Beschluss vom 16. Juni 2025: Positionspapier Datenschutz bei der Terminverwaltung durch Heilberufspraxen: Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement
Terminvereinbarungen mit Heilberufspraxen finden zunehmend über das Internet statt. Dabei übernehmen häufig externe Dienstleister das Terminmanagement für die Praxen. Dies ist unterschiedlich organisiert: Teilweise buchen die Patientinnen und Patienten die von ihnen gewünschten Termine auf der Homepage der einzelnen Praxis über einen dort eingebetteten Terminbuchungsbutton, der technisch von einem externen Dienstleister betrieben wird; teilweise werden die Termine über die Plattform eines Terminverwaltungsunternehmens gebucht. Die auf diese Weise gebuchten sowie von der Heilberufspraxis selbst eingetragenen Termine (z. B. bei telefonischer Terminvereinbarung) werden in dem von dem Dienstleister bereitgestellten Terminkalender der Praxis verarbeitet.
Die Auslagerung der Terminverwaltung geht einher mit der externen Verarbeitung von Patientendaten durch die von den Heilberufspraxen beauftragten Dienstleister. Sowohl bei Praxisbetreiberinnen und -betreibern als auch Patientinnen und Patienten besteht Unsicherheit, unter welchen Voraussetzungen externe Dienstleister in die Terminverwaltung eingebunden und in welchem Umfang dabei Patientendaten verarbeitet werden dürfen. Die zunehmende Anzahl der bei den Datenschutzaufsichtsbehörden eingehenden Beratungsanfragen und Beschwerden belegt dies.
Die Datenschutzkonferenz greift mit diesem Positionspapier den bestehenden Bedarf nach datenschutzrechtlicher Klarstellung und Beratung auf. Die in dem Papier enthaltenen Positionen spiegeln die Rechtsauffassung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder wider. Sie dienen als Maßstab für datenschutzrechtliche Bewertungen in aufsichtsrechtlichen Verfahren und zugleich der Orientierung für Heilberufspraxen, Terminverwaltungsunternehmen sowie Patientinnen und Patienten.
1. Zulässigkeit der Auslagerung der Terminverwaltung durch Heilberufspraxen
Die Beauftragung von externen Unternehmen zum Terminmanagement durch Heilberufspraxen kann als Auftragsverarbeitung im Sinne von Art. 28 DSGVO zulässig sein. Sie bedarf auf dieser Grundlage keiner Einwilligung durch die Patientinnen und Patienten. Allerdings sind diese durch die Heilberufspraxis über die Einbindung des Dienstleisters zu informieren (Art. 13 DSGVO, s.u.).
Neben der digitalen Terminvereinbarung sollte auch immer eine alternative Möglichkeit bestehen, einen Termin in der Heilberufspraxis vereinbaren zu können (siehe DSK Entschließung vom 19.12.2024 zur menschenzentrierten Digitalisierung).
2. Anforderungen an eine datenschutzkonforme Verarbeitung von Patientendaten im Zusammenhang mit der Terminvergabe
Soweit Heilberufspraxen zur Vergabe von Behandlungsterminen Patientendaten verarbeiten, ist dies datenschutzrechtlich zulässig, sofern die Heilberufspraxis die entsprechenden Datenverarbeitungen auf eine Rechtsgrundlage – also entweder eine gesetzliche Regelung oder eine Einwilligung - stützen kann. Werden zur Terminverwaltung externe Dienstleister eingesetzt, ändert sich an dieser datenschutzrechtlichen Vorgabe nichts. Je nachdem, um welche Datenverarbeitung es geht, ist zu differenzieren:
- Nur erforderliche Datenverarbeitungen sind ohne Einwilligung zulässig
Datenverarbeitungen, die für die medizinische Behandlung erforderlich sind, können Heilberufspraxen auf Art. 6 Abs. 1 Satz 1 lit. b und Art. 9 Abs. 2 lit. h DS-GVO stützen. Das Eintragen von Patientendaten in einen Terminkalender ist für die Behandlung erforderlich, wenn die konkrete Patientin oder der konkrete Patient einen in der Zukunft liegenden Termin in der Praxis vereinbart. Eingetragen werden dürfen nur diejenigen Patientendaten, die zur Wahrnehmung des konkreten Termins erforderlich sind, also insbesondere Name, Geburtsdatum, behandelnde Ärztin oder behandelnder Arzt, Art des Termins (z. B. Kontrolle, Röntgen) und eine Kontaktmöglichkeit zur eventuell notwendigen kurzfristigen Absage des Termins. Erforderlich im datenschutzrechtlichen Sinne bedeutet, dass die Daten für das Terminmanagement unbedingt notwendig sein müssen.
- Keine pauschale Übermittlung aller Patientenstammdaten an den Dienstleister im Vorfeld
Zur Durchführung der Terminvergabe durch einen Dienstleister bedarf es nur der zur Vereinbarung eines konkreten Termins erforderlichen Patientendaten. Termindaten werden bei einer Online-Terminvereinbarung regelmäßig durch die Patientinnen und Patienten selbst mitgeteilt oder bei einer Terminvereinbarung vor Ort oder telefonisch durch die Heilberufspraxis erhoben und in den Terminkalender eingetragen. Vor diesem Hintergrund bedarf es im Vorfeld im Regelfall insoweit keiner pauschalen Bereitstellung von Stammdaten aller in der Heilberufspraxis jemals behandelten Patientinnen und Patienten an das beauftragte Dienstleistungsunternehmen.
- Terminnachrichten nur mit ausdrücklicher Einwilligung
Für die Wahrnehmung des konkreten Termins nicht erforderlich, allerdings als erweitertes Serviceangebot durchaus denkbar, ist die Versendung einer an die Patientinnen und Patienten gerichteten Terminnachricht (z. B. Terminerinnerung). Sofern die Patientinnen und Patienten auf Nachfrage und entsprechend informiert damit einverstanden sind, dürfen die zu diesem Zweck erforderlichen Kontaktdaten – je nach gewähltem Kommunikationskanal – zusätzlich verarbeitet werden. Die Heilberufspraxis muss nachweisen können, dass die Einwilligung vorliegt.
- Keine Datenverarbeitung von Patientendaten, die Gegenstand der Auftragsverarbeitung sind, zu eigenen Zwecken des Terminverwaltungsunternehmens
Die Verarbeitung der im Rahmen der Beauftragung durch die Heilberufspraxen stehenden Patientendaten richtet sich gemäß Art. 28 DS-GVO ausschließlich nach den Weisungen der Heilberufspraxis und dem anzuschließenden Auftragsverarbeitungsvertrag. Dementsprechend ist eine weitere Verarbeitung der im Terminkalender eingetragenen Patientendaten durch das Terminverwaltungsunternehmen zu eigenen Zwecken unzulässig. Bei Kenntnis einer Verwendung dieser Daten für eigene Zwecke des Dienstleisters ist die Heilberufspraxis verpflichtet, gegenüber ihrem Dienstleister dafür zu sorgen, dass dieser einen datenschutzkonformen Zustand herstellt.
- Eintragungen im Terminkalender sind innerhalb einer kurzen Frist nach dem Termin zu löschen
Die zur Terminvergabe zulässigerweise erhobenen Patientendaten dürfen nur solange gespeichert werden, wie dies zur Erreichung des Verarbeitungszwecks erforderlich ist. Sobald der in den Terminkalender eingetragene Termin verstrichen ist, besteht im Regelfall keine Erforderlichkeit mehr, in dem Terminkalender weiterhin die Termindaten des Patienten oder der Patientin zu speichern. Denn Eintragungen im Terminkalender sind als solche nicht Teil der Behandlungsdokumentation und unterliegen somit nicht der berufsrechtlichen Dokumentationspflicht; soweit Inhalte des Terminkalenders dokumentationspflichtig sind, sind diese in die Dokumentation zu übernehmen und dort in der gebotenen Weise zu speichern. Aus dem Terminkalender selbst sind diese Daten dagegen grundsätzlich innerhalb einer kurzen Frist zu löschen. Erfolgt die Terminvergabe durch einen beauftragten Dienstleister, hat dieser die erforderliche Löschung zu gewährleisten.
- Datenschutz ist durch technisch-organisatorische Maßnahmen sicherzustellen
Die Heilberufspraxen als datenschutzrechtlich Verantwortliche müssen durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die Vorgaben des Datenschutzes auch bei der Verarbeitung von Patientendaten zur Terminvergabe und -verwaltung eingehalten werden. Dies gilt sowohl bei der Terminvergabe und -verwaltung durch die Praxen selbst als auch bei der Einbindung externer Dienstleister. In diesem Fall müssen die Maßnahmen im Rahmen der Beauftragung vertraglich festgelegt werden. Die Heilberufspraxen haben als Verantwortliche deshalb im Vorfeld der Beauftragung insbesondere zu prüfen,
- welche Patientendaten auf welcher Rechtsgrundlage verarbeitet werden,
- ob eine Datenverarbeitung im Rahmen des Auftrags und nicht darüber hinaus zu eigenen Zwecken des Dienstleisters erfolgt,
- dass geeignete Maßnahmen zum angemessenen Schutz der Patientendaten – insbesondere hinsichtlich der Sicherheit der Webanwendung und der Verzahnung des Praxisverwaltungssystems mit dem System des Dienstleisters sowie einer vorhandenen Mandantentrennung beim Dienstleister – ergriffen werden,
- dass ausreichende Gewähr für die Vertraulichkeit der Verarbeitung durch den Dienstleister geboten wird und
- dass die Löschvorgaben umgesetzt werden.
- Besondere Anforderungen bei einer Datenverarbeitung in Drittstaaten
Sofern in die Datenverarbeitung zur Terminvergabe und -verwaltung auch Stellen in einem Drittland i.S.v. Art. 44 DSGVO eingebunden sind, müssen die in diesem Zusammenhang bestehenden besonderen datenschutzrechtlichen Anforderungen der Art. 44 ff. DSGVO durch die Heilberufspraxen als Verantwortliche sichergestellt werden. Vor der Auftragsvergabe ist daher durch die Praxen mit dem Dienstleister zu klären, ob einzelne Verarbeitungsschritte, wie z. B. Support, Wartung oder Administration, in einem Drittland stattfinden und ob in diesem Fall die o. g. Anforderungen erfüllt sind.
- Bereitstellung von aussagekräftigen Informationen über die externe Terminvereinbarung und -verwaltung
Angesichts der Informationspflicht nach Art. 13 f. DS-GVO sind die Heilberufspraxen verpflichtet, ihre Patientinnen und Patienten über die im Zusammenhang mit der Auslagerung der Terminvergabe und -verwaltung stehenden Datenverarbeitungen zu informieren. Dabei ist insbesondere das konkret beauftragte Terminverwaltungsunternehmen als Empfänger der Daten namentlich zu benennen.
3. Vertragsverhältnis zwischen Patientinnen und Patienten mit Dienstleistern zur Online-Terminbuchung
Sofern einzelne Terminverwaltungsunternehmen ihre Dienstleistung gegenüber Heilberufspraxen in der Art anbieten, dass die Patientinnen und Patienten ein Nutzerkonto bei dem Unternehmen (ggf. unter Zustimmung zu den AGB des Dienstleisters) anlegen können, ist die damit zusammenhängende Verarbeitung personenbezogener Daten durch das Terminverwaltungsunternehmen von der unter Nr. 2 dargestellten Datenverarbeitung im Auftrag der Heilberufspraxen abzugrenzen. Für die Verarbeitung personenbezogener Daten von Patientinnen und Patienten im Zusammenhang mit dem Vertrag, den sie mit dem Terminverwaltungsunternehmen schließen, und dem Nutzerkonto ist das Terminverwaltungsunternehmen datenschutzrechtlich Verantwortlicher. Werden hierbei auch Gesundheitsdaten verarbeitet, benötigt das Terminverwaltungsunternehmen im Regelfall eine wirksame Einwilligung der betroffenen Nutzerinnen und Nutzer.
Dem Terminverwaltungsunternehmen obliegt insoweit die Erfüllung sämtlicher datenschutzrechtlicher Vorgaben. Dabei ist eine saubere Trennung der Verantwortlichkeiten erforderlich, die auch für die Patientinnen und Patienten klar erkennbar sein muss. Die Patientinnen und Patienten müssen bei jeder Interaktion mit der Website, die sie nutzen, um mit der Praxis einen Termin zu vereinbaren, in der Lage sein, zu erkennen, wer für die jeweilige Datenverarbeitung verantwortlich ist.
Terminvereinbarungen mit Heilberufspraxen finden zunehmend über das Internet statt. Dabei übernehmen häufig externe Dienstleister das Terminmanagement für die Praxen. Dies ist unterschiedlich organisiert: Teilweise buchen die Patientinnen und Patienten die von ihnen gewünschten Termine auf der Homepage der einzelnen Praxis über einen dort eingebetteten Terminbuchungsbutton, der technisch von einem externen Dienstleister betrieben wird; teilweise werden die Termine über die Plattform eines Terminverwaltungsunternehmens gebucht. Die auf diese Weise gebuchten sowie von der Heilberufspraxis selbst eingetragenen Termine (z. B. bei telefonischer Terminvereinbarung) werden in dem von dem Dienstleister bereitgestellten Terminkalender der Praxis verarbeitet.
Die Auslagerung der Terminverwaltung geht einher mit der externen Verarbeitung von Patientendaten durch die von den Heilberufspraxen beauftragten Dienstleister. Sowohl bei Praxisbetreiberinnen und -betreibern als auch Patientinnen und Patienten besteht Unsicherheit, unter welchen Voraussetzungen externe Dienstleister in die Terminverwaltung eingebunden und in welchem Umfang dabei Patientendaten verarbeitet werden dürfen. Die zunehmende Anzahl der bei den Datenschutzaufsichtsbehörden eingehenden Beratungsanfragen und Beschwerden belegt dies.
Die Datenschutzkonferenz greift mit diesem Positionspapier den bestehenden Bedarf nach datenschutzrechtlicher Klarstellung und Beratung auf. Die in dem Papier enthaltenen Positionen spiegeln die Rechtsauffassung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder wider. Sie dienen als Maßstab für datenschutzrechtliche Bewertungen in aufsichtsrechtlichen Verfahren und zugleich der Orientierung für Heilberufspraxen, Terminverwaltungsunternehmen sowie Patientinnen und Patienten.
1. Zulässigkeit der Auslagerung der Terminverwaltung durch Heilberufspraxen
Die Beauftragung von externen Unternehmen zum Terminmanagement durch Heilberufspraxen kann als Auftragsverarbeitung im Sinne von Art. 28 DSGVO zulässig sein. Sie bedarf auf dieser Grundlage keiner Einwilligung durch die Patientinnen und Patienten. Allerdings sind diese durch die Heilberufspraxis über die Einbindung des Dienstleisters zu informieren (Art. 13 DSGVO, s.u.).
Neben der digitalen Terminvereinbarung sollte auch immer eine alternative Möglichkeit bestehen, einen Termin in der Heilberufspraxis vereinbaren zu können (siehe DSK Entschließung vom 19.12.2024 zur menschenzentrierten Digitalisierung).
2. Anforderungen an eine datenschutzkonforme Verarbeitung von Patientendaten im Zusammenhang mit der Terminvergabe
Soweit Heilberufspraxen zur Vergabe von Behandlungsterminen Patientendaten verarbeiten, ist dies datenschutzrechtlich zulässig, sofern die Heilberufspraxis die entsprechenden Datenverarbeitungen auf eine Rechtsgrundlage – also entweder eine gesetzliche Regelung oder eine Einwilligung - stützen kann. Werden zur Terminverwaltung externe Dienstleister eingesetzt, ändert sich an dieser datenschutzrechtlichen Vorgabe nichts. Je nachdem, um welche Datenverarbeitung es geht, ist zu differenzieren:
- Nur erforderliche Datenverarbeitungen sind ohne Einwilligung zulässig
Datenverarbeitungen, die für die medizinische Behandlung erforderlich sind, können Heilberufspraxen auf Art. 6 Abs. 1 Satz 1 lit. b und Art. 9 Abs. 2 lit. h DS-GVO stützen. Das Eintragen von Patientendaten in einen Terminkalender ist für die Behandlung erforderlich, wenn die konkrete Patientin oder der konkrete Patient einen in der Zukunft liegenden Termin in der Praxis vereinbart. Eingetragen werden dürfen nur diejenigen Patientendaten, die zur Wahrnehmung des konkreten Termins erforderlich sind, also insbesondere Name, Geburtsdatum, behandelnde Ärztin oder behandelnder Arzt, Art des Termins (z. B. Kontrolle, Röntgen) und eine Kontaktmöglichkeit zur eventuell notwendigen kurzfristigen Absage des Termins. Erforderlich im datenschutzrechtlichen Sinne bedeutet, dass die Daten für das Terminmanagement unbedingt notwendig sein müssen.
- Keine pauschale Übermittlung aller Patientenstammdaten an den Dienstleister im Vorfeld
Zur Durchführung der Terminvergabe durch einen Dienstleister bedarf es nur der zur Vereinbarung eines konkreten Termins erforderlichen Patientendaten. Termindaten werden bei einer Online-Terminvereinbarung regelmäßig durch die Patientinnen und Patienten selbst mitgeteilt oder bei einer Terminvereinbarung vor Ort oder telefonisch durch die Heilberufspraxis erhoben und in den Terminkalender eingetragen. Vor diesem Hintergrund bedarf es im Vorfeld im Regelfall insoweit keiner pauschalen Bereitstellung von Stammdaten aller in der Heilberufspraxis jemals behandelten Patientinnen und Patienten an das beauftragte Dienstleistungsunternehmen.
- Terminnachrichten nur mit ausdrücklicher Einwilligung
Für die Wahrnehmung des konkreten Termins nicht erforderlich, allerdings als erweitertes Serviceangebot durchaus denkbar, ist die Versendung einer an die Patientinnen und Patienten gerichteten Terminnachricht (z. B. Terminerinnerung). Sofern die Patientinnen und Patienten auf Nachfrage und entsprechend informiert damit einverstanden sind, dürfen die zu diesem Zweck erforderlichen Kontaktdaten – je nach gewähltem Kommunikationskanal – zusätzlich verarbeitet werden. Die Heilberufspraxis muss nachweisen können, dass die Einwilligung vorliegt.
- Keine Datenverarbeitung von Patientendaten, die Gegenstand der Auftragsverarbeitung sind, zu eigenen Zwecken des Terminverwaltungsunternehmens
Die Verarbeitung der im Rahmen der Beauftragung durch die Heilberufspraxen stehenden Patientendaten richtet sich gemäß Art. 28 DS-GVO ausschließlich nach den Weisungen der Heilberufspraxis und dem anzuschließenden Auftragsverarbeitungsvertrag. Dementsprechend ist eine weitere Verarbeitung der im Terminkalender eingetragenen Patientendaten durch das Terminverwaltungsunternehmen zu eigenen Zwecken unzulässig. Bei Kenntnis einer Verwendung dieser Daten für eigene Zwecke des Dienstleisters ist die Heilberufspraxis verpflichtet, gegenüber ihrem Dienstleister dafür zu sorgen, dass dieser einen datenschutzkonformen Zustand herstellt.
- Eintragungen im Terminkalender sind innerhalb einer kurzen Frist nach dem Termin zu löschen
Die zur Terminvergabe zulässigerweise erhobenen Patientendaten dürfen nur solange gespeichert werden, wie dies zur Erreichung des Verarbeitungszwecks erforderlich ist. Sobald der in den Terminkalender eingetragene Termin verstrichen ist, besteht im Regelfall keine Erforderlichkeit mehr, in dem Terminkalender weiterhin die Termindaten des Patienten oder der Patientin zu speichern. Denn Eintragungen im Terminkalender sind als solche nicht Teil der Behandlungsdokumentation und unterliegen somit nicht der berufsrechtlichen Dokumentationspflicht; soweit Inhalte des Terminkalenders dokumentationspflichtig sind, sind diese in die Dokumentation zu übernehmen und dort in der gebotenen Weise zu speichern. Aus dem Terminkalender selbst sind diese Daten dagegen grundsätzlich innerhalb einer kurzen Frist zu löschen. Erfolgt die Terminvergabe durch einen beauftragten Dienstleister, hat dieser die erforderliche Löschung zu gewährleisten.
- Datenschutz ist durch technisch-organisatorische Maßnahmen sicherzustellen
Die Heilberufspraxen als datenschutzrechtlich Verantwortliche müssen durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die Vorgaben des Datenschutzes auch bei der Verarbeitung von Patientendaten zur Terminvergabe und -verwaltung eingehalten werden. Dies gilt sowohl bei der Terminvergabe und -verwaltung durch die Praxen selbst als auch bei der Einbindung externer Dienstleister. In diesem Fall müssen die Maßnahmen im Rahmen der Beauftragung vertraglich festgelegt werden. Die Heilberufspraxen haben als Verantwortliche deshalb im Vorfeld der Beauftragung insbesondere zu prüfen,
- welche Patientendaten auf welcher Rechtsgrundlage verarbeitet werden,
- ob eine Datenverarbeitung im Rahmen des Auftrags und nicht darüber hinaus zu eigenen Zwecken des Dienstleisters erfolgt,
- dass geeignete Maßnahmen zum angemessenen Schutz der Patientendaten – insbesondere hinsichtlich der Sicherheit der Webanwendung und der Verzahnung des Praxisverwaltungssystems mit dem System des Dienstleisters sowie einer vorhandenen Mandantentrennung beim Dienstleister – ergriffen werden,
- dass ausreichende Gewähr für die Vertraulichkeit der Verarbeitung durch den Dienstleister geboten wird und
- dass die Löschvorgaben umgesetzt werden.
- Besondere Anforderungen bei einer Datenverarbeitung in Drittstaaten
Sofern in die Datenverarbeitung zur Terminvergabe und -verwaltung auch Stellen in einem Drittland i.S.v. Art. 44 DSGVO eingebunden sind, müssen die in diesem Zusammenhang bestehenden besonderen datenschutzrechtlichen Anforderungen der Art. 44 ff. DSGVO durch die Heilberufspraxen als Verantwortliche sichergestellt werden. Vor der Auftragsvergabe ist daher durch die Praxen mit dem Dienstleister zu klären, ob einzelne Verarbeitungsschritte, wie z. B. Support, Wartung oder Administration, in einem Drittland stattfinden und ob in diesem Fall die o. g. Anforderungen erfüllt sind.
- Bereitstellung von aussagekräftigen Informationen über die externe Terminvereinbarung und -verwaltung
Angesichts der Informationspflicht nach Art. 13 f. DS-GVO sind die Heilberufspraxen verpflichtet, ihre Patientinnen und Patienten über die im Zusammenhang mit der Auslagerung der Terminvergabe und -verwaltung stehenden Datenverarbeitungen zu informieren. Dabei ist insbesondere das konkret beauftragte Terminverwaltungsunternehmen als Empfänger der Daten namentlich zu benennen.
3. Vertragsverhältnis zwischen Patientinnen und Patienten mit Dienstleistern zur Online-Terminbuchung
Sofern einzelne Terminverwaltungsunternehmen ihre Dienstleistung gegenüber Heilberufspraxen in der Art anbieten, dass die Patientinnen und Patienten ein Nutzerkonto bei dem Unternehmen (ggf. unter Zustimmung zu den AGB des Dienstleisters) anlegen können, ist die damit zusammenhängende Verarbeitung personenbezogener Daten durch das Terminverwaltungsunternehmen von der unter Nr. 2 dargestellten Datenverarbeitung im Auftrag der Heilberufspraxen abzugrenzen. Für die Verarbeitung personenbezogener Daten von Patientinnen und Patienten im Zusammenhang mit dem Vertrag, den sie mit dem Terminverwaltungsunternehmen schließen, und dem Nutzerkonto ist das Terminverwaltungsunternehmen datenschutzrechtlich Verantwortlicher. Werden hierbei auch Gesundheitsdaten verarbeitet, benötigt das Terminverwaltungsunternehmen im Regelfall eine wirksame Einwilligung der betroffenen Nutzerinnen und Nutzer.
Dem Terminverwaltungsunternehmen obliegt insoweit die Erfüllung sämtlicher datenschutzrechtlicher Vorgaben. Dabei ist eine saubere Trennung der Verantwortlichkeiten erforderlich, die auch für die Patientinnen und Patienten klar erkennbar sein muss. Die Patientinnen und Patienten müssen bei jeder Interaktion mit der Website, die sie nutzen, um mit der Praxis einen Termin zu vereinbaren, in der Lage sein, zu erkennen, wer für die jeweilige Datenverarbeitung verantwortlich ist.