Magazin
Doctolib, Jameda und Co. - wie steht es um den Datenschutz bei Terminvergabeportalen

Doctolib, Jameda und Co. - wie steht es um den Datenschutz bei Terminvergabeportalen

Letztes Update:
25
.
10
.
2022
Lesezeit:
0
Min
Terminvergabeportale für Arzttermine versprechen den Nutzern ein einfaches und unkompliziertes buchen und organisieren von Arztterminen. Vor Kurzem ist das Terminvergabeportal Doctolib in den Fokus der Berliner Datenschutzbeauftragten gerückt. Deshalb stellen wir uns die Frage: Werden sensible Daten ausreichend geschützt und was sollten wir als Verbraucher bei der Online-Terminbuchung beachten?
Doctolib, Jameda und Co. - wie steht es um den Datenschutz bei Terminvergabeportalen
Die wichtigsten Erkenntnisse
  • Doctolib im Fokus der Berliner Datenschutzbeauftragten wegen möglicher Datenschutzverstöße.
  • DSGVO verlangt sorgfältige Verarbeitung besonders schützenswerter Gesundheitsdaten.
  • Sicherheitslücke bei Doctolib ermöglichte Zugriff auf 150 Millionen Terminvereinbarungen.
  • Nutzer sollten sichere Passwörter nutzen und Datenschutzerklärungen prüfen.
  • Sensible Daten nur bei notwendigen Angaben an Terminvergabeportale übermitteln.

Terminvergabeportale für Arzttermine versprechen den Nutzern ein einfaches und unkompliziertes buchen und organisieren von Arztterminen. Egal ob Heilpraktiker oder Orthopäde - viele Arztpraxen nutzen diesen Service bereits, um das Terminmanagement zu vereinfachen. Aber wo bleiben die Daten der Kunden? Vor Kurzem ist das Terminvergabeportal Doctolib in den Fokus der Berliner Datenschutzbeauftragten gerückt. Deshalb stellen wir uns die Frage: Werden sensible Daten ausreichend geschützt und was sollten wir als Verbraucher bei der Online-Terminbuchung beachten?

Was gilt laut DSGVO im Umgang mit Daten bei Terminvergabeportalen

Die meisten Verbraucher kennen das Prozedere beim Anlegen eines neuen Nutzerkontos: Daten eingeben, speichern und durch ein eigens festgelegtes Passwort schützen. Durch das Einloggen per Passwort sind die Daten dann zu jeder Zeit für den Nutzer abrufbar. Bei Terminvergabeportalen werden personenbezogene Daten gesammelt, um sie im Falle einer Buchung an den entsprechenden Arzt zu übermitteln. Dafür muss das Terminvergabeportal die Daten entsprechend speichern. Prinzipiell zählen die Daten, die auf Terminvergabeportalen eingegeben und gespeichert werden, zu besonderen Kategorien personenbezogener Daten (S. Art 9 DSGVO). Diese besonders schützenswerten Daten müssen mit großer Sorgfalt verarbeitet und gespeichert werden. Die Verantwortung für die Sicherheit der Daten liegt ganz klar bei den Portalen. 
Sollte der Nutzer sein Konto bei einem Terminvergabeportal löschen, wird der Vertrag zwischen Kunde und Portal beziehungsweise Dienstleistung beendet. Entsprechend müssen die Nutzerdaten daraufhin in aller Regel von den Terminvergabeportalen gelöscht werden. Durch die Löschung entfällt der Zweck zur Datenspeicherung. Das gilt für nahezu alle Daten, es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht. 

Datenschutz im Gesundheitsbereich

In der Gesundheits- und Pflegebranche gibt es im Bereich Datenschutz mehr zu beachten als in anderen Bereichen. Das liegt vor allem daran, dass hierbei mit sensiblen Daten wie Gesundheitsdaten gearbeitet wird. Wir haben uns auf die datenschutzrechtliche Beratung in dieser Branche spezialisiert.

So steht es um den Datenschutz bei Doctolib

Bereits seit 2021 findet man Doctolib in Bezug auf Datenschutz in den Schlagzeilen. Auslöser war die Tatsache, dass über die App von Doctolib Daten an Facebook und die Plattform Outbrain übertragen wurden. Ein Datenschutzverstoß konnte demzufolge nicht ausgeschlossen werden. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit leitete daraufhin eine Überprüfung von Doctolib ein. Auch im aktuellen Jahresbericht der Berliner Datenschutzbeauftragten wird über Untersuchungen bei dem Terminvergabeportal berichtet. Das Unternehmen weist alle Anschuldigungen von sich - allerdings drängt sich bei Verbrauchern doch allmählich die Frage auf, wie sicher die Patientendaten sind.

Bis Mitte 2020 soll ein Datensatz von Doctolib mit 150 Millionen Terminvereinbarungen für Unbefugte zugänglich gewesen sein. Das bedeutet, dass eingesehen werden konnte, welche Person bei welchem Arzt in Behandlung war, wie viele Termine dort wahrgenommen wurden und welche Behandlung vorgenommen wurde. Teils konnten die Termine bis 1990 nachverfolgt werden. Anonyme Entdecker der Sicherheitslücke konnten nach eigenen Angaben die Datensätze durch eine einfach Abfolge verschiedener Browserabfragen herunterladen.  Dass Termine betroffen waren und ein entsprechendes Sicherheitsleck bestand, räumte Doctolib damals ein - dass es sich dabei um 150 Millionen Datensätze handelte, wird jedoch von der Pressestelle zurückgewiesen. 

So können Sie Ihre Daten schützen

Generell ist es natürlich so, dass Daten durch die Nutzer der Portale nur bis zu einem gewissen Grad geschützt werden können. Sollte auf Unternehmensseite eine Sicherheitslücke bestehen, hilft leider auch das beste Passwort zu Ihrem persönlichen Account nichts. 
Prinzipiell gibt es aber einige Regeln, die Sie beachten können: 

  • Stellen Sie sicher, dass die Daten auf Ihrer Seite so sicher wie möglich sind. Das bedeutet, dass sichere Passwörter eingesetzt werden sollten, der Account nach Benutzung gesperrt wird und außer Ihnen niemand Zugriff darauf hat. 
  • Werfen Sie einen Blick auf die Datenschutzerklärung des Terminvergabeportals. Generell ist jedes Unternehmen dazu verpflichtet, eine Datenschutzerklärung auf der Website einzubinden. Bei sensiblen Daten, wie zum Beispiel Gesundheitsdaten, sind transparente Informationen zum Umgang mit diesen Daten besonders wichtig. So können Sie die Verarbeitungen Ihrer Daten besser nachvollziehen.
  • Gehen Sie sparsam mit Ihren Daten um. Oftmals werden Daten abgefragt, die für die Nutzung eines Service oder einer Dienstleistung nicht notwendig sind. Achten Sie darauf, nur die Daten anzugeben, die auch tatsächlich notwendig sind. 

Generell bieten Terminvergabeportale einen tollen Service. Allerdings muss auch hier der Datenschutz genauer unter die Lupe genommen werden. Verbraucher sollten sich vor allem, wenn es um sensible Daten geht, genauer mit den Dienstleistern beschäftigen.
 

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Datenschutz im Internet
Personenbezogene Daten
Datensicherheit
Datenschutz im Alltag
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Datenschutz bei Onlineshops: Vorsicht vor Online-Fakeshops!
17
.
05
.
2021
Datenschutz bei Onlineshops: Vorsicht vor Online-Fakeshops!
Nicht nur im Vorweihnachtstrubel steigt die Zahl der Onlinekäufe deutlich. Onlineshopping kann problematisch werden, wenn Verbraucher an zwielichtige Onlineshops gelangen. Worauf Sie beim Onlineshopping achten sollten und wie Sie gefährliche Fake-Shops erkennen.
Aufzeichnung von Telefongesprächen: DSGVO-konform?
29
.
11
.
2022
Aufzeichnung von Telefongesprächen: DSGVO-konform?
Darf man Telefonate aufnehmen? Die Aufzeichnung von Telefongesprächen ist laut DSGVO unter bestimmten Voraussetzungen erlaubt. Lesen Sie, welche rechtlichen Rahmenbedingungen gelten und worauf Sie unbedingt achten sollten.
DSGVO IT-Dienstleister
14
.
10
.
2024
DSGVO IT-Dienstleister
IT-Dienstleister verarbeiten im Rahmen Ihrer Tätigkeit regelmäßig personenbezogene Daten – sei es das Speichern bei Cloud-Dienstleistungen, Einsichtnahme im Zuge des technischen Supports oder das Auslesen und Auswerten von Daten durch spezialisierte Software. Durch den Zugriff auf personenbezogene Daten, den IT-Dienstleister so erhalten, spielt der Datenschutz und die Umsetzung der DSGVO für IT-Dienstleister eine ganz besondere Rolle. Wir erklären Ihnen, was es zu beachten gibt.
Datenschutz Personalakte
14
.
10
.
2024
Datenschutz Personalakte
Geht es um die Themen Personalakte und Datenschutz, kommen viele Unsicherheiten auf: Welche Daten fallen bei der Personalaktenführung an und welche personenbezogenen Daten dürfen aus datenschutzrechtlicher Sicht (nicht) in die Personalakte? Wir geben Ihnen einen Überblick.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
20
.
11
.
2024
Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
Datenschutz und Informationssicherheit spielen eine zentrale Rolle, wenn es um den Schutz von analogen und digitalen Informationen im Unternehmen geht. Um beide Konzepte richtig umzusetzen, ist eine klare Trennung notwendig. Wir klären die Unterschiede und Gemeinsamkeiten und zeigen, wie Unternehmen sicher und rechtskonform arbeiten.
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
14
.
11
.
2024
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
Mit einem SOC-2-Report zeigen Sie, dass Ihr Unternehmen Kontrollen und Prozesse implementiert hat, um sensible Kundendaten zu schützen. Doch was genau ist ein SOC-2-Report? Welche Unternehmen benötigen ihn? Und wie läuft der Audit-Prozess ab?
ISO 27001 Controls: Eine Übersicht für Unternehmen
14
.
11
.
2024
ISO 27001 Controls: Eine Übersicht für Unternehmen
In einer Welt, in der Cyberangriffe immer häufiger und raffinierter werden, sind Informationssicherheit und Datenschutz für Unternehmen essenziell. Eine der anerkanntesten internationalen Normen in diesem Bereich ist die ISO 27001. Diese Norm hilft Unternehmen dabei, ein robustes Informationssicherheitsmanagementsystem (ISMS) zu etablieren, um sensible Daten zu schützen und regulatorische Anforderungen zu erfüllen.
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
12
.
11
.
2024
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
Sie möchten Ihre Informationssicherheit auf das nächste Level bringen und suchen einen Sicherheitsstandard, der Ihnen dabei hilft? Wir beleuchten Gemeinsamkeiten und Unterschiede zwischen SOC 2 und ISO 27001, damit Ihnen die Entscheidung leichter fällt.
datenschutz-Muster

Kostenlose Materialien zum Thema

Vertraulichkeits- und Verschwiegenheits­erklärung Mitarbeiter
Alle Unternehmen die personenbezogene Daten verarbeiten müssen sicherstellen, dass Mitarbeiter und Dienstleister diese Daten vertraulich behandeln. Deshalb ist eine Verpflichtung auf Vertraulichkeit (auch „Vertraulichkeitserklärung“ genannt) notwendig. Um zu dokumentieren, dass die Mitarbeiter im Unternehmen sich dieser Pflicht bewusst sind, entsprechend geschult wurden, und wissen, worauf sie beim Umgang mit personenbezogenen Daten zu achten haben, sieht die DSGVO vor, dass die Mitarbeiter eine Vertraulichkeitserklärung unterschreiben. Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO. Mit der Vertraulichkeitserklärung können Unternehmen nicht nur ihren Dokumentationspflichten gegenüber Betroffenen oder Aufsichtsbehörden nachkommen, sondern verringern auch die Gefahr einer unbeabsichtigten Datenschutzverletzung. Die Vertraulichkeitserklärung stärkt zudem das Vertrauen der Kunden oder Geschäftspartner in die datenschutzrechtlichen Praktiken des Unternehmens. Mit unserem juristisch geprüften Verschwiegenheitserklärung-Muster können Sie Ihren Mitarbeitern eine Vertraulichkeitserklärung zukommen und diese unterschreiben lassen. Falls Sie dieser Pflicht nicht nachkommen, können teure Abmahnungen die Folge sein.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!