Zwecke, für die Íhre personenbezogenen Daten verarbeitet werden
Im Rahmen der medizinischen Versorgung verarbeiten wir personenbezogene Daten für folgende Zwecke:
- Feststellung des Versicherungsverhältnisses und des Kostenträgers
- Durchführung und Dokumentation der Behandlung sowie ggf. Unterbringung und Verpflegung
- Beratung über Durchführung und Dokumentation von Maßnahmen der Prävention und Rehabilitation
- seelsorgerische Betreuung
- Betreuung durch den Sozialdienst
- Entlassmanagement
- Kostenerstattung und Abrechnung mit Kostenträgern
- Abrechnung mit anderen Leistungserbringern
- Prüfungen durch den Medizinischen Dienst
- Forschung im Krankenhaus
Im Rahmen von Verwaltungstätigkeiten verarbeiten wir personenbezogenen Daten für folgende Zwecke:
- Aus-, Fort- und Weiterbildung von Ärztinnen/Ärzten und Angehörigen anderer Berufe im Gesundheitswesen im Krankenhaus
- statistische Zwecke
- verwaltungsmäßige Abwicklung der Behandlung, Wirtschaftlichkeits- und Qualitätssicherung
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- Erfüllung gesetzlicher Meldepflichten
- Betreuung und Wartung der IT-Systeme und Anwendungen
Für Ihre patientenbezogene Versorgung/Behandlung notwendig sind dabei insbesondere Verarbeitungen Ihrer Daten aus präventiven, diagnostischen, therapeutischen, kurativen und auch nachsorgenden Gründen. Ebenso erfolgen Verarbeitungen – im Sinne einer bestmöglichen Versorgung – im Hinblick auf interdisziplinäre Konferenzen zur Analyse und Erörterung von Diagnostik und Therapie, zur Vor-, Mit-, Weiterversorgung hinsichtlich Diagnostik, Therapie, Befunden sowie Krankheits-/Vitalstatus und dem Schreiben von Arztbriefen und Berichten.
Rechtsgrundlagen für die Verarbeitung Ihrer Daten durch den Krankenhausträger
Die Grundlage dafür, dass der Krankenhausträger Ihre Daten datenschutzrechtlich verarbeiten darf, ergibt sich hauptsächlich daraus, dass der Krankenhausträger für die Versorgung und Behandlung von Patient*innen zuständig ist. Die Verarbeitung von Patient*innendaten im Krankenhaus ist nur möglich, wenn eine gesetzliche Grundlage dies vorschreibt bzw. erlaubt oder Sie als Patient*in hierzu Ihre Einwilligung erteilt haben.
Die Datenschutz-Grundverordnung (DSGVO) bildet die zentrale rechtliche Basis, insbesondere Artikel 6 und 9. Diese definieren die Voraussetzungen für die rechtmäßige Verarbeitung von Patient*innendaten und die Anforderungen an den Schutz sensibler Gesundheitsinformationen im digitalen Zeitalter.
Weitere Grundlagen finden sich im deutschen Bundes- und Landesrecht, etwa im Fünften Buch Sozialgesetzbuch (SGB V), z.B. § 301 SGB V, im Bundesdatenschutzgesetz (BDSG), insbesondere § 22 BDSG, und im Bürgerlichen Gesetzbuch (BGB) sowie insbesondere §§ 630 ff. BGB, § 6 GDNG und in Artikel 27 BayKrG, nach denen eine Verarbeitung Ihrer Daten zulässig ist.
Die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der medizinischen Versorgung stützen wir auf folgende Rechtsgrundlagen:
- Datenverarbeitung zum Zwecke der Vorbereitung (u. a. Behandlungsvertrag) des Behandlungsgeschehens (Art. 6 Abs. 1 Buchst. b DSGVO)
- Datenverarbeitungen zum Zwecke der Durchführung sowie Dokumentation des Behandlungsgeschehens einschließlich des innerärztlichen und interprofessionellen Austausches im Krankenhaus über die Patient*innen für die Behandlung (Art. 9 Abs. 2 Buchst. h, Abs. 3, 4 DSGVO i.V.m. §§ 630a ff., 630f BGB i.V.m. Berufsordnung für die Ärzte Bayerns)
- Datenweitergabe an „Externe“ im Sinne einer gemeinsamen Behandlung (im Team), Zuziehung externer Konsiliarärzt* innen, z. B. Telemedizin, Zuziehung externer Therapeut*innen (Art. 9 Abs. 2 Buchst. h, Abs. 3, DSGVO i.V.m. Art. 27 BayKrG), Labore und öffentliche Stellen
Die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Verwaltungstätigkeiten stützen wir auf folgende Rechtsgrundlagen:
- Datenverarbeitung zum Zwecke der Archivierung (Art. 9 Abs. 2 Buchst. f DSGVO)
- Datenübermittlung zum Zwecke der Abrechnung für die Behandlung, Unterbringung und Verpflegung (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DSGVO)
- Datenverarbeitung zu Zwecken der Qualitätssicherung (Art. 9 Abs. 2 Buchst. i DSGVO i.V.m. § 299 SGB V i.V.m. § 136 SGB V bzw. den Richtlinien des G-BA)
- Datenverarbeitung zu Zwecken der Qualitätssicherung,Förderung der Patient*innensicherheit und zu Forschungszweckengemäß Art. 9 Abs. 2 Buchst. i DSGVOi.V.m. § 6 GDNG
Welche Datenkategorien werden von uns verarbeitet?
Für die vorgenannten Zwecke verarbeiten wir potenziell folgende Kategorien personenbezogener Daten:
- Daten zur Person: Name; Vorname; Anschrift; Geburtsname; Geburtsdatum; Telefonnummer; Geschlecht; Familienstand; Konfession; Staatsangehörigkeit; Beruf (mit Anschrift); Daten über Familienangehörige; Bankverbindung; Rentenversicherungsnummer; Gewicht; Körpergröße; Blutgruppe
- Daten zum Hausarzt/Einweisenden, mit- oder nachbehandelnden Arzt: Name; Vorname; Berufsbezeichnung; Ärzt*innennummer; Anschrift; Telefonnummer
- Daten zur einweisenden/verlegenden Klinik: Name; Anschrift; Institutionskennzeichen
- Daten zu Wahlleistungen; berechnete Entgelte; Codierund Rechnungsdaten
- Daten zur Krankenversicherung (gesetzlich/privat) sowie sonstigen Kostenträgern: Bezeichnung der Krankenkasse; Anschrift; Institutionskennzeichen der Krankenkasse; ggf. Gebietsdirektion der Krankenkasse; Versichertenstatus; Versicherungsnummer; Daten über versichertes Mitglied; Gültigkeitsdatum der Versichertenkarte
- Behandlungsdaten: Tag, Uhrzeit und Grund der Aufnahme (z. B. Einweisung, Notfall, Verlegung) sowie die Einweisungsdiagnose; Aufnahmediagnose; nachfolgende Diagnosen; Dauer der Krankenhausbehandlung; Bezeichnung der aufnehmenden Fachabteilung (Station, Zimmer-Nr., Telefon-Nr.); bei Verlegung Bezeichnung der weiterführenden Fachabteilung; Datum und Art der durchgeführten Operationen und Prozeduren; Tag, Uhrzeit und Grund der Entlassung oder Verlegung; Haupt- und Nebendiagnosen; Beginn und Ende von Abwesenheiten (z. B. Beurlaubung); Rehabilitationsmaßnahmen; Daten über andere Leistungserbringer und von diesen erbrachten Leistungen; Leistungen des Krankenhauses; Unfall (Ort, Tag, Art); Tod (Tag, Uhrzeit, Todesursache); Angaben zur Arbeitsfähigkeit sowie Empfehlungen zur weiteren Behandlung
- Daten zum gesetzlichen Vertreter/Bevollmächtigten: Name; Anschrift; Telefonnummer
Von wem erhalten wir Ihre Daten?
Die entsprechenden Daten erheben wir grundsätzlich – sofern möglich – bei Ihnen selbst. Unter bestimmten Bedingungen kommt es vor, dass wir Ihre personenbezogenen Daten von anderen Krankenhäusern, die etwa Ihre Erst-/Vorbehandlung durchgeführt haben, von niedergelassenen Ärzt*innen, Fachärzt*innen, Medizinischen Versorgungszentren (sog. MVZ) erhalten.
Mögliche Empfänger Ihrer Daten
Ihre personenbezogenen Daten werden zur Zweckerfüllung an Empfänger weitergegeben. Folgende Kategorien von Empfängern kommen in Betracht:
- Medizinischer Dienst
- gesetzliche Krankenkassen, sofern Sie gesetzlich versichert sind
- private Krankenversicherungen, sofern Sie privat versichert sind
- Unfallversicherungsträger
- sonstige Kostenträger (z. B. Sozialamt, Bundesamt für Zivildienst)
- Hausärzt*innen
- weiter-, nach- bzw. mitbehandelnde Ärzt*innen
- andere Einrichtungen der Gesundheitsversorgung oder Behandlung
- Rehabilitationseinrichtungen
- Pflegeeinrichtungen
- Dienstleister, die uns im Rahmen der medizinischen Versorgung sowie bei der Durchführung von Verwaltungstätigkeiten unterstützen
- Seelsorger*innen
- unabhängige Patientenfürsprache
- öffentliche Stellen (z. B. Meldebehörden, Gerichte, Ermittlungs- und Vollzugsbehörden)
- wissenschaftliche Einrichtungen, öffentliche und private Einrichtungen im Bereich der medizinischen Versorgung
- gesetzliche oder vertragliche Vertreter und Angehörige
Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche des Krankenhausträgers
Sofern der Krankenhausträger zur Durchsetzung seiner Ansprüche gegen Sie selbst oder Ihre Krankenkasse gezwungen ist, anwaltliche oder gerichtliche Hilfe in Anspruch zu nehmen, da die vom Krankenhausträger gestellte Rechnung nicht beglichen wird, muss der Krankenhausträger (zu Zwecken der Rechteverfolgung) die dafür notwendigen Daten zu Ihrer Person und Ihrer Behandlung offenbaren.
Wie lange werden Ihre Daten gespeichert?
Der Krankenhausträger ist gemäß § 630f Bürgerliches Gesetzbuch (BGB) dazu verpflichtet, eine Dokumentation über Ihre Behandlung zu führen. Dieser Verpflichtung kann der Krankenhausträger mittels einer in Papierform oder elektronisch geführten Patientenakte nachkommen. Diese Dokumentation wird auch nach Abschluss Ihrer Behandlung vom Krankenhaus aufbewahrt.
Die genauen Aufbewahrungsfristen sind in verschiedenen Gesetzen und Verordnungen geregelt, wie z. B. die Röntgenverordnung (RöV), die Strahlenschutzverordnung (StrlSchV), die Apothekenbetriebsordnung (ApBetrO) und das Transfusionsgesetz (TFG).
Werden Daten für Zwecke wie Qualitätssicherung, Patientensicherheit, medizinische Forschung oder statistische Auswertungen weiterverwendet, müssen diese spätestens 30 Jahre nach Beginn dieser Weiterverarbeitung gelöscht werden.
Die Behandlungsdokumentation wird aus Gründen der Beweissicherung bis zu 30 Jahre aufbewahrt.
Für die Abrechnung erbrachter Leistungen werden Daten nach zehn Jahren gelöscht.
Recht auf Auskunft, Berichtigung, Löschung usw.
Ihnen stehen sog. Betroffenenrechte zu, d.h. Rechte, die Sie als im Einzelfall betroffene Person ausüben können. Diese Rechte können Sie gegenüber dem Krankenhausträger geltend machen. Sie ergeben sich aus der Datenschutz-Grundverordnung (DSGVO):
Recht auf Auskunft – Art. 15 DSGVO
Als betroffene Person haben Sie unter den Voraussetzungen von Art. 15 der Datenschutz-Grundverordnung ein Recht auf Auskunft.
Das bedeutet insbesondere, dass Sie das Recht haben, von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, haben Sie außerdem ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 Abs. 1 der Datenschutz-Grundverordnung aufgeführten Informationen.
Recht auf Berichtigung – Art. 16 DSGVO
Als betroffene Person haben Sie unter den Voraussetzungen von Art. 16 der Datenschutz-Grundverordnung ein Recht auf
Berichtigung. Das bedeutet insbesondere, dass Sie das Recht haben, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
Recht auf Löschung – Art. 17 DSGVO
Als betroffene Person haben Sie unter den Voraussetzungen von Art. 17 der Datenschutz-Grundverordnung ein Recht auf Löschung („Recht auf Vergessenwerden“). Das bedeutet, dass Sie grundsätzlich das Recht haben, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und wir verpflichtet sind, personenbezogene Daten unverzüglich zu löschen, sofern einer der in Art. 17 Abs. 1 der Datenschutz-Grundverordnung aufgeführten Gründe zutrifft. Das kann beispielsweise der Fall sein, wenn personenbezogene Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
Soweit wir die personenbezogenen Daten öffentlich gemacht haben und wir zu deren Löschung verpflichtet sind, sind wir außerdem verpflichtet, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, zu treffen, um andere für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
Das Recht auf Löschung gilt ausnahmsweise nicht, soweit die Verarbeitung aus den in Art. 17 Abs. 3 der Datenschutz-Grundverordnung aufgeführten Gründen erforderlich ist. Das kann beispielsweise der Fall sein, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Recht auf Einschränkung der Verarbeitung – Art. 18 DSGVO
Als betroffene Person haben Sie unter den Voraussetzungen von Art. 18 der Datenschutz-Grundverordnung ein Recht auf Einschränkung der Verarbeitung.
Das bedeutet, dass Sie das Recht haben, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 Abs. 1 der Datenschutz-Grundverordnung aufgeführten Voraussetzungen gegeben ist. Das kann beispielsweise der Fall sein, wenn Sie die Richtigkeit der personenbezogenen Daten bestreiten. Die Einschränkung der Verarbeitung erfolgt in diesem Fall für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
Einschränkung bedeutet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
Recht auf Datenübertragbarkeit – Art. 20 DSGVO
Als betroffene Person haben Sie unter den Voraussetzungen von Art. 20 der Datenschutz-Grundverordnung ein Recht auf Datenübertragbarkeit.
Das bedeutet, dass Sie grundsätzlich das Recht haben, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie das Recht haben, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, sofern die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 Buchst. a oder Art. 9 Abs. 2 Buchst. a der Datenschutz-Grundverordnung oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchst. b der Datenschutz-Grundverordnung beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
Informationen dazu, ob eine Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 Buchst. a oder Art. 9 Abs. 2 Buchst. a der Datenschutz-Grundverordnung oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchst. b der Datenschutz-Grundverordnung beruht, erhalten Sie in den Informationen zu den Rechtsgrundlagen der Verarbeitung in Abschnitt B dieser Datenschutzinformationen.
Bei der Ausübung Ihres Rechts auf Datenübertragbarkeit haben Sie außerdem grundsätzlich das Recht, zu erwirken, dass die personenbezogenen Daten direkt von uns einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
Recht auf Widerspruch – Art. 21 DSGVO
Als betroffene Person haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchst. e oder f erfolgt, Widerspruch einzulegen.
Zur Ausübung dieser Rechte wenden Sie sich mit Ihrem Anliegen an die Mitarbeiter*innen unseres Beschwerdemanagements:
München Klinik gGmbH
Beschwerdemanagement
Kölner Platz 1
80804 München
Widerruf erteilter Einwilligungen
Wenn die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, die Sie dem Krankenhausträger gegenüber erklärt haben, dann steht Ihnen das Recht zu, Ihre Einwilligung jederzeit zu widerrufen. Diese Erklärung können Sie – schriftlich/per Mail/Fax – an den Krankenhausträger richten. Einer Angabe von Gründen bedarf es dafür nicht. Ihr Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem Sie diesen aussprechen. Er hat keine Rückwirkung. Die Verarbeitung Ihrer Daten bis zu diesem Zeitpunkt bleibt rechtmäßig.
Beschwerde bei der Aufsichtsbehörde wegen Datenschutzverstößen
Als betroffene Person haben Sie unter den Voraussetzungen von Art. 77 der Datenschutz-Grundverordnung das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen.
Die für uns zuständige Aufsichtsbehörde ist:
Der Bayerische Landesbeauftragte für den Datenschutz
Wagmüllerstraße 18
80538 München
poststelle.server-mail(at)datenschutz-bayern.de
Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.