Wissen Sie, wie sicher Ihre sensiblen Gesundheitsdaten bei digitalen Gesundheitsplattformen wie Doctolib wirklich sind? Wer hat Zugriff auf diese Daten und wie werden sie geschützt?
In diesem Artikel erhalten Sie einen Überblick darüber, welche sensiblen Daten Doctolib verarbeitet, wie diese technisch und organisatorisch geschützt werden und welche Anforderungen die DSGVO dabei stellt. Zudem erfahren Sie, wer Zugriff auf Ihre Daten hat und wie die Weitergabe geregelt ist. Außerdem erhalten Sie die Einschätzung eines erfahrenen Datenschutzexperten und praktische Einblicke, wie Sie als Arzt sicherstellen können, dass der Datenschutz in Ihrer Praxis höchste Priorität hat.
Das Wichtigste in Kürze
- Doctolib ermöglicht eine einfache Online-Terminbuchung und Telemedizin, wird von Millionen Menschen genutzt und verarbeitet sensible Gesundheitsdaten.
- Gesundheitsdaten gelten als besonders schützenswert und unterliegen hohen Anforderungen der DSGVO.
- Doctolib setzt umfangreiche technische Maßnahmen ein, wie Verschlüsselung und Zwei-Faktor-Authentifizierung, um Daten zu schützen.
- Expertentipp – eine juristische Einschätzung: Doctolib ist datenschutzrechtlich solide aufgestellt, jedoch bestehen Risiken bei Rollenklärung, möglichem US-Zugriff, Löschfristen und KI-Nutzung, die ergänzende Prüfungen und eine Datenschutz-Folgeabschätzung (DSFA) – eine Abschätzung der Folgen vor Beginn der Datenverarbeitung – erfordern.
Was ist Doctolib?
Doctolib ist eine digitale Plattform, die es Patienten ermöglicht, schnell und einfach Arzttermine online zu buchen. Darüber hinaus bietet Doctolib auch Telemedizin-Dienste an, wodurch die Möglichkeit gegeben ist, per Video ärztlich beraten zu werden.
Die Plattform wird von Millionen von Menschen in Deutschland, Frankreich und Italien genutzt und arbeitet mit zahlreichen Gesundheitsdienstleistern zusammen, darunter Hausärzte, Fachärzte, Psychotherapeuten und Kliniken.
Doctolib stellt nach eigenen Angaben den Datenschutz und die Datensicherheit in den Mittelpunkt seiner Dienstleistungen und verweist auf europäische Datenverarbeitung, Zertifizierungen und technische Schutzmaßnahmen. Diese Selbstauskünfte bilden die Grundlage der folgenden datenschutzrechtlichen Betrachtung ersetzen jedoch keine unabhängige rechtliche Bewertung.
Warum ist Datenschutz bei Doctolib besonders wichtig?
Doctolib verwaltet Gesundheitsdaten von Millionen Nutzerinnen und Nutzern, darunter Informationen zu Diagnosen, Behandlungen und teils sehr persönlichen Gesundheitszuständen. Diese Daten sind besonders sensibel, da ihr Bekanntwerden zu Diskriminierung, Stigmatisierung oder anderen Nachteilen führen kann.
Deshalb ist ihr Schutz nicht nur gesetzlich durch die DSGVO geregelt, sondern auch entscheidend für das Vertrauen in digitale Gesundheitsdienste. Doctolib muss höchste Datenschutzstandards einhalten, um die Privatsphäre, Würde und Rechte der Patientinnen und Patienten zu sichern.
Rechtliche Grundlagen
Die Datenschutz-Grundverordnung (DSGVO) ist das zentrale Datenschutzgesetz in der Europäischen Union. Sie gilt seit Mai 2018 und regelt, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen. Für Unternehmen wie Doctolib ist die DSGVO besonders relevant, da sie hohe Anforderungen an den Umgang mit sensiblen Gesundheitsdaten stellt.
Wichtige Prinzipien der DSGVO sind:
- Zweckbindung: Daten dürfen nur für klar definierte Zwecke verarbeitet werden.
- Datenminimierung: Es sollen nur so viele Daten wie nötig erhoben werden.
- Transparenz: Betroffene müssen darüber informiert werden, welche Daten erhoben werden und warum.
- Sicherheit: Angemessene technische und organisatorische Maßnahmen müssen getroffen werden, um die Daten zu schützen.
- Betroffenenrechte: Nutzer haben das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit.
Doctolib als Gesundheitsplattform
Doctolib vereinfacht den Zugang zur medizinischen Versorgung durch digitale Lösungen und verbindet Patienten und medizinisches Fachpersonal auf einer zentralen Plattform. Um diese Services bereitzustellen, ist die Verarbeitung verschiedener personenbezogener Daten erforderlich.
Was macht Doctolib?
Doctolib bietet verschiedene digitale Services rund um das Gesundheitswesen:
- Online-Terminbuchung bei medizinischen Fachkräften
- Verwaltung von Terminen und Erinnerungen
- Videokonsultationen (Telemedizin)
- Digitale Patientenakte (in einigen Märkten)
- Kommunikation zwischen Patient und Arzt
Welche Daten verarbeitet Doctolib?
Die Plattform verarbeitet eine Vielzahl personenbezogener Daten, darunter:
- Stammdaten: Name, Adresse, Geburtsdatum, Telefonnummer, E‑Mail-Adresse
- Gesundheitsdaten: Angaben zu Symptomen, Diagnosen, Behandlungsverläufen
- Kommunikationsdaten: Nachrichten zwischen Arzt und Patient
- Nutzungsdaten: Informationen über die Nutzung der Plattform (z. B. IP-Adresse, Browsertyp, Zugriffszeiten)
Sensible Daten und deren Schutz
Nach Art. 9 DSGVO gelten Gesundheitsdaten als besondere Kategorien personenbezogener Daten und unterliegen einem besonders hohen Schutz. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine ausdrückliche Einwilligung vor oder sie ist für medizinische Zwecke erforderlich. Doctolib beruft sich auf beide Grundlagen – Einwilligung und medizinische Notwendigkeit – je nach Anwendungsfall.
Wie schützt Doctolib Ihre Daten?
Um den strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, setzt Doctolib eine Vielzahl von Maßnahmen ein, die sowohl technische als auch organisatorische Aspekte abdecken. Im Folgenden erfahren Sie, mit welchen Sicherheitsvorkehrungen Doctolib den Schutz Ihrer Daten sicherstellt.
Technische Sicherheitsmaßnahmen
Doctolib investiert kontinuierlich in den Schutz der Daten durch moderne IT-Sicherheitsarchitekturen, darunter:
- Ende-zu-Ende-Verschlüsselung: Besonders bei Videokonsultationen wird sichergestellt, dass Inhalte nur vom Arzt und Patienten einsehbar sind.
- HTTPS-Verschlüsselung: Die gesamte Plattform kommuniziert verschlüsselt.
- Zwei-Faktor-Authentifizierung (2FA): Nutzer und Ärzte können ihre Konten zusätzlich absichern.
- Rechenzentren in Europa: Alle Daten werden auf Servern innerhalb der EU gespeichert, in Rechenzentren.
Organisatorische Sicherheitsvorkehrungen
- Zugriffsmanagement: Nur autorisierte Personen haben Zugriff auf bestimmte Daten.
- Mitarbeiterschulungen: Angestellte werden regelmäßig im Datenschutz geschult.
- Interne Datenschutzrichtlinien: Klare Vorgaben zur Verarbeitung und Weitergabe von Daten.
- Datenschutzbeauftragte: Sowohl intern als auch extern sind Datenschutzexperten eingebunden.
Datenweitergabe und ‑verarbeitung
Neben den technischen und organisatorischen Sicherheitsvorkehrungen ist es ebenso wichtig, transparent darzulegen, wie und an wen Ihre Daten weitergegeben werden. Doctolib legt Wert darauf, den Zugriff auf Ihre sensiblen Informationen streng zu kontrollieren. Wer hat Zugriff auf Ihre Daten, welche Rolle spielen Drittanbieter dabei und wie gestaltet Doctolib die Weitergabe und Verarbeitung Ihrer Daten?
Wer hat Zugriff auf Ihre Daten?
Der Zugriff auf die Daten ist streng reglementiert:
- Behandelnde Ärzte und medizinisches Personal: Nur soweit es für die Behandlung erforderlich ist.
- Doctolib-Mitarbeitende: Nur mit klar definierten Rollen und Rechten, z. B. im technischen Support.
- Patienten selbst: Volle Kontrolle über eigene Daten, inkl. Löschoptionen.
Drittanbieter und deren Rolle
Doctolib arbeitet mit bestimmten Dienstleistern zusammen, etwa für:
- Hosting
- E‑Mail-Kommunikation
- Videosprechstunden
Diese Drittanbieter sind vertraglich zur Einhaltung der DSGVO verpflichtet (Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO). Sie dürfen die Daten ausschließlich im Auftrag und nach Weisung von Doctolib verarbeiten.
Internationale Datenübertragung
Doctolib speichert alle Gesundheitsdaten ausschließlich in Rechenzentren innerhalb der EU. Sollte es in Ausnahmefällen zu einer Übertragung in Drittstaaten kommen (z. B. bei technischen Supportfällen), geschieht dies nur unter Einhaltung strenger Datenschutzregelungen – etwa durch den Abschluss von EU-Standardvertragsklauseln oder den Einsatz von Anbietern mit Angemessenheitsbeschluss der EU-Kommission.
Expertentipp: Michael Triesch
Juristische Einschätzung zur datenschutzrechtlichen Bewertung von Doctolib – aus Sicht eines Datenschutzexperten
Doctolib ist eine Plattformlösung für Terminbuchung, Online-Sprechstunden und weitere Digital-Health-Anwendungen. In diesem Zusammenhang verarbeitet sie gesundheitsbezogene Daten und damit besonders schützenswerte personenbezogene Daten gemäß Art. 9 DSGVO in Verbindung mit Art. 4 Nr. 15 DSGVO.
Aufgrund dessen gelten erhöhte Anforderungen: sowohl an die Rechtmäßigkeit der Verarbeitung, als auch an technische und organisatorische Maßnahmen (TOMs), Datenschutzfolgeabschätzungen (DSFA/PIA), Datenübermittlungen in Drittländer und die Dokumentation.
Positive Aspekte von Doctolib
- In den öffentlichen Angaben betont Doctolib, dass Datenschutz und Sicherheit zentrale Bestandteile sind („Privacy at the core of the development of our services“) und dass Daten in Europa gespeichert werden.
- Es existieren Zertifizierungen wie ISO 27001, HDS (französisch für Gesundheitsdaten-Hosting) sowie C5 (Deutschland) in Teilen.
- Für den Bereich Kommunikation (z. B. Messenger-App oder sichere Nachrichtenübermittlung) wird auf Verschlüsselung, Zwei-Faktor-Authentifizierung und sichere Infrastruktur verwiesen.
- Transparenz: Datenschutzerklärung, Kontaktadresse in Deutschland vorhanden.
Datenschutzrechtliche Risiken und Schwachstellen
Obwohl viele Anforderungen gut adressiert sind, bleiben für eine vollständige DSGVO-Konformität folgende Aspekte kritisch:
Rollenklärung und Verantwortlichkeiten
- Da Doctolib sowohl Dienste für Praxen als auch für Patienten anbietet, ist die Frage relevant, ob Doctolib in manchen Fällen selbst Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO oder nur Auftragsverarbeiter (Processor) ist. Bei Anwendungen, in denen Patienten direkt ein Konto anlegen, könnte Doctolib als Verantwortlicher tätig werden. In Deutschland wurde dies im Rahmen der Impfterminvergabe kritisiert.
- Für Praxen/Ärzte muss exakt geprüft werden: Wer bestimmt Zweck und Mittel der Verarbeitung? Wenn die Praxis dies ist, bleibt Doctolib Auftragsverarbeiter. Wird das Modell anders ausgestaltet, sind entsprechende Verträge erforderlich.
Datenübermittlung in Drittländer / Hosting
- Obwohl Doctolib angibt, Daten in Europa zu hosten, ist ein Teil der Infrastruktur über Cloud-Anbieter (z. B. AWS) realisiert, welche US-Unternehmen betreiben. Damit sind Fragen nach Zugriffsmöglichkeiten durch US-Behörden und der Vereinbarkeit mit Art. 44 ff. DSGVO („Schrems II“) zu stellen.
- Es ist notwendig, dass Doctolib bzw. der Praxis als Nutzer die zutreffenden Garantien dokumentiert (z. B. SCCs, TIA, technische Zusatzmaßnahmen). Ohne solche Nachweise bleibt ein Restrisiko.
Gesundheitsdaten (Art. 9 DSGVO)
- Gesundheitsdaten bedürfen einer besonderen Rechtsgrundlage (Art. 9 Abs. 2 lit. h oder lit. a) und hoher Schutzmaßnahmen.
- In der Datenschutzerklärung einer Praxis wird Doctolib als „Hilfs-/Subunternehmer“ genannt und die Praxis weist darauf hin, dass eine Einwilligung oder andere Erlaubnis gemäß Art. 9 Abs. 2 lit. h erforderlich ist.
- Empfehlung: Vor Einsatz von Doctolib muss eine DSFA durchgeführt werden, da es sich typischerweise um umfangreiche Verarbeitung von Gesundheits- und Vertragsdaten handelt.
Transparenz, Betroffenenrechte, Löschung
- Die Verarbeitung muss transparent sein (Art. 12 ff. DSGVO). Für Patienten und Praxen muss klar dargestellt werden, wie lange Daten gespeichert werden, wer Zugriff hat und welche Verfahren zur Löschung bestehen.
- Im öffentlichen Diskurs wurde kritisiert, dass bei Impfterminvergabe Konten bei Doctolib angelegt wurden, obwohl Zweck längst erfüllt war und dass Praxis/Patienten nicht ausreichend über Löschung informiert waren.
- Empfehlung: Lösungs- und Retentionsfristen müssen definiert werden, z. B. „nach Abschluss der Behandlung/Beziehung werden Daten gelöscht oder anonymisiert“.
Zweckbindung und Verarbeitung
- Die Erweiterung von Funktionen (z. B. KI-Training) macht eine neue Einwilligung oder andere Rechtsgrundlage erforderlich. Doctolib hat angekündigt, Daten für KI-Modelle zu verwenden.
- In diesen Fällen ist der Zweck klar zu definieren, und wenn Daten pseudonymisiert/anonymisiert werden, sind die Maßnahmen nachvollziehbar zu machen.
Auftragsverarbeitung und Verträge
- Für Praxen/Ärzte als verantwortliche Stelle gegenüber Patient:innen ist sicherzustellen, dass mit Doctolib ein Auftragsverarbeitungsvertrag (AV-Vertrag/AVV) gemäß Art. 28 DSGVO abgeschlossen ist.
- Dabei sollten die Pflichten von Doctolib (Technik/Organisation, Subunternehmer, Meldung von Verstößen, Audit- und Dokumentationsrechte) klar geregelt sein.
Empfehlungen für Praxis/Anwender (Ärzte, Kliniken)
- Vertraglich prüfen: AVV mit Doctolib schließen, in dem u. a. Hosting, Datenspeicherort, Subunternehmer, Datenlöschung, Audit-Rechte geregelt sind.
- DSFA durchführen: Vor Nutzung von Doctolib-Funktionen (z. B. Online-Terminbuchung, Patientenverwaltung) eine Datenschutzfolgeabschätzung bei Gesundheitsdaten.
- Technische Maßnahmen prüfen: Zwei-Faktor-Authentifizierung, Datenverschlüsselung („in rest“ und „in transit“), Rollen- und Zugriffsmanagement.
- Hosting- und Drittlandrisiken bewerten: Klären, ob Daten in der EU/EWR verbleiben, ob Zugriff aus Drittländern möglich ist, und ob technische Zusatzmaßnahmen bestehen.
- Betroffenenrechte und Transparenz gewährleisten: Patienten und Nutzer*innen aufklären, Lösch-/Anonymisierungsfristen kommunizieren, Kontenoptionen zur Löschung bestehen.
- Zweckänderungen dokumentieren: Wenn Doctolib weitere Funktionen einführt (KI-Training, Datenanalyse), ggf. neue Rechtsgrundlagen/Einwilligungen oder Zweckänderungen prüfen.
- Audit und Nachweise verlangen: Zertifizierungen nach ISO 27001, HDS, C5 prüfen; Berichte über Penetrationstests, Sicherheitsvorfälle und Betriebsabläufe einfordern.
Insgesamt ist Doctolib hinsichtlich der Anforderungen an Datenschutz und IT-Sicherheit grundsätzlich solide aufgestellt – insbesondere im Hinblick auf Zertifizierungen, europäische Datenhaltung und Sicherheitsmaßnahmen.
Dennoch bestehen bei hochsensiblen Gesundheitsdaten nicht unerhebliche Risiken, vor allem im Bereich Drittländer-Transfers, KI-Nutzung, Vertragsrollen und Datenlöschung.
Für Nutzer (Ärzte, Kliniken) gilt: Der Einsatz von Doctolib kann
datenschutzkonform erfolgen, aber nur bei Umsetzung ergänzender Maßnahmen und
sorgfältiger vertraglicher sowie operativer Umsetzung.
Wenn Sie möchten, kann ich Ihnen eine Checkliste / Bewertungstabelle bereitstellen, mit der Sie als Verantwortlicher Ihre Nutzung von Doctolib systematisch datenschutzrechtlich prüfen können (inklusive gewichteter Risikobewertung). Für mehr Informationen besuchen Sie unsere Webseite.
Fazit
Datenschutz bei Online-Plattformen Doctolib ist essenziell, da die Plattform mit besonders sensiblen Gesundheitsdaten arbeitet, deren Schutz entscheidend für die Wahrung der Privatsphäre und das Vertrauen der Nutzer sind. Auch wenn Doctolib hohe Sicherheitsstandards erfüllt, liegt die Verantwortung für den Datenschutz nicht allein bei der Plattform. Ärzte, die Doctolib nutzen, sollten sich bewusst sein, dass sie selbst stets aktiv dafür sorgen müssen, dass der Datenschutz in ihrer Praxis korrekt umgesetzt wird. Nur so lässt sich gewährleisten, dass sensible Patientendaten umfassend geschützt bleiben und Vertrauen in digitale Gesundheitsdienste erhalten bleibt.
