DATENSCHUTZHINWEISE
DATENFREIGABEPASS

I. Name und Anschrift der Verantwortlichen

Für die Verarbeitung ihrer Gesundheitsdaten im Rahmen des Registers verantwortlich sind:

als behandelnde Einrichtung für die Verarbeitung innerhalb des Krankenhauses:

Ihre behandelnde Einrichtung; diese ist auch in der Patienteninformation zum Datenfreigabepass hinterlegt.

als Datensammelstelle für den Betrieb des Registers:

Mint Medical GmbH

Burgstraße 61

69121 Heidelberg

als Vertrauensstelle zur Erstellung und Verwaltung der Patientenpseudonyme:

Nortal AG

Knesebeckstr. 1

10623 Berlin

als Datennutzer:

die auf htps://www.datenfreigabepass.de/registrierte-datennutzer

aufgeführten Forschungseinrichtungen, Krankenhäuser, Fachgesellschaften und Unternehmen.

II. Name und Anschrift der Datenschutzbeauftragten

Kontaktaden des Datenschutzbeauftragten Ihrer behandelnden Einrichtung finden Sie in der Patienteninformation zum Datenfreigabepass.

Für die Datensammelstelle:

Katharina Ruhenstroth
intersoft consulting services AG
Beim Strohhause 17
20097 Hamburg
www.intersoft-consulting.de

Für die Vertrauensstelle:

Patrick Leibbrand
Nortal AG
Knesebeckstr. 59-61/61a
10719 Berlin
datenschutz@nortal.com

III. Betrieb der Datensammelstelle

1. Beschreibung und Umfang der Datenverarbeitung

Mint Medical GmbH verarbeitet personenbezogene Daten und elektronische Gesundheitsdaten, soweit dies zur Bereitstellung und Optimierung der Datensammelstelle erforderlich ist. Das Ziel ist, Ihre Daten in pseudonymisierter Form für die Überwachung der Sicherheit und Wirksamkeit von Behandlungsmethoden und Medizinprodukten und für die Forschung und Entwicklung neuer Diagnose- und Therapiemethoden und Produkte im Gesundheitsbereich zu verwenden. Um solche Projekte mit Ihrer Hilfe zu ermöglichen, richtet die Mint Medical GmbH eine so genannte Datensammelstelle ein. Das ist eine zentrale Sammelstelle, die Ihre Daten genau nach Ihren Vorgaben speichert und qualifizierten Datennutzer/innen dann zur Verfügung stellen kann.

Um Ihre Daten für das Register bereitzustellen, füllen Sie zunächst Ihr Einwilligungsdokument in der Klinik aus. Für die Erstregistrierung und die Ausstellung Ihres persönlichen Datenfreigabepasses benötigt die Klinik Ihren Namen, Ihr Geburtsdatum und die Nummer Ihrer elektronischen Gesundheitskarte. Für alle Verarbeitungsvorgänge innerhalb der Klinik ist diese die datenschutzrechtlich verantwortliche Stelle.

Nachdem Sie Ihren Datenfreigabepass ausgefüllt haben, wird die Klinik die Gesundheitsdaten, die Sie bereitstellen wollen, mit der Datensammelstelle teilen. Diese wird dabei niemals Ihren Namen, Ihr Geburtsdatum oder die Nummer Ihrer Gesundheitskarte erfahren, sondern wird Ihre Daten immer nur unter Pseudonymen speichern, die keinen Rückschluss auf Ihre Person zulassen.

Die Erzeugung und Verwaltung der Pseudonyme erfolgt durch eine unabhängige Vertrauensstelle. Nur diese, weder die Klinik noch die Datensammelstelle, kann eine Zuordnung zwischen Ihrer Gesundheitskartennummer und dem Pseudonym herstellen. Um die Unabhängigkeit der Vertrauensstelle sicherzustellen, erbringt sie ihre Leistung als datenschutzrechtlich eigenständig Verantwortliche.

Qualifizierte Forscher:innen können sich mit einem Antrag an die Datensammelstelle wenden, wenn Sie für ihre Forschungszwecke Gesundheitsdaten benötigen. Wenn ein Forschungsprojekt genehmigt ist und den Forscher:innen Daten von der Datensammelstelle zur Verfügung gestellt werden, wird dies auf der Seite https://www.datenfreigabepass.de/registrierte-datennutzer veröffentlicht. Auch die Datennutzer erhalten dabei niemals Angaben, die Sie als natürliche Person direkt identifizieren würden, sondern lediglich die für das Forschungsprojekt relevanten klinischen Daten. Für die Durchführung des Forschungsprojekts und die dabei verarbeiteten Daten sind die jeweiligen Datennutzer verantwortlich, die zu diesem Zweck auf der oben genannten Webseite eigene Datenschutzhinweise veröffentlichen.

2. Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung Ihrer Gesundheitsdaten erfolgt in der Datensammelstelle gemäß Artikel 9 Abs.2 lit. a) DSGVO in Verbindung mit Artikel 6 Abs.1 lit. a) DSGVO auf Grundlage Ihrer Einwilligung. Die Verarbeitung Ihrer persönlichen Daten, die keine Gesundheitsdaten sind, erfolgt gemäß Artikel 6 Abs.1 lit a) DSGVO ebenfalls auf Grundlage Ihrer Einwilligung.

3. Zweck der Datenverarbeitung

Die Datenverarbeitung erfolgt zur Förderung und Ermöglichung von Forschung und Qualitätsverbesserung im Gesundheitsbereich.

4. Dauer der Speicherung

Die auf Grundlage Ihrer Einwilligung erhobenen personenbezogenen Daten werden für 30 Jahre ab dem Zeitpunkt der Abgabe der für diese Daten relevanten Einwilligung entsprechend der Einwilligung verarbeitet, sofern die Einwilligung nicht zu einem früheren Zeitpunkt widerrufen wird.

5. Drittlandsübermittlung

Für das Hosting der Software und Datenbestände Datensammelstelle sowie für die Verwaltung, Pflege und Wartung und regelmäßige Aktualisierung der Softwaredienste nimmt die Mint Medical GmbH externe IT-Dienstleister mit Drittlandsbezug in Anspruch.

Dabei handelt es sich um

- Brainlab Ltd., Israel, für die Pflege und Wartung einiger der eingesetzten Softwarekomponenten. Per Angemessenheitsbeschluss hat die EU-Kommission festgestellt, dass der Staat Israel über ein vergleichbares adäquates Datenschutzniveau verfügt, wie es in Europa gegeben ist.

- Amazon Web Services, Inc. für das Hosting der Softwaredienste und Datenbanken im Unterauftrag. Vertraglich wird die Amazon Web Services, Inc. verpflichtet, die Daten ausschließlich in Rechenzentren auf europäischem Boden zu speichern. Die Amazon Web Services, Inc hat Ihre Übereinstimmung mit dem Datenschutzrahmen EU-USA erklärt. Die Europäische Kommission hat am 10. Juli 2023 ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.

Wir behalten uns vor, einige der genannten Aufgaben künftig auch auf andere Dienstleister zu übertragen, sofern das Datenschutzniveau durch diese Änderung nicht abgesenkt wird.

Mit allen Dienstleistern schließen wir DSGVO-konforme Auftragsverarbeitungsvereinbarungen, die für den Fall des Transfers in unsichere Drittländer geeignete Sicherheitsgarantien in Form der von der EU-Kommission verabschiedeten Standardvertragsklauseln vorsehen.

IV. Belehrung über Ihre Rechte

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der DSGVO und es stehen Ihnen die nachfolgend beschriebenen Rechte gegenüber dem Verantwortlichen zu. Beachten Sie aber bitte, dass weder der Betreiber der Datensammelstelle noch die Datennutzer in der Lage sind, eine Verbindung zwischen Ihrer Person und den über Sie eventuell in der Datensammelstelle vorliegenden Daten herzustellen. Ihr erster Ansprechpartner zur Ausübung Ihrer Rechte als Betroffene Person ist daher immer die Klinik, bei der Ihre Daten erhoben wurden. Diese wird in Zusammenarbeit mit dem Betreiber der Datensammelstelle alles weitere veranlassen, um Ihre Rechte umzusetzen.

1. Auskunftsrecht – Art. 15 DSGVO

Sie können von uns als Verantwortlichem Auskunft darüber verlangen, ob und zu welchen Zwecken personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.

2. Recht auf Berichtigung – Art. 16 DSGVO

Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber uns als Verantwortlichem, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.

3. Recht auf Löschung – Art. 17 DSGVO

a) Löschungspflicht

Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

(1) Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

(2) Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 lit. a) iVm Art. 6 Abs. 1 lit. a) DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

(3) Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.

(4) Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.

(5) Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

(6) Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

b) Ausnahmen

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

(1) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

(2) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

(3) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;

(4) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

(5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

4. Recht auf Einschränkung der Verarbeitung – Art. 18 DSGVO

Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:

(1) wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;

(2) die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;

(3) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder

(4) wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.

Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

5. Recht auf Unterrichtung – Art. 19 DSGVO

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

6. Recht auf Datenübertragbarkeit – Art. 20 DSGVO

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem gängigen, maschinenlesbaren Format vom Verantwortlichen zu erhalten, um sie ggf. an einen anderen Verantwortlichen weiterleiten zu lassen, sofern

  1. die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a) DSGVO oder Artikel 9 Absatz 2 lit. a) DSGVO iVm Art. 6 Abs. 1 lit. a) oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO beruht und

  2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Bei der Ausübung ihres Rechts auf Datenübertragbarkeit haben Sie das Recht, zu erwirken, dass die personenbezogenen Daten direkt von uns einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

7. Widerspruchsrecht – Art. 21 DSGVO

Ihre Daten werden in der Datensammelstelle aufgrund Ihrer Einwilligung verarbeitet. Das Widerspruchsrecht nach Art. 21 DSGVO ist somit nicht anwendbar. Rein vorsorglich weisen wir Sie jedoch darauf hin, dass Sie, für den Fall, dass Ihre Daten auf Basis von Art. 6 Abs. 1 lit. e) oder f) DSGVO verarbeitet werden, das Recht haben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen.

Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung – Art. 7 Abs. 3 DSGVO

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Zur Ausübung der unter Ziffern IV.1 bis 8 aufgeführten Rechte wenden Sie sich bitte an die behandelnde Einrichtung. Da die Datensammelstelle nicht über personenidentifizierende Daten verfügt kann nur die Klinik Ihre persönlichen Daten Ihren Gesundheitsdaten zuordnen und die Rechteausübung bei der Datensammelstelle initiieren.


9. Recht auf Beschwerde bei einer Aufsichtsbehörde – Art, 77 DSGVO

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei der Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.

Zuständige Aufsichtsbehörde für die Datensammelstelle ist:

Der Landesbeauftragte für den Datenschutz und
die Informationsfreiheit Baden-Württemberg

Postfach 10 29 32
70025 Stuttgart
Tel.:    0711/615541-0
FAX:   0711/615541-15

E-Mail: poststelle@lfdi.bwl.de


Stand: Mai 2024