Datenschutzhinweise für das Patientenportal der Einrichtungen des Elisabeth Vinzenz Verbundes

Diese Datenschutzhinweise gelten für die Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten im Rahmen der Nutzung des Patientenportals.

Der Elisabeth Vinzenz Verbund (EVV) und dessen Einrichtungen unterliegen weitgehend dem katholischen Datenschutzrecht, insbesondere dem Gesetz über den kirchlichen Datenschutz (KDG), welches im Einklang mit der Datenschutz-Grundverordnung (DSGVO) steht.

1. Gemeinsam Verantwortliche
Der Elisabeth Vinzenz Verbund bietet Ihnen das Patientenportal an. Gemeinsame
Verantwortliche für das Patientenportal im Sinne des KDG sind:

• Elisabeth Vinzenz Verbund GmbH, Alarichstraße 12-17, 12105 Berlin, info@elisabethvinzenz.de
• St. Joseph Krankhaus Berlin-Tempelhof GmbH, Wüsthoffstraße 15, 12101 Berlin, info@sjk.de
• Krankenhaus St. Joseph-Stift Dresden GmbH, Wintergartenstraße 15/17, 01307 Dresden, info@josephstift-dresden.de
• Sankt Elisabeth Krankenhaus Eutin GmbH, Plöner Straße 42, 23701 Eutin, info@sekeutin.de
• Krankenhaus St. Elisabeth und St. Barbara Halle (Saale) GmbH, Mauerstraße 5, 06110 Halle (Saale), info@krankenhaus-halle-saale.de
• St. Bernward Krankenhaus GmbH, Treibestraße 9, 31134 Hildesheim, info@bernwardkhs.de
• Krankenhaus St. Marienstift Magdeburg GmbH, Harsdorfer Straße 30, 39110 Magdeburg, info@st-marienstift.de
• Krankenhaus Reinbek St. Adolf-Stift GmbH, Hamburger Straße 41, 21465 Reinbek, info@krankenhaus-reinbek.de
• St. Elisabeth-Krankenhaus Salzgitter gemeinnützige GmbH, Liebenhaller Straße 20, 38259 Salzgitter, kontakt@st-elisabeth-sz.de
• St. Martini GmbH, Göttinger Str. 34, 37115  Duderstadt, info@krankenhausduderstadt.de
• Vinzenzkrankenhaus Hannover GmbH, Lange-Feld-Straße 31, 30559 Hannover, Geschaeftsfuehrung@vinzenzkrankenhaus.de

Die zuvor genannten Unternehmen bieten Ihnen das Patientenportal an, um die digitale Kommunikation und den sicheren Austausch von Gesundheitsdaten zu ermöglichen. Das Patientenportal ermöglicht eine effiziente Verwaltung von personenbezogenen und medizinischen Daten im Rahmen der Patientenversorgung. Die gemeinsam Verantwortlichen haben einen sog. Vertrag zur gemeinsamen Verantwortung nach § 28 KDG geschlossen. Sie sind daher gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich. Hervorzuheben ist jedoch, dass jedes Unternehmen im EVV (im Folgenden „Diensteanbieter“) nur Zugriff auf die personenbezogenen Daten der eigenen Patientinnen und Patienten hat.

Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben die jeweiligen Diensteanbieter vereinbart, wer von ihnen welche Pflichten nach dem KDG erfüllt. Dies betrifft insbesondere die Wahrnehmung der Rechte der betroffenen Personen und die Erfüllung der Informationspflichten. Für die Erfüllung der Informationspflichten direkt im Patientenportal ist die Elisabeth Vinzenz Verbund GmbH zuständig. Demgegenüber erfüllen die Verantwortlichen die Betroffenenrechte (insbesondere das Recht auf Auskunft) jeweils gegenüber ihren jeweiligen Patientinnen und Patienten. Ebenso ist jeder Diensteanbieter für die Datenlöschung der jeweiligen Daten zuständig, auf die der jeweilige Diensteanbieter Zugriff hat. Die Diensteanbieter unterstützen sich gegenseitig, um ihren datenschutzrechtlichen Pflichten im Rahmen der gemeinsamen Verantwortung nachzukommen.

2. Datenschutzbeauftragte
Bei konkreten Fragen zum Schutz Ihrer Daten können Sie sich gerne an den oder die jeweilige
Datenschutzbeauftragte(n) wenden:

• Für die Elisabeth Vinzenz Verbund GmbH, St. Joseph Krankhaus Berlin-Tempelhof GmbH, Krankenhaus St. Joseph-Stift Dresden GmbH, Krankenhaus St. Elisabeth und St. Barbara Halle (Saale) GmbH, St. Bernward Krankenhaus GmbH, Krankenhaus St. Marienstift Magdeburg GmbH, St. Elisabeth-Krankenhaus Salzgitter gemeinnützige GmbH wenden Sie sich bitte an:
  Elisabeth Vinzenz Verbund GmbH, Datenschutzbeauftragter, Alarichstraße 12-17, 12105 Berlin, datenschutz@elisabethvinzenz.de.
• Für die St. Elisabeth Krankenhaus Eutin GmbH wenden Sie sich bitte an:
  St. Elisabeth Krankenhaus Eutin GmbH, Datenschutzbeauftragter, Plöner Straße 42, 23701 Eutin, heidkamp@sek-eutin.de.
• Für die Krankenhaus Reinbek St. Adolf-Stift GmbH wenden Sie sich bitte an:
  Krankenhaus Reinbek St. Adolf-Stift GmbH, Datenschutzbeauftragter, Hamburger Straße 41, 21465 Reinbek, datenschutz@krankenhaus-reinbek.de.
• Für die St. Martini GmbH wenden Sie sich bitte an:
  St. Martini GmbH Krankenhaus und Altenpflegeheim, Datenschutzbeauftragte, Göttinger Str. 34, 37115 Duderstadt, nstolze-wand@kh-dud.de.
• Für die Vinzenzkrankenhaus Hannover GmbH wenden Sie sich bitte an:
  Vinzenzkrankenhaus Hannover GmbH, Datenschutzbeauftragter, Lange-Feld-Str. 31, 30559 Hannover, datenschutz@vinzenzkrankenhaus.de.

3. Zwecke der Verarbeitung
Die Diensteanbieter stellen über das Patientenportal jeweils allgemeine Informationen zu Ihrer Einrichtung, den Fachbereichen und den dortigen Behandlungsmöglichkeiten zur Verfügung. Darüber hinaus ermöglicht das Patientenportal folgende Interaktionen im Rahmen der Patientenverwaltung:

1. Kontaktaufnahme zur Klärung organisatorischer und medizinischer Anliegen.
2. Terminvereinbarung für ambulante und stationäre Behandlungen, um eine reibungslose Planung und Versorgung sicherzustellen.
3. Informationsaustausch vor, während und nach der Behandlung, um medizinisch relevante Daten strukturiert bereitzustellen und den Behandlungsverlauf zu unterstützen.

Die damit verbundenen Datenverarbeitungen stützen die Diensteanbieter insbesondere auf § 6 Abs. 1 lit. c) i.V.m. § 11 Abs. 2 lit, h) KDG. Soweit die jeweilige Verbundeinrichtung für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholt, dienen §§ 6 Abs. 1 lit. b) i.V.m. 11 Abs. 2 lit. a) KDG als Rechtsgrundlagen.

Das Patientenportal ermöglicht einen gezielten Datenaustausch zwischen Ihnen und dem jeweiligen Diensteanbieter, um eine optimale Behandlungskoordination sicherzustellen. Sie können über diesem Datenaustausch bereits vor ihrem Termin Daten zu ihrer Behandlungshistorie, Vorsorge und gesundheitlicher Verfassung an den jeweiligen Diensteanbieter übermitteln. Sie können zu diesem Zwecke jederzeit weitere Daten, die für Ihren Termin und die Behandlung relevant sind, über das Patientenportal hochladen.

4. Erhebung, Verarbeitung und Nutzung personenbezogener Daten für die Bereitstellung und Nutzung des Patientenportals

4.1. Datenverarbeitungen im Rahmen des Aufrufs des Patientenportals

Bei jedem Zugriff auf das Patientenportal und jedem Abruf einer dort hinterlegten Datei werden
folgende Daten in einem sog. Logfile protokolliert:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer URL
• Datum und Uhrzeit der Serveranfrage
• IP-Adresse
• Art der Serveranfrage und angeforderte Ressource
• HTTP-Statuscode der Serverantwort
• Größe der vom Server an den Nutzer übertragenen Daten

Die genannten Daten werden erhoben, um Ihnen den Besuch des Patientenportals zu ermöglichen und deren Funktionsfähigkeit sicherzustellen [Rechtsgrundlage: § 6 Abs. 1 c) KDG]. Zudem dienen die Daten zur Optimierung des Patientenportals und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme [Rechtsgrundlage: § 6 Abs. 1 g) KDG].

Die Server-Logfiles werden für maximal 14 Tage gespeichert und anschließend gelöscht. Die Speicherung der Daten erfolgt aus Sicherheitsgründen, um z.B. Missbrauchsfälle aufklären zu können. Müssen Daten aus Beweisgründen aufgehoben werden, sind sie, solange von der Löschung ausgenommen, bis der Vorfall endgültig geklärt ist.

4.2. Verwendung von Cookies

Beim Aufruf des Patientenportals kommen sogenannte Cookies zum Einsatz. Bei Cookies handelt es sich um kleine Dateien, die auf Ihrem Endgerät gespeichert werden. Ihr Browser greift auf diese Dateien zu.

Um die Nutzung unseres Patientenportals zu ermöglichen, ist der Einsatz von Cookies erforderlich. Diese Cookies ermöglichen z. B. die Seitennavigation und Spracheinstellungen. Die Nutzung der Cookies ist unbedingt erforderlich i.S.d. § 25 Abs. 2 Nr. 2 TDDDG. Die für die Nutzung der Website erforderlichen Cookies können nicht deaktiviert werden. Sie haben aber die Möglichkeit, das Abspeichern von Cookies auf Ihrem Rechner durch entsprechende Einstellungen in Ihrem Browser zu verhindern. Es ist jedoch nicht gewährleistet, dass Sie auf alle Funktionen dieser Website ohne Einschränkungen zugreifen können, wenn Sie entsprechende Einstellungen vornehmen.

Wir nutzen ausschließlich Sessions-Cookies mit einer Laufzeit von fünf Minuten. Das jeweilige Cookie wird spätestens mit Schließen des Frontends gelöscht.

4.3. Datenverarbeitung im Rahmen der Nutzung des Patientenportals

1. a. Um das Patientenportal aufrufen zu können, ist es nicht erforderlich, dass Sie sich als Nutzer registrieren. Sie können auch einen Termin ohne Registrierung bzw. Anlegung eines Nutzerprofils über das Patientenportal buchen. Um einen Termin über das Patientenportal zu buchen ist es hingegen erforderlich, dass Sie die im Portal mit einem „*“ gekennzeichneten Daten als Pflichtfelder angeben:
   • Name (Vor- und Nachname)
   • E-Mail-Adresse
   • Telefonnummer
   • Geburtsdatum
   • Versicherungsart
   • Sprache
   Die genannten Daten werden zur Terminbuchung genutzt und ohne die Angabe dieser Pflichtfelder* kann eine ordnungsgemäße Terminvereinbarung nicht durchgeführt werden. Sofern Sie weitere Daten zur Terminbuchung (weitere Datenfelder finden Sie im Patientenportal bei der Terminbuchung insbesondere unter der Rubrik „Persönliche Daten“) eingeben, übermitteln Sie diese freiwillig und auch diese werden zum Zweck der Terminbuchung und anschließenden Behandlung verarbeitet.
   
   Zum Zweck der Verifikation und zu Ihrer eigenen Sicherheit übersenden wir Ihnen für die Terminbuchung einen vierstelligen Code (TAN). Sie haben die Möglichkeit, diesen per SMS oder E-Mail zu erhalten.
2. b. Sofern Sie sich dazu entscheiden ein Nutzprofil in unserem Patientenportal anzulegen, können Sie Ihre Daten komfortabel und effizient darüber verwalten. Für die Registrierung eines Nutzerprofils müssen Sie ein Passwort erstellen und Sie haben zusätzlich die Möglichkeit einen „Username“ anzulegen. Diese Daten werden zum Zweck der Profilerstellung genutzt.
3. c. Darüber hinaus können Sie wie zuvor beschrieben im Patientenportal Ihre persönlichen Gesundheitsdaten wie z.B. Behandlungsauftrag, Diagnose, Anamnesebögen, Röntgenbilder, Arztbriefe, Medikationspläne, Fragebögen, Checklisten etc. hochladen. Wir verarbeiten diese Daten nur dann, wenn sie diese an uns übertragen.

5. Empfänger personenbezogener Daten/Unterauftragnehmer

Empfänger Ihrer übermittelten personenbezogenen Daten sind die Gesundheitsfachkräfte, welche an Ihrer Behandlung beim jeweiligen Diensteanbieter bzw. der Gesundheitseinrichtung beteiligt sind sowie Mitarbeitende, die für die Terminverwaltung zuständig sind und daher Einsicht in die zur Terminvereinbarung übermittelten Daten haben. Alle diese Empfänger sind zur Verschwiegenheit verpflichtet.

Darüber hinaus nutzen die Diensteanbieter technische Dienstleister, um Ihnen das Patientenportal anbieten zu können. Mit der Deutsche Telekom Clinical Solutions GmbH wurde zu diesem Zweck ein Auftragsverarbeitungsvertrag geschlossen. Die Deutsche Telekom Clinical Solutions GmbH hat als Unterauftragsverarbeiter die POLAVIS GmbH beauftragt. Für diese Unterbeauftragung besteht ebenfalls ein Auftragsverarbeitungsvertrag, der sicherstellt, dass die datenschutzrechtlichen Pflichten eingehalten werden. Die Mitarbeitenden der Dienstleister sind ebenfalls zur Verschwiegenheit verpflichtet.

6. Aufbewahrung Ihrer Daten

Dokumente zu Ihrer Behandlung sowie alle weiteren Daten, die der jeweilige Diensteanbieter über das Patientenportal von Ihnen erhält werden bei Wahrnehmung des Termins in Ihre (reguläre) Patientenakte übertragen. Es gelten dort die allgemeinen Aufbewahrungsfristen für die Krankenversorgung gemäß der allgemeinen Patienteninformation des jeweiligen Diensteanbieters. Im Fall eines Terminausfalls werden Ihre Dokumente nicht übernommen, da in diesem Fall auch keine Behandlung erfolgt ist.

Personenbezogene Daten zu Terminvorgängen werden nach sechs Monaten archiviert und nach zwölf Monaten gelöscht. Gleiches gilt für Dokumente, die in das Patientenportal eingestellt werden. Gelöschte Termin- und Dokumentenvorgänge können nicht wiederhergestellt werden.

Bei registrierten Nutzerprofilen erfolgt nach 36 Monaten Inaktivität eine Archivierung des Accounts. Nach weiteren zwölf Monaten wird der Account endgültig gelöscht.

7. Terminerinnerung

Zu unserem Patientenportal gehört auch, dass wir Ihnen Terminerinnerungen per E-Mail oder per SMS schicken. Diese Erinnerungen sind Bestandteil des Behandlungsgeschehens und dienen dazu, Ihre medizinische Versorgung optimal zu organisieren. Dies trägt insbesondere dazu bei, das Behandlungsgeschehen ohne Terminversäumnisse sowie eine kontinuierliche medizinische Versorgung sicherzustellen. Gleichzeitig stellen sie einen zusätzlichen Service innerhalb des Patientenportals dar, der Ihnen eine komfortable und verlässliche Terminplanung ermöglicht. Zu diesen Zwecken werden Ihr Name, Kontaktdaten wie Telefonnummer oder E-Mail-Adresse sowie spezifische Informationen zu Ihrem Termin, einschließlich Datum, Uhrzeit und Ort, verarbeitet.

8. Datenverarbeitungen außerhalb der Europäischen Union („EU“) und des Europäischen Wirtschaftsraumes („EWR“)

Die Verarbeitung Ihrer Daten findet in Rechenzentren statt, die sich innerhalb der Bundesrepublik Deutschland und somit innerhalb der EU bzw. des EWR befinden.

9. Ihre Rechte

Ihnen stehen sog. Betroffenenrechte zu, d.h. Rechte, die Sie als im Einzelfall betroffene Person ausüben können. Diese Rechte können Sie gegenüber dem Betreiber der Website, also der jeweiligen Verbundeinrichtung, geltend machen:

Recht auf Auskunft, § 17 KDG
Sie haben das Recht auf Auskunft über die Sie betreffenden gespeicherten personenbezogenen Daten.

Recht auf Berichtigung, § 18 KDG
Wenn Sie feststellen, dass unrichtige Daten zu Ihrer Person verarbeitet werden, können Sie Berichtigung verlangen. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt werden.

Recht auf Löschung, § 19 KDG
Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, wenn bestimmte Löschgründe vorliegen. Dies ist insbesondere der Fall, wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind.

Recht auf Einschränkung der Verarbeitung, § 20 KDG
Sie haben das Recht auf Einschränkung der Verarbeitung Ihrer Daten. Dies bedeutet, dass Ihre Daten zwar nicht gelöscht, aber gekennzeichnet werden, um ihre weitere Verarbeitung oder Nutzung einzuschränken.

Recht auf Datenübertragbarkeit, § 22 KDG
Sie haben das Recht, Ihre uns über die Webseiten bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Recht auf Widerspruch gegen unzumutbare Datenverarbeitung, § 23 KDG
Sie haben grundsätzlich ein allgemeines Widerspruchsrecht auch gegen rechtmäßige Datenverarbeitungen, die im öffentlichen Interesse liegen, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses einer Stelle erfolgen.

Recht auf Widerruf erteilter Einwilligungen, § 8 Abs. 6 KDG
Wenn die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, die Sie dem Betreiber der Homepage gegenüber erklärt haben, dann steht Ihnen das Recht zu, Ihre Einwilligung jederzeit zu widerrufen. Einer Angabe von Gründen bedarf es dafür nicht. Ihr Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem Sie diesen aussprechen. Die Verarbeitung Ihrer Daten bis zu diesem Zeitpunkt bleibt rechtmäßig.

Recht auf Beschwerde bei einer Aufsichtsbehörde, § 48 KDG
Sie haben die Möglichkeit, sich mit einer Beschwerde an den zuvor genannten Datenschutzbeauftragten oder an eine Datenschutzaufsichtsbehörde zu wenden.