Datenschutz bei Terminvergabeportalen

Mit einem Klick zum Termin

Die moderne, digitalisierte Welt bringt vor allem viel Bequemlichkeit mit sich. Während man in privaten Haushalten bereits seinen Herd, vom Urlaub in Süditalien aus, ausstellen kann, wird bereits Geld erpresst, indem Hacker, die sich rechtlich nicht nachverfolgen lassen, Kühlschränke als Geisel nehmen.
Doch auch viel simpleren und weniger spektakulären Bereichen liegen Probleme zugrunde. Früher war es normal bei einem Termin beim Hausarzt in der Praxis einfach anzurufen und persönlich zu klären, wann denn ein Zeitfenster frei ist. Nicht dass diese, etwas antiquierte, Methode heute nicht mehr Verwendung findet, jedoch ist es für viele Menschen inzwischen angenehmer, die Online-Terminvereinbarung zu nutzen.
Dabei kann man, ohne zwischenmenschliche Interaktion, einfach seine Daten eingeben und dann, mit einem Klick, hat man bereits einen Termin. Keine nervigen Anrufs-Versuche und keine Probleme damit, einen Termin außerhalb der Öffnungszeiten zugeteilt zu bekommen.
Doch was ist die Kehrseite der Medaille?
Daten, die Rückschlüsse auf eine Person zulassen, nennen sich personenbezogene Daten. Und diese sind spätestens seit dem die DSGVO existiert besonders relevant. Denn der Datenschutz ist in der EU von überragender Bedeutung.

Pflichten der Verantwortlichen

Doch was bedeutet das für die Personen, die die Daten erhalten? Welchen Verpflichtungen müssen sie gerecht werden.
Natürlich benötigt der behandelnde Arzt Gesundheitsdaten. Diese müssen aber vertraulich behandelt werden. Auch personenbezogene Daten unterteilen sich noch einmal. Die Verarbeitung gewöhnlicher personenbezogene Daten muss auf einer Rechtsgrundlage, gem. Art. 6 Abs. 1 DSGVO beruhen. Daneben existieren auch besondere Kategorien personenbezogener Daten. Aufgelistet in Art. 9 Abs. 1 der Datenschutzgrundverordnung finden sich dort auch Gesundheitsdaten, für deren Verarbeitung dann noch einmal gesonderte, strenge Vorgaben gelten.
Doch was heißt das konkret?
Zum einen muss die Erfassung und Verarbeitung solcher Daten zweckgebunden sein. Alle Daten, die nicht für den eigentlich Zweck relevant sind, dürfen grundsätzlich nicht erfasst werden. Ein weiteres, großes Problem ist, wer die Daten in die Hände bekommt. Denn dies sollte eigentlich nur Fachpersonal. Seit dem Schrems-II-Urteil ist klar, dass Daten eigentlich nicht in Drittländer übersandt werden sollten. Doch genau dies ist in der Vergangenheit, in Zusammenhang mit Drittanbietern, geschehen.

Doctolib und Jameda

Internet-Portale wie Jameda oder Doctolib sind bereits unangenehm aufgefallen. Dies sind Plattformen, auf denen Ärzte gefunden werden können und Termine vereinbart werden können.
Jameda

Jameda hat eine lange Historie, die bereits 2007 begann. Seit 2021 ist das Unternehmen in Händen der DocPlanner Group, einem polnischen Unternehmen. Das Unternehmen hat monatlich viele Millionen Nutzer und registriert sind dort, allein in Deutschland, 10- 100 tausende Ärzte. In der Kritik stand dieses Portal jedoch häufig. Sei es wegen Einschränkungen der Meinungsfreiheit oder wegen Konflikten mit Ärzten. Zwei Parteien gerieten in Konflikt, weil Jameda als Betreiber eines Online-Bewertungsportals für Ärzte, eine höhere Prüfungspflicht für Beiträge vorgeschrieben ist. So klagte ein Arzt gegen die Plattform, weil eine Bewertung auf seiner eigenen Seite wohl scheinbar auf einer nicht real-existenten Behandlung beruhte. Die Plattform muss also Beiträge in Zukunft strenger überprüfen, sagt der BGH. Jameda und der Datenschutz wurden 2021 bei einem Beitrag von Stiftung Warentest miteinander in Verbindung gebracht. Dort bekam die Plattform eine Note von 1,9 in Sachen Datenschutz.

Doctolib

Aus Datenschutz-rechtlicher Sicht, viel brisanter, ist jedoch der französische Anbieter Doctolib. Der Doctolib-Datenschutzskandal aus dem Jahr 2021 ging durch die Medien. Scheinbar hatte der Anbieter Daten an unter anderem Facebook übertragen, woraufhin eine Untersuchung gegen das Portal eingeleitet wurde. Der Vorwurf klingt dramatisch. Und er ist es auch. Doctolib soll, durch ein Sicherheitsleck, das sich Hacker zunutze machten, Unbefugten die Möglichkeit gegeben haben, auf 150 Millionen Terminvereinbarungen zugreifen zu können. Mit inbegriffen auch: welche Patienten bei welchen Ärzten waren; wann, welche Termine wahrgenommen wurden und sogar welche Behandlungen durchgeführt wurden. Scheinbar konnten sogar Termine nachverfolgt werden, die bereits drei Jahrzehnte in der Vergangenheit lagen.
Doctolib weist die Anschuldigungen in diesem Ausmaß bis heute von sich, jedoch räumt das Unternehmen ein, dass Sicherheitslücken existiert haben. Davon, dass Doctolib Wert auf Datensicherheit legte, konnte zumindest in der Vergangenheit nicht wirklich gesprochen werden. Doctolib und der Datenschutz kollidierten auch öffentlich miteinander, als das Unternehmen 2021, von dem Verein Digitalcourage, den Big Brother Award erhielt und dies für falschen Umgang mit vertraulichen Daten von Kunden.

Wie schützt man seine Daten?

Bei solch einer negativen Publicity stellt sich die Frage, wie man seine Daten am besten schützen kann, will man nicht auf den eingangs genannten Komfort der Ärzteportale verzichten.
Natürlich gibt es keinen endgültigen Schutz, der vor allen Gefahren bewahrt, die in Zusammenhang mit dem Datenschutz stehen.
Wichtig ist es dennoch, nur die nötigsten Daten in das Portal einzugeben, um nicht zu viele sensible Daten der Plattform zu überlassen. Auch sind, je nach Portal, die Nutzungsparameter unterschiedlich, wodurch es wichtig ist, diese im Auge zu behalten und sich möglicherweise der Dienste eines anderen Portals zu bedienen. Zudem gilt das, was grundsätzlich für jeden Account gilt, den man sich erstellt: Keine verknüpften Konten, sichere Passwörter und auch eine regelmäßige Erneuerung der Passwörter. Am Ende bleibt die Frage offen, ob es diese Bequemlichkeit auch wirklich wert ist.

Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einführung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TÜV geprüften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.

Firmenkontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0) 8323 – 209 99 40
info@immerce.de
https://www.immerce-consulting.de/

Pressekontakt
Immerce GmbH
Carvin Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0)8323 – 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/

Die Bildrechte liegen bei dem Verfasser der Mitteilung.

Datenschutz bei Terminvergabeportalen