Datenschutzrichtlinien

DOKUMENTATIONSPFLICHTEN

DATENSCHUTZ-GRUNDVERORDNUNG

des Arztes

[Dr.Christoph Eckhard] Franz Anderlepl. 3
2345 Brunn am Gebirge

Datum: 3.4.2018

Soweit personenbezogene Bezeichnungen in diesem Schriftstück nur in männlicher Form angeführt sind, beziehen sie sich auf Frauen und Männer in gleicher Weise.

Allgemeine Informationen

Name und Anschrift des Verantwortlichen: kurz DaV

  1. Dr.Christoph Eckhard
    Franz Anderleplatz 3
    2345 Brunn am Gebirge
    Tel. 02236/33468 Fax Kl 14
    e-mail: w01@dr-eckhard.at
  2. Kontaktinformationen des Ansprechpartners:
    Dr.Christoph Eckhard
    Franz Anderleplatz 3
    2345 Brunn am Gebirge
    Tel. 02236/33468 Fax Kl 14
    e-mail: w01@dr-eckhard.at

Kontaktinformationen des Datenschutzbeauftragten: Keiner bestellt

Verzeichnis von Verarbeitungstätigkeiten

Hier findet sich eine Übersicht über sämtliche Datenanwendungen samt einer Definition des Zwecks, die der Verantwortliche betreibt. Zur besseren Übersicht sind die Datenanwendungen in folgende Kategorien eingeteilt:

Verwaltung der Ordination
Patientenverwaltung

Sofern nichts Anderes angegeben ist, verweist das Verzeichnis von Verarbeitungstätigkeiten auf folgende Kategorien von Übermittlungsempfängern:

  1. Banken
  2. Rechtsvertreter
  3. Wirtschaftstreuhänder, Wirtschaftsprüfer
  4. Gerichte
  5. Zuständige Verwaltungsbehörden
  6. Inkassounternehmen
  7. Fremdfinanzierer
  8. Vertrags- und Geschäftspartner
  9. (private) Versicherungen
  10.  Statistik Österreich
  11. Inspektorate
  12. betriebliche und außerbetriebliche Interessenvertretungen
  13. Vorsorgekassen, Abfertigungskassen, Sozialversicherungen, Pensionskassen
  14. Transportunternehmen
  15. Lieferanten
  16. Ärzte, Krankenhäuser, Ambulatorien, Labore, Physiotherapeuten, Pflegeheime
  17. Apotheken, Gesundheitsdiensteanbieter, nicht-ärztliche Gesundheitsberufe

Verwaltung der Ordination

1. Datenanwendung: Kommunikation mit der Kammer

  • Zweck der Verarbeitung: Abwicklung von organisatorischen Fragen mit der jeweiligen Ärztekammer zum Betrieb der Ordination einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in dieser Angelegenheit. Beinhaltet auch: Beiträge und Umlagen, die Beantragung von Fortbildungsnachweisen.
  • Rechtsgrundlage der Verarbeitung: gesetzliche Grundlage
  • Beschreibung der Kategorien betroffener Personen: Arbeitnehmer, Mitglieder und Arbeitnehmer der Ärztekammer
  • Verarbeitung durch Auftragsverarbeiter: Arbeitnehmer, Mitglieder und Arbeitnehmer der Ärztekammer
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Der Zugang zum e-mail System (Outlook) ist nur nach Eingabe von Benutzername und Passwort möglich

Betroffene Personengruppe: Arbeitnehmer, Mitglieder und Arbeitnehmer der Ärztekammer

Nr. Kategorien Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel., Mail, Fax) 12 unbegrenzt
2 Kommunikationsdaten (insb. Korrespondenz) 12 unbegrenzt
3 Bankverbindungsdaten 12 unbegrenzt
4 Ausbildungs- und Gerätenachweis 12 unbegrenzt
5 Verrechnungsdaten 12 unbegrenzt

 

2.Datenanwendung: Finanzbuchhaltung, Rechnungswesen und Logistik

  • Zweck der Verarbeitung:
    Verarbeitung und Übermittlung von Daten im Rahmen einer Geschäftsbeziehung (bzw. zur Abwicklung dieser) mit Patienten und Lieferanten einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten. Beinhaltet auch: Risikomanagement, Kreditoren- und Debitorenverwaltung, Budgetierung und Kostenrechnung.
  • Rechtsgrundlage der Verarbeitung: Gesetzliche Verpflichtung
  • Beschreibung der Kategorien betroffener Personen: Arbeitnehmer, Patienten, Lieferanten
  • Verarbeitung durch Auftragsverarbeiter: Keine
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Der Zugang zur Buchhaltungssoftware ist nur dem Verantwortlichen möglich

3. Datenanwendung: Personalverwaltung

Zweck der Verarbeitung: Verarbeitung und Übermittlung von Daten für Lohn,- Gehalts- und Entgeltverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten (inkl. Strahlenschutz), soweit dies aufgrund von Gesetzen oder Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz, Zeugnisse) in diesen Angelegenheiten.

Beinhaltet auch: Verwaltung von Urlauben, Karenzierungen, Pflegefreistellungen sowie Pensionierung

Rechtsgrundlage der Verarbeitung: Erfüllung eines Vertragsverhältnisses, gesetzliche Grundlage

Beschreibung der Kategorien betroffener Personen: Arbeitnehmer

Verarbeitung durch Auftragsverarbeiter: Mag. Günter JACOBA; Steuerberater, Wiener Strasse 11/1/26, 2100 Korneuburg

4. Datenanwendung: Führen von Arbeitszeitaufzeichnungen

Zweck der Verarbeitung: Führen von Arbeitszeitaufzeichnungen

Rechtsgrundlage der Verarbeitung: Erfüllung eines Vertragsverhältnisses

Beschreibung der Kategorien betroffener Personen: Arbeitnehmer

Verarbeitung durch Auftragsverarbeiter: Mag. Günter Jacoba, w.o., DaV

Die Datenübermittlung erfolgt postalisch

5. Datenanwendung: Verwaltung von Zeiten der Arbeitsunfähigkeit

Zweck der Verarbeitung: Verwaltung von Zeiten der Arbeitsunfähigkeit der Mitarbeiter einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten.

Rechtsgrundlage der Verarbeitung: Gesetzliche Verpflichtung, Erfüllung eines Vertragsverhältnisses

Beschreibung der Kategorien betroffener Personen: Arbeitnehmer

Verarbeitung durch Auftragsverarbeiter: Mag. Günter JACOBA, s.o., DaV
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Die Datenübermittlung erfolgt vom Verantwortlichen telefonisch oder postalisch

6. Datenanwendung: Bewerbungsmanagement

Zweck der Verarbeitung: Organisation, Verwaltung und Abwicklung sowie das Bearbeiten von Bewerbungen einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten.

Rechtsgrundlage der Verarbeitung: Einwilligungserklärung, berechtigtes Interesse, Erfüllung eines Vertragsverhältnisses

Beschreibung der Kategorien betroffener Personen: Bewerber

Verarbeitung durch Auftragsverarbeiter: Arbeitnehmer, Vertretungen
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Obliegt dem Datenverantwortlichen und dem Steuerberater Mag. Jacoba s.o.,Bewerbungsunterlagen sichtet der Datenverantwortliche

7. Datenanwendung: Verwaltung von Benutzerkennzeichen sowie Zugangs- und Zutrittssystemen

Zweck der Verarbeitung: Systemzugriffskontrolle und Verwaltung von Benutzerkennzeichen für die Datenanwendungen des Verantwortlichen sowie die Verwaltung der Zuteilung von Hard- und Software an die Systembenutzer einschließlich automationsunterstützt erstellter und archivierter Textdokumente (z.B. Korrespondenz) in diesen Angelegenheiten.

Beinhaltet auch: Zuteilung von Schlüsseln und anderen für den Zutritt notwendigen Systemen.

Rechtsgrundlage der Verarbeitung: Erfüllung eines Vertragsverhältnisses

Beschreibung der Kategorien betroffener Personen: Zugangs- und Zutrittsberechtigte

Verarbeitung durch Auftragsverarbeiter: Der Datenverantwortliche verwaltet und teilt zu Hard- und Software an die Systembenutzer einschließlich automationsunterstützt erstellter und archivierter Textdokumente

7.5. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: KEINE

8. Datenanwendung: Verwaltung von Vertretungen

Zweck der Verarbeitung: Organisation und Abwicklung von Vertretungen in der Ordination im Verhinderungsfall (auch: Urlaubsvertretung) einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten.

Rechtsgrundlage der Verarbeitung: Erfüllung eines Vertragsverhältnisses

Beschreibung der Kategorien betroffener Personen: Arbeitnehmer, Vertretungen

Verarbeitung durch Auftragsverarbeiter: übernimmt der Datenverantwortliche

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Die Vertretungsverwaltung mit Organisation und Abwicklung übernimmt der Datenverantwortliche

9. Datenanwendung: Aktenverwaltung / Büroautomation

Zweck der Verarbeitung: Formale Behandlung der vom Verantwortlichen zu besorgenden Geschäftsfälle (einschließlich der Aufbewahrung der bei dieser Tätigkeit anfallenden Dokumente).

Beinhaltet auch: Inventarverwaltung und Verwaltung von Anlagevermögen.

Rechtsgrundlage der Verarbeitung: Erfüllung eines Vertragsverhältnisses

Beschreibung der Kategorien betroffener Personen: Arbeitnehmer, Interessenten, Lieferanten

Verarbeitung durch Auftragsverarbeiter: IT- Firmen Innomed und HCS, im Ordinationsbereich der DaV im Bereich Datenspeicherung und -aufbewahrung, Bütroautomation über das IT- System der Ordination durch DaV und Assistentinnen.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: erfolgt automatisiert über das Ordinationsprogramm

Patientenverwaltung

1. Datenanwendung: Patientenakte

  • Zweck der Verarbeitung: Erfüllung der Dokumentationspflicht gemäß § 51 Ärztegesetz sowie die Erfassung sämtlicher Leistungen einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten. Beinhaltet auch: Ausstellung von Bescheinigungen, Terminmanagement (Terminvereinbarung mit Patienten), die Wahrnehmung der Anzeige- und Meldepflicht gemäß § 54 Ärztegesetz, die Wahrnehmung der Anzeige- und Meldepflicht im Missbrauchsfall sowie Meldungen an div. Gesundheitsregister und im öffentlichen Meldewesen (Meldepflichten bei ansteckenden Krankheiten); die Mitwirkung bei Verfahren bei der Patientenanwaltschaft, der Schlichtungsstelle sowie dem Beschwerdemanagement bei der Standesvertretung und Versicherungen; die Erstellung medizinischer Gutachten.
  • Verwaltung von Transportscheinen, Zuweisungen und Überweisungen.
  • Rechtsgrundlage der Verarbeitung: gesetzliche Grundlage
  • Beschreibung der Kategorien betroffener Personen: Arbeitnehmer, Patienten
  • Verarbeitung durch Auftragsverarbeiter: erfolgt in der Ordination durch die Programmautomatisation der Fa. Innomed unter Aufsicht des DaV
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: die Verarbeitung erfolgt durch das Ordinationsprogramm der Fa. Innomed unter Aufsicht des DaV

 

Betroffene Personengruppe: Arbeitnehmer

Nr. Kategorien personenbezogener Daten Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel., Mail, Fax) 2, 4, 5, 9, 16,17 30 Jahre
2 Behandlungsinformationen 30 Jahre

 

Betroffene Personengruppe: Patienten (besondere Kategorien von Daten)

Nr. Kategorien Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel, Mail, Fax) 2, 4, 5, 9, 16,17 30 Jahre
2 Zustand (bei Übernahme der Beratung oder Behandlung) 2, 4, 5, 9, 16,17 30 Jahre
3 Vorgeschichte einer Erkrankung 2, 4, 5, 9, 16,17 30 Jahre
4 Patienteninformationen (etwa Befunde, Diagnosen) 2, 4, 5, 9, 16,17 30 Jahre
5 Krankheitsverlauf 2, 4, 5, 9, 16,17 30 Jahre
6 Behandlungsinformationen 2, 4, 5, 9, 16,17 30 Jahre
7 Sozialversicherungsdaten 2, 4, 5, 9, 16,17 30 Jahre
8 Bankverbindungsdaten 2, 4, 5, 9, 16,17 30 Jahre
9 Leistungen 2, 4, 5, 9, 16,17 30 Jahre
10 Daten über Aufklärungsgespräch 2, 4, 5, 9, 16,17 30 Jahre
11 Gesetzliche Vertreter 2, 4, 5, 9, 16,17 30 Jahre

 

2. Datenanwendung: Abrechnung (sowohl Krankenkasse / Privat)

  • Zweck der Verarbeitung: Abrechnung der erbrachten Leistungen gegenüber Versicherungen (Krankenkassen oder den Patienten) einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten. Beinhaltet auch: Die Übermittlung an die Standesvertretung zur Prüfung und Evaluierung der Abrechnung.
  • Rechtsgrundlage der Verarbeitung: gesetzliche Grundlage, Erfüllung eines Vertragsverhältnisses
  • Beschreibung der Kategorien betroffener Personen: Patienten
  • Verarbeitung durch Auftragsverarbeiter: Abrechnungsabteilung der Sozialen Krankenversicherungen und ELDA = Übertragungsprogramm automatisiert, Privatpatienten über Ordinationsprogramm Fa. Innomed durch DaV
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Ordinationsprogramm Fa. ELDA übergesicherte Datenleistung durch ELDA, Computerautomatisiert über gesicherte Datenleitung, der Zugang zum Patientenverwaltungssystem ist nur nach Ein-gabe von Ben.name und Passwort möglich

 

Betroffene Personengruppe: Patienten

 

Nr. Kategorien Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel, Mail, Fax) 2, 9,12, 13 mind. 7 Jahre*
2 Bankverbindungsdaten 2, 9,12, 13 mind. 7 Jahre*
3 Abrechnungsdaten 2, 9,12, 13 mind. 7 Jahre*
4 Leistungsdaten 2, 9,12, 13 mind. 7 Jahre*
5 Sozialversicherungsdaten 2, 9,12, 13 mind. 7 Jahre*
6 Behandlungsinformationen 2, 9,12, 13 mind. 7 Jahre*
7 Patienteninformationen (etwa Befunde, Diagnosen) 2, 9,12, 13 mind. 7 Jahre*

* gemäß steuerrechtlicher und unternehmensrechtlicher Aufbewahrungspflichten: zumindest 7 Jahre

3. Datenanwendung: Befundanforderung / Befundübermittlung

  • Zweck der Verarbeitung: Anforderung von Befunden von Ärztinnen und Ärzten, Krankenanstalten, Labore, sowie anderen Gesundheitsberufen und den Betroffenen sowie die (Rück-)Übermittlung von Befunden einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten. Beinhaltet auch: Rückfragen bei Überweisungen
  • Rechtsgrundlage der Verarbeitung: gesetzliche Grundlage
  • Beschreibung der Kategorien betroffener Personen: Ärzte, Patienten
  • Verarbeitung durch Auftragsverarbeiter: Fa. HCS, Pacherg.4, 4400 Steyr ,Health Communication Service GmbH Ricohweg 22, 2351 Wiener Neudorf
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Computerautomatisiert über gesicherte Datenleitung, der Zugang zum Patientenverwaltungssystem ist nur nach Eingabe von Ben.name und Passwort möglich

 

Betroffene Personengruppe: Ärzte

Nr. Kategorien Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel., Mail, Fax) 16 gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)

 

 

Betroffene Personengruppe: Patienten (besondere Kategorien personenbezogener Daten)

Nr. Kategorien Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel, Mail, Fax) 16 gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)
2 Patienteninformationen (etwa Befunde, Diagnosen) 16 gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)
3 Sozialversicherungsdaten 16 gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)
4 Behandlungsinformationen 16 gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)

 

4. Datenanwendung: Untersuchung von Proben

  • Zweck der Verarbeitung: Beauftragung, Organisation und Verwaltung von Probenmaterial einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten. Beinhaltet auch: Verwaltung des Versands von Sekret-, Blut- oder Gewebsproben an Labore inkl. Pathologische Labore und Pathologen zur Untersuchung (samt der Abrechnung derartiger Leistungen).
  • Rechtsgrundlage der Verarbeitung: gesetzliche Grundlage
  • Beschreibung der Kategorien betroffener Personen: Ärzte, Patienten
  • Verarbeitung durch Auftragsverarbeiter: Labor Margareten und angeschlossene Labore
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Computerautomatisiert über gesicherte Datenleitung, der Zugang zum Patientenverwaltungssystem ist nur nach Ein-gabe von Ben.name und Passwort möglich

 

Betroffene Personengruppe: Ärzte

Nr. Kategorien Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel, Mail, Fax) 16 gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)

 

 

Betroffene Personengruppe: Ärzte

Nr. Kategorien Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel., Mail, Fax) 16 gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)
2 Patienteninformationen (etwa Befunde, Diagnosen) 16 gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)
3 Proben von Patienten 16 gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)

 

5. Datenanwendung: Organisation von Konsilien

  • Zweck der Verarbeitung: Organisation, Abwicklung und Abrechnung von Konsilien einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten.
  • Rechtsgrundlage der Verarbeitung: gesetzliche Grundlage
  • Beschreibung der Kategorien betroffener Personen: Patienten
  • Verarbeitung durch Auftragsverarbeiter: Keine
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Durchführung nach telefonischer Anforderung durch den DaV. , Computerautomatisiert über gesicherte Datenleitung, der Zugang zum Patientenverwaltungssystem ist nur nach Ein-gabe von Ben.name und Passwort möglich

 

Betroffene Personengruppe: Patienten (besondere Kategorien personenbezogener Daten)

 

Nr. Kategorien Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel., Mail, Fax) 16 mind. 10 Jahre*
2 Patienteninformationen (etwa Befunde, Diagnosen) 16 mind. 10 Jahre*
3 Bankverbindungsdaten 16 mind. 10 Jahre*
4 Abrechnungsdaten 16 mind. 10 Jahre*
5 Leistungsdaten 16 mind. 10 Jahre*
6 Sozialversicherungsdaten 16 mind. 10 Jahre*

* gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)

6. Datenanwendung: Verwaltung von Rezepten

  • Zweck der Verarbeitung: Ausgabe, Verwaltung und Organisation von Rezepten und Verordnungen von Heilbehelfen. Beinhaltet auch: Einholung von Chefarztbewilligungen
  • Rechtsgrundlage der Verarbeitung: gesetzliche Grundlage
  • Beschreibung der Kategorien betroffener Personen: Patienten
  • Verarbeitung durch Auftragsverarbeiter: Fa. Innomed
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:Computerautomatisiert über gesicherte Datenleitung, der Zugang zum Patientenverwaltungssystem ist nur nach Ein-gabe von Ben.name und Passwort möglich

 

Betroffene Personengruppe: Patienten (besondere Kategorien personenbezogener Daten)

Nr. Kategorien Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel., Mail, Fax) 13, 16, 17 mind. 10 Jahre*
2 Rezeptdaten 13, 16, 17 mind. 10 Jahre*
2 Verordnungsdaten 13, 16, 17 mind. 10 Jahre*

* gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)

7. Datenanwendung: Hausapotheke

  • Zweck der Verarbeitung: Betrieb, Verwaltung, Abrechnung und Organisation einer Hausapotheke einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten.
  • Rechtsgrundlage der Verarbeitung: gesetzliche Grundlage
  • Beschreibung der Kategorien betroffener Personen: Patienten
  • Verarbeitung durch Auftragsverarbeiter: Keine
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Keine Hausapotheke vorhanden

 

Betroffene Personengruppe: Patienten (besondere Kategorien personenbezogener Daten)

Nr. Kategorien Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel., Mail, Fax) 9, 13, 16 mind. 10 Jahre*
2 Rezeptdaten 9, 13, 16 mind. 10 Jahre*

* gemäß der gesetzlichen Aufbewahrungspflicht (mindestens 10 Jahre)

8. Datenanwendung: ELGA

  • Zweck der Verarbeitung: Speicherung von Gesundheitsdaten im Rahmen von ELGA als ELGA-Gesundheitsdiensteanbieter (im Sinne des § 2 Z 10 Gesundheitstelematikgesetz 2012) einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten.
  • Rechtsgrundlage der Verarbeitung: gesetzliche Grundlage
  • Beschreibung der Kategorien betroffener Personen: Patienten
  • Verarbeitung: Fa. Innomed, Fa. HCS,
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Computerautomatisiert über gesicherte Datenleitung, der Zugang zum Patientenverwaltungssystem ist nur nach Ein-gabe von Ben.name und Passwort möglich

 

Betroffene Personengruppe: Patienten (besondere Kategorien personenbezogener Daten)

Nr. Kategorien Empfänger Drittland Übermittelung Speicherdauer
1 Stammdaten inkl. Kontaktinformationen (etwa Adresse, Tel., Mail, Fax) ELGA* 10 jahre
2 Laborbefunde ELGA* 10 jahre
3 Befunde der bildgebenden Diagnostik ELGA* 10 jahre
4 Medikationsdaten ELGA** 10 jahre
5 weitere Befunde ELGA* 10 jahre

* Elektronische Gesundheitsakte („ELGA“) gemäß § 2 Z 6 GTelG

9. Datenanwendung: Information an eigene Patienten

Zweck der Verarbeitung: Übersendung von Informationen und Erinnerungen an eigene Patienten, um Vorsorge und Kontrolluntersuchungen wahrzunehmen, Impftermine einzuhalten, Befundbesprechungen etc. einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten.

Rechtsgrundlage der Verarbeitung: gesetzliche Grundlage, Erfüllung eines Vertragsverhältnisses

Beschreibung der Kategorien betroffener Personen: Patienten (besondere Kategorien personenbezogener Daten)

Verarbeitung durch Auftragsverarbeiter: Keine

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Erfolgen nur persönlich durch den DaV und sein benanntes Team

Technische und organisatorische Maßnahmen

HINWEIS: DIE HIER VORGESCHLAGENEN MASSNAHMEN SIND UNVERBINDLICH UND MÜSSEN MIT DEM ZUSTÄNDIGEN SYSTEMADMINISTRATOR ABGESTIMMT WERDEN!

Gemäß Art 32 DSGVO sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs und der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Diese Maßnahmen schließen unter anderem Folgendes ein:

die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Jeder Verantwortliche ist somit verpflichtet, geeignete technische und organisatorische Datensicherheitsmaßnahmen zu ergreifen.

Technische und organisatorische Maßnahmen sind verpflichtend von jedem Verantwortlichen umzusetzen, um den unberechtigten Zugriff durch Dritte auf personenbezogene Daten zu verhindern.

Die vorliegenden technischen und organisatorischen Maßnahmen (TOM) sind ein Beispiel für einen Mindestschutz, um die Wiederherstellbarkeit von personenbezogenen Daten zu gewährleisten. Bitte beachten Sie, dass es sich hierbei um ein Beispiel handelt und im Einzelfall weitere Maßnahmen notwendig sein können.

Die technische Umsetzung kann dabei durch beauftragte Unternehmen (etwa einen IT-Dienstleister) erfolgen.

In Entsprechung des Art 32 DSGVO trifft der Verantwortliche folgende technische und organisatorische Maßnahmen:

Hinsichtlich Benutzer

Technische Maßnahmen

Bildschirmsperre:

Der Verantwortliche stellt sicher, dass sämtliche Nutzer verpflichtet sind, beim Verlassen des Arbeitsplatzes den Computer so zu sperren, dass er durch Dritte nicht genutzt werden kann (Stichwort: Bildschirmsperre). Es sind sämtliche Geräte so einzustellen, dass eine Bildschirmsperre nach spätestens 10 Minuten Nichtbenutzung des Computers diesen automatisch sperrt, sodass dieser erst wieder nach Eingabe eines Kennworts verwendet werden kann.

Umgang mit Speichermedien:

Der Verantwortliche stellt sicher, dass sämtliche Computer so gesperrt sind, dass Speichermedien nur nach Eingabe eines Passworts verwendet werden können.

Sichere Nutzung des Internets:

Der Verantwortliche stellt sicher, dass Benutzer eine Schulung zum sicheren Umgang mit dem Internet erhalten. Die Schulung der Mitarbeiter erfolgt einmal im Jahr.

Technische Maßnahmen zum Sichern von Arbeitsplatzrechnern:

Der Verantwortliche stellt sicher, dass sämtliche Arbeitsplatzrechner so gesichert sind, dass Rechnermikrofone und Kameras gegen unberechtigten Zugriff gesperrt sind. Sämtliche Arbeitsplatzrechner erhalten regelmäßig Sicherheitsupdates und werden regelmäßig auf Viren untersucht. Die Grundkonfiguration der Rechner sieht vor, dass die Rechner vor unberechtigtem Zugang geschützt sind (die Nutzung des Rechners ist nur nach Eingabe eines Passworts möglich).

Folgende technische Maßnahmen werden je Arbeitsplatzrechner ergriffen:

Keine an 5 Arbeitsplätzen

Datensicherung der Clients:

Der Verantwortliche stellt sicher, dass sämtliche lokal auf den Arbeitsplatzrechnern gespeicherten Daten regelmäßig gesichert werden.

Der Hauptrechner/Server wird wie folgt gesichert:

Verschlüsselte externe Speicher täglich
Speicherung über das Speichermodul der Ordinationssoftware Fa. Innomed

Organisatorische Maßnahmen

Mitarbeiterschulung:

Der Verantwortliche stellt sicher, dass sämtliche Mitarbeiter regelmäßig geschult werden. Im Rahmen der Schulung werden die Mitarbeiter aufgeklärt, auf welche Art und Weise personenbezogene Daten verarbeitet werden dürfen und welche Datensicherheitsmaßnahmen zu ergreifen sind. Der Verantwortliche stellt sicher, dass ein entsprechender Nachweis der Schulung im Personalakt des jeweiligen Mitarbeiters abgelegt wird.

Im Rahmen der Schulung werden die Mitarbeiter auch über die sichere Nutzung von Browsern, die sichere Nutzung von sozialen Netzwerken sowie über die Zulässigkeit der Nutzung von Kommunikationsmedien informiert.

Der Verantwortliche hat seine Mitarbeiter darüber aufgeklärt, dass die Nutzung von Onlinespeichern („Cloud-Dienste“) – ohne ausdrückliche Genehmigung des Verantwortlichen – nicht zulässig ist.

Die Mitarbeiter werden dahingehend geschult, dass diese umgehend bekannt geben müssen, sollte ein genutztes Endgerät – egal aus welchem Grund – nicht mehr nutzbar sein (Defekt, Verlust, Diebstahl).

Sofern eine private Nutzung der IT-Infrastruktur gestattet wird, stellt der Verantwortliche sicher, dass mit den Mitarbeitern eine Vereinbarung hinsichtlich der privaten Nutzung der IT-Infrastruktur mit folgendem Inhalt geschlossen wird:

  • „Dem Dienstnehmer ist das Benutzen der IT-Anlage für private Zwecke bis auf Widerruf nach Maßgabe der folgenden Bestimmungen gestattet:
  • Der Dienstnehmer darf die IT-Systeme nur in einem solchen Maße in Anspruch nehmen, dass dadurch die betriebliche Nutzung der IT-Systeme nicht beeinträchtigt wird; dies betrifft insbesondere die Menge der abgelegten Daten.
  • Der Dienstnehmer ist verpflichtet, die für private Zwecke eingerichteten Ordner ständig von nicht mehr benötigten Daten zu räumen, um Speicherplatz zu sparen. Dateien, die besonders viel Speicherkapazität in Anspruch nehmen (Grafiken, Video- und Tondateien), wird er nicht speichern.
  • Der Dienstnehmer ist verpflichtet, spätestens am letzten Tag des Dienstverhältnisses sämtliche seiner privaten Dateien von den Speichern der Dienstgeberin zu entfernen. Sollte er für die von ihm angelegten Dateien ein Kennwort oder eine sonstige Zugangssperre verwendet und nicht alle Dateien entfernt haben, so setzt er die Dienstgeberin durch Bekanntgabe dieses Kennworts in die Lage, die Dateien selbst zu entfernen.
  • Nach Beendigung des Dienstverhältnisses muss die Dienstgeberin dem Dienstnehmer nicht mehr Gelegenheit geben, seine Dateien selbst zu entfernen; sie muss ihm auch keinen Zugang mehr zu seinen privaten Dateien ermöglichen.
  • Der Dienstnehmer nimmt zur Kenntnis, dass es möglich ist, dass seine privaten E-Mails von anderen Mitarbeitern gelesen werden, wenn er diese über das allgemeine E-Mail-System des Dienstgebers versendet und empfängt. Der Dienstnehmer darf die E-Mail-Funktion nur in einem solchen Maß in Anspruch nehmen, dass dadurch die betriebliche Nutzung der IT-Anlage sowie der Leitungen der Dienstgeberin nicht beeinträchtigt wird; dies betrifft insbesondere die Menge des Datentransfers.
  • Der Dienstnehmer wird genau darauf achten, keine verdächtigen Mails oder Attachments, insbesondere von ihm unbekannten Absendern, zu öffnen.“

Nutzung von Kommunikationsmitteln:

Der Verantwortliche klassifiziert Dokumente wie folgt:

  1. Vertraulich
  2. Nicht vertraulich
  3. Öffentlich bekannt

Der Verantwortliche nutzt folgende Kommunikationsmedien:

  1. Persönliche Übergabe
  2. Versand per verschlüsselter elektronischer Kommunikation
  3. Versand per eingeschriebenem Brief
  4. Versand per Post
  5. Versand per Fax
  6. Versand per E-Mail
  7. Telefonische Mitteilung
  8. Versand per SMS
  9. Versand per Messenger Dienst (etwa: Whatsapp)

Zur Einhaltung eines angemessenen Sicherheitsniveaus verpflichtet sich der Verantwortliche, Informationen ausschließlich wie folgt zu übermitteln bzw. zu übersenden:

Klassifizierung Kommunikationsmedium
Vertraulich „Persönliche Übergabe
Versand per verschlüsselter elektronischer Kommunikation
Versand per Post“
Nicht vertraulich Jedes Medium
Öffentlich bekannt Jedes Medium

 

Der Verantwortliche klassifiziert Informationen wie folgt:

Information Klassifizierung
Informationen, die die Sozialversicherungsnummer enthalten Vertraulich
Gesundheitsdaten Vertraulich
Adressinformationen Vertraulich
Kontaktinformationen Vertraulich
Informationen über Patienten Vertraulich
Befunde Vertraulich

Die Weitergabe von Zugangsdaten und Passwörtern im Zusammenhang mittels verschlüsselter elektronischer Kommunikation erfolgt ausschließlich per Post, persönlich oder per SMS (nach vorheriger schriftlicher Einwilligungserklärung des Empfängers).

Zulässige Kommunikationsmedien

Der Arzt als datenschutzrechtlicher Verantwortlicher wird vertrauliche Informationen (etwa Gesundheitsdaten und Befunde) an Patienten mittels unverschlüsselter E-Mail nur senden, wenn der jeweilige Patient vorab in die unverschlüsselte Zusendung eingewilligt hat. Sollte keine schriftliche Einwilligung des Patienten vorliegen, hat der Arzt als datenschutzrechtlicher Verantwortliche die mündliche Einwilligung des Patienten in der Patientenakte zu dokumentieren.

Der Verantwortliche verpflichtet sich, vertrauliche Informationen (etwa Gesundheitsdaten) an zulässige Übermittlungsempfänger (etwa: Apotheken, Ärzte, Krankenhäuser, Pflegeheime, Krankenversicherungen) ausschließlich mittels verschlüsselter elektronischer Kommunikation oder mittels Fax zu senden.

Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfüllung:

Der Verantwortliche stellt sicher, dass sämtliche Nutzer sich verpflichten, sich nach dem Erfüllen einer Aufgabe vom jeweiligen Arbeitsplatzrechner abzumelden.

Geeigneter Umgang mit Laufwerken für Wechselmedien und externe Datenträger (Handhabung, Entsorgung, Transport):

Den Mitarbeitern ist es ohne explizite Erlaubnis nicht gestattet, personenbezogene Daten, die der Verantwortliche verarbeitet, auf Datenträger zu speichern. Eine solche Speicherung wird der jeweilige Verantwortliche explizit anordnen und – für den Einzelfall – geeignete Sicherheitsmaßnahmen anordnen.

Clean Desk Policy:

Der Verantwortliche stellt sicher, dass jeder Mitarbeiter sich verpflichtet, Dokumente und Unterlagen vor Verlassen des Arbeitsplatzes entsprechend zu verstauen und einzuschließen, sodass ein unbefugter Dritter keinerlei Kenntnis über deren Inhalt erhalten kann. Das „Aufräumen und Abschließen“ beinhaltet sämtliche Unterlagen, Datenträger und sonstige Informationsmedien.

Regelungen zu Home-Office, mobiler Arbeitsplatz:

Der Verantwortliche stellt sicher, dass Mitarbeiter, welche einen mobilen Arbeitsplatz oder das Homeoffice nutzen, sich verpflichten, ausschließlich die vom Verantwortlichen bereit gestellten Systeme zu nutzen und sämtliche Zugangsdaten geheim zu halten. Das schriftliche Festhalten der Zugangsdaten ist nicht zulässig.

Der Verantwortliche stellt sicher, dass die Mitarbeiter dem Verantwortlichen umgehend mitteilen, sollten die Zugangsdaten des Mitarbeiters nicht mehr geheim sein.

Regelungen zu Bring your own device:

Sollte der Verantwortliche den Mitarbeitern gestatten, eigene Endgeräte (Smartphones, Tablets, Laptops) zu nutzen, wird der Verantwortliche eine entsprechende Richtlinie erlassen und den Mitarbeitern zur Kenntnis bringen.

Regeln zum Verlassen der Räumlichkeiten:

Der Verantwortliche stellt sicher, dass die Mitarbeiter dahingehend geschult werden, dass sämtliche Fenster und Türen bei Verlassen der Räumlichkeiten geschlossen bzw. abgeschlossen werden, sodass ein unbefugter Dritter keinen Zugang zu den Räumlichkeiten des Verantwortlichen bzw. zu personenbezogenen Daten hat.

Sicherung von physischen Dokumenten:

Der Verantwortliche stellt sicher, dass sämtliche Mitarbeiter dahingehend geschult werden, dass Dokumente der Kategorie „vertraulich“ in einem verschlossenen Aktenordner oder Aktenschrank verwahrt und unmittelbar nach dem Gebrauch wieder eingeschlossen werden müssen.

Der Verantwortliche hat mit den Mitarbeitern geeignete Maßnahmen zur Sicherung des Schlüssels getroffen.

Geheimhaltungsvereinbarung:

Der Verantwortliche stellt sicher, dass mit sämtlichen Mitarbeitern eine Geheimhaltungsvereinbarung mit folgendem Inhalt geschlossen worden ist:

„Der Dienstnehmer ist verpflichtet, personenbezogene Daten aus Datenverarbeitungen, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (kurz: das Datengeheimnis).

Dienstnehmer dürfen personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung des Dienstgebers übermitteln.

Das Datengeheimnis besteht auch über das Ende des Dienstverhältnisses hinaus unbefristet fort.“

Hinsichtlich IT-Infrastruktur:

Technische Maßnahmen

Arbeitsplatzrechner:

Der Verantwortliche stellt sicher, dass Computer vor unbefugtem Zugriff und unbefugter Nutzung geschützt sind. Darüber hinaus sind sämtliche Arbeitsplatzrechner so konfiguriert, dass sich Updates und Softwarekorrekturen, die Sicherheitslücken schließen, automatisch installieren. Bei Arbeitsplatzrechnern, auf denen besondere Kategorien von Daten gespeichert sind, sind die genutzten Speichermedien verschlüsselt.

Mobiltelefone:

Sofern auf mobilen Endgeräten (Mobiltelefone, Tablets oder Ähnliches) personenbezogene Daten gespeichert werden, wird der Verantwortliche Maßnahmen dahingehend ergreifen, dass der Zugriff auf die mobilen Endgeräte erst nach Eingabe eines Kennworts möglich ist. Mobile Endgeräte sind darüber hinaus so konfiguriert, dass sich der Bildschirm des mobilen Endgeräts nach spätestens 30 Sekunden sperrt, sodass das Endgerät erst nach Eingabe eines Kennworts wiederverwendet werden kann.

Darüber hinaus stellt der Verantwortliche sicher, dass der Speicher der mobilen Endgeräte verschlüsselt ist. Daten von und zu mobilen Endgeräten werden ausschließlich verschlüsselt übertragen.

Der Verantwortliche stellt sicher, dass die Daten auf Mobiltelefonen aus der Ferne („Remote“) gelöscht werden können, wenn diese verloren gegangen sind.

Unterbrechungsfreie Stromversorgung:

Server und andere Komponenten sind mit einer unterbrechungsfreien Stromversorgung gesichert.

Sicherung von öffentlich zugänglichen Bereichen:

Sofern der Verantwortliche öffentlich zugängliche Netzwerke („WLAN“) betreibt, wird er diese so sichern, dass ein Zugriff auf nicht öffentlich zugängliche Systeme des Verantwortlichen nicht möglich ist.

Der Verantwortliche stellt ferner sicher, dass öffentlich zugängliche Netzwerkanschlüsse (etwa Netzwerkdosen) nicht genutzt werden können.

Softwaresicherheitsmaßnahmen:

Der Verantwortliche stellt sicher, dass sämtliche Endgeräte regelmäßig mit Updates versorgt werden und Softwarepakete, welche Sicherheitslücken schließen, automatisch und regelmäßig in die entsprechenden Systeme eingespielt werden. Er stellt darüber hinaus sicher, dass regelmäßig geprüft wird, ob das Einspielen ordnungsgemäß funktioniert hat.

Der Verantwortliche stellt sicher, dass der Zugriff auf Systeme nur nach Eingabe eines Passworts möglich ist, wobei Passwörter folgende Kriterien erfüllen müssen (Passwortrichtlinie):

Mindestens 8 Zeichen,mind. 1 Zahl,mind. 1 Sonderzeichen

Der Verantwortliche stellt sicher, dass Backups der Datenbestände in folgenden Abständen erstellt werden:

Tägliche Sicherung aufbewahrt für 3 Jahre

Der Verantwortliche stellt sicher, dass Benutzer gelöscht oder gesperrt werden, sobald diese keinen Zugriff mehr auf das System benötigen (etwa: Löschen von Benutzer-Konten von ehemaligen Mitarbeitern).

Der Verantwortliche stellt sicher, dass sämtliche Systeme durch eine Firewall geschützt werden, um einen unberechtigten externen Zugriff zu verhindern. Der Verantwortliche stellt sicher, dass ein aktueller Viren- und Spamfilter installiert ist und gewartet wird.

Sicherung von Telekommunikationseinrichtungen:

Der Verantwortliche stellt sicher, dass sämtliche Telekommunikationseinrichtungen (etwa Telefonanlage, Fax, VPN, W-LAN, E-Mailserver, Firewalls) vor unberechtigtem Zugriff geschützt sind.

Organisatorische Maßnahmen

Maßnahmen bei Außerbetriebnahme eines Clients / Beendigung des Dienstverhältnisses:

Der Verantwortliche stellt sicher, dass sämtliche Rechner, welche nicht mehr genutzt werden sollen, ordnungsgemäß entsorgt werden und personenbezogene Daten auf den Rechnern vor unberechtigtem Zugriff geschützt werden.

Dokumentation der technischen Infrastruktur:

Der Verantwortliche stellt sicher, dass die gesamte technische Infrastruktur ausreichend dokumentiert ist. Dies beinhaltet auch die Dokumentation und Kennzeichnung der Verkabelung sowie relevanter baulicher Maßnahmen.

Bauseitig:

Organisatorische Maßnahmen:

Regelungen über das Aufrufen von Patienten und die Vertraulichkeit der persönlichen Kommunikation:

Der Verantwortliche stellt sicher, dass Patienten diskret aufgerufen werden. Dazu werden der Verantwortliche oder dessen Mitarbeiter lediglich den Nachnamen des Patienten aufrufen. Der Verantwortliche und dessen Mitarbeiter werden so mit dem Patienten kommunizieren, dass ein Dritter keine Kenntnis über den Inhalt der Kommunikation erhält.

Regelungen über den Zutritt zu Räumlichkeiten:

Der Verantwortliche stellt sicher, dass der Zutritt zu den Räumlichkeiten nur berechtigten Personen möglich ist. Mitarbeiter, welche Schlüssel oder Zutrittsberechtigungen zu den Räumlichkeiten erhalten haben, sind entsprechend geschult, dass diese den Verantwortlichen umgehend informieren müssen, sollte der Schlüssel abhandenkommen (Verlust, Diebstahl oder ähnliches).

Maßnahmen zum Schutz der Infrastruktur:

Der Verantwortliche stellt sicher, dass die Infrastruktur vor unberechtigtem Zutritt geschützt ist. Ferner hat der Verantwortliche Maßnahmen ergriffen, die Infrastruktur vor Zerstörung (etwa durch Feuer) zu schützen.

Serverraum:

Der Verantwortliche stellt sicher, dass Server vor unberechtigtem Zugriff geschützt (etwa versperrt) sind und eine Verfügbarkeit des Servers in ausreichendem Ausmaß sichergestellt ist.

Archiv:

Der Verantwortliche hat Maßnahmen dahingehend ergriffen, dass der Zutritt zum Archiv nur berechtigten Personen möglich ist.

Administrativ:

Definition von Prozessen:

Der Verantwortliche hat in Punkt V dieses Dokuments Prozesse zur Auskunft, Löschung und Richtigstellung von Daten definiert.

Behandlung von Sicherheitsvorfällen:

Der Verantwortliche hat Prozesse definiert, was im Fall eines Sicherheitsvorfalles passieren soll.

Überprüfung der Einhaltung:

Der Verantwortliche wird regelmäßig die hier beschriebenen technischen und organisatorischen Maßnahmen evaluieren und prüfen.

Prozessdefinitionen

1. Recht auf Auskunft

Gemäß Art 15 hat die betroffene Person das Recht, von den Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten über sie vom Verantwortlichen verarbeitet werden. Sollte dies der Fall sein, hat die betroffene Person ein Recht auf Auskunft über diese personenbezogenen Daten und darüber hinaus auf folgende Informationen:

  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das Bestehen einer automatisierten Entscheidungsfindung (Hinweis: bei Ärzten nicht einschlägig) einschließlich Profiling und in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Sollten personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt werden, so hat die betroffene Person darüber hinaus das Recht, über die geeigneten Garantien gemäß Art 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Sollte die betroffene Person dies wünschen, stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, dem Betroffenen zur Verfügung.

Für jede weitere Kopie, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangen. Dieses Recht hat der Betroffene allerdings nur aufgrund unbegründeter oder exzessiver Ausübung des Rechts auf Auskunft.

Die betroffene Person hat das Recht den Antrag elektronisch zu stellen. In diesem Fall sind die Informationen in einem gängigen elektronischen Format (gesichert) zur Verfügung zu stellen, sofern die betroffene Person nichts Anderes angibt.

In Entsprechung dieser Verpflichtungen wird der Verantwortliche das Auskunftsrecht der betroffenen Person wie folgt handhaben:

Sobald der Betroffene einen Antrag auf Auskunft an den Verantwortlichen stellt, wird der Ansprechpartner des Verantwortlichen alle vertretbaren Mittel nutzen, um die Identität der betroffenen Person zu überprüfen. Der Antrag der betroffenen Person bedarf keiner besonderen Form und darf auch elektronisch erfolgen.

Der Antrag muss dem Verantwortlichen aber ermöglichen, die Informationen herauszufinden, die er beauskunften soll. Für die Beauskunftung ist beim Verantwortlichen der Ansprechpartner zuständig.

Sollte der Betroffene eine mündliche Auskunft verlangen, so wird der Zuständige die Identität des Betroffenen in geeigneter Weise feststellen und die Auskunft ebenso mündlich erteilen. Der Zuständige wird sämtliche Datenbestände nach Informationen, die die betroffene Person betreffen, durchsuchen und diese Informationen zusammenstellen.

Der Ansprechpartner wird sämtliche Datenbestände, in denen personenbezogene Daten über den Betroffenen zu finden sind, zusammenstellen und – sofern diese inhaltlich unübersichtlich sind – kurz erläutern.

Die Auskunft wird folgende Informationen umfassen:

  • Verarbeitete Daten: Der Verantwortliche wird die betroffene Person darüber informieren, welche Informationen er über die Person verarbeitet.
  • Informationen: Darüber hinaus wird der Verantwortliche der betroffenen Person folgende Informationen über die Datenverarbeitung zur Verfügung stellen:
    • die Zwecke der Verarbeitung
    • Datenkategorien
    • Empfänger und Kategorien von Empfängern
    • Dauer der Datenspeicherung
    • Herkunft der Daten
    • Sollte eine automatisierte Entscheidungsfindung und Profiling erfolgt sein, die Methoden und Kriterien sowie die Tragweite und Auswirkungen der Datenverarbeitung
  • Betroffene Rechte: Der Verantwortliche wird die betroffene Person über Folgendes informieren:

„Die betroffene Person hat das Recht auf Auskunft über die gespeicherten Daten gemäß Art 15 DSGVO, auf Berichtigung unzutreffender Daten gemäß Art 16 DSGVO, auf Löschung von Daten gemäß Art 17 DSGVO, auf Einschränkung der Verarbeitung von Daten gemäß Art 18 DSGVO, auf Widerspruch gegen die unzumutbare Datenverarbeitung gemäß Art 21 DSGVO sowie auf Datenübertragbarkeit gemäß Art 20 DSGVO.

Der Betroffene hat das Recht, sich bei der Aufsichtsbehörde zu beschweren – zuständig ist in Österreich die Datenschutzbehörde.“

Der Verantwortliche wird – sofern der Betroffene dies wünscht – die personenbezogenen Daten, die die betroffene Person betreffen, dieser so zur Verfügung stellen, dass diese in einem strukturierten, gängigen und maschinenlesbaren Format vorliegen.

Der Betroffene soll so die Möglichkeit haben, die Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln.

Frist:

Der Verantwortliche wird die Auskunft unverzüglich erteilen, jedenfalls binnen eines Monats ab Eingang beim Verantwortlichen. Sollte es sich um eine umfangreiche und komplexe Auskunft handeln, kann der Verantwortliche im Einzelfall die Frist zur Beauskunftung einmalig um weitere zwei Monate verlängern, der Verantwortliche wird dies unter Nennung der Gründe dem Betroffenen binnen eines Monats mitteilen.

Negativauskunft:

Sollte der Verantwortliche die Beauskunftung nicht erteilen, wird er dies ebenso binnen eines Monats unter Angabe von Gründen dem Betroffenen mitteilen.

Sollte der Verantwortliche keine Daten über die betroffene Person verarbeiten, wird der Verantwortliche eine Negativauskunft (eine Bestätigung, dass er keine Daten über den Betroffenen verarbeitet) dem Betroffenen übermitteln.

2. Recht auf Berichtigung

Sollte der Betroffene den Verantwortlichen darüber informieren, dass dieser unrichtige oder (für den Zweck der Datenverarbeitung) unvollständige Daten verarbeitet, hat der Betroffene das Recht, sich an den Ansprechpartner beim Verantwortlichen zu melden. Dieser wird die von der betroffenen Person bekanntgegeben Daten unverzüglich inhaltlich prüfen und gegebenenfalls vervollständigen bzw. richtigstellen.

Sollte die Korrektheit der Daten strittig sein, wird der Verantwortliche die Verarbeitung einschränken (siehe dazu unten).

Weiters wird der Verantwortliche etwaige Empfänger der (unrichtigen) Daten über die berichtigten Daten informieren.

3. Das Recht auf Löschung

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass betreffende personenbezogene Daten unverzüglich gelöscht werden. Der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig;
  • Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützt und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung;
  • Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor;
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
  • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
  • Bei den personenbezogenen Daten handelt es sich um die Daten eines Kindes in Bezug auf angebotene Internetdienste.

Der Verantwortliche wird jedes Löschungsbegehren umgehend prüfen und mit zumutbarem Aufwand die Voraussetzungen des Anspruchs prüfen.

Der Verantwortliche wird die betroffene Person jedenfalls innerhalb eines Monats nach Eingang des Antrags über die ergriffenen Maßnahmen bzw. über die Gründe der Ablehnung informieren. Gegebenenfalls wird der Verantwortliche den Betroffenen – sofern es sich um ein komplexes Begehren handelt – über die Verlängerung der Prüfung des Löschungsbegehrens um zwei Monate ebenso binnen eines Monats informieren.

Sollte die betroffene Person einen Widerspruch erhoben haben, und hat die betroffene Person vom Verantwortlichen die Einschränkung der Verarbeitung verlangt, wird der Verantwortliche die Verarbeitung einschränken (siehe dazu unten).

6. Meldung an die Behörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der österreichischen Datenschutzbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Die Meldung an die Behörde enthält zumindest folgende Informationen:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Meldung an den Betroffenen

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

Verzeichnis von Verarbeitern

  • Ad 1 ERSTE Bank, Mödling
  • Ad 3 Mag. Jacoba, Korneuburg
  • Ad 7 ERSTE Bank, Mödling
  • Ad 8 a. Christoph Rumpel,Mühlg.22,2380 P`dorf,  06767309688
    • b. PHS netWorks, Bahng.22,2514 Traiskirchen, 0699 81387805
    • c. Synlab/IMCL ,Rosensteing. 49-51, 1170 Wien, 01/4856161
    • d. Stjepan Bosnjakovic, L. Bernsteinstr. 4-5/5/28, 1220 Wien, 0664/8383967
    • e. HCS, Ricohweg 22, 2351 Wr. Neudorf, 02236/8000-600
    • f. Innomed, Ricohweg. 22,2351 Wr. Neudorf, 02236/8000
  • ad 13 a. VBV Pens. Kassen AG, Obere Donaustr. 49-53, 1020 Wien
    • b. BVB Pensionskasse, Franzensbrückeng. 5, 1020 Wien, 01/24545
  • ad 16 a. Dr. Mayer Gabriele, Fr. Anderlepl.3 ,2345 Brunn/Geb.
    • b. Dr. Kolowratnik Anna, Fr. Anderlepl.3 , 2345 Brunn /Geb.