Ein Leser schreibt:

Hallo Mike,

[…]

Gestern habe ich von der Firma Doctolib eine Erinnerung an meinen Arzttermin bekommen. Beim Arzt habe ich nie eingewilligt, dass meine Daten an einen Drittanbieter weitergegeben werden dürfen.

Webbkoll zeigt, wenn ich es richtig interpretiere, kein allzu gutes Bild der Internetseite. Datenschutzerklärungen gibt es gleich zwei. Eine sehr sparsame schwammige mit schönen Versprechen und dann eine etwas verstecktere.

Ich habe meinen Arzt darauf angesprochen. Er war dem Thema Datenschutz gegenüber sehr aufgeschlossen und meinte, dass seine Anwälte es gerade auch wegen der kommenden Datenschutzverordnung überprüft haben. Doctolib garantiert ihm gegenüber wohl, dass keine Daten an Dritte weitergegeben werden.

Wie ist dieser Anbieter einzuschätzen? Welche Daten werden bei Besuch der Internetseite erhoben? Ist es rechtlich erlaubt, dass der Arzt meine Daten einfach weiter gibt? Doctolib hat auch eine App, die vielleicht lohnenswert wäre zu überprüfen für deine Apprezensionen.

Wenn du da etwas drüber weisst wäre schön, da mein Arzt auch aufgeschlossen scheint, nur selber keine Ahnung hat.

Leider merke ich, dass es derzeit immer schwieriger wird als Patient seine Daten zu schützen. Ich finde keine Apotheke mehr in meiner direkten Umgebung, die nicht Payback, Whattsapp,… anbietet.

[…]

Schöne Grüße

Was ich interessant finde: Ein Arzt, der keine »Ahnung« (vom Datenschutz) hat, aber dann Verträge / Abkommen mit einem Dienstleister abschließt. Gerade wenn der Patient der Datenübermittlung an Doctolib nicht zugestimmt hat, dürfte dies rechtswidrig sein.

Wer mehr dazu weiß oder ebenfalls schon Erfahrungen mit Doctolib gemacht hat, der kann mich gerne kontaktieren.

Ergänzung 22.03.2018:

Hallo Mike,

ich habe mir die Datenschutzerklärung und AGB durchgesehen. DL bezieht sich laut den dortigen Begriffen „Gehilfen, Gehilfestellung“ im Sinne eines Gehilfen vermutlich auf § 203 Absatz 3 (StGB) für Berufsgeheimnisträger § 203 Absatz 1 Punkt 1 (StGB). Zudem bezeichnet er sich als „Auftragsverarbeiter“.

Selbst wenn er sich auf § 203 StGB (oder er agiert als Auftragsverarbeiter und der Arzt ist im gegenüber weisungsbefugt) stützt, ist es natürlich unklug einen Patienten nicht davon zu informieren – Daten im Gesundheitssektor sind sehr sensibel: Selbst die Spezialisierung des Arztes kann eine schützenswerte Information sein (Sitzungen beim Psychologen oder Termine beim Onkologen können für sich sprechen). Selbst wenn man von einer Rechtsgrundlage ausgeht, so wäre hier eine Interessenabwägung vorzunehmen: Kann ein „Bestandspatient“ damit rechnen, dass sein Termin an einen „Gehilfen“ weitergebeben wird, der die Termine für den Arzt koordiniert? Ohne vorherige Information?Schwierig! Wem gegenüber kann der Patient seine Betroffenenrechte (Auskunft, Sperrung, Löschung usw.) geltend machen? Transparenz ist hier gefragt…

Zudem würde an der Stelle des Arztes noch einmal die Datenschutzerklärung von DL lesen.

Ein paar Schwierigkeiten in der Erklärung fallen auf:
KEINE WEITERGABE DER PERSONENBEZOGENEN DATEN

Die personenbezogenen Daten des Nutzers dienen zur Verwendung von DOCTOLIB durch die Gesundheitsfachkraft, mit der der Patient einen Termin vereinbart hat, oder Kontakt hergestellt wurde. Personenbezogene Daten werden unter keinen Umständen an kommerzielle oder Werbepartner weitergeleitet.

Die personenbezogenen Daten dürfen von der Muttergesellschaft von DOCTOLIB (Doctolib SAS) und IHREN TOCHTERGESELLSCHAFTEN nur zu Zwecken, die in den Datenschutzbestimmungen ausgeführt sind und unter Einhaltung alle Vorschriften dieser Datenschutzbestimmungen und des anwendbaren Rechts, verarbeitet werden.

Eine juristisch selbstständige Tochtergesellschaft kann ein Dritter sein. Zudem werden die Tochtergesellschaften nicht aufgeführt.

RECHT AUF ZUGRIFF, BERICHTIGUNG UND WIDERSPRUCH

(…) In diesem Fall muss der Nutzer die personenbezogenen Daten angeben, die DOCTOLIB korrigieren, aktualisieren oder löschen soll; DAZU MUSS ER SICH MIT EINER KOPIE SEINES AUSWEISES (PERSONALAUSWEIS ODER REISEPASS) GENAU IDENTIFIZIEREN. Für die Anträge auf Löschung von personenbezogenen Daten sind die Verpflichtungen von DOCTOLIB zur Aufbewahrung oder Archivierung der betroffenen Dokumente zu berücksichtigen.

Grundsätzlich eine vernüftige Maßnahme, die Identität des Anfragers festzustellen. Allerdings fehlt der Hinweis auf die Schwärzungen. Siehe hierzu.

Viele Grüße

Martin