Medizinisches Versorgungszentrum Essen-Mitte GmbH
(eine Einrichtung der Evang. Kliniken Essen-Mitte gGmbH)
Henricistraße 92, 45136 Essen
Tel.:  +49 (0201) 174-0
Fax:  +49 (0201) 174-11310

Informationspflicht bei der Erhebung personenbezogener Daten

Sehr geehrte Patientinnen und Patienten,

im Rahmen Ihrer Behandlung bzw. Versorgung ist es erforderlich, personenbezogene und auch medizinische Daten über Ihre Person zu verarbeiten. Da die Vorgänge sowohl innerhalb unseres MVZ als auch im Zusammenspiel mit weiteren an Ihrer Behandlung beteiligten Personen / Institutionen des Gesundheitswesens nicht leicht zu überblicken sind, haben wir für Sie die nachfolgenden Informationen zusammengestellt:

Zwecke, für die Ihre personenbezogenen Daten verarbeitet werden:

Im Rahmen Ihrer Behandlung werden Daten über Ihre Person, Ihren sozialen Status sowie die für die Behandlung notwendigen medizinischen Daten erhoben, erfasst, gespeichert, verarbeitet, abgefragt, genutzt, übermittelt usw. Insgesamt spricht man von der „Verarbeitung“ Ihrer Daten. Dieser Begriff der „Verarbeitung“ bildet den Oberbegriff über alle diese Tätigkeiten. Die Verarbeitung von Patientendaten im MVZ ist aus Datenschutzgründen nur möglich, wenn eine gesetzliche Grundlage dies vorschreibt bzw. erlaubt oder Sie als Patient hierzu Ihre Einwilligung erteilt haben.

Für Ihre patientenbezogene Versorgung / Behandlung notwendig sind dabei insbesondere Verarbeitungen Ihrer Daten aus präventiven, diagnostischen, therapeutischen, kurativen und auch nachsorgenden Gründen. Ebenso erfolgen Verarbeitungen – im Sinne einer bestmöglichen Versorgung – im Hinblick auf interdisziplinäre Konferenzen zur Analyse und Erörterung von Diagnostik und Therapie, zur Vor-, Mit-, Weiterversorgung bzgl. Diagnostik, Therapie, Befunden sowie Krankheits- / Vitalstatus. Daneben werden Arztbriefe / Berichte geschrieben und es erfolgen Verarbeitungen aus Qualitätssicherungsgründen, zum Erkennen und Bekämpfen von Infektionen sowie ggf. zur seelsorgerischen und sozialen Betreuung.

Neben diesen patientenbezogenen Verarbeitungen bedarf es auch einer verwaltungsmäßigen Abwicklung Ihrer Behandlung. Dies bedingt im Wesentlichen die Verarbeitung Ihrer Daten zur Abrechnung Ihrer Behandlung, aus Gründen des Controllings / der Rechnungsprüfung, zur Geltendmachung, Ausübung sowie Verteidigung von Rechtsansprüchen, usw. Ferner erfolgen Datenverarbeitungen zu Zwecken der Ausbildung, der Fort- und Weiterbildung von Ärzten und von Angehörigen anderer Berufe des Gesundheitswesens, zur Forschung oder zu gesetzlich vorgesehenen Meldepflichten (z.B. an die Polizei aufgrund des Melderechts, an staatliche Gesundheitsämter aufgrund des Infektionsschutzgesetzes, an Krebsregister) sowie nicht zuletzt aus Gründen der Betreuung und Wartung von IT-Systemen und Anwendungen, usw.

Von wem erhalten wir Ihre Daten?

Die entsprechenden Daten erheben wir grundsätzlich – sofern möglich – bei Ihnen selbst. Teilweise kann es jedoch auch vorkommen, dass wir von anderen Krankenhäusern, die etwa Ihre Erst- / Vor-Behandlung durchgeführt haben, von niedergelassenen Ärzten, Fachärzten, Medizinischen Versorgungszentren (sog. MVZ), usw. Sie betreffende personenbezogene Daten erhalten. Diese werden in unserem MVZ im Sinne einer einheitlichen Dokumentation mit Ihren übrigen Daten zusammengeführt.

Wer hat Zugriff auf Ihre Daten?

Die an Ihrer Behandlung beteiligten Personen haben Zugriff auf Ihre Daten. Auch die Verwaltung, die die Abrechnung Ihrer Behandlung vornimmt, hat auf relevante Daten Zugriff.

Ihre Daten werden von Fachpersonal oder unter dessen Verantwortung verarbeitet. Dieses Fachpersonal unterliegt entweder dem sog. Berufsgeheimnis oder einer Geheimhaltungspflicht.

Mitunter werden für die Vollbringung mancher Dienstleistungen sogenannte Auftragsverarbeiter eingesetzt. Mit diesen externen Dienstleistern werden entsprechende Verträge zur Auftragsverarbeitung gemäß § 30 DSG-EKD resp. Art. 28 DSGVO abgeschlossen. Der vertrauliche Umgang mit Ihren Daten wird also gewährleistet!

Rechtsgrundlage für die Verarbeitung Ihrer Daten durch das MVZ

Die Grundlage dafür, dass das MVZ Ihre Daten datenschutzrechtlich verarbeiten darf, ergibt sich hauptsächlich daraus, dass das MVZ für die Versorgung und Behandlung von Patienten zuständig ist. Auf dieser Grundlage gibt es unterschiedliche Gesetze und Verordnungen, die dem MVZ eine Verarbeitung der Daten erlauben.

Genannt sei hier insbesondere das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Die §§ 6, 13 DSG-EKD regeln ausdrücklich, unter welchen Bedingungen Daten von Patienten verarbeitet werden dürfen. Daneben finden sich Grundlagen im deutschen Recht, etwa im Bürgerlichen Gesetzbuch (§§ 630 ff. BGB), die eine Verarbeitung Ihrer Daten voraussetzen.

Als Rechtsgrundlagen für die Verarbeitung seien hier beispielhaft genannt:
–     Datenverarbeitungen zum Zwecke der Durchführung sowie Dokumentation des Behandlungsgeschehens einschließlich des innerärztlichen und interprofessionellen Austauschs über den Patienten für die Behandlung (§ 13 Abs. 2 Ziff. 8 und Abs. 3 DSG-EKD i.V.m. §§ 630a ff, 630f BGB i.V.m. entsprechenden landesrechtlichen Regelungen sofern vorhanden),
–     Datenübermittlung zu Zwecken der Qualitätssicherung (§ 13 Abs. 2 Ziff. 9 DSG-EKD i.V.m. § 299 SGB V i.V.m. § 136 SGB V bzw. den Richtlinien des G-BA), usw.

Daneben sind Verarbeitungen auch in Fällen zulässig, in denen Sie uns Ihre Einwilligung erklärt haben.

Notwendigkeit der Angabe Ihrer Personalien

Die ordnungsgemäße administrative Abwicklung Ihrer Behandlung bedingt die Aufnahme Ihrer Personalien. Davon ausgenommen sind ausschließlich die Fälle der vertraulichen Geburt.

Mögliche Empfänger Ihrer Daten

Ihre Daten werden im Rahmen der Zweckbestimmung unter Beachtung der jeweiligen datenschutzrechtlichen Regelungen bzw. etwaiger vorliegender Einwilligungserklärungen erhoben und ggf. an Dritte übermittelt. Als derartige Dritte kommen insbesondere in Betracht:
–     gesetzliche Krankenkassen, sofern Sie gesetzlich versichert sind,
–     private Krankenversicherungen sofern Sie privat versichert sind,
–     Unfallversicherungsträger,
–     Hausärzte,
–     weiter-, nach- bzw. mitbehandelnde Ärzte,
–     andere Einrichtungen der Gesundheitsversorgung oder Behandlung,
–     Rehabilitationseinrichtungen,
–     Pflegeeinrichtungen,
–     externe Datenverarbeiter (sog. Auftragsverarbeiter) sowie
–     Seelsorger,
–     externe Forschungseinrichtungen (anonymisierte oder pseudonymisierte Daten)
–     usw.

Gegebenenfalls werden Ihre Daten auch außerhalb des Wirkbereichs des DSG-EKD verarbeitet. Dies ist unter anderem im Rahmen von wissenschaftlicher Forschung und Studien der Fall. Darüber werden Sie aber vorher entsprechend informiert bzw. um Ihre Einwilligung gebeten.

Welche Daten werden im Einzelnen übermittelt?

Sofern Daten übermittelt werden, hängt es im Einzelfall vom jeweiligen Empfänger ab, welche Daten dies sind. Bei einer Übermittlung entsprechend § 295 SGB V an Ihre Krankenkasse handelt es sich zum Beispiel um folgende Daten:

1. Name des Versicherten,
2. Geburtsdatum,
3. Anschrift,
4. Krankenversichertennummer,
5. Versichertenstatus,
6. den Tag, die Uhrzeit und Grund der Behandlung/Diagnosen

Unsere Dienstleister

Zur langfristigen Aufbewahrung unserer Patientenakten werden diese digitalisiert. Diese Arbeiten erfolgen außerhalb des MVZ auf Grundlage einer Auftragsverarbeitung und werden von folgendem Dienstleister unter Wahrung der datenschutzrechtlichen Vorschriften und der Schweigepflicht gem. § 203 StGB von folgender Firma durchgeführt: DMI GmbH & Co. KG, Otto-Hahn-Str.11-13, 48161 Münster.

Abrechnung von privatärztlichen Leistungen

Zur Abrechnung privatärztlicher stationärer und ambulanter Leistungen werden Ihre Behandlungsdaten zur Erstellung der Rechnung ggf. an einen Dienstleister weitergegeben. Hierzu wird Ihnen vor Beginn der Behandlung eine Einwilligungserklärung vorgelegt. Das ist eine gesetzliche Vorschrift. Bitte beachten Sie, dass Sie ggf. Rechnungen von unterschiedlichen Abrechnungsdienstleistern erhalten.

Behandlung aufgrund ästhetischer Operationen, Tätowierungen oder Piercings

Für den Fall, dass eine Krankheit vorliegt, für die der Verdacht besteht, dass sie Folge einer medizinisch nicht indizierten ästhetischen Operation, einer Tätowierung oder eines Piercings ist, muss auch diesbezüglich eine Meldung an die Krankenkasse erfolgen.

Einsatz von KI

Der Einsatz von Künstlicher Intelligenz (KI) ist im medizinischen Bereich von großer Relevanz. Daher kommt auch bei den KEM in unterschiedlichen Bereichen KI zum Einsatz. In der Regel beschränkt sich der Einsatz auf eine Nutzung On-Premises/On-Prem, was bedeutet, dass die KI/Software lokal, also auf den Servern der KEM installiert ist und läuft.

Es gibt aber auch Anwendungen, die die Nutzung einer „externen“ KI notwendig machen können. Auch hier sind Anbieter der externen KI Auftragsverarbeiter (siehe Kapitel Wer hat Zugriff auf Ihre Daten?).

Widerruf erteilter Einwilligungen

Wenn die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, die Sie dem MVZ gegenüber erklärt haben, dann steht Ihnen das Recht zu, Ihre Einwilligung jederzeit zu widerrufen. Diese Erklärung können Sie – schriftlich / per Mail / Post – an das MVZ richten. Einer Angabe von Gründen bedarf es dafür nicht. Ihr Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem dieser dem MVZ zugeht. Er hat keine Rückwirkung. Die Verarbeitung Ihrer Daten bis zu diesem Zeitpunkt bleibt rechtmäßig.

Wahrnehmung berechtigter Interessen des MVZ

Sofern das MVZ zur Durchsetzung seiner Ansprüche gegen Sie selbst oder Ihre Krankenkasse gezwungen ist, anwaltliche oder gerichtliche Hilfe in Anspruch zu nehmen, da die vom MVZ gestellte Rechnung nicht beglichen wird, das MVZ (zu Zwecken der Rechteverfolgung) die dafür notwendigen Daten zu Ihrer Person und Ihrer Behandlung offenbaren.

Wie lange werden Ihre Daten gespeichert?

Das MVZ ist gem. § 630f Bürgerliches Gesetzbuch (BGB) dazu verpflichtet, eine Dokumentation über Ihre Behandlung zu führen. Dieser Verpflichtung kann das MVZ in Form einer in Papierform oder elektronisch geführten Patientenakte nachkommen. Diese Patientendokumentation wird auch nach Abschluss Ihrer Behandlung für lange Zeit vom MVZ verwahrt. Auch dazu ist das MVZ gesetzlich verpflichtet.

Mit der Frage, wie lange die Dokumente im Einzelnen im MVZ aufzubewahren sind, beschäftigen sich viele spezielle gesetzliche Regelungen. Zu nennen sind etwa das Strahlenschutzgesetz (StrlSchG), die Apothekenbetriebsordnung (ApBetrO), das Transfusionsgesetz (TFG), und viele mehr. Diese gesetzlichen Regelungen schreiben unterschiedliche Aufbewahrungsfristen vor.

Neben den gesetzlichen Aufbewahrungsfristen legt das MVZ im Einklang mit den gesetzlichen Regelungen auch abweichende Aufbewahrungsfristen fest. Dies ist zum Beispiel der Fall, wenn Patienten unter chronischen oder genetischen Erkrankungen leiden. Da diese Erkrankungen oftmals länger anhalten, als die gesetzliche Aufbewahrungsfrist andauert, kann eine längere Aufbewahrungsfrist aus medizinischen Gesichtspunkten notwendig sein.

Das gleiche gilt für Fälle, in denen Schadensersatzansprüche gegenüber dem MVZ geltend gemacht werden und aus beweisrechtlichen Gründen eine längere Aufbewahrung notwendig ist.

Recht auf Auskunft, Berichtigung, Löschung usw.

Ihnen stehen sog. Betroffenenrechte zu, d.h. Rechte, die Sie als im Einzelfall betroffene Person ausüben können. Diese Rechte können Sie gegenüber dem MVZ gelten machen. Sie ergeben sich aus dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD):

–     Recht auf Auskunft, § 19 DSG-EKD
Sie haben das Recht auf Auskunft über die Sie betreffenden gespeicherten personenbezogenen Daten.
–     Recht auf Berichtigung, § 20 DSG-EKD
Wenn Sie feststellen, dass unrichtige Daten zu Ihrer Person verarbeitet werden, können Sie Berichtigung verlangen. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt werden.
–     Recht auf Löschung, § 21 DSG-EKD
Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, wenn bestimmte Löschgründe vorliegen. Dies ist insbesondere der Fall, wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind.
–     Recht auf Einschränkung der Verarbeitung, § 22 DSG-EKD
Sie haben das Recht auf Einschränkung der Verarbeitung Ihrer Daten. Dies bedeutet, dass Ihre Daten zwar nicht gelöscht, aber gekennzeichnet werden, um ihre weitere Verarbeitung oder Nutzung einzuschränken.
–     Recht auf Datenübertragbarkeit, § 24 DSG-EKD
Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und Sie können verlangen, dass Ihre Daten direkt einem anderen Dritten übermittelt werden, soweit dies technisch machbar ist.
–     Recht auf Widerspruch gegen unzumutbare Datenverarbeitung, § 25 DSG-EKD
Sie haben grundsätzlich ein allgemeines Widerspruchsrecht auch gegen rechtmäßige Datenverarbeitungen, die im öffentlichen Interesse liegen, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses einer Stelle erfolgen.

Beschwerde bei der Aufsichtsbehörde wegen Datenschutzverstößen

Unabhängig davon, dass es Ihnen auch freisteht, gerichtliche Hilfe in Anspruch zu nehmen, haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten datenschutzrechtlich nicht zulässig ist. Dies ergibt sich aus § 46 DSG-EKD. Die Beschwerde bei der Aufsichtsbehörde kann formlos erfolgen. Die für die KEM zuständige Aufsichtsbehörde ist:

Der Beauftragte für den Datenschutz der EKD – Region Mitte-West
Friedhof 4
D-44135 Dortmund
Germany
Telefon: +49 (0)231 533827-0
E-Mail: mitte-west@datenschutz.ekd.de

Datenschutzbeauftragter des MVZ

Das MVZ hat einen Datenschutzbeauftragten bestellt. Seine Kontaktdaten lauten wie folgt:

Der Datenschutzbeauftragte des Medizinisches Versorgungszentrum Essen-Mitte GmbH
(eine Einrichtung der Evang. Kliniken Essen-Mitte gGmbH)
Henricistraße 92, 45136 Essen
Tel.: +49 (0201) 174-16003 // Fax.: +49 (0201) 174-16000
E-Mail: datenschutz@kem-med.com

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung