Datenschutz in Zahnarztpraxen: Patientendaten, Termin und SMS

Datenschutz in Zahnarztpraxen: Patientendaten, Termin und SMS

1. Die konkrete Situation in der Praxis

Stellen Sie sich den Alltag in einer modernen Zahnarztpraxis vor: Um das Praxispersonal zu entlasten und den Patienten mehr Flexibilität zu bieten, hat die Praxisleitung ein Online-Tool für die Terminbuchung eingeführt. Patienten können auf der Praxis-Webseite freie Termine einsehen und direkt eine Prophylaxe oder Kontrolluntersuchung buchen. 24 Stunden vor dem Termin erhalten sie automatisiert eine Erinnerungs-SMS auf ihr Mobiltelefon. Dieser digitale Service ist effizient und bei Patienten beliebt, wirft aber eine zentrale Frage auf: Wie wird der Datenschutz in Zahnarztpraxen – Patientendaten, Terminbuchung und Erinnerungs-SMS – in diesem Prozess korrekt umgesetzt?

Diese Situation ist typisch für das Gesundheitswesen, wo digitale Dienstleistungen zunehmend Standard werden. Die Relevanz des Themas ergibt sich aus der Kombination von hochsensiblen Gesundheitsdaten mit externen Dienstleistern. Viele Praxisinhaber sind unsicher, welche Verträge sie mit den Anbietern der Buchungssoftware oder des SMS-Gateways benötigen, wie eine gültige Einwilligung der Patienten aussehen muss und wer im Falle einer Datenpanne die Verantwortung trägt. Fehler in diesem Prozess sind nicht nur häufig, sondern können auch weitreichende Konsequenzen haben.

2. Welche personenbezogenen Daten sind betroffen

In dem beschriebenen Prozess werden verschiedene Kategorien personenbezogener Daten verarbeitet, die einem besonders hohen Schutzniveau unterliegen. Ein fehlerhafter Umgang gefährdet nicht nur den Datenschutz in der Zahnarztpraxis, sondern auch das Vertrauensverhältnis zum Patienten.

  • Personenstammdaten: Hierzu gehören Name, Vorname, Geburtsdatum, Adresse, E-Mail-Adresse und die Mobilfunknummer der Patienten.
  • Gesundheitsdaten: Dies sind die kritischsten Daten. Allein die Tatsache, dass eine Person einen Termin in einer Zahnarztpraxis hat, ist ein Gesundheitsdatum. Hinzu kommen spezifische Informationen wie der Grund des Besuchs (z. B. “Kontrolle”, “Zahnschmerzen”, “Implantat Beratung”), Anamnesebögen oder Notizen, die im Buchungstool hinterlegt werden. Diese fallen unter Art. 9 DSGVO (Datenschutz-Grundverordnung) als besondere Kategorien personenbezogener Daten.
  • Termin- und Organisationsdaten: Datum und Uhrzeit des Termins, der Name des behandelnden Zahnarztes oder der Prophylaxe-Fachkraft.
  • Versicherungsdaten: Name der Krankenkasse und Versichertenstatus (gesetzlich/privat).

Der Schutz dieser Daten ist aus zwei Gründen von höchster Bedeutung. Erstens genießen Gesundheitsdaten nach Art. 9 DSGVO einen besonderen Schutz, da ihre Offenlegung zu einer erheblichen Beeinträchtigung der Grundrechte und Grundfreiheiten der betroffenen Person führen kann. Zweitens unterliegen alle im Rahmen der Behandlung erlangten Informationen der ärztlichen Schweigepflicht und dem Berufsgeheimnis nach § 203 StGB (Strafgesetzbuch). Ein Bruch dieser Schweigepflicht, auch durch unsachgemäße Weitergabe an Dienstleister, kann strafrechtliche Folgen haben.

3. Welche Risiken entstehen für das Unternehmen

Eine unzureichende Umsetzung der Datenschutzvorgaben bei der digitalen Terminbuchung und -erinnerung setzt eine Zahnarztpraxis konkreten und vermeidbaren Risiken aus. Diese gehen weit über formale Verstöße hinaus und können den Praxisbetrieb empfindlich stören.

  • Bußgelder: Die zuständige Datenschutz-Aufsichtsbehörde kann bei Verstößen gegen die DSGVO empfindliche Bußgelder verhängen. Fehlt beispielsweise ein notwendiger Auftragsverarbeitungsvertrag mit dem Softwareanbieter, stellt dies einen gravierenden formellen Mangel dar. Die Höhe solcher Bußgelder kann, je nach Schwere des Verstoßes, im fünf- bis sechsstelligen Bereich liegen.
  • Schadensersatzansprüche: Patienten, denen durch eine Datenschutzverletzung ein materieller oder immaterieller Schaden entsteht, können gemäß Art. 82 DSGVO Schadensersatz direkt von der Praxis fordern. Wird beispielsweise durch eine Sicherheitslücke im Buchungssystem für Dritte ersichtlich, welcher Patient wann eine bestimmte Behandlung erhält, kann dies einen immateriellen Schaden begründen.
  • Reputationsschaden: Im Gesundheitssektor ist Vertrauen die wichtigste Währung. Nachrichten über einen unsorgfältigen Umgang mit Patientendaten können schnell die Runde machen und den Ruf einer Praxis nachhaltig schädigen. Dies führt zu Patientenverlust und erschwert die Gewinnung neuer Patienten.
  • Meldepflicht bei Datenpannen: Stellt die Praxis fest, dass Patientendaten durch eine Sicherheitslücke bei einem Dienstleister abgeflossen sind, muss sie diesen Vorfall gemäß Art. 33 DSGVO in der Regel innerhalb von 72 Stunden der Aufsichtsbehörde melden. Dies verursacht administrativen Aufwand und rückt die Praxis in den Fokus der Behörden.
  • Abmahnungen: Wettbewerber oder Verbände könnten Verstöße zum Anlass für Abmahnungen nehmen, die mit Kosten und Unterlassungsaufforderungen verbunden sind.

4. Gesetzliche und organisatorische Anforderungen

Um den Datenschutz bei Patientendaten, Terminbuchung und Erinnerungs-SMS sicherzustellen, müssen Zahnarztpraxen eine Reihe von Anforderungen erfüllen. Es geht nicht darum, die DSGVO auswendig zu lernen, sondern die für diesen konkreten Prozess relevanten Pflichten zu verstehen und umzusetzen.

Die Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten im Rahmen eines Behandlungsvertrags ist Art. 9 Abs. 2 lit. h DSGVO. Für zusätzliche Services wie eine Terminerinnerung per SMS, die über die reine Vertragserfüllung hinausgeht, ist eine separate, informierte und freiwillige Einwilligung des Patienten nach Art. 6 Abs. 1 lit. a in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO die sicherste Rechtsgrundlage. Organisatorisch sind vor allem drei Punkte entscheidend:

  1. Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO: Sowohl der Anbieter des Online-Buchungstools als auch der Dienstleister für den SMS-Versand sind Auftragsverarbeiter. Sie verarbeiten personenbezogene Daten im Auftrag und nach Weisung der Zahnarztpraxis. Mit jedem dieser externen Dienstleister muss die Praxis einen rechtlich einwandfreien AV-Vertrag schließen. Dieser regelt unter anderem die Weisungsgebundenheit, die technischen und organisatorischen Maßnahmen des Dienstleisters und die Vorgehensweise bei Datenpannen.
  2. Technisch-organisatorische Maßnahmen (Technical and Organisational Measures auf Englisch, TOM) nach Art. 32 DSGVO: Die Praxis als verantwortliche Stelle muss sicherstellen, dass die eingesetzten Dienstleister ein angemessenes Schutzniveau bieten. Dazu gehört die Prüfung, ob Datenübertragungen verschlüsselt sind (z. B. via SSL/TLS), wo die Server des Anbieters stehen (idealerweise in der EU) und welche Zertifizierungen (z. B. ISO 27001) der Dienstleister vorweisen kann.
  3. Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO: Der Prozess “Digitale Terminverwaltung und -erinnerung” muss im internen VVT der Praxis dokumentiert werden. Darin werden unter anderem die Zwecke der Verarbeitung, die betroffenen Datenkategorien, die eingesetzten Dienstleister und die Rechtsgrundlagen festgehalten.

5. Praktische Schritte für Unternehmen

Die Umsetzung eines datenschutzkonformen Terminmanagements ist kein Hexenwerk, erfordert aber ein systematisches Vorgehen. Die folgende Checkliste hilft Zahnarztpraxen, die wichtigsten Schritte zu gehen und den Datenschutz bei Patientendaten, Terminbuchung und Erinnerungs-SMS zu gewährleisten.

  • Schritt 1: Dienstleister sorgfältig auswählen. Prüfen Sie vor Vertragsabschluss, ob der Anbieter der Software oder des SMS-Dienstes seinen Sitz in der EU hat und transparente Informationen zum Datenschutz bereitstellt. Ein Blick in dessen Datenschutzerklärung ist obligatorisch.
  • Schritt 2: Auftragsverarbeitungsverträge (AVV) einfordern und prüfen. Schließen Sie mit jedem externen Dienstleister, der Patientendaten verarbeitet, einen AV-Vertrag ab. Nutzen Sie nicht ungeprüft die Vorlage des Anbieters, sondern stellen Sie sicher, dass diese den Anforderungen von Art. 28 DSGVO entspricht.
  • Schritt 3: Eine separate Einwilligung für die SMS-Erinnerung einholen. Integrieren Sie die Einwilligung nicht im Kleingedruckten des Anamnesebogens. Erstellen Sie ein separates, kurzes Formular (digital oder auf Papier), auf dem der Patient aktiv und informiert der Nutzung seiner Mobilfunknummer für Terminerinnerungen zustimmt. Dokumentieren Sie diese Einwilligung.
  • Schritt 4: Grundsatz der Datensparsamkeit anwenden. Übermitteln Sie an den SMS-Dienstleister nur die absolut notwendigen Daten. In der Regel genügen die Mobilfunknummer sowie Datum und Uhrzeit des Termins. Der Name des Patienten oder der Behandlungsgrund sind für eine reine Erinnerungs-SMS nicht erforderlich.
  • Schritt 5: Mitarbeitende sensibilisieren und schulen. Das Praxisteam am Empfang muss den Prozess kennen. Es muss Patienten erklären können, warum eine Einwilligung nötig ist, und wissen, wie diese korrekt dokumentiert wird.
  • Schritt 6: Die eigene Datenschutzerklärung anpassen. Informieren Sie auf der Webseite Ihrer Praxis in der Datenschutzerklärung transparent über die eingesetzten Dienstleister für die Online-Terminbuchung und den SMS-Versand. Nennen Sie die Zwecke der Verarbeitung und die Rechtsgrundlagen.
  • Schritt 7: Regelmäßige Überprüfung. Kontrollieren Sie mindestens einmal jährlich, ob die geschlossenen AV-Verträge noch aktuell sind und die Dienstleister weiterhin Ihren Anforderungen an den Datenschutz genügen.

6. Wie MUNAS Consulting Unternehmen in dieser Situation unterstützt

Die korrekte Umsetzung der Datenschutzanforderungen im Gesundheitswesen erfordert spezifisches Fachwissen. MUNAS Consulting begleitet Zahnarztpraxen und andere medizinische Einrichtungen bei der Analyse und Absicherung ihrer digitalen Prozesse. Die Expertise umfasst dabei die Prüfung von Dienstleisterverträgen, die Erstellung notwendiger Dokumentationen und die Schulung von Mitarbeitenden.

In einer Situation wie der beschriebenen unterstützt MUNAS Consulting unter anderem durch die Durchführung eines Datenschutz-Audits, um bestehende Prozesse zu bewerten und Schwachstellen aufzudecken. Als externe Datenschutzbeauftragte übernehmen die Experten von MUNAS Consulting die laufende Überwachung der Datenschutzkonformität und stehen als Ansprechpartner für Praxisinhaber und Behörden zur Verfügung. Für die besonderen Anforderungen des Sektors bietet MUNAS Consulting eine spezielle Branchenlösung für das Gesundheitswesen an, die praxistaugliche und rechtssichere Lösungen für den Umgang mit sensiblen Patientendaten bereitstellt.

7. Weiterführende Informationen und Fachthemen

Wer die digitale Terminbuchung einführt, sollte auch die allgemeine IT-Sicherheit der Praxis-Webseite und die sichere E-Mail-Kommunikation mit Patienten im Blick behalten. Beide Bereiche sind eng mit dem Schutz von Patientendaten verknüpft. Ebenso ist die Anbindung an die Telematikinfrastruktur und die Nutzung der elektronischen Patientenakte (ePA) ein verwandtes Thema, das hohe datenschutzrechtliche Hürden mit sich bringt.

Offizielle Informationen und Orientierungshilfen zum Datenschutz im Gesundheitssektor stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bereit. Eine sorgfältige Gestaltung der digitalen Kommunikationsprozesse ist somit ein zentraler Baustein für eine vertrauensvolle Patientenbeziehung und die Einhaltung gesetzlicher Vorgaben.

8. Weitere relevante Inhalte