Online-Terminbuchungssysteme erleichtern die Patientensteuerung, reduzieren Telefonaufkommen und verbessern die Patientenzufriedenheit erheblich. Gleichzeitig stellt die Verarbeitung von Patientendaten über digitale Buchungsplattformen erhöhte datenschutzrechtliche Anforderungen. Ärzte müssen bei der Auswahl und dem Betrieb von Buchungssystemen sowohl DSGVO-Konformität als auch Berufsrecht beachten.
Das Wichtigste auf einen Blick
- Online-Terminbuchung muss DSGVO-konform sein und eine Auftragsverarbeitungsvereinbarung (AVV) mit dem Anbieter erfordern
- Die Buchungsplattform darf keine sensiblen Diagnoseinformationen unverschlüsselt übertragen
- Bekannte Anbieter mit Heilberufe-Fokus: Doctolib, Samedi, Terminland und Jameda-Terminbuchung
Ausführliche Antwort
Bei der Auswahl eines Online-Terminbuchungssystems sind datenschutzrechtliche Anforderungen die wichtigste Hürde. Als Arzt verarbeitet man Patientendaten der Kategorie "besonders sensible Daten" nach Art. 9 DSGVO. Der Terminbuchungsanbieter agiert als Auftragsverarbeiter und muss eine entsprechende AVV bereitstellen. Außerdem müssen Daten auf Servern in der EU gespeichert werden und dürfen nicht an Dritte weitergegeben werden.
Technisch sollte die Buchungsplattform SSL-verschlüsselt sein, eine 2-Faktor-Authentifizierung für Patienten ermöglichen und keine Diagnosedaten im öffentlichen Buchungsformular abfragen. Die Buchungsinformation sollte auf den Anlass des Termins beschränkt bleiben. Für Kassenärzte ist zusätzlich die Anbindung an die Telematikinfrastruktur und die Terminservicestelle der KV (§ 75 SGB V) zu beachten.
Funktional sind Buchungssysteme besonders dann wertvoll, wenn sie Patienten automatisierte Erinnerungen per SMS oder E-Mail senden, no-shows reduzieren und sich in die Praxisverwaltungssoftware integrieren lassen. Doctolib ist derzeit der Marktführer in Deutschland mit über 50.000 angebundenen Arztpraxen.
Worauf Ärzte besonders achten sollten
Ärzteversichert empfiehlt, vor dem Einsatz einer Buchungsplattform die Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO zu prüfen und den Datenschutzbeauftragten der Praxis einzubeziehen. Beim Auftreten von Datenpannen bei Drittanbietern haftet die Praxis als Verantwortlicher im Sinne der DSGVO, was ein erhebliches Haftungsrisiko darstellt.
Quellen und weiterführende Informationen
- Datenschutzkonferenz – Gesundheitsdatenschutz
- KBV – Digitalisierung in der Praxis
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →