Hinweise zum Datenschutz

Gemeinsame Hinweise zum Datenschutz
www.doccuraplus.de und www.app.doccuraplus.de

für die Website Doccuraplus „www.doccuraplus.de“ und die Videokommunikationsplattform app.doccuraplus.de. (zusammen: doccura+)

Hinweis: Aus Gründen der besseren Lesbarkeit wird bei Personenbezeichnungen männliche Form verwendet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter. Die verkürzte Sprachform hat nur redaktionelle Gründe und beinhaltet keine Wertung.

 

Auf Grund der Vorgaben der Europäischen Datenschutz-Grundverordnung (nachfolgend „DSGVO“) sind wir dazu verpflichtet, Sie umfassend über die Verarbeitung personenbezogener Daten bei Nutzung unseres Leistungsangebots doccura+ sowie über Ihre Rechte als Nutzer zu informieren. Insbesondere haben wir Sie über die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten und die Art der zu verarbeitenden Daten in Kenntnis zu setzen.


1. Einführung/Grundlagen

 

1.1   Geltungsbereich

Diese Datenschutzhinweise beziehen sich auf die Webseite doccura+ www.doccuraplus.de sowie die Videokommunikationsplattform zur Durchführung von Videosprechstunden unter app.doccuraplus.de.

1.2 Grundsätze unseres Handelns

Wir, die Bayerische TelemedAllianz GmbH, als die verantwortliche Stelle (s. Ziffer3.1), nehmen den Schutz Ihrer Daten sehr ernst und setzen alles daran, den Schutz personenbezogener Daten jederzeit und umfassend gemäß gesetzlicher Vorgaben sicherzustellen.


1.3   Grundlagen der Verarbeitung personenbezogener Daten bei doccura+

  1. Eine Verarbeitung personenbezogener Daten bei der Nutzung von doccura+ erfolgt ausschließlich gemäß den Bestimmungen der DSGVO. Demnach ist eine Verarbeitung personenbezogener Daten insbesondere dann zulässig, wenn dies eine Rechtsgrundlage gestattet.

    Im Falle von doccura+ ist die Rechtsgrundlage für die Verarbeitung personenbezogener Daten die Erfüllung des Nutzungsbedingungen, den Sie zur Nutzung der Plattform doccura+ mit uns durch Zustimmung zu diesen abschließen. Die entsprechende Rechtsvorschrift ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
    Soweit weitere Rechtsgrundlagen einschlägig sind – insbesondere nach Art. 6 Abs. 1 DSGVO – wird im Folgenden gesondert darauf hingewiesen.

    Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Beispiele hierfür sind Name, Adresse oder E-Mail-Adresse.

    Zweckgebundene Daten-Verwendung: Wir beachten den Grundsatz der zweckgebundenen Daten-Verwendung und erheben, verarbeiten und speichern Ihre personenbezogenen Daten nur für die Zwecke, für die Sie sie uns mitgeteilt haben. Eine Weitergabe Ihrer persönlichen Daten an Dritte erfolgt ohne Ihre ausdrückliche Einwilligung nicht, sofern dies nicht zur Erbringung der Dienstleistung oder zur Vertragsdurchführung wie z.B. die Durchführung der Videosprechstunde notwendig ist. Auch die Übermittlung an auskunftsberechtigte staatliche Institutionen und Behörden erfolgt nur im Rahmen der gesetzlichen Auskunftspflichten oder wenn wir durch eine gerichtliche Entscheidung zur Auskunft verpflichtet werden.
    Wir haben technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit getroffen. Diese Maßnahmen dienen unter anderem der Vermeidung eines unerlaubten Zugriffs auf die von uns genutzten technischen Einrichtungen und dem Schutz Ihrer personenbezogenen Daten vor unerlaubter Kenntnisnahme durch Dritte. Die technischen und organisatorischen Maßnahmen werden beständig weiterentwickelt und dem aktuellen Stand der Technik entsprechend jeweils angepasst.
    Um unberechtigte Zugriffe Dritter auf Ihre persönlichen Daten zu verhindern, wird die Kommunikation zwischen Leistungserbringer und Patient verschlüsselt.

    2.   Wir verwenden die von Ihnen mitgeteilten Daten ausschließlich zur Erfüllung und Abwicklung der von uns bereit gestellten Dienstleistungen.

    3.   Die von uns beauftragten Dienstleistungsunternehmen sind von uns zur Verschwiegenheit und zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet worden. Hierzu haben wir Auftragsdaten-verarbeitungs Verträge mit den Dienstleistern geschlossen, um den Schutz personenbezogener Daten bei Verarbeitungstätigkeiten sicherzustellen.

    4.   Unsere Mitarbeiter sind auf die Einhaltung datenschutzrechtlicher Bestimmungen verpflichtet und werden regelmäßig zum Thema Datenschutz im Allgemeinen und dem Umgang mit personenbezogenen Daten im Besonderen geschult.


1.4   Zertifizierung (Platzhalter bis zum Abschluss der Zertifizierung)
Die Videosprechstunde unter app.doccuraplus.de entspricht den Anforderungen der Anlage 31b Bundesmantelvertrag Ärzte (BMV-Ä). Die Erfüllung der hierin genannten Anforderungen an Datenschutz und Datensicherheit wurde von einer unabhängigen Stelle geprüft und bescheinigt. Auf dieser Grundlage ist die Videosprechstunden bei der Kassenärztlichen Bundesvereinigung als zertifiziertes Leistungsangebot gelistet und für den Einsatz im Gesundheitswesen zugelassen.

2. doccura+ im Überblick
Unter der Bezeichnung doccura+ stellt die Bayerische TelemedAllianz GmbH (BTA) eine Online-Plattform, die Leistungserbringer wie Ärzte oder Therapeuten und Patienten zusammenbringt und die rechtskonforme Durchführung medizinischer und therapeutischer Beratungen ermöglicht.

Die Plattform beinhaltet folgende wesentlichen Funktionalitäten:
•   Digitaler patientenbezogener Dokumentenspeicher
•   Terminbuchungs- und Verwaltungssystem
•   Ende-zu-Ende-verschlüsselte Videosprechstunde
•   Ausstellung elektronischer Rezepte und Arbeitsunfähigkeitsbescheinigungen

Die Nutzung von doccura+ ist von beliebigen stationären oder mobilen Endgeräten aus möglich.
Doccura+ ist ein „patientenzentriertes“ System. Dies bedeutet, dass sich Patienten mit einem Wunsch nach einer ärztliche/therapeutischen Beratung in einem Online- Terminbuchungssystem eigenständig einen Beratungstermin reservieren können und zur gewünschten bzw. bestätigten Zeit von einem in einem Ärztepool befindlichen Leistungserbringer in einem „virtuellen Wartezimmer“ zur Durchführung einer Videosprechstunde abgeholt werden.

Es wird darauf hingewiesen, dass die Bayerische TelemedAllianz GmbH im Rahmen von doccura+ ausschließlich und lediglich eine technische Infrastruktur bereitstellt und betreut. Verantwortlich für die inhaltliche Durchführung der Videosprechstunden bzw. der medizinischen und therapeutischen Beratungen und Dokumentationen sind ausschließlich die jeweiligen an doccura+ teilnehmenden Leistungserbringer. Ein Behandlungsvertrag kommt ausschließlich zwischen Leistungserbringer und Patient zustande. Die Bayerische TelemedAllianz GmbH übernimmt keine Abrechnungsleistungen. Ein Leistungserbringer kann bei Kassenpatienten seine Leistungen über die für ihn zuständig Kassenärztliche Vereinigung abrechnen. Bei Erbringung einer Privatleistung wird der Leistungserbringer nach Zustimmung des Patienten eine Privatrechnung direkt an den Patienten stellen. Ebenso greift die Bayerische TelemedAllianz GmbH zu keinem Zeitpunkt in administrative oder die Behandlung bezogene Prozesse zwischen Leistungserbringer und Patienten ein.

2.1   Unterscheidungen

Doccura+ umfasst zwei Bereiche

2.1.1 www.doccuraplus.de
Die Webseite www.doccuraplus.de ist ein frei zugängliches Informationsangebot und bietet die Möglichkeit, über ein Kontaktformular mit uns in Verbindung zu treten sowie einen Newsletter zu bestellen. Dieser Bereich ist nicht Bestandteil eines telemedizinischen Beratungsangebots z.B. über die Videosprechstunde.

2.1.2 www.app.doccuraplus.de
Hierbei handelt es sich um den Bereich des telemedizinischen Beratungsangebots per Videosprechstunde. Die Videosprechstunde ist Gegenstand der Zertifizierung gemäß Anlage 31b Bundesmantelvertrag Ärzte.

3. Verantwortlichkeiten

3.1   Verantwortliche Stelle
Verantwortlicher im Sinne der DSGVO für die Zurverfügungstellung und den Betrieb der Plattform doccura+ ist:
Bayerische TelemedAllianz GmbH
Brückenstraße 13 a
D-85107 Baar-Ebenhausen
Telefon: 0800 36 22 872
E-Mail: info@doccuraplus.de

3.2     Geteilte Verantwortlichkeiten
Es findet bei doccura+ keine gemeinsame Verarbeitung personenbezogener Daten zwischen der Bayerischen TelemedAllianz GmbH und Leistungserbringer bzw. Patienten statt.

Zuständig für die Einrichtung und Befüllung von Benutzerkonten sowie die Richtigkeit und Vollständigkeit der Dateneintragungen ist jeweils der Patient bzw. Leistungserbringer. Für die telemedizinische Beratung und Dokumentation bzw. Nutzung der Videosprechstunde im Kontakt zum Patienten ist allein der Leistungserbringer verantwortlich.

Die Bayerische TelemedAllianz GmbH verarbeitet personenbezogene Daten ausschließlich im Rahmen des technischen Betriebs von doccura+ und verarbeitet keine der in doccura+ gespeicherten Daten für andere Zwecke. Es erfolgt durch sie keine weitere oder mit Patienten bzw. Leistungserbringers gemeinsame bzw. geteilte Verarbeitung einzelner Verarbeitungsschritte.

4. Datenschutzbeauftragter
Falls Sie Fragen zu Ihrer Datensicherheit haben, oder weitergehende Informationen benötigen: schreiben Sie unserem Datenschutzbeauftragten (Dr. Eddie Kohfeldt) eine E-Mail an: datenschutz@doccura.de.

5. Benutzerkonten

5.1 www.doccuraplus.de
Die Webseite www.doccuraplus.de ist ein frei zugängliches Informationsangebot und bietet die Möglichkeit, über ein Kontaktformular mit uns in Verbindung zu treten sowie einen Newsletter zu bestellen.

5.2 www.app.doccuraplus.de
Für die Nutzung der Plattform www.app.doccuraplus.de ist vom Leistungserbringer und Patienten eigenständig ein individuelles Benutzerkonto über ein Online-Formular zu erstellen.

5.1.1 Benutzerkonto Leistungserbringer
Für die eigenständige Anlage eines Benutzerkontos durch einen Leistungserbringer sind von diesem folgende Angaben anzugeben:

  • Name, Vorname
  • Geburtsdatum
  • Adressdaten
  • E-Mail-Adresse
  • Angaben zur ärztlichen Tätigkeit - z.B. Arztnummer, Betriebsstättennummer, zuständige Ärztekammer und Kassenärztliche Vereinigung, Bild des Personalausweises/Approbation/Facharztanerkennung.
  • Rechnungsrelevante Angaben / Bankverbindung
  • Optional: Lebenslauf, Ausbildungen, Zusatzinformationen zur ärztlichen Erfahrung


Die Angaben sind zur Identifizierung eines Leistungserbringers bzw. zur Prüfung seiner Berechtigung zur Nutzung von doccura+ als Leistungserbringer erforderlich; eine Freischaltung des Benutzerkontos erfolgt nach positiver und rechtskonformer Prüfung durch die Bayerische TelemedAllianz GmbH. Zum anderen werden ausgewählte Angaben einem mit dem Leistungserbringer eine Videosprechstunde durchführenden Patienten zur Vorstellung des Leistungserbringerers angezeigt. Rechnungsrelevante Angabe werden für die Erstellung von Rechnungen bei Privatrechnungen benötigt.

Die E-Mail-Adresse wird zum Login in das Benutzerkonto sowie zum Versand von automatisch von doccura+ generierte Nachrichten bezüglich Freischaltungen und Beratungstermine sowie für eine etwaig erforderliche Kontaktaufnahme (z.B. bei lizenzrelevanten Angelegenheiten) an den Leistungserbringer benötigt.

Im Rahmen der Anlage des Benutzerkontos hat der Leistungserbringer eigenständig ein Passwort zu vergeben. Zur Aktivierung Benutzerkontos bzw. zum Abschluss des Benutzer- und Lizenzvertrages ist es erforderlich, dass der Leistungserbringer bestätigt, die Nutzungsbedingungen, Datenschutzhinweise und Lizenzbedingungen zur Kenntnis genommen zu haben und diesen zustimmt.

Die Daten des Leistungserbringers/Patienten werden gespeichert, bis der Leistungserbringer sein Benutzerkonto löscht (Wegfall des Zwecks), der Leistungserbringer der Datennutzung widerspricht, eine gesonderte Einwilligung widerruft oder die Löschung verlangt. Soweit aus rechtlichen oder sonstigen Gründen eine darüberhinausgehende Speicherung erforderlich ist, werden die Daten gesperrt und bis zum Ablauf der verpflichtenden Aufbewahrungsfrist aufbewahrt.

5.1.2 Benutzerkonto Patient
a) Für die eigenständige Anlage eines Benutzerkontos durch einen Patienten sind von diesem folgende Angaben anzugeben:

  • Name, Vorname
  • Geburtstag
  • Geschlecht
  • Adressdaten
  • E-Mail-Adresse
  • Telefonnummer
  • Angaben zu einem bestehenden Krankenversicherungsschutz (z.B. Name der Versicherung, Versicherungsnummer, Versichertennummer, Gültigkeitsdauer der Karte, Bild der Krankenversicherungskarte)


Die Angaben sind zum zur Anlage und Befüllung einer digitalen Patientenakte und damit zur Betreuung des Patienten im Rahmen der ärztlichen Beratungen und Dokumentationen durch die doccura+-nutzenden Leistungserbringer erforderlich. Zum anderen werden diese Angaben von Leistungserbringern zu Abrechnungszwecken für die über doccura+ erbrachten Leistungen benötigt, z.B. für die Erstellung von Rechnungen für Privatpatienten oder gegenüber der Kassenärztlichen Vereinigung. Die Bayerische TelemedAllianz GmbH nimmt keine Einsicht in diese Daten und führt keine Prüfungen auf Richtigkeit und Vollständigkeit der Angaben durch; dies obliegt dem jeweiligen Leistungserbringer. Soweit von einem Leistungserbringer im Rahmen der Beratung Dateien für den Patienten erstellt oder hochgeladen werden (z.B. elektronische Rezepte oder Arbeitsunfähigkeitsbescheinigungen) werden diese ebenfalls in der digitalen Patientenakte gespeichert.

Für abgeschlossene Beratungsgespräche werden im Benutzerkonto des Patienten folgende Daten angezeigt:

  • Zeitpunkt und Dauer des Gesprächs
  • Name, Vorname des Leistungserbringers
  • Freiwillige Angaben des Leistungserbringers über seine Person und Qualifikation
  • Vom Patienten ausgefüllter Fragebogen
  • Dokumente werden in der Patientenakte gespeichert.


Die E-Mail-Adresse wird zum Login in das Benutzerkonto sowie zum Versand von doccura+ generierte Nachrichten bezüglich Freischaltungen und Beratungstermine an den Patienten benötigt.

Im Rahmen der Anlage des Benutzerkontos hat der Patient eigenständig ein Passwort zu vergeben. Zur Aktivierung Benutzerkontos bzw. zum Abschluss des Benutzervertrages ist es erforderlich, dass der Patienten bestätigt, die Nutzungsbedingungen und Datenschutzhinweise zur Kenntnis genommen zu haben und diesen zustimmt.

Der Patient stimmt mit Aktivierung seines Benutzerkontos der Speicherung der oben genannten Daten sowie der Kenntnisnahme durch einen Leistungserbringer im Rahmen einer über doccura+ durchgeführten telemedizinischen Beratung zu.

Die Daten des Patienten werden gespeichert, bis der Patient sein Benutzerkonto löscht (Wegfall des Zwecks), der Patient der Datennutzung widerspricht, eine gesonderte Einwilligung widerruft oder die Löschung verlangt. Soweit aus rechtlichen oder sonstigen Gründen eine darüberhinausgehende Speicherung erforderlich ist, werden die Daten gesperrt und bis zum Ablauf der verpflichtenden Aufbewahrungsfrist aufbewahrt.

b) Patienten kommunizieren mit dem Leistungserbringer im Rahmen der gemeinsamen Videosprechstunde ohne eine Registrierung. Der Patient wird vom Leistungserbringer aus dem Wartezimmer in die Videosprechstunde eingeladen und kann dann im vom Leistungserbringer definierten Zeitraum mit dem Leistungserbringer per Videosprechstunde kommuniziere.  Eine zusätzliche Hilfestellung für den Patienten, gerade bei älteren Patienten, um eine Kommunikationsschiene mit dem Leistungserbringer aufzubauen, ist die Kontaktaufnahme zum Kundensupport von doccura+ (info@doccuraplus.de). Dort können die für das Gespräch erforderlichen Daten von einem zur Verschwiegenheit verpflichteten Mitarbeiter abgefragt und die Teilnahme an der Videosprechstunde ermöglicht werden.


6.   Telemedizinische Beratung (www.app.doccuraplus.de)

6.1   Buchung eines Beratungstermins
Die Buchung eines telemedizinischen Beratungstermins erfolgt eigenständig durch den Patienten. Die Verarbeitung der hierfür benötigten Daten ist erforderlich zur Erfüllung des Nutzervertrages. Rechtsgrundlage hierfür ist Art. 6 Abs. 1b DSGVO sowie Art. 9 Abs. 2a DSGVO.

Nach Login (E-Mail-Adresse, Passwort) in das persönliche Benutzerkonto gem. Ziffer 5.1.2 soll der Patient folgende Angaben zu machen:

  • Auswahl eines für die telemedizinische Behandlung relevanten Symptoms oder einer gewünschten ärztlichen Fachrichtung
  • Erfordernis einer Arbeitsunfähigkeitsbescheinigung oder einer Verordnung
  • Beantwortung von Fragen zum Gesundheitszustand (Anamnese)
  • Optional: zusätzliche freiwillige Mitteilungen an den Leistungserbringer in Form eines Freitextesfeldes
  • Optional: Hochladen von behandlungsrelevanten Dateien (z.B. Dokumente oder Bildmaterial)


Diesen Daten werden in der patientenindividuellen Patientenakte von doccura+ hinterlegt. Sie sind erforderlich zur Unterstützung eines Leistungserbringeres bei der Auswahl eines zu übernehmenden Behandlungsfalls und zur Unterstützung des Leistungserbringers bei der Diagnosestellung und Behandlung sowie der Dokumentation des Behandlungsfalls. Die Nutzung der Daten ist ausschließlich durch die an doccura+ teilnehmenden Leistungserbringer möglich; die Bayerische TelemedAllianz GmbH hat keinen Zugriff auf diese Daten.

Am Ende des Buchungsprozesses kann der Patient über eine Kalenderfunktion einen Wunschtermin für die Videosprechstunde festlegen. Ein Leistungserbringer wählt in seinem individuellen Benutzerkonto die Terminanfrage des Patienten aus und bestätigt diese im vom Leistungserbringerdefinierten Zeitraum der innerhalb des vom Patienten gewünschten einstündigen Termins liegt. Der vereinbarte, normalerweise viertelstündige Termin wird im Benutzerkonto des Leistungserbringers sowie des Patienten angezeigt.



6.2 Telemedizinische Beratung /Videosprechstunde (app.doccuraplus.de)

Zum vereinbarten Zeitpunkt, gem. Ziffer 6.1 meldet sich der Patient in seinem Benutzerkonto an und erhält von Leistungserbringer aus dessen Benutzerkonto heraus einen Videoanruf (Videosprechstunde nach Anlage 31b Bundesmantelvertrag Ärzte). Vor dem Gespräch werden in einem virtuellen Wartebereich Name des Leistungserbringers angezeigt. Soweit zwischen Leistungserbringern und Patienten eine Abdingungsvereinbarung vereinbart wird, kann diese während der Videosprechstunde über ein geteiltes Fenster von beiden betrachtet und bestätigt werden. Der Abschluss einer Abdingungsvereinbarung geschieht ausschließlich auf freiwilliger Basis durch den Patienten. Die Abdingungsvereinbarung wird in den Benutzerkonten des Leistungserbringers und des Patienten gespeichert. Nach Gesprächsende kann der Leistungserbringer in doccura+ eine Dokumentation des durchgeführten Beratungsgesprächs erstellen und bei Bedarf eine elektronische Arbeitsunfähigkeitsbescheinigung sowie ein elektronisches Rezept erstellen, analog den gesetzlichen Formularvereinbarungen.

Die Verarbeitung der Daten ist zur Erfüllung des Nutzungsvertrages erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1b DSGVO sowie Art. 9 Abs. 2a DSGVO. Es erfolgt durch die Bayerische TelemedAllianz GmbH keine Verarbeitung von Daten, die im Rahmen der Videosprechstunden ausgetauscht werden. Die Videosprechstunde erfolgt in Form einer Peer-to-Peer-Verbindung zwischen den Endgeräten der Nutzer. Dies bedeutet, dass auch die Bayerische TelemedAllianz GmbH keinen Zugriff hierauf hat. Die Video- und Tondaten werden von der Bayerischen TelemedAllianz weder erfasst noch verarbeitet oder gespeichert.

6.3 Elektronische Arbeitsunfähigkeitsbescheinigung/elektronisches Rezept (www.app.doccuraplus.de)

Soweit ein Leistungserbringer am Ende des Beratungsgesprächs (Ziffer 6.2) eine elektronische Arbeitsunfähigkeitsbescheinigung bzw. ein elektronisches Rezept ausstellt, werden aus dem Benutzerkonto des Patienten die hierfür erforderlichen personenbezogenen Daten zur Befüllung der Vordrucke (Muster 16 etc.) verarbeitet und zum Bestandteil des Formulars:

  • Name, Vorname
  • Geburtsdatum
  • Angaben zum Versicherungsverhältnis


Zusätzlich werden aus der ärztlichen Dokumentation der durchgeführten Videosprechstunden folgende Angaben anlassbezogen verwendet:

  • Bei eAU: Diagnose, Dauer der Arbeitsunfähigkeit, Erst-/Folgebescheinigung
  • Bei eRezept: Angaben zur Medikation


Die Verarbeitung der Daten ist zur Erfüllung des Nutzungsvertrages (Ausstellung von Bescheinigungen und Verordnungen) erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1b DSGVO sowie Art. 9 Abs. 2a DSGVO. Die Ausstellung einer Bescheinigung oder einer Verordnung ist für den Patienten freiwillig. Ein Patient kann jederzeit der Ausstellung widersprechen. Im Falle einer Ausstellung werden die Bescheinigungen und Verordnungen in der Behandlungsdokumentation als auch im Benutzerkonto des Patienten gespeichert und können vom Patienten für die eigenständige Einreichung bei einer Apotheke bzw. Weiterleitung an den Arbeitgeber oder Kostenträger verwendet werden.

6.4 Abrechnung ärztliche Leistungen (www.app.doccuraplus.de)

Die Abrechnung der ärztlichen Leistungen (EBM oder GOÄ) und die damit verbundene Verarbeitung personenbezogener Daten obliegt ausschließlich dem ein Beratungsgespräch durchführenden Leistungserbringer. Die Bayerische TelemedAllianz GmbH führt keine Datenverarbeitung im Auftrag durch.

7.  Abrechnung der Nutzungsentgelte für doccura+

7.1 Patienten
Die Nutzung der Plattform doccura+ ist für Patienten unentgeltlich, sodass von Patienten durch die Bayerische TelemedAllianz keine abrechnungsbezogenen Daten erhoben und gespeichert werden.

7.2 Leistungserbringer
Die Vergütung der Leistungserbringer für die Nutzung von doccura+ richtet sich nach dem Lizenzvertrag, dem ein Leistungserbringer bei Anlage seines Benutzerkontos zustimmt. Doccura+ nutzende Leistungserbringer erhalten von der Bayerischen TelemedAllianz GmbH eine Rechnung. Dabei werden folgende Daten verarbeitet:

  • Name, Vorname
  • Adressdaten
  • Konto-/Bankdaten
  • Tarifdaten/Daten zur Datennutzung (Trafffic)


Die Verarbeitung personenbezogener Daten ist zur Erfüllung des Nutzervereinbarung und der Lizenzvereinbarung erforderlich. Rechtsgrundlage hierfür ist Art. 6 Abs. 1b DSGVO

8. Informationsangebote – nicht Inhalt der Videosprechstunde

8.1 Newsletter
Auf der Webseite www.doccuraplus.de bieten wir die Möglichkeit zur Abonnierung eines doccura+ Newsletters an. Diese Möglichkeit ist unabhängig von einem Nutzungs- bzw. Lizenzvertrag. Für die Anmeldung wird lediglich die E-Mail-Adresse benötigt und verarbeitet; es erfolgt keine Verarbeitung und Nutzung der E-Mail-Adresse für andere Zwecke als der Zusendung des Newsletters. Die Anmeldung ist freiwillig. Die Zusendung erfolgt auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Der Empfänger kann sich jederzeit über einen im Newsletter enthalten Link oder durch Mitteilung an info@doccuraplus.de für den Bezug des Newsletters abmelden. Im Falle einer Abmeldung (Widerruf der Einwilligung) wird die gespeicherte E-Mail-Adresse gelöscht.

8.2 Kundeninformationen
Soweit uns von bezahlungspflichtigen Kunden (Leistungserbringer) eine im Rahmen der Registrierung bzw. zur Übermittlung der Rechnung zur Verfügung gestellt E-Mail-Adresse in unserer Kundenverwaltung vorliegt, nutzen wir diese (unabhängig von Ziffer 8.1) für die Übersendung von Kundeninformationen per E-Mail auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit f DSGVO). Die Versendung von Informationen per E-Mail auch ohne ausdrückliche Einwilligung erfolgt gem. § 7 Abs. 3 UWG. Inhalt der Kundeninformationen können Hinweise zum Betrieb von doccura+ (z.B. Wartungsarbeiten), Neuerungen bei doccura+, aktuelle Entwicklungen im Bereich eHealth und Videosprechstunden, ergänzende Informations- und Leistungsangebote der Bayerischen TelemedAllianz GmbH sowie Hinweise zu Veranstaltungen sein. Der Übersendung von Kundeninformationen per E-Mail kann vom Kunden jederzeit widersprochen werden, ohne dass ihm Kosten entstehen. Es erfolgt jedoch keine Löschung der E-Mail-Adresse in unserer Kundenverwaltung, da diese für weitere Zwecke zur Durchführung des Vertragsverhältnisses (z.B. Rechnungsübersendung) benötigt wird (Art. 6 Abs. 1 lit b DSGVO)

8.3 Kundenservice/Kontaktformular
Über Telefon oder das Kontaktformular in www.doccuraplus.de ist eine Kontaktaufnahme mit unserem Serviceteam möglich. Zum Zweck der Bearbeitung Ihrer Kundenanfrage ist die Verarbeitung Ihrer personenbezogenen Daten erforderlich. Durch die Bearbeitung Ihrer personenbezogenen Daten möchten wir Ihre Anfrage und Beschwerden bearbeiten und zur Verbesserung unserer Services beitragen. Ein weiteres Interesse besteht in der Kundenbindung. Soweit es im Zusammenhang mit der Bearbeitung Ihrer Anfrage zu einem ergänzenden Vertragsabschluss kommt, dient die Bearbeitung Ihrer Anfrage zugleich auch der Vertragsanbahnung respektive Vertragserfüllung. Dies betrifft Anrede, Name/Vorname, E-Mail-Adresse, Telefonnummer, Inhalte der Anfragen/Beschwerden, Zugriffsdaten. Gesetzliche Grundlagen sind: Art. 6 Abs. 1 Satz 1 lit. a DSGVO Art. 6 Abs. 1 Satz 1 lit. b DSGVO Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Eine Löschung erfolgt 1 Jahr nach abgeschlossener Bearbeitung der Anfrage, soweit eine darüber hinaus gehende Verarbeitung der personenbezogenen Daten nicht auf Grund gesetzlicher Pflichten, insbesondere des HGB und der AO, erforderlich ist.

9. Weitere Informationen zu Datenverarbeitungen

9.1 Datenverarbeitung bei Login und in der doccura+ Software (www.app.doccuraplus.de)
Für den Login-Prozess verschlüsselt die doccura+-Software das Passwort und die Benutzereingabe mithilfe der kryptologischen Hashfunktion bcrypt und vergleicht die eingegebenen Daten mit den Daten in der Datenbank. bcrypt verwendet einen modifizierten Schlüssel-Setup-Algorithmus, der recht zeitaufwendig ist. Dies wird als Schlüsselverstärkung bezeichnet und macht ein Kennwort sicherer vor Brute-Force-Angriffen. Dieser komplette Prozess erfolgt über https und ssl-security.
Innerhalb des Login-Bereiches von doccura+ gibt es folgende Funktionen: Videoanrufe, Medizinische Aufzeichnungen, eAU, eRezept, Arztbrief, Abdingungsvereinbarung, Patienten-Fragebogen


a) Patienten können Ihre medizinischen Dokumente hochladen.

b) Der Videoanruf entsteht über eine Peer-to-Peer-Verbindung und ist somit Ende-zu-Ende-verschlüsselt. Ein Peer-to-Peer-Netzwerk (P2P) wird erstellt, wenn zwei oder mehr Endgeräte verbunden sind und Ressourcen gemeinsam nutzen, ohne einen separaten Server-Computer zu verwenden. Somit werden keine Daten auf den doccura+-Servern gespeichert. In doccura+ beziehen sich die Metadaten nur auf die Logs. Es gibt eine zeitlich festgelegte Aufgabe auf dem Server. Die Aufgabe löscht die entsprechenden Protokolle alle drei Monate. Dritte können nicht auf unsere Server zugreifen. Die Daten aus dem Patienten-Fragebogen werden für die Dauer der gesetzlichen Aufbewahrung auf dem Server für die Dauer des Accounts gespeichert.

9.2. Sichtbarkeiten (app.doccuraplus.de)
Auf den Inhalt eines individuellen Benutzerkontos haben ausschließlich die jeweiligen Kontoinhaber Zugriff und Einsicht. In den jeweiligen Konten werden folgende Daten aus anderen Konten angezeigt:

  • Im Benutzerkonto eines Patienten wird für abgeschlossene Beratungsgespräche der Name des Leistungserbringers angezeigt, der das Beratungsgespräch durchgeführt hat.
  • Im Benutzerkonto eines Leistungserbringers werden für die Terminbuchung bzw. -bestätigung die Namen und Gesprächsanlässe sämtlicher Patienten angezeigt, die einen Beratungstermin anfragen.
  • Im Benutzerkonto eines Leistungserbringers sind für diesen personenbezogene Daten der Patienten, mit denen der jeweilige Leistungserbringer eine Beratung durchgeführt und dokumentiert hat, sichtbar.



9.3   Anmeldedaten, Zugriffsdaten und Nutzungsdaten zu den einzelnen Features des Login-Bereichs:

  • Zweckbestimmung: Verbindungsaufbau, Darstellung der Inhalte der Dienstleistung, Entdeckung von Angriffen auf unsere Seite anhand ungewöhnlicher Aktivitäten, Fehlerdiagnose, Erbringung unserer Services
  • Rechtsgrundlage: Art. 6 Abs. 1 b), f) DSGVO
  • Ggf. berechtigtes Interesse: Ordnungsgemäße Funktion der Services, Sicherheit von Daten und Geschäftsprozessen, Verhinderung von Missbrauch, Verhütung von Schäden durch Eingriffe in Informationssysteme, Verbesserung unserer Services
  • Speicherdauer: Dauer der eingeloggten Session


10. Dauer der Datenspeicherungen

Soweit wir auf keine spezifischen Fristen für die Speicherung von hinweisen, ist in doccura+ die jeweilige Zweckbindung maßgeblich. Demnach werden Daten von uns gelöscht, wenn der Zweck ihrer Erhebung und Verarbeitung wegfällt bzw. nicht mehr gegeben ist. Speicherdauer ist demnach grundsätzlich und soweit in diesen Hinweisen zum Datenschutz nicht anders angegeben die Dauer des Vertragsverhältnisses bzw. bei Termindaten die Dauer von 90 Tagen.

Daten werden zudem gelöscht, wenn ein Benutzer der Datennutzung widerspricht, eine gesonderte Einwilligung widerruft oder die Löschung verlangt.

Soweit aus rechtlichen oder sonstigen Gründen eine Dokumentations- und Aufbewahrungspflicht besteht, wie z.B. gemäß

  • Ärztlicher Berufsordnung,
  • Bundesmantelvertrag Ärzte,
  • Verjährungsfristen nach dem Bürgerlichen Gesetzbuch,
  • Abgabenordnung,
  • Handelsgesetzbuch,


eine darüberhinausgehende Speicherung erforderlich ist, werden die Daten bis zum Ablauf der verpflichtenden Dokumentations- und Aufbewahrungsfrist gespeichert und können im Sinne einer dauerhaften Patientenbegleitung sowie Verbesserung der Behandlungsqualität- und Sicherheit für weitere telemedizinische Behandlungen genutzt werden. Auf Wunsch des Patienten erfolgt eine Sperrung der Daten.

11. Datenverarbeitungen bei externen technischen Dienstleistern

 

11.1 Vorbemerkung

Für den Betrieb von doccura+ nutzen wir technische Dienstleister, die uns Speicherplatz und Verarbeitungskapazitäten in ihren Rechenzentren zur Verfügung stellen und nach unserer Weisung auch personenbezogene Daten in unserem Auftrag verarbeiten; eine Verarbeitung personenbezogener Daten durch Dienstleister zu eigenen Zwecken erfolgt zu keinem Zeitpunkt. Mit allen Dienstleistern haben wir Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen und deren technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten geprüft. Alle Dienstleister unterliegen den Vorschriften der DSGVO und verarbeiten personenbezogene Daten ausschließlich innerhalb der Europäischen Union bzw. im Geltungsbereich der DSGVO. Dadurch sind sämtliche Vorschriften zur Sicherstellung des Datenschutzes und der Datensicherheit erfüllt.

 

11.2 Landingpage www.doccuraplus.de – nicht zertifiziert

Für das Hosting unsere Website www.doccuraplus.de, die nicht Gegenstand der Zertifizierung ist, nutzen wir IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland. Zum Zweck der Bereitstellung und der Auslieferung der Website werden Verbindungsdaten verarbeitet. Zum bloßen Zweck der Auslieferung und Bereitstellung der Website werden die Daten über den Aufruf hinaus nicht gespeichert. Die Rechtsgrundlage für die Datenverarbeitung ist das berechtigte Interesse (unbedingte technische Notwendigkeit zur Bereitstellung und Auslieferung des von ihnen durch ihren Aufruf ausdrücklich gewünschten Dienstes -www.doccuraplus.de - gemäß Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen zum Datenschutz finden Sie in der IONOS-Datenschutzrichtlinie unter: https://www.ionos.de/terms-gtc/terms-privacy.

 

Unsere Website www.doccuraplus.de wurde mit dem Baukastensystem von wir IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland, erstellt. Bei der Verwendung des Baukastens erfolgt eine Auftragsverarbeitung im Sinne des Artikels 28 DSGVO. Weitere Informationen zum Datenschutz finden Sie in der IONOS-Datenschutzrichtlinie unter https://www.ionos.de/terms-gtc/terms-privacy.

 

Wir bieten Ihnen die Möglichkeit an, sich bei uns über unseren Internetauftritt für unseren Newsletterversand zu registrieren. Dazu setzen wir Sendinblue ein. Bei Sendinblue handelt es sich um einen Dienst der Firma Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland. Informationen zum Datenschutz finden Sie unter https://www.newsletter2go.de/datenschutz/ sowie unter https://de.sendinblue.com/legal/privacypolicy/

 

Unter www.doccuraplus.de können Sie über ein Kontaktformular mit der Bayerischen TelemedAllianz GmbH Nachrichten zukommen lassen. Für die Übermittlung der Nachrichten nutzen wir als Dienstleister IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.


11.2.1 Verlinkungen
Auf der Website www.doccuraplus.de sind Verlinkungen zu den Webseiten Dritter enthalten. Falls Sie über Links auf andere Webseiten bzw. auf Webseiten Dritter weitergeleitet werden, informieren Sie sich bitte dort über den jeweiligen Umgang mit Ihren Daten. Die Bayerische TelemedAllianz GmbH ist weder verantwortlich für den Inhalt dieser Webseiten noch die Verarbeitung personenbezogener Daten bei Nutzung dieser Webseiten. Im Bereich app.doccura.de befinden sich keine Verlinkungen zu Webseiten Dritter.

11.2.2 Cookies
Für die Bereitstellung entsprechender Services verwenden wir und unsere Partner Cookies. Dies gilt auch, wenn Sie unsere Webseite besuchen oder auf unsere Services zugreifen.

Bei einem „Cookie“ handelt es sich um ein kleines Datenpaket, das Ihrem Gerät beim Besuch einer Webseite von dieser Webseite zugeordnet wird. Cookies sind nützlich und können für unterschiedliche Zwecke eingesetzt werden. Dazu gehören z. B. die erleichterte Navigation zwischen verschiedenen Seiten, die automatische Aktivierung bestimmter Funktionen, das Speichern Ihrer Einstellungen sowie ein optimierter Zugriff auf unsere Services. Die Verwendung von Cookies ermöglicht uns außerdem, Ihnen relevante, auf Ihre Interessen abgestimmte Werbung einzublenden und statistische Informationen zu Ihrer Nutzung unserer Services zu sammeln.

Diese Webseite verwendet folgende Arten von Cookies:
a.  „Sitzungscookies“, die für eine normale Systemnutzung sorgen. Sitzungscookies werden nur für begrenzte Zeit während einer Sitzung gespeichert und von Ihrem Gerät gelöscht, sobald Sie Ihren Browser schließen.
b.  „Permanente Cookies “, die nur von der Webseite gelesen und beim Schließen des Browserfensters nicht gelöscht, sondern für eine bestimmte Dauer auf Ihrem Computer gespeichert werden. Diese Art von Cookie ermöglicht uns, Sie bei Ihrem nächsten Besuch zu identifizieren und beispielsweise Ihre Einstellungen zu speichern.
c.   „Drittanbieter-Cookies“, die von anderen Online-Diensten gesetzt werden, die mit eigenen Inhalten auf der von Ihnen besuchten Seite vertreten sind. Dies können z. B. externe Web-Analytics-Unternehmen sein, die den Zugriff auf unsere Webseite erfassen und analysieren.

Cookies erheben keine personenbezogenen Daten, die Sie identifizieren. Sie können Cookies über die Geräteeinstellungen Ihres Geräts entfernen. Folgen Sie dabei den entsprechenden Anweisungen.

11.2.3 Verwendung von Skriptbibliotheken bei www.doccuraplus.de
Verwendung von Skriptbibliotheken (Google Web Fonts)
Damit unsere Inhalte in jedem Browser korrekt und grafisch ansprechend dargestellt werden, verwenden wir für diese Webseite Skript- und Schriftbibliotheken wie Google Web Fonts ( https://www.google.com/webfonts ). Google Web Fonts werden in den Cache Ihres Browsers übertragen, sodass sie nur einmal geladen werden müssen. Wenn Ihr Browser Google Web Fonts nicht unterstützt oder den Zugriff verweigert, werden die Inhalte in einer Standardschriftart dargestellt.

Beim Aufrufen von Skript- oder Schriftbibliotheken wir automatisch eine Verbindung zum Betreiber der Bibliothek hergestellt. Es besteht hierbei theoretisch die Möglichkeit für diesen Betreiber, Daten zu erfassen. Derzeit ist nicht bekannt, ob und zu welchem Zweck die Betreiber der entsprechenden Bibliotheken tatsächlich Daten erfassen.
Hier finden Sie die Datenschutzbestimmungen des Betreibers der Google-Bibliothek: https://www.google.com/policies/privacy .

11.3 Videoplattform www.app.doccuraplus.de – zertifiziert
Für die technische Infrastruktur zum Betrieb der zertifizierten Plattform www.app.doccuraplus.de nutzen wir Server der Telekom Deutschland GmbH. Weitere Informationen zum Datenschutz finden Sie in der Datenschutzrichtlinie der Telekom Deutschland GmbH unter: https://open-telekom-cloud.com/de/datenschutz.

Für den Versand von eMails bei www.app.doccuraplus.de setzen wir Sendinblue ein. Bei Sendinblue handelt es sich um einen Dienst der Firma Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland. Informationen zum Datenschutz finden Sie unter https://www.newsletter2go.de/datenschutz/ sowie unter https://de.sendinblue.com/legal/privacypolicy/

Für den Aufbau und die Durchführung einer Videoverbindung zwischen Leistungserbringer und Patienten unter www.app.doccuraplus.de nutzen wir APIZEE. Anbieter ist APIZEE, 11 rue Blaise Pascal, 22300 Lannion, Frankreich. Jedes Mal, wenn eine unserer Seiten APIRTC-Funktionen abruft, wird eine Verbindung zu APIZEE-Servern hergestellt. Eine Speicherung personenbezogener Daten erfolgt nicht. Insbesondere werden keine IP-Adressen länger als 90 Tage gespeichert oder das Nutzungsverhalten ausgewertet. Weitere Informationen zum Datenschutz finden Sie in der APIZEE-Datenschutzrichtlinie unter https://www.apizee.com/privacy.

Datenübermittlungen an Drittländer

Er erfolgt keine Übermittlung von Daten in Drittstaaten durch die Bayerische TelemedAllianz GmbH. Für den Fall, dass personenbezogenen Daten auf Grund gesetzlicher Anforderung an Drittländer übermittelt werden müssten, findet diese Übermittlung ausschließlich unter Einhaltung der gesetzlichen Zulässigkeitsvoraussetzungen statt. Das bedeutet insbesondere, dass Ihre personenbezogenen Daten ausschließlich unter Einbeziehung der Voraussetzungen der Art. 44 ff. DSGVO in ein Drittland übermittelt würden. Des Weiteren sind zum Schutz personenbezogener Daten im Zusammenhang mit dem Drittländerbezug (Art. 44 ff DSGVO) bei uns sowie bei unseren Dienstleistern entsprechende technische und organisatorische Sicherheitsmaßnahmen umgesetzt, durch die insbesondere durch geeignete Verschlüsselungsverfahren nach aktuellem Stand der Technik auch bei etwaiger Übermittlung keine Dateneinsicht genommen werden kann.

 

Übermittlung an staatliche Behörden

Wir übermitteln Ihre personenbezogenen Daten an staatliche Behörden (einschließlich Strafverfolgungsbehörden), wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen (Art. 6 Abs. 1 Satz 1 lit. c DSGVO). Darüber hinaus verarbeiten wir Ihre personenbezogenen Daten auch, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt in diesem Fall auf Basis unserer überwiegenden berechtigten Interessen an der Rechtsdurchsetzung im Sinne des Art. 6 Abs. 1 Satz 1 lit. f DSGVO.


12.0 Ihre Rechte

Widerrufsrecht gemäß Art. 7 Abs. 3 DSGVO
Sie haben das Recht, eine einmal erteilte Einwilligung in die Verarbeitung von Daten jederzeit, ohne die Nennung von Gründen mit Wirkung für die Zukunft ganz oder zu Teilen zu widerrufen. Im Falle des Widerrufs werden wir die betroffenen Daten unverzüglich löschen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt.

Auskunftsrecht gem. Art. 15 DSGVO
Sie haben jederzeit das Recht auf unentgeltliche Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung. Wenn Sie Fragen hierzu haben, die Ihnen diese Datenschutzhinweise nicht beantworten konnte, können Sie sich jederzeit unter folgender E-Mail-Adresse oder über die im Impressum angegebenen Kontaktdaten an uns wenden: info@doccuraplus.de.

Recht auf Berichtigung gemäß Art. 16 DSGVO
Sie haben das Recht, umgehend die Berichtigung der betreffenden unrichtigen personenbezogenen Daten zu fordern. Sie haben unter Berücksichtigung der Zwecke der Verarbeitung das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu fordern.

Recht auf Löschung gemäß Art. 17 DSGVO
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten bei Vorliegen der Voraussetzungen des Art. 17 Abs. 1 DSGVO zu verlangen. Dieses Recht besteht jedoch insbesondere dann nicht, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, solange die von Ihnen bestrittene Richtigkeit Ihrer Daten überprüft wird, wenn Sie eine Löschung Ihrer Daten wegen unzulässiger Datenverarbeitung ablehnen und stattdessen die Einschränkung der Verarbeitung Ihrer Daten verlangen, wenn Sie Ihre Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, nachdem wir diese Daten nach Zweckerreichung nicht mehr benötigen oder wenn Sie Widerspruch aus Gründen Ihrer besonderen Situation eingelegt haben, solange noch nicht feststeht, ob unsere berechtigten Gründe überwiegen.

Recht auf Unterrichtung gemäß Art. 19 DSGVO
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen. Es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht das Recht zu, über diese Empfänger unterrichtet zu werden.

Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO
Sie haben das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen, soweit dies technisch machbar ist.

Recht auf Widerspruch gemäß Art. 21 DSGVO
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen. Die Bayerische TelemedAllianz GmbH verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Beschwerde gemäß Art. 77 DSGVO
Ihnen steht, unbeschadet anderer Rechtsbehelfe, jederzeit das Recht zu, sich bei einer Aufsichtsbehörde zu beschweren, falls Sie der Auffassung sind, dass die Verarbeitung personenbezogener Daten durch die Bayerische TelemedAllianz GmbH gegen Vorschriften der DSGVO verstößt. Die für die Bayerische TelemedAllianz GmbH zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 180093-0
Telefax: +49 (0) 981 180093-800
E-Mail: poststelle@lda.bayern.de
https://www.lda.bayern.de

Beschwerden können auch online eingereicht werden unter: https://www.lda.bayern.de/de/beschwerde.html

13.0 Datenpannen gemäß Art. 33 DSGVO

Gemäß Art. 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Die Aufsichtsbehörden haben hierfür größtenteils online umfangreiche Eingabemasken eingerichtet, die wir benutzen werden. Von einer Meldung kann nur dann abzusehen sein, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt und setzt demnach die Beschäftigung mit einer dahingehenden Prognoseentscheidung des Verantwortlichen voraus. Zur Abschätzung des Risikos hat die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – DSK) in ihrem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht, das im Internet einsehbar ist und das wir anwenden. Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Risiko für die persönlichen, Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen, deren Daten Gegenstand des Notfalls waren, zu benachrichtigen. Der Umgang mit einer Datenpanne endet nicht mit der Meldung bei der Aufsichtsbehörde und ggf. der Wiederherstellung des Normalbetriebs. Bei der Meldung werden wir angeben, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von Maßnahmen, die einen weiteren Datenschutznotfall dieser Art verhindern können. Auch wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an die zuständige Aufsichtsbehörde endet, werden wir den erkannten Vorfall nach Art. 33 Abs. 5 DSGVO entsprechend dokumentieren. Dies dient der Information der Aufsichtsbehörde im Falle einer Prüfung, was Grundlage dieser Entscheidung war. Ein zentraler Punkt ist bei doccura+ bei Datenpannen die rechtzeitige Einbindung des Datenschutzbeauftragten. Dieser kann aus neutraler Sicht entscheidende Hilfestellungen zur Risikobewertung geben und letztlich in der Funktion als weisungsunabhängige Kontrollinstanz zur richtigen Handhabe des Vorfalls durch doccura+ einen wichtigen Beitrag leisten.

14.0 Besondere Datenschutzhinweise für Leistungserbringer
Der Leistungserbringer hat für die Verarbeitung personenbezogener Patientendaten die rechtlichen Rahmenbedingungen zu beachten, die sich insbesondere aus den Vorschriften der Datenschutzgrundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Fünften Sozialgesetzbuchs (SGB V) und – soweit anwendbar – des Zehnten Sozialgesetzbuchs (SGB X) ergeben. Bei der konkreten Umsetzung kann sich der Leistungserbringer an den „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung orientieren. Im Hinblick auf die Sicherheit der Verarbeitung der Daten hat der Leistungserbringer in seinen Räumlichkeiten und IT-Systemen zu gewährleisten, dass die erforderlichen technischen und organisatorischen Maßnahmen eingehalten werden. Die Videosprechstunde hat zur Gewährleistung der Datensicherheit und eines störungsfreien Ablaufes in geschlossenen Räumen, die eine angemessene Privatsphäre sicherstellen, stattzufinden. Zu Beginn der Videosprechstunde hat auf beiden Seiten eine Vorstellung aller im Raum anwesenden Personen zu erfolgen. Aufzeichnungen jeglicher Art sind während der Videosprechstunde nicht gestattet. Die Videosprechstunde darf nur von einem Leistungserbringer durchgeführt werden. Der Leistungserbringer darf für die Videosprechstunde ausschließlich gemäß §5 zertifizierte Videodienstanbieter nutzen.

Die zunehmende elektronische Kommunikation und Vernetzung der Leistungserbringer bietet Chancen, birgt aber auch Gefahren hinsichtlich der Datensicherheit. Als Leistungserbringer sind Sie deshalb beim beruflichen Einsatz von EDV verpflichtet, die Sicherheit der Patientendaten zu gewährleisten. Zusätzlich zu den Regelungen der ärztlichen Schweigepflicht gelten für Sie auch die Datenschutzgesetze, allen voran die Bestimmungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG neu). Diese regeln die verschiedenen Phasen der Datenverarbeitung und die Anforderungen an die Datensicherheit. Vor diesem Hintergrund haben die Bundesärztekammer und die Kassenärztliche Bundesvereinigung schon im Jahre 2008 „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ und eine zugehörige technische Anlage veröffentlicht, die laufend aktualisiert werden. Darin enthalten sind rechtliche, technische und organisatorische Orientierungshilfen bei der Umsetzung von Datenschutz und Datensicherheit in der Praxis. Ein Schwerpunkt betrifft die ärztliche Dokumentation, die Datenkommunikation in der Praxis und die Online-Anbindung. Sehr viel detaillierter als die Empfehlungen geht die technische Anlage auf erforderliche IT-Schutzmaßnahmen ein. Das inhaltliche Spektrum reicht vom Umgang mit Passwörtern über die Nutzung des Internets und Intranets, das Einrichtungen von lokalen und drahtlosen Netzwerken bis hin zur Entsorgung von Datenträgern und Archivierung.

Teilweise existieren Überschneidungen mit dem Thema der Informationssicherheit. Einige wichtige Punkte haben wir nachfolgend zusammengestellt: Erstellen Sie Regeln für die Verwendung von effektiven und individuellen Passwörtern durch ihre Mitarbeiter. Dazu zählen auch Schreibweisen (zum Beispiel mindestens 6 Buchstaben und 1 Zeichen) und eine begrenzte Gültigkeit. Die Option „Speicherung von Passwörtern“ sollte im Betriebssystem deaktiviert werden. Viren-Schutz: Die meisten IT-Sicherheitsvorfälle ereignen sich im Zusammenhang mit Computerviren.

Daher sind aktuelle Viren-Schutzprogramme unverzichtbar. Schadprogramme können über Datenträger oder über Netze (Internet, Intranet) verbreitet werden. Auch für Rechner ohne Internetanschluss sind Schutzprogramme erforderlich. Es empfiehlt sich, E-Mails und jegliche Kommunikation über das Internet zentral auf Viren zu untersuchen. Zusätzlich sollte jeder Computer mit einem lokalen Viren-Schutzprogramm ausgestattet sein, das ständig im Hintergrund läuft. In der Regel genügt es, nur ausführbare Dateien, Skripte, Makrodateien etc. zu überprüfen. Ein vollständiges Durchsuchen aller Dateien empfiehlt sich trotzdem in regelmäßigen Abständen, zum Beispiel vor einer Tages- oder Monatssicherung, und ist bei einem festgestellten Befall durch Schadprogramme immer notwendig. Aktuelle Empfehlungen und ausführliche Hintergrundinformationen finden Sie auf www.bsi.deunter dem Stichwort Schadprogramme. Sie sollten Strategien zur Datensicherung und Datenwiederherstellung erarbeiten, damit Sie im Notfall kurzfristig zumindest eine eingeschränkte Funktionsfähigkeit herstellen können. Vergeben Sie rollen- bzw. personenbezogenen Zugriffsrechte auf das EDV-System und prüfen Sie deren Vergabe. Die Konfiguration der Datenzugriffsrechte sollte für jeden Benutzer auf das Notwendige beschränkt werden. Es sollten keine Administratorrechte für normale Benutzer vergeben werden. Informieren Sie die Mitarbeiter über die sichere Verwendung von Passwörtern (siehe oben) und machen Sie deutlich, dass diese konsequent einzuhalten ist. Nutzen Sie z.B. Chip-Karten, wenn Sie elektronische Patientendaten für den Transport verschlüsseln oder sich zum Beispiel gegenüber einem Web-Portal als Leistungserbringer authentisieren wollen. Informieren Sie Ihre Mitarbeiter über die nach der Berufsordnung geltende gesetzliche Schweigepflicht. Alle Praxismitarbeiter, aber auch externe Personen wie EDV-Berater, Support-Mitarbeiter und Reinigungspersonal, welcher Zugang zu personenbezogenen Daten haben, müssen die Regelungen zum Datenschutz kennen und Datenschutzhinweise unterschreiben. Wenn Sie eine elektronische Patientenverwaltung per PVS führen, sind alle Mitarbeiter im Arbeitsvertrag oder durch eine separate Verpflichtungserklärung auch auf das Datengeheimnis nach §5 BDSG zu verpflichten. Externe Dienstleister dürfen nur bei Bedarf Zugang zu diesen Daten erhalten. Weisen Sie nicht nur bei der Einstellung neuer Mitarbeiter auf die gesetzlichen Vorgaben hin, nutzen Sie dazu auch die regelmäßigen Teamsitzungen und Mitarbeitergespräche. Überprüfen Sie, ob sie, ob sie einen internen oder externen Datenschutzbeauftragten bestellen müssen. Weiterhin sind alle Verfahrensregeln einzuhalten, die vonseiten der Telematikinfrastruktur vorgegeben werden (www.gematik.de).

Aktualisierungen/Änderungen
Wir behalten uns das Recht vor, diese Datenschutzbestimmungen regelmäßig zu überprüfen und an aktuelle technische und rechtliche Änderungen anzupassen. Sie finden das Datum der aktuellen Version am Ende dieser Hinweise zum Datenschutz unter „Stand“. Ihre fortgesetzte Nutzung der Plattform doccura+ nach Veröffentlichung solcher Änderungen stellt Ihre Zustimmung zu solchen Änderungen an den Datenschutzbestimmungen dar und gilt als Ihr Einverständnis der Bindung an die geänderten Bestimmungen.


Stand:14.02.2022