Online-Terminvergabe ohne Doctolib: Diese Anbieter sind besser

kuketzblog · 13. April 2025 um 17:50

Ursprünglich veröffentlicht: https://www.kuketz-blog.de/online-terminvergabe-ohne-doctolib-diese-anbieter-sind-besser/

Seit Jahren gibt es ausführliche und fundierte Kritik an der Terminverwaltungs-Software Doctolib. Doch immer mehr Arztpraxen nutzen den Dienst. Diesmal testen wir für Ärzte und Ärztinnen: Im folgenden Artikel geben wir ihnen eine praxisorientierte Auswahl von datenschutzfreundlicher Online-Terminsoftware an die Hand. Die gibt es mittlerweile – offenbar haben einige direkt aus der Kritik an Doctolib gelernt und teilweise sehr gute Konstrukte und rechtliche Absicherungen umgesetzt. Doch das Praxispersonal hat oft zu wenig Zeit, um überhaupt diese Alternativen zu finden und zu testen. Die wenigsten haben eine interne IT. Wir hoffen, dass wir damit auch indirekt unseren Leserinnen und Lesern helfen,…

Hadel · 14. April 2025 um 08:26

Vielen Dank für so einen Artikel! Genau sowas wollte ich schonmal anfragen/anregen.

Toll wäre es auch, wenn solche Artikel zu Zahlungsdienstleistern und Anemnesebögen erscheinen könnten, da mir Letzteres auch immer mehr online begegnet.

pgtaboada · 26. Mai 2025 um 11:55

Hinweis zur gesetzlichen C5-Pflicht im Gesundheitswesen!
Das könnte für viele ein KO-Kriterium darstellen!

Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Prüfkatalog. Er definiert, welche Sicherheits- und Transparenzanforderungen Cloud-Dienste erfüllen müssen, um als vertrauenswürdig zu gelten.

Seit dem 1. Juli 2024 ist gemäß § 393 SGB V die Verarbeitung von Sozial- und Gesundheitsdaten durch Cloud-Dienste nur zulässig, wenn bestimmte Anforderungen erfüllt sind. Dazu gehört unter anderem:

Die Datenverarbeitung muss im Inland, in einem EU-Mitgliedstaat oder in einem Drittstaat mit angemessenem Datenschutzniveau erfolgen, wobei die datenverarbeitende Stelle über eine Niederlassung im Inland verfügen muss.
Es müssen angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit getroffen werden.
Ein aktuelles C5-Testat (Cloud Computing Compliance Criteria Catalogue des BSI) für die eingesetzten Cloud-Systeme und -Technologien muss vorliegen.
Die im Prüfbericht des C5-Testats enthaltenen, korrespondierenden Kriterien für Kunden müssen umgesetzt sein.

Bis zum 30. Juni 2025 reicht ein C5-Typ-1-Testat aus; ab dem 1. Juli 2025 ist ein C5-Typ-2-Testat erforderlich.

Diese gesetzlichen Vorgaben gelten für alle Leistungserbringer im Gesundheitswesen sowie für Kranken- und Pflegekassen und deren Auftragsdatenverarbeiter. Sie sollten daher bei der Bewertung von Online-Terminvergabeanbietern berücksichtigt werden, insbesondere wenn diese Cloud-Dienste nutzen.

Wichtig:

Es reicht nicht aus, wenn lediglich das Rechenzentrum C5-zertifiziert ist.

Das Gesetz verlangt ein C5-Testat für die konkret eingesetzten Cloud-Systeme und -Technologien – also für den Verarbeiter selbst , nicht nur für die Infrastruktur.

pgtaboada · 26. Mai 2025 um 12:37

Weiteres wichtiges Kriterium: Keine Datensammlung über den Verarbeitungszweck hinaus

Bei reinen Online-Terminbuchungs-Tools endet der Verarbeitungszweck mit Ablauf des Termins. Das heißt:

Automatisches Löschen oder Archivieren: Sämtliche Termindaten (Name, Datum, Uhrzeit, ggf. Kontaktinfos) sollten spätestens dann gelöscht oder zumindest aus der aktiven Planungsdatenbank verschoben werden, wenn der Termin in der Vergangenheit liegt.
Keine Profilerstellung: Es darf kein Nutzerprofil aufgebaut werden, kein Verlauf angelegt und keine statistische Auswertung über vergangene Termine hinausgeführt werden.

Ausnahmen: Terminplaner vs. reine Vermittlung

Nutzt man das Tool nicht nur zur reinen Vermittlung, sondern als Terminplaner, gelten zusätzliche Pflichten:

Aufbewahrungspflichten (z. B. GoBD, berufsrechtliche Vorgaben): Termine, insbesondere solche mit Abrechnungsrelevanz, müssen gegebenenfalls länger aufbewahrt werden.
Datenschutz-Folgenabschätzung: Wenn die Verarbeitung über das bloße Booking hinausgeht, nämlich ein kontinuierlicher Planungsprozess stattfindet, kann eine DSFA notwendig sein.

Vorsicht bei Zusatzfunktionen

Viele Anbieter erweitern ihr Tool um Features wie:

Upload von Arztbriefen, Befunden oder anderen Dokumenten
Nachrichtenfunktionen zwischen Praxis und Patienty
Erinnerungsservices per E-Mail oder SMS mit Protokollierung

Sobald Patientys sensible Dokumente hochladen können, ändert sich der Verarbeitungszweck grundlegend. Dann kommt nicht mehr nur das einfache „Online-Terminbuchung“-Szenario zum Tragen, sondern eine komplexe Akte, die ebenfalls nach DSGVO und berufsrechtlichen Vorgaben behandelt werden muss.

plop · 27. Mai 2025 um 19:11

Du meinst, für viele Anbieter von Online-Terminvergabe? Das wäre zu begrüßen.

Allerdings wundere ich mich, dass @kuketzblog Matthias Eberl das in seinem Artikel nicht erwähnt hat (oder hab ich was übersehen?), der Artikel ist ja grad mal ein paar Wochen alt. Vielleicht meldet er sich ja dazu nochmal.

dargestellte-Benachr · 27. Mai 2025 um 21:33

Also das alte haben zumindest einige deutsche Anbieter bekommen. Plusserver hat auch das neue:
https://www.cloudcomputing-insider.de/c5-testat-fuer-drei-deutsche-anbieter-a-749782/
https://www.plusserver.com/blog/c5-cloud-zertifizierung-des-bsi/

Weiss nicht, ob das nun so toll ist. Es schafft sehr hohe, bürokratische Einstiegshürden und ist wahrscheinlich mehr „Checklisten“-Sicherheit als echte.

Aber klar, wenn man mit dem Argument Doctolib killen könnte - das wäre zumindest etwas wert.

pgtaboada · 27. Mai 2025 um 21:52

C5 ist mindestens jährlich und zwingt dich Kontrollen und Aufgaben aufzusetzen. Ist kein zahnloser Papiertiger. Aber ja - eine brutale Einstiegshürde - aber verständlich bei Gesundheitsdaten.

pgtaboada · 27. Mai 2025 um 21:53

Typ 2 ist nicht alt, sondern kommt nach Typ 1.

pgtaboada · 27. Mai 2025 um 21:54

KO Für Leistungserbringer, die laut Gesetzgeber nur Anbietys nutzen dürfen, die ein C5 Tattoo haben.