So ich glaube jetzt bin ich nach einigem hin und her an meine Grenzen bzgl. einer DSGVO-Auskunft bei Doctolib gestoßen. Eine Auskunft bezogen auf meinen Namen ist Doctolib auch nach mehrmaliger Nachfrage nicht nachgekommen. Lediglich nach Mailadresse und Rufnummer kann gesucht werden.
Wir bei Doctolib können aus Datenschutzgründen nur via Rufnummern und Mailadressen nach Daten bei uns suchen. Eine kontoübergreifende Suche ist deswegen nicht möglich.
Doctolib beruft sich darauf nur für die Nutzer, welche auch wirklich ein Konto bei Doctolib eröffnet haben, zuständig zu sein. Die einzge Info, die ich bekommen habe ist, dass zu meiner E-Mail-Adresse kein Nutzerkonto angelegt ist. Aber das wusste ich ja vorher schon…
Doctolib sieht sich lediglich als Auftragsverwalter, alles Weitere liege lt. Doctolib im Verantwortungsbereich der Praxen. Auch werden angeblich keine Daten aus den Praxen an Doctolib übertragen. Das steht diametral entgegen der Aussage im Kuketz-Blog, wo steht, dass von jedem Patienten (ob mit Doctolib-Konto oder nicht) ein Stammdatensatz an Doctolib übertragen wird.
Des Weiteren:
Es liegt hier kein Fall gemeinsamer Verantwortlichkeiten vor. Doctolib ist Verantwortlicher für alles rund um das Doctolib Nutzerkonto.
Diesbezüglich sind wir verpflichtet, eine Datenauskunft zu erteilen. Alles darüber hinaus liegt außerhalb unserer gesetzlichen Verpflichtungen.
Was bleibt mir nun noch zu tun? An Doctolibs Auskunftsmotivation kann ich scheinbar nichts ändern. Vielleicht eine Beschwerde bei der zuständigen Stelle für Datenschutz?
Okay, an dieser Stelle mal eine vielleicht blöde Frage, aber:
Wenn man alleine mit einem Namen und einer e-mail Adresse eine Anfrage zur Datenauskunft (und je nach dem daraufhin sogar Löschung) stellen kann - und laut skywalkr bestätigt Doctolib, dass sie per mail oder Rufnummer nach Daten suchen - , dann kann man doch mit Kenntnis von Namen und mail-adresse auch höchst sensible (und ja eben schützenswerte) Daten über jede beliebige Person erlangen, von der man lediglich Namen und mail-adresse kennt.
Das kann in einer Praxis ja alleine schon eine Person in der Schlange vor dem Tresen sein, die diese Daten gerade dem/der MTA nennt, was ja durchaus regelmäßig aus allen möglichen Gründen passiert.
Ich finde ja gut, dass man niedrigschwellig Auskunft über seine Daten bei Anbietern wie Doctolib erhält und diese auch (idealerweise) einfach löschen lassen kann.
Aber ist diese vergleichsweise „Einfachheit“ nicht gleichzeitig auch eine Schwachstelle?
Wenn man bei einem doctolib-Arzt einen Termin macht, frage ich mich nach dem Artikel und den bisherigen Kommentaren, ob es besser ist dafür ein doctolib-Konto anzulegen oder nicht. Mit welcher Methode hat man hinterher bessere Chancen, die Daten wieder löschen zu lassen?
iirc kannst Du nur via Doctolib buchen, wenn Du dort ein Konto hast
Ich hatte letztens den ‚Spass‘ an der Praxisinfo mit dem Doctolib-Zeugs, sollte Benachrichtigungen erlauben (nixgibt’s). Ich gab auch hier keine Freigabe und schrieb quer auf das Formular „keinerlei Weitergabe an Doctolib“, die werden die das vermutlich im Rahmen der Auftragsverarbeitung trotzdem weitergeben, und dann rappelt’s im Karton. Kann man sich zwar auch nur ‚leisten‘, wenn man eh’ nicht wieder in die Praxis will, aber das ist hier auch sowieso der Fall…
[edit]
Nächster Arzt, selbes Spiel: jeder Patient wird gefragt, ob man 2 Tage vor dem nachstehend Termin erinnert werden möchte, „dann unterschreiben Sie bitte hier“
Das ist dann gleichzeitig der Hinweis zur Datenweitergabe als ‚Auftragsverarbeiter‘, wird wohl derselbe ‚Spass‘ wie oben…
In Ergänzung meiner Hinweise vom 8.2.2025 will ich von positiven Reaktionen von Ärzten berichten, wenn ich sie schriftlich auf die Datenschutz-Problematik bei doctolib hingewiesen habe. Sie gaben glaubhaft an, sich niemals damit beschäftigt zu haben, aber das Patientengeheimnis durchaus ernst zu nehmen.
Ich hänge hier die Vorlage meines Schreibens an Ärzte an, für den Fall, dass sich jemand so wie ich auf den Pfad des Sisyphus begeben und Ärzte einzeln aufklären wollte. Ich denke es lohnt sich im Schwarm aktiv zu werden.
Vorlage Schreiben an Ärzte zu doctolib:
Sehr geehrte Damen um Herren,
bitte veranlassen Sie die Löschung meiner persönlichen Daten bei Ihrem Auftragsdatenverarbeiter Doctolib GmbH, Mehringdamm 51, 10961 Berlin, als auch die Löschung der automatisierten Weitergabe und Synchronisation meiner Stammdaten mit den Servern dieses Unternehmens. Bitte bestätigen Sie mir Löschung und Deaktivierung im Terminverwaltungssystem von Doctolib. Ich benötige keine automatisierte Terminerinnerung.
Aufgrund der Erfahrungen mit einer, leider gängigen und dennoch falschen Praxis werden im Rahmen von Auftragsdatenvereinbarungen mit Doctolib alle Patientenstammdaten mit Einrichtung der Software automatisiert auf Server von Doctolib (vorgeblich anonymisiert) übertragen und eine automatische Verknüpfung von Stammdaten und Doctolib bei Terminangelegenheiten aktiviert. Dies erfolgt jedoch ohne Prüfung von zwingend notwendigen Zustimmungen der Betroffenen. Hier liegt ein Verstoß gegen die Datenschutzgrundverordnung und die ärztliche Schweigepflicht vor, was letztendlich durch die Praxisinhaber und nicht durch Doctolib zu verantworten ist. Richtig wäre eine Einzelfall-bezogene Freigabe von Patientendaten, nachdem die ausdrückliche Zustimmung der Patienten zur Übertragung an Doctolib vorliegt. Unvollständige und falsche Informationen durch Doctolib an die Praxisinhaber sind möglicherweise ursächlich für diese rechtswidrige Praxis. Seit Januar 2025 nimmt sich Doctolib darüber hinaus das Recht heraus, die verknüpften Patientendaten auch Ihrer Praxis zum Anlernen einer KI zu verwenden.
Ich möchte mich hier gerne mit einem kurzen Erfahrungsbericht und einer Frage anschließen und hoffe, dass es thematisch passt:
Mein Arzt nutzt Doctolib als Auftragsverarbeiter. Finde ich nicht gut, akzeptiere es aber mangels alternativen. Auf Anfrage nach Auskunft bei Doctolib kam die übliche Antwort, dass ich dort kein Konto habe und dementsprechend auch keine Daten gespeichert sein. Egal.
Seit neuestem macht mein Arzt aber auch keine Termine mehr selbst sondern verweist dafür auf Doctolib. Das ist mir nicht mehr egal, da ich dafür ein Konto anlegen müsste. Mein Arzt sagt, dass ich mir einen anderen suchen kann, wenn ich das nicht möchte.
Hab ihr so etwas schon erlebt? Ist das überhaupt zulässig?
Keine Verpflichtung zur Kontoerstellung: Sie müssen nicht jede Plattform nutzen. Scheuen Sie sich nicht, Alternativen wie die Terminservicestellen zu nutzen oder direkt bei der Praxis nachzufragen.
Erfahrungen teilen: Wenn Sie Probleme mit einem Buchungsportal haben, melden Sie dies der Verbraucherzentrale. So werden wir schneller auf Probleme aufmerksam und können uns für Ihre Rechte einsetzen. Nutzen Sie dafür unser kostenloses Beschwerdeformular.
Ich weiß es nicht, kann mir vorstellen, dass es rechtens ist, solange doctolib erlaubt ist. (edit: Ich hatte hier noch die Assoziation zu „Freiwilligkeit bei der Einwilligung“ bei Cookies, aber hier musst Du ja nirgends zur Verarbeitung der Daten durch die Arztpraxis zustimmen),
Es ist natürlich die Frage, ob bei so einem Arzt weiter ein Vertrauensverhältnis bestehen kann.
Mein Arzt, wo ich nach langer Pause wieder einen Termin wollte, hat auch doctolib eingeführt, also Terminausmachung direkt bei doctolib. Ich habe, wenig optimistisch, eine Mail geschrieben und freundlich auf die Problematik hingewiesen (u.a. auch Links auf diverse Artikel/Seiten) und auch, dass immer mehr Ärzte doctolib kritisieren. Keine Ahnung, ob er sich das durchgelesen hat, aber mir wurde dann per Mail ein Termin angeboten.
Ich kann mir vorstellen, dass die Freundlichkeit, mit der man das vorträgt, eine Rolle spielt (kenne auch einen Fall, wo jemand nicht unterschreiben wollte, protestiert hat und dann mit Wachpersonal aus der Praxis geworfen wurde)
Hallo zusammen und vielen Dank an das team für die unermüdliche Arbeit für den Datenschutz!
Ich habe heute nach sehr kurzer Wartezeit eine Antwort von doctolib auf meine DSGVO-Auskunftsanfrage erhalten. Darin stehen jedoch keinerlei Infos zu meinen Terminen aus der Vergangengheit - in der entsprechenden .csv - Datei sind keine Eintraege zu finden, siehe screenshot. Gleiches gilt für die aufgeführten Gesundheitsdaten. Was natuerlich gespeichert ist, sind name, Adresse, Handynr. etc.
Habe ich unvollständige Daten erhalten? Oder bei der Anmeldung seinerzeit abgewählt, dass diese Daten übertragen bzw. gespeichert werden?
Update: In meinem doctolibprofil ist alles rund um das speichern von Informationen deaktiviert, daher wohl die leeren Auskunftsdateien. D.h. doch, dass die Nutzung von doctolib dtl. weniger kritisch ist, wenn man die Speicherung deaktiviert, oder sehe ich das falsch?
Die Datenweitergabe kannst Du unterbinden, indem Du anonym anrufst.
An so einen Anrufroboter bin ich auch schon mal geraten. Würde mich interessieren, was es damit auf sich hat.
Was mich mal interessieren würde ist, wie man sich gegen diese Ausgrenzung vom Gesundheitssystem wehren kann? Wo kann ich eine rechtliche bindende Beschwerde einreichen, das mir von etlichen Praxen der Weg zum Gesundheitssystem versperrt oder erheblich erschwert wird, indem es immer mehr Praxen als gängige Praxis erachten, keine telefonischen Anfragen mehr entgegen zu nehmen und auf irgendwelche sehr fragwürdigen Online Lösungen, mit Telefon Chat Robotern mit zwingender Gesprächsaufzeichnung, umgeleitet werde. Gerade wenn man eine neue Praxis sucht, verbringt man etliche Zeit mit erfolglosen Kontaktaufnahmen.
Da man sich auch gerne als Praxis erlauben darf keine neuen Patienten mehr auf nehmen zu müssen ist ein “zu Fuss” abklappern auch nicht sofort von Erfolg gekrönt und stellt einen erheblichen Einschnitt in die öffentliche ärztliche Versorgung dar, die ich mit meine Beiträgen genauso finanziere wie jeder andere auch. Das kann doch nicht ziel unseres Gesundheitssysteme sein, betroffene Menschen ihre Grundrechte abzuerkennen durch den Umweg, wenn sie nicht auf ihre Grundrechte verzichten, dann fallen sie halt durch unser (a)soziale Netz und können das Gesundheitssystem nutzen. Wie verstrahlt kann man denn bitte sein, das solche Datenschmutz Lösungen in einem Umfang eingesetzt werden können und sich wie eine Virus überall hin ausbreitet, denkt denn keiner mehr nach, was die Menschen dort Stück für Stück an Selbstbestimmung aufgeben und einfach in den Tonne kloppen, ohne Rücksicht auf andere?
