Aufsatz : Einsatz von Online-Terminmanagementsystemen im Gesundheitswesen: Rechtliche Rahmenbedingungen beachten* : aus der RDV 2/2025, Seite 83 bis 88

II. Rechtliche Rahmenbedingungen: Datenschutz, Berufsrecht und Strafrecht

Ein zentraler Aspekt bei der Implementierung von Online-Terminmanagementsystemen ist der Schutz personenbezogener Daten. Gesundheitsdaten zählen zu den besonderen Kategorien personenbezogener Daten und unterliegen daher einem besonders hohen Schutzstandard. Art. 9 Abs. 1 DS‑GVO definiert den Umgang mit sensiblen Daten und schränkt deren Verarbeitung grundsätzlich ein. Eine Verarbeitung ist demnach nur gestattet, wenn ein ausdrücklicher Erlaubnistatbestand, beispielsweise eine freiwillige Einwilligung des Patienten, vorliegt. Dabei ist zu beachten, dass nicht allein die Datenschutzgesetze, sondern auch berufsrechtliche Vorschriften – etwa die ärztliche Schweigepflicht – und strafrechtliche Regelungen, wie das Offenbarungsverbot gem. § 203 StGB, greifen.

Die komplexe Rechtslage führt dazu, dass selbst wenn eine datenschutzrechtliche Verarbeitung rechtmäßig erfolgt, berufsrechtliche oder strafrechtliche Verbote dennoch greifen können. Beispielsweise regeln sowohl die ärztliche Berufsordnung als auch das Strafgesetzbuch (StGB), dass Patientendaten nur von dazu berechtigten Personen eingesehen werden dürfen. Art. 5 Abs. 1 lit. a) DS‑GVO verlangt die Rechtmäßigkeit der Verarbeitung an sich, sodass Verarbeitungen, welche einen Verstöße gegen das Berufsrecht oder das StGB enthalten, dieser Anforderung nicht genügen können und eine Verarbeitung in diesen Fällen i.d.R. auch einen daten‑ schutzrechtlichen Verstoß darstellen werden.

Art. 5 Abs. 1 lit. f) DS‑GVO enthält die Vorgabe, dass bei je‑ der Datenverarbeitung die Integrität und Vertraulichkeit der Daten sichergestellt werden muss. Auch hieraus resultieren weitreichende Pflichten für alle an der Datenverarbeitung Beteiligten – vom Verantwortlichen bis hin zu Auftragsverarbeitern.

1. Stellen Daten in medizinischen Terminbuchungssystemen Gesundheitsdaten dar?

Der Begriff „Gesundheitsdaten“ wird in Art. 4 Nr. 15 DS‑GVO europaweit legal definiert. Gesundheitsdaten sind „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Entsprechend der Rechtsprechung des EuGH (Urt. v. 01.08.2022, Rechtssache C-92/09, C-93/09) ist die Zuordnung eines Datums als „sensibles Datum“ i.S.d. Art. 9 Abs. 1 DS‑GVO weit zu verstehen. Auch wenn ein Datum aufgrund der eigenen Bedeutung nach an sich kein sensibles Datum darstellt, ist entsprechend dem Urteil des EuGH zu prüfen, ob „mittels gedanklicher Kombination oder Ableitung“ auf diese in Art.  9 Abs.  1 DS‑GVO genannten Datenkategorien geschlossen werden kann. Werden in Art. 9 Abs. 1 DS‑GVO genannte Datenkategorien mit anderen Daten verknüpft/in Beziehung gebracht, so gilt das Verarbeitungsverbot entsprechend der Rechtsprechung des EuGH (Urt. v. 04.07.2023, Rechtssache C-252/21) für die Gesamtheit dieser Daten.

Aufgrund dieser Vorgaben des EuGH ist der Begriff „Gesundheitsdatum“ weit auszulegen, es sind auch indirekt mögliche Aussagen zu prüfen.

Zur Klassifizierung als Gesundheitsdatum ist es unerheblich, ob die Daten zu dieser preisgebenden Person gehören oder zu einer dritten Person (EuGH Urt. v. 04.10.2024, Rechtssache C-21/23). Sind Daten als Gesundheitsdaten i. S. v. Art. 4 Nr. 15 DS‑GVO zu klassifizieren, ist der Anwendungsrahmen von Art.  9 DS‑GVO eröffnet und eine Verarbeitung dieser Daten verboten, wenn nicht ein Ausnahmezustand von Art. 9 Abs.  2 DS‑GVO i.V.m. mindestens einem der in Art.  6 Abs.  1 DS‑GVO genannten Rechtfertigungstatbestände die Verarbeitung ausdrücklich erlaubt.

Somit sind insbesondere auch Terminvereinbarungen zur Patientenversorgung stets als Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DS‑GVO anzusehen.

2. Rechtsgrundlage des Einsatzes von Online-Terminbuchungssystemen

Im Zusammenhang mit der Behandlung von Patienten ist Art. 9 Abs. 2 lit. h) DS‑GVO i.V.m. Art. 6 Abs. 1 lit. b) DS‑GVO anwendbar: Die Verarbeitung ist erforderlich zur Vertragserfüllung, genauer des Behandlungsvertrages, welcher in den §§ 630a ff. BGB geregelt wird.

Hinsichtlich der in Art.  9 Abs.  2 lit. h) DS‑GVO enthaltenen vertraglichen Rechtsgrundlage ist zu beachten, dass der Vertrag mit „Angehörigen eines Gesundheitsberufs“ abgeschlossen werden muss. Entsprechend der Begriffsbestimmung in Art.  3 lit.  f) Richtlinie 2011/24/EU werden Verträge mit Ärzten, Krankenpflegepersonal usw. mit der Regelung in Art. 9 Abs. 2 lit. h) DS‑GVO adressiert. Hingegen können Ver‑ träge mit anderen Dienstleistern (z.B. zur Terminvermittlung zwischen einem Patienten und einem niedergelassenen Arzt) durch diese Regelung der DS‑GVO wohl eher nicht legalisiert werden. Ein Vertrag zwischen Verantwortlichen, die keine Angehörigen eines Gesundheitsberufes sind, und betroffenen Personen kann Art. 6 Abs. 1 lit. b) DS‑GVO genügen, je‑ doch nicht die Verarbeitung von Daten legitimieren, welche zu den in Art. 9 Abs. 1 DS‑GVO genannten Kategorien zählen.

Zu beachten ist, dass Art. 9 Abs. 2 lit. h) DS‑GVO nur die Verarbeitung legitimiert, die für die Vertragserfüllung erforderlich sind. Somit muss bei Berufung auf dieser Rechtsgrundlage immer auch das Erfordernis nachgewiesen werden. Damit eine Maßnahme erforderlich ist, darf es kein milderes (= in die Rechte betroffener Personen weniger eingreifendes) Mittel geben, welches den gleichen Erfolg mit vergleichbarem Aufwand erreicht. Da Termine regelhaft ohne Einsatz eines Online-Terminbuchungssystems vergeben werden können, wird regelhaft der Einsatz eines Online-Terminbuchungssystems als „nicht erforderlich“ anzusehen sein. I.d.R. wird in diesen Fällen nur eine Einwilligung nach Art. 9 Abs. 2 lit. a) DS‑GVO die Verarbeitung im Rahmen eines Online-Terminbuchungssystems legalisieren können.

3. Online-Terminbuchungssysteme und Dokumentationspflicht

Der Umfang der Dokumentationspflicht ergibt sich aus § 630f Abs. 2 BGB. Die Aufzählung in § 630f Abs. 2 S. 1 BGB ist keine abschließende, sondern eine beispielhafte Aufzählung („ins‑ besondere“). In die Dokumentation müssen somit alle wesentlichen diagnostischen und therapeutischen Maßnahmen und Verlaufsdaten Eingang finden. Dazu können neben der in § 630f Abs. 2 S. 1 BGB aufgeführten Vorgaben beispielsweise Informationen wie ärztliche Anordnungen zur Pflege oder Namen von Operateuren gehören, desgleichen Behandlungsverweigerungen wie auch Beschwerden eines Patienten.

Die Einbeziehung von Aufklärungen und Einwilligungen in den Kreis der dokumentationspflichtigen Umstände durch § 630f Abs. 2 BGB zeigt, dass neben diagnostischen und therapeutischen Daten auch Umstände in die Dokumentation aufzunehmen sind, die für das Selbstbestimmungsrecht des Patienten von Bedeutung sind.

Eine Dokumentation, die aus medizinischer Sicht nicht erforderlich ist, ist auch aus Rechtsgründen nicht geboten. Nicht dokumentarisch festgehalten zu werden brauchen medizinische Selbstverständlichkeiten sowie bloße ärztliche Vermutungen und ungesicherte Befunde, die nach allgemein anerkannten Regeln zum Dokumentationszeitpunkt irrelevant sind.

Daher gehören Terminplanungen nicht zu der gesetzlich vorgeschriebenen Dokumentation der Patientenbehandlung. Zwar ist der Zeitpunkt einer Diagnosestellung oder Behandlung für derzeitige oder künftige Behandlungen relevant, jedoch nicht die Terminvereinbarung an sich. D.h. die Terminplanung unterliegt nicht der in § 630f BGB verankerten Dokumentationspflicht, insbesondere kann auch nicht der in § 630f Abs. 10 BGB angegebene Aufbewahrungszeitraum für diese Daten als Rechtsgrundlage für die Speicherung angesehen werden.

4. Vertraulichkeit in Online-Terminbuchungssystemen

Neben den datenschutzrechtlichen Vorgaben spielen im Kontext der Gesundheitsversorgung auch berufsrechtliche Regelungen eine wesentliche Rolle. Ärzte, Zahnärzte, Psychotherapeuten und weitere Angehörige reglementierter Gesundheitsberufe unterliegen einer besonderen Schweigepflicht, die über die datenschutzrechtlichen Anforderungen hinausgeht. Die berufsrechtliche Schweigepflicht verpflichtet dazu, alle Informationen, die im Rahmen der beruflichen Tätigkeit anvertraut werden, streng vertraulich zu behandeln. Hierbei ist zu unterscheiden zwischen der internen Verarbeitung innerhalb der Arztpraxis und der externen Weitergabe an externe Beteiligte wie beispielsweise an einen externen Dienstleister für die Terminverwaltung.

§ 203 Abs.  1 StGB stellt die unbefugte Offenbarung von Patientengeheimnissen unter Strafe. Dabei ist nicht allein das aktive Weitergeben von Informationen relevant, sondern auch das passive Ermöglichen einer Einsichtnahme in die geschützten Patienteninformationen, beispielsweise durch die Übertragung von Daten in nicht gesicherte IT-Systeme. Bereits die Bereitstellung eines Zugangs zu den Daten kann den Tatbestand der passiven Offenbarung erfüllen, auch wenn kein Zugriff durch Unbefugte erfolgte, jedoch möglich gewesen wäre.

Für Leistungserbringer bedeutet dies, dass sie nicht nur auf die Einhaltung der datenschutzrechtlichen Vorgaben achten müssen, sondern auch sicherstellen müssen, dass sämtliche berufsrechtlichen Schweigepflichten strikt eingehalten werden.

Es gilt bei Einsatz von entsprechenden Terminbuchungssystemen zu prüfen, ob durch die Weitergabe an Dienstleister bereits eine Offenbarung im Sinne des Berufsrechts und des Strafrechts stattfindet, was die Geheimhaltungspflichten verletzen würde. Ein zentrales Instrument ist hierbei die Pseudonymisierung. Dabei werden personenbezogene Daten so verarbeitet, dass ohne zusätzliche Informationen – die getrennt verwahrt werden und auf die ein Dienstleister unter keinen Umständen Zugriff erhalten kann – keine Rückschlüsse auf einzelne Personen möglich sind. Liegt keine Pseudonymisierung vor, muss aus Sicht des Datenschutzrechts die Erforderlichkeit der Weitergabe der Daten nachgewiesen werden. Zudem muss in diesen Fällen ausgeschlossen wer‑ den, dass Dienstleister die erhaltenen Daten zu eigenen Zwecken verarbeiten.

Dies wird regelhaft durch vertragliche Vereinbarungen festgehalten. Zu beachten: Berufs- und Strafrecht verlangen in diesen Fällen eine Verpflichtung auf Vertraulichkeit unabhängig vom Datenschutzrecht; auch dies muss vertraglich vereinbart werden. In diesen Fällen wird durch den Dienstleister regelhaft auch eine Verarbeitung der Patientendaten im Auftrag vorliegen, sodass auch an den Abschluss eines entsprechen‑ den Auftragsverarbeitungsvertrags gedacht werden muss.

5. Pflicht zur Barrierefreiheit

Die UN-Behindertenrechtskonvention (UN-BRK) ist in Deutschland seit dem 26. März 2009 in Kraft, Europa trat 2010 bei. Menschen mit Behinderungen dürfen bei der medizinischen Versorgung gegenüber Menschen ohne Behinderungen nicht benachteiligt werden. Dies bedeutet insbesondere auch, dass Leistungserbringer bei der Bereitstellung eines Online-Terminmanagementsystems darauf zu achten haben, dass Menschen mit Behinderung nicht benachteiligt werden.

Die Richtlinie (EU) 2016/2102 wurde in Deutschland durch das Behindertengleichstellungsgesetz (BGG) und der Barrierefreien-Informationstechnik-Verordnung (BITV) umgesetzt. Entsprechend § 1 Abs. 3 BGG sollen Träger öffentlicher Gewalt darauf hinwirken, dass Einrichtungen, Vereinigungen und juristische Personen des Privatrechts, an denen die Träger öffentlicher Gewalt unmittelbar oder mittelbar ganz oder überwiegend beteiligt sind, die Ziele dieses Gesetzes in an‑ gemessener Weise berücksichtigen.

ErwG 34 Richtlinie (EU) 2016/2102 beinhaltet die Aufforderung an die Mitgliedstaaten, die Anwendung dieser Richtlinie auf private Stellen auszuweiten, die Einrichtungen und Dienstleistungen anbieten, die der Öffentlichkeit offenstehen bzw. bereitgestellt werden, unter anderem in den Bereichen Gesundheitswesen, Kinderbetreuung, soziale Integration und soziale Sicherheit. Deutschland griff diese Anregung jedoch nicht auf und adressierte in seiner Gesetzgebung private natürliche und juristische Personen nur eingeschränkt. Unabhängig von der Richtlinie (EU) 2016/2102 und deren deutscher Umsetzung sind die Vorgaben der UN-BRK aufgrund deren Anerkennung Deutschlands ggf. aber auch auf anderen Rechtswegen einklagbar.

Online-Terminbuchungssysteme müssen daher zwingend Vorgaben zur Barrierefreiheit einhalten. Die Norm EN 301 549, welche entsprechend des Anhangs des Durchführungsbeschlusses (EU) 2018/2048 der EU-Kommission zwingend anzuwenden ist, enthält in Kapitel 9 einzuhaltende Vorgaben, auf die bei Anschaffungen resp. in Ausschreibungen entsprechender Online-Dienste verwiesen werden sollte.

III. Sicherheit der Verarbeitung: Schon vor Verarbeitungsbeginnplanen

Die Verarbeitung von Gesundheitsdaten in Online-Systemen erfordert ein besonders hohes Maß an Sicherheitsvorkehrungen. Art. 5 Abs. 1 lit. f) DS‑GVO verlangt, dass personenbezogene Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“. Hinsichtlich der Bewertung des Schutzbedarfs enthält ErwG 91 DS‑GVO die Aussage, dass insbesondere die Sensibilität der Daten die Wahrscheinlichkeit eines „hohen“ Risikos vermuten lässt, sodass bei der Verarbeitung der in Art. 9 Abs. 1 DS‑GVO genannten besonderen Kategorien von Daten grundsätzlich von einem hohen oder sogar sehr hohen Schutzbedarf auszugehen ist. D.h. bei der Verarbeitung von sensiblen Daten wie Gesundheitsdaten, genetischen Daten oder auch biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person ist stets von einem hohen Risiko und damit auch von einem hohen Schutzbedarf auszugehen. Entsprechend ErwG 83 ist es unerheblich, ob die Risiken aus einer beabsichtigten, einer unbeabsichtigten oder auch einer unrechtmäßigen Handlung resultieren.

Die Sicherheit der Verarbeitung muss daher schon vor dem Einsatz entsprechender Online-Terminbuchungssysteme bedacht werden und gem. den Vorgaben von Art.  25 DS‑GVO schon bei der Ausschreibung bzw. Entwicklung entsprechender Software-Tools in einem entsprechenden Anforderungskatalog festgehalten werden.

IV. Technische und organisatorische Maßnahmen (TOM)

Um die in Art. 32 DS‑GVO geforderten Anforderungen an den Schutz personenbezogener Daten zu erfüllen, müssen Online-Terminmanagementsysteme umfangreiche technische und organisatorische Maßnahmen implementieren. Die‑ se Maßnahmen umfassen neben der Verschlüsselung der Datenübertragung auch die physische Sicherheit der Server, regelmäßige Sicherheitsupdates und den Einsatz moderner Firewalls.

Organisatorisch gilt es, klare Regelungen zur Zugriffsberechtigung zu treffen. Nur Mitarbeiter, die unmittelbar in die Verarbeitung der Patientendaten involviert sind, dürfen Zu‑ griff auf diese Informationen haben. Zudem ist die regelmäßige Schulung der Mitarbeiter in Bezug auf Datenschutz und IT‑Sicherheit unabdingbar. Durch die konsequente Umsetzung eines sogenannten „Least-Privilege“-Prinzips kann das Risiko eines unbefugten Datenzugriffs minimiert werden.

Die Zusammenarbeit mit externen Dienstleistern erfordert immer besondere Sorgfalt. Hier müssen verbindliche Verträge zur Auftragsverarbeitung abgeschlossen werden, in denen die externen Partner verpflichtend in die Einhaltung der DS‑GVO eingebunden werden. Die Vereinbarung solcher Verträge stellt sicher, dass auch externe IT‑Anbieter und Softwarehersteller technische und organisatorische Maßnahmen umsetzen, die dem Schutzniveau der Gesundheitsdaten gerecht werden.

Zu beachten: Berufs- und Strafrecht erlauben (bei entsprechender Verpflichtung von externen Dienstleistern) eine Offenbarung von Patientengeheimnissen ausschließlich, „soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist.“ D.h., Leistungserbringer müssen bei einer Offenbarung von Patientendaten an externe Dienstleister stets nachweisen, dass die Offenbarung für die jeweilige Erbringung der Dienstleistung erforderlich ist.

Im Falle eines Dienstleisters, welcher ein Online-Terminbuchungssystem bereitstellt, ist stets nachzuweisen, warum der Dienstleister auf die Patientendaten zugreifen muss, da ansonsten die Dienstleistung nicht erbracht werden kann.

V. Herausforderung: Eigenständige Datenerhebung durch den Dienstleister

Eine eigenständige Datenerhebung seitens des Dienstleisters ist im Rahmen einer Auftragsverarbeitung unzulässig, da Auftragsverarbeiter nur auf Weisung des Verantwortlichen handeln dürfen. Leistungserbringer sollten darauf achten, keine Verträge abzuschließen, nach denen Dienstleister eigenständige Verarbeitungen durchführen dürfen. Entsprechende Vereinbarungen können berufsrechtliche und strafrechtliche Verstöße darstellen, die unabhängig vom Datenschutzrecht geahndet werden können.

„In the wild“ finden sich verschiedene Praktiken im Einsatz, die mehr oder weniger deutlich aufzeigen, dass Dienstleister mit Patientendaten eigenständige Verarbeitungen durchführen. Hierzu gehören beispielsweise:

• Nutzung von Patientendaten zu statistischen Auswertungen des Dienstleisters
• Einige Dienstleister behalten sich das Recht vor, Statistiken zur Nutzung des Online-Terminmanagementsystems zu erstellen und damit auch die Patienten‑ daten des jeweiligen Leistungserbringers zu nutzen. In diesen Fällen werden Daten zu eigenen Interessen des Dienstleisters verarbeitet, nicht jedoch auf Weisung des Verantwortlichen. Die Erstellung entsprechender Statistiken ist bei der Beurteilung, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt, somit immer zu berücksichtigen.
• Patienten-Umfragen durch den Dienstleister: Auch vom Software-Dienstleister durchgeführte Patienten-Umfragen wie beispielsweise eine Umfrage zur Zufriedenheit mit dem angebotenen Terminvergabe-Dienst dienen i.d.R. dem Software-Dienstleister, welcher damit die Qualität der Dienstleistungen messen will. Sie sind regelhaft keine für den Leistungserbringer durchgeführte Leistung.
• Vom Leistungserbringer gegenüber dem Dienstleister zu erbringende Fachkundenachweise: Sehen vertragliche Regelungen vor, dass ein Dienstleister, welcher ein Online-Terminmanagementsystem anbietet, Termine nur vermittelt, wenn der Auftraggeber dem Dienstleister zuvor Nachweise des Behandlers (Approbationsurkunde, Fotografien des Personals, Personalausweiskopie, Spezialisierungsnachweise wie beispielsweise Fachkundenachweise, beruflicher Werdegang oder dergleichen) bereitstellt, so begründet diese Datenerhebung des Dienstleisters eines Online-Terminmanagementsystems immer auch eine eigene Verantwortlichkeit, da bei einer Auftragsverarbeitung derartige Bewertungen ausschließlich vom Verantwortlichen vorzunehmen sind, niemals jedoch von einem Dienstleister.

Unabhängig von einer wahrscheinlich stattfindenden unbefugten Offenbarung durch den Leistungserbringer liegt in diesen Fällen keine Auftragsverarbeitung vor. Leistungserbringer müssen daher Verträge zur Verarbeitung im Auftrag, die entsprechende direkt oder indirekt (z.B. in AGB) Klauseln enthalten ablehnen.

VI. Fazit

Die Digitalisierung des Gesundheitswesens eröffnet enorme Chancen, administrative Prozesse zu optimieren und die Kommunikation zwischen Patienten und Leistungserbringern zu verbessern. Online-Terminmanagementsysteme leisten hierbei einen wichtigen Beitrag, indem sie den Zugang zu medizinischen Leistungen er‑ leichtern und die Organisation in Arztpraxen und Krankenhäusern effizienter gestalten. Gleichzeitig stellen sie jedoch hohe Anforderungen an den Datenschutz, die IT‑Sicherheit und die Einhaltung berufsrechtlicher Vorschriften.

Aus rechtlicher Sicht zeigt sich, dass der Schutz personenbezogener und insbesondere sensibler Gesundheitsdaten in einem multidimensionalen Spannungsfeld zwischen Datenschutz, Berufsrecht und Strafrecht erfolgt. Die DS‑GVO bildet hierbei den gesetzlichen Rahmen, welcher durch nationale Regelungen wie die Landeskrankhausgesetze, dem Bundesdatenschutzgesetz oder den Sozialgesetzbüchern ergänzt wird. Die Erfüllung der Vorgaben – von der Einholung einer wirksamen Einwilligung über die Umsetzung technischer und organisatorischer Maßnahmen bis hin zur vertraglichen Absicherung der Datenverarbeitung – erfordert einen hohen organisatorischen Aufwand und ein kontinuierliches Sicherheitsmanagement.

Obgleich eine digitale Terminbuchung niemals den persönlichen Kontakt und das direkte Gespräch ersetzen kann, bieten diese Systeme den Vorteil, dass erforderliche administrative Aufgaben in kürzerer Zeit erbracht werden können, sodass mehr Zeit für den direkten Patientenkontakt verbleibt.

Online-Terminmanagementsysteme können somit ein wertvolles Werkzeug im modernen Gesundheitswesen darstellen, das jedoch mit einem hohen Maß an Verantwortung verbunden ist. Die erfolgreiche Umsetzung dieser Systeme erfordert ein engmaschiges Zusammen‑ spiel aus technischer Kompetenz, rechtlichem Fachwissen und einem klaren Bewusstsein für die Bedeutung des Datenschutzes – vor allem, wenn es um den Schutz der sensiblen Gesundheitsdaten der Patienten geht.

Für Leistungserbringer und Dienstleister gilt es, ein hohes Schutzniveau zu gewährleisten und zugleich die organisatorische Effizienz zu steigern. Die Einhaltung der Vorgaben der DS‑GVO, die Implementierung angemessener technischer und organisatorischer Maßnahmen sowie eine klare vertragliche Regelung zwischen den beteiligten Parteien bilden die Grundlage für einen sicheren und rechtskonformen Betrieb von Online-Terminbuchungssystemen.

VII. Ausblick

Die digitale Transformation im Gesundheitswesen ist in vollem Gange. Online-Terminmanagementsysteme sind ein wesentlicher Bestandteil dieser Entwicklung, der den Alltag von Patienten und Leistungserbringern gleichermaßen erleichtert. Bei dieser Transformation gilt es, sowohl die gesetzlichen Vorgaben als auch die ethischen und berufsrechtlichen Anforderungen zu berück‑ sichtigen, um einen reibungslosen und sicheren Betrieb zu gewährleisten. Der Spagat zwischen Effizienz und Datenschutz, zwischen Digitalisierung und traditioneller ärztlicher Verantwortung ist möglich, wenn alle Beteiligten bereit sind, in entsprechende Sicherheits- und Organisationsstrukturen zu investieren.

Die fortlaufende Auseinandersetzung mit den rechtlichen, technischen und organisatorischen Fragestellungen wird in den kommenden Jahren noch stärker an Bedeutung gewinnen. Nur durch eine enge Verzahnung von IT‑Sicherheit, Datenschutz und medizinischer Verantwortung kann der digitale Wandel im Gesundheitswesen erfolgreich gestaltet werden. Die kontinuierliche Anpassung an neue Herausforderungen und die Bereitschaft zur Zusammenarbeit aller Akteure bilden hierbei den Schlüssel zu einer erfolgreichen digitalen Zukunft.

Der Gesetzgeber muss darauf achten, in der digitalen Transformation alle Akteure einzubinden: Nur die Leistungserbringer besitzen das erforderliche Wissen, wie Patienten versorgt werden, Anbieter von IT-Lösungen im Gesundheitswesen besitzen die technische Expertise auf dem sehr speziellen Bereich der medizinischen IT und Patienten sind DIE zentralen Akteure, um die sich alles dreht.

Auch gut gemeinte Lösungen vom „grünen Tisch“ bergen immer die Gefahr, die Gesundheitsversorgung eher zu behindern oder im schlimmsten Fall sogar zu verschlechtern, wenn auf das Wissen der wesentlichen Akteure verzichtet wird. Die digitale Transformation im Gesundheitswesen ist eine Herkules-Aufgabe, die nur gemeinsam gestemmt werden kann.

_{* Dieser Aufsatz basiert auf der Praxishilfe „Umgang mit Online-Terminmanagementsystemen“, die am 8. November 2024 von verschiedenen Verbänden, u.a. der GDD, veröffentlicht wurde und an welcher der Autor dieses Aufsatzes mitwirkte. Alle Literaturangaben sind in der Praxishilfe zu finden. Die Praxishilfe ist unter https://gesundheitsdatenschutz.org/html/termin vergabetools.php abrufbar.}