Hinweise zum Datenschutz

für die Videosprechstunde unter https://app.doccuraplus.de

Hinweis: Aus Gründen der besseren Lesbarkeit wird bei Personenbezeichnungen männliche Form verwendet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter. Die verkürzte Sprachform hat nur redaktionelle Gründe und beinhaltet keine Wertung.

Auf Grund der Vorgaben der Europäischen Datenschutz-Grundverordnung (nachfolgend „DSGVO“) sind wir dazu verpflichtet, Sie umfassend über die Verarbeitung personenbezogener Daten bei Nutzung unseres Leistungsangebots doccura+ sowie über Ihre Rechte als Nutzer zu informieren. Insbesondere haben wir Sie über die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten und die Art der zu verarbeitenden Daten in Kenntnis zu setzen.

1  Einführung/Grundlagen

1.1 Geltungsbereich

Diese Datenschutzhinweise beziehen sich auf die Videokommunikationsplattform zur Durchführung von Videosprechstunden unter web.doccuraplus.de.

1.2 Grundsätze unseres Handelns

Wir, die Bayerische TelemedAllianz GmbH, als die verantwortliche Stelle (s. Ziffer3.1), nehmen den Schutz Ihrer Daten sehr ernst und setzen alles daran, den Schutz personenbezogener Daten jederzeit und umfassend gemäß gesetzlicher Vorgaben sicherzustellen.

1.3 Grundlagen der Verarbeitung personenbezogener Daten bei doccura+

a.   Eine Verarbeitung personenbezogener Daten bei der Nutzung von doccura+ erfolgt ausschließlich gemäß den Bestimmungen der DSGVO. Demnach ist eine Verarbeitung personenbezogener Daten insbesondere dann zulässig, wenn dies eine Rechtsgrundlage gestattet.

b.   Im Falle von doccura+ ist die Rechtsgrundlage für die Verarbeitung personenbezogener Daten die Erfüllung der Nutzungsbedingungen, deren Vertrag Sie zur Nutzung der Videossprechstunde doccura+ mit uns durch Zustimmung zu diesen abschließen. Die entsprechende Rechtsvorschrift ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Soweit weitere Rechtsgrundlagen einschlägig sind – insbesondere nach Art. 6 Abs. 1 DSGVO – wird im Folgenden gesondert darauf hingewiesen.

c.   Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Beispiele hierfür sind Name, Adresse oder E-Mail-Adresse. Da im Rahmen einer Videosprechstunde immer auch Patienten eingebunden sind, erfolgt bei doccura+ per se eine Verarbeitung besonderer personenbezogener Daten i.s.d. Art. 9 Abs. 1 DSGVO.

d.   Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von doccura+ ist ausschließlich die Vereinbarung und Durchführung von Videosprechstunden. Eine Verarbeitung außerhalb dieser Zwecke erfolgt nicht. Daten werden nur im erforderlichen Maß verarbeitet. Sämtliche Inhalte der Videosprechstunde werden von der Bayerischen TelemedAllianz GmbH weder eingesehen noch gespeichert.

e.   Zweckgebundene Daten-Verwendung: Wir beachten den Grundsatz der zweckgebundenen Daten-Verwendung und erheben, verarbeiten und speichern Ihre personenbezogenen Daten nur für die Zwecke, für die Sie sie uns mitgeteilt haben. Eine Weitergabe Ihrer persönlichen Daten an Dritte erfolgt ohne Ihre ausdrückliche Einwilligung nicht, sofern dies nicht zur Erbringung der Dienstleistung oder zur Vertragsdurchführung wie z.B. die Durchführung der Videosprechstunde notwendig ist. Auch die Übermittlung an auskunftsberechtigte staatliche Institutionen und Behörden erfolgt nur im Rahmen der gesetzlichen Auskunftspflichten oder wenn wir durch eine gerichtliche Entscheidung zur Auskunft verpflichtet werden.

f.   Wir haben technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit getroffen. Diese Maßnahmen dienen unter anderem der Vermeidung eines unerlaubten Zugriffs auf die von uns genutzten technischen Einrichtungen und dem Schutz Ihrer personenbezogenen Daten vor unerlaubter Kenntnisnahme durch Dritte. Die technischen und organisatorischen Maßnahmen werden beständig weiterentwickelt und dem aktuellen Stand der Technik entsprechend jeweils angepasst.

g.   Um unberechtigte Zugriffe Dritter auf Ihre persönlichen Daten zu verhindern, wird die Kommunikation zwischen Leistungserbringer und Patient verschlüsselt.

h.   Die von uns beauftragten Dienstleistungsunternehmen sind von uns zur Verschwiegenheit und zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet worden. Hierzu haben wir Auftragsdaten-verarbeitungsverträge mit den Dienstleistern geschlossen, um den Schutz personenbezogener Daten bei Verarbeitungstätigkeiten sicherzustellen.

i.   Unsere Mitarbeiter sind auf die Einhaltung datenschutzrechtlicher Bestimmungen verpflichtet und werden regelmäßig zum Thema Datenschutz im Allgemeinen und dem Umgang mit personenbezogenen Daten im Rahmen von doccura+ im Besonderen geschult.

1.4  Zertifizierung

Die Videosprechstunde unter app.doccuraplus.de entspricht den Anforderungen der Anlage 31b Bundesmantelvertrag Ärzte (BMV-Ä). Die Erfüllung der hierin genannten Anforderungen an Datenschutz und Datensicherheit wurde von einer unabhängigen Stelle geprüft und bescheinigt. Auf dieser Grundlage ist die Videosprechstunden bei der Kassenärztlichen Bundesvereinigung als zertifiziertes Leistungsangebot gelistet und für den Einsatz im Gesundheitswesen zugelassen.
 

2  Doccura+ im Überblick

Unter der Bezeichnung doccura+ stellt die Bayerische TelemedAllianz GmbH (BTA) ein Online-Videosprechstundensystem zur Verfügung, das Leistungserbringer wie Ärzte, oder Therapeuten und Patienten zusammenbringt und die rechtskonforme Durchführung medizinischer und therapeutischer Beratungen ermöglicht.

Die Plattform beinhaltet folgende wesentliche Funktionalität:

• Ende-zu-Ende-verschlüsselte Videosprechstunde

Die Nutzung von doccura+ ist von beliebigen stationären oder mobilen Endgeräten aus möglich. Bei doccura+ meldet ein Patient einen Terminwunsch an; dieser wird von einem Arzt angenommen und bestätigt. Zur vereinbarten Zeit gelangt der Patient in ein virtuelles Wartezimmer und wird vom Arzt zum Start der Videosprechstunde aufgefordert. Diese Aufforderung erfolgt in Form eines Anrufs, den der Patient annehmen muss, um für beide die geschützte Videoverbindung zu starten.

Es wird darauf hingewiesen, dass die Bayerische TelemedAllianz GmbH im Rahmen von doccura+ ausschließlich und lediglich eine technische Infrastruktur bereitstellt und betreut. Verantwortlich für die inhaltliche Durchführung der Videosprechstunden bzw. der medizinischen und therapeutischen Beratungen und Dokumentationen sind ausschließlich die jeweiligen an doccura+ teilnehmenden Leistungserbringer. Ein Behandlungsvertrag kommt ausschließlich zwischen Leistungserbringer und Patient zustande. Die Bayerische TelemedAllianz GmbH übernimmt keine Abrechnungsleistungen. Ein Leistungserbringer kann bei Kassenpatienten seine Leistungen über die für ihn zuständig Kassenärztliche Vereinigung abrechnen. Bei Erbringung einer Privatleistung wird der Leistungserbringer nach Zustimmung des Patienten eine Privatrechnung direkt an den Patienten stellen. Ebenso greift die Bayerische TelemedAllianz GmbH zu keinem Zeitpunkt in administrative oder die Behandlung bezogene Prozesse zwischen Leistungserbringer und Patienten ein.

3 Verantwortlichkeiten/Datenschutzbeauftragter

3.1  Verantwortliche Stelle

Verantwortlicher im Sinne der DSGVO für die Zurverfügungstellung und den Betrieb der Plattform doccura+ ist: 

Bayerische TelemedAllianz GmbH
Brückenstraße 13 a 
D-85107 Baar-Ebenhausen 
Telefon: 0800 36 22 872 
E-Mail: info@doccuraplus.de

3.2  Geteilte Verantwortlichkeiten

Es findet bei doccura+ keine gemeinsame Verarbeitung personenbezogener Daten zwischen der Bayerischen TelemedAllianz GmbH und Leistungserbringer bzw. Patienten statt.

3.3  Datenschutzbeauftragter

Falls Sie Fragen zu Ihrer Datensicherheit haben, oder weitergehende Informationen benötigen: schreiben Sie unserem Datenschutzbeauftragten eine E-Mail an: datenschutz@doccura.de.

4   Aufruf von https//app.doccuraplus.de

4.1   Besuch der Seite
Beim Aufruf von https://app.doccuraplus.de wird Ihre IP-Adresse erfasst. Rechtsgrundlage für die Datenverarbeitung ist die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO, um eine Videosprechstunde durchführen zu können.

Zweck der Verarbeitung ist die Sicherstellung der Bereitschaft unseres Webservers sowie die generelle Erreichbarkeit und korrekte Darstellung unserer Webseite. Die IP-Adresse ist vorrübergehend erforderlich, um die Webseite anzuzeigen, Darstellungsprobleme bei den Besuchern zu vermeiden und Fehlermeldungen zu beheben. Zum Schutz Ihrer Privatsphäre wird die IP-Adresse nach Ihrem Besuch der Seite gelöscht.

4.2   Cookies 
Für die Bereitstellung entsprechender Services verwenden wir Cookies. Bei einem „Cookie“ handelt es sich um ein kleines Datenpaket, das Ihrem Gerät beim Besuch einer Webseite von dieser Webseite zugeordnet wird. Cookies sind nützlich und können für unterschiedliche Zwecke eingesetzt werden. Dazu gehören z. B. die erleichterte Navigation zwischen verschiedenen Seiten, die automatische Aktivierung bestimmter Funktionen, das Speichern Ihrer Einstellungen sowie ein optimierter Zugriff auf unsere Services.
Diese Webseite verwendet folgende Art von Cookies: „Sitzungscookie“, das technisch/funktional erforderlich ist und für eine normale Systemnutzung sorgt. Rechtsgrundlage für die Datenverarbeitung ist das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, welches im Vorfeld einer umfassenden Prüfung unterzogen wurde. Die Speicherdauer beträgt einen Tag.

5  Benutzerkonten

5.1 Benutzerkonto Patient

Patienten können die Videosprechstunde unter app.doccuraplus.de nutzen, ohne sich registrieren zu müssen – ein Benutzerkonto ist in keinem Fall erforderlich.

5.2  Benutzerkonto Leistungserbringer

Für die Nutzung der Videosprechstunde unter app.doccuraplus.de ist vom Leistungserbringer eigenständig ein individuelles Benutzerkonto über ein Online-Formular zu erstellen.

Für die eigenständige Anlage eines Benutzerkontos durch einen Leistungserbringer sind von diesen folgenden Kategorien von Angaben anzugeben:

• Name und Geburtsdatum
• Adressdaten
• E-Mail-Adresse
• Angaben zur ärztlichen Tätigkeit (Erfahrungen, Zulassungen, Praxis)
• Rechnungsrelevante Angaben / Bankverbindung

Sämtliche vom Arzt zu tätigenden Angaben sind Pflichtangaben, die zur Begründung und Umsetzung des Vertragsverhältnisses erforderlich sind (Art. 6 Abs. 1 lit. b DSGVO).

Leistungserbringer haben jederzeit die Möglichkeit, die in ihrem Account gespeicherten Daten einzusehen (Prüfung auf Richtigkeit) und eigenständig zu ändern.

Die Angaben sind zur Identifizierung eines Leistungserbringers bzw. zur Prüfung seiner Berechtigung zur Nutzung von doccura+ als Leistungserbringer erforderlich; eine Freischaltung des Benutzerkontos erfolgt nach positiver und rechtskonformer Prüfung durch die Bayerische TelemedAllianz GmbH. Zum anderen wird der Klarname einem mit dem Leistungserbringer eine Videosprechstunde durchführenden Patienten zur Vorstellung des Leistungserbringerers angezeigt.

Im Rahmen der Anlage des Benutzerkontos hat der Leistungserbringer eigenständig ein Passwort zu vergeben. Zur Aktivierung Benutzerkontos bzw. zum Abschluss des Benutzer- und Lizenzvertrages ist es erforderlich, dass der Leistungserbringer bestätigt, die Nutzungsbedingungen, Hinweise zum Datenschutz und Lizenzvertrag zur Kenntnis genommen zu haben und diesen zustimmt.

Das Passwort kann vom Leistungserbringer über die Funktion „Passwort vergessen“ eigenständig zurückgesetzt oder geändert werden. Hierfür werden Vorname, Name und E-Mail-Adresse des Leistungserbringers verarbeitet.

Die Daten des Leistungserbringers/Patienten werden gespeichert, bis der Leistungserbringer sein Benutzerkonto löscht (Wegfall des Zwecks), der Leistungserbringer der Datennutzung widerspricht, eine gesonderte Einwilligung widerruft oder die Löschung verlangt. Soweit aus rechtlichen oder sonstigen Gründen eine darüberhinausgehende Speicherung erforderlich ist, werden die Daten gesperrt und bis zum Ablauf der verpflichtenden Aufbewahrungsfrist aufbewahrt.

6 Telemedizinische Beratung (Durchführung der Videosprechstunde)

6.1  Buchung eines Beratungstermins

Der Patient klickt auf der Startseite auf den Button „Terminanfrage für Patienten“.

Es öffnet sich ein neues Fenster, über das eine Terminbuchung für Patienten ohne Registrierung möglich ist. In diesem Fenster sind die für die Planung und den Start der Videosprechstunde erforderlichen Angaben zu machen:

• Die Eingabe des Vornamens und Namen ist erforderlich, da nach § 5 Abs. 1 Ziffer 3 Satz 2 der Anlage 31b zum BMV-Ä der Klarname des Patienten für den Arzt erkennbar sein muss.
• Die Eingabe der E-Mail-Adresse ist erforderlich, da an diese dem Patienten ein Bestätigungs-Mail zur Terminanfrage sowie nach Terminannahme durch einen Leistungserbringer mit gesonderter E-Mail eine Link zur Durchführung der Videosprechstunde geschickt wird.

Rechtsgrundlage für die Datenverarbeitung ist die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO, um eine Videosprechstunde durchführen zu können.

6.2  Telemedizinische Beratung /Videosprechstunde (app.doccuraplus.de)

Über den erhaltenen Link begibt sich der Patient zum vereinbarten Beratungstermin in das virtuelle Wartezimmer.

Der Patient wird im virtuellen Wartezimmer vom Arzt kontaktiert, d.h. er bekommt vom Arzt eine Aufforderung die Videosprechstunde anzunehmen bzw. zu starten. Durch Anklicken eines Buttons „Hörersymbol“ kann der Patient die Videosprechstunde starten. Der Arzt begibt sich zum vereinbarten Beratungstermin in sein Wartezimmer und informiert den Patienten durch Anklicken eines Buttons (Kamerasymbol) darüber, dass er für die Videosprechstunde bereit ist. Klarnamen werden dem jeweils anderen Gesprächspartner angezeigt (Anzeige des Klarnamens nach § 5 Abs. 1 Ziffer 3 Satz 2 der Anlage 31b zum BMV-Ä). Es erfolgt keine Aufzeichnung der Videosprechstunde bzw. deren Inhalte. Arzt und Patient können Mikrofon und Kamera ein- und ausschalten. Der Patient verlässt das Wartezimmer mit Klick auf „Wartezimmer verlassen“ und die Videosprechstunde ist beendet. Ebenso kann die Videosprechstunde durch den Arzt durch Anklicken eines entsprechenden Buttons beendet werden. Damit ist die Videosprechstunde abgeschlossen.

Rechtsgrundlage für die Datenverarbeitung ist die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO, um eine Videosprechstunde durchführen zu können.

6.3  Abrechnung ärztliche Leistungen

Die Abrechnung der ärztlichen Leistungen (EBM oder GOÄ) und die damit verbundene Verarbeitung personenbezogener Daten obliegt ausschließlich dem ein Beratungsgespräch durchführenden Leistungserbringer. Die Bayerische TelemedAllianz GmbH führt keine Datenverarbeitung im Auftrag durch.

7  Abrechnung der Nutzungsentgelte für doccura+

7.1 Patienten

Die Nutzung der Plattform doccura+ ist für Patienten unentgeltlich, sodass von Patienten durch die Bayerische TelemedAllianz keine abrechnungsbezogenen Daten erhoben und gespeichert werden.

7.2  Leistungserbringer

Die Vergütung der Leistungserbringer für die Nutzung von doccura+ richtet sich nach dem Lizenzvertrag und den Tarifdetails, denen ein Leistungserbringer bei Anlage seines Benutzerkontos zustimmt. Doccura+ nutzende Leistungserbringer erhalten von der Bayerischen TelemedAllianz GmbH eine Rechnung. Dabei werden folgende Kategorien von Daten verarbeitet:

• Name und Adressdaten
• Konto-/Bankdaten
• Tarifdaten/Daten zur Datennutzung (Trafffic)
  
  

Die Verarbeitung personenbezogener Daten ist zur Erfüllung der Nutzungs- und Lizenzvereinbarung erforderlich. Rechtsgrundlage hierfür ist Art. 6 Abs. 1b DSGVO

8  Kundeninformationen

Soweit uns von bezahlungspflichtigen Kunden (Leistungserbringer) eine im Rahmen der Registrierung bzw. zur Übermittlung der Rechnung zur Verfügung gestellt E-Mail-Adresse in unserer Kundenverwaltung vorliegt, nutzen wir diese für die Übersendung von Kundeninformationen per E-Mail auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit f DSGVO). Die Versendung von Informationen per E-Mail auch ohne ausdrückliche Einwilligung erfolgt gem. § 7 Abs. 3 UWG. Inhalt der Kundeninformationen können Hinweise zum Betrieb von doccura+ (z.B. Wartungsarbeiten), Neuerungen bei doccura+, aktuelle Entwicklungen im Bereich eHealth und Videosprechstunden, ergänzende Informations- und Leistungsangebote der Bayerischen TelemedAllianz GmbH sowie Hinweise zu Veranstaltungen sein. Der Übersendung von Kundeninformationen per E-Mail kann vom Kunden jederzeit widersprochen werden, ohne dass ihm Kosten entstehen. Es erfolgt jedoch keine Löschung der E-Mail-Adresse in unserer Kundenverwaltung, da diese für weitere Zwecke zur Durchführung des Vertragsverhältnisses (z.B. Rechnungsübersendung) benötigt wird (Art. 6 Abs. 1 lit b DSGVO)

Patienten erhalten keine derartigen Informationen per E-Mail. Deren E-Mail-Adresse wird ausschließlich für die in Abschnitt 6.1 genannten Zwecke verarbeitet.

9 Weitere Informationen zu Datenverarbeitungen

9.1 Datenverarbeitung bei Login (Leistungserbringer)

Für den Login-Prozess des Leistungserbringers verschlüsselt die doccura+-Software das Passwort und die Benutzereingabe mithilfe der kryptologischen Hashfunktion bcrypt und vergleicht die eingegebenen Daten mit den Daten in der Datenbank. bcrypt verwendet einen modifizierten Schlüssel-Setup-Algorithmus, der recht zeitaufwendig ist. Dies wird als Schlüsselverstärkung bezeichnet und macht ein Kennwort sicherer vor Brute-Force-Angriffen. Dieser komplette Prozess erfolgt über https und ssl-security. Der Videoanruf entsteht über eine Peer-to-Peer-Verbindung und ist somit Ende-zu-Ende-verschlüsselt. Ein Peer-to-Peer-Netzwerk (P2P) wird erstellt, wenn zwei oder mehr Endgeräte verbunden sind und Ressourcen gemeinsam nutzen, ohne einen separaten Server-Computer zu verwenden. Somit werden keine Daten auf den doccura+-Servern gespeichert. In doccura+ beziehen sich die Metadaten nur auf die Logs. Es gibt eine zeitlich festgelegte Aufgabe auf dem Server. Die Aufgabe löscht die entsprechenden Protokolle alle drei Monate. Dritte können nicht auf unsere Server zugreifen.

9.2. Sichtbarkeiten (app.doccuraplus.de)

Auf den Inhalt eines individuellen Benutzerkontos haben ausschließlich die jeweiligen Kontoinhaber Zugriff und Einsicht. In den jeweiligen Konten werden folgende Daten angezeigt:

Im Benutzerkonto eines Leistungserbringers werden für die Terminbuchung bzw. -bestätigung die Klarnamen der Patienten angezeigt, die einen Beratungstermin anfragen.

9.3  Anmeldedaten, Zugriffsdaten und Nutzungsdaten zu den einzelnen Features des Login-Bereichs:

• Zweckbestimmung: Verbindungsaufbau, Darstellung der Inhalte der Dienstleistung, Entdeckung von Angriffen auf unsere Seite anhand ungewöhnlicher Aktivitäten, Fehlerdiagnose, Erbringung unserer Services
• Rechtsgrundlage: Art. 6 Abs. 1 b), f) DSGVO
• Ggf. berechtigtes Interesse: Ordnungsgemäße Funktion der Services, Sicherheit von Daten und Geschäftsprozessen, Verhinderung von Missbrauch, Verhütung von Schäden durch Eingriffe in Informationssysteme, Verbesserung unserer Services
• Speicherdauer: Dauer der eingeloggten Session

10 Dauer der Datenspeicherungen

Soweit wir auf keine spezifischen Fristen für die Speicherung von hinweisen, ist in doccura+ die jeweilige Zweckbindung maßgeblich. Demnach werden Daten von uns gelöscht, wenn der Zweck ihrer Erhebung und Verarbeitung wegfällt bzw. nicht mehr gegeben ist. Speicherdauer ist demnach grundsätzlich und soweit in diesen Hinweisen zum Datenschutz nicht anders angegeben die Dauer des Vertragsverhältnisses bzw. bei Termindaten spätestens die Dauer von 90 Tagen.

Sie haben zudem das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe zutrifft und die Verarbeitung nicht für einen der in Art. 17 Abs. 3 DSGVO geregelten Zwecke erforderlich ist.

Soweit aus rechtlichen oder sonstigen Gründen eine Dokumentations- und Aufbewahrungspflicht besteht (wie z.B. gemäß Ärztlicher Berufsordnung, Bundesmantelvertrag Ärzte, Verjährungsfristen nach dem Bürgerlichen Gesetzbuch, Abgabenordnung, Handelsgesetzbuch) und eine darüberhinausgehende Speicherung erforderlich ist, werden die Daten bis zum Ablauf der verpflichtenden Aufbewahrungsfrist gespeichert.

Soweit Daten zu löschen sind, werden diese gelöscht. Es erfolgt keine Anonymisierung oder Pseudonymisierung von Daten.

11 Datenverarbeitungen bei externen technischen Dienstleistern

11.1  Vorbemerkung

Für den Betrieb von doccura+ nutzen wir technische Dienstleister, die uns Speicherplatz und Verarbeitungskapazitäten in ihren Rechenzentren zur Verfügung stellen und nach unserer Weisung auch personenbezogene Daten in unserem Auftrag verarbeiten; eine Verarbeitung personenbezogener Daten durch Dienstleister zu eigenen Zwecken erfolgt zu keinem Zeitpunkt. Mit allen Dienstleistern haben wir Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen und deren technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten geprüft. Alle Dienstleister unterliegen den Vorschriften der DSGVO und verarbeiten personenbezogene Daten ausschließlich innerhalb der Europäischen Union bzw. im Geltungsbereich der DSGVO.

11.2  Videoplattform app.doccuraplus.de

Für die technische Infrastruktur zum Betrieb von app.doccuraplus.de nutzen wir Server der Telekom Deutschland GmbH. Weitere Informationen zum Datenschutz finden Sie in der Datenschutzrichtlinie der Telekom Deutschland GmbH unter: https://open-telekom-cloud.com/de/datenschutz.

Für den Versand von E-Mails bei app.doccuraplus.de setzen wir Sendinblue ein. Bei Sendinblue handelt es sich um einen Dienst der Firma Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland. Informationen zum Datenschutz finden Sie unter https://www.newsletter2go.de/datenschutz/ sowie unter https://de.sendinblue.com/legal/privacypolicy/

Für den Aufbau und die Durchführung einer Videoverbindung zwischen Leistungserbringer und Patienten unter app.doccuraplus.de nutzen wir APIZEE. Anbieter ist APIZEE, 11 rue Blaise Pascal, 22300 Lannion, Frankreich. Jedes Mal, wenn eine unserer Seiten APIRTC-Funktionen abruft, wird eine Verbindung zu APIZEE-Servern hergestellt. Eine Speicherung personenbezogener Daten erfolgt nicht. Insbesondere werden keine IP-Adressen länger als 90 Tage gespeichert oder das Nutzungsverhalten ausgewertet. Weitere Informationen zum Datenschutz finden Sie in der APIZEE-Datenschutzrichtlinie unter https://www.apizee.com/privacy.

12 Datenübermittlungen

12.1 Datenübermittlungen an Drittländer

Er erfolgt keine Übermittlung von Daten in Drittstaaten durch die Bayerische TelemedAllianz GmbH.

12.2 Übermittlung an staatliche Behörden

Wir übermitteln Ihre personenbezogenen Daten an staatliche Behörden (einschließlich Strafverfolgungsbehörden), wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich bzw. vorgeschrieben ist (Art. 6 Abs. 1 Satz 1 lit. c DSGVO). Darüber hinaus verarbeiten wir Ihre personenbezogenen Daten auch, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt in diesem Fall auf Basis unserer überwiegenden berechtigten Interessen an der Rechtsdurchsetzung im Sinne des Art. 6 Abs. 1 Satz 1 lit. f DSGVO.

13 Ihre Rechte

Widerrufsrecht gemäß Art. 7 Abs. 3 DSGVO:

Sie haben das Recht, eine einmal erteilte Einwilligung in die Verarbeitung von Daten jederzeit, ohne die Nennung von Gründen mit Wirkung für die Zukunft ganz oder zu Teilen zu widerrufen. Im Falle des Widerrufs werden wir die betroffenen Daten unverzüglich löschen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt.

Auskunftsrecht gem. Art. 15 DSGVO:

Sie haben jederzeit das Recht auf unentgeltliche Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung. Wenn Sie Fragen hierzu haben, die Ihnen diese Datenschutzhinweise nicht beantworten konnte, können Sie sich jederzeit unter folgender E-Mail-Adresse oder über die im Impressum angegebenen Kontaktdaten an uns wenden: info@doccuraplus.de.

Recht auf Berichtigung gemäß Art. 16 DSGVO:

Sie haben das Recht, umgehend die Berichtigung der betreffenden unrichtigen personenbezogenen Daten zu fordern. Sie haben unter Berücksichtigung der Zwecke der Verarbeitung das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu fordern.

Recht auf Löschung gemäß Art. 17 DSGVO:

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten bei Vorliegen der Voraussetzungen des Art. 17 Abs. 1 DSGVO zu verlangen. Dieses Recht besteht jedoch insbesondere dann nicht, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO:

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, solange die von Ihnen bestrittene Richtigkeit Ihrer Daten überprüft wird, wenn Sie eine Löschung Ihrer Daten wegen unzulässiger Datenverarbeitung ablehnen und stattdessen die Einschränkung der Verarbeitung Ihrer Daten verlangen, wenn Sie Ihre Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, nachdem wir diese Daten nach Zweckerreichung nicht mehr benötigen oder wenn Sie Widerspruch aus Gründen Ihrer besonderen Situation eingelegt haben, solange noch nicht feststeht, ob unsere berechtigten Gründe überwiegen.

Recht auf Unterrichtung gemäß Art. 19 DSGVO:

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen. Es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht das Recht zu, über diese Empfänger unterrichtet zu werden.

Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO:

Sie haben das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen, soweit dies technisch machbar ist.

Recht auf Widerspruch gemäß Art. 21 DSGVO:

Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen. Die Bayerische TelemedAllianz GmbH verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Beschwerde gemäß Art. 77 DSGVO:

Ihnen steht, unbeschadet anderer Rechtsbehelfe, jederzeit das Recht zu, sich bei einer Aufsichtsbehörde zu beschweren, falls Sie der Auffassung sind, dass die Verarbeitung personenbezogener Daten durch die Bayerische TelemedAllianz GmbH gegen Vorschriften der DSGVO verstößt. Die für die Bayerische TelemedAllianz GmbH zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach

Telefon: +49 (0) 981 180093-0
Telefax: +49 (0) 981 180093-800 
E-Mail: poststelle@lda.bayern.de
https://www.lda.bayern.de

Beschwerden können auch online eingereicht werden unter: https://www.lda.bayern.de/de/beschwerde.html

14  Datenpannen gemäß Art. 33 DSGVO (Datenschutzverletzungen)

Gemäß Art. 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Die Aufsichtsbehörden haben hierfür größtenteils online umfangreiche Eingabemasken eingerichtet, die wir benutzen werden. Von einer Meldung kann nur dann abzusehen sein, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt und setzt demnach die Beschäftigung mit einer dahingehenden Prognoseentscheidung des Verantwortlichen voraus. Zur Abschätzung des Risikos hat die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – DSK) in ihrem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht, das im Internet einsehbar ist und das wir anwenden. Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Risiko für die persönlichen, Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen, deren Daten Gegenstand des Notfalls waren, zu benachrichtigen. Der Umgang mit einer Datenpanne endet nicht mit der Meldung bei der Aufsichtsbehörde und ggf. der Wiederherstellung des Normalbetriebs. Bei der Meldung werden wir angeben, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von Maßnahmen, die einen weiteren Datenschutznotfall dieser Art verhindern können. Auch wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an die zuständige Aufsichtsbehörde endet, werden wir den erkannten Vorfall nach Art. 33 Abs. 5 DSGVO entsprechend dokumentieren. Dies dient der Information der Aufsichtsbehörde im Falle einer Prüfung, was Grundlage dieser Entscheidung war. Ein zentraler Punkt ist bei doccura+ bei Datenpannen die rechtzeitige Einbindung des Datenschutzbeauftragten. Dieser kann aus neutraler Sicht entscheidende Hilfestellungen zur Risikobewertung geben und letztlich in der Funktion als weisungsunabhängige Kontrollinstanz zur richtigen Handhabe des Vorfalls durch doccura+ einen wichtigen Beitrag leisten.

15  Besondere Datenschutzhinweise für Leistungserbringer

Der Leistungserbringer hat für die Verarbeitung personenbezogener Patientendaten die rechtlichen Rahmenbedingungen zu beachten, die sich insbesondere aus den Vorschriften der Datenschutzgrundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Fünften Sozialgesetzbuchs (SGB V) und – soweit anwendbar – des Zehnten Sozialgesetzbuchs (SGB X) ergeben. Bei der konkreten Umsetzung kann sich der Leistungserbringer an den „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung orientieren. Im Hinblick auf die Sicherheit der Verarbeitung der Daten hat der Leistungserbringer in seinen Räumlichkeiten und IT-Systemen zu gewährleisten, dass die erforderlichen technischen und organisatorischen Maßnahmen eingehalten werden. Die Videosprechstunde hat zur Gewährleistung der Datensicherheit und eines störungsfreien Ablaufes in geschlossenen Räumen, die eine angemessene Privatsphäre sicherstellen, stattzufinden. Zu Beginn der Videosprechstunde hat auf beiden Seiten eine Vorstellung aller im Raum anwesenden Personen zu erfolgen. Aufzeichnungen jeglicher Art sind während der Videosprechstunde nicht gestattet. Die Videosprechstunde darf nur von einem Leistungserbringer durchgeführt werden. Der Leistungserbringer darf für die Videosprechstunde ausschließlich gemäß §5 zertifizierte Videodienstanbieter nutzen.

Die zunehmende elektronische Kommunikation und Vernetzung der Leistungserbringer bietet Chancen, birgt aber auch Gefahren hinsichtlich der Datensicherheit. Als Leistungserbringer sind Sie deshalb beim beruflichen Einsatz von EDV verpflichtet, die Sicherheit der Patientendaten zu gewährleisten. Zusätzlich zu den Regelungen der ärztlichen Schweigepflicht gelten für Sie auch die Datenschutzgesetze, allen voran die Bestimmungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG neu). Diese regeln die verschiedenen Phasen der Datenverarbeitung und die Anforderungen an die Datensicherheit. Vor diesem Hintergrund haben die Bundesärztekammer und die Kassenärztliche Bundesvereinigung schon im Jahre 2008 „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ und eine zugehörige technische Anlage veröffentlicht, die laufend aktualisiert werden. Darin enthalten sind rechtliche, technische und organisatorische Orientierungshilfen bei der Umsetzung von Datenschutz und Datensicherheit in der Praxis. Ein Schwerpunkt betrifft die ärztliche Dokumentation, die Datenkommunikation in der Praxis und die Online-Anbindung. Sehr viel detaillierter als die Empfehlungen geht die technische Anlage auf erforderliche IT-Schutzmaßnahmen ein. Das inhaltliche Spektrum reicht vom Umgang mit Passwörtern über die Nutzung des Internets und Intranets, das Einrichtungen von lokalen und drahtlosen Netzwerken bis hin zur Entsorgung von Datenträgern und Archivierung.

Teilweise existieren Überschneidungen mit dem Thema der Informationssicherheit. Einige wichtige Punkte haben wir nachfolgend zusammengestellt: Erstellen Sie Regeln für die Verwendung von effektiven und individuellen Passwörtern durch ihre Mitarbeiter. Dazu zählen auch Schreibweisen (zum Beispiel mindestens 6 Buchstaben und 1 Zeichen) und eine begrenzte Gültigkeit. Die Option „Speicherung von Passwörtern“ sollte im Betriebssystem deaktiviert werden. Viren-Schutz: Die meisten IT-Sicherheitsvorfälle ereignen sich im Zusammenhang mit Computerviren.

Daher sind aktuelle Viren-Schutzprogramme unverzichtbar. Schadprogramme können über Datenträger oder über Netze (Internet, Intranet) verbreitet werden. Auch für Rechner ohne Internetanschluss sind Schutzprogramme erforderlich. Es empfiehlt sich, E-Mails und jegliche Kommunikation über das Internet zentral auf Viren zu untersuchen. Zusätzlich sollte jeder Computer mit einem lokalen Viren-Schutzprogramm ausgestattet sein, das ständig im Hintergrund läuft. In der Regel genügt es, nur ausführbare Dateien, Skripte, Makrodateien etc. zu überprüfen. Ein vollständiges Durchsuchen aller Dateien empfiehlt sich trotzdem in regelmäßigen Abständen, zum Beispiel vor einer Tages- oder Monatssicherung, und ist bei einem festgestellten Befall durch Schadprogramme immer notwendig. Aktuelle Empfehlungen und ausführliche Hintergrundinformationen finden Sie auf www.bsi.deunter dem Stichwort Schadprogramme. Sie sollten Strategien zur Datensicherung und Datenwiederherstellung erarbeiten, damit Sie im Notfall kurzfristig zumindest eine eingeschränkte Funktionsfähigkeit herstellen können. Vergeben Sie rollen- bzw. personenbezogenen Zugriffsrechte auf das EDV-System und prüfen Sie deren Vergabe. Die Konfiguration der Datenzugriffsrechte sollte für jeden Benutzer auf das Notwendige beschränkt werden. Es sollten keine Administratorrechte für normale Benutzer vergeben werden. Informieren Sie die Mitarbeiter über die sichere Verwendung von Passwörtern (siehe oben) und machen Sie deutlich, dass diese konsequent einzuhalten ist. Nutzen Sie z.B. Chip-Karten, wenn Sie elektronische Patientendaten für den Transport verschlüsseln oder sich zum Beispiel gegenüber einem Web-Portal als Leistungserbringer authentisieren wollen. Informieren Sie Ihre Mitarbeiter über die nach der Berufsordnung geltende gesetzliche Schweigepflicht. Alle Praxismitarbeiter, aber auch externe Personen wie EDV-Berater, Support-Mitarbeiter und Reinigungspersonal, welcher Zugang zu personenbezogenen Daten haben, müssen die Regelungen zum Datenschutz kennen und Datenschutzhinweise unterschreiben. Wenn Sie eine elektronische Patientenverwaltung per PVS führen, sind alle Mitarbeiter im Arbeitsvertrag oder durch eine separate Verpflichtungserklärung auch auf das Datengeheimnis nach §5 BDSG zu verpflichten. Externe Dienstleister dürfen nur bei Bedarf Zugang zu diesen Daten erhalten. Weisen Sie nicht nur bei der Einstellung neuer Mitarbeiter auf die gesetzlichen Vorgaben hin, nutzen Sie dazu auch die regelmäßigen Teamsitzungen und Mitarbeitergespräche. Überprüfen Sie, ob sie, ob sie einen internen oder externen Datenschutzbeauftragten bestellen müssen. Weiterhin sind alle Verfahrensregeln einzuhalten, die vonseiten der Telematikinfrastruktur vorgegeben werden (www.gematik.de).

16  Aktualisierungen/Änderungen

Wir behalten uns das Recht vor, diese Hinweise zum Datenschutz regelmäßig zu überprüfen und an aktuelle technische und rechtliche Änderungen anzupassen. Sie finden das Datum der aktuellen Version am Ende dieser Hinweise zum Datenschutz unter „Stand“. Ihre fortgesetzte Nutzung der Plattform doccura+ nach Veröffentlichung solcher Änderungen stellt Ihre Zustimmung zu solchen Änderungen an den Datenschutzbestimmungen dar und gilt als Ihr Einverständnis der Bindung an die geänderten Bestimmungen.

Stand: 27.04.2022, Version 1.4