicht ist entscheidend, dass personenbezogene Daten ausschließlich im Auftrag der Arztpraxis oder medizinische Einrichtung verarbeitet werden. Ein eingesetzter Dienstleister darf die übermittelten Daten nicht für eigene Zwecke nutzen und weiterverarbeiten. Hier muss eine strikte Trennung zwischen den Leistungen, welche im Auftrag der Praxis erbracht werden, und eigenen Interessen des Dienstleisters gewährleistet sein.
Sobald der Dienstleister Daten zu eigenen Zwecken verarbeitet (bspw. für Werbung, Profilbildung oder eigenständige Nutzeranalysen), verlässt der Dienstleister die Rolle des Auftragsverarbeiters und wird eigenständig Verantwortlicher. Dies hätte weitreichende Konsequenzen für die datenschutzrechtliche Zulässigkeit der Zusammenarbeit.
Eine besondere datenschutzrechtliche Aufmerksamkeit ist erforderlich, wenn die Nutzung eines Dienstes an eine Zwangsregistrierung für Patienten geknüpft ist. In einem solchen Fall kann nicht mehr ausgeschlossen werden, dass der Dienstleister Daten für eigene Zwecke verarbeitet und die Rolle des Auftragsverarbeiters verlässt. Eine derartige Konstellation bedarf einer besonders sorgfältigen datenschutzrechtlichen Bewertung, da diese Auswirkungen auf die Rechtsgrundlage, die Betroffenenrechte sowie die Transparenzpflichten nach Art. 13 und 14 DSGVO hat.
Da in der praktischen Umsetzung eine Kontrolle darüber, welche personenbezogenen Daten aus dem Verantwortungsbereich der Arztpraxis oder medizinische Einrichtung in die Systemumgebung eines externen Dienstleisters, wie etwa Doctolib, übergehen, nur eingeschränkt möglich ist, ergibt sich daraus ein erhebliches datenschutzrechtliches Risiko.