Datenschutzinformation für Patient:innen

Diese Datenschutzinformation informiert Sie entsprechend der Art. 13, 14 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten durch die fol?genden datenschutzrechtlichen Verantwortlichen des UKE-Konzerns (zusammen „UKE-Konzern“):

VerantwortlicherDatenschutzbeauftrager
Universitätsklinikum Hamburg-Eppendorf (UKE)
Körperschaft des öffentlichen Rechts
Martinistr. 52 | 20246 Hamburg
Universitätsklinikum Hamburg-Eppendorf
- Datenschutzbeauftragter -
Martinistr. 52| 20246 Hamburg
E-Mail: dsb@uke.de | Tel.: 040/7410 56890
Ambulanzzentrum des UKE GmbH
Martinistr. 52
20246 Hamburg
Ambulanzzentrum des UKE GmbH
- Datenschutzbeauftragter -
Martinistr. 52| 20246 Hamburg
E-Mail: dsb@uke.de | Tel.: 040/7410 56890
Martini-Klinik am UKE GmbH (MK)
Martinistr. 52
20246 Hamburg
Martini-Klinik am UKE GmbH
- Datenschutzbeauftragter -
Martinistr. 52| 20246 Hamburg
E-Mail: dsb@uke.de | Tel.: 040/7410 56890
AKK Altonaer Kinderkrankenhaus gGmbH (AKK)
Bleickenallee 38
22763 Hamburg
AKK Altonaer Kinderkrankenhaus gGmbH
- Datenschutzbeauftragter -
Bleickenallee 38 | 22763 Hamburg
E-Mail: datenschutz@kinderkrankenhaus.net

1. Verarbeitete Daten

Im Rahmen Ihrer Behandlung ist es erforderlich, personenbezogene Daten über Ihre Person zu verarbeiten (Patientendaten). Zu den Patientendaten gehören Ihre Stammdaten (z.B. Name, Geburtstag, Adresse, Kontaktdaten), Anamnesen, Diagnosen, Therapievorschläge und Befunde (Eigen- und Fremdbefunde, Befunde bildgebender Verfahren sowie des Biomonitorings) sowie individuelle ärztliche Aufzeichnungen. Abhängig von der Behandlung können auch genetische Daten, biometrische Daten, Daten über Ihr Sexualleben und Ihre sexuelle Orientierung und ebenso religiöse und/oder weltanschauliche Überzeugungen verarbeitet werden.

Weiterhin verarbeiten wir Abrechnungsdaten (z.B. Kostenträger, Versichertennummer, Zahlungshistorie), Daten von Angehörigen, Begleitpersonen sowie Zuweisern (Überweiser, Einweiser, sonstige Ärzt:innen) und anderen Ansprechpartnern (z.B. Betreuer, Vertreter).

Die ordnungsgemäße administrative Abwicklung und Abrechnung Ihrer Behandlung bedingt die Aufnahme Ihrer Personalien. Davon ausgenommen sind ausschließlich die Fälle der vertraulichen Geburt.

2. Zweck

Wir verarbeiten Ihre personenbezogenen Daten vor allem zur Durchführung und Dokumentation der von Ihnen gewünschten Leistungen und Behandlungen. Dies schließt präventive, diagnostische, therapeutische und nachsorgende Zwecke ebenso wie die Erstellung von Arztbriefen und Entlassberichten.

Ihre personenbezogenen Daten können auch aus Qualitätssicherungsgründen, zum Erkennen und Bekämpfen von Krankenhausinfektionen sowie zur seelsorgerischen und sozialen Betreuung und zum Entlassungsmanagement verarbeitet werden.

Darüber hinaus verarbeiten wir Ihre Patientendaten im Rahmen unserer Verwaltung, insbesondere zur Abrechnung Ihrer Behandlung, zum Controlling, und im Rahmen der Rechnungsprüfung. Ferner erfolgen Datenverarbeitungen zu Zwecken der Ausbildung, der Fort- und Weiterbildung von Ärzten und von Angehörigen anderer Berufe des Gesundheitswesens, zur Forschung oder zur Erfüllung gesetzlicher Pflichten (z.B. Meldepflichten an die zuständigen Meldebehörden aufgrund des Melderechts, an Gesundheitsbehörden aufgrund des Infektionsschutzgesetzes sowie an Krebsregister).

Ihre Patientendaten können auch zum Zweck der Forschung verarbeitet wer?den. Hierüber werden Sie gesondert informiert.

3. Rechtsgrundlagen

Die Verarbeitung von Patientendaten im Krankenhaus darf nur aufgrund eines Gesetzes oder Ihrer Einwilligung erfolgen. Es gibt unterschiedliche Gesetze und Verordnungen, die dem Krankenhausträger eine Verarbeitung der Daten erlauben. Genannt seien hier insbesondere die Datenschutz-Grundverordnung (DSGVO), z.B. Art. 6, 9 DSGVO, das Bundesdatenschutzgesetz (BDSG), das Fünf?te Buch des Sozialgesetzbuchs (SGB V) oder im Falle einer Verarbeitung durch das AKK, die MK oder das UKE auch das Hamburgische Krankenhausgesetz (HmbKHG).

Im Einzelnen ergeben sich folgende Rechtsgrundlagen:

Zweck / LeistungRechtsgrundlage
Behandlung, BehandlungsdokumentationArt. 6 Abs. 1 lit. b, c, d, Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG i.V.m. §§ 8, 10, 11 HmbKHG
Zuziehung von „Externen“Art. 6 Abs. 1 lit. b, c, d, Art. 9 Abs. 2 lit. h, Abs. 3, DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b) BDSG i.V.m. § 11 Abs. 1 Nr. 1 HmbKHG
Abrechnung gegenüber gesetzlichen KrankenkassenArt. 6 Abs. 1 lit. b, c, d, Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i.V.m. § 301 SGB V
QualitätssicherungArt. 6 Abs. 1 lit. e, Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 299 SGB V i.V.m. § 136 SGB V bzw. den Richtlinien des G-BA sowie § 22 Abs. 1 Nr. 1 lit. c BDSG i.V.m. § 10 Abs. 1 Nr. 7 HmbKHG
Aus- und FortbildungArt. 6 Abs. 1 lit. e, Art. 9 Abs. 2 lit. h, Abs. 3, Abs. 2 lit. i DSGVO i.V.m. § 10 Abs. 1 Nr. 8 HmbKHG
ForschungArt. 5 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. a oder f DSGVO, § 27 BDSG, § 12 HmbKHG

Die Verarbeitung wird nur auf die entsprechende Norm des HmbKHG gestützt, sofern die Verarbeitung durch das UKE, die Martini-Klinik oder das AKK erfolgt.

4. Dauer der Datenverarbeitung / Aufbewahrungsfrist

Wir bewahren Ihre personenbezogenen Daten nur solange auf, wie dies für die Durchführung der Behandlung oder aufgrund einer gesetzlichen Pflicht erforderlich ist. Zu den Rechtsgrundlagen gehören die Datenschutz-Grundverordnung (DSGVO), das Hamburgische Krankenhausgesetz (HmbKHG), das Strahlenschutzgesetz (StrlSchG), das Gendiagnostikgesetz (GenDG), das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO). Im Einzelnen ergeben sich unter anderem folgende Fristen und Rechtsgrundlagen:

Dokumenten-/DatenartFristRechtsgrundlage
Behandlungsdokumentation, soweit nicht nachfolgend abweichend benannt30 Jahre[1]Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i.V.m. § 4a HmbKHG
Abrechnungsunterlagen10 Jahre[2]Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. g DSGVO i.V.m. §§ 257 Abs. 1 Nr. 4 HGB, 147 Abs. 1 Nr. 4 AO
Kommunikation mit Ihnen, soweit sie nicht Bestandteil der Abrechnungsunterlagen oder der Behandlungsdokumentation ist6 Jahre[2]Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. g DSGVO i.V.m. §§ 257 Abs. 1 Nr. 2, 3 HGB, 147 Abs. 1 Nr. 3 AO

Die Verarbeitung wird nur auf die entsprechende Norm des HmbKHG gestützt, sofern die Verarbeitung durch das UKE, die Martini-Klinik oder das AKK erfolgt.

[1] Fristbeginn ist der Zeitpunkt der letzten Behandlung.

[2] Fristbeginn ist Schluss des Jahres, in dem die Abrechnung oder Kommunikation erfolgte.

6. Herkunft und Empfänger

Die entsprechenden Daten erheben wir grundsätzlich bei Ihnen selbst. Teilweise können wir weitere Patientendaten über Sie auch von vor- oder mitbehandelnden Krankenhäusern, Medizinischen Versorgungszentren (sog. MVZ) oder Arztpraxen erhalten (siehe auch unten unter 6.). Ferner können wir auch Daten von Rettungsdiensten oder Sie einliefernden Personen erhalten, insbesondere wenn Sie selbst zu diesem Zeitpunkt nicht ansprechbar waren. Darüber hinaus erhalten wir von medizinischen Laboren oder anderen Ärzten Fremdbefunde, soweit Sie uns diese als Quelle benennen oder wir diese mit Ihrer Zustimmung beauftragt haben.

Ihre Daten werden im Rahmen der Zweckbestimmung unter Beachtung der jeweiligen datenschutzrechtlichen Regelungen bzw. etwaiger vorliegender Einwilligungserklärungen erhoben und ggf. an Dritte übermittelt. Als derartige Dritte kommen insbesondere in Betracht:

  • Kostenträger Ihrer Behandlung (gesetzliche oder private Krankenkassen, Unfallversicherungsträger o.ä.),
  • Medizinischer Dienst Nord, Körperschaft des öffentlichen Rechts (Qualitäts- und Abrechnungsprüfung für gesetzliche Krankenkassen),
  • Angehörige, soweit Sie dem nicht widersprochen haben,
  • Gesetzliche oder rechtsgeschäftliche Vertreter,
  • vor-, mit- oder nachbehandelnde Einrichtungen der Gesundheitsversorgung oder Behandlung, Arztpraxen, Rehabilitations- oder Pflegeeinrichtungen,
  • externe Auftragsverarbeiter (z.B. Abrechnungsdienstleister sowie technische Dienstleister für Medizingeräte),
  • konzerninterne Dienstleister (z.B. Lebensmittelversorgung, Patiententransport, OP-Vorbereitung),
  • Seelsorger sowie
  • im Rahmen von Forschungsprojekten auf der Grundlage von § 12 HmbKHG: Treuhandstelle des UKE.

Das UKE hat für Forschungsprojekte auf Grundlage von § 12 HmbKHG unter anderem ein spezifisches Verfahren etabliert. Hierbei erfolgt zunächst eine Pseudonymisierung durch die eigens hierfür eingerichtete Treuhandstelle, welche durch eine Satzung der Medizinischen Fakultät einer besonderen Verschwiegenheitspflicht unterworfen ist. Die Patientendaten werden erst danach den Wissenschaftler:innen des UKE in einem besonders gesicherten Bereich innerhalb des UKE bereitgestellt. Hierdurch wird erreicht, dass den Wissenschaftler:innen die unmittelbar Sie identifizierenden Daten wie Name, Vorname, Versicherungsnummer, Anschrift und Patienten-ID, nicht offengelegt werden. Die o.g. Treuhandstelle des UKE erhält hingegen unmittelbar Sie identifizierende Daten wie Name, Vorname, Geburtsdatum, Versicherungsnummer, Anschrift und Patienten-ID, damit dort eine Pseudonymisierung erfolgt.

6. Gemeinsam Verantwortliche

Zur Gewährleistung einer vollumfassenden Behandlung bieten wir eine gemeinsame und einheitliche, elektronische Patientenverwaltung und Patientenakte an. In der gemeinsamen Patientenakte werden Ihre Behandlungsdaten aus Ihren Behandlungen und Aufenthalten im UKE, in der Martini-Klinik am UKE (MK), in dem Medizinischen Versorgungszentrum (MVZ) sowie im Altonaer Kinderkrankrankenhaus (AKK) – zusammen UKE-Konzern – zusammengefasst. Diese medizinischen Dienstleister sind gemeinsam Verantwortliche gemäß Art. 26 DSGVO. Mithilfe der gemeinsamen Patientenakte kann Ihr jeweiliger medizinischer Dienstleister aus dem UKE-Konzern in allen zukünftigen Behandlungen Informationen aus bereits erfolgten Behandlungen im gesamten UKE-Konzern für Ihre jeweils aktuelle Behandlung heranziehen.

7. Übermittlungen in Drittländer

In der Regel werden Ihre personenbezogenen Daten innerhalb Deutschlands, der EU oder des Europäischen Wirtschaftsraumes verarbeitet. Sofern neue Anwendungen eingesetzt werden, kann ein Drittlandtransfer stattfinden. Soweit Ihre Patientendaten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden, werden wir ein angemessenes Schutzniveau beim Empfänger und hinreichende Sicherheitsmaßnahmen sicherstellen.

8. Betroffenenrechte

Ihnen stehen sämtliche Betroffenenrechte nach Art. 15 ff. DSGVO zu. Sie haben das Recht auf Auskunft über die Sie betreffenden gespeicherten personenbezogenen Daten nach Art. 15 DSGVO. Wenn Sie feststellen, dass unrichtige Daten zu Ihrer Person verarbeitet werden, können Sie unter bestimmten Voraussetzungen Berichtigung nach Art. 16 DSGVO verlangen. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt werden. Soweit die Voraussetzungen des Art. 17 DSGVO erfüllt sind, insbesondere die Daten nicht mehr für den ursprünglichen Zweck erforderlich und die Aufbewahrungsfristen abgelaufen sind, können Sie von uns die Löschung der Daten verlangen. Nach Art. 18 DSGVO können Sie unter Umständen von uns verlangen, dass wir die weitere Verarbeitung der Daten einschränken. Dies bedeutet, dass Ihre Daten zwar nicht gelöscht, aber gekennzeichnet werden, um sie für eine weitere Verarbeitung zu sperren. Soweit sich die Verarbeitung Ihrer Patientendaten auf ein öffentliches oder berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. e), f) DSGVO stützt, können Sie Widerspruch nach Art 21 DSGVO gegen die Verarbeitung wegen Ihrer besonderen persönlichen Situation erheben.

Ihre Betroffenenrechte gegenüber dem UKE-Konzern und seinen medizinischen Dienstleistern können Sie bei dem UKE geltend machen.