Informationen gem. Art. 13/14 DSGVO

Datenschutzorganisation und Zuweisung von Verantwortlichkeiten im Datenschutz

Für uns bei der CompuGroup Medical steht der verantwortungsvolle  Umgang und die Achtung des Schutzes personenbezogener Daten an erster Stelle. Die CompuGroup Medical SE & Co. KGaA (CGM) hat zu diesem Zweck ein zentrales Datenschutzmanagement eingeführt, das innerhalb aller CGM-Unternehmen ein einheitliches und hohes Niveau  für den Schutz personenbezogener Daten gewährleistet und die Einhaltung der entsprechenden Datenschutzgesetze sicherstellt.

Mit dieser Datenschutzerklärung werden Ihnen als Nutzer, d.h. Leistungserbringer oder dessen Mitarbeitenden, Informationen über den Umgang mit Daten innerhalb der CGM im Zusammenhang mit dem Einsatz unserer Produkte zur Verfügung gestellt, so dass auch Sie Ihre Patienten und Kunden entsprechend informieren können. Diese Datenschutzerklärung bezieht sich auf das Produkt CGM MAXX, welches Ihnen durch die CGM Arztsysteme Österreich GmbH (CGMAT, Wir, Uns), einem Tochterunternehmen der CGM, bereitgestellt wird.

Diese Datenschutzerklärung stellen wir Ihnen sowohl als datenschutzrechtlich verantwortliche Stelle für die zu unseren eigenen Zwecken verarbeiteten Daten sowie als Auftragsverarbeiter des Leistungserbringers für die im Produktbetrieb in der Verantwortung des Leistungserbringers verarbeiteten Daten zur Verfügung.

Die aktuelle Version dieser Datenschutzerklärung finden Sie immer im Benutzerhandbuch, in CGM MAXX selbst sowie direkt unter https://update.compugroup.at/webhelp/cgm-maxx/.

Arztinformationssystem CGM MAXX

CGM MAXX ist ein für alle gängigen ärztliche Praxisformen im ambulanten Sektor geeignetes ärztliches Informations- und Abrechnungssystem und unterstützt Praxen bei der Einhaltung der gesetzlichen Vorgaben, der strukturierten Dokumentation, der Praxisverwaltung, der Abrechnung, der Verordnung sowie der Erfüllung weiterer Anforderungen an die Praxis, wobei eine modulare Erweiterung jederzeit möglich ist. CGM MAXX verfügt über ein eigenes Benutzerrechte-Konzept. Der Zugriff auf die Software ist somit nur berechtigten Personen gestattet. Das Konzept regelt neben dem Zugriff auf das Produkt selbst auch den Zugriff auf bestimmte Module sowie die Regelung von Rechten.

Verarbeitung von personenbezogenen Daten durch CGM

CGMAT speichert bei der Verwendung der angebotenen Produkte oder Dienste folgende Arten von Daten auf ihren Servern:

  • Vertrags- und Registrierungsdaten
  • Daten zum technischen Betrieb
  • Nutzungsdaten (Telemetrie)

Vertragsdaten, Registrierungsdaten, Daten zum technischen Betrieb sowie Telemetriedaten werden nur so lange verarbeitet, wie dies datenschutzrechtlich zulässig ist. Regelmäßig werden wir diese, spätestens nach Beendigung des Vertrages mit dem Leistungserbringer und Ablauf der gesetzlichen Aufbewahrungsrechte und -pflichten, insbesondere aus dem Handels- und Steuerrecht, löschen.

Vertrags- und Registrierungsdaten

Vertrags- und Registrierungsdaten dienen der Zuordnung und Betreuung eines zwischen der Praxis und CGM Arztsysteme Österreich GmbH geschlossenen Vertragsverhältnisses. Zu diesen Daten gehören:

  • Daten der Institution (z. B. Ordination)
    • Name der Institution
    • Typ der Institution
    • Adressdaten (Postleitzahl, Ort, Straße, Land)
    • Kontaktdaten
    • Vertragspartnernummer
  • Arztdaten
    • Anrede / Titel
    • Vorname / Nachname
    • Namenszusatz
    • Kontaktdaten

Des Weiteren optional hinzugefügt werden können:

  • Fachgruppe/n, Spezialisierung/en
  • Steuerklassifikation und Steuernummer
  • Ordinationszeiten
  • Geburtsdatum
  • Telefon privat
  • Telefon mobil
  • E-Mail-Adresse
  • Bankdaten (Einzugsermächtigung)
  • Ansprechpartner (Name, Geburtsdatum, Abteilung)
  • Marketingattribute

Im Rahmen der Vertrags- und Geschäftsbeziehung bekannt gewordene personenbezogene Daten werden von CGMAT gespeichert und verarbeitet, soweit dies zur Durchführung des Vertrages, insbesondere zur Auftragsabwicklung und Kundenbetreuung, notwendig ist (Art. 6 I 1 b DSGVO).

Darüber hinaus können wir diese Daten aus unserem berechtigten Interesse heraus verarbeiten, um die Geschäftsbeziehung mit Ihnen aufrecht zu erhalten, zu pflegen oder Sie über neue Produkte bzw. neue Entwicklungen zu informieren (Art. 6 I 1 f DSGVO). Ebenso können wir aus berechtigten Interessen diese Daten innerhalb des CGM-Konzerns an Gruppenunternehmen übermitteln, um unsere Produktqualität und die Marktrelevanz zu messen und zu verbessern, um auch zu Ihren Gunsten die besten Produkte anbieten und diese mit werblichen Maßnahmen fördern zu können (Art. 6 I 1f DSGVO). Dem können Sie jederzeit für die Zukunft widersprechen, wie unter „Rechte der Betroffenen“ näher erläutert.

CGMAT arbeitet mit CGM als Auftragsverarbeiter sowie arbeitsteilig in gemeinsamer Verantwortlichkeit für die Bereitstellung von IT und zentralen Diensten für die Kundenkommunikation, den Kundensupport (ggf. einschließlich der Fernwartung oder Wartung vor Ort, soweit vereinbart), das Kundencontrolling, Finance, Marketing und Customer World zusammen. Hierbei werden u.U. auch personenbezogene Vertrags- und Registrierungsdaten verarbeitet, beispielsweise der Name eines Praxisinhabers, sowie Daten zum technischen Betrieb (etwa im Falle einer Fernwartung), nicht hingegen die von Ihnen in unseren Produkten abgespeicherten Daten Ihrer Patienten. Die CGM stellt in diesen Bereichen technische Lösungen und Dienste zentral bereit; wir sind jedoch lediglich Nutzer dieser Lösungen und Dienste, zu denen auch KI-basierte Anwendungen (etwa im Bereich des allgemeinen Kundensupports) zählen. Ein Training von KI-Modellen erfolgt insoweit nicht. Über diese Datenverarbeitung in gemeinsamer Verantwortlichkeit haben wir mit der CGM einen Vertrag mit folgendem wesentlichen Inhalt gem. Art. 26 Abs. 2 DSGVO geschlossen: Informationen nach Art. 13, 14 DSGVO werden von jeder Partei selbst bereitgestellt, dieser Pflicht kommen wir mit der vorliegenden Übersicht nach. Betroffene können sich zur Geltendmachung ihrer Rechte an jeden der Gemeinsam Verantwortlichen wenden. Jede Partei ist in ihrem jeweiligen Wirk- und Zuständigkeitsbereich selbst für die Erfüllung von Betroffenenrechten nach Art. 15-22 DSGVO und für die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie im Rahmen der Gemeinsamen Verarbeitung durchgeführten Datenverarbeitungen zuständig.

Ihre Vertrags- und Registrierungsdaten sowie Daten zum technischen Betrieb werden insoweit auf den CGM-Servern in Deutschland gespeichert. Wir setzen dafür die CGM als Rechenzentrums-Betreiberin und Auftragsverarbeiterin datenschutzkonform ein.

Ferner werden wir die Sie betreffenden Daten mit Ihrer (freiwilligen) Einwilligung auch zu anderen Zwecken verarbeiten, insbesondere für produktbezogene Umfragen und Marketingzwecke entsprechend den weitergehenden Ausführungen in der jeweiligen Einwilligung (Art. 6 I 1 a DSGVO). Eine uns gegebene Einwilligung können Sie jederzeit für die Zukunft widerrufen, wie unter „Rechte der Betroffenen“ näher erläutert.

Soweit Sie uns zur Validierung des ordnungsgemäßen Betriebs der Software freiwillig produktbezogenes Feedback innerhalb von CGM Praxis zur Verfügung stellen, verarbeiten wir dieses zum Zwecke der Fehlerkontrolle und Verbesserung der Software und damit als Bestandteil der Vertragsdurchführung (Art. 6 Abs. 1 lit. b) DSGVO).

CGM speichert aus berechtigtem Interesse technischen Daten zum Betrieb sowie Telemetriedaten zur Nutzung des Produktes (Art. 6 | 1 f DSGVO). Diese werden zur Erkennung, Behandlung und Vermeidung von technischen Störungen im System, zur Produktverbesserung und zu weiteren Supportzwecken erfasst.

Die Weitergabe, der Verkauf oder sonstige Übermittlung personenbezogener Daten an außenstehende Dritte erfolgt nicht, es sei denn, dass dies zum Zwecke der Vertragsabwicklung erforderlich ist oder eine ausdrückliche Einwilligung vorliegt. Es kann beispielsweise erforderlich sein, dass CGM AT Anschrift und Bestelldaten bei Produktbestellung an Vertriebs- und Servicepartner sowie die Anschrift an externe Produktionsfirmen zur Erstellung und dem Versand der Update-Datenträger weitergibt.

Daten zum technischen Betrieb

In manchen Fällen erhebt CGM-Daten zum technischen Betrieb, um die in einem Vertrag zugesicherten Leistungen bereitstellen zu können. Dies ist dann der Fall, wenn das Produkt oder ein zugehöriges Modul als Cloud-Produkt mit CGM-Hosting angeboten wird oder während einer Fernwartung. Im Übrigen nur im Fall Ihrer gesonderten Einwilligung (Art. 6 I 1 a DSGVO)) oder einer spezifischen gesetzlichen Erlaubnis. Regelmäßig erbringt CGM diese Angebote als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO.

Im Rahmen der Fernwartung wird die CGM nur nach gesonderter Vereinbarung auf die Systeme des Auftraggebers zugreifen; welche Datenarten dabei verarbeitet werden und alle weiteren relevanten Informationen zum Datenschutz ergeben sich aus der zugrundeliegenden Auftragsverarbeitungsvereinbarung.

Für die Nutzung von bei CGM gehosteten Cloud-Angeboten gelten die jeweiligen Beschreibungen für diese Cloud-Angebote. Näheres dazu finden Sie weiter unten ("integrierte und sonstige Module")

Die Daten zum technischen Betrieb werden auf dem Server der CGM in Deutschland gespeichert. Wir setzen dafür die CGM SE & Co. KGaA als Rechenzentrumsbetreiberin und Auftragsverarbeiterin datenschutzkonform ein.

Für Online-Updates werden folgende Daten übermittelt und gespeichert:

  • Vorname / Nachname
  • Vertragspartnernummer (VPNR)
  • Fachgruppe
  • Modul-, Programmversionsinformation
  • Hardware- Betriebssystem und Netzinfrastrukturinformationen

Zu Online-Updates zählen Dienste wie:

  • Programmupdate
  • Lizenzverwaltung
  • Datenupdates
  • Erforderliche Tokens zur Verwendung bestimmter Services (zB für den Codier-Service für Diagnosen)

Es gibt Daten zum technischen Betrieb, die erst nach Einwilligung übermittelt werden. Dazu gehören Funktionen zur Verbesserung der Software wie

  • Übermittlung der aufgetretenen Programmereignissen zur Fehleranalyse.
  • Übermittlung der Anzahl von einzelnen aufgerufenen Funktionen zur Nutzungsanalyse

Wenn Sie CGM MAXX als Service (betrieben in unserem Rechenzentrum) nutzen, werden zum Zweck der Systemsicherheit temporär folgende Daten gespeichert:

  • Domain-Namen,
  • die IP-Adresse des anfragenden Rechners,
  • das Zugriffsdatum, bzw. den Zugriffszeitpunkt
  • die Dateianfrage des Clients (Dateiname und URL).

Die Daten zum technischen Betrieb werden auf dem Server der CGM in Deutschland gespeichert. Wir setzen dafür die CGM SE & Co. KGaA als Rechenzentrumsbetreiberin und Auftragsverarbeiterin datenschutzkonform ein. 

Verarbeitung von personenbezogenen Daten in CGM MAXX

Wenn Sie CGM MAXX einsetzen, verarbeiten Sie als datenschutzrechtlich Verantwortlicher damit personenbezogene Daten. Dies sind in der Regel die folgenden Daten:

  • Stammdaten der Praxis und der Praxismitarbeiter
  • Personenbezogene Daten von zuweisenden Ärzten (Arztstammdaten)
  • Patientendaten
    • Stammdaten der Patienten
    • Gesundheitsdaten

Bei lokaler Nutzung von CGM MAXX ("On Premises") werden diese Daten in der Datenbank auf dem Server Ihrer Praxis gespeichert und verarbeitet. Wir sind insofern lediglich Hersteller und datenschutzrechtlich für die Verarbeitung von diesen Daten nicht verantwortlich.

Bei Nutzung von CGM MAXX als SaaS (Hosting) werden die Daten im Rechenzentrum der CGM gespeichert und verarbeitet. Wir sind insofern datenschutzrechtlich Auftragsverarbeiter, Sie sind Verantwortlicher.

Stammdaten der Praxis, der Ordinationsmitarbeiter und personenbezogene Daten von zuweisenden Ärzten

Die Speicherung von Stammdaten Ihrer Praxis ist insoweit notwendig, als diese für die Einhaltung gesetzlicher Vorschriften und zur korrekten Nutzung der bei Ihnen vorhandenen Module/Erfüllung der Verträge benötigt werden. Pflichtangaben zu Stammdaten sind in CGM MAXX entsprechend gekennzeichnet. Zu den Stammdaten der Praxis gehören Daten wie:

  • Praxisname
  • Praxistyp
  • Praxis-Adresse
  • Fachgebiet(e)
  • Arztdaten
    • Anrede / Titel
    • Vorname / Nachname / Namenszusatz
    • Vertragspartnernummer
    • Kundennummer
    • Adressdaten (Postleitzahl, Ort, Straße, Bundesland)
    • Kontaktdaten (Telefon, Fax, E-Mail, Mailbox)
    • Ordinationszeiten
    • Geburtsdatum
    • Geschlecht
    • Bankverbindung
    • Stempeldaten
    • ELGA-OID
    • Mailbox-Adresse
    • UID-Nr
    • Steuernummer
    • Creditor ID
    • DVR-Nummer

Zu den Stammdaten der Ordinationsmitarbeiter gehören Daten wie:

  • Titel
  • Vorname / Nachname / Anzeigename
  • Benutzerkürzel / Hashwert des Passworts
  • Geschlecht
  • Geburtsdatum
  • Funktion
  • Hierarchie-Stufe
  • Adressdaten (Postleitzahl, Ort, Straße, Bundesland)
  • Kontaktdaten (Telefon, Mobil, Fax, DW, E-Mail)

Zu den personenbezogenen Daten von zuweisenden Ärzten gehören Daten wie:

  • Anrede / Titel
  • Vorname / Nachname
  • Institut
  • Vertragspartnernummer
  • Adressdaten (Postleitzahl, Ort, Straße)
  • Kontaktdaten (4 Telefonnummern, E-Mail, Web)
  • Fax
  • Mailbox-Adresse
  • Ordinationszeiten
  • Urlaube
  • Fachrichtungen
  • Zusatzfächer
  • Funktion
  • Kassenverträge

Stammdaten werden im Rahmen verschiedener Funktionen und Module benötigt und zu diesem Zweck automatisch verwendet. Die Übertragung an Dritte erfolgt nach Zustimmung durch vorherige Einwilligung oder Benutzeraktion. Eine Berichtigung, Sperrung oder Löschung dieser Daten ist – unter Berücksichtigung der gesetzlichen Vorschriften – möglich. Beschreibungen zur Berichtigung, Sperrung oder Löschung finden Sie in der aktuellen Gebrauchsanweisung.

Patientendaten

Zur Speicherung, Nutzung und sonstigen Verarbeitung von Patientendaten bedarf es der Zustimmung des Patienten oder einer gesetzlichen Bestimmung, die dies gestattet. Die Daten werden nicht automatisch in CGM MAXX generiert, sondern durch die Ordination, bzw. von den dort tätigen Personen, in CGM MAXX erfasst.

Stammdaten des Patienten: Stammdaten des Patienten werden entweder automatisiert über die e-card oder manuell in CGM MAXX erfasst und bei Bedarf manuell ergänzt.

Es wird zwischen Daten, die für die korrekte Verarbeitung, gemäß der gesetzlichen oder vertraglichen Anforderungen notwendig sind und solchen, die zusätzlich durch den Versicherten bekannt gegeben werden, unterschieden.

Zu den „Pflichtangaben“ gehören Daten wie:

  • Angaben zur Person (Vorname/Nachname/Namenszusätze/Geburtsdatum/Geschlecht/Titel)
  • Adressdaten (Straße/Hausnummer/PLZ/Wohnort/Land)
  • Angaben zum Kostenträger und Versicherungsart (z. B. Kostenträger, Versicherungsart, Versichertennummer)
  • Kostenanteilsbefreiung, Rezeptgebührenbefreiung
  • Im Falle von Überweisungen Angaben wie
    • Überweisender Arzt
    • Untersuchungsauftrag
    • Diagnosen
  • Daten des Hauptversicherten (Titel, Vorname, Nachname, Versicherungsnummer, Geburtsdatum, Geschlecht)

Zu den freiwilligen zusätzlichen Angaben gehören:

  • Kontaktpersonen des Patienten (z. B. Sachwalter, medizinische Vertrauenspersonen, private Kontaktpersonen)
  • Dienstgeberdaten (Name, Straße, Ort, Postleitzahl, Telefonnummer)
  • Patientenfoto
  • Telefon (4 Telefonnummern)
  • Bankverbindung (Kontoinhaber, Bankname, IBAN, BIC, Kontonummer, BLZ)
  • E-Mail-Adresse
  • Geburtsname
  • Zusatzanschriften
  • Beruf / Bereich
  • Verwandtschaftsverhältnis zum Hauptversicherten
  • Hausarzt
  • Zusatzversicherung
  • Bemerkungen
  • Zusatzinformationen

Gesundheitsdaten: Gesundheitsinformationen sind als solche durch die DSGVO und das DSG besonders geschützt.

Die Aufnahme der Daten in die Patientenakte ergibt sich aus der gesetzlichen Verpflichtung des Behandelnden, sämtliche aus fachlicher Sicht für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse aufzuzeichnen (Dokumentationspflicht).

Hierzu gehören Daten wie

  • Anamnese
  • Diagnosen
  • Untersuchungen
  • Untersuchungsergebnisse
  • Befunde
  • Therapien und ihre Wirkungen
  • Eingriffe und ihre Wirkungen
  • Einwilligungen und Aufklärungen
  • Arztbriefe
  • Abrechnungsrelevante Daten wie
    • Gebührenordnungspositionen, ggf. mit Zusatzangaben gem. Vorgaben aus der zugrundeliegenden Gebührenordnung
    • Rechnungsdaten
    • Rechnungen
    • Mahnungen und Mahnstufen

Berichtigungen und Änderungen von Eintragungen in der Patientenakte sind möglich. Der ursprüngliche Inhalt kann bei Bedarf eingesehen werden. Löschungen können unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen erfolgen. Ein Export der Daten in einem gängigen maschinenlesbaren Format ist möglich und kann dem Patienten auf Verlangen ausgehändigt werden. Die Verfahren und Funktionen werden im Benutzerhandbuch von CGM MAXX beschrieben.

Die Verarbeitung personenbezogener Patientendaten durch CGM MAXX erfordert eine datenschutzrechtliche Rechtsgrundlage gemäß Art 9 DSGVO, für die der Leistungserbringer datenschutzrechtlich verantwortlich ist (Art. 24 DSGVO). Die Verarbeitung stützt sich typischerweise auf die Heilbehandlung (Art. 9 Abs. 1 lit. h DSGVO) i. V. m. den gesetzlichen Dokumentationspflichten gemäß ärztlichem Berufsrecht sowie auf die Erfüllung des Behandlungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Es steht dem Leistungserbringer frei, für bestimmte Verarbeitungsvorgänge, etwa für Abrechnungszwecke, die Verarbeitung auf eine ausdrückliche Einwilligung des Patienten zu stützen (Art. 6 Abs. 1 lit. a DSGVO).

Verarbeitung von Daten der Ordination und besonderer Arten personenbezogener Daten | Patientendaten in integrierten Modulen

Integrierte Module werden zusammen mit CGM MAXX standardmäßig installiert, interagieren mit diesem und verarbeiten personenbezogene Daten auf folgende Art und Weise:

Integrierte Module:

  • CLICKDOCPro (Kalender)
    CLICKDOCPro  ist die integrierte Kalenderanwendung von CGM Praxis. CLICKDOCPro verarbeitet Praxis- und Patientendaten ausschließlich, soweit dies für Terminbuchungen, Videosprechstunden oder andere medizinische Anwendungen erforderlich ist. Die Verarbeitung erfolgt auf Grundlage eines separaten Auftragsverarbeitungsvertrag (AVV) der CGMAT. Weitere Informationen zur Datenverarbeitung finden Sie in CLICKDOCPro im Menüpunkt „i“ (Information) oder direkt unter: https://cdpro.clickdoc.de/docs/de/privacy-statement.pdf
  • CLICKDOC eSERVICES
    CGM LIFE eSERVICES sind Tools zur Online-Kommunikation zwischen Ärzten und Patienten.
    Patienten können direkt über die Webseite des Arztes online Termine buchen, gesichert mit Ärzten kommunizieren und Befunde online einsehen.
    Die Daten werden Ende-zu-Ende verschlüsselt.
  • C-BOX
    Die C-BOX ist ein Tool zur komfortablen gerichteten Befundübertragung sowie zur ELGA-Anbindung für niedergelassene Ärzte und ermöglicht den Zugriff auf die e-Medikation, e-Befunde und e-Impfpass.
    In der C-BOX werden Stammdaten der Praxis und der Ordinationsmitarbeiter sowie Patientendaten für die Datenübertragung verarbeitet und optional in einem verschlüsselten Cache temporär zwischengespeichert.

Sonstige Module:

  • e-Health Codierservice
    Das Bundesministerium für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz (BMASGPK) zur Verfügung gestellte e-Health Codier-Service wird bei entsprechender Aktivierung für die codierte Diagnoseerfassung genutzt. Weitere Informationen zum Datenschutz dieses Services finden Sie unter https://codierservice.ehealth.gv.at/datenschutz/
  • CGM BENCHMARKS
    CGM BENCHMARKS verarbeitet anonymisierte Daten (Leistungen, Verordnungen, Diagnosen) und bietet statistische Auswertungen Ihrer Praxis im Vergleich zu einem Panel vergleichbarer Leistungserbringer. Das Modul CGM BENCHMARKS ist nur bei entsprechender Zustimmung (zB bei Vertragsabschluss) aktiviert. Näheres zu CGM BENCHMARKS können Sie der entsprechenden Datenschutzerklärung von CGM BENCHMARKS entnehmen.

  • active:info
    Active Info bietet Informationen zu Arzneimitteln im Rahmen der Medikation. Das Modul Active Info ist nur bei entsprechender Zustimmung (zB bei Vertragsabschluss) aktiviert. Näheres zu CGM BENCHMARKS können Sie der entsprechenden Datenschutzerklärung von Active Info entnehmen.

  • DMS
    DMS bietet von Dritten (zB Pharmaunternehmen, öffentliche Stellen, Ärztekammern etc.) bereitgestellte Informationen zu Arzneimitteln, Diagnosen und medizinischen Daten auf Basis von ausschließlich bei Ihnen lokal verarbeiteten Daten und Anzeigeregeln. Das Modul DMS ist nur bei entsprechender Zustimmung (zB bei Vertragsabschluss) aktiviert. Näheres zu DMS können Sie der entsprechenden Datenschutzerklärung von CGM BENCHMARKS entnehmen.

  • Austria Codex Online
    Austria Codex bietet die Möglichkeit Detailinformation und Produktbeschreibungen zu Arzneimittel im Rahmen der Verordnung oder passend zu Medikationsdaten abzurufen. Es handelt sich hier um eine Einbindung eines Dienstes des Apothekerverlags. Näheres zu DMS können Sie der entsprechenden Datenschutzerklärung von CGM BENCHMARKS entnehmen.

Datenübermittlung

CGM MAXX übermittelt Daten elektronisch auf gesetzlicher, vertraglicher oder einwilligungsbasierter Grundlage nur nach Interaktion durch den Anwender oder – entsprechend der Zustimmung – automatisiert.

Zur elektronischen Übermittlung auf gesetzlicher Grundlage und vertraglicher gehören

  • Elektronische Abrechnung von medizinischen Leistungen mit den Kostenträgern
    • Leistungserbringer rechnen medizinische Leistungen gemäß Organisationsbeschreibung für den Datenaustausch mit Vertragspartnern (DVP) des Hauptverbands der Österreichischen Sozialversicherungsträger ab und übermitteln diese elektronisch an den entsprechenden Kostenträger.
  • Elektronische Abrechnung von Medikamenten für hausapothekenführende Ärzte
    • Hausapothekenführende Ärzte rechnen abgegebene Medikamente gemäß Organisationsbeschreibung für den Datenaustausch mit Vertragspartnern (DVP) des Hauptverbands der Österreichischen Sozialversicherungsträger ab und übermitteln diese elektronisch an den entsprechenden Kostenträger.
  • Abrechnungsdaten für das Selbstzahlerabrechnungsservice der CGM
    • Ärzte können die gesamte Abrechnung von selbstzahlenden Patienten an Dienstleister auslagern. Dabei werden Daten übermittelt, welche zur Rechnungslegung benötigt werden.
  • ELGA
    • Kontaktbestätigungen
    • eMedikationsdaten
    • eBefunde
    • eImpfpass
    • elektronischer Eltern-Kind-Pass
  • e-card
    • Konsultationen (online und offline),
    • Elektronische Bewilligungen (eBS)
    • Elektronische Arbeitsunfähigkeitsmeldungen (eAUM)
    • Disease Management Programme (DMP)
    • Arzneimittelbewilligungsservice (ABS)
    • Vorsorgeuntersuchungen (VU-NEU)
    • e-Rezept (EREZ)
  • Wahlpartner-Service
    • Wahlpartnerkontakte mit
      • SVT Relevante Leistungen
      • Diagnosen
  • WAHOnline
    • Mit WAHonline können Wahlbehandlerinnen und Wahlbehandler Honorarnoten (Rechnungen) direkt an zuständigen Kostenträger (zB ÖGK) schicken. Nähere Informationen zu diesem Service können Sie auf den Web-Seiten des zuständigen Kostenträgers entnehmen.
  • Gerichteter Befundversand

Die Einhaltung der verpflichtenden Anforderungen der Sozialversicherungs-Chipkarten Betriebs- und Errichtungsgesellschaft m.b.H. – SVC sowie der einschlägigen Rechtsvorschriften (GTelG) zur sicheren Übertragung der Daten ist gewährleistet. Die Übermittlung erfolgt in der Regel über das e-Card System sowie über den gerichteten Befundversand. Die Übertragung der Daten Ende-zu-Ende verschlüsselt.

Technische und organisatorische Maßnahmen

Um die Datensicherheit zu gewährleisten, überprüft CGMAT regelmäßig den Stand der Technik an Schutzmaßnahmen sowie mögliche Datenschutzrisiken. Hierzu werden unter anderem typische Schadenszenarien ermittelt und anschließend der Schutzbedarf für einzelne personenbezogene Daten abgeleitet und in Schadenskategorien eingeteilt. Zudem wird eine Risikobewertung durchgeführt.

Zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen werden folgende Grundsätze normiert:

Datenschutz und Datensicherheit sind integraler Bestandteil des Entwicklungsprozesses aller Produkte und Dienstleistungen. Bereits in der Planungsphase neuer IT-Systeme und Funktionen berücksichtigt CGMAT die Anforderungen der DSGVO und des IT-Sicherheitsgesetzes. Beispiele hierfür sind:

Datenschutzmanagementsystem

Es wurde ein zentrales Datenschutzmanagement eingeführt, das innerhalb aller CGM-Unternehmen ein einheitliches und hohes Niveau für den Schutz personenbezogener Daten gewährleistet und die Einhaltung der entsprechenden Datenschutzgesetze sicherstellt.

Verpflichtung auf Vertraulichkeit, Datenschutzschulungen

Patientendaten, insbesondere Gesundheitsdaten, unterliegen den strengen Datenschutzbestimmungen der Datenschutz-Grundverordnung (DSGVO) und dem Datenschutzgesetz (DSG) zusätzlich strengen Auflagen aus dem Gesundheitstelematikgesetz (GTelG) und werden, sofern sie uns überhaupt bekannt werden, von CGMAT besonders sensibel behandelt.

Wir als Anbieter greifen auf diese nur im vereinbarten Rahmen zu und beschränken den Zugriff personell auf Mitarbeiter und Auftragnehmer der CGMAT und CGM sowie inhaltlich auf Informationen die erforderlich sind, um die Leistungen aus unserem Vertrag mit dem Leistungserbringer zu erbringen. Diese Personen sind an die Einhaltung dieser Datenschutzerklärung und an Vertraulichkeitsverpflichtungen gebunden. Die Verletzung dieser Vertraulichkeitsverpflichtungen kann mit Kündigung und Strafverfolgung geahndet werden.

Die Mitarbeiter werden regelmäßig zum Datenschutz und der IT-Sicherheit geschult.

Datenschutz in der Entwicklung

CGMAT achtet darauf, dass Datenschutz und Datensicherheit bereits in der Planung und Entwicklung unserer Software berücksichtigt werden („Privacy by Design“). Dies wird u.a. wie folgt umgesetzt:

  • Sicherheitsstandards auf höchstem Niveau: Standardmäßig aktivierte Mechanismen wie Zwei-Faktor-Authentifizierung und strikte Mandantentrennung gewährleisten einen umfassenden Schutz der Daten.
  • Standardmäßig aktivierte Verschlüsselung: Alle gespeicherten Daten werden bereits bei der Erfassung verschlüsselt, um unbefugten Zugriff zu verhindern.
  • Flexible Berechtigungskonzepte: Nur autorisierte Nutzer haben Zugang zu bestimmten Daten, abhängig von ihren Rollen und Aufgaben.
  • Proaktive Schwachstellenanalyse: Sicherheitsprüfungen und Datenschutz-Checks werden regelmäßig durchgeführt, um potenzielle Risiken frühzeitig zu identifizieren und zu beheben.

Datenschutzfreundliche Voreinstellungen

Produkte und Dienstleistungen der CGMAT sind standardmäßig datenschutzfreundlich konfiguriert, um sicherzustellen, dass keine unnötigen Daten verarbeitet werden („Privacy by Default“). Dies wird u.a. wie folgt umgesetzt:

  • Datensparsame Voreinstellungen: In allen Anwendungen sind nur die unbedingt notwendigen Datenfelder aktiviert. Nutzer müssen zusätzliche Daten aktiv und bewusst ergänzen.
  • Löschvorgaben: Nicht mehr benötigte Daten werden bei Beendigung des Vertrages durch die CGM sowie nach Ablauf definierter Fristen durch den Arzt gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Informationssicherheitsmanagementsystem

CGMAT betreibt ein Informationssicherheitsmanagementsystem (ISMS) welches nach ISO 27001 zertifiziert ist.

Rechte der Betroffenen

Personenbezogene Daten des Leistungserbringers und der Praxismitarbeitenden:

Betroffene Personen wie der Leistungserbringer und dessen Mitarbeitende haben das Recht auf Auskunft über zu ihrer Person durch CGMAT oder ein CGM-Unternehmen gespeicherten Daten sowie Rechte auf Berichtigung, Einschränkung der Verarbeitung, Widerspruch, Sperrung oder Löschung dieser Daten, soweit CGMAT oder ein CGM-Unternehmen diese in eigener Verantwortung (etwa für Abrechnungs- oder Marketingzwecke) verarbeitet. Bei etwaigen der CGMAT insoweit erteilten Einwilligungen haben Betroffene Personen das Recht, diese jederzeit mit der Wirkung für die Zukunft zu widerrufen.

Darüber hinaus haben Betroffene Personen das Recht, sich bei einer für sie zuständigen Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Meinung sind, dass CGMAT oder ein CGM-Unternehmen ihre personenbezogenen Daten nicht richtig verarbeiten.

Soweit CGMAT personenbezogene Daten als Auftragsverarbeiter für den Leistungserbringer verarbeitet kann der Leistungserbringer jederzeit Unterstützung bei der Erfüllung dieser Betroffenenrechte gemäß dem Auftragsverarbeitungsvertrag verlangen.

Personenbezogene Daten Ihrer Patienten

Patienten haben gegenüber dem Leistungserbringer typischerweise ein Recht auf Auskunft über zu ihnen gespeicherten Daten sowie unter bestimmten Voraussetzungen auf Mitnahme dieser Daten (Recht auf Datenportabilität) sowie ggf. Rechte auf Berichtigung, Einschränkung der Verarbeitung, Widerspruch, Sperrung oder Löschung dieser Daten.

Hierfür bietet das System bereits Funktionen (Bspw. Der Ausdruck eine Patienten Karteikarte).

Bei den Löschanfragen sind Leistungserbringer jedoch regelmäßig gesetzlich verpflichtet und berechtigt, die geltenden Aufbewahrungsfristen zu beachten. Bei erteilten Einwilligungen haben Patienten zudem das Recht, diese jederzeit mit der Wirkung für die Zukunft zu widerrufen.

Darüber hinaus haben Patienten das Recht, sich bei einer für sie zuständigen Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Meinung sind, dass Sie Ihre personenbezogenen Daten nicht richtig verarbeiten.

CGMAT wird den Leistungserbringer als Verantwortlichen bei der Erfüllung dieser Betroffenenrechte seiner Patienten gemäß den Bestimmungen des Auftragsverarbeitungsvertrags unterstützen.

Durchsetzung

Die CGM überprüft regelmäßig und durchgängig die Einhaltung dieser Datenschutzbestimmungen. Erhält die CGM formale Beschwerdeschriften, wird sie mit dem Verfasser bezüglich seiner Bedenken Kontakt aufnehmen, um eventuelle Beschwerden hinsichtlich der Verwendung von persönlichen Daten zu lösen. Die CGM verpflichtet sich, dazu kooperativ mit den entsprechenden Behörden, einschließlich Datenschutzaufsichtsbehörden, zusammenzuarbeiten.

Änderungen an dieser Datenschutzerklärung

Beachten Sie, dass diese Datenschutzerklärung von Zeit zu Zeit ergänzt und geändert werden kann. Sollten die Änderungen wesentlich sein, werden wir eine ausführlichere Benachrichtigung ausgeben. Jede Version dieser Datenschutzbestimmungen ist anhand ihres Datums- und Versionsstandes in der Fußzeile dieser Datenschutzerklärung (Stand) zu identifizieren. Außerdem archivieren wir alle früheren Versionen dieser Datenschutzbestimmungen zu Ihrer Einsicht auf Nachfrage beim Datenschutzbeauftragten der CGM Arztsysteme Österreich GmbH.

Verantwortlich für CGM Arztsysteme Österreich GmbH 

CGM Arztsysteme Österreich GmbH
Ricoweg 22
2351 Wiener Neudorf

Datenschutzbeauftragter

Bei Fragen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten können Sie sich an den Datenschutzbeauftragten wenden, der Ihnen im Falle von Auskunftsersuchen oder Beschwerden zur Verfügung steht:

Datenschutzbeauftragter
CGM Arztsysteme Österreich GmbH | HCS GmbH
Geranienstraße 1
4481 Asten

at.aisat.dpo-at@cgm.com

Zuständige Aufsichtsbehörde

Für die CGM Arztsysteme Österreich GmbH ist die

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E‑Mail: dsb@dsb.gv.at

als Aufsichtsbehörde zuständig.

Version: 6, Feb 19, 2026 10:14