Patienteninformationen zum Datenschutz

Verantwortlichkeit für die Datenverarbeitung

Verantwortliche für die Datenverarbeitung: M.Sc.-Psych. Joanna Haas

Adresse: Sterngasse 1, 89073 Ulm

Telefon: 015207416188

Schutz Ihrer personenbezogenen Daten

Ich nehme den Schutz Ihrer personenbezogenen Daten sehr ernst. Sie sollen also wissen, wann, wie und welche Ihrer personenbezogenen Daten ich erhebe, speichere und nutze („verarbeiten“: Der zentrale Begriff der DS-GVO!).

Als psychotherapeutische Praxis unterliegt sie den Bestimmungen der EU-Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetzes-neu (BDSG-neu). Sofern es sich um Krankenbehandlung im Rahmen der Gesetzlichen Krankenversicherung (GKV), damit um eine Tätigkeit im Bereich des Sozialgesetzbuchs Fünftes Buch (Gesetzliche Krankenversicherung - SGB V) handelt, unterliegt sie überdies den Bestimmungen über den Sozialdatenschutz im Sozialgesetzbuch Allgemeiner Teil I (SGB I) und dem Zehnten Buch (SGB X).

Die psychotherapeutische Praxis hat technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass alle Vorschriften über den Datenschutz und die Schweigepflicht (§ 203 StGB) sowohl von mir als auch von dem externen Dienstleistern (sog. Auftragsverarbeiter) eingehalten werden.

Lassen Sie uns nun vorab einige Begriffsbestimmungen des Datenschutzes klären:

Begriffsbestimmungen

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Soweit ich Ihre Patientendaten verarbeiten, gehören diese ebenso zu den personenbezogenen Daten. Beispielsweise lässt der Name eines Ansprechpartners ebenso einen Rückschluss auf eine natürliche Person zu, wie seine E-Mail-Adresse. Auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten darstellen. Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, eine eventuelle Gewerkschafts-zugehörigkeit, die Gesundheit oder das Sexualleben. Ihre Gesundheitsdaten gehören also zu den besonderen (sensiblen) Daten.

Die DS-GVO definiert „Gesundheitsdaten“ (Art. 4 Nr. 15 DS-GVO) als „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;“ und versteht unter „Verarbeitung“ (Art. 4 Nr. 2 DS-GVO) „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“ …und bezeichnet als „Dritten“ (Art. 4 Nr. 10 DS-GVO) „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten“. Also: Dritter ist jede Person oder Stelle außerhalb der Verantwortlichen. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; kurz: Verantwortliche bin ich! Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer (Auftragsverarbeiter) für einen Auftraggeber (hier: ich). Der Auftragnehmer darf die personenbezogenen Daten nur nach Weisung des Auftraggebers verarbeiten. Die Verantwortung für den Datenumgang verbleibt beim Auftraggeber als Verantwortliche. Tatsächlich erhält der Auftragsverarbeiter keinen Zugriff auf Ihre personenbezogenen (besonderen) Daten, sondern nur auf die pseudonymisierten Daten.

Erhebung personenbezogener Daten bei informatorischer Nutzung

Bei der bloß informatorischen Nutzung der Website, also wenn Sie sich nicht zur Nutzung der Website anmelden, registrieren oder uns sonst Informationen übermitteln, erhebe ich keine personenbezogenen Daten, mit Ausnahme der Daten, die Ihr Browser übermittelt, um Ihnen den Besuch der Webseite zu ermöglichen. Diese sind

(1) IP-Adresse (Abkürzung für Internet-Protocol-Adresse: normierte Ziffernfolge, über die jeder Rechner in einem Netzwerk identifiziert werden kann)

(2) Datum und Uhrzeit der Anfrage,

(3) Zeitzonendifferenz zur Greenwich Mean Time (GMT),

(4) Inhalt der Aufforderung,

(5) Zugriffsstatus/http-Statuscode,

(6) Jeweils übertragene Datenmenge,

(7) Website, von der die Anforderung kommt,

(8) Browser Betriebssystem und dessen Oberfläche,

(9) Sprache und Version der Browsersoftware.

Ein Datenschutzbeauftragter für die Einzelpraxis ist nicht erforderlich.

Ihre Rechte

Sie haben das Recht auf Auskunft gem. Art. 15 ff. DS-GVO und gem. §§ 32 ff. BDSG-neu über die von der Praxis zu Ihrer Person gespeicherten personenbezogenen Daten.

Stellen Sie einen solchen Antrag, ist Ihre Identität zweifelsfrei festzustellen. Hierzu ist eine Kopie Ihres Personalausweises anzufordern, aus der sich Name, Anschrift und Geburtsdatum entnehmen lässt. Es werden ausschließlich Ausweiskopien in Papierform akzeptiert, ein Einscannen ist nicht gestattet. Die Ausweiskopie ist nach der Auskunft unverzüglich datenschutzkonform zu vernichten. Die unentgeltliche Auskunftserteilung erfolgt auf schriftlichem Weg und beinhaltet, neben den zur Person gespeicherten Daten, auch die Empfänger von Daten sowie den Zweck der Speicherung.

Sie haben einen Anspruch auf Berichtigung Ihrer personenbezogenen Daten, wenn sich diese als unrichtig erweisen. Ihre personenbezogenen Daten sind unter den folgenden Voraussetzungen zu löschen:

(1) ihre Speicherung ist unzulässig, oder

(2) es handelt sich um besondere personenbezogene Daten, deren Richtigkeit nicht bewiesen werden kann, oder

(3) die Kenntnis der Daten ist für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich.

An die Stelle einer Löschung muss allerdings eine Sperrung/Einschränkung von Daten treten, wenn

(1) eine Kenntnis der Daten für die Erfüllung des Zwecks der Speicherung zwar nicht mehr erforderlich ist, jedoch gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen (bspw. nach dem Patientenrechtegesetz, insbesondere § 630 f Abs. 3 BGB: Aufbewahrungspflicht von zehn Jahren ab Beendigung der Psychotherapie; siehe auch § 84 Abs. 3 SGB X, § 13 Abs. 4 Satz 2 TMG, Art. 16, 17 Abs. 3 Buchstabe c DS-GVO).

Sollte eine Stelle Informationen über Sie fordern, ist eine Weitergabe von Informationen nur zulässig, wenn

(1) die Auskunft fordernde Stelle ein berechtigtes Interesse hierfür darlegen kann,

(2) eine gesetzliche Norm zur Auskunft verpflichtet,

(3) die Identität des Anfragenden oder der anfragenden Stelle zweifelsfrei feststeht oder/und

(4) Ihre schriftliche Einwilligung vorliegt.