Datenschutzrechtliche Herausforderungen und Lösungen bei OTMS

22. Juli 2025

Ein Leitfaden für Datenschutzbeauftragte.

Einleitung

Online-Terminmanagementsysteme (OTMS) sind mittlerweile weit verbreitet, vor allem bei Arztpraxen und Gesundheitszentren. Sie bieten zahlreiche Vorteile, wie die einfache Terminvereinbarung oder die Automatisierung von Erinnerungen. Doch für Datenschutzbeauftragte (DSB) stellt die Einführung solcher Systeme eine erhebliche Herausforderung dar. Besonders kritisch wird es, wenn Anbieter nicht ausreichend zwischen ihrer Rolle als Auftragsverarbeiter und als Verantwortlicher differenzieren oder datenschutzrechtliche Grundsätze wie Datenminimierung und Zweckbindung missachten.

Dieser Artikel analysiert die rechtlichen Anforderungen und bietet praktische Lösungen, basierend auf Erfahrungen aus Workshops und Fallstudien.

1. Rechtlicher Rahmen und häufige Konfliktpunkte

Der rechtliche Rahmen, in dem OTMS operieren, ist klar vorgegeben, jedoch zeigen Praxisbeispiele, dass es bei der Umsetzung oft zu Problemen kommt:

  • Einwilligungserfordernis: Externe OTMS sind in der Regel nicht zwingend erforderlich für die inhaltliche Abwicklung, etwa für die Behandlung von Patienten. Das bedeutet, dass für die Verarbeitung von Patientendaten eine ausdrückliche Einwilligung erforderlich ist. Da oft alternative Terminbuchungsoptionen fehlen, machen die Betroffenen diese Einwilligung jedoch häufig „unfreiwillig“.
  • Gemeinsame Verantwortlichkeit: Wenn OTMS-Anbieter gleichzeitig als Verantwortlicher und Auftragsverarbeiter agieren, wird die klare Trennung unzulänglich. Dies führt nach ständiger Rechtsprechung des EuGH zu einer gemeinsamen Verantwortlichkeit (Art. 26 DS-GVO), die in der Praxis oft nicht vertraglich geregelt ist.
  • Verschwiegenheitspflicht: Nach § 203 StGB dürfen externe Anbieter nur die für die Terminbuchung notwendigen Daten verarbeiten. Die Weitergabe sämtlicher Stammdaten, insbesondere von inaktiven oder ehemaligen Patienten, stellt einen Verstoß gegen strafrechtliche und standesrechtliche Vorgaben dar.

2. Kritische Punkte aus der Praxis

Eine Analyse eines marktführenden OTMS-Anbieter zeigt, welche Probleme auftreten können:

  • Keine klare Mandantentrennung: Daten unterschiedlicher Leistungserbringer werden nicht sauber getrennt, was zu unbefugten Zugriffsmöglichkeiten führen kann.
  • Fehlende Transparenz bei der Datenlöschung: Wie und wann Daten gelöscht werden, bleibt oft unklar. Dies betrifft auch Daten von Patienten, deren Behandler kein Kunde des Systems mehr ist.
  • Unzureichende Einwilligungserklärungen: Die Einholung von Einwilligungen wird häufig auf die Leistungserbringer abgewälzt, ohne dass diese ausreichend über die Verarbeitung durch den Anbieter informiert sind.
  • Missbrauch durch fehlende Sanktionen: Da Rechtsverstöße selten von Aufsichtsbehörden sanktioniert werden, setzen viele Leistungserbringer aus Kostengründen auf entsprechende Lösungen, obwohl diese gegen die DS-GVO verstoßen können.

3. Handlungsempfehlungen für Datenschutzbeauftragte

Datenschutzbeauftragte spielen eine zentrale Rolle bei der Einführung und dem Betrieb von Online-Terminmanagementsystemen (OTMS). Ihre Aufgabe ist es, sicherzustellen, dass die Systeme den datenschutzrechtlichen Anforderungen entsprechen und typische Fallstricke vermieden werden.

Dazu gehört vor allem die frühzeitige Prüfung der Anbieter. Bereits vor dem Vertragsabschluss sollten Datenschutzbeauftragte gründlich analysieren, ob der Anbieter die Prinzipien der Datenminimierung, Zweckbindung und Sicherheit der Verarbeitung einhält. Ebenso ist die vertragliche Ausgestaltung entscheidend, insbesondere die Frage, ob eine Auftragsverarbeitung gemäß Artikel 28 DS-GVO oder eine gemeinsame Verantwortlichkeit nach Artikel 26 DS-GVO vorliegt.

Praxishilfe „Umgang mit Online-Terminmanagementsystemen“

Die Praxishilfe beleuchtet die datenschutzkonforme Systemnutzung die in Arztpraxen, Krankenhäusern und für betriebsmedizinische Dienste zur Anwendung kommen.

Besonderes Augenmerk liegt auf der Notwendigkeit einer ausdrücklichen Einwilligung für die Nutzung und Verarbeitung von Gesundheitsdaten durch externe Dienstleister.

Die Praxishilfe thematisiert zudem die gesetzlichen Pflichten, darunter die Verpflichtung zur Löschung von Daten nach Zweckentfall und die Sicherstellung alternativer Terminvergabemöglichkeiten für „Offliner“.

Zur Praxishilfe

Ein weiterer Schwerpunkt liegt auf der Sicherstellung von Transparenz. Datenschutzbeauftragte sollten darauf achten, dass die Verarbeitung durch den Anbieter für alle Beteiligten nachvollziehbar und transparent ist. Dabei sind vor allem die Betroffenenrechte zu wahren, wie das Recht auf Auskunft und das Recht auf Löschung der Daten. Um die Einhaltung dieser Rechte zu gewährleisten, müssen die Prozesse und Zuständigkeiten klar definiert sein.

Ein unverzichtbarer Bestandteil der Arbeit von Datenschutzbeauftragten ist die Schulung und Sensibilisierung der Mitarbeitenden. Diese müssen nicht nur die rechtlichen Anforderungen kennen, sondern auch im Umgang mit sensiblen Daten geschult sein. Dies umfasst unter anderem den Umgang mit Patientenanfragen, die korrekte Einholung von Einwilligungen und das Erkennen von möglichen Datenschutzpannen.

Zudem sollten Datenschutzbeauftragte regelmäßige Audits durchführen, um sicherzustellen, dass die eingesetzten Systeme weiterhin den gesetzlichen Anforderungen entsprechen. Diese Überprüfungen sollten sowohl technische Aspekte wie die Verschlüsselung der Daten, als auch organisatorische Maßnahmen, wie die Aktualität der Einwilligungen, umfassen.

Um die Freiwilligkeit der Einwilligungen zu gewährleisten, ist es wichtig, dass den Patienten oder Kunden alternative Terminvergabemöglichkeiten angeboten werden. Dies kann durch eine telefonische Terminvereinbarung oder eine Buchung vor Ort geschehen. Solche Alternativen verhindern, dass eine Einwilligung durch den Zwang zur Nutzung des OTMS ihren freiwilligen Charakter verliert.

Schließlich sollten Leistungserbringer darauf achten, sich die Datenschutzkonformität des OTMS Anbieters vertraglich zusichern zu lassen. Dies schließt insbesondere die Verpflichtung zur regelmäßigen Löschung von Daten und die Übernahme der Haftung bei Rechtsverstößen ein. Datenschutzbeauftragte sollten auf diese Punkte ebenfalls achten, um die Organisation vor möglichen rechtlichen und finanziellen Risiken zu schützen.

4. Fazit und Ausblick

Die Einführung von OTMS bietet Organisationen zahlreiche Vorteile, birgt jedoch auch erhebliche Risiken, wenn datenschutzrechtliche Anforderungen nicht eingehalten werden. Datenschutzbeauftragte sind dabei nicht nur Berater, sondern auch Wächter über die korrekte Umsetzung der DS-GVO.

Die Erfahrungen aus der Praxis zeigen, dass viele Systeme noch Optimierungspotenzial haben. Eine enge Zusammenarbeit zwischen Datenschutzbeauftragten, Leistungserbringern und Anbietern ist entscheidend, um Rechtsverstöße zu vermeiden und das Vertrauen der Betroffenen zu stärken.

Zukünftig sollten Datenschutzverbände und Aufsichtsbehörden eine aktivere Rolle übernehmen, um einheitliche Standards und Orientierungshilfen für den Einsatz von OTMS zu schaffen. Dies könnte nicht nur die Rechtsunsicherheit verringern, sondern auch dazu beitragen, dass Datenschutz als Qualitätsmerkmal wahrgenommen wird.

Für Datenschutzbeauftragte, die sich tiefer mit den rechtlichen und praktischen Herausforderungen von Online-Terminmanagementsystemen auseinandersetzen möchten, bietet die Praxishilfe „Umgang mit Online-Terminmanagementsystemen“ eine wertvolle Unterstützung. Die umfassende Praxishilfe, die im Mitgliederbereich des BvD e.V. abrufbar ist, gibt nicht nur einen sehr detaillierten Überblick über rechtliche Anforderungen, sondern enthält auch praxisorientierte Checklisten und Empfehlungen, die speziell auf die Bedürfnisse von Datenschutzbeauftragten zugeschnitten sind.

Über die Autorin

Regina Mühlich


ist Wirtschaftsjuristin, externe Datenschutzbeauftragte (CIPM, CIPP/U.S.), Compliance-Beauftragte sowie Geschäftsführerin der AdOrga Solutions GmbH. Sie verfügt über mehr als 24 Jahre Erfahrung im Datenschutz und berät Organisationen im In- und Ausland zu datenschutzkonformer Digitalisierung mit besonderem Fokus auf kritische Infrastrukturen, AI-Governance und Compliance. Als Autorin, Referentin und Vorstandsmitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. engagiert sie sich für die praxisnahe Weiterentwicklung des Datenschutzes.

-> AdOrgaSolutions.de

Ein herzlicher Dank

gilt den Autor*innen, die ehrenamtlich und mit großem Engagement an der Erstellung dieser Praxishilfe mitgewirkt haben. Ihre Fachkenntnisse und ihr Einsatz tragen maßgeblich dazu bei, Datenschutzbeauftragten eine fundierte und praxisnahe Orientierungshilfe an die Hand zu geben – ein unschätzbarer Beitrag für die datenschutzkonforme Gestaltung von digitalen Prozessen.

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.