Datenschutzbestimmungen des Sanakey-Portal Cloud der Sanakey Contract GmbH

Stand: 01.06.2019

1. Geltungsbereich
2. Begriffsdefinitionen
3. Der betriebliche Datenschutzbeauftragte (Wer ist für Ihre Fragen und Auskünfte zuständig?)
4. Verpflichtung auf das Datengeheimnis (Wie gehen Mitarbeiter bei uns mit Ihren Daten um?)
5. Verzeichnis von Verarbeitungstätigkeiten und Aufsichtsbehörde (Wer überwacht unsere Arbeit?)
6. Datenschutzrechtliche Grundsätze (Nach welchen Datenschutzgrundsätzen arbeiten wir?)
7. Zweckbestimmung der Datenerhebung, – verarbeitung oder -nutzung (Warum erheben wir Daten und welche Daten erheben wir?)
8. Cookies und Analysedienste (Wie verwenden wir Cookies?)
9. Auskunftserteilung (Welche Rechte haben Sie?)
1. Geltungsbereich
  • Diese Datenschutzbestimmungen regeln die datenschutzkonforme Informationsverarbeitung und die entsprechenden Verantwortlichkeiten bei der Sanakey Contract GmbH, c/o Sanakey GmbH, Robert-Koch-Platz 9, 10115 Berlin (SCO) bei der Nutzung der Sanakey-Portal Cloud. Die EU-Datenschutz-Grundverordnung (DS-GVO) enthält in Art. 5 Abs. 2 das Prinzip der Rechenschaftspflicht. Demnach muss jede verantwortliche Stelle nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt. Dieses muss die verantwortliche Stelle auch regelmäßig kontrollieren und ggf. weiterentwickeln.
  • Die SCO nimmt den Schutz persönlicher Daten sehr ernst. Wir behandeln personenbezogene Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzbestimmungen. Daten werden bei uns nach den Grundsätzen der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz verarbeitet. Alle Mitarbeiter welche die SCO einsetzt, sind zur Einhaltung dieser Richtlinien verpflichtet.
2. Begriffsdefinitionen
  • personenbezogene Daten:
    Einzelangaben über persönliche oder sachliche Verhältnisse einer natürlichen Person (Betroffener). Beispiele: Name, Vorname, Geburtstag, Adressdaten, Bestelldaten, E-Mail-Inhalte.
  • besondere personenbezogener Daten:
    Angaben über rassische, ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
  • verantwortliche Stelle:
    ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
3. Der betriebliche Datenschutzbeauftragte (Wer ist für Ihre Fragen und Auskünfte zuständig?)
  • Die SCO hat nach Maßgabe der Art. 37 ff. DS-GVO einen betrieblichen Datenschutzbeauftragten bestellt: Es handelt sich um: Herrn Felix M. Recke, Dipl.-Jur., Sanakey Contract GmbH, c/o Sanakey GmbH, Robert-och-Platz 9, 10115 Berlin, E-Mail: datenschutz[at]sanakey[Punkt]de.
  • Es erfolgte eine Meldung des betrieblichen Datenschutzbeauftragten gegenüber dem zuständigen Datenschutzbeauftragten des Landes Berlin. Der betriebliche Datenschutzbeauftragte nimmt die ihm kraft Gesetzes zugewiesenen Aufgaben bei weisungsfreier Anwendung seiner Fachkunde wahr. Für Meldungen, Auskünfte etc. gegenüber den Datenschutzaufsichtsbehörden ist allein der betriebliche Datenschutzbeauftragte zuständig. Die Fachabteilungen stellen die hierfür erforderlichen Informationen, Unterlagen etc. zur Verfügung. Gleiches gilt für Anfragen, Beschwerden oder Auskunftsersuchen. Für die Einhaltung der Regelungen zur Sicherheit der informationstechnischen Systeme ist der folgende Ansprechpartner zuständig: Herr Sebastian Dieke, Geschäftsleitung / Prokurist – Abrechnungs- und Vertragsmanagement, Sanakey Contract GmbH, c/o Sanakey GmbH, Robert-Koch-Platz 9, 10115 Berlin, E-Mail: info[at]sanakey[Punkt]de.
4. Verpflichtung auf das Datengeheimnis (Wie gehen Mitarbeiter bei uns mit Ihren Daten um?)

Jeder Person wird bei Aufnahme ihrer Tätigkeit für die SCO schriftlich auf das Datengeheimnis und die Einhaltung dieser Bestimmungen verpflichtet. Wir verpflichten uns zudem zur kontinuierlichen Verbesserung unseres Datenschutzmanagementsystems. Hierfür halten wir regelmäßig Schulungen zum Thema Datenschutz ab und sensibilisieren für das Thema. Zugriff oder Einsicht auf Inhalte von Nutzern haben Mitarbeiter grundsätzlich nicht. Lediglich im Rahmen der zweckgebundenen Leistungserbringung können Mitarbeiter die Inhalte der Nutzer einsehen.

5. Verzeichnis von Verarbeitungstätigkeiten und Aufsichtsbehörde (Wer überwacht unsere Arbeit?)

Die SCO führt ein internes Verzeichnis seiner Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO. Dieses ist auf Anfrage bei den Aufsichtsbehörden zur Verfügung zu stellen. Datenschutz-Aufsichtsbehörde gegenüber der SCO i.S.d. Art. 51 DS-GVO i.V.m. § 40 DsAnpUG-EU ist die: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, E-Mail: mailbox[at]datenschutz-berlin[Punkt]de.

6. Datenschutzrechtliche Grundsätze (Nach welchen Datenschutzgrundsätzen arbeiten wir?)

Die SCO verpflichtet sich, die Bestimmungen über den Schutz personenbezogener Daten nach der DS-GVO einzuhalten, insbesondere personenbezogene Daten nur zur Erfüllung der sich aus der Nutzung der Sanakey-Portal Cloud ergebenen Aufgaben zu erheben, verarbeiten und zu nutzen. Wir verpflichten uns auf die Prinzipien der Datensparsamkeit und Datenvermeidbarkeit. Allgemein ist eine Datenverarbeitung erlaubt, wenn eine gesetzliche Grundlage vorliegt oder der Betroffene eingewilligt hat (Rechtmäßigkeitsprinzip).

Zu den wichtigsten Grundsätzen der Datenverarbeitung gehören die Verarbeitung für festgelegte und eindeutige Zwecke (Zweckbindung), die Beschränkung der Datenverarbeitung auf das notwendige Maß (Erforderlichkeit, Datenminimierung und Speicherbegrenzung) und die Transparenz. Ferner sind die Prinzipien der Richtigkeit sowie der Integrität und Vertraulichkeit der Verarbeitung zu nennen. Diesen Grundsätzen sehen wir uns im Umgang mit Ihren Daten verpflichtet. Die SCO trifft umfangreiche technische und betriebliche Sicherheitsvorkehrungen, um Daten vor unberechtigten Zugriffen oder Missbrauch zu schützen. Unsere Sicherheitsverfahren werden regelmäßig überprüft und dem technologischen Fortschritt angepasst und orientieren sich an den Grundwerten der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit). Hierzu zählt, dass die durch die SCO verwendeten Server ausschließlich in Deutschland betrieben und die Daten in Deutschland verarbeitet werden. Die Verpflichtung zur Einhaltung des Daten- und Sozialgeheimnisses und der Schweigepflicht bleibt auch nach Ende der Vertragsverhältnisse mit der SCO bestehen.

7. Zweckbestimmung der Datenerhebung, – verarbeitung oder -nutzung (Warum erheben wir Daten und welche Daten erheben wir?)
  • Die SCO unterstützt mit den Sanakey-Produkten verschiedene Akteure im Gesundheitswesen bei einer innovativen und modernen Versorgung. Hierzu wurden das Sanakey-Portal und die Sanakey-Portal Cloud entwickelt, in dem verschiedene Dienstleistungen verschiedenen Benutzergruppen angeboten werden. Die SCO stellt ihren Vertragspartnern (Versorgungsgesellschaften der Berufsverbände, Berufsverbänden) in der Sanakey-Portal Cloud zum einen Daten über die von ihnen mit den Leistungserbringern geschlossenen Verträge zur Verfügung. Hierzu erhalten die Vertragspartner einen eigenen verschlüsselten Zugang zur Sanakey-Portal Cloud. Die Vertragspartner verpflichten sich zur Einhaltung der in diesen Datenschutzbestimmungen und in den Nutzungsbedingungen der Sanakey-Portal Cloud niedergelegten datenschutzrechtlichen Grundsätzen. Die Sanakey-Portal Cloud ermöglicht es zum anderen den Vertragspartnern auf dem geschützten Speicherplatz Dateien zu speichern, zu nutzen und ggf. anderen Nutzern zur Verfügung zu stellen.
  • Wenn Sie unsere Dienste verwenden, stellen wir Ihnen und Sie uns Dateien und Inhalte bereit. Diese von Ihnen in die Sanakey-Portal Cloud hochgeladenen Dateien gehören Ihnen. Weder die Nutzungsbedingungen noch diese Datenschutzbestimmungen gewähren uns ein Recht an Ihren Dateien, abgesehen von den begrenzten Rechten, die uns in die Lage versetzen, Ihnen die Dienste anzubieten. Personenbezogene Daten, die bei uns zur Bereitstellung der Sanakey-Portal Cloud benötigt werden sind: Name, Position, Institution, Anschrift der Institution, E-Mail-Adresse. Unsere Dienste bieten Ihnen auch Funktionen wie Voransicht von Dokumenten, Kommentieren, leichtes Sortieren, Bearbeiten, Freigeben und Suchen. Damit diese und andere Funktionen ausgeführt werden können, müssen unsere Systeme eventuell auf Ihre Dateien zugreifen und sie speichern und scannen. Sie erteilen uns die Genehmigung, diese Aktionen auszuführen, und diese Genehmigung erstreckt sich auch auf unsere Tochtergesellschaften und die Drittanbieter, mit denen wir zusammenarbeiten.
  • Bei Dateien die wir Ihnen im Rahmen der Sanakey-Portal Cloud zur Verfügung stellen, verbleiben sämtliche Rechte bei der SCO. Weitere Bestimmungen zur Nutzung dieser von uns bereitgestellen Dateien ergeben sich aus den Nutzungsbedingungen der Sanakey-Portal Cloud.
  • Im Rahmen der Sanakey-Portal Cloud erhalten Sie die Möglichkeit mit anderen Nutzern der Sanakey-Portal Cloud in Kontakt zu treten. Hierfür wird standardmäßig Ihr sog. Avatar (Grafikfigur oder persönliches Bild, welches den Nutzer in der Sanakey-Portal Cloud zugeordnet wird) den anderen Nutzern gemeinsam mit Ihrer in der Sanakey-Portal Cloud hinterlegten E-Mail-Adresse angezeigt. Die Möglichkeit der Kontaktaufnahme kann von Ihnen in den Einstellungen der Sanakey-Portal Cloud jederzeit deaktiviert werden.
8. Cookies und Analysedienste (Wie verwenden wir Cookies?)
  • Cookies. Um unsere Leistung stetig optimieren zu können, setzt die SCO sogenannte Cookies ein. Cookies sind Dateien, die die Webseiten, die Nutzer besuchen, auf dem Computer zur Identifizierung übertragen und die später der Erleichterung der Navigation dienen. Dadurch müssen nicht bei jeder Nutzung alle erforderlichen Daten neu eingegeben werden. Es ist somit möglich, die Webseiten genau auf die Bedürfnisse der Nutzer abzustimmen.
  • Die Rechtsgrundlage für den Einsatz von Cookies ist § 15 Abs.3 TMG bzw. Art. 6 Abs. 1 lit. f DS-GVO. Sitzungen werden nach Ablauf einer bestimmten Zeitspanne beendet. Standardmäßig werden Sitzungen nach 30 Minuten beendet. Wenn Sie mit der Speicherung und Auswertung Ihrer Daten aus Ihrem Besuch nicht einverstanden sind, dann können Sie der Speicherung und Nutzung nachfolgend per Mausklick jederzeit widersprechen. In diesem Fall wird in Ihrem Browser ein sog. Opt-Out-Cookie abgelegt, was zur Folge hat, dass wir keinerlei Sitzungsdaten erheben. Achtung: Wenn Sie Ihre Cookies löschen, so hat dies zur Folge, dass auch das Opt-Out-Cookie gelöscht wird und ggf. von Ihnen erneut aktiviert werden muss.
9. Auskunftserteilung (Welche Rechte haben Sie?)
  • Art. 15 DS-GVO fordert von verantwortlichen Stellen, dass diese Auskunft gegenüber Betroffenen erteilen können, welche Daten sie über diese verarbeiten und wer auf diese Daten Zugriff hat. Anfragen auf Auskunft beantwortet der betriebliche Datenschutzbeauftragte mit Hilfe der zuständigen Fachabteilungen der SCO. Die Auskunftserteilung an die betroffene Person kann nach Art. 12 Abs. 1 Sätze 2 und 3 DS-GVO je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch der betroffenen Person – mündlich erfolgen. Der Verantwortliche stellt eine Kopie der Daten zur Verfügung (Art. 15 Abs. 3 Satz 1 DS-GVO). Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft nach Art. 15 Abs. 3 Satz 2 DS-GVO in einem gängigen elektronischen Format zur Verfügung zu stellen. Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DS-GVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats; außer in begründeten Einzelfällen. Inhaltlich kann die betroffene Person von der SCO eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Auch eine Negativauskunft ist erforderlich, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet oder personenbezogene Daten unumkehrbar anonymisiert hat. Zum anderen kann die betroffene Person ganz konkret Auskunft darüber verlangen, welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden (z. B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, medizinische Befunde). Weiterhin sind bei der Datenauskunft vom Verantwortlichen nach Art. 15 Abs. 1 DS-GVO vor allem noch folgende Informationen mitzuteilen: Verarbeitungszwecke, Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.), Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden, geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer, Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO, Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde, Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.
  • Betroffenen Personen stehen weitere umfangreiche Rechte zu, die der Verantwortliche zu beachten hat (z.B. Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen nach Art. 13 und Art. 14 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO, das Recht auf Datenübertragbarkeit nach Art. 20 DS GVO und das Widerspruchsrecht nach Art. 21 DS-GVO.