Datenschutzerklärung für bei MyPraxis registrierte Nutzer
Datenschutz nimmt einen besonders hohen Stellenwert bei MyPraxis ein. Während die Nutzung der Website von MyPraxis ohne Registrierung zu Informationszwecken grundsätzlich ohne zusätzliche Angabe personenbezogener Daten durch die betroffene Person (nachfolgend „Nutzer“) möglich ist, setzt der Zugang zu den Diensten von MyPraxis (bspw. Terminbuchungen/-verschiebungen/-stornierungen und Rezeptanfragen) den Abschluss einer Nutzungsvereinbarung durch Registrierung der Nutzer und die Einrichtung eines Nutzerkontos (nachfolgend „Konto“) nach Maßgabe der von MyPraxis abgefragten und von dem Nutzer angegebenen personenbezogenen Daten voraus. Möchte der Nutzer die abgefragten Informationen nicht erteilen, ist dessen Registrierung und die Einrichtung eines Kontos mit dem damit verbundenen Zugang zu den Diensten von MyPraxis nicht möglich.
Sofern ein Nutzer über die Registrierung hinaus die Dienste von MyPraxis in Anspruch nehmen möchte, wird eine weitere Verarbeitung personenbezogener Daten (gegebenenfalls einschließlich Daten besonderer Kategorien wie Gesundheitsdaten; bspw. Termingrund) erforderlich. Ist für eine solche Verarbeitung keine gesetzliche Grundlage vorhanden, holt MyPraxis generell - entweder in seiner Eigenschaft als Verantwortlicher für die Datenverarbeitung oder als Auftragsverarbeiter für die jeweilige Praxis - eine Einwilligung ein. Möchte der Nutzer die für eine Nutzung der Dienste notwendigen und abgefragten Informationen sowie eine gegebenenfalls notwendige Einwilligung in die Datenverarbeitung nicht erteilen, stehen ihm diese Dienste nicht zur Verfügung.
Die Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und allen sonstigen Datenschutzvorschriften.
Diese Datenschutzerklärung verfolgt den Zweck, den Nutzer über Art, Umfang und Zweck der Datenverarbeitung zu informieren und ihn über seine diesbezüglichen Rechte aufzuklären. Im Übrigen gelten ergänzend zu dieser Datenschutzerklärung auch für registrierte Nutzer die allgemeinen Datenschutzhinweise von MyPraxis, die unter
https://www.mypraxis.de/datenschutz
https://www.mypraxis.de/datenschutz_social_media
aufgerufen werden können und ergänzend zu beachten sind.
Als Verantwortlicher für die Datenverarbeitung oder als Auftragsverarbeiter der jeweiligen Praxis ergreift MyPraxis die geeigneten technisch-organisatorischen Maßnahmen, um die Sicherheit, den Schutz und die Geheimhaltung der persönlichen Informationen und der personenbezogenen Daten, über die MyPraxis verfügt oder die MyPraxis in Einhaltung der geltenden datenschutzrechtlichen Bestimmungen verarbeitet, sicherzustellen. Verzichtet der Nutzer jedoch auf bestimmte von MyPraxis angebotene Sicherheitsmaßnahmen zum Datenschutz (bspw. optionaler Passwortschutz) bzw. deaktiviert diese, so handelt der Nutzer diesbezüglich auf eigene Verantwortung und haftet allein für etwaige daraus resultierende Schäden (vgl. § 14 Ziff. 6 der AGB).
1. Begriffsbestimmung i.S.d. DSGVO
Diese Datenschutzerklärung verwendet die datenschutzrechtlichen Begrifflichkeiten i.S.d. DSGVO (bspw. „personenbezogene Daten“, „Verantwortlicher“, „Auftragsverarbeiter“), die in § 4 DSGVO näher bestimmt und ausführlich definiert werden.
2. Für die Datenverarbeitung Verantwortlicher
Verantwortliche für die Verarbeitung personenbezogener Daten sind:
Für personenbezogene Daten, die von dem Nutzer bei seiner Registrierung bei MyPraxis oder im Rahmen der allgemeinen Verwaltung seines bei MyPraxis eingerichteten Kontos angegeben und verarbeitet werden, ist Verantwortlicher
AppErfolg Tobias Reittinger
Hafnerstraße 4
93413 Cham
Telefon: +49 9971 7680132
Für personenbezogene Daten (einschließlich Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO wie bspw. Gesundheitsdaten), die bei der Nutzung der Dienste notwendigerweise verarbeitet werden, ist Verantwortlicher die jeweilige Praxis, der gegenüber der jeweilige Dienst von MyPraxis ausgeführt wurde. MyPraxis ist dabei lediglich Auftragsverarbeiter und handelt nach Weisung der verantwortlichen Praxis.
3. Registrierung
Die Registrierung erfolgt unter freiwilliger Angabe der von MyPraxis abgefragten personenbezogenen Daten auf der Website oder in der App von MyPraxis. Ohne die Angabe und Verarbeitung der abgefragten personenbezogenen Daten ist dem Nutzer eine Registrierung und der Zugang zu den Diensten von MyPraxis nicht möglich.
4. Datenerhebung und Daten Dritter
Alle Daten des Nutzers, die dieser bei der Registrierung, Verwaltung des Kontos und Nutzung der Dienste angibt und übermittelt, werden ausschließlich und direkt von diesem erhoben.
Ist der Nutzer nicht selbst Patient und nimmt er die Dienste von MyPraxis für einen Patienten, den er im Konto angelegt hat, in Anspruch (§ 7 Ziff. 2 der AGB), bestätigt er sowohl bereits bei Zustandekommen eines Nutzungsverhältnisses auf Grundlage der Allgemeinen Geschäfts- und Nutzungsbedingungen für registrierte Nutzer von MyPraxis als auch bei der Anlage des Patienten und seiner Person im Konto des Nutzers, dass der Patient, für den er die Dienste nutzt/nutzen möchte, in die Verarbeitung seiner personenbezogenen Daten (einschließlich Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO wie Gesundheitsdaten) eingewilligt hat und mit der Nutzung der Dienste einverstanden ist (Einwilligung und Einverständniserklärung). Dies hat der Nutzer gegenüber MyPraxis bei entsprechender Aufforderung nachzuweisen. In einem solchen Fall handelt der Nutzer ausschließlich im Auftrag des Patienten, sodass alle Daten des Patienten als ausschließlich und direkt von diesem erhoben gelten.
Soweit der Nutzer im Auftrag eines Dritten und mit dessen Einwilligung handelt, nimmt der Nutzer diese Datenschutzerklärung für den Dritten zur Kenntnis, sodass diese Datenschutzerklärung dem betroffenen Dritten als zur Verfügung gestellt und mitgeteilt i.S.d. § 13 DSGVO gilt.
Dem Nutzer ist in Bezug auf Daten Dritter bekannt, dass eine Verwendung personenbezogener Daten (einschließlich Daten besonderer Kategorien i.S.d. Art. 9 DSGVO) eines Dritten ohne dessen Einwilligung und Einverständniserklärung rechtswidrig und missbräuchlich ist und die Rechte Dritter verletzt. Insoweit haftet ausschließlich der Nutzer gegenüber dem Dritten, MyPraxis und/oder der jeweiligen Praxis für alle dadurch entstehenden Schäden (vgl. § 14 Ziff. 4 der AGB).
5. Verarbeitung personenbezogener Daten / Kategorien personenbezogener Daten
Bei Registrierung werden ausschließlich „einfache“ personenbezogene Daten i.S.d. Art. 4 Ziff. 1 DSGVO i.V.m. Art. 6 DSGVO verarbeitet, die nicht Kategorien besonderer personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO zuzuordnen sind.
Der konkrete Umfang und Inhalt der verarbeiteten personenbezogenen Daten richtet sich danach, welche Daten von MyPraxis für eine Registrierung abgefragt und benötigt werden (bspw. Telefonnummer, Email-Adresse, von dem Nutzer festzulegendes Passwort etc.) und welche personenbezogenen Daten darüber hinaus von dem Nutzer im Rahmen der Nutzung seines Kontos und der Dienste weitergehend freiwillig angegeben und übermittelt werden.
Folgende „einfache“ personenbezogene Daten können bei Registrierung und allgemeiner Verwaltung des Kontos typischerweise erhoben und verarbeitet werden:
| Name | Vorname, ggfs. zweiter Vorname, Nachname, Anrede |
| Kontaktdaten | Email-Adresse, Telefonnummer (Mobiltelefon, Festnetz), Kontaktadresse |
| Lokalisierungsdaten | GPS-/Standortdaten, Kontaktadresse, ge-/besuchte Orte, Standorte der Praxis |
| Persönliche Daten | Alter, Geburtsdatum, Geschlecht, Versicherungsart |
| Daten zur Identifikation der betroffenen Person | Nutzername, Email-Adresse, Telefonnummer, Passwort, Geburtsdatum, Vorname, Nachname |
| Elektronische Identifikationsdaten | IP-Adresse, Nutzername, Email-Adresse, Telefonnummer |
| Bilder | Profilbild, Profilicon |
| Daten zur Terminzeit | Zeitpunkt der Terminanfrage, Zeitpunkt des Termins |
| Daten zum Rezept | Zeitpunkt der Rezeptanfrage, Zeitpunkt der Abholung, Identifikationsdaten der Person der Rezeptabholung (z.B. Vorname, Nachname, Geburtsdatum) |
| Angehörige | Verknüpfung mit der Patientenkarte von Angehörigen, Hinterlegung der Daten von Angehörigen (Vorname, Nachname, Geburtsdatum, Kontaktadresse, Beziehung/Verwandtschaftsverhältnis) |
| Sonstige eingegebene Daten | Alle sonstigen personenbezogenen Daten, die der Nutzer bei Anmeldung, Erstellung eines persönlichen Profils und Nutzung der Dienste angeben und eintragen kann |
Die vorstehend genannten „einfachen“ personenbezogenen Daten werden über die Registrierung hinaus auch im Rahmen der Inanspruchnahme der Dienste von MyPraxis verarbeitet und insoweit an die jeweilige Praxis als Verantwortliche für die Datenverarbeitung übermittelt. Hierbei handelt MyPraxis als Auftragsverarbeiter für die jeweilige Praxis i.S.d. Art. 28 DSGVO auf Grundlage eines gesondert geschlossenen Vertrages über die Auftragsverarbeitung.
Darüber hinaus kann es bei Nutzung der Dienste zur Verarbeitung von Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO (insb. Gesundheitsdaten i.S.d. Art. 4 Ziff. 15 DSGVO) kommen. Diesbezüglich handelt MyPraxis ebenfalls als Auftragsverarbeiter i.S.d. Art. 28 DSGVO für die jeweilige Praxis als Verantwortliche für die Datenverarbeitung. Folgende Daten können hierbei verarbeitet werden:
| Daten zum Grund der beabsichtigten ärztlichen/medizinischen Behandlung (insb. bei Terminbuchungen) | Krankheiten, Krankheitsbild, gesundheitliche Beschwerden, Symptome, körperliche oder geistige Beeinträchtigungen, Behandlungsverlauf/-stand, Art und Weise der Behandlung, Medikation |
| Daten zur aktuellen/beabsichtigten medikamentösen Behandlung (insb. bei Rezeptanfragen) | Name des eingenommenen/einzunehmenden Medikaments, Dauer und Häufigkeit der (beabsichtigten) Einnahme, Nebenwirkungen/Beschwerden bei der Einnahme, Angaben zum medikamentösen Behandlungsverlauf/Behandlungsplan und zum geistigen und/oder körperlichen Gesundheitszustand |
| Daten, die Rückschlüsse auf Gesundheitsdienstleistungen zulassen | Angaben zu bisherigen/künftigen Behandlern der betroffenen Person und deren Gesundheitsleistungen (Terminhistorie), weitere freie Text-Notizen innerhalb der Patientenkarte |
| Terminstatus | Art des Terminstatus (z.B. Im Wartezimmer, In Behandlung, ...) |
6. Zweck der Datenverarbeitung
Sämtliche personenbezogenen Daten werden von MyPraxis als Verantwortlicher oder Auftragsverarbeiter zu folgenden Zwecken verarbeitet:
- Registrierung, Einrichtung eines Nutzerkontos und Zugang zu den Diensten von MyPraxis
- Kontaktaufnahme mit einer Praxis bei Nutzung der Dienste
- Verwaltung der Ergebnisse der genutzten Dienste im Konto des Nutzers
- Erinnerung des Nutzers an gebuchte Termine und abholbereite Rezepte
- Optimierung und Erleichterung der Durchführung des Behandlungsverhältnisses zwischen Patient und Praxis durch Nutzung der Dienste von MyPraxis
- Datensicherheit (Backups)
- Möglichkeit der Abwicklung von Haftungsansprüchen und Geltendmachung von Ansprüchen gegen den Nutzer (bspw. bei missbräuchlicher Verwendung von Daten Dritter durch den Nutzer)
7. Rechtsgrundlagen für die Datenverarbeitung
Sofern MyPraxis als Verantwortlicher personenbezogene Daten des Nutzers verarbeitet, erfolgt die Datenverarbeitung rechtmäßig aufgrund der Erfüllung folgender Bedingungen i.S.d. Art. 6 DSGVO:
- Die Verarbeitung ist für die Erfüllung der Nutzungsvereinbarung, dessen Vertragspartei der Nutzer ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage des Nutzers erfolgen (Art. 6 Abs. 1 S. 1 lit. b DSGVO)
- Die Verarbeitung ist zur Wahrung der nachfolgend aufgezählten berechtigten Interessen von MyPraxis als Verantwortlicher erforderlich, wobei die Interessen oder Grundrechte und Grundfreiheiten des Nutzers, die den Schutz personenbezogener Daten erfordern, nicht überwiegen (Art. 6 Abs. 1 S. 1 lit. f DSGVO):
- Sicherstellung einer best- und schnellstmöglichen Kommunikation zwischen Nutzer und Praxis bei Nutzung der Dienste
- Sicherstellung des hohen Qualitätsanspruchs von MyPraxis an seine Dienste und deren Nutzerfreundlichkeit
- Gewährleistung der mit den Diensten von MyPraxis verbundenen Vorteile für Nutzer und Praxis, insbesondere im Hinblick auf die Begründung und Durchführung eines Behandlungsverhältnisses
- Die Verarbeitung erfolgt – soweit nach gesetzlichen Vorschriften erforderlich - aufgrund der vorherigen Einwilligung des Nutzers (Art. 6 Abs. 1 S. 1 lit. a DSGVO)
Sofern die personenbezogenen Daten auf Grundlage von berechtigten Interessen verarbeitet werden, hat der Nutzer das Recht, Widerspruch gegen die Verarbeitung der personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus der besonderen Situation des Nutzers ergeben. Möchte der Nutzer von diesem Widerspruchsrecht Gebrauch machen, genügt eine einfache Erklärung des Nutzers per E-Mail an info@mypraxis.de, aus der die Ausübung des Widerspruchsrechts und die besondere Situation des Nutzers hervorgehen.
Sofern die jeweilige Praxis Verantwortlicher für die Datenverarbeitung ist und MyPraxis lediglich im Rahmen der Auftragsverarbeitung i.S.d. Art. 28 DSGVO tätig wird, gelten für die Rechtmäßigkeit der Verarbeitung „einfacher“ personenbezogener Daten i.S.d. Art. 4 Ziff. 1 DSGVO i.V.m. Art. 6 DSGVO die vorstehenden Ausführungen zu den Rechtsgrundlagen für die Datenverarbeitung. Für eine diesbezügliche Verarbeitung von Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO (insb. Gesundheitsdaten i.S.d. Art. 4 Ziff. 15 DSGVO) gilt Folgendes:
Mit Registrierung des Nutzers bei MyPraxis und dem in diesem Zuge erklärten Einverständnis mit der Geltung der „Geschäfts- und Nutzungsbedingungen für registrierte Nutzer“ willigt der Nutzer gleichzeitig in die Verarbeitung seiner Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO (insb. Gesundheitsdaten i.S.d. Art. 4 Ziff. 15 DSGVO) nach Maßgabe des Art. 7 DSGVO ein. Rechtsgrundlage für die Verarbeitung dieser Daten des Nutzers ist somit dessen Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DSGVO.
Sofern die jeweilige Praxis den Dienst von MyPraxis zur Patientenverwaltung nutzt und zwischen der Praxis und dem Nutzer bereits ein Behandlungsverhältnis besteht, holt die jeweilige Praxis selbst diese Einwilligung des Nutzers in die Verarbeitung seiner Daten im Rahmen der ordnungsgemäßen Begründung und Durchführung des Behandlungsverhältnisses ein, sofern diese noch nicht vorliegt (bspw. aufgrund fehlender Registrierung bei MyPraxis bzw. Nichtnutzung der Dienste von MyPraxis). In diesem Fall ist Rechtsgrundlage für die Verarbeitung dieser Daten des Nutzers ebenfalls dessen Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DSGVO.
Sofern der Nutzer die Dienste von MyPraxis für Dritte in Anspruch nimmt, erfolgt die Verarbeitung von Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO (insb. Gesundheitsdaten i.S.d. Art. 4 Ziff. 15 DSGVO) ebenfalls rechtmäßig auf Grundlage der erteilten Einwilligung des Dritten ( Art. 6 Abs. 1 S. 1 lit. a DSGVO), deren Vorliegen der Nutzer zu bestätigen und bei Aufforderung nachzuweisen hat.
8. Einbindung von externem Kartenmaterial und Weiterleitung zu externem Kartenmaterial
MyPraxis bindet externes Kartenmaterial von Google Maps und Apple Karten als weitere Funktion im Konto des Nutzers ein und gibt dem Nutzer die Möglichkeit, sich auf externes Kartenmaterial aus seinem Konto heraus weiterleiten zu lassen (§ 11 der AGB).
Mit Einbindung des Kartenmaterials bzw. Weiterleitung auf das Kartenmaterial werden möglicherweise IP-Adresse und Standort des Nutzers an den Kartenanbieter übermittelt.
Weiterhin werden bei der Kartennutzung gegebenenfalls Cookies auf dem verwendeten Gerät des Nutzers gesetzt und gespeichert. So wird derzeit bei der Nutzung von Google Maps ein sog. NID-Cookie gesetzt und gespeichert. Nach eigenen Angaben von Google ist das Cookie in Anfragen enthalten, die von den Browsern der Nutzer an Google-Websites gesendet werden, und enthält eine eindeutige ID, über die Google die bevorzugten Einstellungen und andere Informationen des Nutzers speichert, insbesondere jedoch die bevorzugte Sprache des Nutzers (z. B. Deutsch), wie viele Suchergebnisse pro Seite angezeigt werden sollen (z. B. 10 oder 20) und ob der Google SafeSearch-Filter aktiviert sein soll. Es kann nicht ausgeschlossen werden, dass mit der Verwendung von Cookies weitere Zwecke durch den Kartenanbieter verfolgt werden (bspw. für Werbeaktivitäten). Ähnliches ist gegebenenfalls bei der Nutzung von Apple Karten möglich bzw. nicht ausgeschlossen.
Um zu vermeiden, dass unerwünscht Daten an den Kartenanbieter übermittelt und durch diesen Cookies auf dem verwendeten Gerät des Nutzers gesetzt werden, ist die Einbindung des externen Kartenmaterials zunächst im Konto des Nutzers deaktiviert. Zur Datenübermittlung und Verwendung von Cookies kommt es erst mit der bewussten und gewollten Aktivierung dieses Dienstes durch den Nutzer selbst; gleiches gilt für den Fall, dass der Nutzer aktiv und willentlich die Weiterleitung auf externes Kartenmaterial veranlasst. Vor Aktivierung bzw. Weiterleitung erfolgt ein ausdrücklicher Aufklärungshinweis über Art und Umfang der Datenübermittlung an den Kartenanbieter sowie über die damit einhergehende Datenverarbeitung. MyPraxis holt in diesem Zuge vor der erstmaligen Datenverarbeitung eine den Anforderungen des Art. 7 DSGVO genügende Einwilligung des Nutzers im Hinblick auf die künftige Nutzung des Kartenmaterials unter Aufklärung des diesbezüglich bestehenden Widerrufsrechts (Art. 7 Abs. 3 DSGVO) ein.
Die Zusammenarbeit mit Google und Apple als Anbieter externen Kartenmaterials erfolgt dabei jeweils auf Grundlage eines Vertrags über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO, der unter
https://www.mypraxis.de/datenschutz_google_maps
https://www.mypraxis.de/datenschutz_apple_maps
abgerufen werden kann.
Weitere Informationen zum Datenschutz und zur Datenverarbeitung im Zusammenhang mit der Nutzung externen Kartenmaterials können den Seiten des jeweiligen Kartenanbieters (Google, Apple) und den dort veröffentlichen Datenschutzhinweisen und Nutzungsbedingungen entnommen werden.
9. Weitergabe von Daten an Dritte / Empfänger von personenbezogenen Daten
Im Rahmen der zweckentsprechenden und rechtmäßigen Datenverarbeitung werden personenbezogene Daten unter Umständen an Dritte weitergegeben. Eine Übermittlung personenbezogener Daten an Dritte zu anderen als den Zwecken, für die sie durch MyPraxis als Verantwortlichen oder Auftragsverarbeiter erhoben oder auf sonstige Weise verarbeitet wurden, findet nicht statt.
Abgesehen von MyPraxis selbst sind Empfänger bzw. Kategorien von Empfängern personenbezogener Daten bei der Nutzung von MyPraxis:
- Die Praxen, die den Service von MyPraxis auf Basis eines Vertrages nutzen und mit denen der Nutzer über die Dienste von MyPraxis in Kontakt tritt und kommuniziert;
- Anbieter von externem Kartenmaterial, soweit der Nutzer diese Funktion von MyPraxis in Anspruch nimmt und in die diesbezügliche Datenverarbeitung eingewilligt hat;
- Von MyPraxis genutzte(r) Server zur Datenspeicherung und Datenkommunikation;
- Mobilfunk-/Telekommunikationsanbieter, die insbesondere bei einer aktivierten Erinnerungsfunktion von MyPraxis in Anspruch genommen werden;
- Ggfs. weitere Auftragsverarbeiter i.S.d. Art. 28 DSGVO (Unterauftragnehmer) unter Beachtung der zwischen MyPraxis und den Praxen geltenden vertraglichen Bestimmungen zur Auftragsverarbeitung.
Folgende Unterauftragnehmer werden von MyPraxis zur Erbringung seines Dienstes eingesetzt:
| Name | Adresse | Leistungsinhalt |
| AppERFOLG Tobias Reittinger | Hafnerstraße 4, 93413 Cham | Programmierung, Technischer Betreuer der IT-Infrastruktur |
| All-Inkl.com – Neue Medien Münnich | Hauptstraße 68, 02742 Friedersdorf | Rechenzentrum, Webhoster, Serverbetreiber in Deutschland (Serverstandort: Dresden) |
| Hetzner Online GmbH | Industriestraße 25, 91710 Gunzenhausen | Rechenzentrum, Webhoster, Serverbetreiber in Deutschland (Serverstandort: Nürnberg & Falkenstein) |
| Kloppe Media Inh. Michael Kloppe | Ansbacher Str. 85, 91541 Rothenburg | SMS Versand und Sprachanrufe (Text to Voice), Erfassung eingehender SMS und Anrufe (SMS & Voice Inbound) |
| CM Telecom Germany GmbH | Dr.-Eugen-Schön-Straße 35, 97332 Volkach | SMS Versand und Sprachanrufe (Text to Voice), Erfassung eingehender SMS und Anrufe (SMS & Voice Inbound) |
MyPraxis arbeitet als Verantwortlicher mit folgenden Anbietern externen Kartenmaterials (Nr. 8) auf Grundlage einer Vereinbarung über die gemeinsame Zusammenarbeit i.S.d. Art. 26 DSGVO zusammen:
| Name | Adresse |
| Google Ireland Limited (GoogleMaps) | Gordon House, Barrow Street, Dublin 4, Irland |
| Apple Inc. (Apple Karten) | One Apple Park Way, Cupertino, California, USA, 95014 |
10. Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation
Durch die Verwendung und Nutzung des Kartenanbieters Apple (Apple Karten; nachfolgend „Apple“), One Apple Park Way, Cupertino, California, USA, 95014, auf Grundlage eines Vertrages über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO kommt es zur Übermittlung „einfacher“ personenbezogener Daten i.S.d. Art. 4 Ziff. 1 DSGVO i.V.m. Art. 6 DSGVO an ein Drittland.
Damit erfolgt die Datenverarbeitung nicht ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraumes, sondern in einem Drittstaat. Eine solche Verlagerung darf grundsätzlich nur nach Maßgabe der Art. 44 ff. DSGVO erfolgen.
Für das Land, in welchem Apple seinen Sitz hat und in dem somit die personenbezogenen Daten verarbeitet werden, besteht möglicherweise aktuell kein Angemessenheitsbeschluss der EU-Kommission i.S.d. Art. 45 Abs. 1, 3 DSGVO. Das heißt, dass die EU-Kommission bislang möglicherweise nicht positiv festgestellt hat, dass das landesspezifische Datenschutzniveau dieses Drittlandes dem der Europäischen Union aufgrund der DSGVO entspricht.
Die DSGVO setzt für eine Datenübermittlung in ein Drittland sogenannte geeignete Garantien voraus, Art. 46 Abs. 2, 3 DSGVO. Solche liegen unter Umständen für dieses Drittland nicht vor.
Daraus ergeben sich insgesamt mögliche Risiken, die sich aktuell für MyPraxis als Verantwortlichen nicht ausschließen lassen, insbesondere:
- Die in das Drittland übermittelten personenbezogenen Daten könnten möglicherweise über den eigentlichen Zweck der Auftragserfüllung hinaus durch Apple an andere Dritte weitergegeben werden;
- MyPraxis als Verantwortlicher kann Rechte nach Maßgabe der DSGVO, die ihm gegenüber Apple zustehen können (insb. Auskunftsrechte) möglicherweise nicht oder nicht hinreichend geltend machen bzw. durchsetzen;
- Unter Umständen erhöht sich die Wahrscheinlichkeit, dass es zu einer nicht korrekten Datenverarbeitung kommen kann, da die technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten quantitativ und qualitativ nicht bzw. nicht umfassend den Anforderungen der DSGVO entsprechen.
Der Nutzer wird daher vor Aktivierung und Nutzung des Kartenmaterials bzw. vor Weiterleitung auf das Kartenmaterial über den Dienst von MyPraxis ausdrücklich seine Einwilligung nach Maßgabe des Art. 49 Abs. 1 lit. a DSGVO in Bezug auf die Übermittlung der personenbezogenen Daten an Apple mit Sitz außerhalb eines Mitgliedsstaats der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraumes erteilen, damit eine rechtmäßige Datenverarbeitung sichergestellt ist. In diesem Zuge wird der Nutzer nochmals gemäß den vorstehenden Ausführungen (10.) ausdrücklich belehrt. Möchte der Nutzer diese Einwilligung nicht erteilen, ist ihm die Inanspruchnahme dieses Dienstes (Nutzung von Apple Karten) nicht möglich.
Diese Einwilligung kann der Nutzer jederzeit gegenüber MyPraxis als Verantwortlichen durch Abgabe einer entsprechenden Widerrufserklärung in Textform widerrufen. Insoweit genügt eine Widerrufserklärung an info@mypraxis.de. Durch einen Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Im Falle des Widerrufs erfolgt eine Deaktivierung des Kartenmaterials bzw. ist eine Weiterleitung auf das Kartenmaterial von Apple über MyPraxis nur nach erneut erteilter Einwilligung möglich.
11. Dauer bzw. Kriterien der Dauer der Datenspeicherung
Personenbezogene Daten werden solange gespeichert, wie sie für die Zwecke, für die sie durch MyPraxis als Verantwortlichen erhoben oder auf sonstige Weise verarbeitet wurden, notwendig sind. Ist dies nicht mehr der Fall, werden die Daten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht oder ein sonstiger Rechtsgrund zur weiteren Speicherung vorliegt.
Davon unabhängig verbleiben personenbezogene Daten (einschließlich Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO), die im Wege der Auftragsverarbeitung durch MyPraxis an die jeweilige Praxis übermittelt wurden (bsp. im Rahmen von Terminbuchungen, Rezeptanfragen), bei der jeweiligen Praxis. Diesbezüglich sind die Datenschutzbestimmungen der jeweiligen Praxis als Verantwortliche für die weitere Datenverarbeitung maßgeblich.
12. Rechte des Nutzers als betroffene Person
Der Nutzer hat das Recht,
- gemäß Art. 7 Abs. 3 DSGVO seine einmal erteilte Einwilligung jederzeit gegenüber MyPraxis zu widerrufen. Dies hat zur Folge, dass die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortgeführt werden darf. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird davon nicht berührt;
- gemäß Art. 15 DSGVO Auskunft über seine von MyPraxis verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere kann der Nutzer Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen seine Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft seiner Daten, sofern diese nicht bei MyPraxis erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
- gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung seiner bei MyPraxis gespeicherten personenbezogenen Daten zu verlangen;
- gemäß Art. 17 DSGVO die Löschung seiner bei MyPraxis gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
- gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung seiner personenbezogenen Daten zu verlangen, soweit der Nutzer die Richtigkeit der Daten bestreitet, die Verarbeitung unrechtmäßig ist, der Nutzer aber deren Löschung ablehnt und MyPraxis die Daten nicht mehr benötigt, der Nutzer jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder der Nutzer gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt hat;
- gemäß Art. 20 DSGVO seine personenbezogenen Daten, die er MyPraxis als Verantwortlichen oder Auftragsverarbeiter bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen und
- gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. Dafür kann sich der Nutzer in der Regel an die Aufsichtsbehörde seines gewöhnlichen Aufenthaltsorts, seines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.
13. Datenverarbeitung für andere Zwecke
Beabsichtigt MyPraxis, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als die, für die die personenbezogenen Daten erhoben wurden, so stellt MyPraxis dem Nutzer vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen nach Maßgabe dieser Datenschutzerklärung zur Verfügung und weist auf die Möglichkeit des Widerspruchs hin.