Sehr geehrte Patienten,

sehr geehrter Patient,

im Rahmen Ihrer ambulanten und/oder stationären Behandlung bzw. Versorgung ist es erforderlich, personenbezogene und auch medizinische Daten über Ihre Person zu verarbeiten. Da die Vorgänge sowohl innerhalb unseres Krankenhauses als auch im Zusammenspiel mit weiteren an Ihrer Behandlung beteiligten Personen/Institutionen des Gesundheitswesens nicht leicht zu überblicken sind, haben wir für Sie die nachfolgenden Informationen zusammengestellt.

Verantwortliche Stelle und Datenschutzbeauftragter 

Welche Daten erheben wir und zu welchen Zwecken?

Im Rahmen Ihrer Behandlung werden Daten über Ihre Person, z.B. Name, Geburtsdatum, Anschrift, E-Mail-Adresse, Telefonnummer, Versicherungsnummer, sozialer Status sowie die für die Behandlung notwendigen medizinischen Daten erhoben, erfasst, gespeichert, verarbeitet, abgefragt, genutzt, übermittelt usw. Insgesamt spricht man von der „Verarbeitung“ Ihrer Daten. Dieser Begriff der „Verarbeitung“ bildet den Oberbegriff für alle diese Tätigkeiten. Die Verarbeitung von Patientendaten im Krankenhaus ist aus Datenschutzgründen nur möglich, wenn eine gesetzliche Grundlage dies vorschreibt bzw. erlaubt oder Sie als Patient hierzu Ihre Einwilligung erteilt haben.

Für Ihre patientenbezogene Versorgung/Behandlung notwendig sind dabei insbesondere Verarbeitungen Ihrer Daten aus präventiven, diagnostischen, therapeutischen, kurativen und auch nachsorgenden Gründen. Ebenso erfolgen Verarbeitungen – im Sinne einer bestmöglichen Versorgung – im Hinblick auf interdisziplinäre Konferenzen zur Analyse und Erörterung von Diagnostik und Therapie, zur Vor-, Mit-, Weiterversorgung bzgl. Diagnostik, Therapie, Befunden sowie Krankheits-/Vitalstatus. Daneben werden Arztbriefe/Berichte geschrieben und es erfolgen Verarbeitungen aus Qualitätssicherungsgründen, zum Erkennen und Bekämpfen von Krankenhausinfektionen sowie zur seelsorgerischen und sozialen Betreuung und zum Entlassmanagement.

Neben diesen patientenbezogenen Verarbeitungen bedarf es auch einer verwaltungsmäßigen Abwicklung Ihrer Behandlung. Dies bedingt im Wesentlichen die Verarbeitung Ihrer Daten zur Abrechnung Ihrer Behandlung, aus Gründen des Controllings/der Rechnungsprüfung, zur Geltendmachung, Ausübung sowie Verteidigung von Rechtsansprüchen oder zu gesetzlich vorgesehenen Meldepflichten (z.B. an die Polizei aufgrund des Melderechts, an staatliche Gesundheitsämter aufgrund des Infektionsschutzgesetzes, an Krebsregister) sowie nicht zuletzt aus Gründen der Betreuung und Wartung von IT-Systemen und Anwendungen, der externen Auftragsdatenverarbeitung (z.B. Digitalisierung von Patientenunterlagen). Ferner erfolgen Datenverarbeitungen ggf. zu Zwecken der Aus-, Fort- und Weiterbildung von Ärzten und von Angehörigen anderer Berufe des Gesundheitswesens sowie zur Forschung.

Von wem erhalten wir Ihre Daten?

Die entsprechenden Daten erheben wir grundsätzlich – sofern möglich – bei Ihnen selbst. Teilweise kann es jedoch auch vorkommen, dass wir von anderen Krankenhäusern, die etwa Ihre Erst- / Vor-Behandlung durchgeführt haben, von niedergelassenen Ärzten, Fachärzten, Medizinischen Versorgungszentren (sog. MVZ), usw. Sie betreffende personenbezogene Daten erhalten. Diese werden in unserem Krankenhaus im Sinne einer einheitlichen Dokumentation mit Ihren übrigen Daten zusammengeführt.

Wer hat Zugriff auf Ihre Daten?

Die an Ihrer Behandlung beteiligten Personen haben Zugriff auf Ihre Daten, wozu etwa auch Ärzte anderer Abteilungen zählen, die an einer fachübergreifenden Behandlung teilnehmen oder die Verwaltung, die die Abrechnung Ihrer Behandlung vornimmt. Ihre Daten werden von Fachpersonal oder unter dessen Verantwortung verarbeitet.  Dieses Fachpersonal unterliegt entweder dem sog. Berufsgeheimnis oder einer Geheimhaltungspflicht, und wird regelmäßig zu Datenschutzfragen geschult. Die Datensicherheit wird durch verschiedene technisch und organisatorische Maßnahmen nach dem aktuellen Stand der Technik gewährleistet.

Rechtsgrundlage für die Verarbeitung Ihrer Daten 

Die Grundlage dafür, dass das Klinikum Cracau bei Pfeiffers der Universitätsmedizin Magdeburg gGmbH Ihre Daten datenschutzrechtlich verarbeiten darf, ergibt sich hauptsächlich daraus, dass das Klinikum für die Versorgung und Behandlung von Patienten zuständig ist. Auf dieser Grundlage gibt es unterschiedliche Gesetze und Verordnungen, die dem Klinikum eine Verarbeitung der Daten erlauben.

Genannt sei hier insbesondere die EU Datenschutz-Grundverordnung (DSGVO) und das Krankenhausgesetz Sachsen-Anhalt (KHG LSA). Entsprechende Erlaubnistatbestände hinsichtlich der Verarbeitung von Patientendaten ergeben sich z.B.  aus 
Art. 6, 9 DSGVO oder § 16 KHG LSA. Daneben finden sich Grundlagen im deutschen Recht, etwa in dem Sozialgesetzbuch Fünftes Buch (SGB V), z.B. § 301 SGB V und im Bürgerlichen Gesetzbuch (BGB), z.B. in den §§ 630 ff. BGB, die eine Verarbeitung Ihrer Daten voraussetzen.

Als Rechtsgrundlagen für die Verarbeitung seien hier beispielhaft genannt:

• Datenverarbeitungen zum Zwecke der Durchführung sowie Dokumentation des
  Behandlungsgeschehens einschließlich des innerärztlichen und interprofessionellen
  Austauschs im Krankenhaus über den Patienten für die Behandlung 
  (Art. 9 Abs.2h, Abs.3, Abs.4 DSGVO, §§ 630a ff, 630f BGB, § 16 Abs. 3 KHG LSA)
• Datenübermittlung an „Externe“ im Sinne einer gemeinsamen Behandlung (im Team),
  Zuziehung externer Konsiliarärzte, z.B. Labor, Telemedizin, sowie Zuziehung externer
  Therapeuten (Art. 9 Abs.2h, Abs.3, Abs.4 DSGVO, § 16 Abs. 3 KHG LSA)
• Datenübermittlung an die gesetzlichen Krankenkassen zum Zwecke der Abrechnung 
  (Art. 9 Abs.2h, Abs.3, Abs.4 DSGVO, § 301 SGB V)
• Datenübermittlung zu Zwecken der Qualitätssicherung (Art. 9 Abs.2i DSGVO i.V.m. 
  § 299 SGB V i.V.m. § 136 SGB V bzw. den Richtlinien des G-BA)

Daneben sind Verarbeitungen auch in Fällen zulässig, in denen Sie uns Ihr Einverständnis erklärt haben.

Mögliche Empfänger Ihrer Daten

Ihre Daten werden im Rahmen der Zweckbestimmung unter Beachtung der jeweiligen datenschutzrechtlichen Regelungen bzw. etwaiger vorliegender Einwilligungserklärungen erhoben und ggf. an Dritte übermittelt. Als derartige Dritte kommen insbesondere in Betracht:

• gesetzliche Krankenkassen, sofern Sie gesetzlich versichert sind,
• private Krankenversicherungen, sofern Sie privat versichert,
• Unfallversicherungsträger,
• weiter-, nach- bzw. mitbehandelnde Ärzte,
• andere Einrichtungen der Gesundheitsversorgung oder Behandlung,
• Rehabilitationseinrichtungen,
• Pflegeeinrichtungen,
• Labore
• externe Datenverarbeiter (sog. Auftragsverarbeiter) sowie
• Seelsorger

Übermittlung Ihrer Daten in ein Land außerhalb der EU/EWR

In der Regel werden Ihre personenbezogenen Daten innerhalb Deutschlands, der EU oder des Europäischen Wirtschaftsraumes verarbeitet. In allen diesen Ländern besteht aufgrund der DSGVO ein hohes, einheitliches Datenschutzniveau, wonach Ihre Daten umfangreich geschützt sind. Eine Ausnahme ist dann denkbar, wenn Sie eine Datenübermittlung in ein Land außerhalb der EU/EWR veranlassen. Beispielsweise, wenn Sie eine Krankenversicherung in einem derartigen Land abgeschlossen haben. Wir versichern Ihnen, dass auch bei diesen Übermittlungen alles unternommen wird, um Ihre Daten zu schützen.

Welche Daten werden im Einzelnen übermittelt?

Sofern Daten übermittelt werden, hängt es im Einzelfall vom jeweiligen Empfänger ab, welche Daten dies sind. Bei einer Übermittlung entsprechend § 301 SGB V an Ihre Krankenkasse handelt es sich zum Beispiel um folgende Daten:

1. Name des Versicherten,
2. Geburtsdatum,
3. Anschrift,
4. Krankenversichertennummer,
5. Versichertenstatus,
6. den Tag, die Uhrzeit und den Grund der Aufnahme sowie die Einweisungsdiagnose, die Aufnahmediagnose, bei einer Änderung

der Aufnahmediagnose die nachfolgenden Diagnosen, die voraussichtliche Dauer der Krankenhausbehandlung sowie, falls diese überschritten wird, auf Verlangen der Krankenkasse die medizinische Begründung, bei Kleinkindern bis zu einem Jahr das Aufnahmegewicht,

1. Datum und Art der jeweils im Krankenhaus durchgeführten Operationen und sonstigen Prozeduren,
2. den Tag, die Uhrzeit und den Grund der Entlassung oder der Verlegung sowie die für die Krankenhausbehandlung maßgebliche Hauptdiagnose und die Nebendiagnosen,
3. Angaben über die im jeweiligen Krankenhaus durchgeführten Rehabilitationsmaßnahmen sowie Aussagen zur Arbeitsfähigkeit 

und Vorschläge für die Art der weiteren Behandlung mit Angabe geeigneter Einrichtungen. 

Behandlung aufgrund ästhetischer Operationen, Tätowierungen oder Piercings

Für den Fall, dass eine Krankheit vorliegt, für die der Verdacht besteht, dass sie Folge einer medizinisch nicht indizierten ästhetischen Operation, einer Tätowierung oder eines Piercings ist, muss auch diesbezüglich eine Meldung an die Krankenkasse erfolgen.

Wahrnehmung berechtigter Interessen des Universitätsklinikums Magdeburg

Sofern das Klinikum Cracau bei Pfeiffers der Universitätsmedizin Magdeburg gGmbH zur Durchsetzung seiner Ansprüche gegen Sie selbst oder Ihre Krankenkasse gezwungen ist, anwaltliche oder gerichtliche Hilfe in Anspruch zu nehmen, da die vom Klinikum gestellte Rechnung nicht beglichen wird, muss das Klinikum Cracau bei Pfeiffers der Universitätsmedizin Magdeburg gGmbH zu Zwecken der Rechteverfolgung die dafür notwendigen Daten zu Ihrer Person und Ihrer Behandlung offenbaren.

Wie lange werden Ihre Daten gespeichert?

Das Klinikum Cracau bei Pfeiffers der Universitätsmedizin Magdeburg gGmbH ist gem. § 630f BGB dazu verpflichtet, eine Dokumentation über Ihre Behandlung zu führen. Dieser Verpflichtung kann das Klinikum in Form einer in Papierform oder elektronisch geführten Patientenakte nachkommen. Diese Patientendokumentation wird auch nach Abschluss Ihrer Behandlung vom Krankenhaus verwahrt. Auch dazu ist das Klinikum gesetzlich verpflichtet.

Mit der Frage, wie lange die Dokumente im Einzelnen im Krankenhaus aufzubewahren sind, beschäftigen sich viele spezielle gesetzliche Regelungen. Zu nennen sind etwa hier das Strahlenschutzgesetz (StrlSchG), die Strahlenschutzverordnung (StrlSchV), die Apothekenbetriebsordnung (ApBetrO), das Transfusionsgesetz (TFG), die Medizinprodukte-Betreiberverordnung (MPBetreibV) und viele mehr. 

Diese gesetzlichen Regelungen schreiben unterschiedliche Aufbewahrungsfristen vor. 

Daneben ist zu beachten, dass Krankenhäuser Patientenakten auch aus Gründen der Beweissicherung bis zu 30 Jahre lang aufbewahren. Dies folgt daraus, dass Schadensersatzansprüche, die Patienten gegenüber dem Krankenhaus geltend machen, gemäß § 199 Abs. 2 Bürgerliches Gesetzbuch (BGB) spätestens in 30 Jahren verjähren. Ein Haftungsprozess könnte also erst Jahrzehnte nach Beendigung der Behandlung gegen das Universitätsklinikum Magdeburg anhängig gemacht werden. Würde das Universitätsklinikum Magdeburg mit der Schadensersatzforderung eines Patienten wegen eines behaupteten Behandlungsfehlers konfrontiert und wären die entsprechenden Krankenunterlagen inzwischen vernichtet, könnte dies zu erheblichen prozessualen Nachteilen für das Universitätsklinikum Magdeburg führen.

Aus diesem Grunde wird Ihre Patientenakte bis zu 30 Jahre lang aufbewahrt.

Betroffenenrechte 

Ihnen stehen sog. Betroffenenrechte zu, d.h. Rechte, die Sie als im Einzelfall betroffene Person ausüben können. Folgende Rechte hinsichtlich der Sie betreffenden Datenverarbeitung können Sie gegenüber Klinikum Cracau bei Pfeiffers der Universitätsmedizin Magdeburg gGmbH geltend machen:

• Recht auf Auskunft, Art. 15 DSGVO

  Sie haben das Recht auf Auskunft über die Sie betreffenden gespeicherten personenbezogenen Daten. Eine Auskunft zu Ihren von uns gespeicherten Daten erhalten Sie zum Teil bereits mit dieser Datenschutzinformation. Das schließt selbstverständlich nicht aus, dass Sie eine weitergehende Auskunft jederzeit einholen können.

• Recht auf Berichtigung, Art. 16 DSGVO

  Wenn Sie feststellen, dass unrichtige Daten zu Ihrer Person verarbeitet werden, können Sie Berichtigung verlangen. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt werden.

• Recht auf Löschung, Art. 17 DSGVO

  Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, wenn bestimmte Löschgründe vorliegen. Dies ist insbesondere der Fall, wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind.

• Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO

  Sie haben das Recht auf Einschränkung der Verarbeitung Ihrer Daten. Dies bedeutet, dass Ihre Daten zwar nicht gelöscht, aber gekennzeichnet werden, um ihre weitere Verarbeitung oder Nutzung einzuschränken.

• Recht auf Widerspruch gegen unzumutbare Datenverarbeitung, Art. 21 DSGVO

  Sie haben grundsätzlich ein allgemeines Widerspruchsrecht auch gegen rechtmäßige Datenverarbeitungen, die im öffentlichen Interesse liegen, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses einer Stelle erfolgen.

Von Ihren Rechten können Sie jederzeit Gebrauch machen. Wir erläutern Ihnen auch gern in Ruhe die Details sowie mögliche Einschränkungen der einzelnen Rechte, kommen Sie diesbezüglich einfach uns zu.

Wenn personenbezogene Daten auf Grundlage einer Einwilligung von Ihnen verarbeitet werden, haben Sie das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft uns gegenüber zu widerrufen. Für den Fall des Widerrufs weisen wir Sie jedoch darauf hin, dass unter Umständen Einschränkungen in Ihrer Versorgung/Behandlung entstehen können. Die Widerrufserklärung können Sie – schriftlich / per Mail – an die verantwortliche Stelle für die Datenverarbeitung des Klinikums Cracau bei Pfeiffers der Universitätsmedizin Magdeburg gGmbH richten. Einer Angabe von Gründen bedarf es dafür nicht. Ihr Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem Sie diesen aussprechen. Er hat keine Rückwirkung. Die Verarbeitung Ihrer Daten bis zu diesem Zeitpunkt bleibt rechtmäßig.

Beschwerde bei der Aufsichtsbehörde wegen Datenschutzverstößen

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten datenschutzrechtlich nicht zulässig ist. Dies ergibt sich aus Art. 77 DSGVO. Die Beschwerde bei der Aufsichtsbehörde kann formlos erfolgen.

Die für uns unmittelbar zuständige Aufsichtsbehörde ist:

Landesbeauftragte für den Datenschutz des Landes Sachsen-Anhalt

Otto-von-Guericke-Straße 34a; 39104 Magdeburg

Tel.: 0391-81803-0

E-Mail: poststelle(at)fd.sachsen-anhalt.de 

Unser Datenschutzbeauftragter steht Ihnen ebenfalls jederzeit zur Verfügung: datenschutz(at)me.ovgu.de

Für weitere Fragen stehen Ihnen die Beschäftigten des Klinikums Cracau bei Pfeiffers der Universitätsmedizin Magdeburg gGmbH gerne zur Verfügung.

Der Geschäftsführer des Klinikums Cracau bei Pfeiffers der Universitätsmedizin Magdeburg gGmbH