Präambel
Diese ergänzenden Hinweise informieren Sie über die Besonderheiten der Datenverarbeitung bei der Nutzung der Module „Care Plan“ und „Wunddokumentation“. Sie gelten zusätzlich zu unserer allgemeinen Datenschutzerklärung für die App „HARTMANN Easy“ und gehen dieser im Falle von Widersprüchlichkeiten in Bezug auf die Datenverarbeitung innerhalb dieser Module vor.
1. Unsere Rolle als Ihr Auftragsverarbeiter
Bei der Nutzung der Module „Care Plan“ und „Wunddokumentation“ verarbeiten Sie als Gesundheitsfachkraft personenbezogene Daten Ihrer Patienten. Dies sind besondere Kategorien personenbezogener Daten (Gesundheitsdaten) nach Art. 9 DS-GVO.
In diesem spezifischen Kontext ändert sich unsere datenschutzrechtliche Rolle:
- Für die Verarbeitung der Daten Ihrer Patienten innerhalb dieser Module sind Sie (bzw. Ihr Arbeitgeber, z.B. der ambulante Pflegedienst, die ambulante Wohnform, Homecare) der datenschutzrechtlich Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO.
- Wir, die PAUL HARTMANN AG, handeln ausschließlich als Ihr weisungsgebundener Dienstleister und somit als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO.
Unsere Befugnis zur Verarbeitung dieser Daten ergibt sich daher nicht aus einer Einwilligung der Patienten uns gegenüber, sondern allein aus dem mit Ihrer Institution (dem Vertragspartner) geschlossenen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DS-GVO. Dieser AVV wird zentral und elektronisch (Click & Wrap) durch Ihren bevollmächtigten Administrator abgeschlossen.
2. Ihre Rolle und Pflichten als Verantwortlicher
Als Verantwortlicher obliegt Ihnen die alleinige Verantwortung für die Rechtmäßigkeit der Datenverarbeitung Ihrer Patienten. Dies umfasst insbesondere:
- Die Sicherstellung einer gültigen Rechtsgrundlage für die Verarbeitung, in der Regel die Einholung einer ausdrücklichen Einwilligung Ihrer Patienten gemäß Art. 9 Abs. 2 lit. a DS-GVO.
- Die Erfüllung der Informationspflichten gegenüber Ihren Patienten gemäß Art. 13 und 14 DS-GVO.
- Die Gewährleistung der Betroffenenrechte Ihrer Patienten (Auskunft, Löschung etc.).
3. Art der verarbeiteten Patientendaten
Im Rahmen der Auftragsverarbeitung verarbeiten wir in Ihrem Auftrag die von Ihnen in die Module eingegebenen Patientendaten. Dies können insbesondere sein:
- Patienten-Identifikationsdaten (soweit von Ihnen eingegeben, z.B. Name, Geburtsdatum, Patientennummer)
- Gesundheitsdaten wie Wundart, Wundgröße, Fotos von Wunden, Heilungsstatus, Schmerzniveau
- Informationen zu Behandlungsplänen, Medikation und Therapieverlauf
4. Zwecke der Verarbeitung im Auftrag
Wir verarbeiten die von Ihnen eingegebenen Patientendaten ausschließlich zu den Zwecken, die zur Erfüllung unserer vertraglichen Pflichten aus dem Nutzungsvertrag und dem AVV erforderlich sind. Diese Zwecke umfassen auch die technische Anonymisierung der Daten, die auf der verbindlichen Weisung Ihrer Institution basiert, welche uns im Auftragsverarbeitungsvertrag (AVV, Ziffer 1.1) und den AGB (Ziffer 6.6) erteilt wurde. Ihre Institution als Verantwortlicher tragen die alleinige Verantwortung dafür, dass für die Erteilung dieser Weisung eine ausreichende Rechtsgrundlage besteht. Der Verantwortliche (Kunde) stellt sicher, dass die Einwilligung des Patienten auch die plattformübergreifende Verarbeitung (App und Web) sowie die technische Anonymisierung umfasst. Nach der Anonymisierung dürfen die entstandenen anonymen Datensätze innerhalb der HARTMANN Gruppe für Zwecke der Produktverbesserung, Forschung und Entwicklung genutzt werden. Eine Verarbeitung oder Nutzung der Patientendaten für andere Zwecke, die nicht von Ihrer Weisung gedeckt ist, ist ausgeschlossen.
5. Datensicherheit und Speicherung
Wir treffen die im AVV spezifizierten, umfassenden technischen und organisatorischen Maßnahmen, um die Sicherheit und Vertraulichkeit der von Ihnen eingegebenen Patientendaten zu gewährleisten. Die Speicherung erfolgt verschlüsselt auf den Servern unseres Hosting-Dienstleisters Microsoft Azure in der Europäischen Union. Die von Ihnen eingegebenen Patientendaten werden von uns nur so lange gespeichert, wie Sie die Module nutzen und der zugrundeliegende Nutzungs- bzw. AV-Vertrag besteht. Nach Beendigung des Vertrags – oder auf Ihren ausdrücklichen Wunsch schon früher – werden wir sämtliche Patientendaten gemäß den Vorgaben des AV-Vertrags löschen oder zurückgeben, sofern nicht ausnahmsweise gesetzliche Aufbewahrungspflichten bestehen.