Datenschutzerklärung
des OAP Offenburger Ausbildungsinstituts für Psychotherapie, staatlich anerkanntes Ausbildungsinstitut, und für die ihm angeschlossene Institutsambulanz für Kinder- und Jugendlichenpsychotherapie (OAP Institutsambulanz)
gem. § 13 Abs. 1 TMG und Art. 13 (EU) Datenschutz-Grundverordnung (DSGVO), § 32 Bundesdatenschutzgesetz – neu (BDSG-neu) als Daten verarbeitende Verantwortliche
Stand: 18. Mai 2018, 11.00 Uhr
Das OAP Offenburger Ausbildungsinstitut für Psychotherapie (im Folgenden OAP), staatlich anerkanntes Ausbildungsinstitut für Verhaltenstherapie für Kinder und Jugendliche, und die ihm angeschlossene Ambulanz für Kinder- und Jugendlichenpsychotherapie (im Folgenden OAP Institutsambulanz), stehen in Trägerschaft der Gesellschaft des bürgerlichen Rechts (GbR) der Gesellschafter Kurt Schley und Lisa Schley (siehe im Einzelnen Impressum der OAP).
Vorbemerkung
Sie sollten wissen: Am 25. Mai 2018 trat die sogenannte Datenschutz-Grundverordnung (im Folgenden DSGVO) EU-weit in Kraft und gilt sofort und unmittelbar im gesamten EU-Raum; sie bedarf also keiner gesetzlichen Umsetzung in den einzelnen EU-Ländern mehr. Sie enthält sogenannte Öffnungsklauseln, d h. die EU-Mitglieder können, soweit in der DSGVO im Einzelnen erlaubt, erweiternde oder einschränkende Bestimmungen zur DSGVO erlassen. Der deutsche Gesetzgeber hat von diesen Öffnungsklauseln Gebrauch gemacht und ein neues Bundesdatenschutzgesetz (genannt: BDSG-neu) erlassen. Auch dieses Gesetz trat zum gleichen Zeitpunkt in Kraft wie die DSGVO; Ziel des BDSG-neu ist es dabei, die Spielräume, die die DSGVO lässt, auszufüllen. Dabei wird es aber nicht bleiben, denn der EU-Gesetzgeber hat zudem eine weitere Verordnung derzeit noch „in der Mache“, nämlich die sogenannte ePrivacy-Verordnung. Auch diese sollte zum 25. Mai 2018 in Kraft treten. Wie letztere mit der DSGVO harmonieren wird, bleibt noch unklar. Gleichwohl: Es werden jedenfalls von der OAP und der OAP Institutsambulanz von Ihnen und Ihren Kindern in der OAP Institutsambulanz personenbezogene Daten verarbeitet, der zentrale Grundbegriff der DSGVO und des BDSG-neu.
Informationen zum Schutz Ihrer personenbezogenen Daten
Die OAP und die OAP Institutsambulanz nehmen den Schutz Ihrer personenbezogenen Daten und der Daten Ihrer Kinder sehr ernst. Sie sollen also wissen, wann, wie und welche Ihrer personenbezogenen Daten wir erheben, speichern und verwenden („verarbeiten“).
Die OAP und die OAP Institutsambulanz unterliegen vorrangig den Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz-neu (BDSG-neu). Da es ja meist, wenn Sie sich anmelden, um Krankenbehandlung im Rahmen der Gesetzlichen Krankenversicherung (GKV) geht, handelt es sich damit auch um eine Tätigkeit im Bereich des Sozialgesetzbuchs Fünftes Buch (Gesetzliche Krankenversicherung – SGB V). Die OAP und die OAP Institutsambulanz unterliegen damit außerdem den Bestimmungen über den Sozialdatenschutz im Sozialgesetzbuch Allgemeiner Teil I (SGB I) und dem Zehnten Buch (SGB X).
Wir haben rechtliche, technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass alle oben erwähnten Vorschriften über den Datenschutz (DSGVO, BDSG-neu) auch hinsichtlich der Bestimmungen der Schweigepflicht (§ 203 Abs. 1 StGB) sowohl von uns als auch von externen Dienstleistern (sog. Auftragsverarbeitern) eingehalten werden.
Lassen Sie uns vorab einige wesentliche Begriffsbestimmungen des Datenschutzes klären:
Begriffsbestimmungen
Personenbezogene Daten (Art. 4 Nr. 1 DSGVO) sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Soweit wir Ihre Patientendaten verarbeiten, gehören diese ebenso zu den personenbezogenen Daten wie Personaldaten von unseren Beschäftigten. Beispielsweise lässt der Name eines Ansprechpartners ebenso einen Rückschluss auf eine natürliche Person zu wie seine E-Mail-Adresse. Es genügt, wenn die jeweilige Information mit dem Namen des Betroffenen verbunden ist oder unabhängig hiervon aus dem Zusammenhang hergestellt werden kann. Ebenso kann eine Person bestimmbar sein, wenn die Information mit einem Zusatzwissen erst verknüpft werden muss, so zum Beispiel beim Autokennzeichen. Das Zustandekommen der Information ist für einen Personenbezug unerheblich. Auch Fotos, Videos oder Tonaufzeichnungen können personenbezogene Daten darstellen.
Besondere Kategorien personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, eine eventuelle Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben. Ihre Gesundheitsdaten bzw. die Ihrer Kinder gehören also zu den besonders sensiblen Daten.
Die DSGVO definiert
„Gesundheitsdaten“ (Art. 4 Nr. 15 DSGVO) als „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“
und versteht unter
„Verarbeitung“ (Art. 4 Nr. 2 DS-GVO) „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“
und bezeichnet
als „Dritten“ (Art. 4 Nr. 10 DSGVO) „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten“. Also: Dritter ist jede Person oder Stelle außerhalb der gemeinsam Verantwortlichen: OAP und OAP Institutsambulanz.
„Pseudonymisierung“ (Art. 4 Nr. 5 DSGVO) ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.
„Verantwortlicher“ (Art. 4 Nr. 7 DS-GVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“.
Kurz: Verantwortlicher sind hier die OAP und die OAP Institutsambulanz.
Gemeinsam Verantwortliche ist die OAP und die OAP Institutsambulanz, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag (Auftragsverarbeitung) vornehmen lässt.
Die OAP und die OAP Institutsambulanz verarbeiten als gemeinsam Verantwortliche gem. Art. 26 DSGVO Gesundheitsdaten (Art. 4 Nr. 15; Art. 9 Abs. 2 Buchstabe h) und Abs. 3 DSGVO, § 22 Abs. 2 Buchstabe b) BDSG-neu). Zweck der Verarbeitung ist es, eine geordnete, nachvollziehbare und den Regeln der medizinischen und psychotherapeutischen Kunst entsprechende Behandlung zu ermöglichen und sicherzustellen.
Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer (Auftragsverarbeiter) für einen Auftraggeber (hier: OAP und OAP Institutsambulanz, als Verantwortliche). Der Auftragnehmer darf die personenbezogenen Daten nur nach Weisung des Auftraggebers verarbeiten. Die Verantwortung für den Datenumgang verbleibt aber beim Auftraggeber als Verantwortlicher. Tatsächlich erhält der Auftragnehmer keinen Zugriff auf Ihre personenbezogenen (Gesundheits-) Daten, sondern nur auf Ihre pseudonymisierten Daten.
Erhebung personenbezogener Daten bei informatorischer Nutzung unserer Website
Bei der bloß informatorischen Nutzung der Website, also wenn Sie sich nicht zur Nutzung der Website anmelden, registrieren oder uns sonst Informationen übermitteln, erheben wir keine personenbezogenen Daten, mit Ausnahme der Daten, die Ihr Browser übermittelt (Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO), um Ihnen den Besuch der Website zu ermöglichen. Diese sind
– IP-Adresse (Abkürzung für Internet-Protocol-Adresse: normierte Ziffernfolge, über die jeder Rechner in einem Netzwerk identifiziert werden kann,
– Datum und Uhrzeit der Anfrage,
– Zeitzonendifferenz zur Greenwich Mean Time (GMT),
– Inhalt der Aufforderung,
– Zugriffsstatus/http-Statuscode,
– jeweils übertragene Datenmenge,
– Website, von der die Anforderung kommt,
– Browser Betriebssystem und dessen Oberfläche,
– Sprache und Version der Browsersoftware.
Erhebung personenbezogener Daten bei Nutzung unseres E-Mail-Accounts
Neben der rein informatorischen Nutzung unserer Website (siehe oben), können Sie mit uns über E-Mail in Kontakt treten (elektronische Kommunikation). Dazu müssen Sie in der Regel weitere persönliche Daten angeben. E-Mails werden für mindestens sechs Jahre aufbewahrt, um den handelsrechtlichen Aufbewahrungspflichten für Geschäftsbriefe nachzukommen. Soweit es um verarbeitete Gesundheitsdaten im Rahmen des sog. Patientenrechtegesetzes (§ 630a ff. BGB) geht, speichern wir diese für 10 Jahre nach Abschluss der Behandlung (§ 630f Abs. 3 BGB).
Cookies
Die Internetseiten verwenden teilweise so genannte Cookies. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert.
Die meisten der von uns verwendeten Cookies sind so genannte “Session-Cookies”. Sie werden nach Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert bis Sie diese löschen. Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.
Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browser aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein.
Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs oder zur Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (z.B. Warenkorbfunktion) erforderlich sind, werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste. Soweit andere Cookies (z.B. Cookies zur Analyse Ihres Surfverhaltens) gespeichert werden, werden diese in dieser Datenschutzerklärung gesondert behandelt.
Server-Log-Dateien
Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:
- Browsertyp und Browserversion
- verwendetes Betriebssystem
- Referrer URL
- Hostname des zugreifenden Rechners
- Uhrzeit der Serveranfrage
- IP-Adresse
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.
Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet.
Kontaktformular
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt somit ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.
Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z.B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.
Datenschutzbeauftragter
Das OAP Ausbildungsinstitut und die OAP Institutsambulanz werden alsbald einen Datenschutzbeauftragten (DSB) nach Maßgabe der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes-neu (BDSG-neu) benennen.
Bis zur Benennung sind die vorläufigen für den Datenschutz Zuständigen die Herren Erich Meier und Rechtsanwalt Hartmut Gerlach. Diese erreichen Sie unter folgenden Kontaktdaten:
Erich Meier, Breisgaustraße 15, 77933 Lahr,
Telefon: 07821-5492322
Fax: 07821-5490212
E-Mail: mail@erich-meier.de
Internet: erich-meier.de
Hartmut Gerlach, Rechtsanwalt, Tullastraße 16, 68161 Mannheim
Telefon: 0621-412816
Fax: 0621-413169
E-Mail: gerlach@ra-gerlach.de
Internet: ra-gerlach.de
Der Datenschutzbeauftragte überwacht und gewährleistet die Einhaltung der gesetzlichen Vorgaben des Datenschutzes. Der Datenschutzbeauftragte berät das OAP Institut und die OAP Institutsambulanz zu Fragen des Datenschutzes, ist zuständig bei der Kommunikation mit Betroffenen und Aufsichtsbehörden und berichtet regelmäßig der Geschäftsführung der OAP über die Umsetzung des Datenschutzes. Ausgewählte Prozesse werden stichprobenartig und in angemessenen Zeitabständen durch ihn auf ihre Datenschutzkonformität hin kontrolliert.
Der Datenschutzbeauftragte nimmt seine Aufgaben weisungsfrei und unter Anwendung seiner Fachkunde wahr. Er ist der Geschäftsführung der OAP unmittelbar unterstellt.
Eine Übermittlung Ihrer personenbezogenen Daten oder die Ihrer Kinder an Dritte findet nicht statt oder nur dann, wenn Sie uns ausdrücklich Ihre schriftliche Einwilligung dazu geben oder soweit es gesetzlich vorgesehen ist (beispielsweise im Rahmen der Gesetzlichen Krankenversicherung – §§ 294 ff. SGB V).
Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie und Ihre Kinder betreffenden personenbezogenen Daten:
– Recht auf Auskunft,
– Recht auf Berichtigung oder Löschung,
– Recht auf Einschränkung der Verarbeitung,
– Recht auf Widerspruch gegen die Verarbeitung, und gegebenenfalls
– Recht auf Datenübertragbarkeit.
Sie haben das Recht auf Auskunft gem. Art. 15 ff. DS-GVO, §§ 34 BDSG-neu und § 630g BGB über die von der OAP oder der OAP Institutsambulanz über Ihre Person oder die Ihrer Kinder gespeicherten personenbezogenen (Gesundheits-)Daten.
Stellen Sie einen solchen Antrag, ist Ihre Identität zweifelsfrei festzustellen. Hierzu ist eine Kopie Ihres Personalausweises erforderlich, aus der sich Name, Anschrift und Geburtsdatum entnehmen lässt. Es werden ausschließlich Ausweiskopien in Papierform akzeptiert, ein Einscannen ist nicht gestattet. Die Ausweiskopie ist nach der Auskunft von uns unverzüglich datenschutzkonform zu vernichten.
Die unentgeltliche Auskunftserteilung erfolgt auf schriftlichem Weg und beinhaltet, neben den zu Ihrer Person oder zu Ihren Kindern gespeicherten Daten, auch die Empfänger von Daten sowie den Zweck der Speicherung. Sie haben einen Anspruch auf BerichtigungIhrer personenbezogenen Daten, wenn sich diese als unrichtig erweisen.
Ihre personenbezogenen Daten oder die Ihrer Kinder sind unter den folgenden Voraus-setzungen zu löschen:
– ihre Speicherung ist unzulässig, oder
– es handelt sich um besondere personenbezogene Daten, deren Richtigkeit nicht bewiesen werden kann, oder
– die Kenntnis der Daten ist für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich.
An die Stelle einer Löschung muss allerdings eine Sperrung/Einschränkung von Daten treten, wenn
– eine Kenntnis der Daten für die Erfüllung des Zwecks der Speicherung zwar nicht mehr erforderlich ist, jedoch gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen (bspw. nach dem Patientenrechtegesetz, insbesondere § 630 f Abs. 3 BGB: Aufbewahrungspflicht von zehn Jahren ab Beendigung der Psychotherapie; siehe auch § 84 Abs. 3 SGB X, § 13 Abs. 4 Satz 2 TMG, Art. 16, 17 Abs. 3 Buchstabe c DS-GVO, § 22 Abs. 1 Nr. 1 Buchstabe b), Abs. 2, § 35 Abs. 3 BDSG-neu).
Sollte eine Stelle Informationen über Sie fordern, ist eine Weitergabe von Informationen nur zulässig, wenn
– die Auskunft fordernde Stelle ein berechtigtes Interesse hierfür darlegen kann,
– und eine gesetzliche Norm zur Auskunft verpflichtet,
– die Identität des Anfragenden oder der anfragenden Stelle zweifelsfrei feststeht
oder
– Ihre schriftliche Einwilligung vorliegt.
Beschwerden an den Datenschutzbeauftragten
Sie haben das Recht, sich über eine Verarbeitung Ihrer Daten oder der Daten Ihrer Kinder zu beschweren, sollten Sie sich hierdurch in Ihren Rechten verletzt fühlen.
Die zuständige Stelle für Ihre Beschwerde ist der Datenschutzbeauftragte als externe unabhängige und weisungsfreie Instanz.
Wenn Sie Fragen oder Bedenken in Bezug auf diese Datenschutzerklärung haben, wenden Sie sich zuerst bitte per E-Mail an den Datenschutzbeauftragten (siehe oben) oder schreiben oder mailen Sie an die OAP oder OAP Institutsambulanz.
OAP Ausbildungsinstitut und OAP Institutsambulanz:
Okenstraße 22, 77652 Offenburg
Telefon: 0781-99029440
Fax: 0781-9267917
E-Mail: oap@posteo.de
Internet: www.oap-og.de