Information zur Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) in der Euregio-Klinik Albert-Schweitzer-Straße GmbH, der Euregio-Klinik Hannoverstraße GmbH sowie den angegliederten Ambulanzen Name und Kontaktdaten des Verantwortlichen: Angabe der Kontaktdaten des Datenschutzbeauftragten: EUREGIO-KLINIK HOLDING GMBH AuraSec GmbH Geschäftsführer Dipl.-Kfm. Michael Kamp Datenschutzbeauftragter der Euregio-Klinik Holding GmbH Albert-Schweitzer-Straße 10 Unter den Linden 16 48527 Nordhorn 10117 Berlin Tel.: 05921 / 84-1010 Tel.: 030 408173352 Fax: 05921 / 84-1015 Fax: 0553 948624 Mail: geschaeftsfuehrung@euregio-klinik.de Mail: datenschutz@aurasec.de Zwecke, für die Ihre personenbezogenen Daten verarbeitet werden: Im Rahmen Ihrer Behandlung werden Daten über Ihre Person, Ihren sozialen Status sowie die für die Behandlung notwendigen medizinischen Daten verarbei-tet. Dieser Begriff der „Verarbeitung“ bildet den Oberbegriff über all diese Tätigkeiten. Die Verarbeitung von Patientendaten im Krankenhaus ist aus Daten-schutzgründen nur möglich, wenn eine gesetzliche Grundlage dies vorschreibt bzw. erlaubt oder Sie als Patient hierzu Ihre Einwilligung erteilt haben. Die Ver-arbeitung ist gem. Artikel 6 Abs. 1 DSGVO erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schüt-zen. Für Ihre patientenbezogene Versorgung/Behandlung notwendig sind dabei insbesondere Verarbeitung Ihrer Daten aus präventiven, diagnostischen, therapeu-tischen, kurativen und auch nachsorgenden Gründen. Ebenso erfolgen Verarbeitungen –im Sinne einer bestmöglichen Versorgung – im Hinblick auf interdis-ziplinäre Konferenzen zur Analyse und Erörterung von Diagnostik und Therapie, zur Vor-, Mit-, Weiterversorgung bzgl. Diagnostik, Therapie, Befunden sowie Krankheits-/Vitalstatus. Daneben werden Arztbriefe/Berichte geschrieben und es erfolgen Verarbeitungen aus Qualitätssicherungsgründen, zum Erkennen und Bekämpfen von Krankenhausinfektionen sowie zur seelsorgerischen und sozialen Betreuung und zum Entlassmanagement. Neben diesen patientenbezogenen Verarbeitungen bedarf es auch einer verwaltungsbezogenen Abwicklung Ihrer Behandlung. Dies bedingt im Wesentlichen die Verarbeitung Ihrer Daten zur Abrechnung Ihrer Behandlung, aus Gründen des Controllings/der Rechnungsprüfung, zur Geltendmachung, Ausübung sowie Verteidigung von Rechtsansprüchen usw. Ferner erfolgen Datenverarbeitungen zu Zwecken der Ausbildung, der Fort- und Weiterbildung von Ärzten und von Angehörigen anderer Berufe des Gesundheitswesens, zur Forschung oder zu gesetzlich vorgesehenen Meldepflichten (zum Beispiel an die Polizei aufgrund des Melderechts, an staatliche Gesundheitsämter aufgrund des Infektionsschutzgesetzes, an Krebsregister) sowie nicht zuletzt aus Gründen der Betreuung und Wartung von IT-Systemen und Anwendungen. Rechtsgrundlage für die Verarbeitung Ihrer Daten durch den Krankenhausträger: Die Grundlage dafür, dass der Krankenhausträger Ihre Daten datenschutzrechtlich verarbeiten darf, ergibt sich hauptsächlich daraus, dass der Krankenhaus-träger für die Versorgung und Behandlung von Patienten zuständig ist. Auf dieser Grundlage gibt es unterschiedliche Gesetze und Verordnungen, die dem Krankenhausträger eine Verarbeitung der Daten erlauben. Genannt sei hier insbesondere die sog. EU-Datenschutzgrundverordnung (DS-GVO), zum Beispiel Art. 6, 9 DS-GVO, die auch in Deutschland gilt und aus-drücklich regelt, dass Daten von Patienten verarbeitet werden dürfen. Daneben finden sich Grundlagen im deutschen Recht, etwa im Sozialgesetzbuch Fünftes Buch (SGV V), zum Beispiel § 301 SGB V, im Bundesdatenschutzgesetz (BDSG), insbesondere § 22 BDSG und im Bürgerlichen Gesetzbuch (BGB), sowie in den §§ 630 ff. BGB, die eine Verarbeitung Ihrer Daten voraussetzen. Als Rechtsgrundlage für die Verarbeitung seien hier beispielhaft genannt: • Datenverarbeitung zum Zwecke der Durchführung des Behandlungsgeschehens einschließlich des innerärztlichen und interprofessionellen Austauschs im Krankenhaus über den Patienten für die Behandlung (Art. 9 Absatz 2 h, Absatz 3, Absatz 4 DS-GVO in Verbindung mit §§ 630a ff, 603f BGB i.V.m. entspre-chenden landesrechtlichen Regelungen sofern vorhanden), • Datenübermittlung an „Externe“ im Sinne einer gemeinsamen Behandlung (im Team), Zuziehung externer Konsilärzte, zum Beispiel Labor, Telemedizin, sowie Zuziehung externer Therapeuten (Art. 9 Absatz 2 h, Absatz 3, Absatz 4 DS-GVO i.V.m. entsprechend landesrechtlichen Regelungen, sofern vorhanden), • Datenübermittlung an die gesetzliche Krankenkassen zum Zwecke der Abrechnung (Art. 9 Absatz 2 h, Absatz 3, Absatz 4 DS-GVO i.V.m. § 301 SGB V), • Datenübermittlung zu Zwecken der Qualitätssicherung (Art. 9 Absatz 2 i DS-GVO i.V.m. § 299 SGB V i.V.m. § 136 SGB V bzw. den Richtlinien des G-BA) usw. Daneben sind Verarbeitungen auch in Fällen zulässig, in denen Sie uns Ihre Einwilligung erklärt haben. Wahrnehmung berechtigter Interessen des Krankenhausträgers: Sofern der Krankenhausträger zur Durchsetzung seiner Ansprüche gegen Sie selbst oder Ihre Krankenkasse gezwungen ist, anwaltliche oder gerichtliche Hilfe in Anspruch zu nehmen, da die vom Krankenhausträger gestellte Rechnung nicht beglichen wird, muss der Krankenhausträger (zu Zwecken der Rechtverfol-gung) die dafür notwendigen Daten zu Ihrer Person und Ihre Behandlung offenbaren. Wer hat Zugriff auf Ihre Daten? Die an Ihre Behandlung beteiligten Personen haben Zugriff auf Ihre Daten, wozu etwa auch Ärzte anderer Abteilungen zählen, die an einer fachübergreifen-den Behandlung teilnehmen, oder die Verwaltung, die die Abrechnung Ihrer Behandlung vornimmt. Ihre Daten werden von Fachpersonal oder unter dessen Verantwortung verarbeitet. Dieses Fachpersonal unterliegt entweder dem sog. Berufsgeheimnis oder einer Geheimhaltungspflicht. Der vertrauliche Umgang mit Ihren Daten wird gewährleistet! Mögliche Empfänger Ihrer Daten: Ihre Daten werden im Rahmen der Zweckbestimmung unter Beachtung der jeweiligen datenschutzrechtlichen Regelungen bzw. etwaiger vorliegender Einwilli-gungserklärungen erhoben und ggf. an Dritte übermittelt. Als derartige Dritte kommen insbesondere in Betracht: • Gesetzliche Krankenkasse, sofern Sie gesetzlich versichert sind, • Private Krankenversicherung, sofern Sie privat versichert sind, • Unfallversicherungsträger, • Hausärzte, • Weiter-, nach- bzw. mitbehandelnde Ärzte, • Andere Einrichtungen an Grundversorgung oder Behandlung, • Rehabilitationseinrichtungen, • Pflegeinrichtungen, • Externe Datenverarbeiter (sog. Auftragsverarbeiter) • Seelsorge (in kirchlichen Einrichtungen), usw. Übermittlung Ihrer Daten in ein Land außerhalb EU/EWR: In der Regel werden Ihre personenbezogenen Daten innerhalb Deutschlands, der EU oder des Europäischen Wirtschaftsraumes verarbeitet. In allen diesen Ländern besteht aufgrund der EU-Datenschutz-Grundverordnung ein hohes einheitliches Datenschutzniveau, wonach Ihre Daten umfangreich geschützt sind. Eine Ausnahme davon bilden in unserem Krankenhaus einzelne Datenübermittlungen in Länder außerhalb Deutschlands, der EU oder des Europäischen Wirtschaftsraumes. Hier empfehlen wir Ihnen, die entsprechende Landesvertretung/Botschaft vorab zu kontaktieren und datenschutzrechtliche Fragestellungen zu klären. Wir versichern Ihnen, dass auch bei diesen Übermittlungen alles unternommen wird, um Ihre Daten zu schützen. Wie lange werden Ihre Daten gespeichert? Der Krankenhausträger ist gemäß § 630f Bürgerliches Gesetzbuch (BGB) dazu verpflichtet, eine Dokumentation über Ihre Behandlung zu führen. Diese Ver-pflichtung kann der Krankenhausträger in Form einer in Papierform oder elektronisch geführten Patientenakte nachkommen. Diese Patientendokumentation wird auch nach Abschluss Ihrer Behandlung für die Dauer der rechtlichen Aufbewahrungsfristen gespeichert. Auch dazu ist der Krankenhausträger gesetzlich verpflichtet. Mit der Frage, wie lange die Dokumente im Einzelnen im Krankenhaus aufzubewahren sind, beschäftigen sich viele spezielle gesetzliche Regelungen. ZU nennen sind etwa hier die Röntgenverordnung (RöV), die Strahlenschutzverordnung (StrSchV), die Apothekenbetriebsordnung (ApBetrO), das Transfusions-gesetz und viele mehr. Diese gesetzlichen Regelungen schreiben unterschiedliche Aufbewahrungsfristen vor. Daneben ist zu beachten, dass Krankenhäuser Patientenakten auch aus Gründen der Beweissicherung bis zu 30 Jahre lang aufbewahren. Dies folgt daraus, dass Schadensersatzansprüche, die Patienten gegenüber dem Krankenhaus geltend machen, gemäß § 199 Absatz 2 Bürgerliches Gesetzbuch (BGB). Spä-testens in 30 Jahren verjähren. Ein Haftungsprozess könnte also erst Jahrzehnte nach Beendigung der Behandlung gegen den Krankenhausträger anhängig gemacht werden. Würde das Krankenhaus mit der Schadenersatzforderung eines Patienten wegen eines behaupteten Behandlungsfehlers konfrontiert und wären die entsprechenden Krankenunterlagen inzwischen vernichtet, könnte dies zu erheblichen prozessualen Nachteilen für das Krankenhaus führen. Aus diesem Grund wird die Patientenakte bis zu 30 Jahre lang aufbewahrt. Recht auf Auskunft, Berichtigung, Löschung usw.: Als Patient stehen Ihnen folge Betroffenenrechte zu: • Recht auf Auskunft über gespeicherte Daten, Art. 15 DS-GVO, • Recht auf Berichtigung unzutreffender Raten, Art. 16 DS-GVO, • Recht auf Löschung von Daten, Art. 17 DS-GVO, • Recht auf Einschränkung der Verarbeitung von Daten, Art. 18 DS-GVO, • Recht auf Widerspruch gegen unzumutbare Datenverarbeitung, Art. 21 DS-GVO sowie • Recht auf Datenübertragbarkeit, Art. 20 DS-GVO. Recht auf u.a. Auskunft, Berichtigung, Löschung, usw.: Ihnen stehen sog. Betroffenenrechte zu, das heißt Rechte, die Sie als im Einzelfall betroffene Person ausüben können. Diese Rechte können Sie gegenüber dem Krankenhausträger gelten machten. Sie ergeben sich aus der EU-Datenschutz-Grundverordnung (DS-GVO), die auch in Deutschland gilt: Recht auf Auskunft, Art. 15 DS-GVO Sie haben das Recht, auf Auskunft über die Sie betreffenden gespeicherten personenbezogenen Daten. Recht auf Berichtigung, Art. 16 DS-GVO: Wenn Sie feststellen, dass unrichtige Daten zu Ihrer Person verarbeitet werden, können Sie Berichtigung verlangen. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt werden. Recht auf Löschung, Art. 17 DS-GVO: Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, wenn bestimmte Löschgründe vorliegen. Dies ist insbe-sondere der Fall, wenn diese zum Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind. Recht auf Einschränkung der Verarbeitung, Art. 18 DS-GVO: Sie haben das Recht auf Einschränkung der Verarbeitung Ihrer Daten. Das bedeutet, dass Ihre Daten zwar nicht gelöscht, aber gekennzeichnet werden, um Ihre weitere Verarbeitung oder Nutzung einzuschränken. Recht auf Widerspruch gegen unzumutbare Datenverarbeitung, Art. 21 DS-GVO: Sie haben grundsätzlich ein allgemeines Widerspruchsrecht auch gegen Datenverarbeitung, die im öffentlichen Interesse liegen, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses einer Stelle erfolgen. Widerruf erteilter Einwilligungen Wenn die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, die Sie dem Krankenhausträger erklärt haben, dann steht Ihnen das Recht zu, Ihre Einwilli-gung jederzeit zu widerrufen. Diese Erklärung können Sie – schriftlich auf dem Postweg oder per Mail– an den Krankenhausträger richten (siehe Vorderseite). Eine Angabe von Gründen bedarf es dafür nicht. Ihr Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem Sie diesen aussprechen. Er hat keine Rückwirkung. Die Verarbeitung Ihrer Daten bis zu diesem Zeitpunkt bleibt rechtmäßig. Ein Widerruf kann jedoch nicht vollständig erfolgen, wenn es innerhalb der Behandlung oder generellen Beziehung zwischen Klinik und Betroffenen, zu Verarbeitungsvorgängen gekommen ist, welche gesetzlichen Aufbewahrungsfristen unterlie-gen. Beschwerde bei der Aufsichtsbehörde wegen Datenschutzverstößen Unabhängig davon, dass es Ihnen auch freisteht, gerichtliche Hilfe in Anspruch zu nehmen, haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten datenschutzrechtlich nicht zulässig ist. Dies ergibt sich aus Art. 77 EU Datenschutz-Grundverordnung. Die Beschwerde bei der Aufsichtsbehörde kann formlos erfolgen: Die Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße 5 30159 Hannover Telefon: 0511 120-4500 Telefax: 0511 120-4599 E-Mail: poststelle@lfd.niedersachsen.de Notwendigkeit der Angaben Ihrer Personalien Die ordnungsgemäße administrative Abwicklung Ihrer Behandlung bedingt die Aufnahme Ihrer Personalien. Davon ausgenommen sind ausschließlich die Fälle der vertraulichen Geburt. Welche Daten werden im Einzelnen übermittelt? Sofern Daten übermittelt werden, hängt es im Einzelfall vom jeweiligen Empfänger ab, welche Daten dies sind. Bei einer Übermittlung entsprechend § 301 SGB V an Ihre Krankenkasse handelt es sich zum Beispiel um folgende Daten: 1. Name des Versicherten, 2. Geburtsdatum, 3. Anschrift, 4. Krankenversicherungsnummer, 5. Versichertenstatus, 6. Den Tag, die Uhrzeit und den Grund der Aufnahme sowie die Einwei-sungsdiagnose, die Aufnahmediagnose, bei einer Änderung der Aufnah-mediagnose die nachfolgenden Diagnosen, die voraussichtliche Dauer der Krankenhausbehandlung sowie, falls diese überschritten wird, auf Verlan-gen der Krankenkasse die medizinische Begründung, bei Kleinkindern bis zu einem Jahr das Aufnahmegewicht, 7. Datum und Art der jeweils im Krankenhaus durchgeführten Operationen und sonstigen Prozeduren, 8. Den Tag, die Uhrzeit und den Grund der Entlassung oder der Verlegung sowie die über die Krankenhausbehandlung maßgebliche Hauptdiagnose und die Nebendiagnosen, 9. Angaben über die im jeweiligen Krankenhaus durchgeführten Rehabilitati-onsmaßnahmen sowie Aussagen zur Arbeitsunfähigkeit und Vorschläge der weiteren Behandlung mit Angabe geeigneter Einrichtungen. Von wem erhalten wir Ihre Daten? Die entsprechenden Daten erheben wir grundsätzlich- sofern möglich- bei Ihnen selbst, alternativ bei Ihrem gesetzlichen Vertreter. Teilweise kann es jedoch auch vorkommen, dass wir von anderen Krankenhäusern, die etwa Ihre Erst-/Vor-Behandlung durchgeführt haben, von niedergelassenen Ärzten, Fachärzten, Medizinischen Versorgungszentren (MVZ) usw. Sie betreffenden personenbezogenen Daten erhalten. Diese werden in unserem Krankenhaus im Sinne einer einheitlichen Dokumentation mit Ihren übrigen Daten zusammengeführt.