Datenschutzerklärung
1) Einleitung und Kontaktdaten des Verantwortlichen
1.1 Wir freuen uns, dass Sie unsere Website besuchen, und bedanken uns für Ihr Interesse. Im Folgenden informieren wir Sie über den Umgang mit Ihren personenbezogenen Daten bei der Nutzung unserer Website. Personenbezogene Daten sind hierbei alle Daten, mit denen Sie persönlich identifiziert werden können.
1.2 Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist Dr. med. Sandra Kurbin, Urologische Praxis, Moosbauerweg 5, 82515 Wolfratshausen, Deutschland, Tel.: 0172 790 6935, Tel.: +49 (0) 8171 999 499 (Hinweis: Unser KI-gestützter Telefonassistent nimmt Ihr Anliegen auf, wir rufen zeitnah zurück), E-Mail: urologie@kurbin.de. Der für die Verarbeitung von personenbezogenen Daten Verantwortliche ist diejenige natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
1.3 Zuständige Aufsichtsbehörde
Die für uns zuständige Datenschutz-Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Telefon: +49 (0) 981 180093-0, E-Mail: poststelle@lda.bayern.de. Sie haben das Recht, sich bei dieser Aufsichtsbehörde gemäß Art. 77 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.
2) Datenerfassung beim Besuch unserer Website
2.1 Bei der bloß informatorischen Nutzung unserer Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur solche Daten, die Ihr Browser an den Seitenserver übermittelt (sog. „Server-Logfiles"). Wenn Sie unsere Website aufrufen, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen die Website anzuzeigen:
- Unsere besuchte Website
- Datum und Uhrzeit zum Zeitpunkt des Zugriffes
- Menge der gesendeten Daten in Byte
- Quelle/Verweis, von welchem Sie auf die Seite gelangten
- Verwendeter Browser
- Verwendetes Betriebssystem
- Verwendete IP-Adresse (in anonymisierter Form)
Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Verbesserung der Stabilität und Funktionalität unserer Website. Eine Weitergabe oder anderweitige Verwendung der Daten findet nicht statt. Die Server-Logfiles werden nach spätestens 7 Tagen automatisch gelöscht. Sollten konkrete Anhaltspunkte auf eine rechtswidrige Nutzung hinweisen, behalten wir uns vor, die innerhalb dieses Zeitraums noch vorhandenen Logfiles bis zur endgültigen Klärung des Vorfalls aufzubewahren und auszuwerten.
2.2 Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten und anderer vertraulicher Inhalte (z.B. Anfragen an den Verantwortlichen) eine SSL- bzw. TLS-Verschlüsselung. Sie können eine verschlüsselte Verbindung an der Zeichenfolge „https://" und dem Schloss-Symbol in Ihrer Browserzeile erkennen.
3) Hosting, Content-Delivery & DNS
Hosting und Content-Delivery bei Amazon Web Services (AWS)
Für das Hosting unserer Website nutzen wir die Dienste der Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg („AWS"). Die Speicherung der Website-Inhalte sowie die Verarbeitung der auf unserer Website erhobenen Daten (insbesondere Server-Logfiles, vgl. Ziffer 2.1) erfolgen in Rechenzentren der AWS-Region Frankfurt am Main (eu-central-1), Deutschland.
Die Auslieferung der Seiteninhalte an Ihren Browser erfolgt über das Content-Delivery-Network (CDN) Amazon CloudFront. Ein CDN sorgt dafür, dass Inhalte über geografisch verteilte Serverstandorte (sog. Edge-Standorte) schnell und zuverlässig ausgeliefert werden. Beim Abruf unserer Website wird Ihre Anfrage (einschließlich Ihrer IP-Adresse und technischer Verbindungsdaten) an den Ihnen geografisch nächstgelegenen Edge-Standort geleitet. Bei Besuchern aus Deutschland erfolgt die Auslieferung in der Regel über Edge-Standorte innerhalb der Europäischen Union; abhängig von Ihrem Standort und der Netzauslastung kann die Verarbeitung jedoch auch über Edge-Standorte außerhalb der EU erfolgen.
AWS ist ein Unternehmen mit US-amerikanischer Konzernmutter (Amazon.com, Inc.). Soweit eine Verarbeitung in Drittländern (insbesondere den USA) erfolgt oder ein Zugriff aus Drittländern (z. B. im Rahmen von Support- oder Wartungstätigkeiten) nicht vollständig ausgeschlossen werden kann, bestehen geeignete Garantien gemäß Art. 44 ff. DSGVO: AWS ist unter dem EU-US Data Privacy Framework zertifiziert, das auf Basis eines Angemessenheitsbeschlusses der Europäischen Kommission die Einhaltung des europäischen Datenschutzniveaus sicherstellt; ergänzend sind EU-Standardvertragsklauseln vereinbart.
Wir haben mit AWS einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (AWS GDPR Data Processing Addendum) geschlossen, der den Schutz der Daten unserer Seitenbesucher sicherstellt und eine unberechtigte Weitergabe an Dritte untersagt. Rechtsgrundlage für den Einsatz von AWS ist unser berechtigtes Interesse an einer sicheren, stabilen und effizienten Bereitstellung unserer Website gemäß Art. 6 Abs. 1 lit. f DSGVO.
Domain Name System (Amazon Route 53)
Die Namensauflösung unserer Domains erfolgt über den DNS-Dienst Amazon Route 53 von AWS. Dies umfasst sowohl den Aufruf unserer Website als auch die für den E-Mail-Verkehr erforderlichen DNS-Einträge (z. B. MX-Einträge, die auf unseren E-Mail-Anbieter 1&1 IONOS verweisen). Bei einer DNS-Anfrage verarbeitet AWS die IP-Adresse des anfragenden Systems sowie den angefragten Domainnamen, um die technische Erreichbarkeit von Website und E-Mail-Diensten zu ermöglichen. Inhalte von E-Mails oder sonstige Kommunikationsinhalte werden dabei nicht durch AWS verarbeitet; die Zustellung und Speicherung von E-Mails erfolgt ausschließlich über die Server der 1&1 IONOS SE in Deutschland. Eine dauerhafte Speicherung personenbezogener Daten im Rahmen der Namensauflösung erfolgt durch uns nicht. Es gelten die vorstehenden Ausführungen zu Auftragsverarbeitung und Drittlandtransfer. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Erreichbarkeit unserer Website und E-Mail-Kommunikation).
E-Mail-Dienste (1&1 IONOS)
Unsere E-Mail-Postfächer sowie die revisionssichere E-Mail-Archivierung (vgl. Ziffer 4) werden – getrennt vom Website-Hosting – über die 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, auf Servern in Deutschland betrieben. Die Inhalte unserer E-Mail-Kommunikation werden ausschließlich bei 1&1 IONOS in Deutschland verarbeitet und gespeichert; AWS wirkt lediglich an der Namensauflösung mit (siehe Abschnitt Domain Name System). Mit 1&1 IONOS haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen; die eingesetzten Mitarbeiter sind auf Vertraulichkeit und – soweit einschlägig – nach § 203 Abs. 4 StGB verpflichtet.
4) Kontaktaufnahme
Im Rahmen der Kontaktaufnahme mit uns (z.B. per Kontaktformular oder E-Mail) werden personenbezogene Daten erhoben. Welche Daten im Falle der Nutzung eines Kontaktformulars erhoben werden, ist aus dem jeweiligen Kontaktformular ersichtlich. Diese Daten werden ausschließlich zum Zweck der Beantwortung Ihres Anliegens bzw. für die Kontaktaufnahme und die damit verbundene technische Administration gespeichert und verwendet.
Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf die Anbahnung oder Durchführung eines Behandlungsvertrages gerichtet ist (z. B. Terminanfragen, Fragen zur Behandlung). Bei sonstigen Anfragen ohne Vertragsbezug stützen wir die Verarbeitung auf unser berechtigtes Interesse an der Beantwortung Ihres Anliegens gemäß Art. 6 Abs. 1 lit. f DSGVO. Ihre Daten werden nach abschließender Bearbeitung Ihrer Anfrage gelöscht. Dies ist der Fall, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist und sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Hinweis zu Gesundheitsdaten
Wenn Sie uns per E-Mail oder Kontaktformular Informationen zu Ihrem Gesundheitszustand zukommen lassen, verarbeiten wir diese Daten ausschließlich zur Beantwortung Ihrer Anfrage im Rahmen der medizinischen Vorsorge oder Behandlung (Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG). Wir wahren dabei die ärztliche Schweigepflicht gemäß § 203 StGB. Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Für besonders sensible Gesundheitsinformationen empfehlen wir den direkten Kontakt per Telefon oder persönlich in der Praxis.
Unsere E-Mail-Adressen im Überblick
Wir nutzen unterschiedliche E-Mail-Adressen mit unterschiedlichem Zweck und unterschiedlicher Speicherdauer:
- urologie@kurbin.de und rechnung@kurbin.de — geschäftliche Korrespondenz (z. B. mit Praxen, Kliniken, Kollegen, Behörden, Lieferanten sowie Rechnungs- und Buchhaltungsvorgänge). Diese E-Mails werden revisionssicher archiviert (siehe unten).
- anmeldung@urologie-wor.de — Adresse für die Kontaktaufnahme von Patientinnen und Patienten (z. B. über das Kontaktformular). Diese E-Mails werden nicht revisionssicher archiviert und können auf Wunsch gelöscht werden (siehe Abschnitt „Patientenkontakt über anmeldung@urologie-wor.de").
Revisionssichere E-Mail-Archivierung (geschäftliche Adressen)
Eingehende und ausgehende E-Mails an unsere geschäftlichen Adressen urologie@kurbin.de und rechnung@kurbin.de werden automatisiert und revisionssicher gemäß den Grundsätzen ordnungsmäßiger Buchführung (GoBD) archiviert. Die Archivierung erfolgt über den Dienst der 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, auf Servern innerhalb der Europäischen Union, vorrangig in Deutschland (siehe auch Ziffer 3, Abschnitt E-Mail-Dienste). Mit 1&1 IONOS haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Die eingesetzten Mitarbeiter sind auf Vertraulichkeit und die Einhaltung datenschutzrechtlicher Vorgaben verpflichtet. Soweit erforderlich, erfolgt eine Verpflichtung des Auftragsverarbeiters nach § 203 Abs. 4 StGB; entsprechende Regelungen sind im Auftragsverarbeitungsvertrag enthalten bzw. werden ergänzend vereinbart, sodass die ärztliche Schweigepflicht auch bei der technischen Verarbeitung gewahrt bleibt.
Zweck und Rechtsgrundlage
Die Archivierung der geschäftlichen E-Mail-Kommunikation dient ausschließlich der Erfüllung gesetzlicher Aufbewahrungspflichten (insbesondere §§ 147 AO, 257 HGB) sowie der revisionssicheren Dokumentation handels- und steuerrechtlich relevanter Vorgänge.
Führendes System für alle behandlungsrelevanten Informationen ist unser Praxisverwaltungssystem (PVS). Enthält eine eingehende oder ausgehende E-Mail behandlungsrelevante Inhalte, werden diese in die Patientenakte des PVS überführt und dort gemäß § 630f BGB dokumentiert (Rechtsgrundlage Art. 9 Abs. 2 lit. h DSGVO). Nach der Überführung wird die Nachricht aus dem aktiven Mailbestand (Posteingang, Unterordner) entfernt.
Soweit die ursprüngliche Nachricht zusätzlich aus handels- oder steuerrechtlichen Gründen der Aufbewahrungspflicht unterliegt (z. B. als Beleg zu einem Rechnungs- oder Abrechnungsvorgang), verbleibt sie im revisionssicheren Archiv. Das Archiv ist dabei nicht das führende System für medizinische Daten, sondern dient allein der Erfüllung der genannten gesetzlichen Pflichten. Behandlungsrelevante Inhalte, die sich im Archiv befinden, unterliegen der unten beschriebenen Zugriffsbeschränkung und werden im Sinne von Art. 18 DSGVO nur noch eingeschränkt verarbeitet.
Wir begrenzen die in das Archiv überführte Datenmenge auf das erforderliche Maß: Erkennbar nicht aufbewahrungspflichtige Nachrichten (z. B. Spam, unerwünschte Werbung) werden – soweit technisch möglich – bereits vorgelagert aussortiert und nicht archiviert. Eine darüber hinausgehende inhaltliche Einzelselektion zwischen aufbewahrungspflichtigen und nicht aufbewahrungspflichtigen Nachrichten ist im laufenden Betrieb technisch nicht mit vertretbarem Aufwand zuverlässig möglich; die Archivierung erfolgt daher im Regelfall für die verbleibenden eingehenden und ausgehenden geschäftlichen Nachrichten.
Für die Übermittlung sensibler Gesundheitsinformationen bitten wir Patientinnen und Patienten ausdrücklich, nicht die geschäftlichen Adressen, sondern die hierfür vorgesehenen Kanäle zu nutzen (persönliches Gespräch, Telefon, Praxis vor Ort oder die nicht archivierte Adresse anmeldung@urologie-wor.de).
Rechtsgrundlagen sind:
- Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 147 AO, 257 HGB (gesetzliche Aufbewahrungspflichten)
- Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 630f BGB, soweit E-Mails behandlungsrelevante Inhalte enthalten, die in die Patientenakte überführt werden
Speicherdauer
Die E-Mails werden entsprechend den jeweils einschlägigen gesetzlichen Aufbewahrungsfristen gespeichert (regelmäßig bis zu 10 Jahre) und anschließend automatisch gelöscht. Maßgeblich ist dabei die längste einschlägige Frist.
Zugriffsbeschränkung
Auf das revisionssichere E-Mail-Archiv besteht im regulären Praxisbetrieb kein Zugriff durch das Praxispersonal. Zugriffe erfolgen ausschließlich in begründeten Ausnahmefällen (z. B. behördliche Anordnung, steuerliche Prüfung, gerichtliche Anforderung) und werden protokolliert.
Patientenkontakt über anmeldung@urologie-wor.de
Für die Kontaktaufnahme von Patientinnen und Patienten steht die Adresse anmeldung@urologie-wor.de zur Verfügung (z. B. über unser Kontaktformular). E-Mails an diese Adresse werden nicht revisionssicher archiviert. Sie werden ausschließlich zur Bearbeitung Ihres Anliegens verarbeitet und nach abschließender Erledigung gelöscht. Auf Ihren Wunsch löschen wir Ihre an diese Adresse gerichteten Nachrichten im Rahmen Ihres Rechts auf Löschung (Art. 17 DSGVO), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Bitte beachten Sie: E-Mails an anmeldung@urologie-wor.de sind den Mitarbeiterinnen und Mitarbeitern der urologischen Praxis zugänglich. Beschränken Sie Ihre Angaben über diese Adresse bitte auf das für Ihr Anliegen Notwendige (z. B. den Terminwunsch oder den allgemeinen Anlass) und übermitteln Sie möglichst keine detaillierten medizinischen Unterlagen wie Befunde, Diagnosen oder Laborwerte. Bei der Übertragung im Internet können trotz Verschlüsselung Dritte Zugriff auf die Daten erlangen, was zu erheblichen Nachteilen für Sie führen kann. Für die Übertragung der Daten von Ihrem E-Mail-Programm (Mail-Client) bis zu uns ist die urologische Praxis nicht verantwortlich. Für detaillierte oder besonders sensible Gesundheitsinformationen nutzen Sie bitte das persönliche Gespräch, den telefonischen Kontakt oder die Praxis vor Ort.
Ihre Rechte
Eine vorzeitige Einzellöschung aus dem revisionssicheren Archiv ist technisch nicht möglich und rechtlich unzulässig. Bei einem berechtigten Löschbegehren nach Art. 17 DSGVO werden die Daten in den aktiven Systemen (Posteingang, Unterordner) gelöscht und die Verarbeitung im Archiv gemäß Art. 18 DSGVO eingeschränkt. Nach Ablauf der jeweiligen Aufbewahrungsfrist erfolgt die endgültige Löschung. Ihre Rechte auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO), Widerspruch (Art. 21 DSGVO) sowie Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO) bleiben unberührt. Zuständige Aufsichtsbehörde für unsere Praxis ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.
5) Webanalysedienste
Matomo
Diese Webseite nutzt den Webanalysedienst Matomo in der gehosteten Variante „Matomo Cloud". Anbieter ist die InnoCraft Ltd., 150 Willis Street, 6011 Wellington, Neuseeland. Die Analysedaten werden auf Servern innerhalb der Europäischen Union (Hosting-Standort Deutschland) erhoben und ausgewertet; eine Speicherung außerhalb der EU findet nicht statt. InnoCraft verarbeitet die Daten ausschließlich weisungsgebunden als Auftragsverarbeiter für uns; hierzu besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Soweit der Anbieter seinen Sitz in Neuseeland hat, ist ein angemessenes Datenschutzniveau durch den Angemessenheitsbeschluss der Europäischen Kommission für Neuseeland (Art. 45 DSGVO) gewährleistet. Eine Weitergabe an sonstige Dritte findet nicht statt.
Matomo wird datenschutzfreundlich konfiguriert: Die IP-Adresse wird vor jeder Speicherung anonymisiert, es werden keine Cookies gesetzt, und es erfolgt kein Device Fingerprinting. Zur Unterscheidung einzelner Besuche innerhalb eines 24-Stunden-Fensters nutzt Matomo eine sog. „config_id" – einen zeitlich begrenzten Hash aus anonymisierten Browser- und Systemeinstellungen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der statistischen Analyse des Nutzerverhaltens zu Optimierungszwecken). Da keine Cookies oder vergleichbare Technologien eingesetzt werden, die Informationen auf Ihrem Endgerät speichern oder abrufen, ist eine Einwilligung nach § 25 TDDDG nicht erforderlich.
Widerspruchsmöglichkeit: Sie können der Erfassung Ihrer Daten durch Matomo jederzeit mit Wirkung für die Zukunft widersprechen. Eine entsprechende Widerspruchsmöglichkeit (Opt-Out) stellen wir Ihnen auf unserer Website bereit.
Matomo Opt-Out (Widerspruchsmöglichkeit)
Sie können der Erfassung Ihrer Daten durch Matomo hier widersprechen:
6) Seitenfunktionalitäten
Google Maps
Diese Webseite nutzt den Online-Kartendienst Google Maps (API) der Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland („Google"). Google Maps ist ein Webdienst zur Darstellung interaktiver Karten, um geographische Informationen visuell darzustellen. Über die Nutzung dieses Dienstes wird Ihnen unser Standort angezeigt und eine etwaige Anfahrt erleichtert.
Die Einbindung der Karte erfolgt über eine zweistufige Lösung (Zwei-Klick-Verfahren): Die Karte wird erst geladen, nachdem Sie aktiv in die Datenübertragung eingewilligt haben. Ohne Ihre Einwilligung werden keine Daten an Google übertragen.
Nach erteilter Einwilligung werden beim Laden der Karte Informationen über Ihre Nutzung unserer Website (insbesondere Ihre IP-Adresse) an Server von Google übertragen und dort gespeichert. Dabei kann es auch zu einer Übermittlung an die Server der Google LLC in den USA kommen. Wenn Sie bei Google eingeloggt sind, werden Ihre Daten direkt Ihrem Konto zugeordnet. Wenn Sie die Zuordnung mit Ihrem Profil bei Google nicht wünschen, müssen Sie sich vor Aktivierung der Karte ausloggen.
Rechtsgrundlage für die Datenverarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG für den Zugriff auf Informationen in Ihrem Endgerät. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die entsprechende Einstellung in unserem Consent-Banner anpassen.
Für Datenübermittlungen in die USA hat sich Google dem EU-US Data Privacy Framework angeschlossen, das auf Basis eines Angemessenheitsbeschlusses der Europäischen Kommission die Einhaltung des europäischen Datenschutzniveaus sicherstellt. Weitere Hinweise zum Datenschutz von Google finden sich unter: https://business.safety.google/intl/de/privacy/
Cookie-Einwilligung / Consent-Management
Zur Einholung, Verwaltung und Dokumentation Ihrer Einwilligungen in den Einsatz von Cookies und ähnlichen Technologien (z. B. Google Maps) setzen wir ein Consent-Management-Tool ein. Beim ersten Besuch unserer Website erscheint ein Banner, über den Sie einzeln auswählen können, welche Dienste Sie zulassen möchten. Technisch notwendige Cookies sind hiervon ausgenommen; sie werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 Nr. 2 TDDDG gesetzt. Ihre Einwilligungsentscheidung wird für einen Zeitraum von maximal 12 Monaten gespeichert und kann jederzeit über das Banner angepasst oder widerrufen werden.
Online-Terminvereinbarung (CGM CLICKDOC / ClickDoc)
Auf unserer Website bieten wir die Möglichkeit zur Online-Terminvereinbarung über den Dienst CGM CLICKDOC pro (nachfolgend „ClickDoc") der CompuGroup Medical Software GmbH (CGMSW), Maria Trost 21, 56070 Koblenz, Deutschland, an. Das Widget wird erst geladen, nachdem Sie aktiv in die Datenübertragung eingewilligt haben.
Im Rahmen der Nutzung von ClickDoc werden folgende Daten erhoben und verarbeitet:
- Personenstammdaten (Name, Geburtsdatum, Geschlecht)
- Kontaktdaten (Adresse, Telefon, E-Mail)
- Termindaten (gewünschte Terminart, Datum, Uhrzeit, behandelnder Arzt)
- Technische Betriebsdaten (IP-Adresse, Zugriffsdatum/-zeitpunkt, Browserversion) – maximal 30 Tage Speicherung
- Versicherungsdaten (soweit für die Terminbuchung erforderlich)
Die personenbezogenen Daten werden vor der Übertragung verschlüsselt und ausschließlich auf Servern der CompuGroup Medical SE & Co. KGaA (CGMSE) in Deutschland gespeichert. Weder Mitarbeiter von CGMSW noch von CGMSE noch Dritte haben Zugriff auf die verschlüsselten Patientendaten. Eine Übermittlung in Drittländer findet nicht statt.
Rechtsgrundlage: Die Verarbeitung Ihrer Daten (z. B. Name, Terminzeitpunkt) erfolgt zur Anbahnung oder Durchführung des Behandlungsvertrages gemäß Art. 6 Abs. 1 lit. b DSGVO. Soweit Sie dabei Angaben zu Ihrem Gesundheitszustand machen (z. B. im Feld „Besuchsgrund"), ist die Rechtsgrundlage Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG, da die Verarbeitung zur medizinischen Diagnostik oder Behandlung erforderlich ist. Hinsichtlich der technischen Betriebsdaten und der Einwilligung zur Widget-Aktivierung gilt zudem Art. 6 Abs. 1 lit. a DSGVO.
Ihre Daten werden nach Kündigung des Vertragsverhältnisses zwischen unserer Praxis und CGMSW gemäß den gesetzlichen Aufbewahrungsfristen gelöscht; technische Betriebsdaten werden nach spätestens 30 Tagen gelöscht. Sie haben das Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und Löschung Ihrer gespeicherten Daten. Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung von CGMSW: www.cgm.com/de_de/meta/datenschutz.html
Wir haben mit der CGMSW einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen, der den Schutz Ihrer Daten sicherstellt und eine unberechtigte Weitergabe an Dritte untersagt.
CGM One TelefonAssistent und OnlineRezeption
Wir setzen in unserer Praxis den KI-gestützten CGM one TelefonAssistenten sowie die CGM one OnlineRezeption ein, damit wir Ihre Anfrage effizient erfassen und Ihr Anliegen, etwa in Form von Terminbuchung, Rezeptanfrage oder Rückrufwunsch, schnell aufnehmen und bearbeiten können. Dies dient maßgeblich der Verbesserung unserer Abläufe in der Praxis und der Entlastung des Praxisteams, damit mehr Zeit für unsere Patienten zur Verfügung steht.
Telefonassistent
Wenn Sie unsere Rufnummer anrufen und unser Assistent Sie begrüßt, werden Sie gleich zu Beginn darüber informiert, dass Sie mit einem KI-gestützten Telefonassistenten sprechen. Vor der Aufnahme Ihrer Anfrage fragt der Assistent Ihre ausdrückliche Einwilligung für die Bearbeitung des Anliegens ab, insbesondere auch dazu, ob das Gespräch zu Zwecken der Nachvollziehbarkeit und Qualitätskontrolle aufgezeichnet und dauerhaft gespeichert werden darf.
Im Rahmen der Bearbeitung Ihres Anliegens erfasst und verarbeitet der Assistent folgende Angaben:
- Ihren Namen
- Ihr Geburtsdatum
- Ihre Telefonnummer
- den Anlass Ihres Anrufs
- sowie eventuell weitere freiwillige Angaben zu Ihrer Gesundheit, wenn diese für Ihr Anliegen erforderlich sind.
Diese Daten werden zu dem Zweck verarbeitet, Ihr Anliegen zuverlässig entgegenzunehmen und an unser Praxisteam zu übermitteln sowie gegebenenfalls, sofern Sie der Speicherung der Aufnahme zugestimmt haben, zur Sicherstellung der Qualität und Nachvollziehbarkeit der Bearbeitung durch die Praxis.
Rechtsgrundlage für die Verarbeitung Ihrer Daten durch den Telefonassistenten ist Ihre ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Soweit Gesundheitsdaten verarbeitet werden, erfolgt dies auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO. Sie können zunächst einwilligen, dass Ihr Gespräch aus Gründen der Nachvollziehbarkeit und Qualitätskontrolle aufgezeichnet und gespeichert wird und Ihre Angaben, einschließlich möglicher Gesundheitsdaten, zur Bearbeitung Ihres Anliegens durch unser Praxisteam verarbeitet werden. Alternativ können Sie einer Aufzeichnung widersprechen und dennoch in die elektronische Verarbeitung Ihrer Angaben zur Bearbeitung Ihres Anliegens durch unser Praxisteam einwilligen, ohne dass dabei das Gespräch als Audiodatei dauerhaft gespeichert wird. Ihre Einwilligung(en) können Sie jederzeit – direkt im Gespräch oder zu einem späteren Zeitpunkt, etwa per E-Mail an die Praxis – widerrufen. Im Falle eines Widerrufs werden Ihre Daten ab diesem Zeitpunkt nicht weiterverarbeitet.
Sofern Sie der Verarbeitung Ihrer Daten durch den Telefonassistenten insgesamt widersprechen, kann dieser das begonnene Gespräch nicht fortführen und wird Ihre Daten nicht speichern oder an uns weitergeben. In diesem Fall stehen Ihnen alternativ weitere Kontaktmöglichkeiten zur Verfügung, wie auf unserer Praxiswebseite mitgeteilt. Sie können unseren Telefonassistenten jederzeit erneut anrufen.
OnlineRezeption
Wir bieten zudem die CGM One OnlineRezeption für die Terminvergabe und Terminerinnerung an. Dieses System ergänzt den Telefonassistenten und ermöglicht eine sichere, effiziente und strukturierte Organisation von Terminwünschen und sonstigen Anliegen, die wir direkt über unsere Praxiswebseite entgegennehmen können.
Die Verarbeitung der von Ihnen eingegebenen Daten erfolgt zum Zweck der Aufnahme und Bearbeitung Ihres Anliegens. Im Rahmen der Bearbeitung verarbeiten wir:
- Ihren Namen
- Ihr Geburtsdatum
- Ihre Telefonnummer (für etwaige Rückrufe)
- den Anlass Ihres Kontakts
- sowie gegebenenfalls weitere freiwillige Angaben zu Ihrer Gesundheit, sofern diese für Ihr Anliegen erforderlich sind.
Rechtsgrundlage für diese Verarbeitung ist Ihre ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO sowie, soweit Gesundheitsdaten betroffen sind, Art. 9 Abs. 2 lit. a DSGVO. Die Einwilligung können Sie jederzeit, etwa per E-Mail an die Praxis, widerrufen. Im Falle eines Widerrufs werden Ihre Daten ab diesem Zeitpunkt nicht weiterverarbeitet.
Gemeinsame Hinweise zu TelefonAssistent und OnlineRezeption
Anbieter des TelefonAssistenten und der OnlineRezeption ist die CompuGroup Medical Deutschland AG bzw. ein mit ihr verbundenes Unternehmen der CompuGroup Medical SE & Co. KGaA, Maria Trost 21, 56070 Koblenz („CGM"). CGM verarbeitet die Daten in unserem Auftrag; wir haben hierzu einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Soweit CGM für einzelne technische Funktionen (z. B. Spracherkennung) weitere Unterauftragsverarbeiter einsetzt, sind diese vertraglich auf die Einhaltung der datenschutzrechtlichen Vorgaben sowie – soweit einschlägig – auf die Vertraulichkeit nach § 203 Abs. 4 StGB verpflichtet.
Die Verarbeitung durch den Telefonassistenten und die OnlineRezeption erfolgt technisch überwiegend auf Servern innerhalb der Europäischen Union. Sollte aus technischen Gründen eine Übertragung in Drittländer erforderlich sein, wird dies durch geeignete Garantien wie EU-Standardvertragsklauseln und/oder das Datenschutzabkommen zwischen Europa und den USA (Data Privacy Framework) abgesichert. Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung findet nicht statt; über Ihr Anliegen entscheidet stets unser Praxisteam, nicht die KI.
Behandlungsrelevante Angaben aus Ihrem Anliegen (z. B. Rezept- oder Terminwünsche mit medizinischem Bezug) werden in unser Praxisverwaltungssystem (PVS) übernommen und dort als Bestandteil der Patientendokumentation gemäß § 630f BGB aufbewahrt (Rechtsgrundlage Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG). Die im TelefonAssistenten bzw. in der OnlineRezeption gespeicherten Rohdaten (einschließlich etwaiger Gesprächsaufzeichnungen) werden unabhängig davon längstens 60 Tage gespeichert und anschließend vollständig gelöscht, es sei denn, andere gesetzliche Vorschriften verlangen eine längere Aufbewahrung.
7) Rechte des Betroffenen
7.1 Das geltende Datenschutzrecht gewährt Ihnen gegenüber dem Verantwortlichen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten die nachstehenden Betroffenenrechte (Auskunfts- und Interventionsrechte), wobei für die jeweiligen Ausübungsvoraussetzungen auf die angeführte Rechtsgrundlage verwiesen wird:
- Auskunftsrecht gemäß Art. 15 DSGVO
- Recht auf Berichtigung gemäß Art. 16 DSGVO
- Recht auf Löschung gemäß Art. 17 DSGVO
- Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
- Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO
- Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO
- Recht auf Beschwerde bei der Aufsichtsbehörde gemäß Art. 77 DSGVO (siehe Ziffer 1.3)
7.2 Widerspruchsrecht
WENN WIR IM RAHMEN EINER INTERESSENABWÄGUNG IHRE PERSONENBEZOGENEN DATEN AUFGRUND UNSERES ÜBERWIEGENDEN BERECHTIGTEN INTERESSES VERARBEITEN, HABEN SIE DAS JEDERZEITIGE RECHT, AUS GRÜNDEN, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN, GEGEN DIESE VERARBEITUNG WIDERSPRUCH MIT WIRKUNG FÜR DIE ZUKUNFT EINZULEGEN.
Machen Sie von Ihrem Widerspruchsrecht Gebrauch, beenden wir die Verarbeitung der betroffenen Daten. Eine Weiterverarbeitung bleibt aber vorbehalten, wenn wir zwingende schutzwürdige Gründe für die Verarbeitung nachweisen können, die Ihre Interessen, Grundrechte und Grundfreiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
Werden Ihre personenbezogenen Daten von uns verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen. Machen Sie von Ihrem Widerspruchsrecht Gebrauch, beenden wir die Verarbeitung der betroffenen Daten zu Direktwerbezwecken.
8) Dauer der Speicherung personenbezogener Daten
Die Dauer der Speicherung von personenbezogenen Daten bemisst sich anhand der jeweiligen Rechtsgrundlage, am Verarbeitungszweck und – sofern einschlägig – zusätzlich anhand der jeweiligen gesetzlichen Aufbewahrungsfrist (z.B. handels- und steuerrechtliche Aufbewahrungsfristen).
Bei der Verarbeitung von personenbezogenen Daten auf Grundlage einer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO werden die betroffenen Daten so lange gespeichert, bis Sie Ihre Einwilligung widerrufen.
Existieren gesetzliche Aufbewahrungsfristen für Daten, die im Rahmen rechtsgeschäftlicher bzw. rechtsgeschäftsähnlicher Verpflichtungen auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeitet werden, werden diese Daten nach Ablauf der Aufbewahrungsfristen routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind und/oder unsererseits kein berechtigtes Interesse an der Weiterspeicherung fortbesteht.
Bei der Verarbeitung von personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO werden diese Daten so lange gespeichert, bis Sie Ihr Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO ausüben, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Sofern sich aus den sonstigen Informationen dieser Erklärung über spezifische Verarbeitungssituationen nichts anderes ergibt, werden gespeicherte personenbezogene Daten im Übrigen dann gelöscht, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
Bei medizinischen Daten richtet sich die Speicherdauer zudem nach den berufsrechtlichen und gesetzlichen Vorgaben zur Patientendokumentation (insbesondere § 630f BGB), die eine Aufbewahrungsfrist von mindestens 10 Jahren nach Abschluss der Behandlung vorsehen. In bestimmten Fällen (z. B. bei Röntgenbildern oder speziellen Therapien) können längere gesetzliche Fristen von bis zu 30 Jahren bestehen.