Datenschutzhinweise

A. Allgemeines

Die Vorgaben zur SDK Gesundheit Digital werden durch die gematik unter der Rechtsaufsicht des BMG sowie im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erstellt.

Die Umsetzung dieser Vorgaben erfolgt unter strengen Sicherheitsauflagen und sowohl der Entwicklungsprozess selbst, der Programmcode als auch der Betrieb der Lösung werden durch unabhängige, zertifizierte und akkreditierte Stellen im Rahmen einer Zulassung sowie kontinuierlichen Audits geprüft.  

Für jede Zulassung ist ein Sicherheitsgutachten erforderlich, das sowohl eine technische als auch eine funktionale Eignung prüft.

Vorbemerkung

Im Sinne einer besseren Lesbarkeit und einem vereinfachtem Bearbeitungsverfahren wurde die gendergerechte Ansprache durch die einheitliche Verwendung der Formulierungen:
„Versicherter“
„Vertreter“
ersetzt. Mit der Benutzung dieser Begriffe sind immer ohne Einschränkung alle Geschlechter gemeint.

A.1 Name und Anschrift des Verantwortlichen

Der Verantwortliche entsprechend den §§ 341 Abs. 4 Satz 1, 307 Abs. 4 SGB V in Verbindung mit Art. 4 Ziffer 7 der Datenschutz-Grundverordnung ist die:

Süddeutsche Kranken­versicherung a.G.
Raiffeisenplatz 11
70736 Fellbach
Telefon: 0711 7372-7777
Fax: 0711 7372-7788
E-Mail: sdk(at)sdk.de

A.2 Kontaktdaten Datenschutzbeauftragter des Verantwortlichen

Süddeutsche Kranken­versicherung a. G.
Datenschutzbeauftragter
Raiffeisenplatz 11
70736 Fellbach
Telefon: 0711 7372-8516
E-Mail: Datenschutz(at)sdk.de

A.3 Zuständige Datenschutzaufsicht

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Postfach 10 29 32
70025 Stuttgart
Telefon: 0711/61 55 41 – 0

A.4 Zuständige Rechtsaufsicht

Bundesanstalt für Finanz­dienst­leistungs­aufsicht
Kontakt
Graurheindorfer Str. 108, 53117 Bonn
Marie-Curie-Straße 24-28, 60439 Frankfurt
Telefon: 0228 / 4108 - 0
Fax: 0228 / 4108 - 1550

A.5 Allgemeines zur Datenverarbeitung

Wir verarbeiten per­so­nen­be­zo­ge­ne Daten unserer Versicherten, soweit dies zur Bereitstellung bzw. Nutzung einer funktionsfähigen SDK Gesundheit Digital erforderlich ist.

Die Nutzung der SDK Gesundheit Digital ist für unsere Versicherten freiwillig. Ihnen entsteht kein Nachteil, sofern sie sich gegen die Nutzung der SDK Gesundheit Digital entscheiden.

A.6 Einbindung von Dritten

Wir geben Daten unserer Versicherten grundsätzlich nicht an Dritte weiter. Wir setzen verschiedene technische Dienstleister ein, um unseren Versicherten die TI- bereitstellen zu können. In diesem Zusammenhang kann es vorkommen, dass ein solcher technischer Dienstleister Kenntnis von per­so­nen­be­zo­ge­nen Daten erhält. Wir wählen diese Dienstleister sorgfältig aus und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung. Die beauftragen Dienstleister sind ebenfalls verpflichtet, alle datenschutzrechtlichen Maßnahmen einzuhalten und werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet.

A.7 Datenverarbeitung außerhalb der Europäischen Union

Eine Verarbeitung der Daten unserer Versicherten außerhalb der europäischen Union findet nicht statt. Alle TI-bezogenen Datenverarbeitungen finden ausschließlich in Deutschland statt.

A.8 Betroffenenrechte

Unsere Versicherten haben folgende Rechte:

• Das Recht auf Auskunft über die sie betreffenden per­so­nen­be­zo­ge­nen Daten. Diesbezüglich können sich unsere Versicherten jederzeit an uns wenden.
• Das Recht auf Berichtigung oder Löschung, oder auf Einschränkung der Verarbeitung, soweit ihnen dieses Recht gesetzlich zusteht.
• Ein Widerspruchsrecht gegen die Verarbeitung der per­so­nen­be­zo­ge­nen Daten im Rahmen der gesetzlichen Vorgaben.
• Ein Recht auf Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.

A.9 Löschung von Daten

Wir löschen die Daten unserer Versicherten grundsätzlich dann, wenn kein Speicherungsgrund gemäß DSGVO vorliegt.

A.10 Automatisierte Entscheidungsfindung

Wir setzen keine Verarbeitungsvorgänge ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO beruhen.

A.11 Beschwerderecht bei einer Aufsichtsbehörde

Unsere Versicherten haben das Recht, sich über die Verarbeitung per­so­nen­be­zo­ge­ner Daten bei einer der Ziffer A.3 und A.4 genannten Aufsichtsbehörden zu beschweren.

B. A.12 Bereitstellung der SDK Gesundheit Digital durch die Süddeutsche Kranken­versicherung a. G.

B.1 Beschreibung und Umfang der Datenverarbeitung

Die SDK Gesundheit Digital wird allen unseren Versicherten zur Verfügung gestellt.

Bei der Bereitstellung der SDK Gesundheit Digital werden folgende per­so­nen­be­zo­ge­ne Daten unseres Versicherten herangezogen:

• Angaben des amtlichen Ausweisdokuments
• Name, Vorname
• Geburtsdatum des Versicherten
• Geburtsort des Versicherten
• Versichertenart (z. B.: Mitglied, Familienversicherter, Rentner)
• Beginn und Ende Versicherungsverhältnis
• Identifizierungsverfahren (z. B. in der Filiale oder Postident)
• Meldeadresse: Länderkennzeichen, PLZ, Ort; Straße, Hausnummer;
• Ende der Registrierung / Ja oder Nein
• Zeitpunkt Registrierungsbeginn
• Titel
• Namenszusatz
• Vorsatzwort (z. B.: „von“, „de“, „van“)
• Geschlecht
• je nach verwendetem Authentisierungsmittel:
• ein Pseudonym bei Nutzung der Online-Ausweisfunktion. Dabei ruft der verwendete Anbieter erstmalig alle uns zugänglichen Daten des Personalausweises zum Personenabgleich ab und erzeugt ein Pseudonym. Jedes weitere mal erfolgt der Abgleich durch das vom Anbieter erzeugte Pseudonym.
• VIP – Kennzeichen

B.2 Rechtsgrundlage für die Datenverarbeitung

Die Datenverarbeitung im Zusammenhang mit der SDK Gesundheit Digital APP wird auf die entsprechende Anwendung von §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V gestützt.

B.3 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die Bereitstellung der SDK Gesundheit Digital inkl. GesunheitsID zur Nutzung von TI-Services.

B.4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.

B.5 Absprünge auf das Organspenderegister des BfArM und gesundbund.de

Für alle Inhalte im Organspenderegister ist die Bundeszentrale für gesundheitliche Aufklärung verantwortlich.

Für alle Inhalte auf gesund.de ist das Bundesministerium für Gesundheit verantwortlich.

C. IAM Registrierungsprozess

Die in den nachfolgenden Abschnitten beschriebenen Datenverarbeitungsprozesse sind für die Nutzung der SDK Gesundheit Digital zwingend erforderlich.

C.1 Beschreibung und Umfang der Datenverarbeitung

Für die Nutzung der SDK Gesundheit Digital und den damit bereitgestellten Services müssen Verifikationsverfahren durchgeführt werden, um zu überprüfen, ob die Person, welche die Nutzung der App möchte, auch tatsächlich unser Versicherter ist.

Diese Prozessabläufe sind nachfolgend beschrieben: Im Rahmen des Verifikationsverfahrens werden folgende Daten verarbeitet:

• E-Mailadresse
• Krankenversichertennummer
• Postleitzahl
• individuelles Passwort
• Die letzten sechs Stellen der Kennnummer der eGK (ICCSN)

Beim Registrierungsverfahren werden vorstehende Daten temporär gespeichert.

Nach Verifikation der eingegebenen Daten durch die Süddeutsche Kranken­versicherung a. G. wird der Versicherte als Nutzer der SDK Gesundheit Digital angelegt und zur Nutzung freigeschaltet. Der Versicherte erhält hierzu eine Bestätigung der Süddeutsche Kranken­versicherung a. G..

C.2 Erfassung der Daten für einen Fehlerreport

Wir benötigten die im Folgenden aufgeführten Informationen, wenn ein Versicherter einen Fehler meldet und die Ursache analysiert werden muss.

C.3 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für den IDP-Registrierungsprozess und die hierbei verarbeiteten Daten ist §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V entsprechend.

C.4 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten sowie die Verhinderung von Daten- und Identitätsmissbrauch.

C.5 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die SDK Gesundheit Digital gekündigt und final gelöscht wurde.

E. Kontaktvarianten

E.1 Beschreibung und Umfang der Datenverarbeitung

In der SDK Gesundheit Digital sind diverse Kontaktkanäle enthalten, die von dem Versicherten für die elektronische Kontaktaufnahme mit uns genutzt werden können.

E.2 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, da die im Rahmen der Kontaktaufnahme durchgeführten Datenverarbeitungsvorgänge für die ordnungsgemäße Abwicklung des Nutzungsvertrags mit dem Versicherten über die SDK Gesundheit Digital erforderlich sind.

E.3 Zweck der Datenverarbeitung

Die in diesem Abschnitt beschriebene Verarbeitung per­so­nen­be­zo­ge­ner Daten wird durchgeführt, um Kontaktaufnahmen unserer Versicherten bearbeiten zu können und infolgedessen den Nutzungsvertrag über die SDK Gesundheit Digital mit dem Versicherten durchführen zu können.

E.4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die Krankenkasse/Krankenversicherung entscheidet, dass spätestens drei Jahre nach Schließung des Vorgangstickets diese Daten gelöscht werden sollen.