1. Wer ist für die Datenverarbeitung verantwortlich und wer ist Datenschutzbeauftragter?
Bayerische Beamtenkrankenkasse AG
Maximilianstraße 53
80530 München
Tel.: +49-89-21 60 0
E-Mail: service@vkb.de
Unseren Datenschutzbeauftragten erreichen Sie per Post unter der o.g. Adresse mit dem Zusatz - Datenschutzbeauftragter - oder per E-Mail unter datenschutz@vkb.de.
2. Welche Datenkategorien nutzen wir und welche Quellen nutzen wir?
Wir verarbeiten in der Regel nur Daten, die wir von Ihnen erhalten oder die von Leistungserbringern gegenüber der gematik zur Verfügung gestellt werden. Einzig im Rahmen der Erstellung der Gesundheits-ID wird ein Abgleich der Identitäts-Daten mit den Angaben auf Ihrem elektronischen Personalausweis gemacht.
Konkret verarbeiten wir folgende personenbezogene Datenkategorien:
Registrierungs- und Identifikations-Daten (insb. Versicherungsnummer, Name, Kontaktdaten inkl. Mailadresse, Geburtsdatum, Krankenversichertennummer, Gesundheits-ID, elektronischer Personalausweis, PIN)
Daten, die zur Beantragung der Krankenversichertennummer erforderlich sind (Name, Anschrift, Geburtsdatum, Geburtsort und Geburtsland, Geburtsname, Staatsangehörigkeit, Geschlecht, Rentenversicherungsnummer, Information über mögliche Mehrlingsgeburt)
Daten von Vertretern (Name, Mailadresse, Krankenversichertennummer, Krankenversicherungsunternehmen)
Gesundheitsdaten in Form von Daten, die Sie selbst oder Leistungserbringer in die App, insbesondere in die elektronische Patientenakte eingestellt haben oder die in E-Rezepten enthalten sind
Statistische Daten und Metadaten über Zugriffe und Nutzungen, sowie über erteilte Berechtigungen
3. Für welche Zwecke und auf welcher Rechtsgrundlage werden Daten verarbeitet?
Wir verarbeiten Ihre Daten, um Ihnen über die App die Möglichkeit zu bieten, Ihre Gesundheits-ID zu erstellen, mittels des Online-Check-Ins Zugriffe zu gewähren sowie die angebotenen Fachdienste zu nutzen. Zu den Fachdiensten gehören insbesondere die elektronische Patientenakte und das E-Rezept.
Wir verarbeiten Ihre Daten zur Erfüllung des Versicherungsvertrages mit Ihnen gemäß Art.6 Abs.1 lit. b) DSGVO, sowie aufgrund Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und soweit besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) betroffen sind, zusätzlich gemäß Art. 9 Abs. 2 lit. a DSGVO. Soweit anwendbar, erfolgt die Verarbeitung auch aufgrund der gesetzlichen Vorschriften zur elektronischen Patientenakte (Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 341 ff. SGB V)
4. Berechtigungen in der App
Die für den Betrieb der App erforderlichen bzw. die optionalen Berechtigungen können Sie jederzeit über die Einstellungen in der App oder in Ihren Smartphone-Einstellungen gewähren und sperren.
Zugriff auf Fotos, Medien und Dateien
Wenn Sie eigene Dateien in die ePA einstellen möchten, die sich im Speicher Ihres Smartphones befinden, ist der Zugriff auf die Ordner Fotos, Medien und Dateien erforderlich.
Zugriff auf Kamera
Wenn Sie eigene Dateien in die ePA laden möchten, ist dies über die Funktion „Eigene Dokumente“ möglich. Durch den Zugriff auf die Kamera können Sie ein Foto aufnehmen, welches temporär in der App verschlüsselt gespeichert wird, bis es erfolgreich an die ePA übertragen wurde. Die Fotos werden nicht lokal auf dem Smartphone gespeichert.
Zugriff auf Zertifikate
Der Zugriff auf Zertifikate ist erforderlich für die Kommunikation zwischen App und Fachdiensten, wie etwa die ePA. Hierbei wird jeder gesendeten Datei eine eigene Sendungsnummer mitgegeben, um die Daten sicherer zu machen.
Zugriff auf Telefon
Wenn Sie die in der App hinterlegten Telefonnummern (zum Beispiel die Telefonnummer des Supports) aus der App heraus anrufen möchten, ist der Zugriff auf das Telefon erforderlich.
Zugriff auf NFC
Die Berechtigung NFC ermöglicht der App die Kommunikation mit dem elektronischen Personalausweis.
Zugriff auf Touch-/Face-ID
Sofern Sie die App statt mit der GesundheitsID-PIN auch mittels Touch- oder Face-ID öffnen möchten, ist der Zugriff auf die Touch- oder Face-ID in Ihrem Smartphone erforderlich.
Zugriff auf Gerätetyp, Betriebssystemversion, Telefonnummer des Endgerätes, IMEI
Die App „Mein ePA Manager“ wird aus Sicherheitsgründen fest mit Ihrem Smartphone verbunden (Gerätebindung). Dazu ist ein Zugriff auf Betriebssystemversion, Gerätetyp, IMEI und die Telefonnummer des Endgerätes erforderlich. Diese Daten werden ausschließlich zur Identifikation Ihres Smartphones genutzt.
Wenn Sie Ihr Smartphone wechseln oder die App „Mein ePA Manager“ neu installieren, ist eine neue Gerätebindung erforderlich.
Zugriff auf Netzwerke
Um die App mit Ihrem Krankenversicherungsunternehmen zu verbinden, werden die für Ihr Smartphone verfügbaren Netzwerkverbindungen (Mobilfunk oder WLAN) aufgebaut und genutzt.
5. Auswertung von Nutzerdaten
Ihr Krankenversicherer verwendet die als Cookies bekannte Technologie. Cookies sind kleine Dateien, die auf Ihrem Gerät abgelegt werden. Für die Erkennung der App vom Server der Krankenversicherung und deren Kommunikation sind Session-Cookies erforderlich. Diese allgemeinen Session-Cookies beinhalten keine personenbezogenen Daten, dienen der Verbindungssteuerung und werden nach dem Schließen der App gelöscht. Eine weitergehende Auswertung oder ein Tracking finden nicht statt.
6. Verschlüsselung
Alle Daten von und zur App werden nach dem aktuellen Stand der Technik verschlüsselt übertragen (Verschlüsselung des Transportweges).
7. Wer bekommt Ihre Daten?
Ihr Krankenversicherer hat weder Zugriff auf die Inhalte der elektronischen Patientenakte noch auf Ihre E-Rezepte.
Innerhalb unseres Unternehmens erhalten zudem nur die Personen und Stellen (z. B. Fachbereich) Zugriff auf Ihre personenbezogenen Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen. Daneben arbeiten wir uns zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten mit folgenden Dienstleistern und anderen Stellen zusammen:
IBM Deutschland GmbH, IBM-Allee 1, 71139 Ehningen
Bundesministerium für Gesundheit (für die Datenbank zum Gesundheitswissen)
Andere gesetzliche und private Krankenversicherer (im Rahmen der Vertreterberechtigung)
Ihre Leistungserbringer (beim Fachdienst Online-CheckIn sowie bei der Freigabe von Daten der ePA)
8. Wie lange werden Ihre Daten gespeichert?
Ihre in der App abgelegten Daten werden grundsätzlich so lange gespeichert, wie die durch Sie erteilten Einwilligungen zur jeweiligen Datenverarbeitung bestehen.
Wenn die Vertragsbeziehung zwischen Ihnen und uns beendet wird, dann wird Ihre Gesundheits-ID nach 3 Monaten gelöscht, wodurch Sie dann keinen Zugriff mehr auf die Fachdienste in der App „Mein ePA-Manager“ haben.
Die Daten in Ihrer elektronische Patientenakte werden grundsätzlich nach Ablauf von 3 Jahren gelöscht, beginnend ab dem Ende des Jahres, in dem der Krankenversicherungsvertrag geendet hat. Wir empfehlen Ihnen, Ihre Daten vorab zu sichern oder bei einem Versicherungswechsel die Daten zum neuen Versicherer zu übertragen.
In dem Fall, dass die Vertragsbeziehung durch den Tod des Betroffenen endet, werden die Daten in der elektronischen Patientenakte 12 Monate nach Ende der Vertragsbeziehung gelöscht. Die Erben haben jedoch grundsätzlich das Recht, aufgrund berechtigter Interessen eine längere Speicherung der Daten zu beantragen.
Wenn Sie der Nutzung der elektronischen Patientenakte für die Zukunft widersprechen, werden die in der elektronischen Patientenakte hinterlegten Daten unverzüglich gelöscht.
Sie haben jederzeit die Möglichkeit, Ihre E-Rezepte manuell zu löschen.
In diesem Fall werden die gespeicherten E-Rezepte unwiderruflich gelöscht.
Erfolgt keine manuelle Löschung, werden die gespeicherten E-Rezepte nach Ablauf von 100 Tagen ab dem Zeitpunkt der Ausstellung oder Einlösung automatisch gelöscht. Widerrufen Sie die Einwilligung in den Fachdienst E-Rezept, wird Ihr Zugriff auf den Fachdienst gesperrt sowie Ihr damit zusammenhängender Zugriff auf die E-Rezepte. Die gespeicherten E-Rezepte bleiben 100 Tage lang gespeichert.
9. Welche Datenschutzrechte können Sie als Betroffener geltend machen?
Ihnen stehen unter den gesetzlichen Voraussetzungen die nachfolgenden Rechte als betroffene Person zu, die Sie uns gegenüber geltend machen können:
Auskunft: Sie sind jederzeit berechtigt, im Rahmen von Art. 15 DSGVO von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, sind Sie im Rahmen von Art. 15 DSGVO ferner berechtigt, Auskunft über diese personenbezogenen Daten sowie bestimmte weitere Informationen (u.a. Verarbeitungszwecke, Kategorien personenbezogener Daten, Kategorien von Empfängern, geplante Speicherdauer, die Herkunft der Daten, den Einsatz einer automatisierten Entscheidungsfindung und im Fall des Drittlandtransfer die geeigneten Garantien) und eine Kopie Ihrer Daten zu erhalten.
Berichtigung: Sie sind berechtigt, nach Art. 16 DSGVO von uns zu verlangen, dass wir die über Sie gespeicherten personenbezogenen Daten berichtigen, wenn diese unzutreffend oder fehlerhaft sind.
Löschung: Sie sind berechtigt, unter den Voraussetzungen von Art. 17 DSGVO von uns zu verlangen, dass wir Sie betreffende personenbezogene Daten unverzüglich löschen. Das Recht auf Löschung besteht u.a. nicht, wenn die Verarbeitung der personenbezogenen Daten erforderlich ist für (i) die Ausübung des Rechts auf freie Meinungsäußerung und Information, (ii) zur Erfüllung einer rechtlichen Verpflichtung, der wir unterliegen (z. B. gesetzliche Aufbewahrungspflichten) oder (iii) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Einschränkung der Verarbeitung: Sie sind berechtigt, unter den Voraussetzungen von Art. 18 DSGVO von uns zu verlangen, dass wir die Verarbeitung Ihrer personenbezogener Daten einschränken.
Datenübertragbarkeit: Sie sind berechtigt, unter den Voraussetzungen von Art. 20 DSGVO von uns zu verlangen, dass wir Ihnen die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format übergeben oder an einen Dritten zu übermitteln.
Widerspruch: Sie sind berechtigt, unter den Voraussetzungen des Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, so dass wir die Verarbeitung Ihrer personenbezogenen Daten beenden müssen. Das Widerspruchsrecht besteht nur in den in Art. 21 DSGVO vorgesehen Grenzen. Zudem können unsere Interessen einer Beendigung der Verarbeitung entgegenstehen, so dass wir trotz Ihres Widerspruchs berechtigt sind, Ihre personenbezogenen Daten zu verarbeiten.
Widerruf: Sie haben das Recht, Ihre erteilte Einwilligung in die Verarbeitung personenbezogener Daten jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO).
Beschwerde bei einer Datenschutz-Aufsichtsbehörde: Sie sind berechtigt, unter den Voraussetzungen von Art. 77 DSGVO Beschwerde bei der Aufsichtsbehörde einzulegen, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Das Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs.
Wir empfehlen Ihnen allerdings, sich mit Ihrem Anliegen zunächst immer an unseren Datenschutzbeauftragten (datenschutz@vkb.de) zu wenden. Ihre Anträge über die Ausübung Ihrer Rechte sollten nach Möglichkeit in Textform an die in Ziff. 1 genannte Anschrift des Verantwortlichen gerichtet werden.
Die für die Bayerische Beamtenkrankenkasse AG zuständige Aufsichtsbehörde ist:
Bayerische Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach
E-Mail: poststelle@lda.bayern.de
Dabei ist zu beachten, dass gem. Art. 23 Abs. 1 i) 1. Alt DSGVO i.V.m. § 344 Abs. 2 S. 2 SGB V diese Rechte ausgeschlossen sind, wenn deren Wahrnehmung von der Krankenversicherung als datenschutzrechtlich verantwortlicher Stelle nicht oder nur unter Umgehung von Schutzmechanismen, wie insbesondere Verschlüsselung oder Anonymisierung, gewährleistet werden kann. Diese Einschränkung besteht für die in der ePA und im E-Rezept verschlüsselt gespeicherten Daten, da die Krankenversicherung als verantwortliche Stelle technisch keinen Zugriff auf diese Daten hat. Dementsprechend kann die Krankenversicherung Auskunfts- oder Korrekturbitten seitens der Versicherten zu den in der ePA gespeicherten Daten (z. B. zu Arztbriefen) oder E-Rzepten nicht nachkommen. Eine Ausnahme stellen Daten über in Anspruch genommene Leistungen dar, die Ihnen Ihre Krankenversicherung in der ePA bereitstellt. Da diese Daten aus den Beständen der Abrechnungsdaten Ihrer Krankenversicherung in Ihre ePA eingespielt werden, haben Sie bei diesen Daten die Möglichkeit der Korrektur durch die Krankenversicherung. Dazu benötigen Sie von den jeweiligen Leistungserbringenden eine Bestätigung der korrekten Diagnose.
Für Daten, die nicht verschlüsselt sind, wie beispielsweise die Protokolldaten, sind die oben genannten Rechte hingegen nicht ausgeschlossen.
10. Sind Sie verpflichtet, Ihre Daten bereitzustellen und nutzen wir eine automatisierte Entscheidungsfindung?
Die Nutzung der App ist freiwillig. Wenn Sie sich jedoch entscheiden, die App und die darin angebotenen Fachdienste (z.B. das E-Rezept oder elektronische Patientenakte) zu nutzen, müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Durchführung erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir nicht in der Lage sein, die App-Nutzung durchzuführen.
Wir nutzen in der App keine automatisierten Verarbeitungsprozesse zur Herbeiführung einer Entscheidung einschließlich Profiling gem. Art 22 DSGVO.
11. Änderungen
Um zu gewährleisten, dass unsere Datenschutzerklärung stets den aktuellen Vorgaben entspricht, behalten wir uns jederzeit Änderungen vor. Das gilt auch bei Anpassungen aufgrund neuer oder überarbeiteter Leistungen. Die neue Datenschutzerklärung greift dann ab dem jeweiligen Veröffentlichungsdatum.