Stand: 27.10.2021 – Diese Seite wird in unregelmäßigen Abständen aktualisiert. Wir empfehlen Ihnen zur optimalen Transparenz daher, diese öfters wieder zu besuchen.
Herzlich willkommen!
Nachfolgend informieren wir Sie über den Umgang mit Ihren personenbezogenen Daten bei der Nutzung unserer Anwendung und Ihre diesbezüglichen Rechte.
Wichtig: Für medizinische Fragen ist ausschließlich der Behandler zuständig. Dasselbe gilt, wenn Sie die E-Mail (Link zur Patientenanwendung) oder SMS (Token) nicht erhalten haben (auch nicht im Spam-Ordner). Bitte nehmen Sie auch die Datenschutzinformationen Ihres Behandlers zur Kenntnis.
Inhaltsverzeichnis
1. Verantwortlichkeiten
2. Zweck, Art, Rechtsgrundlage und Umfang der Datenverarbeitung
3. Datenempfänger
4. Wahrung Ihrer Rechte als "Betroffener" im Sinne des Datenschutzrechts
5. Kontakt für weiterführende Fragen zur App
6. Datenschutzinformationen der verbundenen Partner
Verantwortlich für die Verarbeitung Ihrer personenbezogenen und medizinischen Daten ist der Behandler (Praxis, Klinik, andere medizinische Einrichtung).
Als Nutzer der Anwendung tragen Sie die Mitverantwortung, dass kein Unbefugter Zugriff auf das von Ihnen genutzte Gerät bzw. die Daten erhalten kann.
Wofür werden Ihre Daten benötigt und „Dürfen die das“?
Die Anwendung ermöglicht es dem Behandler Ihnen als Patient wichtige Informationen (zur Behandlung/Aufenthalt usw.) zeitgemäß elektronisch sowie orts- und systemunabhängig zur Verfügung zu stellen sowie frühzeitig relevante Daten zu erheben und diese in den Behandlungsprozess einzusteuern, um diesen und weitere relevante Prozesse anzustoßen. Die Nutzung der Patienten-App ist freiwillig. Nach Übermittlung der Daten auf Ihrem Endgerät an den Behandler werden Ihre bisher erfassten Daten sofort gelöscht. Unvollständige Daten, die Sie nicht an den Behandler übermitteln, werden nach maximal 14 Tagen gelöscht.
Die Patienten-Anwendung ist eine sogenannte Progressive Web App. Diese wird unabhängig von einem App-Store direkt über den zugesandten persönlichen Link auf der besonders sicheren Microsoft Azure Public Cloud („Azure“) auf dem von Patienten gewählten privaten Endgerät im Browser geöffnet. Es besteht zudem die Möglichkeit die Anwendung auf dem Gerät zu installieren.
Die Patienten-App kann nur benutzt werden, wenn sich der Patient mit dem per E-Mail an ihn persönlich übertragenen individuellen Link und zusätzlich über den per Medienbruch übertragenen Token (PIN) authentifizieren kann.
Auf der Azure Cloud wird für den Patienten ein zeitlich begrenzter Account unter einer eindeutig zuordenbaren Identifikationsnummer („UUID“) als Pseudonym angelegt. Dieser sorgt dafür, dass nur der berechtigte Patient sich bei der App anmelden und die für ihn relevanten Informationen/Daten sehen und bearbeiten kann.
Die komplette Datenverarbeitung in der Azure Cloud erfolgt auf Basis der UUID pseudonym und lässt keinen Rückschluss auf die Person zu. Für noch mehr Sicherheit werden alle Daten außer der UUID zusätzlich nach aktuell sicherem Standard wirksam verschlüsselt. Zugriff erhält nur der Patient selbst über die Patientenanwendung und der Behandler nach Übermittlung des Datensatzes an die medizinische Einrichtung.
Ihre Antworten werden auf dem von Ihnen gewählten privaten Endgerät in einem gesonderten Ordner gespeichert, bis Sie diese erfolgreich an Ihren Behandler übertragen.
Erfolgt keine Übertragung werden die Daten nach spätestens 14 Tagen gelöscht, soweit dies technisch über die App möglich ist (je nach Berechtigungen auf dem Gerät). Achten Sie deshalb bitte darauf, dass Sie das Endgerät sorgfältig wählen. In einem Internetcafé können Ihnen nicht nur unbefugte Menschen über die Schulter sehen, sondern Sie haben in der Regel auch keine Kontrolle, ob Ihre Eingaben nicht im Hintergrund ausspioniert werden oder ob diese im Nachhinein tatsächlich gelöscht werden können.
Ihre Daten werden je nach Informationsart auf Basis Ihrer UUID in getrennten Datenbanken auf Azure verschlüsselt gespeichert. Sobald sie vollständig erfolgreich an Ihren Behandler übertragen worden sind (in der Regel täglich, abhängig von der Konfiguration Ihres Behandlers), werden sie von Azure automatisiert gelöscht.
Die Weiterverarbeitung (Überprüfung und Vervollständigung im Arztgespräch) der Daten erfolgt ausschließlich innerhalb der Infrastruktur Ihres Behandlers. Dazu werden Sie in der Anamnesehistorie zum Patienten gespeichert. Zusätzlich werden die Daten als PDF archiviert.
Protokollierungen und Auswertungen finden bei der Patienten-App, beim Behandler und auf Azure systemseitig im Hintergrund automatisiert statt. Diese Informationen benötigen Behandler und Hersteller zur Sicherstellung des ordnungsgemäßen Betriebs, zur Verbesserung der Benutzerfreundlichkeit, zur Systemoptimierung, zur Abwehr von Angriffen und zu Nachweiszwecken. Ein direkter Personenbezug ist nicht relevant. Auch wenn beispielsweise die IP-Adresse der genutzten Verbindung standardmäßig in solchen Logfiles enthalten ist, wird ein möglicher Rückschluss auf einen Betroffenen nicht hergestellt. Azure erhält ausschließlich pseudonymisierte verschlüsselte Daten.
Die Nutzung der App ist kostenlos und freiwillig.
Personenbezogene Daten erheben, speichern und nutzen wir nur im zulässigen Rahmen. Als Hersteller der Anwendung verfolgen wir das Datenschutz-Prinzip der Datenminimierung und vermeiden die Verarbeitung personenbezogener Daten soweit möglich. Daher ist die Thieme Compliance GmbH kein Auftragsverarbeiter im klassischen Sinn.
Nachfolgende Empfänger können Daten durch Nutzung der App erhalten bzw. weiterverarbeiten. Denken Sie daran, dass Sie selbst darauf Einfluss haben und nehmen Sie Ihre Verantwortung für die besonders schützenswerten Daten gewissenhaft wahr.
Ihr Behandler erhält von Ihnen die für die vertraglich vereinbarte Behandlung erforderlichen Daten über die Patienten-Anwendung direkt von Ihnen. Die Daten werden über die Azure Cloud-Schnittstelle verschlüsselt an ihn übertragen und erst in seiner Infrastruktur zur weiteren Verarbeitung entschlüsselt.
Als Patient erhalten Sie eine E-Mail mit dem Link zum Download und der Nutzung der Patienten-Anwendung. Per SMS wird zusätzlich ein Zugangscode gesendet. Beide Bestandteile werden zur sogenannten 2-Faktoren-Authentifizierung benötigt, ohne die sich die App nicht verwenden lässt.
Achten Sie bitte darauf, möglichst ein eigenes Endgerät zu verwenden , auf dem Sie den Zugriff steuern und vor allem einschränken und Ihre Daten wieder löschen können. Sonst ermöglichen Sie möglicherweise unerwünscht Dritten (Haushaltsangehörige, Internetcafé-Betreiber usw.) den Zugriff auf Ihre Krankengeschichte.
Nur der Behandler kann unseren Support bei technischen Problemen in Anspruch nehmen. Die Patienten-Anwendung ist davon nicht betroffen.
Für die Zusendung des Links zur Patienten-Anwendung wird entweder der E-Mail-Server vom Behandler oder ein deutscher E-Mail-Provider eingesetzt.
Der Token wird per SMS vom sorgfältig ausgewählten deutschen Dienstleister SMS77 an die vom Patienten angegebene Mobilrufnummer übertragen.
Bei besonderen technischen Problemen beim Behandler setzen wir unsere Entwicklungsspezialisten ein. Im Einzelfall können die hierbei verarbeiteten personenbezogenen oder Gesundheitsdaten zwingend benötigt werden, um den Fehler eingrenzen und eine Lösung erarbeiten zu können.
Die Datenübertragung erfolgt nur im Bedarfsfall, für einen begrenzten Zeitraum und über eine auf hochsensible Daten spezialisierte Datentransfer-Plattform in Deutschland.
Eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) findet, soweit nachfolgend nicht ausdrücklich anders beschrieben, nicht statt und ist auch nicht geplant. Bei Microsoft Azure nutzen wir Server in der EU, ab Herbst 2022 soll dies laut Microsoft für alle ihre Server Standard werden. Darüber hinaus werden alle Daten nur pseudonym und zusätzlich wirksam verschlüsselt an Azure übertragen. Durch eine strikte Trennung der Funktionalitäten ist außerdem immer nur eine Teilmenge der Daten verfügbar.
Wir geben Ihre Daten nicht an unbefugte Dritte weiter und verkaufen diese selbstverständlich nicht.
In der Regel bietet Ihnen die Anbieter Ihres Endgerätes oder Ihr Telekommunikationsanbieter die Möglichkeit eines Backups in dessen Cloud, wenn diese Option auf Ihrem Endgerät aktiviert ist. Elemente des Betriebssystems bzw. andere installierte Apps erheben normalerweise im Hintergrund ebenfalls Daten über Sie, Ihren Standort, genutzte Apps, Suchbegriffe oder sogar Nutzungs- und Kommunikationsdaten. Dies gilt vor allem für Dienste mit künstlicher Intelligenz wie etwa Sprachassistenten (Siri, Alexa etc.). Bitte prüfen Sie hierzu die Anbieterinformationen und überprüfen Sie regelmäßig die Datenschutzeinstellungen auf Ihrem Endgerät.
Gemäß den Anforderungen der DSGVO hinsichtlich der Produkte und Dienstleistungen, die wir auf dem europäischen (deutschen) Markt anbieten, bieten wir vielfältige Ansätze zur entsprechenden datenschutzkonformen Technikgestaltung und datenschutzfreundliche Voreinstellungen, soweit uns dies – etwa im Hinblick auf die Einbindung in der Infrastruktur des Behandlers – möglich ist.
Für die Wirksamkeit und Nachhaltigkeit der getroffenen Datenschutzmaßnahmen stehen neben der Geschäftsleitung (als den Verantwortlichen) und dem Datenschutz auch die Compliance (standardisiertes Vorgehen zur kontinuierlichen Optimierung unseres Datenschutzniveaus) sowie bewährte externe Datenschutz-Spezialisten zur Verfügung.
Bei Kontaktaufnahme mit uns, etwa per E-Mail oder Telefon, speichern und nutzen wir Ihre Angaben zur Bearbeitung Ihrer Anfrage und im Rahmen unserer Aufbewahrungs- und Nachweispflichten. Sofern Ihre Anfrage auch den Behandler betrifft, sind wir verpflichtet, diese bei konkretem Handlungsbedarf auch an den Verantwortlichen weiterzuleiten, damit dieser seinen Pflichten nachkommen kann.
Für die Verarbeitung Ihrer Patientendaten ist Ihr Behandler und dessen Datenschutzbeauftragter zuständig. Thieme Compliance ist nur für die technischen Daten der App selbst zuständig und kann Ihnen nur hierzu Auskunft erteilen.
Thieme Compliance GmbH, Am Weichselgarten 30a, 91058 Erlangen
Telefon: +49 9131 93406-40, E-Mail: service@thieme-compliance.de
Unsere ausführlichen Datenschutzinformationen und die aktuellste Fassung dieses Dokuments finden Sie unter www.thieme-compliance.de/datenschutz. Für Ihre weiteren Datenschutz-Anliegen hinsichtlich der App steht Ihnen unser Data Privacy Officer (DPO) Frau Blossey gern zur Verfügung, am bequemsten per E-Mail unter datenschutz@thieme-compliance.de.
Ihr Beschwerderecht hinsichtlich einer nicht datenschutzkonformen Datenverarbeitung durch Ihren Behandler (medizinische Einrichtung) können Sie bei jeder Aufsichtsbehörde ausüben.
Microsoft Azure:
Adesso SE (Entwicklung & Test):
EcpliseSource Group (Entwicklung & Test):
sms77:
Hier finden Sie die Datenschutzinformationen der Patienten-App zum Download.