MEINE ARZTRECHNUNG

Datenschutz- und Einwilligungserklärung

Stand: Mai 2019

1 Allgemeine Hinweise

Die MGS Meine-Gesundheit-Services GmbH, Maria Trost 21, 56070 Koblenz, (nachfolgend „MGS“) als Verantwortliche für die Betreibung des Internetportals „Meine Gesundheit“, der gleichnamigen App, der App „Meine Arztrechnung“ sowie weiterer angegliederter Web-Applikationen (nachfolgend: „Applikationen“), freut sich über Ihre Nutzung derselben. Der Schutz Ihrer personenbezogenen Daten bei der Verarbeitung während des gesamten Geschäftsprozesses bzw. während Ihrer Nutzung ist für uns ein wichtiges Anliegen und wir möchten, dass Sie sich dabei wohl und sicher fühlen. Dabei ist die Beachtung der gesetzlichen Bestimmungen zum Datenschutz eine Selbstverständlichkeit für uns.

Im Folgenden erläutern wir, welche Informationen bei Ihrer Nutzung der App „Meine Arztrechnung“ erfasst, verarbeitet und genutzt werden, für die diese Datenschutz-Erklärung ausschließlich gilt.

 

2 Personenbezogene Daten

Personenbezogene Daten sind nach der EU Datenschutz-Grundverordnung (EU DS-GVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen,
psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Also Einzelangaben, die in direkter oder indirekter Weise zu Ihrer wirklichen Identität gehören oder führen, z. B. Ihr Name, Ihre Anschrift, Ihre Telefonnummer, Ihre E-Mail-Adresse, Ihr Geburtsdatum etc., auch „Stammdaten“ genannt.

Als besonders geschützt und demzufolge besonderen gesetzlich vorgeschriebenen Sicherheitsanforderungen unterworfen, gelten in diesem Zusammenhang alle Informationen rund um Ihre Krankenversicherung, Beihilfestelle und Beihilfestatus und insbesondere Ihre
Gesundheitsdaten bzw. Ihrer mitversicherten Personen.

Grundsätzlich hat MGS bei Ihrer Nutzung der Applikationen keinen Zugriff auf Ihre personenbezogenen Gesundheitsdaten, da diese komplett verschlüsselt übertragen und gespeichert werden. Die Entschlüsselung der Daten sowie die Freigabe zur Weiterleitung (s.u.) erfolgt nur durch Sie selbst.

 

3 Verarbeitungszwecke und Rechtsgrundlagen

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt regelmäßig zu Zwecken der Vertragserfüllung im Zusammenhang mit Ihrem Nutzerkonto sowie der Nutzung der App „Meine Arztrechnung“ und den darin enthaltenen eServices, wie z.B. Abfotografieren bzw. Upload, Empfang
und Versand von Arztrechnungen etc. Dies gilt insbesondere für die Erstellung eines LIFE Kontos bei der CompuGroup Medical Deutschland AG (vgl. Nutzungsvereinbarung mit CGM) sowie die Zurverfügungstellung Ihrer Gesundheitsdaten (vgl. Nutzungsvereinbarung mit MGS). Diese
Verarbeitungen fußen auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. b DS-GVO und ist für die Erfüllung des o.g. Vertragsverhältnisses erforderlich.

Weiterhin verarbeiten wir Ihre Daten auf Basis Ihrer freiwilligen Einwilligung zur Verarbeitung von personenbezogenen Gesundheitsdaten, um Ihre Anfragen zu beantworten oder Ihnen Zugang zu bestimmten Informationen oder Angeboten zu verschaffen. Diese Verarbeitung basiert auf der
Rechtsgrundlage des Art. 6 Abs. 1 lit. a DS-GVO.

Eine Weitergabe, Verkauf oder sonstige Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt nicht, es sei denn, dass dies zum Zwecke der Vertragsabwicklung oder zur Ausführung einer Dienstleistung für uns im Rahmen einer Auftragsverarbeitung (Empfänger-Kategorie hier: IT-Dienstleistung) erforderlich ist oder Sie ausdrücklich eingewilligt haben.

Eine Weitergabe/Verarbeitung in unsicheren Drittstaaten erfolgt nicht.

Darüber hinaus erfolgen Erhebungen von personenbezogenen Daten sowie deren Übermittlung an auskunftsberechtigte staatliche Institutionen und Behörden nur im Rahmen der einschlägigen Gesetze oder wenn wir durch eine gerichtliche Entscheidung dazu verpflichtet sind, basierend auf
Art. 6 Abs. 1 lit. c DS-GVO.

Um die von Ihnen gewünschten Services in der Applikation „Meine Arztrechnung“ erbringen zu können, erfragen wir von Ihnen bei der Anmeldung Ihre E-Mail-Adresse und Ihr Passwort, sofern Sie bereits registriert sind. Wenn Sie noch nicht registriert sind, werden im Rahmen des
Registrierungsprozesses Ihr Titel, Vor- und Zuname, Ihre E-Mail-Adresse, Ihr Geburtsdatum, Ihre private Krankenversicherung sowie ggf. Angaben über Ihre Beihilfeberechtigung, Ihre Beihilfestelle und Ihr Beihilfesatz abgefragt, um Ihnen einen Zugang zu „Meine Arztrechnung“ zu ermöglichen.

Alle zentralen Funktionen der Applikationen stellen wir über das Backend von „Meine Gesundheit“ zur Verfügung. Dieses betreiben wir in einem Rechenzentrum in Deutschland. Hier erfolgt auch die verschlüsselte Datenhaltung zu Ihrem Account.

Weiterhin werden in Protokolldateien, über Suchmaschinen und Formulare bei der Nutzung unserer Applikationen ggf. Daten erhoben. Dabei speichern wir auf unseren Servern standardmäßig zum Zweck der Systemsicherheit dauerhaft die Verbindungsdaten des anfragenden Gerätes (IP-Adresse), den Gerätetyp, die OS Version des Gerätes, die Speicherkapazität des Gerätes (RAM und Memory) sowie das Datum und die Dauer Ihrer Nutzung.

 

4 Speicherdauer und Löschung

Die Speicherdauer Ihrer personenbezogenen Daten richtet sich nach dem Verwendungszweck unter Ziff. 3 sowie den gesetzlichen Aufbewahrungs-, Verjährungs- bzw. Löschfristen. Regelmäßig werden Ihre Daten für die Dauer der Geschäftsbeziehung mit uns gespeichert und danach gelöscht.

Eine längere (zugriffsgeschützte) Speicherung erfolgt nur gemäß den einschlägigen gesetzlichen Aufbewahrungspflichten (z.B. zu Abrechnungs- und steuerlichen Zwecken) oder zur Ausübung/Verteidigung von Rechtsansprüchen.

Soweit Ihre Daten nicht mehr für die vorgenannten Zwecke erforderlich sind, werden diese im Rahmen der gesetzlichen Fristen regelmäßig gelöscht. Bitte beachten Sie, dass bei jeder Löschung die Daten zunächst nur gesperrt und dann erst mit zeitlicher Verzögerung endgültig gelöscht werden, um versehentlichen Löschungen oder evtl. vorsätzlichen Schädigungen vorzubeugen.

Aus technischen Gründen werden Daten ggf. in Datensicherungsdateien und Spiegelungen dupliziert. Solche Kopien werden ebenfalls ggf. erst mit einem technisch bedingten zeitlichen Versatz gelöscht.

 

5 Analyse automatisch erfasster Daten

Zugriffe und Transaktionen zeichnen wir in so genannten Logdaten auf. Diese anonymen Logdaten werden für Fehlerbehebung, Statistiken, Analysen, Qualitätsverbesserungen und das Identifizieren von Sicherheitsproblemen benötigt und zu diesem Zweck punktuell oder statistisch ausgewertet.

Bei der Anforderung einer Datei aus unserem Download-Angebot können auf unseren Servern ggf. Zugriffsdaten gespeichert werden. Jeder angeforderte Datensatz besteht aus: der Seite, von der aus die Datei angefordert wurde, dem Namen der Datei, Datum und Uhrzeit der Anforderung, die
übertragene Datenmenge, dem Zugriffsstatus (Datei übertragen, Datei nicht gefunden etc.) und ggf. dem Typ des verwendeten Browsers / Betriebssystems.

Um die Nutzungshäufigkeit und die Anzahl der Nutzer unserer Applikationen zu ermitteln, verwenden wir die Software „Matomo“ (https://matomo.org/). Mit dieser Software erfassen wir Daten ausschließlich in anonymisierter und zusammengefasster Form für statistische Zwecke und für die
Entwicklung der Applikationen, bspw. die Besucherzahl jeder einzelnen Seite. Aufgezeichnet werden: benutzter Endgerätetyp, Internet-Provider, Zugriffsdatum und -uhrzeit sowie Kalkulationsdaten.

Im Falle eines Absturzes der App interessieren wir uns natürlich für die Gründe dafür, um die Ursache untersuchen und beheben zu können. Dazu setzen wir die Software Crashlytics ein. Wenn eine App abstürzt, werden bestimmte, rein technische Informationen (nicht-personenbezogene, persönliche oder sonstige sensible Daten Ihres Endgerätes) ausschließlich zur Fehleranalyse und -behebung verarbeitet: Datum und Uhrzeit des Absturzes, Endgerätetyp, Betriebssystem / -version, Speicherauslastung etc.

Weitere Details sowie die Datenschutzrichtlinie von Crashlytics können Sie hier einsehen: https://fabric.io/terms?utm_campaign=crashlytics-marketing&utm_medium=natural.

 

6 Datensicherheit

Wir haben technische und organisatorische Sicherheitsmaßnahmen getroffen, um Ihre personenbezogenen Daten vor Verlust, Zerstörung, Manipulation und unberechtigtem Zugriff zu schützen, bspw. durch die Speicherung in Hochsicherheits-Rechenzentren nur in Deutschland. Alle
Mitarbeitende und alle an der Datenverarbeitung beteiligten Personen (auch bei beauftragten Dienstleistern) wurden von uns zur Wahrung der Vertraulichkeit, zur Einhaltung der Datenschutzvorschriften sowie zum sorgsamen Umgang mit personenbezogenen Daten verpflichtet.

Im Falle einer elektronischen Übermittlung von personenbezogenen Daten zum Zwecke der Lieferung und Leistung werden diese in verschlüsselter Form übertragen, um einem Missbrauch durch Dritte vorzubeugen. Unsere Sicherungsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend angepasst.

Um die Sicherheit bei der Übertragung zu schützen, verschlüsseln wir Ihre Daten mit Secure Socket Layer (SSL). Alle von Ihnen dauerhaft gespeicherten Daten werden ebenfalls verschlüsselt in Ihrem Account abgelegt.

Bitte beachten Sie, dass wir einen Missbrauch durch Dritte, z.B. bei Diebstahl Ihres mobilen Endgerätes, über das Sie unsere Applikation nutzen, nicht ausschließen können. Wir empfehlen Ihnen daher, Ihr entsprechendes mobiles Endgerät mit einer Code-Sperre oder einem sicheren
Passwort zu schützen.

Als Nutzer sind Sie für die Sicherung Ihres Endgerätes gegen Missbrauch, Schadcode, „Jailbreaking“ bzw. „Rooting“ (unerlaubtes Entfernen der Sicherheitssperren des Herstellers Ihres mobilen Gerätes bzw. dem Betriebssystem darauf) etc. selbst verantwortlich. Hierzu gehört insbesondere eine dem Stand der Technik entsprechende Sicherung der Zugangsdaten, ggf. unter Nutzung eigener PINSperren des Endgerätes und/oder durch eine darüberhinausgehende Sicherung der eingegebenen Daten. Wir empfehlen Ihnen einen angemessenen Schutz vor Schad-Software („Viren“), etwa durch käuflichen Erwerb von Antiviren-Software, sowie das Betriebssystem Ihres Endgerätes ständig auf dem neusten Stand zu halten (Update und Patches).

 

7 Ihre Rechte als betroffene Person

Als betroffene, bevollmächtigte oder berechtigte Person haben Sie jederzeit die Möglichkeit, gegenüber MGS schriftlich oder per E-Mail folgende Rechte geltend zu machen, sofern keine vertraglichen oder gesetzlichen Bestimmungen dem entgegenstehen oder die Verarbeitung aus
sonstigen Gründen erforderlich ist (z.B. wg. Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen).

Dazu nutzen Sie bitte für alle nachfolgenden Rechte die unter Ziff. 10 angegeben Adressen. Für per E-Mail gestellten Ersuchen benutzen Sie bitte zu Identifikationszwecken ausschließlich Ihre E-Mail-Adresse, die Sie auch bei der Registrierung verwendet haben.

Recht auf Auskunft: Sie können jederzeit Auskunft über Ihre bei MGS gespeicherten personenbezogenen Daten erhalten. Bitte erstellen Sie Auskunftsersuchen nur schriftlich (E-Mail, Brief, Telefax). Telefonisch werden aus Datenschutzgründen keine Auskünfte erteilt.

Recht auf Berichtigung: Sofern Sie fehlerhafte Angaben oder Aktualisierungsbedarf in Ihren personenbezogenen Daten entdecken, können Sie uns dies gerne mitteilen. In diesen Fällen bitten wir Sie, belastbare Nachweise dazu beizufügen (z.B. bei Namensänderungen durch Heirat: eine Kopie der Heirats-/Personenstandsurkunde, ggf. weitere ergänzende Erklärungen).

Recht auf Löschung: Sofern die Zwecke zur Datenverarbeitung nicht mehr bestehen (z.B. durch Kündigung, Widerruf Ihrer Einwilligung o.Ä.), können Sie eine Datenlöschung beantragen. Bitte geben Sie uns an, ob Sie nur den MGS-Account bzw. Ihre Daten darin oder zusätzlich auch den CGM-Life-Account bzw. Ihre Daten darin kündigen/löschen wollen. Sie erhalten von uns sodann eine Bestätigung.

Bitte beachten Sie dabei, dass Ihre Daten nur noch bis zum Ablauf der Kündigungsfrist (derzeit: 30 Tage) durch Sie downloadbar sind. Danach werden sie durch uns unwiederbringlich gelöscht. Sie können dann auch keinen Datenexport mehr beantragen (s.u.).

Recht auf Einschränkung: MGS verarbeitet nur dann Ihre Daten, wenn Sie sich in Ihren Account eingeloggt haben und aktiv darin arbeiten. Ansonsten bleiben sie verschlüsselt gespeichert.

Recht auf Datenübertragbarkeit (Daten-Export): Sie können jederzeit bei MGS beantragen, Ihre Stammdaten (Name, Adresse, Geburtsdatum etc.), in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format für Ihren Account zur Verfügung gestellt zu
bekommen, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und keine Rechte und Freiheiten dritter Personen dadurch beeinträchtigt werden. MGS kann aufgrund der im Markt vorhandenen vielfältigen Datenformate und Schnittstellen nicht garantieren, dass das
genutzte Datenformat von jedem anderen Anbieter 1:1 eingelesen und verarbeitet werden kann. Von daher empfehlen wir Ihnen, vor der Beantragung zunächst die Import-Funktionen Ihres Drittanbieters zu verifizieren.

Hinsichtlich Ihrer verschlüsselten Gesundheitsdaten können wir Ihnen diese Funktion aufgrund der Verschlüsselung nicht zur Verfügung stellen.

Recht auf Widerspruch/Widerruf: Sie können der Verarbeitung Ihrer personenbezogenen Daten durch uns jederzeit widersprechen bzw. eine erteilte Einwilligung dazu widerrufen. Dies zieht jedoch regelmäßig eine Konto-Löschung nach sich, da die Verarbeitung auch die Speicherung umfasst. Dazu sind wir leider gesetzlich gezwungen.

Recht auf Beschwerde bei den Aufsichtsbehörden: Sie haben das Recht, bei Ihrer zuständigen Landesdatenschutz-Aufsichtsbehörde Beschwerde einzulegen. Die Adressen finden Sie im Internet auf der Seite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Berlin.

 

8 Links zu anderen Webseiten

Sofern Sie Links zu externen Webseiten nutzen, die im Rahmen unserer Applikationen angeboten werden, erstreckt sich diese Datenschutzerklärung nicht auf diese externen Webseiten.

Zum Zeitpunkt der Linksetzung haben wir uns von der Ordnungsmäßigkeit der verlinkten Webseite(n) hinsichtlich Inhalte und Sicherheit überzeugen können und überprüfen diese regelmäßig. Wir haben jedoch keinen Einfluss auf die weitere Einhaltung der Datenschutz- und Sicherheitsbestimmungen anderer Anbieter. Informieren Sie sich deshalb bitte auf den Internetseiten der anderen Anbieter auch über die dort bereitgestellten Datenschutzerklärungen zu Ihrer Sicherheit.

Sollten Sie Kenntnis von einem „unsicheren“ Link ausgehend von unseren Applikationen erhalten, informieren Sie uns bitte sofort, damit wir der Sache nachgehen können. Vielen Dank.

 

9 Änderungen unserer Datenschutzbestimmungen
Soweit dies aufgrund der Rechts- oder Bedrohungslage sowie der technischen Entwicklung notwendig wird, behalten wir uns das Recht vor, unsere Sicherheits- und Datenschutzmaßnahmen dementsprechend zu verändern. In diesen Fällen werden wir auch unsere Datenschutzerklärung
anpassen. Bitte beachten Sie daher den jeweils aktuellen Versionsstand am Anfang dieser Erklärung.

 

10 Kontakt/Datenschutzbeauftragter

Sie können jederzeit Kontakt zu unserem betrieblichen Datenschutzbeauftragten aufnehmen unter

MGS Meine-Gesundheit-Services GmbH
Datenschutzbeauftragter
Frank Giebel
Maria Trost 21
56070 Koblenz

oder senden Sie uns eine E-Mail an datenschutz@mgs-eportal.de

 

11 Zuständige Aufsichtsbehörde

Für die MGS Meine-Gesundheit-Services GmbH ist folgende Aufsichtsbehörde zuständig:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34
55116 Mainz

 

12 Einwilligungserklärung

Durch Einwilligung der vorstehenden Datenschutzhinweise erkläre ich, dass ich diese zur Kenntnis genommen und heruntergeladen habe. Ich bin mit der dort beschriebenen Verarbeitung meiner Daten einverstanden.

Ich habe verstanden, dass eine Weitergabe oder ein Verkauf meiner personenbezogenen Daten an Dritte nicht erfolgt, es sei denn, dass dies zum Zwecke der Vertragsabwicklung oder zur Ausführung einer Dienstleistung im Rahmen einer Auftragsdatenverarbeitung erforderlich ist oder ich
ausdrücklich eingewilligt habe.

Weiterhin wurde mir erklärt, dass darüber hinaus Erhebungen von personenbezogenen Daten sowie deren Übermittlung an auskunftsberechtigte staatliche Institutionen und Behörden nur im Rahmen der einschlägigen Gesetze erfolgen oder, wenn MGS durch eine gerichtliche Entscheidung dazu
verpflichtet ist.

Des Weiteren wurde ich über meine Rechte als betroffene Person aufgeklärt und weiß, wie ich diese gegenüber MGS wahrnehmen kann.