Ohne Einwilligung oder in Kenntnis setzen, hat eine Datenübertragung zu Doctolib stattgefunden

Hallo zusammen,

Aufgrund einer Verletzung bin ich aktuell leider genötigt einige Termine bei verschiedenen Ärzten zu machen.
Grundsätzlich versuche ich dies immer per Telefon, um Plattformen aller Doctolib zu entkommen.

Für die Untersuchung beim Facharzt hat dies auch ohne Probleme funktioniert.
Dort habe ich dann eine Überweisung zum MRT erhalten.

Um ein Termin für das MRT zu bekommen habe ich beim nächstgelegenen Krankenhaus angerufen und auch direkt per Telefon einen Termin ausmachen können.

Nun, zwei Tage vor dem MRT Termin, erhalte ich auf einmal eine SMS von Doctolib mit einer Terminerinnerung (natürlich mit entsprechendem Link).

Wie kann das sein?

Ja ich habe die benötigten Daten (z.B. Name, Alter, Größe, Gewicht, Körperteil das überprüft werden soll) per Telefon übermittelt. Für mich ergibt es auch Sinn, dass das Krankenhaus diese Daten benötigt um den Termin anzulegen und entsprechend vorzubereiten.

Ich wurde am Telefon weder darüber aufgeklärt das eine Weitergabe meiner Daten an Doctolib stattfindet, noch habe ich mündlich meine Erlaubnis zur Datenweitergabe erteilt.
Bereits im System hinterlegt war ich ebenfalls nicht, dort hat die Damen am Telefon nur meinen Bruder gefunden (auch schön, das Sie einfach seinen Namen genannt hat…).

Ich habe darauf hin die Webseite des Klinikums aufgesucht und mir die Datenschutzhinweise durchgelesen. Dort wird Doctolib nicht mal erwähnt.
Erwähung finden Dienste wie:

• Google Photos / Google Recaptcha / Google Fonts / Youtube / DoubleClick
• Matomo
• Timerbee (Terminplattform,Videosprechstunden, Operationsplanung)
• Patientus (Videosprechstunden)

Hier ein Auszug aus der Datenschutzverordnung:

1. Vorbemerkungen

Persönliche Daten werden nur dann erhoben und verarbeitet,
wenn Sie uns diese auf Ihre eigene Veranlassung hin übermittelt und mitgeteilt haben.
Wir verwenden diese Daten nur vertraulich und den gesetzlichen Bestimmungen gemäß zu dem Zweck,
zu dem Sie uns diese übermittelt haben. Wir geben grundsätzlich keine Daten an Dritte weiter,
außer wir sind dazu aufgrund geltender Gesetze verpflichtet oder Sie haben uns damit beauftragt oder in eine Datenübermittlung eingewilligt.
Die über Sie gespeicherten Daten sind so gesichert, dass unberechtigter Zugriff zuverlässig verhindert werden.
Die diesbezüglichen Sicherheitsmaßnahmen werden periodisch geprüft und dem Stand der Technik gemäß angepasst.

Deckt der erste Satz diesen Fall schon ab?

Persönliche Daten werden nur dann erhoben und verarbeitet,
wenn Sie uns diese auf Ihre eigene Veranlassung hin übermittelt und mitgeteilt haben.

Müsste dann nicht trotzdem in irgendeiner Form auf Doctolib verwießen werden?
Oder kann damit am Ende gegen mich argumentiert werden?

Was kann man in einer solchen Situation jetzt machen?
Die Daten sind schon bei Doctolib, das kann ich leider nicht mehr ändern.
Ich würde das Krankenhaus gerne damit konfrontieren und natürlich auch eine Veränderung in Gang bringen, so kann es meiner Meinung nach nicht weitergehen.

Eine Aufforderung zur Löschung meiner Daten nach DSGVO, werde ich natürlich auf den Weg bringen (muss ich mich da an Doctolib wenden oder muss das Klinikum das entsprechend machen ?).

Ebenfalls eine E-Mail mit einem Verweiß auf den Artikel von Matthias Eberl zu entsprechenden Alternativen, mit der Bitte diese in Zukunft in Betracht zu ziehen, würde ich auf den Weg bringen.

Wenn die Datenweitergabe rechtswidrig seien sollte, welche Optionen hätte man dann?

Uff, das ist weit aus mehr Text geworden als beabsichtig war (wenn ich mich über etwas aufrege, neige ich zu Ausschweifungen).
Ich hoffe das gibt trotzdem einen guten Überblick über meine Situation.

Wenn du bis hierhin gelesen hast, Vielen Dank für deine Zeit.
Vielleicht hat ja jemand einen Tipp oder eine Anregung für mich.

Mit freundlichen Grüßen
H.

ich empfehle immer, erst eine Auskunft nach Art. 15 einzuholen. Mal abgesehen davon, dass viele Auskünfte unvollständig sind, müsste das Klinikum dort angeben ob es die Daten an Doctolib weitergegeben hat und warum oder ob Doctolib evtl. Auftragsverarbeiter ist (und dann aber eigentlich die SMS vom Klinikum kommen müsste).

Nicht erst als Antwort auf einen Auskunftsantrag. Doctolib müsste von der Klinik spätestens bei der Datenerhebung als deren Datenempfänger angegeben sein (Art. 12, 13, 14 DSGVO). Auch wenn der Dienst als Auftragsverarbeiter fungiert, d. h. nur für Zwecke der Klinik tätig wäre. (Was bei denen nicht so transparent wie nötig abgrenzbar ist, weil Doctolib so schnell wie möglich versucht, eine eigene Beziehung zu den Betroffenen aufzubauen, um deren Daten auch für eigene Zwecke verarbeiten zu dürfen.)

Liegt keine Auftragsverarbeitung vor (was wir nicht wissen), müsste die Klinik ihre Datenübermittlung an Doctolib bzw. ihre Verarbeitung der von dort erhaltenen Daten auf zulässige Zwecke stützen, die damti verfolgten Zwecke und deren Rechtsgrundlagen angeben, ebenso Doctolib als Datenempfänger bzw. Datenquelle.

Evtl. genügt es, die Information durch Doctolib erteilen zu lassen, wenn die Datenerhebung für die Klinik erst dort stattfindet. Wenn man das dann immer noch nicht weiß, könnte es ein Indiz sein, dass die Information nicht transparent genug verfügbar war. (57drölfzig Seiten Text. Begriffswirrwarr. Verantwortung nicht unterscheidbar. Such, Wuffi, such!)

D., der der Meinung ist, dass die Klinik so oder so nicht um das Nennen und Rechtfertigen von Doctolib herum kommt.

Kann man diskutieren, aber die Beweislage ist bei der Auskunft deutlich günstiger, insbesondere dann wenn die Verarbeitung bereits stattgefunden hat. Die Bahn hat sich bei einer meiner Beschwerden damit herausgeredet, dass Sie mehrere Datenschutzerklärungen hat…
Außerdem lassen sich nur ganz wenige Datenschutzerklärungen sinnvoll ausdrucken.

Nach der Auskunft nach Art. 15, würde ich eine freundliche E-Mail an die Klinik schicken.
Mal darauf hinweisen und Besserungen vorschlagen.

Die haben bestimmt auch einen Datenschutzbeauftragten.

Oft ist es eher Unwissenheit oder Komfort der zu solchen Situationen führt und keine böse Absicht.

Die Klinik ist nicht verpflichtet, deine Einwilligung für den Einsatz von Doctolib als Auftragsdatenverarbeiter einzuholen. Sie muss dich allerdings auf diesen Einsatz hinweisen.

Die mich behandelnde Arztpraxis setzt zur Terminverwaltung ein Terminverwaltungsunternehmen ein. Darf die Praxis meine personenbezogenen Daten ohne meine Einwilligung an dieses Unternehmen weitergeben?

Arztpraxen setzen Terminverwaltungsunternehmen in der Regel als sogenannte Auftragsverarbeiter ein. In dieser Funktion sind die Unternehmen bei der Datenverarbeitung, die sie für die Arztpraxen vornehmen, streng an die Weisungen der Praxen gebunden. Das schließt insbesondere eine Datenverarbeitung durch die Unternehmen zu eigenen Zwecken aus. Außerdem sind die Praxen gesetzlich dazu verpflichtet, die von ihnen eingesetzten Unternehmen zur Verschwiegenheit zu verpflichten. Für den Einsatz von Auftragsverarbeitern müssen Arztpraxen keine Einwilligung der Patient:innen einholen. Sie müssen diese allerdings in ihrer Datenschutzinformation über den Einsatz von auftragsverarbeitenden Unternehmen informieren.

https://www.datenschutz-berlin.de/themen/gesundheit/terminverwaltung/

Edit: Siehe auch https://datenschutzarztpraxis.de/blog/doctolib-und-datenschutz-in-arztpraxen/

[MOD: Zitat dem Original entsprechend angepasst; zusätzliche Hervorhebungen durch @Lutz ]

Vielen Dank erst einmal für die (auch so schnellen) Rückmeldungen.

Das ist eine sehr gute Idee, dies werde ich als erstes umsetzen.

Ich bin gespannt wie schnell ich ein Antwort erhalte und wie kooperativ sich der externe Datenschutzbeauftragte verhält (Hoffentlich nicht wie die DB ).

Das wusste ich nicht. Danke auch für die Links zu den Infos.

Ich werde mich noch einmal melden, sobald ich die entsprechenden Antworten der Klinik erhalten habe.

Hier ein Auszug aus der Antwort auf eine Löschanfrage, die ich an doctolib gestellt habe, nachdem mich meine Hausärztin freundlicherweise über doctolib an einen Termin per SMS erinnert hat:

Wie oben angedeutet und zu Ihrem Verständnis möchten wir hinzufügen, dass Doctolib möglicherweise personenbezogene Daten von Ihnen als Auftragsverarbeiter verarbeitet, wenn Sie einen Termin bei einer Arztpraxis/Klinik vereinbart haben, die Doctolib nutzt. In diesem Fall trägt die zuständige Fachkraft beim Arzt, auch bei telefonischer oder Vor-Ort-Buchung des Termins, Ihren Namen und Ihren Termin in das Doctolib-System ein. Eine Einwilligung ist hierfür nicht notwendig, da der Arzt entscheidet, mit welchen technischen Mitteln er seine Terminverwaltung organisiert. Die Beauftragung eines Dienstleisters (wie es Doctolib ist) mit der Zurverfügungstellung einer digitalen Kalenderverwaltung ist über Art. 28 DSGVO zulässig. Doctolib schließt mit jedem Arzt eine Vereinbarung zur Auftragsverarbeitung (AVV) i.S.v. Art. 28 DSGVO ab und weist Datenschutz- und Datensicherheitsgarantien nach.

Sofern Sie Auskunft oder Löschung von Daten wünschen, die Doctolib als Auftragsverarbeiter verarbeitet, wenden Sie sich bitte an Ihren behandelnden Arzt. In diesem Fall ist die Arztpraxis/Klinik Verantwortlicher der Datenverarbeitung und somit richtiger Adressat des Auskunftsanspruchs. Doctolib ist in diesem Fall lediglich Auftragsverarbeiter und nur auf Weisung des Arztes tätig. Weiterhin haben wir aufgrund unserer technisch-organisatorischen Maßnahmen, wie zum Beispiel Pseudonymisierung, keine Klarsicht auf Ihre Daten und können diese demnach nicht einzelnen Terminen/Ärzten zuordnen und daher auch nicht an Ärzte weiterleiten.

Ich denke, das erklärt es ganz gut. Hoffe ich zumindest

Hast Du dann Deine Hausärztin zu Auskunft oder Löschung aufgefordert?

Habe mich per E-Mail an den Datenschutzbeauftragten gewand.

Auszug der erhaltenen Antwort:

Unabhängig davon wird niemanden auf eine Email eine diesbezüglche Antwort gegeben. Vielmehr ist es notwendig, dass Sie sich durch Vorlage eines Personalausweises identifizieren, damit die Herausgabe vertraulicher, personenbezogener Daten an die richtige Person erfolgen kann.

Hat jemand schon einmal eine ähnliche Erfahrung gemacht?
Und wenn ja, wie identifiziert?

Das ist leider weit verbreiteter Unsinn. Der Verantwortliche muss Dich identifizieren, aber da er das in der Vergangenheit nicht mit dem Personalausweis gemacht hat bringt der jetzt auch nichts. Im Zweifelsfall ist bewährt, die Auskunft als verschlüsseltes Zip z.B. per Email und das Passwort dazu per Post an die bekannte Anschrift.
Die Berliner Aufsicht hat sich gerade bei mir bedankt, weil ich statt vielen kleinen Emails Ihnen meinen WebDAV-Server zur Übertragung angeboten habe. Passwort folgt per Post.

wie ist denn die Lage, wenn ich auf der (zu unterschreibenden) Datenschutzerklärung in der Praxis den Absatz Doctolib explizit durchstreiche und handschriftlich „keine Datenweitergabe an Doctolib“ draufschreibe? Eigentlich dürften die dann ja auch nicht im Rahmen der Auftragsverarbeitung weitergeben, oder? Also gar keinen Termin von mir annehmen…

Die konkrete Praxis hat leider einen superfähigen (angestellten) Doc, Team&Orga dort hätten mich schon lange wechseln lassen…

Falls du mich meinst: Nein, das habe ich nicht gemacht, ich bezweifle, dass das was bringt.

vielleicht doch, weil dann Ärzten klar wird, dass sie für das Verhalten Ihrer Auftragsverarbeiter gerade stehen müssen und es evtl. vorteilhaft ist, die Finger von Voctolib zu lassen. Mich rufen Praxen immer noch an wenn sie einen Termin verlegen wollen und umgekehrt auch.

Ja, steng genommen, müssten sie für diese Kunden dann einen eigenen (offline) Kalender pflegen, oder den Termin mit „Micky Maus“ bei Doctolib eintragen.
Sie könnten dich auch einfach als Kunden abnehmen, wenn du nicht nach ihren Regeln spielen willst.

In der Praxis wird die arme Kraft am Empfang davon aber keine Ahnung haben, deinen Zettel ungesehen in deine Akte legen und den Termin inkl. Kontaktdaten im System eintragen.