Patienten
und Besucher

Datenschutzerklärung

Patienteninformations- und Kommunikationssystem (PIKS)

Stand und Änderung der Datenschutzerklärung
22.11.2022

Das Universitätsklinikum Tübingen („UKT“) veröffentlicht die nachfolgenden Ausführungen zur Erfüllung der Pflichten aus Art. 13 DS-GVO bzw. um den Vertragspartnern die Erfüllung der ihrerseits bestehenden Pflichten aus Art. 13 und 14 DS-GVO zu ermöglichen.

Das Universitätsklinikum Tübingen („UKT“) veröffentlicht die nachfolgenden Ausführungen zur Erfüllung der Pflichten aus Art. 13 DS-GVO bzw. um den Vertragspartnern die Erfüllung der ihrerseits bestehenden Pflichten aus Art. 13 und 14 DS-GVO zu ermöglichen.

Verantwortlicher und Datenschutzbeauftragter

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen, etc.) entscheidet (Art. 4 Nr. 7 DS-GVO). 

Die Datenverarbeitung erfolgt durch die verantwortliche Stelle:

Benutzung unserer Dienste und Betriebssicherheit

Sofern Sie unsere Dienste in Anspruch nehmen, kann es zu einer Übermittlung personenbezogener Daten in ein Drittland kommen, weil wir auf die Dienste technischer Anbieter zurückgreifen. Diese Anbieter werden als unsere Erfüllungsgehilfen tätig und ermöglichen es uns unser Dienstangebot überhaupt bereitzustellen. Die hierzu erforderlichen Angaben ergeben sich aus unserem Cookie-Banner und den dort gemachten Angaben. 

Die von uns derzeit eingebundenen technischen Dienstleister und das jeweils zugehörige Drittland ergeben sich aus der nachfolgenden Tabelle:

Bitte beachten Sie unseren Hinweis zur Drittlandübermittlung

Hinweis zu Übermittlung in Drittstaaten

Nutzung unseres Dienstes (PIKS)

Bei der Nutzung des PIKS ist hinsichtlich des kostenlosen und des kostenpflichtigen Teils des Angebots zu unterscheiden.
Zur Nutzung des kostenlosen Teils des Angebotes müssen Sie ein Benutzerkonto anlegen. Im Rahmen dieses Vorgangs müssen Sie Ihren Vor- und Nachnamen sowie Ihr Geburtsdatum angeben. Sofern Sie eine E-Mail-Adresse angeben, erhalten Sie über diese alle vertragsrelevanten Informationen in elektronischer Form.
Zur Nutzung des kostenpflichtigen Teils des Angebots müssen Sie darüber hinaus eine E-Mail-Adresse angeben, an die Sie insbesondere Rechnungen elektronisch erhalten; weiterhin müssen Sie Angaben machen, die das von Ihnen gewählte Zahlungsmittel betreffen.
Diese Daten verarbeiten wir im Rahmen der Durchführung des Vertragsverhältnisses. Sämtliche Informationen und Angaben zur Datenverarbeitung im Rahmen des Vertragsverhältnisses erhalten Sie grundsätzlich auch im Zuge des Abschlusses des Vertrages selbst.
Die nachfolgenden Angaben zu verarbeiteten Datenkategorien gelten, soweit die Datenkategorien nicht bereits aufgrund eines anderen, in dieser Erklärung genannten Sachzusammenhangs erwähnt werden. Demnach verarbeiten wir die folgenden Datenkategorien, soweit Sie uns diese übermitteln:

• Personenstammdaten, wie Namen (z.B. Vornamen, Nachname, Geburtsname, Titel), persönliche Angaben (z.B. Geburtsdatum, Familienstand, Geschlecht)
• Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse, Bestellhistorie)
• Adress- und Kontaktdaten (z.B. Straße, Hausnummer, Postleitzahl, Wohnort, E-Mail Adresse)
• Bankdaten (z.B. IBAN, BIC, Name der Bank, Name des Kontoinhabers), sofern Zahlungen nicht über einen Zahlungsdienstleister abgewickelt werden,
• Daten aus der Durchführung des Vertragsverhältnisses bzgl. IT-Anwendungs- und Nutzungsdaten (z.B. technische Identifikationsnummer des Nutzers, eingegebene Informationen, hinterlegte Dateien etc.)
• Daten betreffend das jeweilig verwendete Endgerät (z.B. Gerätename und -nummer, zugewiesener Standort im Krankenhaus, tatsächlicher Standort des Gerätes anhand von Geodaten, PIN, Ruf- bzw. Telefonnummer des Gerätes, IP-Adresse(n), verbundene WLAN-Netzwerke)

Da aus dem Anlass der Datenerhebung geschlossen werden kann, dass Sie in unserem Krankenhaus Patient/Patientin sind, handelt es sich hierbei um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO, im Einzelnen um Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DS-GVO und des Erwägungsgrundes 35 der DS-GVO.

Die Rechtsgrundlage ist allen vorgenannten Fällen Art. 9 Abs. 2 lit. h), Abs. 3 DS-GVO. PIKS ist ein Dienst, der Ihnen helfen kann, die Versorgung und Behandlung in unserem Krankenhaus für Sie kurzweiliger zu gestalten und auf diesem Wege zu unterstützen. Die Verarbeitung der dabei erhobenen Daten erfolgt durch das UKT als Anstalt des Öffentlichen Rechts, die unter der verantwortlichen Leitung von Fachpersonal im Sinne des Art. 9 Abs. 3 DS-GVO steht.

Soweit Daten an Dritte übermittelt werden, dient dies ebenfalls der Unterstützung Ihrer Versorgung und Behandlung in unserem Krankenhaus.

Die Daten, die im Zusammenhang mit der Nutzung unserer Dienste verarbeitet werden, werden bis zur Löschung Ihres Benutzerkontos verarbeitet, sofern nicht länger dauernde Verarbeitungsfristen bestehen. Diese können sich aus buchhalterischen Pflichten oder anderen Gesetzen ergeben. Wir löschen diese Daten auf jeden Fall, sobald die Fristen dieser anderen gesetzlichen Pflichten abgelaufen sind und sich kein anderer Grund für eine Weiterverarbeitung ergibt (z.B. in einer rechtlichen Auseinandersetzung).

Bitte beachten Sie unseren Hinweis zur Drittlandübermittlung

Nutzung von Diensten von Dritter

Im Rahmen des PIKS haben Sie die Möglichkeit, auf Dienste von Drittanbietern zuzugreifen. Derzeit sind folgende Drittanbieter verfügbar:

• sharemagazines GmbH, Deutschland

Bei der Nutzung von Diensten Dritter gelten deren Datenschutzerklärungen. Sie finden diese derzeit unter:
https://sharemagazines.de/datenschutz/

Nutzung von www.medizin.uni-tuebingen.de

Im Rahmen des PIKS haben Sie die Möglichkeit, auf die Webseite des UKT zuzugreifen. Dabei gilt die Datenschutzerklärung, die Sie unter https://www.medizin.uni-tuebingen.de/de/kontakt/datenschutz abrufen können.

Nutzung von WLAN (WIFIonUKT)

Im Rahmen des PIKS haben Sie die Möglichkeit, Ihr privates Endgerät mit einem WLAN-Hot-Spot zu verbinden. Dabei gilt die Datenschutzerklärung, die Ihnen im Rahmen des Verbindungsaufbaus angezeigt wird.

Nutzung von BEWATEC ConnectedCare

BEWATEC ConnectedCare verwendet Auth0, Inc. als Authentifizierungsdienst. Auth0 hat den höchsten Sicherheitsstandard aller Authentifizierungsdienstleister am Markt. Da Auth0 ihren Sitz in den USA hat, bestehen aufgrund der Übermittlung und Verarbeitung von personenbezogenen Daten (nämlich E-Mail-Adresse, Passwort und Access Token) durch Auth0 jedoch teilweise Bedenken gegen die datenschutzrechtliche Zulässigkeit des Einsatzes von Auth0. BEWATEC geht von der Rechtmäßigkeit der Datenverarbeitung aus, hat aber Verständnis für das Bedürfnis nach Rechtsicherheit ihrer Kunden.

Weiterhin wurde mit Auth0 ein Auftragsverarbeitungsvertrag, einschließlich der Standardvertragsklauseln abgeschlossen. BEWATEC hat mit Auth0 als Standort der Verarbeitung Deutschland vereinbart. Die betroffenen Daten werden sowohl während des Transports als auch im Ruhezustand (at rest) verschlüsselt. Supportdienstleistungen von Auth0 erfolgen aufgrund der einzelvertraglichen separaten Absprachen zwischen BEWATEC und Auth0 über den Betrieb einer „Private Cloud“ ausschließlich innerhalb der EU. Im Regelbetrieb von ConnectedCare ist daher eine Datenübermittlung in die USA ausgeschlossen.

Bitte beachten Sie die Hinweise zur Übermittlung in Drittstaaten

Betroffenenrechte

Es stehen Ihnen folgende Rechte zu:

Auskunftsrecht der betroffenen Person (Art. 15 DS-GVO)

Sie haben das Recht, jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten.

Recht auf Berichtigung (Art. 16 DS-GVO)

Ihnen steht ein Recht auf Berichtigung von falschen, Sie betreffenden personenbezogenen Daten zu.

Recht auf Löschung (Art. 17 DS-GVO)

Zudem können Sie die Löschung von Ihren personenbezogenen Daten verlangen, etwa wenn Ihre Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind.

Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO)

Sie haben ferner das Recht, die Einschränkung der Verarbeitung von Ihren personenbezogenen Daten zu verlangen. In einem solchen Fall werden die Daten für jegliche Verarbeitung gesperrt. Dieses Recht besteht insbesondere, wenn die Richtigkeit der personenbezogenen Daten zwischen Ihnen und uns umstritten ist.

Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)

Sofern wir Ihre personenbezogenen Daten zur Erfüllung eines Vertrages mit Ihnen oder auf Grundlage Ihrer Einwilligung verarbeiten, steht Ihnen zudem das Recht zu, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und dass diese Daten an einen andere Verantwortlichen übertragen werden, sofern und soweit Sie uns die Daten zur Verfügung gestellt haben.

Widerspruchsrecht (Art. 21 DS-GVO)

Darüber hinaus können Sie einer Datenverarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Dies gilt jedoch lediglich in solchen Fällen, in denen wir eine Datenverarbeitung zur Erfüllung eines berechtigten Interesses, zur  ahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt oder zu Zwecken der Direktwerbung vornehmen. Falls Sie einen solchen Grund vortragen können und wir kein zwingendes, schutzwürdiges Interesse an der weiteren Verarbeitung geltend machen können, werden wir diese Daten für den jeweiligen Zweck nicht weiter verarbeiten.

Recht auf Widerruf einer Einwilligung

Sofern Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, können Sie diese jederzeit widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Den Widerruf können Sie schriftlich oder per E-Mail an uns richten. Einer Angabe von Gründen bedarf es nicht.

Beschwerderecht (Art. 77 DS-GVO)

Sie können sich mit allen Angelegenheiten rund um die Verarbeitung Ihrer personenbezogenen Daten an den Datenschutzbeauftragten wenden, selbstverständlich auch hinsichtlich datenschutzrechtlicher Verstöße. Es steht Ihnen darüber hinaus frei, gerichtliche Hilfe in Anspruch zu nehmen. Ferner haben Sie das Recht, jederzeit Beschwerde bei einer Aufsichtsbehörde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen datenschutzrechtliche Bestimmungen verstößt.

Bei datenschutzrechtlichen Beschwerden können Sie sich an die zuständige Aufsichtsbehörde an Ihrem Wohnort oder an die für uns zuständige Aufsichtsbehörde wenden: