Terminbuchungstool DSGVO-konform: Worauf Unternehmen bei der Auswahl achten sollten

Mehr als nur der Serverstandort: Warum viele Buchungs-Tools ein Compliance-Risiko sind

Inhalt
  1. Was bedeutet „DSGVO-konform" bei einem Terminbuchungstool konkret?
  2. Die rechtlichen Grundlagen: worauf es ankommt
  3. Die Auswahl-Checkliste für Unternehmen
  4. Häufige Fehler bei der Auswahl
  5. Unser Blick aus der Praxis
  6. Fazit
Ein Terminbuchungstool wirkt harmlos: ein Link, ein Kalender, ein paar Klicks. Datenschutzrechtlich ist es aber einer der heikelsten Dienste im Stack. Jede Buchung erzeugt personenbezogene Daten, oft mehr, als den Beteiligten bewusst ist: Name, E-Mail, Telefonnummer, Anlass des Termins, manchmal Zahlungs- oder Gesundheitsdaten. Wer ein Tool auswählt, trifft damit auch eine Entscheidung über Rechtsgrundlagen, Auftragsverarbeitung und Drittlandtransfer. Dieser Beitrag zeigt, worauf es bei der Auswahl wirklich ankommt, und zwar konkret an den rechtlichen Punkten, die in der Praxis am häufigsten übersehen werden.

Das Wichtigste in Kürze

  • DSGVO-Konformität bei einem Terminbuchungstool heißt mehr als „Server in der EU": Es zählen Rechtsgrundlage, Auftragsverarbeitungsvertrag, Subprozessoren und der Unternehmenssitz des Anbieters.
  • Sobald das Buchungs-Widget auf deiner Website eingebettet ist, kommen Einwilligungspflichten nach dem TDDDG (vormals TTDSG) ins Spiel.
  • Der Serverstandort allein schützt nicht. Bei einem Anbieter mit US-Mutterkonzern kann der CLOUD Act greifen, auch bei EU-Hosting.
  • Ein sauberes Löschkonzept und Datenminimierung sind keine Kür, sondern Pflicht aus Artikel 5 DSGVO.
  • Je weniger Einzel-Tools im Einsatz sind, desto weniger Datenflüsse und Verträge musst du absichern.

Was bedeutet „DSGVO-konform" bei einem Terminbuchungstool konkret?

Ein Terminbuchungstool verarbeitet personenbezogene Daten von Anfang bis Ende des Buchungsprozesses. Schon beim Aufruf der Buchungsseite fallen Daten an, spätestens bei der Eingabe von Kontaktdaten werden sie verarbeitet, und nach dem Termin bleiben sie gespeichert. DSGVO-konform ist ein Tool dann, wenn diese Verarbeitung über den gesamten Lebenszyklus rechtmäßig, transparent und nachvollziehbar abläuft.
Besonders relevant: In vielen Branchen verrät schon der Buchungsgrund sensible Informationen. Wer einen Termin bei einer Praxis, einer Kanzlei oder einer Beratungsstelle bucht, gibt damit unter Umständen Gesundheits- oder andere besondere Kategorien von Daten preis. Für diese gilt nach Artikel 9 DSGVO ein strengerer Maßstab. Ein Tool, das damit umgehen muss, braucht entsprechend belastbare Garantien.

Die rechtlichen Grundlagen: worauf es ankommt

Die folgenden Punkte sind der Kern jeder DSGVO-Prüfung eines Buchungstools. Wer sie systematisch durchgeht, erkennt schnell, ob ein Anbieter wirklich trägt oder nur ein EU-Logo auf der Website hat.
Rechtsgrundlage der Verarbeitung (Artikel 6 DSGVO). Die Buchung selbst stützt sich in der Regel auf die Vertragserfüllung oder vorvertragliche Maßnahmen nach Artikel 6 Absatz 1 lit. b. Terminbestätigungen und Erinnerungen sind meist Teil dieser Leistung. Sobald aber werbliche Kommunikation dazukommt, etwa ein Newsletter im Anschluss, brauchst du eine Einwilligung nach Artikel 6 Absatz 1 lit. a. Bei Gesundheitsdaten kommt zusätzlich eine Grundlage nach Artikel 9 Absatz 2 hinzu.
Auftragsverarbeitung (Artikel 28 DSGVO). Der Anbieter verarbeitet die Daten in deinem Auftrag. Ein Auftragsverarbeitungsvertrag ist deshalb Pflicht, nicht optional. Prüfe nicht nur, ob ein AVV existiert, sondern auch die Liste der Subunternehmer: Jeder weitere Dienst, etwa für E-Mail-Versand, SMS oder Analyse, ist ein eigener Datenfluss, den du mitverantwortest.
Serverstandort und Drittlandtransfer (Artikel 44 ff. DSGVO). Hier entscheidet sich oft alles. Mit dem Schrems-II-Urteil hat der Europäische Gerichtshof 2020 den Datentransfer in die USA stark eingeschränkt. Seit 2023 erlaubt das EU-US Data Privacy Framework zwar wieder Transfers an zertifizierte US-Unternehmen, doch wie seine Vorgänger steht es rechtlich unter Beobachtung. Wer sich darauf verlässt, baut auf ein bewegliches Ziel. Dazu kommt der US CLOUD Act: Er kann US-Anbieter zur Datenherausgabe verpflichten, auch wenn die Server in Europa stehen. Entscheidend ist deshalb nicht nur der Rechenzentrumsstandort, sondern der Unternehmenssitz des Anbieters.
Technische und organisatorische Maßnahmen (Artikel 32 DSGVO). Verschlüsselung in Übertragung und Speicherung, Zugriffskontrollen, Protokollierung und ein dokumentiertes Sicherheitskonzept sollten selbstverständlich sein. Lass dir die TOMs vor Vertragsschluss zeigen.
Einwilligung beim Einbetten des Buchungs-Widgets (TDDDG). Sobald das Tool als Widget oder iFrame auf deiner Website läuft, kann es Cookies setzen oder auf Endgeräte zugreifen. Für nicht zwingend erforderliche Technologien verlangt das TDDDG (das frühere TTDSG) eine vorherige Einwilligung. Ein Buchungstool, das ungefragt lädt, wird so schnell zum Compliance-Problem deiner gesamten Seite.
Datenminimierung und Löschkonzept (Artikel 5 DSGVO). Frag nur ab, was du wirklich brauchst, und lösche, was du nicht mehr brauchst. Ein gutes Tool lässt dich Pflichtfelder steuern und Aufbewahrungsfristen definieren. Ohne Löschkonzept verstößt du gegen die Speicherbegrenzung, egal wie sicher der Server ist.
Betroffenenrechte und Dokumentation (Artikel 15 bis 17 und Artikel 30 DSGVO). Auskunft, Berichtigung und Löschung müssen praktisch umsetzbar sein. Außerdem gehört die Verarbeitung in dein Verzeichnis von Verarbeitungstätigkeiten. Ein Anbieter, der dir das erleichtert, spart dir später viel Arbeit.

Die Auswahl-Checkliste für Unternehmen

Aus den rechtlichen Anforderungen lässt sich eine handliche Prüfliste ableiten. Geh jeden Anbieter Punkt für Punkt durch, bevor du dich entscheidest.

Prüfpunkt
Die entscheidende Frage
Unternehmenssitz
Gibt es eine US-Mutter oder US-Tochter (CLOUD Act)?
Serverstandort
Liegen die Daten nachweislich in der EU?
Auftragsverarbeitung
Ist ein DSGVO-konformer AVV vorhanden?
Subprozessoren
Welche Dritt-Dienste sind eingebunden, und wo sitzen sie?
Widget und Cookies
Lädt das Tool erst nach Einwilligung?
Datenminimierung
Lassen sich Felder und Fristen konfigurieren?
Datenexport und Löschung
Kommst du jederzeit vollständig wieder heraus?

Häufige Fehler bei der Auswahl

Drei Fehler tauchen in der Praxis immer wieder auf, obwohl auf dem Papier alles zu passen scheint.
Nur auf den Serverstandort schauen. „Server in Frankfurt" steht auf fast jedem Datenblatt. Steht dieser Server bei einem Anbieter mit US-Mutterkonzern, ändert das am rechtlichen Risiko wenig. Frag nach der Konzernstruktur, nicht nur nach dem Rechenzentrum.
Das Buchungs-Widget unterschätzen. Viele prüfen den Anbieter gründlich und übersehen, dass das eingebettete Widget auf der eigenen Website Einwilligungen auslöst. Genau hier entstehen abmahnfähige Lücken.
Kein Löschkonzept haben. Daten werden gesammelt, aber nie wieder gelöscht. Spätestens bei einer Betroffenenanfrage oder einer Prüfung fällt das auf. Klär vor dem Start, in welchem Format und wie vollständig ein Export und eine Löschung möglich sind.

Unser Blick aus der Praxis

Bei meetergo haben wir unsere Plattform bewusst entlang dieser Kriterien gebaut, und aus dieser Erfahrung sehen wir einen Hebel, den viele unterschätzen: die Zahl der eingesetzten Tools. Wer Terminbuchung, Video, Erinnerungen und Kundendaten über vier verschiedene Anbieter verteilt, braucht vier Auftragsverarbeitungsverträge, prüft vier Subprozessor-Listen und schafft vier Stellen, an denen Daten den souveränen Raum verlassen können. Eine DSGVO-konforme Terminbuchung aus einer Hand reduziert diese Angriffsfläche deutlich.
Konkret heißt das bei uns: meetergo ist eine GmbH mit Sitz in Deutschland und unterliegt damit nicht dem CLOUD Act, gehostet wird ausschließlich in Deutschland mit Servern in Frankfurt und Nürnberg, und mit jedem Kunden schließen wir einen Auftragsverarbeitungsvertrag. Das ist kein Selbstzweck, sondern die direkte Übersetzung der oben genannten Anforderungen in eine Architektur. Ein vollständiges Bild zu Anbietern in dieser Kategorie findest du übrigens auch in den unabhängigen Bewertungen auf OMR Reviews.

Fazit

Ein DSGVO-konformes Terminbuchungstool erkennst du nicht am Marketing, sondern an nachprüfbaren Fakten: Rechtsgrundlage, AVV, Serverstandort und Unternehmenssitz, sauberer Umgang mit dem Widget, Datenminimierung und ein funktionierendes Löschkonzept. Geh die Checkliste oben für jeden Anbieter durch, achte besonders auf die Konzernstruktur und das eingebettete Widget, und bevorzuge dort, wo es passt, eine konsolidierte Lösung. So wird aus einem datenschutzrechtlichen Risiko ein kontrollierbarer Prozess.
Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung.
DR

Dominik Rapacki ist Gründer von meetergo, der in Deutschland gehosteten All-in-One-Plattform für DSGVO-konforme Terminbuchung, Video, E-Signatur und CRM. Als deutsche GmbH ohne US-Bezug beschäftigt er sich täglich mit der Frage, wie Unternehmen ihren Software-Stack datenschutzkonform und digital souverän aufstellen. meetergo findest du mit Bewertungen echter Nutzer*innen auf OMR Reviews.

Alle Artikel von Dominik Rapacki

Im Artikel erwähnte Softwares

Im Artikel erwähnte Software- oder Service-Kategorien

Ähnliche Artikel