Datenschutzerklärung für bei MyPraxis registrierte Nutzer

Datenschutz nimmt einen besonders hohen Stellenwert bei MyPraxis ein. Während die Nutzung der Website von MyPraxis ohne Registrierung zu Informationszwecken grundsätzlich ohne zusätzliche Angabe personenbezogener Daten durch die betroffene Person (nachfolgend „Nutzer“) möglich ist, setzt der Zugang zu den Diensten von MyPraxis (bspw. Terminbuchungen/-verschiebungen/-stornierungen und Rezeptanfragen) den Abschluss einer Nutzungsvereinbarung durch Registrierung der Nutzer und die Einrichtung eines Nutzerkontos (nachfolgend „Konto“) nach Maßgabe der von MyPraxis abgefragten und von dem Nutzer angegebenen personenbezogenen Daten voraus. Möchte der Nutzer die abgefragten Informationen nicht erteilen, ist dessen Registrierung und die Einrichtung eines Kontos mit dem damit verbundenen Zugang zu den Diensten von MyPraxis nicht möglich.

Sofern ein Nutzer über die Registrierung hinaus die Dienste von MyPraxis in Anspruch nehmen möchte, wird eine weitere Verarbeitung personenbezogener Daten (gegebenenfalls einschließlich Daten besonderer Kategorien wie Gesundheitsdaten; bspw. Termingrund) erforderlich. Ist für eine solche Verarbeitung keine gesetzliche Grundlage vorhanden, holt MyPraxis generell - entweder in seiner Eigenschaft als Verantwortlicher für die Datenverarbeitung oder als Auftragsverarbeiter für die jeweilige Praxis - eine Einwilligung ein. Möchte der Nutzer die für eine Nutzung der Dienste notwendigen und abgefragten Informationen sowie eine gegebenenfalls notwendige Einwilligung in die Datenverarbeitung nicht erteilen, stehen ihm diese Dienste nicht zur Verfügung.

Die Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und allen sonstigen Datenschutzvorschriften.

Diese Datenschutzerklärung verfolgt den Zweck, den Nutzer über Art, Umfang und Zweck der Datenverarbeitung zu informieren und ihn über seine diesbezüglichen Rechte aufzuklären. Im Übrigen gelten ergänzend zu dieser Datenschutzerklärung auch für registrierte Nutzer die allgemeinen Datenschutzhinweise von MyPraxis, die unter

https://www.mypraxis.de/datenschutz

https://www.mypraxis.de/datenschutz_social_media

aufgerufen werden können und ergänzend zu beachten sind.

Als Verantwortlicher für die Datenverarbeitung oder als Auftragsverarbeiter der jeweiligen Praxis ergreift MyPraxis die geeigneten technisch-organisatorischen Maßnahmen, um die Sicherheit, den Schutz und die Geheimhaltung der persönlichen Informationen und der personenbezogenen Daten, über die MyPraxis verfügt oder die MyPraxis in Einhaltung der geltenden datenschutzrechtlichen Bestimmungen verarbeitet, sicherzustellen. Verzichtet der Nutzer jedoch auf bestimmte von MyPraxis angebotene Sicherheitsmaßnahmen zum Datenschutz (bspw. optionaler Passwortschutz) bzw. deaktiviert diese, so handelt der Nutzer diesbezüglich auf eigene Verantwortung und haftet allein für etwaige daraus resultierende Schäden (vgl. § 14 Ziff. 6 der AGB).

1. Begriffsbestimmung i.S.d. DSGVO

Diese Datenschutzerklärung verwendet die datenschutzrechtlichen Begrifflichkeiten i.S.d. DSGVO (bspw. „personenbezogene Daten“, „Verantwortlicher“, „Auftragsverarbeiter“), die in § 4 DSGVO näher bestimmt und ausführlich definiert werden.

2. Für die Datenverarbeitung Verantwortlicher

Verantwortliche für die Verarbeitung personenbezogener Daten sind:

Für personenbezogene Daten, die von dem Nutzer bei seiner Registrierung bei MyPraxis oder im Rahmen der allgemeinen Verwaltung seines bei MyPraxis eingerichteten Kontos angegeben und verarbeitet werden, ist Verantwortlicher

MyPraxis GmbH
Hafnerstraße 4
93413 Cham
Telefon: +49 9971 7680132

Für personenbezogene Daten (einschließlich Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO wie bspw. Gesundheitsdaten), die bei der Nutzung der Dienste notwendigerweise verarbeitet werden, ist Verantwortlicher die jeweilige Praxis, der gegenüber der jeweilige Dienst von MyPraxis ausgeführt wurde. MyPraxis ist dabei lediglich Auftragsverarbeiter und handelt nach Weisung der verantwortlichen Praxis.

3. Registrierung

Die Registrierung erfolgt unter freiwilliger Angabe der von MyPraxis abgefragten personenbezogenen Daten auf der Website oder in der App von MyPraxis. Ohne die Angabe und Verarbeitung der abgefragten personenbezogenen Daten ist dem Nutzer eine Registrierung und der Zugang zu den Diensten von MyPraxis nicht möglich.

4. Datenerhebung und Daten Dritter

Alle Daten des Nutzers, die dieser bei der Registrierung, Verwaltung des Kontos und Nutzung der Dienste angibt und übermittelt, werden ausschließlich und direkt von diesem erhoben.

Ist der Nutzer nicht selbst Patient und nimmt er die Dienste von MyPraxis für einen Patienten, den er im Konto angelegt hat, in Anspruch (§ 7 Ziff. 2 der AGB), bestätigt er sowohl bereits bei Zustandekommen eines Nutzungsverhältnisses auf Grundlage der Allgemeinen Geschäfts- und Nutzungsbedingungen für registrierte Nutzer von MyPraxis als auch bei der Anlage des Patienten und seiner Person im Konto des Nutzers, dass der Patient, für den er die Dienste nutzt/nutzen möchte, in die Verarbeitung seiner personenbezogenen Daten (einschließlich Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO wie Gesundheitsdaten) eingewilligt hat und mit der Nutzung der Dienste einverstanden ist (Einwilligung und Einverständniserklärung). Dies hat der Nutzer gegenüber MyPraxis bei entsprechender Aufforderung nachzuweisen. In einem solchen Fall handelt der Nutzer ausschließlich im Auftrag des Patienten, sodass alle Daten des Patienten als ausschließlich und direkt von diesem erhoben gelten.

Soweit der Nutzer im Auftrag eines Dritten und mit dessen Einwilligung handelt, nimmt der Nutzer diese Datenschutzerklärung für den Dritten zur Kenntnis, sodass diese Datenschutzerklärung dem betroffenen Dritten als zur Verfügung gestellt und mitgeteilt i.S.d. § 13 DSGVO gilt.

Dem Nutzer ist in Bezug auf Daten Dritter bekannt, dass eine Verwendung personenbezogener Daten (einschließlich Daten besonderer Kategorien i.S.d. Art. 9 DSGVO) eines Dritten ohne dessen Einwilligung und Einverständniserklärung rechtswidrig und missbräuchlich ist und die Rechte Dritter verletzt. Insoweit haftet ausschließlich der Nutzer gegenüber dem Dritten, MyPraxis und/oder der jeweiligen Praxis für alle dadurch entstehenden Schäden (vgl. § 14 Ziff. 4 der AGB).

5. Verarbeitung personenbezogener Daten / Kategorien personenbezogener Daten

Bei Registrierung werden ausschließlich „einfache“ personenbezogene Daten i.S.d. Art. 4 Ziff. 1 DSGVO i.V.m. Art. 6 DSGVO verarbeitet, die nicht Kategorien besonderer personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO zuzuordnen sind.

Der konkrete Umfang und Inhalt der verarbeiteten personenbezogenen Daten richtet sich danach, welche Daten von MyPraxis für eine Registrierung abgefragt und benötigt werden (bspw. Telefonnummer, Email-Adresse, von dem Nutzer festzulegendes Passwort etc.) und welche personenbezogenen Daten darüber hinaus von dem Nutzer im Rahmen der Nutzung seines Kontos und der Dienste weitergehend freiwillig angegeben und übermittelt werden.

Folgende „einfache“ personenbezogene Daten können bei Registrierung und allgemeiner Verwaltung des Kontos typischerweise erhoben und verarbeitet werden:

Die vorstehend genannten „einfachen“ personenbezogenen Daten werden über die Registrierung hinaus auch im Rahmen der Inanspruchnahme der Dienste von MyPraxis verarbeitet und insoweit an die jeweilige Praxis als Verantwortliche für die Datenverarbeitung übermittelt. Hierbei handelt MyPraxis als Auftragsverarbeiter für die jeweilige Praxis i.S.d. Art. 28 DSGVO auf Grundlage eines gesondert geschlossenen Vertrages über die Auftragsverarbeitung.

Darüber hinaus kann es bei Nutzung der Dienste zur Verarbeitung von Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO (insb. Gesundheitsdaten i.S.d. Art. 4 Ziff. 15 DSGVO) kommen. Diesbezüglich handelt MyPraxis ebenfalls als Auftragsverarbeiter i.S.d. Art. 28 DSGVO für die jeweilige Praxis als Verantwortliche für die Datenverarbeitung. Folgende Daten können hierbei verarbeitet werden:

6. Zweck der Datenverarbeitung

Sämtliche personenbezogenen Daten werden von MyPraxis als Verantwortlicher oder Auftragsverarbeiter zu folgenden Zwecken verarbeitet:

7. Rechtsgrundlagen für die Datenverarbeitung

Sofern MyPraxis als Verantwortlicher personenbezogene Daten des Nutzers verarbeitet, erfolgt die Datenverarbeitung rechtmäßig aufgrund der Erfüllung folgender Bedingungen i.S.d. Art. 6 DSGVO:

Sofern die personenbezogenen Daten auf Grundlage von berechtigten Interessen verarbeitet werden, hat der Nutzer das Recht, Widerspruch gegen die Verarbeitung der personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus der besonderen Situation des Nutzers ergeben. Möchte der Nutzer von diesem Widerspruchsrecht Gebrauch machen, genügt eine einfache Erklärung des Nutzers per E-Mail an info@mypraxis.de, aus der die Ausübung des Widerspruchsrechts und die besondere Situation des Nutzers hervorgehen.

Sofern die jeweilige Praxis Verantwortlicher für die Datenverarbeitung ist und MyPraxis lediglich im Rahmen der Auftragsverarbeitung i.S.d. Art. 28 DSGVO tätig wird, gelten für die Rechtmäßigkeit der Verarbeitung „einfacher“ personenbezogener Daten i.S.d. Art. 4 Ziff. 1 DSGVO i.V.m. Art. 6 DSGVO die vorstehenden Ausführungen zu den Rechtsgrundlagen für die Datenverarbeitung. Für eine diesbezügliche Verarbeitung von Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO (insb. Gesundheitsdaten i.S.d. Art. 4 Ziff. 15 DSGVO) gilt Folgendes:

Mit Registrierung des Nutzers bei MyPraxis und dem in diesem Zuge erklärten Einverständnis mit der Geltung der „Geschäfts- und Nutzungsbedingungen für registrierte Nutzer“ willigt der Nutzer gleichzeitig in die Verarbeitung seiner Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO (insb. Gesundheitsdaten i.S.d. Art. 4 Ziff. 15 DSGVO) nach Maßgabe des Art. 7 DSGVO ein. Rechtsgrundlage für die Verarbeitung dieser Daten des Nutzers ist somit dessen Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Sofern die jeweilige Praxis den Dienst von MyPraxis zur Patientenverwaltung nutzt und zwischen der Praxis und dem Nutzer bereits ein Behandlungsverhältnis besteht, holt die jeweilige Praxis selbst diese Einwilligung des Nutzers in die Verarbeitung seiner Daten im Rahmen der ordnungsgemäßen Begründung und Durchführung des Behandlungsverhältnisses ein, sofern diese noch nicht vorliegt (bspw. aufgrund fehlender Registrierung bei MyPraxis bzw. Nichtnutzung der Dienste von MyPraxis). In diesem Fall ist Rechtsgrundlage für die Verarbeitung dieser Daten des Nutzers ebenfalls dessen Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Sofern der Nutzer die Dienste von MyPraxis für Dritte in Anspruch nimmt, erfolgt die Verarbeitung von Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO (insb. Gesundheitsdaten i.S.d. Art. 4 Ziff. 15 DSGVO) ebenfalls rechtmäßig auf Grundlage der erteilten Einwilligung des Dritten ( Art. 6 Abs. 1 S. 1 lit. a DSGVO), deren Vorliegen der Nutzer zu bestätigen und bei Aufforderung nachzuweisen hat.

8. Einbindung von externem Kartenmaterial und Weiterleitung zu externem Kartenmaterial

MyPraxis bindet externes Kartenmaterial von Google Maps und Apple Karten als weitere Funktion im Konto des Nutzers ein und gibt dem Nutzer die Möglichkeit, sich auf externes Kartenmaterial aus seinem Konto heraus weiterleiten zu lassen (§ 11 der AGB).

Mit Einbindung des Kartenmaterials bzw. Weiterleitung auf das Kartenmaterial werden möglicherweise IP-Adresse und Standort des Nutzers an den Kartenanbieter übermittelt.

Weiterhin werden bei der Kartennutzung gegebenenfalls Cookies auf dem verwendeten Gerät des Nutzers gesetzt und gespeichert. So wird derzeit bei der Nutzung von Google Maps ein sog. NID-Cookie gesetzt und gespeichert. Nach eigenen Angaben von Google ist das Cookie in Anfragen enthalten, die von den Browsern der Nutzer an Google-Websites gesendet werden, und enthält eine eindeutige ID, über die Google die bevorzugten Einstellungen und andere Informationen des Nutzers speichert, insbesondere jedoch die bevorzugte Sprache des Nutzers (z. B. Deutsch), wie viele Suchergebnisse pro Seite angezeigt werden sollen (z. B. 10 oder 20) und ob der Google SafeSearch-Filter aktiviert sein soll. Es kann nicht ausgeschlossen werden, dass mit der Verwendung von Cookies weitere Zwecke durch den Kartenanbieter verfolgt werden (bspw. für Werbeaktivitäten). Ähnliches ist gegebenenfalls bei der Nutzung von Apple Karten möglich bzw. nicht ausgeschlossen.

Um zu vermeiden, dass unerwünscht Daten an den Kartenanbieter übermittelt und durch diesen Cookies auf dem verwendeten Gerät des Nutzers gesetzt werden, ist die Einbindung des externen Kartenmaterials zunächst im Konto des Nutzers deaktiviert. Zur Datenübermittlung und Verwendung von Cookies kommt es erst mit der bewussten und gewollten Aktivierung dieses Dienstes durch den Nutzer selbst; gleiches gilt für den Fall, dass der Nutzer aktiv und willentlich die Weiterleitung auf externes Kartenmaterial veranlasst. Vor Aktivierung bzw. Weiterleitung erfolgt ein ausdrücklicher Aufklärungshinweis über Art und Umfang der Datenübermittlung an den Kartenanbieter sowie über die damit einhergehende Datenverarbeitung. MyPraxis holt in diesem Zuge vor der erstmaligen Datenverarbeitung eine den Anforderungen des Art. 7 DSGVO genügende Einwilligung des Nutzers im Hinblick auf die künftige Nutzung des Kartenmaterials unter Aufklärung des diesbezüglich bestehenden Widerrufsrechts (Art. 7 Abs. 3 DSGVO) ein.

Die Zusammenarbeit mit Google und Apple als Anbieter externen Kartenmaterials erfolgt dabei jeweils auf Grundlage eines Vertrags über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO, der unter

https://www.mypraxis.de/datenschutz_google_maps

https://www.mypraxis.de/datenschutz_apple_maps

abgerufen werden kann.

Weitere Informationen zum Datenschutz und zur Datenverarbeitung im Zusammenhang mit der Nutzung externen Kartenmaterials können den Seiten des jeweiligen Kartenanbieters (Google, Apple) und den dort veröffentlichen Datenschutzhinweisen und Nutzungsbedingungen entnommen werden.

9. Weitergabe von Daten an Dritte / Empfänger von personenbezogenen Daten

Im Rahmen der zweckentsprechenden und rechtmäßigen Datenverarbeitung werden personenbezogene Daten unter Umständen an Dritte weitergegeben. Eine Übermittlung personenbezogener Daten an Dritte zu anderen als den Zwecken, für die sie durch MyPraxis als Verantwortlichen oder Auftragsverarbeiter erhoben oder auf sonstige Weise verarbeitet wurden, findet nicht statt.

Abgesehen von MyPraxis selbst sind Empfänger bzw. Kategorien von Empfängern personenbezogener Daten bei der Nutzung von MyPraxis:

Folgende Unterauftragnehmer werden von MyPraxis zur Erbringung seines Dienstes eingesetzt:

MyPraxis arbeitet als Verantwortlicher mit folgenden Anbietern externen Kartenmaterials (Nr. 8) auf Grundlage einer Vereinbarung über die gemeinsame Zusammenarbeit i.S.d. Art. 26 DSGVO zusammen:

10. Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation

Durch die Verwendung und Nutzung des Kartenanbieters Apple (Apple Karten; nachfolgend „Apple“), One Apple Park Way, Cupertino, California, USA, 95014, auf Grundlage eines Vertrages über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO kommt es zur Übermittlung „einfacher“ personenbezogener Daten i.S.d. Art. 4 Ziff. 1 DSGVO i.V.m. Art. 6 DSGVO an ein Drittland.

Damit erfolgt die Datenverarbeitung nicht ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraumes, sondern in einem Drittstaat. Eine solche Verlagerung darf grundsätzlich nur nach Maßgabe der Art. 44 ff. DSGVO erfolgen.

Für das Land, in welchem Apple seinen Sitz hat und in dem somit die personenbezogenen Daten verarbeitet werden, besteht möglicherweise aktuell kein Angemessenheitsbeschluss der EU-Kommission i.S.d. Art. 45 Abs. 1, 3 DSGVO. Das heißt, dass die EU-Kommission bislang möglicherweise nicht positiv festgestellt hat, dass das landesspezifische Datenschutzniveau dieses Drittlandes dem der Europäischen Union aufgrund der DSGVO entspricht.

Die DSGVO setzt für eine Datenübermittlung in ein Drittland sogenannte geeignete Garantien voraus, Art. 46 Abs. 2, 3 DSGVO. Solche liegen unter Umständen für dieses Drittland nicht vor.

Daraus ergeben sich insgesamt mögliche Risiken, die sich aktuell für MyPraxis als Verantwortlichen nicht ausschließen lassen, insbesondere:

Der Nutzer wird daher vor Aktivierung und Nutzung des Kartenmaterials bzw. vor Weiterleitung auf das Kartenmaterial über den Dienst von MyPraxis ausdrücklich seine Einwilligung nach Maßgabe des Art. 49 Abs. 1 lit. a DSGVO in Bezug auf die Übermittlung der personenbezogenen Daten an Apple mit Sitz außerhalb eines Mitgliedsstaats der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraumes erteilen, damit eine rechtmäßige Datenverarbeitung sichergestellt ist. In diesem Zuge wird der Nutzer nochmals gemäß den vorstehenden Ausführungen (10.) ausdrücklich belehrt. Möchte der Nutzer diese Einwilligung nicht erteilen, ist ihm die Inanspruchnahme dieses Dienstes (Nutzung von Apple Karten) nicht möglich.

Diese Einwilligung kann der Nutzer jederzeit gegenüber MyPraxis als Verantwortlichen durch Abgabe einer entsprechenden Widerrufserklärung in Textform widerrufen. Insoweit genügt eine Widerrufserklärung an info@mypraxis.de. Durch einen Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Im Falle des Widerrufs erfolgt eine Deaktivierung des Kartenmaterials bzw. ist eine Weiterleitung auf das Kartenmaterial von Apple über MyPraxis nur nach erneut erteilter Einwilligung möglich.

11. Dauer bzw. Kriterien der Dauer der Datenspeicherung

Personenbezogene Daten werden solange gespeichert, wie sie für die Zwecke, für die sie durch MyPraxis als Verantwortlichen erhoben oder auf sonstige Weise verarbeitet wurden, notwendig sind. Ist dies nicht mehr der Fall, werden die Daten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht oder ein sonstiger Rechtsgrund zur weiteren Speicherung vorliegt.

Davon unabhängig verbleiben personenbezogene Daten (einschließlich Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO), die im Wege der Auftragsverarbeitung durch MyPraxis an die jeweilige Praxis übermittelt wurden (bsp. im Rahmen von Terminbuchungen, Rezeptanfragen), bei der jeweiligen Praxis. Diesbezüglich sind die Datenschutzbestimmungen der jeweiligen Praxis als Verantwortliche für die weitere Datenverarbeitung maßgeblich.

12. Rechte des Nutzers als betroffene Person

Der Nutzer hat das Recht,

13. Datenverarbeitung für andere Zwecke

Beabsichtigt MyPraxis, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als die, für die die personenbezogenen Daten erhoben wurden, so stellt MyPraxis dem Nutzer vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen nach Maßgabe dieser Datenschutzerklärung zur Verfügung und weist auf die Möglichkeit des Widerspruchs hin.

Jetzt Zeit sparen und das Team entlasten

Testen Sie MyPraxis