Datenschutzerklärung des MVZ Timmermann & Partner
1) Für die Erfassung und Verarbeitung von persönlichen und personenbezogenen Daten gelten auch für uns gesetzliche Bestimmungen, so insbesondere seit dem 25.05.2018 die EU-Verordnung 2016/679 vom 26.04.2016 – Datenschutz-Grundverordnung – (im Weiteren DSGVO abgekürzt). Das Bundesdatenschutzgesetz (BDSG) vom 30.06.2017 regelt den Datenschutz ergänzend zur DSGVO. Ergänzende landesrechtliche Regelungen trifft das Niedersächsische Datenschutzgesetz (NDSG) vom 16.05.2018.
2) Nach diesen Vorschriften sind wir u. a. zu verschiedenen Angaben und Informationen verpflichtet. Dieser Pflicht kommen wir auch an dieser Stelle nach.
3) Unsere Patienten werden mit ihren persönlichen Daten erfasst. Es werden folgende persönliche Daten erhoben und im Sinne der DSGVO verarbeitet: Name, gegebenenfalls akademischer Zusatz (z.B. „Dr.“), Vorname, Geburtsdatum, Angaben zur geschlechtlichen Unterscheidung („w“, „m“, „d“), Anschrift, Telefon- und Faxnummern, Email-Anschrift, Krankenkasse, Datum des Beginns des Kontakts, Datum der Beendigung der Dienstleistung. IBAN und BIC werden erhoben, sofern Zahlungen an die Patienten zu erwarten sind. Unabhängig davon gehen Patientendaten in die Buchhaltung und die Kontenverwaltung ein. Bei Minderjährigen und anderen gesetzlich vertretenen Personen werden auch die nötigen der vorgenannten Daten der gesetzlichen Vertretung erhoben.
Die Erfassung und Verarbeitung dieser Daten ist nötig,
– um unsere Patienten bei unserer Dienstleistung und der zugehörigen verwaltungsmäßigen Abwicklung zu individualisieren und damit sicher auseinander zu halten,
– um unsere Leistungen entsprechend den rechtlich gegebenen Möglichkeiten abzurechnen,
– um Zahlungsverkehre mit ihnen ohne spätere Nachfragen abwickeln zu können.
4) Wer sich am Telefon oder im Empfang nur nach den Behandlungsmöglichkeiten erkundigt, wird noch nicht mit seinen persönlichen Daten erfasst. Die Erfassung findet statt, wenn ein erstes Arzt- oder Therapeuten-Gespräch gewünscht wird.
5) Natürliche und juristische Personen, mit denen wir zusammenarbeiten oder zu denen wir aus beruflichen Gründen Kontakt halten – Partner der Zusammenarbeit – , auch z.B. Handwerksfirmen, oder die als Gäste zu Veranstaltungen des MVZ geladen wurden oder zu zukünftigen geladen werden wollen, werden mit folgenden Daten erfasst: Name, Vorname, ggf. akademischer Namenszusatz, Anschrift, Telefon- und Faxnummern, Email-Anschrift. Bei juristischen Personen werden auch die entsprechenden persönlichen Daten der Personen erfasst, die die juristische Person gesetzlich vertreten, und die Rechtsform, das Registergericht und die Registernummer, wenn sie registriert ist.
Diese Daten aus aktuellem Anlass aus einer geordneten Speicherung abrufen zu können, ist für die tägliche Arbeit notwendig.
6) Auch die persönlichen Daten des Personals, also der Personen, die in unserer Partnerschaftsgesellschaft Gesellschafter oder beschäftigt sind oder sich darum bewerben, werden erfasst, in Dateien gespeichert und für die Verwaltung unseres Dienstleistungs- Unternehmens bei Bedarf im jeweils erforderlichen Umfang abgerufen und verwendet.
Das ist notwendig, um die rechtlichen Verhältnisse der Gesellschafter und Mitarbeitenden entsprechend den bestehenden Verträgen und den rechtlichen Anforderungen ordnen und regeln zu können.
7) Bei den Patienten werden außer den in 3) genannten persönlichen Daten auch Daten, Fakten, Hintergründe und Hinweise erfasst und gespeichert, die ihre Erkrankung und die ihnen erbrachten Dienstleistungen betreffen – Dokumentation.
Das ist notwendig, um die Patienten auch über längere Zeit individuell und entsprechend dem zur Gesundung Erforderlichen in der jeweils beteiligten Berufssparte beraten und versorgen zu können und um die rechtlichen Anforderungen an die Dokumentation erfüllen zu können.
Außerdem werden Patienten gebeten, vor der Behandlung Fragebögen auszufüllen, wie sie in der psychosomatischen und psychotherapeutischen Behandlung von Kindern, Jugendlichen und Erwachsenen zur biopsychosozialen Befunderhebung üblich sind.
Bei der Dokumentation und den Fragebögen werden auch die von Artikel 9 Absatz 1 DSGVO besonders geschützten Kategorien personenbezogener Daten erfasst. Das ist zulässig, soweit es im jeweiligen Einzelfall für die in Artikel 9 Absatz 2 h DSGVO genannten Zwecke erforderlich ist und diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden, das der Pflicht zur Geheimhaltung unterliegt (Artikel 9 Absatz 3 DSGVO), was bei dem mitwirkenden Personal im MVZ der Fall ist. Artikel 9 Absatz 2 h DSGVO gestattet nämlich Ausnahmen für folgende Zwecke: Gesundheitsvorsorge, Arbeitsmedizin, Beurteilung der Arbeitsfähigkeit des Beschäftigten, medizinische Diagnostik, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des deutschen Rechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs.
8) Die vorgenannten Verarbeitungen (der Begriff wird in Artikel 4 Nr. 2 DSGVO definiert) sind rechtmäßig, weil die Verarbeitung erforderlich ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betreffende Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen (Artikel 6 Absatz 1 b DSGVO).
Soweit die Patienten-Daten auch im Hinblick auf die Dokumentations-Pflicht verarbeitet werden, ist dies rechtmäßig, weil diese Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (Artikel 6 Absatz 1 c DSGVO).
Die Verarbeitung der Daten, die wir von Partnern der Zusammenarbeit und Gästen erheben (oben 5) ist rechtmäßig, auch soweit zu ihnen vertragliche Beziehungen nicht bestehen, wenn die betroffenen Personen ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben haben (Artikel 6 Absatz 1 a DSGVO). Andernfalls ist die Verarbeitung rechtmäßig, weil sie zur Wahrung der berechtigten Interessen des Verantwortlichen (siehe 13) erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen (Artikel 6 Absatz 1 f DSGVO). Die Kontaktdaten der Partner der ständigen Zusammenarbeit in einer aktuell gehaltenen Datei zu erfassen und aus gegebenem Anlass abrufen zu können, ist für eine gut strukturierte Unternehmensverwaltung unvermeidlich.
9) Wenn andere als die genannten personenbezogene Daten erhoben werden (z. B. Hinweise auf den Beruf bei Gästen, vgl. oben 5), geschieht dies auf freiwilliger Basis – freiwillige Angaben. Die Einwilligung kann widerrufen werden (Artikel 7 Abs. 3 Satz 1 DSGVO). Hatte die Person in die Verarbeitung ihrer Daten eingewilligt, lässt der Widerruf der Einwilligung die Rechtmäßigkeit der bis dahin erfolgten Datenverarbeitung unberührt (Art. 7 Abs. 3 Satz 2 DSGVO). Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen (Art. 7 Abs. 3 Satz 3 DSGVO), wenn die Datenverarbeitung auf einer Einwilligung beruht.
10) Die betroffene Person hat das Recht, die unverzügliche Löschung von sie betreffenden personenbezogene Daten zu verlangen, die sie freiwillig angegeben hatte oder die ohne ihre Mitwirkung in die Datei gelangt sind, wenn sie die gegebene Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt (Artikel 17 Abs. 1 b DSGVO).
11) Die Pflicht, eigene personenbezogene Daten im genannten erforderlichen Umfang zu nennen (bereitzustellen), ergibt sich für Patienten aus dem unserer Dienstleistung zu Grunde liegenden Vertrag. Jedoch bezieht sich die Pflicht gegebenenfalls nicht darauf, die bereit zu stellenden Daten auf elektronischem Weg zu übermitteln. Jedem steht es frei, seine Daten schriftlich zu senden oder in Schriftform zu übergeben.
12) Anforderungen an die Datenverarbeitung: Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden,
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesem Zweck nicht zu vereinbarenden Weise weiterverarbeitet werden,
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein,
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden,
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist,
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Artikel 5 Absatz 1 DSGVO).
13) Wir sind als Partnerschaftsgesellschaft organisiert und im Partnerschaftsregister des Amtsgerichts Hannover eingetragen. Über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet bei uns die Gesellschafterversammlung. Sie ist deshalb der Verantwortliche (Artikel 4 Nr. 7 DSGVO; vgl. oben 8 Absätze 2 und 3). Für die Gesellschafterversammlung handelt der Geschäftsführer. Sie erreichen den Verantwortlichen unter der Anschrift:
MVZ Timmermann & Partner
– z. Hd. des Geschäftsführers –
Marienstraße 37a
27472 Cuxhaven
Der Verantwortliche ist für die Einhaltung der in 12) genannten Anforderungen verantwortlich (Artikel 5 Absatz 2 DSGVO).
14) Personenbezogenen Daten werden solange gespeichert und im datenschutzrechtlichen Sinne auch verarbeitet, z. B. so gut wie möglich aktuell gehalten, wie dies für die genannten Zwecke erforderlich ist. Danach bleiben die Daten nur solange noch erfasst, wie es zur Geltendmachung von Ansprüchen gegen die betroffene Person oder zu Beweiszwecken ihr oder Dritten (z.B. Krankenkassen) gegenüber notwendig ist.
15) Personenbezogene Daten von Personen, die nicht Patienten sind und aus Anlass von Veranstaltungen, im Rahmen der Zusammenarbeit oder aufgrund bestimmter Wünsche der Betroffenen erhoben wurden, bleiben solange gespeichert, wie anzunehmen ist, dass die Person auch weitere Veranstaltungen oder Leistungen nutzen oder jedenfalls über sie informiert werden will.
Sie werden aus der Datei gelöscht, wenn die Person es verlangt und Schulden der Person bei uns nicht mehr bestehen, die die weitere Speicherung der Daten zur Durchsetzung der Ansprüche erfordern. Die betroffene Person hat das Recht, die unverzügliche Löschung zu verlangen, wenn sie dem MVZ und den darin Mitarbeitenden nichts schuldig geblieben ist.
16) Jede Person, von der personenbezogene Daten in den von uns geführten Dateien enthalten sind, hat das Recht (Artikel 15 DSGVO), vollständige und richtige Auskunft über die erfassten Daten nach Maßgabe des Artikel 15 Abs. 1 DSGVO zu verlangen.
17) Wir stellen ihr auf Wunsch eine Kopie ihrer personenbezogenen Daten zur Verfügung, die Gegenstand der Verarbeitung sind. Stellt sie den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt (Artikel 15 Abs. 3 DSGVO).
18) Jede andere Person (vgl. 16) erhält auf schriftliche Anfrage die schriftliche Auskunft, dass von ihr Daten in bei uns geführten Dateien nicht enthalten sind (Artikel 15 Absatz 1 Halbsatz 1 DSGVO).
19) Die betroffene Person hat das Recht, von uns die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen(Artikel 16 Satz 1 DSGVO). Sie kann zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist(Artikel 16 Satz 2 DSGVO).
20) Die betroffene Person hat das Recht, von uns die unverzügliche Löschung sie betreffender Daten zu verlangen, wenn deren Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist, wenn deren Verarbeitung unzulässig war oder geworden ist oder wenn diese Daten zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen (Artikel 17 Absatz 1 a, d und e DSGVO, zu Absatz 1 b siehe oben 10).
21) Die betroffene Person hat das Recht, die Einschränkung der Datenverarbeitung von uns zu verlangen (Artikel 18 DSGVO), wenn entweder
a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird – dann kann sie die Einschränkung für eine Dauer verlangen, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen –
b) oder die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt,
c) oder wir die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigen, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt,
d) oder die betroffene Person gemäß Artikel 21 Absatz 1 DSGVO Widerspruch gegen die Verarbeitung eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Einschränkung der Datenverarbeitung bedeutet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken (Artikel 4 Nr. 3 DSGVO). Die daraus folgenden Pflichten bei der Verarbeitung nennt Artikel 18 Absätze 2 und 3 DSGVO.
22) Die betroffene Person hat das Recht (Artikel 21 Absatz 1 DSGVO), aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Satz 1 f DSGVO erhoben wurden (vgl. 8 Absatz 3), Widerspruch bei uns einzulegen.
Das gilt auch für ein auf diese Bestimmung gestütztes Profiling. Allerdings ist Profiling bei uns weder üblich noch beabsichtigt. Artikel 4 Nr. 4 DSGVO definiert „Profiling“ als jede Art der automatischen Datenverarbeitung personenbezogener Daten, die darin besteht, dass diese verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen,
Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
23) Die betroffene Person hat das Recht (Artikel 21 Abs. 6 DSGVO), aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 DSGVO erfolgt, Widerspruch bei uns einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
24) Die betroffene Person hat das Recht (Artikel 22 Abs. 1 DSGVO), nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Ausnahmen und Einzelheiten nennt Artikel 22 Absätze 2 bis 4 DSGVO.
25) Die betroffene Person hat das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO).
Sofern die Verarbeitung auf einer Einwilligung (Artikel 6 Abs. 1 Satz 1 a) oder auf einem Vertrag (Artikel 6 Abs. 1 Satz 1 b) beruht (vgl. 8) und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, hat sie das Recht, die sie betreffenden personenbezogenen Daten, die sie uns bereit gestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln und zu erwirken, dass sie direkt dem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
26) Die Weitergabe von erfassten persönlichen Daten an Dritte findet statt, wenn und soweit dies zur Erfüllung von gesetzlichen Anforderungen oder Pflichten oder zur Realisierung von Ansprüchen und Rechten erforderlich ist, z. B. bei Anrufung eines Gerichts oder zur Abrechnung unserer Leistungen gegenüber den Zahlungspflichtigen.
In anderen Fällen (z. B. Weitergabe an Labors) setzt die Weitergabe das Einverständnis des Betroffenen und ein besonderes Bedürfnis dafür voraus, das mit der Rechtsordnung vereinbar sein muss. Ist das Einverständnis erklärt, kann es durch Erklärung gegenüber dem MVZ widerrufen werden.
27) Den Schutz der uns anvertrauten Daten nehmen wir sehr ernst. Wir haben deshalb pflichtgemäß Vorkehrungen getroffen, um Zugriffe Unbefugter auf die Daten zu verhindern.
28) Soweit an unserer Datenverarbeitung auch externe Dienstleister beteiligt sind, gelten die Regelungen des Artikel 28 DSGVO.
29) Einen Datenschutzbeauftragten zu benennen, sind wir nicht verpflichtet (Artikel 37 Absatz 4 Satz 1 DSGVO). Nach § 5 Abs. 1 Satz 1 BDSG gilt die Pflicht für öffentliche Stellen, zu denen das MVZ nicht zählt. § 38 BDSG betrifft zwar nichtöffentliche Stellen; die dort geregelten Sachverhalte treffen aber auf uns nicht zu. Eine Pflicht ergibt sich auch nicht aus dem Niedersächsische Datenschutzgesetz (vgl. § 1 Abs. 1 Satz 1 Nr. 2 NDSG).
30) Jeder hat das Recht, sich wegen der Datenverarbeitung bei uns mit einer Beschwerde an die zuständige Aufsichtsbehörde zu wenden (Artikel 57 Abs. 1 f und Artikel 77 DSGVO).
31) Kontaktdaten der zuständigen Aufsichtsbehörde (§ 40 BDSG, § 22 und § 61 Abs. 1 NDSG):
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Tel: 0511 120 45 00 Fax: 0511 120 45 99
E-Mail: poststelle@lfd.niedersachsen.de
Website: www.lfd.niedersachsen.de
32) Eine Datenverarbeitung im datenschutzrechtlichen Sinne findet auch dadurch statt, dass Sie per Internetzugang eine Verbindung zu unserer Internetpräsenz hergestellt haben. Dieser Vorgang wird in der Datenschutzerklärung der Landesbeauftragten für den Datenschutz Niedersachsen wie folgt erklärt:
„Um Kommunikation im Internet zu ermöglichen, müssen Daten von dem Server, auf dem sie gespeichert sind, zu dem angeschlossenen Computer gelangen, der auf die Inhalte zugreifen möchte. Hierzu muss mit der Anfrage, die Daten abzurufen, auch mitgeteilt werden, an welchen Empfänger die Information vom Server übermittelt werden soll. Zu diesem Zwecke sind allen mit dem Internet verbundenen Geräten sog. IP-Adressen zugeordnet. Die Übermittlung der IP-Adresse erfolgt beim Aufruf einer Internetseite automatisch durch den Browser des Nutzers. Zu diesem Zweck werden
die IP-Adressen der Nutzer, die die Webseite der LfD Niedersachsen aufrufen, sowie die durch den Browser übermittelten Daten durch die LfD Niedersachsen verarbeitet.“
33) Wenn diese Internetpräsenz im Internet aufgerufen wird, werden dementsprechend IP-Adressen der Nutzer und die durch den Browser übermittelten Daten (dazu 34) im Rechtssinne verarbeitet. Diese Datenverarbeitung wird von uns weder gesteuert noch beeinflusst. Sie entsteht, weil wir – wie heute üblich – mit einer Internetpräsenz informieren wollen und Sie unser Informationsangebot nutzen. Möglicherweise ist der Host-Provider als unser „Auftragsverarbeiter“ im Sinne des Art. 4 Nr. 8 DSGVO anzusehen. Deshalb machen wir vorsorglich auch auf diese Datenverarbeitung aufmerksam.
34) Der Provider dieser Webseite erhebt und speichert automatisch folgende Informationen, die Ihr Browser automatisch übermittelt:
• Browsertyp / Browserversion
• verwendetes Betriebssystem
• Referrer URL
• Hostname des zugreifenden Rechners
• Datum und Uhrzeit der Serveranfrage.
35) Zu einer ähnlichen automatischen Datenspeicherung führt es auch, wenn zu uns der Kontakt über E-Mails hergestellt und über „antworten“ geantwortet wird. Aufgrund der aufgespielten – ganz gewöhnlichen – Software wird die E-Mail-Anschrift des Anfragenden in den von uns verwendeten Computern gespeichert und kann über die Alphabet-Tasten im Bildschirm wieder aufgerufen werden. Die Zuordnung zu ganz wenigen persönlichen Daten der von dieser Datenverarbeitung Betroffenen, die von ihnen selbst herrühren, ist von uns weder gesteuert noch bezweckt. Sie ist aber hilfreich. Wer sie vermeiden will, sollte auf diesem Weg nicht mit uns kommunizieren. Es darf allerdings angenommen werden, dass diejenigen, die uns per E-Mail anschreiben, sich dieser „Datenverarbeitung“ der Computer- Software aus eigenem Erleben bewusst und mit ihr einverstanden sind.
36) Stand dieser Erklärung: 01.07.2021
Jochen Timmermann
– Geschäftsführer –