Wir erheben Daten von Ihnen, die wir zur Durchführung der Behandlung, Dokumentation und Abrechnung benötigen. Dies sind insbesondere Ihre Stamm- und Kontaktdaten, Gesundheitsdaten (z.B. Diagnosen, Symptome, Anamnese, Epikrise und Vorerkrankungen, Befunde, Therapievorschläge, Medikamente etc.), Daten zu Ärzten, bei denen Sie bereit in Behandlung sind, Hausarzt, Krankenhausaufenthalten, Angehörigen, Kontaktpersonen,zum Versicherungsstatus, zu Ihrer Krankenversicherung und zu Ihrer Bankverbindung für Zu- oder Selbstzahlungen.

In der Regel erhalten wir diese Daten direkt von Ihnen. Teilweise kann es jedoch vorkommen,dass wir Ihre personenbezogenen Daten aus anderen Quellen erhalten, also beispielsweise von anderen Krankenhäusern (bei Erst-/Vor-Behandlung), niedergelassenen Ärzten, Therapeuten oder Fachärzten, Medizinischen Versorgungszentren (MVZ) etc., wenn Sie der Datenübermittlung nicht widersprochen haben oder hierzu Ihre Zustimmung gegeben haben. Diese führen wir zur einheitlichen Dokumentation mit Ihren übrigen Daten zusammen. Gegebenenfalls erheben wir auch von Dritten bestimmte Daten von Ihnen, wenn Sie uns hierzu Ihre Zustimmung gegeben haben.

Wir erfüllen die gesetzlichen Vorgaben zur Datenverarbeitung gemäß der DSGVO und der Vorgaben zur Durchführung des Behandlungsvertrages zwischen Ihnen und dem Behandler bzw. der behandelnden Einrichtung.

• Rechtsgrundlage für die Verarbeitung sind u. a.:
• Behandlungsvertrag nach § 630a BGB
• für die medizinische Diagnostik, die Versorgung oder Behandlung sowie für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich; Art. 9 Abs. 2 lit. h) DSGVO i.V.m § 20 Abs. 1 Nr. 2 HDSIG (s. § 12 Abs. 1 HKHG, soweit das HKHG Anwendung findet)
• Ihre Einwilligungserklärung (z.B. Entlassmanagement § 39 SGB V, Datenübermittlung an Ihren Hausarzt, Seelsorger, Videosprechstunde, Forschung, Fotos und Videos, Befragungen und Feedback)
• Gesetzliche Rechtsgrundlagen aus den Sozialgesetzbüchern (SGB), z. B. § 301 SGB V zur Abrechnung mit den Krankenkassen, § 299 SGB V i. V. m. § 136 SGB V bzw. den Richtlinien des G-BA zu Zwecken der Qualitätssicherung, Überprüfung der Abrechnung durch den medizinischen Dienst etc.

Für Ihre patientenbezogene Behandlung ist insbesondere die Verarbeitung Ihrer Daten zu präventiven, diagnostischen, therapeutischen, kurativen und nachsorgenden Zwecken notwendig. Die Datenverarbeitung erfolgt zur Analyse und Erörterung von Diagnostik und Therapie, zur Vor-, Mit-, und Weiterversorgung bezüglich Diagnostik, Therapie, Befunden und Krankheits-/Vitalstatus. Es werden Arztbriefe und Berichte geschrieben. Ihre Daten werden aus Qualitätssicherungsgründen, zum Erkennen und Bekämpfen von Krankenhausinfektionen sowie zur seelsorgerischen und sozialen Betreuung und zum Entlassmanagement verarbeitet und zu Qualitätssicherungszwecken sowie gesetzlichen Zwecken zum Schutz der öffentlichen Gesundheit (z.B. bei Pandemien) verwendet. Zusätzlich verarbeiten wir Ihre Daten für die Fälle, für die Sie uns Ihre Einwilligung erklärt haben.

Die Erhebung der Gesundheitsdaten ist Voraussetzung für Ihre Behandlung. Werden die notwendigen Informationen nicht bereitgestellt, können wir Sie nicht oder nur eingeschränkt sorgfältig behandeln.

Neben dieser patientenbezogenen Datenverarbeitung bedarf es einer verwaltungsbezogenen Datenverarbeitung, damit wir Ihre Behandlung abrechnen, für das Controlling/die Rechnungsprüfung nutzen, zur Geltendmachung, Ausübung sowie Verteidigung von Rechtsansprüchen etc. verwenden können.

Die Datenverarbeitung erfolgt außerdem zu Ausbildungszwecken, der Fort- und Weiterbildung des medizinischen und pflegerischen Personals, für Studien und Forschung oder für gesetzlich vorgesehene Meldepflichten (z. B. aufgrund Meldegesetz, an die Polizei bei Aufklärung von Straftaten, an staatliche Gesundheitsämter aufgrund Infektionsschutzgesetzes oder an gesetzliche klinische Register). Ihre Daten werden auch bei der Betreuung und Wartung von IT-Systemen und Anwendungen verarbeitet. Für Behandlung und Diagnosen können den Behandlern Gesundheitsdaten von anderen Behandlern, Psychotherapeuten oder Kliniken zur Verfügung gestellt werden. Zu Zwecken der Unternehmenssteuerung bzw. Qualitätssicherung und Finanzierung werden Ihre Daten in anonymisierter oder pseudonymisierter Form innerhalb von Vitos bereitgestellt oder weitergegeben.

Wir übermitteln Ihre personenbezogenen Daten nur dann an Dritte, wenn dies gesetzlich erlaubt und zur Erfüllung des Behandlungsvertrages erforderlich ist oder Sie eingewilligt haben. Innerhalb der Klinik erhalten die Personen und Abteilungen Zugriff auf Ihre Daten, die sie zur Behandlung und Erfüllung der vertraglichen und gesetzlichen Pflichten benötigen. Das sind beispielsweise Ihre Behandler, beteiligte (Fach- )Abteilungen, das Medizincontrolling und die Abrechnungsstellen. Ihre Daten werden zum Zweck und unter Beachtung der jeweiligen datenschutzrechtlichen Vorgaben bzw. etwaiger vorliegender Einwilligungserklärungen erhoben und ggf. an Dritte übermittelt. Empfänger Ihrer Daten können sein: andere Behandler außerhalb von Vitos, medizinische Laboratorien, Hausarzt, weiter-, nach- bzw. mitbehandelnde Ärzte oder Psychotherapeuten, Krankenversicherung, beteiligte Einrichtungen, Sozialversicherungsträger (z. B. Unfallversicherungs- oder Rehabilitationsträger), Pflegeeinrichtungen, Eingliederungshilfe, Medizinischer Dienst (MD), ggf. privatärztliche Abrechnungsstellen, gesetzliche oder private Krankenkassen, eingesetzte Dienstleister.

Auch von Vitos eingesetzte Datenauftragnehmer (sog. Auftragsverarbeiter) für eingesetzte Systeme oder Dienstleistungen können Daten zur Kenntnis erhalten. Dies sind bei Vitos z. B. Dienstleister für das Krankenhausinformationssystem (KIS) und unterstützende Medizin-, Dokumentations- und IT-Systeme und Dienstleister für die Datenarchivierung und Aktenvernichtung. Sämtliche Auftragsverarbeiter sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln. Die Übermittlung erfolgt zu Zwecken der Behandlung, Dokumentation, Qualitätssicherung, Patientensicherheit, Abrechnung bzw. zur Klärung von medizinischen Fragen, die sich aus Ihrem Versicherungsverhältnis ergeben.

Im Einzelfall erfolgt eine Übermittlung auch an weitere berechtigte Empfänger. Sofern der Krankenhausträger zur Durchsetzung seiner Ansprüche gegen Sie selbst oder Ihre Krankenkasse gezwungen ist, anwaltliche oder gerichtliche Hilfe in Anspruch zu nehmen (z. B. weil die vom Krankenhausträger gestellte Rechnung nicht beglichen wird), muss der Krankenhausträger die dafür notwendigen Daten zu Ihrer Person und Ihrer Behandlung offenbaren. Darüber hinaus übermittelt Vitos keine personenbezogenen Daten an Stellen in Drittstaaten oder internationale Organisationen.

Ihre personenbezogenen Daten werden nur so lange aufbewahrt, wie dies für die Durchführung, Abrechnung, Verwaltung und Dokumentation der Behandlung erforderlich ist. Aufgrund rechtlicher Vorgaben ist Vitos dazu verpflichtet, Ihre Daten mindestens 10 Jahre nach Abschluss der Behandlung aufzubewahren. Vitos kann diese wegen anderer Vorschriften ggf. auch länger a, für die Dauer von bis zu 30 Jahren aufbewahren (z. B. bei Röntgenaufnahmen aufgrund § 85 Abs. 2 Nr. 1 Strahlenschutzverordnung). Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden sie regelmäßig gelöscht. Es sei denn, deren Weiterverarbeitung ist zu Zwecken von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften erforderlich. Nach den §§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.

Jede betroffene Person hat das Recht, über die sie betreffenden personenbezogenen Daten Auskunft zu erhalten. Sie können auch die Berichtigung unrichtiger Daten verlangen. Sie haben das Recht auf Löschung, Einschränkung der Verarbeitung, Widerspruch gegen eine Datenverarbeitung und auf Datenübertragbarkeit. Sofern Sie uns Ihre Einwilligung erteilt haben, haben Sie jederzeit das Recht, diese Einwilligung ohne Angaben von Gründen mit Wirkung für die Zukunft zu widerrufen. Sie können sich mit einer Beschwerde zur Datenverarbeitung an eine Aufsichtsbehörde für den Datenschutz wenden, wenn Sie der Auffassung sind, dass die Verarbeitung ihrer personenbezogenen Daten nicht rechtmäßig erfolgt ist. Andere Patientenrechte bleiben hiervon unberührt.

Der Hessische Beauftragte für den Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden.