Datenschutzhinweise

A. Allgemeines

Die Vorgaben zur SDK Gesundheit Digital werden durch die gematik unter der Rechtsaufsicht des BMG sowie im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erstellt. 

Die Umsetzung dieser Vorgaben erfolgt unter strengen Sicherheitsauflagen und sowohl der Entwicklungsprozess selbst, der Programmcode als auch der Betrieb der Lösung werden durch unabhängige, zertifizierte und akkreditierte Stellen im Rahmen einer Zulassung sowie kontinuierlichen Audits geprüft. 

Für jede Zulassung ist ein Sicherheitsgutachten erforderlich, das sowohl eine technische als auch eine funktionale Eignung prüft.

Vorbemerkung

Im Sinne einer besseren Lesbarkeit und einem vereinfachtem Bearbeitungsverfahren wurde die gendergerechte Ansprache durch die einheitliche Verwendung der Formulierungen:

• „Versicherter“
• „Vertreter“

ersetzt. Mit der Benutzung dieser Begriffe sind immer ohne Einschränkung alle Geschlechter gemeint.

A.1 Name und Anschrift des Verantwortlichen

Der Verantwortliche im Sinne von §§ 341 Abs. 4 Satz 1, 307 Abs. 4 SGB V in Verbindung mit Art. 4 Ziffer 7 der Datenschutz-Grundverordnung ist die:

Süddeutsche Kranken­versicherung a.G.
Raiffeisenplatz 11
70736 Fellbach

A.2 Kontaktdaten Datenschutzbeauftragter des Verantwortlichen
Datenschutzbeauftragter der SDK
Raiffeisenplatz 11
70736 Fellbach
Telefon: 0711 7372-8516
E-Mail: Datenschutz(at)sdk.de

A.3 Zuständige Datenschutzaufsicht

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
Postfach 10 29 32
70025 Stuttgart
Telefon: 0711 6155 41-0
E-Mail: poststelle(at)lfdi.bwl.de

A.4 Zuständige Rechtsaufsicht

Bundesanstalt für Finanz­dienst­leistungs­aufsicht
Postfach 1253
53002 Bonn

A.5 Allgemeines zur Datenverarbeitung

Wir verarbeiten per­so­nen­be­zo­ge­ne Daten unserer Versicherten, soweit dies zur Bereitstellung bzw. Nutzung der funktionsfähigen SDK Gesundheit Digital erforderlich ist. Darüber hinaus werden per­so­nen­be­zo­ge­ne Daten verarbeitet, sofern dies zum Zwecke der Bereitstellung und Verwaltung der Zusatzmodule innerhalb der SDK Gesundheit Digital (wie z.B. „E-Rezept“ oder „Patientenakte“) erforderlich ist. Die Nutzung der Zusatzmodule ist optional und erfolgt unabhängig von der Nutzung der App. Sie können jederzeit freiwillig entscheiden, ob Sie in die Verarbeitung per­so­nen­be­zo­ge­ner Daten innerhalb der Module einwilligen oder nicht. 

A.6 Einbindung von Dritten

Wir geben Daten unserer Versicherten grundsätzlich nicht an Dritte weiter. Wir setzen verschiedene technische Dienstleister ein, um unseren Versicherten die SDK Gesundheit Digital bereitstellen zu können. In diesem Zusammenhang kann es vorkommen, dass ein solcher technischer Dienstleister Kenntnis von per­so­nen­be­zo­ge­nen Daten erhält. Wir wählen diese Dienstleister sorgfältig aus und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung. Die beauftragen Dienstleister sind ebenfalls verpflichtet, alle datenschutzrechtlichen Maßnahmen einzuhalten und werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet.

Darüber hinaus enthält die SDK Gesundheit Digital Verknüpfungen zu Applikationen anderer Anbieter („externe Applikationen“) mit eigenständigen Diensten („Drittdienste“) sowie eigenständigen und fremden Inhalten („Drittinhalte“). Die externen Applikationen, Drittdienste und Drittinhalte unterliegen allein der datenschutzrechtlichen Verantwortlichkeit ihrer Anbieter. Aus diesem Grund gelten für die externen Applikationen und die Nutzung der Drittdienste separate Datenschutzhinweise der entsprechenden Anbieter.

A.7 Datenverarbeitung außerhalb der Europäischen Union

Eine Verarbeitung der Daten unserer Versicherten außerhalb der europäischen Union findet nicht statt.

A.8 Betroffenenrechte

Unsere Versicherten haben folgende Rechte:

• Das Recht auf Auskunft über die sie betreffenden per­so­nen­be­zo­ge­nen Daten. Diesbezüglich können sich unsere Versicherten jederzeit an uns wenden.
• Das Recht auf Berichtigung oder Löschung, oder auf Einschränkung der Verarbeitung, soweit ihnen dieses Recht gesetzlich zusteht.
• Ein Recht auf Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.

Widerspruchsrecht
Verarbeiten wir Ihre Daten zur Wahrung berechtigter Interessen, können Sie dieser Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Ihren Widerspruch können Sie jederzeit an die oben genannte Adresse der SDK richten.

A.9 Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie können Ihre datenschutzrechtlichen Einwilligungserklärungen jederzeit widerrufen. Erfolgt dies, wird die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt. Der Widerruf kann wie folgt erklärt werden: gegenüber der SDK jederzeit schriftlich an die oben genannten Kontaktdaten oder auf elektronischem Weg über die SDK Gesundheit Digital. Eine Begründung des Widerrufs ist nicht erforderlich.

A.10 Speicherdauer

Wir löschen die Daten unserer Versicherten grundsätzlich dann, wenn kein Zweck für die weitere Verarbeitung vorliegt. Detaillierte Informationen zu Aufbewahrungsfristen innerhalb der SDK Gesundheit Digital und dessen Zusatzmodulen können den nachfolgenden Abschnitten (siehe jeweils Kategorie „Dauer der Speicherung“) dieser Datenschutzhinweise entnommen werden.

A.11 Automatisierte Entscheidungsfindung

Wir setzen keine Verarbeitungsvorgänge ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO beruhen. 

A.12 Speicherung von Informationen auf Ihrem Endgerät

Bei der Nutzung der SDK Gesundheit Digital können Informationen auf Ihrem Endgerät gespeichert werden oder Zugriffe auf Informationen erfolgen, die bereits auf Ihrem Endgerät gespeichert sind. Diese Speicher- oder Zugriffsvorgänge erfolgen auf Basis Ihrer ausdrücklichen Einwilligungserklärung, es sei denn sie sind unbedingt erforderlich, damit wir einen von Ihnen ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen können (Art. 25 Abs. 1, 2 Nr. 2 TDDDG). 

A.13 Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich über die Verarbeitung per­so­nen­be­zo­ge­ner Daten bei einer Aufsichtsbehörde zu beschweren. Die Kontaktdaten der für uns zuständigen Aufsichtsbehörde können dem Abschnitt A. Ziffer 3 dieser Datenschutzhinweise entnommen werden. 

 

B. Nutzung der SDK Gesundheit Digital

B.1 Beschreibung und Umfang der Datenverarbeitung

Die SDK Gesundheit Digital wird allen unseren Mitgliedern zur Verfügung gestellt. Sie bildet die technische Voraussetzung für die Nutzung der App sowie deren Zusatzmodule (wie z.B. „E-Rezept“ oder „Patientenakte“). Sie können freiwillig entscheiden, welche Funktionen Sie innerhalb der App nutzen möchten.

Bei der Bereitstellung der SDK Gesundheit Digital werden folgende per­so­nen­be­zo­ge­ne Daten unseres Versicherten herangezogen:

• Name und Vorname
• Geburtsdatum 
• Geburtsort 
• Titel
• Namenszusatz und Vorsatzwort (z.B. „von“, „de“, „van“) 
• Geschlecht
• KVNR Nummer 

B.2 Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung Ihrer per­so­nen­be­zo­ge­nen Daten innerhalb der SDK Gesundheit Digital erfolgt auf Basis der Nutzungsbedingungen für die App gem. Art. 6 Abs. 1 lit. b) DSGVO. Ergänzend dazu kann die Nutzung bestimmter App-Bereiche sowie Fachdienste auf Basis Ihrer individuellen Einwilligungserklärung gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO, Art. 9 Abs. 2 lit. a) DSGVO erfolgen.

B.3 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die Bereitstellung der SDK Gesundheit Digital mit ihren Funktionen.

B.4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn Sie Innerhalb der App Ihre Zustimmung zu Nutzungsbedingungen sowie Ihre Einwilligung in die Verarbeitung per­so­nen­be­zo­ge­ner Daten innerhalb der App widerrufen. 

B.5 Absprünge auf das Organspenderegister des BfArM und gesundbund.de

Über die Bereiche „Organspenderegister“ sowie „gesund.bund“ können Sie auf externe Dienste zugreifen. Für alle Inhalte im Organspenderegister ist die Bundeszentrale für gesundheitliche Aufklärung verantwortlich. Für alle Inhalte auf gesund.de ist das Bundesministerium für Gesundheit verantwortlich.

 

C. IAM Registrierungsprozess

Die in den nachfolgenden Abschnitten beschriebenen Datenverarbeitungsprozesse sind für die Nutzung der SDK Gesundheit Digital zwingend erforderlich.

C.1 Beschreibung und Umfang der Datenverarbeitung

Sie müssen ein Verifikations-Verfahren durchführen, damit wir Ihren Versichertenstatus sowie Ihre Berechtigung zur Nutzung der SDK Gesundheit Digital überprüfen können. Dabei werden verschiedene Kategorien per­so­nen­be­zo­ge­ner Daten verarbeitet, die dem nachfolgenden Prozessablauf zu entnehmen sind:

1.Schritt: Der Versicherte startet die App SDK Gesundheit Digital.
2. Schritt: Der Versicherte klickt den Funktionsbutton „Weiter“ an.
3. Schritt: Der Versicherte bestätigt in der Checkbox, dass er den Nutzungsbedingungen zustimmt und seine Einwilligungserklärung erteilt, um die Registrierung abzuschließen.

4. Schritt: Der Versicherte legt einen App-Code als weiteres Sicherheitsmerkmal fest.
5. Schritt: Der Versicherte kann die biometrische Anmeldung aktivieren.
6. Schritt: Es wird die Identität überprüft mit einem der zur Verfügung gestellten Verfahren. Hierzu stehen den Versicherten die Verfahren PostIdent (Identifizierung in einer Postfiliale in Deutschland) oder eAusweis (Online-Identifizierung mit einem deutschen Personalausweis mit freigeschalteter eID-Funktion) zur Verfügung. 
7. Schritt: Der Versicherte legt mit einem zur Verfügung gestellten Verfahren fest, wie er sich zukünftig anmelden möchte.

C.2 Erfassung der Daten für einen Fehlerreport

Wir benötigten die im Folgenden aufgeführten Informationen, wenn ein Versicherter einen Fehler meldet und die Ursache analysiert werden muss. 

Sofern ein Fehlerreport automatisch erzeugt wird, enthält er lediglich technische Spezifikationen zum Vorgang (z.B. individuellen Fehlercode, Angaben zum Hersteller, Modell des Endgeräts, Speicherkapazität, Sprache, Art der Internetverbindung, Bildschirmauflösung, Version des Betriebssystems, Timestamp oder App-Version).
Zusätzlich zu den automatisiert erzeugten Reports können Sie jederzeit manuell einen Report erzeugen. Die manuell erzeugten Reports können Ihre User-ID als per­so­nen­be­zo­ge­nes Datum enthalten. 

Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.

Zusätzlich zu den automatisiert erzeugten Reports können Sie jederzeit manuell einen Report erzeugen. Die manuell erzeugten Reports können Ihre User-ID als per­so­nen­be­zo­ge­nes Datum enthalten.

C.3 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für den Online-Registrierungsprozess der SDK Gesundheit Digital und die hierbei verarbeiteten Daten ist Ihre Einwilligungserklärung nach Art. 6 Abs. 1 lit. a DSGVO.

C.4 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten sowie die Verhinderung von Daten- und Identitätsmissbrauch.

C.5 Zweck der Datenverarbeitung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die SDK Gesundheit Digital gekündigt und final gelöscht wurde.

D. Nutzung Anwendung E-Rezept

D.1 Beschreibung und Umfang der Datenverarbeitung

Der Versicherte kann in der SDK Gesundheit Digital über das E-Rezept-Modul alle elektronischen Verordnungen, die von Ärztinnen und Ärzten sowie Zahnärztinnen und Zahnärzten ausgestellt wurden, über den Fachdienst E-Rezept abrufen. Über den Fachdienst E-Rezept können neben Sie E-Rezepte und ärztliche Verordnungen für Arzneimittel elektronisch empfangen, verwalten und bei einer von Ihnen ausgewählten Apotheke einlösen. 
Dabei werden folgende per­so­nen­be­zo­ge­ne Daten verarbeitet:

• Stammdaten (Name, Vorname, Geburtsdatum)
• Kontaktdaten (Anschrift)
• Krankenversichertennummer (KVNR)
• Gegebenenfalls rezeptspezifische Angaben (wie z.B. die Merkmale „Gebührenpflichtig“, „Arbeitsunfall“, „Berufskrankheit“ oder Informationen zum Unfalltag und -ort)
• Individuelle Dosieranweisung des verschriebenen Medikaments
• Angaben zur Arztpraxis sowie zum Ausstellungszeitpunkt
• Individueller QR- bzw. Abholcode, um Medikamente vor Ort abholen zu können
• Gegebenenfalls der aktuelle Standort, sofern Sie Ihr E-Rezept über die Funktion „Apothekensuche“ an eine Apotheke Ihrer Wahl absenden möchten

Kom­mu­ni­ka­tion zwischen SDK Gesundheit Digital und Apotheken

Rezepte: Apotheken erhalten das Zugriffsrecht für das im Fachdienst E-Rezept gespeicherte E-Rezept. Eine direkte Kom­mu­ni­ka­tion zwischen SDK Gesundheit Digital und Apotheke erfolgt dabei nicht, da die App direkt mit dem Kom­mu­ni­ka­tionssystem der Apotheke kommuniziert.

Mitteilungen: die Kom­mu­ni­ka­tion mit der Apotheke läuft über den Fachdienst E-Rezept, der die Mitteilungen archiviert. Die SDK Gesundheit Digital lädt die Mitteilungen vom Fachdienst E-Rezept und speichert sie auf dem Gerät.

D.2 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Nutzung des E-Rezept-Moduls ist die Einwilligung unseres Versicherten gemäß Art. 9 Abs. 1 und Abs. 2 DSGVO i. V. m. Art. 6 Abs. 1 lit. a) DSGVO.

D.3 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die Nutzung der Anwendung E-Rezept durch den Versicherten zum Abruf und zur Einlösung von ausgestellten Rezepten.

D.4 Dauer der Speicherung

Sie haben jederzeit die Möglichkeit, Ihre E-Rezepte manuell zu löschen. In diesem Fall werden die gespeicherten E-Rezepte unwiderruflich gelöscht. Erfolgt keine manuelle Löschung, werden die gespeicherten E-Rezepte nach Ablauf von 100 Tagen ab dem Zeitpunkt der Ausstellung oder Einlösung automatisch gelöscht. Zugriffsprotokolleinträge werden nicht auf dem Gerät gespeichert.

D.5 Widerrufsmöglichkeiten für die Nutzung der Anwendung E-Rezept-Moduls

Die in diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Nutzung des E-Rezept-Moduls zwingend erforderlich. Sie können Ihre Einwilligung zur Nutzung des E-Rezept-Moduls jederzeit durch das Entfernen des gesetzten Bestätigungshakens in der SDK Gesundheit Digital widerrufen. Im Fall des Widerrufs wird das E-Rezept-Modul sowie Ihr damit zusammenhängender Zugriff auf die ausgestellten E-Rezepte deaktiviert. Auch im Fall Ihres Widerrufs bleiben die im Fachmodul E-Rezept gespeicherten Dokumente 100 Tage lang gespeichert (vgl. Ziffer 4 oben). 

 

E. Nutzung der elektronischen Patientenakte (ePA) / Datenspeicher über die App

E.1 Beschreibung und Umfang der Datenverarbeitung für den Versicherten

E.1.1 Start mit Login Maske

Der Versicherte startet die SDK Gesundheit Digital nach erfolgter Registrierung und Identifizierung. Zuerst erscheint die Login Maske, in die der Versicherte seine Zugangsdaten eingibt.

Alternativ können, unter bestimmten Voraussetzungen, auch biometrische Verfahren (z.B. Fingerabdruck oder Gesichtserkennung) für die Anmeldung in der App genutzt werden. 

E.1.2 Nutzung der ePA

Beim ersten Start der Anwendung erhält der Versicherte einen ersten Überblick über die Nutzungsmöglichkeiten seiner SDK Gesundheit Digital.

Beim regulären Start kann der Versicherte zwischen den folgenden Anwendungen wählen:

Anwendung der elektronischen Patientenakte

Anwendung E-Rezept-Modul

Des weiteren wird unter anderem der Online Check-in als Gesundheitsservice und das Organspende Register (OGR) als weiterer Inhalt angezeigt.Diese Anwendungen können unabhängig voneinander genutzt werden. Die Anmeldeinformationen werden dabei in die jeweilige Anwendung übernommen. 

Über das Profilbild kann der Nutzende seine persönlichen Daten verwalten und ebenfalls die elektronische Patientenakte aufrufen.

Es werden die Daten gespeichert, die der Versicherte in seine elektronischen Patientenakte einstellt, bzw. die von Dritten dorthin hochgeladen werden. Hierbei kann es sich auch um Gesundheitsdaten nach Artikel 9 der DSGVO handeln.

E.1.3 Patientensouveränität in der ePA

Versicherte haben das Recht, 

• zu wissen, welche Daten von Ihnen gespeichert werden, 
• dass Ihre Daten geändert werden, wenn sie falsch sind, 
• dass Ihre Daten gelöscht werden, wenn sie nicht mehr gebraucht werden, 
• dass nur so viele Daten gesammelt werden, wie nötig und 
• sich Ihre Daten als Datei zuschicken zu lassen. 

Diese Rechte sind in der Daten-Schutz-Grund-Verordnung (DSGVO) Artikel 13 bis 21 geregelt.

Die Preisgabe persönlicher Informationen wird folglich durch die Versicherten selbst kontrolliert und gesteuert.

Zusätzlich steht die Information zur aktuell genutzte App Version bereit.

E.2 Beschreibung und Umfang der Datenverarbeitung für vertretende Personen

Versicherte können für Ihre Patientenakte einen oder mehrere vertretende Personen berechtigen. Die vertretende Person nutzt die eigene TI-App seiner Krankenkasse/Krankenversicherung zur Wahrnehmung der Vertretung. Bei der Einrichtung wird der Name, die E-Mail-Adresse und die Versichertennummer (KVNr) angegeben und gespeichert. Wenn die vertretende Person in der Patientenakte als Vertretung handelt, können alle technisch möglichen Aktionen anstelle des Versicherten ausgeführt werden. 

Vertretende Personen können keine weiteren vertretenden Personen für die vertretene Patientenakte einrichten und auch nicht die Patientenakte für den Versicherten insgesamt löschen.

Bei der Vertretung innerhalb der ePA erfolgt eine Datenverarbeitung wie in Kapitel D1 beschrieben.

E.3 Rechtsgrundlage für die Datenverarbeitung 

Rechtsgrundlage für die Speicherung per­so­nen­be­zo­ge­ner Daten in der ePA ist §§ 342 Abs. 1 SGB V, 344 Abs. 1 Satz 1 SGB V.

E.3.1 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die Nutzung des ePA durch den Versicherten zur Archivierung und Verwendung seiner individuellen Gesundheitsinformationen.

E.3.2 Dauer der Speicherung

Die Daten werden durch den Versicherten gelöscht, wenn er entscheidet, dass die in der ePA gespeicherten Daten nicht mehr benötigt werden.

Zudem werden sämtliche Inhaltsdaten gelöscht, wenn der Versicherte seiner ePA für alle widerspricht.

 

F. Kontaktvarianten

F.1 Beschreibung und Umfang der Datenverarbeitung

In der SDK Gesundheit Digital sind diverse Kontaktkanäle enthalten, die von dem Versicherten für die elektronische Kontaktaufnahme mit uns genutzt werden können.

F.2 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, da die im Rahmen der Kontaktaufnahme durchgeführten Datenverarbeitungsvorgänge für die ordnungsgemäße Abwicklung des Nutzungsvertrags mit dem Versicherten über die SDK Gesundheit Digital erforderlich sind. 

F.3 Zweck der Datenverarbeitung

Die in diesem Abschnitt beschriebene Verarbeitung per­so­nen­be­zo­ge­ner Daten wird durchgeführt, um Kontaktaufnahmen unserer Versicherten bearbeiten zu können und infolgedessen den Nutzungsvertrag über die Ti-APP mit dem Versicherten durchführen zu können.

F.4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die Kranken­versicherung entscheidet, dass spätestens drei Jahre nach Abschluss des Vorgangs, diese Daten gelöscht werden sollen.

G. Aktualisierung der Daten­schutz­er­klä­rung und ergänzende Informationen

Diese Daten­schutz­er­klä­rung wird regelmäßig aktualisiert, um sie an neue Funktionen und gesetzliche Anforderungen anzupassen. Wir informieren Sie über wesentliche Änderungen in geeigneter Weise.

Ergänzende Informationen zu der elektronischen Patientenakte finden Sie auf folgender Internetseite: https://www.sdk.de