
Datenschutzinformation
Diese Datenschutzinformation informiert Sie entsprechend der Art. 13, 14 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten durch die folgenden datenschutzrechtlichen Verantwortlichen des UKE-Konzerns (zusammen „UKE-Konzern“):
Verantwortliche | Datenschutzbeauftragter |
Universitätsklinikum Hamburg-Eppendorf (UKE) Körperschaft des öffentlichen Rechts Martinistraße 52 20246 Hamburg | Postalisch: Wie der Verantwortliche mit dem Zusatz – Datenschutzbeauftragter – E-Mail: dsb@uke.de Telefon: 040 7410 - 56890 |
Martini-Klinik am UKE GmbH (MK) Martinistraße 52 20246 Hamburg | Postalisch: Wie der Verantwortliche mit dem Zusatz – Datenschutzbeauftragter – E-Mail: dsb@uke.de Telefon: 040 7410 - 56890 |
1. Verarbeitete Daten
Im Rahmen Ihrer Behandlung ist es erforderlich, personenbezogene Daten über Ihre Person zu verarbeiten (Patientendaten). Zu den Patientendaten gehören Ihre Stammdaten (z.B. Name, Geburtstag, Adresse, Kontaktdaten), Anamnesen, Diagnosen, Therapievorschläge und Befunde (Eigen- und Fremdbefunde, Befunde bildgebender Verfahren sowie des Biomonitorings) sowie individuelle ärztliche Aufzeichnungen. Abhängig von der Behandlung können auch genetische Daten, biometrische Daten, Daten über Ihr Sexualleben und Ihre sexuelle Orientierung und ebenso religiöse und/oder weltanschauliche Überzeugungen verarbeitet werden.
Weiterhin verarbeiten wir Abrechnungsdaten (z.B. Kostenträger, Versichertennummer, Zahlungshistorie), Daten von Angehörigen, Begleitpersonen sowie Zuweisern (Überweiser, Einweiser, sonstige Ärzt:innen) und anderen Ansprechpartnern (z.B. Betreuer, Vertreter).
Die ordnungsgemäße administrative Abwicklung und Abrechnung Ihrer Behandlung bedingt die Aufnahme Ihrer Personalien. Davon ausgenommen sind ausschließlich die Fälle der vertraulichen Geburt.
Impressum
Universitätsklinikum Hamburg-Eppendorf (UKE), Martinistraße 52, 20246 Hamburg | Verantwortlich: Prof. Dr. med. Christian Gerloff (Ärztlicher Direktor)
Stand: 12.2024
2. Zwecke
Wir verarbeiten Ihre personenbezogenen Daten vor allem zur Durchführung und Dokumentation der von Ihnen gewünschten Leistungen und Behandlungen. Dies schließt präventive, diagnostische, therapeutische und nachsorgende Zwecke ebenso wie die Erstellung von Arztbriefen und Entlassberichten ein.
Ihre personenbezogenen Daten können auch aus Qualitätssicherungsgründen, zum Erkennen und Bekämpfen von Krankenhausinfektionen sowie zur seelsorgerischen und sozialen Betreuung und zum Entlassungsmanagement verarbeitet werden.
Darüber hinaus verarbeiten wir Ihre Patientendaten im Rahmen unserer Verwaltung, insbesondere zur Abrechnung Ihrer Behandlung, zum Controlling, und im Rahmen der Rechnungsprüfung. Ferner erfolgen Datenverarbeitungen zu Zwecken der Ausbildung, der Fort- und Weiterbildung von Ärzten und von Angehörigen anderer Berufe des Gesundheitswesens oder zur Erfüllung gesetzlicher Pflichten (z.B. Meldepflichten an die zuständigen Meldebehörden aufgrund des Melderechts, an Gesundheitsbehörden aufgrund des Infektionsschutzgesetzes sowie an Krebsregister).
Ihre Patientendaten können auch zum Zweck der Forschung verarbeitet werden. Hierüber werden Sie gesondert informiert.
3. Rechtsgrundlagen
Die Verarbeitung von Patientendaten im Krankenhaus darf nur aufgrund eines Gesetzes oder Ihrer Einwilligung erfolgen. Es gibt unterschiedliche Gesetze und Verordnungen, die dem Krankenhausträger eine Verarbeitung der Daten erlauben. Genannt seien hier insbesondere die Datenschutz-Grundverordnung (DSGVO), z.B. Art. 6, 9 DSGVO, das Bundesdatenschutzgesetz (BDSG), das Fünfte Buch des Sozialgesetzbuchs (SGB V) oder im Falle einer Verarbeitung durch das AKK, die MK oder das UKE auch das Hamburgische Krankenhausgesetz (HmbKHG).
Im Einzelnen ergeben sich folgende Rechtsgrundlagen:
Zweck / Leistung | Rechtsgrundlage |
Behandlung, Behandlungsdokumentation | Art. 6 Abs. 1 lit. b, c, d, Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG i.V.m. §§ 8, 10, 11 HmbKHG* |
Zuziehung von „Externen“ | Art. 6 Abs. 1 lit. b, c, d, Art. 9 Abs. 2 lit. h, Abs. 3, DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b) BDSG, § 11 Abs. 1 Nr. 1 HmbKHG* |
Abrechnung gegenüber gesetzlichen Krankenkassen | Art. 6 Abs. 1 lit. b, c, d, Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i.V.m. § 301 SGB V |
Qualitätssicherung | Art. 6 Abs. 1 lit. e, Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 299 SGB V i.V.m. § 136 SGB V bzw. den Richtlinien des G-BA sowie § 22 Abs. 1 Nr. 1 lit. c BDSG i.V.m. § 10 Abs. 1 Nr. 7 HmbKHG* |
Aus- und Fortbildung | Art. 6 Abs. 1 lit. e, Art. 9 Abs. 2 lit. h, Abs. 3, Abs. 2 lit. i DSGVO i.V.m. § 10 Abs. 1 Nr. 8 HmbKHG* |
Forschung | Art. 5 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. a, f, Art. 9 Abs. 2 lit. a, j DSGVO i.V.m. § 27 BDSG, § 6 GDNG, § 12 HmbKHG* |
4. Dauer der Datenverarbeitung / Aufbewahrungsfrist
Wir bewahren Ihre personenbezogenen Daten nur so lange auf, wie dies für die Durchführung der Behandlung oder aufgrund einer gesetzlichen Pflicht erforderlich ist. Zu den Rechtsgrundlagen gehören die DSGVO, das HmbKHG, das Strahlenschutzgesetz (StrlSchG), das Gendiagnostikgesetz (GenDG), das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO). Im Einzelnen ergeben sich unter anderem folgende Fristen und Rechtsgrundlagen:
Dokumentenart | Frist | Rechtsgrundlage |
Behandlungsdokumentation, soweit nicht nachfolgend abweichend benannt | 30 Jahre1 | Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i.V.m. § 4a HmbKHG*, Art. 6 Abs. 1 lit. f, 9 Abs. 2 lit. f DSGVO |
Abrechnungsunterlagen | 10 Jahre2 | Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. g DSGVO i.V.m. §§ 257 Abs. 1 Nr. 4 HGB, 147 Abs. 1 Nr. 4 AO |
Kommunikation mit Ihnen, soweit sie nicht Bestandteil der Abrechnungsunterlagen oder der Behandlungsdokumentation ist | 6 Jahre2 | Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. g DSGVO i.V.m. §§ 257 Abs. 1 Nr. 2, 3 HGB, 147 Abs. 1 Nr. 3 AO |
1 Fristbeginn ist der Zeitpunkt der letzten Behandlung.
2 Fristbeginn ist Schluss des Jahres, in dem die Abrechnung oder Kommunikation erfolgte.
5. Herkunft und Empfänger
Die entsprechenden Daten erheben wir grundsätzlich bei Ihnen selbst. Teilweise können wir weitere Patientendaten über Sie auch von vor- oder mitbehandelnden Krankenhäusern, Medizinischen Versorgungszentren (sog. MVZ) oder Arztpraxen erhalten (siehe auch unten unter 6.). Ferner können wir auch Daten von Rettungsdiensten oder Sie einliefernden Personen erhalten, insbesondere wenn Sie selbst zu diesem Zeitpunkt nicht ansprechbar waren. Darüber hinaus erhalten wir von medizinischen Laboren oder anderen Ärzten Fremdbefunde, soweit Sie uns diese als Quelle benennen oder wir diese mit Ihrer Zustimmung beauftragt haben. Ihre Daten werden im Rahmen der Zweckbestimmung unter Beachtung der jeweiligen datenschutzrechtlichen Regelungen bzw. etwaiger vorliegender Einwilligungserklärungen erhoben und ggf. an Dritte übermittelt. Als derartige Dritte kommen insbesondere in Betracht:
- vor-, mit- oder nachbehandelnde Einrichtungen der Gesundheitsversorgung oder Behandlung, Arztpraxen, Rehabilitations- oder Pflegeeinrichtungen,
- Kostenträger Ihrer Behandlung (gesetzliche oder private Krankenkassen, Unfallversicherungsträger o.ä.),
- Medizinischer Dienst Nord, Körperschaft des öffentlichen Rechts (Qualitäts- und Abrechnungsprüfung für gesetzliche Krankenkassen),
- gesetzliche oder rechtsgeschäftliche Vertreter,
- Angehörige, soweit Sie dem nicht widersprochen haben,
- Seelsorger, soweit kein entgegenstehender Wunsch erkennbar ist,
- externe Auftragsverarbeiter (z.B. Abrechnungsdienstleister, technische Dienstleister),
- konzerninterne Dienstleister (z.B. zur Lebensmittelversorgung, Patiententransport, OP-Vorbereitung),
- im Rahmen von Forschungsprojekten auf der Grundlage von § 12 HmbKHG: Treuhandstelle des UKE.
Der UKE-Konzern* hat für Forschungsprojekte auf Grundlage von § 12 HmbKHG unter anderem ein spezifisches Verfahren etabliert. Hierbei erfolgt zunächst eine Pseudonymisierung durch die eigens hierfür eingerichtete Treuhandstelle, welche durch eine Satzung der Medizinischen Fakultät einer besonderen Verschwiegenheitspflicht unterworfen ist. Die Patientendaten werden erst danach den Wissenschaftler:innen des UKE-Konzerns in einem besonders gesicherten Bereich oder lokal innerhalb der geschützten Betriebsumgebung des UKE-Konzerns bereitgestellt, und dann von diesen weiterverarbeitet. Hierdurch wird erreicht, dass den Wissenschaftler:innen die unmittelbar Sie identifizierenden Daten wie Name, Vorname, Versicherungsnummer, Anschrift und Patienten-ID, nicht offengelegt werden. Die o.g. Treuhandstelle des UKE-Konzerns erhält hingegen unmittelbar Sie identifizierende Daten wie Name, Vorname, Geburtsdatum, Versicherungsnummer, Anschrift und Patienten-ID, damit dort eine Pseudonymisierung erfolgen kann. Eine Verarbeitung zum Zweck der Forschung ist auch auf einem anderen Weg möglich. Hierüber werden Sie gesondert informiert.
* Die Verarbeitung wird nur auf die entsprechende Norm des HmbKHG gestützt, sofern die Verarbeitung durch das UKE, die Martini-Klinik oder das AKK erfolgt.
6. Gemeinsam Verantwortliche
Zur Gewährleistung einer vollumfassenden Behandlung bieten wir eine gemeinsame und einheitliche, elektronische Patientenverwaltung und Patientenakte an. In der gemeinsamen Patientenakte werden Ihre Behandlungsdaten aus Ihren Behandlungen und Aufenthalten im UKE-Konzern zusammengefasst. Diese medizinischen Dienstleister sind gemeinsam Verantwortliche gemäß Art. 26 DSGVO. Mithilfe der gemeinsamen Patientenakte kann Ihr jeweiliger medizinischer Dienstleister aus dem UKE-Konzern in allen zukünftigen Behandlungen Informationen aus bereits erfolgten Behandlungen im gesamten UKE-Konzern für Ihre jeweils aktuelle Behandlung heranziehen.
7. Übermittlungen in Drittländer
In der Regel werden Ihre personenbezogenen Daten innerhalb Deutschlands, der EU oder des Europäischen Wirtschaftsraumes verarbeitet. Sofern neue Anwendungen eingesetzt werden, kann ein Drittlandtransfer stattfinden. Soweit Ihre Patientendaten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden, werden wir ein angemessenes Schutzniveau beim Empfänger und hinreichende Sicherheitsmaßnahmen sicherstellen.
8. Betroffenenrechte
Ihnen stehen sämtliche Betroffenenrechte nach Art. 15 ff. DSGVO zu. Sie haben das Recht auf Auskunft über die Sie betreffenden gespeicherten personenbezogenen Daten nach Art. 15 DSGVO. Wenn Sie feststellen, dass unrichtige Daten zu Ihrer Person verarbeitet werden, können Sie unter bestimmten Voraussetzungen Berichtigung nach Art. 16 DSGVO verlangen. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt werden. Soweit die Voraussetzungen des Art. 17 DSGVO erfüllt sind, insbesondere die Daten nicht mehr für den ursprünglichen Zweck erforderlich und die Aufbewahrungsfristen abgelaufen sind, können Sie von uns die Löschung der Daten verlangen. Nach Art. 18 DSGVO können Sie unter Umständen von uns verlangen, dass wir die weitere Verarbeitung der Daten einschränken. Dies bedeutet, dass Ihre Daten zwar nicht gelöscht, aber gekennzeichnet werden und die weitere Verarbeitung eingeschränkt wird. Soweit sich die Verarbeitung Ihrer Patientendaten auf ein öffentliches oder berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. e), f) DSGVO stützt, können Sie Widerspruch nach Art 21 DSGVO gegen die Verarbeitung wegen Ihrer besonderen persönlichen Situation erheben.
Ihre Betroffenenrechte gegenüber dem UKE-Konzern und seinen medizinischen Dienstleistern können Sie beim UKE geltend machen.
Darüber hinaus steht Ihnen ein Beschwerderecht nach Art. 77 Abs. 1 DSGVO bei einer Aufsichtsbehörde zu. Z.B. beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI), Ludwig-Erhard-Straße 22, 20459 Hamburg, E-Mail: mailbox@datenschutz.hamburg.de.