Datenschutzerklärung für Doctolib Terminbuchung

(5 Bewertungen, 3.60 von 5)

Was macht Doctolib Terminbuchung?

Doctolib ist eine Online-Plattform, mit der Arztpraxen Patienten online Termine einbuchen lassen können. Patienten können auf dem Portal auf einen Blick Termine und medizinische Unterlagen verwalten. Auf Doctolib sind 150.000 Ärzte und Gesundheitsfachkräfte aus Deutschland und Frankreich registriert. 50 Millionen Patienten haben die Terminbuchung von Doctolib bisher genutzt. Welche datenschutzrechtlichen Vorgaben müssen Arztpraxen beachten, wenn sie Doctolib verwenden?

Der Punkt " Doctolib Terminbuchung" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

Warum ist eine Doctolib Terminbuchung datenschutzrechtlich relevant?

Buchen Patienten einen Termin über Doctolib ein, erheben Arztpraxen von ihnen personenbezogene Daten wie

  • Name,
  • E-Mail und
  • Telefonnummer.

Für diese Daten schreiben die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG (ehemals TTDSG)) besondere datenschutzrechtliche Pflichten vor.

Doctolib DSGVO-konform verwenden

Doctolib gibt an, die deutschen Datenschutzvorgaben strikt einzuhalten. Damit Arztpraxen dem ebenfalls nachkommen, müssen sie auf diese datenschutzrechtlichen Pflichten achten:

Nutzer-Einwilligung in Cookies einholen

Tragen Patienten einen Termin über Doctolib ein, erheben Arztpraxen personenbezogene Daten. Die Software nutzt dafür Cookies. Welche Daten die Cookies dabei speichern, ist derzeit unklar. Gesundheitseinrichtungen sollten daher sichergehen und eine Einwilligung der Nutzer in die Datenerhebung einholen. Rechtssicher können sie das mit einem Cookie Consent Tool vornehmen. Dies erzeugt einen Cookie-Banner, der das Einverständnis der User datenschutzkonform abfragt.

Vertrag zur Auftragsverarbeitung abschließen

Immer dann, wenn Unternehmen personenbezogene Daten an Dritte zur weisungsgebundenen Verarbeitung weitergeben, müssen sie mit diesen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Das trifft auch auf den Einsatz von Doctolib zu. Denn: Sie geben personenbezogene Daten ihrer Patienten an den Anbieter weiter.

Der AV-Vertrag sollte festhalten,

  • welche Daten sie an Doctolib weitergeben,
  • wie lange Doctolib diese Daten speichert,
  • warum Doctolib die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung aktualisieren

Arztpraxen müssen in ihrer Datenschutzerklärung erwähnen, dass sie über Doctolib personenbezogene Daten erheben, speichern und an Dritte weitergeben. Dabei sollten sie darauf hinweisen,

  • aus welchem Grund sie über die Doctolib Terminbuchung personenbezogene Daten erheben,
  • wie lange sie die personenbezogenen Daten speichern,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. a DSGVO),
  • dass sie für die Datenweitergabe mit Doctolib einen AV-Vertrag geschlossen haben und
  • dass User der Datenerhebung jederzeit widersprechen können.

Damit Nutzer verstehen, was mit ihren Daten bei Doctolib passiert, sollten Arztpraxen in ihrer Datenschutzerklärung auch die Datenschutz- und Nutzungsbestimmungen von Doctolib aufführen.

Rechtsprechung zu Doctolib Terminbuchung

Zu Doctolib liegt diese Rechtsprechung vor:

Frankreichs oberstes Verwaltungsgericht zum Datenschutzniveau von Doctolib

In Frankreich können User Doctolib nutzen, um einen Impftermin für Covid-19 zu vereinbaren. Für das Hosten dieser Daten nutzt Doctolib die Amazon Web Services (AWS) Sarl mit Sitz in Luxemburg. Dabei handelt es sich um eine Tochtergesellschaft der AWS in den USA. Gewerkschaften und Berufsverbände warfen Doctolib daher vor, gegen die DSGVO zu verstoßen. Denn: Es bestehe das Risiko, dass AWS auf die Daten in Luxemburg zugreift.

Frankreichs oberstes Verwaltungsgericht stellte fest: US-Behörden könnten eine Zugriffsanfrage an AWS Sarl stellen. Daher prüfte das Gericht, ob die Verarbeitung der personenbezogenen Daten ein angemessenes Schutzniveau aufweist. Dafür nahm es die Verträge zwischen Doctolib und AWS Sarl unter die Lupe. Es kam zu dem Schluss: Das Schutzniveau beim Hosten der Daten ist angemessen. Denn: Die Daten sind verschlüsselt. Den Schlüssel besitzt eine in Frankreich ansässige dritte Partei – und nicht AWS Sarl. Dritte können die Daten daher nicht lesen. Und: Doctolib und AWS Sarl haben vereinbart, dass AWS Sarl jeden Zugangsantrag einer Behörde anfechtet. Zudem löscht AWS Sarl alle erhobenen Daten nach drei Monaten.

Datenschutzbehörde Hamburg zum AV-Vertrag

Arztpraxen müssen mit Doctolib einen AV-Vertrag schließen. Kommen sie dem nicht nach, droht ihnen ein Bußgeld. Die Hamburger Datenschutzbehörde sprach am 17.12.2018 eine Strafe in Höhe von 5.250 Euro gegen ein Versandunternehmen aus. Dies hatte es versäumt, mit einem Dienstleister einen AV-Vertrag zu schließen.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Die Datenschutzbehörde Baden-Württemberg stellte im März 2021 fest: Der VfB Stuttgart hatte Dienstleister beauftragt, um Mitgliederdaten verarbeiten zu lassen. Er hatte dafür jedoch keinen AV-Vertrag abgeschlossen. Das ist ein DSGVO-Verstoß. Die Behörde legte daher ein Bußgeld in Höhe von 300.000 Euro fest.

Europäischer Gerichtshof zur Verwendung von Cookies

Alle Cookies, die keine funktionellen oder essenziellen Cookies sind, benötigen eine Einwilligung der Webseitenbesucher. Zu diesem Ergebnis kam der Europäische Gerichtshof (EuGH) in einem Urteil vom 01.10.2019(Az. C-673/17).

Bundesgerichtshof zur Verwendung von Cookies

Der Bundesgerichtshof (BGH) kam zum gleichen Schluss wie der EuGH. Die Richter legten fest: Seitenbetreiber dürfen nur Tracking Cookies verwenden, wenn sie dafür die Erlaubnis der User haben. Sie müssen das Einverständnis per Opt-In einholen (I ZR 7/16).

Aktuelles zu Doctolib Terminbuchung

Im Juni 2021 kam heraus: Die Doctolib-App übermittelt sensible Daten an Facebook und Outbrain. Dabei erhalten die beiden Portale unter anderem Informationen zum in der App verwendeten Suchwort, zur gewünschten Behandlung, zur Art der Versicherung (privat oder Kasse) und zur IP-Adresse. Die Daten wurden für Online-Werbung übermittelt. Doctolib gab an, dass es die Daten zur Kampagnenmessung an Facebook und Outbrain weitergegeben habe. Es habe die Zusammenarbeit mit den Plattformen jedoch beendet und die erhobenen Daten löschen lassen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6431 Bewertungen, 4.38 von 5)