DSGVO-konform Termine buchen: Was du beachten musst
Terminbuchung und Datenschutz: Welche Daten darfst du erheben, wie lange speichern und worauf musst du bei der DSGVO achten? Ein Überblick.
Warum Datenschutz bei der Terminbuchung wichtig ist
Jede Terminbuchung erfasst personenbezogene Daten: Name, E-Mail, Telefonnummer, manchmal sogar Gesundheitsdaten. Damit fällt dein Buchungssystem unter die Datenschutz-Grundverordnung (DSGVO) – und du als Verantwortlicher musst bestimmte Regeln einhalten.
Keine Sorge: Es ist weniger kompliziert als es klingt. Hier sind die wichtigsten Punkte.
Welche Daten werden bei der Buchung erhoben?
Typische Daten bei einer Online-Terminbuchung:
- Name – um den Kunden anzusprechen und zu identifizieren
- E-Mail-Adresse – für Bestätigung und Erinnerung
- Telefonnummer – für SMS-Erinnerungen oder Rückfragen
- Gebuchte Dienstleistung – kann bei Gesundheitsdienstleistern sensibel sein
- IP-Adresse – wird technisch beim Websitebesuch erfasst
Bei Physiotherapeuten, Heilpraktikern oder Kosmetikern können die gebuchten Leistungen Gesundheitsdaten nach Art. 9 DSGVO darstellen. Hier gelten strengere Regeln.
Die Rechtsgrundlage: Wann darfst du Daten verarbeiten?
Für die Terminbuchung greift in der Regel Art. 6 Abs. 1 lit. b DSGVO: Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich. Der Kunde bucht einen Termin (= Vertrag), und du brauchst seine Daten, um diesen zu erfüllen.
Für Marketing-Zwecke (Newsletter, Werbung) brauchst du eine separate Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Das gilt auch für SMS-Erinnerungen, wenn sie über die reine Terminerinnerung hinausgehen.
Auftragsverarbeitung (AVV): Was ist das?
Wenn du ein externes Buchungssystem nutzt, verarbeitet der Anbieter Daten in deinem Auftrag. Dafür brauchst du einen Auftragsverarbeitungsvertrag (AVV) – das ist ein standardisierter Vertrag, der regelt, wie der Anbieter mit den Daten umgeht.
Seriöse Anbieter stellen dir einen AVV automatisch zur Verfügung. Bei TerminKasten ist der AVV Teil der Registrierung – du musst nichts extra anfordern.
Prüfe bei jedem Tool, das du einsetzt:
- Gibt es einen AVV?
- Wo werden die Daten gespeichert?
- Hat der Anbieter ein Verzeichnis der Verarbeitungstätigkeiten?
Hosting in Deutschland: Warum das wichtig ist
Die DSGVO erlaubt Datenverarbeitung in der EU grundsätzlich. Hosting in Deutschland geht noch einen Schritt weiter und bietet:
- Volle Geltung des Bundesdatenschutzgesetzes (BDSG)
- Keine Fragen zur Datenübertragung in Drittländer
- Vertrauensvorsprung bei Kunden, die sensibel auf Datenschutz reagieren
Achte bei der Wahl deines Buchungssystems darauf, dass die Server in Deutschland oder zumindest in der EU stehen.
Löschfristen: Wie lange darfst du Daten speichern?
Personenbezogene Daten darfst du nur so lange speichern, wie es einen Zweck dafür gibt:
- Terminbezogene Daten: Nach Durchführung des Termins besteht eine Aufbewahrungspflicht für steuerliche Zwecke (in der Regel 10 Jahre für Rechnungsdaten)
- Kontaktdaten ohne aktive Geschäftsbeziehung: Sollten nach 2–3 Jahren gelöscht oder anonymisiert werden
- Gesundheitsdaten: Unterliegen besonderen Löschfristen je nach Berufsrecht
Einwilligung für SMS-Erinnerungen
SMS-Erinnerungen an den gebuchten Termin sind in der Regel durch den Vertragszweck gedeckt. Aber: Werbe-SMS brauchen eine ausdrückliche Einwilligung. Trenne klar zwischen:
- Terminerinnerung (ohne Einwilligung möglich)
- Marketing-SMS (Einwilligung erforderlich)
- Nachfrage-SMS nach dem Termin (Abwägung im berechtigten Interesse)
Checkliste für DSGVO-konforme Terminbuchung
- ✅ Datenschutzerklärung auf der Buchungsseite verlinkt
- ✅ AVV mit dem Buchungssystem-Anbieter abgeschlossen
- ✅ Nur notwendige Daten erheben (Datensparsamkeit)
- ✅ Hosting in Deutschland/EU
- ✅ Einwilligung für Marketing getrennt einholen
- ✅ Löschkonzept dokumentiert
Fazit: Datenschutz ist machbar
DSGVO-konforme Terminbuchung ist kein Hexenwerk. Mit dem richtigen Buchungssystem, einem AVV und einer sauberen Datenschutzerklärung bist du auf der sicheren Seite. Achte auf Hosting in Deutschland, erhebe nur notwendige Daten und hole für Marketing eine separate Einwilligung ein.
TerminKasten wird in Deutschland gehostet, bietet einen AVV und erhebt nur die Daten, die für die Buchung wirklich nötig sind.