Informationen zur gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 2 S. 2 der Datenschutz-Grundverordnung (DSGVO)
Durch die nachfolgenden Informationen erhalten Sie als betroffene Personen die wesentlichen Inhalte der Vereinbarung zwischen den Vertragsparteien, damit Sie als betroffene Personen ihre Rechte effektiv wahrnehmen können.
Was ist der Grund für die gemeinsame Verantwortlichkeit?
Bei der Patientenplattform Curamenta arbeiten alle verantwortlichen Parteien eng zusammen. Diese Parteien sind die Gemeinnützige Gesellschaft für digitale Gesundheit mbH (GDG), die Kliniken des Bezirks Oberbayern (kbo), der Landschaftsverband Rheinland (LVR), der Landschaftsverband Westfalen-Lippe (LWL) und die Vitos GmbH sowie deren gemeinnützige Tochtergesellschaften.
Von dieser Zusammenarbeit ist auch die Verarbeitung Ihrer persönlichen Daten betroffen. Die Parteien haben gemeinsam die Verarbeitung dieser Daten in den einzelnen Prozessabschnitten festgelegt. Sie sind daher innerhalb der nachfolgend beschriebenen Prozessabschnitte gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich (Art. 26 DSGVO).
Für welche Prozessabschnitte besteht eine gemeinsame Verantwortlichkeit?
Wenn Sie die Curamenta-Plattform über das Internet besuchen oder als App nutzen, gelangen Sie zunächst auf den öffentlichen Bereich. Für die öffentliche Ebene beim Besuch der Webseite, den Betrieb der Infrastruktur, sowie für den Bereich mit Freischaltung (Login-Bereich) sind die Parteien gemeinsam verantwortlich. Das bedeutet, dass die Parteien gemeinsam die Mittel und Zwecke der Datenverarbeitung festgelegt haben.
Die gemeinnützige Gesellschaft für digitale Gesundheit mbH (GDG) ist der Hauptansprechpartner für die beiden ersten Ebenen. Diese Partei ist daher für die Erhebung der Daten auf der öffentlichen Webseite sowie die Rechtsgrundlage, z. B. die Einholung der Einwilligungserklärung, die Nutzungsbedingungen, die Supportanfragen, sowie die Anfragen von Betroffenenrechten zuständig. Zu den gemeinsamen betriebenen Bereichen gehört ebenso das öffentliche Forum, das Gästebuch, sowie die Terminvereinbarungen. Die GDG hat einen Datenschutzbeauftragten benannt, der diese beiden Bereiche überwacht und der für Sie als Ansprechpartner für Fragen und Beschwerden zur Verfügung steht.
Sobald Sie sich in die dritte Plattformebene freischalten lassen, erfolgt dies in enger Zusammenarbeit mit der jeweiligen Einrichtung. Für die Datenverarbeitung in diesen Bereichen sind die jeweiligen Parteien eigenständig Verantwortliche. Nur sie haben Zugriff auf die geschützten Informationen, die Sie mit der Einrichtung teilen.
Sobald Sie als Patient oder Patientin in einem direkten Behandlungsverhältnis zu einer der Parteien stehen und einen Behandlungsvertrag, sowie Vertrag über die Nutzung zur Plattform Curamenta für die Behandlung vereinbart haben, und die Plattform in Bezug auf Ihre Behandlung einsetzen, ist eine Freischaltung durch Ihren Behandler oder Ihre Behandlerin notwendig. Ab dem Zeitpunkt der Freischaltung ist die jeweilige Partei für die in der dritten Plattformebene erfolgten Datenverarbeitung, insbesondere für die Datenverarbeitung der Gesundheits- und Patientendaten verantwortlich. Weder die GDG, noch die anderen Parteien haben Zugang zu diesen vertraulichen und geschützten Daten, die Sie auf der Plattform preisgeben oder mit Ihrer Einrichtung teilen. Die jeweilige Einrichtung ist auch für den Datenaustausch zwischen der Patientenplattform Curamenta und dem jeweils eingesetzten Krankenhausinformationssystem oder sonstigen Datenverarbeitungssystem verantwortlich. Sobald der Behandler oder die Behandlerin der Einrichtung diese Daten, beispielsweise zum Zwecke und Durchführung der Behandlung, anderen Behandlern oder Dritten offenbaren muss, ist die jeweilige Einrichtung, in dem der Behandler oder die Behandlerin tätig ist, für die Datenübermittlungen verantwortlich, und darf diese nur mit Ihrer Zustimmung und unter den geltenden gesetzlichen Bestimmungen weitergeben.
Was haben die Parteien vereinbart?
Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben die Parteien vereinbart, wer von ihnen welche Pflichten nach der DSGVO erfüllt. Dies betrifft insbesondere die Einhaltung der geltenden gesetzlichen datenschutzrechtlichen Bestimmungen, die Wahrnehmung der Rechte der betroffenen Personen, und die Erfüllung der Informationspflichten gemäß den Artikeln 13 und 14 DSGVO.
Diese Vereinbarung ist notwendig, da bei der Patientenplattform Curamenta personenbezogene Daten in unterschiedlichen Prozessabschnitten und Systemen verarbeitet werden, die gemeinsam von den Parteien betrieben werden.
Zwischen den Parteien besteht ein Vertragsverhältnis („Hauptvertrag“), das die gemeinsame Erbringung von Dienstleistungen und die gemeinsame Durchführung der Plattform Curamenta durch die Parteien regelt. Die Parteien haben die Pflichten aufgrund der gemeinsamen Verantwortlichkeit in einer gesonderten Vereinbarung nach Art. 26 DSGVO festgelegt. Für den Betrieb der Plattform setzen die Parteien einen Dienstleister als sog. Auftragsverarbeiter ein. Mit diesem Auftragsverarbeiter besteht eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO, welche die Pflichten des Auftragsverarbeiters gegenüber den Verantwortlichen festlegt.
Die gemeinsame Verarbeitung bezieht sich ausschließlich auf den Betrieb, Verwaltung und Weiterentwicklung der Patientenplattform Curamenta. Die Patientenplattform gliedert sich in drei Ebenen, von denen die ersten beiden gemeinsam durch alle Parteien verantwortet werden. Nur in der dritten Ebene besteht ein Behandlungskontext, sodass jede Partei (außer die GDG) für den eigenen Wirkbereich selbst verantwortlich ist.
Für die übrigen Prozessabschnitte, bei denen keine gemeinsame Festlegung der Zwecke und Mittel einzelner Phasen der Datenverarbeitung besteht, ist jede Vertragspartei eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Ebenso liegt eine eigenständige Verantwortlichkeit vor, sobald Ihre Patientendaten Teil der Behandlung sind und in das jeweilige Datenverarbeitungssystem der Einrichtung übernommen werden, und damit die Patientenplattform Curamenta verlassen haben.
Jede Partei gewährleistet die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie auch im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen und ist für ihren Wirkbereich für die Einhaltung der Grundsätze nach Art. 5 DSGVO der Datenverarbeitung verantwortlich. Die Parteien ergreifen alle erforderlichen technischen und organisatorischen Maßnahmen, damit die Rechte der betroffenen Personen, insbesondere nach den Art. 12 bis 22 DSGVO, innerhalb der gesetzlichen Fristen jederzeit gewährleistet werden können bzw. sind. Um die technische Sicherheit gem. Art. 32 DSGVO zu gewährleisten, wird die Plattform regelmäßig überwacht und kontrolliert.
Für den Betrieb der Plattform wird ein zuständiger Datenschutzbeauftragter benannt. Die Parteien haben als zuständige Datenschutzbeauftragte die Datenschutzbeauftragte der GDG benannt.
Was gilt für die Informationspflichten und die Betroffenenrechte?
Die Parteien gewährleisten gemeinsam, der betroffenen Person die gemäß Art. 13, 14 DSGVO erforderlichen Informationen bezogen auf die Plattform in präziser, transparenter, verständlicher, und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen. Die Parteien stellen die Informationen in einem gemeinsamen Dokument, welches alle relevanten Datenschutzgesetze berücksichtigt, auf der Patientenplattform Curamenta zur Verfügung. In der Plattform ist eine gemeinsam erstellte Datenschutzerklärung vorhanden, die den Anforderungen des Art. 13, 14 DSGVO erfüllt. Für Anpassungen und Aktualität der Datenschutzerklärung ist die GDG verantwortlich.
Betroffene Personen können die ihnen aus den Art. 15 bis 22 DSGVO zustehenden Rechte grundsätzlich gegenüber allen Parteien geltend machen, oder über den benannten Datenschutzbeauftragten anfordern.
Soweit sich eine betroffene Person an eine der Parteien in Wahrnehmung ihrer Betroffenenrechte wendet, insbesondere wegen Auskunft oder Berichtigung, Einschränkung, Widerruf, Widerspruch und Löschung ihrer personenbezogenen Daten, verpflichten sich die Parteien, dieses Ersuchen unverzüglich unabhängig von der Pflicht zur Gewährleistung des Betroffenenrechtes an die anderen betroffenen Parteien weiterzuleiten. Als direkte Anlaufstelle für Betroffenenrechte wird die GDG für die Plattform genannt. Jede betroffene Person ist jedoch darüber hinaus berechtigt, ihre Betroffenenrechte gegenüber jeder der Parteien geltend zu machen.
Auskunftsersuchen werden grundsätzlich von der Partei bearbeitet, an die die Anfrage erstmalig gerichtet wurde. Alle anderen Parteien verpflichten sich, der Auskunftspflicht gemäß Art. 15 DSGVO nachzukommen. Sie werden dabei vom Auftragsverarbeiter unterstützt. Sofern sich eine Auskunftsanfrage ausschließlich auf den 3. Bereich beschränkt, hat alleine die betreffende Einrichtung Zugriff auf diese Daten und kann Ihnen diese Auskunft erteilen.
Sollen personenbezogene Daten gelöscht werden, informieren sich die Parteien zuvor gegenseitig. Die jeweils andere Partei kann der Löschung aus berechtigtem Grund widersprechen, etwa sofern sie eine gesetzliche Aufbewahrungspflicht trifft. Eine Information ist dann nicht erforderlich, wenn die Löschungsanfrage lediglich den eigenen Wirkbereich umfasst und sich nicht auf den sonstigen Betrieb der Plattform auswirkt.
Als Zuständige Aufsichtsbehörde wird die Behörde bestimmt, die für den Betrieb der Plattform zuständig ist. Die zuständige Aufsichtsbehörde ist:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
Telefon: +49 611 1408 – 0
Was bedeutet das für Betroffene?
Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Parteien die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten für die einzelnen Prozessabschnitte wie folgt:
- Im Rahmen der gemeinsamen Verantwortlichkeit ist
- GDG für die Verarbeitung der personenbezogenen Daten im öffentlichen Bereich sowie Bereich ohne Freischaltung (LOGIN) zuständig und
- für die Verarbeitung der personenbezogenen Daten im 3. Bereich mit Freischaltung ihre jeweilige Einrichtung zuständig.
- Die GDG macht den betroffenen Personen über die Datenschutzerklärung die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher, und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zugänglich. Hierbei lässt jede Partei der anderen Partei sämtliche dafür notwendigen Informationen aus ihrem Wirkbereich zukommen.
- Die Parteien informieren sich unverzüglich gegenseitig über von Betroffenen geltend gemachte Rechtspositionen. Sie stellen einander sämtliche für die Beantwortung von Auskunftsersuchen notwendigen Informationen zur Verfügung.
- Datenschutzrechte können grundsätzlich bei allen Parteien geltend gemacht werden.
Als erste Anlaufstelle wurde die GDG genannt:
Die benannte Datenschutzbeauftragte der GDG erreichen Sie unter:
datenschutz-curamenta@vitos.de
Die betroffene Person kann sich auch im Fall der Benennung einer zentralen Anlaufstelle immer an alle Parteien wenden. Der betroffenen Person dürfen hierdurch keine Nachteile für die Wahrnehmung ihrer Rechtspositionen entstehen. Betroffene erhalten die Auskunft grundsätzlich von der Stelle, bei der Rechte geltend gemacht wurden.