Häufige Fragen zu Doctolib

Welche Daten sammelt die Firma Doctolib? Hat der BigBrotherAward-Preisträger auch schon sensible Gesundheits-Informationen über Sie? Wir beantworten viele Fragen und bieten einen Handzettel zum Ausdrucken und Verteilen an Arztpraxen.

Seitdem die Firma Doctolib einen BigBrotherAward 2021 bekommen hat, bekommen wir viele Nachfragen zu diesem Thema. Die häufigsten Fragen beantworten wir auf dieser Seite.

Links eine Ärztin, rechts ein weiterer Mensch, in der Mitte der Schriftzug Doctolib, im Hintergrund eine KrakeDennis Blomeyer, CC-BY 4.0

Alle Fragen auf einen Blick

(mit Klick auf die Frage gelangen Sie zur Antwort)

Für Patient.innen

Welche Daten genau sammelt Doctolib?

Wie kann ich wissen, ob meine Daten bei Doctolib gelandet sind?

Kann ich von Doctolib verlangen, meine Daten zu löschen?

Ich habe Befunde und andere Dokumente bei Doctolib hochgeladen, da ich dachte, das ginge ausschließlich an die Arztpraxis. Was passiert nun wohl damit?

Was ist mit Datensätzen aus der Vergangenheit? Muss ich jetzt bei allen Praxen, die mich jemals behandelt haben nachfragen, ob sie Doctolib benutzen?

Kann mein Zahnarzt oder meine Hausärztin sich weigern, mich zu behandeln, wenn ich der Verarbeitung meiner Daten durch Doctolib widerspreche?

Ich möchte eigentlich noch von diesem Arzt weiterbehandelt werden. Gleichzeitig möchte ich ausdrücken, dass ich es unmöglich finde, dass die Praxis sensible Informationen über mich weitergibt. Haben Sie vielleicht Musterschreiben oder eine Idee, wie ich am besten argumentieren kann?

Die Corona-Impfzentren in Berlin organisieren die Termine ausschließlich über Doctolib – was kann ich tun?

Ich habe gelesen, dass alle Vorwürfe der BigBrotherAward-Jury gegen Doctolib „falsche Tatsachenbehauptungen“ sind. Was stimmt denn nun?

Kann ich meine Ärztin und die Firma Doctolib haftbar machen?

 

Für Gesundheitsfachkräfte

Verletze ich die ärztliche Schweigepflicht, wenn ich Doctolib nutze?

Ich nutze bislang Doctolib für meine Praxis. Nun sind mir Zweifel gekommen. Was kann ich machen?

 

Hinweisblatt zu Doctolib für Arztpraxen

Sie haben eine Frage, die hier noch nicht auftaucht? Schreiben Sie uns an mail@digitalcourage.de!

Unterstützen Sie die gute Sache: Freiheit, Grundrechte und Demokratie.

Viele Menschen engagieren sich bei uns in ihrer Freizeit, seien auch Sie dabei!

Bleiben Sie auf dem Laufenden über unsere Arbeit und unsere Themen.

Hinweisblatt

Mit unserem Hinweisblatt können Sie Ihre Arztpraxis bitten, Doctolib nicht weiter zu nutzen. Einfach herunterladen, ausdrucken und Ihrer Arztpraxis übergeben.

 

Fragen und Antworten

Für Patient.innen

Welche Daten genau sammelt Doctolib?

Doctolib selbst nennt in seinen Datenschutzhinweisen:
  * Name, Vorname, Telefonnummer, E-Mail-Adresse
  * Verlauf der Termine
  * vom Nutzer eingestellte Dokumente
  * wenn ein Doctolib-Konto besteht: Verbindungs- und Nutzungsdaten
  * durch Cookies erfasste Daten bei der Nutzung der Services
  * evtl. Postanschrift, berufliche Tätigkeit, Familienstand sowie weitere Angaben
    
Auch wenn Sie selbst kein Benutzer-Konto bei Doctolib haben und dessen Plattform nicht nutzen, können über das Arztsystem Informationen über Beschwerden, Termine oder andere intime Informationen zu Doctolib gelangen.

Wie kann ich wissen, ob meine Daten bei Doctolib gelandet sind?

Es kann sein, dass bereits ohne Ihr Wissen Informationen über Sie an Doctolib übermittelt wurden. Wenn sich eine Arztpraxis für Doctolib entscheidet, werden vor Beginn der Dienstleistung üblicherweise die Stammdaten der in dieser Praxis behandelten Menschen an Doctolib übermittelt. Wenn also z.B. Ihre Zahnärztin oder Ihr Hautarzt Doctolib nutzt, dann wurden wahrscheinlich schon Ihre Stammdaten aus dem Arztinformationssystem an Doctolib übermittelt – ohne dass Sie etwas davon mitbekommen haben. Sie merken davon erst etwas, wenn Sie beispielsweise telefonisch einen Termin vereinbart haben und zur Bestätigung eine E-Mail oder eine SMS von Doctolib erhalten. Vor einer solchen Terminbestätigung müssten Sie zuvor Ihre ausdrückliche Einwilligung erteilt haben. Sie können in den Praxen, in denen Sie behandelt werden, nachfragen, ob diese Doctolib nutzen. Sie können, wenn Sie damit nicht einverstanden sind, dies mit unserem Hinweisblatt zum Ausdruck bringen.

Kann ich von Doctolib verlangen, meine Daten zu löschen?

Ja, nach Art. 17 DSGVO hat jede betroffene Person das Recht, die eigenen Daten löschen zu lassen, wenn diese nicht mehr benötigt werden. Sollten Sie ein Konto bei Doctolib eingerichtet haben, z.B. um in Berlin online einen Impftermin zu vereinbaren, so können Sie diesen wieder löschen.
Sie können Doctolib auch unabhängig davon auffordern, Auskunft über Ihre Daten zu erteilen (Art. 15 DSGVO) oder Ihre Daten zu löschen. Uns ist allerdings berichtet worden, dass Doctolib in vielen Fällen eine Auskunft und eine Löschung verweigert. In diesem Fall ist es sinnvoll, sich wegen der Verweigerung bei der für Doctolib zuständigen Aufsichtsbehörde, dem Berliner Beauftragten für Datenschutz und Akteneinsicht zu beschweren.

Ich habe mehrere Befunde und andere Dokumente bei Doctolib hochgeladen, da ich dachte, das ginge ausschließlich an die Arztpraxis. Was passiert nun wohl damit?

Die Dokumente werden bei Doctolib zwischengespeichert und können von der behandelnden Ärztin oder dem Arzt abgerufen werden. Was Doctolib darüber hinaus mit den Dokumenten macht, ist unklar. Doctolib behauptet, diese Dokumente nicht einmal zur Kenntnis nehmen zu können und dies auch nicht zu tun. Das kann man, muss man aber nicht glauben.

Was ist mit Datensätzen aus der Vergangenheit? Muss ich jetzt bei allen Praxen, die mich jemals behandelt haben nachfragen, ob sie Doctolib benutzen?

Durch eine Sicherheitslücke, die der Chaos Computer Club aufgedeckt hat, wissen wir, dass Doctolib auch über Informationen über zurückliegende Sprechstundenbesuche – teils bis ins Jahr 1990 – verfügt hat. Doctolib gibt an, Terminbuchungen grundsätzlich 10 Jahre lang aufzubewahren. Vermutlich sind auch Arzt-Patienten-Beziehungen betroffen, die schon lange beendet wurden. Sie können von Doctolib Auskunft darüber verlangen, welche Daten über Sie gespeichert sind. Nach Art. 15 der Datenschutzgrundverordnung (DSGVO) haben Sie das Recht, zu erfahren, ob auf Ihre Person bezogene Daten gespeichert wurden. Im gleichen Zug können Sie auch die Löschung dieser Daten verlangen.

Kann mein Zahnarzt oder meine Hausärztin sich weigern, mich zu behandeln, wenn ich der Verarbeitung meiner Daten durch Doctolib widerspreche?

Es besteht grundsätzlich keine Behandlungspflicht für Ärztinnen und Ärzte. Etwas anderes gilt, wenn es sich um einen Notfall handelt.

Die Corona-Impfzentren in Berlin organisieren die Termine ausschließlich über Doctolib – was kann ich tun?

Um zu vermeiden, dass Daten bei Doctolib landen, gibt es in Berlin kurzfristig nur die Alternative, einen Impftermin beim Arzt, etwa bei der Hausärztin oder dem Betriebsarzt, zu vereinbaren.
Wenn Sie einen Termin beim Impfzentrum buchen möchten, können Sie Ihren Termin telefonisch vereinbaren und so Ihre digitalen Spuren immerhin verringern. In jedem Fall können Sie auch bei einer Terminvereinbarung mit einem Berliner Impfzentrum zum Ausdruck bringen, dass Sie mit der Einschaltung von Doctolib nicht einverstanden sind.

Ich habe gelesen, dass alle Vorwürfe der BigBrotherAward-Jury gegen Doctolib „falsche Tatsachenbehauptungen“ sind. Was stimmt denn nun?

Wir haben uns vor der Vergabe des BigBrotherAwards mit einem umfangreichen Fragenkatalog an Doctolib gewandt. Das Unternehmen wurde gebeten, zu den von BigBrotherAward-Jurymitglied Dr. Thilo Weichert (ehemaliger Datenschutzbeauftragter des Landes Schleswig-Holstein, Vorstandsmitglied der Deutschen Vereinigung für Datenschutz e.V. sowie Datenschutzexperte beim Netzwerk Datenschutzexpertise) verfassten umfangreichen Gutachten zu Doctolib Stellung zu nehmen. Doctolib hat hierauf bisher nicht direkt reagiert oder Stellung bezogen.

Kann ich meine Ärztin und die Firma Doctolib haftbar machen?

Solange Ihnen durch die Datenverarbeitung von Doctolib kein direkter Schaden entstanden ist, wird eine persönliche Haftung schwer durchsetzbar sein (Art. 82 DSGVO, § 823 BGB). Wohl aber kann die zuständige Aufsichtsbehörde, der Berliner Beauftragte für Datenschutz und Informationsfreiheit, ein Bußgeld nach Art. 83 DSGVO verhängen oder eine Verbotsverfügung erlassen.

Für Gesundheitsfachkräfte

Verletze ich die ärztliche Schweigepflicht, wenn ich Doctolib nutze?

Sie verletzten Ihre Schweigepflicht dann, wenn die Offenbarung von Patientengeheimnissen zur Erbringung der ärztlichen Dienstleistung nicht erforderlich und adäquat ist.
Wenn Sie Dienstleistungen von Doctolib in Anspruch nehmen wollen, verlangt Doctolib Zugriff auf den Patientenstammdatensatz oder einen aktuellen Teil davon. Das ist aus unserer Sicht weder erforderlich noch adäquat.
Auch das Setzen von für die Diensterbringung unnötigen Cookies, so wie es Doctolib durchführt, kann zu einer Verletzung der Schweigepflicht führen, für die Sie als Auftraggeber verantwortlich gemacht werden können.
Diese Verstöße können grundsätzlich strafrechtlich und datenschutzrechtlich geahndet werden. Die Datenschutzbehörde oder die Staatsanwaltschaft werden sich aber wahrscheinlich zuerst an Doctolib mit Sanktionen wenden und Ihnen zunächst nur eine Abmahnung zukommen lassen.

Ich nutze bislang Doctolib für meine Praxis. Nun sind mir Zweifel gekommen. Was kann ich machen?

Sie können die Inanspruchnahme der Dienste von Doctolib kurzfristig kündigen und die Löschung sämtlicher über Ihre Praxis erlangten Daten verlangen.

Das Hinweisblatt zum Herunterladen und Ausdrucken als PDF

Oder als Text zum Kopieren und Einfügen:

Das IT-Unternehmen „Doctolib“ bietet Gesundheitsfachkräften, darunter Arztpraxen, Krankenhäuser sowie die Berliner Gesundheitsverwaltung, einen Service zur Online-Terminvermittlung an. Die Berliner Datenschutzaufsicht (der Berliner Beauftragte für Datenschutz und Informationsfreiheit) wies schon im Jahr 2020 darauf hin, dass hierbei gegen den Datenschutz verstoßen wird. Im Januar 2021 veröffentlichte die Stiftung Warentest eine Datenschutz-Untersuchung von ärztlichen Termin-Management-Systemen, wobei einige Unternehmen Noten zwischen 1 und 2 erhalten haben, Doctolib landete abgeschlagen mit der Note 3,6 auf dem vorletzten Platz. Im Jahr 2021 erhielt die Fa. Doctolib den BigBrotherAward in der Kategorie „Gesundheit“, weil das Unternehmen die Regeln zum Schutz des Patientengeheimnisses – zur ärztlichen Schweigepflicht – missachtet. Zwar nahm Doctolib in der Folge einige Anpassungen bei der Datenverarbeitung und bei den Vertragsbedingungen vor, doch das Geschäftsmodell des Unternehmens und die wesentlichen Kritikpunkte bestehen weiterhin:

Das Unternehmen behauptet, sauber zwischen einer Auftragsverarbeitung für Gesundheitseinrichtungen und seinem eigenen Webangebot zu unterscheiden. Ein Verstoß gegen das Patientengeheimnis finde nicht statt. Das Netzwerk Datenschutzexpertise legt in einem aktuellen Gutachten ausführlich dar, dass diese Behauptungen nicht zutreffen. Vielmehr erfolgt eine Verquickung des eigenen Internet-Angebots mit der ärztlichen Datenverarbeitung, bei der es zu Verstößen gegen den Datenschutz kommt: So werden Patientenstammdatei der Arztpraxis bei Doctolib hochgeladen, ohne dass diese über das Unternehmen einen Arzttermin gesucht haben. In seinem Terminkalender speichert das Unternehmen die erfolgten Termine, entgegen jeder Erforderlichkeit teilweise bis zu 10 Jahren. Das Angebot verstößt wegen der ohne Rechtfertigung stattfindenden „gemeinsamen Verantwortlichkeit“ von IT-Dienstleister und Gesundheitseinrichtung gegen die Datenschutz-Grundverordnung.

Die Gesundheitseinrichtungen sollten ihr Engagement mit Doctolib überdenken. Es ist hochproblematisch, wenn ärztliche Einrichtungen ihre sensiblen Gesundheitsdaten mit einem Internet-Unternehmen teilen, dessen Geschäftspolitik von spekulierenden Investoren bestimmt wird, die mit Doctolib als Unicorn vor allem Rendite machen wollen.  
 
Das Gutachten des Netzwerks Datenschutzexpertise ist im Internet abrufbar unter


https://www.netzwerk-datenschutzexpertise.de/dokument/datenschutz-im-gesundheitsbereich