Informationen zur Datenverarbeitung durch die DEKRA Automobil GmbH und die HumanProtect Consulting GmbH und der gemeinsamen Verantwortlichkeit
1. Allgemein
Mit diesen Hinweisen wollen wir Sie im Rahmen unserer datenschutzrechtlichen Verpflichtung über die Datenverarbeitung im Rahmen der psychologischen Akutintervention durch die DEKRA Automobil GmbH und die HumanProtect Consulting GmbH die gemeinsame Verantwortlichkeit informieren.
2. Verantwortliche
Verantwortlicher:
DEKRA Automobil GmbH, Handwerkstr. 15, 70565 Stuttgart (im Folgenden DEKRA)
Datenschutzbeauftragter:
datenschutz.automobil@dekra.com
DEKRA Automobil GmbH, Handwerkstr. 15, 70565 Stuttgart (im Folgenden DEKRA)
Datenschutzbeauftragter:
datenschutz.automobil@dekra.com
sowie
Verantwortlicher:
HumanProtect Consulting GmbH, Worringer Straße 25, 50668 Köln (im Folgenden HPC)
Datenschutzbeauftragter:
Dr. Roland Weiß
Raiffeisenplatz 1
65189 Wiesbaden
E-Mail: datenschutz@ruv.de
HumanProtect Consulting GmbH, Worringer Straße 25, 50668 Köln (im Folgenden HPC)
Datenschutzbeauftragter:
Dr. Roland Weiß
Raiffeisenplatz 1
65189 Wiesbaden
E-Mail: datenschutz@ruv.de
3. Grund der gemeinsamen Verantwortlichkeit
Im Rahmen der psychologischen Akutintervention arbeiten DEKRA und HPC eng zusammen. Dies betrifft auch die Verarbeitung Ihrer personenbezogenen Daten. Die Parteien haben gemeinsam die Reihenfolge der Verarbeitung dieser Daten in den einzelnen Prozessabschnitten festgelegt. Sie sind daher innerhalb der nachfolgend beschriebenen Prozessabschnitte gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich (Art. 26 DSGVO).
Der telefonische Erstkontakt erfolgt immer über die Kundenbetreuung der DEKRA. Die psychologische Akutintervention selber wird dann teilweise durch Psychologen der DEKRA oder der HPC durchgeführt. Die Aufbewahrung der Patientenakte wiederum ausschließlich durch HPC.
4. Vereinbarung der Parteien hinsichtlich der der gemeinsamen Verantwortlichkeit
Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben DEKRA und HPC vereinbart, wer von ihnen welche Pflichten nach der DSGVO erfüllt. Dies betrifft insbesondere die Wahrnehmung der Rechte der betroffenen Personen und die Erfüllung der Informationspflichten gemäß den Artikeln 13 und 14 DSGVO.
Diese Vereinbarung ist notwendig, da im Rahmen der psychologischen Akutintervention personenbezogene Daten in unterschiedlichen Prozessabschnitten und Systemen verarbeitet werden, die entweder von DEKRA oder HPC betrieben werden.
5. Zwecke der Datenverarbeitung
Die Datenverarbeitung bei dem jeweiligen Unternehmen erfolgt zu den nachfolgenden Zwecken:
DEKRA
Die Verarbeitung Ihrer personenbezogenen Daten durch die DEKRA Kundenbetreuung im Rahmen der telefonischen Kontaktaufnahme erfolgt zur Durchführung vorvertraglicher Maßnahmen des Behandlungsvertrages.
Die Verarbeitung Ihrer personenbezogenen Daten durch die DEKRA Kundenbetreuung im Rahmen der telefonischen Kontaktaufnahme erfolgt zur Durchführung vorvertraglicher Maßnahmen des Behandlungsvertrages.
Die Verarbeitung Ihre personenbezogenen Daten im Rahmen der psychologischen Akutintervention durch einen DEKRA Psychologen erfolgt zum Zwecke der Durchführung der psychologischen Beratung (Akutintervention).
HPC
Die Verarbeitung Ihre personenbezogenen Daten im Rahmen der psychologischen Akutintervention durch einen HPC Psychologen erfolgt zum Zwecke der Durchführung der psychologischen Beratung (Akutintervention).
Die Verarbeitung Ihre personenbezogenen Daten im Rahmen der psychologischen Akutintervention durch einen HPC Psychologen erfolgt zum Zwecke der Durchführung der psychologischen Beratung (Akutintervention).
HPC arbeitet im Rahmen der psychologischen Behandlung mit selbständigen Diplom-PsychologInnen und PsychotherapeutInnen zusammen. Zudem werden Ihre Daten durch HPC verarbeitet, um die Leistung gegenüber dem jeweiligen Auftraggeber (z. B. Arbeitgeber, Berufsgenossenschaft, Versicherungsunternehmen) abzurechnen und mögliche weitere Behandlungsschritte zu besprechen. Zudem unterstützen Sie die HPC auf Wunsch bei der Suche nach geeigneten anderen Psychologen, Psychotherapeuten oder Ärzten für notwendige Folgebehandlungen.
6. Rechtsgrundlagen für die Datenverarbeitung
Die Rechtsgrundlage für die Datenverarbeitung bei dem jeweiligen Unternehmen ergibt sich aus den folgenden Normen:
DEKRA
Die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der telefonischen Kontaktaufnahmen und im Zusammenhang mit der Akutintervention stützen wir auf Art. 6 Abs. 1 lit. b; Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 b BDSG (Behandlungsvertrag).
Die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der telefonischen Kontaktaufnahmen und im Zusammenhang mit der Akutintervention stützen wir auf Art. 6 Abs. 1 lit. b; Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 b BDSG (Behandlungsvertrag).
Die Abrechnung der Leistungen aus dem Patientenvertrag stützen wir auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
HPC
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt im Wesentlichen auf Grundlage des Behandlungsvertrages (Art. 6 Abs. 1 lit. b Datenschutzgrundverordnung (DSGVO)). Die hiermit verbundene Verarbeitung von Gesundheitsdaten erfolgt grundsätzlich auf gesetzlicher Basis (Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 b BDSG neu und Art. 9 Abs. 2 lit. f DSGVO).
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt im Wesentlichen auf Grundlage des Behandlungsvertrages (Art. 6 Abs. 1 lit. b Datenschutzgrundverordnung (DSGVO)). Die hiermit verbundene Verarbeitung von Gesundheitsdaten erfolgt grundsätzlich auf gesetzlicher Basis (Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 b BDSG neu und Art. 9 Abs. 2 lit. f DSGVO).
Die Datenverarbeitung zu Abrechnungszwecke erfolgt zur Geltendmachung unsere Rechtsansprüche (Art. 9 Abs. 2 lit. f DSGVO) gegenüber unserem Auftraggeber.
Sofern für bestimmt Datenverarbeitungsvorgänge eine Einwilligungs- und/oder Schweigepflichtentbindungserklärung (Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO) erforderlich ist (z.B. bei der Verarbeitung von Gesundheitsdaten) holen wir eine gesonderte Erklärung von Ihnen ein.
Bestimmte Datenverarbeitungsvorgänge, die nicht unmittelbar mit der psychologischen Behandlung zusammenhängen, können auch auf Grundlage einer allgemeinen Interessenabwägung erfolgen (Art. 6 Abs. 1, lit. f DSGVO). Dies gilt z. B. wenn wir spezialisierte Dienstleister beauftragen. Unser berechtigtes Interesse besteht regelmäßig darin, Prozesse so effizient und wirtschaftlich zu gestalten.
In bestimmten Fällen ist uns eine Datenverarbeitung auch durch Gesetze vorgeschrieben.
7. Bereitstellung und Herkunft der personenbezogenen Daten
In der Regel erheben wir personenbezogene Daten direkt bei Ihnen. Im Rahmen der Beauftragung und Terminvereinbarung werden uns Ihrer Daten eventuell auch durch berechtigte Dritte (z.B. Ihren Arbeitgeber) mitgeteilt.
Grundsätzlich bitten wir Sie, uns nur Daten mitzuteilen, die für den jeweiligen Zweck (z. B. psychologische Beratung) notwendig oder gesetzlich vorgeschrieben sind. Wenn wir Sie bitten, uns Daten freiwillig mitzuteilen, machen wir Sie darauf besonders aufmerksam. Falls es eine vertragliche oder gesetzliche Pflicht zur Mitteilung der Daten gibt und Sie dies verweigern, kann daraus folgen, dass wir die Behandlung nicht durchführen bzw. weiterführen können.
Ihre folgenden allgemeinen Daten werden verarbeitet:
- Anrede, Vorname, Nachname
- Adressdaten
- Telefonnummer
- Geburtsdatum
- Beruf
- Angaben zu Leistungsträgern (Krankenversicherung, Beihilfe)
- Darüber hinaus werden Ihre folgenden gesundheitsbezogenen Daten verarbeitet:
- Daten, die für die Behandlung notwendig sind wie z.B. Informationen zur Gesundheit, Vorerkrankungen, Lebensgeschichte und Erfahrungen mit früheren und aktuellen Bezugspersonen
8. Weitere Datenempfänger
DEKRA
In besonderen Fällen kann es erforderlich sein, dass wir Ihre Daten gruppenweit verarbeiten. Eine Datenverarbeitung innerhalb der DEKRA Unternehmensgruppe erfolgt jedoch nur, wenn wir hierzu eine rechtliche Erlaubnis haben. Dies ist z.B. dann der Fall, wenn andere DEKRA Unternehmen im Rahmen einer Auftragsverarbeitung für uns tätig werden, wie die DEKRA SE als IT-Dienstleister, oder wenn ein berechtigtes Interesse nach Art. 6 Abs.1 lit. f DSGVO besteht.
In besonderen Fällen kann es erforderlich sein, dass wir Ihre Daten gruppenweit verarbeiten. Eine Datenverarbeitung innerhalb der DEKRA Unternehmensgruppe erfolgt jedoch nur, wenn wir hierzu eine rechtliche Erlaubnis haben. Dies ist z.B. dann der Fall, wenn andere DEKRA Unternehmen im Rahmen einer Auftragsverarbeitung für uns tätig werden, wie die DEKRA SE als IT-Dienstleister, oder wenn ein berechtigtes Interesse nach Art. 6 Abs.1 lit. f DSGVO besteht.
Wir werden Ihre Daten darüber hinaus nicht an Dritte weitergeben. Soweit wir Dienstleister im Rahmen einer Auftragsverarbeitung beauftragen, unterliegen Ihre Daten dort den gleichen Sicherheitsstandards wie bei uns. In den übrigen Fällen dürfen die Empfänger die Daten nur für die Zwecke nutzen, für die sie ihnen übermittelt wurden.
HPC
HPC beauftragt für bestimmte Tätigkeiten andere Unternehmen. Dies können insbesondere IT-Unternehmen für den IT-Betrieb und IT-Support sowie Aktenvernichter sein.
HPC beauftragt für bestimmte Tätigkeiten andere Unternehmen. Dies können insbesondere IT-Unternehmen für den IT-Betrieb und IT-Support sowie Aktenvernichter sein.
Eine Übermittlung Ihrer personenbezogenen Daten an Dritte kann auch erfolgen:
- Sofern für Abrechnungszwecke erforderlich, übermitteln wir die jeweils notwendigen Daten an unseren Auftraggeber. Grundsätzlich erhalten Auftraggeber lediglich die Information, dass eine Beratung stattgefunden hat und ggf. den zeitlichen Umfang. Behandlungsergebnisse werden ausschließlich übermittelt, sofern der Auftraggeber eine Berufsgenossenschaft oder ein Versicherungsunternehmen ist. In diesem Fall dient die Datenübermittlung unter anderem der Überprüfung der eigenen Leistungsverpflichtung.
- Sofern eine gesetzliche Offenbarungspflicht besteht, z.B. § 138 Abs. 1 Nr.1 bis 8 Strafgesetzbuch (StGB).
- Sofern eine Meldepflicht nach dem Infektionsschutzgesetz besteht.
- Falls anwaltliche und gerichtliche Hilfe in Anspruch genommen werden muss.
- Bei einer Kindeswohlgefährdung (§ 4 Abs. 3 KKG).
- Bei einer Weiterleitung von Unterlagen an andere Psychologen, Psychotherapeuten, Ärzte, Krankenversicherungen oder andere Abrechnungsstellen.
9. Datenübermittlung an Drittstaaten
Wenn wir personenbezogene Daten innerhalb der EU/EWR übermitteln, beachten wir die strengen rechtlichen Vorgaben.
Wenn es erforderlich ist, übermitteln wir Ihre personenbezogenen Daten an Dienstleister in Drittstaaten außerhalb der EU/EWR, z. B. im Rahmen von IT-Leistungen, oder an Sachverständige. Auswahl und vertragliche Vereinbarungen richten sich selbstverständlich nach den gesetzlichen Regelungen.
Wenn es erforderlich ist, übermitteln wir Ihre personenbezogenen Daten an Dienstleister in Drittstaaten außerhalb der EU/EWR, z. B. im Rahmen von IT-Leistungen, oder an Sachverständige. Auswahl und vertragliche Vereinbarungen richten sich selbstverständlich nach den gesetzlichen Regelungen.
10. Dauer der Datenspeicherung
Anbei finden Sie weitere Informationen zur Datenspeicherung bei dem jeweiligen Unternehmen:
DEKRA
Ihre personenbezogenen Daten werden gelöscht, sobald der Zweck der Speicherung entfällt und gesetzliche Aufbewahrungs- oder Dokumentationspflichten einer Löschung nicht entgegenstehen. Die Aufbewahrung der Patientenakten übernimmt HPC auch in den Fällen der psychologischen Beratung durch einen DEKRA Psychologen. Die Patientenakten werden nach der Behandlung an HPC übergeben.
Ihre personenbezogenen Daten werden gelöscht, sobald der Zweck der Speicherung entfällt und gesetzliche Aufbewahrungs- oder Dokumentationspflichten einer Löschung nicht entgegenstehen. Die Aufbewahrung der Patientenakten übernimmt HPC auch in den Fällen der psychologischen Beratung durch einen DEKRA Psychologen. Die Patientenakten werden nach der Behandlung an HPC übergeben.
HPC
Die für die Behandlung von Ihnen erhobenen personenbezogenen Daten werden grundsätzlich bis zum Ablauf der gesetzlichen Aufbewahrungspflicht gespeichert. Nach § 630 f Abs. 3 BGB beträgt die Aufbewahrungsfrist für die Patientenakte 10 Jahre nach Abschluss der Behandlung, soweit nicht nach anderen Vorschriften andere Aufbewahrungsfristen bestehen.
Die für die Behandlung von Ihnen erhobenen personenbezogenen Daten werden grundsätzlich bis zum Ablauf der gesetzlichen Aufbewahrungspflicht gespeichert. Nach § 630 f Abs. 3 BGB beträgt die Aufbewahrungsfrist für die Patientenakte 10 Jahre nach Abschluss der Behandlung, soweit nicht nach anderen Vorschriften andere Aufbewahrungsfristen bestehen.
Eine längerfristige Speicherung Ihrer Daten erfolgt nur, wenn besondere Umstände dies erforderlich machen (z.B. auf Anforderung von Behörden oder im Falle rechtlicher Auseinandersetzungen).
11. Ihre Betroffenenrechte
Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Parteien die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten wie folgt:
Datenschutzrechte können sowohl bei DEKRA als auch bei HPC geltend gemacht werden. Die Parteien informieren sich bei der Geltendmachung von Betroffenenrechten gegenseitig. Betroffene erhalten die Auskunft grundsätzlich von HPC.
Sie haben ein Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und auf Datenübertragbarkeit. Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese uns gegenüber mit Wirkung für die Zukunft zu widerrufen.
Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung) oder Art. 6 Abs. 1 lit. e DSGVO (im öffentlichen Interesse) erfolgt, Widerspruch einzulegen, wenn dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.
Der Widerspruch kann formfrei erfolgen und sollte möglichst gerichtet werden an
datenschutz.automobil@dekra.com
.
Sie haben zudem die Möglichkeit, sich mit einer Beschwerde an die oben genannten Datenschutzbeauftragten oder an eine Datenschutzaufsichtsbehörde zu wenden.