Online-Terminbuchungssysteme in Arztpraxen verarbeiten personenbezogene Daten von Patienten und unterliegen daher der DSGVO; Datenlöschfristen für nicht benötigte Buchungsdaten müssen festgelegt und eingehalten werden.
Patientendaten aus Online-Terminbuchungen müssen gemäß DSGVO nach Wegfall des Zwecks gelöscht werden; für reine Termindaten empfehlen Datenschützer eine Löschfrist von sechs bis zwölf Monaten nach dem Termin. Arztpraxen müssen mit dem Anbieter des Buchungssystems einen Auftragsverarbeitungsvertrag (AVV) schließen.
Hintergrund
Die DSGVO (Art. 5 Abs. 1e) verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Für Online-Terminbuchungssysteme bedeutet das: reine Termindaten (Name, Kontakt, Termin) können nach dem Termin gelöscht werden, sofern kein weiterer Behandlungsvertrag entstanden ist. Ärztliche Dokumentationspflichten (Patientenakte) gelten separat und haben andere Fristen (10 Jahre nach der letzten Behandlung). Ein AVV mit dem Buchungssystem-Anbieter muss vor Inbetriebnahme des Systems schriftlich abgeschlossen sein; ohne AVV drohen DSGVO-Bußgelder.
Wann gilt das nicht?
Interne Terminkalender ohne externe Verarbeitung (z. B. papierbasiert oder lokal auf dem Praxisrechner ohne Cloud) unterliegen nicht der Pflicht zum AVV. Für Kassenpatienten kann die Datenverarbeitung auf § 26 BDSG gestützt werden.
Quellen
Ärzteversichert informiert Praxisinhaber, wie datenschutzrechtliche Verstöße durch Online-Tools in der Praxis das Haftungsrisiko erhöhen können.
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →