Verarbeitung der personenbezogenen Daten im bodengebundenen Rettungsdienst in Thüringen
Verarbeitung der personenbezogenen Daten im bodengebundenen Rettungsdienst in Thüringen
Informationen nach Artikel 13 und 14 Datenschutz-Grundverordnung (DS-GVO)
sowie
Informationen zur gemeinsamen Verarbeitung nach Artikel 26 DS-GVO
Die nachfolgend genannten Aufgabenträger des bodengebundenen Rettungsdienstes in Thüringen sowie die Kassenärztliche Vereinigung Thüringen als Aufgabenträgerin der notärztlichen Versorgung im bodengebundenen Rettungsdienst haben zur Einführung einer einheitlichen mobilelektronisch-schriftlichen Verarbeitung der Einsatzdaten aus der von ihnen gewährleisteten Notfallrettung und dem Krankentransport, bei denen es sich um personenbezogene Daten im Sinne der Datenschutz-Grundverordnung handelt, eine Kooperationsvereinbarung zur Digitalisierung im bodengebundenen Rettungsdienst in Thüringen (im Weiteren: Kooperationsvereinbarung) geschlossen.
Wenn die – nachfolgend nur noch als solche bezeichneten – Parteien der Kooperationsvereinbarung gemäß den darin gemeinsam festgelegten Zwecken und Mitteln die Einsatzdaten verarbeiten, erfolgt die Verarbeitung in gemeinsamer Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung und dem Thüringer Datenschutzgesetz.
Die Parteien haben deshalb in einem umfangreichen Datenschutzkonzept, das verbindlicher Bestandteil der Kooperationsvereinbarung ist, die Grundsätze für die gemeinsame Verarbeitung der Einsatzdaten und die jeweiligen datenschutzrelevanten Aufgaben und Verantwortlichkeiten schriftlich festgelegt.
Nachfolgend kommen die Parteien der Kooperationsvereinbarung ihren Ihnen gegenüber bestehenden Informationspflichten nach Art. 13 und 14 DS-GVO (siehe dazu nachfolgend Ziffer I.) nach und informieren Sie des Weiteren über die wesentlichen Inhalte des vorgenannten Datenschutzkonzepts (siehe dazu nachfolgend Ziffer II.).
I. Informationen nach Art. 13 und 14 DS-GVO
Verantwortliche, deren Vertretungsorgane und Datenschutzbeauftragten:
Die Verantwortlichen und deren Vertretungsorgane sowie die Kontaktdaten der jeweiligen Datenschutzbeauftragten ergeben sich aus dem Anhang.
1. Angaben zur Verarbeitungstätigkeit
1.1. Zweck der Verarbeitungstätigkeit
Die Verarbeitung der Einsatzdaten erfolgt in jedem Verarbeitungsschritt rechtmäßig und zweckgebunden. Sie ist erforderlich und erfolgt zur Erfüllung der den Parteien der Kooperationsvereinbarung als Aufgabenträgern im Sinne von § 5 Abs. 1 und 1a ThürRettG gesetzlich übertragenen Aufgaben.
Mithin dient die Verarbeitung der Einsatzdaten der Durchführung der Einsätze im bodengebundenen Rettungsdienst einschließlich der weiteren Versorgung der Patienten, dem Nachweis der ordnungsgemäßen Ausführung der Einsätze (Dokumentation) und der verwaltungsmäßigen Abwicklung der Einsätze einschließlich der Abrechnung, der Qualitätssicherung und Rechnungsprüfung.
Soweit erforderlich dient die Verarbeitung der Einsatzdaten ferner zu Aufsichtszwecken, zur Geltendmachung, Ausübung und Abwehr von Rechtsansprüchen sowie zur Verteidigung bei einer Verfolgung wegen einer Straftat oder Ordnungswidrigkeit und zum Schutz der betroffenen Person oder zur Abwehr von Gefahren für die Rechte und Freiheiten einer anderen Person.
Schließlich dient die Verarbeitung der Einsatzdaten der Erfüllung der diesbezüglich bestehenden Rechte der betroffenen Personen sowie der Aufbewahrungs-, Berichtigungs- und Löschungspflichten der Parteien der Kooperationsvereinbarung.
1.2. Arten und besondere Kategorien der verarbeiteten Daten
Für die vorgenannten Zwecke werden, soweit erforderlich, die nachfolgenden Arten und besondere Kategorien von Daten verarbeitet:
- personenbezogene Daten
- Personenstammdaten (z. B. Vor- und Zuname, Geburtsdatum, Geschlecht)
- Versichertenstammdaten (z. B. Versichertennummer, Krankenkassen)
- Kontaktdaten (z. B. Anschrift, Telefonnummer, Email-Adresse)
- Gesundheitsdaten (z. B. Anamnesebogen, Medizindaten)
1.3. Rechtsgrundlage der Verabeitungstätigkeit
Die vorgenannten Verarbeitungszwecke erfolgen gemäß Art. 6 Abs. 1 lit. c), d), e) i.V.m. Art. 9 Abs. 2 lit. h) DS-GVO i.V.m. § 16 Abs. 2 Nr. 5 ThürDSG. Des Weiteren beruht die Verarbeitung auf § 291a SGB V, §§ 30, 31 ThürRettG.
1.4. Quellen der Daten
Soweit die personenbezogenen Daten nicht beim Betroffenen selbst erhoben werden, stammen diese aus folgenden Quellen:
- Leitstelleninformationen und Informationen, die der Identifikation der bodengebundenen Rettungsmittel und ihrer Besatzungen dienen,
- Informationen des Patienten,
- Informationen der Angehörigen oder sonstiger Dritter,
- Daten einer ausgelesenen eGK,
- Patienten- und sonstige Unterlagen,
- eigenen Wahrnehmung der Besatzung der bodengebundenen Rettungsmittel,
- technische Daten einschließlich der Daten aus Medizinprodukten
1.5. Kategorien von Empfängern
Ihre personenbezogenen Daten werden, soweit erforderlich oder gesetzlich vorgeschrieben, zu den vorgenannten Zwecken an die nachfolgenden Empfänger übermittelt:
- weiterbehandelnde medizinische Einrichtungen (z. B. Krankenhäuser)
- Kostenträger (gesetzliche Kranken- und Unfallversicherung)
- sonstige Kostenträger (z. B. Bundeswehr, (Bundes-)Polizei, Sozialleistungsträger)
1.6. Übermittlung von personenbezogenen Daten an ein Drittland
Die Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union (EU) statt.
2. Zusätzliche Informationspflichten
2.1. Speicherdauer der personenbezogenen Daten
Ihre personenbezogenen Daten werden gelöscht, sobald sie für die oben genannten Zwecke nicht mehr erforderlich sind und einer Löschung keine gesetzlichen oder satzungsmäßigen Aufbewahrungsfristen entgegenstehen.
2.2. Rechte der betroffenen Perrsonen
Sie können folgende Rechte ausüben, wenn die gesetzlichen Voraussetzungen vorliegen:
- Recht auf Auskunft über verarbeitete Daten (Art. 15 DS-GVO i.V.m. § 83 SGB X)
- Recht auf Berichtigung unrichtiger Daten (Art. 16 DS-GVO i.V.m. § 84 SGB X)
- Recht auf Löschung (Art. 17 DS-GVO i. V. m. § 84 DS-GVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO i.V.m. § 84 SGB X)
- Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
- Widerspruchsrecht (Art. 21 DS-GVO i.V.m. § 84 SGB X)
Soweit die Datenverarbeitung auf einer Einwilligung beruht, haben Sie das Recht, Ihre Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.
Im Falle der Geltendmachung Ihrer oben genannten Rechte werden Ihre Daten verarbeitet, soweit dies erforderlich ist. Möchten Sie von Ihren Rechten Gebrauch machen, wenden Sie sich bitte vorrangig an den Datenschutzbeauftragten der Kassenärztlichen Vereinigung Thüringen oder an einen der übrigen im Anhang genannten Datenschutzbeauftragten.
2.3. Internes Beschwerderecht
Sie haben als betroffene Person die Möglichkeit, gegen die Art und Weise der Verarbeitung Ihrer personenbezogenen Daten auch Beschwerde zu erheben. Das Beschwerdeverfahren dient der Selbstkontrolle der Parteien der Kooperationsvereinbarung und insbesondere der Identifizierung möglicher, ggf. nach Art. 33 und 34 DS-GVO meldepflichtiger Verletzungen des Schutzes personenbezogener Daten.
2.4. Beschwerderecht gegenüber der Aufsichtsbehörde
Sie haben das Recht auf Beschwerde bei der hierfür zuständigen Aufsichtsbehörde für den Datenschutz, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen das ThürDSG oder andere auf die betreffende Verarbeitung anwendbaren Vorschriften verstößt. Zuständige Aufsichtsbehörde für den Datenschutz ist:
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Postfach 900455
99107 Erfurt
II. Informationen über die wesentlichen Inhalte des Datenschutzkonzepts nach Art. 26 Abs. 2 Satz 2 DS-GVO
1. Wie ist die Zusammenarbeit im Rahmen der gemeinsamen Verarbeitung organisiert?
Die Parteien der Kooperationsvereinbarung haben in dem Datenschutzkonzept konkret festgelegt, welche Zuständigkeiten, Verantwortlichkeiten und Befugnisse den von ihnen eingesetzten Mitarbeitern bzw. den in ihrem Auftrag tätigen Durchführenden und Auftragsverarbeitern in Bezug auf die Datenverarbeitung, soweit diese in gemeinsamer Verantwortlichkeit erfolgt, jeweils zustehen. Jede Partei der Kooperationsvereinbarung hat Datenschutzbeauftragte benannt, die intern als Ansprechpartner für alle Datenschutzthemen im Zusammenhang mit der gemeinsamen Datenverarbeitung fungieren. Zur Gewährleistung einer datenschutzkonformen gemeinsamen Datenverarbeitung stimmen sich die Parteien der Kooperationsvereinbarung zudem kontinuierlich ab und informieren sich gegenseitig über alle Umstände und Erkenntnisse aus ihren jeweiligen Zuständigkeits- und Einflussbereichen, die praktische oder rechtliche Auswirkung auf die in gemeinsamer Verantwortlichkeit erfolgende Datenverarbeitung haben könnten.
Die Parteien der Kooperationsvereinbarung sind, soweit diese Ihre personenbezogenen Daten in gemeinsamer Verantwortlichkeit verarbeiten, Ihnen gemeinsam für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
2. Wer übernimmt welche Pflichten nach der Datenschutz-Grundverordnung und was bedeutet das für Sie als betroffene Person?
2.1. Informationspflichten nach Art. 13 und 14 sowie Art. 26 Abs. 2 Satz 2 DS-GVO
Die Parteien der Kooperationsvereinbarung haben vereinbart, dass und wie Ihnen die gemäß Art. 12 ff. DS-GVO erforderlichen, untereinander abgestimmten Datenschutzinformationen den betroffenen Personen transparent und leicht zugänglich zur Verfügung gestellt werden.
2.2. Modalitäten der Ausübung der Rechte der betroffenen Personen
Sofern Sie die Ihnen zustehenden Rechte aus den Art. 15 bis 21 DS-GVO im Hinblick auf die gemeinsame Verarbeitung Ihrer personenbezogenen Daten gegenüber den Parteien der Kooperationsvereinbarung geltend machen möchten, können Sie dies unmittelbar gegenüber jeder einzelnen Partei der Kooperationsvereinbarung tun. Welche Rechte Ihnen konkret zustehen, ergibt sich aus dem Abschnitt „Rechte der betroffenen Person“ in den Informationen nach Artikel 13 und 14 DS-GVO (Ziffer I.).
2.3. Datenschutzvorfälle, Kommunikation und Zusammenarbeit mit den Aufsichtsbehörden
Die Datenschutzbeauftragten der Parteien der Kooperationsvereinbarung sind für die Prüfung und Bearbeitung von Verletzungen des Schutzes personenbezogener Daten oder einer sicherheitsrelevanten Störung bei der gemeinsamen Datenverarbeitung einschließlich der Erfüllung der dadurch eventuell ausgelösten Meldepflichten gegenüber der zuständigen Aufsichtsbehörde (Art. 33 DS-GVO) bzw. Benachrichtigungspflichten gegenüber den betroffenen Personen (Art. 34 DS-GVO) gemeinsam zuständig.
Die Parteien der Kooperationsvereinbarung haben vertraglich vereinbart, Vorkehrungen zu treffen, die sicherstellen, dass a) bei Bekanntwerden eines Datenschutzvorfalls unverzüglich alle Maßnahmen ergriffen werden, die zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen erforderlich sind und b) die Datenschutzbeauftragten der anderen Parteien der Kooperationsvereinbarung unverzüglich über den Datenschutzvorfall informiert werden und c) sie bei Meldungen nach Art. 33, 34 DS-GVO sowie der Aufklärung und Beseitigung von Verletzungen des Schutzes personenbezogener Daten im Rahmen des Erforderlichen und Zumutbaren mitwirken.
Die Parteien der Kooperationsvereinbarung haben sich darüber hinaus verpflichtet, sich unverzüglich und vollständig gegenseitig zu informieren, wenn sie bei der Prüfung der Verarbeitungstätigkeiten Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.
3. Wahrnehmung sonstiger wesentlicher Pflichten nach der Datenschutz-Grundverordnung
Die Parteien der Kooperationsvereinbarung haben sich außerdem vertraglich dazu verpflichtet, in ihrem Zuständigkeits- und Einflussbereich jeweils die Einhaltung der gesetzlichen Be-stimmungen, insbesondere der Rechtmäßigkeit der durch sie im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen, sicherzustellen.
Insbesondere hat jede Partei der Kooperationsvereinbarung in ihrem jeweiligen Zuständigkeits- und Einflussbereich
- dafür Sorge zu tragen, dass nur solche personenbezogenen Daten erhoben werden, die für die rechtmäßige Prozessabwicklung zwingend erforderlich sind,
- sicherzustellen, dass ihr Mitarbeiter und die im Auftrag der jeweiligen Partei der Kooperationsvereinbarung tätigen Durchführenden und Auftragsverarbeiter sowie jeweils deren Mitarbeiter auf die Integrität und Vertraulichkeit der Daten gemäß den Art. 28 Abs. 3, 29 und 32 DS-GVO und entsprechend auf das Daten- und Telekommunikationsgeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden,
- die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DS-GVO zu implementieren, regelmäßig zu prüfen und stets auf dem aktuellen Stand der Technik zu halten hat,
- die unter die gemeinsame Verantwortlichkeit fallenden Verarbeitungsvorgänge in ihr Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DS-GVO aufzunehmen und
- Dokumentationen im Sinne von Art. 5 Abs. 2 DS-GVO, die dem Nachweis der ordnungsgemäßen Datenverarbeitung im Rahmen der Rechenschaftspflicht dienen, ordnungsgemäß aufzubewahren hat.
III. Internes Beschwerderecht
Sie haben die Möglichkeit, gegen die Art und Weise der Verarbeitung der Sie betreffenden Einsatzdaten auch vertraulich Beschwerde zu erheben. Der Datenschutzbeauftrage der KVT fungiert als zentrale Beschwerdestelle.
IV. Zentrale Anlaufstelle: der Datenschutzbeauftragte der KVT
Als zentrale Anlaufstelle für alle Anliegen und Fragen im Zusammenhang mit der beschriebenen in gemeinsamer Verantwortlichkeit erfolgenden Datenverarbeitung fungiert der Datenschutzbeauftragte der KVT. Sie erreichen diesen unter folgenden Kontaktdaten:
Kassenärztliche Vereinigung Thüringen
Zum Hospitalgraben 8
99425 Weimar
E-Mail: datenschutz @kvt.de