Datenschutzinformationen Mein Patientenportal (Android/iOS) für Patienten

1. Geltungsbereich dieser Datenschutzinformationen

Diese Datenschutzinformation betrifft die Nutzung der App Mein Patientenportal (MPP), nachfolgend „MPP-App“ genannt.

Nachfolgend informieren wir Sie insbesondere über Art, Umfang, Zweck, Dauer und Rechtsgrundlage der Verarbeitung personenbezogener Daten bei der Nutzung der MPP-App. Zudem informieren wir Sie nachfolgend über die von uns zu Optimierungszwecken sowie zur Steigerung der Nutzungsqualität eingesetzten Fremdkomponenten, soweit hierdurch Dritte Daten in wiederum eigener Verantwortung verarbeiten.

Personenbezogene Daten (nachfolgend zumeist nur “Daten” genannt) werden von uns nur im Rahmen der Erforderlichkeit sowie zum Zwecke der Bereitstellung einer funktionsfähigen und nutzerfreundlichen Patienten-App, inklusive seiner Inhalte und der dort angebotenen Leistungen, verarbeitet. Gemäß Art. 4 Ziffer 1. der Verordnung (EU) 2016/679, also der Datenschutz-Grundverordnung (nachfolgend nur “DSGVO” genannt), gilt als “Verarbeitung” jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

2. Datenverarbeitung der App-Store-Betreiber

Die MPP-App ist über von Dritten betriebene Vertriebsplattformen, sogenannte App-Stores, erhältlich. Ihr Download setzt ggf. eine vorherige Registrierung beim jeweiligen App-Store und die Installation der App-Store-Software voraus.

Die samedi GmbH hat keinen Einfluss auf die Erhebung und Nutzung von personenbezogenen Daten im Zusammenhang mit Ihrer Registrierung und der Installation sowie bereitgestellten Nutzung der App-Store-Software. Zum Beispiel beim Herunterladen der samedi Patienten-App werden vor allem Nutzername, E-Mail-Adresse und Kundennummer Ihres Accounts, Zeitpunkt des Downloads und Ihre individuelle Gerätekennziffer an den Betreiber des App Stores, z. B. Google Play, übertragen. Für diese Datenerfassung und Übermittlung an den Betreiber, ist der App-Betreiber selbst verantwortlich. Wir besitzen keinen Einfluss auf die Übermittlung dieser personenbezogenen Daten an den Betreiber des App-Stores. Verantwortliche Stelle ist insoweit allein der Betreiber des jeweiligen App-Stores. Bitte informieren Sie sich ggf. direkt bei dem jeweiligen App-Store Anbieter über deren Datenschutzpraktiken.

3. Informationen über die Verantwortlichkeit

Verantwortlich für die Entwicklung und das technische Bereitstellen der MPP-App im App Store ist die samedi GmbH.

Die MPP-App dient als digitale Schnittstelle zwischen dem Patienten und der jeweiligen Gesundheitseinrichtung, die das Patientenportal betreibt. Nach Download der MPP-App können Sie sich in ein bestimmtes Patientenportal einloggen. Verantwortlich (Art. 4 Nr. 7 DSGVO) für das Patientenportal selbst ist die jeweilige Gesundheitseinrichtung. Datenschutzrechtlich handelt samedi bei dem technischen Bereitstellen des MPP als Auftragsverarbeiterin (Art. 28 DSGVO) in der Verantwortung der Gesundheitseinrichtung, bei der Sie sich eingeloggt haben.

Angaben zu samedi als White-Label-Betreiberin der MPP-App:

Datenschutzbeauftragter bei samedi ist:

Alle personenbezogenen Daten, die im Rahmen des Arzt-Patientenverhältnisses verarbeitet werden, liegen in der Verantwortlichkeit der entsprechenden Gesundheitseinrichtung.

4. Cookies

Wir verwenden Cookies. Cookies richten auf Ihrem Endgerät keinen Schaden an und enthalten keine Viren. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Endgerät abgelegt und gespeichert werden.

Die Verwendung von für den Betrieb der MPP-App erforderlichen Cookies beruht auf §§ 25 Abs. 2 Nr. 2 TTDSG. Soweit andere Cookies (z.B. Cookies zur Analyse Ihres Surfverhaltens) gespeichert werden, werden diese in dieser Datenschutzerklärung gesondert behandelt.

5. Plugins und Tools

a) retarus GmbH / E-Mail-Terminerinnerung

Um den Versand und die Zustellung von automatisierten E-Mail Benachrichtigungen zu gewährleisten, nutzen wir die Dienste der retarus GmbH, Aschauer Straße 30, 81549 München, Deutschland (“retarus”). Wenn wir Ihnen eine automatisch generierte E-Mail zuschicken, wird Ihre E-Mail-Adresse und sowie die für die Erinnerung erforderlichen personenbezogenen Daten an die Server von retarus in Deutschland übermittelt, in den Logfiles von retarus gespeichert und nach spätestens 15 Tagen automatisch gelöscht. Rechtsgrundlage für die Verarbeitung Ihrer für die Erinnerung notwendigen personenbezogenen Daten ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie für mögliche Gesundheitsdaten Art. 9 Abs. 2 lit. a DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Um die datenschutzrechtskonforme Bearbeitung der Daten zu gewährleisten, haben wir einen Vertrag über die Auftragsverarbeitung mit retarus geschlossen.

b) retarus GmbH / SMS-Terminerinnerung

Um den Versand und die Zustellung von automatisierten SMS-Benachrichtigungen zu gewährleisten, nutzen wir die Dienste der retarus GmbH, Aschauer Straße 30, 81549 München, Deutschland (“retarus”). Wenn wir Ihnen eine automatisch generierte SMS zuschicken, wird Ihre Handynummer sowie die für die Erinnerung erforderlichen personenbezogenen Daten an die Server von retarus übermittelt.

Rechtsgrundlage für die Verarbeitung Ihrer für die Erinnerung notwendigen personenbezogenen Daten ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie für mögliche Gesundheitsdaten Art. 9 Abs. 2 lit. a DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.

Um die datenschutzrechtskonforme Bearbeitung der Daten zu gewährleisten, haben wir einen Vertrag über die Auftragsverarbeitung mit retarus geschlossen.

c) Push-Benachrichtigungen

Wenn Sie es wünschen und uns Ihre Einwilligung dazu geben, erhalten Sie von uns sogenannte Push-Nachrichten auf Ihr Endgerät. Diese Benachrichtigungen erhalten Sie davon, ob Sie die App gerade nutzen oder nicht. Zu diesem Zweck werden folgenden Kategorien von personenbezogenen Daten verarbeitet: Ihre Push Message ID, die Tatsache, dass Sie in den Erhalt von Push-Nachrichten eingewilligt haben, Ihre Präferenzeinstellungen sowie Ihre Historie von Push-Nachrichten.

Der Empfang von Push-Nachrichten ist nur mit Ihrer Einwilligung möglich. Sie erteilen uns diese Einwilligung, in dem Sie über die Push-Nachrichten in den Einstellungen aktivieren. Im Rahmen der Push-Benachrichtigungen können Ihnen unter Umständen auch Gesundheitsdaten übermittelt werden. Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 Abs. 1 lit. a DSGVO sowie für mögliche Gesundheitsdaten Art. 9 Abs. 2 lit. a DSGVO.

Sie können die Push-Nachrichten jederzeit über die Einstellungen abbestellen und damit Ihre Einwilligung widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Darüber hinaus speichern wir Ihre personenbezogenen Daten nur, soweit dies rechtlich zulässig und notwendig ist, z. B. zur Geltendmachung von oder Verteidigung gegen rechtliche Ansprüche oder solange gesetzliche Pflichten zur Speicherung bestehen.

6. Registrierung für ein MPP-Patienten-Konto und Nutzung von Leistungen der Gesundheitseinrichtung

a) personenbezogene Daten

Sie haben die Möglichkeit, sich nach Download der MPP-App bei einer Gesundheitseinrichtung einzuloggen und dort ein Patientenkonto zu eröffnen.

Sie können sich im Patientenportal ein Konto unter Angabe Ihres Namens sowie Ihrer E-Mail-Adresse anlegen. Durch Ihre Registrierung kann die Gesundheitseinrichtung Ihnen Inhalte oder Leistungen anbieten, die aufgrund der Natur der Sache nur registrierten Benutzern angeboten werden können.

Die von Ihnen in den Pflichtfeldern eingegebenen personenbezogenen Daten werden, sofern in dieser Datenschutzerklärung nichts Anderweitiges statuiert ist, ausschließlich für die Erbringung der vertraglichen Leistungen verarbeitet. Rechtsgrundlage für die Verarbeitung dieser Daten ist somit Art. 6 Abs. 1 lit. b) DSGVO.

Durch die Registrierung für ein Patienten-Konto im jeweiligen Patientenportal wird ferner

• die vom Internet-Service-Provider (ISP) der betroffenen Person vergebene IP-Adresse,
• das Datum sowie
• die Uhrzeit der Registrierung gespeichert.

Die Speicherung dieser Daten erfolgt vor dem Hintergrund des berechtigten Interesses (Art. 6 Abs. 1 lit. f) DSGVO), dass nur so der Missbrauch unserer Dienste verhindert werden kann, und diese Daten im Bedarfsfall ermöglichen, begangene Straftaten aufzuklären. Insofern ist die Speicherung dieser Daten zu unserer Absicherung erforderlich. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, sofern keine gesetzliche Pflicht zur Weitergabe besteht oder die Weitergabe der Strafverfolgung dient.

Neben den Pflichtangaben haben Sie des Weiteren die Möglichkeit im Rahmen Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO bei der Registrierung sowie innerhalb Ihres Kontos folgende weitere personenbezogene Daten anzugeben: Adressdaten, Mobiltelefonnummer, Telefonnummer, Versichertennummer, Krankenversicherung, Kommunikationsdaten. Registrierten Personen steht die Möglichkeit frei, die bei der Registrierung sowie die Innerhalb des Kontos angegebenen personenbezogenen Daten jederzeit abzuändern, aus Patienten-Konto selbst zu löschen oder das Konto durch uns löschen zu lassen.

Der für die Verarbeitung Verantwortliche erteilt jeder betroffenen Person jederzeit auf Anfrage Auskunft darüber, welche personenbezogenen Daten über die betroffene Person gespeichert sind. Ferner berichtigt oder löscht der für die Verarbeitung Verantwortliche personenbezogene Daten auf Wunsch oder Hinweis der betroffenen Person, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Gesamtheit der Mitarbeiter des für die Verarbeitung Verantwortlichen stehen der betroffenen Person in diesem Zusammenhang als Ansprechpartner zur Verfügung.

b) besondere personenbezogene Daten

Ihnen wird die Möglichkeit eingeräumt, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person sowie Gesundheitsdaten für festgelegte Zwecke zu innerhalb Ihres Kontos anzugeben. Dazu gehört die Erstellung einer Gesundheitsakte sowie das Hochladen und Teilen von Dateien. Des Weiteren haben Sie die Möglichkeit, eine Verbindung zu Gesundheitstrackern aufzubauen und Daten von Gesundheitstrackern zu importieren. Welche besonderen personenbezogenen Daten dabei an uns übermittelt werden, ergibt sich aus der jeweiligen Eingabemaske, die für die Registrierung und im Rahmen der Leistungserbringung verwendet wird. Eine Verarbeitung von besonderen Daten erfolgt erst nach ausdrücklicher Einwilligung der betroffenen Personen. Rechtsgrundlage für die Verarbeitung besonderer Datenkategorien ist somit Art. 9 Abs. 2 lit. a) DSGVO.

Alle personenbezogenen Daten die im Rahmen des Art-Patientenverhältnisses verarbeitet werden, liegen in der Verantwortlichkeit der entsprechenden Institution.

7. Generelle Informations- bzw. Kontaktaufnahme

Wenn Sie uns per Post, E-Mail, oder Telefon Anfragen zukommen lassen, werden Ihre Angaben je nach Kontaktweg inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage bei uns gespeichert. Eine Nutzung zu anderen Zwecken oder eine Weitergabe Ihrer angegebenen Daten erfolgt nicht, es sei denn, Sie geben uns Ihre separate Einwilligung dafür. Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO. Sie können diese Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an: datenschutz@samedi.de. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Sobald wir Ihr Anliegen vollständig bearbeitet haben, werden wir Ihre personenbezogenen Daten löschen, es sei denn, zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – haben Vorrang.

8. Empfänger und Auftragsverarbeitung

Sofern wir externe Dienstleister, für die es (Kern-)Bestandteil ist, unsere vorliegenden personenbezogenen Daten im Auftrag zu verarbeiten, einsetzen, schließen wir einen Auftragsverarbeitungsvertrag / Datenschutzvereinbarung ab. Diese externen Dienstleister werden von uns sorgfältig ausgewählt und regelmäßig kontrolliert. Sie verarbeiten personenbezogene Daten nur in unserem Auftrag und strikt nach unseren Weisungen auf der Grundlage des entsprechenden Vertrages über eine Auftragsverarbeitung / Datenschutzvereinbarung (Art. 28 DSGVO). Für die Verarbeitung von personenbezogenen Daten, die wir im Auftrag eines Verantwortlichen vornehmen, bieten wir hinreichende Garantien dafür, dass wir geeignete technische und/oder organisatorische Maßnahmen ergreifen, so dass die Verarbeitung im Einklang mit den gesetzlichen Bestimmungen steht und der Schutz der Rechte der betroffenen Personen gewährleistet ist.

Sofern nicht etwas anderes in dieser Datenschutzerklärung statuiert ist, erfolgt eine Weiterübermittlung an Auftragsverarbeiter zu den oben genannten Zwecken, an

• Telekom T-Systems International GmbH Hahnstrasse 43d, 60528 Frankfurt am Main: Hostingdienstleistungen
• retarus GmbH, Aschauer Straße 30, 81549 München: E-Mail- und SMS-Versand.

Des weiteren kann eine Weiterübermittlung an folgende Empfänger erfolgen:

• Institutionen für die wir als Auftragsverarbeiter tätig sind, z.B. Ärzte, Krankenhäuser;
• Behörden, staatlichen Regulierern oder sonstigen Strafverfolgungsbehörden und Gerichten, sofern es von Rechts wegen erforderlich oder zugelassen ist oder wenn es durch eine verbindliche Anordnung erzwungen wird (Art. 6 Abs. 1 lit. f) DSGVO oder nach anderen gesetzlichen Bestimmungen).

Eine Weiterübermittlung Ihrer personenbezogenen Daten findet nicht statt, sofern dies nicht mit den aufgeführten Zwecken im Zusammenhang steht. Sofern erforderlich, setzen wir Sie stets vorab darüber in Kenntnis und geben Ihnen die Möglichkeit zur Entscheidung, ob wir Ihre personenbezogenen Daten auf diese abweichende Art und Weise verwenden dürfen oder nicht.

9. Übermittlung von personenbezogenen Daten in Drittstaaten

Wenn wir personenbezogene Daten in Länder außerhalb der EU übermitteln, stützen wir uns auf einen Angemessenheitsbeschluss der Kommission (Art. 45 DSGVO), auf geeignete Garantien (Art. 46 DSGVO) oder nach Art. 49 DSGVO auf die Ausnahmeerlaubnistatbestände für eine Drittstaatenübermittlung.

10. Routinemäßige Löschung und Sperrung von personenbezogenen Daten

Sofern nichts anderes in dieser Datenschutzerklärung angegeben wird, werden personenbezogene Daten nur für den Zeitraum gespeichert, der für den Zweck der Speicherung erforderlich ist, insofern keine andere Anforderung durch den Gesetzgeber vorliegt. Nach Entfallen des Speicherungszwecks werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

11. Rechte der Nutzer und Betroffenen

Mit Blick auf die oben beschriebene Datenverarbeitung haben die Nutzer und Betroffenen das Recht

a) Auskunftsrecht

Sie haben das Recht auf Auskunft über die von Ihnen verarbeiteten personenbezogenen Daten, dies bedeutet, dass Sie das Recht auf eine Bestätigung haben, ob betreffende personenbezogene Daten verarbeitet werden oder nicht. Soweit dies der Fall ist, haben Sie das Recht auf Auskunft über die von Ihnen verarbeiteten personenbezogenen Daten und bestimmte zusätzliche Informationen sowie den Erhalt einer Kopie in einem gängigen elektronischen Format.

b) Recht auf Berichtigung

Sie haben das Recht auf Berichtigung unrichtiger personenbezogener Daten, die Sie betreffen und das Recht, unvollständige personenbezogene Daten vervollständigen zu lassen.

c) Recht auf Löschung

Sie haben das Recht auf Löschung Ihrer personenbezogenen Daten, vorbehaltlich der Einschränkungen nach geltendem Recht. Dies ist beispielsweise der Fall, wenn die personenbezogenen Daten für die Zwecke, für die sie verarbeitet werden, nicht mehr erforderlich sind, Sie Ihre Einwilligung widerrufen und es keinen anderen Rechtsgrund für die Verarbeitung gibt oder die Verarbeitung Ihrer personenbezogenen Daten für die Einhaltung einer gesetzlichen Verpflichtung, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen nicht erforderlich ist.

d) Recht auf Einschränkung der Verarbeitung

Sie haben das Recht auf Einschränkung Ihrer personenbezogenen Daten, zum Beispiel wenn Sie deren Richtigkeit bestreiten oder wenn Sie der Verarbeitung, wie oben beschrieben, widersprochen haben. In beiden Fällen gilt dieses Recht während der Verarbeitung und Überprüfung Ihrer Anfrage durch uns.

e) Recht auf Widerruf Ihrer Einwilligung zur Datenverarbeitung

Wenn Sie einer bestimmten Verarbeitung zugestimmt haben, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor deren Widerruf.

f) Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

g) Recht auf Widerspruch

Sie haben das Recht, Widerspruch einzulegen, wenn die Verarbeitung auf dem Interessensabwägungstatbestand nach Art. 6 Abs. 1 S. 1 lit. e) oder f) DSGVO beruht, um eine Neubewertung der Interessen zu verlangen oder Direktwerbung widersprechen zu können. Wir werden dann eine neue Bewertung vornehmen und die Verarbeitung Ihrer personenbezogenen Daten, trotz Ihres Widerspruchs, nur dann fortsetzen, wenn wir zwingende rechtmäßige Gründe nachweisen können, die Ihre Interessen überwiegen.

h) Beschwerderecht bei der zuständigen Aufsichtsbehörde

Sie können eine Beschwerde einreichen, wenn Sie der Meinung sind, dass wir bei der Verarbeitung Ihrer personenbezogenen Daten gegen geltende Datenschutzbestimmungen verstoßen haben.

Darüber hinaus ist der Anbieter dazu verpflichtet, alle Empfänger, denen gegenüber Daten durch den Anbieter offengelegt worden sind, über jedwede Berichtigung oder Löschung von Daten oder die Einschränkung der Verarbeitung, die aufgrund der Artikel 16, 17 Abs. 1, 18 DSGVO erfolgt, zu unterrichten. Diese Verpflichtung besteht jedoch nicht, soweit diese Mitteilung unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist. Unbeschadet dessen hat der Nutzer ein Recht auf Auskunft über diese Empfänger.