Rechtsgrundlagen der DSGVO
Die Verarbeitung personenbezogener Daten erfolgt auf Basis der Datenschutz-Grundverordnung (DSGVO)
sowie des Bundesdatenschutzgesetzes (BDSG). Je nach Kontext stütze ich mich insbesondere auf:
-
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen)
Art. 6 Abs. 1 lit. b DSGVO
Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist,
oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
-
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
Art. 6 Abs. 1 lit. c DSGVO
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
-
Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen; z. B. IT-Sicherheit, Betrugsprävention)
Art. 6 Abs. 1 lit. f DSGVO
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich,
sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
-
Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsdaten im Rahmen der Beratung, soweit erforderlich und zulässig)
Art. 9 Abs. 2 lit. h DSGVO
Die Verarbeitung ist erforderlich für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin,
für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, medizinische Diagnosen,
die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder die Verwaltung von Systemen
und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage von Unionsrecht oder dem Recht
eines Mitgliedstaats oder gemäß einem Vertrag mit einer medizinischen Fachkraft.
-
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), sofern ausdrücklich eingeholt
Art. 6 Abs. 1 lit. a DSGVO
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten
für einen oder mehrere bestimmte Zwecke gegeben.
Gesundheitsdaten sind besonders schutzwürdig. Sie werden nur verarbeitet, soweit dies für die
Beratung zwingend erforderlich ist und eine entsprechende Rechtsgrundlage vorliegt.
Zwecke der Datenverarbeitung & Datenarten
Ich verarbeite personenbezogene Daten, um Beratungen zur gesundheitlichen Versorgungsplanung
durchzuführen, Dokumente vorzubereiten (z. B. Patientenverfügung, Vollmachten) und die Kommunikation
zu ermöglichen. Typische Datenarten:
- Stammdaten (Name, Kontaktdaten)
- Termin- und Kommunikationsdaten
- Beratungsrelevante Angaben, ggf. auch Gesundheitsdaten (nur falls notwendig und rechtmäßig)
- System- und Protokolldaten (z. B. IP-Adresse im Rahmen der IT-Sicherheit)
Verarbeitung, Weitergabe & Auftragsverarbeitung
Eine Weitergabe an Dritte erfolgt nur, wenn sie zur Erfüllung der Beratungsleistung erforderlich ist,
eine gesetzliche Pflicht besteht, eine Einwilligung vorliegt oder berechtigte Interessen überwiegen.
Sofern Dienstleister technisch unterstützen (z. B. Hosting), bestehen Auftragsverarbeitungsverträge
nach Art. 28 DSGVO. Es werden nur datenschutzkonforme Anbieter eingesetzt.
Speicherdauer & Löschung
Daten werden nur so lange gespeichert, wie es für die Zwecke der Verarbeitung erforderlich ist oder
rechtliche Aufbewahrungspflichten bestehen. Nach Wegfall der Zwecke bzw. Ablauf der Fristen werden
die Daten gelöscht oder anonymisiert.
Ihre Rechte nach DSGVO
Sie haben insbesondere das Recht auf Auskunft
(
Art. 15
Art. 15 Abs. 1 DSGVO
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen,
ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht
auf Auskunft über diese personenbezogenen Daten.
),
Berichtigung
(
Art. 16
Art. 16 DSGVO
Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung
sie betreffender unrichtiger personenbezogener Daten zu verlangen.
),
Löschung
(
Art. 17
Art. 17 Abs. 1 DSGVO
Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende
personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in der DSGVO genannten Gründe zutrifft.
),
Einschränkung
(
Art. 18
Art. 18 Abs. 1 DSGVO
Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung
zu verlangen, wenn eine der in der DSGVO genannten Voraussetzungen gegeben ist.
),
Datenübertragbarkeit
(
Art. 20
Art. 20 Abs. 1 DSGVO
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen
bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
)
sowie Widerspruch
(
Art. 21
Art. 21 Abs. 1 DSGVO
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben,
jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1
Buchstabe e oder f erfolgt, Widerspruch einzulegen.
).
Falls die Verarbeitung auf einer Einwilligung beruht
(
Art. 7
Art. 7 Abs. 3 DSGVO
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.
),
können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
Zudem steht Ihnen ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde zu
(
Art. 77
Art. 77 Abs. 1 DSGVO
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs hat jede betroffene Person
das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen.
).
Technische & organisatorische Maßnahmen (TOM)
Die folgenden Schutzmaßnahmen sind in meinem System umgesetzt und werden regelmäßig überprüft:
Übersicht Schutzmaßnahmen
Status der implementierten Sicherheitsmaßnahmen
| Schutzmaßnahme |
Status |
Beschreibung |
| HTTPS |
aktiviert |
Transportverschlüsselung für alle Seitenzugriffe |
| Login-Check |
vorhanden |
Zugriff auf geschützte Bereiche nur nach Authentifizierung |
| Verzeichnis-Zugriffssteuerung |
vorhanden |
Direktzugriffe auf sensible Pfade sind unterbunden |
| Dateinamenbereinigung |
umgesetzt |
Uploads werden normalisiert, um gefährliche Zeichen zu verhindern |
| MIME-Typ-Validierung |
vorhanden |
Serverseitige Prüfung der Dateitypen bei Uploads |
| Inhaltsverschlüsselung |
AES-256 |
Gespeicherte Inhalte werden symmetrisch verschlüsselt |
| E-Mail Benachrichtigung |
vorhanden |
Sichere Weiterleitung/Benachrichtigung bei Benutzer-Uploads |
| Fehlerlogging |
vorhanden |
Protokollierung zur Fehleranalyse ohne unnötige Personenbezüge |
| Zugriffsrechte auf Dateien |
korrekt |
Dateirechte nach Minimalprinzip (need-to-know, least privilege) |
| Dateihash & Revisionssicherheit |
vorhanden |
Prüfsummen zur Integritätskontrolle und Schutz vor unbemerkten Änderungen |
| Dateiversionierung |
vorhanden |
Speicherung mehrerer Dokumentversionen zur Nachvollziehbarkeit |
| DB-Logging |
vorhanden |
Zusätzliche Protokollierung relevanter Aktionen in der Datenbank |
Zusätzlich gelten organisatorische Vorkehrungen: Zugriffsberechtigungen werden restriktiv vergeben,
Backups werden geschützt aufbewahrt, und es finden regelmäßige Aktualisierungen und Sicherheitsprüfungen statt.
Protokollierung & Sicherheit
Zugriffe und sicherheitsrelevante Ereignisse werden protokolliert, um Angriffe zu erkennen und
Störungen zu beheben. Die Protokolle enthalten nur die hierfür notwendigen Informationen und werden
regelmäßig rotiert bzw. nach angemessenen Fristen gelöscht.
Verantwortlicher & weiterführende Informationen
Ausführliche Angaben, inkl. Verantwortlichem, Kategorien verarbeiteter Daten, Empfängern,
Drittlandübermittlungen (falls zutreffend) und Beschwerderecht, finden Sie in der
ausführlichen Datenschutzerklärung.
Bei Fragen zum Datenschutz können Sie mich jederzeit über das Kontaktformular
oder per E‑Mail an gvp@pierce-work.de erreichen.