Datenschutzerklärung
der
Personal MedSystems GmbH
Wilhelm-Leuschner-Straße 41
60329 Frankfurt am Main
Stand: 17. März 2023
I. Datenschutzbestimmungen der Personal MedSystems GmbH
Wir nehmen den Schutz Ihrer Daten sehr ernst und halten uns strikt an die Regeln der anwendbaren Datenschutzgesetze, u. a. EU-Datenschutz-Grundverordnung (DS-GVO) und des Schweizer Datenschutzgesetzes.
1. Verantwortliche Stelle
Verantwortliche Stelle im Sinne der Datenschutzgesetze ist die Personal MedSystems GmbH, Wilhelm-Leuschner-Straße 41, 60329 Frankfurt am Main (nachfolgend „PMS“), vertreten durch Herrn Felix Brand (Geschäftsführer) und Dr. Markus Riemenschneider (Geschäftsführer).
Unabhängiger Datenschutzbeauftragter: Herr Dr. Sebastian Kraska, Institut für IT-Recht GmbH (IITR), Marienplatz 2, 80331 München; Tel.: +49 (0)89 18917360; E-Mail: dpo-contact@iitr.de.
2. Auskunftsrecht
Sie haben jederzeit das Recht gem. Art. 15 DS-GVO auf Auskunft über Art und Umfang der bezüglich Ihrer Person gespeicherten Daten, deren Herkunft und deren Empfänger sowie den Zweck der Speicherung. E-Mail: info@cardiosecur.com
3. Widerruf der Einwilligung und Recht auf Berichtigung
Eine von Ihnen uns gegenüber erteilte Einwilligung zur Speicherung Ihrer persönlichen Daten und deren Nutzung können Sie gem. Art. 21 DS-GVO jederzeit mit Wirkung für die Zukunft widerrufen. Widerruf gegen eine weitere Datenverwendung hat zur Folge, dass Sie die bezogenen Leistungen (z.B. App-Nutzung, Benutzerkonto, Newsletter) nicht weiter beziehen können. Bitte beachten Sie, dass wir auch nach dem Widerruf Ihrer Einwilligung Ihre Daten für den Fall, dass Sie unser Kunde oder Nutzer unserer Leistungen sind, zu Zwecken der Vertragsdurchführung und zu Abrechnungszwecken im erforderlichen Umfang verarbeiten dürfen. Des Weiteren sind wir verpflichtet, die gesetzlichen Aufbewahrungsfristen einzuhalten.
Sollten die Sie betreffenden Angaben nicht (mehr) zutreffend sein, können Sie gem. Art. 16 DS-GVO eine Berichtigung verlangen. Sollten Ihre Daten unvollständig sein, können Sie eine Vervollständigung verlangen.
4. Anonymisierung und Löschung von Daten
Nach Wegfall des mit Ihren Daten verbunden Geschäftszwecks (z.B. nach Kündigung oder Wiederruf des Vertrages), werden Ihre medizinischen Daten nach 10 Jahren irreversibel anonymisiert, so dass Sie etwaige zivilrechtliche Ansprüche gegenüber Ärzten zumindest bis zu diesem Zeitpunkt mit Ihren Daten unterstützen können. Des Weiteren werden die Daten gem. Art. 17 (3) (e) Art. 6 (1) f DS-GVO für etwaige Anspruchsfälle gegenüber der Personal MedSystems GmbH in diesem Zeitraum aufbewahrt. Falls Sie nach Wegfall des Geschäftszwecks es nicht wünschen, dass Ihre medizinischen Daten für 10 Jahre sicher aufbewahrt werden, teilen Sie uns dies bitte im Rahmen Ihrer Kündigung oder Widerrufs mit, damit Ihre medizinischen Daten umgehend und irreversibel anonymisiert werden. Unser Anonymisierungskonzept sieht vor, dass Ihre persönlichen Daten, die mit Ihren medizinischen Daten unmittelbar in Verbindung stehen (z. B. auf den EKG-Berichten) irreversibel gelöscht und durch Daten eines Zufallsgenerators ersetzt werden. Es besteht kein Datenreservoir, welches eine mittelbare oder unmittelbare Verbindung zwischen Ihren gelöschten persönlichen Daten und dem Datensatz der Anonymisierung ermöglicht. Wir weisen darauf hin, dass Ihre medizinischen Daten nach diesem Schritt Ihrer Person nicht mehr zugeordnet werden können. Auch im Falle einer durch Sie gewünschte Neuaufnahme des Geschäftszwecks mit uns, können wir Ihnen Ihre anonymisierten EKG-Daten nicht mehr anzeigen. Dies gilt auch für den Fall, wenn uns Ihre persönlichen Daten (im Gegensatz zu Ihren medizinischen Daten) im Rahmen der Vertragsabwicklung und der damit verbundenen gesetzlichen Aufbewahrungsfrist noch vorliegen sollten.
Im Rahmen der gesetzlichen Aufbewahrungsfristen sind wir verpflichtet, Ihre persönlichen Daten in Bezug auf die Vertragsabwicklung 10 Jahre – oder soweit gesetzlich verlangt länger – aufzubewahren und danach unwiederbringlich zu löschen.
5. IT-Sicherheit und Cyber-Security
Wir unterhalten ein Informationssicherheit Managementsystem (ISMS) und sind nach ISO 27001 zertifiziert.
Aus Sicherheitsgründen empfehlen wir Ihnen, E-Mails und SMS ausschließlich verschlüsselt zu übertragen und Ihre Daten nicht über ungeschützte WLAN-Netzen zu verarbeiten.
Wichtiger Hinweis: Bei einer unverschlüsselten elektronischen Datenübertragung, können trotz aller Sicherheitsvorkehrungen, die wir treffen, erhebliche Risiken bestehen. Ein lückenloser Schutz der Daten vor unbefugtem Zugriff durch Dritte ist nicht möglich. Ferner verweisen wir auf Ziff. III. und IV. unten.
Falls Sie ein Problem in Bezug auf Cyber-Security erkennen, melden Sie dies bitte an uns. E-Mail: info@cardiosecur.com
6. Auskunftsersuchen von Behörden
Wir können aufgrund eines Gesetzes, eines Gerichtsbeschlusses oder eines begründeten Ersuchens einer Behörde verpflichtet sein, Ihre personenbezogenen Daten an eine Behörde zu übermitteln, z. B. im Zusammenhang mit einer Straftat oder einer Bedrohung der öffentlichen Sicherheit. Wir werden die Berechtigung eines solchen Ersuchens sorgfältig prüfen und Sie benachrichtigen, falls Ihre personenbezogenen Daten Gegenstand eines solchen Ersuchens sind, es sei denn, Ihre Benachrichtigung wird uns gesetzlich verboten.
7. Beschwerderecht
Sollten Sie der Meinung sein, dass wir nicht sachgerecht mit Ihren Daten umgehen, steht Ihnen insbesondere gem. Art. 77 DS-GVO jederzeit das gesetzliche Beschwerderecht zu, sich direkt über uns bei der zuständigen Aufsichtsbehörde, dem Hessischen Datenschutzbeauftragten, Gustav-Stresemann-Ring 1, 65189 Wiesbaden, E-Mail: poststelle@datenschutz.hessen.de, zu beschweren.
II. Hinweise zum Datenschutz bei der Nutzung der Website der PMS und der anmeldepflichtigen Dienste
Die Inhalte unserer Website wurden mit größter Sorgfalt erstellt. Wir übernehmen jedoch keine Gewähr für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Inhalte. Die Nutzung der Inhalte unserer Website erfolgt auf eigene Gefahr des Besuchers. Namentlich gekennzeichnete Beiträge geben die Meinung des jeweiligen Autors und nicht ohne Weiteres unsere Meinung wieder. Mit der reinen Nutzung unserer Website kommt keinerlei Vertragsverhältnis zwischen dem Besucher und uns zustande.
Diese Website enthält Verknüpfungen zu Websites Dritter (nachfolgend „externe Links“). Diese Websites unterliegen der Haftung der jeweiligen Betreiber. Wir haben keinerlei Einfluss auf die aktuelle und zukünftige Gestaltung und auf die Inhalte der verknüpften Seiten. Das Setzen von externen Links bedeutet nicht, dass wir uns die hinter dem Verweis oder externen Link liegenden Inhalte zu Eigen machen. Eine Kontrolle der externen Links ist für uns ohne konkrete Hinweise auf Rechtsverstöße nicht zumutbar. Bei Kenntnis von Rechtsverstößen werden wir jedoch derartige externe Links unverzüglich löschen.
Die auf dieser Website veröffentlichten Inhalte unterliegen dem deutschen Urheber- und Leistungsschutzrecht. Jede vom deutschen Urheber- und Leistungsschutzrecht nicht zugelassene Verwertung bedarf der vorherigen schriftlichen Zustimmung durch uns oder den Rechteinhaber. Dies gilt insbesondere für Vervielfältigung, Bearbeitung, Übersetzung, Einspeicherung, Verarbeitung bzw. Wiedergabe von Inhalten in Datenbanken oder anderen elektronischen Medien und Systemen. Die unerlaubte Vervielfältigung oder Weitergabe einzelner Inhalte oder kompletter Seiten ist nicht gestattet und strafbar. Lediglich die Herstellung von Kopien und Downloads für den persönlichen, privaten und nicht kommerziellen Gebrauch ist erlaubt. Die Darstellung dieser Website in fremden Frames ist nur mit unserer vorherigen schriftlichen Erlaubnis zulässig. Soweit die Inhalte auf dieser Website nicht von uns erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte und Rechte Dritter als solche gekennzeichnet. Sollte der Nutzer trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen.
Die Nutzung unserer Website und der anmeldepflichtigen Dienste (Benutzerkonto, Newsletter) unterliegt ausschließlich dieser Datenschutzerklärung.
Eine Nutzung unserer Website ist weitgehend ohne Angabe personenbezogener Daten möglich. Die erhobenen Daten werden nicht an Dritte weitergegeben, außer im Fall einer gesetzlichen Verpflichtung oder wenn Sie ausdrücklich in eine solche Weitergabe eingewilligt haben. Unter Berücksichtigung dieser Ausnahmen, werden auch im Zusammenhang mit Cookies und Website-Analyse keine Daten an Dritte weitergegeben. Zum Schutz Ihrer Daten verwenden wir kein Google-Analytics oder Google AdWords sondern das interne, DS-GVO konforme Analysetool Matomo.
Der Webserver für den Betrieb unserer Website wird technisch durch das IT-Dienstleistungsunternehmen (nachfolgend „IT-Dienstleister“) betrieben:
ilexius GmbH
Unter den Eichen 5
Haus i
65195 Wiesbaden
Der IT-Dienstleister ist über eine gültige Auftragsverarbeitungs-Vereinbarung von uns verpflichtet worden die Anforderungen der DS-GVO einzuhalten.
1. Erhebung von Daten bei der Nutzung der Website
Wenn Sie unsere Webseiten aufrufen, übermitteln Sie (aus technischer Notwendigkeit) über Ihren Internetbrowser Daten an unseren Webserver bei unserem IT-Dienstleister. Um die von Ihnen gewünschte Inanspruchnahme unserer Website zu ermöglichen, werden folgende Daten während einer laufenden Verbindung zur Kommunikation zwischen Ihrem Internetbrowser und unserem Webserver aufgezeichnet:
- Datum und Uhrzeit,
- Zeitzone des Beginns und Endes der Nutzung,
- der Umfang in Bytes,
- die anonymisierte (um 2 Bytes gekürzte) Nutzer-IP-Adresse und
- die Art des in Anspruch genommenen Telemedien- beziehungsweise Telekommunikationsdienstes, wie auch
- gerätespezifische und andere ähnliche Informationen erfasst.
Aus Gründen der technischen Sicherheit, insbesondere zur Abwehr von Angriffsversuchen auf unseren Webserver, werden diese Daten von uns gespeichert. Ein Rückschluss auf einzelne Personen ist uns anhand dieser Daten nicht möglich, da die Daten unmittelbar durch Verkürzung der IP-Adresse anonymisiert werden. In anonymisierter Form werden die Daten zu statistischen Zwecken verarbeitet; ein Abgleich mit anderen Datenbeständen oder eine Weitergabe an Dritte, auch in Auszügen, findet nicht statt.
2. Cookies
Unsere Website verwendet an mehreren Stellen sogenannte Cookies. Cookies sind kleine Textdateien, die der Webbrowser auf Ihrem Rechner speichert. Die von uns eingesetzten Cookies sind keine Tracking-Cookies (z. B. für Re-Targeting oder gezielte Werbeausspielung) sondern dienen dazu, um wesentliche Service-Funktionen zu erfüllen (z. B. für Spracheinstellungen) sowie die Website nutzerfreundlicher, effektiver und sicherer zu machen.
Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies und deren Wirkungsdauer informiert werden, um von Fall zu Fall über die Annahme zu entscheiden oder die Annahme von Cookies grundsätzlich auszuschließen. In Bezug auf die Wirkungsdauer gibt es beispielsweise Session-Cookies, die zeitlich auf die konkrete Nutzung der Website begrenzt sind oder Cookies, die sich die von Ihnen auf unserer Website vorgenommen Aktionen und/oder Eingaben für einen längeren Zeitraum bis zu neunzig Tagen merkt, damit Sie evtl. nicht wiederholt Eingaben, wie beispielsweise Ihren Namen beim nächsten Besuch unserer Website, vornehmen müssen.
Bei dem Ausschluss von Cookies kann die Funktionalität unserer Website bzw. unserer Dienste eingeschränkt sein.
Wir helfen Ihnen gerne mehr Informationen über Cookie-Einstellungen für die gängigsten Browser zu erfahren. Klicken Sie auf den Link für Ihren Browser:
- Cookie-Einstellungen in Google-Chrome
- Cookie-Einstellungen in Firefox
- Cookie-Einstellungen in Internet Explorer
- Cookie-Einstellungen in Safari für Mac
- Cookie-Einstellungen in Safari für iPhone, iPad oder iPod Touch
Falls Sie Fragen zu Cookie-Einstellungen haben, können Sie sich gerne an unsere Kundenbetreuung wenden.
3. Webseiten-Analyse
Um Ihre Daten möglichst gut zu schützen, nutzen wir zur Webseiten-Analyse kein Google-Analytics. Zur bedarfsgerechten Gestaltung unseres Internetauftritts verwenden wir das DS-GVO konforme Tool Matomo. Dabei handelt es sich um einen sogenannten PMS internen Webanalysedienst der InnoCraft Ltd., 150 Willis St, 6011 Wellington, Neuseeland, NZBN 6106769. Keine Daten werden nach Neuseeland übermittelt.
Um die Nutzung unserer Website mit Matomo zu erfassen und zu analysieren, werden Nutzungsinformationen nur an unseren Server bei dem von uns beauftragten und in dieser Datenschutzerklärung benannten IT-Dienstleister übertragen und zu Analysezwecken temporär gespeichert. Ihre IP-Adresse wird bei diesem Vorgang nur gekürzt weiterverarbeitet und dadurch anonymisiert. Ein Rückschluss auf Ihre persönliche Identität ist dadurch nicht gegeben. Rechtsgrundlage für den Einsatz von Matomo ist Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen zu den Nutzungsbedingungen von Matomo und den datenschutzrechtlichen Regelungen finden Sie unter: https://matomo.org/privacy/
4. Optionale Newsletter-Registrierung
Die Registrierung für unseren Newsletter (z.B. über unsere Website) erfolgt durch das Double-Opt-In Verfahren, d.h. Sie erteilen Ihre Bestätigung der Newsletter-Registrierung auf der Website und über einen Bestätigungslink in einer daraufhin automatisch an Sie versendeten E-Mail. Erst wenn beide Bestätigungen von Ihnen abgegeben wurden, sind Sie für den Newsletter registriert. Im Falle Ihrer Registrierung für unseren Newsletter, teilen Sie uns Ihre E-Mail-Adresse mit. Diese Angabe verwenden wir ausschließlich, um Ihnen den Newsletter zuzusenden. Für die Newsletter-Versendung an Sie nutzen wir die
Rapidmail GmbH, mit Firmensitz am Augustinerplatz 2 in 79098 Freiburg.
Bei jeder Versendung unseres Newsletters, misst Rapidmail für uns, ob die versendete E-Mail durch Sie geöffnet wurde (Erfolgsmessung). Diese Information wird durch uns verwendet, um Ihnen produktbezogene und medizinisch relevantere Inhalte zuzustellen. Ihre bei der Newsletter-Anmeldung eingegebene E-Mailadresse bleibt bei uns und bei Rapidmail gespeichert, bis Sie sich wieder von unserem Newsletter abmelden. Eine Abmeldung ist jederzeit über den dafür vorgesehenen Link im Newsletter oder eine entsprechende Mitteilung an uns (E-Mail siehe Impressum) möglich. Mit der Abmeldung widersprechen Sie der Nutzung Ihrer E-Mail-Adresse für den Newsletter. Ferner verweisen wir für Bestandskunden auf Ziff. IV. 4 unten.
5. Bearbeitung in Zusammenhang mit anmeldepflichtigen Diensten
Sofern Sie unsere auf elektronischem Weg erbrachten Leistungen nutzen möchten (z.B. App-Nutzung, Benutzerkonto, u.ä.), benötigen wir zur Erbringung dieser Leistungen und zu Abrechnungszwecken weitere Informationen von Ihnen. Hierzu zählen insbesondere Name, E-Mail-Adresse, Anschrift, Telefonnummer u. ä. Die Preisgabe dieser Daten erfolgt Ihrerseits auf ausdrücklich freiwilliger Basis zwecks Ermöglichung unserer Leistungserbringung. Mit Ihrer Bestätigung beim Absenden Ihrer Daten, erklären Sie sich einverstanden, dass wir Sie dem jeweiligen Zweck (z.B. Leistungserbringung, Verbesserung unseres Leistungsumfangs) entsprechend per E-Mail, Post oder Telefon kontaktieren und Ihre Daten erheben, speichern und nutzen dürfen. Eine Übermittlung Ihrer Daten an Dritte, wie z.B. an:
- den von uns beauftragte IT-Dienstleister,
- unser Rechenzentrum:
Hetzner Online GmbH
Industriestraße 25
91710 Gunzenhausen
mit Rechnerstandorten in:
Nürnberg, Falkenstein Vogtland und Helsinki, Finnland
- Firmen die von uns mit der Abrechnung der von Ihnen in Anspruch genommenen Dienstleistungen beauftragt sind,
- der Karten herausgebende Finanzdienstleister wie beispielsweise die Bank oder die Kreditkartengesellschaft,
- von uns beauftragte Logistikdienstleister zur Zustellung von unseren Produkten oder
- von uns für den Zweck beauftragte Kooperationspartner,
erfolgt nur, soweit diese von uns mit der Erfüllung der dem jeweiligen Zweck entsprechenden Aufgaben beauftragt sind. Diese Dritten dürfen die Daten nicht zu anderen Zwecken, als die gemäß unserer Weisung angegebenen Zwecken, verwenden. Darüber hinaus sind Dritte verpflichtet, die Daten gemäß dieser Datenschutzerklärung sowie den jeweils aktuell und anwendbar geltenden Datenschutzvorschriften z.B. im Rahmen der Auftragsverarbeitung gemäß Art. 28 DS-GVO zu behandeln. Ferner können wir dazu angehalten werden, Ihre personenbezogenen Daten zur Einhaltung von rechtlichen Bestimmungen und regulatorischen Auflagen weiterzugeben. Eine darüber hinausgehende Weitergabe von uns an Dritte erfolgt nicht.
III. Hinweise zum Schutz bei der Nutzung unserer App
Unsere CardioSecur App ist aus datenschutzrechtlichen Gründen so konfiguriert, dass sie bei der Installation auf Ihrem Smartphone/ Tablet keine besonderen Berechtigungen benötigt. Im Rahmen der App-Nutzung können Sie optional festlegen, ob Sie Personen direkt aus der App kontaktieren möchten und diese als vertraute Kontakte in der App einrichten möchten. Für diesen Zweck benötigt die App den von Ihnen selbst zu initiierenden Zugriff auf Ihr Adressbuch. Ein automatischer Zugriff durch die CardioSecur App auf Ihr Adressbuch erfolgt nicht.
Bei der Installation der CardioSecur App, werden Sie im Prozess gefragt, ob
- Sie Ihre GPS-Daten freigeben möchten, um möglicherweise einen Einfluss von Höhenlagen oder Wetterbedingungen während einer EKG-Messung auf das EKG-Messergebnis in Zukunft feststellen zu können.
- die App Ihnen Nachrichten schicken darf, z.B. für die Erinnerung eine EKG-Messung durchzuführen.
Das Verneinen dieser Abfragen beeinträchtigt die sonstige Funktion Ihrer CardioSecur App nicht.
Wir weisen Sie eindringlich darauf hin, für Ihr Smartphone/Tablet aktiven Geräteschutz zu betreiben, da ansonsten sensible Daten möglicherweise von Dritten eingesehen werden können. Schützen Sie Ihr Smartphone/Tablett vor dem Zugriff Dritter mit einem Zugangscode, Ihrem Fingerabdruck oder einer Sicherung durch Gesichtserkennung. Bei einem Schutz durch Zugangscode, machen Sie es sich zur Gewohnheit diesen regelmäßig zu ändern und Dritten nicht zugänglich zu machen. Bitte beachten Sie, dass bei der Anfertigung von Screenshots oder Verwendung von App-Switching sensible Daten kompromittiert werden können.
Wenn Sie als Backup-Lösung Ihres Smartphones/Tablets eine Cloudlösung (z.B. iTunes, iCloud oder Android basierte Lösungen) nutzen, so werden auch die lokal auf Ihrem Smartphone/Tablet abgelegten Daten der CardioSecur App dort mitgesichert. In diesem Fall ersehen Sie bitte den datenschutzrechtlichen Umgang mit Ihren Daten in der jeweils aktuell gültigen Fassung der für Sie zutreffenden Cloudlösung (z.B. Apple-Datenschutzrichtlinie unter www.apple.com/de/privacy/privacy-policy/).
IV. Hinweise zum Schutz der Daten von Kunden der PMS
Wir haben organisatorische und technische Maßnahmen entwickelt, um die von Ihnen erhaltenen Daten zuverlässig zu schützen. Umfassende Schulungen unserer Mitarbeiter in Bezug auf Datenschutz und IT-Sicherheit und deren vertragliche Verpflichtung auf das Datengeheimnis (insbesondere gem. Art. 5 DS-GVO und gemäss dem Schweizer Datenschutzgesetz) sowie auf die allgemeinen Verschwiegenheitsverpflichtungen stellen sicher, dass Ihre Daten von uns vertraulich behandelt werden. Unsere Sicherheitsmaßnahmen beinhalten ferner, dass wir Sie insbesondere bei telefonischem Kontakt, um einen Nachweis Ihrer Identität bitten.
Auf den Seiten unserer Website, auf denen persönliche Angaben gemacht werden können, z. B. in dem Bereich „My Account“, verwenden wir den Industriestandard SSL (Secure Sockets Layer) zur Verschlüsselung Ihrer Daten. Bei der SSL-Verschlüsselung werden Ihre Daten vor der Übertragung auf unseren Server so verfremdet, dass sie durch Dritte nicht rekonstruierbar sind. Auf diese Weise wird die Vertraulichkeit Ihrer Angaben und Ihrer Zahlungsdaten bei Transaktionen über das Internet gewährleistet.
Wir bitten Sie eindringlich, selbst alle möglichen Vorsichtsmaßnahmen zum Schutz Ihrer Daten zu treffen, während Sie browserbasiert in dem Bereich “My Account" arbeiten. Wenn Sie im Bereich “My Account” eingeloggt sind besteht eine Verbindung zwischen Ihrem Endgerät und unserem Hintergrundsystem. Diese Verbindung bleibt bestehen auch wenn Sie Ihr Endgerät sperren. Sie müssen sich immer aus dem Bereich “My Account” abmelden, um die Verbindung zum Hintergrundsystem zu trennen. Machen Sie es sich zu Gewohnheit, Ihr Passwort regelmäßig zu ändern. Wir empfehlen, für das Passwort eine Kombination aus Buchstaben und Zahlen zu verwenden und sicherzustellen, dass Sie einen sicheren SSL-fähigen Browser zum Surfen im Internet verwenden. Melden Sie sich möglichst nach Beendigung des Gebrauchs eines Computers, den Sie nicht ausschließlich alleine nutzen, vollständig ab und machen Sie Ihr Passwort Dritten nicht zugänglich. Bitte beachten Sie, dass eine Passwortänderung für Ihr Benutzerkonto immer in beiden Bereichen, dem Website-Bereich “My Account” und in der CardioSecur App effektiv wird. Bitte beachten Sie, dass bei der Anfertigung von Screenshots oder Verwendung von App-Switching sensiblen Daten kompromittiert werden können. Machen Sie sich immer bewusst welche Auswirkungen Ihr Vorgehen in Bezug auf den Schutz Ihrer Daten haben kann.
Technische Daten bezüglich Sicherheit
Verschlüsselung sensibler Datentransfers mit SSL-Zertifikaten. Absicherung der Server: Unsere Server werden durch Firewallsysteme gegen Angriffe geschützt. Ein internes Sicherheitssystem und ein umfangreiches Berechtigungskonzept stellen sicher, dass ihre sensiblen Daten auch tatsächlich nur zum Zweck der Vertragsdurchführung, durch die dafür vorgesehenen Personen (z.B. medizinische Daten durch den Arzt, Abrechnungsdaten durch die Rechnungsabteilung, etc.) zugänglich sind.
1. Umgang mit Kunden- bzw. Patientendaten
Der Zugriff auf Kunden- bzw. Patientendaten ist so geregelt, dass ein möglichst kleiner Personenkreis (einschließlich dem vom Kunden ausgewählten Arzt) sowohl auf die Identität des Patienten, als auch auf die medizinischen Daten gleichzeitig Zugriff erhält. Die Zugriffe werden durch entsprechenden Passwortschutz gewährleistet.
Folgende Datenarten werden erhoben und im Rahmen der Vertragsdurchführung verarbeitet:
- Kontaktdaten: Name, Adresse, Telefonnummer, E-Mail, Geschlecht, etc.
- Messdatum: Datum und Uhrzeit der EKG-Messungen.
- Medizinische Daten: Rohdaten der EKG-Messungen und automatische Auswertung, sowie weitere von Ihnen optional hinterlegte Angaben zu Ihrer Gesundheit.
Die Daten werden ausschließlich auf proprietären Servern in Deutschland und Finnland bei dem in dieser Datenschutzerklärung benannten Rechenzentrum gespeichert.
Die bei PMS beschäftigten Vertrauenspersonen für Kundendaten besitzen eine besondere Vertrauensstellung und bearbeitet Kundenvorgänge, die sich mit technischen Fragen zu EKG-Messungen auseinandersetzen. Alle anderen Kundenbetreuer haben keine Einsicht auf medizinischen Daten oder Ergebnisse, sondern lediglich auf Datum und Uhrzeit einer EKG-Messung. Des Weiteren beauftragt PMS ausgewähltes internes und externes technisches Personal mit der Wartung und Entwicklung des Portals. Dieser eingeschränkte, zu jederzeit identifizierbare Personenkreis, wird durch PMS gemäß den Vorgaben des Art. 5 der DS-GVO vertraglich auf den besonderen Schutz im Umgang mit persönlichen und medizinischen Daten verpflichtet. Die Verpflichtung auf das Datengeheimnis besteht für den Personenkreis über das Arbeitsverhältnis fort.
Wichtiger Hinweis: Mit der Einwilligung in unsere Allgemeinen Geschäftsbedingungen (Entstehung des Geschäftszwecks) und durch Zurverfügungstellung der eigenen medizinischen Daten, erklärt sich der Kunde (in Beziehung zu Personal MedSystems GmbH) bzw. der Patient (in Beziehung zu dem vom Patienten ausgewählten Arzt) ausdrücklich bereit, dass der zuvor beschriebene Personenkreis auf die medizinischen Daten zweckbezogen zugreifen darf.
Mit der Registrierung in das Portal und der damit verbundenen Bestätigung der Geschäftsbedingungen für Dienstleistungen gegenüber Ärzten, erklären sich die Ärzte bereit, die Ihnen über das Portal zur Verfügung gestellten persönlichen als auch medizinischen Daten der ärztlichen Schweigepflicht und den datenschutzrechtlichen Vorgaben der DS-GVO bzw. fallbezogen des Schweizer Datenschutzgesetzes zu unterwerfen.
Kunden bzw. Patienten selbst erhalten ausschließlich auf folgenden Wegen Zugang zu ihrem Benutzerkonto (nachfolgend „BK“):
- via Internet oder der App, unter Verwendung eines selbst vergebenen Passwortes, das eine Mindestlänge von 6 Zeichen besitzen und aus Buchstaben und Ziffern bestehen muss. Vergisst der Kunde das Passwort, so kann er unter Eingabe seiner Benutzerkennung das Passwort zurücksetzen lassen. Der Kunde erhält dann einen Link via E-Mail an die im BK eingetragene E-Mail-Adresse. Dieser ermöglicht es dem Kunden ein neues Passwort einzutragen und damit Zugriff auf sein BK zu erhalten. Das Passwort ist für die Kundenbetreuung von PMS (nachfolgend „KB“) nicht sichtbar und darf bei telefonischen Anfragen nicht zur Identifizierung dienen.
- via Telefon über Nachweis der Identität des Kunden. In diesem Fall kann die KB die persönlichen Daten des Kunden einsehen, dem Kunden darüber Auskunft geben und die Daten auf Wunsch des Kunden verändern. Außerdem kann KB das Passwort zurücksetzen (weiteres Vorgehen siehe oben).
- via Brief-Post, unter Zusendung eines formlosen Briefes in Schriftform und einer Kopie des Personalausweises. Der Kunde kann darin einen Ausdruck der persönlichen und medizinischen Daten anfordern (sofern das Einverständnis dafür ausdrücklich in diesem Brief vermerkt ist) und seine geänderten persönlichen Daten mitteilen. Außerdem kann der Kunde die Zurücksetzung seines Passworts veranlassen (weiteres Vorgehen, siehe oben).
2. Rechnungsstellung, Forderungseinzug
Falls wir Rechtsanwaltskanzleien und/oder Inkassounternehmen mit der Einziehung unserer Forderungen beauftragen, können die zur Abrechnung mit dem Kunden erforderlichen Daten an diese übermittelt werden, soweit es zum Einzug der Forderungen und der Erstellung einer detaillierten Rechnung erforderlich ist. Der Dritte ist zur Wahrung der datenschutzrechtlichen Bestimmungen verpflichtet. Gleiches gilt, soweit wir einen anderen Dienstanbieter, dessen wir uns zur Erfüllung der vertraglichen Leistungen bedienen, z.B. mit der Zahlungsabwicklung, Rechnungsstellung und dem Forderungseinzug beauftragen.
3. Logistik
Wir beauftragen Dritte für die logistische Abwicklung Ihres Auftrages (z.B. DHL, Deutsche Post). Die hierfür notwendigen Daten Ihres Auftrages werden ausschließlich zu diesem Zweck an den zutreffenden Logistikdienstleister weitergegeben. Dieser ist dazu verpflichtet, Ihre Daten gemäß den einschlägigen Datenschutzgesetzen zu behandeln.
4. Newsletter-Ansprache bei Bestandskunden
Ihre E-Mailadresse, die wir im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten, nutzen wir darüber hinaus ausschließlich und soweit gesetzlich zulässig für Werbung in Form unseres Newsletters für eigene ähnliche Waren oder Dienstleistungen, wie die von Ihnen bestellten, sofern Sie dieser Verwendung nicht widersprochen haben. Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen, ohne dass hierfür Übermittlungskosten, andere als nach den Basistarifen, entstehen. Ihr Widerspruch (und damit die Abbestellung unseres Newsletters) kann durch entsprechende Nachricht an unsere E-Mail-Adresse (info@cardiosecur.com) ausgeübt werden. Ferner verweisen wir in Bezug auf Nutzung und Speicherung Ihrer E-Mail-Adresse auch im Zusammenhang mit unserem Newsletter-Versender auf Ziff. II. 4 oben.
5. Aufbewahrungsdauer und keine weitergehende Datenverarbeitung
Die Daten des Kunden werden nur so lange gespeichert, wie es im Rahmen der vertraglichen Vereinbarung mit dem Kunden und unter Einhaltung des anwendbaren Rechts erforderlich ist. Wir verweisen für die Anonymisierung und Löschung von Daten auf Ziff. I. 4 oben. Es erfolgt keine darüberhinausgehende Datenerhebung oder Datenverarbeitung durch uns. Insbesondere werden wir die Kundendaten ohne wirksame Einwilligung des Kunden nicht für Marketing- oder Werbezwecke nutzen oder zu diesen Zwecken an Dritte übermitteln.
Wir sind darüber hinaus berechtigt, Daten des Kunden nach Maßgabe der gesetzlichen Bestimmungen irreversibel zu anonymisieren und diese anonymisierten Daten für eigene Zwecke zur Verbesserung des Leistungsangebotes von PMS zu verwenden sowie an Dritte ausschließlich für anonymisierte Forschungszwecke zur Bekämpfung von kardialen Erkrankungen oder anonymisierte statistische Auswertungen weiterzugeben.
V. Hinweise zum Schutz der Daten der teilnehmenden Ärzte
Wir dürfen gemäß den datenschutzrechtlichen Vorschriften die Daten der teilnehmenden Ärzte erheben, speichern und verarbeiten, soweit dies für die Begründung, Änderung sowie Durchführung des Vertrages oder dessen Abrechnung erforderlich ist. Im Einzelnen werden Daten der Ärzte wie folgt erhoben, gespeichert und verarbeitet:
1. Datenverarbeitung zu Vertragszwecken, Weitergabe von Daten
Die Bestandsdaten der Ärzte und weitere Informationen, die ihn selbst und sein Nutzungsverhalten (Verbindungsdaten) betreffen (z.B. Zeitpunkt, Anzahl und Dauer der Verbindungen, Zugangskennwörter, Up- und Downloads), werden von uns erhoben, gespeichert und verarbeitet, soweit dies zur Erfüllung des Vertragszwecks erforderlich ist. Die Daten werden auf proprietären Servern des in dieser Datenschutzerklärung benannten Rechenzentrums in Deutschland und Finnland gespeichert.
Wir werden die Daten des Arztes nicht ohne dessen Einwilligung an Dritte weitergeben, es sei denn wir sind hierzu gesetzlich verpflichtet oder berechtigt. Insbesondere verweisen wir bezüglich der Bearbeitung im Zusammenhang mit anmeldepflichtigen Diensten auf Ziff. II. 5 oben.
2. Nutzung der Bestandsdaten von Ärzten zu anderen Zwecken
Unabhängig von unseren gesetzlichen Befugnissen zur Datenerhebung, -speicherung und -verarbeitung willigt der Arzt, durch Bestätigung unserer Geschäftsbedingungen für Dienstleistungen gegenüber Ärzten während der Registrierung in unserem Portal, darin ein, dass wir seine Bestandsdaten sowie die anonymisierten Daten seiner Nutzungsintensität (z.B. Anzahl der Messungen, Anzahl Patienten) soweit gesetzlich zulässig ausschließlich für eigene Zwecke zur Beratung, Marktforschung und zur bedarfsgerechten Gestaltung unserer Leistungen nutzen. Der Arzt kann eine solche Nutzung seiner Daten jederzeit mit Wirkung für die Zukunft widerrufen.