Informationen gem. Art. 13/14 DSGVO

Datenschutzorganisation und Zuweisung von Verantwortlichkeiten im Datenschutz

CGM Arztsysteme Österreich GmbH – ein Unternehmen der CGM SE & Co. KGaA („CGM“), erachtet den verantwortungsvollen Umgang und die Achtung des Schutzes personenbezogener Daten als obersten Grundsatz. CGM Arztsysteme Österreich GmbH sichert stets die genaue Einhaltung aller relevanten Rechtsvorschriften (insbesondere Datenschutz-Grundverordnung [DSGVO] und Datenschutzgesetz [DSG]) bei der Verarbeitung der personenbezogenen Daten ein.

CGM (https://www.cgm.com/corp_de/impressum/compu-group-medical-se-co-k-ga-a.html) hat ein zentrales Datenschutzmanagement eingeführt, das innerhalb aller CGM-Unternehmen ein einheitliches und hohes Niveau für den Schutz personenbezogener Daten gewährleistet und die Einhaltung der entsprechenden Datenschutzvorschriften sicherstellt.

Mit dieser Datenschutzerklärung erfüllen wir unsere Informationspflichten und stellen Ihnen Informationen über den Umgang mit Daten bei der CGM zur Verfügung. Diese Datenschutzerklärung bezieht sich auf CGM MAXX.

Die aktuellste Version dieser Datenschutzerklärung finden Sie immer im Benutzerhandbuch von CGM MAXX sowie in CGM MAXX selbst.

Arztinformationssystem CGM MAXX

CGM Arztsysteme Österreich GmbH ist ein für alle gängigen ärztlichen Praxisformen im ambulanten Sektor geeignetes ärztliches Informations- und Abrechnungssystem und unterstützt Praxen bei der Einhaltung der gesetzlichen Vorgaben, der strukturierten Dokumentation, der Praxisverwaltung, der Abrechnung, der Verordnung sowie der Erfüllung weiterer Anforderungen an die Praxis, wobei eine modulare Erweiterung jederzeit möglich ist. CGM MAXX verfügt über ein eigenes Benutzerrechte-Konzept. Der Zugriff auf die Software ist somit nur berechtigten Personen gestattet. Das Konzept regelt neben dem Zugriff auf das Produkt selbst auch den Zugriff auf bestimmte Module sowie die Regelung von Schreib- und Leserechten. Grundsatz des Konzepts ist, dass nur Personen, bei denen dies für die Erfüllung gesetzlicher oder vertraglicher Pflichten oder für Verarbeitungen, für die eine Einwilligung vorliegt, unbedingt notwendig ist, ausschließlich jene Daten verarbeiten, die zur Erbringung erforderlich sind.

Verarbeitung von personenbezogenen Daten durch CGM

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Die CGM speichert bei der Verwendung der angebotenen Produkte / Dienste folgende Arten von Daten auf ihren Server:

  • Vertrags- und Registrierungsdaten

  • Daten zum technischen Betrieb

Wir verpflichten uns gemäß DSGVO und DSG, sämtliche Vertragsdaten, sämtliche Protokolldaten und sämtliche Daten zum technischen Betrieb nach Kündigung Ihres Vertrages zu löschen. Soweit uns eine längere gesetzliche Verpflichtung zur Aufbewahrung trifft, werden die Daten erst nach Ablauf dieser Frist gelöscht.

Daten zum technischen Betrieb (definiert in Punkt 3.2) werden nur so lange gespeichert, wie es technisch notwendig ist, spätestens jedoch nach Kündigung Ihres Vertrages gelöscht, sofern dem keine gesetzliche Aufbewahrungspflicht entgegensteht.

Vertrags- und Registrierungsdaten

Vertrags- und Registrierungsdaten dienen der Zuordnung und Betreuung eines zwischen der Praxis und CGM Arztsysteme Österreich GmbH geschlossenen Vertragsverhältnisses. Zu diesen Daten gehören:

  • Daten der Institution (z. B. Ordination)

    • Name der Institution

    • Typ der Institution

    • Adressdaten (Postleitzahl, Ort, Straße, Land)

    • Kontaktdaten

    • Vertragspartnernummer

  • Arztdaten

    • Anrede / Titel

    • Vorname / Nachname

    • Namenszusatz

    • Kontaktdaten

Des Weiteren optional hinzugefügt werden können:

  • Fachgruppe

  • Steuerklassifikation und Steuernummer

  • Ordinationszeiten

  • Geburtsdatum

  • Weitere Kontaktdaten (Telefon privat, Telefon mobil, E-Mail, Webseite)

  • Bankdaten (Einzugsermächtigung)

  • Ansprechpartner (Name, Geburtsdatum, Abteilung)

  • Marketingattribute

Im Rahmen der Vertrags- und Geschäftsbeziehung bekannt gewordene personenbezogene Daten werden von CGM Arztsysteme Österreich GmbH nur gespeichert und verarbeitet, soweit dies zur Durchführung des Softwarepflegevertrags, insbesondere zur Auftragsabwicklung und Kundenbetreuung, notwendig ist.

Darüber hinaus können wir diese Daten aus unserem berechtigten Interesse heraus verarbeiten, um die Geschäftsbeziehung mit Ihnen aufrecht zu erhalten und zu pflegen oder Sie über neue Produkte bzw. neue Entwicklungen zu informieren (Art. 6 I 1 f DSGVO). Ebenso können wir aus berechtigten Interessen diese Daten innerhalb des CGM-Konzerns an Gruppenunternehmen übermitteln, um unsere Produktqualität und die Marktrelevanz zu messen und zu verbessern, um auch zu Ihren Gunsten die besten Produkte anbieten und diese mit werblichen Maßnahmen fördern zu können (Art. 6 I 1f DSGVO). Dem können Sie jederzeit für die Zukunft widersprechen, wie unter „Rechte der Betroffenen“ näher erläutert.

CGM Arztsysteme Österreich GmbH arbeitet mit der CGM SE & Co. KGaA arbeitsteilig in Gemeinsamer Verantwortlichkeit für die Bereitstellung von IT für die Kundenkommunikation, das Kundencontrolling, Finance, Marketing und Portal zusammen. Hierbei werden u.U. auch personenbezogene Kundendaten verarbeitet, beispielsweise der Name eines Praxisinhabers, nicht dagegen von Ihnen in unseren Produkten abgespeicherte Daten Ihrer Patienten. Die CGM SE & Co. KGaA stellt in diesen Bereichen die Tools bereit. Wir melden unsere Bedarfe und nutzen die Tools. Über diese Datenverarbeitung in Gemeinsamer Verantwortlichkeit haben wir mit der CMG SE & Co. KGaA einen Vertrag geschlossen mit folgendem wesentlichen Inhalt gem. Art. 26 Abs. 2 DSGVO: Informationen nach Art. 13, 14 DSGVO werden von jeder Partei selbst bereitgestellt, dieser Pflicht kommen wir mit der vorliegenden Übersicht nach. Betroffene können sich zur Geltendmachung ihrer Rechte an jeden der Gemeinsam Verantwortlichen wenden. Jede Partei ist in ihrem jeweiligen Wirk- und Zuständigkeitsbereich selbst für die Erfüllung von Betroffenenrechten nach Art. 15-22 DSGVO und für die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie im Rahmen der Gemeinsamen Verarbeitung durchgeführten Datenverarbeitungen zuständig.

Die Vertragsdaten werden zudem auf dem CGM Server in Deutschland gespeichert. Wir setzen dafür die CGM SE & Co. KGaA als Rechenzentrumsbetreiberin und Auftragsverarbeiterin datenschutzkonform ein.

Ferner werden wir die Sie betreffenden Daten mit Ihrer (freiwilligen) Einwilligung auch zu anderen Zwecken verarbeiten, insbesondere für produktbezogene Umfragen und Marketingzwecke entsprechend der weitergehenden Ausführungen in der jeweiligen Einwilligung (Art. 6 I 1 a DSGVO). Eine uns gegebene Einwilligung können Sie jederzeit für die Zukunft widerrufen, wie unter „Rechte der Betroffenen“ näher erläutert.

Die Weitergabe, der Verkauf oder sonstige Übermittlung personenbezogener Daten an außenstehende Dritte erfolgt nicht, es sei denn, dass dies zum Zwecke der Vertragsabwicklung erforderlich ist oder eine ausdrückliche Einwilligung vorliegt. Es kann beispielsweise erforderlich sein, dass CGM Arztsysteme Österreich GmbH Anschrift und Bestelldaten bei Produktbestellung an Vertriebs- und Servicepartner sowie die Anschrift an externe Produktionsfirmen zur Erstellung und dem Versand der Update-Datenträger weitergibt.

Daten zum technischen Betrieb

In manchen Fällen erhebt CGM Arztsysteme Österreich GmbH Daten zum technischen Betrieb, um die in einem Vertrag zugesicherten Leistungen bereitstellen zu können. Dies ist dann der Fall wenn das Produkt oder ein zugehöriges Modul als Cloud-Produkt mit CGM-Hosting angeboten wird oder während einer Fernwartung, im Übrigen nur im Fall Ihrer gesonderten Einwilligung (Art. 6 I 1 a DSGVO) oder einer spezifischen gesetzlichen Erlaubnis. Regelmäßig erbringt CGM diese Angebote als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO.

Im Rahmen der Fernwartung wird CGM Arztsysteme Österreich GmbH nur nach gesonderter Vereinbarung auf die Systeme des Auftraggebers zugreifen; welche Datenarten dabei verarbeitet werden und alle weiteren relevanten Informationen zum Datenschutz ergeben sich aus der zugrundeliegenden Auftragsverarbeitungsvereinbarung.

Für die Nutzung von bei CGM gehosteten Cloud-Angeboten gelten die jeweiligen Beschreibungen für diese Cloud-Angebote. Näheres dazu finden Sie auch unter 4.3.

Wenn Sie unsere Website nutzen, werden zum Zweck der Systemsicherheit temporär folgende Daten gespeichert:

  • Domain-Namen,

  • die IP-Adresse des anfragenden Rechners,

  • das Zugriffsdatum, bzw. den Zugriffszeitpunkt

  • die Dateianfrage des Clients (Dateiname und URL).

Beachten Sie die für die jeweilige Website geltende Datenschutzerklärung für weitere Informationen dazu.

Die Daten zum technischen Betrieb werden auf dem Server der CGM in Deutschland gespeichert. Wir setzen dafür die CGM SE & Co. KGaA als Rechenzentrumsbetreiberin und Auftragsverarbeiterin datenschutzkonform ein.

Für Online-Updates werden folgende Daten übermittelt und gespeichert:

  • Vorname / Nachname

  • HV-Nr

  • Fachgruppe

  • Modul-, Programmversionsinformation

  • Hardware- Betriebssystem und Netzinfrastrukturinformationen

Zu Online-Updates zählen Dienste wie:

  • Programmupdate

  • Lizenzinformationen

Es gibt Daten zum technischen Betrieb, die erst nach Einwilligung übermittelt werden. Dazu gehören Funktionen zur Verbesserung der Software wie

  • Übermittlung der Fehleranzahl (Fehlerprotokoll)
    Übermittlung der aufgetretenen Fehler. Dabei werden Vorname, Nachname, HV-Nr, Fachgruppe sowie die IP-Adresse des Kunden übertragen.

  • Übermittlung von Funktionszähler-Daten an CGM
    Übermittlung der Anzahl von einzelnen aufgerufenen Funktionen. Dabei werden Vorname, Nachname, HV-Nr, Fachgruppe sowie die IP-Adresse des Kunden übertragen.

Verarbeitung von personenbezogenen Daten in CGM MAXX auf dem Server Ihrer Praxis

Wenn Sie CGM MAXX einsetzen, verarbeiten Sie als datenschutzrechtlich Verantwortlicher damit personenbezogene Daten. Dies sind in der Regel die folgenden Daten:

  • Stammdaten der Praxis

  • Stammdaten der Ordinationsmitarbeiter

  • Personenbezogene Daten von zuweisenden Ärzten (Arztstammdaten)

  • Patientendaten

    • Stammdaten

    • Besondere Kategorien personenbezogener Daten (bisher: „Sensible Daten“)

Diese Daten werden in der Datenbank auf dem Server Ihrer Praxis gespeichert und verarbeitet.

Stammdaten der Praxis, der Ordinationsmitarbeiter und personenbezogene Daten von zuweisenden Ärzten

Die Speicherung von Stammdaten Ihrer Praxis ist insoweit notwendig, als diese für die Einhaltung gesetzlicher Vorschriften und zur korrekten Nutzung der bei Ihnen vorhandenen Module/Erfüllung der Verträge benötigt werden. Pflichtangaben zu Stammdaten sind in CGM MAXX entsprechend gekennzeichnet. Zu den Stammdaten der Praxis gehören Daten wie:

  • Praxisname

  • Praxistyp

  • Praxis-Adresse

  • Fachgebiet(e)

  • Arztdaten

    • Anrede / Titel

    • Vorname / Nachname / Namenszusatz

    • Vertragspartnernummer

    • Kundennummer

    • Adressdaten (Postleitzahl, Ort, Straße, Bundesland)

    • Kontaktdaten (Telefon, Fax, E-Mail, Mailbox)

    • Ordinationszeiten

    • Geburtsdatum

    • Geschlecht

    • Bankverbindung

    • Stempeldaten

    • ELGA-OID

    • Mailbox-Adresse

    • UID-Nr

    • Steuernummer

    • Creditor ID

    • DVR-Nummer

Zu den Stammdaten der Ordinationsmitarbeiter gehören Daten wie:

  • Titel

  • Vorname / Nachname / Anzeigename

  • Benutzerkürzel / Hashwert des Passworts

  • Geschlecht

  • Geburtsdatum

  • Funktion

  • Hierarchie-Stufe

  • Adressdaten (Postleitzahl, Ort, Straße, Bundesland)

  • Kontaktdaten (Telefon, Mobil, Fax, DW, E-Mail)

Zu den personenbezogenen Daten von zuweisenden Ärzten gehören Daten wie:

  • Anrede / Titel

  • Vorname / Nachname

  • Institut

  • Vertragspartnernummer

  • Adressdaten (Postleitzahl, Ort, Straße)

  • Kontaktdaten (4 Telefonnummern, E-Mail, Web)

  • Fax

  • Mailbox-Adresse

  • Ordinationszeiten

  • Urlaube

  • Fachrichtungen

  • Zusatzfächer

  • Funktion

  • Kassenverträge

Stammdaten werden im Rahmen verschiedener Funktionen und Module benötigt und zu diesem Zweck automatisch verwendet. Die Übertragung an Dritte erfolgt nach Zustimmung durch vorherige Einwilligung oder Benutzeraktion. Eine Berichtigung, Sperrung oder Löschung dieser Daten ist – unter Berücksichtigung der gesetzlichen Vorschriften – möglich. Beschreibungen zur Berichtigung, Sperrung oder Löschung finden Sie in der aktuellen Gebrauchsanweisung.

Patientendaten

Zur Speicherung, Nutzung und sonstigen Verarbeitung von Patientendaten bedarf es der Zustimmung des Patienten oder einer gesetzlichen Bestimmung, die dies gestattet. Die Daten werden nicht automatisch in CGM MAXX generiert, sondern durch die Ordination, bzw. von den dort tätigen Personen, in CGM MAXX erfasst.

Stammdaten des Patienten: Stammdaten des Patienten werden entweder automatisiert über die e-card oder manuell in CGM MAXX erfasst und bei Bedarf manuell ergänzt.

Es wird zwischen Daten, die für die korrekte Verarbeitung, gemäß der gesetzlichen oder vertraglichen Anforderungen notwendig sind und solchen, die zusätzlich durch den Versicherten bekannt gegeben werden, unterschieden.

Zu den „Pflichtangaben“ gehören Daten wie:

  • Angaben zur Person (Vorname/Nachname/Namenszusätze/Geburtsdatum/Geschlecht/Titel)

  • Adressdaten (Straße/Hausnummer/PLZ/Wohnort/Land)

  • Angaben zum Kostenträger und Versicherungsart (z. B. Kostenträger, Versicherungsart, Versichertennummer)

  • Kostenanteilsbefreiung, Rezeptgebührenbefreiung

  • Im Falle von Überweisungen Angaben wie

    • Überweisender Arzt

    • Untersuchungsauftrag

    • Diagnosen

  • Daten des Hauptversicherten (Titel, Vorname, Nachname, Versicherungsnummer, Geburtsdatum, Geschlecht)

Zu den freiwilligen zusätzlichen Angaben gehören:

  • Kontaktpersonen des Patienten (z. B. Sachwalter, medizinische Vertrauenspersonen, private Kontaktpersonen)

  • Dienstgeberdaten (Name, Straße, Ort, Postleitzahl, Telefonnummer)

  • Patientenfoto

  • Telefon (4 Telefonnummern)

  • Bankverbindung (Kontoinhaber, Bankname, IBAN, BIC, Kontonummer, BLZ)

  • E-Mail-Adresse

  • Geburtsname

  • Zusatzanschriften

  • Beruf / Bereich

  • Verwandtschaftsverhältnis zum Hauptversicherten

  • Hausarzt

  • Zusatzversicherung

  • Bemerkungen

  • Zusatzinformationen

Besondere Kategorien personenbezogener Daten (bisher: „Sensible Daten“): Gesundheitsinformationen sind als solche durch die DSGVO und das DSG besonders geschützt.

Die Aufnahme der Daten in die Patientenakte ergibt sich aus der gesetzlichen Verpflichtung des Behandelnden, sämtliche aus fachlicher Sicht für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse aufzuzeichnen (Dokumentationspflicht).

Hierzu gehören Daten wie

  • Anamnese

  • Diagnosen

  • Untersuchungen

  • Untersuchungsergebnisse

  • Befunde

  • Therapien und ihre Wirkungen

  • Eingriffe und ihre Wirkungen

  • Einwilligungen und Aufklärungen

  • Arztbriefe

  • Abrechnungsrelevante Daten wie

    • Gebührenordnungspositionen, ggf. mit Zusatzangaben gem. Vorgaben aus der zugrundeliegenden Gebührenordnung

    • Rechnungsdaten

    • Rechnungen

    • Mahnungen und Mahnstufen

Berichtigungen und Änderungen von Eintragungen in der Patientenakte sind möglich. Der ursprüngliche Inhalt kann bei Bedarf eingesehen werden. Löschungen können unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen erfolgen. Ein Export der Daten in einem gängigen maschinenlesbaren Format ist möglich und kann dem Patienten auf Verlangen ausgehändigt werden. Die Verfahren und Funktionen werden im Benutzerhandbuch von CGM MAXX beschrieben.

Wenn Sie mit CGM MAXX Patientendaten verarbeiten, erfordert dies datenschutzrechtlich eine Rechtsgrundlage. Dies können etwa der Behandlungsvertrag, die gesetzlichen Dokumentations- und Aufbewahrungspflichten oder eine gesonderte Einwilligung sein.

Verarbeitung von Daten der Ordination und besonderer Arten personenbezogener Daten | Patientendaten in integrierten Modulen

Integrierte Module werden zusammen mit CGM MAXX standardmäßig installiert, interagieren mit diesem und verarbeiten personenbezogene Daten auf folgende Art und Weise:

Integrierte Module:

  • PRAXISARCHIV
    PRAXISARCHIV ermöglicht alle in der Arztpraxis anfallenden Bilder aus sämtlichen Videoquellen und Aufnahmen bildgebender Geräte sowie Faxe und E-Mails digital zu archivieren.
    Bei diesen Daten handelt es sich um Dokumente wie zum Beispiel gescannte Patientenbefunde, Ultraschallbilder oder sonstige Dokumente von bildgebenden Geräten.

  • C-BOX
    Die C-BOX ist ein Tool zur komfortablen gerichteten Befundübertragung (MEDICAL NET) sowie zur ELGA-Anbindung für niedergelassene Ärzte und ermöglicht den Zugriff auf die e-Medikation und e-Befunde.
    In der C-BOX werden Stammdaten der Praxis und der Ordinationsmitarbeiter sowie Patientendaten für die Datenübertragung verarbeitet und optional in einem verschlüsselten Cache temporär zwischengespeichert.

  • CGM LIFE eSERVICES
    CGM LIFE eSERVICES sind Tools zur Online-Kommunikation zwischen Ärzten und Patienten.
    Patienten können direkt über die Webseite des Arztes online Termine buchen, gesichert mit Ärzten kommunizieren und Befunde online einsehen.
    Die Daten werden Ende-zu-Ende verschlüsselt.

  • CLICKDOCPro
    CLICKDOCPro ist ein Terminverwaltungssystem der CGM welches in CGM MAXX integriert werden kann. Dieses Terminverwaltungssystem ist mit dem CLICKDOC Portal verbunden über das Patienten Termine mit der Ordination vereinbaren können und auch weitere Informationen mit der Ordination austauschen können.

Datenübermittlung

CGM MAXX übermittelt Daten elektronisch auf gesetzlicher, vertraglicher oder einwilligungsbasierter Grundlage nur nach Interaktion durch den Anwender oder – entsprechend der Zustimmung – automatisiert.

Zur elektronischen Übermittlung auf gesetzlicher Grundlage gehören

  • Abrechnungen, wie

    • Kassenabrechnung (DVP)

  • ELGA

    • eMedikationsdaten

    • eBefunde

    • eImpfpass

  • e-card

    • Konsultationen (online und offline)

    • Elektronische Bewilligungen (eBS)

    • Elektronische Arbeitsunfähigkeitsmeldungen (eAUM)

    • Disease Management Programme (DMP)

    • Arzneimittelbewilligungsservice (ABS)

    • Vorsorgeuntersuchungen (VU-NEU)

    • e-Rezept (EREZ)

  • Gerichteter Befundversand

Die Einhaltung der verpflichtenden Anforderungen der Sozialversicherungs-Chipkarten Betriebs- und Errichtungsgesellschaft m.b.H. – SVC sowie der einschlägigen Rechtsvorschriften (GTelG) zur sicheren Übertragung der Daten ist gewährleistet. Die Übermittlung erfolgt in der Regel über den gerichteten Befundversand (z.B. MEDICAL NET). Dieser überträgt Daten Ende-zu-Ende verschlüsselt.

Zur elektronischen Übermittlung auf vertraglicher Grundlage gehören

  • Elektronische Abrechnung von medizinischen Leistungen mit den Kostenträgern
    Anwender rechnen medizinische Leistungen gemäß Organisationsbeschreibung für den Datenaustausch mit Vertragspartnern (DVP) des Hauptverbands der Österreichischen Sozialversicherungsträger ab und übermitteln diese elektronisch an den entsprechenden Kostenträger.

  • Elektronische Abrechnung von Medikamenten für hausapothekenführende Ärzte
    Hausapothekenführende Ärzte rechnen abgegebene Medikamente gemäß Organisationsbeschreibung für den Datenaustausch mit Vertragspartnern (DVP) des Hauptverbands der Österreichischen Sozialversicherungsträger ab und übermitteln diese elektronisch an den entsprechenden Kostenträger.

  • Abrechnungsdaten für das Selbstzahlerabrechnungsservice der CGM
    Ärzte können die gesamte Abrechnung von selbstzahlenden Patienten an Dienstleister auslagern. Dabei werden Daten übermittelt, welche zur Rechnungslegung benötigt werden. Die Übermittlung erfolgt in der Regel über den gerichteten Befundversand (z. B. MEDICAL NET)

  • Impfaufzeichnungen
    Für bestimmte Versicherungsträger werden Excel-Listen mit Impfaufzeichnungen der Patienten erstellt. Dabei werden Impfcharge, Impfart, Sozialversicherungsnummer, Geburtsdatum, Vorname, Nachname, Titel, Straße, Postleitzahl und Ort übermittelt.

Die Einhaltung der entsprechenden Rechtsvorschriften (GTelG) zur sicheren Übertragung der Daten ist gewährleistet. Die Übermittlung erfolgt in der Regel über den gerichteten Befundversand (z. B. MEDICAL NET). Dieser überträgt Daten Ende-zu-Ende verschlüsselt.

Elektronische Datenübermittlung aus weiteren einwilligungsbasierten Verfahren

Zu weiteren einwilligungsbasierten Verfahren gehören solche Funktionen, die nicht zu den gesetzlichen oder vertraglichen Verfahren gehören.

Eine Übermittlung in Drittstaaten findet nicht statt.

Verpflichtung zur Vertraulichkeit, Datenschutzschulungen

Patientendaten, insbesondere die Gesundheitsdaten, unterliegen den Sicherheitsanforderungen der Datenschutzgesetze (DSGVO und DSG 2018). Zusätzlich drohen bei Verletzungen des Datengeheimnisses Strafen gemäß Strafgesetzbuch (StGB) sowie dem Gesetz gegen den unlauteren Wettbewerb (UWG).

Wir greifen auf diese nur im vereinbarten Rahmen zu und beschränken den Zugriff auf Vertragsdaten, Protokolldaten und Daten zum technischen Betrieb auf Mitarbeiter und Auftragnehmer der CGM, für die diese Informationen zwingend erforderlich sind, um die Leistungen aus unserem Vertrag zu erbringen. Diese Personen sind an die Einhaltung dieser Datenschutzerklärung und an Vertraulichkeitsverpflichtungen (§ 6 DSG 2018, § 6 GTelG, §§ 119 ff StGB) verpflichtend gebunden. Die Verletzung dieser Vertraulichkeitsverpflichtungen kann mit Entlassung und Strafverfolgung geahndet werden.

Die Mitarbeiter werden regelmäßig auf Datenschutz geschult.

Sicherheitsmaßnahmen / Vermeidung von Risiken

Die CGM trifft geeignete technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten sowie Ihrer Kundendaten (Patientendaten) vor unerlaubtem Zugriff, unerlaubten Änderungen, Offenlegung, Verlust, Vernichtung und sonstigem Missbrauch zu schützen. Hierzu gehören interne Prüfungen unserer Vorgehensweise bei der Datenerhebung, -speicherung und -verarbeitung, weiterhin Sicherheitsmaßnahmen zum Schutz vor unberechtigtem Zugriff auf Systeme, auf denen wir Vertragsdaten oder Daten zum technischen Betrieb speichern. Datenschutzrechtliche Probleme und Sicherheitsrisiken, die von Dritten an uns herangetragen werden, versuchen wir ehestmöglich zu beheben.

Technische und organisatorische Maßnahmen

Um die Datensicherheit zu gewährleisten, überprüft die CGM regelmäßig den Stand der Technik. Hierzu werden unter anderem typische Schadensszenarien ermittelt und anschließend der Schutzbedarf für einzelne personenbezogene Daten abgeleitet und in Schadenskategorien eingeteilt. Zudem wird eine Risikobewertung durchgeführt.

Weiterhin dienen differenzierte Penetrationstest zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen werden folgende Grundsätze normiert:

  • Backup / Datensicherung (Praxis)
    Zur Vorbeugung von Datenverlust werden die Daten regelmäßig gesichert (Backup des AIS und der Zusatzprodukte).

  • Privacy by design
    Die CGM achtet darauf, dass Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Somit wird dem Umstand vorgebeugt, dass die Vorgaben des Datenschutzes und der Datensicherheit erst nach dem Bereitstellen von IT-Systemen durch teure und zeitaufwendige Zusatzprogrammierungen umgesetzt werden müssen. Bereits bei der Herstellung werden Möglichkeiten wie Deaktivierung von Funktionalitäten, Authentifizierung oder Verschlüsselungen berücksichtigt.

  • Privacy by default
    Weiterhin sind die Produkte der CGM im Auslieferungszustand bereits datenschutzfreundlich voreingestellt, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind.

  • Kommunikation per E-Mail (Praxis / CGM)
    Sollten Sie mit der CGM per E-Mail in Kontakt treten wollen, weisen wir darauf hin, dass die Vertraulichkeit der übermittelten Informationen nicht gewährleistet ist. Der Inhalt von E-Mails kann von Dritten eingesehen werden. Wir empfehlen Ihnen daher, uns vertrauliche Informationen ausschließlich über den Postweg zukommen zu lassen.

  • Fernwartung
    In Ausnahmefällen kann es vorkommen, dass Mitarbeiter oder Auftragnehmer der CGM auf Patienten- und Kundendaten und somit evtl. auch auf ihre Daten der Ordination zurückgreifen müssen. Hierzu gibt es zentrale Regelungen der CGM.

    • Die Fernwartungs-Zugänge bleiben geschlossen und werden nur durch Kunden frei geschaltet.

    • Passwörter zu Kundensystemen werden nur für die Fernwartung erteilt.

    • Besondere Tätigkeiten werden durch das 4-Augenprinzip über qualifizierte Personen abgesichert

    • Wir verwenden Fernwartungsmedien, bei welchen der Kunde aktiv den Zugang freigeben muss und die Aktivitäten mitverfolgen kann.

    • Die Dokumentation des Fernwartungszugriffes erfolgt im CRM System. Dokumentiert werden: Ausführender Mitarbeiter, Zeitpunkt (Datum/Uhrzeit), Dauer, Zielsystem, das Fernwartungsmedium, kurze Beschreibung der Tätigkeit. Bei kritischen Tätigkeiten werden auch die nach dem als 4-Augenprinzip herangezogenen Mitarbeiter erfasst.

    • Die Aufzeichnung der Sitzungen ist verboten.

Rechte der Betroffenen

Personenbezogene Daten des Arztes und der Ordinationsmitarbeiter

Sie haben das Recht auf Auskunft über zu Ihrer Person gespeicherten Daten sowie ggf. Rechte auf Berichtigung, Einschränkung der Verarbeitung, Widerspruch, Sperrung oder Löschung dieser Daten.

Bei der CGM erteilten Einwilligungen haben Sie das Recht, diese jederzeit mit der Wirkung für die Zukunft zu widerrufen.

Darüber hinaus haben Sie das Recht, sich bei der für Sie zuständigen Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Meinung sind, dass wir Ihre personenbezogenen Daten nicht rechtmäßig verarbeiten.

Personenbezogene Daten Ihrer Patienten

Ihre Patienten haben das Recht auf Auskunft über zu ihnen gespeicherten Daten, Mitnahme dieser Daten (Recht auf Datenportabilität) sowie ggf. Rechte auf Berichtigung, Einschränkung der Verarbeitung, Widerspruch, Sperrung oder Löschung dieser Daten.

Bei den Löschanfragen sind Sie jedoch gesetzlich verpflichtet, die geltenden Aufbewahrungsfristen zu beachten.

Bei der Ihnen erteilten Einwilligungen haben Ihre Patienten das Recht, diese jederzeit mit der Wirkung für die Zukunft zu widerrufen.

Darüber hinaus haben sie das Recht, sich bei der für sie zuständigen Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Meinung sind, dass Sie Ihre personenbezogenen Daten nicht richtig verarbeiten.

Durchsetzung

Die CGM überprüft regelmäßig und durchgängig die Einhaltung dieser Datenschutzbestimmungen. Erhält die CGM formale Beschwerdeschriften, wird sie mit dem Verfasser bezüglich seiner Bedenken Kontakt aufnehmen, um eventuelle Beschwerden hinsichtlich der Verwendung von persönlichen Daten zu lösen. Die CGM verpflichtet sich, dazu kooperativ mit den entsprechenden Behörden, einschließlich Datenschutzaufsichtsbehörden, zusammenzuarbeiten.

Änderungen an dieser Datenschutzerklärung

Beachten Sie, dass diese Datenschutzerklärung von Zeit zu Zeit ergänzt und geändert werden kann. Sollten die Änderungen wesentlich sein, werden wir eine ausführlichere Benachrichtigung ausgeben. Jede Version dieser Datenschutzbestimmungen ist anhand ihres Datums- und Versionsstandes in der Fußzeile dieser Datenschutzerklärung (Stand) zu identifizieren. Außerdem archivieren wir alle früheren Versionen dieser Datenschutzbestimmungen zu Ihrer Einsicht auf Nachfrage beim Datenschutzbeauftragten der CGM Arztsysteme Österreich GmbH.

Verantwortlich für CGM Arztsysteme Österreich GmbH

CGM Arztsysteme Österreich GmbH
Ricoweg 22
2351 Wiener Neudorf

Datenschutzbeauftragter

Bei Fragen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten können Sie sich an den Datenschutzbeauftragten wenden, der Ihnen im Falle von Auskunftsersuchen oder Beschwerden zur Verfügung steht:

Harald Lacherstorfer
CGM Arztsysteme Österreich GmbH | HCS GmbH
Geranienstraße 1
4481 Asten

Harald.Lacherstorfer@cgm.com

Zuständige Aufsichtsbehörde

Für die CGM Arztsysteme Österreich GmbH ist die

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E‑Mail: dsb@dsb.gv.at

als Aufsichtsbehörde zuständig.

Version: 2, Oct 13, 2024 22:05