Datenschutz

Der Schutz der personen-bezogenen Daten und somit auch die Sicherheit im Zusammenhang ihrer Erhebung, Verarbeitung, Speicherung und Zugriffe, ist dem Praxis-Inhaber nicht nur Verantwortung und Verpflichtung, sondern durch das besondere Vertrauensverhältnis der Patienten/Klienten zu ihm ein besonderes Anliegen.

1.2 Anmerkungen zur persönlichen Wertschätzung und Textformulierung

Ausschließlich aus Gründen der einfacheren Formulierung und Lesbarkeit werden die entsprechenden Begrifflichkeiten „Verantwortlicher“, „Datenschutzbeauftragter“, „Betroffener“, „Besucher“, „Klient“, „Patient“, „Betreuer“, „Erziehungsberechtigter“, „gesetzlicher Vertreter“ etc. in der ausschließlich maskulinen Ausdrucksweise verwendet. Es wird explizit betont, dass kein Geschlecht, keine ethnische Herkunft, keine Hautfarbe, kein religiöses Bekenntnis, keine politische Überzeugung, keine sexuelle Orientierung, keine soziale Herkunft, keine soziale Rolle, keine gesellschaftliche/berufliche Position sowie kein Persönlichkeits-bzw. Gesundheitsmerkmal in Ansehen bzw. Wertgeltung höher oder geringer eingeschätzt wird.      

1.3 Gültigkeit der vorliegenden Datenschutz-Bestimmungen

Die vorliegenden Datenschutz-Bestimmungen haben grundsätzlich für alle durch den Verantwortlichen erhobenen, verarbeiteten und gespeicherten personen-bezogenen Daten Gültigkeit und schließen die Verarbeitung personen-bezogener Daten innerhalb der Praxisräume vor Beginn der Behandlung, während der Behandlung und nach Ende der Behandlung mit ein.

1.4 Gesetzliche Grundlage

Grundlage der vorliegenden Datenschutz-Bestimmungen ist die Europäische Datenschutzgrundverordnung (EU-DSGVO), das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG) sowie weitere kontextbezogene verpflichtende gesetzliche Bestimmungen.

1.5 Begriffsbestimmungen

Definition „Personen-bezogene Daten“ gem. Art. 4, Abs. 1, EU-DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

1.6 Verarbeitung personen-bezogener Daten

Definition „Verarbeitung“ gem. Art. 4, Abs. 2, EU-DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

1.7 Zustimmung zur Speicherung technischer Daten auf dem Provider-Server (https://www.psychotherapie-saarland.com)

Die o.g. Website kann grundsätzlich ohne Registrierung/Login besucht werden. Dabei werden Daten wie beispielsweise aufgerufene Seiten bzw. Dateinamen abgerufener Dateien, Datum und Uhrzeit zu statistischen Zwecken auf dem Server gespeichert, ohne dass diese Daten unmittelbar auf Ihre Person bezogen werden. Mit dem Besuch der o.g. Website stimmt der Besucher der Verarbeitung dieser Daten zu.

1.8 Kontaktaufnahme bei Fragen

Sollte der Besucher der vorliegenden Website, der Betroffene bzw. der Patient/Klient Fragen zur Umsetzung der Datenschutz-Bestimmungen haben bzw. Auskünfte zu seinen erhobenen/verarbeiteten/gespeicherten Daten wünschen, wird er hiermit gebeten, sich an den Datenschutzbeauftragten/Verantwortlichen (s. Punkt 2.3) zu wenden.

 1.9 Datenschutzaufsichtsbehörde

Unabhängiges Datenschutzzentrum Saarland

Monika Grethel
Landesbeauftragte für Datenschutz und Informationsfreiheit

Fritz-Dobisch-Straße 12
66111 Saarbrücken – Deutschland

Telefon:   +49 (0)681 94781-0

Telefax:   +49 (0)681 94781-29E-
Mail: poststelle@datenschutz.saarland.de
Website:  http://www.datenschutz.saarland.de

2. Datenschutz-Bestimmungen – Teil 1

2.1 Auslösung und Grund der Daten-Verarbeitung

Jegliche Daten-Erhebung, Daten-Verarbeitung und Daten-Speicherung erfolgt auf die Anfrage bzw. Beauftragung des Betroffenen hin und ist zur gebotenen/sorgfältigen Erfüllung der Verpflichtung des Verantwortlichen zur Erbringung der gesundheitlichen (psychotherapeutischen, psychologischen) Leistungen auf Basis des mit dem Betroffenen geschlossenen Behandlungsvertrages erforderlich. 

2.2 Verarbeitung pesonen-bezogener Daten auf der Website „https://praxis-jmfranzen.com“

Die o.g. Website bzw. die Feldinhalte der enthaltenen Formulare sind SSL-verschlüsselt.

2.3 Verantwortlicher | Datenschutzbeauftragter | Praxis-Inhaber | Behandler

Praxis-Inhaber, Behandler, Verantwortlicher (i.S. der EU-DSGVO) und Datenschutzbeauftragter (i.S. der EU-DSGVO) ist:

Joachim Maria Franzen
Heilpraktiker für Psychotherapie
Staatliche Zulassung gemäß Heilpraktikergesetz | HeilprG

Mainzer Straße 139
66121 Saarbrücken
Deutschland

Festnetz:    +49 (0)681 75590605
Mobilnetz:  +49 (0)177 7557949

E-Mail:       info@praxis-jmfranzen.com
E-Mail:       datenschutz@praxis-jmfranzen.com
Website:    https://psychotherapie-saarland.com

Der Datenschutzbeauftragte wurde am 17.05.2018 gem. Art. 37, Abs. 1, EU-DSGVO benannt. Zuständig und verantwortlich für die Erhebung, Verarbeitung und Speicherung der personen-bezogenen Daten im vorliegenden Gesetzeskontext ist der vorstehend benannte Verantwortliche (s. Gliederungspunkt 2.3)

2.4 Betroffene(r) | Besucher | Patient | Klient | Gesetzlicher Vertreter | Erziehungsberechtigter | Betreuer

Der Besucher ist die Person, welche die vorliegende Website aufruft und die damit verbundenen Inhalte wahrnimmt. Der Besucher kann gleichzeitig Betroffener und/oder Patient/Klient sein.

Der Betroffene kann der Patient/Klient sein. Patient/Klient ist die Person, welche die Leistungen des Verantwortlichen/ Praxis-Inhabers/Behandlers direkt in Anspruch nimmt.Ist der Patient/Klient minderjährig, so handelt/handeln für ihn der/die Erziehungs-berechtigte(n) als gesetzliche(r) Vertreter.

Wurde für den Patienten/Klienten seitens des Betreuungsgerichts ein Betreuer bestellt, so handelt dieser für den Patienten/ Klienten im Rahmen der seitens des Betreuungsgerichts zugewiesenen Befugnis/Verantwortung.

Von der Erhebung und Verarbeitung personen-bezogener Daten innerhalb der Praxisräume sind regelmäßig Patienten/Klienten betroffen. Aktuell werden keine Mitarbeiterinnen/Mitarbeiter beschäftigt und keine Personal-Auswahlverfahren/Bewerbungs-verfahren durchgeführt.

2.5 Rechtmäßigkeit der Verarbeitung (Verarbeitungsort: Praxisräume)

Die Verarbeitung der personen-bezogenen Daten erlangt ihre Rechtmäßigkeit in vorliegendem Fall durch die bewusste, freiwillige, unmissverständliche, schriftlich abgegebene sowie durch die Unterschrift des Betroffenen erkennbare und bestätigte Einwilligung. Da die Verarbeitung der personen-bezogenen Daten (insbes. Gesundheitsdaten) des Betroffenen durch den Verantwortlichen, unverzichtbare Voraussetzung für die Vertragserfüllung und damit für die Leistungserbringung (Psychotherapie, psychologische Beratung) des Verantwortlichen ist, erlangt die Verarbeitung der Daten hierdurch zusätzliche Rechtmäßigkeit.

2.6 Zweck der Verarbeitung (Verarbeitungsort: Praxisräume)

Der Verantwortliche betreibt eine Praxis für Psychotherapie und psychologische Beratung.

Der gesamte Prozess der psychotherapeutischen Behandlung bzw. psychologischen Beratung benötigt die personen-bezogenen Daten als unverzichtbare Grundlage für eine zweckdienliche Exploration/ Anamnese, Diagnostik, Therapie/Beratung, Nachsorge und Prävention.

2.7 Verarbeitungstätigkeiten / Verzeichnis der Verarbeitungstätigkeiten

Verarbeitungstätigkeiten sind:

Das Erheben, das Erfassen, das Ordnen, das Speichern, das Auslesen, das Abfragen, das Löschen, das Vernichten, das Einschränken, das Verwenden, das Organisieren, das Anpassen, das Verändern, das Offenlegen durch Übermittlung, das Verbreiten oder eine andere Form der Bereitstellung, das Abgleichen, das Verknüpfen von personen-bezogenen Daten des Betroffenen bzw. des Besuchers. Die Verarbeitungstätigkeiten sind im „Verzeichnis der Verarbeitungstätigkeiten“ aufgeführt. 

2.8 Verarbeitete Daten einschließlich Gesundheitsdaten (Verarbeitungsort: Praxisräume)

2.8.1 Patienten | Klienten

Die Daten-Erhebung/Daten-Verarbeitung erfolgt durch psychotherapeutische bzw. psychologische Interpretation/Analyse/ Auswertung der erhobenen Informationen mit dem Ziel der unter Punkt 5 aufgeführten Tätigkeiten/Prozesse wie auch mit dem Ziel der Erreichung der Patienten/Klienten-Ziele und wird i.d.R. ausschließlich vom Verantwortlichen, bzw. wenn künftig anwendbar, von dessen Mitarbeitern durchgeführt. Weiterhin erfolgt die Daten-Erhebung/-Verarbeitung im Bedarfsfall durch Empfang/Versand von E-Mail-Nachrichten, Facsimile-Nachrichten und postalischen Empfang/Versand von Briefen in Papierform.

Der Verantwortliche führt im Auftrag seiner Patienten/Klienten (Betroffenen) psychotherapeutische/psychologische Interventionen durch. Um Ursachen, Auslöser, zwingende Voraussetzungen, begünstigende sowie abschwächende Bedingungen, aufrechterhaltende Faktoren, krankheitsrelevante Aspekte, Behandlungsrestriktionen und Behandlungschancen einschätzen zu können, ist es wichtig, ihn im Zentrum seiner persönlichen Einflüsse zu sehen und seine Einbindung in den familiären, beruflichen und sonstigen sozialen Kontext zu betrachten.

In diesem Zusammenhang sind u.a. Informationen über u.a. frühkindliche Prägung, Entwicklungsbedingungen, Erziehungsstil, Kommunikationsstil innerhalb der Familie, zurückliegende Vor-Erkrankungen und deren Behandlung, Klinikaufenthalte/Operationen, aktuelle Beschwerden/aktuelle Erkrankungen, kritische Lebensereignisse, der evtl. Konsum abhängigkeitserzeugender Substanzen, Stressfaktoren/seelische Belastungszustände, angstauslösende/traumatisierende Momente, evtl. selbstschädigendes Verhalten, evtl. früher/akut vorliegende Suizidversuche/Suizidabsichten sowie besondere Kategorien personenbezogener Daten (z.B. u.a. Glaubensrichtung, Lebenskonzept, ethisch-moralische Überzeugung etc.) und weitere ähnliche Informationen von entscheidender therapeutischer Bedeutung.  Die exakte Benennung der einzelnen Datenfelder auf elementarer Ebene orientiert sich an den im Bereich der Psychiatrie/Psychotherapie allgemein üblichen Erhebungsstandards, wie in der einschlägigen Fachliteratur gefordert/empfohlen. Die hierzu erforderliche Datenerhebung (manuelle und/oder elektronisch unterstützte Niederschrift/Dokumentation der vorstehend beschriebenen Inhalte) erfolgt im Wesentlichen durch Interview des Betroffenen und das Ausfüllen der sog. „Selbstauskunft“ (Formular).

Sollte der Betroffene nicht geeignet auskunftsfähig sein, können bei Erfordernis Familienangehörige bzw. weitere auskunftsfähige Personen im Rahmen einer Fremd-Anamnese ergänzend befragt werden. Die vorliegenden Bestimmungen gelten für diesen Personenkreis entsprechend. Der Verantwortliche wird dem Betroffenen in diesem Fall die Quelle der zu seiner Person erhobenen personen-bezogenen Daten bekanntgeben. Dies gilt auch für den Bezug dieser Daten aus einer öffentlich zugänglichen Quelle. 

Die Erhebung der erwähnten Daten kann bei vorliegender Erlaubnis des Betroffenen sowie gem. den gesetzlichen Bestimmungen auch mit Hilfe elektronischer Aufnahmegeräte (Aufzeichnungen mittels Diktiergerät) erfolgen. Die hierbei entstehenden Sprach-Aufzeichnungen werden in digitalem Format zur weiteren Verarbeitung unter Berücksichtigung der Aufbewahrungsfristen (akt. 10 Jahre) elektronisch gespeichert.

Folgende Dokumente/Formulare (Papierform) nehmen die personenbezogenen Daten auf:

Aufklärung, Behandlungsvertrag, Datenschutz-Bestimmungen, Akzeptanzerklärung zu den Datenschutz-Bestimmungen, Patienten/Klienten-Stammblatt, Selbstauskunft, Ausschluss organischer Ursachen, Exploration, Anamnese, freie Notizen, psychologische Tests, Psychopathologischer Befund, Diagnose, Sitzungsprotokolle zur jeweils eingeleiteten Therapien/ Behandlungen/Beratungen, Aufklärungsnachweise, Zustimmung des gesetzlichen Vertreters, Entbindung von der Schweigepflicht, Abrechnung, Kassenbuch, Patienten/Klienten-Akte, Quittungen, Praxis-Newsletter, Gutscheine, Termin-Zettel, Rechnungen, Terminplanung, Zustimmung zu erforderlichen Therapien/Behandlungen/Beratungen.

Grundsätzlich werden nur solche personenbezogenen Daten erhoben und verarbeitet, die für die Erbringung der unter Punkt 5 aufgeführten Tätigkeiten/Prozesse erforderlich sind. Eine Weitergabe personen-bezogener Daten erfolgt im Interesse des Betroffenen nur dann, wenn es zur Durchführung der unter Punkt 5 genannten Tätigkeiten/Prozesse erforderlich ist, wenn der Betroffene zustimmt und den Verantwortlichen von seiner Schweigepflicht entbindet, und selbst dann ausschließlich nur an etwaige andere Behandler/Weiter-Behandler (Heilpraktiker, Therapeuten, Kliniken, Ärzte) zur weiteren  Untersuchung/Diagnostik/Therapie/ Behandlung/Beratung.

Weiterhin kann eine Daten-Weitergabe erfolgen, wenn der Verantwortliche aus gesetzlichen Gründen dazu verpflichtet ist. Eine Weitergabe der Daten an Familien-Angehörige oder Lebenspartner erfolgt grundsätzlich nicht bzw. nur bei ausdrücklicher schriftlicher Zustimmung durch den Betroffenen.  

2.8.2 Beschäftigte

Soweit anwendbar, sind zu erhebende bzw. zu verarbeitende personen-bezogenen Daten von Mitarbeitern: Name, Vorname, Geburtsdatum, Anschrift (Straße, Nr., Postleitzahl, Ort), Telefon-Nummer, E-Mail-Adresse, Familienstand, Anzahl der Kinder, Gehalt, Daten zur Sozialversicherung, steuer-relevante Daten und Leistungseinschätzungen/Zeugnisse/Beurteilungen.

Diese personen-bezogenen Daten werden ausschließlich im Rahmen eines üblichen Anstellungsverhältnisses verwendet.  Eine Weitergabe der erhobenen Daten erfolgt ausschließlich im erforderlichen Rahmen der Sozialversicherung und Versteuerung.  Die Zustimmung des Betroffenen erfolgt bei Abschluss des Anstellungsvertrages. Zur Zeit gibt es keine Beschäftigten.   

 2.8.3 Bewerber

Soweit anwendbar, sind zu erhebende bzw. zu verarbeitende personen-bezogenen Daten von Bewerbern: Name, Vorname, Geburtsdatum, Anschrift (Straße, Nr., Postleitzahl, Ort), Telefon-Nummer, E-Mail-Adresse, Familienstand, Anzahl von Kindern, lebenslauf-bezogene Daten, ausbildungsbezogene/anstellungsbezogene Daten und Leistungseinschätzungen/Zeugnisse/ Beurteilungen/Zertifikate.

Diese Daten sind Bestandteil der Bewerbung, verbleiben nur für die Zeit des Bewerber-Auswahlverfahrens für eine Anstellung in den Händen des Verantwortlichen und werden nach Beendigung des Bewerber-Auswahlverfahrens zur Entlastung des Verantwortlichen an den Absender zurückgereicht.

Die personen-bezogenen Daten werden vom Verantwortlichen im Rahmen eines üblichen Bewerbungs- und Personalauswahl-verfahrens zur Einschätzung des Bewerbers bzw. zur Erstellung erforderlicher Anschreiben an den Bewerber verwendet.  Die Zustimmung des Betroffenen erfolgt im Rahmen des Bewerbungsanschreibens. Ist die Zustimmung des Betroffenen zur Daten-
Erhebung/Daten-Verarbeitung nicht Inhalt der Bewerbung, wird die Bewerbung an den Absender (ohne Erhebung bzw. Verarbeitung der Daten des Betroffenen) zurückgesandt. Zur Zeit werden keine Personal-Auswahlverfahren/Bewerbungs-verfahren durchgeführt.  

 2.9 Dauer der Datenaufbewahrung | Gesetzliche Aufbewahrungsfristen | Daten-Sperrung | Daten-Löschung

Daten im vorgenannten Zusammenhang werden sowohl elektronisch als auch handschriftlich erfasst. Die zur Therapie/Behandlung/ Beratung erhobenen und verarbeiteten personen-bezogenen Daten des Betroffenen werden bis zum Ablauf der gesetzlichen Aufbewahrungsfrist von 10 Jahren nach Ablauf des Kalenderjahres, in dem die Therapie/Behandlung/ Beratung beendet wurde, gespeichert und aufbewahrt. Danach werden diese Daten gelöscht/vernichtet. Ausnahmen bilden Fälle, wonach die Daten aus gesetzlichen Gründen bzw. aufgrund behördlicher Anordnung nicht gelöscht werden dürfen und daher zunächst für die Löschung gesperrt sind.

 2.10 Einwilligung / Zustimmung / Erlaubnis

Eine Daten-Erhebung, Daten-Verarbeitung, Daten-Speicherung/Daten-Aufbewahrung sowie erforderlichenfalls eine Daten-Weiterleitung erfolgt nur, wenn seitens des Betroffenen eine unterzeichnete Einverständnis-Erklärung vorliegt, die dies nachweislich gestattet bzw. eine Vertragserfüllung (Psychotherapie, psychologische Beratung) ohne dies nicht möglich ist.

Die Einwilligung kommt i.d.R. in der Praxis des Verantwortlichen während des Erst-Termins durch eindeutige und freiwillige Unterzeichnung des Behandlungsvertrages sowie durch freiwilliges Akzeptieren der Datenschutz-Bestimmungen zustande.

 2.11 Ablehnung │ Widerruf │ Einschränkung der Verarbeitung │ Daten-Löschung

Der Betroffene hat das Recht, die Erhebung seiner personen-bezogenen Daten bzw. deren Verarbeitung sowie Speicherung jederzeit ohne Angabe von Gründen sowie ohne entstehende Kosten zu abzulehnen, zu einem späteren Zeitpunkt (nach bereits erteilter Einwilligung) zu widerrufen oder die Verarbeitung der Daten nach den gesetzlichen Bestimmungen durch Auftrag
einschränken, berichtigen bzw. löschen zu lassen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Daraus entstehende Folgen für den Betroffenen als Patient/Klient:

Im Falle von Ablehnung, Widerspruch, Widerruf oder Einschränkung der Daten-Erhebung, Daten-Verarbeitung oder Daten-Speicherung ist die Erbringung der psychotherapeutischen/psychologischen Dienstleistungen/Behandlungen durch den Verantwortlichen/Praxis-Inhaber/Behandler nicht (mehr) möglich; eine Therapie/Behandlung/Beratung kann und darf daher nicht
bzw. nicht mehr durchgeführt und muss somit abgelehnt werden. Die personen-bezogenen Daten werden in diesem Falle nicht erhoben/ verarbeitet/gespeichert.

2.12 Verpflichtung zu Datengeheimnis | Datenschutz | Verschwiegenheit

Der Verantwortliche unterliegt grundsätzlich, auch unabhängig von den im vorliegenden Zusammenhang relevanten gesetzlichen Regelungen, der Schweigepflicht. Die in diesem Zusammenhang geltenden gesetzlichen Bestimmungen werden eingehalten.

2.13 Auftragsdatenverarbeitung

2.13.1 Inhalt der Auftragsdatenverarbeitung

Gegenstand der Auftragsdatenverarbeitung sind die personen-bezogenen, gesundheitsbezogenen, termin-bezogenen (Tag, Datum, Uhrzeit, Start und Dauer der Sitzung), zahlungsbezogenen (Kreditkartendaten etc.) Daten des Patienten/Klienten. Dies schließt die von Zahlungsdienstleistern erhobenen und zur Abwicklung der Zahlung erforderlichen Daten zu Bonitätsprüfung, Scoring und Tracking mit ein.

2.13.2 Übersicht der Auftragsdatenverarbeitung

Auftragsdatenverarbeitung findet im folgenden funktionalen Kontext statt:
– Online-Formulare auf der Praxis-Website: WordPress-PlugIn „WPForms“ (Kontaktformular, Terminanfrage ohne Buchung, Anmeldung der Teilnahme an Vorträgen/Info-Abenden)
– Online-Terminbuchung auf der Praxis-Website: WordPress-PlugIn „WP Booking Calendar“
– Online-Zahlung auf der Praxis-Website: WordPress-PlugIn „WP Booking Calendar (Schnittstelle zu Zahlungsdienstleistern Stripe, PayPal, Klarna)
– Website-Hosting

Funktionsbereiche:
– Praxis-Software (Epikur)
– Website-Hosting (WordPress/Automattic)
– Online-Formulare (WPForms)
– Online-Termin-Buchung (Produkt: WP Booking Calendar)
– SEPA-Banküberweisungen (Zahlungsdienstleister FINOM Payments)
– Online-Zahlung (Zahlungsdienstleister: Stripe, PayPal, Klarna)

Produkte:
– EPIKUR (Praxis-Software: Patienten-, Termin-, Behandlungs-, Abrechnungs-, Auswertungs-Verwaltung)
– WORDPRESS/AUTOMATTIC (Entwicklungs-, Hosting- und Betriebs-Plattform der Website)
– WPFORMS (WordPress PlugIn für Formular-Design/Formular-Anwendung)
– WP BOOKING CALENDAR (WordPress PlugIn zur Online-Terminbuchung)
– FINOM (Zahlungsdienstleister, SEPA-Banküberweisungen)
– STRIPE (Zahlungsdienstleister, über WP Booking Calendar erreichbar)
– PAYPAL (Zahlungsdienstleister, über WP Booking Calendar erreichbar
– KLARNA (Zahlungsdienstleister, über WP Booking Calendar erreichbar)

2.13.3 Praxis-Software EPIKUR

Unternehmen:
EPIKUR Software GmbH & Co. KG, Franklinstraße 26 a, 10587 Berlin 

Verarbeitungszweck:
Das Software-System ist die zentrale Verwaltungssoftware der Praxis und dient der Verwaltung von Patientendaten, Termindaten, Behandlungsdaten, Protokollen, Abrechnungen und Auswertungen. Darüber hinaus ermöglicht es die verschlüsselte Kommunikation (E-Mail, SMS) und Durchführung verschlüsselter Online-Video-Sitzungen (voll integriert über die Software selbst oder über einen Internet-Browser).
Der Praxis-Inhaber setzt die Praxis-Software-System EPIKUR des gleichnamigen Unternehmens ein. Alle datenschutzrelevanten Aspekte zur Auftragsdatenverwaltung ergeben sich aus dem Vertrag mit dem Unternehmen EPIKUR, welches die Einhaltung der DSGVO/Datenschutzgrundverordnung sowie des BDSG/Bundesdatenschutzgesetzes zusichert (Zertifikate sind vorliegend). Relevant ist in diesem Zusammenhang die Ende-zu-Ende-Verschlüsselung des gesamten Datenverkehrs zwischen der Praxis und dem Unternehmen EPIKUR. Dies schließt insbesondere die Synchronisierung von Termin-Daten sowie den erforderlichen Datenverkehr im Rahmen der Online-Video-Sitzungen (Modul: Video-Sprechstunde) ein. Gemäß EPIKUR ist das Modul „Video-Sprechstunde“ von der KBV/Kassenärztlichen Bundesvereinigung zugelassen. EPIKUR speichert die Daten nicht auf eigenen Servern, sondern lokal innerhalb der Systeme der Praxis.  

Auftragsdatenverarbeitungsvertrag:
Die Software speichert alle Daten lokal auf dem Praxis-Server und fungiert nicht als Auftragsdatenverarbeiter. Es ist kein Auftragsdatenverarbeitungsvertrag erforderlich.

Link zur Datenschutz-Seite:
https://www.epikur.de/datenschutzerklaerung/

2.13.4 WP Booking Calendar (WordPress PlugIn)

Verarbeitungszweck:
Online-Terminbuchung zur Planung von Terminen/Terminzeiträumen mit Schnittstelle zu Zahlungsdienstleistern (z.B. u.a. Stripe, PayPal, Klarna etc.). Bitte Punkt „Online-Zahlung über Zahlungsdienstleister“ beachten

Auftragsdatenverarbeitungsvertrag:
Für die Organisation und Verwaltung von Terminanfragen auf der Website wird das WordPress-Plugin *WP Booking verwendet. Alle Eingaben (z. B. Name, E‑Mail, Telefonnummer, Terminwunsch) werden ausschließlich auf dem eigenen Praxis-Server verarbeitet und nicht an externe Anbieter weitergegeben. Nach Nutzung werden diese Daten spätestens 24 Monaten gelöscht, wenn der Termin stattgefunden hat oder nicht zustande kommt. Die Daten sind sicher gespeichert und können jederzeit auf Anfrage eingesehen, geändert oder gelöscht werden. Es ist kein Auftragsdatenverarbeitungsvertrag erforderlich.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und ggf. Art. 6 Abs. 1 lit. f DSGVO (interessen-basiert). 

2.13.5 FINOM Payments

Verarbeitungszweck:
Im Zusammenhang der Planung des Erst-Termins planen Patienten/Klienten ihren Termin selbst (WP Booking Calendar) und überweisen danach die zugehörigen Sitzungsgebühren per SEPA-Banküberweisung auf das Konto der Praxis (FINOM Payments).

Link zur Datenschutz-Seite:
Datenschutz-Richtlinie:
https://storage.googleapis.com/fnm-pub/legal-documents/documents/privacy_policy/v2.4/Privacy%20Policy%20v.2.4_DE%20(2025).pdf
https://app.finom.co/api/auth/company/docs/privacy?v=1.0.2&companyId=19716d46-d0e1-47c0-839e-221f005e1517&userId=c5ba99ee-c8e3-4258-a6a4-4016a2dc1fb4
Cookie-Richtlinie:
https://storage.googleapis.com/fnm-pub/legal-documents/documents/cookie_policy/v3.0/cookie_policy-DE.html

Allgemeine Geschäftsbedingungen:
https://storage.googleapis.com/fnm-pub/legal-documents/documents/terms_and_conditions/v4.1.0/terms_and_conditions-DE.html#Finom%20Allgemeine%20Gesch%C3%A4ftsbedingungen

Allgemeine Geschäftsbedingungen TREEZOR-PLN FINTECH:
https://storage.googleapis.com/fnm-pub/legal-documents/documents/terms_and_conditions/v4.1.0/terms_and_conditions-DE.html#Allgemeine%20Gesch%C3%A4ftsbedingungen:%20TREEZOR-PNL%20FINTECH

Allgemeine Geschäftsbedingungen SOLARIS-PLN FINTECH:
https://storage.googleapis.com/fnm-pub/legal-documents/documents/terms_and_conditions/v4.1.0/terms_and_conditions-DE.html#Gesch%C3%A4ftsbedingungen:%20SOLARIS-PNL%20FINTECH

Allgemeine Geschäftsbedingungen FINOM-PAYMENTS-PLN FINTECH:
https://storage.googleapis.com/fnm-pub/legal-documents/documents/terms_and_conditions/v4.1.0/terms_and_conditions-DE.html#Gesch%C3%A4ftsbedingungen:%20FINOM%20PAYMENTS-PNL%20FINTECH

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Kommunikations- bzw. Vertragspartner:
Jachthavenweg 109H
1081 KM Amsterdam
The Netherlands
Finom Payments B.V. ist als E‑Geld-Institut durch die De Nederlandsche Bank (DNB) reguliert und im niederländischen Handelsregister unter der Nummer KVK 78680751 eingetragen.
Finom Payments B.V. Zweigniederlassung Deutschland
c/o Mindspace
Münzstraße 12
10178 Berlin
Germany
Die Niederlassung dient administrativer Unterstützung in Deutschland und ist im Handelsregister Charlottenburg unter HRB 251483 B registriert.

Zahlungsdienstevertrag | Auftragsdatenverarbeitung:
Die Regelungen sind abrufbar unter:
https://storage.googleapis.com/fnm-pub/legal-documents/documents/finom_payments_services_agreement/v1.3.0/finom_payments_services_agreement-DE.html
https://app.finom.co/api/auth/company/docs/privacy?v=1.0.2&companyId=19716d46-d0e1-47c0-839e-221f005e1517&userId=c5ba99ee-c8e3-4258-a6a4-4016a2dc1fb4

2.13.6 STRIPE (Aktuell für die Praxis nicht genutzt und zur Zeit in Planung stehend)

Verarbeitungszweck:
Abwicklung von Online-Zahlungen in Verbindung mit durch den Patienten selbst gebuchten Psychotherapie-Terminen

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Kommunikations- bzw. Vertragspartner:
Stripe Payment Europe Limited, Irland

Auftragsdatenverarbeitungsvertrag:
Der Vertrag Stripe-DPA wurde abgeschlossen, kommt durch Nutzung der Stripe-Dienste automatisch zustande und wird somit automatisch wirksam.

Er ist abrufbar unter:
https://stripe.com/de/legal/dpa
https://stripe.com/de/legal/ssa

Internationale Datenübermittlung:
Stripe verwendet EU‑Standardvertragsklauseln (SCCs) und ist im EU‑U.S. Data Privacy Framework zertifiziert
t-stripe.com+2sistrum.eu+2Muster für Datenschutzerklärung+2

Link zur Datenschutz-Seite:
https://stripe.com/privacy

2.13.6 PAYPAL (Aktuell für die Praxis nicht genutzt und zur Zeit in Planung stehend)

Verarbeitungszweck:
Abwicklung von Online-Zahlungen in Verbindung mit durch den Patienten selbst gebuchten Psychotherapie-Terminen

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Kommunikations- bzw. Vertragspartner:
PayPal (Europe) S.à r.l. et Cie, 22–24 Boulevard Royal, L‑2449 Luxembourg

Auftragsdatenverarbeitungsvertrag:
Im Sinne der DSGVO nicht erforderlich. PayPal handelt eigenständig (vgleichbar einer Bank). Die Datenverarbeitung erfolgt auf Basis Art. 6 Abs. 1 lit. b DSGVO zur Vertragsabwicklung.

Internationale Datenübermittlung:
Die Datenübermittlung in die EU und in die USA erfolgt mittels Standardvertragsklauseln (SCCs). Details zur Datenverarbeitung und SCCs sind in der PayPal-Datenschutzerklärung einsehbar.
http://www.paypal.com/de/webapps/mpp/ua/privacy-full.
PayPal nutzt EU-Standardvertragsklauseln (SCCs) für Transfers in Drittländer (z. B. USA).
Datenschutz Notizen+4eRecht24+4nachhaltigkeit.bvng.org+4.

Link zur Datenschutz-Seite:
https://www.paypal.com/de/legalhub/paypal/privacy-full

2.13.8 KLARNA (Aktuell für die Praxis nicht genutzt und zur Zeit in Planung stehend)

Kommunikations- bzw. Vertragspartner:
Klarna AB, Sveavägen 46, 111 34 Stockholm, Schweden

Verarbeitungszweck:
– Abwicklung von Online-Zahlungen in Verbindung mit durch den Patienten selbst gebuchten Psychotherapie-Terminen
– Abwicklung Ihrer Zahlung (Kauf auf Rechnung, Ratenkauf o. Ä.), Identitäts- und Bonitätsprüfung, Betrugsprävention.

Wenn „Klarna“ als Zahlungsvariante ausgewählt wird, werden die Daten (u. a. Name, Adresse, Geburtsdatum, E-Mail, IP-Adresse, Zahlungs- und Bestelldaten) an Klarna AB, Sveavägen 46, 111 34 Stockholm, Schweden übermittelt.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); bestimmte Vorgänge wie Score-Erhebung basieren auf Art. 6 Abs. 1 lit. a (siehe Einwilligung).
Klarna übermittelt die eingegebenen Zahlungsdaten an Auskunfteien (z. B. SCHUFA) und verbundene Unternehmen, soweit dies zur Vertragserfüllung erforderlich ist. Die Details zur Verarbeitung finden Sie in der Datenschutzerklärung von Klarna:

https://cdn.klarna.com/1.0/shared/content/policy/data/de_de/data_protection.pdf

Klarna-Cookies und Tracking:
Zur sicheren Zahlungsabwicklung verwendet Klarna Cookies (z. B. klarna_sdk_klarna-shopping-session) und Gerätedaten (IP-Adresse, Browserinformationen, Geräte-Fingerprinting). Diese Maßnahmen basieren auf unserem berechtigten Interesse zur Sicherheit des Zahlungsvorgangs (Art. 6 Abs. 1 lit. f DSGVO). Weitere Informationen finden Sie unter:
https://cdn.klarna.com/1.0/shared/content/policy/cookie/de_de/checkout.pdfKlarna+15wiwi.digital+15Reddit+15BILD+1endlich-sicher.de+1

Auftragsdatenverarbeitungsvertrag:
Klarna handelt nicht im Kundenauftrag, sondern selbständig. Ein Vertrag zur Auftragsdatenverarbeitung ist nicht erforderlich.

Link zur Datenschutz-Seite:
https://www.klarna.com/de/datenschutz/

2.13.9 WPFORMS (Online-Formulare):

Verarbeitungszweck:
– Kontakt- und Anmeldeformulare (WPForms)
– Verwendung von WPForms (WordPress PlugIn) zur Erstellung und Verwaltung von Online-Formularen zur direkten Speicherung der Eingabedaten in der WordPress-Datenbank
– Das Plugin bietet Funktionen zur DSGVO-Konformität, z. B. SSL-Verschlüsselung, Consent-Checkboxen, Cookie-Deaktivierung     und Eintragslöschung auf Wunsch.
– Abwicklung von Online-Zahlungen in Verbindung mit durch den Patienten selbst gebuchten Psychotherapie-Terminen

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Auftragsdatenverarbeitungsvertrag:
– Keine externe Datenverarbeitung, die durch WPForms übernommen wird. WPForms stellt nur das Tool zur Verfügung, ohne
  selbst Datenverantwortung für Nutzerdaten zu übernehmen.
– Eingabedaten werden vollständig auf der vorliegenden Website gespeichert. WPForms übernimmt keine Eintragsdaten auf eigene
  Server. Ein Auftragsdatenverarbeitungsvertrag mit WPForms selbst ist daher nicht erforderlich.

Weitere Informationen:
– DSGVO/DGDPR-Einstellungen sind aktiviert (Deaktivierung von Cookies, IP-Adressen, User-Agent)
– Vorhanden sind eigene Pflicht-Checkboxen zur Einwilligung (z. B. Datenschutzerklärung, AGB, Einwilligung zur Speicherung)
– Einträge können auf Anfrage exportiert oder gelöscht werden

Link zur Datenschutz-Seite:
https://wpforms.com/privacy-policy/

2.13.10 Web-Hosting (WordPress/Automattic):

Verarbeitungszweck:
Die Website wird bei https://wordpress.com gehostet. Anbieter ist Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA. Im Rahmen der Nutzung von WordPress.com werden personenbezogene Daten (z. B. IP-Adresse, Browserinformationen, ggf. eingegebene Formulardaten) auf Servern von Automattic verarbeitet. Automattic ist in diesem Sinne als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig.

Kommunikations- bzw. Vertragspartner:
Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA.

Auftragsdatenverarbeitungsvertrag:
Der Vertrag zur Auftragsdatenverarbeitung wurde mit Automattic abgeschlossen. Er ist abrufbar unter:
https://wordpress.com/de/support/datenverarbeitungsvereinbarung/

Rechtsgrundlage:
Die Verarbeitung erfolgt zur technischen Bereitstellung dieser Website und zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO, ggf. auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Datenübermittlung in Drittländer: 
Daten können dabei auch in die USA übertragen werden. Zum Schutz der Daten wurde mit Automattic einen Vertrag zur Auftragsverarbeitung (Data Processing Agreement, DPA) geschlossen, der die Verarbeitung auf Basis der EU-Standardvertragsklauseln (SCCs) absichert.

Links zur Datenschutz-Seite und zu weiteren Informationen:  
 https://automattic.com/privacy/
 https://wordpress.com/de/support/datenverarbeitungsvereinbarung/

2.14 Informationspflicht (https://www.praxis-jmfranzen.com)

Der Betroffene wird als Patient/Klient, soweit anwendbar als Beschäftigter und soweit anwendbar als Bewerber auf der o.g. Website sowie in den Praxis-Räumen des Verantwortlichen über die geltenden Datenschutz-Bestimmungen informiert und aufgeklärt. In den Praxis-Räumen des Verantwortlichen erhält der Betroffene die Datenschutz-Bestimmungen (gedrucktes Dokument) als Anlage zum Behandlungsvertrag während des Erst-Termins ausgehändigt, welchen der durch seine Unterschrift zustimmen kann. Steht der Betroffene als Beschäftigter in einem Arbeitsverhältnis zum Verantwortlichen/Praxis-Inhaber, sind die Datenschutz-Bestimmungen seinem Anstellungsvertrag als mitgeltendes Dokument beigefügt. Sofern der Betroffene via E-Mail kontaktiert wird, erhält er die Datenschutz-Bestimmungen bereits als Anhang zur ersten zugeleiteten E-Mail-Nachricht.  

2.15 Quellen personen-bezogener Daten

Die Quelle der verarbeiteten personen-bezogenen Daten ist i.d.R. der Betroffene selbst. Im Rahmen der gesamten Behandlung/Therapie/Beratung (speziell auch während der Exploration und Anamnese) teilt der Betroffene als Patient/Klient diese Daten dem Verantwortlichen/Behandler verbal mit. In Fällen, in welchen die Äußerungen des Betroffenen nicht ausreichen oder zweifelhaft erscheinen kann es erforderlich werden, eine Fremd-Anamnese durchzuführen, um beispielsweise von Familien-Mitgliedern oder anderen, dem Betroffenen nahestehende Personen, eine geeignete Einschätzung zu erhalten. Werden personen-bezogene Daten ohne Beteiligung des Betroffenen erhoben, wird der Verantwortliche den Betroffenen hierzu in Kenntnis setzen.

2.16 Daten-Weitergabe  / Erlaubnis des Betroffenen / Keine Weitergabe an Drittländer

Sollte aus Gründen der Weiterbehandlung/Mitbehandlung des Betroffenen (Patient/Klient) eine Daten-Weitergabe erforderlich sein, so erfolgt dies nur, wenn der Betroffene in die Daten-Weitergabe schriftlich einwilligt (Erlaubnis des Betroffenen). In diesem Fall werden die Daten in Abhängigkeit des Einzelfalls nur an Heilpraktiker, Therapeuten, Kliniken, Ärzte und Krankenversicherungen weitergegeben. Eine Weitergabe zu anderen Zwecken ist ausgeschlossen, es sei denn der Verantwortliche ist aufgrund gesetzlicher Bestimmungen dazu verpflichtet. Sollte dies der Fall sein, wird der Betroffene durch den Verantwortlichen entsprechend benachrichtigt. Eine Weitergabe der personen-bezogenen Daten des Betroffenen an Drittländer findet nicht statt.

2.17 Datenschutzfolgen-Abschätzung

Der Verantwortliche ist zur Durchführung von Datenschutzfolgen-Abschätzungen nicht verpflichtet.

 2.18 Verpflichtungserklärung für Beschäftigte

Sofern anwendbar, werden Mitarbeiter des Verantwortlichen durch Unterzeichnung geeigneter Erklärungen zur Befolgung der gesetzlichen Bestimmungen gemäß der Europäischen Datenschutzgrundverordnung (EU-DSGVO) und des
Bundesdatenschutz-gesetzes (BDSG) verpflichtet.

2.19 Besonderer Schutz personen-bezogener Daten von Kindern / Zustimmung des gesetzl. Vertreters/Betreuers

Sofern personen-bezogene Daten minderjähriger Personen (Kinder, Jugendliche) erhoben/verarbeitet/gespeichert werden, holt der Verantwortliche als Voraussetzung zur Erhebung/Verarbeitung/Speicherung, die Einwilligung des/der gesetzlichen

Vertreter(s), jedoch auch zusätzlich die Zustimmung der minderjährigen Person, ein, wenn diese das 14. Lebensjahr bereits vollendet hat. Wenn die gesetzliche Vertretung für die minderjährige Person bei beiden Elternteilen/Partnern liegt, wird deren beider Zustimmung eingeholt. Im Falle eines gerichtlich bestellten Betreuers wird dessen Zustimmung eingeholt.

2.20 Profil-Erstellung

Es werden keine Profil-Erstellungen durchgeführt.

2.21 Automatisierte Entscheidungsfindung einschließlich Profiling

Automatisierte Entscheidungsfindungen bzw. Profiling-Maßnahmen werden nicht durchgeführt.

2.22 Meldung von Verletzungen an die Datenschutzaufsichtsbehörde

Im Falle eines bestehenden Risikos für den Betroffenen werden Datenpannen durch den Verantwort-lichen/Datenschutzbeauftrag-ten gem. den geltenden gesetzlichen Bestimmungen bei der zuständigen Aufsichtsbehörde innerhalb der vorgeschriebenen Frist (akt. 72 Stunden) unter Angabe der erforderlichen Informationen gemeldet. Die Meldung erfolgt bei der zuständigen Aufsichts-behörde bzw. beim zuständigen Datenschutzbeauftragten des Saarlandes (s. Punkt 2.15).

3. Rechte des Betroffenen

3.1 Recht auf Auskunft

Der Betroffene hat gem. Art. 15 EU-DSGVO das Recht, über alle seine Person betreffenden erhobenen und verarbeiteten Daten (insbes. auch u.a. hinsichtlich Art, Typ, Kategorie personen-bezogener Daten, Datenherkunft, Empfänger-Kategorien, Aufbewahr-ungs- und Speicherfristen, Verwendungszweck, Verarbeitungszweck, Quelle der personen-bezogenen Daten, Durchführung automatisierter Entscheidungsfindungen inkl. Profiling, ggf. Weiterleitung der Daten an beauftragte Weiterverarbeiter sowie weitere relevante Informationen im Kontext der personen-bezogenen Daten etc. ) Auskünfte zu verlangen. Der Verantwortliche wird dem Auskunftsersuchen des Betroffenen innerhalb eines (1) Monats nachkommen. Kommt es dennoch zu unvorhersehbaren Verzögerungen, wird der Verantwortliche den Betroffenen unverzüglich nach Bekanntwerden informieren. Um dieses Recht zu nutzen, kann der Betroffene eine E-Mail an folgende Adresse senden: datenschutz@praxis-jmfranzen.com

3.2 Recht auf Berichtigung und Vervollständigung

Sollten Änderungen oder Vervollständigungen der personen-bezogenen Daten des Betroffenen erforderlich werden, hat dieser gem. Art. 16 EU-DSGVO das Recht auf Berichtigung bzw. Vervollständigung seiner Daten. Um dieses Recht zu nutzen, kann der Betroffene eine E-Mail an folgende Adresse senden: datenschutz@praxis-jmfranzen.com

3.3 Recht auf Daten-Übertragbarkeit

Gemäß den gesetzlichen Bestimmungen des EU-DSGVO hat der Betroffene das Recht, die Übermittlung seiner Daten an einen anderen Daten-Verarbeiter/Verantworltichen zu verlangen.

Der Betroffene hat gemäß Art. 20 EU-DSGVO weiterhin das Recht, die dem Verantwortlichen zu seiner Person bereitgestellten personen-bezogenen Daten, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Um dieses Recht zu nutzen, kann der Betroffene eine E-Mail an folgende Adresse senden: datenschutz@praxis-jmfranzen.com

3.4 Recht auf Einschränkung der Daten-Verarbeitung

Unter Maßgabe der gesetzlichen Bestimmungen hat der Betroffene gemäß Art. 18 EU-DSGVO das Recht, die Einschränkung der Verarbeitung seiner personen-bezogenen Daten zu verlangen. Um dieses Recht zu nutzen, kann der Betroffene eine E-Mail an folgende Adresse senden: datenschutz@praxis-jmfranzen.com

Wichtiger Hinweis auf die Folgen der Einschränkung der Datenverarbeitung: Siehe Punkt 2.11

3.5 Recht auf Ablehnung und Widerruf der Einwilligung zur Daten-Verarbeitung

Der Betroffene hat das gem. Art. 7 Abs. 3 EU-DSGVO das Recht, die Erhebung seiner personenen-bezogenen Daten, deren Verarbeitung bzw. Speicherung jederzeit ablehnen, zu einem späteren Zeitpunkt (nach bereits erteiltem Einverständnis)  widerrufen oder die Art der zu erhebenden/zu verarbeitenden Daten einschränken zu können, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Um dieses Recht zu nutzen, kann der Betroffene eine E-Mail an folgende Adresse senden: datenschutz@praxis-jmfranzen.com

Wichtiger Hinweis auf die Folgen von Ablehnung bzw. Widerruf der Einwilligung zur Daten-Verarbeitung: Siehe Punkt 2.11

3.6 Recht auf Widerspruch zur Daten-Verarbeitung  

Gemäß Art. 21 EU-DSGVO hat der Betroffene das Recht, gegen die Verarbeitung seiner personen-bezogenen Daten Widerspruch einzulegen.

Das Widerspruchsrecht gilt auch für ein im Zusammenhang der vorliegenden Bestimmungen durchgeführtes Profiling und für den Fall, dass unter Verwendung der personen-bezogenen Daten des Betroffenen möglicherweise Direktwerbung betrieben wird. An  dieser Stelle sei ausdrücklich darauf hingewiesen, dass personen-bezogene Daten von Betroffenen zu keinerlei Direktwerbe-Maßnahmen herangezogen werden. Um dieses Recht zu nutzen, kann der Betroffene eine E-Mail an folgende Adresse senden: datenschutz@praxis-jmfranzen.com

Wichtiger Hinweis auf die Folgen des Widerspruchs zur Datenverarbeitung: Siehe Punkt 2.11

3.7 Recht auf Vergessenwerden / Daten-Löschung / Daten-Vernichtung

Sofern durch gesetzliche Bestimmungen nicht untersagt, hat der Betroffene hat das Recht, die Löschung/Vernichtung der zu seiner Person gespeicherten personen-bezogenen Daten gem. Art. 17 EU-DSGVO zu verlangen. Um dieses Recht zu nutzen, kann der Betroffene eine E-Mail an folgende Adresse senden: datenschutz@praxis-jmfranzen.com

Wichtiger Hinweis auf die Folgen der Daten-Löschung / Daten-Vernichtung: Siehe Punkt 2.11

3.8 Recht auf Benachrichtigung

Im Falle des Eintretens von einem der nachfolgend aufgeführten Fälle, wird der Betroffene über die eingetretene Situation und den Status seiner personen-bezogenen Daten benachrichtigt:

– Benachrichtigung des Betroffenen bei Erhebung personen-bezogener Daten im Rahmen einer Fremdanamnese
– Benachrichtigung des Betroffenen bei gesetzlicher Verpflichtung zur Daten-Weitergabe
– Benachrichtigung des Betroffenen bei Berichtigung und Löschung der Daten
– Benachrichtigung des Betroffenen bei Datenschutz-Verletzungen, seine personen-bezogenen Daten betreffend
– Benachrichtigung des Betroffenen bei entstehenden Risiken bezüglich der Sicherheit seiner personen-bezogenen Daten

3.9 Recht auf Beschwerde

Gem. Art. 77 EU-DSGVO hat der Betroffene das Recht zur Beschwerde bei der zuständigen Aufsichtsbehörde. Dies kann die Auf-sichtsbehörde des standardgemäßen Aufenthaltsortes, des Arbeitsortes oder die Aufsichtsbehörde des Saarlandes sein
(Kontaktdaten: s. Punkt 2.15).

 4. Sicherheit der Verarbeitung │ IT-Sicherheit

4.1 Vertraulichkeit

Alle personen-bezogenen Daten von Betroffenen werden mit vertretbarem Aufwand und dem Einsatz gebotener Mittel vor der Kenntnisnahme Unbefugter verborgen. Dies gilt für die eingesetzte IT-Technik, jedoch auch für vorliegende Akten/Dokumente/ Unterlagen in Papierform. Der Zugang zu den personen-bezogenen Daten ist alleine dem Verantwortlichen vorbehalten. Es gibt außer des Verantwortlichen für keine andere Person den Bedarf, auf diese Daten zugreifen zu müssen. Der Serverraum liegt außerhalb der Praxisräume und ist mit einfachem Schlüssel verschlossen; der Zutritt steht ausschließlich dem Verantwortlichen zu.

4.2 Integrität

Die erhobenen/verarbeiteten/gespeicherten personen-bezogenen Daten der Betroffenen sind mit vertretbarem Aufwand und dem Einsatz gebotener Mittel vor beabsichtigter sowie unbeabsichtigter Manipulation bzw. Veränderung geschützt. Ein- und Ausloggen werden protokolliert, Login-Daten werden nicht geteilt bzw. weitergegeben, jedem Login ist eine Person zugeordnet.

4.3 Verfügbarkeit

Der Netzwerk-Server mit führendem Original-Datenbestand wird auf einen zweiten Replikationsserver gespiegelt. Somit steht mit auch bei Ausfall des Original-Datenbestandes ein unverzüglich nutzbarer Datenbestand zur Fortsetzung der Datennutzung zur Verfügung. Regelmäßige Backups/Datensicherungen nach dem Generationen-Prinzip erstellen zeittakt-gesteuert automatisiert Full-Backups sowie Incremental-Backups (s. Gliederungspunkt 3.5.9 Datensicherungen/Backups). Sollten die elektronisch verfügbaren Daten aus technischen Gründen nicht verfügbar sein, so liegen alle Informationen auch als Papier-Akte (unter Verschluss) vor.Der Serverraum liegt außerhalb der Praxisräume und ist mit einfachem Schlüssel verschlossen.

4.4 Belastbarkeit

Die auf das gesamte Vearbeitungssystem zukommenden technischen Herausforderungen bewegen sich vollständig im Bereich einer üblichen Büro-IT-Kommunikation.

Die Belastbarkeit der System-Komponenten wird regelmäßig überprüft und ist aktuell durch sehr hohe Reserven bezüglich der Plattenspeicher-Kapazitäten, Hauptspeicher-Kapazitäten, Prozessor-Geschwindigkeiten und Datentransfer-Geschwindigkeiten sichergestellt. Aktuell ist davon auszugehen, dass die Leistungsgrenzen des Systems durch das zu verarbeitende Datenvolumen bzw. durch die Intensität der Belastung innerhalb der nächsten 10 Jahre nicht erreicht werden; eher wird vorher die eingesetzte Technik erweitert bzw. ergänzt bzw. erneuert. Es werden regelmäßig Prüfungen durchgeführt, ob das System im Falle von technischen Unfällen oder gegenüber möglichen Angriffen weiterhin sicher ist.

4.5 Berechtigungsmanagement

Die Berechtigungen zum Zugriff auf die personen-bezogenen Daten der Betroffenen stehen ausschließlich dem Verantwortlichen zu, der gleichzeitig Praxis-Inhaber und Behandler ist. Dies ist durch das bestehende Berechtigungs-management sichergestellt.

 4.6 Risiko-Management

Da der Verantwortliche die einzige Person ist, welche die personen-bezogenen Daten der Betroffenen erhebt/ verarbeitet/speichert, die IT-Administration von Netzwerken, Servern, Rechnern, Speichereinrichtungen und Zugriffsrechten auf alle Daten durchführt und die personen-bezogenen Daten im Regelfall nicht weitergegeben werden, sind die Risiken minimal und in fast allen Fällen auflösbar bzw. mitigierbar.

 4.7 Verschlüsselung

4.7.1 Website

Die o.g. Website bzw. die Feldinhalte der enthaltenen Formulare sind SSL-verschlüsselt.

4.7.2 E-Mail-Server:

Alle auf dem E-Mail-Server eigehenden und vom E-Mail-Server ausgehenden E-Mail-Nachrichten sind verschlüsselt.

4.7.3 Dateien, Dokumente und Nachrichten:

Gespeicherte Dateien, Dokumente und Nachrichten sind verschlüsselt.

4.7.4 WLAN-Netze:

Alle WLAN-Netze sind mit einem ausreichend langen Kennwort ohne erkennbaren Sinn-Zusammenhang, bestehend aus Ziffern, Groß- und Klein-Buchstaben und Sonderzeichen, verschlüsselt. Dies gilt auch für Server sowie Router/Bridges.

4.7.5 Einwahl-Lösungen

Die externe Einwahl von außen in das bestehende Netzwerk via Internet ist durch einen VPN-Tunnel verschlüsselt möglich.

4.7.6 Mobile Geräte

Auf mobilen Geräten werden keine sensiblen personen-bezogenen Daten von Betroffenen gespeichert. Dennoch sind alle mobilen Geräte kennwortgeschützt. Die Namen von Patienten/Klienten zu gespeicherten Telefonnummern sind anonymisiert.

4.8 Standort von Speicheranlagen

Alle Netzwerk-Server, Netzwerk-Festplatten, Backup-Stationen sind räumlich ausgelagert, befinden sich außerhalb der Räume des Verantwortlichen und stehen damit nicht im Zugriffsbereich unbefugter Personen.

 4.9 Aktualisierung/Patch-Management

Die eingesetzten sicherheitsrelevanten Software-Komponenten (u.a. Anti-Viren-Software etc.) unterliegen einer ständigen Aktualisierung. Im Rahmen regelmäßiger (Zyklus: 3 Monate) Prüfungen wird das Vorliegen möglicher Sicherheitslücken mit vertret-barem/gebotenem Aufwand untersucht.

4.10 E-Mail-Kommunikation

Vor dem Hintergrund einer möglichst sicheren E-Mail-Kommunikation werden mehrere Empfänger der gleichen E-Mail-Nachricht nicht im Feld „An“ sowie auch nicht im Feld „CC“, sondern im Feld „BCC“ angegeben. Kein Empfänger der Nachricht erhält in diesem Falle Kenntnis von den übrigen Empfänger-E-Mail-Adressen. Auf diese Weise werden Datenschutzverletzungen vermieden, wenn mit den Empfängern keine Vertragsverhältnis besteht bzw. keine Einwilligung zur Verarbeitung vorliegen sollte.

4.11 Datensicherung / Backup

Alle vom Betroffenen erhobenen bzw. verarbeiteten Daten werden für die Dauer des Unterrichts/der Unter-Vermietung und die Dauer der gesetzlich vorgeschriebene Aufbewahrungsfrist von 10 Jahren vor unberechtigten Zugriffen geschützt, unter Verschluss aufbewahrt bzw. gespeichert und im Rahmen permanenter Backup-Prozesse fortlaufend gesichert. Datensicherungen werden nach dem Generationenprinzip auf getrennten, ausschließlich für Backups bestimmten Geräten, auf separaten Speichermedien regelmäßig automatisiert erstellt.

4.12 Online-Verarbeitung personen-bezogener Daten

Die Online-Verarbeitung personen-bezogener Daten erfolgt nach Maßgabe der EU-DSGVO sowie des Bundes-datenschutzgesetzes. Diese Daten werden grundsätzlich nur verarbeitet, wenn die betroffene Person explizit zugestimmt hat.

4.13 Haltung von Behandlungsdaten in öffentlichen Clouds

Behandlungsdaten werden grundsätzlich nicht in öffentlichen Clouds gehalten/gespeichert.

4.14 Zugangssicherung

Alle Türen sind abschließbar sowie alle Fenster sicher verriegelbar und werden bei Abwesenheit verschlossen bzw. verriegelt gehalten. Die Räume des Verantwortlichen werden in aller Regel durch ihn selbst betreten. Der Empfang von Gästen/Besuchern in den Räumen des Verantwortlichen ist nicht üblich und findet in einem anderen Rahmen statt.

 4.15 Verlinkung auf externe Websites:

Eine Verlinkung auf externe Websites erfolgt für:
Saarbahn AG:  ÖPNV – Anzeige des Saarbahn-Fahrplans für interessierte Patienten
RAUMfürMUSIK:  Entspannungs- und ressourcenfördernde musikalische Beschäftigung (Klavierunterricht)

5. Cookies

5.1 Was sind Cookies?

Die vorliegende Website verwendet Cookies. Das sind kleine Textdateien, die es möglich machen, auf dem Endgerät des Nutzers spezifische, auf den Nutzer bezogene Informationen zu speichern, während er die Website nutzt. Cookies ermöglichen es, insbesondere Nutzungshäufigkeit und Nutzeranzahl der Seiten zu ermitteln, Verhaltensweisen der Seitennutzung zu analysieren, aber auch das Angebot kundenfreundlicher zu gestalten. Cookies bleiben über das Ende einer Browser-Sitzung gespeichert und können bei einem erneuten Seitenbesuch wieder aufgerufen werden. Wenn das nicht gewünscht sein sollte, besteht die  Möglichkeit,den Internetbrowser so einstellen, dass er die Annahme von Cookies verweigert. 

5.2 Wie werden Cookies verwendet?

Die Website verwendet Cookies von Erst-Anbietern und Dritt-Anbietern zu unterschiedlichem Zweck. Cookies von Erst-Anbietern sind meistens für die korrekte Funktionsweise der Website notwendig und speichern keine personen-bezogenen Daten. Cookies von Dritt-Anbietern dienen hauptsächlich der Ermittlung der Leistungsfähigkeit, der Erkenntnis des Besucher-Dialogs, dem sicheren Betrieb der technischen Dienstleistung, der Bereitstellung von besucher-relevanten Werbe-Inhalten, der Verbesserung der Benutzer-Erfahrung und der Optimierung des zukünftigen Dialogs mit der Website.

5.3 Lenkung verwendeter Cookies

Der Besucher der Website kann die Cookie-Voreinstellungen jederzeit durch Klicken auf die entsprechende Schaltfläche verändern. Somit werden die Cookie-Voreinstellungen verändert und dem Besucher die Möglichkeit gegeben zum Zustimmungspanel zurückzukehren oder seine Zustimmung direkt zu widerrufen.

Zusätzlich stellen verschiedene Internetbrowser Verfahren zur Verfügung, um Cookies durch die Website zu blockieren und zu löschen. Dies lässt sich durch den Besucher in den Voreinstellungen des verwendeten Browsers einstellen. Nachfolgend sind Links zu unterstützenden Informationen der wichtigsten Browser aufgelistet, um diese Einstellungen vorzunehmen.

5.4 Browser-Links

Chrome:
https://support.google.com/accounts/answer/32050

Safari:
https://support.apple.com/en-in/guide/safari/sfri11471/mac

Firefox:
https://support.mozilla.org/en-US/kb/clear-cookies-and-site-data-firefox?redirectslug=delete-cookies-remove-info-websites-stored&redirectlocale=en-US

Internet Explorer:
https://support.microsoft.com/en-us/topic/how-to-delete-cookie-files-in-internet-explorer-bca9446f-d873-78de-77ba-d42645fa52fc

6. Google Analytics (Datenschutzhinweise)

Die o.g. Website verwendet Google Analytics, einen Webanalysedienst von Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Zur Deaktivierung von Google Analytiscs stellt Google unter
http://tools.google.com/dlpage/gaoptout?hl=de
ein Browser-Plug-In zur Verfügung. Google Analytics verwendet Cookies.

Das sind kleine Textdateien, die es möglich machen, auf dem Endgerät des Nutzers spezifische, auf den Nutzer bezogene Informationen zu speichern. Diese ermöglichen eine Analyse der Nutzung unseres Websiteangebotes durch Google. Die durch den Cookie erfassten Informationen über die Nutzung unserer Seiten (einschließlich Ihrer IP-Adresse) werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Wir weisen darauf hin, dass auf dieser Website Google Analytics um den Code „gat._anonymizeIp();“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten. Ist die Anonymisierung aktiv, kürzt Google IP-Adressen innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum, weswegen keine Rückschlüsse auf Ihre Identität möglich sind. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Google beachtet die Datenschutzbestimmungen des „Privacy Shield“-Abkommens und ist beim „Privacy Shield“-Programm des US-Handelsministeriums registriert und nutzt die gesammelten Informationen, um die Nutzung unserer Websites auszuwerten, Berichte für uns diesbezüglich zu verfassen und andere diesbezügliche Dienstleistungen an uns zu erbringen. Mehr erfahren Sie unter
http://www.google.com/intl/de/analytics/privacyoverview.html.

7. Google +1 (Datenschutzhinweise)

Die o.g. Website verwendet Social-Media-Funktionen von Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Bei Aufruf unserer Seiten mit Google-Plug-Ins wird eine Verbindung zwischen Ihrem Browser und den Servern von Google aufgebaut. Dabei werden bereits Daten an Google übertragen. Besitzen Sie einen Google-Account, können diese Daten damit verknüpft werden. Wenn Sie keine Zuordnung dieser Daten zu Ihrem Google-Account wünschen, loggen Sie sich bitte vor dem Besuch unserer Seite bei Google aus. Interaktionen, insbesondere das Nutzen einer Kommentarfunktion oder das Anklicken eines „+1“- oder „Teilen“-Buttons werden ebenfalls an Google weitergegeben. Mehr erfahren Sie unter http://www.google.de/intl/de/policies/privacy.

8. Google AdSense (Datenschutzhinweise)

Die o.g. Website benutzt Google AdSense, einen Dienst zum Einbinden von Werbeanzeigen von Google Inc., 1600 AmphitheatreParkway, Mountain View, CA 94043, USA. GoogleAdSense verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website ermöglicht. Google AdSense verwendet auch so genannte Web Beacons (unsichtbare Grafiken). Durch diese Web Beacons können Informationen wie der Besucherverkehr auf diesen Seiten ausgewertet werden. Die durch Cookies und Web Beacons erzeugten Informationen über die Benutzung dieser Website (einschließlich Ihrer IP-Adresse) und Auslieferung von Werbeformaten werden an einen Server von Google in den USA übertragen und dort gespeichert. Diese Informationen können von Google an Vertragspartner von Google weiter gegeben werden. Google wird Ihre IP-Adresse jedoch nicht mit anderen von Ihnen gespeicherten Daten zusammenführen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden.

9. Facebook (Datenschutzhinweise)

Die o.g. Website verwendet Funktionen von Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA . Bei Aufruf unserer Seiten mit Facebook-Plug-Ins wird eine Verbindung zwischen Ihrem Browser und den Servern von Facebook aufgebaut. Dabei werden bereits Daten an Facebook übertragen. Besitzen Sie einen Facebook-Account, können diese Daten damit verknüpft werden. Wenn Sie keine Zuordnung dieser Daten zu Ihrem Facebook-Account wünschen, loggen Sie sich bitte vor dem Besuch unserer Seite bei Facebook aus. Interaktionen, insbesondere das Nutzen einer Kommentarfunktion oder das Anklicken eines „Like“- oder „Teilen“-Buttons werden ebenfalls an Facebook weitergegeben. Mehr erfahren Sie unter:
https://de-de.facebook.com/about/privacy.

10. Twitter (Datenschutzhinweise)

Die o.g. Website verwendet Funktionen von Twitter, Inc., 1355 Market St, Suite 900, San Francisco, CA 94103, USA. Bei Aufruf unserer Seiten mit Twitter-Plug-Ins wird eine Verbindung zwischen Ihrem Browser und den Servern von Twitter aufgebaut. Dabei werden bereits Daten an Twitter übertragen. Besitzen Sie einen Twitter-Account, können diese Daten damit verknüpft werden. Wenn Sie keine Zuordnung dieser Daten zu Ihrem Twitter-Account wünschen, loggen Sie sich bitte vor dem Besuch unserer Seite bei Twitter aus. Interaktionen, insbesondere das Anklicken eines „Re-Tweet“-Buttons werden ebenfalls an Twitter weitergegeben. Mehr erfahren Sie unter https://twitter.com/privacy.

11. Verarbeitungsaktivitäten | Technische Maßnahmen | Organisatorische Maßnahmen

Der Schutz der personenbezogenen und gesundheitsbezogenen Daten meiner Patienten hat für meine psychotherapeutische Praxis höchste Priorität. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO werden eingesetzt, um ein angemessenes Schutzniveau zu gewährleisten. Dazu zählen insbesondere:
– Abschließbare Praxisräume und Aktenschränke,
– Passwortschutz und verschlüsselte IT-Systeme,
– Regelmäßige Datensicherungen (Backups),
– Zugriffsbeschränkungen auf Patientendaten,
– Geschützte Datenübertragung bei Nutzung unserer Website (SSL-Verschlüsselung).

Personenbezogene Daten werden ausschließlich auf Grundlage gesetzlicher Vorschriften (Art. 6 und 9 DSGVO, § 630f BGB, § 203 StGB) verarbeitet. Die Verarbeitungsvorgänge sind in einem internen Verzeichnis der Verarbeitungstätigkeiten dokumentiert. Zudem wurde mit allen externen Dienstleistern, die Zugriff auf personenbezogene Daten haben könnten (z. B. Webhosting, Newsletterdienste, Zahlungsanbieter), einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) abgeschlossen. Das Datenschutzkonzept wird regelmäßig überprüft und bei Bedarf angepasst, um den Schutz der Patientendaten langfristig sicherzustellen.

Daraus ergeben sich weitere eigenständige (externe) datenschutzrelevante Dokumente:

1. Verzeichnis der Verarbeitungstätigkeiten:
Dieses Dokumente benennt die Verarbeitungstätigkeiten, welchen die personen-bezogenen sowie gesundheitsbezogenen Daten der Patienten untworfen sind. Das Dokument muss nicht veröffentlicht werden.

2. Technisch-organisatorische Maßnahmen:
Dieses Dokument beinhaltet die technischen sowie organisatorischen Maßnahmen, die in der Praxis des Praxis-Inhabers getroffen werden, um die Bestimmungen des Datenschutzes entsprechend umzusetzen. Das Dokument muss nicht veröffentlicht werden.