Datenschutz bei der BERGISCHEN

Datenschutzhinweise auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch die BERGISCHE. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.

Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z.B. um Daten handeln, die Sie in ein Kontaktformular eingeben.

Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z.B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie unsere Website betreten.

Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden.

Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung, Sperrung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

Analyse-Tools und Tools von Drittanbietern
Beim Besuch unserer Website kann Ihr Surf-Verhalten statistisch ausgewertet werden. Das geschieht vor allem mit Cookies und mit sogenannten Analyseprogrammen. Die Analyse Ihres Surf-Verhaltens erfolgt in der Regel anonym; das Surf-Verhalten kann nicht zu Ihnen zurückverfolgt werden. Sie können dieser Analyse widersprechen oder sie durch die Nichtbenutzung bestimmter Tools verhindern. Detaillierte Informationen dazu finden Sie in der folgenden Datenschutzerklärung.

Sie können dieser Analyse widersprechen. Über die Widerspruchsmöglichkeiten werden wir Sie in dieser Datenschutzerklärung informieren.

 

2. Allgemeine Hinweise und Pflichtinformationen

Datenschutz
Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Wenn Sie diese Website benutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Hinweis zur verantwortlichen Stelle
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

DIE BERGISCHE KRANKENKASSE
42715 Solingen

Telefon 0212 2262-0
Telefax 0212 2262-411
E-Mail info@bergische-krankenkasse.de

Vertreten durch den Vorstand:
Sabine Stamm

Ansprechpartner Internet:
Alf Dahl

Telefon: 0212 2262-0
E-Mail: info@bergische-krankenkasse.de

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o. Ä.) entscheidet.

Widerruf Ihrer Einwilligung zur Datenverarbeitung
Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat. Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten können folgendem Link entnommen werden: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

Recht auf Datenübertragbarkeit
Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

SSL- bzw. TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL-bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

Auskunft, Sperrung, Löschung
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden.

Widerspruch gegen Werbe-Mails
Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-E-Mails, vor.

 

3. Datenschutzbeauftragter

Unsere Datenschutzbeauftragte:

Jennifer Busse-Kowalski
Heresbachstraße 29
42719 Solingen

Telefon: 0212 2262-0
E-Mail: datenschutz@bergische-krankenkasse.de

 

4. Datenerfassung auf unserer Website

Cookies
Die Internetseiten verwenden teilweise so genannte Cookies. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert.

Die meisten der von uns verwendeten Cookies sind so genannte “Session-Cookies”. Sie werden nach Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert bis Sie diese löschen. Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browser aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein.

Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs oder zur Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (z.B. Warenkorbfunktion) erforderlich sind, werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste. Soweit andere Cookies (z.B. Cookies zur Analyse Ihres Surfverhaltens) gespeichert werden, werden diese in dieser Datenschutzerklärung gesondert behandelt.

Server-Log-Dateien
Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

Browsertyp und Browserversion
verwendetes Betriebssystem
Referrer URL
Hostname des zugreifenden Rechners
Uhrzeit der Serveranfrage
IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet.

Kontaktformular
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt somit ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.

Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z.B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.

 

5. Soziale Medien

Facebook-Plugins (Like & Share-Button)
Auf unseren Seiten sind über das Heise 2-Klick-Konzept Plugins des sozialen Netzwerks Facebook, Anbieter Facebook Inc., 1 Hacker Way, Menlo Park, California 94025, USA, integriert. Die Facebook-Plugins erkennen Sie an dem Facebook-Logo oder dem "Like-Button" ("Gefällt mir") auf unserer Seite. Eine Übersicht über die Facebook-Plugins finden Sie hier: https://developers.facebook.com/docs/plugins/.

Wenn Sie unsere Seiten besuchen, wird über das Plugin nach Aktivierung des Buttons eine direkte Verbindung zwischen Ihrem Browser und dem Facebook-Server hergestellt. Facebook erhält dadurch die Information, dass Sie mit Ihrer IP-Adresse unsere Seite besucht haben. Wenn Sie den Facebook "Like-Button" anklicken während Sie in Ihrem Facebook-Account eingeloggt sind, können Sie die Inhalte unserer Seiten auf Ihrem Facebook-Profil verlinken. Dadurch kann Facebook den Besuch unserer Seiten Ihrem Benutzerkonto zuordnen. Wir weisen darauf hin, dass wir als Anbieter der Seiten keine Kenntnis vom Inhalt der übermittelten Daten sowie deren Nutzung durch Facebook erhalten. Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von Facebook unter: https://de-de.facebook.com/policy.php

Wenn Sie nicht wünschen, dass Facebook den Besuch unserer Seiten Ihrem Facebook-Nutzerkonto zuordnen kann, loggen Sie sich bitte aus Ihrem Facebook-Benutzerkonto aus.

Twitter Plugin
Auf unseren Seiten sind Funktionen des Dienstes Twitter eingebunden. Diese Funktionen werden angeboten durch die Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA. Durch das Benutzen von Twitter und der Funktion "Re-Tweet" werden die von Ihnen besuchten Websites mit Ihrem Twitter-Account verknüpft und anderen Nutzern bekannt gegeben. Dabei werden auch Daten an Twitter übertragen. Wir weisen darauf hin, dass wir als Anbieter der Seiten keine Kenntnis vom Inhalt der übermittelten Daten sowie deren Nutzung durch Twitter erhalten. Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von Twitter unter: https://twitter.com/privacy.

Ihre Datenschutzeinstellungen bei Twitter können Sie in den Konto-Einstellungen unter https://twitter.com/account/settings ändern.

 

6. Analyse Tools und Werbung

Matomo (ehemals Piwik)
Diese Website benutzt den Open Source Webanalysedienst Matomo. Matomo verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Dazu werden die durch den Cookie erzeugten Informationen über die Benutzung dieser Website auf unserem Server gespeichert. Die IP-Adresse wird vor der Speicherung anonymisiert.

Matomo-Cookies verbleiben auf Ihrem Endgerät, bis Sie sie löschen.

Die Speicherung von Matomo-Cookies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der anonymisierten Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren.

Die durch den Cookie erzeugten Informationen über die Benutzung dieser Website werden nicht an Dritte weitergegeben. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können.

Wenn Sie mit der Speicherung und Nutzung Ihrer Daten nicht einverstanden sind, können Sie die Speicherung und Nutzung hier deaktivieren. In diesem Fall wird in Ihrem Browser ein Opt-Out-Cookie hinterlegt, der verhindert, dass Matomo Nutzungsdaten speichert. Wenn Sie Ihre Cookies löschen, hat dies zur Folge, dass auch das Matomo Opt-Out-Cookie gelöscht wird. Das Opt-Out muss bei einem erneuten Besuch unserer Seite wieder aktiviert werden.

7. Newsletter

Newsletterdaten
Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse sind und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Diese Daten verwenden wir ausschließlich für den Versand der angeforderten Informationen und geben diese nicht an Dritte weiter.

Die Verarbeitung der in das Newsletteranmeldeformular eingegebenen Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die erteilte Einwilligung zur Speicherung der Daten, der E-Mail-Adresse sowie deren Nutzung zum Versand des Newsletters können Sie jederzeit widerrufen, etwa über den "Austragen"-Link im Newsletter. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.

Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter gespeichert und nach der Abbestellung des Newsletters gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden (z.B. E-Mail-Adressen für den Mitgliederbereich) bleiben hiervon unberührt.

Rapidmail
Diese Website nutzt Rapidmail für den Versand von Newslettern. Anbieter ist die rapidmail GmbH, Augustinerplatz 2, 79098 Freiburg i.Br., Deutschland.
Rapidmail ist ein Dienst, mit dem u.a. der Versand von Newslettern organisiert und analysiert werden kann. Die von Ihnen zum Zwecke des Newsletterbezugs eingegeben Daten werden auf den Servern von Rapidmail in Deutschland gespeichert.
Wenn Sie keine Analyse durch Rapidmail wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Des Weiteren können Sie den Newsletter auch direkt auf der Website abbestellen.

Datenanalyse durch Rapidmail
Zum Zwecke der Analyse enthalten die mit Rapidmail versandten E-Mails ein sog. “Tracking-Pixel”, das sich beim Öffnen der E-Mail mit den Servern von Rapidmail verbindet. Auf diese Weise kann festgestellt werden, ob eine Newsletter-Nachricht geöffnet wurde.
Des Weiteren können wir mit Hilfe von Rapidmail ermitteln, ob und welche Links in der Newsletternachricht angeklickt werden. Bei allen Links in der E-Mail handelt es sich um sogenannte Tracking-Links, mit denen Ihre Klicks gezählt werden können.
Näheres zu den Analyse-Funktionen von Rapidmail entnehmen Sie folgendem Link: https://de.rapidmail.wiki/kategorien/statistiken/.

Rechtsgrundlage
Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.

Speicherdauer
Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter gespeichert und nach der Abbestellung des Newsletters sowohl von unseren Servern als auch von den Servern von Rapidmail gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden (z.B. E-Mail-Adressen für den Mitgliederbereich) bleiben hiervon unberührt.
 

Näheres entnehmen Sie den Datensicherheitshinweisen von Rapidmail unter: https://www.rapidmail.de/datensicherheit.


8. Plugins und Tools

YouTube
Unsere Website nutzt Plugins der von Google betriebenen Seite YouTube. Betreiber der Seiten ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA.
Wenn Sie eine unserer mit einem YouTube-Plugin ausgestatteten Seiten besuchen, wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei wird dem YouTube-Server mitgeteilt, welche unserer Seiten Sie besucht haben.

Wenn Sie in Ihrem YouTube-Account eingeloggt sind, ermöglichen Sie YouTube, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem YouTube-Account ausloggen.
Die Nutzung von YouTube erfolgt im Interesse einer ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Weitere Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von YouTube unter: https://www.google.de/intl/de/policies/privacy.


Google Web Fonts
Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen.


Zu diesem Zweck muss der von Ihnen verwendete Browser Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde. Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Wenn Ihr Browser Web Fonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt.

Weitere Informationen zu Google Web Fonts finden Sie unter developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: www.google.com/policies/privacy/.


Google Maps
Diese Seite nutzt über eine API den Kartendienst Google Maps. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Zur Nutzung der Funktionen von Google Maps ist es notwendig, Ihre IP Adresse zu speichern. Diese Informationen werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Der Anbieter dieser Seite hat keinen Einfluss auf diese Datenübertragung.
Die Nutzung von Google Maps erfolgt im Interesse einer ansprechenden Darstellung unserer Online-Angebote und an einer leichten Auffindbarkeit der von uns auf der Website angegebenen Orte. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Mehr Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google: https://www.google.de/intl/de/policies/privacy/.

Allgemeine Hinweise zur Datenverarbeitung bei der BERGISCHEN

Die BERGISCHE erhebt, verarbeitet, speichert und nutzt Sozialdaten zur Erfüllung des gesetzlichen Auftrages. Doch was bedeutet das genau? Und welche Rolle spielt der Datenschutz?
Datenschutz ist in der Europäischen Union (EU) ein Grundrecht. „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, heißt es in der EU-Grundrechtecharta aus dem Jahr 2000. Entsprechende Regeln stammten jedoch aus dem Jahr 1995 - und sind damit überholt.

Die Veränderungen durch Google, Facebook und andere Dienste waren damals noch nicht absehbar. Außerdem war die Umsetzung der Regeln bislang jedem EU-Staat selbst überlassen.

Im Jahr 2016 haben sich EU-Staaten und das Europaparlament auf die sogenannte Datenschutz-Grundverordnung (DSGVO) geeinigt. Vom 25. Mai 2018 an muss sich jedes EU-Land daran halten.

Wofür und auf welcher gesetzlichen Grundlage verarbeiten wir Daten?
Die BERGISCHE hat als gesetzliche Krankenkasse laut Definition der Politik die Aufgabe, Ihre Gesundheit als Kunde zu erhalten, wiederherzustellen oder Ihren Gesundheitszustand zu verbessern. Außerdem Pflegebedürftigen Hilfe zu leisten, die wegen der Schwere der Pflegebedürftigkeit auf solidarische Unterstützung angewiesen sind.

Um diese Aufgaben umzusetzen, verarbeitet die BERGISCHE Ihre dafür erforderlichen Daten. Sie werden durch Ihre Mitwirkung oder mit Ihrer persönlichen Einwilligung erhoben. Außerdem erhält die BERGISCHE nach dem Sozialgesetzbuch (SGB) auch Daten von Dritten, zum Beispiel von Ihrem Arbeitgeber oder Leistungserbringern wie Ärzten und Krankenhäusern.

Für die Krankenversicherung ergibt sich die gesetzliche Grundlage zur Datenverarbeitung aus § 284 SGB V und für die Pflegeversicherung aus § 94 SGB XI. Zusätzlich werden der BERGISCHEN auch nach anderen gesetzlichen Vorschriften Aufgaben übertragen, für die personenbezogene Daten verarbeitet werden müssen, zum Beispiel

  • Feststellung des Versicherungsverhältnisses und der Mitgliedschaft
  • Ausstellung der elektronischen Gesundheitskarte
  • Erbringung von Leistungen
  • Übernahme der Behandlungskosten
  • Beteiligung des Medizinischen Dienstes
  • Abrechnung mit den Leistungserbringern
  • Durchführung von Entlass- und Krankengeldfallmanagement
  • Bekämpfung von Fehlverhalten im Gesundheitswesen
  • Forschungsvorhaben

Welche Daten verarbeiten wir?
Die BERGISCHE nutzt verschiedene Kategorien von Daten:

  • Daten zur Person (z.B. Adress- und Kommunikationsdaten, Geburtsdatum, Lichtbild)
  • Daten zur Mitgliedschaft und deren Anbahnung
  • Daten zum Versicherungsverhältnis
  • Beitrags- und Zahlungsdaten
  • Leistungs-, Versorgungs- und Abrechnungsdaten inklusive Gesundheitsdaten
    (z.B. Diagnosen, Arbeitsunfähigkeitszeiten)
  • Daten zur Pflegeperson
  • Daten zum gesetzlichen Vertreter
  • Daten zu Wahltarifen und Bonusprogrammen
  • Daten von Leistungserbringern und sonstigen Vertragspartnern
  • Daten von Arbeitgeber und deren Steuerberatern
  • Daten von Interessenten, Gewinnspielteilnehmern

Wer bekommt Ihre Daten?
Die Übermittlung von Daten erfolgt durch die BERGISCHE im Rahmen der gesetzlichen Vorgaben und Aufgaben an Träger der Renten- und Unfallversicherung, die Bundesagentur für Arbeit, den Medizinischer Dienst der Krankenversicherung, an Leistungserbringer, Sozialhilfeträger sowie im Rahmen des Zahlungsverkehrs an Geldinstitute, Arbeitgeber und Zahlstellen.

Darüber hinaus dürfen Ihre Daten nur in den gesetzlich bestimmten Einzelfällen an Dritte übermittelt werden. Zum Beispiel an Polizeibehörden, Kommunal- und Gemeindeverwaltung oder Steuerbehörden.

Die BERGISCHE darf die rechtmäßig erhobenen und gespeicherten Daten für andere Zwecke nur nutzen und verarbeiten, soweit dafür eine andere Rechtsgrundlage nach dem Sozialgesetzbuch oder Ihre ausdrückliche Einwilligung vorliegt.

Wie lange speichern wir Ihre Daten?
Ihre Daten werden für die Aufgabenwahrnehmung und für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfristen gespeichert und anschließend gelöscht.

Welche Rechte haben Sie bezüglich Ihrer Daten?

  • Recht auf Auskunft über verarbeitete Daten (Art. 15 EU-DSGVO i. V. m. § 83 SGB X)
  • Recht auf Berichtung unrichtiger Daten (Art. 16 EU-DSGVO i. V. m. § 84 SGB X)
  • Recht auf Löschung (Art. 17 EU-DSGVO i. V. m. § 84 SGB X)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 EU-DSGVO i. V. m. § 84 SGB X)
  • Widerspruchsrecht (Art. 21 EU-DSGVO i. V. m. § 84 SGB X)
  • Recht auf Datenübertragbarkeit (Art. 20 EU-DSGVO)
  • Bei Datenverarbeitung aufgrund einer Einwilligung besteht das Recht diese mit Wirkung für die Zukunft jederzeit zu widerrufen.


Haben Sie ein Beschwerderecht?
Sie haben das Recht, sich bei der Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Die Anschrift der für die BERGISCHE zuständigen Aufsichtsbehörde lautet:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Postfach 20 04 44 40102 Düsseldorf

Ansprechpartner für die Verarbeitung und den Schutz Ihrer Daten Verantwortlich für die Datenverarbeitung ist die BERGISCHE:
DIE BERGISCHE Krankenkasse
Vertreten durch den Vorstand Sabine Stamm
Heresbachstraße 29
42719 Solingen

0212 2262-0
info@bergische-krankenkasse.de

Haben Sie Fragen oder sind Sie der Ansicht, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt, haben Sie die Möglichkeit, sich an uns oder unsere Datenschutzbeauftragte zu wenden:
Jennifer Busse-Kowalski
Datenschutzbeauftragte
Heresbachstraße 29
42719 Solingen

datenschutz@bergische-krankenkasse.de

Datenschutzhinweise der App DIE BERGISCHE KRANKENKASSE

Der Schutz Ihrer personenbezogenen Daten hat für die BERGISCHE Krankenkasse, („BERGISCHE“, „wir“ oder „uns“) höchste Priorität. Diese Datenschutzerklärung erklärt Ihnen als  Nutzer der App DIE BERGISCHE KRANKENKASSE, welche personenbezogenen Daten durch uns als Verantwortlicher verarbeitet werden. Die rechtlichen Grundlagen des Datenschutzes finden sich in der Datenschutzgrundverordnung (DS-GVO), im Sozialgesetzbuch (SGB), im Bundesdatenschutzgesetz (BDSG) und im Landesdatenschutzgesetz NRW (DSG NRW). Lesen Sie die folgenden Bestimmungen bitte sorgfältig durch, damit Sie verstehen, wie wir vorgehen. Diese Datenschutzerklärung ist zusammen mit den Nutzungsbedingungen für die App DIE BERGISCHE KRANKENKASSE zu lesen. Diese Datenschutzerklärung gilt für die Nutzung der App DIE BERGISCHE KRANKENKASSE und aller Dienste, auf die über unsere App zugegriffen werden kann, es sei denn, in den speziell für einen einzelnen Dienst geltenden Bedingungen ist festgelegt, dass eine separate Datenschutzerklärung anstelle der vorliegenden Datenschutzerklärung gilt.

1. Allgemeines

1.1 Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO

Verantwortlich für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der App DIE BERGISCHE KRANKENKASSE ist
 
DIE BERGISCHE Krankenkasse
Heresbachstraße 29
42719 Solingen
 
0212 2262-0
info@bergische-krankenkasse.de

1.2    Geltungsbereich dieser Datenschutzerklärung / Integration von foxdox® in die App DIE BERGISCHE KRANKENKASSE

Die DIE BERGISCHE KRANKENKASSE App wird von uns als Verantwortlichem betrieben, soweit über die App in dem sich aus dieser Datenschutzerklärung ergebenden Umfang von uns auf unseren IT-Systemen oder von Dienstleistern in unserem Auftrag (Ziff. 5) personenbezogene Daten verarbeitet werden.

Zur vollumfänglichen Nutzung der DIE BERGISCHE KRANKENKASSE App greifen wir innerhalb der App für bestimmte Funktionalitäten auf die Dienste von foxdox® zurück. foxdox® ist ein Online-Archiv auf dessen Basis Dokumente zwischen Nutzer und einem Provider ausgetauscht werden können. Provider in diesem Zusammenhang ist die BERGISCHE.

Diese Austausch- oder Providerfunktion können Sie als Nutzer der DIE BERGISCHE KRANKENKASSE App erst dann nutzen, wenn Sie im Rahmen des Anlegens eines Benutzerzugangs (Ziff. 3.2) zugleich ein Vertragsverhältnis mit der Betreiberin von foxdox® begründen. Die Betreiberin von foxdox®  ist die d.velop business service GmbH, Schildarpstraße 6-8, 48712 Gescher, Deutschland.

Die Verarbeitung Ihrer personenbezogenen Daten innerhalb von foxdox® unterliegt einer gesonderten Datenschutzerklärung der d.velop business services GmbH, die Ihnen im Rahmen der Einrichtung des Benutzerzuganges zugänglich gemacht wird. Sie können diese Datenschutzerklärung auch hier abrufen.

Greifen Sie mit der DIE BERGISCHE KRANKENKASSE App auf Funktionalitäten von foxdox® zu, ist für die dabei von foxdox® verarbeiteten personenbezogenen Daten (insb. Nutzungsdaten und Inhaltsdaten) die Betreiberin von foxdox®, die d.velop business services GmbH als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO für die Einhaltung der Datenschutzgesetze verantwortlich.

1.3 Personenbezogene Daten

Personenbezogene Daten sind Informationen, die die Feststellung der Identität einer natürlichen Person erlauben. Hierunter fallen unter anderem Name, Geburtsdatum, Anschrift, Telefonnummer und E-Mail-Adresse. Zu den personenbezogenen Daten zählen auch die Bestands- und Nutzungsdaten, die im Zusammenhang mit der Nutzung der DIE BERGISCHE KRANKENKASSE App anfallen können.

Sie sollten bei der Nutzung der BERGISCHEN App stets beachten, dass Sie bspw. über Links in abgelegten oder über die Provider zugestellten Dokumenten / Informationen über Links zu anderen Internetseiten gelangen können, die nicht von uns, sondern von Dritten betrieben werden. Solche Links sind entweder eindeutig gekennzeichnet oder durch einen Wechsel in der Adresszeile Ihres Internet-Browsers erkennbar, der sich auf Ihrem Smart Device auf Grundlage Ihres Apple® oder Android® Betriebssystems öffnet. Für die Einhaltung der datenschutzrechtlichen Bestimmungen und für einen sicheren Umgang mit Ihren personenbezogenen Daten auf diesen von Dritten betriebenen Internetseiten sind wir nicht verantwortlich.

2. Umgang mit personenbezogenen Daten im App Store

Um die DIE BERGISCHE KRANKENKASSE App installieren zu können, müssen Sie diese über von Dritten betriebenen Vertriebsplattformen, sogenannten App-Stores (Google Play und Apple iTunes) herunterladen und mit diesem Dritten als Betreiber des App-Stores eine Nutzungsvereinbarung abschließen.
Die BERGISCHE hat keinen Einfluss darauf ob und welche personenbezogenen Daten vom Betreiber des App-Stores bei Erwerb, Installation und späterer Aktualisierung der DIE BERGISCHE KRANKENKASSE App erhoben, verarbeitet und genutzt werden. Verantwortlicher ist insoweit allein der Betreiber des jeweiligen App-Stores. Bitte informieren Sie sich bei Bedarf direkt bei dem jeweiligen App-Store-Anbieter.3.    Umgang mit personenbezogenen Daten in der App
 
Der Erwerb, die Installation und die Aktualisierung der DIE BERGISCHE KRANKENKASSE App erfolgen für uns anonym. Erst bei Verwendung der App kann es zur Verarbeitung von uns mit personenbezogenen Daten kommen.

3.1 Aufruf der DIE BERGISCHE KRANKENKASSE App

Bei jedem Aufruf der DIE BERGISCHE KRANKENKASSE App werden Zugriffsdaten einer Protokolldatei auf dem Server im von der BERGISCHEN beauftragten Rechenzentrum gespeichert. Diese beinhalten pro Server-Request die Client-IP-Adresse, den Zeitstempel, die DIE BERGISCHE KRANKENKASSE App-Version, die Betriebssystemversion Ihres Smartphones und evtl. den Referrer.
 
Diese Daten werden in jeder Nacht kumuliert , so dass auf Basis dieser Daten die Anzahl der Besuche ermittelt werden kann. Die kumulierten Daten enthalten keine IP-Adressen. Die Rohdaten werden gelöscht . Eine Auswertung der anonymisierten, kumulierten Daten findet ausschließlich zu statistischen Zwecken und ohne Personenbezug statt.

3.2 Benutzerzugang

Wenn Sie die DIE BERGISCHE KRANKENKASSE App in Anspruch nehmen wollen, müssen Sie Sich registrieren. Über diesen Registrierungsprozess erhalten Sie einen Benutzerzugang. Diese Registrierung kann - sofern Sie sich mit uns in einem Versicherungsverhältnis befinden - über den Ihnen zugesandten Registrierungscode erfolgen. Im Rahmen der Registrierung werden wir weitere personenbezogene Daten bei Ihnen erheben, diese dauerhaft speichern und im Zusammenhang mit unserer Leistung für Sie verarbeiten, nutzen und an die Betreiberin von foxdox® weitergeben, sofern Sie mit foxdox® ein Nutzungsverhältnis eingegangen sind.

In diesem Registrierungsprozess sind neben den Ihnen per Post zugesandten Zugangsdaten zur Verifizierung Ihrer Person die Eingabe Ihrer Versichertennummer und Teile der Kennnummer Ihrer Gesundheitskarte als zweitem Faktor erforderlich. Die Eingabe wird unmittelbar anonymisiert, in dem die Umwandlung in einen verschlüsselten Hashwert nach dem Stand der Technik erfolgt. Dieser Hashwert wird mit den vorangelegten Nutzerdaten im Rechenzentrum zur DIE BERGISCHE KRANKENKASSE App abgeglichen um zu prüfen, dass sich nur berechtigte Nutzer angemeldet haben.

Sie können die DIE BERGISCHE KRANKENKASSE App auch anonym nutzen; allerdings kann dann der für Sie nutzbare Funktionsumfang eingeschränkt sein. Ihre im Rahmen des Registrierungsprozesses angegebenen Daten verwenden wir nur, soweit es für die Erbringung der Leistung notwendig ist.

3.3 Datenerhebung im Rahmen der Geräteregistrierung

Zum Schutz Ihrer Daten wird die DIE BERGISCHE KRANKENKASSE App fest mit Ihrem Endgerät gekoppelt (Geräteregistrierung). Zu diesem Zweck werden von der BERGISCHEN folgende Daten erhoben:

  • Benutzer-ID
  • Modell des gekoppelten Endgerätes
  • Seriennummer des gekoppelten Endgerätes
  • OS Typ (zum Beispiel ANDROID_x86)
  • OS Version (zum Beispiel 9.0.0)
  • Letzter Einlogvorgang (zum Beispiel 01.10.2019 9:30)
  • Installierte Version der DIE BERGISCHE KRANKENKASSE App (zum Beispiel 1.0)

3.4 Zugriff auf Systemfunktionen und Inhalte Ihres Smartphones

Nur wenn Sie dies auf Nachfrage ausdrücklich erlauben, greift die DIE BERGISCHE KRANKENKASSE App auf Systemfunktionen Ihres Smartphones oder auf gespeicherte Inhalte zu. Gestatten Sie dies der DIE BERGISCHE KRANKENKASSE App, werden die dabei erhobenen personenbezogenen Daten (z.B. Inhalt eines Fotos nebst Metadaten) von der App ausschließlich für die von Ihnen gewünschte Funktion (z.B. Upload eines Fotos von Ihrem Smartphone in die DIE BERGISCHE KRANKENKASSE App und Weiterleitung über foxdox® an die BERGISCHE als Provider) verarbeitet und im Rahmen der für den Dienst foxdox® jeweils geltenden Datenschutzerklärung genutzt.
 
Für folgende Systemfunktionen werden Sie zu Beginn oder bei Nutzung der jeweiligen Funktion aufgefordert einen entsprechenden Systemzugriff zu erteilen:
 
1. Netzwerkzugriff und Netzwerkverbindungen

2. Speicher
Im Rahmen der Geräteregistrierung werden Daten verschlüsselt und lokal abgelegt.

3. Fingerabdrucksensor / FaceID / Gesichtserkennung
Bei der Verwendung des Fingerabdrucksensors oder der Gesichtserkennung zum Login wird auf eine systemeigene Funktion Ihres Smartphones zugegriffen. An die DIE BERGISCHE KRANKENKASSE App wird ausschließlich das erfolgreiche oder nicht erfolgreiche Ergebnis der Fingerabdrucks- oder Gesichtserkennungsüberprüfung übermittelt. Verwenden Sie diese Option nicht, wenn Sie ihr Gerät mit anderen Nutzern teilen.

3.5 Benachrichtigungen (Push-Mitteilungen)

Nur wenn Sie dies auf Nachfrage ausdrücklich erlauben, sendet die DIE BERGISCHE KRANKENKASSE App Ihnen über die Systemfunktionen Ihres Smartphones Benachrichtigungen in Form von sog. „Push-Mitteilungen“ (z.B. wenn neue Inhalte in der BERGISCHE App für Sie zur Verfügung stehen). Der Versand der Benachrichtigungen erfolgt verschlüsselt über einen Server der BERGISCHEN. Eine Speicherung der Benachrichtigungen nach dem Versand durch die BERGISCHEN erfolgt nicht. Die BERGISCHE protokolliert lediglich ohne Speicherung des Betreffs der Push-Mitteilungen, ob eine diesbezügliche Benachrichtigung gesendet worden ist. Außerdem werden ausschließlich für den Versand der Benachrichtigungen die eindeutige Gerätekennnummer Ihres Endgeräts und dessen Name auf einem Server der BERGISCHEN gespeichert.
 
Android

  • Für die Zustellung der Benachrichtigung wird Google Firebase Cloud Messaging eingesetzt.
  • Eine Kommunikation mit Google Firebase findet erst nach der Aktivierung durch den Nutzer statt.

 iOS

  • Unter iOS erfolgt die Zustellung der Mitteilungen über Google Firebase Cloud Messaging und den Apple Push Notification Service.

Sie können diese Funktion jederzeit in den App-Einstellungen deaktivieren.

3.6 Keine Übermittlung in Drittstaaten

Wir übermitteln über die DIE BERGISCHE KRANKENKASSE App erhobene und gespeicherte personenbezogene Daten nicht in Drittländer außerhalb von EU/EWR. Eine Übermittlung innerhalb von EU/EWR an Dritte erfolgt nur in den in dieser Datenschutzerklärung in Ziff. 5 ausdrücklich bezeichneten Fällen.

3.7 Verschlüsselung des Zugriffs auf foxdox®

Der Zugriff in der DIE BERGISCHE KRANKENKASSE App auf foxdox® erfolgt verschlüsselt. Hinsichtlich der Verschlüsselungsverfahren beim Austausch von Ihren Dokumenten zwischen foxdox® zu uns als Provider können Sie sich in der jeweils gültigen Datenschutzerklärung zu foxdox® informieren.

3.8 Zweckbindung

Der Umgang mit Ihren personenbezogenen Daten in der App erfolgt ausschließlich zur Realisierung der Dienste in der DIE BERGISCHE KRANKENKASSE App und zur Ermöglichung des Zugriffs auf foxdox® und die Nutzung der dort angebotenen Provider-Funktionen. Zu anderen Zwecken werden die bei Anwendung der DIE BERGISCHE KRANKENKASSE App erhobenen, verarbeiteten und genutzten Daten nicht verwendet.

4. Umgang mit personenbezogenen Daten für Werbung

Ohne gesonderte Einwilligung werden wir Ihre personenbezogenen Daten nicht für Werbung verwenden .

5. Übermittlung personenbezogener Daten an Dritte

Die BERGISCHE und ihre für die Bereitstellung der DIE BERGISCHE KRANKENKASSE App notwendigen Dienstleister erhalten und verarbeiten die von Ihnen in der App zur Verfügung gestellten Daten für bestimmte Zwecke. Mit den betroffenen Dienstleistern wurde ein entsprechender Vertrag zur Auftragsverarbeitung im Sinne des Art. 28 DS-GVO geschlossen.

5.1 d.velop business services GmbH

Wenn Sie in der DIE BERGISCHE KRANKENKASSE App den Zugriff auf foxdox® eingerichtet haben, werden von uns die beim Zugriff auf foxdox® anfallenden personenbezogenen Daten (z.B. Benutzerkennung und Passwort zur Autorisierung Ihres Zugriffs auf foxdox®) ausschließlich an die Betreiberin von foxdox® übermittelt.
 
Wie die Betreiberin von foxdox® mit diesen personenbezogenen Daten umgeht, kann der hierfür geltenden Datenschutzerklärung  entnommen werden. Bitte informieren Sie sich hierüber.

5.2 Rechenzentrum

Die Server zum Betrieb der DIE BERGISCHE KRANKENKASSE App werden gehostet beim Rechenzentrum der BERGISCHEN. Die im Rahmen des Betriebs der DIE BERGISCHE KRANKENKASSE App von Ihnen erhobenen personenbezogenen werden dort vor dem Zugriff Dritter gesichert gespeichert. Wir haben mit dem Rechenzentrum vertragliche sowie technische und organisatorische Maßnahmen getroffen, um einen Zugriff durch das Rechenzentrum auf Ihre personenbezogenen Daten zu verhindern.

5.3 Sonstige Partner

Eine weitere Übermittlung personenbezogener Daten durch uns an andere Dritte erfolgt nicht

6. Erhebung, Verarbeitung und Nutzung von Nutzungs- und Inhaltsdaten

Nutzungsdaten sind z.B. Angaben über Beginn, Ende und Umfang der Nutzung der BERGISCHEN App, Merkmale über die Identifikation von Ihnen als Nutzer sowie in Anspruch genommene Dienste innerhalb der DIE BERGISCHE KRANKENKASSE App. Wir erheben und verarbeiten diese Daten, um die Inanspruchnahme der DIE BERGISCHE KRANKENKASSE App zu ermöglichen.
 
Wir bewahren Nutzungsdaten für die Dauer von maximal sieben Tagen auf.  Diese Daten verwenden wir ausschließlich zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an unseren Systemen.
 
Wir haben keinen Zugriff auf Ihre Inhaltsdaten. Inhaltsdaten sind z.B. Dokumente, OCR-Daten und Attribute/Schlagworte der in foxdox® durch die Betreiberin von foxdox® für Sie archivierten Dokumente und Informationen, die Sie uns gegebenenfalls über foxdox® übermittelt haben. Diese Daten verbleiben solange in foxdox®, bis sie von Ihnen gelöscht werden bzw. nach einer Kündigung durch die Betreiberin von foxdox® gelöscht werden.
 
Die BERGISCHE hat keinen Einfluss auf die Verarbeitung von Daten innerhalb von foxdox®. In diesem Zusammenhang ist die Betreiberin von foxdox® für die Verarbeitung der Daten verantwortlich.

7. Ihre Rechte

Ihnen stehen die folgenden Rechte zu:

  • Recht auf Auskunft (Art. 15 DS-GVO)
  • Recht auf Berichtigung (Art. 16 DS-GVO)
  • Recht auf Löschung (Art. 17 DS-GVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO)
  • Recht auf Widerspruch (Art. 21 DS-GVO)

Die DIE BERGISCHE KRANKENKASSE App wird nicht für Profiling oder Scoringmaßnahmen nach Art. 22 DS-GVO genutzt.

8. Löschen der BERGISCHE App und personenbezogener Daten

Mit Löschen der DIE BERGISCHE KRANKENKASSE App werden auch die von dieser App auf Ihrem Smartphone gespeicherten personenbezogenen Daten gelöscht.
 
Eine Löschung der personenbezogenen Daten unmittelbar durch die BERGISCHE auf Ihrem Smartphone ist nicht möglich. Sicherungskopien dieser personenbezogenen Daten werden von uns weder erstellt noch aufbewahrt.
 
Nach vollständiger Abwicklung der vertraglichen Beziehung zwischen Ihnen und uns werden Ihre Daten gelöscht, sofern Sie nicht ausdrücklich einer darüberhinausgehenden Datenverwendung zugestimmt haben oder gesetzliche Aufbewahrungspflichten für uns bestehen. Sind wir gesetzlich verpflichtet, die Daten nach Beendigung Ihrer Registrierung bei der DIE BERGISCHE KRANKENKASSE App aufzubewahren, werden wir die Daten zunächst sperren,  also nicht mehr anderweitig verarbeiten und sodann bei Ablauf der Aufbewahrungsfristen löschen.

9. Kontaktdaten Datenschutzbeauftragter und Aufsichtsbehörde

Haben Sie Fragen oder sind Sie der Ansicht, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt, haben Sie die Möglichkeit, sich an uns oder unsere Datenschutzbeauftragte zu wenden:
 
DIE BERGISCHE Krankenkasse
Datenschutzbeauftragte
Heresbachstraße 29
42719 Solingen
datenschutz@bergische-krankenkasse.de
Anträge auf Berichtigung, Löschung oder Sperrung Ihrer personenbezogenen Daten sind ebenfalls an unseren Datenschutzbeauftragten zu richten.
 
Die Anschrift der für die BERGISCHE zuständigen Datenschutzaufsichtsbehörde lautet:
 
Landesbeauftragte für Datenschutz
und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf

10. Datensicherheit

Der Zugriff (Login) auf die BERGISCHE App ist ausschließlich über eine SSL/TSL-verschlüsselte Verbindung möglich.
 
Wir treffen stets die notwendigen technischen und organisatorischen Maßnahmen, um einen bestmöglichen Schutz Ihrer personenbezogenen Daten gegen unbeabsichtigte oder nicht rechtmäßige Löschung, Veränderung, Weitergabe zu gewährleisten sowie Ihre Daten gegen Verlust oder unberechtigte Zugriffe zu schützen.
 
Die Datenhaltung bei Nutzung der DIE BERGISCHE KRANKENKASSE App erfolgt verschlüsselt. Ihre Daten werden bei der Nutzung der BERGISCHEN App ausschließlich in entsprechend sicherheitstechnisch zertifizierten, deutschen Rechenzentren gespeichert.
 
Greifen Sie mit der DIE BERGISCHE KRANKENKASSE App auf Funktionalitäten von foxdox® zu, ist für die Datensicherheit bei der Nutzung von foxdox® die Betreiberin von foxdox®, die d.velop business services GmbH als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO verantwortlich.
 
Unsere Mitarbeiter sind zur Geheimhaltung und auf das Datengeheimnis verpflichtet.

11. Änderungen dieser Datenschutzerklärung
 

Die Datenschutzerklärung ist aktuell gültig und datiert vom 7.10.2019. Durch die Weiterentwicklung unserer App oder die Implementierung neuer Technologien kann es notwendig werden, diese Datenschutzerklärung zu ändern. Bitte rufen Sie deshalb insbesondere nach jeder Aktualisierung der DIE BERGISCHE KRANKENKASSE App diese Datenschutzerklärung auf, um sich über Änderungen zu informieren. Es gilt immer die bei Nutzung der DIE BERGISCHE KRANKENKASSE App aktuelle Fassung dieser Datenschutzerklärung.

Datenschutzhinweise bei Gewinnspielen

Die Teilnahme ist ab Vollendung des 18. Lebensjahres möglich.

Wir benötigen für die Teilnahme am Gewinnspiel einige persönliche Angaben. Einige Felder sind entsprechend als Pflichtfelder eingerichtet und entsprechend gekennzeichnet.

Zur Erleichterung der Kontaktaufnahme bitten wir Sie auch um freiwillige Angabe Ihrer Telefonnummer bzw. Ihrer E-Mail-Adresse. Die Daten dienen der Kontaktaufnahme zur Gewinnbenachrichtigung. Empfänger Ihrer Daten können von uns beauftragte Dienstleister sein.Wünschen Sie darüber hinaus künftig weitere Informationen über die Vorteile und Neuigkeiten der BERGISCHEN, benötigen wir für die Verwendung Ihrer o.a. Daten Ihre Einwilligung.

Allgemeine Informationen zur Datenverarbeitung und zu Ihren Rechten finden Sie unter www.bergische-krankenkasse.de/datenschutz. Bei Fragen wenden Sie sich an die BERGISCHE Krankenkasse, Postfach 19 05 40, 42705 Solingen oder unseren Datenschutzbeauftragten unter datenschutz@bergische-krankenkasse.de.

Die Erhebung und Verarbeitung Ihrer Daten erfolgt auf freiwilliger Basis. Ihr Einverständnis können Sie ohne für Sie nachteilige Folgen verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen. Dies berührt nicht die Rechtmäßigkeit der bisher auf der Grundlage dieser Einwilligung erfolgten Verarbeitung. Ihr Widerrufsrecht können Sie gegenüber DIE BERGISCHE Krankenkasse, Postfach 19 05 40, 42705 Solingen wahrnehmen. Sie können den Widerruf auch per E-Mail senden an datenschutz@bergische-krankenkasse.de.

Das Einverständnis, dass Ihre angegebenen Daten verarbeitet und verwendet werden, um Sie über die Vorteile und Neuigkeiten der BERGISCHEN  zu informieren und Sie beraten zu können, erfolgt bei Online-Gewinnspielen über die Aktivierung (das Anklicken) der entsprechenden Option (Datenschutzhinweise). Bei Gewinnspiel über Drucksachen (z. B. Flyer) erfolgt die Einverständniserklärung mittels Unterschrift.

Ihre Einwilligung ist stets freiwillig und kann jederzeit widerrufen werden.

Datenschutzhinweise für Gewinnspiele bei Sozialen Medien

Wir freuen uns, dass Sie an einem Gewinnspiel der BERGISCHEN in Sozialen Medien (Trikot- und Ticketverlosung) teilnehmen möchten. Die Teilnahme ist ab Vollendung des 18. Lebensjahres möglich.

Wer ist für Datenverarbeitung verantwortlich?
Verantwortlicher im Sinne des Datenschutzrechts ist
DIE BERGISCHE Krankenkasse
Heresbachstr. 29
42719 Solingen

Sie finden weitere Informationen wie Angaben zu den vertretungsberechtigten Personen und weitere Kontaktmöglichkeiten in unserem Impressum unserer Internetseite.

Wir haben einen Datenschutzbeauftragten in unserem Unternehmen benannt. Sie erreichen diesen unter folgenden Kontaktmöglichkeiten:

Datenschutzbeauftragte der BERGISCHEN Krankenkasse
Heresbachstr. 29
42719 Solingen
datenschutz@bergische-krankenkasse.de

Welche Daten von Ihnen werden von uns verarbeitet? Und zu welchen Zwecken?
Der Zweck der Datenverarbeitung ist die Abwicklung eines Gewinnspieles in Sozialen Medien. Sind Sie Gewinner in einem unserer Gewinnspiele, werden wir Ihren Account des jeweiligen Dienstanbieters kontaktieren und Sie um freiwillige Angabe Ihrer Telefonnummer, Ihrer E-Mail-Adresse, weiterer Daten oder um Kontaktaufnahme Ihrerseits bitten. Die hierbei erhobenen Daten dienen nur zur Gewinnabwicklung. Die Teilnahme am Gewinnspiel erfolgt freiwillig, ohne Koppelung an sonstige Leistungen.

Auf welcher rechtlichen Grundlage basiert das?
Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. a, b, f DSGVO.

Wie lange werden die Daten gespeichert?
Ihre personenbezogenen Daten (z.B. Name des Accounts) werden auf unseren Systemen spätestens drei Monate nach Abwicklung des Gewinnspieles gelöscht. Ausgenommen sind die Daten der Gewinner, diese werden nach Ablauf der gesetzlichen Fristen gelöscht.

Die Speicherung von Daten in Sozialen Medien ist insofern nicht erfasst, als dass die Nutzungsbedingungen des jeweiligen Dienstanbieters (z.B. Facebook, Twitter, Instagram) gelten.

An welche Empfänger werden die Daten weitergegeben?
Eine Weitergabe der Daten an Dritte findet grundsätzlich nicht statt. Ausgenommen hiervon sind die Daten der Gewinner. Namen (z.B. Klarmane oder Username) der Gewinner können im Kundenmagazin der BERGISCHEN (informiert!) oder auf den digitalen Kanälen veröffentlicht werden.

Auch von uns eingesetzte Dienstleister können in unserem Auftrag als Auftragsverarbeiter Ihre personenbezogenen Daten z. B. im Rahmen des Softwaresupports einsehen. Mit diesen Dienstleistern haben wir Regelungen vereinbart, die sicherstellen, dass die Datenverarbeitung in zulässiger Weise erfolgt. Dazu gehören insbesondere Unternehmen der Kategorie IT-Dienstleistung.

Die Weitergabe von Daten in Sozialen Medien ist insofern nicht erfasst, als dass die Nutzungsbedingungen des jeweiligen Dienstanbieters (z.B. Facebook, Twitter, Instagram) gelten.

Wo werden die Daten verarbeitet?
Die Daten werden ausschließlich auf Servern unseres Rechenzentrums verarbeitet. Serverstandort ist Deutschland. Eine Datenübermittlung in Drittstaaten findet nicht statt.

Die Verarbeitung von Daten in Sozialen Medien ist insofern nicht erfasst, als dass die Nutzungsbedingungen des jeweiligen Dienstanbieters (z.B. Facebook, Twitter, Instagram) gelten.

Ihre Rechte als „Betroffener“
Sie haben das Recht auf Auskunft über die von uns zu Ihrer Person verarbeiteten personenbezogenen Daten (Art. 15 DS-GVO).

Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir dann ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.

Ferner haben Sie ein Recht auf Berichtigung (Art. 16 DS-GVO) oder Löschung (Art. 17 DS-GVO) oder auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), soweit Ihnen dies gesetzlich zusteht.

Zudem haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Gleiches gilt für ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO).

Information über Ihr Widerspruchsrecht nach Art. 21 DS-GVO
Sie haben jederzeit das Recht, aus persönlichen Gründen Widerspruch gegen die Verarbeitung Ihrer Daten einzulegen, die zur Wahrung öffentlicher Interessen (Art. 6 Abs. 1 lit. e DS-GVO) oder berechtigter Interessen (Art. 6 Abs. 1 lit. f DS-GVO) erfolgt. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling im Sinne von Art. 4 Nr. 4 DS-GVO.

Ihren Widerspruch richten Sie bitte per Post an Die BERGISCHE Krankenkasse, Datenschutz, Heresbachstr. 29, 42719 Solingen oder per E-Mail an datenschutz@bergische-krankenkasse.de.

Sie haben darüber hinaus das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren (Art. 77 DS-GVO). Die für unser Unternehmen zuständige Datenschutzaufsichtsbehörde ist: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf.

Besteht eine Pflicht zur Bereitstellung von Daten?
Es besteht keine Pflicht zur Bereitstellung von Daten. Ohne die Angaben von persönlichen können Sie jedoch nicht am Gewinnspiel teilnehmen.

Erfolgt eine automatisierte Entscheidungsfindung im Einzelfall oder Profiling?
Unsere Entscheidungsfindung im Rahmen des Gewinnspiels beruht nicht auf einer automatisierten Verarbeitung gemäß Artikel 22 DS-GVO.

Ihre Daten werden nicht zu einer Profilbildung (Profiling) genutzt. Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte zu analysieren oder vorherzusagen.

Datenschutzhinweise für die Nutzung der Fotobox

Wir freuen uns, dass Sie die Fotobox der BERGISCHEN nutzen wollen.

Wer ist für Datenverarbeitung verantwortlich?
Verantwortlicher im Sinne des Datenschutzrechts ist
DIE BERGISCHE Krankenkasse
Heresbachstr. 29
42719 Solingen

Sie finden weitere Informationen wie Angaben zu den vertretungsberechtigten Personen und weitere Kontaktmöglichkeiten in unserem Impressum unserer Internetseite.

Wir haben einen Datenschutzbeauftragten in unserem Unternehmen benannt. Sie erreichen diesen unter folgenden Kontaktmöglichkeiten:

Datenschutzbeauftragte der BERGISCHEN Krankenkasse
Heresbachstr. 29
42719 Solingen
datenschutz@bergische-krankenkasse.de

Welche Daten von Ihnen werden von uns verarbeitet? Und zu welchen Zwecken?
Im Rahmen der Nutzung der Fotobox werden Bilddaten von Ihnen erstellt. Die Bilddaten werden vor Ort auf einem Computer in der Fotobox gespeichert. Dieser ist nicht frei zugänglich und vor unbefugten Zugriffen geschützt. Es besteht von dort keine Verbindung zum Internet. Nach dem Ende der Veranstaltung werden die Bilddaten auf ein anderes Speichermedium übertragen und vom Computer der Fotobox gelöscht.

Vor Ort können Sie einen Ausdruck Ihres Bildes erhalten.

Die Nutzung der Fotobox ist für Erwachsene ausgelegt. Bei der Nutzung durch Minderjährige muss vorher das Einverständnis der Eltern durch den Nutzer eingeholt werden.

Die BERGISCHE wird die Bilddateien im Nachgang zu dieser Veranstaltung für die Berichterstattung und zur Bewerbung einer gleichartigen Folgeveranstaltung nutzen. Hierzu können die Bilddateien in Sozialen Medien (z.B. Facebook, Instagram, Twitter), auf Internetseiten der BERGISCHEN oder Printmedien genutzt werden.

Auf welcher rechtlichen Grundlage basiert das?
Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. a, f DSGVO.

Wie lange werden die Daten gespeichert?
Die personenbezogenen Daten werden spätestens zum Ablauf des der Veranstaltung folgenden Kalenderjahres gelöscht.

An welche Empfänger werden die Daten weitergegeben?
Eine Weitergabe der Daten an Dritte findet grundsätzlich nicht statt.

Hiervon ist die Nutzung von Daten in Sozialen Medien insofern ausgeschlossen, als dass die Nutzungsbedingungen des jeweiligen Dienstanbieters (z.B. Facebook) gelten.

Wo werden die Daten verarbeitet?
Die Daten werden zur Übertragung von der Fotobox in unser System auf ein mobiles Speichermedium übertragen und anschließend dort gelöscht. Daten in unserem System werden ausschließlich auf Servern unseres Rechenzentrums verarbeitet. Serverstandort ist Deutschland. Eine Datenübermittlung in Drittstaaten findet nicht statt.

Hiervon ist die Verarbeitung von Daten in Sozialen Medien insofern ausgeschlossen, als dass die Nutzungsbedingungen des jeweiligen Dienstanbieters (z.B. Facebook) gelten.

Ihre Rechte als „Betroffener“
Sie haben das Recht auf Auskunft über die von uns zu Ihrer Person verarbeiteten personenbezogenen Daten (Art. 15 DS-GVO).

Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir dann ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.

Ferner haben Sie ein Recht auf Berichtigung (Art. 16 DS-GVO) oder Löschung (Art. 17 DS-GVO) oder auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), soweit Ihnen dies gesetzlich zusteht.

Zudem haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Gleiches gilt für ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO).

Information über Ihr Widerspruchsrecht nach Art. 21 DS-GVO
Sie haben jederzeit das Recht, aus persönlichen Gründen Widerspruch gegen die Verarbeitung Ihrer Daten einzulegen, die zur Wahrung öffentlicher Interessen (Art. 6 Abs. 1 lit. e DS-GVO) oder berechtigter Interessen (Art. 6 Abs. 1 lit. f DS-GVO) erfolgt. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling im Sinne von Art. 4 Nr. 4 DS-GVO.

Ihr Einverständnis für die Verarbeitung der Daten können Sie ohne nachteilige Folgen verweigern bzw. jederzeit mit Wirkung für die Zukunft widerrufen. Dies berührt nicht die Rechtmäßigkeit der bisher auf der Grundlage dieser Einwilligung erfolgten Verarbeitung.

Ihren Widerspruch richten Sie bitte per Post an Die BERGISCHE Krankenkasse, Datenschutz, Heresbachstr. 29, 42719 Solingen oder per E-Mail an datenschutz@bergische-krankenkasse.de.

Sie haben darüber hinaus das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren (Art. 77 DS-GVO). Die für unser Unternehmen zuständige Datenschutzaufsichtsbehörde ist: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf.

Besteht eine Pflicht zur Bereitstellung von Daten?
Es besteht keine gesetzliche oder vertragliche Pflicht zur Bereitstellung von Daten. Durch Nutzung der Fotobox wird eine Einwilligung zur Nutzung der Bilddaten durch schlüssiges Handeln erteilt. Bitte haben Sie Verständnis dafür, dass ohne Ihre Einwilligung die Nutzung der Fotobox nicht erfolgen kann.

Erfolgt eine automatisierte Entscheidungsfindung im Einzelfall oder Profiling?
Ihre Daten werden nicht für eine automatische Entscheidungsfindung oder zu einer Profilbildung (Profiling) genutzt. Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte zu analysieren oder vorherzusagen.

Datenschutzhinweise bei Bewerbung

Wir freuen uns, dass Sie sich für die BERGISCHE interessieren und sich für eine Stelle bewerben oder beworben haben. Wir möchten Ihnen nachfolgend gerne Informationen zur Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Bewerbung zukommen lassen.

Wer ist für Datenverarbeitung verantwortlich?
Verantwortlicher im Sinne des Datenschutzrechts ist
DIE BERGISCHE Krankenkasse
Heresbachstraße 29
42719 Solingen.

Sie finden weitere Informationen wie Angaben zu den vertretungsberechtigten Personen und weitere Kontaktmöglichkeiten im Impressum unserer Internetseite.

Wir haben einen Datenschutzbeauftragten in unserem Unternehmen benannt. Sie erreichen diesen unter folgenden Kontaktmöglichkeiten:

Datenschutzbeauftragte der BERGISCHEN Krankenkasse
Heresbachstraße 29
42719 Solingen
datenschutz@bergische-krankenkasse.de.

Welche Ihrer Daten werden von uns verarbeitet? Und zu welchen Zwecken?
Wir verarbeiten die Daten, die Sie uns im Zusammenhang mit Ihrer Bewerbung zugesendet haben, um Ihre Eignung für die Stelle (oder ggf. andere offene Positionen in unseren Unternehmen) zu prüfen und das Bewerbungsverfahren durchzuführen.

Rechtliche Grundlage
Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten in diesem Bewerbungsverfahren ist primär § 26 BDSG in der ab dem 25.05.2018 geltenden Fassung. Danach ist die Verarbeitung der Daten zulässig, die im Zusammenhang mit der Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich sind. Ergänzend ist Rechtsgrundlage für die Datenverarbeitung zur Anbahnung eines Arbeitsvertragsverhältnisses auch Art. 6 Abs. 1 lit. b DS-GVO.

Sollten die Daten nach Abschluss des Bewerbungsverfahrens ggf. zur Rechtsverfolgung erforderlich sein, kann eine Datenverarbeitung auf Basis der Voraussetzungen von Art. 6 DS-GVO, insbesondere zur Wahrnehmung von berechtigten Interessen nach Art. 6 Abs. 1 lit. f DS-GVO erfolgen. Unser Interesse besteht dann in der Geltendmachung oder Abwehr von Ansprüchen.

Sofern Sie uns eine Einwilligung zur Verarbeitung Ihrer Daten für bestimmte Zwecke erteilen, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Rechtsgrundlage ist dann Art. 6 Abs. 1 lit. a DS-GVO (z. B. Einwilligung in eine längere Speicherung Ihrer Daten oder Nutzung für andere Stellenangebote). Handelt es sich dabei um besonders geschützte Datenkategorien, wie bei-spielsweise Gesundheitsdaten, ist die Rechtsgrundlage Art. 9 Abs. 2 lit. a DS-GVO.

Wie lange werden die Daten gespeichert?
Soweit erforderlich, verarbeiten und speichern wir Ihre personenbezogenen Daten für die Dauer des Be-werbungsprozesses. Sollten Sie im Rahmen des Bewerbungsverfahrens den Zuschlag für eine Stelle erhalten haben, werden die Daten aus der Bewerberdatenbank in unser Personalinformationssystem überführt. Ansonsten endet der Bewerbungsprozess mit dem Zugang einer Absage beim Bewerber.

Daten von Bewerbern werden im Falle einer Absage nach 6 Monaten gelöscht. Dies gilt nicht, soweit die Verarbeitung und Speicherung Ihrer personenbezogenen Daten im konkreten Fall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Dauer eines Rechtsstreits) erforderlich ist.

Für den Fall, dass Sie einer weiteren Speicherung Ihrer personenbezogenen Daten zugestimmt haben, werden wir Ihre Daten in unseren Bewerber-Pool übernehmen. Dort werden die Daten nach Ablauf von zwei Jahren gelöscht.

An welche Empfänger werden die Daten weitergegeben?
Ihre Bewerberdaten werden nach Eingang Ihrer Bewerbung von der Personalabteilung gesichtet. Geeig-nete Bewerbungen werden intern an die Fachverantwortlichen (Führungskräfte und potentielle Vorgesetzte) für die jeweils offene Position weitergeleitet. Dann wird der weitere Ablauf abgestimmt. Im Unternehmen haben grundsätzlich nur die Personen Zugriff auf Ihre Daten, die dies für den ordnungsgemäßen Ablauf unseres Bewerbungsverfahrens benötigen. Außerdem erhält der Personalrat die Bewerbungsunterlagen.

Auch von uns eingesetzte Dienstleister können in unserem Auftrag als Auftragsverarbeiter Ihre personenbezogenen Daten, z. B. im Rahmen des Softwaresupports, einsehen. Mit diesen Dienstleistern haben wir Regelungen vereinbart, die sicherstellen, dass die Datenverarbeitung in zulässiger Weise erfolgt. Dazu gehören insbesondere Unternehmen der Kategorie IT-Dienstleistung.

Wo werden die Daten verarbeitet?
Die Daten werden ausschließlich auf Servern unseres Rechenzentrums verarbeitet. Serverstandort ist Deutschland. Eine Datenübermittlung in Drittstaaten findet nicht statt.

Ihre Rechte als „Betroffener“
Sie haben das Recht auf Auskunft über die von uns zu Ihrer Person verarbeiteten personenbezogenen Daten (Art. 15 DS-GVO).
Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir dann ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.
Ferner haben Sie ein Recht auf Berichtigung (Art. 16 DS-GVO) oder Löschung (Art. 17 DS-GVO) oder auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), soweit Ihnen dies gesetzlich zusteht.
Zudem haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Gleiches gilt für ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO).

Information über Ihr Widerspruchsrecht nach Art. 21 DS-GVO
Sie haben jederzeit das Recht, aus persönlichen Gründen Widerspruch gegen die Verarbeitung Ihrer Daten einzulegen, die zur Wahrung öffentlicher Interessen (Art. 6 Abs. 1 lit. e DS-GVO) oder berechtigter Interessen (Art. 6 Abs. 1 lit. f DS-GVO) erfolgt. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling im Sinne von Art. 4 Nr. 4 DS-GVO.

Ihren Widerspruch richten Sie bitte per Post an
DIE BERGISCHE Krankenkasse
Datenschutz
Heresbachstraße 29
42719 Solingen

oder per E-Mail an datenschutz@bergische-krankenkasse.de.
Sie haben darüber hinaus das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren (Art. 77 DS-GVO). Die für unser Unternehmen zuständige Datenschutzaufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf.

Besteht eine Pflicht zur Bereitstellung von Daten?
Es besteht keine gesetzliche oder vertragliche Pflicht zur Bereitstellung von Daten. Im Rahmen Ihrer Be-werbung sollen Sie nur diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung der Bewerbung erforderlich sind. Ohne diese Daten können wir Sie jedoch nicht in den Bewerbungsprozess aufnehmen.

Erfolgt eine automatisierte Entscheidungsfindung im Einzelfall oder ein Profiling?
Unserer Entscheidungsfindung im Rahmen des Bewerbungsprozesses beruht nicht auf einer automati-sierten Verarbeitung gemäß Artikel 22 DS-GVO.
Ihre Daten werden nicht zu einer Profilbildung (Profiling) genutzt. Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte zu analysieren oder vorherzusagen.

Datenschutzhinweise der BERGISCHEN Krankenkasse für die elektronische Patientenakte (ePA) sowie Pflichtinformationen gemäß § 343 Absatz 1 SGB V

A. Allgemeines

A. Allgemeines

Die Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V sind im Ab-schnitt F dieses Dokumentes ausführlich beschrieben.
Vorbemerkung
Im Sinne einer besseren Lesbarkeit und einem vereinfachtem Bearbeitungsverfahren wurde die gendergerechte Ansprache durch die einheitliche Verwendung der Formulierungen:
•    „Versicherter“
•    „Vertreter“
ersetzt. Mit der Benutzung dieser Begriffe sind immer ohne Einschränkung alle Geschlechter gemeint.

A. 1 Name und Anschrift des Verantwortlichen

Der Verantwortliche im Sinne von §§ 341 Abs. 4 Satz 1, 307 Abs. 4 SGB V in Verbindung mit Art. 4 Ziffer 7 der Datenschutz-Grundverordnung ist die:

BERGISCHE KRANKENKASSE
Körperschaft des öffentlichen Rechts
Heresbachstraße 29, 42719 Solingen

Telefon 0212 / 2262-0
Telefax 0212 / 2262-411
E-Mail: info@bergische-krankenkasse.de
Website: www.bergische-krankenkasse.de

A. 2 Kontaktdaten Datenschutzbeauftragter des Verantwortlichen

Datenschutzbeauftragte der BERGISCHEN Krankenkasse
Heresbachstraße 29
42719 Solingen
Telefon 0212 / 2262-176
E-Mail: datenschutz@bergische-krankenkasse.de

A. 3 Zuständige Aufsichtsbehörde für den Datenschutzes

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: 0211 / 38424-0
E-Mail: poststelle@ldi.nrw.de

A. 4 Zuständige Rechts- und Fachaufsichtsbehörde

Ministerium für Arbeit, Gesundheit und Soziales des Landes Nordrhein-Westfalen
Fürstenwall 25
40219 Düsseldorf
Telefon: 0211 / 8555
E-Mail: aufsicht.nrw@mags.nrw.de

A. 5 Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Versicherten, soweit dies zur Bereitstellung bzw. Nutzung einer funktionsfähigen ePA erforderlich ist. Sofern die Verarbeitung personenbezogener Daten unserer Versicherten auf der Grundlage einer Einwilligung geschieht, erfolgt dies aufgrund einer dahingehenden gesetzlichen Verpflichtung aus dem SGB V. Eine Bereit-stellung der ePA für unsere Versicherten ohne deren Einwilligung ist gesetzlich nicht zugelassen.
Die Nutzung der ePA ist für unsere Versicherten freiwillig. Ihnen entsteht kein Nachteil, sofern sie sich gegen die Nutzung der ePA entscheiden.

A. 6 Einbindung von Dritten

Wir geben Daten unserer Versicherten grundsätzlich nicht an Dritte weiter. Wir setzen ver-schiedene technische Dienstleister ein, um unseren Versicherten die ePA bereitstellen zu können. Hierbei handelt es sich ausschließlich um Unternehmen der BITMARCK Unterneh-mensgruppe. In diesem Zusammenhang kann es vorkommen, dass ein solcher technischer Dienstleister Kenntnis von personenbezogenen Daten erhält. Wir wählen diese Dienstleister sorgfältig aus und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine zuläs-sige Datenverarbeitung. Die beauftragen Dienstleister sind ebenfalls verpflichtet, alle daten-schutzrechtlichen Maßnahmen einzuhalten und werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet.

A. 7 Datenverarbeitung außerhalb der Europäischen Union

Eine Verarbeitung der Daten unserer Versicherten außerhalb der europäischen Union durch uns findet nicht statt.

A. 8 Betroffenenrechte

Unsere Versicherten haben das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Diesbezüglich können sich unsere Versicherten jederzeit an uns wenden. Unsere Versicherten haben das Recht auf Berichtigung oder Löschung, oder auf Einschränkung der Verarbeitung, soweit ihnen dieses Recht gesetzlich zusteht. Unsere Versicherten haben ein Widerspruchsrecht gegen die Verarbeitung der personenbezogenen Daten im Rahmen der gesetzlichen Vorgaben. Unsere Versicherten haben ein Recht auf Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.

A. 9 Löschung von Daten

Wir löschen die ePA unseres Versicherten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um die ePA für unsere Versicherten weiterhin bereitstellen zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

A. 10 Automatisierte Entscheidungsfindung

Wir setzen keine Verarbeitungsvorgänge ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO beruhen.

A. 11 Beschwerderecht bei einer Aufsichtsbehörde

Unsere Versicherten haben das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer der in Ziff. 3 benannten Aufsichtsbehörden zu beschweren.

A. 12 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Unseren Versicherten steht das Recht zu, ihre datenschutzrechtlichen Einwilligungserklärun-gen jederzeit zu widerrufen. Der Widerruf kann wie folgt erklärt werden: Gegenüber der Krankenkasse jederzeit schriftlich oder auf elektronischem Weg über die ePA-App ohne An-gabe von Gründen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt.

B. Bereitstellung der ePA durch die Krankenkasse

B. 1 Beschreibung und Umfang der Datenverarbeitung

Nach Erteilung der ausdrücklichen schriftlichen oder elektronischen (über die ePA-App) Einwilligung unseres Versicherten legen wir eine individuelle und ausschließlich von unserem Versicherten verwendete elektronische Patientenakte (ePA) an, welche unser Versicherter eigenständig souverän und autonom verwalten und verwenden kann. Ein Versicherter kann in seiner ePA eine oder mehrere vertretende Personen, hinzufügen, siehe hierzu Kapitel D2.

Bei der Bereitstellung der ePA werden folgende personenbezogene Daten unseres Versicherten verarbeitet:
• Art und Nummer eines amtlichen Ausweisdokuments:
 - Aufenthaltstitel
 - oder Personalausweis
 - oder Reisepass
• Anzahl der aktiven elektronischen Gesundheitskarten (eGK). Die Anzahl der akti-ven eGK, die dem identifizierten Versicherten im eGK-System zugeordnet sind. Eine Karte gilt dabei im eGK-System als aktiv, wenn sie weder gesperrt oder lo-gisch gelöscht ist. In der Regel ist immer nur eine eGK aktiv.
• Name, Vorname
• Geburtsdatum des Versicherten
• Versichertenart (z. B.: Mitglied, Familienversicherter, Rentner)
• Beginn und Ende Versicherungsverhältnis
• IdentDataTime (Zeitstempel für die vollzogene Identifizierung des Versicherten)
• Schutzklasse für die Identifikation (mit oder ohne eGK)
• Identifizierungsverfahren (z. B. in der Filiale oder Postident)
• Meldeadresse: Länderkennzeichen, PLZ, Ort; Straße, Hausnummer; 
• Ende der Registrierung / Ja oder Nein
• Zeitpunkt Registrierungsbeginn
• Titel
• Namenszusatz
• Vorsatzwort (z. B.: „von“, „de“, „van“)
• Geschlecht
• VIP – Kennzeichen
• ICCSN (Kartenkennnummer auf der Rückseite der eGK)
• istNfcEgk (Dieser Wert gibt an, ob die im Aufruf bezeichnete eGK für „Near Field Communication“ (NFC) ausgerüstet ist.)
• istPinBriefVersandt (Dieser Wert gibt an, ob zu der im Aufruf bezeichneten eGK ein PIN-Brief versandt wurde.) 
• pinBriefVersandDatum (Zeitpunkt zu dem der PIN-Brief-Versand dem KAMS (Kartenanwendungs-managementsystem) gemeldet wurde.)

B. 2 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Erstellung der ePA ist die Einwilligung unseres Versicherten gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.

B. 3 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die Bereitstellung der ePA gemäß den gesetzlichen Vorga-ben nach SGB V. In diesem Zusammenhang bedarf es der Zuordnung einer konkreten ePA zu unserem Versicherten.

B.  4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.

B. 5 Widerrufsmöglichkeit für die Nutzung der ePA

Unser Versicherter kann seine Einwilligung zur Bereitstellung der ePA jederzeit widerrufen und gegenüber der BERGISCHEN die Löschung der ePA verlangen. Der Versicherte erklärt den Widerruf durch Entfernen des gesetzten Bestätigungshakens, schriftlich oder persönlich in unserer Geschäftsstelle.

C. IAM Registrierungsprozess für die ePA

Die in den nachfolgenden Abschnitten beschriebenen Datenverarbeitungsprozesse sind zur Bereitstellung der ePA zwingend erforderlich.

C. 1 Beschreibung und Umfang der Datenverarbeitung

Zur rechtssicheren Einrichtung für die Bereitstellung einer ePA- für unseren Versicherten ist es erforderlich, ein Verifikations-Verfahren durchzuführen, um zu überprüfen, ob die Person, die sich für eine ePA registriert auch tatsächlich unser Versicherter ist. Diese Prozessabläufe sind nachfolgend beschrieben:
1. Schritt: Der Versicherte installiert die ePA App und startet diese.
2. Schritt: Der Versicherte klickt den Funktionsbutton „Los geht`s“ an.
3. Schritt: Der Versicherte klickt, wenn bereits ein Benutzerkonto besteht, auf „Anmelden bei der BERGISCHEN“, oder muss sich zuerst über den Funktionsbutton „Registrieren“ ein Benutzerkonto
    anlegen.
4. Schritt: Um mit der Registrierung zu starten, klickt der Kunde auf „Jetzt loslegen“
5. Schritt: Der Versicherte gibt die folgenden Daten, gemäß der vorgegebenen Felder ein:
         - E-Mail-Adresse
         - Versichertennummer
         - PLZ
         - Auswahl eines individuellen Passwortes
         - Passwort Wiederholung
         - Eingabe der letzten 6 Stellen der Kennnummer der eGK (ICCSN)
6. Schritt: Der Versicherte bestätigt in der Checkbox, die Akzeptanz der Nutzungsbedingungen IAM sowie die Akzeptanz der Einwilligung IAM, um die Registrierung abzuschließen.
7. Schritt: Der Versicherte muss die E-Mail-Adresse bestätigen und muss dafür in der versendeten E-Mail den Link aufrufen, um fortfahren zu können.
8. Schritt: Der Versicherte legt einen App-Code als weiteres Sicherheitsmerkmal fest.
9. Schritt: Der Versicherte kann die biometrische Anmeldung aktivieren.
10. Schritt: Es wird die Identität überprüft mit einem der zur Verfügung gestellten Verfahren. 
11. Schritt: Patientenakte einrichten
-    Ohne meine Gesundheitskarte
-    Mit meiner Gesundheitskarte
12. Schritt: Gerät und App verknüpfen
-    Eine Gerätebindung, das heißt die App mit dem Gerät zu verknüp-fen, ist entsprechend der Sicherheitsvorgaben notwendig.
13. Schritt: Im Anschluss wird dem Versicherten die Freigabe zur Nutzung angezeigt und damit sind die Voraussetzungen für die Einrichtung der ePA abgeschlossen. Beim Registrierungsverfahren werden vorstehende Daten in einem technischen Container temporär gespeichert. Nach Verifikation der eingegebenen Daten durch die BERGISCHE wird der Versicherte als Nutzer der ePA angelegt und zur Nutzung freigeschaltet. Der Versicherte erhält hierzu eine Bestätigung der BERGISCHEN.

C.2 Erfassung der Daten für einen Fehlerreport

Wir benötigten die im Folgenden aufgeführten Informationen, wenn ein Versicherter einen Fehler meldet und die Ursache analysiert werden muss. 

C.2.1 Automatisiert übermittelte Daten

Für die ePA Apps für IOS und Android sowie die Desktop App wird im Fehlerfall einen Report erstellt und dieser wird automatisch an das Business Service Management (BSM) versendet. Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.

C.2.2 Manuell übermittelte Daten

Für die ePA Apps für IOS und Android sowie die Desktop App wird im Fehlerfall einen Report erstellt. Zusätzlich zu dem automatisiert übermittelten Report können Nutzer die folgenden Daten manuell an das Business Service Management (BSM) versenden. Die folgenden Informationen können zusätzlich im Fehlerfall an das BSM übermittelt werden. Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.

C.3 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für den IAM Registrierungsprozess der ePA und die hierbei verarbeiteten Daten ist die Einwilligung unseres Versicherten nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.

C.4 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten sowie die Verhinderung von Daten- und Identitätsmissbrauch.

C.5 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die ePA gekündigt und final gelöscht wurde. 

C.6 Widerrufsmöglichkeiten für die Registrierung in der ePA

Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Registrierung der ePA zwingend erforderlich. Unser Versicherter kann seine Einwilligung zur Registrie-rung der ePA gleichwohl jederzeit widerrufen und gegenüber uns die Löschung der ePA verlangen. Hierzu muss der Versicherte in der ePA-App seine Einwilligung widerrufen o-der den Widerruf schriftlich an uns senden.

D. Nutzung der elektronischen Patientenakte (ePA) / Datenspeicher über die App

D.1 Beschreibung und Umfang der Datenverarbeitung für den Versicherten

D.1.1 Start mit Login Maske

Der Versicherte startet die App, nach erfolgter Registrierung und Identifizierung. Zuerst erscheint die Login Maske, in die der Versicherte seine Zugangsdaten (Versi-chertennummer und Passwort sowie App-Code) eingibt.

D.1.2 Nutzung der ePA

Beim ersten Start der Anwendung erhält der Versicherte einen ersten Überblick über seine Patientenakte.

Auf der „Willkommen“-Seite kann der Versicherte seine Patientenakte öffnen, zudem kann er über „Weitere Patientenakten“ für seine Patientenakte ihn vertretende Personen, das heißt einen oder mehrere Vertreter, benennen und diese freischalten. 

In der Patientenakte in der Ansicht „Übersicht“ kann der Nutzer über das Profilbild auf sein Profil zugreifen, zudem sieht er die folgenden Bereiche:
1. Bereich Dokumente
2. Bereich Berechtigungen
3. Bereich Aktivitäten
Nach der Erläuterung zu „Profil“ werden die Bereiche in den Kapiteln D1.4 bis D1.6 kurz dargestellt. Der Versicherte kann in jedem Bereich verschiedene Aktionen durchführen.

D.1.3: Profil

Über das Profilbild gelangt der Versicherte in diese Ansicht und kann dort seine Einstel-lungen verwalten und zum Beispiel seine Zugangsdaten ändern.
Zudem kann er unter Informationen auf die folgenden Menüpunkte zugreifen
a. Über die ePA
b. Interaktive App-Demo
c. Kontakt
d. Hilfe
e. Sicherheitshinweise
f. Hinweise zur Datenerfassung
g. Zusatzfunktionen
h. App-Bericht senden
sowie unter „Rechtliche Hinweise“ auf
i. Lizenzen Dritter
j. Impressum
k. Datenschutzerklärung

Zusätzlich steht die Information zur aktuell genutzte App Version bereit.

D.1.4 Bereich 1: Dokumente

Dokumente können durch den Versicherten selbst oder von durch den Versicherten be-rechtigen Leistungserbringern in die Patientenakte eingestellt werden.  Bestimmte medizinische Daten können ausschließlich von Leistungserbringer in die elektronische Patientenakte eingestellt werden, sogenannte medizinische Informationsobjekte (MIO). Zum Beispiel gehören hierzu der Impfpass, der Mutterpass oder der Zahnbonus.

Im Bereich Dokumente sieht der Versicherte in seiner Patientenakte eine Ansicht aller von ihm oder von Dritten hochgeladenen Dokumente. Es stehen die folgenden Aktionen zur Verfügung:
•    Suche, Filtern und Sortieren
•    Dokumente hochladen und hinzufügen
•    Import von Dokumenten aus dritter Quelle
Der Versicherte kann die eingestellten Dokumente ansehen, herunterladen und an-schließend ausdrucken. Auch können die Dokumente vom Versicherten gelöscht werden.

D.1.5 Bereich 2: Berechtigungen

In dieser Ansicht sind die folgenden Informationen und Funktionen enthalten. 

Für Praxen und Einrichtungen:
• Der Versicherte kann zunächst über „hinzufügen“ Berechtigungen für Praxen und Einrichtungen vergeben
Wenn Berechtigungen für Praxen und Einrichtungen vergeben sind:
• Welche Berechtigungen wurden durch den Versicherten schon vergeben.
• Es können Berechtigungen bearbeitet oder neu eingerichtet werden.

Wenn der Versicherte eine vertretende Person eingerichtet hat
• Welche vertretenden Personen eingerichtet sind
• Es können weitere vertretende Personen hinzugefügt werden
• Die Möglichkeit zur Bearbeitung 

Der Versicherte kann die Krankenkasse berechtigen, die Leistungsdaten in die Patientenakte einzustellen.

D.1.6 Bereich 3: Aktivitäten

Der Versicherte kann in diesem Bereich alle bislang erfolgten Zugriffe auf sein Akten-konto einsehen.
Hier kann der Versicherte feststellen, welcher Leistungserbringer oder vertretende Personen wann welche Dokumente eingestellt oder auf diese zugegriffen haben.

Es werden die Daten gespeichert, die der Versicherte in seine digitale Patientenakte einstellt, bzw. die von Dritten dorthin hochgeladen werden. Hierbei kann es sich auch um Gesundheitsdaten nach Artikel 9 der DSGVO handeln.

D.2 Beschreibung und Umfang der Datenverarbeitung für vertretende Personen

Versicherte können für Ihre Patientenakte einen oder mehrere vertretende Personen berech-tigen. Die vertretende Person nutzt die eigene ePA-App seiner Krankenkasse zur Wahrnehmung der Vertretung. Bei der Einrichtung wird der Name, die E-Mail-Adresse und die Versi-chertennummer (KVNr) angegeben und gespeichert. Wenn die vertretende Person in der Patientenakte als Vertretung handelt, können alle technisch möglichen Aktionen anstelle des Versicherten ausgeführt werden. 
Vertretende Personen können keine weiteren vertretenden Personen für die vertretene Pati-entenakte einrichten und auch nicht die Patientenakte für den Versicherten insgesamt lö-schen.

Bei der Vertretung innerhalb der ePA erfolgt eine Datenverarbeitung wie in Kapitel D1 beschrieben. 

D.3 Rechtsgrundlage für die Datenverarbeitung 

Rechtsgrundlage für die Speicherung personenbezogener Daten in der ePA ist die Einwilligung des Versicherten nach Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.

D.3.1 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die Nutzung des ePA durch den Versicherten zur Archivierung und Verwendung seiner individuellen Gesundheitsinformationen.

D.3.2 Dauer der Speicherung

Die Daten werden durch den Versicherten gelöscht, wenn er entscheidet, dass die in der ePA gespeicherte Daten nicht mehr benötigt werden. 

D.3 Widerspruchsmöglichkeit

Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Nutzung der ePA zwingend durch unseren Versicherten erforderlich. Der Versicherte kann seine Einwilligung zur Nutzung der ePA gleichwohl jederzeit widerrufen, per Entfernen des gesetzten Bestäti-gungshakens in der ePA-App oder schriftlich oder persönlich bei uns.

E. Kontaktvarianten

E.1 Beschreibung und Umfang der Datenverarbeitung

In der ePA ist ein Kontaktkanal enthalten, die von dem Versicherten für die elektronische Kontaktaufnahme mit der BERGISCHEN genutzt werden kann.

E.2 Kundenservice

An verschiedenen Stellen innerhalb der ePA gibt es die Möglichkeit auf das Wort KUNDENSERVICE zu klicken. Der Versicherte wird dann auf die Website der BERGISCHEN direkt zum dort eingebundenen Kontaktformular geleitet. Eine Übergabe von Daten aus der ePA an das Kontaktformular erfolgt in diesem Zusammenhang nicht.

F. Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V

Einleitung

Dieses Dokument informiert Sie über die elektronische Patientenakte (ePA). Die ePA steht Ihnen seit 2021 als Angebot Ihrer Krankenkasse zur Verfügung. Ob Sie sie nutzen möchten oder nicht, ist allein Ihre freiwillige Entscheidung. Welche Möglichkeiten Ihnen die ePA aktuell bietet und welche in Zukunft stufenweise hinzukommen, möchten wir Ihnen im Folgenden zeigen (nähere Informationen zu den zukünftigen Funktionalitäten der ePA finden Sie in Kapitel 10).
Ihre Krankenkasse aktualisiert diesen Informationstext fortlaufend und setzt Sie rechtzeitig über neue Funktionen der ePA und deren sichere Benutzung in Kenntnis.

F. 1 Was ist die elektronische Patientenakte?

Die elektronische Patientenakte (ePA) ist eine von Ihnen geführte elektronische Akte. In die ePA können Sie und die an Ihrer Behandlung beteiligten Leistungserbringer persönliche Gesundheits- und Krankheitsdaten sicher digital hochladen, speichern, dort lesen, auslesen, verwenden und selbstverständlich auch wieder löschen. Ihre Krankenkasse stellt Ihnen eine ePA-Anwendung in Form einer eigenständigen App, als spezielle Anwendung innerhalb einer bestehenden App Ihrer Krankenkasse oder aber als Desktop-Anwendung zur Verfügung. Wenn Sie die von Ihrer Krankenkasse zur Verfügung gestellte ePA-Anwendung nutzen, haben Sie jederzeit die Möglichkeit, Ihre in die ePA eingestellten Gesundheitsdaten einzusehen.

Die ePA-Anwendung baut über das Internet eine Verbindung zur Telematikinfrastruktur auf, in der die ePA liegt. An dieses Netzwerk sind bzw. werden die verschiedenen Leistungserbringer im deutschen Gesundheitswesen angeschlossen.

Leistungserbringer werden alle Personengruppen und Einrichtungen genannt, die im Rahmen der gesetzlichen Krankenversicherung (GKV) Leistungen erbringen. Hierzu zählen z. B. Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Krankenhäuser und Apotheken. Einrichtungen, in denen Leistungserbringer tätig sind, werden im Folgenden als Leistungserbringereinrichtungen bezeichnet. Dies können Arztpraxen, Apotheken, Krankenhäuser, Medizinische Versorgungszentren und andere Einrichtungen des Gesundheitswesens sein. Aber auch einzelne Organisationseinheiten wie etwa die Abteilung eines Krankenhauses oder eine bestimmte Fachrichtung eines Medizinischen Versorgungszentrums können eine eigene Leistungserbringereinrichtung darstellen.
Die von Ihrer Krankenkasse zur Verfügung gestellte ePA-Anwendung ist sicherheitsgeprüft und von der Gesellschaft für Telematik (gematik) zugelassen. Die ePA-Anwendung lässt sich auf Smartphones und Tablets mit Android- oder iOS-Betriebssystem installieren sowie auf Desktop-Computern und Laptops mit den Betriebssystemen Windows, macOS und Linux. Für die Sicherheit Ihrer Anwendungsumgebung - also Smartphone, PC-Hardware oder Betriebssystem, auf denen die Anwendung installiert wird - sind Sie als Nutzerin bzw. Nutzer selbst verantwortlich (s. 4.7).

Falls Sie kein mobiles Endgerät bzw. keinen PC/Laptop besitzen oder aber die ePA-Anwendung Ihrer Krankenkasse aus anderen Gründen nicht verwenden wollen, können Sie die ePA dennoch nutzen. Allerdings stehen Ihnen in diesem Fall einige Funktionen nur eingeschränkt oder gar nicht zur Verfügung. Beispielsweise können Sie ohne eine ePA-Anwendung keine Dokumente persönlich in die ePA einstellen. Über die Möglichkeiten und Einschränkungen der ePA-Nutzung ohne eine dazugehörige Anwendung informieren wir Sie in Kapitel 9.

In Ihre ePA können Sie selbst mittels der ePA-Anwendung Dokumente hochladen. Oder Sie bitten beispielsweise Ihre behandelnden Ärztinnen und Ärzte in der Praxis oder im Krankenhaus darum, Kopien der relevanten Unterlagen in Ihre Akte zu übertragen. Aus rechtlichen Gründen verbleibt die Originaldokumentation Ihrer Behandlung aber immer bei dem Sie behandelnden Leistungserbringer. Zusätzlich können Sie Ihre Krankenkasse berechtigen, Informationen über von Ihnen in Anspruch genommene Leistungen in die ePA einzustellen. Nur Sie selbst und von Ihnen selbst Berechtigte können in die ePA Einblick nehmen. Die Berechtigung und damit die Einwilligung in die Bereitstellung der Daten kann jederzeit von Ihnen widerrufen werden. In keinem Fall kann die Krankenkasse Informationen in Ihrer Akte einsehen.

F. 2 Wie sicher ist die elektronische Patientenakte?

Die Dokumente in Ihrer Akte sind stets verschlüsselt abgelegt und können nur auf den Endgeräten der von Ihnen berechtigten Personen und Ihren eigenen Endgeräten entschlüsselt werden. Der dazu notwendige (elektronische) Sicherheitsschlüssel ist sicher hinterlegt. Er besteht aus zwei Teilen, die an getrennten Orten aufbewahrt werden: beim Anbieter der elektronischen Patientenakte (ePA) und bei einem zentralen, von der Gesellschaft für Telematik (gematik) bestimmten Schlüsseldienstbetreiber. Für den Zugriff auf die ePA werden beide Schlüsselteile benötigt. Nur Sie und die von Ihnen Berechtigten verfügen über den kompletten Schlüssel - weder der ePA-Anbieter noch der Schlüsseldienstbetreiber, die jeweils nur einen Teil des Schlüssels aufbewahren, können also auf die ePA zugreifen. Der Schlüssel befindet sich bewusst nicht auf Ihrer elektronischen Gesundheitskarte (eGK), damit Sie auch bei einem (geplanten oder ungeplanten) Austausch der eGK weiterhin Zugriff auf Ihre Akte haben.

Damit Sie und die von Ihnen Berechtigten gezielt nach Dokumenten in Ihrer Akte suchen können, werden zusätzliche Informationen über Merkmale Ihrer Dokumente gespeichert - die sogenannten Metadaten. Die Metadaten umfassen z. B. die Autorin bzw. den Autor des Dokuments, deren bzw. dessen Institution, die Fachrichtung, die Dokumentenart (wie beispielsweise elektronischer Arztbrief, elektronischer Medikationsplan oder elektronischer Impfnachweis), technische Informationen zum Dokument (u. a. die im Rahmen der Berechtigungsvergabe genutzte Vertraulichkeitsstufe, die Dokumentengröße und die Dokumenten-ID). Diese Daten verarbeitet das Aktensystem in einer auf höchstem Niveau sicherheitsgeprüften und vertrauenswürdigen technischen Umgebung, auf die weder der Aktenbetreiber noch die Krankenkasse Zugriff haben.

F. 3 Was muss ich grundsätzlich zur elektronischen Patientenakte wissen?

Seit Beginn des Jahres 2021 bieten die Krankenkassen ihren Versicherten elektronische Patientenakten (ePA) an. Welche grundsätzlichen Rechte und Möglichkeiten gehen damit für Sie einher?

F.3.1 Ist die ePA verpflichtend?

Die Nutzung der ePA ist für Sie freiwillig. Entscheiden Sie sich dafür, bedarf es Ihrer Einwilligung in die Datenverarbeitung gegenüber der Krankenkasse. Ihre Einwilligung wird im Rahmen des Antrags zur Einrichtung Ihrer ePA abgefragt – noch bevor die Akte technisch eingerichtet und eröffnet wird.

F. 3.2 Wer bietet die ePA an und betreibt sie?

Die ePA wird von den Krankenkassen zur Verfügung gestellt und Ihnen als Versicherten angeboten. Dabei arbeiten die Krankenkassen mit Industriepartnern zusammen, die die entsprechenden Akten nach den technischen und nicht-technischen Anforderungen, die die Gesellschaft für Telematik (gematik GmbH)  festlegt, entwickeln und betreiben. Alle ePA-Anbieter müssen mit ihrem Aktensystem und den dazugehörigen Versicherten-Apps ein Zulassungsverfahren gegenüber der gematik durchlaufen, bei dem die Einhaltung aller Anforderungen an Funktionalität, Betrieb, Sicherheit und Datenschutz nachgewiesen werden muss.

Ihre Krankenkasse arbeitet mit der Firma BITMARCK-Unternehmensgruppe, Kruppstraße 64, 45145 Essen zusammen, um Ihnen die ePA bereitzustellen.

F. 3.3 Kann ich Dokumente in der ePA oder die ganze Akte löschen?

Das Prinzip der Freiwilligkeit bedeutet natürlich auch, dass Sie jederzeit das Recht haben, die in die Akte eingestellten Dokumente selbst zu löschen oder durch von Ihnen berechtigte Leistungserbringereinrichtungen löschen zu lassen. Einen Löschvorgang könnte auf Ihren ausdrücklichen Wunsch hin z. B. eine Ärztin oder ein Arzt vornehmen, die oder der Sie behandelt. Weitere Informationen finden Sie in Kapitel 6.

F. 3.4 Wie behalte ich den Überblick darüber, wer etwas an meiner Akte geändert hat?

Die ePA zeichnet Vorgänge, die von Ihnen berechtigte Einrichtungen durchführen, in einem Protokoll auf. Dabei unterscheidet die ePA die Protokollierung von Verwaltungsvorgängen – das sogenannte Verwaltungsprotokoll – und Vorgängen, die unmittelbar im Zusammenhang mit Ihren medizinischen Daten stehen – das sogenannte Zugriffsprotokoll.
Wenn Sie die ePA-Anwendung Ihrer Krankenkasse nutzen, stellt Ihnen diese die Inhalte beider Protokolle komfortabel und einheitlich dar, sodass Sie grundsätzlich nicht zwischen beiden Protokollen unterscheiden müssen.

F. 3.4.1 Das Verwaltungsprotokoll

Im Verwaltungsprotokoll speichert die ePA alle Vorgänge, die rein administrativen Charakter haben, die also nicht direkt ein Dokument oder dessen Metadaten betreffen. Dies sind beispielsweise die An- oder Abmeldung berechtigter Benutzerinnen und Benutzer. Ebenso umfasst das Verwaltungsprotokoll den technischen Zeitpunkt der Einrichtung der ePA sowie Einträge bei Schließung der Akte.
Auf die Einträge im Verwaltungsprotokoll kann der Anbieter – im Gegensatz zu den in der ePA abgelegten Daten - grundsätzlich zugreifen. Auf diese Weise kann der Anbieter Sie beispielsweise bei technischen Problemen unterstützen. Der Zugriff auf das Verwaltungsprotokoll ist jedoch nur mit Ihrer Einwilligung zulässig.

Alle Einträge des Verwaltungsprotokolls, die älter als drei Jahre sind, werden automatisch durch das Aktensystem gelöscht. Diese Löschfrist gilt auch, wenn Sie die Akte schließen. Folglich liegen diese Protokolleinträge auch dann noch bis zu drei Jahre vor, wenn Sie die ePA bereits geschlossen haben.

F. 3.4.2 Das Zugriffsprotokoll

Im Zugriffsprotokoll speichert Ihre ePA alle Zugriffe, die in direktem Zusammenhang mit Ihren Dokumenten stehen, z. B. das Aufrufen, Einstellen oder Löschen eines Dokuments. Auch die Erteilung oder der Entzug von Berechtigungen werden hier gespeichert. Einträge im Zugriffsprotokoll sind dabei auf die gleiche Weise geschützt wie die Metadaten zu Ihren Dokumenten (Näheres dazu in Kapitel 4.4. Die Daten werden drei Jahre nach Erstellung des Protokolleintrags tagesgenau automatisiert gelöscht. Dies gilt auch dann, wenn Sie die ePA ganz oder teilweise gelöscht haben.
Wenn Sie die ePA-Anwendung Ihrer Krankenkasse nutzen, stellt Ihnen diese die Inhalte beider Protokolle einheitlich dar, sodass Sie einen Überblick darüber erhalten, wer auf Ihre Akte zugegriffen und wer welche Änderungen an Ihrer Akte vorgenommen hat. Bei Nutzung der ePA-Anwendung haben Sie außerdem die Möglichkeit, die Protokolldaten auf Ihrem eigenen Endgerät zu sichern. Die ePA-Anwendung bietet Ihnen dazu eine entsprechende Funktion an.

F .3.5 Welche Rechte habe ich gegenüber meiner Krankenkasse hinsichtlich der Datenverarbeitungsvorgänge der ePA?

Ihre Rechte gegenüber der Krankenkasse ergeben sich aus den gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Im Sinne dieser Verordnung ist die Krankenkasse „Verantwortlicher“. Sie als Versicherte bzw. Versicherter können gegenüber Ihrer Krankenkasse die „Rechte der betroffenen Person“ nach der DSGVO geltend machen. Hierzu zählt insbesondere, dass die Krankenkassen verpflichtet sind, die Versicherten über die Erhebung von personenbezogenen Daten zu informieren (Art. 13, Art. 14 DSGVO). Ferner haben die Versicherten gemäß DSGVO folgende Rechte:
•    das Recht auf Auskunft, ob und ggf. zu welchem Zweck bestimmte personenbezogene Daten von der Krankenkasse bzw. ihren Auftragnehmern verarbeitet werden (Art. 15 DSGVO)
•    das Recht auf Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO)
•    das Recht auf Löschung personenbezogener Daten (Art. 17 DSGVO)
•    das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
•    das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
•    das Widerspruchsrecht (Art. 21 DSGVO)
Dabei ist zu beachten, dass der Gesetzgeber diese Rechte ausgeschlossen hat, wenn deren Wahrnehmung von der Krankenkasse als datenschutzrechtlich verantwortlicher Stelle nicht oder nur unter Umgehung von Schutzmechanismen, wie insbesondere Verschlüsselung oder Anonymisierung, gewährleistet werden kann. Diese Einschränkung besteht, soweit die Krankenkasse als verantwortliche Stelle aufgrund der bestehenden Verschlüsselungsmechanismen technisch keinen Zugriff auf die in der ePA gespeicherten Daten hat. Für Daten, die nicht Ende-zu-Ende verschlüsselt sind, wie beispielsweise das Verwaltungsprotokoll, sind diese Rechte nicht ausgeschlossen. Dementsprechend kann die Krankenkassen Auskunfts- oder Korrekturbitten seitens der Versicherten zu den in der ePA gespeicherten Daten (z. B. zu Arztbriefen) gar nicht nachkommen. Eine Ausnahme bilden Diagnosen zu in Anspruch genommenen Leistungen der Krankenkassen. Da diese Daten auf Ihren Wunsch hin und mit Ihrer Einwilligung aus den Beständen der Abrechnungsdaten Ihrer Krankenkasse in Ihre ePA eingespielt werden, haben Sie bei diesen Daten die Möglichkeit der Korrektur durch die Krankenkasse. Dazu benötigen Sie vom jeweiligen Leistungserbringer eine Bestätigung der korrekten Diagnose. Über das nähere Verfahren informiert Sie Ihre Krankenkasse.
Die Krankenkasse stellt Ihnen eine ePA-Anwendung zur selbstständigen Wahrnehmung Ihrer Rechte im Sinne der DSGVO zur Verfügung. Allerdings können Sie mithilfe der ePA-Anwendung nicht die von Ihrem Leistungserbringer zur Verfügung gestellten Daten korrigieren. Sollten Korrekturen dieser Daten erforderlich sein, wenden Sie sich bitte an den Sie behandelnden Leistungserbringer. (Beachten Sie in diesem Zusammenhang die Hinweise in den Kapiteln 4.4. und 9)

F. 3.6 Welche Daten tauscht die Krankenkasse mit dem Betreiber der ePA aus?

Um Ihre ePA einzurichten, tauschen die Krankenkasse und der jeweilige Industriepartner administrative personenbezogene Informationen aus. Zudem prüft Ihre Krankenkasse bzw. der Anbieter der ePA anhand Ihrer Krankenversichertennummer, ob bereits eine Patientenakte für Sie existiert. Ein Austausch von personenbezogenen Gesundheitsdaten findet an dieser Stelle nicht statt.

F. 3.7 Was muss ich bei Nutzung der ePA-Anwendung beachten?

Die ePA-Anwendung ermöglicht Ihnen den selbstständigen Zugriff auf Ihre Gesundheitsdaten über Ihre eigenen Endgeräte wie Smartphones, Laptops oder PCs. Ihre jeweilige ePA-Anwendung haben die Krankenkassen nach den Vorgaben der gematik und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellt. Zusätzlich durchläuft jede ePA-Anwendung eine Sicherheitsprüfung. Diese kann nur von Prüfstellen durchgeführt werden, die bei der gematik und dem BSI akkreditiert sind. Um die Sicherheit Ihrer ePA-Daten zu gewährleisten, ist es unabdingbar, dass Sie ausschließlich eine von der gematik zugelassene ePAAnwendung nutzen, die Sie aus einer vertrauenswürdigen Quelle heruntergeladen haben. Vertrauenswürdige Quellen sind der App-Store von Apple für das iOS-Betriebssystem sowie Google Play für Android. Für die Betriebssysteme weiterer Endgeräte (Laptops oder PCs) sind die Stores der Betriebssystemhersteller (z. B. Microsoft oder Apple) oder die Website Ihrer Krankenkasse die vertrauenswürdigen Bezugsquellen. Diesbezüglich sind die Krankenkassen verpflichtet, die datenschutzrechtlichen Vorgaben auch im Hinblick auf die Übermittlung an Drittländer einzuhalten.

Nach der Installation muss Ihre ePA-Anwendung im Rahmen der ersten Nutzung freigeschaltet werden. Hierfür sind grundsätzlich zwei Wege vorgesehen: Der sicherste Weg ist die Freischaltung über Ihre elektronische Gesundheitskarte (eGK) mit NFC-Übertragungsstandard, also mit einer kontaktlosen Schnittstelle, wie sie heute bereits auf vielen EC- und Kreditkarten zu finden ist, und der dazugehörigen PIN, die Sie von Ihrer Krankenkasse erhalten. Zur Nutzung Ihrer eGK an einem stationären Endgerät benötigen Sie in der Regel ein geeignetes Kartenlesegerät, das vom Betriebssystem Ihres Computers unterstützt wird. Dieses können Sie im Einzelhandel (z. B. in Elektronik-Fachgeschäften) auf eigene Kosten erwerben. Eine Erstattung der Kosten durch Ihre Krankenkasse ist nicht möglich. Aufgrund der besonderen Schutzwürdigkeit Ihrer medizinischen Daten in der ePA empfiehlt das BSI die Nutzung eines Kartenlesegeräts ab Sicherheitsklasse 2 (Geräte mit eigener Tastatur, ohne eigene Anzeige) und höher.

Eine weitere Möglichkeit ist die Freischaltung Ihrer ePA über einen von Ihrer Krankenkasse zur Verfügung gestellten alternativen Zugang ohne die eGK. Diese Aktivierung bleibt auch bei einem Wechsel des Endgeräts gültig, also auch dann, wenn Sie Ihre ePA mal über Ihr Smartphone, mal an Ihrem PC nutzen wollen. Die Übermittlung des alternativen Zugangs ohne eGK ist kassenspezifisch. Bei Fragen dazu wenden Sie sich bitte an Ihre Krankenkasse.

Zudem sollten Sie Ihre ePA-Anwendung stets auf Endgeräten betreiben, die unter Ihrer Kontrolle stehen. Der Zugriff auf die ePA über einen öffentlichen PC, z. B. in einem Internet-Café, ist daher unbedingt zu vermeiden! Um die ePA sicher vom eigenen Endgerät aus zu nutzen, müssen Sie zudem für den Schutz Ihrer jeweiligen Endgeräte Sorge tragen. Entsprechende Anweisungen, die Sie hierfür ausführen müssen, finden sich in der Dokumentation der ePA-Anwendung. Ebenso sollten Sie die Empfehlungen des BSI zur Endgerätesicherheit befolgen. Das BSI stellt hierfür ein Informationsangebot im Internet bereit: https://www.bsi-fuer-buerger.de.

F. 3.8 Welche Maßnahmen muss ich bei Verlust oder Verdacht auf Missbrauch der eGK oder der Zugangsdaten für die ePA-Anwendung treffen?

Dem Schutz dieser Zugangswege kommt besonders hohe Bedeutung zu. Bei Verlust oder Verdacht auf Missbrauch der eGK oder des Zugangs für die ePA und die ePA-Anwendung müssen diese umgehend bei der Krankenkasse gesperrt werden, um die Sicherheit der ePA zu gewährleisten. Die Krankenkassen bieten hierfür verschiedene Sperrmöglichkeiten an (z. B. telefonisch oder online).

F. 3.9 Ich will meine Krankenkasse wechseln. Kann ich meine in der ePA gespeicherten Daten einfach mitnehmen?

Die ePA wird Ihnen von Ihrer Krankenkasse angeboten. Sollten Sie die Krankenkasse wechseln und eine ePA auch bei Ihrer neuen Krankenkasse nutzen wollen, so müssen Sie dies gegenüber der neuen Krankenkasse erklären. Ab 1. Januar 2022 besteht die Möglichkeit der verschlüsselten maschinellen Datenübernahme. Dazu müssen Sie grundsätzlich die ePA bei Ihrer Krankenkasse über die ePA-Anwendung in einen Transportzustand versetzen. Dabei verschlüsselt der Aktenbetreiber Ihrer Krankenkasse die Akte so, dass Ihre medizinischen Daten sowie die Metadaten vertraulich vom Aktenbetreiber Ihrer alten zum Betreiber der neuen Krankenkasse übermittelt werden können. In diesem Zustand kann weder ein schreibender noch ein lesender Zugriff auf die Akte erfolgen. In der ePA-Anwendung der neuen Krankenkasse können Sie dann die Datenübernahme aus der alten ePA-Anwendung starten. Das Verfahren stellt dabei sicher, dass die Daten Ihrer alten ePA erst dann gelöscht werden, wenn die Daten vollständig beim Betreiber Ihrer neuen Krankenkasse angekommen sind. Die erteilten Berechtigungen sowie die Vertretungen (weitere Informationen zu Vertretungsregelungen s. Kapitel 8) werden dabei – wenn Sie dies wünschen - ebenfalls übernommen. Bitte beachten Sie, dass Informationen aus kassenspezifischen Anwendungen der ePA möglicherweise nicht automatisch übernommen werden. Entsprechende Daten sollten Sie bei Bedarf selbst sichern, damit diese nach Ihrem Krankenkassenwechsel noch zur Verfügung stehen. Ihre Krankenkasse stellt Ihnen hierfür weitere Informationen zur Datenübernahme beim Wechsel der Krankenkasse bereit.

F. 3.10 Was muss ich tun, wenn ich die ePA nicht mehr will?

Sie haben grundsätzlich und jederzeit die Möglichkeit, Ihre ePA komplett zu schließen, also löschen zu lassen. Dazu müssen Sie die erteilte Einwilligung zur Nutzung der ePA gegenüber Ihrer Krankenkasse widerrufen. Diese Kündigung der ePA bzw. der Widerruf zur Nutzung muss gegenüber Ihrer Krankenkasse in einer geeigneten Form ausgesprochen werden. Dies kann beispielsweise über die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung geschehen. Zum genauen Vorgehen wenden Sie sich an Ihre Krankenkasse.

Von der Löschung betroffen sind alle Inhalte Ihrer Akte - sämtliche Dokumente, erteilte Berechtigungen und Protokolleinträge - mit Ausnahme der Einträge des Verwaltungsprotokolls (Näheres dazu in Kapitel 4.4). Die Verantwortung zur Sicherung der in Ihrer Akte gespeicherten Dokumente obliegt in diesem Fall Ihnen als ePA-Nutzerin bzw. ePA-Nutzer. Wenn Sie bestimmte Dokumente auch nach Schließung Ihrer ePA behalten wollen, müssen Sie diese anderweitig speichern.

Nutzen Sie die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung zum Zugriff auf die ePA, haben Sie die Möglichkeit, die Protokolldaten ebenfalls auf Ihrem eigenen Endgerät zu sichern. Die Anwendung bietet Ihnen dazu eine entsprechende Funktion an. Neben der Sicherung der Dokumente ist auch die Sicherung der Protokolldaten aus Sicht des Datenschutzes sinnvoll, damit Sie später nachvollziehen können, wer Zugriff auf Ihre Akte hatte.

F. 3.11 Habe ich Nachteile bei meiner Gesundheitsversorgung, wenn ich die ePA nicht nutze?

Sollten Sie sich dazu entscheiden, die ePA nicht nutzen zu wollen, entstehen Ihnen hieraus keine Nachteile für Ihre Gesundheitsversorgung. Diese wird auch zukünftig durch die etablierten Verfahren gewährleistet bleiben.

Als Zusatzangebot sorgt die ePA in Zukunft aber für eine gesteigerte Transparenz Ihrer medizinischen Daten. So besitzen Sie im Rahmen einer ePA-Nutzung den Vorteil, die Dokumente, Befunde oder Informationen Ihrer Behandlung digital einsehen und an ausgewählte Leistungserbringer wie Ärztinnen und Ärzte oder Krankenhäuser weitergeben zu können bzw. diesen den Zugriff auf Ihre Daten zu erlauben. Dieser durch Sie initiierte und gesteuerte digitale Datenaustausch kann dabei helfen, Ihre medizinische Versorgung zu verbessern. Durch den Zugriff auf relevante Gesundheitsdaten in Ihrer ePA unterstützen Sie die behandelnden Ärztinnen und Ärzte und andere Leistungserbringer dabei, die bestmögliche therapeutische Entscheidung treffen zu können, unerwünschte Wirkungen abzuwenden sowie unnötige Behandlungen oder Doppeluntersuchungen zu vermeiden.

F. 4 Was kann ich in meiner elektronischen Patientenakte speichern?

In der elektronischen Patientenakte (ePA) können Sie unter Verwendung der von der Krankenkasse bereitgestellten ePA-Anwendung eigene Gesundheitsdaten speichern. Dies können beispielsweise eigenständig geführte Diabetes-Tagebücher sein oder digitalisierte Befunde aus früheren Behandlungen, die Ihnen Ihre Ärztinnen und Ärzte auf Papier bereitgestellt haben, oder aber auch eigene Aufzeichnungen zu Ihrem Gesundheitszustand.
An Ihrer Behandlung beteiligte Ärztinnen und Ärzte können, sofern Sie eine entsprechende Berechtigung erteilen, beispielsweise die folgenden Daten in der ePA ablegen:
•    medizinische Daten Ihrer Behandlung, z. B. Befunde, Diagnosen und Therapiemaßnahmen
•    Arztbriefe, die im Zuge einer (zahn-)ärztlichen Behandlung erstellt wurden
•    elektronischer Medikationsplan oder Notfalldatensatz, falls Sie diese bereits auf Ihrer elektronischen Gesundheitskarte (eGK) nutzen
Gesetzliche Vertreterinnen und Vertreter können auf die Akte der zu vertretenden Person zugreifen. So können Eltern beispielsweise eine ePA ihres mitversicherten Kindes führen.

F. 4.1 Wie melde ich mich bei der ePA an?

Zur Anmeldung bei der ePA nutzen Sie die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung sowie entweder die eGK mit PIN oder, auf Ihren Wunsch hin, ein kassenspezifisches, den Vorgaben der Gesellschaft für Telematik (gematik) entsprechendes alternatives Zugangsverfahren ohne eGK. Ihre Krankenkasse informiert Sie über die jeweiligen Voraussetzungen zur Anmeldung ohne eGK in der ePA-Anwendung auf ihrem Smartphone sowie zur Anmeldung ohne eGK an Ihrem Desktop-PC oder Laptop.
Das jeweilige Sicherheitsniveau der Anmeldung mit und ohne eGK ist unterschiedlich hoch. Höher ist es bei der Anmeldung mit der eGK, in diesem Fall entspricht es einem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten Sicherheitsstandard. Jedoch wird auch das alternative Verfahren ohne eGK für einen Übergangszeitraum vom BSI akzeptiert. Eine entsprechende Zertifizierung gibt es bei der Authentifizierung ohne eGK allerdings nicht. Ihre Kasse informiert Sie umfassend über die zur Verfügung stehenden Möglichkeiten, die potenziellen Risiken und über Wege, diese zu vermeiden. Wenn Sie sich für die Nutzung der alternativen Zugangsmöglichkeit ohne eGK entscheiden, müssen Sie diesen Wunsch explizit gegenüber Ihrer Krankenkasse kommunizieren.

F. 4.2 Was benötige ich zum Zugriff auf meine Daten?

Unabhängig davon, wie Sie sich bei der ePA authentifizieren, nutzen Sie eine von Ihrer Krankenkasse bereitgestellte ePA-Anwendung auf Ihrem Smartphone oder einem geeigneten Laptop/PC, um auf die ePA zuzugreifen. Die ePA-Anwendung ist nach den Vorgaben des BSI und der gematik erstellt und sicherheitsgeprüft. Mit ihr können Sie sämtliche Funktionen der ePA selbstständig nutzen, u. a. die folgenden:
•    Dokumente einstellen, einsehen, herunterladen und löschen
•    Berechtigungen erteilen und entziehen
•    Vertretungen erstellen und entziehen
•    Zugriffe auf die ePA anhand der Protokolldaten kontrollieren
•    ePA vollständig schließen
•    Übertragung der ePA zu einer neuen Krankenkasse veranlassen (bei Krankenkassenwechsel)
•    als vertretungsberechtigte Person mit der ePA einer vertretenen Person arbeiten (vertretungsberechtigte und vertretene Person müssen nicht bei derselben Krankenkasse versichert sein)
Versicherte ohne geeignete Endgeräte können eine ePA bei Ihrer Krankenkasse beantragen und anlegen lassen. In diesem Fall erfolgt die Berechtigungsvergabe für den Zugriff direkt beim Besuch in der Arztpraxis, im Krankenhaus oder bei einem anderen Leistungserbringer (Näheres hierzu in Kapitel 6.3). Grundsätzlich können Sie diese Art der Berechtigungsvergabe vor Ort auch nutzen, wenn Sie über die ePA-Anwendung auf Ihre ePA zugreifen, etwa um eine Leistungserbringereinrichtung spontan zu berechtigen.

F. 4.3 Zu welchen Kategorien kann ich Dokumente in der ePA speichern?

Die ePA bietet die Möglichkeit, Dokumente verschiedener Kategorien zu speichern. Die Kategorien werden dabei direkt bei der Speicherung von Dokumenten automatisch durch das Aktensystem vergeben. Folgende Unterscheidungen sind möglich:
•    Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichte und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen getrennt nach folgenden Bereichen:
- Hausarzt
- Krankenhaus
- Labor und Humangenetik
- Physiotherapie
- Psychotherapie
- Dermatologie
- Urologie/Gynäkologie
- Zahnheilkunde und Mund-Kiefer-Gesichtschirurgie
- weitere fachärztliche Bereiche
- weitere nicht-ärztliche Berufe
•    Daten des elektronischen Medikationsplans
•    Daten des elektronischen Notfalldatensatzes
•    elektronische Arztbriefe
•    elektronisches Zahn-Bonusheft („eZahnbonusheft“)
•    Daten zur Früherkennung von Krankheiten bei Kindern (elektronisches Untersuchungsheft für Kinder, „eUntersuchungsheft“)
•    Daten über die ärztliche Betreuung während der Schwangerschaft und nach der Entbindung (elektronischer Mutterpass, „eMutterpass“)
•    elektronische Impfdokumentation („eImpfdokumentation“)
•    Ihre in die ePA übernommen Daten aus einer von den Krankenkassen nach § 68 SGB V finanzierten elektronischen Gesundheitsakte
•    von Ihnen selbst zur Verfügung gestellte Gesundheitsdaten
•    elektronische Rezepte und Informationen zu deren Einlösung
•    sonstige Dokumente

F. 4.4 Kann ich Vertraulichkeitsstufen für Dokumente festlegen?

Für jedes in die ePA eingestellte Dokument können Sie eine Vertraulichkeitsstufe festlegen. Die von Ihnen, Ihren Leistungserbringern oder Ihrer Krankenkasse in die ePA eingestellten Dokumente sind nach dem Einstellen zunächst standardmäßig der Vertraulichkeitsstufe „normal“ zugeordnet (Näheres dazu in Kapitel 6.3). Über Ihre ePA-Anwendung können Sie den Dokumenten selbstständig die Stufen „vertraulich“ oder „streng vertraulich“ zuweisen. Sollten Sie direkt beim Einstellen von Dokumenten in die ePA durch den Leistungserbringer eine höhere Vertraulichkeitsstufe wünschen, so kann dieser das auch direkt bei der Ablage in der ePA berücksichtigen. Bitte sprechen Sie das gegenüber Ihrem Leistungserbringer an.
Sowohl die Dokumentenkategorie als auch die Vertraulichkeitsstufe spielen bei der Vergabe von Berechtigungen eine wichtige Rolle (weitere Informationen zum Erteilen einer Berechtigung finden Sie in Kapitel 6.4).

F. 5 Wer hat wie Zugriff auf die elektronische Patientenakte?

Auf die elektronischen Patientenakte (ePA) können Sie selbst, sofern Sie die ePA-Anwendung nutzen, sowie auch Mitarbeitende der von Ihnen berechtigten Leistungserbringereinrichtungen zugreifen, z. B. Ihre Hausärztin bzw. Ihr Hausarzt sowie deren medizinische Fachangestellte. In welcher Art und Weise der Zugriff der berechtigten Leistungserbringereinrichtungen erfolgen kann, wird Ihnen in den Kapiteln 6.2, 6.3 und 6.4 erläutert.

Die Berechtigung für den Zugriff auf Ihre ePA erteilen Sie stets den Leistungserbringereinrichtungen, und nicht nur einzelnen Personen wie z. B. der behandelnden Ärztin bzw. dem behandelnden Arzt. Bei größeren Leistungserbringereinheiten wie beispielsweise einem Medizinischen Versorgungszentrum oder einem Krankenhaus kann dies bedeuten, dass neben Ihrer behandelnden Ärztin oder Ihrem Arzt eine Vielzahl weiterer Personen des medizinischen Fachpersonals der gleichen Leistungserbringereinheit rein technisch auf die Daten zugreifen können. Ein Zugriff darf jedoch nur erfolgen, soweit dies tatsächlich zu Behandlungszwecken erforderlich ist. Überdies ist jede Leistungserbringereinrichtung gesetzlich verpflichtet, zu protokollieren, wer wann, auf welche Daten Ihrer ePA zugegriffen hat.

Mit der Zugriffsberechtigung auf die ePA willigen Sie automatisch in die Verarbeitung Ihrer persönlichen Daten durch die jeweilige Leistungserbringereinrichtung ein. Dazu nutzen Sie die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung. Sie können den Zugriff aber auch direkt vor Ort, in der Praxis oder im Krankenhaus, mithilfe Ihrer elektronischen Gesundheitskarte (eGK) und der zugehörigen PIN auf den vor Ort verfügbaren Geräten gewähren. Solche Geräte, wie z. B. das Kartenterminal, sind von der Gesellschaft für Telematik (gematik) geprüft und zugelassen.
Zudem kann Ihre Krankenkasse – nachdem Sie sie dazu aufgefordert und berechtigt haben – Daten zu von Ihnen in Anspruch genommenen Leistungen in der ePA ablegen. Diese Daten umfassen z. B. Diagnosen, eingelöste Rezepte u. Ä. Wie bei einer Leistungserbringereinrichtung können Sie auch Ihrer Krankenkasse eine einmal erteilte Zugriffsberechtigung jederzeit wieder entziehen. Die Beauftragung und Berechtigung der Krankenkasse zur Übermittlung der Leistungsauskunft sowie die Beendigung können Sie direkt über die ePA-Anwendung veranlassen. Ein Zugriff auf die Daten in der ePA ist für die Krankenkasse damit nicht verbunden.

Neben Leistungserbringereinrichtungen können Sie auch Personen, denen Sie besonders vertrauen, zum ePA-Zugriff berechtigen. Dies sind die sogenannten Vertreterinnen bzw. Vertreter. Ihre Vertretung hat grundsätzlich die gleichen Zugriffsmöglichkeiten wie Sie selbst, kann Leistungserbringereinrichtungen Zugriffe gewähren oder entziehen und die Krankenkassen zur Datenbereitstellung auffordern. Ihre Vertretung kann Ihre ePA jedoch weder löschen noch weitere Vertreterinnen oder Vertreter benennen bzw. Vertretungen widerrufen (weitere Informationen zu Vertretungsregelungen finden Sie in Kapitel 8).

F. 5.1 Welche rechtlichen Vorgaben für Leistungserbringer gibt es?

Auch wenn Sie eine Berechtigung erteilt haben, darf ein Leistungserbringer (bzw. das medizinische Personal der Leistungserbringereinrichtung) nur auf Daten in Ihrer persönlichen ePA zugreifen, wenn dieser Leistungserbringer in Ihre Behandlung eingebunden ist und wenn die Daten aus Ihrer ePA für Ihre Versorgung erforderlich sind. Dies ist darin begründet, dass rechtlich zwischen der technischen Erteilung einer Zugriffsberechtigung und der „Erlaubnis“ zur Datenverarbeitung, der sogenannten Einwilligung, zu unterscheiden ist. Selbst wenn Sie eine technische Berechtigung für einen Leistungserbringer erteilt haben, der nicht in Ihre Behandlung eingebunden ist, darf dieser nicht ohne Weiteres auf Ihre ePA-Daten zugreifen. Denn der Zugriff setzt eine rechtsgültige Einwilligung voraus. Diese muss freiwillig, für einen konkreten Fall, nach ausreichender Information der bzw. des Betroffenen und unmissverständlich abgegeben werden.
Sie können gegenüber einer Leistungserbringereinrichtung die Einwilligung in die Verarbeitung Ihrer in der ePA gespeicherten Daten jederzeit widerrufen. Dies können Sie in der von Ihrer Krankenkasse zur Verfügung gestellten ePA-Anwendung durchführen. Falls Sie die ePA-Anwendung nicht nutzen, können Sie der betroffenen Leistungserbringereinrichtung diese Rechte beispielsweise bei Ihrem nächsten Besuch in der Praxis entziehen, indem Sie eine neue Berechtigung mit einer Dauer von einem Tag erteilen. Mit Ablauf des eingestellten Tages kann nicht länger auf die ePA zugegriffen werden.

Für einige Leistungserbringer hat der Gesetzgeber festgelegt, dass sie grundsätzlich nur bestimmte Informationen in Ihrer ePA einsehen dürfen. Über diese gesetzlich festgelegten Zugriffsrechte hinaus können Sie keine Berechtigung zum Zugriff erteilen. Zum Beispiel darf eine Apothekerin bzw. ein Apotheker keine Daten aus Ihrem elektronischen Zahn-Bonusheft einsehen. Sie können der Apothekerin bzw. dem Apotheker deshalb auch keinen Zugriff auf Ihr elektronisches Zahnbonusheft erlauben.

F. 5.2 Welcher Leistungserbringer darf auf welche Daten in der ePA zugreifen?

Welcher Leistungserbringer auf welche Daten zugreifen darf, hat der Gesetzgeber detailliert in § 352 SGB V geregelt. Diese Regelungen haben wir für Sie in der Tabelle in diesem Kapitel zusammengefasst.

Natürlich ist der Zugriff auf die Daten in Ihrer ePA immer nur unter der Voraussetzung möglich, dass Sie die jeweilige Leistungserbringereinrichtung dazu berechtigt haben und diese an die TI angeschlossen ist. Wichtig ist, dass Sie bei Vergabe der Berechtigungen an Ihre behandelnden Leistungserbringer die Berechtigungen im Vergleich zur Tabelle weiter einschränken können. Die Vergabe von über die in der Tabelle dargestellten hinausgehenden Berechtigungen durch Sie ist entsprechend den gesetzlichen Vorgaben jedoch nicht zulässig.
Anhand der im Kapitel 6.3 und 6.4 dargestellten Möglichkeiten können Sie auf Wunsch genau kontrollieren, welche der an Ihrer Behandlung beteiligten Leistungserbringereinrichtungen auf welche in Ihrer ePA gespeicherten Daten zugreifen darf. So können Sie beispielsweise Befunde, die Sie als besonders vertraulich einstufen, nur mit der Hausarztpraxis teilen und vor dem Zugriff anderer an Ihrer Behandlung beteiligter Leistungserbringereinrichtungen verbergen.

Ein auslesender Zugriff (d. h. ein Kreuz in der Spalte „Auslesen“) bedeutet dabei immer, dass die Daten aus der ePA heruntergeladen und in die Behandlungsdokumentation des jeweiligen Leistungserbringers übernommen werden können. Auch bei einem Entzug der Berechtigung bleiben Daten, die Leistungserbringer in ihre Behandlungsdokumentation übernommen haben, für die ehemals berechtigte Leistungserbringereinrichtung verfügbar. Der Grund dafür ist, dass sie die Daten durch die Übernahme aus der ePA heruntergeladen und eine eigene Kopie der Daten erstellt haben. Dies ist aus rechtlicher Sicht erforderlich, da Leistungserbringer ihre Behandlung medizinisch vollständig dokumentieren müssen.

Beispiel 1: Die dargestellte Tabelle zeigt Ihnen, dass beispielsweise Ärztinnen und Ärzte sowie das Personal in ärztlichen Leistungserbringereinrichtungen - ohne weitere Einschränkungen bei Ihrer Berechtigungsvergabe - auf alle Daten von Leistungserbringern schreibend, auslesend und löschend zugreifen können. Auf Daten, die von Ihnen oder von weiteren Anbietern bereitgestellt werden, können an Ihrer Behandlung beteiligte Ärztinnen und Ärzte nur auslesend sowie zum Löschen zugreifen.

Beispiel 2: Apothekerinnen und Apotheker (sowie das Personal der Apotheke) haben - ohne weitere Einschränkungen bei Ihrer Berechtigungsvergabe - auf den elektronischen Medikationsplan, die elektronische Impfdokumentation sowie Verordnungsdaten und Dispensierinformationen von Rezepten schreibenden Zugriff, d. h., sie können diese Daten in Ihrer ePA anlegen und aktualisieren. Auf alle anderen Dokumente können berechtigte Apothekerinnen und Apotheker sowie das Apothekenpersonal ausschließlich auslesend zugreifen.

Beispiel 3: Heilmittelerbringer inkl. Personal wie z. B. Physiotherapeutinnen und Physiotherapeuten können mit Ausnahme der Impfdokumentation bei entsprechender Vergabe der Berechtigungen alle Daten in der ePA auslesen. Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen können von Physiotherapeutinnen und Physiotherapeuten geschrieben werden. Auch das Löschen ist möglich. Schreiben und Löschen können Physiotherapeutinnen und Physiotherapeuten aber nur solche Daten, die sie selbst oder andere Physiotherapeutinnen und Physiotherapeuten in Ihre Akte eingestellt haben.

F. 5.3 Wie funktioniert die Erteilung von Berechtigungen konkret?

Mit der von Ihrer Krankenkasse bereitgestellten ePA-Anwendung können Sie Ihre ePA bequem verwalten. Dort stellen Sie ein, wer welche Daten in Ihrer ePA einsehen kann. Sie bestimmen auch, wie lange Sie den Zugriff erlauben wollen. Voreingestellt sind sieben Tage. Sie können dabei eine Dauer von einem Tag bis „unbegrenzt“ wählen. Nach Ablauf der von Ihnen gewählten Zeit endet die Berechtigung für die jeweilige Leistungserbringereinrichtung automatisch. Sie kann die Dokumente dann nicht mehr in der ePA einsehen. Für die Praxisdokumentation lokal heruntergeladene Kopien sind allerdings für den Leistungserbringer weiterhin verfügbar. Grundsätzlich können Sie einmal erteilte Berechtigungen jederzeit wieder entziehen. Wenn Sie Hilfe bei der Bedienung der ePA-Anwendung brauchen, hilft Ihnen Ihre Krankenkasse gerne weiter.

Wenn Sie keine ePA-Anwendung nutzen oder wenn Sie Ihr Endgerät z. B. beim Arztbesuch einmal nicht zur Hand haben, können Sie trotzdem Zugriffe auf Ihre ePA erlauben. Dazu benötigen Sie Ihre eGK und die dazugehörige PIN (persönliche Identifikationsnummer). Der Vorgang funktioniert ähnlich wie das Bezahlen mit Bankkarte und PIN im Supermarkt. Die eGK wird in einem Lesegerät beim Leistungserbringer eingelesen. Anschließend geben Sie Ihre PIN ein und bestätigen so, welche Daten die Leistungserbringereinrichtung einsehen darf. Die Vergabe von Berechtigungen auf Kategorienbasis (mittelgranular) bei der Leistungserbringereinrichtung überschreibt feingranulare Berechtigungsvergaben aus dem Frontend der bzw. des Versicherten, falls solche schon erfolgt sind. Sollten Sie die PIN nutzen wollen, aber noch keine erhalten haben, wenden Sie sich bitte an Ihre Krankenkasse.

F. 5.4 Wie berechtige ich eine an meiner Behandlung beteiligte Leistungserbringereinrichtung konkret?

Die Mitarbeitenden einer Leistungserbringereinrichtung können auf die Daten, die in Ihrer persönlichen ePA gespeichert sind, erst dann zugreifen, wenn Sie der Einrichtung hierzu eine Berechtigung erteilt haben. Das Erteilen der Berechtigung über die ePA-Anwendung oder das Kartenterminal in der Arztpraxis oder im Krankenhaus entspricht der Einwilligung in die Datenverarbeitung. Sämtliche Berechtigungen, die Sie erteilen, werden in Ihrer ePA gespeichert. Mithilfe der von der Krankenkasse bereitgestellten ePA-Anwendung können Sie diese jederzeit einsehen und bei Bedarf anpassen.
Wen Sie berechtigen dürfen, regelt der Gesetzgeber in § 352 SGB V (vgl. Kapitel 6.2). Dort werden die Einrichtungen und Personengruppen genannt. Die im Folgenden genannten Personengruppen sind bereits an die Telematikinfrastruktur (TI) angeschlossen:
•    Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Psychotherapeutinnen und Psychotherapeuten sowie Angestellte dieser Berufsgruppen
•    Apothekerinnen und Apotheker sowie Personen, die bei diesen beschäftigt sind
•    Krankenhäuser

Die nachfolgenden Gruppen werden Schritt für Schritt an die TI angeschlossen, sodass Sie ihnen dann auch eine Zugriffsberechtigung erteilen können:
•    Gesundheits- und Krankenpflegerinnen und -pfleger, Gesundheits- und Kinderkranken-pflegerinnen und -pfleger, Altenpflegerinnen und -pfleger, Pflegefachfrauen und Pflege-fachmänner sowie deren Helferinnen und Helfer, die in die medizinische oder pflegerische Versorgung der Versicherten eingebunden sind
•    Hebammen, Entbindungspfleger und Physiotherapeutinnen und -therapeuten sowie deren angestellte Helferinnen und Helfer sowie Auszubildende
•    Ärztinnen und Ärzte sowie andere Personen, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, soweit dies zur Erfüllung ihrer Aufgaben nach dem Infektionsschutzgesetz erforderlich ist
•    Fachärztinnen und Fachärzte für Arbeitsmedizin sowie Betriebsärztinnen und Betriebsärzte

F. 5.4.1 Wie erteile ich Berechtigungen in der ePA-Anwendung?

Sie haben die Möglichkeit, den Zugriff auf die ePA mittels verschiedener Berechtigungen zu steuern. Dazu stehen ihnen die folgenden Möglichkeiten zur Verfügung.

Grobgranulare Erteilung von Berechtigungen
Über die Erteilung von Berechtigungen in der ePA-Anwendung steuern Sie, welche Leistungserbringereinrichtung auf welche Dokumente zugreifen kann. Eine Möglichkeit ist die Steuerung anhand der bereits genannten Kategorien. In diesem Fall berechtigen Sie Leistungserbringereinrichtungen dazu, auf eine oder mehrere Kategorien zuzugreifen (Näheres dazu in Kapitel 5.3). Die Mitarbeitenden einer Leistungserbringereinrichtung erhalten dann Zugriff auf die Dokumente in der Vertraulichkeitsstufe „normal“, sofern Sie nichts anderes festlegen (vgl. Kapitel 5.4). 

Mittelgranulare Erteilung von Berechtigungen
Weitere Möglichkeiten der Zugriffssteuerung über die ePA-Anwendung ergeben sich durch die Auswahl einer Kategorie in Kombination mit einer Vertraulichkeitsstufe. Dies können die Vertraulichkeitsstufen „normal“ oder „vertraulich“ sein. Im Zuge der Berechtigung einer Leistungserbringereinrichtung legen Sie fest, auf welche Dokumentenkategorie mit welcher Vertraulichkeitsstufe der Zugriff gewährt werden soll. Die Erteilung von Zugriffen auf Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ ist damit nicht möglich.
Feingranulare Erteilung von Berechtigungen
Die feinste Abstufung hinsichtlich der Zugriffsrechte in der Anwendung erhalten Sie, indem Sie auf Ebene einzelner Dokumente bestimmen, wer darauf zugreifen darf. Dadurch können Sie beispielsweise Zugriff auf Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ gewähren. 

Zusammenfassend
Die grobgranulare Berechtigungsvergabe bezeichnet die Erteilung von Berechtigungen auf Basis der Kategorien. Bei der mittelgranularen Berechtigungsvergabe erteilen Sie Berechtigungen auf eine der in Kapitel 5.3 genannten Kategorien und Bereiche in Kombination mit den Vertraulichkeitsstufen „normal“ oder „vertraulich“. Bei der feingranularen Berechtigungsvergabe berechtigen Sie auf Basis eines einzelnen Dokuments. Dokumente, die Sie mit der Vertraulichkeitsstufe „streng vertraulich“ versehen haben, können Sie nur mithilfe der feingranularen Berechtigungsvergabe Ihren Leistungserbringern zugänglich machen.

Die Möglichkeiten der grob- und mittelgranularen Berechtigungsvergabe stehen Ihnen sowohl in der ePA-Anwendung als auch beim Leistungserbringer zur Verfügung. Feingranulare Berechtigungen können Sie ausschließlich in der ePA-Anwendung vergeben.

Zudem können Sie in der ePA-Anwendung auch festlegen, welche Vertraulichkeitsstufe eingestellte Dokumente standardmäßig bekommen sollen. Diese gilt dann für alle von Ihren Leistungserbringern oder Ihnen selbst eingestellten Dokumente. Selbstverständlich können Sie diese Voreinstellung beim Einstellen eines Dokuments auch individuell überschreiben, indem Sie eine andere Vertraulichkeitsstufe wählen. Außerdem können Sie in Ihrer ePA-Anwendung die Vertraulichkeitsstufe eines Dokuments jederzeit ändern.
Wenn Sie eine Berechtigung erteilen, legen Sie in der ePAAnwendung auch fest, wie lange diese gelten soll. Sie haben die Wahl zwischen einer Berechtigungsdauer von mindestens einem Tag bis unbegrenzt.

F. 5.4.2 Wie erteile ich Berechtigungen ohne die ePAAnwendung, wenn ich z. B. beim Leistungserbringer vor Ort bin oder die ePA-Anwendung nicht nutze?

Ohne ePA-Anwendung können Sie Berechtigungen direkt vor Ort in der Leistungserbringereinrichtung erteilen. Sprechen Sie dazu das Personal der Einrichtung an und teilen Sie mit, für welche Kategorie (vgl. Kapitel 5.3 und für welchen Zeitraum Sie Berechtigungen erteilen möchten.

Zur Kontrolle der Erteilung der Berechtigungen zeigt Ihnen das Kartenterminal des Leistungserbringers die von ihm angeforderten Berechtigungen Schritt für Schritt an. Zur Erteilung der Berechtigung bestätigen Sie diese auf dem Kartenterminal. Durch diesen Prozess haben Sie auch in der Leistungserbringerumgebung die Kontrolle darüber, wen Sie zu welchem Zugriff berechtigen. Bitte denken Sie daran, dass Sie zur Erteilung von Berechtigungen in der Arztpraxis Ihre eGK und die zugehörige PIN benötigen.

Bitte beachten Sie, dass Sie bei einer in der Leistungserbringereinrichtung direkt vor Ort erteilten Zugriffsberechtigung ausschließlich Berechtigungen für die Vertraulichkeitsstufen „normal“ und „vertraulich“ erteilen können. Eine Erteilung von Berechtigungen für Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ ist vor Ort beim Leistungserbringer nicht möglich. Dies dient dem Schutz Ihrer als „streng vertraulich“ gekennzeichneten Daten.

F. 6 Wer muss Daten in meine elektronische Patientenakte einstellen, wenn ich es wünsche?

Die elektronische Patientenakte (ePA) lebt davon, dass in ihr möglichst viele Ihrer Gesundheitsdaten abgelegt sind – erst dann entfaltet sie für Sie und Ihre behandelnden Ärztinnen und Ärzte den vollen Mehrwert. Neben den Daten, die Sie selbst einspeisen, kommt es dabei natürlich auch ganz entscheidend auf die Daten an, die im Rahmen Ihrer Behandlungen bei Ärztinnen bzw. Ärzten oder im Krankenhaus erhoben werden.

Sie haben gegenüber Ihren behandelnden Ärztinnen und Ärzten sowie anderen Leistungserbringern einen Anspruch darauf, dass die im Rahmen der Behandlung anfallenden Daten an Ihre ePA übermittelt und darin gespeichert werden. Zuvor müssen Sie allerdings eine Berechtigung zum Zugriff auf Ihre ePA erteilt haben (siehe hierzu Kapitel 6.4).

Zudem haben Sie einen Anspruch darauf, dass Ihre behandelnden Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte sowie Psychotherapeutinnen und -therapeuten Sie bei der Erstbefüllung der ePA unterstützen. Die Unterstützungsleistung umfasst die Übermittlung medizinischer Daten an die ePA und ist auf medizinische Daten aus der konkreten aktuellen Behandlung beschränkt.
Darüber hinaus können Sie von Ihren Ärztinnen und Ärzten, Zahnärztinnen und Zahnärzten oder Apothekerinnen und Apothekern die Speicherung der Daten aus dem Notfalldatensatz und des elektronischen Medikationsplans verlangen. Ändert sich etwas in Ihrem Medikationsplan oder in Ihrem Notfalldatensatz, haben Sie das Recht, dass Ihre Ärztin bzw. Ihr Arzt diese Daten sowohl in der ePA als auch auf der elektronischen Gesundheitskarte (eGK) aktualisiert. Sprechen Sie Ihre Ärztin bzw. Ihren Arzt darauf an, wenn Sie hierzu Fragen haben.

Ab dem 1. Januar 2022 haben Sie das Recht, dass an Ihrer Behandlung beteiligte Leistungserbringer weitere medizinische Informationen in strukturierter Form in der ePA speichern. Dies sind folgende:
•    das eZahnbonusheft
•    das eUntersuchungheft für Kinder
•    der eMutterpass
•    die Impfdokumentation
•    Verordnungsdaten und EinlöseInformationen zu Ihren eRezepten

Sie haben außerdem das Recht, von Ärztinnen und Ärzten sowie anderen Leistungserbringern die Löschung von Dokumenten und Daten zu verlangen, die diese in Ihre ePA hochgeladen haben.
Neben dem Anspruch gegenüber Leistungserbringern können Sie auch von Ihrer Krankenkasse verlangen, dass Daten zu von Ihnen in Anspruch genommenen Leistungen in die ePA eingestellt werden. Dazu gehören auch Informationen zu Diagnosen und Medikamenten, die Ihre Krankenkasse im Rahmen der Abrechnung der an Ihrer Behandlung beteiligten Leistungserbringer erhält. Bitte beachten Sie, dass diese Informationen Ihrer Krankenkasse erst mit erheblichem zeitlichen Verzug vorliegen. Um Ihrer Krankenkasse die Datenbereitstellung zu ermöglichen, müssen Sie gegenüber der Krankenkasse in die Datenbereitstellung einwilligen sowie die entsprechende Berechtigung zum Zugriff auf die ePA erteilen. Nur dann kann Ihre Krankenkasse ausschließlich zur Ablage dieser Informationen auf Ihre ePA zugreifen.

F. 7 Ich benötige Unterstützung bei der Nutzung der elektronischen Patientenakte. Was kann ich tun?

Der Gesetzgeber sieht vor, dass Sie über die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung Vertreterinnen bzw. Vertreter für die Handhabung Ihrer elektronischen Patientenakte (ePA) berechtigen können. Diese haben dann annähernd die gleichen Rechte wie Sie selbst. Ihre Vertreterinnen und Vertreter können aber keine weiteren Vertretungen benennen und sind nicht befugt, die Akte zu schließen. Ihre Vertretung kann beispielsweise Zugriffsrechte an Leistungserbringereinrichtungen (Ärzte- und Zahnärzteschaft, Krankenhäuser, Apotheken u. a.) vergeben und die in Ihrer Akte gespeicherten Dokumente einsehen. Es ist daher wichtig, dass Sie diese verantwortungsvolle Aufgabe nur an Personen übertragen, denen Sie vollständig vertrauen und denen Sie beispielsweise auch eine Vorsorgevollmacht erteilen würden. Vertretungen können – anders als Berechtigungen für Leistungserbringereinrichtungen – nicht zeitlich befristet vergeben werden und laufen daher nicht ab. Sie müssen Ihre Vertreterin bzw. Ihren Vertreter daher aktiv über die ePA-Anwendung Ihrer Krankenkasse von der Vertretung entbinden. Ihre Krankenkasse erläutert Ihnen die Möglichkeit und das Verfahren zur Vergabe von Vertretungsberechtigungen noch einmal genauer.

F. 8 Ich möchte eine elektronische Patientenakte führen, aber keine ePA-Anwendung nutzen. Was bedeutet das für mich?

Die Nutzung der elektronischen Patientenakte (ePA) ist auch ohne die von der Krankenkasse bereitgestellte ePA-Anwendung und ohne Vertretungsperson möglich. Allerdings ergeben sich dann einige Veränderungen, die auch Auswirkungen auf die Wahrnehmung Ihrer Rechte als datenschutzrechtlich betroffene Person haben.

Wenn Sie die ePA-Anwendung nicht nutzen, haben Sie keine Möglichkeit, Einsicht in Ihre in der ePA gespeicherten Daten zu nehmen. Dies umfasst neben den Dokumenten auch die erteilten Berechtigungen sowie die Zugriffsprotokolle, in denen die ePA aufzeichnet, wer wann welche Interaktionen mit Ihrer Akte bzw. den darin gespeicherten Daten vorgenommen hat. Die Krankenkassen haben weder die gesetzliche Befugnis noch die Möglichkeiten, die Daten der ePA auszulesen.

Zudem haben Sie keine Möglichkeit, Daten selbstständig in der ePA zu speichern. Dokumente können ausschließlich durch die von Ihnen berechtigten Leistungserbringereinrichtungen in die ePA eingestellt werden. Gleiches gilt für die Löschung: Nur berechtigte Leistungserbringereinrichtungen können in Ihrem Auftrag Dokumente aus der ePA löschen. Somit haben Sie auch keine Möglichkeit zur Erstellung einer Sicherheitskopie auf Ihrem eigenen Endgerät. Dies betrifft sowohl die Dokumente als auch die Protokolle (vgl. Kapitel 4.4).
Die Berechtigung für Leistungserbringereinrichtungen erteilen Sie ohne ePA-Anwendung ausschließlich direkt beim Leistungserbringer mithilfe Ihrer elektronischen Gesundheitskarte (eGK) und Ihrer PIN im Dialog mit dem Praxispersonal.

Um einer berechtigten Leistungserbringereinrichtung auch ohne ePA-Anwendung den Zugriff zu entziehen, bestehen folgende Optionen:
•    Da rechtlich die Einwilligung unabhängig von der technischen Berechtigungsvergabe widerrufen werden kann, können Sie diese unabhängig von den Zugriffsrechten gegenüber dem jeweiligen Leistungserbringer widerrufen. Da Sie die Berechtigung nicht selbstständig entziehen können, ist es möglicherweise hilfreich, die Berechtigung zeitlich begrenzt in der Arztpraxis oder dem Krankenhaus zu vergeben.
•    Um auch technisch sicherzustellen, dass der betroffene Leistungserbringer keine Möglichkeit zum Zugriff auf Ihre Daten mehr hat, können Sie beispielsweise bei Ihrem nächsten Besuch bei dem Leistungserbringer, dem Sie die Berechtigung entziehen wollen, die Berechtigung neu vergeben und die Mindestgültigkeitsdauer für Berechtigungen von einem Tag wählen. Mit Ablauf des Tages kann der Leistungserbringer nicht mehr auf die in der ePA gespeicherten Daten zugreifen. Wie bei der Berechtigungsverwaltung mit der ePA-Anwendung auch behält der Leistungserbringer sämtliche aus der ePA heruntergeladenen Daten jedoch in seinem IT-System.
Eine Übernahme der Daten bei Wechsel der Krankenkasse ist in der ePA nur über die ePA-Anwendung möglich. Wenn Sie weder eine ePA-Anwendung noch eine Vertretung nutzen, besteht beim Wechsel der Krankenkasse somit für Sie keine Möglichkeit der Datenübernahme.

F. 9 Was wird mit meiner elektronischen Patientenakte in Zukunft außerdem möglich sein?

Einige Nutzungsmöglichkeiten der elektronischen Patientenakte (ePA) werden nach und nach hinzukommen. Dieses Informationsdokument wird rechtzeitig aktualisiert zur Verfügung gestellt, sodass Sie sich über die neuen Funktionen umfassend informieren können. Im Folgenden geben wir Ihnen einen Überblick, was im späteren Verlauf zusätzlich mit Ihrer ePA möglich sein wird.

F. 9.1 Neue Merkmale der ePA ab 1. Juli 2022

Ab 1. Juli 2022 erhalten Sie nach aktuellem Willen des Gesetzgebers die Möglichkeit, Ihre Erklärung zur Organspende im Organspende-Register über Ihre ePA-Anwendung abzugeben. Die Erklärung als solche wird nicht in der ePA gespeichert, sondern in dem dafür vorgesehenen Register abgelegt. Weitere Informationen zur Organ- und Gewebespende erhalten Sie auf der Website des Bundesministeriums für Gesundheit: https://www.bundesgesundheitsministerium.de/themen/praevention/organspende.html

F. 9.2 Neue Merkmale der ePA ab 1. Januar 2023

F.9.2.1.    Unterstützung weiterer Dokumentenformate

Die ePA wird mit Beginn des Jahres 2023 noch einmal um die folgenden digitalen Dokumentenformate erweitert, die in Ihrer Akte auf Ihren Wunsch hin gespeichert werden können:
•    Daten zur pflegerischen Versorgung
•    elektronische Bescheinigungen über eine Arbeitsunfähigkeit
•    Daten aus Digitalen Gesundheitsanwendungen (DiGA)

F. 9.2.2 Möglichkeit der Freigabe der Daten für die Forschung

Die in Ihrer ePA gespeicherten Gesundheitsdaten können Sie in Zukunft zudem auch für Forschungszwecke zur Verfügung stellen. Die Datenbereitstellung ist dabei entsprechend den gesetzlichen Vorgaben selbstverständlich freiwillig und in pseudonymisierter Form möglich. Derzeit legt die Gesellschaft für Telematik (gematik) die konkrete Umsetzung unter Einhaltung aller Anforderungen des Datenschutzes fest. Dabei stimmt sie sich eng mit dem Bundesbeauftragten für Datenschutz, dem Bundesamt für Sicherheit in der Informationstechnik, dem Bundesgesundheitsministerium, den Krankenkassen, der Ärzteschaft und den Forschungseinrichtungen ab. Ihre Krankenkasse wird Sie zeitgerecht über die entsprechenden Schritte und Funktionen zur freiwilligen Datenbereitstellung an berechtigte Forschungseinrichtungen informieren.

F. 9.2.3 Nutzung eines Sofortnachrichten-Dienstes über die ePA-Anwendung

Neben der Nutzung für die ePA wird die ePA-Anwendung Ihrer Krankenkasse ab 1. Januar 2023 auch eine Funktion zur sicheren Übermittlung von Sofortnachrichten an Ihre Krankenkasse umfassen und kann – falls die an Ihrer Behandlung beteiligten Leistungserbringer dies wünschen – auch zur Kommunikation mit Ihren Leistungserbringern genutzt werden.

F. 9.2.4 Zugriff auf das nationale Gesundheitsportal

Um Ihnen zusätzliche Informationen für Ihre Gesundheit anzubieten, ist ab 1. Januar 2023 ein direkter Zugriff aus der ePA-Anwendung auf das nationale Gesundheitsportal vorgesehen.

F. 9.3 Neue Merkmale der ePA ab 1. Juli 2023

Ab 1. Juli 2023 sieht der Gesetzgeber vor, dass Sie Ihren elektronischen Medikationsplan, der derzeit auf der elektronischen Gesundheitskarte (eGK) gespeichert wird, online über die ePA-Anwendung einsehen und löschen sowie auch hierfür Zugriffsberechtigungen erteilen können. Gleiches gilt für den derzeit auf der eGK speicherbaren Notfalldatensatz.

Datenschutzhinweise zum Google Remarketing

Diese Website verwendet die Remarketing-Funktion der Google Inc. („Google“). Diese Funktion dient dazu, Besuchern der Website im Rahmen des Google-Werbenetzwerks interessenbezogene Werbeanzeigen zu präsentieren. Der Browser des Websitebesuchers speichert sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die es ermöglichen, den Besucher wiederzuerkennen, wenn dieser Websites aufruft, die dem Werbenetzwerk von Google angehören. Auf diesen Seiten können dem Besucher dann Werbeanzeigen präsentiert werden, die sich auf Inhalte beziehen, die der Besucher zuvor auf Websites aufgerufen hat, die die Remarketing Funktion von Google verwenden. Nach eigenen Angaben erhebt Google bei diesem Vorgang keine personenbezogenen Daten und wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen.

Sollten Sie die Funktion Remarketing von Google dennoch nicht wünschen, können Sie diese grundsätzlich deaktivieren, indem Sie die entsprechenden Einstellungen unter www.google.com/settings/ads vornehmen.

Alternativ können Sie den Einsatz von Cookies für interessenbezogene Werbung über den Cookie-Hinweis der BERGISCHEN deaktivieren.

Weiterführende Informationen zu Google Remarketing und die Datenschutzerklärung von Google können Sie einsehen unter www.google.com/privacy/ads

Datenschutzhinweise zum Besucherinteraktionspixel von Facebook

Mit Ihrer Einwilligung, welche Sie wie folgte erteilt haben „Ich bin mit der Verwendung des Besucheraktions-Pixels von Facebook einverstanden“ im Cookie-Hinweis setzen wir innerhalb unseres Internetauftritts den “Besucheraktions-Pixel” der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA (“Facebook”) ein. So kann das Verhalten von Nutzern nachverfolgt werden, nachdem diese durch Klick auf eine Facebook-Werbeanzeige auf die Website des Anbieters weitergeleitet wurden. Dieses Verfahren dient dazu, die Wirksamkeit der Facebook-Werbeanzeigen für statistische und Marktforschungszwecke auszuwerten und kann dazu beitragen, zukünftige Werbemaßnahmen zu optimieren. 

Die erhobenen Daten sind für uns anonym, bieten uns also keine Rückschlüsse auf die Identität der Nutzer. Allerdings werden die Daten von Facebook gespeichert und verarbeitet, sodass eine Verbindung zum jeweiligen Nutzerprofil möglich ist und Facebook die Daten für eigene Werbezwecke, entsprechend der Facebook- Datenverwendungsrichtlinie (www.facebook.com/about/privacy) verwenden kann. Sie können Facebook sowie dessen Partnern das Schalten von Werbeanzeigen auf und außerhalb von Facebook ermöglichen. Es kann ferner zu diesen Zwecken ein Cookie auf Ihrem Rechner gespeichert werden. Eine Einwilligung in den Einsatz des Besucheraktions-Pixels darf nur von Nutzern, die älter als 13 Jahre alt sind, erklärt werden. Falls Sie jünger sind, bitten wir Sie, Ihre Erziehungsberechtigten um Erlaubnis zu fragen.

Datenschutzhinweise für Videokonferenzen via "Jitsi Meet"

Wir möchten Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von „Jitsi Meet“ informieren.

Zweck der Verarbeitung
Wir nutzen das Tool „Jitsi Meet“, um Telefonkonferenzen, Online-Meetings, Videokonferenzen und/oder Webinare durchzuführen (nachfolgend: „Videokonferenzen“). Bei „Jitsi Meet“ der BERGISCHEN handelt es sich um eine Videokonferenz-Lösung, die unter der „Open Source”-Lizenz entwickelt und in unserem Rechenzentrum auf einem JitsiServer in Deutschland betrieben wird.

Verantwortlicher
Verantwortlicher für Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Durchführung von Videokonferenzen steht, ist DIE BERGISCHE Krankenkasse.
Hinweis: Soweit Sie die Jitsi-App für Android oder iOS herunterladen, ist der Anbieter der App für die Datenverarbeitung im Zusammenhang mit dem Herunterladen der App verantwortlich. Sie können „Jitsi Meet“ auch nutzen, wenn Sie die jeweilige Meeting-ID und ggf. weitere Zugangsdaten zum Meeting direkt über den Web-Client eingeben.

Welche Daten werden verarbeitet? Bei der Nutzung von „JItsi Meet“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme von Videokonferenzen machen.

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:
Angaben zum Benutzer: Vorname, Nachname (sofern bei der Anmeldung angegeben) Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen Um an einer Videokonferenz teilzunehmen bzw. den „Meeting-Raum“ zu betreten, müssen Sie zumindest Angaben zu Ihrem Namen machen.

Umfang der Verarbeitung
Wir verwenden „Jitsi Meet“, um Videokonferenzen durchzuführen. Wenn Sie bei „Jitsi Meet“ als Benutzer registriert sind, dann können Berichte über Videokonferenzen (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) bis maximal 24 Stunden auf unsrem Jitsi-Server gespeichert werden. Jeweils Nachts erfolgt eine vollständige Löschung aller protokollierten Daten.
Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.

Rechtsgrundlagen der Datenverarbeitung
Soweit personenbezogene Daten von Beschäftigten der BERGISCHEN Krankenkasse verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten im Zusammenhang mit der Nutzung von „Jitsi Meet“ personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von „Jitsi Meet“ sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von „Online-Meetings“.
Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von Videokonferenzen Art. 6 Abs. 1 lit. b) DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden. Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von Videokonferenzen.

Empfänger / Weitergabe von Daten
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an Videokonferenzen verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus Videokonferenzen wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.

Datenschutzbeauftragter
Wir haben einen Datenschutzbeauftragten benannt. Sie erreichen diesen wie folgt:
BERGISCHE Krankenkasse, Datenschutz, 42715 Solingen
E-Mail: datenschutz@bergische-krankenkasse.de

Ihre Rechte als Betroffene/r
Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns wenden. Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben. Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht. Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben.

Löschung von Daten
Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren. Die für unser Unternehmen zuständige Datenschutzaufsichtsbehörde ist: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf.

Änderung dieser Datenschutzhinweise
Wir überarbeiten diese Datenschutzhinweise bei Änderungen der Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Internetseite.

Pflichtinformationen gemäß § 343 Absatz 1 SGB V

F. Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V

Einleitung

Dieses Dokument informiert Sie über die elektronische Patientenakte (ePA). Die ePA steht Ihnen seit 2021 als Angebot Ihrer Krankenkasse zur Verfügung. Ob Sie sie nutzen möchten oder nicht, ist allein Ihre freiwillige Entscheidung. Welche Möglichkeiten Ihnen die ePA aktuell bietet und welche in Zukunft stufenweise hinzukommen, möchten wir Ihnen im Folgenden zeigen (nähere Informationen zu den zukünftigen Funktionalitäten der ePA finden Sie in Kapitel 10).
Ihre Krankenkasse aktualisiert diesen Informationstext fortlaufend und setzt Sie rechtzeitig über neue Funktionen der ePA und deren sichere Benutzung in Kenntnis.

F. 1 Was ist die elektronische Patientenakte?

Die elektronische Patientenakte (ePA) ist eine von Ihnen geführte elektronische Akte. In die ePA können Sie und die an Ihrer Behandlung beteiligten Leistungserbringer persönliche Gesundheits- und Krankheitsdaten sicher digital hochladen, speichern, dort lesen, auslesen, verwenden und selbstverständlich auch wieder löschen. Ihre Krankenkasse stellt Ihnen eine ePA-Anwendung in Form einer eigenständigen App, als spezielle Anwendung innerhalb einer bestehenden App Ihrer Krankenkasse oder aber als Desktop-Anwendung zur Verfügung. Wenn Sie die von Ihrer Krankenkasse zur Verfügung gestellte ePA-Anwendung nutzen, haben Sie jederzeit die Möglichkeit, Ihre in die ePA eingestellten Gesundheitsdaten einzusehen.

Die ePA-Anwendung baut über das Internet eine Verbindung zur Telematikinfrastruktur auf, in der die ePA liegt. An dieses Netzwerk sind bzw. werden die verschiedenen Leistungserbringer im deutschen Gesundheitswesen angeschlossen.

Leistungserbringer werden alle Personengruppen und Einrichtungen genannt, die im Rahmen der gesetzlichen Krankenversicherung (GKV) Leistungen erbringen. Hierzu zählen z. B. Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Krankenhäuser und Apotheken. Einrichtungen, in denen Leistungserbringer tätig sind, werden im Folgenden als Leistungserbringereinrichtungen bezeichnet. Dies können Arztpraxen, Apotheken, Krankenhäuser, Medizinische Versorgungszentren und andere Einrichtungen des Gesundheitswesens sein. Aber auch einzelne Organisationseinheiten wie etwa die Abteilung eines Krankenhauses oder eine bestimmte Fachrichtung eines Medizinischen Versorgungszentrums können eine eigene Leistungserbringereinrichtung darstellen.
Die von Ihrer Krankenkasse zur Verfügung gestellte ePA-Anwendung ist sicherheitsgeprüft und von der Gesellschaft für Telematik (gematik) zugelassen. Die ePA-Anwendung lässt sich auf Smartphones und Tablets mit Android- oder iOS-Betriebssystem installieren sowie auf Desktop-Computern und Laptops mit den Betriebssystemen Windows, macOS und Linux. Für die Sicherheit Ihrer Anwendungsumgebung - also Smartphone, PC-Hardware oder Betriebssystem, auf denen die Anwendung installiert wird - sind Sie als Nutzerin bzw. Nutzer selbst verantwortlich (s. 4.7).

Falls Sie kein mobiles Endgerät bzw. keinen PC/Laptop besitzen oder aber die ePA-Anwendung Ihrer Krankenkasse aus anderen Gründen nicht verwenden wollen, können Sie die ePA dennoch nutzen. Allerdings stehen Ihnen in diesem Fall einige Funktionen nur eingeschränkt oder gar nicht zur Verfügung. Beispielsweise können Sie ohne eine ePA-Anwendung keine Dokumente persönlich in die ePA einstellen. Über die Möglichkeiten und Einschränkungen der ePA-Nutzung ohne eine dazugehörige Anwendung informieren wir Sie in Kapitel 9.

In Ihre ePA können Sie selbst mittels der ePA-Anwendung Dokumente hochladen. Oder Sie bitten beispielsweise Ihre behandelnden Ärztinnen und Ärzte in der Praxis oder im Krankenhaus darum, Kopien der relevanten Unterlagen in Ihre Akte zu übertragen. Aus rechtlichen Gründen verbleibt die Originaldokumentation Ihrer Behandlung aber immer bei dem Sie behandelnden Leistungserbringer. Zusätzlich können Sie Ihre Krankenkasse berechtigen, Informationen über von Ihnen in Anspruch genommene Leistungen in die ePA einzustellen. Nur Sie selbst und von Ihnen selbst Berechtigte können in die ePA Einblick nehmen. Die Berechtigung und damit die Einwilligung in die Bereitstellung der Daten kann jederzeit von Ihnen widerrufen werden. In keinem Fall kann die Krankenkasse Informationen in Ihrer Akte einsehen.

F. 2 Wie sicher ist die elektronische Patientenakte?

Die Dokumente in Ihrer Akte sind stets verschlüsselt abgelegt und können nur auf den Endgeräten der von Ihnen berechtigten Personen und Ihren eigenen Endgeräten entschlüsselt werden. Der dazu notwendige (elektronische) Sicherheitsschlüssel ist sicher hinterlegt. Er besteht aus zwei Teilen, die an getrennten Orten aufbewahrt werden: beim Anbieter der elektronischen Patientenakte (ePA) und bei einem zentralen, von der Gesellschaft für Telematik (gematik) bestimmten Schlüsseldienstbetreiber. Für den Zugriff auf die ePA werden beide Schlüsselteile benötigt. Nur Sie und die von Ihnen Berechtigten verfügen über den kompletten Schlüssel - weder der ePA-Anbieter noch der Schlüsseldienstbetreiber, die jeweils nur einen Teil des Schlüssels aufbewahren, können also auf die ePA zugreifen. Der Schlüssel befindet sich bewusst nicht auf Ihrer elektronischen Gesundheitskarte (eGK), damit Sie auch bei einem (geplanten oder ungeplanten) Austausch der eGK weiterhin Zugriff auf Ihre Akte haben.

Damit Sie und die von Ihnen Berechtigten gezielt nach Dokumenten in Ihrer Akte suchen können, werden zusätzliche Informationen über Merkmale Ihrer Dokumente gespeichert - die sogenannten Metadaten. Die Metadaten umfassen z. B. die Autorin bzw. den Autor des Dokuments, deren bzw. dessen Institution, die Fachrichtung, die Dokumentenart (wie beispielsweise elektronischer Arztbrief, elektronischer Medikationsplan oder elektronischer Impfnachweis), technische Informationen zum Dokument (u. a. die im Rahmen der Berechtigungsvergabe genutzte Vertraulichkeitsstufe, die Dokumentengröße und die Dokumenten-ID). Diese Daten verarbeitet das Aktensystem in einer auf höchstem Niveau sicherheitsgeprüften und vertrauenswürdigen technischen Umgebung, auf die weder der Aktenbetreiber noch die Krankenkasse Zugriff haben.

F. 3 Was muss ich grundsätzlich zur elektronischen Patientenakte wissen?

Seit Beginn des Jahres 2021 bieten die Krankenkassen ihren Versicherten elektronische Patientenakten (ePA) an. Welche grundsätzlichen Rechte und Möglichkeiten gehen damit für Sie einher?

F.3.1 Ist die ePA verpflichtend?

Die Nutzung der ePA ist für Sie freiwillig. Entscheiden Sie sich dafür, bedarf es Ihrer Einwilligung in die Datenverarbeitung gegenüber der Krankenkasse. Ihre Einwilligung wird im Rahmen des Antrags zur Einrichtung Ihrer ePA abgefragt – noch bevor die Akte technisch eingerichtet und eröffnet wird.

F. 3.2 Wer bietet die ePA an und betreibt sie?

Die ePA wird von den Krankenkassen zur Verfügung gestellt und Ihnen als Versicherten angeboten. Dabei arbeiten die Krankenkassen mit Industriepartnern zusammen, die die entsprechenden Akten nach den technischen und nicht-technischen Anforderungen, die die Gesellschaft für Telematik (gematik GmbH)  festlegt, entwickeln und betreiben. Alle ePA-Anbieter müssen mit ihrem Aktensystem und den dazugehörigen Versicherten-Apps ein Zulassungsverfahren gegenüber der gematik durchlaufen, bei dem die Einhaltung aller Anforderungen an Funktionalität, Betrieb, Sicherheit und Datenschutz nachgewiesen werden muss.

Ihre Krankenkasse arbeitet mit der Firma BITMARCK-Unternehmensgruppe, Kruppstraße 64, 45145 Essen zusammen, um Ihnen die ePA bereitzustellen.

F. 3.3 Kann ich Dokumente in der ePA oder die ganze Akte löschen?

Das Prinzip der Freiwilligkeit bedeutet natürlich auch, dass Sie jederzeit das Recht haben, die in die Akte eingestellten Dokumente selbst zu löschen oder durch von Ihnen berechtigte Leistungserbringereinrichtungen löschen zu lassen. Einen Löschvorgang könnte auf Ihren ausdrücklichen Wunsch hin z. B. eine Ärztin oder ein Arzt vornehmen, die oder der Sie behandelt. Weitere Informationen finden Sie in Kapitel 6.

F. 3.4 Wie behalte ich den Überblick darüber, wer etwas an meiner Akte geändert hat?

Die ePA zeichnet Vorgänge, die von Ihnen berechtigte Einrichtungen durchführen, in einem Protokoll auf. Dabei unterscheidet die ePA die Protokollierung von Verwaltungsvorgängen – das sogenannte Verwaltungsprotokoll – und Vorgängen, die unmittelbar im Zusammenhang mit Ihren medizinischen Daten stehen – das sogenannte Zugriffsprotokoll.
Wenn Sie die ePA-Anwendung Ihrer Krankenkasse nutzen, stellt Ihnen diese die Inhalte beider Protokolle komfortabel und einheitlich dar, sodass Sie grundsätzlich nicht zwischen beiden Protokollen unterscheiden müssen.

F. 3.4.1 Das Verwaltungsprotokoll

Im Verwaltungsprotokoll speichert die ePA alle Vorgänge, die rein administrativen Charakter haben, die also nicht direkt ein Dokument oder dessen Metadaten betreffen. Dies sind beispielsweise die An- oder Abmeldung berechtigter Benutzerinnen und Benutzer. Ebenso umfasst das Verwaltungsprotokoll den technischen Zeitpunkt der Einrichtung der ePA sowie Einträge bei Schließung der Akte.
Auf die Einträge im Verwaltungsprotokoll kann der Anbieter – im Gegensatz zu den in der ePA abgelegten Daten - grundsätzlich zugreifen. Auf diese Weise kann der Anbieter Sie beispielsweise bei technischen Problemen unterstützen. Der Zugriff auf das Verwaltungsprotokoll ist jedoch nur mit Ihrer Einwilligung zulässig.

Alle Einträge des Verwaltungsprotokolls, die älter als drei Jahre sind, werden automatisch durch das Aktensystem gelöscht. Diese Löschfrist gilt auch, wenn Sie die Akte schließen. Folglich liegen diese Protokolleinträge auch dann noch bis zu drei Jahre vor, wenn Sie die ePA bereits geschlossen haben.

F. 3.4.2 Das Zugriffsprotokoll

Im Zugriffsprotokoll speichert Ihre ePA alle Zugriffe, die in direktem Zusammenhang mit Ihren Dokumenten stehen, z. B. das Aufrufen, Einstellen oder Löschen eines Dokuments. Auch die Erteilung oder der Entzug von Berechtigungen werden hier gespeichert. Einträge im Zugriffsprotokoll sind dabei auf die gleiche Weise geschützt wie die Metadaten zu Ihren Dokumenten (Näheres dazu in Kapitel 4.4. Die Daten werden drei Jahre nach Erstellung des Protokolleintrags tagesgenau automatisiert gelöscht. Dies gilt auch dann, wenn Sie die ePA ganz oder teilweise gelöscht haben.
Wenn Sie die ePA-Anwendung Ihrer Krankenkasse nutzen, stellt Ihnen diese die Inhalte beider Protokolle einheitlich dar, sodass Sie einen Überblick darüber erhalten, wer auf Ihre Akte zugegriffen und wer welche Änderungen an Ihrer Akte vorgenommen hat. Bei Nutzung der ePA-Anwendung haben Sie außerdem die Möglichkeit, die Protokolldaten auf Ihrem eigenen Endgerät zu sichern. Die ePA-Anwendung bietet Ihnen dazu eine entsprechende Funktion an.

F .3.5 Welche Rechte habe ich gegenüber meiner Krankenkasse hinsichtlich der Datenverarbeitungsvorgänge der ePA?

Ihre Rechte gegenüber der Krankenkasse ergeben sich aus den gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Im Sinne dieser Verordnung ist die Krankenkasse „Verantwortlicher“. Sie als Versicherte bzw. Versicherter können gegenüber Ihrer Krankenkasse die „Rechte der betroffenen Person“ nach der DSGVO geltend machen. Hierzu zählt insbesondere, dass die Krankenkassen verpflichtet sind, die Versicherten über die Erhebung von personenbezogenen Daten zu informieren (Art. 13, Art. 14 DSGVO). Ferner haben die Versicherten gemäß DSGVO folgende Rechte:
•    das Recht auf Auskunft, ob und ggf. zu welchem Zweck bestimmte personenbezogene Daten von der Krankenkasse bzw. ihren Auftragnehmern verarbeitet werden (Art. 15 DSGVO)
•    das Recht auf Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO)
•    das Recht auf Löschung personenbezogener Daten (Art. 17 DSGVO)
•    das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
•    das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
•    das Widerspruchsrecht (Art. 21 DSGVO)
Dabei ist zu beachten, dass der Gesetzgeber diese Rechte ausgeschlossen hat, wenn deren Wahrnehmung von der Krankenkasse als datenschutzrechtlich verantwortlicher Stelle nicht oder nur unter Umgehung von Schutzmechanismen, wie insbesondere Verschlüsselung oder Anonymisierung, gewährleistet werden kann. Diese Einschränkung besteht, soweit die Krankenkasse als verantwortliche Stelle aufgrund der bestehenden Verschlüsselungsmechanismen technisch keinen Zugriff auf die in der ePA gespeicherten Daten hat. Für Daten, die nicht Ende-zu-Ende verschlüsselt sind, wie beispielsweise das Verwaltungsprotokoll, sind diese Rechte nicht ausgeschlossen. Dementsprechend kann die Krankenkassen Auskunfts- oder Korrekturbitten seitens der Versicherten zu den in der ePA gespeicherten Daten (z. B. zu Arztbriefen) gar nicht nachkommen. Eine Ausnahme bilden Diagnosen zu in Anspruch genommenen Leistungen der Krankenkassen. Da diese Daten auf Ihren Wunsch hin und mit Ihrer Einwilligung aus den Beständen der Abrechnungsdaten Ihrer Krankenkasse in Ihre ePA eingespielt werden, haben Sie bei diesen Daten die Möglichkeit der Korrektur durch die Krankenkasse. Dazu benötigen Sie vom jeweiligen Leistungserbringer eine Bestätigung der korrekten Diagnose. Über das nähere Verfahren informiert Sie Ihre Krankenkasse.
Die Krankenkasse stellt Ihnen eine ePA-Anwendung zur selbstständigen Wahrnehmung Ihrer Rechte im Sinne der DSGVO zur Verfügung. Allerdings können Sie mithilfe der ePA-Anwendung nicht die von Ihrem Leistungserbringer zur Verfügung gestellten Daten korrigieren. Sollten Korrekturen dieser Daten erforderlich sein, wenden Sie sich bitte an den Sie behandelnden Leistungserbringer. (Beachten Sie in diesem Zusammenhang die Hinweise in den Kapiteln 4.4. und 9)

F. 3.6 Welche Daten tauscht die Krankenkasse mit dem Betreiber der ePA aus?

Um Ihre ePA einzurichten, tauschen die Krankenkasse und der jeweilige Industriepartner administrative personenbezogene Informationen aus. Zudem prüft Ihre Krankenkasse bzw. der Anbieter der ePA anhand Ihrer Krankenversichertennummer, ob bereits eine Patientenakte für Sie existiert. Ein Austausch von personenbezogenen Gesundheitsdaten findet an dieser Stelle nicht statt.

F. 3.7 Was muss ich bei Nutzung der ePA-Anwendung beachten?

Die ePA-Anwendung ermöglicht Ihnen den selbstständigen Zugriff auf Ihre Gesundheitsdaten über Ihre eigenen Endgeräte wie Smartphones, Laptops oder PCs. Ihre jeweilige ePA-Anwendung haben die Krankenkassen nach den Vorgaben der gematik und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellt. Zusätzlich durchläuft jede ePA-Anwendung eine Sicherheitsprüfung. Diese kann nur von Prüfstellen durchgeführt werden, die bei der gematik und dem BSI akkreditiert sind. Um die Sicherheit Ihrer ePA-Daten zu gewährleisten, ist es unabdingbar, dass Sie ausschließlich eine von der gematik zugelassene ePAAnwendung nutzen, die Sie aus einer vertrauenswürdigen Quelle heruntergeladen haben. Vertrauenswürdige Quellen sind der App-Store von Apple für das iOS-Betriebssystem sowie Google Play für Android. Für die Betriebssysteme weiterer Endgeräte (Laptops oder PCs) sind die Stores der Betriebssystemhersteller (z. B. Microsoft oder Apple) oder die Website Ihrer Krankenkasse die vertrauenswürdigen Bezugsquellen. Diesbezüglich sind die Krankenkassen verpflichtet, die datenschutzrechtlichen Vorgaben auch im Hinblick auf die Übermittlung an Drittländer einzuhalten.

Nach der Installation muss Ihre ePA-Anwendung im Rahmen der ersten Nutzung freigeschaltet werden. Hierfür sind grundsätzlich zwei Wege vorgesehen: Der sicherste Weg ist die Freischaltung über Ihre elektronische Gesundheitskarte (eGK) mit NFC-Übertragungsstandard, also mit einer kontaktlosen Schnittstelle, wie sie heute bereits auf vielen EC- und Kreditkarten zu finden ist, und der dazugehörigen PIN, die Sie von Ihrer Krankenkasse erhalten. Zur Nutzung Ihrer eGK an einem stationären Endgerät benötigen Sie in der Regel ein geeignetes Kartenlesegerät, das vom Betriebssystem Ihres Computers unterstützt wird. Dieses können Sie im Einzelhandel (z. B. in Elektronik-Fachgeschäften) auf eigene Kosten erwerben. Eine Erstattung der Kosten durch Ihre Krankenkasse ist nicht möglich. Aufgrund der besonderen Schutzwürdigkeit Ihrer medizinischen Daten in der ePA empfiehlt das BSI die Nutzung eines Kartenlesegeräts ab Sicherheitsklasse 2 (Geräte mit eigener Tastatur, ohne eigene Anzeige) und höher.

Eine weitere Möglichkeit ist die Freischaltung Ihrer ePA über einen von Ihrer Krankenkasse zur Verfügung gestellten alternativen Zugang ohne die eGK. Diese Aktivierung bleibt auch bei einem Wechsel des Endgeräts gültig, also auch dann, wenn Sie Ihre ePA mal über Ihr Smartphone, mal an Ihrem PC nutzen wollen. Die Übermittlung des alternativen Zugangs ohne eGK ist kassenspezifisch. Bei Fragen dazu wenden Sie sich bitte an Ihre Krankenkasse.

Zudem sollten Sie Ihre ePA-Anwendung stets auf Endgeräten betreiben, die unter Ihrer Kontrolle stehen. Der Zugriff auf die ePA über einen öffentlichen PC, z. B. in einem Internet-Café, ist daher unbedingt zu vermeiden! Um die ePA sicher vom eigenen Endgerät aus zu nutzen, müssen Sie zudem für den Schutz Ihrer jeweiligen Endgeräte Sorge tragen. Entsprechende Anweisungen, die Sie hierfür ausführen müssen, finden sich in der Dokumentation der ePA-Anwendung. Ebenso sollten Sie die Empfehlungen des BSI zur Endgerätesicherheit befolgen. Das BSI stellt hierfür ein Informationsangebot im Internet bereit: https://www.bsi-fuer-buerger.de.

F. 3.8 Welche Maßnahmen muss ich bei Verlust oder Verdacht auf Missbrauch der eGK oder der Zugangsdaten für die ePA-Anwendung treffen?

Dem Schutz dieser Zugangswege kommt besonders hohe Bedeutung zu. Bei Verlust oder Verdacht auf Missbrauch der eGK oder des Zugangs für die ePA und die ePA-Anwendung müssen diese umgehend bei der Krankenkasse gesperrt werden, um die Sicherheit der ePA zu gewährleisten. Die Krankenkassen bieten hierfür verschiedene Sperrmöglichkeiten an (z. B. telefonisch oder online).

F. 3.9 Ich will meine Krankenkasse wechseln. Kann ich meine in der ePA gespeicherten Daten einfach mitnehmen?

Die ePA wird Ihnen von Ihrer Krankenkasse angeboten. Sollten Sie die Krankenkasse wechseln und eine ePA auch bei Ihrer neuen Krankenkasse nutzen wollen, so müssen Sie dies gegenüber der neuen Krankenkasse erklären. Ab 1. Januar 2022 besteht die Möglichkeit der verschlüsselten maschinellen Datenübernahme. Dazu müssen Sie grundsätzlich die ePA bei Ihrer Krankenkasse über die ePA-Anwendung in einen Transportzustand versetzen. Dabei verschlüsselt der Aktenbetreiber Ihrer Krankenkasse die Akte so, dass Ihre medizinischen Daten sowie die Metadaten vertraulich vom Aktenbetreiber Ihrer alten zum Betreiber der neuen Krankenkasse übermittelt werden können. In diesem Zustand kann weder ein schreibender noch ein lesender Zugriff auf die Akte erfolgen. In der ePA-Anwendung der neuen Krankenkasse können Sie dann die Datenübernahme aus der alten ePA-Anwendung starten. Das Verfahren stellt dabei sicher, dass die Daten Ihrer alten ePA erst dann gelöscht werden, wenn die Daten vollständig beim Betreiber Ihrer neuen Krankenkasse angekommen sind. Die erteilten Berechtigungen sowie die Vertretungen (weitere Informationen zu Vertretungsregelungen s. Kapitel 8) werden dabei – wenn Sie dies wünschen - ebenfalls übernommen. Bitte beachten Sie, dass Informationen aus kassenspezifischen Anwendungen der ePA möglicherweise nicht automatisch übernommen werden. Entsprechende Daten sollten Sie bei Bedarf selbst sichern, damit diese nach Ihrem Krankenkassenwechsel noch zur Verfügung stehen. Ihre Krankenkasse stellt Ihnen hierfür weitere Informationen zur Datenübernahme beim Wechsel der Krankenkasse bereit.

F. 3.10 Was muss ich tun, wenn ich die ePA nicht mehr will?

Sie haben grundsätzlich und jederzeit die Möglichkeit, Ihre ePA komplett zu schließen, also löschen zu lassen. Dazu müssen Sie die erteilte Einwilligung zur Nutzung der ePA gegenüber Ihrer Krankenkasse widerrufen. Diese Kündigung der ePA bzw. der Widerruf zur Nutzung muss gegenüber Ihrer Krankenkasse in einer geeigneten Form ausgesprochen werden. Dies kann beispielsweise über die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung geschehen. Zum genauen Vorgehen wenden Sie sich an Ihre Krankenkasse.

Von der Löschung betroffen sind alle Inhalte Ihrer Akte - sämtliche Dokumente, erteilte Berechtigungen und Protokolleinträge - mit Ausnahme der Einträge des Verwaltungsprotokolls (Näheres dazu in Kapitel 4.4). Die Verantwortung zur Sicherung der in Ihrer Akte gespeicherten Dokumente obliegt in diesem Fall Ihnen als ePA-Nutzerin bzw. ePA-Nutzer. Wenn Sie bestimmte Dokumente auch nach Schließung Ihrer ePA behalten wollen, müssen Sie diese anderweitig speichern.

Nutzen Sie die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung zum Zugriff auf die ePA, haben Sie die Möglichkeit, die Protokolldaten ebenfalls auf Ihrem eigenen Endgerät zu sichern. Die Anwendung bietet Ihnen dazu eine entsprechende Funktion an. Neben der Sicherung der Dokumente ist auch die Sicherung der Protokolldaten aus Sicht des Datenschutzes sinnvoll, damit Sie später nachvollziehen können, wer Zugriff auf Ihre Akte hatte.

F. 3.11 Habe ich Nachteile bei meiner Gesundheitsversorgung, wenn ich die ePA nicht nutze?

Sollten Sie sich dazu entscheiden, die ePA nicht nutzen zu wollen, entstehen Ihnen hieraus keine Nachteile für Ihre Gesundheitsversorgung. Diese wird auch zukünftig durch die etablierten Verfahren gewährleistet bleiben.

Als Zusatzangebot sorgt die ePA in Zukunft aber für eine gesteigerte Transparenz Ihrer medizinischen Daten. So besitzen Sie im Rahmen einer ePA-Nutzung den Vorteil, die Dokumente, Befunde oder Informationen Ihrer Behandlung digital einsehen und an ausgewählte Leistungserbringer wie Ärztinnen und Ärzte oder Krankenhäuser weitergeben zu können bzw. diesen den Zugriff auf Ihre Daten zu erlauben. Dieser durch Sie initiierte und gesteuerte digitale Datenaustausch kann dabei helfen, Ihre medizinische Versorgung zu verbessern. Durch den Zugriff auf relevante Gesundheitsdaten in Ihrer ePA unterstützen Sie die behandelnden Ärztinnen und Ärzte und andere Leistungserbringer dabei, die bestmögliche therapeutische Entscheidung treffen zu können, unerwünschte Wirkungen abzuwenden sowie unnötige Behandlungen oder Doppeluntersuchungen zu vermeiden.

F. 4 Was kann ich in meiner elektronischen Patientenakte speichern?

In der elektronischen Patientenakte (ePA) können Sie unter Verwendung der von der Krankenkasse bereitgestellten ePA-Anwendung eigene Gesundheitsdaten speichern. Dies können beispielsweise eigenständig geführte Diabetes-Tagebücher sein oder digitalisierte Befunde aus früheren Behandlungen, die Ihnen Ihre Ärztinnen und Ärzte auf Papier bereitgestellt haben, oder aber auch eigene Aufzeichnungen zu Ihrem Gesundheitszustand.
An Ihrer Behandlung beteiligte Ärztinnen und Ärzte können, sofern Sie eine entsprechende Berechtigung erteilen, beispielsweise die folgenden Daten in der ePA ablegen:
•    medizinische Daten Ihrer Behandlung, z. B. Befunde, Diagnosen und Therapiemaßnahmen
•    Arztbriefe, die im Zuge einer (zahn-)ärztlichen Behandlung erstellt wurden
•    elektronischer Medikationsplan oder Notfalldatensatz, falls Sie diese bereits auf Ihrer elektronischen Gesundheitskarte (eGK) nutzen
Gesetzliche Vertreterinnen und Vertreter können auf die Akte der zu vertretenden Person zugreifen. So können Eltern beispielsweise eine ePA ihres mitversicherten Kindes führen.

F. 4.1 Wie melde ich mich bei der ePA an?

Zur Anmeldung bei der ePA nutzen Sie die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung sowie entweder die eGK mit PIN oder, auf Ihren Wunsch hin, ein kassenspezifisches, den Vorgaben der Gesellschaft für Telematik (gematik) entsprechendes alternatives Zugangsverfahren ohne eGK. Ihre Krankenkasse informiert Sie über die jeweiligen Voraussetzungen zur Anmeldung ohne eGK in der ePA-Anwendung auf ihrem Smartphone sowie zur Anmeldung ohne eGK an Ihrem Desktop-PC oder Laptop.
Das jeweilige Sicherheitsniveau der Anmeldung mit und ohne eGK ist unterschiedlich hoch. Höher ist es bei der Anmeldung mit der eGK, in diesem Fall entspricht es einem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten Sicherheitsstandard. Jedoch wird auch das alternative Verfahren ohne eGK für einen Übergangszeitraum vom BSI akzeptiert. Eine entsprechende Zertifizierung gibt es bei der Authentifizierung ohne eGK allerdings nicht. Ihre Kasse informiert Sie umfassend über die zur Verfügung stehenden Möglichkeiten, die potenziellen Risiken und über Wege, diese zu vermeiden. Wenn Sie sich für die Nutzung der alternativen Zugangsmöglichkeit ohne eGK entscheiden, müssen Sie diesen Wunsch explizit gegenüber Ihrer Krankenkasse kommunizieren.

F. 4.2 Was benötige ich zum Zugriff auf meine Daten?

Unabhängig davon, wie Sie sich bei der ePA authentifizieren, nutzen Sie eine von Ihrer Krankenkasse bereitgestellte ePA-Anwendung auf Ihrem Smartphone oder einem geeigneten Laptop/PC, um auf die ePA zuzugreifen. Die ePA-Anwendung ist nach den Vorgaben des BSI und der gematik erstellt und sicherheitsgeprüft. Mit ihr können Sie sämtliche Funktionen der ePA selbstständig nutzen, u. a. die folgenden:
•    Dokumente einstellen, einsehen, herunterladen und löschen
•    Berechtigungen erteilen und entziehen
•    Vertretungen erstellen und entziehen
•    Zugriffe auf die ePA anhand der Protokolldaten kontrollieren
•    ePA vollständig schließen
•    Übertragung der ePA zu einer neuen Krankenkasse veranlassen (bei Krankenkassenwechsel)
•    als vertretungsberechtigte Person mit der ePA einer vertretenen Person arbeiten (vertretungsberechtigte und vertretene Person müssen nicht bei derselben Krankenkasse versichert sein)
Versicherte ohne geeignete Endgeräte können eine ePA bei Ihrer Krankenkasse beantragen und anlegen lassen. In diesem Fall erfolgt die Berechtigungsvergabe für den Zugriff direkt beim Besuch in der Arztpraxis, im Krankenhaus oder bei einem anderen Leistungserbringer (Näheres hierzu in Kapitel 6.3). Grundsätzlich können Sie diese Art der Berechtigungsvergabe vor Ort auch nutzen, wenn Sie über die ePA-Anwendung auf Ihre ePA zugreifen, etwa um eine Leistungserbringereinrichtung spontan zu berechtigen.

F. 4.3 Zu welchen Kategorien kann ich Dokumente in der ePA speichern?

Die ePA bietet die Möglichkeit, Dokumente verschiedener Kategorien zu speichern. Die Kategorien werden dabei direkt bei der Speicherung von Dokumenten automatisch durch das Aktensystem vergeben. Folgende Unterscheidungen sind möglich:
•    Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichte und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen getrennt nach folgenden Bereichen:
- Hausarzt
- Krankenhaus
- Labor und Humangenetik
- Physiotherapie
- Psychotherapie
- Dermatologie
- Urologie/Gynäkologie
- Zahnheilkunde und Mund-Kiefer-Gesichtschirurgie
- weitere fachärztliche Bereiche
- weitere nicht-ärztliche Berufe
•    Daten des elektronischen Medikationsplans
•    Daten des elektronischen Notfalldatensatzes
•    elektronische Arztbriefe
•    elektronisches Zahn-Bonusheft („eZahnbonusheft“)
•    Daten zur Früherkennung von Krankheiten bei Kindern (elektronisches Untersuchungsheft für Kinder, „eUntersuchungsheft“)
•    Daten über die ärztliche Betreuung während der Schwangerschaft und nach der Entbindung (elektronischer Mutterpass, „eMutterpass“)
•    elektronische Impfdokumentation („eImpfdokumentation“)
•    Ihre in die ePA übernommen Daten aus einer von den Krankenkassen nach § 68 SGB V finanzierten elektronischen Gesundheitsakte
•    von Ihnen selbst zur Verfügung gestellte Gesundheitsdaten
•    elektronische Rezepte und Informationen zu deren Einlösung
•    sonstige Dokumente

F. 4.4 Kann ich Vertraulichkeitsstufen für Dokumente festlegen?

Für jedes in die ePA eingestellte Dokument können Sie eine Vertraulichkeitsstufe festlegen. Die von Ihnen, Ihren Leistungserbringern oder Ihrer Krankenkasse in die ePA eingestellten Dokumente sind nach dem Einstellen zunächst standardmäßig der Vertraulichkeitsstufe „normal“ zugeordnet (Näheres dazu in Kapitel 6.3). Über Ihre ePA-Anwendung können Sie den Dokumenten selbstständig die Stufen „vertraulich“ oder „streng vertraulich“ zuweisen. Sollten Sie direkt beim Einstellen von Dokumenten in die ePA durch den Leistungserbringer eine höhere Vertraulichkeitsstufe wünschen, so kann dieser das auch direkt bei der Ablage in der ePA berücksichtigen. Bitte sprechen Sie das gegenüber Ihrem Leistungserbringer an.
Sowohl die Dokumentenkategorie als auch die Vertraulichkeitsstufe spielen bei der Vergabe von Berechtigungen eine wichtige Rolle (weitere Informationen zum Erteilen einer Berechtigung finden Sie in Kapitel 6.4).

F. 5 Wer hat wie Zugriff auf die elektronische Patientenakte?

Auf die elektronischen Patientenakte (ePA) können Sie selbst, sofern Sie die ePA-Anwendung nutzen, sowie auch Mitarbeitende der von Ihnen berechtigten Leistungserbringereinrichtungen zugreifen, z. B. Ihre Hausärztin bzw. Ihr Hausarzt sowie deren medizinische Fachangestellte. In welcher Art und Weise der Zugriff der berechtigten Leistungserbringereinrichtungen erfolgen kann, wird Ihnen in den Kapiteln 6.2, 6.3 und 6.4 erläutert.

Die Berechtigung für den Zugriff auf Ihre ePA erteilen Sie stets den Leistungserbringereinrichtungen, und nicht nur einzelnen Personen wie z. B. der behandelnden Ärztin bzw. dem behandelnden Arzt. Bei größeren Leistungserbringereinheiten wie beispielsweise einem Medizinischen Versorgungszentrum oder einem Krankenhaus kann dies bedeuten, dass neben Ihrer behandelnden Ärztin oder Ihrem Arzt eine Vielzahl weiterer Personen des medizinischen Fachpersonals der gleichen Leistungserbringereinheit rein technisch auf die Daten zugreifen können. Ein Zugriff darf jedoch nur erfolgen, soweit dies tatsächlich zu Behandlungszwecken erforderlich ist. Überdies ist jede Leistungserbringereinrichtung gesetzlich verpflichtet, zu protokollieren, wer wann, auf welche Daten Ihrer ePA zugegriffen hat.

Mit der Zugriffsberechtigung auf die ePA willigen Sie automatisch in die Verarbeitung Ihrer persönlichen Daten durch die jeweilige Leistungserbringereinrichtung ein. Dazu nutzen Sie die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung. Sie können den Zugriff aber auch direkt vor Ort, in der Praxis oder im Krankenhaus, mithilfe Ihrer elektronischen Gesundheitskarte (eGK) und der zugehörigen PIN auf den vor Ort verfügbaren Geräten gewähren. Solche Geräte, wie z. B. das Kartenterminal, sind von der Gesellschaft für Telematik (gematik) geprüft und zugelassen.
Zudem kann Ihre Krankenkasse – nachdem Sie sie dazu aufgefordert und berechtigt haben – Daten zu von Ihnen in Anspruch genommenen Leistungen in der ePA ablegen. Diese Daten umfassen z. B. Diagnosen, eingelöste Rezepte u. Ä. Wie bei einer Leistungserbringereinrichtung können Sie auch Ihrer Krankenkasse eine einmal erteilte Zugriffsberechtigung jederzeit wieder entziehen. Die Beauftragung und Berechtigung der Krankenkasse zur Übermittlung der Leistungsauskunft sowie die Beendigung können Sie direkt über die ePA-Anwendung veranlassen. Ein Zugriff auf die Daten in der ePA ist für die Krankenkasse damit nicht verbunden.

Neben Leistungserbringereinrichtungen können Sie auch Personen, denen Sie besonders vertrauen, zum ePA-Zugriff berechtigen. Dies sind die sogenannten Vertreterinnen bzw. Vertreter. Ihre Vertretung hat grundsätzlich die gleichen Zugriffsmöglichkeiten wie Sie selbst, kann Leistungserbringereinrichtungen Zugriffe gewähren oder entziehen und die Krankenkassen zur Datenbereitstellung auffordern. Ihre Vertretung kann Ihre ePA jedoch weder löschen noch weitere Vertreterinnen oder Vertreter benennen bzw. Vertretungen widerrufen (weitere Informationen zu Vertretungsregelungen finden Sie in Kapitel 8).

F. 5.1 Welche rechtlichen Vorgaben für Leistungserbringer gibt es?

Auch wenn Sie eine Berechtigung erteilt haben, darf ein Leistungserbringer (bzw. das medizinische Personal der Leistungserbringereinrichtung) nur auf Daten in Ihrer persönlichen ePA zugreifen, wenn dieser Leistungserbringer in Ihre Behandlung eingebunden ist und wenn die Daten aus Ihrer ePA für Ihre Versorgung erforderlich sind. Dies ist darin begründet, dass rechtlich zwischen der technischen Erteilung einer Zugriffsberechtigung und der „Erlaubnis“ zur Datenverarbeitung, der sogenannten Einwilligung, zu unterscheiden ist. Selbst wenn Sie eine technische Berechtigung für einen Leistungserbringer erteilt haben, der nicht in Ihre Behandlung eingebunden ist, darf dieser nicht ohne Weiteres auf Ihre ePA-Daten zugreifen. Denn der Zugriff setzt eine rechtsgültige Einwilligung voraus. Diese muss freiwillig, für einen konkreten Fall, nach ausreichender Information der bzw. des Betroffenen und unmissverständlich abgegeben werden.
Sie können gegenüber einer Leistungserbringereinrichtung die Einwilligung in die Verarbeitung Ihrer in der ePA gespeicherten Daten jederzeit widerrufen. Dies können Sie in der von Ihrer Krankenkasse zur Verfügung gestellten ePA-Anwendung durchführen. Falls Sie die ePA-Anwendung nicht nutzen, können Sie der betroffenen Leistungserbringereinrichtung diese Rechte beispielsweise bei Ihrem nächsten Besuch in der Praxis entziehen, indem Sie eine neue Berechtigung mit einer Dauer von einem Tag erteilen. Mit Ablauf des eingestellten Tages kann nicht länger auf die ePA zugegriffen werden.

Für einige Leistungserbringer hat der Gesetzgeber festgelegt, dass sie grundsätzlich nur bestimmte Informationen in Ihrer ePA einsehen dürfen. Über diese gesetzlich festgelegten Zugriffsrechte hinaus können Sie keine Berechtigung zum Zugriff erteilen. Zum Beispiel darf eine Apothekerin bzw. ein Apotheker keine Daten aus Ihrem elektronischen Zahn-Bonusheft einsehen. Sie können der Apothekerin bzw. dem Apotheker deshalb auch keinen Zugriff auf Ihr elektronisches Zahnbonusheft erlauben.

F. 5.2 Welcher Leistungserbringer darf auf welche Daten in der ePA zugreifen?

Welcher Leistungserbringer auf welche Daten zugreifen darf, hat der Gesetzgeber detailliert in § 352 SGB V geregelt. Diese Regelungen haben wir für Sie in der Tabelle in diesem Kapitel zusammengefasst.

Natürlich ist der Zugriff auf die Daten in Ihrer ePA immer nur unter der Voraussetzung möglich, dass Sie die jeweilige Leistungserbringereinrichtung dazu berechtigt haben und diese an die TI angeschlossen ist. Wichtig ist, dass Sie bei Vergabe der Berechtigungen an Ihre behandelnden Leistungserbringer die Berechtigungen im Vergleich zur Tabelle weiter einschränken können. Die Vergabe von über die in der Tabelle dargestellten hinausgehenden Berechtigungen durch Sie ist entsprechend den gesetzlichen Vorgaben jedoch nicht zulässig.
Anhand der im Kapitel 6.3 und 6.4 dargestellten Möglichkeiten können Sie auf Wunsch genau kontrollieren, welche der an Ihrer Behandlung beteiligten Leistungserbringereinrichtungen auf welche in Ihrer ePA gespeicherten Daten zugreifen darf. So können Sie beispielsweise Befunde, die Sie als besonders vertraulich einstufen, nur mit der Hausarztpraxis teilen und vor dem Zugriff anderer an Ihrer Behandlung beteiligter Leistungserbringereinrichtungen verbergen.

Ein auslesender Zugriff (d. h. ein Kreuz in der Spalte „Auslesen“) bedeutet dabei immer, dass die Daten aus der ePA heruntergeladen und in die Behandlungsdokumentation des jeweiligen Leistungserbringers übernommen werden können. Auch bei einem Entzug der Berechtigung bleiben Daten, die Leistungserbringer in ihre Behandlungsdokumentation übernommen haben, für die ehemals berechtigte Leistungserbringereinrichtung verfügbar. Der Grund dafür ist, dass sie die Daten durch die Übernahme aus der ePA heruntergeladen und eine eigene Kopie der Daten erstellt haben. Dies ist aus rechtlicher Sicht erforderlich, da Leistungserbringer ihre Behandlung medizinisch vollständig dokumentieren müssen.

Beispiel 1: Die dargestellte Tabelle zeigt Ihnen, dass beispielsweise Ärztinnen und Ärzte sowie das Personal in ärztlichen Leistungserbringereinrichtungen - ohne weitere Einschränkungen bei Ihrer Berechtigungsvergabe - auf alle Daten von Leistungserbringern schreibend, auslesend und löschend zugreifen können. Auf Daten, die von Ihnen oder von weiteren Anbietern bereitgestellt werden, können an Ihrer Behandlung beteiligte Ärztinnen und Ärzte nur auslesend sowie zum Löschen zugreifen.

Beispiel 2: Apothekerinnen und Apotheker (sowie das Personal der Apotheke) haben - ohne weitere Einschränkungen bei Ihrer Berechtigungsvergabe - auf den elektronischen Medikationsplan, die elektronische Impfdokumentation sowie Verordnungsdaten und Dispensierinformationen von Rezepten schreibenden Zugriff, d. h., sie können diese Daten in Ihrer ePA anlegen und aktualisieren. Auf alle anderen Dokumente können berechtigte Apothekerinnen und Apotheker sowie das Apothekenpersonal ausschließlich auslesend zugreifen.

Beispiel 3: Heilmittelerbringer inkl. Personal wie z. B. Physiotherapeutinnen und Physiotherapeuten können mit Ausnahme der Impfdokumentation bei entsprechender Vergabe der Berechtigungen alle Daten in der ePA auslesen. Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen können von Physiotherapeutinnen und Physiotherapeuten geschrieben werden. Auch das Löschen ist möglich. Schreiben und Löschen können Physiotherapeutinnen und Physiotherapeuten aber nur solche Daten, die sie selbst oder andere Physiotherapeutinnen und Physiotherapeuten in Ihre Akte eingestellt haben.

F. 5.3 Wie funktioniert die Erteilung von Berechtigungen konkret?

Mit der von Ihrer Krankenkasse bereitgestellten ePA-Anwendung können Sie Ihre ePA bequem verwalten. Dort stellen Sie ein, wer welche Daten in Ihrer ePA einsehen kann. Sie bestimmen auch, wie lange Sie den Zugriff erlauben wollen. Voreingestellt sind sieben Tage. Sie können dabei eine Dauer von einem Tag bis „unbegrenzt“ wählen. Nach Ablauf der von Ihnen gewählten Zeit endet die Berechtigung für die jeweilige Leistungserbringereinrichtung automatisch. Sie kann die Dokumente dann nicht mehr in der ePA einsehen. Für die Praxisdokumentation lokal heruntergeladene Kopien sind allerdings für den Leistungserbringer weiterhin verfügbar. Grundsätzlich können Sie einmal erteilte Berechtigungen jederzeit wieder entziehen. Wenn Sie Hilfe bei der Bedienung der ePA-Anwendung brauchen, hilft Ihnen Ihre Krankenkasse gerne weiter.

Wenn Sie keine ePA-Anwendung nutzen oder wenn Sie Ihr Endgerät z. B. beim Arztbesuch einmal nicht zur Hand haben, können Sie trotzdem Zugriffe auf Ihre ePA erlauben. Dazu benötigen Sie Ihre eGK und die dazugehörige PIN (persönliche Identifikationsnummer). Der Vorgang funktioniert ähnlich wie das Bezahlen mit Bankkarte und PIN im Supermarkt. Die eGK wird in einem Lesegerät beim Leistungserbringer eingelesen. Anschließend geben Sie Ihre PIN ein und bestätigen so, welche Daten die Leistungserbringereinrichtung einsehen darf. Die Vergabe von Berechtigungen auf Kategorienbasis (mittelgranular) bei der Leistungserbringereinrichtung überschreibt feingranulare Berechtigungsvergaben aus dem Frontend der bzw. des Versicherten, falls solche schon erfolgt sind. Sollten Sie die PIN nutzen wollen, aber noch keine erhalten haben, wenden Sie sich bitte an Ihre Krankenkasse.

F. 5.4 Wie berechtige ich eine an meiner Behandlung beteiligte Leistungserbringereinrichtung konkret?

Die Mitarbeitenden einer Leistungserbringereinrichtung können auf die Daten, die in Ihrer persönlichen ePA gespeichert sind, erst dann zugreifen, wenn Sie der Einrichtung hierzu eine Berechtigung erteilt haben. Das Erteilen der Berechtigung über die ePA-Anwendung oder das Kartenterminal in der Arztpraxis oder im Krankenhaus entspricht der Einwilligung in die Datenverarbeitung. Sämtliche Berechtigungen, die Sie erteilen, werden in Ihrer ePA gespeichert. Mithilfe der von der Krankenkasse bereitgestellten ePA-Anwendung können Sie diese jederzeit einsehen und bei Bedarf anpassen.
Wen Sie berechtigen dürfen, regelt der Gesetzgeber in § 352 SGB V (vgl. Kapitel 6.2). Dort werden die Einrichtungen und Personengruppen genannt. Die im Folgenden genannten Personengruppen sind bereits an die Telematikinfrastruktur (TI) angeschlossen:
•    Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Psychotherapeutinnen und Psychotherapeuten sowie Angestellte dieser Berufsgruppen
•    Apothekerinnen und Apotheker sowie Personen, die bei diesen beschäftigt sind
•    Krankenhäuser

Die nachfolgenden Gruppen werden Schritt für Schritt an die TI angeschlossen, sodass Sie ihnen dann auch eine Zugriffsberechtigung erteilen können:
•    Gesundheits- und Krankenpflegerinnen und -pfleger, Gesundheits- und Kinderkranken-pflegerinnen und -pfleger, Altenpflegerinnen und -pfleger, Pflegefachfrauen und Pflege-fachmänner sowie deren Helferinnen und Helfer, die in die medizinische oder pflegerische Versorgung der Versicherten eingebunden sind
•    Hebammen, Entbindungspfleger und Physiotherapeutinnen und -therapeuten sowie deren angestellte Helferinnen und Helfer sowie Auszubildende
•    Ärztinnen und Ärzte sowie andere Personen, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, soweit dies zur Erfüllung ihrer Aufgaben nach dem Infektionsschutzgesetz erforderlich ist
•    Fachärztinnen und Fachärzte für Arbeitsmedizin sowie Betriebsärztinnen und Betriebsärzte

F. 5.4.1 Wie erteile ich Berechtigungen in der ePA-Anwendung?

Sie haben die Möglichkeit, den Zugriff auf die ePA mittels verschiedener Berechtigungen zu steuern. Dazu stehen ihnen die folgenden Möglichkeiten zur Verfügung.

Grobgranulare Erteilung von Berechtigungen
Über die Erteilung von Berechtigungen in der ePA-Anwendung steuern Sie, welche Leistungserbringereinrichtung auf welche Dokumente zugreifen kann. Eine Möglichkeit ist die Steuerung anhand der bereits genannten Kategorien. In diesem Fall berechtigen Sie Leistungserbringereinrichtungen dazu, auf eine oder mehrere Kategorien zuzugreifen (Näheres dazu in Kapitel 5.3). Die Mitarbeitenden einer Leistungserbringereinrichtung erhalten dann Zugriff auf die Dokumente in der Vertraulichkeitsstufe „normal“, sofern Sie nichts anderes festlegen (vgl. Kapitel 5.4). 

Mittelgranulare Erteilung von Berechtigungen
Weitere Möglichkeiten der Zugriffssteuerung über die ePA-Anwendung ergeben sich durch die Auswahl einer Kategorie in Kombination mit einer Vertraulichkeitsstufe. Dies können die Vertraulichkeitsstufen „normal“ oder „vertraulich“ sein. Im Zuge der Berechtigung einer Leistungserbringereinrichtung legen Sie fest, auf welche Dokumentenkategorie mit welcher Vertraulichkeitsstufe der Zugriff gewährt werden soll. Die Erteilung von Zugriffen auf Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ ist damit nicht möglich.
Feingranulare Erteilung von Berechtigungen
Die feinste Abstufung hinsichtlich der Zugriffsrechte in der Anwendung erhalten Sie, indem Sie auf Ebene einzelner Dokumente bestimmen, wer darauf zugreifen darf. Dadurch können Sie beispielsweise Zugriff auf Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ gewähren. 

Zusammenfassend
Die grobgranulare Berechtigungsvergabe bezeichnet die Erteilung von Berechtigungen auf Basis der Kategorien. Bei der mittelgranularen Berechtigungsvergabe erteilen Sie Berechtigungen auf eine der in Kapitel 5.3 genannten Kategorien und Bereiche in Kombination mit den Vertraulichkeitsstufen „normal“ oder „vertraulich“. Bei der feingranularen Berechtigungsvergabe berechtigen Sie auf Basis eines einzelnen Dokuments. Dokumente, die Sie mit der Vertraulichkeitsstufe „streng vertraulich“ versehen haben, können Sie nur mithilfe der feingranularen Berechtigungsvergabe Ihren Leistungserbringern zugänglich machen.

Die Möglichkeiten der grob- und mittelgranularen Berechtigungsvergabe stehen Ihnen sowohl in der ePA-Anwendung als auch beim Leistungserbringer zur Verfügung. Feingranulare Berechtigungen können Sie ausschließlich in der ePA-Anwendung vergeben.

Zudem können Sie in der ePA-Anwendung auch festlegen, welche Vertraulichkeitsstufe eingestellte Dokumente standardmäßig bekommen sollen. Diese gilt dann für alle von Ihren Leistungserbringern oder Ihnen selbst eingestellten Dokumente. Selbstverständlich können Sie diese Voreinstellung beim Einstellen eines Dokuments auch individuell überschreiben, indem Sie eine andere Vertraulichkeitsstufe wählen. Außerdem können Sie in Ihrer ePA-Anwendung die Vertraulichkeitsstufe eines Dokuments jederzeit ändern.
Wenn Sie eine Berechtigung erteilen, legen Sie in der ePAAnwendung auch fest, wie lange diese gelten soll. Sie haben die Wahl zwischen einer Berechtigungsdauer von mindestens einem Tag bis unbegrenzt.

F. 5.4.2 Wie erteile ich Berechtigungen ohne die ePAAnwendung, wenn ich z. B. beim Leistungserbringer vor Ort bin oder die ePA-Anwendung nicht nutze?

Ohne ePA-Anwendung können Sie Berechtigungen direkt vor Ort in der Leistungserbringereinrichtung erteilen. Sprechen Sie dazu das Personal der Einrichtung an und teilen Sie mit, für welche Kategorie (vgl. Kapitel 5.3 und für welchen Zeitraum Sie Berechtigungen erteilen möchten.

Zur Kontrolle der Erteilung der Berechtigungen zeigt Ihnen das Kartenterminal des Leistungserbringers die von ihm angeforderten Berechtigungen Schritt für Schritt an. Zur Erteilung der Berechtigung bestätigen Sie diese auf dem Kartenterminal. Durch diesen Prozess haben Sie auch in der Leistungserbringerumgebung die Kontrolle darüber, wen Sie zu welchem Zugriff berechtigen. Bitte denken Sie daran, dass Sie zur Erteilung von Berechtigungen in der Arztpraxis Ihre eGK und die zugehörige PIN benötigen.

Bitte beachten Sie, dass Sie bei einer in der Leistungserbringereinrichtung direkt vor Ort erteilten Zugriffsberechtigung ausschließlich Berechtigungen für die Vertraulichkeitsstufen „normal“ und „vertraulich“ erteilen können. Eine Erteilung von Berechtigungen für Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ ist vor Ort beim Leistungserbringer nicht möglich. Dies dient dem Schutz Ihrer als „streng vertraulich“ gekennzeichneten Daten.

F. 6 Wer muss Daten in meine elektronische Patientenakte einstellen, wenn ich es wünsche?

Die elektronische Patientenakte (ePA) lebt davon, dass in ihr möglichst viele Ihrer Gesundheitsdaten abgelegt sind – erst dann entfaltet sie für Sie und Ihre behandelnden Ärztinnen und Ärzte den vollen Mehrwert. Neben den Daten, die Sie selbst einspeisen, kommt es dabei natürlich auch ganz entscheidend auf die Daten an, die im Rahmen Ihrer Behandlungen bei Ärztinnen bzw. Ärzten oder im Krankenhaus erhoben werden.

Sie haben gegenüber Ihren behandelnden Ärztinnen und Ärzten sowie anderen Leistungserbringern einen Anspruch darauf, dass die im Rahmen der Behandlung anfallenden Daten an Ihre ePA übermittelt und darin gespeichert werden. Zuvor müssen Sie allerdings eine Berechtigung zum Zugriff auf Ihre ePA erteilt haben (siehe hierzu Kapitel 6.4).

Zudem haben Sie einen Anspruch darauf, dass Ihre behandelnden Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte sowie Psychotherapeutinnen und -therapeuten Sie bei der Erstbefüllung der ePA unterstützen. Die Unterstützungsleistung umfasst die Übermittlung medizinischer Daten an die ePA und ist auf medizinische Daten aus der konkreten aktuellen Behandlung beschränkt.
Darüber hinaus können Sie von Ihren Ärztinnen und Ärzten, Zahnärztinnen und Zahnärzten oder Apothekerinnen und Apothekern die Speicherung der Daten aus dem Notfalldatensatz und des elektronischen Medikationsplans verlangen. Ändert sich etwas in Ihrem Medikationsplan oder in Ihrem Notfalldatensatz, haben Sie das Recht, dass Ihre Ärztin bzw. Ihr Arzt diese Daten sowohl in der ePA als auch auf der elektronischen Gesundheitskarte (eGK) aktualisiert. Sprechen Sie Ihre Ärztin bzw. Ihren Arzt darauf an, wenn Sie hierzu Fragen haben.

Ab dem 1. Januar 2022 haben Sie das Recht, dass an Ihrer Behandlung beteiligte Leistungserbringer weitere medizinische Informationen in strukturierter Form in der ePA speichern. Dies sind folgende:
•    das eZahnbonusheft
•    das eUntersuchungheft für Kinder
•    der eMutterpass
•    die Impfdokumentation
•    Verordnungsdaten und EinlöseInformationen zu Ihren eRezepten

Sie haben außerdem das Recht, von Ärztinnen und Ärzten sowie anderen Leistungserbringern die Löschung von Dokumenten und Daten zu verlangen, die diese in Ihre ePA hochgeladen haben.
Neben dem Anspruch gegenüber Leistungserbringern können Sie auch von Ihrer Krankenkasse verlangen, dass Daten zu von Ihnen in Anspruch genommenen Leistungen in die ePA eingestellt werden. Dazu gehören auch Informationen zu Diagnosen und Medikamenten, die Ihre Krankenkasse im Rahmen der Abrechnung der an Ihrer Behandlung beteiligten Leistungserbringer erhält. Bitte beachten Sie, dass diese Informationen Ihrer Krankenkasse erst mit erheblichem zeitlichen Verzug vorliegen. Um Ihrer Krankenkasse die Datenbereitstellung zu ermöglichen, müssen Sie gegenüber der Krankenkasse in die Datenbereitstellung einwilligen sowie die entsprechende Berechtigung zum Zugriff auf die ePA erteilen. Nur dann kann Ihre Krankenkasse ausschließlich zur Ablage dieser Informationen auf Ihre ePA zugreifen.

F. 7 Ich benötige Unterstützung bei der Nutzung der elektronischen Patientenakte. Was kann ich tun?

Der Gesetzgeber sieht vor, dass Sie über die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung Vertreterinnen bzw. Vertreter für die Handhabung Ihrer elektronischen Patientenakte (ePA) berechtigen können. Diese haben dann annähernd die gleichen Rechte wie Sie selbst. Ihre Vertreterinnen und Vertreter können aber keine weiteren Vertretungen benennen und sind nicht befugt, die Akte zu schließen. Ihre Vertretung kann beispielsweise Zugriffsrechte an Leistungserbringereinrichtungen (Ärzte- und Zahnärzteschaft, Krankenhäuser, Apotheken u. a.) vergeben und die in Ihrer Akte gespeicherten Dokumente einsehen. Es ist daher wichtig, dass Sie diese verantwortungsvolle Aufgabe nur an Personen übertragen, denen Sie vollständig vertrauen und denen Sie beispielsweise auch eine Vorsorgevollmacht erteilen würden. Vertretungen können – anders als Berechtigungen für Leistungserbringereinrichtungen – nicht zeitlich befristet vergeben werden und laufen daher nicht ab. Sie müssen Ihre Vertreterin bzw. Ihren Vertreter daher aktiv über die ePA-Anwendung Ihrer Krankenkasse von der Vertretung entbinden. Ihre Krankenkasse erläutert Ihnen die Möglichkeit und das Verfahren zur Vergabe von Vertretungsberechtigungen noch einmal genauer.

F. 8 Ich möchte eine elektronische Patientenakte führen, aber keine ePA-Anwendung nutzen. Was bedeutet das für mich?

Die Nutzung der elektronischen Patientenakte (ePA) ist auch ohne die von der Krankenkasse bereitgestellte ePA-Anwendung und ohne Vertretungsperson möglich. Allerdings ergeben sich dann einige Veränderungen, die auch Auswirkungen auf die Wahrnehmung Ihrer Rechte als datenschutzrechtlich betroffene Person haben.

Wenn Sie die ePA-Anwendung nicht nutzen, haben Sie keine Möglichkeit, Einsicht in Ihre in der ePA gespeicherten Daten zu nehmen. Dies umfasst neben den Dokumenten auch die erteilten Berechtigungen sowie die Zugriffsprotokolle, in denen die ePA aufzeichnet, wer wann welche Interaktionen mit Ihrer Akte bzw. den darin gespeicherten Daten vorgenommen hat. Die Krankenkassen haben weder die gesetzliche Befugnis noch die Möglichkeiten, die Daten der ePA auszulesen.

Zudem haben Sie keine Möglichkeit, Daten selbstständig in der ePA zu speichern. Dokumente können ausschließlich durch die von Ihnen berechtigten Leistungserbringereinrichtungen in die ePA eingestellt werden. Gleiches gilt für die Löschung: Nur berechtigte Leistungserbringereinrichtungen können in Ihrem Auftrag Dokumente aus der ePA löschen. Somit haben Sie auch keine Möglichkeit zur Erstellung einer Sicherheitskopie auf Ihrem eigenen Endgerät. Dies betrifft sowohl die Dokumente als auch die Protokolle (vgl. Kapitel 4.4).
Die Berechtigung für Leistungserbringereinrichtungen erteilen Sie ohne ePA-Anwendung ausschließlich direkt beim Leistungserbringer mithilfe Ihrer elektronischen Gesundheitskarte (eGK) und Ihrer PIN im Dialog mit dem Praxispersonal.

Um einer berechtigten Leistungserbringereinrichtung auch ohne ePA-Anwendung den Zugriff zu entziehen, bestehen folgende Optionen:
•    Da rechtlich die Einwilligung unabhängig von der technischen Berechtigungsvergabe widerrufen werden kann, können Sie diese unabhängig von den Zugriffsrechten gegenüber dem jeweiligen Leistungserbringer widerrufen. Da Sie die Berechtigung nicht selbstständig entziehen können, ist es möglicherweise hilfreich, die Berechtigung zeitlich begrenzt in der Arztpraxis oder dem Krankenhaus zu vergeben.
•    Um auch technisch sicherzustellen, dass der betroffene Leistungserbringer keine Möglichkeit zum Zugriff auf Ihre Daten mehr hat, können Sie beispielsweise bei Ihrem nächsten Besuch bei dem Leistungserbringer, dem Sie die Berechtigung entziehen wollen, die Berechtigung neu vergeben und die Mindestgültigkeitsdauer für Berechtigungen von einem Tag wählen. Mit Ablauf des Tages kann der Leistungserbringer nicht mehr auf die in der ePA gespeicherten Daten zugreifen. Wie bei der Berechtigungsverwaltung mit der ePA-Anwendung auch behält der Leistungserbringer sämtliche aus der ePA heruntergeladenen Daten jedoch in seinem IT-System.
Eine Übernahme der Daten bei Wechsel der Krankenkasse ist in der ePA nur über die ePA-Anwendung möglich. Wenn Sie weder eine ePA-Anwendung noch eine Vertretung nutzen, besteht beim Wechsel der Krankenkasse somit für Sie keine Möglichkeit der Datenübernahme.

F. 9 Was wird mit meiner elektronischen Patientenakte in Zukunft außerdem möglich sein?

Einige Nutzungsmöglichkeiten der elektronischen Patientenakte (ePA) werden nach und nach hinzukommen. Dieses Informationsdokument wird rechtzeitig aktualisiert zur Verfügung gestellt, sodass Sie sich über die neuen Funktionen umfassend informieren können. Im Folgenden geben wir Ihnen einen Überblick, was im späteren Verlauf zusätzlich mit Ihrer ePA möglich sein wird.

F. 9.1 Neue Merkmale der ePA ab 1. Juli 2022

Ab 1. Juli 2022 erhalten Sie nach aktuellem Willen des Gesetzgebers die Möglichkeit, Ihre Erklärung zur Organspende im Organspende-Register über Ihre ePA-Anwendung abzugeben. Die Erklärung als solche wird nicht in der ePA gespeichert, sondern in dem dafür vorgesehenen Register abgelegt. Weitere Informationen zur Organ- und Gewebespende erhalten Sie auf der Website des Bundesministeriums für Gesundheit: https://www.bundesgesundheitsministerium.de/themen/praevention/organspende.html

F. 9.2 Neue Merkmale der ePA ab 1. Januar 2023

F.9.2.1.    Unterstützung weiterer Dokumentenformate

Die ePA wird mit Beginn des Jahres 2023 noch einmal um die folgenden digitalen Dokumentenformate erweitert, die in Ihrer Akte auf Ihren Wunsch hin gespeichert werden können:
•    Daten zur pflegerischen Versorgung
•    elektronische Bescheinigungen über eine Arbeitsunfähigkeit
•    Daten aus Digitalen Gesundheitsanwendungen (DiGA)

F. 9.2.2 Möglichkeit der Freigabe der Daten für die Forschung

Die in Ihrer ePA gespeicherten Gesundheitsdaten können Sie in Zukunft zudem auch für Forschungszwecke zur Verfügung stellen. Die Datenbereitstellung ist dabei entsprechend den gesetzlichen Vorgaben selbstverständlich freiwillig und in pseudonymisierter Form möglich. Derzeit legt die Gesellschaft für Telematik (gematik) die konkrete Umsetzung unter Einhaltung aller Anforderungen des Datenschutzes fest. Dabei stimmt sie sich eng mit dem Bundesbeauftragten für Datenschutz, dem Bundesamt für Sicherheit in der Informationstechnik, dem Bundesgesundheitsministerium, den Krankenkassen, der Ärzteschaft und den Forschungseinrichtungen ab. Ihre Krankenkasse wird Sie zeitgerecht über die entsprechenden Schritte und Funktionen zur freiwilligen Datenbereitstellung an berechtigte Forschungseinrichtungen informieren.

F. 9.2.3 Nutzung eines Sofortnachrichten-Dienstes über die ePA-Anwendung

Neben der Nutzung für die ePA wird die ePA-Anwendung Ihrer Krankenkasse ab 1. Januar 2023 auch eine Funktion zur sicheren Übermittlung von Sofortnachrichten an Ihre Krankenkasse umfassen und kann – falls die an Ihrer Behandlung beteiligten Leistungserbringer dies wünschen – auch zur Kommunikation mit Ihren Leistungserbringern genutzt werden.

F. 9.2.4 Zugriff auf das nationale Gesundheitsportal

Um Ihnen zusätzliche Informationen für Ihre Gesundheit anzubieten, ist ab 1. Januar 2023 ein direkter Zugriff aus der ePA-Anwendung auf das nationale Gesundheitsportal vorgesehen.

F. 9.3 Neue Merkmale der ePA ab 1. Juli 2023

Ab 1. Juli 2023 sieht der Gesetzgeber vor, dass Sie Ihren elektronischen Medikationsplan, der derzeit auf der elektronischen Gesundheitskarte (eGK) gespeichert wird, online über die ePA-Anwendung einsehen und löschen sowie auch hierfür Zugriffsberechtigungen erteilen können. Gleiches gilt für den derzeit auf der eGK speicherbaren Notfalldatensatz.

Mailverschlüsselung

Um zu gewährleisten, dass alle personenbezogenen Daten verschlüsselt übermittelt werden, haben alle Mitarbeiterinnen und Mitarbeiter der BERGISCHEN Krankenkasse die Möglichkeit (über die Standardprotokolle S/MIME und OpenPGP) verschlüsselte E-Mails zu empfangen und zu versenden.