Doctolib, Jameda und Co. - wie steht es um den Datenschutz bei Terminvergabeportalen

Terminvergabeportale für Arzttermine versprechen den Nutzern ein einfaches und unkompliziertes buchen und organisieren von Arztterminen. Egal ob Heilpraktiker oder Orthopäde - viele Arztpraxen nutzen diesen Service bereits, um das Terminmanagement zu vereinfachen. Aber wo bleiben die Daten der Kunden? Vor Kurzem ist das Terminvergabeportal Doctolib in den Fokus der Berliner Datenschutzbeauftragten gerückt. Deshalb stellen wir uns die Frage: Werden sensible Daten ausreichend geschützt und was sollten wir als Verbraucher bei der Online-Terminbuchung beachten?

Was gilt laut DSGVO im Umgang mit Daten bei Terminvergabeportalen

Die meisten Verbraucher kennen das Prozedere beim Anlegen eines neuen Nutzerkontos: Daten eingeben, speichern und durch ein eigens festgelegtes Passwort schützen. Durch das Einloggen per Passwort sind die Daten dann zu jeder Zeit für den Nutzer abrufbar. Bei Terminvergabeportalen werden personenbezogene Daten gesammelt, um sie im Falle einer Buchung an den entsprechenden Arzt zu übermitteln. Dafür muss das Terminvergabeportal die Daten entsprechend speichern. Prinzipiell zählen die Daten, die auf Terminvergabeportalen eingegeben und gespeichert werden, zu besonderen Kategorien personenbezogener Daten (S. Art 9 DSGVO). Diese besonders schützenswerten Daten müssen mit großer Sorgfalt verarbeitet und gespeichert werden. Die Verantwortung für die Sicherheit der Daten liegt ganz klar bei den Portalen. 
Sollte der Nutzer sein Konto bei einem Terminvergabeportal löschen, wird der Vertrag zwischen Kunde und Portal beziehungsweise Dienstleistung beendet. Entsprechend müssen die Nutzerdaten daraufhin in aller Regel von den Terminvergabeportalen gelöscht werden. Durch die Löschung entfällt der Zweck zur Datenspeicherung. Das gilt für nahezu alle Daten, es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht. 

Datenschutz im Gesundheitsbereich

In der Gesundheits- und Pflegebranche gibt es im Bereich Datenschutz mehr zu beachten als in anderen Bereichen. Das liegt vor allem daran, dass hierbei mit sensiblen Daten wie Gesundheitsdaten gearbeitet wird. Wir haben uns auf die datenschutzrechtliche Beratung in dieser Branche spezialisiert.

So steht es um den Datenschutz bei Doctolib

Bereits seit 2021 findet man Doctolib in Bezug auf Datenschutz in den Schlagzeilen. Auslöser war die Tatsache, dass über die App von Doctolib Daten an Facebook und die Plattform Outbrain übertragen wurden. Ein Datenschutzverstoß konnte demzufolge nicht ausgeschlossen werden. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit leitete daraufhin eine Überprüfung von Doctolib ein. Auch im aktuellen Jahresbericht der Berliner Datenschutzbeauftragten wird über Untersuchungen bei dem Terminvergabeportal berichtet. Das Unternehmen weist alle Anschuldigungen von sich - allerdings drängt sich bei Verbrauchern doch allmählich die Frage auf, wie sicher die Patientendaten sind.

Bis Mitte 2020 soll ein Datensatz von Doctolib mit 150 Millionen Terminvereinbarungen für Unbefugte zugänglich gewesen sein. Das bedeutet, dass eingesehen werden konnte, welche Person bei welchem Arzt in Behandlung war, wie viele Termine dort wahrgenommen wurden und welche Behandlung vorgenommen wurde. Teils konnten die Termine bis 1990 nachverfolgt werden. Anonyme Entdecker der Sicherheitslücke konnten nach eigenen Angaben die Datensätze durch eine einfach Abfolge verschiedener Browserabfragen herunterladen.  Dass Termine betroffen waren und ein entsprechendes Sicherheitsleck bestand, räumte Doctolib damals ein - dass es sich dabei um 150 Millionen Datensätze handelte, wird jedoch von der Pressestelle zurückgewiesen. 

So können Sie Ihre Daten schützen

Generell ist es natürlich so, dass Daten durch die Nutzer der Portale nur bis zu einem gewissen Grad geschützt werden können. Sollte auf Unternehmensseite eine Sicherheitslücke bestehen, hilft leider auch das beste Passwort zu Ihrem persönlichen Account nichts. 
Prinzipiell gibt es aber einige Regeln, die Sie beachten können: 

• Stellen Sie sicher, dass die Daten auf Ihrer Seite so sicher wie möglich sind. Das bedeutet, dass sichere Passwörter eingesetzt werden sollten, der Account nach Benutzung gesperrt wird und außer Ihnen niemand Zugriff darauf hat. 
• Werfen Sie einen Blick auf die Datenschutzerklärung des Terminvergabeportals. Generell ist jedes Unternehmen dazu verpflichtet, eine Datenschutzerklärung auf der Website einzubinden. Bei sensiblen Daten, wie zum Beispiel Gesundheitsdaten, sind transparente Informationen zum Umgang mit diesen Daten besonders wichtig. So können Sie die Verarbeitungen Ihrer Daten besser nachvollziehen.
• Gehen Sie sparsam mit Ihren Daten um. Oftmals werden Daten abgefragt, die für die Nutzung eines Service oder einer Dienstleistung nicht notwendig sind. Achten Sie darauf, nur die Daten anzugeben, die auch tatsächlich notwendig sind. 

Generell bieten Terminvergabeportale einen tollen Service. Allerdings muss auch hier der Datenschutz genauer unter die Lupe genommen werden. Verbraucher sollten sich vor allem, wenn es um sensible Daten geht, genauer mit den Dienstleistern beschäftigen.