Auftragsverarbeiter

Datenschutz beim Einsatz externer Terminverwaltungs- und KI-Dienstleister – nicht nur für Ärzte relevant

Wolfgang Riegger

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 16. Juni 2025 ein Positionspapier zum datenschutzkonformen Einsatz externer Terminverwaltungsdienste veröffentlicht. Anlass war die zunehmende Auslagerung der Terminorganisation in Arzt- und Zahnarztpraxen. Die darin formulierten Anforderungen lassen sich jedoch in weiten Teilen auf andere Berufsgruppen wie Rechtsanwälte, Steuerberater, Architekten sowie Unternehmen übertragen, die personenbezogene Daten verarbeiten oder KI-gestützte Systeme nutzen.

Das Papier stellt klar, unter welchen Voraussetzungen die Beauftragung externer Anbieter zulässig ist und welche Pflichten bestehen.

Zulässigkeit der Beauftragung

Die Einbindung eines externen Dienstleisters zur Terminorganisation stellt regelmäßig eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO dar. Eine gesonderte Einwilligung der betroffenen Personen ist nicht erforderlich, sofern die Datenverarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen notwendig ist. Maßgeblich ist der Grundsatz der Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für die Organisation des jeweiligen Termins erforderlich sind.

Datenminimierung und Zweckbindung

Eine pauschale Übermittlung sämtlicher Stammdaten aller Mandanten oder Kunden ist unzulässig. Für die Terminvereinbarung erforderlich sind in der Regel Name, Kontaktdaten, Terminart und gegebenenfalls die Zuordnung zu einem konkreten Vorgang oder Aktenzeichen. Eine weitergehende Speicherung darf nur erfolgen, wenn sie für die Erfüllung gesetzlicher Aufbewahrungspflichten oder Dokumentationspflichten erforderlich ist.

Keine Nutzung zu eigenen Zwecken

Die vom Dienstleister verarbeiteten Daten dürfen ausschließlich im Rahmen des Auftrags und nach Weisung der verantwortlichen Stelle verwendet werden. Eine Nutzung zu eigenen Zwecken, etwa zur Profilbildung oder für Marketingmaßnahmen, ist unzulässig. Im Falle eines Verstoßes besteht für die verantwortliche Stelle die Pflicht, unverzüglich Maßnahmen zur Herstellung eines datenschutzkonformen Zustands zu treffen.

Erinnerungs- und Servicenachrichten

Die Versendung von Terminerinnerungen oder Servicehinweisen per SMS oder E-Mail stellt eine zusätzliche Verarbeitung dar, für die regelmäßig eine ausdrückliche Einwilligung der betroffenen Personen erforderlich ist. Diese Einwilligung sollte dokumentiert werden.

Löschung nach Zweckerfüllung

Nach Durchführung des Termins sind die erhobenen Daten grundsätzlich zeitnah zu löschen, soweit sie nicht in die Pflichtdokumentation übernommen werden. Die Einträge in einem Online-Terminkalender unterliegen in der Regel keiner gesonderten Aufbewahrungspflicht und sind daher nach Ablauf des Zwecks zu entfernen.

Technisch-organisatorische Maßnahmen

Verantwortliche müssen sicherstellen, dass geeignete technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Dazu zählen insbesondere eine verschlüsselte Datenübertragung, Zugriffsbeschränkungen, Protokollierung von Zugriffen, Mandantentrennung beim Anbieter sowie Maßnahmen zur Verfügbarkeit und Integrität der Systeme. Diese Vorkehrungen sind vertraglich festzulegen.

Besonderheiten bei KI-Assistenzsystemen und Cloud-Lösungen

Der Einsatz KI-gestützter Systeme oder cloudbasierter Terminverwaltungsdienste unterliegt denselben Vorgaben der Auftragsverarbeitung. Dabei ist zusätzlich zu prüfen, ob der Anbieter Daten in Drittstaaten verarbeitet. Ist dies der Fall, müssen geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen, beispielsweise Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission.

Informationspflichten

Nach Art. 13 DSGVO besteht die Pflicht, betroffene Personen transparent über die Datenverarbeitung zu informieren. Hierzu gehört insbesondere die namentliche Benennung des Dienstleisters, die Darstellung der Zwecke der Verarbeitung sowie der Rechtsgrundlagen und der Speicherdauer.

Übertragbarkeit auf andere Berufsgruppen

Die im Positionspapier beschriebenen Grundsätze gelten nicht nur für Arztpraxen, sondern in vergleichbarer Weise auch für andere Berufsgruppen mit besonderen Verschwiegenheitspflichten. Rechtsanwälte, Steuerberater, Wirtschaftsprüfer oder Architekten müssen bei der Nutzung von Terminportalen oder KI-Assistenzsystemen sicherstellen, dass Vertraulichkeit und Datenschutz jederzeit gewahrt bleiben. Die datenschutzrechtlichen Pflichten bestehen unabhängig von der Unternehmensgröße und auch dann, wenn moderne digitale Werkzeuge eingesetzt werden.

Fazit

Das aktuelle Positionspapier der Datenschutzkonferenz verdeutlicht die hohen Anforderungen an eine datenschutzkonforme Einbindung externer Dienstleister und KI-gestützter Systeme. Verantwortliche sollten bestehende Verträge, Prozesse und Informationspflichten prüfen und anpassen, um die rechtlichen Vorgaben umzusetzen und das Vertrauen der Mandanten, Kunden oder Patienten zu wahren.

Vorgaben für die Gestaltung von Cookie-Einwilligungen

Wolfgang Riegger

Soweit ersichtlich, hat das Landgericht Rostock mit Urteil vom 15.09.2020, Az.: 3 O 762/19, erstmals detailliert dazu Stellung genommen, wie eine Einwilligung für das Setzen von Tracking-/Marketing-Cookies zu gestalten ist.

Liest man sich die Entscheidungsgründe des Urteils durch, so zeigt sich, dass danach zahlreiche derzeit verwendete Cookie-Einwilligungserklärungen unwirksam sein dürften.

Zunächst geht das Landgericht auf die häufig zu sehende Gestaltung ein, wonach im Rahmen der Einwilligungserklärung das Häkchen für den Nutzer mit dem Text „Alle Cookies ausgewählt“ bereits gesetzt ist und der Nutzer, wenn er nicht in alle Cookies einwilligen will, aktiv das Häkchen wegklicken muss. Hier zieht das Landgericht eine Parallele zur Rechtsprechung des BGH zur rechtswirksamen Einwilligung in den Erhalt von E-Mail-Werbung wie z.B. Newsletter. Danach sind sog. Opt-Out-Lösungen unzulässig. Eine wirksame Einwilligung setzt also grundsätzlich voraus, dass der Nutzer aktiv das Häkchen selbst setzen muss.

Im Folgenden ist das Landgericht der Auffassung, dass die Gestaltung der Einwilligung mittels einer grünen Schaltfläche „Alle Cookies zulassen“ dann problematisch ist, wenn zugleich keine Schaltfläche z.B. mit dem Hinweis „Nur notwendige Cookies zulassen“ existiert. Auch hier bezieht sich das Landgericht auf die Grundsätze des BGH zur rechtswirksamen Einwilligungserklärung in den Erhalt von Werbung per E-Mail.

Sofern sich diese strenge Auffassung des Landgerichts durchsetzt – dafür spricht durchaus Einiges – müssten Cookie-Banner künftig vermutlich so gestaltet werden, dass der Nutzer selbst anklicken muss, ob er nur technisch notwendige Cookies oder auch Marketing/Tracking-Cookies akzeptieren möchte, wobei die Gestaltung der beiden Erklärungen neutral gehalten sein müsste. Bereits die unterschiedlich farbliche Gestaltung in z.B. „grün“ für alle Cookies und „rot“ für die notwendigen Cookies wäre damit problematisch.

Auch in einem weiteren, im Gerichtsverfahren streitigen Punkt vertrat das Landgericht eine strenge Auffassung.

Es ging noch um die Frage, ob derjenige, der auf seiner Webseite Social-Media- und Analyse-Tools einsetzt, hier im speziellen Google Analytics, jedenfalls in seiner Datenschutzerklärung darüber belehren muss, dass zwischen dem Webseitenbetreiber und z.B. Google eine sog. gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt. In dem beim Landgericht Rostock anhängigen Fall stellte sich der beklagte Webseitenbetreiber auf den Standpunkt, dass Google lediglich als Auftragsverarbeiter tätig sei.

Ähnlich wie bereits der Europäische Gerichtshof (EuGH), der entschieden hatte, dass derjenige, der auf Facebook eine Seite betreibt, gemeinsam mit Facebook datenschutzrechtlich verantwortlich ist, soll dies nach Auffassung des Landgerichts Rostock auch bei Einsatz von Google Analytics so sein. Denn beim Einsatz von Google Analytics bestimme der Webseitenbetreiber nicht allein über die Zwecke und Mittel der Datenverarbeitung. Demzufolge sei es auch nicht ausreichend, dass der Webseitenbetreiber mit Google Analytics den von Google selbst angebotenen Auftragsverarbeitungsvertrag abschließe. Vielmehr handelt es sich eben bei Google nicht um einen Auftragsverarbeiter, weil eine gemeinsame Verantwortlichkeit bestehe. Diese gemeinsame Verantwortlichkeit müsse auch vertraglich geregelt werden.

Das bedeutet:

Ähnlich wie das Betreiben einer Facebook-Seite dürfte nun sowohl der Einsatz von Tracking- und Marketing-Cookies, insbesondere der Einsatz von Google Analytics, datenschutzrechtlich problematisch werden. Dabei bleibt zu hoffen, dass Google in nicht allzu ferner Zukunft ein Vertragsmuster für die gemeinsame Verantwortlichkeit zur Verfügung stellt.