Datenschutz
Der Schutz Ihrer Privatsphäre sowie die Sicherheit aller Patienten- und Geschäftsdaten bei der Verarbeitung personenbezogener Daten sind uns ein wichtiges Anliegen, das wir in unseren Prozessen berücksichtigen. Hier informieren wir Sie ausführlich über den Umgang mit Ihren Daten.
Verantwortliche gem. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (DS-GVO)
Universitätsklinikum Frankfurt
Theodor-Stern-Kai 7
60590 Frankfurt
Telefon: +49 69 63 01 – 0
Datenschutzbeauftragter des Verantwortlichen Der Datenschutzbeauftragte ist zu erreichen unter: Telefon: +49 69 / 6301-7235 E-Mail: Datenschutz@kgu.de Weitere Informationen zu unserem Datenschutzbeauftragten finden Sie unter: https://www.kgu.de/ueber-uns/datenschutzbeauftragter
1. Rechte der betroffenen Person (Art. 15. DS-GVO)
Nachfolgend klären wir Sie über Ihre Betroffenenrechte auf. Diese Rechte können Sie jederzeit wahrnehmen und sich deswegen direkt an uns wenden. Sofern Sie diese Rechte uns gegenüber einfordern, werden wir diese eingehend unter Berücksichtigung der damit im Zusammenhang stehenden gesetzlichen Anforderungen und Auflagen prüfen. Hierzu werden wir ggf. weitere Informationen von Ihnen erfragen. Die Ergebnisse unserer Prüfung sowie unser Vorgehen zur Erfüllung Ihrer Anfrage werden wir Ihnen ausführlich erläutern. Dabei ist es möglich, dass wir Ihren Wünschen nicht vollumfänglich in der von Ihnen gewünschten Weise nachkommen können. Dies soll Sie nicht davon abhalten, Ihre Rechte uns gegenüber einzufordern, oder bei uns diesbezüglich nachzufragen. Gerne werden wir Ihnen Ihre Datenschutz – Nachfragen beantworten.
a) Recht auf Auskunft (Art. 15 DS-GVO)
Sie haben gemäß das Recht, von uns jederzeit Auskunft zu verlangen, ob und welche Daten zu Ihrer Person von uns verarbeitetet werden. Dies beinhaltet auch Angaben zu den Zwecken der Verarbeitung, ggf. zu Empfängern, denen gegenüber wir Daten von Ihnen offengelegt haben, die geplante Speicherdauer und ggf. Angaben zur Herkunft dieser Daten, sofern wir diese nicht direkt bei Ihnen erhoben haben sollten. Darüber hinaus haben Sie das Recht auf eine einmalige kostenfreie Kopie Ihrer bei uns gespeicherten personenbezogenen Daten.
b) Recht auf Berichtigung (Art. 16 DS-GVO)
Sie haben das Recht, von uns die Berichtigung von unzutreffenden Daten, die wir zu Ihrer Person gespeichert haben, zu verlangen. Dies beinhaltet auch das Recht auf Vervollständigung unvollständiger personenbezogener Daten.
c) Recht auf Löschung (Art. 17 DS-GVO)
Sie haben das Recht, von uns die Löschung von Daten, die wir zu Ihrer Person gespeichert haben, zu verlangen. Sofern wir Daten von Ihnen veröffentlicht haben sollten, fällt hierunter auch unsere Verpflichtung, im Rahmen des „Rechts auf Vergessenwerden“ gemäß Art. 17 Abs. 2 DS-GVO unter Berücksichtigung verfügbarer Technologie und der Implementierungskosten Ihren Löschwunsch alle Links zu diesen Daten sowie Kopien bzw. Replikationen dieser Daten betreffend an weitere für die Verarbeitung dieser veröffentlichten personenbezogenen Daten Verantwortliche weiterzuleiten.
d) Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO)
Sie haben das Recht, von uns die Einschränkung der Verarbeitung von Daten, die wir zu Ihrer Person gespeichert haben, zu verlangen. Danach ist eine Verarbeitung dieser Daten nur noch mit Ihrer Einwilligung oder zu wenigen, gesetzlich festgelegten Zwecken möglich.
e) Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO)
Soweit wir die Verarbeitung Ihrer personenbezogenen Daten auf die Interessenabwägung stützen, können Sie Widerspruch gegen die Verarbeitung einlegen. Dies ist der Fall, wenn die Verarbeitung insbesondere nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist, was von uns jeweils bei der nachfolgenden Beschreibung der Funktionen dargestellt wird. Bei Ausübung eines solchen Widerspruchs bitten wir um Darlegung der Gründe, weshalb wir Ihre personenbezogenen Daten nicht wie von uns durchgeführt verarbeiten sollten. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen. Selbstverständlich können Sie der Verarbeitung Ihrer personenbezogenen Daten für Zwecke der Werbung und Datenanalyse jederzeit widersprechen. Über Ihren Werbewiderspruch können Sie uns über die oben aufgeführten Kontaktwege informieren.
f) Recht auf Widerruf einer datenschutzrechtlichen Einwilligung (Art. 7 DS-GVO)
Falls Sie eine Einwilligung zur Verarbeitung Ihrer Daten erteilt haben, können Sie diese jederzeit gemäß Art. 7 Abs. 3 DS-GVO widerrufen. Ein solcher Widerruf beeinflusst die Zulässigkeit der Verarbeitung Ihrer personenbezogenen Daten, nachdem Sie ihn uns gegenüber ausgesprochen haben.
g) Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
Sie haben das Recht, Daten zu Ihrer Person, die Sie uns bereitgestellt haben, von uns in einem strukturierten, gängigen und maschinenlesbaren Format zum Zweck der Übertragung zu einem anderen Verantwortlichen zu erhalten. Dies beinhaltet auf Ihren Wunsch hin und unter Berücksichtigung der vorhandenen technischen Möglichkeiten auch die direkte Übertragung von uns zum anderen Verantwortlichen.
h) Beschwerderecht bei einer Aufsichtsbehörde (Art. 13 DS-GVO)
Sie haben das Recht, sich jederzeit bei einer Datenschutzaufsichtsbehörde über unsere Verarbeitung von Daten zu Ihrer Person zu beschweren. Die zuständige Aufsichtsbehörde erreichen Sie unter: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden
i) Automatisierte Entscheidungsfindung einschließlich Profiling (Art. 22 DS-GVO)
Sie haben das Recht, Auskunft über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zu erhalten.
2. Rechtsgrundlage für die Verarbeitung personenbezogener Daten (Art. 6 DS-GVO)
(1) Soweit wir eine Einwilligung der betroffenen Person für Verarbeitungsvorgänge personenbezogener Daten einholen, erfolgt dies auf der Rechtsgrundlage Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DS-GVO).
(2) Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DS-GVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
(3) Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DS-GVO als Rechtsgrundlage.
(4) Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DS-GVO als Rechtsgrundlage.
(5) Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DS-GVO als Rechtsgrundlage für die Verarbeitung.
3. Information über die Erhebung personenbezogener Daten
(1) Im Folgenden informieren wir über die Erhebung personenbezogener Daten bei Nutzung unserer Website. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten.
(2) Bei Ihrer Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer) von uns gespeichert, um Ihre Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.
(3) Falls wir für einzelne Funktionen unseres Angebots auf beauftragte Dienstleister zurückgreifen oder Ihre Daten für werbliche Zwecke nutzen möchten, werden wir Sie untenstehend im Detail über die jeweiligen Vorgänge informieren. Dabei nennen wir auch die festgelegten Kriterien der Speicherdauer.
Erhebung personenbezogener Daten bei Besuch unserer Website
Bei der einfachen informatorischen Nutzung der Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Wenn Sie unsere Website betrachten möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage hierfür ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO):
- IP-Adresse
- Hostname
- Datum und Uhrzeit der Anfrage
- Zeitzonendifferenz zur Greenwich Mean Time (GMT)
- Inhalt der Anforderung (konkrete Seite)
- Zugriffsstatus/HTTP-Statuscode
- jeweils übertragene Datenmenge
- Website, von der die Anforderung kommt (Referrer)
- Die von Ihnen aufgerufenen konkreten Seiten unserer Website
- Browser: Typ, Version und eingestellte Sprache
- Betriebssystem: Typ und Version
- Bei aktiviertem JavaScript außerdem:
- Bildschirmauflösung
- Farbtiefe
- Größe des Browserfensters
- Installierte Browser-Plugins
4. Datenlöschung und Speicherdauer
(1) Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt.
(2) Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde.
(3) Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.
5. Einsatz von Cookies
Bei Cookies handelt es sich um kleine Dateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die das Cookie setzt, bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver zu machen. Eine detaillierte Auflistung der eingesetzten Cookies kann unterhalb dieser Datenschutz Erklärung eingesehen werden.
6. Weitere Funktionen & Angebote unserer Unternehmenswebseite
(1) Neben der rein informatorischen Nutzung unserer Webseite bieten wir verschiedene Leistungen an, die Sie bei Interesse nutzen können. Dazu müssen Sie in der Regel weitere personenbezogene Daten angeben, die wir zur Erbringung der jeweiligen Leistung nutzen und für die die zuvor genannten Grundsätze zur Datenverarbeitung gelten. Pflichtangaben sind hierbei mit einem Sternchen gekennzeichnet. Angaben in nicht auf diese Weise markierten Feldern sind rein freiwillig.
(2) Bei Ihrer Kontaktaufnahme mit dem Diensteanbieter per E-Mail werden Ihre E-Mail-Adresse und, falls Sie dies angeben, Ihr Name, Ihre Telefonnummer und […] von uns gespeichert, um Ihre Fragen zu beantworten.
(3) Teilweise bedienen wir uns zur Verarbeitung Ihrer Daten externer Dienstleister. Diese wurden von uns sorgfältig ausgewählt und beauftragt, sind an unsere Weisungen gebunden und werden regelmäßig kontrolliert.
(4) Soweit unsere Dienstleister oder Partner ihren Sitz in einem Staat außerhalb des Europäischen Wirtschaftsraumen (EWR) haben, informieren wir Sie über die Folgen dieses Umstands in der Beschreibung des Angebotes.
6.1 Teleradiologie Upload-Portals (JiveX Connect Upload)
(1) Über das Uploadportal (JiveX Connect) können personenbezogene Daten, Befunde und Bilddateien in den Dateiformaten .dicom oder .pdf an das KGU übermittelt werden.
(2) Beim Aufruf des Upload Portals Webseite wird jeder Zugriff auf das Upload Portal und jeder Abruf einer auf dieser Website hinterlegten Datei protokolliert. Die Speicherung dient internen systembezogenen und statistischen Zwecken. Protokolliert werden: Name der abgerufenen Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Webbrowser und anfragende Domain. Zusätzlich werden die IP-Adressen der anfragenden Rechner protokolliert.
(3) Die oben genannten Daten werden durch VISUS erhoben, um einen reibungslosen Verbindungsaufbau sowie eine komfortable Nutzung des Portals zu ermöglichen. Darüber hinaus dienen VISUS die oben genannten Daten zur Auswertung der Systemsicherheit und -stabilität.
(4) Des Weiteren werden über den Upload von Daten, welche personenbezogene Informationen beinhalten (u.a. Metadaten in DICOM-Objekten, PDF-Dateien mit personenbezogenen Inhalten, Dateinamen), oder wenn der Nutzer der Website freiwillig Daten über die Formulare der Webseite eingibt (oder dies über die Einstellungen seines Browsers tätigt) weitere personenbezogene Daten erfasst.
(5) Entsprechend der verschiedenen Zwecke haben die beteiligten Personen innerhalb des Krankenhauses Zugriff auf Ihre Bilder und Daten, wozu etwa auch alle medizinischen Mitarbeiter/innen anderer Abteilungen zählen, die an einem fachübergreifendem Austausch teilnehmen oder die Verwaltung, die die Abrechnung vornimmt.
(6) Rechtsgrundlage: Der Upload und die Verarbeitung von besonderen Kategorien personenbezogener Daten, insbesondere von Gesundheitsdaten, erfolgt auf Basis von Art. 9 Abs. 2 lit. a DSGVO i.V.m. Art. 6 Abs. 1 lit. a DSGVO.
(7) Archivierung und Löschung: Soweit Ihre übermittelten Bilder und Befunde Ihrer Versorgung oder der Versorgung Ihres Patienten in der Universitätsklinik dienen, werden ausgewählte Bilder und Befunde in das Archiv überführt. Eine Archivierungspflicht für hochgeladene Bilder und Befunde ergibt sich daraus nicht. Die in diesem Zusammenhang anfallenden Daten werden gelöscht, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen. Gesetzliche Regelungen wie die Röntgenverordnung, die Strahlenschutzverordnung, die Apothekenbetriebsordnung oder das Transfusionsgesetz schreiben unterschiedliche Aufbewahrungsfristen vor. Aus haftungsrechtlichen Gründen wird Ihre Patientenakte bis zu 30 Jahre lang aufbewahrt. Dies folgt daraus, dass Schadensersatzansprüche, die Patienten gegenüber dem Krankenhaus geltend machen, gemäß § 199 Abs. 2 Bürgerliches Gesetzbuch spätestens in 30 Jahren verjähren. Seitens des eingesetzten Auftragsverarbeiters und dessen eingesetztem Unterauftragnehmers werden alle erhobenen personenbezogenen Daten nach der erfolgreichen Weiterleitung an den Empfänger (Teleradiologie der Universitätsklinik Frankfurt) automatisch gelöscht. Falls die Daten nicht erfolgreich an den Empfänger weitergeleitet werden können, werden die Daten nach maximal 2 Wochen auf den Systemen automatisch gelöscht. Nicht personenbezogene Daten (Statistiken über Übertragungsdauer oder Größe des Uploads etc.) werden manuell gelöscht.
(8) Diensteanbieter: Das Upload Portal wird betrieben und bereitgestellt durch MedEcon Telemedizin GmbH, Gesundheitscampus-Süd 29, 44801 Bochum und deren Unterauftragnehmer VISUS Health IT GmbH, Gesundheitscampus-Süd 15-17, 44801. Bochum
7. Drittanbieter-Dienste
Die Rechtsgrundlage für den Einsatz von lokal eingesetzten Web Analyse-Werkzeugen ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO, d.h. die Wahrung unserer berechtigten Interessen in Abwägung mit den Interessen unserer Webseitenbesucher. Unser Interesse stellt dabei die Analyse der Nutzung unserer Website durch unsere Webseitenbesucher dar, um über die dadurch gewonnenen Statistiken unser Angebot zu verbessern und für Sie als Nutzer interessanter zu gestalten. Sofern das verwendete Analysewerkzeug daneben noch weiteren Zwecken dient bzw. wir eine Nutzung für weitere Interessen von uns vornehmen, informieren wir Sie darüber direkt in den Erläuterungen zu dem jeweiligen Analysewerkzeug. Die Rechtsgrundlage für die Verwendung von Drittanbietern zur Durchführung von Web Analyse erfolgt auf Basis von Art. 6 Abs. 1 S. 1 lit. a.
a) Google Maps
(1) Auf dieser Website nutzen wir das Angebot von Google Maps, indem wir interaktive Karten direkt auf unserer Website anzeigen und Ihnen eine komfortable Nutzung der Karten-Funktion ermöglichen. Rechtsgrundlage für die Nutzung des Plug-ins ist Art. 6 Abs. 1 S. 1 lit. a DS-GVO. Die Einwilligung erfolgt durch Ihre Auswahl im Cookie Banner.
(2) Durch den Besuch auf der Website erhält Google die Information, dass Sie die entsprechende Unterseite unserer Website aufgerufen haben. Dies erfolgt unabhängig davon, ob Google ein Nutzerkonto bereitstellt, über das Sie eingeloggt sind, oder ob kein Nutzerkonto besteht. Wenn Sie bei Google eingeloggt sind, werden Ihre Daten direkt Ihrem Konto zugeordnet. Wenn Sie die Zuordnung mit Ihrem Profil bei Google nicht wünschen, müssen Sie sich vor Aktivierung des Buttons ausloggen. Google speichert Ihre Daten als Nutzungsprofile und nutzt sie für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung seiner Website. Eine solche Auswertung erfolgt insbesondere (selbst für nicht eingeloggte Nutzer) zur Erbringung von bedarfsgerechter Werbung und um andere Nutzer des sozialen Netzwerks über Ihre Aktivitäten auf unserer Website zu informieren. Ihnen steht ein Widerspruchsrecht zu gegen die Bildung dieser Nutzerprofile, wobei Sie sich zur Ausübung dessen an Google richten müssen.
(3) Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch den Plug-in-Anbieter erhalten Sie in den Datenschutzerklärungen des Anbieters. Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten und Einstellungsmöglichkeiten zum Schutze Ihrer Privatsphäre: Google Dublin, Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Ireland; http://www.google.de/intl/de/policies/privacy.
b) Google Web Fonts
(1) Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen. Zu diesem Zweck muss der von Ihnen verwendete Browser Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde. Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DS-GVO dar.
(2) Wenn Ihr Browser Web Fonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt. Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq/ und in der Datenschutzerklärung von Google unter: https://www.google.com/policies/privacy/.
8. Begrifflichkeiten
a) Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
b) Verarbeitung
Jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
c) Einschränkung der Verarbeitung
Die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
d) Profiling
Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
e) Pseudonymisierung
Die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
f) Verantwortlicher
Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
g) Auftragsverarbeiter
Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
h) Dritter
eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
i) Einwilligung
Der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Stand: 28.04.2021
Privacy Policy
The protection of your privacy as well as the security of all patient and business data during the processing of personal data is an important concern for us, which we take into account in our processes. Here we inform you in detail about how we handle your data.
Controller according to Art. 4 para. 7 EU-General Data Protection Regulation (GDPR)
Universitätsklinikum Frankfurt
Theodor-Stern-Kai 7
60590 Frankfurt
Germany
Telephone: +49 69 63 01 – 0
Data protection officer of the controller
The data protection officer can be reached at:
Telephone: +49 69 / 6301-7235
E-Mail: Datenschutz@kgu.de
For more information about our data protection officer, please visit: https://www.kgu.de/ueber-uns/datenschutzbeauftragter
1. Rights of the data subject (Art. 15. GDPR)
In the following, we will inform you about your data subject rights. You can exercise these rights at any time and contact us directly for this purpose. If you request these rights from us, we will examine them in detail, considering the associated legal requirements and conditions. If necessary, we will request further information from you. We will explain the results of our examination and our procedure for fulfilling your request to you in detail. It is possible that we will not be able to fully comply with your requests in the way you would like. This should not prevent you from claiming your rights from us or from inquiring with us in this regard. We will be happy to answer any questions you may have.
a) Right of access (Art. 15 GDPR)
In accordance with the law, you have the right to request information from us at any time as to whether and which of your personal data is being processed by us. This also includes information on the purposes of processing, if applicable, recipients to whom we have disclosed your data, the planned storage period and, if applicable, information on the origin of this data if we have not collected it directly from you. In addition, you have the right to a one-time free copy of your personal data stored by us. We reserve the right to charge a reasonable administrative fee for making the following copies.
b) Right of rectification (Art. 16 GDPR)
You have the right to request us to correct any inaccurate data we have stored about you. This also includes the right to have incomplete personal data completed.
c) Right to erasure (Art. 17 GDPR)
You have the right to request us to delete data that we have stored about you. If we have published data about you, this also includes our obligation, within the framework of the „right to be forgotten“ pursuant to Article 17 (2) of the GDPR, to forward your request to delete all links to this data and copies or replications of this data to other controllers of this published personal data, considering available technology and implementation costs.
d) Right to restriction of processing (Art. 18 GDPR)
You have the right to demand that we restrict the processing of data that we have stored about you. After that, processing of this data is only possible with your consent or for a few legally defined purposes.
e) Right to object to processing (Art. 21 GDPR)
Insofar as we base the processing of your personal data on the balance of interests, you can object to the processing. This is the case if the processing is not necessary, in particular, for the performance of a contract with you, which is shown by us in each case in the following description of the functions. When exercising such an objection, we ask you to explain the reasons why we should not process your personal data as we have done. In the event of your justified objection, we will review the situation and either discontinue or adjust the data processing or show you our compelling legitimate grounds on the basis of which we will continue the processing. Of course, you can object to the processing of your personal data for purposes of advertising and data analysis at any time. You can inform us about your advertising objection via the contact channels listed above.
f) Right to revoke consent under data protection law (Art. 7 GDPR)
If you have given your consent to the processing of your data, you may revoke it at any time in accordance with Article 7 (3) of the GDPR. Such revocation affects the permissibility of processing your personal data after you have expressed it to us.
g) Right to data portability (Art. 20 GDPR)
You have the right to receive from us personal data that you have provided to us in a structured, common and machine-readable format for the purpose of transferring it to another controller. At your request and taking into account the available technical possibilities, this also includes direct transfer from us to the other responsible party.
h) Right of appeal to a supervisory authority (Art. 13 GDPR)
You have the right to lodge a complaint about our processing of data relating to you with a data protection supervisory authority at any time. You can reach the responsible data protection authority at: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden
i) Automated decision-making including profiling (Art. 22 GDPR)
You have the right to obtain information about the existence of automated decision-making, including profiling, pursuant to Article 22(1) and (4) of the GDPR and – at least in these cases – meaningful information about the logic involved and the scope and intended effects of such processing for the data subject.
2. legal basis for the processing of personal data (Art. 6 GDPR)
(1) Insofar as we obtain the consent of the data subject for processing operations involving personal data, this shall be based on the legal basis of Art. 6 (1) a of the EU General Data Protection Regulation (GDPR).
(2) When processing personal data that is necessary for the performance of a contract to which the data subject is a party, Art. 6 (1) lit. b GDPR serves as the legal basis. This also applies to processing operations that are necessary for the performance of pre-contractual measures.
(3) Insofar as processing of personal data is necessary for compliance with a legal obligation to which our company is subject, Art. 6 (1) c GDPR serves as the legal basis.
(4) In the event that vital interests of the data subject or another natural person make processing of personal data necessary, Art. 6 (1) (d) GDPR shall serve as the legal basis.
(5) If the processing is necessary to protect a legitimate interest of our company or a third party and the interests, fundamental rights and freedoms of the data subject do not override the first-mentioned interest, Art. 6 (1) (f) GDPR shall serve as the legal basis for the processing.
3. information about the collection of personal data
(1) In the following, we inform you about the collection of personal data when using our website. Personal data is all data that can be related to you personally, e.g., name, address, e-mail addresses, user behaviour.
(2) When you contact us by e-mail or via a contact form, the data you provide (your e-mail address, name and telephone number, if applicable) will be stored by us in order to answer your questions. We delete the data accruing in this context after the storage is no longer necessary or restrict the processing if there are legal retention obligations.
(3) If we use contracted service providers for individual functions of our offer or would like to use your data for advertising purposes, we will inform you in detail about the respective processes below. In doing so, we will also state the defined criteria for the storage period.
Collection of personal data when visiting our website
In the case of mere informational use of the website, i.e., if you do not register or otherwise transmit information to us, we only collect the personal data that your browser transmits to our server. If you wish to view our website, we collect the following data, which is technically necessary for us to display our website to you and to ensure stability and security (legal basis for this is Art. 6 para. 1 p. 1 lit. f GDPR):
- IP-Address
- Hostname
- Date & Time of the request
- Time zone difference from Greenwich Mean Time (GMT)
- Content of the request (concrete page)
- Access status/HTTP status code
- Amount of data transferred in each case
- Website from which the request comes (referrer)
- The specific pages of our website that you called up
- Browser: Type, version and set language
- Operating system: type and version
- With JavaScript enabled moreover:
- Screen resolution
- Color depth
- Browser window size
- Installed browser plugins
4. Data deletion and storage duration
(1) The personal data of the data subject shall be deleted or blocked as soon as the purpose of the storage expires.
(2) Storage may also take place if this has been provided for by the European or national legislator in Union regulations, laws or other provisions to which the controller is subject.
(3) Data shall also be blocked or deleted if a storage period prescribed by the standards expires, unless there is a need for further storage of the data for the conclusion or performance of a contract.
5. Cookie usage
Cookies are small files that are stored on your hard drive associated with the browser you are using and through which certain information flows to the entity that sets the cookie. Cookies cannot execute programs or transfer viruses to your computer. They serve to make the Internet offer more user-friendly and effective. A detailed list of the cookies used can be found below this privacy statement.
6. Further functions & offers of our company website
(1) In addition to the purely informational use of our website, we offer various services that you can use if you are interested. For this purpose, you must usually provide additional personal data that we use to provide the respective service and for which the data processing principles apply. Mandatory data is marked with an asterisk. Information in fields not marked in this way is purely voluntary.
(2) When you contact the service provider by e-mail, your e-mail address and, if you so indicate, your name, telephone number and […] will be stored by us to answer your questions.
(3) In some cases, we use external service providers to process your data. These have been carefully selected and commissioned by us, are bound by our instructions, and are regularly monitored.
(4) Furthermore, we may pass on your personal data to third parties if we offer promotions, competitions, contracts or similar services together with partners. You will receive more information about this when you provide your personal data or below in the description of the offer.
(5) If our service providers or partners are based in a country outside the European Economic Area (EEA), we will inform you about the consequences of this circumstance in the description of the offer.
6.1 Teleradiology Upload Portal (JiveX Connect Upload)
(1) Via the upload portal (JiveX Connect), personal data, findings and image files can be transmitted to the KGU in the file formats .dicom or .pdf.
(2) When the upload portal website is called up, each access to the upload portal and each retrieval of a file stored on this website is logged. The storage serves internal system-related and statistical purposes. The following are logged: Name of the retrieved file, date and time of retrieval, amount of data transferred, notification of successful retrieval, web browser and requesting domain. In addition, the IP addresses of the requesting computers are logged.
(3) The above-mentioned data are collected by VISUS in order to enable a smooth connection setup as well as a comfortable use of the portal. In addition, VISUS uses the above-mentioned data to evaluate system security and stability.
(4) Furthermore, additional personal data is collected via the upload of data containing personal information (e.g., metadata in DICOM objects, PDF files with personal content, file names) or if the user of the website voluntarily enters data via the forms of the website (or does so via the settings of his browser).
(5) In accordance with the various purposes, the persons involved within the hospital have access to your images and data, which also includes, for example, all medical staff in other departments who participate in an interdisciplinary exchange or the administration, which carries out the accounting.
(6) Legal basis: The upload and processing of special categories of personal data, in particular health data, is based on Art. 9 (2) lit. a GDPR in conjunction with. Art. 6 para. 1 lit. a GDPR.
(7) Archiving and deletion: Insofar as your transmitted images and findings serve your care or the care of your patient in the university hospital, selected images and findings will be transferred to the archive. This does not result in an archiving obligation for uploaded images and findings. The data accruing in this context will be deleted after storage is no longer necessary or restrict processing if there are legal retention obligations. Legal regulations such as the X-ray Ordinance, the Radiation Protection Ordinance, the Pharmacy Operating Regulations or the Transfusion Act prescribe different retention periods. For liability reasons, your patient file is kept for up to 30 years. This follows from the fact that claims for damages asserted by patients against the hospital become statute-barred in 30 years at the latest pursuant to Section 199 (2) of the German Civil Code. On the part of the appointed processor and its appointed subcontractor, all personal data collected are automatically deleted after successful forwarding to the recipient (teleradiology of the University Hospital Frankfurt). If the data cannot be successfully forwarded to the recipient, the data will be automatically deleted from the systems after a maximum of 2 weeks. Non-personal data (statistics on transmission duration or size of upload, etc.) are deleted manually.
(8) Service provider: The upload portal is operated and provided by MedEcon Telemedizin GmbH, Gesundheitscampus-Süd 29, 44801 Bochum, Germany and its subcontractor VISUS Health IT GmbH, Gesundheitscampus-Süd 15-17, 44801 Bochum, Germany.
7. Third-party services
The legal basis for the use of locally deployed web analysis tools is Art. 6 para. 1 p. 1 lit. f GDPR, i.e., the protection of our legitimate interests in consideration of the interests of our website visitors. Our interest is the analysis of the use of our website by our website visitors, to improve our offer and to make it more interesting for you as a user. If the analysis tool used also serves other purposes or we use it for other interests, we will inform you about this directly in the explanations for the respective analysis tool. The legal basis for the use of third-party providers to perform web analytics is based on Art. 6 para. 1 p. 1 lit. a.
a) Google Maps
(1) On this website, we use the Google Maps service by displaying interactive maps directly on our website and enabling you to use the map function conveniently. The legal basis for the use of the plug-in is Art. 6 para. 1 p. 1 lit. a GDPR. Consent is given through your selection in the cookie banner.
(2) By visiting the website, Google receives the information that you have called up the corresponding sub-page of our website. This occurs regardless of whether Google provides a user account through which you are logged in or whether there is no user account. If you are logged in to Google, your data will be directly assigned to your account. If you do not want the assignment with your profile at Google, you must log out before activating the button. Google stores your data as usage profiles and uses them for the purposes of advertising, market research and/or demand-oriented design of its website. Such an evaluation is carried out in particular (even for users who are not logged in) to provide needs-based advertising and to inform other users of the social network about your activities on our website. You have the right to object to the creation of these user profiles, whereby you must contact Google to exercise this right.
(3) For more information on the purpose and scope of data collection and its processing by the plug-in provider, please refer to the provider’s privacy policy. There you will also find further information on your rights in this regard and setting options for protecting your privacy: Google Dublin, Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland; http://www.google.de/intl/de/policies/privacy.
b) Google Web Fonts
(1) This site uses so-called web fonts provided by Google for the uniform display of fonts. When you call up a page, your browser loads the required web fonts into its browser cache in order to display texts and fonts correctly. For this purpose, the browser you are using must connect to Google’s servers. This enables Google to know that our website has been accessed via your IP address. Google Web Fonts are used in the interest of a uniform and appealing presentation of our online offers. This represents a legitimate interest within the meaning of Art. 6 para. 1 lit. f GDPR.
(2) If your browser does not support web fonts, a standard font from your computer will be used. For more information on Google Web Fonts, please visit https://developers.google.com/fonts/faq/ and Google’s privacy policy at: https://www.google.com/policies/privacy/.
8. Definitions
a) Personal Data
Any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person
b) Processing
Any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.
c) Restriction of Processing
The marking of stored personal data with the aim of limiting their processing in the future.
d) Profiling
Any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements.
e) Pseudonymisation
The processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person.
f) Controller
The natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law
g) Processor
A natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller.
h) Consent
The data subject any freely given specific, informed and unambiguous indication of his or her wishes in the form of a statement or other unambiguous affirmative act by which the data subject signifies his or her agreement to personal data relating to him or her being processed.
State: 28.04.2021