Datenschutzkonzept der Firma Richter-Orthopädie- Schuhtechnik in Leipzig
1. Präambel
Der Schutz der personenbezogenen Daten der Patienten unterliegt der höchsten Priorität. Das
vorliegende Konzept beschreibt, wie Datenschutz in der Firma berücksichtigt, umgesetzt und gelebt
wird. In meiner Firma wird für die Datenverarbeitung nach folgendem Datenschutzkonzept verfahren:
Die Verarbeitung personenbezogener Daten soll unter Berücksichtigung
• der Integrität (z. B. Schutz vor vorsätzlicher oder fahrlässiger Verfälschung von Programmen
oder der Manipulation von Daten),
• der Vertraulichkeit (z. B. Schutz vor unbefugter Kenntnisnahme von Daten) und
• der Verfügbarkeit (z. B. Schutz vor Diebstahl oder Zerstörung)
gewährleistet werden. Die Sicherheitsmaßnahmen werden in dem Datenschutzkonzept in die Bereiche
• Allgemeiiie Datenverarbeitung
• Automatisierte Datenverarbeitung
• Nutzung der Intemetdienste
• Nutzung der Telekommunikationsdienste und
• Zusatzmaßnahmen für sensible personenbezogene Daten
gegliedert und geben mithin ein hohes Sicherheitsniveau vor. Die festgelegten Sicherheitsmaßnahmen
gelten als Mindestanforderungen.
2. Datenschutzrechtliche Rahmenbedingungen
Das Erheben und Verarbeiten personenbezogener Daten ist in der Datenschutzgrundverordnung der
EU, dem Bundesdatenschutzgesetz (BDSG) und im Telemediengesetz (TMG) geregelt.
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natürlichen Person (so genannter Betroffener).
Generell gilt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn gesetzliche
Vorschriften dies ausdrücklich zulassen oder der Betroffene ausdrücklich eingewilligt hat. Die
Einwilligung ist nur wirksam, wenn der Nutzer über die Tragweite des Verfahrens informiert wurde, dies
heißt, welche Daten zu welchem Zweck in welcher Form gespeichert und verarbeitet werden und die
Einwilligung nicht in anderen Erklärungen versteckt worden ist.
3. Inhalt und Zweck des Konzeptes
Grundvoraussetzung für den Datenschutz ist die Datensparsamkeit. Daraus resultiert, dass nicht mehr
Daten als benötigt verwendet werden.
4. Beteiligte, speichernde Stelle im Sinne des Datenschutzes
Die beteiligte speichernde Stelle im Sinne des Datenschutzes ist die
Orthopädieschuhtechnik Richter.
Sie wird durch den jeweiligen Inhaber vertreten, der die Geschäftsleitung darstellt.
Zum Zeitpunkt der Erstellung dieses Konzeptes ist der Inhaber Jens Richter.
Die Verantwortung für die Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung liegt daher bei der Geschäftsführung.
5. Verpflichtung zum Datenschutz
Der Inhaber, eingeschlossen ihrer Mitarbeiter /-innen, verpflichten sich zur Einhaltung von
datenschutzrechtlichen Vorschriften. Die betroffenen Personen haben eine entsprechende
Datenschutzerklärung zur Geheimhaltungspflicht unterzeichnet.
6. Beschreibung der personenbezogenen Daten und Angabe der
jeweiligen Zweckbindung (Nutzungszweck)
6.1 Kundendaten / Patientendaten
Bei den betroffenen Personenkreis handelt es sich um Patienten und Kunden der
Orthopädieschuhtechnik Richter.
Bei den Daten handelt es sich einerseits um Daten des Patienten selbst (z.B. Name, KV- Nr.
Krankenkasse, Geburtsdatum, Adresse), andererseits um bei deren Diagnostik und Herstellung von
Hilfsmitteln anfallende Daten. Die Daten werden zu Zwecken der
• Herstellung von Hilfsmitteln,
• Genehmigung der Leistung durch Krankenkassen bzw. MDK,
• Abrechnung der Leistung
• und der Qualitätssicherung
eingesetzt, entsprechend den Aufgaben, welche unsere Firmen zu erfüllen haben.
6.1.1 Rechtsgrundlage
Die Rechtsgrundlage zur Nutzung der erhobenen Patientendaten ist die Datenschutzgrund Verordnung.
6.2 Lieferantendaten
• Lieferscheine
• Rechnungen
6.3 Mitarbeiterdaten
• Gehaltsabrechnung
• Mitarbeiterbeurteilung
• QM-System / Organigramm
7. Verfahrensbeschreibung
Daten werden elektronisch gespeichert, verarbeitet und weitergeleitet.
Die Hardware wird durch Virenscanner, Firewall und regelmäßige Sicherungen geschützt.
Der Zugang ist Passwort gesichert. Außerhalb der Geschäftszeiten sind die Räume in denen
Speichermedien stehen verschlossen und nachts elektronisch gesichert.
8. Beschreibung der Gewährleistung von Betroffenenrechten
Jeder kann von uns Auskunft darüber verlangen:
• welche Daten gespeichert wurden,
• zu welchem Zweck,
• woher die Daten stammen,
• an wen die Daten weitergegeben wurden.
Wann sind personenbezogene Daten zu löschen:
• Wenn die Daten unrechtmäßig gespeichert sind.
• Wenn die Daten nicht mehr für den vorgesehenen Zweck benötigt werden.
• Keine Löschung ist vorzunehmen, wenn eine Aufbewahrung der Daten gesetzlich
vorgeschrieben ist (wie z. B. durch das HGB oder die AO).
Wann sind personenbezogene Daten zu sperren:
Eine Sperrung bedeutet die Kennzeichnung personenbezogener Daten, um eine weitere Verarbeitung
oder Nutzung einzuschränken. Eine Löschungsverpflichtung wird durch die Sperrverpflichtung ersetzt,
sofern gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsvorschriften der Löschung
entgegenstehen. Wenn die Löschung einen unverhältnismäßig hohen Aufwand bedeuten würde (z. B.
wegen bestehender Datensicherungen, sog. Backup), kann stattdessen ebenfalls eine Sperrung
erfolgen.
9. Beschreibung der technischen und organisatorischen
Maßnahmen zum Datenschutz
Entsprechend den datenschutzrechtlichen Bestimmungen sind Maßnahmen zu treffen, die geeignet
sind zu gewährleisten, dass
1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),
2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben
(Integrität),
3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet
werden können (Verfügbarkeit),
4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität),
5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise
verarbeitet hat (Revisionsfähigkeit),
6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und
in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können
(Transparenz).
10. Vertraulichkeit
10.1.1 Zugangskontrolle
Der elektronische Zugang zu den Systemen ist durch Firewall-Technologien geschützt. Der Zugang ist
nach heutigen technischen Standards mittels VPN-Technologie und SSL-Verschlüsselung gesichert.
Zugangsdaten zur Administration und Wartung der Firewall-Dienste sind Administratoren und
verantwortlichen Mitarbeitern des Vertragspartners Cosinos bekannt. Die Passwörter werden
regelmäßig geändert.
10.1.2 Zugriffskontrolle
Der Datenzugriff ist ausschließlich über unsere Softwarelösungen möglich und nach Mandanten
getrennt. Die Mandantendaten sind logisch voneinander getrennt und verfügen jeweils über eine
eigenständige Benutzer- und Zugriffsverwaltung für die Vergabe individueller Zugriffsberechtigungen
10.1.3 Weitergabekontrolle
Eine elektronische Weitergabe (Übertragung) von Daten erfolgt automatisiert mittels standardisierter
Export-Schnittstellen innerhalb der Anwendungsumgebung. Der Zugriff auf Schnittstellen wird
anwendungsseitig auf Basis der Berechtigungen gesteuert. Die Zugangskontrolle erfolgt anhand der
eingesetzten technischen Komponenten.
Die Verfahren zur Übertragung an weitere Stellen (Dritte) werden anhand einer
Schnittstellenspezifikation definiert und sind in der Ausführung durch den Auftraggeber steuerbar, die
technischen Eigenschaften und Verfahren dann spezifisch in Abstimmung mit dem Auftraggeber
definiert und innerhalb der Dokumentation berücksichtigt. In dieser Abhängigkeit sind ggfs. zusätzliche
datenschutzrechtliche Regelungen mit Dritten zu vereinbarem.
10.1.4 Pseudonymisierung oder Anonymisierung
Patientendaten werden mittels der der Software „Orthocalc“ anonymisiert bzw. pseudoanonymisiert. Die
anonymisierten bzw. pseudoanonymisierten Daten werden zur Kennzeichnung von Hilfsmitteln genutzt.
10.2 Integrität
10.2.1 Eingabekontrolle
Anwendungsseitig ist gewährleistet, dass berechtigte Benutzer (i.d.R. Administratoren) nachträglich
feststellen können, wann und von wem personenbezogene Daten erfasst, verändert oder entfernt
worden sind. Die Dokumentation erfolgt zum Kundendatensatz und ist nicht manipulierbar.
10.2.2 Auftragskontrolle
Auf Basis der Datenschutzerklärung zur Auftragsdatenverarbeitung wird gewährleistet, dass die
Verarbeitung von personenbezogenen Daten nur entsprechend den Weisungen der Inhaber
durchgeführt wird.
10.3 Verfügbarkeit
10.3.1 Verfügbarkeitskontrolle
Die Daten werden im Backup gesichert und validiert.
10.4 Authentizität
Die Authentizität der Daten ergibt sich aus den in den verschiedenen Informationssystemen
implementierten Verfahren, die eine Authentizität gewährleisten, zusammen mit den
Organisationskonzept:
• Berechtigung: Jens Richter; Jan Richter; Antje Roth; Heike Krüger
• Sicherheit Jens Richter
• Protokollierung Fa. Cosinos
• und das hier vorliegende Datenschutzkonzept.
10.5 Revisionsfähigkeit
Die Revisionssicherheit der erhobenen Daten wird gewährleistet durch:
• Die Ordnungsmäßigkeit der Datenerhebung und – Verarbeitung.
• Die Vollständigkeit der administrativen und medizinischen Dokumentation.
• Die Sicherheit des Gesamtverfahrens, gewährleistet durch die organisatorischen Maßnahmen
sowie die entsprechenden Umsetzungen (Sicherheit).
• Die Sicherung vor Verlust der Daten durch ein Backup sowie dessen Umsetzung.
• Die Gewährleistung, dass eine Nutzung der Daten nur durch Berechtigte erfolgt (Berechtigung).
• Die Einhaltung der gesetzlich geforderten Aufbewahrungsfristen.
• Dokumentation der einzelnen Verfahren.
• Die Nachvollziehbarkeit der Datenerhebung und -Verarbeitung durch ein Protokoll.
10.6 Transparenz
Dem Transparenzgebot wird durch dieses Datenschutzkonzept genügt, in dem die Methoden der
Erhebung und Nutzung der Daten beschrieben wird.
10.7 Trennungsgebot
Eine Trennung der Daten erfolgt nach Mandanten.
Muster Auftragstext Maßblatt:
Hiermit bestätige ich meinen Modellwunsch, die Farbabsprache und den Lieferauftrag.
Die Mehrkosten für meinen Modellwunsch betragen………………………………………….. €.
Der Hersteller bestätigt mir, dass das zu fertigende Hilfsmittel
eine Sonderanfertigung im Sinne des MPG ist und den Anforderungen
des Anhang in der EG Richtlinie 93/42/EWG entspricht.
Das Merkblatt der Firma Orthopädie Schuhtechnik Richter (Stand: Juni 2016) habe ich erhalten.
Weiterhin gebe ich mein Einverständnis zur Speicherung, Verarbeitung und Weitergabe meiner Daten
und Fotodokumentation zwecks Leistungsbewilligung und Abrechnung an die jeweils zuständige
Krankenkasse bzw. dem MDK. Die Einwilligung kann ich jederzeit widerrufen(DSGVO).
Ich bin über die Möglichkeit einer aufzahlungsfreien Versorgung, die der vertragsärztlichen Verordnung
entspricht und deren Maßgabe voll erfüllt, informiert worden. Ich habe ausdrücklich eine aufzahlungspflichtige
Ausführung des vertragsärztlich verordneten Hilfsmittels gewünscht.
Wir sind nicht bereit und nicht verpflichtet an einem Streitbeiiegungsverfahren vor einer Verbraucherschlichtungssteile
Unterschrift Inhaber teilzunehmen.