Praxis Gisbert Mönnich, Alsfelder Straße 6, 35305 Grünberg


Diese Datenschutzerklärung wurde aus einer Mustervorlage von Prof. Dr. Thomas Hoeren erstellt, die er zusammen mit Mitarbeitern der Forschungsstelle Recht des DFN - Vereins entwickelt hat (u.a. Johannes Baur und Charlotte Röttgen).



Name und Kontaktdaten des Verantwortlichen - ggf. Vertreter: Praxis Gisbert Mönnich, Alsfelder Straße 6, 35305 Grünberg

Name und Kontaktdaten des Datenschutzbeauftragten: nicht erforderlich.

Zwecke der Verarbeitung: Tätigkeitsgegenstand der Praxis ist die Psychotherapie, Beratung und Untersuchung von Patienten oder Ratsuchenden

Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten: Patientendaten, Daten von Lieferanten sowie anderer Geschäftspartner, sofern die Verarbeitung zur Erfüllung der oben genannten Zwecke erforderlich ist.

Kategorien von Empfängern, denen die Daten offengelegt worden sind bzw. werden (intern/extern) sowie Empfänger in Drittstaaten: Hierzu zählen: Verantwortliche des öffentlichen Rechts bei Vorliegen vorrangiger Rechtsvorschriften, externe Auftragnehmer gemäß Art. 28 DSGVO sowie Dritte, soweit dies zur Erfüllung der unten genannten Zwecke erforderlich ist. Hierzu zählen Zahlungsdienstleister, Behörden, Gerichte, sonstige öffentliche Stellen, z.B. Krankenkassen. Interner Empfänger kann z.B. die unten genannte Buchhaltung sein.

Übermittlung in Drittstaaten: Eine Übermittlung an andere Unternehmen mit Sitz außerhalb der EU findet nur in Ausnahmefällen und nur bei bestimmten Datenverarbeitungen statt.

Regelfristen für die Löschung der Datenkategorien: Der Gesetzgeber hat vielfältige Aufbewahrungspflichten und -fristen erlassen. Nach Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig gelöscht. Sofern Daten hiervon nicht berührt sind, werden sie gelöscht, wenn ihre spezifischen Verarbeitungszwecke wegfallen. Die konkreten Löschfristen werden bei den jeweiligen Verfahren in der Anlage beschrieben.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Die Systeme der Praxis werden durch eine Vielzahl von Maßnahmen gegen unbefugten Zugriff, Verlust oder Zerstörung, und unzulässige Veränderung geschützt. Details zu den Verfahren werden in der Anlage erläutert.

Name der Datenverarbeitung Zwecke der Datenverarbeitung Rechtsgrundlage Beschreibung der Verarbeitung Name der Datenverarbeitung Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO Betroffene / betroffene Personengruppen Personenbezogene Daten / Datenkategorien Name der Datenverarbeitung Empfänger / Empfängerkategorien Drittstaatentransfer Zugriffsberechtigte Name der Datenverarbeitung Regelfristen für die Löschung Allgemeine Beschreibung der technischen und organisatiorischen Maßnahmen Anmerkung Name der Datenverarbeitung Datenschutzfolgenabschätzung

Patienten
Anlegen von Akten, Erfassung der Daten für Anlegung der Akte Art. 6 Abs. 1 S. 1 lit.b DSGVO
Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung, Anlegen von Akten: Ja. Patienten Gesundheitsdaten, gegebenenfalls auch genetische Daten; Anlegen von Akten Intern: Praxisinhaber, Extern: andere Ärzte / Psychotherapeuten, Kassenärztliche Vereinigungen, Krankenkassen, der Medizinische Dienst der Krankenversicherung, Ärzte- oder Psychotheraeutenkammern: Möglich. Praxisinhaber, Anlegen von Akten zehn Jahre nach Ende der Behandlung, bei bestimmten chronischen Erkrankungen oder strafrechtlcher Relevanz 30 Jahre nach Ende der Behandlung, 15 Jahre bei Berufsunfällen

1. Zutrittskontrolle
2. Zugangskontrolle Aktenraum
3. Zugriffskontrolle Aktenschrank
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot

Einsatz und Nutzung des Praxisverwaltungssystems

Psychotherapeutische Dokumentation, Abrechnung der psychotherapeutischen Leistungen, Qualitätssicherung, Terminmanagement Art. 6 Abs. 1 S. 1 lit.b DSGVO
Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung.

Einsatz und Nutzung des Praxisverwaltungssystems: Ja. Patienten Gesundheitsdaten, gegebenenfalls auch genetische Daten Einsatz und Nutzung des Praxisverwaltungssystems Intern: Praxisinahber, extern: andere Ärzte / Psychotherapeuten, Kassenärztliche Vereinigungen, Krankenkassen, der Medizinische Dienst der Krankenversicherung, Ärzte- oder Psychotheraeutenkammern: Möglich. Praxisinhaber, Einsatz und Nutzung des Praxisverwaltungssystems zehn Jahre nach Ende der Behandlung, bei bestimmten chronischen Erkrankungen oder strafrechtlcher Relevanz 30 Jahre nach Ende der Behandlung, 15 Jahre bei Berufsunfällen

1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot

Buchhaltung
Finanzbuchhaltung Durchführung der Finanzbuchhaltung Art. 6 Abs. 1 lit. c DSGVO,§ 257 HGB, § 147 AO Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung Finanzbuchhaltung: Nein. Beschäftigte, Patienten, Partner und Lieferanten Reisekosten von Beschäftigten, Mandatsrechnungsdaten, Daten von Partnern und Lieferanten sowie alle dazugehörigen Abrechnungsunterlagen Finanzbuchhaltung Praxisinhaber: Nein. Praxisinhaber, Steuerberaterbüro Schornstein, Alsfeld, Finanzbuchhaltung Art. 17 Abs. 3 lit. b DSGVO, § 147 Abs. 3 AO, zehn Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist.
Achtung: Bei diesen Daten besteht eine Aufbewahrungspflicht! Eine Löschung vor Ablauf dieser Frist kommt nicht in Betracht.

1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot

Archivierung der Daten

Optisches Archiv zur revisionssicheren Archivierung von Auftrags- und Finanzbuchhaltungsdaten. Geschäftsunterlagen wie Kreditorenrechnungen oder Dokumenten werden hier manuell gescannt und archiviert. Art. 6 Abs. 1 lit. c DSGVO,§ 257 HGB , § 147 AO, § 4 Abs. 2a LStDV Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung Archivierung der Daten Nein Patienten, Lieferanten Eingangs-, Ausgangs-, Buchungsbelege, Unterlagen von Patienten Archivierung der Daten Praxisinhaber Nein Praxisinhaber Archivierung der Daten Art. 17 Abs. 3 lit. b) DSGVO, § 147 Abs. 3 AO, zehn Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist.
Achtung: Bei diesen Daten besteht eine Aufbewahrungspflicht! Eine Löschung vor Ablauf dieser Frist kommt nicht in Betracht.

1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot

Name der Datenverarbeitung: Elefant

Zwecke der Datenverarbeitung Rechtsgrundlage Beschreibung der Verarbeitung Name der Datenverarbeitung Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO Betroffene / betroffene Personengruppen Personenbezogene Daten / Datenkategorien Name der Datenverarbeitung Empfänger / Empfängerkategorien Drittstaatentransfer Zugriffsberechtigte Name der Datenverarbeitung Regelfristen für die Löschung Allgemeine Beschreibung der technischen und organisatiorischen Maßnahmen Anmerkung Name der Datenverarbeitung Datenschutzfolgenabschätzung

Buchhaltung
Allgemeine Abwicklung des Zahlungsverkehrs Allgemeine Abwicklungen der Zahlungen über den Praxisinhaber, Art. 6 Abs. 1 lit. b DSGVO Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung Allgemeine Abwicklung des Zahlungsverkehrs: Ja. Patienten Name und Kontodaten Allgemeine Abwicklung des Zahlungsverkehrs: Praxisinhaber. Möglich Praxisinhaber, der Buchhaltung, Steuerberater: siehe oben. Allgemeine Abwicklung des Zahlungsverkehrs Unverzüglich nach Ausscheiden des jeweiligens, Art. 17 Abs. 1 lit a) DSGVO

1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM Allgemeine Abwicklung des Zahlungsverkehrs nicht erforderlich

Controlling

Controlling zur Planung, Steuerung und Kontrolle aller Unternehmensbereiche. Das Controlling hat hier eine Kostenkontrollfunktion. Art. 6 Abs.1 lit. f DSGVO
§ 26 BDSG n.F.
Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung Controlling Nein Lieferanten, Patienten Vereinzelte Daten, die im Rahmen von Abrechnungen etc. sichtbar sind. Controlling Praxisinhaber: Nein. Praxisinhaber, in der Praxisführung Controlling: Hier nicht vorhanden, weil keine personenbezogenen Daten gespeichert werden.

1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM Controlling nicht erforderlich

Sonstiges
Wartung der Software Softwarewartung zur Behebung von Fehlern, zur Verbesserung der Performance oder anderer Attribute und Anpassungen an Veränderungen. Wartung der Software im Auftrag bedarf keiner eigenen Rechtsgrundlage; Voraussetzungen des Art. 28 DSGVO sind eingehalten. Wartung der Software Möglich Patientendaten Alle personenbezogenen Daten, die in der Software sichtbar sind. Wartung der Software von extern: Nein. Praxisinhaber, zugriffsberechtigte Angestellte, Hasomed GmbH, Paul - Ecke - Straße 1, 39114 Magdeburg.

Wartung der Software: hier nicht vorhanden, weil keine Daten gespeichert werden.

1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot

IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit

Betreuung und Administration der IT-Infrastruktur Art. 6 Abs. 1 S. 1 lit. b und f DSGVO
Art. 28 DSGVO IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit: Nein. Jede Art von Daten IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit IT -Mitarbeiter (extern) Nein Praxisinhaber, zugriffsberechtigte Angestellte, IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit: Nicht erforderlich, weil keine Speicherung von Daten erfolgt.

1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot

E-Mail-System

Bereitstellung, Verarbeitung und Archivierung von der E-Mail Kommunikation zur Datensicherung und effizienten Prozessgestaltung. Art. 6 Abs. 1 S. 1 lit. b, c, f DSGVO E-Mail-System: Möglich. Dritte (IT-Dienstleister etc.) Name, E-Mail, ggf. Anschrift, Kontaktdaten, Nutzungsdaten E-Mail-System Ausgewählte der IT-Abteilung, mit zertifiziertem Zugang, E-Mail-Empfänger: Nein. Praxisinhaber, zugriffsberechtigte Angestellte, T - online Deutschland. E-Mail-System Art. 17 Abs. 1 lit. a, Abs. 3 lit. b, lit. e DSGVO: unverzüglich nach Zweckerfüllung, bzw. § 147 Abs. 3 AO, zehn Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist.

1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot

Name der Datenverarbeitung

Zwecke der Datenverarbeitung Rechtsgrundlage Beschreibung der Verarbeitung Name der Datenverarbeitung Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO Betroffene / betroffene Personengruppen Personenbezogene Daten / Datenkategorien Name der Datenverarbeitung Empfänger / Empfängerkategorien Drittstaatentransfer Zugriffsberechtigte Name der Datenverarbeitung Regelfristen für die Löschung Allgemeine Beschreibung der technischen und organisatiorischen Maßnahmen Anmerkung Name der Datenverarbeitung Datenschutzfolgenabschätzung
Internetzugang Gewährleistung von Internetzugang. Art. 6 Abs. 1 S. lit. f und Art. 88 DSGVO
§ 26 BDSG (neu) Internetzugang: Nein. Browserverläufe, Name, ggf. E-Mail Internetzugang Praxisinhaber: Nein. Praxisinhaber, zugriffsberechtigte Angestellte, Internetzugang Art. 17 Abs. 3 lit. e DSGVO: bis zum Verjährungseintritt aller absehbaren Ansprüche - sieben Monate gemäß §§ 4, 5 KSchG, beginnend mit dem Ausspruch einer evtl. Kündigung.

1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot

Nutzerverwaltung und Zugriffsberechtigung IT

Verwaltung von Nutzern und Zugriffsberechtigungen im Active Directory-Verzeichnisdienst Art. 6 Abs. 1 S. lit. f und Art. 88 DSGVO
§ 26 BDSG (neu) Nutzerverwaltung und Zugriffsberechtigung IT: Nein. Name, Nutzerkennung, berufliche Position, E-Mail-Adresse Nutzerverwaltung und Zugriffsberechtigung IT Praxisinhaber: Nein Praxisinhaber, zugriffsberechtigte Angestellte, Nutzerverwaltung und Zugriffsberechtigung IT Art. 17 Abs. 1 lit. a DSGVO unverzüglich nach Ausscheiden.

1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot