Datenschutz – Sanakey

Datenschutzbestimmungen des Sanakey-Portal Cloud der Sanakey Contract GmbH

Stand: 01.06.2019

Diese Datenschutzbestimmungen regeln die datenschutzkonforme Informationsverarbeitung und die entsprechenden Verantwortlichkeiten bei der Sanakey Contract GmbH, c/o Sanakey GmbH, Robert-Koch-Platz 9, 10115 Berlin (SCO) bei der Nutzung der Sanakey-Portal Cloud. Die EU-Datenschutz-Grundverordnung (DS-GVO) enthält in Art. 5 Abs. 2 das Prinzip der Rechenschaftspflicht. Demnach muss jede verantwortliche Stelle nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt. Dieses muss die verantwortliche Stelle auch regelmäßig kontrollieren und ggf. weiterentwickeln.
Die SCO nimmt den Schutz persönlicher Daten sehr ernst. Wir behandeln personenbezogene Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzbestimmungen. Daten werden bei uns nach den Grundsätzen der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz verarbeitet. Alle Mitarbeiter welche die SCO einsetzt, sind zur Einhaltung dieser Richtlinien verpflichtet.

personenbezogene Daten:
Einzelangaben über persönliche oder sachliche Verhältnisse einer natürlichen Person (Betroffener). Beispiele: Name, Vorname, Geburtstag, Adressdaten, Bestelldaten, E-Mail-Inhalte.
besondere personenbezogener Daten:
Angaben über rassische, ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
verantwortliche Stelle:
ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

Die SCO hat nach Maßgabe der Art. 37 ff. DS-GVO einen betrieblichen Datenschutzbeauftragten bestellt: Es handelt sich um: Herrn Felix M. Recke, Dipl.-Jur., Sanakey Contract GmbH, c/o Sanakey GmbH, Robert-och-Platz 9, 10115 Berlin, E-Mail: datenschutz[at]sanakey[Punkt]de.
Es erfolgte eine Meldung des betrieblichen Datenschutzbeauftragten gegenüber dem zuständigen Datenschutzbeauftragten des Landes Berlin. Der betriebliche Datenschutzbeauftragte nimmt die ihm kraft Gesetzes zugewiesenen Aufgaben bei weisungsfreier Anwendung seiner Fachkunde wahr. Für Meldungen, Auskünfte etc. gegenüber den Datenschutzaufsichtsbehörden ist allein der betriebliche Datenschutzbeauftragte zuständig. Die Fachabteilungen stellen die hierfür erforderlichen Informationen, Unterlagen etc. zur Verfügung. Gleiches gilt für Anfragen, Beschwerden oder Auskunftsersuchen. Für die Einhaltung der Regelungen zur Sicherheit der informationstechnischen Systeme ist der folgende Ansprechpartner zuständig: Herr Sebastian Dieke, Geschäftsleitung / Prokurist – Abrechnungs- und Vertragsmanagement, Sanakey Contract GmbH, c/o Sanakey GmbH, Robert-Koch-Platz 9, 10115 Berlin, E-Mail: info[at]sanakey[Punkt]de.

Jeder Person wird bei Aufnahme ihrer Tätigkeit für die SCO schriftlich auf das Datengeheimnis und die Einhaltung dieser Bestimmungen verpflichtet. Wir verpflichten uns zudem zur kontinuierlichen Verbesserung unseres Datenschutzmanagementsystems. Hierfür halten wir regelmäßig Schulungen zum Thema Datenschutz ab und sensibilisieren für das Thema. Zugriff oder Einsicht auf Inhalte von Nutzern haben Mitarbeiter grundsätzlich nicht. Lediglich im Rahmen der zweckgebundenen Leistungserbringung können Mitarbeiter die Inhalte der Nutzer einsehen.

Die SCO führt ein internes Verzeichnis seiner Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO. Dieses ist auf Anfrage bei den Aufsichtsbehörden zur Verfügung zu stellen. Datenschutz-Aufsichtsbehörde gegenüber der SCO i.S.d. Art. 51 DS-GVO i.V.m. § 40 DsAnpUG-EU ist die: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, E-Mail: mailbox[at]datenschutz-berlin[Punkt]de.

Die SCO verpflichtet sich, die Bestimmungen über den Schutz personenbezogener Daten nach der DS-GVO einzuhalten, insbesondere personenbezogene Daten nur zur Erfüllung der sich aus der Nutzung der Sanakey-Portal Cloud ergebenen Aufgaben zu erheben, verarbeiten und zu nutzen. Wir verpflichten uns auf die Prinzipien der Datensparsamkeit und Datenvermeidbarkeit. Allgemein ist eine Datenverarbeitung erlaubt, wenn eine gesetzliche Grundlage vorliegt oder der Betroffene eingewilligt hat (Rechtmäßigkeitsprinzip).

Zu den wichtigsten Grundsätzen der Datenverarbeitung gehören die Verarbeitung für festgelegte und eindeutige Zwecke (Zweckbindung), die Beschränkung der Datenverarbeitung auf das notwendige Maß (Erforderlichkeit, Datenminimierung und Speicherbegrenzung) und die Transparenz. Ferner sind die Prinzipien der Richtigkeit sowie der Integrität und Vertraulichkeit der Verarbeitung zu nennen. Diesen Grundsätzen sehen wir uns im Umgang mit Ihren Daten verpflichtet. Die SCO trifft umfangreiche technische und betriebliche Sicherheitsvorkehrungen, um Daten vor unberechtigten Zugriffen oder Missbrauch zu schützen. Unsere Sicherheitsverfahren werden regelmäßig überprüft und dem technologischen Fortschritt angepasst und orientieren sich an den Grundwerten der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit). Hierzu zählt, dass die durch die SCO verwendeten Server ausschließlich in Deutschland betrieben und die Daten in Deutschland verarbeitet werden. Die Verpflichtung zur Einhaltung des Daten- und Sozialgeheimnisses und der Schweigepflicht bleibt auch nach Ende der Vertragsverhältnisse mit der SCO bestehen.

Die SCO unterstützt mit den Sanakey-Produkten verschiedene Akteure im Gesundheitswesen bei einer innovativen und modernen Versorgung. Hierzu wurden das Sanakey-Portal und die Sanakey-Portal Cloud entwickelt, in dem verschiedene Dienstleistungen verschiedenen Benutzergruppen angeboten werden. Die SCO stellt ihren Vertragspartnern (Versorgungsgesellschaften der Berufsverbände, Berufsverbänden) in der Sanakey-Portal Cloud zum einen Daten über die von ihnen mit den Leistungserbringern geschlossenen Verträge zur Verfügung. Hierzu erhalten die Vertragspartner einen eigenen verschlüsselten Zugang zur Sanakey-Portal Cloud. Die Vertragspartner verpflichten sich zur Einhaltung der in diesen Datenschutzbestimmungen und in den Nutzungsbedingungen der Sanakey-Portal Cloud niedergelegten datenschutzrechtlichen Grundsätzen. Die Sanakey-Portal Cloud ermöglicht es zum anderen den Vertragspartnern auf dem geschützten Speicherplatz Dateien zu speichern, zu nutzen und ggf. anderen Nutzern zur Verfügung zu stellen.
Wenn Sie unsere Dienste verwenden, stellen wir Ihnen und Sie uns Dateien und Inhalte bereit. Diese von Ihnen in die Sanakey-Portal Cloud hochgeladenen Dateien gehören Ihnen. Weder die Nutzungsbedingungen noch diese Datenschutzbestimmungen gewähren uns ein Recht an Ihren Dateien, abgesehen von den begrenzten Rechten, die uns in die Lage versetzen, Ihnen die Dienste anzubieten. Personenbezogene Daten, die bei uns zur Bereitstellung der Sanakey-Portal Cloud benötigt werden sind: Name, Position, Institution, Anschrift der Institution, E-Mail-Adresse. Unsere Dienste bieten Ihnen auch Funktionen wie Voransicht von Dokumenten, Kommentieren, leichtes Sortieren, Bearbeiten, Freigeben und Suchen. Damit diese und andere Funktionen ausgeführt werden können, müssen unsere Systeme eventuell auf Ihre Dateien zugreifen und sie speichern und scannen. Sie erteilen uns die Genehmigung, diese Aktionen auszuführen, und diese Genehmigung erstreckt sich auch auf unsere Tochtergesellschaften und die Drittanbieter, mit denen wir zusammenarbeiten.
Bei Dateien die wir Ihnen im Rahmen der Sanakey-Portal Cloud zur Verfügung stellen, verbleiben sämtliche Rechte bei der SCO. Weitere Bestimmungen zur Nutzung dieser von uns bereitgestellen Dateien ergeben sich aus den Nutzungsbedingungen der Sanakey-Portal Cloud.
Im Rahmen der Sanakey-Portal Cloud erhalten Sie die Möglichkeit mit anderen Nutzern der Sanakey-Portal Cloud in Kontakt zu treten. Hierfür wird standardmäßig Ihr sog. Avatar (Grafikfigur oder persönliches Bild, welches den Nutzer in der Sanakey-Portal Cloud zugeordnet wird) den anderen Nutzern gemeinsam mit Ihrer in der Sanakey-Portal Cloud hinterlegten E-Mail-Adresse angezeigt. Die Möglichkeit der Kontaktaufnahme kann von Ihnen in den Einstellungen der Sanakey-Portal Cloud jederzeit deaktiviert werden.

Cookies. Um unsere Leistung stetig optimieren zu können, setzt die SCO sogenannte Cookies ein. Cookies sind Dateien, die die Webseiten, die Nutzer besuchen, auf dem Computer zur Identifizierung übertragen und die später der Erleichterung der Navigation dienen. Dadurch müssen nicht bei jeder Nutzung alle erforderlichen Daten neu eingegeben werden. Es ist somit möglich, die Webseiten genau auf die Bedürfnisse der Nutzer abzustimmen.
Die Rechtsgrundlage für den Einsatz von Cookies ist § 15 Abs.3 TMG bzw. Art. 6 Abs. 1 lit. f DS-GVO. Sitzungen werden nach Ablauf einer bestimmten Zeitspanne beendet. Standardmäßig werden Sitzungen nach 30 Minuten beendet. Wenn Sie mit der Speicherung und Auswertung Ihrer Daten aus Ihrem Besuch nicht einverstanden sind, dann können Sie der Speicherung und Nutzung nachfolgend per Mausklick jederzeit widersprechen. In diesem Fall wird in Ihrem Browser ein sog. Opt-Out-Cookie abgelegt, was zur Folge hat, dass wir keinerlei Sitzungsdaten erheben. Achtung: Wenn Sie Ihre Cookies löschen, so hat dies zur Folge, dass auch das Opt-Out-Cookie gelöscht wird und ggf. von Ihnen erneut aktiviert werden muss.

Art. 15 DS-GVO fordert von verantwortlichen Stellen, dass diese Auskunft gegenüber Betroffenen erteilen können, welche Daten sie über diese verarbeiten und wer auf diese Daten Zugriff hat. Anfragen auf Auskunft beantwortet der betriebliche Datenschutzbeauftragte mit Hilfe der zuständigen Fachabteilungen der SCO. Die Auskunftserteilung an die betroffene Person kann nach Art. 12 Abs. 1 Sätze 2 und 3 DS-GVO je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch der betroffenen Person – mündlich erfolgen. Der Verantwortliche stellt eine Kopie der Daten zur Verfügung (Art. 15 Abs. 3 Satz 1 DS-GVO). Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft nach Art. 15 Abs. 3 Satz 2 DS-GVO in einem gängigen elektronischen Format zur Verfügung zu stellen. Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DS-GVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats; außer in begründeten Einzelfällen. Inhaltlich kann die betroffene Person von der SCO eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Auch eine Negativauskunft ist erforderlich, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet oder personenbezogene Daten unumkehrbar anonymisiert hat. Zum anderen kann die betroffene Person ganz konkret Auskunft darüber verlangen, welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden (z. B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, medizinische Befunde). Weiterhin sind bei der Datenauskunft vom Verantwortlichen nach Art. 15 Abs. 1 DS-GVO vor allem noch folgende Informationen mitzuteilen: Verarbeitungszwecke, Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.), Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden, geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer, Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO, Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde, Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.
Betroffenen Personen stehen weitere umfangreiche Rechte zu, die der Verantwortliche zu beachten hat (z.B. Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen nach Art. 13 und Art. 14 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO, das Recht auf Datenübertragbarkeit nach Art. 20 DS GVO und das Widerspruchsrecht nach Art. 21 DS-GVO.

Datenschutzbestimmungen des Sanakey-Portals der Sanakey Contract GmbH

Stand: Januar 2022

Diese Datenschutzbestimmungen regeln die datenschutzkonforme Verarbeitung Ihrer personenbezogenen Daten und die entsprechenden Verantwortlichkeiten bei der Sanakey Contract GmbH, c/o Sanakey GmbH, Robert-Koch-Platz 9, 10115 Berlin (nachfolgend SCO) bei der Nutzung des Sanakey-Portals.

2.1. personenbezogene Daten:
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Beispiele: Name, Vorname, Geburtstag, Adressdaten, Bestelldaten, E-Mail-Inhalte.
2.2. Besondere Kategorie personenbezogener Daten:
Unter die besondere Kategorie personenbezogener Daten fallen Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer betroffenen Person.
2.3. Gesundheitsdaten:
Gesundheitsdaten gehören zur besonderen Kategorie personenbezogener Daten und werden daher besonders geschützt. Es handelt sich um Informationen über die betroffene Person, die sich auf die körperliche oder geistige Gesundheit der betroffenen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
2.4. Verarbeitung:
Unter Verarbeitung personenbezogener Daten wird jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung verstanden.
2.5. Verantwortlicher:
Verantwortlicher für die Verarbeitung personenbezogener Daten ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wer ist verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten?

Verantwortlich für die Datenverarbeitung im Rahmen der Nutzung des Sanakey-Portals ist SCO – Sanakey Contract GmbH, c/o Sanakey GmbH, Robert-Koch-Platz 9, 10115 Berlin.

Wer verarbeitet Ihre personenbezogenen Daten im Auftrag des Verantwortlichen?

Die Verarbeitung der personenbezogenen Daten im Rahmen der Nutzung des Sanakey-Portals erfolgt im Auftrag der SCO durch die Sanakey Systems GmbH, Robert-Koch-Platz 9, 10115 Berlin. Für die Serverbetreuung sind folgende technische Dienstleister zuständig: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur und Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen.

Wer ist für Ihre Fragen und Auskünfte zur Verarbeitung Ihrer personenbezogenen Daten zuständig?

5.1. Im Rahmen der Nutzung des Sanakey-Portals hat die SCO als Verantwortliche für die Datenverarbeitung nach Maßgabe der Artikel 37 ff. DS-GVO einen betrieblichen Datenschutzbeauftragten bestellt. Es handelt sich um: Herrn Recke-Friedrich, Sanakey Contract GmbH, c/o Sanakey GmbH, Robert-Koch-Platz 9, 10115 Berlin, E-Mail: datenschutz@sanakey.de.
5.2. Für die Einhaltung der Regelungen zur Sicherheit der informationstechnischen Systeme ist der folgende Ansprechpartner zuständig: Herr Sebastian Dieke, Geschäftsleitung / Prokurist – Abrechnungs- und Vertragsmanagement, Sanakey Contract GmbH, c/o Sanakey GmbH, Robert-Koch-Platz 9, 10115 Berlin, E-Mail: info@sanakey.de.

Wie gehen Mitarbeiter bei uns mit Ihren Daten um?

Jede Person wird bei Aufnahme ihrer Tätigkeit schriftlich auf das Datengeheimnis und die Einhaltung dieser Bestimmungen verpflichtet. Wir verpflichten uns zudem zur kontinuierlichen Verbesserung unseres Datenschutzmanagementsystems. Hierfür halten wir regelmäßig Schulungen zum Thema Datenschutz ab und sensibilisieren für das Thema. Zugriff oder Einsicht auf Inhalte von Nutzern haben Mitarbeiter grundsätzlich nicht. Lediglich im Rahmen der zweckgebundenen Leistungserbringung können Mitarbeiter die Inhalte der Nutzer einsehen.

Wer überwacht unsere Arbeit?

Wir führen ein internes Verzeichnis unserer Datenverarbeitungstätigkeiten gemäß Art. 30 DS-GVO. Dieses ist auf Anfrage bei der Aufsichtsbehörde zur Verfügung zu stellen. Datenschutz-Aufsichtsbehörde gegenüber der SCO i.S.d. Art. 51 DS-GVO i.V.m. § 40 DsAnpUG-EU ist die: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, E-Mail: mailbox@datenschutz-berlin.de.

Nach welchen Datenschutzgrundsätzen arbeiten wir?

Die SCO verpflichtet sich, die Bestimmungen über den Schutz der Sozialdaten und zum Schutz personenbezogener Daten nach der DS-GVO und dem Bundesdatenschutzgesetz (BDSG) einzuhalten, insbesondere personenbezogene Daten nur zur Erfüllung der sich aus der Nutzung des Sanakey-Portals und mit dem Nutzer vertraglich vereinbarten Aufgaben zu erheben, verarbeiten und zu nutzen. Wir verpflichten uns auf die Prinzipien der Datensparsamkeit und Datenvermeidbarkeit. Allgemein ist eine Datenverarbeitung erlaubt, wenn eine gesetzliche Grundlage vorliegt oder der Betroffene eingewilligt hat (Rechtmäßigkeitsprinzip).

Zu den wichtigsten Grundsätzen der Datenverarbeitung gehören die Verarbeitung für festgelegte und eindeutige Zwecke (Zweckbindung), die Beschränkung der Datenverarbeitung auf das notwendige Maß (Erforderlichkeit, Datenminimierung und Speicherbegrenzung) und die Transparenz. Ferner sind die Prinzipien der Richtigkeit sowie der Integrität und Vertraulichkeit der Verarbeitung zu nennen. Diesen Grundsätzen sehen wir uns im Umgang mit Ihren Daten verpflichtet. Die SCO trifft umfangreiche technische und betriebliche Sicherheitsvorkehrungen, um Daten vor unberechtigten Zugriffen oder Missbrauch zu schützen. Unsere Sicherheitsverfahren werden regelmäßig überprüft und dem technologischen Fortschritt angepasst und orientieren sich an den Grundwerten der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit). Hierzu zählt, dass die verwendeten Server ausschließlich in zertifizierten deutschen Rechenzentren betrieben und die Daten in Deutschland verarbeitet werden. Die Verpflichtung zur Einhaltung des Daten- und Sozialgeheimnisses und der Schweigepflicht bleibt auch nach Ende der Vertragsverhältnisse mit uns weiter bestehen.

Warum erheben wir Daten und welche Daten erheben wir?

9.1. Die SCO unterstützt mit ihren digitalen Anwendungen unter anderem verschiedene Akteure im Gesundheitswesen bei einer innovativen und modernen Versorgung. Hierzu wurde das Sanakey-Portal entwickelt, in dem verschiedene Dienstleistungen verschiedenen Benutzergruppen (Ärzten, Medizinischen Versorgungszentren, Krankenhäusern – nachfolgend Leistungserbringer genannt -, Krankenkassen, Patienten und anderen Vertragspartner) angeboten werden.
9.2. Selbst-Registrierungsprozess
- 9.2.1. Gemäß den Nutzungsbedingungen des Sanakey-Portals ist grundsätzlich zur Nutzung eine Registrierung erforderlich, abrufbar unter: www.sanakey-portal.de. Um den Registrierungsvorgang erfolgreich abzuschließen und den Leistungserbringern individuell auf sie angepasste Dienste im Rahmen des Sanakey-Portals anzubieten, ist es in der Regel notwendig folgende personenbezogene Angaben bei der Registrierung in das dafür vorgesehene Feld einzugeben: Benutzergruppe, Vorname, Nachname, ggf. Name der Einrichtung/Institution, Anrede, Titel, Adresse, Telefon-, Fax-, Mobilnummer, E-Mail-Adresse; bei der Benutzergruppe Leistungserbringer zusätzlich erforderlich: LANR, BSNR, Mitgliedschaft in Berufsverbänden, Mitgliedsnummer im Berufsverband. Die Leistungserbringer stimmen mit Ihrer Registrierung zu, dass die SCO mit Hilfe der Berufsverbände das Bestehen der vom Nutzer im Registrierungsprozess noch anzugebenen Mitgliedschaften überprüfen darf und, dass bei Nicht-Mitgliedschaft der für den Fachbereich des Leistungserbringers zuständige Berufsverband, Kontakt mit den Leistungserbringern aufnehmen darf. Der Zugang zum Sanakey-Portal ist durch ein individuell durch den Nutzer zu vergebendes Passwort und eine Zwei-Faktor-Authentifizierung gesichert. Zum Schutz der sensiblen Daten muss das individuelle Passwort bestimmte Voraussetzungen erfüllen: es muss mindestens 8 Zeichen, eine Ziffer, einen Großbuchstaben, einen Kleinbuchstaben und ein Sonderzeichen enthalten. Weiter darf das individuelle Passwort nicht dem bereits zuvor bestimmten Benutzernamen (der E-Mail-Adresse) entsprechen, es darf nicht der Name bzw. der Vorname, die LANR bzw. BSNR oder ein gebräuchliches Wort (z.B. Sommer, Haus, Passwort, etc.) verwendet werden. Für den Zugang zum Sanakey-Portal ist eine Zwei-Faktor-Authentifizierung des Nutzers mittels der Google-Authenticator App notwendig. Durch die Bestätigung in zwei Schritten wird die Sicherheit des Zugangs erhöht. Neben dem individuell festzulegenden Passwort benötigen Sie einen Code, der von der Google-Authenticator App auf dem Smartphone generiert wird. Um für ausreichend Datensicherheit bei der Übermittlung von Formularen zu gewährleisten, verwenden wir in bestimmten Fällen auch den Service reCAPTCHA des Unternehmens Google. Dies dient vor allem zur Unterscheidung, ob die Eingabe durch eine natürliche Person erfolgt oder missbräuchlich durch maschinelle und automatisierte Verarbeitung. Der Service inkludiert den Versand der IP-Adresse und ggf. weiterer von Google für den Dienst reCAPTCHA benötigter Daten an Google ein. Für die Google-Authenticator App und den reCAPTCHA Service gelten die abweichenden Datenschutzbestimmungen von Google. Weitere Informationen zu den Datenschutzrichtlinien von Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA finden Sie unter https://www.google.com/intl/de/policies/privacy/.
- 9.2.2.
  Abweichend vom Selbst-Registrierungsprozess werden Vertragspartner, siehe auch 9.3.3, die das Sanakey-Portal nutzen, erstmalig von der SCO aufgrund eines bestehenden Vertragsverhältnisses im Sanakey-Portal registriert. Hierzu werden vom Vertragspartner folgende personenbezogene Daten im Sanakey-Portal hinterlegt: Name der Gesellschaft/der Institution; Name, Anrede, Titel des Geschäftsführers/des Vertreters; Anschrift der Gesellschaft/Institution; E-Mail-Adresse; Telefonnummer; Bankdaten (Name des Kontoinhabers, IBAN, BIC); USt-ID; Steuernummer. Unsere Dienste, insbesondere die Sanakey-Portal Cloud, welche für die Vertragspartner zur Nutzung bereitgestellt wird, siehe auch 9.3.3, bieten Ihnen auch Funktionen wie Voransicht von Dokumenten, Kommentieren, leichtes Sortieren, Bearbeiten, Freigeben und Suchen. Damit diese und andere Funktionen ausgeführt werden können, müssen unsere Systeme eventuell auf die Dateien des Nutzers zugreifen und sie speichern und scannen. Die Vertragspartner erteilen uns die Genehmigung, diese Aktionen auszuführen, und diese Genehmigung erstreckt sich auch auf unsere Tochtergesellschaften und die Drittanbieter, mit denen wir zusammenarbeiten.
9.3. Angebote im Sanakey-Portal
Gemäß den Nutzungsbedingungen des Sanakey-Portals werden den Nutzern nach Abschluss des Registrierungsprozesses auf ihre Benutzergruppe spezifisch abgestimmte Angebote unterbreitet. Diese Angebote spiegeln die Vielfalt der Nutzungsmöglichkeiten des Sanakey-Portals wider.
9.3.1. Leistungserbringer (Ärzte, Medizinische Versorgungszentren, Krankenhäuser)Leistungserbringer erhalten im Sanakey-Portal die Möglichkeit, verschiedene Verträge online abzuschließen. Dazu zählen Verträge im Bereich der besonderen Versorgung gem. § 140a SGB V. Zur Einschreibung eines Leistungserbringers in einen Vertrag der besonderen Versorgung bietet das Sanakey-Portal dem Leistungserbringer den Vertragsschluss mit den unterschiedlichen Vertragspartnern aus einer Hand an. Im Anschluss und nach Abschluss einer Abrechnungsvereinbarung mit der SCO, können Leistungserbringer die Leistungen im Rahmen von Versorgungsverträgen im Sanakey-Portal vollends digital mit den Kostenträgern abrechnen.
Weiter besteht für Leistungserbringer die Möglichkeit, Beratungsverträge im Bereich der ambulant spezialfachärztlichen Versorgung (ASV) gem. § 116b SGB V mit der SCO zu schließen. Die SCO berät als Dienstleister Fachärzte in der ASV bei der Organisation und Durchführung deren eigenständiger Abrechnung von ASV Leistungen gegenüber gesetzlichen Krankenkassen. Für die Abrechnung von ASV-Leistungen stellen wir die technischen Möglichkeiten, zur Erstellung und eigenständigen Übersendung eines ASV-Datensatzes zur Verarbeitung durch die Krankenkassen zur Verfügung.Für den Abschluss der Verträge im Bereich der besonderen Versorgung als auch im Bereich der ASV werden zusätzliche personenbezogene und besondere personenbezogene Daten erhoben. Der Umfang und die genaue Zweckbestimmung der Datenerhebung ergeben sich aus den zu schließenden Verträgen nach der Registrierung im Sanakey-Portal. Vor Abschluss der jeweiligen Verträge im Sanakey-Portal werden keine weiteren als die in 9.2. und 9.4. genannten Daten (Registrierungsprozess) erhoben.
9.3.2. Krankenkassen
Damit die SCO die Abrechnung im Rahmen der Verträge in der besonderen Versorgung gegenüber den Krankenkassen für die Leistungserbringer durchführen kann, erhalten die Krankenkassen einen eigenen verschlüsselten Zugang zum Sanakey-Portal. Dieser ermöglicht den Austausch von vertraglich bestimmten, zweckgebundenen Abrechnungsdaten. Die rechtliche Grundlage für den Datenaustausch stellt die mit den Leistungserbringern unter 9.3.1. geschlossene Abrechnungsvereinbarung und der Vertrag der besonderen Versorgung gem. §140 a SGB V dar. Es werden den Krankenkassen nur Daten zur Verfügung gestellt, die dem Zwecke der Abrechnung der Leistungen dienen. Die Krankenkassen verpflichten sich zur Einhaltung der in diesen Datenschutzbestimmungen und in den Nutzungsbedingungen des Sanakey-Portals niedergelegten datenschutzrechtlichen Grundsätzen.
9.3.3. Vertragspartner
Die SCO stellt ihren Vertragspartnern Daten über die von ihnen mit den Leistungserbringern geschlossenen Verträge zur Verfügung. Hierzu erhalten die Vertragspartner einen eigenen verschlüsselten Zugang zum Sanakey-Portal. Dies dient zum einen der unter 9.2. erforderlichen Überprüfung der Mitgliedschaft der Leistungserbringer in einem Berufsverband und zum anderen der im Rahmen des Wirtschaftlichkeitsgebots erforderlichen Auswertung der bestehenden Verträge im Rahmen der besonderen Versorgung. Weiter sind für bestimmte im Sanakey-Portal zu schließende Verträge fachliche Qualifikationen von Leistungserbringern erforderlich. Den Vertragspartnern wird hier im Sanakey-Portal ermöglicht, die von den Leistungserbringern zur Verfügung gestellten Qualifikationsnachweise, fachlich und inhaltlich zu prüfen. Die Vertragspartner erhalten im Sanakey-Portal zudem statistische Auswertungen zur Abrechnung der vertraglichen Leistungen mit den ärztlichen Leistungserbringern. Dazu zählen u.a. Name und Anzahl der mit ihnen vertraglich verbundenen Krankenkassen, Name und Anzahl der vertraglich mit ihnen verbundenen ärztlichen Leistungserbringern, Abrechnungsvolumina, buchhalterische Darstellung des anteiligen Entgelts der Vertragspartner pro Abrechnungsquartal und Abrechnungsjahr. Informationen und Auswertung von Daten beteiligter Dritter, beispielsweise personenbezogener Daten von Patienten, erhalten die Vertragsparteien grundsätzlich nicht. Wenn die SCO ihren Vertragspartnern statistische Auswertungen zur Teilnahme von Patienten an den Verträgen mit Leistungserbringern zur Verfügung stellt, sind diese anonymisiert und dem einzelnen Patienten nicht zuzuordnen.Die rechtliche Grundlage für die Bereitstellung der Daten stellt der mit den Leistungserbringern unter 9.3.1. geschlossene Vertrag mit dem Vertragspartner und die Abrechnungsvereinbarung mit der SCO dar. Es werden den Vertragspartnern nur Daten zur Verfügung gestellt, die dem Zwecke der Vertragserfüllung im Rahmen der mit den Leistungserbringern geschlossenen Verträgen dienen und welche zur statistischen Auswertung der Wirtschaftlichkeit erforderlich sind. Die Vertragspartner verpflichten sich zur Einhaltung der in diesen Datenschutzbestimmungen und in den Nutzungsbedingungen des Sanakey-Portals niedergelegten datenschutzrechtlichen Grundsätzen.Die SCO stellt ihren Vertragspartnern im Sanakey Portal neben den Daten über die von ihnen mit den Leistungserbringern geschlossenen Verträgen, auch eine digitale IT-Infrastruktur zum Austausch und zur Ablage von gemeinsamen Daten bereit, die Sanakey-Portal Cloud. Die Sanakey-Portal Cloud ermöglicht es innerhalb des Sanakey-Portals den Vertragspartnern auf dem geschützten Speicherplatz Dateien zu speichern, zu nutzen und ggf. anderen Nutzern zur Verfügung zu stellen. Wenn Sie unsere Dienste verwenden, stellen wir Ihnen und Sie uns Dateien und Inhalte bereit. Diese von Ihnen in die Sanakey-Portal Cloud hochgeladenen Dateien gehören Ihnen. Weder die Nutzungsbedingungen noch diese Datenschutzbestimmungen gewähren uns ein Recht an Ihren Dateien, abgesehen von den begrenzten Rechten, die uns in die Lage versetzen, Ihnen die Dienste anzubieten. Personenbezogene Daten, die bei uns zur Bereitstellung der Sanakey-Portal Cloud benötigt werden, sind: Name, Position, Institution, Anschrift der Institution, E-Mail-Adresse. Unsere Dienste bieten Ihnen auch Funktionen wie Voransicht von Dokumenten, Kommentieren, leichtes Sortieren, Bearbeiten, Freigeben und Suchen. Damit diese und andere Funktionen ausgeführt werden können, müssen unsere Systeme eventuell auf Ihre Dateien zugreifen und sie speichern und scannen. Sie erteilen uns die Genehmigung, diese Aktionen auszuführen, und diese Genehmigung erstreckt sich auch auf unsere Tochtergesellschaften und die Drittanbieter, mit denen wir zusammenarbeiten. Bei Dateien, die wir Ihnen im Rahmen der Sanakey-Portal Cloud zur Verfügung stellen, verbleiben sämtliche Rechte bei der SCO. Weitere Bestimmungen zur Nutzung dieser von uns bereitgestellten Dateien ergeben sich aus den Nutzungsbedingungen des Sanakey-Portals. Im Rahmen der Sanakey-Portal Cloud erhalten Sie die Möglichkeit mit anderen Nutzern der Sanakey-Portal Cloud in Kontakt zu treten. Hierfür wird standardmäßig Ihr sog. Avatar (Grafikfigur oder persönliches Bild, welches den Nutzer in der Sanakey-Portal Cloud zugeordnet wird) den anderen Nutzern gemeinsam mit Ihrer in der Sanakey-Portal Cloud hinterlegten E-Mail-Adresse angezeigt. Die Möglichkeit der Kontaktaufnahme kann von Ihnen in den Einstellungen der Sanakey-Portal Cloud jederzeit deaktiviert werden.

9.3.4. Patienten
Die SCO ermöglicht auch Patienten den Zugang zum Sanakey-Portal. Ärztliche Informationen, Transparenz und die Teilnahme an innovativer ärztlicher Versorgung geben hier auf einen Blick die Möglichkeit, von den Vorteilen ärztlicher Innovation zu profitieren. Die Patienten verpflichten sich zur Einhaltung der in diesen Datenschutzbestimmungen und in den Nutzungsbedingungen des Sanakey-Portals niedergelegten datenschutzrechtlichen Grundsätzen.Digitale PatienteneinschreibungPatienten erhalten insbesondere dann Zugang zum Sanakey-Portal, wenn der sie behandelnde Arzt eine im Sanakey-Portal angebotene Dienstleistung nutzt, vgl. 9.3.1, und der Patient hierfür digital in die Versorgungsvertrag eingeschrieben werden soll. Die SCO ermöglicht in wenigen Schritten papierlos die Teilnahmeerklärung eines Patienten rechtssicher mit Hilfe des Sanakey-Portals einzuholen. Dazu zählt v.a. die Teilnahmeerklärung i.S.d. § 140 a Abs. 4 S. 1 SGB V, die für Verträge im Bereich der besonderen Versorgung Voraussetzung sind. Hierfür ist es erforderlich, dass der Patient zur eineindeutigen Identifizierung einen Verifizierungsprozess im Sanakey-Portal durchläuft: Nach der Erfassung der Patientendaten im Sanakey-Portal durch den behandelnden Arzt erhält der Patient eine E-Mail mit einem Link zum Sanakey-Portal. In dieser initialen E-Mail wird dem Patienten mitgeteilt, wer die SCO ist und weshalb er diese E-Mail erhält. Außerdem erhält er eine SMS mit einem PIN an seine vom Arzt erfasste Handynummer. Diesen PIN muss er im Sanakey-Portal eintippen, um die Identifizierung abzuschließen. Der Link in der initialen E-Mail ist drei Tage gültig, wird er nicht innerhalb der Frist geklickt bzw. die Einschreibung aktiviert, wird der Link ungültig. Alle vom Arzt erfassten Patienten-Daten werden dann unwiederbringlich gelöscht. Der einschreibende Arzt und der Patient werden vor Ablauf der Frist per E-Mail und/oder SMS an die ausstehende Aktivierung der Einschreibung erinnert.Nach Eingabe der PIN werden dem Patienten die Teilnahmebedingungen der besonderen Versorgung, die Datenschutzbestimmungen sowie die Daten des einschreibenden Arztes und die durch den Arzt erfassten Patientendaten angezeigt. Diese muss der Patient aktiv durch das Setzen von Häkchen bestätigen („Opt-in“). Der Patient bestätigt die Einschreibung durch den Klick auf einen Button „Jetzt in den Vertrag einschreiben“. Anschließend kann der Patient seine personalisierte Teilnahmeerklärung als PDF herunterladen und erhält eine Bestätigungs-E-Mail. In dieser Bestätigungs-E-Mail erhält er zudem die Möglichkeit, den Vertrag online innerhalb von zwei Wochen zu widerrufen. Dazu muss der Patient innerhalb der zwei Wochen durch Bestätigung des Buttons „Jetzt widerrufen“ oder in Textform oder zur Niederschrift bei seiner Krankenkasse die Teilnahme widerrufen. Zur Fristwahrung genügt die rechtzeitige Bestätigung des Buttons „Jetzt widerrufen“ oder die rechtzeitige Absendung der Widerrufserklärung an die Krankenkasse. Die Widerrufsfrist von zwei Wochen beginnt mit Belehrung über das Widerrufsrecht, frühestens jedoch mit Bestätigung der Teilnahme durch Klick auf den Button „Jetzt in den Vertrag einschreiben“.VersorgungsforschungUm die Erfüllung des besonderen Versorgungsangebotes durch die Leistungserbringer zu prüfen, behalten sich die Vertragsparteien die Möglichkeit der Einsicht in die anonymisierten Abrechnungsdaten zum Zweck der Versorgungsforschung vor. Die wissenschaftliche und statistische Auswertung dieses Vertrages zur besonderen Versorgung erfolgt ausschließlich mit anonymisierten Daten, die einen Rückschluss auf die betroffenen Versicherten (Patienten) nicht zulassen. Die Grundsätze des Datenschutzes gemäß der DS-GVO gelten für diese anonymen Informationen, insbesondere für statistische oder für Forschungszwecke nicht, da sie sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten enthalten, die in einer Weise anonymisiert worden sind, dass die betroffenen Personen identifiziert werden können.Nachfolgende Übersicht listet die im Rahmen des Registrierungsprozesses im Sanakey-Portal erhobenen personenbezogenen Daten auf und erläutert den Zweck der Datenerhebung:Welche Daten werden im Registrierungsprozess verarbeitet und warum?

Eingabefeld	Erläuterungen	Pflicht (x) / optional (o)	Grund der Abfrage (Zweckbestimmung)
Benutzergruppe	Hier wählt der Nutzer seine entsprechende Benutzergruppe aus (Ärzte, Medizinische Versorgungszentren, Krankenhäuser – nachfolgend Leistungserbringer genannt -, Krankenkassen, Patienten und Vertragspartner)	x	Je nach Benutzergruppe werden im Portal dann individuelle Inhalte angezeigt und Angebote unterbreitet.
Name der Gesellschaft/ der Institution (Benutzergruppe Vertragspartner)		x	Identifikation des Nutzers
Vorname		x	Identifikation des Nutzers
Nachname		x	Identifikation des Nutzers
Anrede		o	Möglichkeit zur personalisierten Ansprache in Nachrichten, Mitteilungen und Belegen
Titel		o	Möglichkeit zur personalisierten Ansprache in Nachrichten, Mitteilungen und Belegen
Adresse		x	Identifikation des Nutzers
Telefonnummer Faxnummer		x	Möglichkeit zur Kontaktaufnahme
Mobilnummer		x	Benutzergruppe Leistungserbringer: Möglichkeit zur Kontaktaufnahme Benutzergruppe Patienten Identifikation des Nutzers mittels SMS-PIN
Bankdaten (Name des Kontoinhabers, IBAN, BIC) (Benutzergruppe Vertragspartner)		x	Zur Abwicklung des Zahlungsverkehrs und zur Abrechnung.
LANR (Benutzergruppe Leistungserbringer)		x	Identifikation & Authentifizierung, ob Zugang als Leistungserbringer zulässig; Anhand der LANR kann die Fachrichtung erkannt werden (die letzten 2 Ziffern der LANR geben die Fachrichtung eindeutig an)
BSNR (Benutzergruppe Leistungserbringer)		x	Identifikation & Authentifizierung, ob Zugang als Leistungserbringer zulässig; Anhand der BSNR kann die Region des Praxissitzes erkannt werden (die ersten 2 Ziffern der LANR geben die Region eindeutig an)
Mitgliedschaft in Berufsverbänden (Benutzergruppe Leistungserbringer)	Auswahl eines Berufsverbands (BV) aus vorgegebener Liste, oder Freitexteingabe; Mehrfachauswahl ist möglich	o	Je nach Auswahl des BV können dem Nutzer im Portal zielgerichtet Informationen und Angebote (Verträge) angezeigt werden. Einige Angebote (Verträge) setzen eine Mitgliedschaft in einem BV voraus; zur Teilnahme an diesen Verträgen muss also eine Mitgliedschaft bestätigt werden » wir fragen dies beim jeweiligen BV ab
Mitgliedsnummer (Benutzergruppe Leistungserbringer)		o	Ergänzung zur Auswahl eines BV, anhand der Mitgliedsnummer können Abfragen beim BV (ob Mitgliedschaft besteht) schneller bearbeitet werden.
E-Mail-Adresse		x	Benutzergruppe Leistungserbringer: An die angegebene Adresse wird eine Bestätigungsmail mit einem Aktivierungslink verschickt. Dieser muss innerhalb von 48h (2 Tagen) geklickt werden, sonst werden alle vorstehenden Angaben aus der Datenbank gelöscht. E-Mail-Adresse = Benutzeranmeldename An diese Adresse werden sämtliche Mitteilungen verschickt. Benutzergruppe Patienten: An die angegebene Adresse wird zur Identifikation des Patienten ein Aktivierungslink verschickt. Dieser muss innerhalb von 3 Tagen geklickt werden, sonst werden alle vorstehenden Angaben aus der Datenbank gelöscht. Über den Link hat der Patient die Möglichkeit, seinen ihm per SMS übersandten PIN einzugeben und sich eineindeutig zu identifizieren.
USt-ID und Steuernummer (Benutzergruppe Vertragspartner)		x	Zur eindeutigen Identifikation im Zahlungsverkehr und zur Abrechnung.
Kundennummer	Wird automatisch vom System vergeben und ist eineindeutig. Die Knd.-Nr. kann alternativ zur E-Mail-Adresse als Benutzername verwendet werden	///	///

Die vom Benutzer erfassten Daten können jederzeit im Sanakey-Portal als Zusammenfassung abgerufen werden.

9.4. Fernwartungsdienst („TeamViewer“).
Um bei technischen Problemen und Anfragen schnell helfen zu können, nutzen wir den Fernwartungsdienst TeamViewer. Mit TeamViewer kann unser Support erst nach Ihrer Zustimmung („double-opt-in“) innerhalb weniger Sekunden eine gesicherte Verbindung zu einem PC oder Server über das Internet aufbauen und diesen Computer fernsteuern (Remote-Leistungen). Die SCO ist als Anbieter der Fernwartung mittels TeamViewer die Verantwortliche im datenschutzrechtlichen Sinne für die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten des Kunden und seiner Mitarbeiter. TeamViewer ist eine Software der TeamViewer Germany GmbH, Bahnhofsplatz 2, 73033 Göppingen, auf die wir zur Erbringung der Fernwartung zurückgreifen. Bei Erbringung der Fernwartung sehen wir den Inhalt des Bildschirms einschließlich aller hierauf verfügbaren Informationen. Im eigenen Interesse der Nutzer sollten diese daher alle Programme beenden und Anzeigen schließen, die nicht im Zusammenhang mit den Remote-Leistungen stehen. Es ist vertraglich vorgesehen, dass von den Nutzern sichergestellt wird, dass wir bei Erbringung der Remote-Leistungen nicht in Kontakt mit personenbezogenen Daten aus deren Umfeld kommen. Die Inanspruchnahme der Fernwartung ist nur möglich, wenn die Nutzer entsprechend den technischen Erläuterungen auf ihrem Computer entweder die Software TeamViewer installiert haben oder das sog. „Quick Support“ Modul von unserer Webseite heruntergeladen haben. Bei der Nutzung von TeamViewer wird eine feste Teamviewer-ID und ein Passwort vergeben. Einen Benutzernamen kann der Nutzer frei wählen. Es ist nicht erforderlich, personenbezogene Daten in diesem Zusammenhang anzugeben. Wir erhalten bis zum Aufbau der Fernwartung keine weitergehenden Informationen über den Computer des Nutzers und die hierauf installierten Systeme mit Ausnahme des Nutzernamens. Mit der TeamViewer Germany GmbH haben wir eine Vereinbarung zur Auftragsdatenverarbeitung getroffen, wonach alle personenbezogenen Daten ausschließlich in unserer Verantwortung und nach unseren Weisungen erhoben, verarbeitet und genutzt werden. Die Erhebung, Speicherung und Verarbeitung den Daten erfolgt ausschließlich zu dem Zweck, die Remote-Leistungen zu erbringen. Die Übertragung der Daten mittels TeamViewer erfolgt über das Internet. TeamViewer nutzt eine verschlüsselte Verbindung zur Übertragung.
9.5. Faxübermittlung („Simple Fax“).
Für den Erhalt von Faxnachrichten nutzen wir den Online-Anbieter simple Communication GmbH, Salzdahlumer Str. 196, 38126 Braunschweig mit seinem Fax-Service Simple Fax. Bei dem Fax-Service wird ein Fax an unsere Faxnummer gesendet, dieses wird dann umgeleitet an eine uns zugewiesene „Simple Fax Nummer“. Im in Deutschland ansässigen Simple-Fax Rechenzentrum wird das Fax in eine PDF umgewandelt und in einem digitalen Postfach abgelegt. Simple Fax nutzt eine verschlüsselte Verbindung zur Übertragung. Mit der simple Communication GmbH haben wir eine Vereinbarung zur Auftragsdatenverarbeitung getroffen, wonach alle personenbezogenen Daten ausschließlich in unserer Verantwortung und nach unseren Weisungen erhoben, verarbeitet und genutzt werden. Bitte beachten Sie, dass der Versand von Faxnachrichten unabhängig von den von uns getroffenen Sicherheitsmaßnahmen und der Online-Übermittlung unsicher sein kann. Wir empfehlen daher den Upload von sensiblen Dokumenten in unserem Sanakey-Portal.
9.6. SMS-PIN-Service (“sms77.io”).
Damit wir sicher gehen können, dass insbesondere die sensiblen Patientendaten nur vom eingeschriebenen Patienten selbst verarbeitet werden und nur dieser der Teilnahme an unseren angebotenen Produkten zustimmt, nutzen wir einen SMS-PIN-Service. Vor dem Nutzen von SMS-Diensten muss die Mobilnummer des Patienten durch den einschreibenden Arzt im Sanakey-Portal hinterlegt werden. Diese Nummer wird auf dem Server gespeichert und ausschließlich zur Identifikation des Absenders und einer Zuordnung der Nachricht zu einer persönlichen Seite genutzt. SMS-Nachrichten werden durch sms77 e.K., Willestraße 4-6, 24103 Kiel versendet und verarbeitet. Die Datenschutzinformationen von sms77 sind hier zu finden: https://www.sms77.io/en/company/gdpr/. Mit der sms77 e.K. haben wir eine Vereinbarung zur Auftragsdatenverarbeitung getroffen, wonach alle personenbezogenen Daten ausschließlich in unserer Verantwortung und nach unseren Weisungen erhoben, verarbeitet und genutzt werden. Die Erhebung, Speicherung und Verarbeitung der Daten erfolgt ausschließlich zu dem Zweck, die Identifizierung der Nutzer zu gewährleisten. Die Übertragung der Daten mittels SMS erfolgt teilweise über das Internet. Sms77 e.K. nutzt eine verschlüsselte Verbindung zur Übertragung.

Wie verwenden wir Cookies und Analysedienste?

10.1. Das Sanakey-Portal setzt auf ihrer Webseite Cookies ein. Cookies sind Dateien, die die Webseiten, die Nutzer besuchen, im jeweiligen Browser zur Identifizierung übertragen. Es ist somit möglich, die Webseiten genau auf die Bedürfnisse der Nutzer abzustimmen. Uns ist es erlaubt ohne die Einwilligung der Nutzer Cookies im jeweiligen Browser der Nutzer zu speichern, wenn diese für den Betrieb dieser Seite unbedingt notwendig sind. Für alle anderen Cookie-Typen benötigen wir Ihre ausdrückliche Einwilligung, um welche wir mittels eines Cookies-Banners bei erstmaligem Aufruf der Webseite des Sanakey-Portals bitten. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die gespeicherten Cookies in ihrem jeweiligen Browser löschen und die Webseite neu laden.
Das Sanakey-Portal verwendet unterschiedliche Cookie-Typen. Einige Cookies werden von Drittparteien platziert, die auf unseren Seiten erscheinen.
10.2. Technisch notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren.

Name Anbieter Zweck Ablauf Typ
10.3. Statistik-Cookies helfen uns zu verstehen, wie Besucher mit unserer Webseite interagieren, indem Informationen anonym gesammelt und gemeldet werden.
10.4. Hierfür verwenden wir Matomo (vormals Piwik), einen Webanalysedienst der InnoCraft Ltd., 150 Willis St, 6011 Wellington, New Zealand. Dabei handelt es sich um einen Webanalysedienst, der jedoch auf einer Open-Source-Software beruht, die wir auf unseren eigenen Servern hosten, sodass keine Datenübertragung an Matomo stattfindet. Matomo verwendet sog. „Cookies“, das sind Textdateien, die in ihrem jeweiligen Browser gespeichert werden und die unsererseits eine Analyse der Benutzung der Webseite ermöglichen. Zu diesem Zweck werden die durch die Cookies erzeugten Nutzungsinformationen (einschließlich Ihrer gekürzten IP-Adresse) an unseren Server übertragen und zu Nutzungsanalysezwecken gespeichert, was der Webseitenoptimierung unsererseits dient. Ihre IP-Adresse wird bei diesem Vorgang umgehend anonymisiert, so dass Sie als Nutzer für uns anonym bleiben. Die durch die Cookies erzeugten Informationen über Ihre Benutzung dieser Webseite werden nicht an Dritte weitergegeben.
Die Rechtsgrundlage für den Einsatz von Analysediensten ist § 15 Abs.3 TMG bzw. Art. 6 Abs. 1 lit. f DS-GVO. Sitzungen werden nach Ablauf einer bestimmten Zeitspanne beendet. Standardmäßig werden Sitzungen nach 30 Minuten beendet. Wenn Sie mit der Speicherung und Auswertung Ihrer Daten aus Ihrem Besuch nicht einverstanden sind, dann können Sie der Speicherung und Nutzung nachfolgend per Mausklick jederzeit widersprechen. In diesem Fall wird in Ihrem Browser ein sog. Opt-Out-Cookie abgelegt, was zur Folge hat, dass wir keinerlei Sitzungsdaten erheben. Achtung: Wenn Sie Ihre Cookies löschen, so hat dies zur Folge, dass auch das Opt-Out-Cookie gelöscht wird und ggf. von Ihnen erneut aktiviert werden muss.

Übersicht der nach Zustimmung verwendeten Statistik-Cookies

Name	Anbieter	Zweck	Ablauf
_pk_id	Matomo	Dient zum Speichern einiger Details zum Benutzer, z. B. der eindeutigen Besucher-ID	13 Monate
_pk_ses	Matomo	Cookie, mit denen Daten für den Besuch vorübergehend gespeichert werden	30 min
_pk_testcookie	Matomo	wird verwendet, um zu überprüfen, ob der Browser des Besuchers Cookies unterstützt	Session
matomo	Sanakey	Zustimmung des Besuchers zum Einsatz von Matomo	30 Tage

Welche Rechte haben Sie?

11.1. Art. 15 DS-GVO fordert von verantwortlichen Stellen, dass diese Auskunft gegenüber Betroffenen erteilen können, welche Daten sie über diese verarbeiten und wer auf diese Daten Zugriff hat. Anfragen auf Auskunft beantwortet der betriebliche Datenschutzbeauftragte mit Hilfe der zuständigen Fachabteilungen der SCO. Die Auskunftserteilung an die betroffene Person kann nach Art. 12 Abs. 1 Sätze 2 und 3 DS-GVO je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch der betroffenen Person – mündlich erfolgen. Der Verantwortliche stellt eine Kopie der Daten zur Verfügung (Art. 15 Abs. 3 Satz 1 DS-GVO). Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft nach Art. 15 Abs. 3 Satz 2 DS-GVO in einem gängigen elektronischen Format zur Verfügung zu stellen. Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DS-GVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats; außer in begründeten Einzelfällen. Inhaltlich kann die betroffene Person von der SCO eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Auch eine Negativauskunft ist erforderlich, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet oder personenbezogene Daten unumkehrbar anonymisiert hat. Zum anderen kann die betroffene Person ganz konkret Auskunft darüber verlangen, welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden (z. B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, medizinische Befunde). Weiterhin sind bei der Datenauskunft vom Verantwortlichen nach Art. 15 Abs. 1 DS-GVO vor allem noch folgende Informationen mitzuteilen: Verarbeitungszwecke, Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.), Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden, geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer, Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO, Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde, Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.
11.2. Betroffenen Personen stehen weitere umfangreiche Rechte zu, die der Verantwortliche
zu beachten hat (z.B. Informationspflichten des Verantwortlichen gegenüber den betroffenen
Personen nach Art. 13 und Art. 14 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO, das Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO und das Widerspruchsrecht nach Art. 21 DS-GVO.

Datenschutzbestimmungen Sanakey-Portal | Stand: Januar 2022