Immer mehr Menschen buchen ihre Arzttermine online: Laut einer repräsentativen Umfrage des Digitalverbands Bitkom haben 2024 bereits 50 % der Befragten mindestens einmal einen Arzttermin digital vereinbart. 2019 waren es noch 26 %. Dieser Trend bringt viele Vorteile für Patientinnen, Patienten und Praxisteams. Doch mit der Digitalisierung steigen auch die Anforderungen an den Datenschutz und bei vielen Patientinnen und Patienten entstehen Fragen oder Unsicherheiten bezüglich der Verarbeitung ihrer personenbezogenen Daten. Denn: Wenn Sie Ihre Terminverwaltung auslagern, bedeutet das, dass der beauftragte externe Dienstleister auch die Patientendaten in ihrem Auftrag verarbeiten.
Als Inhaberin oder Inhaber einer Praxis oder eines MVZs sowie als Geschäftsführung eines Krankenhauses tragen Sie die Verantwortung dafür, dass die personenbezogenen Daten Ihrer Patientinnen und Patienten rechtskonform und sicher verarbeitet werden. Verantwortlich im datenschutzrechtlichen Sinne ist aber grundsätzlich die Praxis oder das MVZ als datenverarbeitende Stelle nach Art. 4 Nr. 7 DSGVO. Auf einige datenschutzrechtliche Pflichten soll hier eingegangen werden. Dazu gehört, dass Sie organisatorische und technische Maßnahmen ergreifen müssen, um das Risiko von Datenschutzverletzungen oder Sicherheitsvorfällen so gering wie möglich zu halten.
Um hier Orientierung zu schaffen, hat die Datenschutzkonferenz (DSK) im Juni 2025 das Positionspapier „Datenschutz bei der Terminverwaltung durch Heilberufspraxen“ erarbeitet, welches datenschutzrechtliche Orientierung für Heilberufspraxen sowie für Patientinnen und Patienten bieten soll.
Basierend auf diesen Empfehlungen zeigen wir Ihnen in diesem Beitrag praxisnah und konkret, wie Sie Ihre Online-Terminvergabe rechtssicher und gleichzeitig patientenfreundlich gestalten können.
1. Rechtsgrundlage sicherstellen
Das Datenschutzrecht funktioniert als Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass eine Datenverarbeitung nur zulässig ist, wenn Sie hierfür eine Rechtsgrundlage haben.
Die bloße Verarbeitung von Termindaten, also Patientenname, Kontaktdaten, Ort und Uhrzeit können auf Grundlage eines Die bloße Verarbeitung von Termindaten – also Name des Patienten, Kontaktdaten, Ort und Uhrzeit des Termins – kann grundsätzlich auf die Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) gestützt werden, da die Terminbuchung untrennbar mit dem Abschluss und der Durchführung des Behandlungsvertrages verbunden ist.
Sobald jedoch Gesundheitsdaten im Spiel sind, etwa wenn bereits im Rahmen der Terminvereinbarung ein Behandlungsgrund angegeben wird oder der Facharzttitel automatisch Rückschlüsse auf den Gesundheitszustand zulässt, greift Art. 9 DSGVO. Für diese besonderen Kategorien personenbezogener Daten ist zusätzlich eine ausdrückliche Einwilligung der Patienten erforderlich. Gleiches gilt, wenn über das Buchungssystem Arzt-Patienten-Kommunikation erfolgt, zum Beispiel über Rückfragen zur Behandlung oder die Übermittlung von Befunden.
2. Patienten transparent informieren
Gesundheitseinrichtungen setzen Terminverwaltungsdienstleiter in der Regel als sogenannte Auftragsverarbeiter nach Art 28 DSGVO ein – und zu deren Einsatz müssen sie keine Einwilligung Ihrer Patientinnen und Patienten einholen. Aber: Angesichts der Informationspflicht nach Art. 13 f. DSGVO müssen Sie diese über den Einsatz von auftragsverarbeitenden Unternehmen informieren. Dies tun Sie am besten in der Datenschutzerklärung auf Ihrer Homepage.
Konkret bedeutet dies, dass Sie die folgenden Information in Ihrer Datenschutzerklärung aufführen sollten:
- Name des Anbieters für die Online-Terminvergabe
- Aufklärung, welche Daten verarbeitet werden
Das Verlinken der Datenschutzhinweise des ist nicht verpflichtend, aber möglich. Wichtig sind Ihre eigenen Datenschutzhinweise.
Zudem sollten Sie Ihren Patientinnen und Patienten auch mindestens eine andere Möglichkeit bieten, Termine bei Ihnen zu vereinbaren – beispielsweise telefonisch.
3. Patientendaten nur im notwendigen Umfang erheben
Bei der Online-Terminvergabe dürfen nur für den Termin erforderliche personenbezogene Daten erfasst werden. “Erforderlich” im datenschutzrechtlichen Sinne bedeutet, dass die Angaben für die Terminplanung unbedingt notwendig sind. Erforderlichen Daten also z. B. Name, Geburtsdatum, behandelnde Ärztin oder behandelnder Arzt, Krankenversicherung, Art des Termins sowie eine Kontaktmöglichkeit für Rückfragen oder kurzfristige Absagen. Eine pauschale Übermittlung aller Patientenstammdaten an den Anbieter ist nicht zulässig
4. Einwilligung für Terminerinnerungen und andere Patientenbenachrichtigungen einholen
Automatische Terminerinnerungen und andere Patientenbenachrichtigungen per SMS oder E-Mail sind für alle Beteiligten praktisch – aber nicht zwingend erforderlich. Deswegen dürfen Kontaktdaten aus der Online-Terminbuchung nicht automatisch für Erinnerungszwecke genutzt werden.
Für einfache Terminabsagen oder Verschiebungen lässt sich die Vertragserfüllung als Rechtsgrundlage anführen, rechtlich und praktisch sicherer ist jedoch die Einholung einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO – insbesondere bei Terminerinnerungen, Recall-Systemen oder anderen Service-Benachrichtigungen, die über die reine Terminabwicklung hinausgehen. Die Einwilligung kann in jeder Form – online oder offline – eingeholt werden, muss aber entsprechend im System dokumentiert sein.
So eine Zustimmung kann z. B. direkt im Buchungsprozess oder beim Anlegen eines Patientenprofils abgefragt werden. Die Zustimmung muss ausdrücklich durch ein Opt-in-Vefahren erfolgen, in dem der Patient aktiv zustimmt. Vorausgewählte Checkboxen, die die Zustimmung ohne Zutun des Patienten bedeuteten, sind rechtswidrig. Dabei können Sie Ihre Patientinnen und Patienten in einer Einwilligungserklärung darüber informieren, dass ihre personenbezogenen Daten zu diesem Zweck an den beauftragten externen Anbieter übermittelt und dort ausschließlich für die Erinnerung verarbeitet werden.
Zudem müssen Sie Ihren Patientinnen und Patienten eine Möglichkeit bieten, diese Einwilligung jederzeit zu widerrufen. Bei einem Opt-in-Verfahren muss dem Patienten an gleicher Stelle per Opt-out ermöglicht werden, die ausgewählten Checkboxen wieder zu entwählen.
Bei samedi verwalten Patientinnen und Patienten ihre eigenen Datenschutzeinstellungen und können Ihre Einwilligung jederzeit im persönlichen samedi-Patientenkonto anpassen – ohne Patientenkonto kann dies die jeweilige Einrichtung ganz unkompliziert im Patienten-Dashboard tun.
5. Stellen Sie sicher, dass Patientendaten weder missbraucht noch unnötig gespeichert werden
Wenn Sie Ihre Terminverwaltung an einen externen Anbieter auslagern, darf dieser gemäß Art. 28 DSGVO die Patientendaten nur nach den Weisungen von Ihnen als Auftraggeber und nicht für eigene Zwecke nutzen. Geregelt ist dies im Auftragsvereinbarungsvertrag, der elektronisch abgeschlossen wird.
Als verantwortliche Stelle legen Sie Löschfristen fest und können diese als Weisung an den Anbieter vorgeben. Ansonsten müssen Daten nach Vertragsende gelöscht werden. Wenn Teile der Termindaten dokumentationspflichtig sind müssen sie nicht komplett gelöscht werden – dann gehören dann aber in eine Patientenakte im Primärsystem.
Verlangen Patientinnen und Patienten die Löschung von Daten im Bezug auf Termine, kann der Anbieter hierbei unterstützen. Als Auftragsverarbeiter darf der Anbieter aber keine Daten löschen, wenn die Anfragedirekt von der Patientin oder dem Patienten kommt.
6. Besondere Vorsicht bei Datenverarbeitung in Drittstaaten
Sprechen Sie vor Vertragsabschluss mit dem jeweiligen Terminbuchungsdienstleister, ob einzelne Verarbeitungsschritte des Unternehmens in einem Drittland der EU liegen – relevant sind hier auch Support, Wartung, Administration. Sofern dies der Fall ist, muss geprüft werden, ob ein angemessenes Datenschutzniveau besteht gemäß Art. 44 ff. DSGVO besteht.
Aus genau diesen Gründen hat samedi sich entschieden bei allen Prozessen, von der Software-Entwicklung über den Kundensupport bis hin zum Serverhosting, konsequent auf Server-Standorte in Deutschland und der EU zu setzen.
7. Vertragliche Absicherung mit dem Terminbuchungsdienstleister
Es versteht sich von selbst, dass Sie die Online-Terminbuchung nur über externe Dienstleister zur Verfügung stellen sollten, welche als Auftragsverarbeiter zuverlässig sicherstellen können, dass alle nötigen technischen und organisatorischen Datenschutzmaßnahmen eingehalten werden. (vgl. Art. 28 DSGVO) Sobald sie einen solchen Anbieter ausgewählt haben, müssen Sie einen Auftragsverarbeitungsvertrag mit ihm abschließen.
