GEMEINSAME VERANTWORTLICHKEIT

Informationen zur gemeinsamen Verantwortlichkeit
nach Art. 26 Abs. 2 S. 2 der Datenschutz- Grundverordnung (DSGVO)


Grund für die gemeinsame Verantwortlichkeit

 Für die Bereitstellung des DWG-Registers arbeiten die Akademie der Deutschen Wirbelsäulengesellschaft gGmbH („DWG“) und die Mint Medical GmbH („Mint Medical“) eng zusammen. Dies betrifft auch die Verarbeitung Ihrer persönlichen Daten. Die Parteien haben gemeinsam die Mittel und Zwecke der Verarbeitung dieser Daten festgelegt. Sie sind daher innerhalb der nachfolgend beschriebenen Prozessabschnitte gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich.


Verarbeitung in gemeinsamer Verantwortlichkeit

Das DWG-Register beruht auf Daten, die auf Basis einer Patienteneinwilligung auf Grundlage des Datenfreigabepasses pseudonymisiert in der von Mint Medical betriebenen Datensammelstelle gespeichert werden und von den betroffenen Patienten – neben etwaigen sonstigen gestatteten Verarbeitungen – zur Datennutzung durch die DWG als klinische Fachgesellschaft im Rahmen der Bereitstellung des DWG-Registers freigegeben wurden.

Soweit die Parteien DWG-Registerdaten für Zwecke der Bereitstellung und Nutzung des DWG-Registers verarbeiten, insbesondere die DWG als Datennutzer auf die pseudonymisierten DWG-Registerdaten zugreift und/oder über den DWG-Register Zugang eine Analyse der DWG-Registerdaten vornimmt, oder im Rahmen der operativen Betreuung des DWG-Registers und Sicherstellung der Datenqualität eine Datenverarbeitung von DWG-Registerdaten vornimmt, erfolgt die diesbezügliche Verarbeitung der pseudonymisierten DWG-Registerdaten in gemeinsamer Verantwortlichkeit von Mint Medical und der DWG gem. Art. 26 DSGVO.


Wesentliche Vereinbarungen

Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben die Parteien vereinbart, wer von ihnen welche Pflichten nach der DSGVO erfüllt. Dies betrifft insbesondere die Wahrnehmung der Rechte der betroffenen Personen und die Erfüllung der Informationspflichten gemäß den Artikeln 13 und 14 DSGVO.

Hinsichtlich der Abschnitte der gemeinsamen Datenverarbeitung haben die Parteien die folgenden Verantwortlichkeiten festgelegt:

  • Definition der Ausgestaltung des DWG-Registers: Die DWG ist verantwortlich, die fachliche Ausgestaltung des DWG-Registers festzulegen und klinische und wissenschaftliche Anforderungen an das DWG-Register zu definieren. Darüber hinaus ist die DWG für die fachliche Beratung und Unterstützung im Rahmen der Ausgestaltung und operativen Betreuung des DWG-Registers verantwortlich, einschließlich im Hinblick auf die Prüfung und Sicherstellung sowie Validierung der Datenqualität (insbesondere bezüglich Vollständigkeit, Integrität, Plausibilität, Konsistenz und Richtigkeit gemäß klinischen und wissenschaftlichen Anforderungen).

  • Definition von Datensätzen: Die für das DWG-Register erforderlichen Daten werden in Verantwortung der DWG definiert.

  • Erheben der Daten: Die Daten für das DWG-Register werden in der Datensammelstelle in alleiniger Verantwortung von Mint Medical erhoben. Erheben in diesem Sinne meint, die Daten in der von Mint Medical betriebenen Datensammelstelle zu erfassen.

  • Pseudonymisieren der Daten: Die Daten für das DWG-Register werden in Verantwortung von Mint Medical im Rahmen der Verarbeitung der Daten in der Datensammelstelle durch die Pseudonymisierungsstelle (als getrennt verantwortliche Stelle) pseudonymisiert.

  • Speichern der Daten: Die Daten des DWG-Registers werden durch Mint Medical gespeichert. Mint Medical stellt bei der Speicherung der Daten die nach Art.32 DSGVO erforderlichen Schutzmaßnahmen her und gewährleistet die Einhaltung des erforderlichen Schutzniveaus. Mint Medical legt in eigener Verantwortung die Mittel für die Speicherung der Daten fest.

  • Operativer Register-Betrieb: Mint Medical ist verantwortlich für die technische Bereitstellung der Daten im DWG-Register und den technischen Service des DWG-Registers  (d.h. Einrichtung, technischer operativer Betrieb, Wartung und gegebenenfalls Weiterentwicklung der diesbezüglichen technologischen Plattform und softwarebasierten Services).

  • Einrichtung und Änderung von Zugangs- und Zugriffsberechtigungen: Mint Medical ist verantwortlich, die Zugriffsrechte auf die Daten des DWG-Registers wie von DWG bzw. den von DWG bestimmten Stellen (z.B. Administratoren der Zentren) entsprechend der erfolgten Antragsgenehmigung entschieden, einzurichten, zu ändern oder zu sperren.

  • Verarbeitung der DWG-Registerdaten: Die DWG ist verantwortlich im Hinblick auf die eigene Analyse, Auswertung und sonstige Nutzung der DWG-Registerdaten als Datennutzer für eigene Forschungs- und Entwicklungszwecke der DWG, insbesondere Definition von Standards für Behandlungen, Qualitätsverbesserung und Zertifizierung. Die DWG ist insoweit insbesondere auch für die Bestimmung und Verwaltung der von ihr als zugangsberechtigt festgelegten Nutzer sowie die Zulässigkeit der Gewährung der entsprechenden Zugriffsmöglichkeiten auf die DWG-Registerdaten sowie die Offenlegung und Verarbeitung der DWG-Registerdaten durch diese Nutzer verantwortlich.

  • Verarbeitungseinschränkung von Daten (Umsetzung Einwilligungswiderruf): Mint Medical ist dafür verantwortlich, die Verarbeitung von Datensätzen einzuschränken, bei denen der Betroffene die Einwilligung widerrufen hat. Dies kann durch vollständige Anonymisierung des Datensatzes erfolgen. Die Mitwirkung einer datenbereitstellenden Klinik ist hierfür erforderlich.

  • Löschung von Daten: Mint Medical ist dafür verantwortlich, dass Datensätze, deren Speicherung nicht mehr zulässig ist, gelöscht werden. Dies kann durch vollständige Anonymisierung des Datensatzes erfolgen. Die Mitwirkung einer datenbereitstellenden Klinik ist hierfür erforderlich.

  • Auskunft über Daten: Mint Medical ist dafür verantwortlich, Auskunftsbegehren gemäß Art.15 DSGVO, die sich auf die Daten des DWG-Registers beziehen, zu bearbeiten, die Identitätsprüfung durchzuführen (bzw. durchführen zu lassen) und bei Existenz von Daten zum Betroffenen die Auskunft auszuführen. Die Mitwirkung einer datenbereitstellenden Klinik ist hierfür erforderlich.

  • Berichtigung von Daten: Mint Medical ist dafür verantwortlich, im Falle eines Berichtigungsbegehrens nach Art.16 DSGVO die Prüfung des Begehrens durchzuführen und ggf. die Daten zu berichtigen. Die Mitwirkung einer datenbereitstellenden Klinik ist hierfür erforderlich.


Was bedeutet das für Betroffene?

  • Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Parteien die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten für die einzelnen Prozessabschnitte wie oben dargestellt.

  • Mint Medical macht den betroffenen Personen die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zugänglich.

  • Die Informationen für Patienten sind in detaillierter Weise in den Datenschutzhinweisen zum Datenfreigabepass beschrieben (www.datenfreigabepass.de) .

  • Betroffenenrechte nach Art. 15 bis Art 22 der DSGVO können sowohl bei Mint Medical als auch bei der DWG geltend gemacht werden. Die Parteien informieren sich unverzüglich gegenseitig über von Betroffenen geltend gemachte Rechtspositionen. Sie stellen einander sämtliche für die Beantwortung von Auskunftsersuchen notwendigen Informationen zur Verfügung.

  • Betroffene erhalten die Auskunft grundsätzlich von der Stelle, bei der Rechte geltend gemacht wurden. Die Mitwirkung der behandelnden Klinik ist hierfür jeweils zwingend erforderlich.