jameda und ein Arzt

[GLenk]

Kurz vor einem Termin bei meinem Zahnarzt erhielt ich eine SMS.

Neue Nachricht von Dr. Mabuse zu ihrem Termin an ... um ... https://d.jameda.de/uswusf

Mir ist nicht erinnerlich von diesem jameda schon gehört zu haben oder zB in Terminerinnerungen eingewilligt zu haben.

Da das langjährige Verhältnis prima ist, habe ich also mündlich vor dem Behandlungstermin kundgetan, dass ich das nicht mehr möchte.

Um so erstaunter war ich dann nach der Behandlung über eine erneute SMS

Dr. Mabuse bittet Sie um einen Erfahrungsbericht nach ihrem Termin https://d.jamedo.de/etcpp

Also habe ich die Mühen auf mich genommen und formal widersprochen:

Es wird Sie nicht überraschen, dass ich das nicht will.

Um sicher zu gehen habe ich zum aktuell Stand recherchiert. Die Berliner Datenschutz Beauftragte (Erfahren im Umgang mit doctolib) schreibt allgemein dazu:

Arztpraxen dürfen Ihnen als Patient:in eine Terminerinnerung nur dann übermitteln oder übermitteln lassen, wenn Sie gegenüber der Praxis eingewilligt haben, dass Ihre Telefonnummer bzw. E-Mail-Adresse für die Terminerinnerung genutzt werden darf. Soweit die Praxis die Terminerinnerung nicht selbst versendet, sondern hierfür ein anderes Unternehmen einsetzen möchte, sollte die Praxis Sie im Rahmen der Einwilligungserklärung darüber informieren, dass Ihre personenbezogenen Daten
für die Terminerinnerung an ein auftragsverarbeitendes Unternehmen weitergegeben und von diesem für die Terminerinnerung verarbeitet werden. Eine erteilte Einwilligung können Sie jederzeit widerrufen. Ab dem Zeitpunkt des Widerrufs dürfen Ihnen dann keine Terminerinnerungen mehr geschickt werden.
[...]
Sie dürfen nur diejenigen Daten für das Terminmanagement verwenden, die dafür notwendig sind.

Quelle: https://www.datenschutz-berlin.de/themen/gesundheit/terminverwaltung

Dieser externe Dienstleister und auch die Einwilligung zur Terminerinnerung per SMS sind mir nicht erinnerlich. Bewertungen gehören sicher gar nicht dazu.

Ich möchte und habe auch kein Konto bei solch einem Dienstleister. Daher habe ich auch kein eigenes Vertragsverhältnis oder dem Dienstleister gegenüber irgendeine Einwilligung gegeben.
Die Terminverwaltung kann nur eine reine Auftragsverarbeitung sein und ist beschränkt auf die dafür unbedingt notwendigen Daten. Da gibt es viele Risiken, siehe die Abschnitte für Arztys in der oben verlinkten Doku (Leseempfehlung!).

Ich nehme die Gelegenheit wahr und widerrufe eine ggf. unbeabsichtigt erteilte Zustimmung

Ich hoffe, es kommt keine weitere Kurznachricht von extern-Jameda.
Denn ich will keinen Streit.
Mit dem Dienstleister und seinen umfangreichen Datenschutzhinweisen möchte ich mich nicht befassen müssen: Schutz der Privatsphäre - jameda, 83–100 Minuten

Darin heißt es jedenfalls

8. Online-Terminbuchungen

Nachfolgend beschreiben wir, wie Ihre personenbezogenen Daten verarbeitet werden, wenn Sie unseren Service "Online-Terminbuchung" nutzen.

Verarbeitete Daten: Vor- und Nachname; Telefonnummer; E-Mail-Adresse; Versicherungsart; Zweck der Terminbuchung; Termindaten (Datum, Uhrzeit, Terminart); Freitextnachricht

‍Zweck: Übermittlung der Terminanfrage; Versand von Terminbestätigungen und -erinnerungen

‍Rechtsgrundlage: Art. 9 Abs. 2 lit. a) DSGVO

Widerrufsmöglichkeit:
Die erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt davon unberührt.

‍Speicherdauer: bis zur Löschung des jameda Kontos

Empfänger der Daten: Ihre Daten werden an den ausgewählten Arzt zum Zwecke der Übermittlung der Terminanfrage weitergeleitet, sowie an Kommunikationsdienstleister für SMS- und E-Mail-Versand.

mit

Absatz 1 gilt nicht in folgenden Fällen:

    Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

Nimmt das bei den Arztys gar kein Ende!
Erst wollte ich wie im Gesundheitswesen üblich den Widerspruch faxen. Aber auf Dr. Mabuses neuer Webseite (mein erster Besuch heute) gibt es nur noch Mail und Google Analytics.

Also dazu auch ein P.S. in der Widerrufsmail mit dem freundlichen Hinweis auf die Ergebnisse von https://privacyscore.org/ https://webbkoll.dataskydd.net/de/ und dem Report von https://edps.europa.eu/edps-inspection-software_en.
Ich vermute auch da wird ein Dienstleister Murks machen und das hilf ihm bei der Argumentation - sofern er dem nachgeht.

[MOD]: Titel  von Typo befreit

[duda]

"Dr. Mabuse" ist hierbei nur als Pseudonym zu verstehen, richtig?

Aber zum Thema: "jameda.de" ist in dem Bereich eine waschechte Internetseuche. Dein Zahnarzt muss dabei gar nicht federführend beteiligt gewesen sein. Dein Besuch in der Praxis mit einhergehender obligatorischer Standard-Datenerfassung dürfte durchaus genügt haben, um diesen Prozess anzustoßen.

[GLenk]

"Dr. Mabuse" ist hierbei nur als Pseudonym zu verstehen, richtig?

Und ich dachte bei dieser Datenschutzpraxis hätten Ärztys ihre Betroffenenrechte verwirkt

Federführend ist im Sinne von Verantwortung doch der Arzty selber:

... Dein Zahnarzt muss dabei gar nicht federführend beteiligt gewesen sein.

Komisch in den Datenschutzhinweisen auf der Praxisseite wird er als Verantwortlicher persönlich genannt.

Als Ärztin bzw. Arzt sind Sie verantwortlich für die datenschutzkonforme Verarbeitung der personenbezogenen Daten Ihrer Patient:innen. Sie sind also verpflichtet, angemessene und geeignete Maßnahmen zu ergreifen, um das Risiko eines Sicherheitsvorfalls oder einer Datenpanne ausreichend zu minimieren.... besonders geschützte Daten (Gesundheitsdaten) ...besonders hohe Anforderungen...Datenschutzrecht, sondern ebenfalls aus dem Straf- und dem Berufsrecht (Schweigepflicht).

Wenn Sie ein externes Unternehmen (im Folgenden: Dienstleister) für das Terminmanagement einbeziehen, sollten Sie insbesondere auf Folgendes achten:

    Sie müssen die Dienstleister danach beurteilen, ob sie ausreichende technische und organisatorische Maßnahmen treffen.

Das

Dein Besuch... dürfte ... genügt haben, um diesen Prozess anzustoßen.

hoffe ich sehr.
SMS-Benachrichtungen abschalten sollte eigentlich leicht von der Hand gehen.

Jameda ist für mich als AV-Dienstleister außen vor.

Standarddaten-erfassung/-verarbeitung heißt leider verallgemeinert, dass ich wiederholt diese Oberflächlichkeit/Gleichgültigkeit bei Ärzten erlebe.

[duda]

"jameda.de" ist eine Bewertungs-/Werbeplattform für Mediziner aller Art. Auch Tierärzte sind dort inzwischen gelistet. Übrigens: Ärzte (z. B. Arztpraxen) werden bei "jameda.de" vollautomatisch (ohne jegliche Beauftragung) erfasst und öffentlich gelistet. Dank unserer überaus fähigen politischen Führung werden im Gesundheitsuniversum simple Kommunikationsdaten, wie bspw. Telefonnummern und E-Mail-Adressen (selbstverständlich pseudonymisiert und/oder anonymisiert :rofl:), bereitgestellt.

[GLenk]

"jameda.de" ist eine Bewertungs-/Werbeplattform für Mediziner aller Art...

Ja, deswegen ärgert mich ja die Ansprache durch diese Plattform ohne Einwilligung.

Auch bei Bewertungen, dort "Erfahrungsberichte" genannt, heißt es wie bei den "Online-Terminbuchungen"

11. Erfahrungsberichte

a) Veröffentlichung von Erfahrungsberichten

Nachfolgend beschreiben wir, wie Ihre personenbezogenen Daten verarbeitet werden, wenn Sie auf jameda.de Erfahrungsberichte verfassen und veröffentlichen.

Verarbeitete Daten: E-Mail-Adresse; Inhalt des Erfahrungsberichtes

‍Zweck: Veröffentlichung der Erfahrungsberichte, inhaltliche Prüfung der Erfahrungsberichte auf Einhaltung unserer Nutzungsrichtlinien

‍Rechtsgrundlage: Art. 9 Abs. 2 lit. a) DSGVO

Widerrufsmöglichkeit:
Die erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt davon unberührt.

‍Speicherdauer: bis Widerruf der Einwilligung

Nach einem erfolgten Widerruf Ihrer Einwilligung wird der jeweilige Erfahrungsbericht nicht mehr auf jameda.de veröffentlicht. Einer Löschung des Erfahrungsberichtes erfolgt nach Ablauf der gesetzlichen Aufbewahrungspflichten.

Empfänger der Daten: Kommunikationsdienstleister

Ich habe weder einen Termin über jameda (hier wikipedia) gebucht noch sonst wie mit dieser Firma Kontakt aufgenommen (Bis auf den Besuch der Datenschutzhinweise).

Sie mögen öffentlich zugängliche Daten von Arztpraxen, zB aus deren Webseiten abgreifen.
Wäre dies ein Datenschutz-Verstoß, ist der Arzty als Betroffener gefordert, sich dagegen zu wehren.
Gleiches gilt für andere Rechtsgebiete.

Patientendaten für nicht ausdrücklich gewünschte Terminerinnerungen oder Anforderung von Erfahrungsberichten zu verwenden, geht gar nicht. Das wären ja eigene Zwecke, also "gemeinsame Datenverarbeitung". Das glaube ich auch nicht. jameda (Aufsicht BayLDA) ist  nicht der potentielle Beschwerdegegner für mich als Patienten:

Alle SMSe von dort werden ja immer mit "Nachricht von Dr. Mabuse " oder "Dr. Mabuse bittet um ..." umschrieben. Das stellt es so dar, dass der Arzty dafür einen Auftrag erteilt hätte, leider ohne Einwilligung.

Korrektur/Anmerkung:
Oben hatte ich noch einen Fehler:

n den Datenschutzhinweisen auf der Praxisseite

Ich meinte das ausführliche Impressum der Webseite.

Es gibt keine angepassten Datenschutzhinweise auf der Praxisseite, sondern nur eine Datenschutzerklärung (bezogen auf den Webauftritt, nicht die Praxis) mit Textvorschlägen für einzelnen Unterabschnitte.

[duda]

Läuft die Kontaktaufnahme tatsächlich über die klassische SMS? Ich frage deshalb, weil heutzutage nicht selten von SMS die Rede ist aber tatsächlich der "SMS-Nachfolger", die WhatsApp-Nachricht, damit gemeint ist.

Unabhängig von evtl. Beschwerdemaßnahmen deinerseits gibt es m. M. n. noch zwei weitere Ansätze:

1. Recherche in der Zahnarztpraxis
2. Recherche bei "jameda.de" (sicherlich schwierig, könnte ich mir vorstellen)

[GLenk]

Läuft die Kontaktaufnahme tatsächlich über die klassische SMS?

Ja, die SMSe habe ich auch per Screenshot dokumentiert.
WA hatte ich noch nie, wird wohl nichts mehr mit uns.

Beschwerdemaßnahmen

Die Beschwerde würde ich nur schreiben, wenn tatsächlich nach dem jetzigen Widerruf sogar evtl. unbeabsichtigter Einwilligungen wieder eine SMS kommt.
Das wäre dann mit Beschwerdegegner Arzty, also nicht gerade das, was als Patient der Bringer ist.
Hinzu kommt: Zuständige Aufsichtsbehörde ist dann LDI NRW. Die haben auf den ersten Blick noch nicht einmal etwas zu der Thematik bisher veröffentlicht.
Von ihrem Recht tiefer zu schürfen (Rechenschaftspflicht des Verantwortlichen) erfährt man in Rahmen eines solchen Verfahren so gut wie nichts.

1. Recherche in der Zahnarztpraxis

Ggf. würde ich parallel oder vorher zu der Beschwerde noch von meinem Auskunftsrecht Gebrauch machen:
- Welche Daten wurden aus Sicht der Praxis an den Auftragnehmer gegeben?
- Welche Verarbeitungszwecke (AV-Verarbeitung im Rahmen des Behandlungsvertrages etc.)?
- Benennung der Rechtsgrundlage?
- Welche Speicherdauer wurde mit dem AV-Nehmer vereinbart?

Also im Prinzip so angelehnt an die Auskunft von jameda zu "Erfahrungsberichten" bzw "Online-Terminvereinbarungen".

Das würde aber die Aufsichtsbehörde ohnehin auch erfragen.

2. Recherche bei "jameda.de"

Das Fass möchte ich gar nicht erst aufmachen, da ja wie im Eingangspost an den Arzty ausgeführt, meinerseits gar keine Vertragsbeziehung zu diesem Dienstleister besteht.

Auch auf das BayLDA hätte ich keine Lust (zahnlose Standortpolitik).

Ich teile Deine geäußerte Hoffnung, dass mein begründeter Widerruf "Prozesse" angestoßen hat.

P.S.: Eine andere Person hat auch SMSe erhalten, jedoch mit Links der Form

https://doct.to/etcpp

.
Ein Klick darauf führt auch nach jameda.de in die Termine unter dem Betreff "Schmerzen".
Vielleicht Terminverwaltung und -management ohne Kundenkonto durch diesen Link?
Das wollen wir aber beide nicht nutzen oder gar ausprobieren. 
"Schmerzen"