Datenschutz beim Einsatz externer Terminverwaltungs- und KI-Dienstleister – nicht nur für Ärzte relevant

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 16. Juni 2025 ein Positionspapier zum datenschutzkonformen Einsatz externer Terminverwaltungsdienste veröffentlicht. Anlass war die zunehmende Auslagerung der Terminorganisation in Arzt- und Zahnarztpraxen. Die darin formulierten Anforderungen lassen sich jedoch in weiten Teilen auf andere Berufsgruppen wie Rechtsanwälte, Steuerberater, Architekten sowie Unternehmen übertragen, die personenbezogene Daten verarbeiten oder KI-gestützte Systeme nutzen.

Das Papier stellt klar, unter welchen Voraussetzungen die Beauftragung externer Anbieter zulässig ist und welche Pflichten bestehen.

Zulässigkeit der Beauftragung

Die Einbindung eines externen Dienstleisters zur Terminorganisation stellt regelmäßig eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO dar. Eine gesonderte Einwilligung der betroffenen Personen ist nicht erforderlich, sofern die Datenverarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen notwendig ist. Maßgeblich ist der Grundsatz der Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für die Organisation des jeweiligen Termins erforderlich sind.

Datenminimierung und Zweckbindung

Eine pauschale Übermittlung sämtlicher Stammdaten aller Mandanten oder Kunden ist unzulässig. Für die Terminvereinbarung erforderlich sind in der Regel Name, Kontaktdaten, Terminart und gegebenenfalls die Zuordnung zu einem konkreten Vorgang oder Aktenzeichen. Eine weitergehende Speicherung darf nur erfolgen, wenn sie für die Erfüllung gesetzlicher Aufbewahrungspflichten oder Dokumentationspflichten erforderlich ist.

Keine Nutzung zu eigenen Zwecken

Die vom Dienstleister verarbeiteten Daten dürfen ausschließlich im Rahmen des Auftrags und nach Weisung der verantwortlichen Stelle verwendet werden. Eine Nutzung zu eigenen Zwecken, etwa zur Profilbildung oder für Marketingmaßnahmen, ist unzulässig. Im Falle eines Verstoßes besteht für die verantwortliche Stelle die Pflicht, unverzüglich Maßnahmen zur Herstellung eines datenschutzkonformen Zustands zu treffen.

Erinnerungs- und Servicenachrichten

Die Versendung von Terminerinnerungen oder Servicehinweisen per SMS oder E-Mail stellt eine zusätzliche Verarbeitung dar, für die regelmäßig eine ausdrückliche Einwilligung der betroffenen Personen erforderlich ist. Diese Einwilligung sollte dokumentiert werden.

Löschung nach Zweckerfüllung

Nach Durchführung des Termins sind die erhobenen Daten grundsätzlich zeitnah zu löschen, soweit sie nicht in die Pflichtdokumentation übernommen werden. Die Einträge in einem Online-Terminkalender unterliegen in der Regel keiner gesonderten Aufbewahrungspflicht und sind daher nach Ablauf des Zwecks zu entfernen.

Technisch-organisatorische Maßnahmen

Verantwortliche müssen sicherstellen, dass geeignete technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Dazu zählen insbesondere eine verschlüsselte Datenübertragung, Zugriffsbeschränkungen, Protokollierung von Zugriffen, Mandantentrennung beim Anbieter sowie Maßnahmen zur Verfügbarkeit und Integrität der Systeme. Diese Vorkehrungen sind vertraglich festzulegen.

Besonderheiten bei KI-Assistenzsystemen und Cloud-Lösungen

Der Einsatz KI-gestützter Systeme oder cloudbasierter Terminverwaltungsdienste unterliegt denselben Vorgaben der Auftragsverarbeitung. Dabei ist zusätzlich zu prüfen, ob der Anbieter Daten in Drittstaaten verarbeitet. Ist dies der Fall, müssen geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen, beispielsweise Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission.

Informationspflichten

Nach Art. 13 DSGVO besteht die Pflicht, betroffene Personen transparent über die Datenverarbeitung zu informieren. Hierzu gehört insbesondere die namentliche Benennung des Dienstleisters, die Darstellung der Zwecke der Verarbeitung sowie der Rechtsgrundlagen und der Speicherdauer.

Übertragbarkeit auf andere Berufsgruppen

Die im Positionspapier beschriebenen Grundsätze gelten nicht nur für Arztpraxen, sondern in vergleichbarer Weise auch für andere Berufsgruppen mit besonderen Verschwiegenheitspflichten. Rechtsanwälte, Steuerberater, Wirtschaftsprüfer oder Architekten müssen bei der Nutzung von Terminportalen oder KI-Assistenzsystemen sicherstellen, dass Vertraulichkeit und Datenschutz jederzeit gewahrt bleiben. Die datenschutzrechtlichen Pflichten bestehen unabhängig von der Unternehmensgröße und auch dann, wenn moderne digitale Werkzeuge eingesetzt werden.

Fazit

Das aktuelle Positionspapier der Datenschutzkonferenz verdeutlicht die hohen Anforderungen an eine datenschutzkonforme Einbindung externer Dienstleister und KI-gestützter Systeme. Verantwortliche sollten bestehende Verträge, Prozesse und Informationspflichten prüfen und anpassen, um die rechtlichen Vorgaben umzusetzen und das Vertrauen der Mandanten, Kunden oder Patienten zu wahren.

Ungültigkeit des sog. Privacy-Shield-Abkommens zwischen der EU und der USA: Was sind die Folgen?

Das Urteil des EuGH zur Ungültigkeit des sog. Privacy-Shield-Abkommens zwischen der EU und der USA vom 16.07.2020, Az.: C-311/18, wurde in zahlreichen Medienberichten thematisiert. .

Nachdem dazu bereits auch Fragen bei mir eingegangen sind, das Wichtigste im Überblick:

Was ist das Privacy-Shield-Abkommen?

Dabei handelt es sich um eine Absprache zwischen der EU und der USA auf dem Gebiet des Datenschutzrechts, und zwar für die Übermittlung von personenbezogenen Daten aus der EU in die USA.

Kurz gesagt ging es darum, dass sich US-Unternehmen in eine Liste eintragen konnten und dadurch zusicherten, dass ein US-Unternehmen einen gewissen Mindestschutz für personenbezogene Daten auf Grundlage des EU-Datenschutzrechts einhält.

Wollte also ein Unternehmen aus der EU in die USA personenbezogene Daten übermitteln, musste das EU-Unternehmen lediglich prüfen, ob das US-Unternehmen in der Privacy-Shield-Liste eingetragen war. War dem der Fall, so sollte die Übermittlung der personenbezogenen Daten zulässig sein.

Was hat der EuGH entschieden?

Der EuGH hat den Beschluss der EU-Kommission zum Privacy-Shield-Abkommen für ungültig erklärt. Nach Auffassung des EuGH könne das Privacy-Shield-Abkommen kein nach EU-Recht angemessenes Datenschutzniveau gewährleisten, weil amerikanische Behörden zu weitreichende Befugnisse hätten, um auf die übermittelten personenbezogenen Daten aus der EU zuzugreifen.

Ist damit die Übermittlung personenbezogener Daten in die USA generell unzulässig?

Nein.

In seinem Urteil hat der EuGH nämlich auch entschieden, dass die sog. EU-Standardvertragsklauseln gültig seien.

Diese sog. EU-Standardvertragsklauseln gehen zurück auf einen Beschluss der EU-Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern. Zu diesen Drittländern gehört auch die USA.

Diesem Beschluss ist als Anhang ein Mustervertrag für Auftragsverarbeiter in diesen Drittländern beigefügt. Und diesen Standardvertrag hat der EuGH für gültig erklärt.

Daraus folgt:

Wer nun aus der EU in die USA personenbezogene Daten übermitteln möchte, muss nun mehr tun als zuvor vor dem EuGH-Urteil:

Es genügt nicht mehr zu prüfen, ob das US-Unternehmen, an das die Daten übermittelt werden sollen, dem Privacy-Shield-Abkommen beigetreten ist.

Es muss nun – am besten – der Mustervertrag der EU-Kommission für die Auftragsverarbeitung personenbezogener Daten verwendet werden, so dass das EU-Unternehmen mit dem US-Unternehmen explizit einen solchen Individualvertrag abschließen muss.

Dazu gibt es auch zwischenzeitlich eine Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 28.07.2020. Dabei betont die DSK, dass es nicht genüge, dass das EU-Unternehmen mit dem US-Unternehmen die EU-Standardvertragsklauseln verwende, sondern darüber hinaus auch eine individuelle Verantwortung des Unternehmens in der EU bestehe, so dass auch geprüft werden solle, ob diese Klauseln vom US-Unternehmen auch tatsächlich eingehalten und beachtet werden.

Nachtrag (25.08.2020):

Eine erste Orientierungshilfe einer deutschen Aufsichtsbehörde zum Thema internationaler Datentransfer kommt nun vom Landesdatenschutzbeauftragten von Baden-Württemberg.

Danach muss ein EU-Unternehmen, welches personenbezogene Daten in die USA übermittelt, nicht nur bei einem Vertragsschluss die oben genannten EU-Standardvertragsklauseln nutzen sondern auch prüfen, ob in den USA ein Zugriff auf die übermittelten Daten z.B. durch US Behörden nicht möglich ist.

In der Orientierungshilfe heißt es dazu:

„Der Verantwortliche muss hier zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen; dies wäre in folgenden Fällen denkbar:

  • Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
  • Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann.“

Das würde vermutlich das faktische „Aus“ für die Übermittlung von personenenbezogenen Daten in die USA bedeuten.