Informationen gem. Art. 13/14 DSGVO
Datenschutzorganisation und Zuweisung von Verantwortlichkeiten im Datenschutz
CGM Arztsysteme Österreich GmbH – ein Unternehmen der CGM SE & Co. KGaA („CGM“), erachtet den verantwortungsvollen Umgang und die Achtung des Schutzes personenbezogener Daten als obersten Grundsatz. CGM Arztsysteme Österreich GmbH sichert stets die genaue Einhaltung aller relevanten Rechtsvorschriften (insbesondere Datenschutz-Grundverordnung [DSGVO] und Datenschutzgesetz [DSG]) bei der Verarbeitung der personenbezogenen Daten ein.
CGM (https://www.cgm.com/corp_de/impressum/compu-group-medical-se-co-k-ga-a.html) hat ein zentrales Datenschutzmanagement eingeführt, das innerhalb aller CGM-Unternehmen ein einheitliches und hohes Niveau für den Schutz personenbezogener Daten gewährleistet und die Einhaltung der entsprechenden Datenschutzvorschriften sicherstellt.
Mit dieser Datenschutzerklärung erfüllen wir unsere Informationspflichten und stellen Ihnen Informationen über den Umgang mit Daten bei der CGM zur Verfügung. Diese Datenschutzerklärung bezieht sich auf CGM MEDXPERT.
Die aktuellste Version dieser Datenschutzerklärung finden Sie immer im Benutzerhandbuch von CGM MEDXPERT sowie in CGM MEDXPERT selbst.
Arztinformationssystem CGM MEDXPERT
CGM Arztsysteme Österreich GmbH ist ein für alle gängigen ärztlichen Praxisformen im ambulanten Sektor geeignetes ärztliches Informations- und Abrechnungssystem und unterstützt Praxen bei der Einhaltung der gesetzlichen Vorgaben, der strukturierten Dokumentation, der Praxisverwaltung, der Abrechnung, der Verordnung sowie der Erfüllung weiterer Anforderungen an die Praxis, wobei eine modulare Erweiterung jederzeit möglich ist. CGM MEDXPERT verfügt über ein eigenes Benutzerrechte-Konzept. Der Zugriff auf die Software ist somit nur berechtigten Personen gestattet. Das Konzept regelt neben dem Zugriff auf das Produkt selbst auch den Zugriff auf bestimmte Module sowie die Regelung von Schreib- und Leserechten. Grundsatz des Konzepts ist, dass nur Personen, bei denen dies für die Erfüllung gesetzlicher oder vertraglicher Pflichten oder für Verarbeitungen, für die eine Einwilligung vorliegt, unbedingt notwendig ist, ausschließlich jene Daten verarbeiten, die zur Erbringung erforderlich sind.
Verarbeitung von personenbezogenen Daten durch CGM
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
Die CGM speichert bei der Verwendung der angebotenen Produkte / Dienste folgende Arten von Daten auf ihren Server:
Vertrags- und Registrierungsdaten
Daten zum technischen Betrieb
Wir verpflichten uns gemäß DSGVO und DSG, sämtliche Vertragsdaten, sämtliche Protokolldaten und sämtliche Daten zum technischen Betrieb nach Kündigung Ihres Vertrages zu löschen. Soweit uns eine längere gesetzliche Verpflichtung zur Aufbewahrung trifft, werden die Daten erst nach Ablauf dieser Frist gelöscht.
Daten zum technischen Betrieb (definiert in Punkt 3.2) werden nur so lange gespeichert, wie es technisch notwendig ist, spätestens jedoch nach Kündigung Ihres Vertrages gelöscht, sofern dem keine gesetzliche Aufbewahrungspflicht entgegensteht.
Vertrags- und Registrierungsdaten
Vertrags- und Registrierungsdaten dienen der Zuordnung und Betreuung eines zwischen der Praxis und CGM Arztsysteme Österreich GmbH geschlossenen Vertragsverhältnisses. Zu diesen Daten gehören:
Daten der Institution (z. B. Ordination)
Name der Institution
Typ der Institution
Adressdaten (Postleitzahl, Ort, Straße, Land)
Kontaktdaten
Vertragspartnernummer
Arztdaten
Anrede / Titel
Vorname / Nachname
Namenszusatz
Kontaktdaten
Des Weiteren optional hinzugefügt werden können:
Fachgruppe
Steuerklassifikation und Steuernummer
Ordinationszeiten
Geburtsdatum
Weitere Kontaktdaten (Telefon privat, Telefon mobil, E-Mail, Webseite)
Bankdaten (Einzugsermächtigung)
Ansprechpartner (Name, Geburtsdatum, Abteilung)
Marketingattribute
Im Rahmen der Vertrags- und Geschäftsbeziehung bekannt gewordene personenbezogene Daten werden von CGM Arztsysteme Österreich GmbH nur gespeichert und verarbeitet, soweit dies zur Durchführung des Softwarepflegevertrags, insbesondere zur Auftragsabwicklung und Kundenbetreuung, notwendig ist.
Darüber hinaus können wir diese Daten aus unserem berechtigten Interesse heraus verarbeiten, um die Geschäftsbeziehung mit Ihnen aufrecht zu erhalten und zu pflegen oder Sie über neue Produkte bzw. neue Entwicklungen zu informieren (Art. 6 I 1 f DSGVO). Ebenso können wir aus berechtigten Interessen diese Daten innerhalb des CGM-Konzerns an Gruppenunternehmen übermitteln, um unsere Produktqualität und die Marktrelevanz zu messen und zu verbessern, um auch zu Ihren Gunsten die besten Produkte anbieten und diese mit werblichen Maßnahmen fördern zu können (Art. 6 I 1f DSGVO). Dem können Sie jederzeit für die Zukunft widersprechen, wie unter „Rechte der Betroffenen“ näher erläutert.
CGM Arztsysteme Österreich GmbH arbeitet mit der CGM SE & Co. KGaA arbeitsteilig in Gemeinsamer Verantwortlichkeit für die Bereitstellung von IT für die Kundenkommunikation, das Kundencontrolling, Finance, Marketing und Customer World zusammen. Hierbei werden u.U. auch personenbezogene Kundendaten verarbeitet, beispielsweise der Name eines Praxisinhabers, nicht dagegen von Ihnen in unseren Produkten abgespeicherte Daten Ihrer Patienten. Die CGM SE & Co. KGaA stellt in diesen Bereichen die Tools bereit. Wir melden unsere Bedarfe und nutzen die Tools. Über diese Datenverarbeitung in Gemeinsamer Verantwortlichkeit haben wir mit der CMG SE & Co. KGaA einen Vertrag geschlossen mit folgendem wesentlichen Inhalt gem. Art. 26 Abs. 2 DSGVO: Informationen nach Art. 13, 14 DSGVO werden von jeder Partei selbst bereitgestellt, dieser Pflicht kommen wir mit der vorliegenden Übersicht nach. Betroffene können sich zur Geltendmachung ihrer Rechte an jeden der Gemeinsam Verantwortlichen wenden. Jede Partei ist in ihrem jeweiligen Wirk- und Zuständigkeitsbereich selbst für die Erfüllung von Betroffenenrechten nach Art. 15-22 DSGVO und für die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie im Rahmen der Gemeinsamen Verarbeitung durchgeführten Datenverarbeitungen zuständig.
Die Vertragsdaten werden zudem auf dem CGM Server in Deutschland gespeichert. Wir setzen dafür die CGM SE & Co. KGaA als Rechenzentrumsbetreiberin und Auftragsverarbeiterin datenschutzkonform ein.
Ferner werden wir die Sie betreffenden Daten mit Ihrer (freiwilligen) Einwilligung auch zu anderen Zwecken verarbeiten, insbesondere für produktbezogene Umfragen und Marketingzwecke entsprechend der weitergehenden Ausführungen in der jeweiligen Einwilligung (Art. 6 I 1 a DSGVO). Eine uns gegebene Einwilligung können Sie jederzeit für die Zukunft widerrufen, wie unter „Rechte der Betroffenen“ näher erläutert.
Die Weitergabe, der Verkauf oder sonstige Übermittlung personenbezogener Daten an außenstehende Dritte erfolgt nicht, es sei denn, dass dies zum Zwecke der Vertragsabwicklung erforderlich ist oder eine ausdrückliche Einwilligung vorliegt. Es kann beispielsweise erforderlich sein, dass CGM Arztsysteme Österreich GmbH Anschrift und Bestelldaten bei Produktbestellung an Vertriebs- und Servicepartner sowie die Anschrift an externe Produktionsfirmen zur Erstellung und dem Versand der Update-Datenträger weitergibt.
Daten zum technischen Betrieb
In manchen Fällen erhebt CGM Arztsysteme Österreich GmbH Daten zum technischen Betrieb, um die in einem Vertrag zugesicherten Leistungen bereitstellen zu können. Dies ist dann der Fall wenn das Produkt oder ein zugehöriges Modul als Cloud-Produkt mit CGM-Hosting angeboten wird oder während einer Fernwartung, im Übrigen nur im Fall Ihrer gesonderten Einwilligung (Art. 6 I 1 a DSGVO)) oder einer spezifischen gesetzlichen Erlaubnis. Regelmäßig erbringt CGM diese Angebote als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO.
Im Rahmen der Fernwartung wird CGM Arztsysteme Österreich GmbH nur nach gesonderter Vereinbarung auf die Systeme des Auftraggebers zugreifen; welche Datenarten dabei verarbeitet werden und alle weiteren relevanten Informationen zum Datenschutz ergeben sich aus der zugrundeliegenden Auftragsverarbeitungsvereinbarung.
Für die Nutzung von bei CGM gehosteten Cloud-Angeboten gelten die jeweiligen Beschreibungen für diese Cloud-Angebote. Näheres dazu finden Sie auch unter 4.3.
Wenn Sie unsere Website nutzen, werden zum Zweck der Systemsicherheit temporär folgende Daten gespeichert:
Domain-Namen,
die IP-Adresse des anfragenden Rechners,
das Zugriffsdatum, bzw. den Zugriffszeitpunkt
die Dateianfrage des Clients (Dateiname und URL).
Beachten Sie die für die jeweilige Website geltende Datenschutzerklärung für weitere Informationen dazu.
Die Daten zum technischen Betrieb werden auf dem Server der CGM in Deutschland gespeichert. Wir setzen dafür die CGM SE & Co. KGaA als Rechenzentrumsbetreiberin und Auftragsverarbeiterin datenschutzkonform ein.
Für Online-Updates werden folgende Daten übermittelt und gespeichert:
Vorname / Nachname
HV-Nr
Fachgruppe
Modul-, Programmversionsinformation
Hardware- Betriebssystem und Netzinfrastrukturinformationen
Zu Online-Updates zählen Dienste wie:
Programmupdate
Lizenzinformationen
Es gibt Daten zum technischen Betrieb, die erst nach Einwilligung übermittelt werden. Dazu gehören Funktionen zur Verbesserung der Software wie
Übermittlung der Fehleranzahl (Fehlerprotokoll)
Übermittlung der aufgetretenen Fehler. Dabei werden Vorname, Nachname, HV-Nr, Fachgruppe sowie die IP-Adresse des Kunden übertragen.
Übermittlung von Funktionszähler-Daten an CGM
Übermittlung der Anzahl von einzelnen aufgerufenen Funktionen. Dabei werden Vorname, Nachname, HV-Nr, Fachgruppe sowie die IP-Adresse des Kunden übertragen.
Verarbeitung von personenbezogenen Daten in CGM MEDXPERT auf dem Server Ihrer Praxis
Wenn Sie CGM MEDXPERT einsetzen, verarbeiten Sie als datenschutzrechtlich Verantwortlicher damit personenbezogene Daten. Dies sind in der Regel die folgenden Daten:
Stammdaten der Praxis
Stammdaten der Ordinationsmitarbeiter
Personenbezogene Daten von zuweisenden Ärzten (Arztstammdaten)
Patientendaten
Stammdaten
Besondere Kategorien personenbezogener Daten (bisher: „Sensible Daten“)
Diese Daten werden in der Datenbank auf dem Server Ihrer Praxis gespeichert und verarbeitet.
Stammdaten der Praxis, der Ordinationsmitarbeiter und personenbezogene Daten von zuweisenden Ärzten
Die Speicherung von Stammdaten Ihrer Praxis ist insoweit notwendig, als diese für die Einhaltung gesetzlicher Vorschriften und zur korrekten Nutzung der bei Ihnen vorhandenen Module/Erfüllung der Verträge benötigt werden. Pflichtangaben zu Stammdaten sind in CGM MEDXPERT entsprechend gekennzeichnet. Zu den Stammdaten der Praxis gehören Daten wie:
Praxisname
Praxistyp
Praxis-Adresse
Fachgebiet(e)
Arztdaten
Anrede / Titel
Vorname / Nachname / Namenszusatz
Vertragspartnernummer
Kundennummer
Adressdaten (Postleitzahl, Ort, Straße, Bundesland)
Kontaktdaten (Telefon, Fax, E-Mail, Mailbox)
Ordinationszeiten
Geburtsdatum
Geschlecht
Bankverbindung
Stempeldaten
ELGA-OID
Mailbox-Adresse
UID-Nr
Steuernummer
Creditor ID
DVR-Nummer
Zu den Stammdaten der Ordinationsmitarbeiter gehören Daten wie:
Titel
Vorname / Nachname / Anzeigename
Benutzerkürzel / Hashwert des Passworts
Geschlecht
Geburtsdatum
Funktion
Hierarchie-Stufe
Adressdaten (Postleitzahl, Ort, Straße, Bundesland)
Kontaktdaten (Telefon, Mobil, Fax, DW, E-Mail)
Sonstiges (Eintrittsdatum, Austrittsdatum, Hobbies)
Zu den personenbezogenen Daten von zuweisenden Ärzten gehören Daten wie:
Anrede / Titel
Vorname / Nachname
Institut
Vertragspartnernummer
Adressdaten (Postleitzahl, Ort, Straße)
Kontaktdaten (4 Telefonnummern, E-Mail, Web)
Fax
Mailbox-Adresse
Ordinationszeiten
Urlaube
Fachrichtungen
Zusatzfächer
Funktion
Kassenverträge
Stammdaten werden im Rahmen verschiedener Funktionen und Module benötigt und zu diesem Zweck automatisch verwendet. Die Übertragung an Dritte erfolgt nach Zustimmung durch vorherige Einwilligung oder Benutzeraktion. Eine Berichtigung, Sperrung oder Löschung dieser Daten ist – unter Berücksichtigung der gesetzlichen Vorschriften – möglich. Beschreibungen zur Berichtigung, Sperrung oder Löschung finden Sie in der aktuellen Gebrauchsanweisung.
Patientendaten
Zur Speicherung, Nutzung und sonstigen Verarbeitung von Patientendaten bedarf es der Zustimmung des Patienten oder einer gesetzlichen Bestimmung, die dies gestattet. Die Daten werden nicht automatisch in CGM MEDXPERT generiert, sondern durch die Ordination, bzw. von den dort tätigen Personen, in CGM MEDXPERT erfasst.
Stammdaten des Patienten: Stammdaten des Patienten werden entweder automatisiert über die e-card oder manuell in CGM MEDXPERT erfasst und bei Bedarf manuell ergänzt.
Es wird zwischen Daten, die für die korrekte Verarbeitung, gemäß der gesetzlichen oder vertraglichen Anforderungen notwendig sind und solchen, die zusätzlich durch den Versicherten bekannt gegeben werden, unterschieden.
Zu den „Pflichtangaben“ gehören Daten wie:
Angaben zur Person (Vorname/Nachname/Namenszusätze/Geburtsdatum/Geschlecht/Titel)
Adressdaten (Straße/Hausnummer/PLZ/Wohnort/Land)
Angaben zum Kostenträger und Versicherungsart (z. B. Kostenträger, Versicherungsart, Versichertennummer)
Kostenanteilsbefreiung, Rezeptgebührenbefreiung
Im Falle von Überweisungen Angaben wie
Überweisender Arzt
Untersuchungsauftrag
Diagnosen
Daten des Hauptversicherten (Titel, Vorname, Nachname, Versicherungsnummer, Geburtsdatum, Geschlecht)
Zu den freiwilligen zusätzlichen Angaben gehören:
Kontaktpersonen des Patienten (z. B. Sachwalter, medizinische Vertrauenspersonen, private Kontaktpersonen)
Dienstgeberdaten (Name, Straße, Ort, Postleitzahl, Telefonnummer)
Patientenfoto
Telefon (4 Telefonnummern)
Bankverbindung (Kontoinhaber, Bankname, IBAN, BIC, Kontonummer, BLZ)
E-Mail-Adresse
Geburtsname
Zusatzanschriften
Beruf / Bereich
Verwandtschaftsverhältnis zum Hauptversicherten
Hausarzt
Zusatzversicherung
Bemerkungen
Zusatzinformationen
Besondere Kategorien personenbezogener Daten (bisher: „Sensible Daten“): Gesundheitsinformationen sind als solche durch die DSGVO und das DSG besonders geschützt.
Die Aufnahme der Daten in die Patientenakte ergibt sich aus der gesetzlichen Verpflichtung des Behandelnden, sämtliche aus fachlicher Sicht für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse aufzuzeichnen (Dokumentationspflicht).
Hierzu gehören Daten wie
Anamnese
Diagnosen
Untersuchungen
Untersuchungsergebnisse
Befunde
Therapien und ihre Wirkungen
Eingriffe und ihre Wirkungen
Einwilligungen und Aufklärungen
Arztbriefe
Abrechnungsrelevante Daten wie
Gebührenordnungspositionen, ggf. mit Zusatzangaben gem. Vorgaben aus der zugrundeliegenden Gebührenordnung
Rechnungsdaten
Rechnungen
Mahnungen und Mahnstufen
Berichtigungen und Änderungen von Eintragungen in der Patientenakte sind möglich. Der ursprüngliche Inhalt kann bei Bedarf eingesehen werden. Löschungen können unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen erfolgen. Ein Export der Daten in einem gängigen maschinenlesbaren Format ist möglich und kann dem Patienten auf Verlangen ausgehändigt werden. Die Verfahren und Funktionen werden im Benutzerhandbuch von CGM MEDXPERT beschrieben.
Wenn Sie mit CGM MEDXPERT Patientendaten verarbeiten, erfordert dies datenschutzrechtlich eine Rechtsgrundlage. Dies können etwa der Behandlungsvertrag, die gesetzlichen Dokumentations- und Aufbewahrungspflichten oder eine gesonderte Einwilligung sein.
Verarbeitung von Daten der Ordination und besonderer Arten personenbezogener Daten | Patientendaten in integrierten Modulen
Integrierte Module werden zusammen mit CGM MEDXPERT standardmäßig installiert, interagieren mit diesem und verarbeiten personenbezogene Daten auf folgende Art und Weise:
Integrierte Module:
PRAXISARCHIV
PRAXISARCHIV ermöglicht alle in der Arztpraxis anfallenden Bilder aus sämtlichen Videoquellen und Aufnahmen bildgebender Geräte sowie Faxe und E-Mails digital zu archivieren.
Bei diesen Daten handelt es sich um Dokumente wie zum Beispiel gescannte Patientenbefunde, Ultraschallbilder oder sonstige Dokumente von bildgebenden Geräten.
C-BOX
Die C-BOX ist ein Tool zur komfortablen ELGA-Anbindung für niedergelassene Ärzte und ermöglicht den Zugriff auf die e-Medikation und e-Befunde.
In der C-BOX werden Stammdaten der Praxis und der Ordinationsmitarbeiter sowie Patientendaten für die Datenübertragung verarbeitet und optional in einem verschlüsselten Cache temporär zwischengespeichert.
CGM LIFE eSERVICES
CGM LIFE eSERVICES sind Tools zur Online-Kommunikation zwischen Ärzten und Patienten.
Patienten können direkt über die Webseite des Arztes online Termine buchen, gesichert mit Ärzten kommunizieren und Befunde online einsehen.
Die Daten werden Ende-zu-Ende verschlüsselt.
Datenübermittlung
CGM MEDXPERT übermittelt Daten elektronisch auf gesetzlicher, vertraglicher oder einwilligungsbasierter Grundlage nur nach Interaktion durch den Anwender oder – entsprechend der Zustimmung – automatisiert.
Zur elektronischen Übermittlung auf gesetzlicher Grundlage gehören
Abrechnungen, wie
Kassenabrechnung (DVP)
ELGA
eMedikationsdaten
eBefunde
eImpfpass
e-card
Konsultationen (online und offline)
Elektronische Bewilligungen (eBS)
Elektronische Arbeitsunfähigkeitsmeldungen (eAUM)
Disease Management Programme (DMP)
Arzneimittelbewilligungsservice (ABS)
Vorsorgeuntersuchungen (VU-NEU)
e-Rezept (EREZ)
Gerichteter Befundversand
Die Einhaltung der verpflichtenden Anforderungen der Sozialversicherungs-Chipkarten Betriebs- und Errichtungsgesellschaft m.b.H. – SVC sowie der einschlägigen Rechtsvorschriften (GTelG) zur sicheren Übertragung der Daten ist gewährleistet. Die Übermittlung erfolgt in der Regel über den gerichteten Befundversand (z.B. MEDICAL NET). Dieser überträgt Daten Ende-zu-Ende verschlüsselt.
Zur elektronischen Übermittlung auf vertraglicher Grundlage gehören
Elektronische Abrechnung von medizinischen Leistungen mit den Kostenträgern
Anwender rechnen medizinische Leistungen gemäß Organisationsbeschreibung für den Datenaustausch mit Vertragspartnern (DVP) des Hauptverbands der Österreichischen Sozialversicherungsträger ab und übermitteln diese elektronisch an den entsprechenden Kostenträger.Elektronische Abrechnung von Medikamenten für hausapothekenführende Ärzte
Hausapothekenführende Ärzte rechnen abgegebene Medikamente gemäß Organisationsbeschreibung für den Datenaustausch mit Vertragspartnern (DVP) des Hauptverbands der Österreichischen Sozialversicherungsträger ab und übermitteln diese elektronisch an den entsprechenden Kostenträger.Abrechnungsdaten für das Selbstzahlerabrechnungsservice der CGM
Ärzte können die gesamte Abrechnung von selbstzahlenden Patienten an Dienstleister auslagern. Dabei werden Daten übermittelt, welche zur Rechnungslegung benötigt werden. Die Übermittlung erfolgt in der Regel über den gerichteten Befundversand (z. B. MEDICAL NET)Impfaufzeichnungen
Für bestimmte Versicherungsträger werden Excel-Listen mit Impfaufzeichnungen der Patienten erstellt. Dabei werden Impfcharge, Impfart, Sozialversicherungsnummer, Geburtsdatum, Vorname, Nachname, Titel, Straße, Postleitzahl und Ort übermittelt.SMS-Versand an Patienten
Das SMS Modul ermöglicht den direkten SMS-Versand aus der Kartei sowie Sammel-SMS und Terminerinnerungen.EbM-Guidelines
Die EbM-Guidelines fassen den vorhandenen Wissensstand aktuell und übersichtlich zusammen. Jeder Artikel bietet einen kurz gefassten aber prägnanten Überblick mit praxisgerechten Empfehlungen. So erhalten Ärzte für fast alle Konsultationsanlässe Informationen für die ärztliche Entscheidungsfindung.DEP – Datenerfassungsprotokoll HCS
Das Datenerfassungprotokoll (gemäß BAO) wird bei entsprechender Beauftragung extern bei HCS GmbH gesichert. Die Übermittlung der Daten erfolgt entsprechend den Vorgaben der gerichteten Befundkommunikation.WAHOnline
Speziell für Wahlärzte und Wahltherapeuten, werden bereits bezahlte Honorarnoten elektronisch an die teilnehmenden Kassen übermittelt. Die Übermittlung der Daten erfolgt entsprechend den Vorgaben der gerichteten Befundkommunikation.
Die Einhaltung der entsprechenden Rechtsvorschriften (GTelG) zur sicheren Übertragung der Daten ist gewährleistet. Die Übermittlung erfolgt in der Regel über den gerichteten Befundversand (z. B. MEDICAL NET). Dieser überträgt Daten Ende-zu-Ende verschlüsselt.
Elektronische Datenübermittlung aus weiteren einwilligungsbasierten Verfahren
Zu weiteren einwilligungsbasierten Verfahren gehören solche Funktionen, die nicht zu den gesetzlichen oder vertraglichen Verfahren gehören.
Eine Übermittlung in Drittstaaten findet nicht statt.
Verpflichtung zur Vertraulichkeit, Datenschutzschulungen
Patientendaten, insbesondere die Gesundheitsdaten, unterliegen den Sicherheitsanforderungen der Datenschutzgesetze (DSGVO und DSG 2018). Zusätzlich drohen bei Verletzungen des Datengeheimnisses Strafen gemäß Strafgesetzbuch (StGB) sowie dem Gesetz gegen den unlauteren Wettbewerb (UWG).
Wir greifen auf diese nur im vereinbarten Rahmen zu und beschränken den Zugriff auf Vertragsdaten, Protokolldaten und Daten zum technischen Betrieb auf Mitarbeiter und Auftragnehmer der CGM, für die diese Informationen zwingend erforderlich sind, um die Leistungen aus unserem Vertrag zu erbringen. Diese Personen sind an die Einhaltung dieser Datenschutzerklärung und an Vertraulichkeitsverpflichtungen (§ 6 DSG 2018, § 6 GTelG, §§ 119 ff StGB) verpflichtend gebunden. Die Verletzung dieser Vertraulichkeitsverpflichtungen kann mit Entlassung und Strafverfolgung geahndet werden.
Die Mitarbeiter werden regelmäßig auf Datenschutz geschult.
Sicherheitsmaßnahmen / Vermeidung von Risiken
Die CGM trifft geeignete technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten sowie Ihrer Kundendaten (Patientendaten) vor unerlaubtem Zugriff, unerlaubten Änderungen, Offenlegung, Verlust, Vernichtung und sonstigem Missbrauch zu schützen. Hierzu gehören interne Prüfungen unserer Vorgehensweise bei der Datenerhebung, -speicherung und -verarbeitung, weiterhin Sicherheitsmaßnahmen zum Schutz vor unberechtigtem Zugriff auf Systeme, auf denen wir Vertragsdaten oder Daten zum technischen Betrieb speichern. Datenschutzrechtliche Probleme und Sicherheitsrisiken, die von Dritten an uns herangetragen werden, versuchen wir ehestmöglich zu beheben.
Technische und organisatorische Maßnahmen
Um die Datensicherheit zu gewährleisten, überprüft die CGM regelmäßig den Stand der Technik. Hierzu werden unter anderem typische Schadensszenarien ermittelt und anschließend der Schutzbedarf für einzelne personenbezogene Daten abgeleitet und in Schadenskategorien eingeteilt. Zudem wird eine Risikobewertung durchgeführt.
Weiterhin dienen differenzierte Penetrationstest zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen werden folgende Grundsätze normiert:
Backup / Datensicherung (Praxis)
Zur Vorbeugung von Datenverlust werden die Daten regelmäßig gesichert (Backup des AIS und der Zusatzprodukte).Privacy by design
Die CGM achtet darauf, dass Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Somit wird dem Umstand vorgebeugt, dass die Vorgaben des Datenschutzes und der Datensicherheit erst nach dem Bereitstellen von IT-Systemen durch teure und zeitaufwendige Zusatzprogrammierungen umgesetzt werden müssen. Bereits bei der Herstellung werden Möglichkeiten wie Deaktivierung von Funktionalitäten, Authentifizierung oder Verschlüsselungen berücksichtigt.Privacy by default
Weiterhin sind die Produkte der CGM im Auslieferungszustand bereits datenschutzfreundlich voreingestellt, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind.Kommunikation per E-Mail (Praxis / CGM)
Sollten Sie mit der CGM per E-Mail in Kontakt treten wollen, weisen wir darauf hin, dass die Vertraulichkeit der übermittelten Informationen nicht gewährleistet ist. Der Inhalt von E-Mails kann von Dritten eingesehen werden. Wir empfehlen Ihnen daher, uns vertrauliche Informationen ausschließlich über den Postweg zukommen zu lassen.Fernwartung
In Ausnahmefällen kann es vorkommen, dass Mitarbeiter oder Auftragnehmer der CGM auf Patienten- und Kundendaten und somit evtl. auch auf ihre Daten der Ordination zurückgreifen müssen. Hierzu gibt es zentrale Regelungen der CGM.
Die Fernwartungs-Zugänge bleiben geschlossen und werden nur durch Kunden frei geschaltet.
Passwörter zu Kundensystemen werden nur für die Fernwartung erteilt.
Besondere Tätigkeiten werden durch das 4-Augenprinzip über qualifizierte Personen abgesichert
Wir verwenden Fernwartungsmedien, bei welchen der Kunde aktiv den Zugang freigeben muss und die Aktivitäten mitverfolgen kann.
Die Dokumentation des Fernwartungszugriffes erfolgt im CRM System. Dokumentiert werden: Ausführender Mitarbeiter, Zeitpunkt (Datum/Uhrzeit), Dauer, Zielsystem, das Fernwartungsmedium, kurze Beschreibung der Tätigkeit. Bei kritischen Tätigkeiten werden auch die nach dem als 4-Augenprinzip herangezogenen Mitarbeiter erfasst.
Die Aufzeichnung der Sitzungen ist verboten.
Rechte der Betroffenen
Personenbezogene Daten des Arztes und der Ordinationsmitarbeiter
Sie haben das Recht auf Auskunft über zu Ihrer Person gespeicherten Daten sowie ggf. Rechte auf Berichtigung, Einschränkung der Verarbeitung, Widerspruch, Sperrung oder Löschung dieser Daten.
Bei der CGM erteilten Einwilligungen haben Sie das Recht, diese jederzeit mit der Wirkung für die Zukunft zu widerrufen.
Darüber hinaus haben Sie das Recht, sich bei der für Sie zuständigen Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Meinung sind, dass wir Ihre personenbezogenen Daten nicht rechtmäßig verarbeiten.
Personenbezogene Daten Ihrer Patienten
Ihre Patienten haben das Recht auf Auskunft über zu ihnen gespeicherten Daten, Mitnahme dieser Daten (Recht auf Datenportabilität) sowie ggf. Rechte auf Berichtigung, Einschränkung der Verarbeitung, Widerspruch, Sperrung oder Löschung dieser Daten.
Bei den Löschanfragen sind Sie jedoch gesetzlich verpflichtet, die geltenden Aufbewahrungsfristen zu beachten.
Bei der Ihnen erteilten Einwilligungen haben Ihre Patienten das Recht, diese jederzeit mit der Wirkung für die Zukunft zu widerrufen.
Darüber hinaus haben sie das Recht, sich bei der für sie zuständigen Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Meinung sind, dass Sie Ihre personenbezogenen Daten nicht richtig verarbeiten.
Durchsetzung
Die CGM überprüft regelmäßig und durchgängig die Einhaltung dieser Datenschutzbestimmungen. Erhält die CGM formale Beschwerdeschriften, wird sie mit dem Verfasser bezüglich seiner Bedenken Kontakt aufnehmen, um eventuelle Beschwerden hinsichtlich der Verwendung von persönlichen Daten zu lösen. Die CGM verpflichtet sich, dazu kooperativ mit den entsprechenden Behörden, einschließlich Datenschutzaufsichtsbehörden, zusammenzuarbeiten.
Änderungen an dieser Datenschutzerklärung
Beachten Sie, dass diese Datenschutzerklärung von Zeit zu Zeit ergänzt und geändert werden kann. Sollten die Änderungen wesentlich sein, werden wir eine ausführlichere Benachrichtigung ausgeben. Jede Version dieser Datenschutzbestimmungen ist anhand ihres Datums- und Versionsstandes in der Fußzeile dieser Datenschutzerklärung (Stand) zu identifizieren. Außerdem archivieren wir alle früheren Versionen dieser Datenschutzbestimmungen zu Ihrer Einsicht auf Nachfrage beim Datenschutzbeauftragten der CGM Arztsysteme Österreich GmbH.
Verantwortlich für CGM Arztsysteme Österreich GmbH
CGM Arztsysteme Österreich GmbH
Ricoweg 22
2351 Wiener Neudorf
Datenschutzbeauftragter
Bei Fragen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten können Sie sich an den Datenschutzbeauftragten wenden, der Ihnen im Falle von Auskunftsersuchen oder Beschwerden zur Verfügung steht:
Harald Lacherstorfer
CGM Arztsysteme Österreich GmbH | HCS GmbH
Geranienstraße 1
4481 Asten
Zuständige Aufsichtsbehörde
Für die CGM Arztsysteme Österreich GmbH ist die
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E‑Mail: dsb@dsb.gv.at
als Aufsichtsbehörde zuständig.
Version: 1, Sep 06, 2024 09:17