Datenschutzinformationen für Patientinnen und Patienten

Liebe Patientin, lieber Patient,

die Sicherheit Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Wir verarbeiten Ihre Daten ausschließlich zum Zweck Ihrer Behandlung sowie zur Erfüllung gesetzlicher Pflichten und nach den Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Patientenrechtegesetzes (§§ 630a ff. BGB). Mit dieser Information geben wir Ihnen einen Überblick über die wichtigsten Aspekte der Datenverarbeitung in unserer Praxis.

1. Verantwortlicher und Ansprechpartner

Freiraum Campus 3 GmbH

Karlheinz-Steimel-Weg 15, 50969 Köln
Praxis-Betriebsstätte: Schönhauser Straße 64, 50968 Köln
Geschäftsführung: Marius Ian Yul Horstick, Philipp Daniel Piroth
Handelsregister: HRB 127512, Amtsgericht Köln
Telefon: +49 172 53 55 334
E-Mail: info@freiraum-physio.com

Datenschutzansprechpartner:
Marius Horstick, Geschäftsführer (info@freiraum-physio.com)

2. Welche Daten wir verarbeiten

Im Rahmen Ihrer Behandlung verarbeiten wir folgende Datenkategorien:

• Stammdaten: Name, Geburtsdatum, Anschrift, Kontaktdaten, Versicherungsstatus
• Gesundheitsdaten: Diagnosen, Befunde, Therapiepläne, Behandlungsdokumentation, ärztliche Verordnungen
• Abrechnungsdaten: Rechnungen, Zahlungsdaten, Versicherungsdaten
• Termindaten: Zeitpunkt, Art, Häufigkeit der Behandlungen
• Kommunikationsdaten: Inhalte unserer Kommunikation mit Ihnen (sofern dokumentiert)

3. Rechtsgrundlagen, Zwecke der Verarbeitung und Empfänger Ihrer Daten

Innerhalb unserer Praxis erhalten nur diejenigen Mitarbeitenden Zugriff auf Ihre Daten, die diese für die Erfüllung ihrer Aufgaben benötigen. Alle Mitarbeitenden sind schriftlich zur Verschwiegenheit nach § 203 StGB verpflichtet.

Außerhalb unserer Praxis werden Ihre Daten nur weitergegeben, wenn dies zur Erfüllung des Behandlungsvertrages, aufgrund gesetzlicher Pflichten oder mit Ihrer Einwilligung erforderlich ist:

• Krankenkassen / private Krankenversicherungen / Beihilfestellen (zur Abrechnung)
• Verordnende Ärztinnen und Ärzte (Therapieberichte nach Schweigepflichtentbindung)
• Berufsgenossenschaften (bei BG-Fällen)
• Steuerberatung (für die Buchhaltung)
• Auftragsverarbeiter (siehe Abschnitt 5)
• Bei gesetzlicher Auskunftspflicht: Behörden und Gerichte

4. Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte externe Dienstleister ein, die uns bei der Datenverarbeitung unterstützen. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Eine Übersicht der wichtigsten Dienstleister:

• thevea GmbH (Praxissoftware, Patientenakte) — Server in Deutschland
• Doctolib GmbH (Online-Terminbuchung) — Server in Frankreich
• opta data Finance GmbH (Abrechnung) — Server in Deutschland
• Microsoft Ireland Operations Ltd. (E-Mail) — EU Data Boundary
• CleverReach GmbH & Co. KG (Newsletter, sofern eingewilligt) — Server in Deutschland
• curenect GmbH (TI-Anbindung, sobald aktiv) — Server in Deutschland
• MYOact GmbH (EMG-Biofeedback-Therapiegerät, sofern eingesetzt) — Server in Deutschland
• Steuerberatung (Lohnbuchhaltung, soweit relevant)

Auf Anfrage geben wir Ihnen gerne weitere Informationen zu unseren Auftragsverarbeitern.

5. Übermittlung in Drittländer

Eine aktive Übermittlung Ihrer Daten in Drittländer findet nicht statt. Bei der Nutzung von Microsoft 365 für die E-Mail-Verarbeitung kann es in begrenzten Fällen zu einem Zugriff durch Microsoft Corporation aus den USA kommen. Microsoft ist nach dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Ergänzend gelten die EU-Standardvertragsklauseln.

6. Speicherdauer

Wir speichern Ihre Daten so lange, wie es für den jeweiligen Zweck erforderlich ist und gesetzliche Aufbewahrungspflichten dies vorsehen:

• Patientenakte: 10 Jahre nach § 630f BGB ab Behandlungsende, im Einzelfall länger
• Abrechnungsdaten: 10 Jahre (§ 147 AO)
• Sonstige Geschäftsunterlagen: 6 bzw. 10 Jahre nach handels- und steuerrechtlichen Vorgaben
• Einwilligungs-basierte Daten (z. B. Newsletter, Foto/Video): bis zum Widerruf der Einwilligung

7. Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte zu:

• Auskunft über Ihre bei uns gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4, 40213 Düsseldorf
Telefon: 0211 / 38424-0, E-Mail: poststelle@ldi.nrw.de

8. Pflicht zur Bereitstellung

Die Bereitstellung Ihrer Daten ist für eine ordnungsgemäße Behandlung erforderlich. Ohne diese Daten können wir den Behandlungsvertrag nicht erfüllen. Bestimmte Angaben sind außerdem gesetzlich vorgeschrieben (z. B. für die Abrechnung mit Krankenkassen).

9. Keine automatisierte Entscheidungsfindung

Wir treffen keine automatisierten Einzelfallentscheidungen oder Profiling im Sinne des Art. 22 DSGVO. Über Ihre Behandlung entscheiden ausschließlich qualifizierte Mitarbeitende auf Grundlage Ihrer individuellen Anamnese und ggf. ärztlicher Verordnung.

Bei Fragen zur Datenverarbeitung in unserer Praxis sprechen Sie uns gerne an.