Sie sind hier: Skip Navigation LinksUniversitätsmedizin Leipzig

Informationen zum Datenschutz für Patienten

​Informationspflicht bei der Erhebung personenbezogener Daten

Sehr geehrte Patientinnen und Patienten,

im Rahmen Ihrer Behandlung bzw. Versorgung ist es erforderlich, personenbezogene und auch medizinische Daten über Ihre Person zu verarbeiten. Da die Vorgänge sowohl innerhalb unseres Krankenhauses als auch im Zusammenspiel mit weiteren an Ihrer Behandlung beteiligten Personen / Institutionen des Gesundheitswesens nicht leicht zu überblicken sind, haben wir für Sie die
nachfolgenden Informationen zusammengestellt:

Verantwortlicher / Datenschutzbeauftragter

Verantwortlicher im Sinne der Datenschutz-Grundverordnung, sonstiger in den Mitgliedstaaten der Europäischen Union geltenden Datenschutzgesetze und anderer Bestimmungen mit datenschutzrechtlichem Charakter ist das:

Universitätsklinikum Leipzig

vertreten durch den Vorstand
Prof. Dr. Christoph Josten 
Dr. Robert Jacob

Liebigstr. 18, Haus B
04103 Leipzig
Deutschland

Telefon:  0341 - 97 109
Website: www.uniklinikum-leipzig.de/

 

Name und Anschrift des Datenschutzbeauftragten

Datenschutzbeauftragter des Klinikums

Andreas F. Scholtz

Universitätsklinikum Leipzig
Liebigstr. 18, Haus B
04103 Leipzig

E-Mail schreiben

Zwecke, für die Ihre personenbezogenen Daten verarbeitet werden

​Im Rahmen Ihrer Behandlung werden Daten über Ihre Person, Ihren sozialen Status sowie die für die Behandlung notwendigen medizinischen Daten verarbeitet (erhoben, erfasst, gespeichert, verarbeitet, abgefragt, genutzt, übermittelt usw.). Die Verarbeitung von Patientendaten im Krankenhaus ist rechtlich nur zulässig, auf Basis des mit uns geschlossenen Behandlungsvertrags, sofern eine gesetzliche andere Grundlage dies legitimiert oder fordert bzw.  Sie uns Ihre Einwilligung erteilt haben.

Für Ihre Versorgung / Behandlung ist die Datenverarbeitung zu präventiven, diagnostischen, therapeutischen, kurativen und auch nachsorgenden Gründen notwendig. Ebenso erfolgen Verarbeitungen – im Sinne einer bestmöglichen Versorgung – im Hinblick auf interdisziplinäre Konferenzen zur Analyse und Erörterung von Diagnostik und Therapie, zur Vor-, Mit-, Weiterversorgung bzgl. Diagnostik, Therapie, Befunden sowie Krankheits- / Vitalstatus. Daneben werden Arztbriefe / Berichte geschrieben und es erfolgen Verarbeitungen aus Qualitätssicherungsgründen, zum Erkennen und Bekämpfen von Krankenhausinfektionen, zur Prävention im Rahmen von Pandemien sowie zur seelsorgerischen und sozialen Betreuung und im Zuge des Entlassmanagements.

Neben diesen patientenbezogenen Verarbeitungen bedarf es auch einer verwaltungsmäßigen Abwicklung Ihrer Behandlung. Dies bedingt im Wesentlichen die Verarbeitung Ihrer Daten zur Abrechnung Ihrer Behandlung, aus Gründen des Controllings / der Rechnungsprüfung, zur Geltendmachung, Ausübung sowie Verteidigung von Rechtsansprüchen oder aus anderen berechtigten Gründen. Ferner erfolgen Datenverarbeitungen zu Zwecken der Ausbildung, der Fort- und Weiterbildung von Ärzten und von Angehörigen anderer Berufe des Gesundheitswesen, zur Forschung oder zu gesetzlich vorgesehenen Meldepflichten (z.B. an die Polizei aufgrund des Melderechts, an staatliche Gesundheitsämter aufgrund des Infektionsschutzgesetzes, an Krebsregister) sowie nicht zuletzt aus Gründen der Betreuung und Wartung von IT-Systemen und Anwendungen, usw.

Für welche Zwecke verwenden wir Ihre Daten aufgrund Ihrer Einwilligung?

(Nähere Angaben zum Zweck ergeben sich aus der jeweiligen Einwilligungserklärung)

  • Analyse bezgl. möglicher Einbeziehung in Klinische Studien (Teilnahme ggf. erst nach Aufklärung/Einwilligung
  • Auskünfte, soweit gesetzlich vorgesehen oder
  • Einverständnis/Schweigepflichtentbindung vorliegend
  • Krankenhausseelsorge (soweit freiwillig Konfession angegeben)
  • Kontaktaufnahme bei passenden Klinischen Studien (soweit eingewilligt)
  • Bereitstellen von Informationen zu Veranstaltungen und Angeboten des Hauses (soweit eingewilligt)
  • Forschung auf individueller Einwilligungsbasis
  • Datenübermittlung an den Hausarzt und/oder Facharzt
  • Information gegenüber der Pflegekasse hinsichtlich des Eintritts von Pflege-bedürftigkeit
  • Datenübermittlung zwecks Abrechnung der erbrachten Leistungen an Vertragspartner auf Leistungserbringerseite
  • Datenübermittlung an externe Abrechnungsstellen zum Zweck der Abrechnung erbrachter Leistungen, zur Abrechnung wahlärztlicher Leistungen und zur Abrechnung von ambulanten ärztlichen Leistungen
  • Datenübermittlung im Rahmen des Entlassmanagements
  • Datenverarbeitung im Zusammenhang mit der Umsetzung von (Disease-Management-)Programmen
  • Datenverarbeitungen im Rahmen der Nutzung der elektronischen Gesundheitskarte
  • Übermittlung transplantationsmedizinischer Daten an die Transplantationsregisterstelle

Von wem erhalten wir Ihre Daten?

​Die notwendigen Daten erheben wir grundsätzlich – sofern möglich – bei Ihnen selbst. Teilweise kann es jedoch auch vorkommen, dass wir von Dritten, wie etwa anderen Krankenhäusern, die etwa Ihre Erst- / Vor-Behandlung durchgeführt haben, von niedergelassenen Ärzten, Fachärzten, Medizinischen Versorgungszentren („MVZ"), Leistungsträgern oder Auftraggebern (z.B. im Rahmen von Gutachten) u.a. erforderliche personenbezogene Daten erhalten, die Ihre Person betreffen. Diese werden in unserem Krankenhaus im Sinne einer einheitlichen Dokumentation mit Ihren übrigen Daten zusammengeführt.

Wer hat Zugriff auf Ihre Daten?

​Die an Ihrer Behandlung beteiligten Personen haben Zugriff auf Ihre Daten, wozu etwa auch Ärzte anderer Abteilungen zählen, die an einer fachübergreifenden Behandlung teilnehmen oder die Verwaltung, die die Abrechnung Ihrer Behandlung vornimmt. Ihre Daten werden von Fachpersonal oder unter dessen Verantwortung verarbeitet. Dieses Fachpersonal unterliegt entweder dem sog. Berufsgeheimnis oder einer Geheimhaltungspflicht.

Der vertrauliche Umgang mit Ihren Daten wird gewährleistet!

Rechtsgrundlage für die Verarbeitung Ihrer Daten durch das UKL

​Die Grundlage dafür, dass der Krankenhausträger Ihre Daten datenschutzrechtlich verarbeiten darf, ergibt sich hauptsächlich daraus, dass der Krankenhausträger für die Versorgung und Behandlung von Patienten zuständig ist. Auf dieser Grundlage gibt es unterschiedliche Gesetze und Verordnungen, die dem Krankenhausträger eine Verarbeitung der Daten erlauben.

Genannt sei hier insbesondere die sog. EU Datenschutz-Grundverordnung (DS-GVO), z.B. Art. 6, 9 DSGVO, die auch in Deutschland gilt und ausdrücklich regelt, dass Daten von Patienten verarbeitet werden dürfen. Daneben finden sich Grundlagen im deutschen Recht, etwa in dem Sozialgesetzbuch Fünftes Buch (SGB V), z.B. § 301 SGB V, in dem Bundesdatenschutzgesetz (BDSG), insbesondere § 22 BDSG und im Bürgerlichen Gesetzbuch (BGB), sowie in den §§ 630 ff. BGB, die eine Verarbeitung Ihrer Daten voraussetzen.

Als Rechtsgrundlagen für die Verarbeitung seien hier beispielhaft genannt:

  • Datenverarbeitungen zum Zwecke der Durchführung sowie Dokumentation des Behandlungsgeschehens einschließlich des innerärztlichen und interprofessionellen Austauschs im Krankenhaus über den Patienten für die Behandlung (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i.V.m. §§ 630a ff, 630f BGB i.V.m. entsprechenden landesrechtlichen Regelungen sofern vorhanden)
  • Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG)
  • Datenübermittlung an „Externe“ im Sinne einer gemeinsamen Behandlung (im Team), Zuziehung externer Konsiliarärzte, z.B. Labor, Telemedizin, sowie Zuziehung externer Therapeuten (Art. 9 Abs. 2h, Abs. 3, (, Abs.4) DS-GVO i.V.m. entsprechenden landesrechtlichen Regelungen sofern vorhanden)
  • Datenübermittlung an die gesetzlichen Krankenkassen zum Zwecke der Abrechnung (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i.V.m. § 301 SGB V)
  • Datenübermittlung zu Zwecken der Qualitätssicherung (Art. 9 Abs. 2i DS-GVO i.V.m. § 299 SGB V i.V.m. § 136 SGB V bzw. den Richtlinien des G-BA), usw.

Daneben sind Verarbeitungen auch in Fällen zulässig, in denen Sie uns Ihre Einwilligung erklärt haben.

Notwendigkeit der Angabe Ihrer Personalien

​Die ordnungsgemäße administrative Abwicklung Ihrer Behandlung bedingt die Aufnahme Ihrer Personalien. Davon ausgenommen sind ausschließlich die Fälle der vertraulichen Geburt.

 

Wer sind mögliche Empfänger Ihrer Daten?

​Interne Empfänger

  • Versorgende klinische Fachabteilungen
  • Beauftragte klinische Funktionsbereiche
  • Mit Konsilen beauftragte Beschäftigte anderer Fachabteilungen
  • Sozialdienst
  • Patientenverwaltung und -abrechnung
  • Finanzbuchhaltung
  • Wirtschaft und Versorgung
  • Qualitäts- und Risikomanagement
  • Justiziariat
  • Datenschutzbeauftragter
  • Seelsorge
  • Vorstand
  • Erforderliche Abteilungen zur Sicherstellung der Versorgung und Behandlung
  • Datenintegrationszentrum des UKL (gemäß Ihrer vorher abgegebenen Einwilligung)

Externe Empfänger

  • Einweisende Krankenhäuser und Ärzte
  • Weiterversorgende Krankenhäuser und Ärzte
  • Weiterversorgende Stellen (gemäß Ihrer Entscheidung bzgl. Entlassmanagement)
  • Leistungsträger (z.B. Krankenkassen)
  • Hauptversicherter bei Privatzahlern/Wahlleistungen
  • Private Verrechnungsstellen (soweit eingewilligt)
  • Inkassostellen (soweit Zahlungsverzug auch nach mehreren Mahnstufen)
  • Rezeptabrechnungsgesellschaft (zur Abrechnung mit den gesetzlichen Krankenkassen)
  • Rezeptabrechnungsgesellschaft (Rezeptabrechnung mit Selbstzahlern, Abrechnung der Arzneimittelzuzahlung bei gesetzlich Versicherten)
  • Medizinischer Dienst der Krankenversicherungen
  • Betreiber von Plattformen für digitale Patientenakten (soweit eingewilligt)
  • externe Datenverarbeiter (Auftragsverarbeiter)
  • Medizinische Fakultät der Universität Leipzig (soweit eingewilligt oder im Rahmen des berechtigten Interesses)
  • Weitere Empfänger (gemäß Ihrer vorher abgegebenen Einwilligung)

Übermittlung an Empfänger in Drittstaaten

(außerhalb der EU bzw. durch EU akzeptierte Länder mit gleichwertigem Datenschutzniveau)

Es kann vorkommen, dass im Rahmen der Aufrechterhaltung des Betriebs oder in bestimmten Fällen im Zuge der Behandlung eine Datenübermittlung in Drittstaaten erforderlich ist. Dies kann geschehen:

  • im Ausnahmefall bei Fernbetreuung/Fernwartung von IT-Systemen und –Anwendungen
  • oder bei medizinischen Geräten durch Spezialisten des Herstellers oder von diesem beauftragte Unternehmen
  • oder an Medikamentenhersteller für Spezialmedikamente

In allen Fällen achten wir darauf, dass:

  • der Personenbezug nur soweit erforderlich erfolgt,
  • kein Verbleib Ihrer Daten mit Personenbezug bei Externen gegeben ist unter datenschutz- und IT-Sicherheitssichernden Verträgen unter Zuhilfenahme der EU-Standardvertragsklauseln.

Ansonsten erfolgt eine Übermittlung nur im Zuge der Aufklärung und mit Ihrer ausdrücklichen Einwilligung, sofern kein anderer Erlaubnistatbestand eine Übermittlung legitimiert.

Welche Daten werden im Einzelnen übermittelt?

​Sofern Daten übermittelt werden, hängt es im Einzelfall vom jeweiligen Empfänger ab, welche Daten dies sind. Bei einer Übermittlung entsprechend § 301 SGB V an Ihre Krankenkasse handelt es sich zum Beispiel um folgende Daten:

  1. Name des Versicherten,
  2. Geburtsdatum,
  3. Anschrift,
  4. Krankenversichertennummer,
  5. Versichertenstatus,
  6. den Tag, die Uhrzeit und den Grund der Aufnahme sowie die Einweisungsdiagnose, die Aufnahmediagnose, bei einer Änderung der Aufnahmediagnose die nachfolgenden Diagnosen, die voraussichtliche Dauer der Krankenhausbehandlung sowie, falls diese überschritten wird, auf Verlangen der Krankenkasse die medizinische Begründung, bei Kleinkindern bis zu einem Jahr das Aufnahmegewicht
  7. Datum und Art der jeweils im Krankenhaus durchgeführten Operationen und sonstigen Prozeduren
  8. den Tag, die Uhrzeit und den Grund der Entlassung oder der Verlegung sowie die für die Krankenhausbehandlung maßgebliche Hauptdiagnose und die Nebendiagnosen,
  9. Angaben über die im jeweiligen Krankenhaus durchgeführten Rehabilitationsmaßnahmen sowie
    Aussagen zur Arbeitsfähigkeit und Vorschläge für die Art der weiteren Behandlung mit Angabe
    geeigneter Einrichtungen.

Behandlung aufgrund ästhetischer Operationen, Tätowierungen oder Piercings

​Für den Fall, dass eine Krankheit vorliegt, für die der Verdacht besteht, dass sie Folge einer medizinisch nicht indizierten ästhetischen Operation, einer Tätowierung oder eines Piercings ist, muss auch diesbezüglich eine Meldung an die Krankenkasse erfolgen.

 

Wie können abgegebene Einwilligungen widerrufen werden?

​Sie haben das Recht, Ihre freiwillig abgegebene Einwilligung jederzeit zu widerrufen. Einer Angabe von Gründen bedarf es dafür nicht. Ihr Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem Sie diesen aussprechen. Er hat keine Rückwirkung. Die Verarbeitung Ihrer Daten bis zu diesem Zeitpunkt bleibt rechtmäßig. Ihren Widerruf können Sie – schriftlich (z.B. via E-Mail oder Fax) – an das UKL richten.

Wahrnehmung berechtigter Interessen des Krankenhausträgers

​Sofern der Krankenhausträger zur Durchsetzung seiner Ansprüche gegen Sie selbst oder Ihre Krankenkasse gezwungen ist, anwaltliche oder gerichtliche Hilfe in Anspruch zu nehmen, da die vom Krankenhausträger gestellte Rechnung nicht beglichen wird, muss der Krankenhausträger (zu Zwecken der Rechteverfolgung) die dafür notwendigen Daten zu Ihrer Person und Ihrer Behandlung offenbaren.

 

Wie lange werden Ihre Daten gespeichert?

​Der Krankenhausträger ist gem. § 630f Bürgerliches Gesetzbuch (BGB) dazu verpflichtet, eine Dokumentation über Ihre Behandlung zu führen. Dieser Verpflichtung kann der Krankenhausträger in Form einer in Papierform oder elektronisch geführten Patientenakte nachkommen. Diese Patientendokumentation wird auch nach Abschluss Ihrer Behandlung für lange Zeit vom Krankenhaus verwahrt. Auch dazu ist der Krankenhausträger gesetzlich verpflichtet.

Mit der Frage, wie lange die Dokumente im Einzelnen im Krankenhaus aufzubewahren sind, beschäftigen sich viele spezielle gesetzliche Regelungen. Zu nennen sind etwa hier die Röntgenverordnung (RöV), die Strahlenschutzverordnung (StrlSchV), die Apothekenbetriebsordnung (ApBetrO), das Transfusionsgesetz (TFG), und viele mehr. Diese gesetzlichen Regelungen schreiben unterschiedliche Aufbewahrungsfristen vor.

Daneben ist zu beachten, dass Krankenhäuser Patientenakten auch aus Gründen der Beweissicherung bis zu 30 Jahre lang aufbewahren. Dies folgt daraus, dass Schadensersatzansprüche, die Patienten gegenüber dem Krankenhaus geltend machen, gemäß § 199 Abs. 2 Bürgerliches Gesetzbuch (BGB) spätestens in 30 Jahren verjähren. Ein Haftungsprozess könnte also erst Jahrzehnte nach Beendigung der Behandlung gegen den Krankenhausträger anhängig gemacht werden. Würde das Krankenhaus mit der Schadensersatzforderung eines Patienten wegen eines behaupteten Behandlungsfehlers konfrontiert und wären die entsprechenden Krankenunterlagen inzwischen vernichtet, könnte dies zu erheblichen prozessualen Nachteilen für das Krankenhaus führen.
Aus diesem Grunde wird Ihre Patientenakte bis zu 30 Jahre lang aufbewahrt.

Recht auf Auskunft, Berichtigung, Löschung usw.

​Die Betroffenenrechte bezüglich personenbezogener Daten

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der DS-GVO und Sie haben nach der DS-GVO das Recht, zur Ausübung von Betroffenenrechten. Sie haben uns gegenüber folgende Rechte hinsichtlich der Verarbeitung der Sie betreffenden personenbezogenen Daten durch uns:

  • Auskunft (Art. 15 DS-GVO),
  • Berichtigung (Art. 16 DS-GVO),
  • Löschung (Art. 17 DS-GVO),
  • Einschränkung (Art. 18 DS-GVO),
  • Datenübertragbarkeit (Art. 20 DS-GVO),
  • und Widerspruch gegen die Verarbeitung
    (Art. 21 DS-GVO).
  • Zudem haben Sie das Recht Ihre Einwilligung zu wiederrufen. Die Verarbeitung bis zum Widerruf bleibt rechtmäig und kann nicht widerrufen werden.

Informationen über Ihre Rechte

Beruht die Verarbeitung Ihrer personenbezogenen Daten auf Ihrer Einwilligung, haben Sie das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Der Widerruf Ihrer Einwilligung ist an den relevanten Stellen in dieser Datenschutzerklärung und der Einwilligungserklärung selbst beschrieben. Sie können Ihre Einwilligung alternativ widerrufen, indem Sie uns eine E-Mail schreiben: dsb@uniklinik-leipzig.de.

Datenschutzaufsichtsbehörde

Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DS-GVO.

Der Sächsische Datenschutzbeauftragte ist erreichbar über:

Sächsische Datenschutzbeauftragte
Postfach 11 01 32                                                                                 
01330 Dresden

Terminvereinbarung durch Online-Terminvergabeformular

Sofern Sie die Möglichkeit der Terminvereinbarung auf unseren Websites unserer Einrichtungen nutzen, gehen wir davon aus, dass der Termin durch uns telefonisch oder auf dem Wege der E-Mail bestätigt wird.

Ihre Daten zur Kontaktaufnahme werden direkt und verschlüsselt an die jeweils von Ihnen ausgewählte Einrichtung übermittelt. Die übermittelten Daten werden durch unsere Mitarbeiter in die jeweils erforderlichen Systeme der Universitätsklinikums Leipzig
übernommen und weiterverarbeitet.

Weitere Angaben können freiwillig getätigt werden. Die Datenverarbeitung zum Zwecke der Kontaktaufnahme und Terminvereinbarung mit uns erfolgt nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO auf Grundlage Ihrer freiwillig erteilten Einwilligung.

Ihr Überweiser hat ebenfalls die Möglichkeit, Ihr Einverständnis vorausgesetzt, die Terminvereinbarung auf unserer Website zu nutzen. Ebenso wie bei der Terminvereinbarung durch Sie gehen wir davon aus, dass der Termin durch uns telefonisch oder auf dem Wege der E-Mail bestätigt wird.

Die elektronische Patientenakte (ePA) aus Sicht von UKL und MedVZ

Der Zugriff auf die ePA wird uns, dem UKL oder dem MedVZ über die Patientinnen und Patienten „zur Verfügung gestellt". Die Bereitstellung dieser erfolgt über die Krankenkassen.

Muss der Krankenversicherte die ePA nutzen?

Nein, die ePA ist eine versichertengeführte elektronische Akte, deren Nutzung für die Versicherten freiwillig ist (Opt-in). Versicherte entscheiden selbst, ob und wie sie die ePA nutzen möchten.

Wobei hilft die ePA?

Die ePA ermöglicht, dass wichtige Informationen für die Behandlung der Patientinnen und Patienten schnell zur Verfügung stehen, zum Beispiel Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte und elektronische Medikationspläne.

Können unsere Ärztinnen und Ärzte alleine bestimmen, was in der ePA gespeichert wird?

Nein, die Patientinnen und Patienten bestimmen, ob und welche Daten aus dem aktuellen Behandlungskontext in der ePA gespeichert werden und auch, welche wieder gelöscht werden sollen.

Ab wann haben Ärztinnen und Ärzte Zugriff auf die ePA?

Ärztinnen und Ärzte haben nicht automatisch Zugriff auf die ePA. Sowohl die Bereitstellung von medizinischen Daten in der ePA als auch der Zugriff auf diese durch behandelnde Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Apothekerinnen und Apotheker und weitere gesetzlich geregelte, zugriffsberechtigte Leistungserbringer, die in die Behandlung der Versicherten eingebunden sind, bedürfen der Freigabe durch die Versicherten. Ähnlich wie bei der Bankkarte müssen die Patientinnen und Patienten die medizinischen Daten mittels ihrer elektronischen Gesundheitskarte (eGK) und einer persönlichen Identifikationsnummer (PIN) freischalten. Ärztinnen und Ärzte benötigen für den Zugriff einen zweiten Schlüssel, nämlich ihren Heilberufsausweis und ebenfalls eine PIN. Die Patientinnen und Patienten allein entscheiden, welche medizinischen Anwendungen sie nutzen möchten und wer auf ihre Daten zugreifen darf. Sie können für die ePA – genau wie für andere medizinische Anwendung wie z.B. die Notfalldaten oder den elektronischen Medikationsplan (eMP) – jederzeit festlegen, ob und durch wen hierauf zugegriffen wird. Technisch auf die ePA-Daten zugreifen können die zugriffsberechtigten Leistungserbringer dann über eine Schnittstelle in ihrem Praxisverwaltungssystem.

Können auch andere Personen auf die ePA zugreifen?

Der Kreis derjenigen, die mit Einwilligung und Zugriffsfreigabe (PIN) der Versicherten auf die ePA zugreifen dürfen, ist gesetzlich streng geregelt. Patientinnen und Patienten können die ePA für Ärztinnen und Ärzte, Therapeutinnen und Therapeuten oder Apotheken sowie für weitere Leistungserbringer, die in die Behandlung eingebunden sind, freigeben – entweder nur für die aktuelle Behandlung oder für einen längeren Zeitraum (z.B. in der Hausarztpraxis). Ohne die Einwilligung der Patientin bzw. des Patienten können weder Daten in der ePA gespeichert noch ausgelesen werden. Im Einführungsjahr der ePA kann der Zugriff auf die Informationen beschränkt werden, die von Ärztinnen, Ärzten und weiteren Leistungserbringern zur Verfügung gestellt wurden. Gleichzeitig können die von Versicherten selbst hochgeladenen Dokumente vom Zugriff ausgenommen werden. Umgekehrt können Versicherte den Zugriff auch nur auf die von ihnen eingestellten Dokumente erteilen. Ab 2022 erhalten Versicherte die Möglichkeit, über ihr Smartphone oder Tablet für jedes in der ePA gespeicherte Dokument einzeln zu bestimmen, wer darauf zugreifen kann, zum Beispiel für eine Untersuchung bei einem Facharzt (feingranulares Berechtigungsmanagement).

Was wird in der ePA gespeichert?

Zunächst können Patientinnen und Patienten in der ePA Daten aus bereits vorhandenen Anwendungen und Dokumentationen, wie zum Beispiel Notfalldaten, Medikationsplan, Arztbriefe, Befunde oder Röntgenbilder speichern. Außerdem können Versicherte in Ihrer ePA auch eigene Daten, wie z.B. ein Tagebuch über Blutzuckermessungen, ablegen. Ab 2022 können darüber hinaus auch der Impfausweis, der Mutterpass, das Untersuchungsheft für Kinder sowie das Zahnbonusheft in der ePA gespeichert werden.

Gibt es für die Einrichtung und Verwendung der ePA eine Altersbeschränkung?

Für die Einrichtung und Nutzung der ePA gibt es keine spezielle gesetzliche Altersbeschränkung. Es gelten die allgemeinen rechtlichen Regeln zur gesetzlichen Vertretung von Minderjährigen, insbesondere die Regelungen zur elterlichen Sorge nach den Vorschriften des Bürgerlichen Gesetzbuchs.

Eltern sind in Ausübung ihrer elterlichen Sorge gesetzliche Vertreter der eigenen Kinder in rechtsgeschäftlichen Angelegenheiten (wie z.B. beim Abschließen eines Vertrags). Die gesetzliche Vertretung gilt neben Rechtsgeschäften auch für rechtsgeschäftsähnliche Handlungen wie z. B. medizinische, aber auch informationelle Maßnahmen, d.h. Handlungen, die den Datenschutz betreffen.

Wenn es um medizinische Behandlungen und die Erhebung und Verarbeitung personenbezogener Daten geht, ist neben der Frage, ob ein Kind vertreten werden muss, grundsätzlich aber auch die Einwilligungsfähigkeit des Minderjährigen zu beachten. Hierfür sieht das Gesetz keine starren Altersgrenzen vor. Einwilligungsfähig ist, wer die Bedeutung und Tragweite seiner Erklärung erkennen und die damit verbundenen Risiken selbst einschätzen kann.

Gesetzlich krankenversicherte Minderjährige, die das 15. Lebensjahr vollendet haben, haben zudem gemäß § 36 Absatz 1 des Ersten Buches Sozialgesetzbuch (SGB I) einen eigenen Anspruch auf Sozialleistungen haben. Das bedeutet, dass sie eigenständig und ohne Zustimmung ihrer gesetzlichen Vertreter Vertragsärzte oder Krankenhäuser aufsuchen dürfen.

Aus diesen rechtlichen Grundsätzen folgt für das Einstellen von personenbezogenen Daten eines Minderjährigen in dessen ePA und für das Erteilen von Zugriffsrechten an Leistungserbringer, dass grundsätzlich die gesetzlichen Vertreter des Minderjährigen diesen Datenverarbeitungsvorgängen zustimmen müssen. Die Eltern entscheiden also stellvertretend für ihr Kind darüber, welche Dokumente für Ihr Kind in der ePA hinterlegt werden und wer hinsichtlich dieser Daten Zugriffsberechtigungen erhält. Ist der Minderjährige jedoch einwilligungsfähig, kann er die Einwilligung für die Verarbeitung seiner Daten zur Nutzung der ePA auch ohne seine gesetzlichen Vertreter erteilen. Ob die erforderliche Einwilligungs- bzw. Einsichtsfähigkeit besteht, muss stets im konkreten Einzelfall festgestellt werden.

Vor dem Hintergrund dieser rechtlichen Grundsätze wird die ePA eines Minderjährigen zunächst von einem sorgeberechtigten Vertreter (im Regelfall den Eltern) verwaltet. Spätestens mit Vollendung des 15. Lebensjahres sollte der Minderjährige die ePA dann selbstständig nutzen können. Ist die erforderliche Einwilligungsfähigkeit des Minderjährigen schon zu einem früheren Zeitpunkt gegeben, sollte er die ePA bereits zu einem früheren Zeitpunkt eigenständig nutzen können. In diesem Fall sollte die Einwilligungsfähigkeit des Minderjährigen gegenüber den Krankenkassen von den gesetzlichen Vertretern oder dem behandelnden Arzt oder der behandelnden Ärztin bestätigt werden.

Haben Minderjährige ein Mitspracherecht, welche Daten in der ePA gespeichert werden?

Auch hier gilt, dass jeweils im Einzelfall unter Berücksichtigung der Einsichtsfähigkeit des jeweiligen Minderjährigen (vorhandenes Verständnis des Minderjährigen für die Tragweite der Entscheidung und die allgemeine altersabhängige Reife) entschieden werden muss, ob ihm bei der Frage, was in die ePA eingestellt wird bzw. welcher Arzt darauf Zugriff erhalten soll, ein Mitsprache- oder sogar alleiniges Entscheidungsrecht eingeräumt werden sollte. Dabei ist stets das Kindeswohl zu berücksichtigen. Dasselbe gilt für die Frage, inwieweit ein minderjähriges Kind fordern kann, dass Daten aus seiner ePA gelöscht werden.

Weitere generelle Informationen

Quelle: Bundesministerium für Gesundheit

Datenverarbeitung im Rahmen der Durchführung von Videosprechstunden

Verantwortlich für die Datenverarbeitung im Zuge der Online-Terminvergabe ist das Universitätsklinikum Leipzig. Weitere Informationen dazu finden Sie auf dieser Seite unter Terminvereinbarung durch Online-Terminvergabeformular.

Verantwortlich für die Datenverarbeitung im Zuge der Videosprechstunde ist

samedi GmbH
Rigaer Str. 44
10247 Berlin
Deutschland

E-Mail: info@samedi.de, datenschutz@samedi.de

Eine Datenverarbeitung findet über die Systeme des Anbieters der Videosprechstunde (samedi GmbH – www.samedi.com) statt. Dies erfolgt aus folgenden Gründen:

  • Terminplanung,
  • Inanspruchnahme der Hostingdienstleistung des externen Dienstleisters,
  • zur Organisation der Videosprechstunde,
  • zur Durchführung des Angebots der Videosprechstunde,
  • zur Erfüllung unseres Behandlungsauftrags

Welche Rechtsgrundlagen bestehen für die Verarbeitung Ihrer personenbezogenen Daten? 

Bei Teilnahmen an der Videosprechstunde: Ihre erteilte Einwilligung, Durchführung der Behandlung/Videosprechstunde: Art. 6 Abs. 1 lit. b, c, f, Art. 9 Abs. 2 lit. h, Abs. 3 DS-GVO i.V.m. § 33 SächsKHG. Zudem verfolgen wir das berechtigte Interesse der rechtskonformen Durchführung des Sprechstundenangebots und der Anbieter möchte die Videosprechstunde unter Beachtung der Aspekte der IT-Sicherheit anbieten können.

Wer sind die Empfänger Ihrer personenbezogenen Daten? 

  • Innerhalb der Planung der Videosprechstunde übermittellt das UKL  personenbezogene Daten an den Anbieter zwecks Einladung zu dieser, sofern dies im Vorfeld mit Betroffenen abgestimmt worden ist.
  • Im Zuge der Planung und Durchführung der Videosprechstunde werden Ihre Daten an den Anbieter der Videosprechstunde übermittelt, sobald Sie persönlich die Inanspruchnahme bestätigen und an der Videosprechstunde teilnehmen über die Browser Ihres Computers und Sie nicht mit z. B. Ihrer E-Mailadresse im Vorfeld angemeldet worden sind.
  • Das UKL im Zuge Ihrer Terminbestätigung und innerhalb der Durchführung der Videosprechstunde.

Welche Daten werden von Ihnen gespeichert? 

1. Obligatorische Datenübermittlung bei Bestätigung des Links auf der Website im Zuge der Videosprechstunde an den Anbieter

  • Typ und Version des Internetbrowsers (des verwendeten Rechners)
  • das Betriebssystem (des verwendeten Rechners)
  • die Website, von der Sie auf die Websoftware der Videosprechstunde gewechselt haben (Refferer URL)
  • die Website(s) der Websoftware des Anbieters der Videosprechstunde, die Sie bei Angebotsnutzung besuchen
  • Datum und Uhrzeit des jeweiligen Zugriffs
  • Die IP-Adresse des Internetanschlusses von dem die Nutzung aus erfolgt.

2. Eingaben die Sie oder wir für Sie in die Formularfelder für die Initiierung der Videosprechstunde getätigt haben (bei Anbieter):

  • Teilnehmernamen (z. B. Patientenname und -vorname)
  • Geburtsdatum (soweit erforderlich)
  • E-Mail-Adresse
  • Behandler/Kategorie
  • Terminart
  • Termin-Datum
  • Zeit und Dauer der Kommunikation

Optional (bei Anbieter):

  •  Festnetztelefonnummer
  • Mobilfunknummer
  • Versicherung
  • Versichertennummer
  • Straße
  • PLZ 
  • Stadt
  • Kommentare

Die Bild- und Tonaufnahmen im Rahmen der Durchführung der Videosprechstunde werden nicht aufgezeichnet oder gespeichert. Der Datenaustausch zwischen dem Initiator, im vorliegenden Fall das Universitätsklinikum Leipzig und den Teilnehmern (Patient) werden Ende-zu-Ende verschlüsselt übertragen. Der Diensteanbieter bekommt keine Kenntnis über die Inhalte der Daten/Videosprechstunde.
Weitere Informationen finden Sie über: https://www.samedi.com/datenschutz/datenschutzerklaerung  sowie https://video.samedi.de/privacy-policy.

Wie lange werden Ihre personenbezogenen Daten gespeichert? 

(1) 7 Tage, soweit keine weitere Aufbewahrung zur Beweiszwecken erforderlich ist. Andernfalls sind die Daten bis zur endgültigen Klärung eines Vorfalls ganz oder teilweise von der Löschung ausgenommen
(2) Der Anbieter verarbeitet und speichert Daten nur für den Zeitraum, der zur Erreichung des Speicherungszwecks erforderlich ist oder sofern dies durch den Europäischen Richtlinien- und Verordnungsgeber oder einen anderen Gesetzgeber in Gesetzen oder Vorschriften, denen wir unterliegen, vorgesehen wurde. Entfällt der Speicherungszweck oder läuft eine vom Europäischen Richtlinien- und Verordnungsgeber oder einem anderem zuständigen Gesetzgeber vorgeschriebene Speicherfrist ab, werden die Daten routinemäßig und entsprechend den gesetzlichen Vorschriften durch den Anbieter gesperrt oder gelöscht.

Werden Ihre Daten in ein Drittland übermittelt? 

Die Datenverarbeitung im Zuge der Videosprechstunde findet in Deutschland statt. In Supportfällen könnte es jedoch dazu kommen, dass eine Übermittlung in ein Drittland seitens des Anbieters der Videosprechstunde notwendig wird.
Ausführliche Informationen finden Sie unter: https://www.samedi.com/datenschutz/datenschutzerklaerung  sowie https://video.samedi.de/privacy-policy.

 

Sie haben ein Beschwerderecht. Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt, können Sie sich bei einer Datenschutz-Aufsichtsbehörde beschweren. Für Sachsen ist das die:

Sächsische Datenschutzbeauftragte
Devrientstraße 5
01067 Dresden


Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.

Hier finden Sie unsere Datenschutzerklärung.