02.10.2025 | KI-Recht

Die digitale Terminbuchung im Gesundheitswesen

Die digitale Terminbuchung ist im Gesundheitswesen mittlerweile Alltag, bleibt rechtlich jedoch heikel. Wer Patientendaten als Leistungserbringer, darunter Ärztinnen und Ärzte, Zahnärzte, Psychotherapeutinnen, Apotheker, Pflegepersonal sowie Krankenhäuser, MVZs, Apotheken, Pflegedienste und Vorsorge- und Rehaeinrichtungen, verarbeitet, muss Datenschutz, Schweigepflicht und sichere Technik konsequent zusammenbringen. In diesem Beitrag ordnen wir die Vorgaben einmal genauer ein und zeigen, wie Akteure praxisnahe Mindeststandards umsetzen können.

Schnell gebucht – aber wer haftet im Ernstfall?

Mit der digitalen Terminbuchung lassen sich heute schon zahlreiche Abläufe in Praxen und Kliniken wesentlich schlanker halten. Patientinnen und Patienten reservieren selbstständig ihren Wunschslot, Wartezeiten sinken, die Vergabe wird standardisiert und häufig automatisiert. Einsatz findet das Tool aktuell in der ambulanten Versorgung, in Krankenhäusern und in der arbeitsmedizinischen Betreuung.

Dabei prägen zwei Grundmodelle den Markt. Erstens: eigenständige Drittplattformen mit Patientenaccount, bei denen ein Direktvertrag zwischen Patienten und Plattformanbieter besteht. Und zweitens praxisintegrierte Tools auf der Webseite des Leistungserbringers, welche das Vertragsverhältnis zwischen Leistungserbringer und Toolanbieter definieren, meist ohne Vertrag zwischen Patienten und Toolanbieter.

Diese Trennung ist vor allem für den Datenschutz und das Vertragsrecht wesentlich. Sie legt Verantwortlichkeiten fest (Verantwortlicher vs. Auftragsverarbeiter), steuert Informationspflichten, die Rechtsgrundlagen, die Auftragsverarbeitungsverträge, technische und organisatorische Maßnahmen sowie Haftungsfragen.

Rechtliche Leitplanken für digitale Terminbuchung

Fest steht: Online-Terminmanagementsysteme verarbeiten Gesundheitsdaten. Und genau diese Daten gehören zu den besonderen Kategorien unter dem Schutzmantel der DS-GVO und erfordern einen besonders hohen Schutz. Eine Verarbeitung ist nur mit einer klaren Rechtsgrundlage zulässig, etwa mit einer freiwilligen Einwilligung oder einer einschlägigen Ausnahme nach Artikel 9 Absatz 2 DS-GVO. Neben dem Datenschutzrecht greifen ferner berufsrechtliche Pflichten zur Verschwiegenheit und strafrechtliche Verbote nach § 203 StGB. Zugriff auf Patientendaten ist nur berechtigten Personen gestattet. Artikel 5 Absatz 1 Buchstabe a DS-GVO verlangt Rechtmäßigkeit in jeder Hinsicht. Wer gegen Berufsrecht oder Strafrecht verstößt, handelt ebenso datenschutzwidrig. Artikel 5 Absatz 1 Buchstabe f DS-GVO fordert letztlich Integrität und Vertraulichkeit.

Sind Terminbuchungsdaten gleich Gesundheitsdaten?

Termine im medizinischen Bereich gelten fast immer als Gesundheitsdaten. Maßstab ist hier Artikel 4 Nummer 15 DS-GVO. Schon die Information, dass jemand einen Termin bei einer Hausärztin, einem Zahnarzt oder einer Fachklinik gebucht hat, verrät etwas über seinen Gesundheitszustand oder die geplante Behandlung. Das gilt auch dann, wenn die Angabe nicht zur betroffenen Person selbst gehört, sondern zu einer dritten Person.

Wichtig ist: Auch scheinbar neutrale Details können zusammengenommen sensibel werden. Name, Kontakt, Datum und der Ort der Praxis ergeben im Paket ein klares Bild. Ein Eintrag „Termin in der Onkologie am 10. Mai“ macht den gesamten Datensatz besonders schutzbedürftig.

Für solche Daten gelten strenge Regeln der Datenschutz-Grundverordnung gemäß Artikel 9 DS-GVO. Sie dürfen nur verarbeitet werden, wenn dafür ein klarer rechtlicher Grund vorliegt, etwa eine ausdrückliche Einwilligung oder eine speziell vorgesehene Ausnahme. Wer Termin- und Patientendaten verarbeitet, muss sie besonders vertraulich behandeln und technisch wie organisatorisch gut absichern.

Rechtssichere Online-Terminbuchung und Dokumentation

Wie im vorangegangenen Abschnitt bereits angedeutet, dürfen Gesundheitsdaten nur mit passender Rechtsgrundlage verarbeitet werden. Aber welche kommt hierbei infrage? Im Behandlungsverhältnis kann Artikel 9 Absatz 2 Buchstabe h DSGVO in Verbindung mit Artikel 6 Absatz 1 Buchstabe b greifen, wenn eine Ärztin, ein Arzt oder eine andere Angehörige eines Gesundheitsberufs die Daten verarbeitet und dies für den Behandlungsvertrag nach § 630a BGB nötig ist. Drittanbieter ohne Status als Gesundheitsberuf können sich hierauf in der Regel nicht stützen. Entscheidend ist zudem die Erforderlichkeit. Weil Termine auch telefonisch oder vor Ort vergeben werden können, ist ein Online-Tool häufig nicht zwingend. In vielen Fällen trägt daher erst eine ausdrückliche Einwilligung nach Artikel 9 Absatz 2 Buchstabe a die Verarbeitung.

Mit der Dokumentation nach § 630f BGB hat die Terminplanung nur am Rande zu tun. In die Patientenakte gehören vor allem medizinisch relevante Inhalte wie Befunde, Maßnahmen, Aufklärungen und Einwilligungen. Reine Terminabsprachen zählen nicht dazu. Daraus folgt, dass die Aufbewahrungsfristen der Patientenakte nicht als Grundlage für das Speichern von Terminkalenderdaten dienen. Für diese Daten gelten die allgemeinen Vorgaben der DS-GVO wie Zweckbindung, Datenminimierung und Löschung nach Wegfall des Zwecks.

Praxis-Tipps für sichere Online-Terminbuchungen

Wer Online-Terminbuchung mit Patientendaten einsetzt, muss Sicherheit von Beginn an mitplanen. Hierfür kommt der Ansatz Privacy by Design zum Tragen. Zudem sind klare Nachweise zur Erforderlichkeit des Datenzugriffs zwingend. Im Folgenden haben wir Ihnen die wichtigsten technischen und organisatorischen Maßnahmen gelistet, die Sie in diesem Zusammenhang einsetzen sollten.

• Führen Sie eine Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO durch und dokumentieren Sie Risiken und Gegenmaßnahmen.
• Verankern Sie Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nach Artikel 25 DSGVO bereits in Ausschreibung und Entwicklung.
• Verschlüsseln Sie Daten bei Übertragung und Speicherung mit aktuellem Stand der Technik und mit sauberem Schlüsselmanagement.
• Setzen Sie starke Mehrfaktorauthentifizierung und rollenbasierte Zugriffssteuerung um. Arbeiten Sie strikt nach dem Least-Privilege-Prinzip.
• Protokollieren Sie Zugriffe revisionssicher und prüfen Sie sensible Vorgänge im Vier-Augen-Prinzip.
• Halten Sie Systeme aktuell und patchen Sie zeitnah. Nutzen Sie Firewalls, Intrusion Detection, Netzsegmentierung und sichere Konfigurationen.
• Sichern Sie Serverräume und Cloud-Einstellungen physisch und organisatorisch. Erstellen Sie Backups und testen Sie die Wiederherstellung regelmäßig.
• Schulen Sie Mitarbeitende regelmäßig zu Datenschutz und IT-Sicherheit und legen Sie klare Prozesse und Verantwortlichkeiten fest.
• Schließen Sie Auftragsverarbeitungsverträge nach Artikel 28 DSGVO und prüfen Sie Subunternehmer, Speicherorte und Übermittlungen in Drittländer.
• Begrenzen Sie den Zugriff externer Dienstleister strikt und weisen Sie die Erforderlichkeit der Offenbarung nach Berufsrecht und Paragraf 203 StGB nach.
• Definieren Sie Lösch- und Aufbewahrungsfristen. Entfernen Sie Termin- und Accountdaten nach Zweckfortfall.
• Richten Sie ein Verfahren für Sicherheitsvorfälle und Meldungen nach Artikel 33 und 34 DSGVO ein und testen Sie die Abläufe.
• Minimieren Sie Daten konsequent. Erheben Sie nur die Angaben, die für die Terminvergabe nötig sind.
• Prüfen Sie die Wirksamkeit und Angemessenheit der Maßnahmen regelmäßig durch Audits und Penetrationstests.

Die nächsten Schritte für die Online-Terminbuchung planen

Der Nutzen digitaler Terminbuchung entsteht durch eine klare Betriebsstrategie. Sinnvoll ist ein Umsetzungsplan mit schlanken Datenflüssen, eindeutigen Zuständigkeiten, geprüften Anbietern und einer Exit‑Strategie. Trennen Sie Terminverwaltung und Patientenakte konsequent, definieren Sie kurze Löschfristen und halten Sie Barrierefreiheit nach EN 301 549 ein, ergänzt um einen einfachen Telefonkanal. Sicherheit gehört in den Alltag: Datenschutz-Folgenabschätzung mit Probeläufen, getestete Meldewege, wirksame Zugriffskontrollen und regelmäßige Schulungen. Messen Sie Erfolg mit wenigen Kennzahlen wie No‑Show‑Rate, Buchungsdauer, Supportanfragen, Fristen-Compliance und Sicherheitsvorfällen und verbessern Sie quartalsweise. So wird Terminbuchung zum stabilen Baustein einer patientenorientierten, rechtssicheren Versorgung.

SBS LEGAL – Kanzlei für Datenschutz

Suchen Sie Klarheit zu den Themen DS-GVO und Gesundheitsdaten in Online-Terminbuchungen? Benötigen Sie belastbare Einwilligungen, einen rechtssicheren AV-Vertrag oder eine Datenschutz-Folgenabschätzung? Planen Sie internationale Datentransfers, wollen Sie Abmahnungen abwehren oder fragen Sie sich, wie Barrierefreiheit nach EN 301 549 und Transparenzpflichten sauber umgesetzt werden?

Dann sind Sie bei SBS LEGAL genau richtig! 

Wir erstellen passgenaue Datenschutzerklärungen für Webseiten, Apps und Social Media, prüfen und gestalten Verträge inklusive Auftragsverarbeitung und Joint Controller Agreements, sichern internationalen Datentransfer und Datennutzung rechtlich ab und beraten zu Online-Business, E-Commerce und PR-Maßnahmen wie Werbemails, Umfragen, Gewinnspielen und Fotoaufnahmen. Wir prüfen, ob ein Datenschutzbeauftragter oder -vertreter zu bestellen ist, wehren Abmahnungen, einstweilige Verfügungen und Bußgeldverfahren ab und führen Datenschutz-Audits im Unternehmen durch. Zudem erstellen wir erforderliche Rechtstexte und Einwilligungen, entwickeln Compliance-Richtlinien und verpflichten Mitarbeitende auf den Datenschutz, damit Ihr Unternehmen praxisnah, effizient und rechtskonform arbeitet.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

Zurück zur Blog-Übersicht