Informationspflicht (ambulant)

Informationspflicht bei der Erhebung personenbezogener Daten

Für ambulante Patienten

Im Rahmen Ihrer Behandlung bzw. Versorgung ist es erforderlich, personenbezogene und auch medizinische Daten über Ihre Person zu verarbeiten. Da die Vorgänge sowohl innerhalb unserer Ambulanz/ unseres MVZ als auch im Zusammenspiel mit weiteren an Ihrer Behandlung beteiligten Personen/Institutionen des Gesundheitswesens nicht leicht zu überblicken sind, haben wir für Sie die nachfolgenden Informationen zusammengestellt:

Wer ist verantwortlich für Ihre personenbezogenen Daten?

BlausteinPRAXEN – Praxisgemeinschaft Dr. Munteanu, Dr. Zimmermann, Gefäß- und Hautzentrum MVZ, bestehend aus:

  • Chirurgische Praxis Dr. med. Armando Munteanu
  • Chirurgische Praxis Dr. med. Julian Zimmermann
  • Gefäß- und Hautzentrum medizinisches Versorgungszentrum GmbH

Anschrift der BlausteinPRAXEN:
Erhard-Grözinger-Straße 102
89134 Blaustein

Zwecke, für die Ihre personenbezogenen Daten verarbeitet werden:

Im Rahmen Ihrer Behandlung werden Daten über Ihre Person, Ihren sozialen Status sowie die für die Behandlung notwendigen medizinischen Daten erhoben, erfasst, gespeichert, verarbeitet, abgefragt, genutzt, übermittelt usw. Insgesamt spricht man von der „Verarbeitung“ Ihrer Daten. Dieser Begriff der „Verarbeitung“ bildet den Oberbegriff über alle diese Tätigkeiten. Die Verarbeitung von Patientendaten ist uns aus Datenschutzgründen nur möglich, wenn eine gesetzliche Grundlage dies vorschreibt bzw. erlaubt oder Sie als Patient hierzu Ihre Einwilligung erteilt haben.

Für Ihre patientenbezogene Versorgung/Behandlung notwendig sind dabei insbesondere Verarbeitungen Ihrer Daten aus präventiven, diagnostischen, therapeutischen, kurativen und auch nachsorgenden Gründen. Ebenso erfolgen Verarbeitungen – im Sinne einer bestmöglichen Versorgung – im Hinblick auf interdisziplinäre Konferenzen zur Analyse und Erörterung von Diagnostik und Therapie, zur Vor-, Mit-, Weiterversorgung bzgl. Diagnostik, Therapie, Befunden sowie Krankheits-/Vitalstatus. Daneben werden Arztbriefe/Berichte geschrieben und es erfolgen Verarbeitungen aus Qualitätssicherungsgründen, zum Erkennen und Bekämpfen von Infektionen.

Neben diesen patientenbezogenen Verarbeitungen bedarf es auch einer verwaltungsmäßigen Abwicklung Ihrer Behandlung. Dies bedingt im Wesentlichen die Verarbeitung Ihrer Daten zur Abrechnung Ihrer Behandlung, aus Gründen des Controllings / der Rechnungsprüfung, zur Geltendmachung, Ausübung sowie Verteidigung von Rechtsansprüchen usw.. Ferner erfolgen Datenverarbeitungen zu Zwecken der Ausbildung, der Fort- und Weiterbildung von Ärzten und von Angehörigen anderer Berufe des Gesundheitswesens, zur Forschung oder zu gesetzlich vorgesehenen Meldepflichten (z.B. an staatliche Gesundheitsämter aufgrund des Infektionsschutzgesetzes, an Krebsregister) sowie nicht zuletzt aus Gründen der Betreuung und Wartung von IT-Systemen und Anwendungen usw.

Von wem erhalten wir Ihre Daten?

Die entsprechenden Daten erheben wir grundsätzlich – sofern möglich – bei Ihnen selbst. Teilweise kann es jedoch auch vorkommen, dass wir von anderen Leistungserbringern, die etwa Ihre Erst- oder Vorbehandlung durchgeführt haben, von niedergelassenen Ärzten, Fachärzten, Medizinischen Versorgungszentren (sog. MVZ), Kliniken, usw., Sie betreffende personenbezogene Daten erhalten. Diese werden bei uns im Sinne einer einheitlichen Dokumentation mit Ihren übrigen Daten zusammengeführt.

Wer hat Zugriff auf Ihre Daten?

Die an Ihrer Behandlung beteiligten Personen haben Zugriff auf Ihre Daten, wozu etwa auch Ärzte zählen, die an einer fachübergreifenden Behandlung teilnehmen, oder die Verwaltung, die die Abrechnung Ihrer Behandlung vornimmt.

Ihre Daten werden von Fachpersonal oder unter dessen Verantwortung verarbeitet. Dieses Fachpersonal unterliegt entweder dem sog. Berufsgeheimnis oder einer Geheimhaltungspflicht.

Der vertrauliche Umgang mit Ihren Daten wird gewährleistet!

Rechtsgrundlage für die Verarbeitung Ihrer Daten

Die Grundlage dafür, dass wir Ihre Daten datenschutzrechtlich verarbeiten dürfen, ergibt sich hauptsächlich daraus, dass wir für die Versorgung und Behandlung von Patienten zuständig sind. Auf dieser Grundlage gibt es unterschiedliche Gesetze und Verordnungen, die uns eine Verarbeitung der Daten erlauben.

Genannt sei hier insbesondere die sog. EU Datenschutz-Grundverordnung (DS-GVO) / das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) / das Gesetz über den kirchlichen Datenschutz (KDG), z.B. Art. 6, 9 DS-GVO / §§ 6, 13 DSG-EKD / §§ 6, 11 KDG, die/das ausdrücklich regelt, dass Daten von Patienten verarbeitet werden dürfen. Daneben finden sich Grundlagen im deutschen Recht, etwa in dem Sozialgesetzbuch Fünftes Buch (SGB V), z.B. §§ 295, 301 SGB V, in dem Bundesdatenschutzgesetz (BDSG), insbesondere § 22 BDSG, und im Bürgerlichen Gesetzbuch (BGB) in den §§ 630 ff. BGB, die eine Verarbeitung Ihrer Daten voraussetzen.

Als Rechtsgrundlagen für die Verarbeitung seien hier beispielhaft genannt:

  • Datenverarbeitungen zum Zwecke der Durchführung sowie Dokumentation des Behandlungsgeschehens einschließlich des innerärztlichen und interprofessionellen Austauschs im Krankenhaus über den Patienten für die Behandlung (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO / § 13 Abs. 2 Ziff. 8, Abs. 3 DSG-EKD / § 11 Abs. 2h, Abs. 3 KDG i.V.m. §§ 630a ff., 630f BGB i.V.m. entsprechenden landesrechtlichen Regelungen sofern vorhanden),
  • Datenübermittlung an „Externe“ im Sinne einer gemeinsamen Behandlung (im Team), Zuziehung externer Konsiliarärzte, z.B. Labor, Telemedizin, sowie Zuziehung externer Therapeuten (Art. 9 Abs. 2h, Abs. 3 (, Abs. 4) DS-GVO / § 13 Abs. 2 Ziff. 8, Abs. 3 DSG-EKD / § 11 Abs. 2h, Abs. 3 KDG i.V.m. entsprechenden landesrechtlichen Regelungen sofern vorhanden),
  • Datenübermittlung an die gesetzlichen Krankenkassen zum Zwecke der Abrechnung (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO / § 13 Abs. 2 Ziff. 8, Abs. 3 DSG-EKD / § 11 Abs. 2h, Abs. 3 KDG i.V.m. § 301 SGB V),
  • Datenübermittlung zu Zwecken der Qualitätssicherung (Art. 9 Abs. 2i DS-GVO / § 13 Abs. 2 Ziff. 9 DSG-EKD / § 11 Abs. 2i KDG i.V.m. § 299 SGB V i.V.m. § 136 SGB V bzw. den Richtlinien des G-BA), usw.

Daneben sind Verarbeitungen auch in Fällen zulässig, in denen Sie uns Ihre Einwilligung erklärt haben.

Notwendigkeit der Angabe Ihrer Personalien

Die ordnungsgemäße administrative Abwicklung Ihrer Behandlung bedingt die Aufnahme Ihrer Personalien.

Mögliche Empfänger Ihrer Daten

Ihre Daten werden im Rahmen der Zweckbestimmung unter Beachtung der jeweiligen datenschutzrechtlichen Regelungen bzw. etwaiger vorliegender Einwilligungserklärungen erhoben und ggf. an Dritte übermittelt. Als derartige Dritte kommen insbesondere in Betracht:

  • gesetzliche Krankenkassen, sofern Sie gesetzlich versichert sind,
  • kassenärztliche Vereinigungen, sofern Sie gesetzlich versichert sind,
  • private Krankenversicherungen, sofern Sie privat versichert,
  • Unfallversicherungsträger,
  • Hausärzte,
  • weiter-, nach- bzw. mitbehandelnde Ärzte,
  • andere Einrichtungen der Gesundheitsversorgung oder Behandlung,
  • Rehabilitationseinrichtungen,
  • Pflegeeinrichtungen,
  • externe Datenverarbeiter (sog. Auftragsverarbeiter).

Terminvereinbarung über Doctolib (als externer Datenverarbeiter)

Für die optimale Terminverwaltung setzen wir das Terminmanagementsystem der Doctolib GmbH, Mehringdamm 51, 10961 Berlin) (nachfolgend: Doctolib) ein. Doctolib bietet uns einerseits ein modernes Kalendersystem und andererseits unseren Patienten die Möglichkeit, auf der Seite https://www.doctolib.de/ mit uns Termine online zu vereinbaren.

Für die online-Terminbuchung gelten die Datenschutzbestimmungen, die auf der Webseite doctolib.de verfügbar sind. Auch für Patienten ohne Nutzerkonto auf doctolib.de setzen wir das Doctolib Kalendersystem ein, um alle Termine einheitlich zu verwalten und uns in erster Linie auf unsere Patienten zu konzentrieren.  Doctolib verarbeitet sämtliche Daten nach allen geltenden Datenschutzvorschriften und wendet höchste Sicherheitsstandards an.

Für die Terminvereinbarung werden folgende Daten in den Doctolib Kalender eingetragen: Name, Vorname, Geburtsdatum, Anschrift, Telefonnummer, E-Mail Adresse, Hausarzt, Krankenkassenstatus, überweisender Arzt, Besuchsgrund und Terminhistorie. Doctolib selbst hat keine Einsicht darüber, bei welchem Arzt Sie behandelt werden. Diese Information hat nur Ihr Arzt selbst.

Ihre Daten werden für die Zwecke der Terminverwaltung erfasst, so wie es auch bisher bei uns der Fall war. Rechtsgrundlage für die Verarbeitung Ihrer Daten sind Art. 6 I b) DSGVO (der Behandlungsauftrag, den Sie uns erteilen), Art. 6 I a) DSGVO (Einwilligung für Terminerinnerungen per SMS und E-Mail) und Art. 9 II h) DSGVO (die Zwecke der Gesundheitsvorsorge).

Es erfolgt keine Weiterleitung der Daten durch Doctolib an kommerzielle Anbieter. Doctolib ist genau wir Ihr Arzt an die Schweigepflicht gebunden. Eine Entbindung von der Schweigepflicht ist nicht erforderlich.

Gemäß der DSGVO steht Ihnen jederzeit das Recht auf Auskunft, Berichtigung, Datenübertragung, Löschung oder Sperrung Ihrer Daten zu. Sie können, sofern einschlägig, der Verarbeitung widersprechen oder eine etwaige Einwilligung widerrufen. Sie haben außerdem das Recht, sich bei einer zuständigen Aufsichtsbehörde zu beschweren.

Um Terminausfälle zu vermindern, möchten wir Sie mittels des Doctolib Kalendersystems per SMS und/oder E-Mail an Ihren Termin erinnern. Mit Ihrer Unterschrift bestätigen Sie, dass Sie hiermit einverstanden sind. Wenn Sie keine Erinnerungen mehr erhalten möchten, teilen Sie uns das jederzeit mit und wir stellen die Erinnerungen wieder aus.

Digitale Formulare über Simpleprax (als externer Datenverarbeiter)

Es besteht die Möglichkeit, einzelne Formulare der Praxis (Patientenaufnahme, Dokumente und die allgemeine Datenerhebung) digital auszufüllen und an uns zu übermitteln. Für diese Funktion werden Ihre Patientendaten mithilfe des Unternehmens Simpleprax UG (haftungsbeschränkt), Stieglitzgasse 24, 85551 Kirchheim bei München (nachfolgend: Simpleprax) erhoben und gespeichert.

Mittels einer Ende-zu-Ende-Verschlüsselung wird sichergestellt, dass Simpleprax selbst zu keinem Zeitpunkt Zugriff auf die Patientendaten erhält. Simpleprax nutzt dabei ausschließlich eine in Deutschland gehostete Server-Infrastruktur.

Die von Ihnen eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt. Zwingende gesetzliche Bestimmungen, – insbesondere Aufbewahrungsfristen – bleiben unberührt.

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) mit dem oben genannten Anbieter geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Die Erfassung der vorgenannten Daten sowie die Weiterleitung an die Provider ist eine vorvertragliche Maßnahme, die zum Vertragsabschluss mit Ihrem jeweiligen Arzt verwendet wird (Art. 6 Abs. 1 S. 1 b) DSGVO).

Hier finden Sie die Datenschutzangaben von Simpleprax: https://simpleprax.de/legal/privacy/anamnese.app

Welche Daten werden im Einzelnen übermittelt?

Sofern Daten übermittelt werden, hängt es im Einzelfall vom jeweiligen Empfänger ab, welche Daten dies sind. Bei einer Übermittlung entsprechend §§ 295, 301 SGB V an Ihre Krankenkasse / die zuständige kassenärztliche Vereinigung handelt es sich zum Beispiel um folgende Daten:

  1. Name des Versicherten,
  2. Geburtsdatum,
  3. Anschrift,
  4. Krankenversichertennummer,
  5. Versichertenstatus,
  6. den Tag, die Uhrzeit und den Grund der Behandlung (Diagnosen).

Behandlung aufgrund ästhetischer Operationen, Tätowierungen oder Piercings

Für den Fall, dass eine Krankheit vorliegt, für die der Verdacht besteht, dass sie Folge einer medizinisch nicht indizierten ästhetischen Operation, einer Tätowierung oder eines Piercings ist, muss auch diesbezüglich eine Meldung an die Krankenkasse erfolgen.

Widerruf erteilter Einwilligungen

Wenn die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, die Sie uns gegenüber erklärt haben, dann steht Ihnen das Recht zu, Ihre Einwilligung jederzeit zu widerrufen. Diese Erklärung können Sie – schriftlich / per Mail / Fax – an uns richten. Einer Angabe von Gründen bedarf es dafür nicht. Ihr Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem uns dieser zugeht. Er hat keine Rückwirkung. Die Verarbeitung Ihrer Daten bis zu diesem Zeitpunkt bleibt rechtmäßig.

Wahrnehmung berechtigter Interessen

Sofern wir zur Durchsetzung unserer Ansprüche gegen Sie selbst oder Ihre Krankenkasse / kassenärztliche Vereinigung gezwungen sind, anwaltliche oder gerichtliche Hilfe in Anspruch zu nehmen, da die von uns gestellte Rechnung nicht beglichen wird, müssen wir (zu Zwecken der Rechteverfolgung) die dafür notwendigen Daten zu Ihrer Person und Ihrer Behandlung offenbaren.

Wie lange werden Ihre Daten gespeichert?

Wir sind gem. § 630f Bürgerliches Gesetzbuch (BGB) dazu verpflichtet, eine Dokumentation über Ihre Behandlung zu führen. Dieser Verpflichtung kann in Papierform oder elektronisch nachgekommen werden (Patientenakte). Diese Patientendokumentation wird auch nach Abschluss Ihrer Behandlung für lange Zeit verwahrt. Auch dazu sind wir gesetzlich verpflichtet.

Mit der Frage, wie lange die Dokumente im Einzelnen aufzubewahren sind, beschäftigen sich viele spezielle gesetzliche Regelungen. Zu nennen sind etwa das Strahlenschutzgesetz (StrlSchG), die Apothekenbetriebsordnung (ApBetrO), das Transfusionsgesetz (TFG) und viele mehr. Diese gesetzlichen Regelungen schreiben unterschiedliche Aufbewahrungsfristen vor.

Kommen keine speziellen gesetzlichen Fristen in Ihrem Behandlungsfall zum Tragen, verwahren wir die Aufzeichnungen generell 10 Jahre ab Behandlungsende, § 630f Abs. 3 BGB.

Recht auf Auskunft, Berichtigung, Löschung usw.

Ihnen stehen sog. Betroffenenrechte zu, d.h. Rechte, die Sie als im Einzelfall betroffene Person ausüben können. Diese Rechte können Sie gegenüber dem Krankenhausträger geltend machen. Sie ergeben sich aus der EU Datenschutz-Grundverordnung (DS-GVO) / dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) / dem Gesetz über den kirchlichen Datenschutz (KDG):

  • Recht auf Auskunft, Art. 15 DS-GVO / § 19 DSG-EKD / § 17 KDG

Sie haben das Recht auf Auskunft über die Sie betreffenden gespeicherten personenbezogenen Daten.

  • Recht auf Berichtigung, Art. 16 DS-GVO / § 20 DSG-EKD / § 18 KDG

Wenn Sie feststellen, dass unrichtige Daten zu Ihrer Person verarbeitet werden, können Sie Berichtigung verlangen. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt werden.

  • Recht auf Löschung, Art. 17 DS-GVO / § 21 DSG-EKD / § 19 KDG

Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, wenn bestimmte Löschgründe vorliegen. Dies ist insbesondere der Fall, wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind.

  • Recht auf Einschränkung der Verarbeitung, Art. 18 DS-GVO / § 22 DSG-EKD / § 20 KDG

Sie haben das Recht auf Einschränkung der Verarbeitung Ihrer Daten. Dies bedeutet, dass Ihre Daten zwar nicht gelöscht, aber gekennzeichnet werden, um ihre weitere Verarbeitung oder Nutzung einzuschränken.

  • Recht auf Widerspruch gegen unzumutbare Datenverarbeitung, Art. 21 DS-GVO / § 25 DSG-EKD / § 23 KDG

Sie haben grundsätzlich ein allgemeines Widerspruchsrecht auch gegen rechtmäßige Daten-verarbeitungen, die im öffentlichen Interesse liegen, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses einer Stelle erfolgen.

Beschwerde bei der Aufsichtsbehörde wegen Datenschutzverstößen

Unabhängig davon, dass es Ihnen auch freisteht, gerichtliche Hilfe in Anspruch zu nehmen, haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten datenschutzrechtlich nicht zulässig ist. Dies ergibt sich aus Art. 77 EU Datenschutz-Grundverordnung / § 46 DSG-EKD / § 48 KDG. Die Beschwerde bei der Aufsichtsbehörde kann formlos erfolgen.

Die Anschrift der für uns zuständigen Aufsichtsbehörde lautet:
Landesbeauftragter für den Datenschutz BW
Urbanstr. 32, 70182 Stuttgart
0711 / 615 541 0
poststelle@lfd.bwl.de

Datenschutzbeauftragter der BlausteinPRAXEN – Praxisgemeinschaft

Die BlausteinPRAXEN – Praxisgemeinschaft hat hat Maximilian Hartung zum Datenschutzbeauftragten bestellt. Seine Kontaktdaten lauten epost@datenschutz-agentur.de.

Menü