eTermin und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber eTermin ein, verarbeitet er typischerweise Buchungsformulardaten (z.B. Name, E-Mail, Telefonnummer, Wunschtermin) sowie Webserver-Protokolldaten zum Zweck der Online-Terminvereinbarung – als Rechtsgrundlage kommen je nach Einbindung eine Drittanbieter-Inhalte-Einwilligung, die Vertragsanbahnung/Vertragsdurchführung oder berechtigte Interessen in Betracht. Diese Seite erklärt, welche Daten eTermin nach öffentlich zugänglichen Anbieterangaben verarbeitet, wofür ein Webseitenbetreiber sie nutzt und was zu eTermin in der Datenschutzerklärung der eigenen Webseite stehen sollte.

Die Darstellung beruht auf den öffentlich recherchierbaren Angaben des Anbieters (Datenschutzhinweise, AGB, AVV-Hinweise, Hilfecenter); sie ersetzt keine Einzelfallprüfung.

A. Zweck und Funktionsweise von eTermin

eTermin ist ein webbasiertes Online-Terminbuchungssystem, das insbesondere in Arztpraxen, Behörden, Kfz-Werkstätten, Friseur- und Kosmetikbetrieben sowie im Beratungs- und Dienstleistungssektor eingesetzt wird. Endkunden können über eine Buchungsoberfläche freie Zeitfenster auswählen, ein Formular ausfüllen und so einen Termin vereinbaren; der Webseitenbetreiber verwaltet im eTermin-Backend Mitarbeiter, Dienstleistungen, Verfügbarkeiten, Bestätigungs- und Erinnerungsmails sowie ggf. Online-Zahlung.

Für Webseitenbetreiber bietet eTermin mehrere Integrationsvarianten: ein eingebetteter iFrame (Buchungswidget direkt auf der eigenen Webseite), ein Buchungsbutton/Link auf eine eTermin-gehostete Buchungsseite, eine Pop-up-Buchung sowie API-Anbindungen. Diese Seite konzentriert sich auf die typische Integrations-Funktion – also die Einbindung des Buchungswidgets oder Buchungsbuttons auf einer deutschen Webseite. Funktionen, die ausschließlich im internen eTermin-Backend stattfinden (z.B. Personal- und Ressourcenplanung), werden hier nicht vertieft.

B. Pflichtangaben zu eTermin in der Datenschutzerklärung

Die DSGVO schreibt für die Datenschutzerklärung – neben allgemeinen Angaben zum Webseitenbetreiber, den Rechten der betroffenen Person und der Aufsichtsbehörde – in Bezug auf den Einsatz von Tools wie eTermin folgende spezifische Pflichtangaben vor:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Stützung auf eine Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer bzw. die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt beim Betroffenen erhobenen Daten zusätzlich die Kategorien personenbezogener Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden im Folgenden für eTermin aufgeschlüsselt. Es ist dabei nicht erforderlich, eTermin in der Datenschutzerklärung mit einem eigenen, namentlich benannten Textbaustein aufzuführen – auch wenn sich genau diese Praxis weithin eingebürgert hat. Der „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er führt zu langen, immer wieder gleichlautenden Passagen, die die Datenschutzerklärung schwer pflegbar und für Nutzer kaum lesbar machen, und steht im Spannungsverhältnis zu Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Serverbetrieb, Drittanbieter-Inhalte, Terminbuchung, Newsletter …) beschreibt und die konkret eingesetzten Dienstleister – wie eTermin – in einem Anhang als Empfänger auflistet.

C. Anbieter von eTermin

Anbieter und Vertragspartner für deutsche Webseitenbetreiber bei der Nutzung der eTermin-Software ist nach den öffentlich zugänglichen Angaben:

• eTermin Limited (eTermin Ltd.), Stylianou Lena 8, 8201 Paphos Geroskipou, Zypern (Sitz innerhalb EU/EWR).
• Konzernverbund mit der eTermin GmbH, Mättivor 3, 6430 Schwyz, Schweiz (Schweiz: Drittland mit EU-Angemessenheitsbeschluss gemäß Beschluss 2000/518/EG).

Der Anbieter tritt nach den Hinweisen im Hilfecenter und in den Datenschutzbestimmungen für die Bereitstellung der Buchungssoftware als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für den Webseitenbetreiber auf; ein AVV kann mit eTermin abgeschlossen werden. Die endgültige Rolle ist im Einzelfall vom Webseitenbetreiber zu prüfen.

• Datenschutzhinweise: https://www.etermin.net/online-terminbuchung-datenschutz
• Impressum: https://www.etermin.net/impressum
• Hilfecenter zum Datenschutz: https://support.etermin.net/hc/de

D. Datenverarbeitung durch eTermin – Ablauf in Schritten

E. Durch eTermin erhobene Daten

Beim Einsatz von eTermin werden – je nach genutzter Funktion und Konfiguration des Buchungsformulars – typischerweise folgende Daten verarbeitet: IP-Adresse und übliche Webserver-Protokolldaten beim Aufruf des Widgets, Geräte- und Browserangaben, sowie die vom Nutzer im Buchungsformular eingegebenen Inhalte (z.B. Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Anschrift, gewünschte Dienstleistung, Wunschtermin, Anmerkungen). Bei Nutzung von Bestätigungs- oder Erinnerungslinks fallen ergänzende Webserver-Protokolldaten an; bei Conversion-Messung (z.B. „Buchung abgeschlossen") werden entsprechende Ereignisse erfasst.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Webserver bei jeder Anfrage vom Endgerät erhält, z.B. IP-Adresse, Datum/Uhrzeit, URL des angefragten Inhalts, Referrer, Browser-, Betriebssystem- und Geräteinformationen sowie technische Metadaten.
• Endgeräte-Daten: Angaben zum Endgerät, z.B. Gerätetyp, Betriebssystem, Bildschirmauflösung, Touch-Unterstützung.
• Browserinformationen: Browsername und -version, ggf. installierte Erweiterungen.
• Nutzer-Inhalte: Vom Nutzer in das Buchungsformular eingegebene Inhalte, z.B. Name, Anrede, E-Mail-Adresse, Telefonnummer, Anliegen, Anmerkungen sowie sonstige Pflicht- oder Wunschangaben.
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant festgelegte Nutzerinteraktionen, hier insbesondere die abgeschlossene Terminbuchung sowie Folgeereignisse wie Buchungsbestätigung oder Stornierung.

F. Nutzungszwecke beim Einsatz von eTermin

Der Webseitenbetreiber nutzt eTermin in erster Linie, um seinen Webseitenbesuchern eine effiziente, zeitsparende Terminvereinbarung zu ermöglichen, eingehende Termine strukturiert zu verwalten, Doppelbuchungen zu vermeiden und Erinnerungen automatisiert zu versenden. Die Buchungsdaten dienen dabei sowohl der Bereitstellung der Buchungsfunktion als auch der Anbahnung und Durchführung des nachfolgenden Vertrags- oder Behandlungsverhältnisses (z.B. Beratungsgespräch, ärztliche Behandlung, Werkstatttermin).

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Bereitstellung der Online-Terminbuchung mit eTermin auf der Webseite, einschließlich Anzeige verfügbarer Zeitfenster, Anlage der Buchung, Versand von Bestätigungs- und Erinnerungsnachrichten sowie Fehlererkennung und -behebung.
• Vertragsdurchführung: Vorbereitung und Abwicklung des dem Termin zugrunde liegenden Rechts- bzw. Behandlungsverhältnisses, einschließlich Buchungen und Erbringung der gebuchten Leistung.
• Sicherheit und Missbrauchsschutz: Erkennung und Verhinderung missbräuchlicher Buchungen, Bot- und Spamabwehr sowie Schutz der Buchungsinfrastruktur.
• Kommunikation: Kommunikation mit dem Nutzer im Zusammenhang mit der Terminvereinbarung, z.B. Bestätigungen, Erinnerungen und Stornierungsmitteilungen.
• Erfüllung von Aufbewahrungspflichten: soweit die Buchung Bestandteil eines Vertrags wird, der gesetzlichen Aufbewahrungsfristen unterliegt.
• Rechtsdurchsetzung: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, z.B. Nachweis einer erfolgten Buchung.

G. Rechtsgrundlagen für eTermin

eTermin fällt nach der Tool-Kategorisierung primär in die Kategorie Drittanbieter-Inhalte / Terminbuchung: Beim Einsatz des Buchungswidgets oder Buchungsbuttons werden Anfragen direkt an Server von eTermin geleitet, wodurch personenbezogene Daten an einen Drittanbieter übertragen werden.

Als Rechtsgrundlagen kommen je nach konkreter Einbindung typischerweise in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO (Drittanbieter-Inhalte-Einwilligung) – wenn das Widget erst nach aktiver Einwilligung im Consent-Banner geladen wird.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-durchführung) – soweit die Buchung der Anbahnung oder Durchführung eines Vertrags zwischen Nutzer und Webseitenbetreiber dient (z.B. Beratungs-, Behandlungs- oder Servicetermin).
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) – mit den Interessen Effizienz (medienbruchfreie, automatisierte Terminvereinbarung), Sicherheit und Missbrauchsschutz (z.B. Bot-/Spamabwehr) sowie Rechtsausübung (Nachweis der Buchung).
• Soweit der Buchungsvorgang Cookies oder ähnliche Technologien nutzt, die nicht unbedingt erforderlich sind, ist zusätzlich § 25 Abs. 1 TDDDG (Einwilligung) zu prüfen.

Welche Rechtsgrundlage einschlägig ist, hängt von der konkreten Einbindung (z.B. mit/ohne Consent-Gate), der Funktion (Buchungswidget vs. reiner Link) und dem zugrunde liegenden Vertragsverhältnis ab und ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu eTermin

• AVV / Auftragsverarbeitung: Nach den öffentlich zugänglichen Angaben des Anbieters tritt eTermin bei der Bereitstellung der Buchungssoftware als Auftragsverarbeiter auf; ein AVV nach Art. 28 DSGVO kann mit dem Anbieter abgeschlossen werden. Webseitenbetreiber sollten den AVV abschließen und in ihrem Verzeichnis von Verarbeitungstätigkeiten dokumentieren. Zugang über das eTermin-Hilfecenter bzw. den Vertrieb.
• Subprozessoren: eTermin nennt u.a. Zendesk Inc. (USA) als Subprozessor für Supportleistungen. Für die aktuelle, vollständige Subprozessorenliste ist die Anbieterdokumentation maßgeblich.
• Drittlandtransfer: Buchungsdaten werden nach Anbieterangaben in einem Rechenzentrum in Frankfurt am Main gespeichert. Beim Subprozessor Zendesk findet ein Transfer in die USA statt; als Garantie kommen Standardvertragsklauseln (Art. 46 DSGVO) zum Einsatz; eine etwaige DPF-Zertifizierung von Subprozessoren ist im Einzelfall zu prüfen.
• Konzernstruktur Schweiz: Die mit der eTermin Ltd. verbundene eTermin GmbH hat ihren Sitz in der Schweiz. Die Schweiz ist nach EU-Angemessenheitsbeschluss ein als sicher eingestuftes Drittland; Übermittlungen an eine schweizerische Konzerngesellschaft sind grundsätzlich auf dieser Grundlage zulässig, im Einzelfall aber zu prüfen.
• Einstellungen für den Webseitenbetreiber: Der Webseitenbetreiber sollte (i) das Buchungsformular auf das datenschutzrechtlich Erforderliche beschränken (Art. 5 Abs. 1 lit. c DSGVO – Datenminimierung), (ii) Pflicht- und Wunschfelder klar trennen, (iii) Aufbewahrungs- und Löschfristen im Backend konfigurieren, (iv) bei Einbindung als iFrame ein Consent-Gate vorschalten, sofern die Einbindung erst nach Einwilligung erfolgen soll, und (v) bei sensiblen Buchungskontexten (z.B. Arzttermine mit Hinweis auf Fachrichtung) Art. 9 DSGVO gesondert prüfen.
• Opt-Out für Endnutzer: Endnutzer können auf eine Buchung verzichten oder den Webseitenbetreiber direkt kontaktieren; eine Buchung ohne Datenangabe ist systembedingt nicht möglich.

I. FAQ zu eTermin und Datenschutz

J. Fazit zu eTermin und Empfehlung

eTermin ist ein im DACH-Raum verbreitetes Online-Terminbuchungssystem, das vom Webseitenbetreiber typischerweise als Buchungs-iFrame oder Buchungsbutton in die eigene Webseite eingebunden wird. Verarbeitet werden vor allem Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen, die Nutzer-Inhalte aus dem Buchungsformular sowie Conversion-Ereignisse rund um die Buchung. Vertragspartner für deutsche Webseitenbetreiber ist nach öffentlich zugänglichen Angaben die eTermin Limited mit Sitz in Zypern; die Buchungsdaten werden in einem Rechenzentrum in Frankfurt am Main gespeichert, wobei vereinzelt Subprozessoren in Drittländern (z.B. Zendesk in den USA) eingebunden sind.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, für jedes einzelne Tool – auch für eTermin – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar und steht im Spannungsverhältnis zum Transparenzgebot des Art. 12 Abs. 1 DSGVO. Ein strukturierter, themenorientierter Ansatz ist sachgerechter: Tools werden nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Terminbuchung, Newsletter, Verkauf …) übergreifend erklärt; eTermin erscheint dann lediglich im Anhang „Empfänger" als konkret eingesetzter Dienstleister mit Firmensitz, Rolle und Drittlandhinweis. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com