jameda und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber jameda auf seiner Praxis- oder Unternehmensseite ein, verarbeitet er regelmäßig Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen, grobe Standortdaten sowie – bei der Online-Terminbuchung – Nutzer-Inhalte (Buchungsformulardaten und ggf. Gesundheitsdaten) zum Zweck der Bewertungsanzeige und Terminvereinbarung. Die Rechtsgrundlagen reichen je nach Integrationsform von der Drittanbieter-Inhalte-Einwilligung über die Vertragsanbahnung bis hin zur ausdrücklichen Einwilligung in die Verarbeitung sensibler Daten nach Art. 9 Abs. 2 lit. a DSGVO. Diese Seite erklärt, welche Datenverarbeitungen jameda nach Angaben des Anbieters auslöst und welche Pflichtangaben die Datenschutzerklärung der einbindenden Webseite dazu enthalten muss.

A. Zweck und Funktionsweise von jameda

jameda ist ein deutsches Online-Verzeichnis für Ärztinnen, Ärzte und weitere Gesundheitsberufe und kombiniert ein Bewertungsportal mit einer Online-Terminbuchung. Betrieben wird der Dienst von der jameda GmbH, München, einer 100-prozentigen Tochter der DocPlanner-Gruppe. Patientinnen und Patienten suchen über jameda nach Behandlern, lesen Bewertungen und buchen Termine; Praxen pflegen ihr Profil und können das Tool zur Patientenakquise und Termindisposition einsetzen.

Für Webseitenbetreiber – typischerweise Arztpraxen, Zahnarztpraxen, Therapiepraxen, MVZ – relevant sind drei Integrations-Funktionen, die direkt in die eigene Webseite eingebettet werden:

• jameda-Bewertungs-Siegel/Widget: Ein per JavaScript nachgeladener Baustein, der die aktuelle Bewertung und Sterne-Anzahl aus dem jameda-Profil auf der Praxis-Webseite darstellt.
• Online-Terminbuchungs-iframe ("Termin online buchen"): Ein in die Webseite eingebetteter Buchungsdialog, in dem der Webseitenbesucher Termin, Behandlungsanlass und Kontaktdaten eingibt. Die Eingaben werden an die jameda-Infrastruktur übermittelt und mit dem Praxiskalender synchronisiert.
• Direktverlinkung auf das jameda-Profil: Ein einfacher Hyperlink (Button "Auf jameda bewerten" o. ä.). Hier werden ohne aktiven Klick keine Daten an jameda übertragen; die folgende Darstellung fokussiert daher auf die ersten beiden Integrationsformen.

Funktionen, die jameda darüber hinaus außerhalb der Webseiten-Einbindung anbietet (z. B. das öffentliche jameda-Portal, Profilverwaltung im Praxisbereich praxis.jameda.de, Videosprechstunde, App), sind nicht Gegenstand dieser Tool-Seite.

B. Pflichtangaben in der Datenschutzerklärung bei Einsatz von jameda

Die DSGVO verlangt für die Datenschutzerklärung der einbindenden Webseite über die allgemeinen Angaben hinaus tool-bezogene Pflichtinformationen. In Bezug auf jameda sind das insbesondere die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO) und – bei einer Stützung auf Art. 6 Abs. 1 lit. f DSGVO – die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO).

Hinzu kommen die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO), Angaben zu etwaigen Drittlandtransfers (Art. 13 Abs. 1 lit. f DSGVO), die Speicherdauer bzw. die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO) sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO). Im Folgenden werden diese Punkte für jameda aufgeschlüsselt.

In der Praxis hat sich eingebürgert, jedes Tool – also auch jameda – mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen. Das ist nicht erforderlich und führt zu langen, unübersichtlichen Dokumenten, die sich inhaltlich wiederholen und dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegenstehen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Drittanbieter-Inhalte, Terminbuchung, Bewertungen) beschreibt und die konkret eingesetzten Dienstleister – darunter jameda – im Anhang Empfänger der Datenschutzerklärung auflistet.

C. Anbieter von jameda

Vertragspartner für deutsche Webseitenbetreiber, die jameda einbinden, ist nach den öffentlich zugänglichen Angaben:

• Firma: jameda GmbH
• Anschrift: Balanstraße 71a, 81541 München, Deutschland
• Sitzland: Deutschland (EU)
• Handelsregister: Amtsgericht München, HRB 168659
• Konzern: seit 2022 100-prozentige Tochter der DocPlanner-Gruppe (Muttergesellschaft mit Sitz in Warschau, Polen)
• Datenschutzkontakt: datenschutz@jameda.de
• Datenschutzerklärung des Anbieters: https://www.jameda.de/datenschutz/

Da der Sitz innerhalb der EU liegt, ist eine Drittlandübermittlung im Sinne von Art. 44 ff. DSGVO bei der unmittelbaren Einbindung der jameda-Komponenten in die Webseite nicht ersichtlich. Eine Verarbeitung durch konzernverbundene Gesellschaften der DocPlanner-Gruppe (Polen, EU) ist möglich; ob und in welchem Umfang Subprozessoren außerhalb der EU eingesetzt werden, ist vom Webseitenbetreiber im Einzelfall zu prüfen. Eine DPF-Zertifizierung (EU-US Data Privacy Framework) ist mangels US-Bezug nicht einschlägig.

D. Datenverarbeitung bei jameda – Ablauf in Schritten

E. Erhobene Daten bei jameda

Beim Einsatz des jameda-Widgets und des Online-Terminbuchungs-iframes werden nach den öffentlich zugänglichen Angaben des Anbieters insbesondere folgende konkrete Daten erhoben: IP-Adresse, Datum und Uhrzeit der Anfrage, URL der einbindenden Seite, Referrer, Browsertyp und -version, Betriebssystem, Gerätetyp, Bildschirmgröße, sowie – beim Termin-iframe – die im Buchungsformular eingegebenen Daten (Name, Kontaktdaten, gewünschter Termin, Behandlungsanlass und ggf. weitere Patientenangaben). jameda kann dabei Cookies setzen.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der jameda-Server bei jeder Anfrage erhält, insbesondere IP-Adresse, Datum/Uhrzeit/Zeitzone, URL des angefragten Inhalts, Referrer, Informationen zu Browser, Betriebssystem und Gerät sowie ergänzende technische Metadaten wie Statuscode und übertragene Datenmenge.
• Endgeräte-Daten: Angaben zum Endgerät, z. B. Gerätetyp, Betriebssystem, Bildschirmauflösung, Ausrichtung, Touch-Unterstützung.
• Browserinformationen: Browsername und -version sowie ggf. installierte Erweiterungen.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter grober Standort auf Stadt- oder Gemeindeebene.
• Nutzer-Inhalte: Vom Nutzer im Termin-Buchungsformular eingegebene Inhalte, z. B. Name, Geburtsdatum, Kontaktdaten, gewählter Termin, Behandlungsanlass, Anmerkungen.
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant festgelegte Nutzerinteraktionen, insbesondere Terminbuchung und Kontaktanfrage.

F. Nutzungszwecke beim Einsatz von jameda

Der Webseitenbetreiber nutzt jameda typischerweise dazu, Bewertungen aus dem jameda-Profil prominent auf der eigenen Webseite darzustellen, Vertrauen aufzubauen und Webseitenbesuchern eine niederschwellige Online-Terminbuchung anzubieten. Die durch das Widget und den iframe erhobenen Daten dienen unmittelbar der Anzeige aktueller Bewertungen sowie der Durchführung und Dokumentation der Buchung.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Erbringung der Funktionalität der Webseiten-Komponenten, insbesondere Darstellung des Bewertungs-Widgets und Bereitstellung des Online-Terminbuchungsdialogs.
• Vertragsdurchführung: Vorbereitung und Durchführung des Behandlungsvertrags zwischen Praxis und Patient, insbesondere Terminbuchung, Terminerinnerungen und ggf. Stornierung.
• Sicherheit und Missbrauchsschutz: Erkennung und Abwehr unzulässiger Nutzungen, Bot- und Spam-Abwehr im Buchungsformular.
• Kommunikation: Kommunikation mit dem Patienten im Rahmen der Terminbuchung (Buchungsbestätigung, Erinnerung).
• Allgemeine Produktverbesserung: Reichweitenanalyse der eigenen Webseite anhand der Nutzung der jameda-Komponenten, Optimierung der Patientenakquise.

G. Rechtsgrundlagen für den Einsatz von jameda

jameda fällt mit Blick auf die Webseiten-Einbindung primär in die Tool-Kategorien Drittanbieter-Inhalte (Bewertungs-Widget) und Terminbuchung (Online-Terminbuchungs-iframe). Die Einordnung kann je nach konkreter Integration variieren und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

Folgende Rechtsgrundlagen kommen typischerweise in Betracht:

• Bewertungs-Widget (Drittanbieter-Inhalt): Da das Widget bei Seitenaufruf eine direkte Verbindung zu jameda-Servern auslöst und dabei Webserver-Protokolldaten an einen Dritten übertragen sowie regelmäßig Cookies gesetzt werden, kommt regelmäßig eine Einwilligung des Webseitenbesuchers gem. Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Drittanbieter-Inhalte-Einwilligung über das Consent-Banner) in Betracht. Alternativ wird in der Literatur zum Teil ein berechtigtes Interesse an Effizienz (Art. 6 Abs. 1 lit. f DSGVO) diskutiert; dies ist umstritten – Einwilligung ist der praktikablere Weg.
• Online-Terminbuchungs-iframe: Für die zur Buchung erforderlichen Eingaben (Stammdaten, Wunschtermin) kommt die Vertragsanbahnung bzw. -durchführung gem. Art. 6 Abs. 1 lit. b DSGVO in Betracht. Soweit die Einbindung des iframes selbst (technisches Nachladen, Cookies) zustimmungspflichtig ist, ist zusätzlich die Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG einschlägig.
• Verarbeitung von Gesundheitsdaten: Soweit im Buchungsformular Gesundheitsdaten anfallen (Behandlungsanlass, Praxiskontext), ist regelmäßig die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO erforderlich. Im Behandlungskontext kann zudem Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge, medizinische Diagnostik, Versorgung) einschlägig sein.
• Bewertungsanzeige (rein darstellend, ohne Tracking): Bei datensparsamer, lokaler Einbindung ohne Drittserver-Aufruf kann ein berechtigtes Interesse an Effizienz (Art. 6 Abs. 1 lit. f DSGVO) tragen.

H. Besonderheiten und Hinweise zu jameda

• AVV (Auftragsverarbeitung): Nach den öffentlich zugänglichen Angaben bietet die jameda GmbH für das Bewertungs-Widget keinen Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO an. Die Rolle des Anbieters wird in der Literatur eher als die eines eigenständig Verantwortlichen für seine eigene Datenverarbeitung (Auslieferung des Widgets, Reichweitenmessung) beschrieben. Für die Online-Terminbuchung ist die Rolle ebenfalls vom Webseitenbetreiber im Einzelfall zu prüfen; in Betracht kommen Auftragsverarbeitung (Art. 28 DSGVO) für die Verwaltung des Praxiskalenders sowie eigenständige Verantwortlichkeit für die Plattformnutzung. Einen AVV stellt der Webseitenbetreiber direkt bei der jameda GmbH an (datenschutz@jameda.de).
• Joint Controller: Eine Joint-Controller-Konstellation (Art. 26 DSGVO) ist nach den öffentlich zugänglichen Angaben für das Bewertungs-Widget nicht ausdrücklich vereinbart. Je nach Ausgestaltung der Online-Terminbuchung – insbesondere bei gemeinsamer Festlegung von Zwecken und Mitteln zwischen Praxis und jameda – kann eine gemeinsame Verantwortlichkeit in Betracht kommen; dies ist vom Webseitenbetreiber im Einzelfall zu prüfen.
• Drittlandtransfer: Da der Anbieter seinen Sitz in München (Deutschland, EU) hat und die Mutter DocPlanner in Warschau (Polen, EU), sind nach den öffentlich zugänglichen Angaben keine Drittlandtransfers im Sinne von Art. 44 ff. DSGVO ersichtlich. Subprozessoren (z. B. für Hosting, E-Mail-Versand, Telefonie) sind beim Anbieter zu erfragen.
• Cookies: jameda kann nach den öffentlich zugänglichen Angaben Cookies im Browser des Webseitenbesuchers setzen. Webseitenbetreiber sollten die Einbindung des Widgets über ein Consent-Management-System steuern, sodass das Widget erst nach erteilter Einwilligung nachgeladen wird.
• Patientendaten / Berufsrecht: Bei der Online-Terminbuchung sind neben der DSGVO die ärztliche Schweigepflicht (§ 203 StGB), das Berufsrecht (z. B. § 9 MBO-Ä) und die Vorgaben der jeweiligen Landesärztekammer zu beachten. Die Einbindung sollte so gestaltet sein, dass nur die für die Terminvergabe erforderlichen Daten erhoben werden (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).
• Einstellungen für den Webseitenbetreiber: Im Praxisbereich praxis.jameda.de lassen sich Buchungsformularfelder, Pflichtangaben und Behandlungsanlässe konfigurieren. Empfehlenswert ist eine zurückhaltende Konfiguration der Pflichtfelder zur Vermeidung unnötiger Erhebung von Gesundheitsdaten.
• BGH-Rechtsprechung: Der Bundesgerichtshof hat im Februar 2022 entschieden, dass das Geschäftsmodell von jameda als solches – also die portalseitige Datenverarbeitung gegenüber Ärzten – auf berechtigte Interessen gestützt werden kann (Urt. v. 15.02.2022, Az. VI ZR 692/20). Diese Entscheidung betrifft das Verhältnis Arzt/jameda und ist nicht ohne Weiteres auf die Frage übertragbar, ob die Einbindung des Widgets auf der Praxis-Webseite ohne Einwilligung des Webseitenbesuchers zulässig ist – dort gelten die allgemeinen Grundsätze für Drittanbieter-Inhalte und § 25 TDDDG.

I. FAQ zu jameda und Datenschutz

J. Fazit zu jameda und Call-to-Action

jameda ist für Praxis-Webseiten ein etabliertes Tool zur Anzeige von Bewertungen und zur Online-Terminbuchung, bringt datenschutzrechtlich aber mehrere Schichten mit sich: Drittanbieter-Inhalte (Widget) mit Cookie- und Tracking-Komponente, Vertragsanbahnung (Buchung) und – besonders sensibel – mögliche Verarbeitung von Gesundheitsdaten gem. Art. 9 DSGVO. Webseitenbetreiber müssen deshalb sowohl den technischen Datenfluss zum Anbieter als auch die fachliche Sensibilität der Buchungsdaten in der Datenschutzerklärung sauber abbilden.

Es ist meist wenig sinnvoll, jedes Tool – also auch jameda – mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen. Solche Textbaustein-Sammlungen werden lang, unübersichtlich, schwer pflegbar und widersprechen tendenziell dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Verarbeitungen nach Themenblöcken (Drittanbieter-Inhalte, Terminbuchung, Bewertungen, Tracking) übergreifend erklärt und nur im Anhang Empfänger auf einzelne Tools wie jameda verweist. Genau diese Methodik verfolgt der matterius-Datenschutzerklärungs-Generator.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com