1. Allgemeines
2. Einleitung
3. Personenbezogene Daten
4. Kommunikationswege der BKK24
5. Systemsicherheit
6. Wichtige Kontaktdaten zum Datenschutz
1. Allgemeines
Die BKK24 möchte mit ihrem Internetauftritt Interessenten und Versicherte umfassend und kompetent über Leistungen, Beiträge sowie über Gesundheitsthemen informieren und BKK24-Versicherten wie Geschäftspartnern den bestmöglichen Online-Service eines modernen Dienstleistungsunternehmens bieten.
2. Einleitung
Diese Datenschutzerklärung klärt Nutzer über die Art, den Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten durch den verantwortlichen Anbieter auf dieser Webseite auf. Die rechtlichen Grundlagen des Datenschutzes finden sich in der Datenschutzgrundverordnung (DSGVO), im Sozialgesetzbuch (SGB) und im Bundesdatenschutzgesetz (BDSG neu). Die BKK24 erhebt und verwendet Ihre personenbezogenen Daten ausschließlich im Rahmen dieser Bestimmungen.
Personenbezogene Daten
Personenbezogene Daten sind Informationen zu Ihrer Identität. Hierunter fallen zum Beispiel Angaben wie Name, Anschrift, Telefonnummer, Geburtsdatum und E-Mail Adresse.
Mit der Datenschutzerklärung unterrichten wir Sie darüber in welcher Art, welchem Umfang und zu welchem Zweck wir personenbezogene Daten erheben und verwenden, wenn Sie unsere Webseite besuchen.
Aufgrund von Veränderungen auf dieser Internetseite können auch Änderungen der Datenschutzerklärung erforderlich sein. Wir bitten Sie daher, unsere Datenschutzseite regelmäßig zu besuchen, um auf dem aktuellen Stand zu sein.
3. Personenbezogene Daten
Soweit auf dieser Webseite personenbezogene Daten erhoben werden, erfolgt dies entweder aufgrund Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 S. 1 lit. A DSGVO), zur Erfüllung rechtlicher Verpflichtungen, denen die BKK24 unterliegt (Art. 6 Abs. 1 S. 1 lit. C DSGVO), zur Wahrnehmung von Aufgaben im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, die der BKK24 übertragen wurde (Art. 6 Abs. 1 S. 1 lit. E DSGVO) oder zur Wahrung berechtigter Interessen der BKK24 (Art. 6 Abs. 1 S. 1 lit. F DSGVO). Die Daten werden solange gespeichert, wie es für den jeweiligen Zweck der Erhebung erforderlich ist und soweit keine gesetzlichen Aufbewahrungsfristen einer Löschung entgegenstehen.
Informatorische Nutzung
Sie müssen keine personenbezogenen Daten angeben, wenn Sie sich auf BKK24.de lediglich zu einem bestimmten Thema informieren wollen und sich nicht auf der Website anmelden, registrieren oder uns sonstige Informationen übermitteln. Bei dieser sogenannten "informatorischen Nutzung" erheben wir ausschließlich die Daten, die Ihr Browser übermittelt, um Ihnen den Besuch der Website zu ermöglichen. Diese sind:
Die protokollierten Daten werden ausschließlich für Zwecke der Datensicherheit, insbesondere zur Abwehr von Angriffsversuchen auf unserem Webserver (Art. 6 Abs. 1 S. 1 lit. f DSGVO) gespeichert.
Nutzung von Service-Angeboten
Für einige BKK24-Onlineservices benötigen wir personenbezogene Daten, um die Services anbieten zu können. Wenn Sie eines dieser Angebote nutzen möchten, erheben und speichern wir ausschließlich die Daten, die notwendig sind, um den Service zu realisieren. Die gespeicherten Daten werden nur für den angegebenen Zweck genutzt.
Welche Daten die BKK24 im jeweiligen Service-Angebot erhebt, speichert und nutzt, ergibt sich aus den einzelnen Eingabemasken. Pflichtangaben sind hierbei gekennzeichnet. Alle weiteren Angaben sind freiwillig.
Teilnahme an Gewinnspielen
Die BKK24 führt ggf. Gewinnspiele durch. Die BKK24 speichert die personenbezogenen Daten der Teilnehmer, die notwendig sind, um das Gewinnspiel abwickeln zu können. So benötigt die BKK24 zum Beispiel eine Anschrift, um die Gewinne versenden zu können. Eine Weitergabe der Daten an Dritte findet nur statt, wenn es die Art des Gewinns oder die Gewinnübergabe erforderlich machen. Etwa, wenn ein Gewinnspiel gemeinsam mit einem Kooperationspartner stattfindet, der die Gewinne direkt versendet.
Hat der Teilnehmer in die Veröffentlichung eingewilligt, werden personenbezogene Daten von ihm veröffentlicht, wenn er bei dem Gewinnspiel gewonnen hat. In der Regel handelt es sich dabei um den Vor- und Nachnamen des Gewinners. Die Daten werden spätestens sechs Wochen nach Abwicklung des Gewinnspiels gelöscht, auf Wunsch des Teilnehmers auch früher.
Löschung von Daten
Die BKK24 löscht personenbezogene Daten,
Zu jedem BKK24-Service-Angebot, für das eine Anmeldung notwendig ist, können Sie sich jederzeit eigeninitiativ an- oder abmelden.
4. Kommunikationswege mit der BKK24
Passwortgeschütztes Onlineangebot
Sofern Sie sich für unseren passwortgeschützten Webservice angemeldet haben, können Sie sich jederzeit wieder abmelden. Nicht betroffen von dieser Abmeldung sind Ihre Mitgliedschaft bei der BKK24 und der damit verbundene Datenbestand.
Die für die Passworteingabe genutzten Programme protokollieren bei jeder falschen Anmeldung und bei jeder Passwortsperrung folgende Daten:
Die Speicherung dieser Daten erfolgt auf dem Web-Server der BKK24.
E-Mail-Kommunikation
In einigen Fällen beantworten wir Kundenanfragen auf dem herkömmlichen Postweg, auch wenn uns die Anfrage per E-Mail zugeschickt worden ist. Das ist immer dann der Fall, wenn unsere Antwort Sozialdaten enthält. Eine andere Möglichkeit gibt es derzeit aus rechtlichen Gründen leider nicht. Sobald eine auf breiter Basis einsetzbare Technologie zur Verfügung steht, die höchstmögliche Datensicherheit gewährleistet, können wir Ihre Leistungsanfragen gern auch per E-Mail beantworten.
Newsletter
Wird der Newsletter unserer Krankenkasse abonniert, so werden die Daten in der jeweiligen Eingabemaske an den für die Verarbeitung Verantwortlichen übermittelt. Die Anmeldung zu unserem Newsletter erfolgt in einem sog. Double Opt-in-Verfahren. D. h. Sie erhalten nach der Anmeldung eine E-Mail, in der Sie um die Bestätigung Ihrer Anmeldung gebeten werden. Diese Bestätigung ist notwendig, damit sich niemand mit fremden E-Mail-Adressen anmelden kann. Bei der Anmeldung zum Newsletter werden die IP-Adresse des Nutzers sowie Datum und Uhrzeit der Registrierung gespeichert. Dies dient dazu, einen Missbrauch der Dienste oder der E-Mail-Adresse der betroffenen Person zu verhindern. Eine Weitergabe der Daten an Dritte erfolgt nicht. Eine Ausnahme besteht dann, wenn eine gesetzliche Verpflichtung zur Weitergabe besteht. Die Daten werden ausschließlich für den Versand des Newsletters verwendet. Das Abonnement des Newsletters kann durch die betroffene Person jederzeit gekündigt werden. Ebenso kann die Einwilligung in die Speicherung der personenbezogenen Daten jederzeit widerrufen werden. Zu diesem Zweck findet sich in jedem Newsletter ein entsprechender Link. Rechtsgrundlage für die Verarbeitung der Daten nach Anmeldung zum Newsletter durch den Nutzer ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a) DSGVO.
Kontaktformulare
Sie haben die Möglichkeit, die BKK24 über Onlineformulare zu kontaktieren. Die ausschließlich zur Kontaktaufnahme erhobenen und verwendeten Daten sind freiwillig. Die Daten werden mittels TLS-Verschlüsselung übertragen.
Recht auf Auskunft und Widerruf
Sie haben das Recht, von uns jederzeit Auskunft darüber zu verlangen,
Wenn Sie uns eine Einwilligung zur Nutzung personenbezogener Daten gegeben haben, können Sie diese Einwilligung jederzeit widerrufen. Ihre personenbezogenen Daten werden wir dann löschen.
5. Systemsicherheit
Wir unterhalten aktuelle technische Maßnahmen, um die Datensicherheit zu gewährleisten. Diese Maßnahmen dienen insbesondere dazu, Ihre personenbezogenen Daten vor dem Zugriff unbefugter Dritter zu schützen. Wir passen unsere Schutzmechanismen dem aktuellen Stand der Technik entsprechend an.
Wenn Sie innerhalb unseres Online-Angebotes dazu aufgefordert werden, persönliche Daten einzugeben, erfolgt die Datenübertragung über das Internet immer unter Verwendung einer SSL-Verschlüsselung. Diese Verschlüsselung soll verhindern, dass Unbefugte in den Besitz Ihrer Daten gelangen.
Allgemeine Betroffenenrechte
Sie haben das Recht
6. Wichtige Kontaktdaten zum Datenschutz
Identität des Verantwortlichen: BKK24, Sülbecker Brand 1, 31683 Obernkirchen - Körperschaft des öffentlichen Rechts
Kontaktdaten der Datenschutzbeauftragten: Sandra Sonnenberg, Sülbecker Brand 1, 31683 Obernkirchen – datenschutz@bkk24.de
Sie haben als Betroffener das Recht, sich an die zuständigen Aufsichtsbehörden zu wenden, die für die BKK24 zuständig sind:
1. Die Bundesbeauftragte für Datenschutz und die Informationsfreiheit, Graurheindorfer Str. 153, 53117 Bonn, poststelle@bfdi.bund.de oder poststelle@bfdi.de-mail.de
2. Bundesamt für Soziale Sicherung, Friedrich-Ebert-Allee 38, 53113 Bonn, poststelle@bas.bund.de oder poststelle@bas.de-mail.de
1. Einsatz und Löschung von Cookies
Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Sie geben Einwilligung zu unseren Cookies, wenn Sie unsere Webseite weiterhin nutzen.
Dabei werden die Cookies in notwendige, statistische und Marketingcookies unterteilt. Die notwendigen Cookies benötigen wir zur Wahrung der berechtigten Interessen der BKK24 (Art. 6 Abs. 1 S. 1 lit. F DSGVO), um den Betrieb der Seite sicherzustellen. Die statistischen und Marketingcookies erheben wir nur mit Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 S. 1 lit. A DSGVO). Um zu entscheiden, welche Cookies wir bei Ihnen verwenden dürfen, können Sie die Einstellungen unter dem folgenden Link variabel vornehmen: Cookiebot.
Welche Daten werden von Cookiebot gespeichert?
Wenn Sie Cookies zulassen, werden folgende Daten an Cybot übertragen, gespeichert und verarbeitet.
Folgenden Cookies werden von Cookiebot gesetzt, wenn Sie der Verwendung von Cookies zugestimmt haben:
Name: CookieConsent
Wert: {stamp:’P7to4eNgIHvJvDerjKneBsmJQd9331732867027-2
Verwendungszweck: In diesem Cookie wird Ihr Zustimmungsstatus, gespeichert. Dadurch kann unsere Website auch bei zukünftigen Besuchen den aktuellen Status lesen und befolgen. Ablaufdatum: nach einem Jahr
Name: CookieConsentBulkTicket
Wert: kDSPWpA%2fjhljZKClPqsncfR8SveTnNWhys5NojaxdFYBPjZ2PaDnUw%3d%3331732867027-6
Verwendungszweck: Dieses Cookie wird gesetzt, wenn Sie alle Cookies erlauben und somit eine “Sammelzustimmung” aktiviert haben. Das Cookie speichert dann eine eigene, zufällige und eindeutige ID.
Ablaufdatum: nach einem Jahr
Anmerkung: Bitte bedenken Sie, dass es sich hier um eine beispielhafte Liste handelt und wir keinen Anspruch auf Vollständigkeit erheben können. In der Cookie-Erklärung unter www.cookiebot.com/de/cookie-declaration/ sehen Sie, welche weiteren Cookies eingesetzt werden können.
Laut der Datenschutzerklärung von Cybot verkauft das Unternehmen personenbezogene Daten nicht weiter. Cybot gibt allerdings Daten an vertrauensvolle Dritt- oder Subunternehmen weiter, die dem Unternehmen helfen, die eigenen betriebswirtschaftlichen Ziele zu erreichen. Daten werden auch dann weitergegeben, wenn dies rechtlich erforderlich ist.
Wie lange und wo werden die Daten gespeichert?
Alle erhobenen Daten werden ausschließlich innerhalb der Europäischen Union übertragen, gespeichert und weitergeleitet. Die Daten werden in einem Azure-Rechenzentrum (Cloud-Anbieter ist Microsoft) gespeichert. Auf azure.microsoft.com/de-de/explore/global-infrastructure/geographies/ erfahren Sie mehr über alle „Azure-Regionen“. Alle User Daten werden von Cookiebot nach 12 Monaten ab der Registrierung (Cookie-Zustimmung) bzw. unmittelbar nach Kündigung des Cookiebot-Services gelöscht.
Wie kann ich meine Daten löschen bzw. die Datenspeicherung verhindern?
Sie haben jederzeit das Recht auf Ihre personenbezogenen Daten zuzugreifen und sie auch zu löschen. Die Datenerfassung und Speicherung können Sie beispielsweise verhindern, indem Sie über den Cookie-Hinweis die Verwendung von Cookies ablehnen. Eine weitere Möglichkeit die Datenverarbeitung zu unterbinden bzw. nach Ihren Wünschen zu verwalten, bietet Ihr Browser.
Je nach Browser funktioniert die Cookie-Verwaltung etwas anders. Unter dem Abschnitt „Cookies“ finden Sie die entsprechenden Links zu den jeweiligen Anleitungen der bekanntesten Browser.
Wenn Sie mehr über die Datenschutzrichtlinien von „Cookiebot“ bzw. dem dahinterstehenden Unternehmen Cybot erfahren wollen, empfehlen wir Ihnen die Datenschutzrichtlinien unter www.cookiebot.com/de/privacy-policy/ durchzulesen.
2. Chat-Bot
Auf unserer Internetseite besteht die Möglichkeit, unseren Chat-Bot zu nutzen. Dabei werden die Daten aus dem Chatverlauf verarbeitet, sowie zusätzlich eine SessionID der Chatbenutzer. Die protokollierten Daten werden ausschließlich für Zwecke der Datensicherheit, insbesondere zur Abwehr von Angriffsversuchen auf unserem Webserver (Art. 6 Abs. 1 lit. f DSGVO) gespeichert. Mit dem Chatbot werden automatisiert Antworten zu den jeweiligen Themenfeldern zur Verfügung gestellt. Es können keine Fragen jenseits der vorgegebenen Fragen beantworten werden. Die Antworten des Chat-Bots sind nicht rechtsverbindlich, sondern sie dienen lediglich Ihrer ersten Information. Die Antworten ersetzen nicht die fachliche Beratung Ihres Kundenberaters/Ihrer Kundenberaterin.
Die Nutzung des Chat-Bot-Angebotes ist freiwillig. Zur Klärung der hier angesprochenen Fragen und Themen können Sie auch jederzeit auf herkömmliche Art und Weise (z. B. per Post, Mail, Telefon) Kontakt mit einer Mitarbeiterin oder eines Mitarbeiters der BKK24 aufnehmen.
Wird eine Spracheingabe – wie z. B. Alexa, Siri, Cortana, Dragon etc. – zur Steuerung Ihres Rechners und zur Bedienung des Chat-Bots benutzt, besteht die Möglichkeit, dass Ihre Daten von dem jeweiligen Sprachdienstanbieter in einer Cloud verarbeitet werden. Hierauf hat die BKK24 keine Einflussmöglichkeiten. Für die Einhaltung des Datenschutzes bei der Verarbeitung zur Steuerung des Rechners (Eingaben des Nutzers/der Nutzerin) ist die BKK24 daher nicht verantwortlich.
Um die Qualität des Chat-Bots und die Nutzererfahrung zu verbessern, werden die Chat-Protokolle aufgezeichnet und gespeichert. Mit der Nutzung des Chat-Bots willigen Sie ein, dass die bei der Nutzung des Chat-Bot-Angebotes übermittelten Daten von der BKK24 zur Beantwortung der Fragen sowie zur Verbesserung des Antwortverhaltens des Chat-Bots verwendet werden. Dabei wird systemseitig nur der Text gespeichert und keine sonstigen Nutzerdaten. Ein Rückschluss auf den Nutzer oder die Nutzerin ist daher nicht möglich.
Falls Sie in den Chat-Bot Ihre personenbezogenen Daten eingeben (z. B. Kundennummer, Ihren Namen, Ihr Geburtsdatum usw.) und wenn sich aus diesen Informationen Rückschlüsse aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftzugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ergeben, bezieht sich Ihre Einwilligung auch auf diese Angaben. Sie können Ihre Einwilligung jederzeit formlos durch Mitteilung per Mail an info@bkk24.de gegenüber der BKK24 widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
3. Analysewerkzeuge
Wir werten das Nutzungsverhalten der Besucher unserer Website pseudonymisiert aus, also ohne Rückschlüsse auf die Person des Besuchers ziehen zu können. Die so gewonnenen Erkenntnisse helfen uns, das Webangebot der BKK24 zu verbessern und Marktanalysen durchzuführen. Diese Auswertung ist unser berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f DSGVO. Als Besucher von BKK24.de haben Sie das Recht, dieser Datenerhebung zu widersprechen.
Zur Analyse des Nutzungsverhaltens verwendet die BKK24 die Methode des sogenannten Webtrackings. Das heißt, die BKK24 erfasst, welche ihrer Webseiten wie oft besucht wurden. Zu diesem Zweck setzt die BKK24 Cookies ein.
Wenn Sie unsere Website besuchen, übermittelt uns Ihr Browser einige Informationen. Wir erheben diese Daten und werten sie für unser Webcontrolling aus.
Folgende Daten werden erhoben:
Wenn Sie der Datenspeicherung auf BKK24.de grundsätzlich widersprechen, wird für den Ausschluss vom Web-Controlling ein Cookie gesetzt. Der Widerspruch wirkt, solange der oben genannte Cookie nicht gelöscht wird. Haben Sie Ihren Browser so eingestellt, dass Cookies nicht gespeichert oder nach der Speicherung wieder gelöscht werden, müssen Sie dem angegebenen Link erneut folgen, um den Widerruf zu erneuern.
Bei der Verarbeitung der Analysedaten werden die IP-Adressen gekürzt, sodass der direkte Bezug zu einer Person ausgeschlossen werden kann. Die gekürzte IP-Adresse wird nicht mit anderen von uns erhobenen Daten zusammengeführt.
Conversion-Tracking
Matomo
Mit Ihrer Einwilligung verwenden wir die Open-Source-Software Matomo zur Analyse und statistischen Auswertung der Nutzung der Website. Hierzu werden die Cookies eingesetzt. Die dadurch erhaltenen Informationen über die Websitenutzung werden ausschließlich an unsere Server übertragen und in pseudonymen Nutzungsprofilen zusammengefasst. Die Daten verwenden wir zur Auswertung der Nutzung der Website. Eine Weitergabe der erfassten Daten an Dritte erfolgt nicht.
Die IP-Adressen werden anonymisiert (IP Masking), sodass eine Zuordnung zu einzelnen Nutzern nicht möglich ist.
Die Verarbeitung der Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Wir verfolgen damit unser berechtigtes Interesse an der Optimierung unserer Webseite für unsere Außendarstellung.
Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookies in Ihrem Browser löschen oder Ihre Datenschutzeinstellungen ändern.
Social plugins
Auf der BKK24-Webseite werden sogenannte Social Plugins eingesetzt. Derzeit sind dies die Plugins der Dienste facebook und youtube. Über diese Plugins können Daten, auch personenbezogene Daten, an die US-amerikanischen Diensteanbieter gesendet und gegebenenfalls von diesen genutzt werden.
Die BKK24 erfasst selbst keine personenbezogenen Daten mittels der Social Plugins oder über deren Nutzung.
Diese Form der Datenerhebung ist nur mit Ihrer Einwilligung zulässig laut Artikel 6 Abs. 1 a DSGVO. Weitere Informationen zum Einwilligung von Cookies können Sie dem Punkt 5. Einsatz und Löschen von Cookies entnehmen.
Facebook Pixel
Diese Website nutzt zur Konversionsmessung das Besucheraktions-Pixel von Facebook. Anbieter dieses Dienstes ist die Facebook Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland. Die erfassten Daten werden nach Aussage von Facebook jedoch auch in die USA und in andere Drittländer übertragen.
So kann das Verhalten der Seitenbesucher nachverfolgt werden, nachdem diese durch Klick auf eine Facebook-Werbeanzeige auf die Website des Anbieters weitergeleitet wurden. Dadurch können die Wirksamkeit der Facebook-Werbeanzeigen für statistische und Marktforschungszwecke ausgewertet werden und zukünftige Werbemaßnahmen optimiert werden.
Die erhobenen Daten sind für uns als Betreiber dieser Website anonym, wir können keine Rückschlüsse auf die Identität der Nutzer ziehen. Die Daten werden aber von Facebook gespeichert und verarbeitet, sodass eine Verbindung zum jeweiligen Nutzerprofil möglich ist und Facebook die Daten für eigene Werbezwecke, entsprechend der Facebook-Datenverwendungsrichtlinie verwenden kann. Dadurch kann Facebook das Schalten von Werbeanzeigen auf Seiten von Facebook sowie außerhalb von Facebook ermöglichen. Diese Verwendung der Daten kann von uns als Seitenbetreiber nicht beeinflusst werden.
Die Nutzung von Facebook-Pixel erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an effektiven Werbemaßnahmen unter Einschluss der sozialen Medien. Sofern eine entsprechende Einwilligung abgefragt wurde (z. B. eine Einwilligung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung ist jederzeit widerrufbar.
In den Datenschutzhinweisen von Facebook finden Sie weitere Hinweise zum Schutz Ihrer Privatsphäre: https://de-de.facebook.com/about/privacy/.
Schutz-Tool Shariff
Die BKK24 erfasst selbst keine personenbezogenen Daten mittels der Social Plugins oder über deren Nutzung. Um zu verhindern, dass Daten ohne das Wissen des Nutzers an die Diensteanbieter in den USA übertragen werden, setzt die BKK24 die sogenannte Shariff-Lösung ein. Diese Lösung sorgt dafür, dass zunächst keine personenbezogenen Daten an die Anbieter der einzelnen Social Plugins weitergegeben werden, wenn Sie die BKK24-Website besuchen. Erst wenn Sie eines der Social Plugins anklicken, können Daten an den Diensteanbieter übertragen und dort gespeichert werden.
Information
Mehr Informationen über die Shariff-Lösung finden Sie auf den Seiten des Anbieters, der Heise Medien Gmbh & Co. KG: http://m.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html
Zugriff durch die Diensteanbieter
Der Diensteanbieter erhält dann die Information, dass Sie die entsprechende Unterseite unseres Online-Angebots aufgerufen haben. Dazu müssen Sie weder ein Konto bei diesem Diensteanbieter besitzen noch dort eingeloggt sein. Wenn Sie bei dem Diensteanbieter eingeloggt sind, werden diese Daten direkt Ihrem Konto zugeordnet. Wenn Sie eines der Social Plugins anklicken und zum Beispiel die Seite verlinken, speichert der Diensteanbieter auch diese Information in Ihrem Nutzerkonto und teilt dies Ihren Kontakten öffentlich mit.
Wenn Sie die Zuordnung mit Ihrem Profil bei dem Diensteanbieter nicht wünschen, müssen Sie sich vor dem Klick auf eines der Social Plugins ausloggen.
Die BKK24 hat keinen Einfluss darauf, ob und in welchem Umfang die Diensteanbieter personenbezogene Daten erheben. Auch sind uns Umfang, Zweck und Speicherfrist der Datenerhebung nicht bekannt. Es muss davon ausgegangen werden, dass zumindest die IP-Adresse und gerätebezogene Informationen erfasst und genutzt werden. Es ist außerdem möglich, dass die Diensteanbieter Cookies einsetzen.
4. Einbindung der Dienste Dritter
Wir haben YouTube-Videos in unser Online-Angebot eingebunden, die auf www.youtube.com gespeichert sind und von unserer Website aus direkt abspielbar sind. Diese Videos haben wir im „erweiterten Datenschutz-Modus“ eingebunden. So stellen wir sicher, dass keine personenbezogenen Daten an YouTube übertragen werden, wenn Sie die BKK24-Website besuchen, ohne ein YouTube-Video abzuspielen. Erst wenn Sie ein Video abspielen, werden Daten übertragen. Auf diese Datenübertragung haben wir keinen Einfluss.
rapidmail
Wir nutzen rapidmail für den Versand von Newslettern. Der Anbieter ist die rapidmail GmbH, Wentzingerstraße 21, 79106 Freiburg, Deutschland. Mit rapidmail wird u. a. der Versand von Newslettern organisiert und analysiert. Die von Ihnen für den Zweck des Newsletterbezugs eingegeben Daten werden auf den Servern von rapidmail in Deutschland gespeichert. Wenn Sie keine Analyse durch rapidmail möchten, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Für den Zweck der Analyse enthalten die mit rapidmail versandten E-Mails ein sog. Tracking-Pixel, das sich beim Öffnen der E-Mail mit den Servern von rapidmail verbindet. Auf diese Weise kann festgestellt werden, ob eine Newsletternachricht geöffnet wurde. Des Weiteren können wir mit Hilfe von rapidmail ermitteln, ob und welche Links in der Newsletternachricht angeklickt werden. Optional können Links in der E-Mail als Tracking-Links eingestellt sein, mit denen Ihre Klicks gezählt werden können.
Rechtsgrundlage: Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. a) DSGVO.
Empfänger: Empfänger der Daten ist die rapidmail GmbH.
Übermittlung an Drittstaaten: Eine Übermittlung der Daten in Drittstaaten findet nicht statt.
Dauer: Die Ihrerseits im Rahmen der Einwilligung für den Zweck des Newsletters bei uns gespeicherten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter gespeichert und nach der Abbestellung des Newsletters sowohl von unseren Servern als auch von den Servern von rapidmail gelöscht.
Widerrufsmöglichkeit: Sie haben die Möglichkeit, Ihre Einwilligung zur Datenverarbeitung mit Wirkung für die Zukunft jederzeit zu widerrufen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.
Weitere Datenschutzhinweise: Näheres entnehmen Sie den Datensicherheitshinweisen von rapidmail unter: https://www.rapidmail.de/datensicherheit. Näheres zu den Analyse-Funktionen von rapidmail entnehmen Sie folgendem Link: https://www.rapidmail.de/wissen-und-hilfe
etracker
Wir nutzen die Dienste der etracker GmbH aus Hamburg, Deutschland (www.etracker.com) zur Analyse von Nutzungsdaten. Etracker verwendet standardmäßig keine Cookies für die Web-Analyse. Soweit Analyse- und Optimierungs-Cookies eingesetzt werden, wird die explizite Einwilligung im Vorfeld eingeholt. Ist das der Fall und Sie stimmen zu, werden Cookies eingesetzt, die eine statistische Reichweiten-Analyse dieser Website, eine Erfolgsmessung der Online-Marketing-Maßnahmen sowie Testverfahren ermöglichen, um z.B. unterschiedliche Versionen unseres Online-Angebotes oder seiner Bestandteile zu testen und zu optimieren. Cookies sind kleine Textdateien, die vom Internet Browser auf dem Endgerät des Nutzers gespeichert werden. etracker Cookies enthalten keine Informationen, die eine Identifikation eines Nutzers ermöglichen.
Die mit etracker erzeugten Daten werden im Auftrag der BKK24 von etracker ausschließlich in Deutschland verarbeitet und gespeichert und unterliegen damit den strengen deutschen und europäischen Datenschutzgesetzen und -standards. etracker wurde diesbezüglich unabhängig geprüft, zertifiziert und mit dem Datenschutz-Gütesiegel ePrivacyseal ausgezeichnet.
Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des Art. 6 Abs. 1 lit. f (berechtigtes Interesse) der Datenschutzgrundverordnung (DSGVO). Unser Anliegen im Sinne der DSGVO (berechtigtes Interesse) ist die Optimierung unseres Online-Angebotes und unseres Webauftritts. Da uns die Privatsphäre unserer Besucher wichtig ist, werden die Daten, die möglicherweise einen Bezug zu einer einzelnen Person zulassen, wie die IP-Adresse, Anmelde- oder Gerätekennungen, frühestmöglich anonymisiert oder pseudonymisiert. Eine andere Verwendung, Zusammenführung mit anderen Daten oder eine Weitergabe an Dritte erfolgt nicht.
Die folgende Datenschutzerklärung ergänzt die allgemeine Datenschutzerklärung für die Website www.bkk24.de für den geschützten Bereich Internet-Servicecenter, der von Versicherten der BKK24 nach einer gesonderten Registrierung genutzt werden kann. Es gilt die allgemeine Datenschutzerklärung, soweit in dieser Datenschutzerklärung keine abweichenden Regelungen getroffen werden.
Unter Internet Servicecenter stellt Ihnen die BKK24 als verantwortliche Stelle im Sinne des Datenschutzrechts verschiedene Online-Dienstleistungen zur Verfügung. Für die Bereitstellung des Angebots unter Internet Servicecenter sowie für dessen Verbesserung erhebt und verarbeitet die BKK24 bestimmte personenbezogene Daten, die nachfolgend beschrieben sind. Diese Daten nutzt die BKK24 zur Erbringung der unter dem Internet Servicecenter angebotenen Leistungen und Funktionen.
Registrierung
Für eine Nutzung des Internet Servicecenter ist eine gesonderte Registrierung erforderlich. Für diese werden Vorname, Nachname, Geburtsdatum, Versichertennummer und Ihre Mobilfunknummer benötigt. Den für eine Nutzung des Internet Servicecenter erforderlichen Freischaltcode erhalten Sie dann per Post an Ihre bei der BKK24 registrierte Anschrift.
Nutzung von personenbezogenen Daten
Weitere Daten werden von der BKK24 im Rahmen spezifischer Online-Dienste (zum Beispiel das Hochladen von Lichtbildern für die elektronische Gesundheitskarte) erhoben. Die Erhebung und Verarbeitung dieser Daten erfolgt gemäß der gesetzlichen Aufgabenstellung der BKK24.
Vermeidung von Missbrauch und Gewährleistung der Nachvollziehbarkeit
Um auch in Ihrem Interesse eine missbräuchliche Nutzung des persönlichen Zugangs zur BKK24 zu verhindern und auch die erforderliche Nachvollziehbarkeit zu gewährleisten, werden folgende Vorgänge protokolliert:
Hierbei werden die Benutzer-ID Uhrzeit, Datum, Art der Identifikation und eine Transaktionskennung protokolliert. Bei gescheiterten Anmeldevorgängen wird zusätzlich die IP-Adresse gespeichert.
Einbindung von Dritten
Wir geben Daten unserer Versicherten grundsätzlich nicht an Dritte weiter. Wir setzen gleichwohl verschiedene technische Dienstleister ein, um unseren Versicherten SELF SERVICE bereitstellen zu können. Hierbei handelt es sich ausschließlich um das Unternehmen itsc GmbH in Hannover. In diesem Zusammenhang kann es vorkommen, dass ein solcher technischer Dienstleister Kenntnis von personenbezogenen Daten erhält. Wir wählen diese Dienstleister sorgfältig aus und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung. Die beauftragen Dienstleister sind ebenfalls verpflichtet, alle datenschutzrechtlichen Maßnahmen einzuhalten und werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet.
Abmeldung und Datenlöschung
Soweit Sie das Internet Servicecenter nicht mehr weiter nutzen wollen, können Sie sich jederzeit wieder abmelden. Ihre spezifisch für das Internet Servicecenter erhobenen personenbezogenen Daten werden dann gelöscht, soweit nicht im Einzelfall gesetzliche Aufbewahrungsrechte oder -pflichten bestehen.
Arten der gespeicherten Sozialdaten
Beschreibung der betroffenen Personengruppe und der diesbezüglichen Daten oder Datenkategorien.
Sozialdaten der Mitglieder und Versicherten
Daten zur Person
Diese Sozialdaten werden zur Person gespeichert:
Daten zur Mitgliedschaft
Diese Sozialdaten werden zur Mitgliedschaft gespeichert:
Daten zum Versicherungsverhältnis
Diese Sozialdaten werden zum Versicherungsverhältnis gespeichert:
Beitragsdaten (nur für Selbstzahler)
Diese Sozialdaten werden bezüglich des Beitrags gespeichert:
Leistungsdaten
Diese Sozialdaten werden bezüglich der Leistungen gespeichert:
Daten zur Pflegeperson
Diese Sozialdaten werden bezüglich der Pflegeperson gespeichert:
Daten zum gesetzlichen Vertreter
Diese Sozialdaten werden bezüglich des gesetzlichen Vertreters gespeichert:
Sozialdaten der Geschäftspartner
Daten zu Arbeitgebern und Zahlstellen
Diese Daten werden von Arbeitgebern und Zahlstellen gespeichert:
Daten der Leistungserbringer
Diese Daten werden zu Leistungserbringern gespeichert:
Daten zu Vertragspartnern und Lieferanten
Diese Daten werden von Vertragspartnern und Lieferanten gespeichert:
Sozialdaten anderer Personen
Daten der Publikationsbezieher
Diese Daten werden gespeichert, wenn Publikationen bezogen werden:
Daten der Interessenten
Diese Daten werden von Interessenten gespeichert:
Personenbezogene Daten der Geschäftspartner
Daten zu Vertragspartnern und Lieferanten
Diese Daten werden von Vertragspartnern und Lieferanten gespeichert:
A. Allgemeines
Vorbemerkung
A.1 Name und Anschrift des Verantwortlichen.
A.2 Kontaktdaten Datenschutzbeauftragter des Verantwortlichen
A.3 Zuständige Datenschutzaufsicht
A.4 Zuständige Rechtsaufsicht
A.5 Allgemeines zur Datenverarbeitung
A.6 Einbindung von Dritten
A.7 Datenverarbeitung außerhalb der Europäischen Union
A.8 Betroffenenrechte
A.9 Löschung von Daten
A.10 Automatisierte Entscheidungsfindung.
A.11 Beschwerderecht bei einer Aufsichtsbehörde.
A.12 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung.
B. Bereitstellung der ePA durch die Krankenkasse.
B.1 Beschreibung und Umfang der Datenverarbeitung.
B.2 Rechtsgrundlage für die Datenverarbeitung.
B.3 Zweck der Datenverarbeitung.
B.4 Dauer der Speicherung.
B.5 Widerrufsmöglichkeiten für die Nutzung der ePA..
C. IAM Registrierungsprozess für die ePA..
C.1 Beschreibung und Umfang der Datenverarbeitung.
C.2 Erfassung der Daten für einen Fehlerreport
C.2.1 Automatisiert übermittelte Daten.
C.2.2 Manuell übermittelte Daten.
C.3 Rechtsgrundlage für die Datenverarbeitung.
C.4 Zweck der Datenverarbeitung.
C.5 Dauer der Speicherung.
C.6 Widerrufsmöglichkeiten für die Registrierung in der ePA..
D. Nutzung der elektronischen Patientenakte (ePA) / Datenspeicher über die App.
D.1 Beschreibung und Umfang der Datenverarbeitung für den Versicherten.
D.1.1 Start mit Login Maske.
D.1.2 Nutzung der ePA..
D.1.3: Profil
D.1.4 Bereich 1: Dokumente.
D.1.5 Bereich 2: Berechtigungen.
D.1.6 Bereich 3: Aktivitäten.
D.2 Beschreibung und Umfang der Datenverarbeitung für vertretende Personen.
D.3 Rechtsgrundlage für die Datenverarbeitung.
D.3.1 Zweck der Datenverarbeitung.
D.3.2 Dauer der Speicherung.
D.3 Widerspruchsmöglichkeit
E. Kontaktvarianten.
E.1 Beschreibung und Umfang der Datenverarbeitung.
E.2 Chatbot.
E.3 Vorgangsbearbeitungssystem (ITSM)
E.4 Rechtsgrundlage für die Datenverarbeitung.
E.5 Zweck der Datenverarbeitung.
E.6 Dauer der Speicherung.
E.7 Speicherorte aller ePA spezifischen Daten.
F. Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V.
1. Einleitung.
2. Was ist die elektronische Patientenakte?
3. Wie sicher ist die elektronische Patientenakte?
4. Was muss ich grundsätzlich zur elektronischen Patientenakte wissen?
4.1 Ist die ePA verpflichtend?
4.2 Wer bietet die ePA an und betreibt sie?
4.3 Kann ich Dokumente in der ePA oder die ganze Akte löschen?
4.4 Wie behalte ich den Überblick darüber, wer etwas an meiner Akte geändert hat?
4.4.1 Das Verwaltungsprotokoll.
4.4.2 Das Zugriffsprotokoll
4.5 Welche Rechte habe ich gegenüber meiner Krankenkasse hinsichtlich der Datenverarbeitungsvorgänge der ePA?
4.6 Welche Daten tauscht die Krankenkasse mit dem Betreiber der ePA aus?
4.7 Was muss ich bei Nutzung der ePA-Anwendung beachten?
4.8 Welche Maßnahmen muss ich bei Verlust oder Verdacht auf Missbrauch der eGK oder der Zugangsdaten für die ePA-Anwendung treffen?
4.9 Ich will meine Krankenkasse wechseln. Kann ich meine in der ePA gespeicherten Daten einfach mitnehmen?
4.10 Was muss ich tun, wenn ich die ePA nicht mehr will?
4.11 Habe ich Nachteile bei meiner Gesundheitsversorgung, wenn ich die ePA nicht nutze?
5. Was kann ich in meiner elektronischen Patientenakte speichern?
5.1 Wie melde ich mich bei der ePA an?
5.2 Was benötige ich zum Zugriff auf meine Daten?
5.3 Zu welchen Kategorien kann ich Dokumente in der ePA speichern?
5.4 Kann ich Vertraulichkeitsstufen für Dokumente festlegen?
6. Wer hat wie Zugriff auf die elektronische Patientenakte?
6.1 Welche rechtlichen Vorgaben für Leistungserbringer gibt es?
6.2 Welcher Leistungserbringer darf auf welche Daten in der ePA zugreifen?
6.3 Wie funktioniert die Erteilung von Berechtigungen konkret?
6.4 Wie berechtige ich eine an meiner Behandlung beteiligte Leistungserbringereinrichtung konkret?
6.4.1 Wie erteile ich Berechtigungen in der ePA-Anwendung?
6.4.2 Wie erteile ich Berechtigungen ohne die ePA-Anwendung, wenn ich z. B. beim Leistungserbringer vor Ort bin oder die ePA-Anwendung nicht nutze?
7. Wer muss Daten in meine elektronische Patientenakte einstellen, wenn ich es wünsche?
8. Ich benötige Unterstützung bei der Nutzung der elektronischen Patientenakte. Was kann ich tun?
9. Ich möchte eine elektronische Patientenakte führen, aber keine ePA-Anwendung nutzen. Was bedeutet das für mich?
10. Was wird mit meiner elektronischen Patientenakte in Zukunft außerdem möglich sein?.
10.1 Neue Merkmale der ePA ab 1. Juli 2022.
10.2 Neue Merkmale der ePA ab 1. Januar 2023.
10.2.1 Unterstützung weiterer Dokumentenformate.
10.2.2 Möglichkeit der Freigabe der Daten für die Forschung.
10.2.3 Nutzung eines Sofortnachrichten-Dienstes über die ePA-Anwendung.
10.2.4 Zugriff auf das nationale Gesundheitsportal
10.3 Neue Merkmale der ePA ab 1. Juli 2023.
Allgemeines
Die Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V sind im Abschnitt F dieses Dokumentes ausführlich beschrieben.
Vorbemerkung
Im Sinne einer besseren Lesbarkeit und einem vereinfachtem Bearbeitungsverfahren wurde die gendergerechte Ansprache durch die einheitliche Verwendung der Formulierungen:
ersetzt. Mit der Benutzung dieser Begriffe sind immer ohne Einschränkung alle Geschlechter gemeint.
A.1 Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne von §§ 341 Abs. 4 Satz 1, 307 Abs. 4 SGB V in Verbindung mit Art. 4 Ziffer 7 der Datenschutz-Grundverordnung ist die:
Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne von §§ 341 Abs. 4 Satz 1, 307 Abs. 4 SGB V in Verbindung mit Art. 4 Ziffer 7 der Datenschutz-Grundverordnung ist die:
BKK24, Sülbecker Brand 1, 31683 Obernkirchen, Tel.: 05724 971 0, Fax: 05724 971 4000, www.bkk24.de, info@bkk24.de
A.2 Kontaktdaten Datenschutzbeauftragter des Verantwortlichen
Kontaktdaten Datenschutzbeauftragte:
Sandra Sonnenberg, Sülbecker Brand 1, 31683 Obernkirchen, datenschutz@bkk24.de
A.3 Zuständige Datenschutzaufsicht
Der/Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorferstraße 153
53117 Bonn
Telefon: +49 (0)228 997799-0
Fax: +49 (0)228 997799-5550
E-Mail: poststelle@bfdi.bund.de
A.4 Zuständige Rechtsaufsicht
Bundesamt für Soziale Sicherung
Friedrich-Ebert-Allee 38
53113 Bonn
Telefon: +49 (0)228-619-0
Telefax +49 (0)228619-1870
A.5 Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Versicherten, soweit dies zur Bereitstellung bzw. Nutzung einer funktionsfähigen ePA erforderlich ist. Sofern die Verarbeitung personenbezogener Daten unserer Versicherten auf der Grundlage einer Einwilligung geschieht, erfolgt dies aufgrund einer dahingehenden gesetzlichen Verpflichtung aus dem SGB V. Eine Bereitstellung der ePA für unsere Versicherten ohne deren Einwilligung ist gesetzlich nicht zugelassen.
Die Nutzung der ePA ist für unsere Versicherten freiwillig. Ihnen entsteht kein Nachteil, sofern sie sich gegen die Nutzung der ePA entscheiden.
A.6 Einbindung von Dritten
Wir geben Daten unserer Versicherten grundsätzlich nicht an Dritte weiter. Wir setzen verschiedene technische Dienstleister ein, um unseren Versicherten die ePA bereitstellen zu können. Hierbei handelt es sich ausschließlich um Unternehmen der BITMARCK Unternehmensgruppe. In diesem Zusammenhang kann es vorkommen, dass ein solcher technischer Dienstleister Kenntnis von personenbezogenen Daten erhält. Wir wählen diese Dienstleister sorgfältig aus und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung. Die beauftragen Dienstleister sind ebenfalls verpflichtet, alle datenschutzrechtlichen Maßnahmen einzuhalten und werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet.
A.7 Datenverarbeitung außerhalb der Europäischen Union
Eine Verarbeitung der Daten unserer Versicherten außerhalb der europäischen Union findet nicht statt.
A.8 Betroffenenrechte
Unsere Versicherten haben das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Diesbezüglich können sich unsere Versicherten jederzeit an uns wenden.
Unsere Versicherten haben das Recht auf Berichtigung oder Löschung, oder auf Einschränkung der Verarbeitung, soweit ihnen dieses Recht gesetzlich zusteht.
Unsere Versicherten haben ein Widerspruchsrecht gegen die Verarbeitung der personenbezogenen Daten im Rahmen der gesetzlichen Vorgaben.
Unsere Versicherten haben ein Recht auf Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.
A.9 Löschung von Daten
Wir löschen die ePA unseres Versicherten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um die ePA für unsere Versicherten weiterhin bereitstellen zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
A.10 Automatisierte Entscheidungsfindung
Wir setzen keine Verarbeitungsvorgänge ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO beruhen.
A.11 Beschwerderecht bei einer Aufsichtsbehörde
Unsere Versicherten haben das Recht, sich über die Verarbeitung personenbezogener Daten bei einer der Ziffer A.3 und A.4 genannten Aufsichtsbehörden zu beschweren.
A.12 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Unseren Versicherten steht das Recht zu, ihre datenschutzrechtlichen Einwilligungserklärungen jederzeit zu widerrufen. Der Widerruf kann wie folgt erklärt werden: Gegenüber der Krankenkasse jederzeit schriftlich oder auf elektronischem Weg über die ePA-App ohne Angabe von Gründen.
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt.
Bereitstellung der ePA durch die Krankenkasse
B.1 Beschreibung und Umfang der Datenverarbeitung
Nach Erteilung der ausdrücklichen schriftlichen oder elektronischen (über die ePA-App) Einwilligung unseres Versicherten legen wir eine individuelle und ausschließlich von unserem Versicherten verwendete elektronische Patientenakte (ePA) an, welche unser Versicherter eigenständig souverän und autonom verwalten und verwenden kann. Ein Versicherter kann in seiner ePA eine oder mehrere vertretende Personen, hinzufügen, siehe hierzu Kapitel D2.
Bei der Bereitstellung der ePA werden folgende personenbezogene Daten unseres Versicherten verarbeitet:
B.2 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Erstellung der ePA ist die Einwilligung unseres Versicherten gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.
B.3 Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die Bereitstellung der ePA gemäß den gesetzlichen Vorgaben nach SGB V. In diesem Zusammenhang bedarf es der Zuordnung einer konkreten ePA zu unserem Versicherten.
B.4 Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.
B.5 Widerrufsmöglichkeiten für die Nutzung der ePA
Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Bereitstellung der ePA zwingend erforderlich. Die Hinweise dieser Einwilligungserklärung zur Verarbeitung, Speicherung und Übermittlung der personenbezogenen Daten des Nutzers wurden vom Nutzer zur Kenntnis genommen und dazu ebenfalls seine Einwilligung erklärt. Die Einwilligung ist freiwillig und kann von unseren Versicherten jederzeit ohne Angabe von Gründen formlos telefonisch, schriftlich, per E-Mail oder elektronisch über die ePA-App widerrufen werden:
BKK24, Sülbecker Brand 1, 31683 Obernkirchen
Tel. 05724 971 0
Mail: info@bkk24.de
Der Widerruf kann wie folgt erklärt werden: Meine datenschutzrechtliche Einwilligungserklärung vom …(Datum) widerrufe ich hiermit mit sofortiger Wirkung.
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
IAM Registrierungsprozess für die ePA
Die in den nachfolgenden Abschnitten beschriebenen Datenverarbeitungsprozesse sind zur Bereitstellung der ePA zwingend erforderlich.
C.1 Beschreibung und Umfang der Datenverarbeitung
Zur rechtssicheren Einrichtung für die Bereitstellung einer ePA- für unseren Versicherten ist es erforderlich, ein Verifikations-Verfahren durchzuführen, um zu überprüfen, ob die Person, die sich für eine ePA registriert auch tatsächlich unser Versicherter ist. Diese Prozessabläufe sind nachfolgend beschrieben:
auf „Anmelden bei der BKK24, oder muss sich zuerst
über den Funktionsbutton „Registrieren“ ein Benutzerkonto
anlegen.
IAM, um die Registrierung abzuschließen.
dafür in der versendeten E-Mail den Link aufrufen, um fortfahren
zu können.
Sicherheitsmerkmal fest.
gestellten Verfahren.
angezeigt und damit sind die Voraussetzungen für die Einrichtung der ePA abgeschlossen.
Beim Registrierungsverfahren werden vorstehende Daten in einem technischen Container temporär gespeichert.
Nach Verifikation der eingegebenen Daten durch die BKK24 wird der Versicherte als Nutzer der ePA angelegt und zur Nutzung freigeschaltet. Der Versicherte erhält hierzu eine Bestätigung der BKK24.
C.2 Erfassung der Daten für einen Fehlerreport
Wir benötigten die im Folgenden aufgeführten Informationen, wenn ein Versicherter einen Fehler meldet und die Ursache analysiert werden muss.
C.2.1 Automatisiert übermittelte Daten
Für die ePA Apps für IOS und Android sowie die Desktop App wird im Fehlerfall einen Report erstellt und dieser wird automatisch an das Business Service Management (BSM) versendet.
Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.
C.2.2 Manuell übermittelte Daten
Für die ePA Apps für IOS und Android sowie die Desktop App wird im Fehlerfall einen Report erstellt. Zusätzlich zu dem automatisiert übermittelten Report können Nutzer die folgenden Daten manuell an das Business Service Management (BSM) versenden.
Die folgenden Informationen können zusätzlich im Fehlerfall an das BSM übermittelt werden. Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.
C.3 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für den IAM Registrierungsprozess der ePA und die hierbei verarbeiteten Daten ist die Einwilligung unseres Versicherten nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.
C.4 Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten sowie die Verhinderung von Daten- und Identitätsmissbrauch.
C.5 Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die ePA gekündigt und final gelöscht wurde.
C.6 Widerrufsmöglichkeiten für die Registrierung in der ePA
Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Registrierung der ePA zwingend erforderlich. Unser Versicherter kann seine Einwilligung zur Registrierung der ePA gleichwohl jederzeit widerrufen und gegenüber uns die Löschung der ePA verlangen. Hierzu muss der Versicherte in der ePA-App seine Einwilligung widerrufen oder den Widerruf schriftlich an uns senden.
D.1 Beschreibung und Umfang der Datenverarbeitung für den Versicherten
D.1.1 Start mit Login Maske
Der Versicherte startet die App, nach erfolgter Registrierung und Identifizierung.
Zuerst erscheint die Login Maske, in die der Versicherte seine Zugangsdaten (Versichertennummer und Passwort sowie App-Code) eingibt.
D.1.2 Nutzung der ePA
Beim ersten Start der Anwendung erhält der Versicherte einen ersten Überblick über seine Patientenakte.
Auf der „Willkommen“-Seite kann der Versicherte seine Patientenakte öffnen, zudem kann er über „Weitere Patientenakten“ für seine Patientenakte ihn vertretende Personen, das heißt einen oder mehrere Vertreter, benennen und diese freischalten.
In der Patientenakte in der Ansicht „Übersicht“ kann der Nutzer über das Profilbild auf sein Profil zugreifen, zudem sieht er die folgenden Bereiche:
Nach der Erläuterung zu „Profil“ werden die Bereiche in den Kapiteln D1.4 bis D1.6 kurz dargestellt. Der Versicherte kann in jedem Bereich verschiedene Aktionen durchführen.
D.1.3: Profil
Über das Profilbild gelangt der Versicherte in diese Ansicht und kann dort seine Einstellungen verwalten und zum Beispiel seine Zugangsdaten ändern.
Zudem kann er unter Informationen auf die folgenden Menüpunkte zugreifen
sowie unter „Rechtliche Hinweise“ auf
Zusätzlich steht die Information zur aktuell genutzte App Version bereit.
D.1.4 Bereich 1: Dokumente
Dokumente können durch den Versicherten selbst oder von durch den Versicherten berechtigen Leistungserbringern in die Patientenakte eingestellt werden. Bestimmte medizinische Daten können ausschließlich von Leistungserbringer in die elektronische Patientenakte eingestellt werden, sogenannte medizinische Informationsobjekte (MIO). Zum Beispiel gehören hierzu der Impfpass, der Mutterpass oder der Zahnbonus.
Im Bereich Dokumente sieht der Versicherte in seiner Patientenakte eine Ansicht aller von ihm oder von Dritten hochgeladenen Dokumente. Es stehen die folgenden Aktionen zur Verfügung:
Der Versicherte kann die eingestellten Dokumente ansehen, herunterladen und anschließend ausdrucken. Auch können die Dokumente vom Versicherten gelöscht werden.
D.1.5 Bereich 2: Berechtigungen
In dieser Ansicht sind die folgenden Informationen und Funktionen enthalten.
Für Praxen und Einrichtungen:
Wenn Berechtigungen für Praxen und Einrichtungen vergeben sind:
Wenn der Versicherte eine vertretende Person eingerichtet hat
Der Versicherte kann die Krankenkasse berechtigen, die Leistungsdaten in die Patientenakte einzustellen.
D.1.6 Bereich 3: Aktivitäten
Der Versicherte kann in diesem Bereich alle bislang erfolgten Zugriffe auf sein Aktenkonto einsehen.
Hier kann der Versicherte feststellen, welcher Leistungserbringer oder vertretende Personen wann welche Dokumente eingestellt oder auf diese zugegriffen haben.
Es werden die Daten gespeichert, die der Versicherte in seine digitale Patientenakte einstellt, bzw. die von Dritten dorthin hochgeladen werden. Hierbei kann es sich auch um Gesundheitsdaten nach Artikel 9 der DSGVO handeln.
D.2 Beschreibung und Umfang der Datenverarbeitung für vertretende Personen
Versicherte können für Ihre Patientenakte einen oder mehrere vertretende Personen berechtigen. Die vertretende Person nutzt die eigene ePA-App seiner Krankenkasse zur Wahrnehmung der Vertretung. Bei der Einrichtung wird der Name, die E-Mail-Adresse und die Versichertennummer (KVNr) angegeben und gespeichert. Wenn die vertretende Person in der Patientenakte als Vertretung handelt, können alle technisch möglichen Aktionen anstelle des Versicherten ausgeführt werden.
Vertretende Personen können keine weiteren vertretenden Personen für die vertretene Patientenakte einrichten und auch nicht die Patientenakte für den Versicherten insgesamt löschen.
Bei der Vertretung innerhalb der ePA erfolgt eine Datenverarbeitung wie in Kapitel D1 beschrieben.
D.3 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Speicherung personenbezogener Daten in der ePA ist die Einwilligung des Versicherten nach Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.
D.3.1 Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die Nutzung des ePA durch den Versicherten zur Archivierung und Verwendung seiner individuellen Gesundheitsinformationen.
D.3.2 Dauer der Speicherung
Die Daten werden durch den Versicherten gelöscht, wenn er entscheidet, dass die in der ePA gespeicherte Daten nicht mehr benötigt werden.
D.3 Widerspruchsmöglichkeit
Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Nutzung der ePA zwingend durch unseren Versicherten erforderlich. Der Versicherte kann seine Einwilligung zur Nutzung der ePA gleichwohl jederzeit widerrufen, per Entfernen des gesetzten Bestätigungshakens in der ePA-App oder schriftlich oder persönlich bei uns.
E.1 Beschreibung und Umfang der Datenverarbeitung
In der ePA sind diverse Kontaktkanäle enthalten, die von dem Versicherten für die elektronische Kontaktaufnahme mit uns genutzt werden können.
E.2 Chatbot
Die Beantwortung von Fragen zur ePA kann über einen automatisierten Chatbot erfolgen. Ein Chatbot ist ein digitaler Assistent, mit dem Sie durch Text- oder Spracheingabe kommunizieren können. Über den Chatbot erhalten die Versicherten Zugang zu standardisierten Supportprozessen und Leistungsinhalten des Versichertenhelpdesks (VHD) im Rahmen der ePA. Die grundsätzliche Funktionalität umfasst dabei
Verarbeitete Daten sind hierbei die bereits vom Versicherten hinterlegten Verifikationsdaten, sowie die von ihm freiwillig, im Chatbot eingegebenen Daten. Anfragen werden im Chatbot geloggt. Eine Erfassung von Kontaktdaten sowie eine Dokumentation als Ticket erfolgt nicht.
Kann eine Frage zur ePA nicht im Chat mit dem Chatbot beantwortet werden oder benötigt der Versicherte anderweitige direkte Unterstützung – beispielsweise bei der Meldung einer Störung – besteht die Möglichkeit, diese ad hoc über einen Live-Chat anzufordern oder einen Rückrufwunsch anzugeben.
E.3 Vorgangsbearbeitungssystem (ITSM)
Alle Anfragen, welche über den Chatbot nicht gelöst werden können, werden zur weiteren Bearbeitung mit Hilfe eines sog. Vorgangsbearbeitungssystems erfasst und dokumentiert. Diese Anfragen werden persönlich von unseren Supportmitarbeitern bearbeitet.
Sollte der Versicherte diesbezüglich einen Rückruf wünschen, muss noch optional eine Telefonnummer angegeben werden.
Gegebenenfalls muss zusätzlich noch eine Vorgangsbearbeitungsnummer auf Nachfrage durch den Versicherten angegeben werden; diese wird durch das Vorgangsbearbeitungssystem automatisch erzeugt und dem Versicherten übergeben.
Sollten die gemeldeten Themen nicht durch diese Variante beantwortet werden können, wird ebenfalls automatisiert ein anlassbezogenes internes Bearbeitungsticket erstellt. Je nach Bedarf wird diese Anfrage an einen verantwortlichen Mitarbeiter weitergeleitet und – insofern diese Option durch den Versicherten gewählt wurde – ein Rückruf initiiert.
Nimmt ein Versicherten die Möglichkeit des Rückrufs wahr, so werden die in der Eingabemaske eingegeben Daten an uns übermittelt und gespeichert.
Die folgenden Daten sind durch den Versicherten einzugeben:
E.4 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, da die im Rahmen der Kontaktaufnahme durchgeführten Datenverarbeitungsvorgänge für die ordnungsgemäße Abwicklung des Nutzungsvertrags mit dem Versicherten über die ePA erforderlich sind.
E.5 Zweck der Datenverarbeitung
Die in diesem Abschnitt beschriebene Verarbeitung personenbezogener Daten wird durchgeführt, um Kontaktaufnahmen unserer Versicherten bearbeiten zu können und infolgedessen den Nutzungsvertrag über die ePA mit dem Versicherten durchführen zu können.
E.6 Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die Krankenkasse entscheidet, dass spätestens drei Jahre nach Schließung des Vorgangstickets diese Daten gelöscht werden sollen.
E.7 Speicherorte aller ePA spezifischen Daten
Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V
Inhaltsverzeichnis
1. Einleitung.
2. Was ist die elektronische Patientenakte?
3. Wie sicher ist die elektronische Patientenakte?
4. Was muss ich grundsätzlich zur elektronischen Patientenakte wissen?
4.1 Ist die ePA verpflichtend?
4.2 Wer bietet die ePA an und betreibt sie?
4.3 Kann ich Dokumente in der ePA oder die ganze Akte löschen?
4.4 Wie behalte ich den Überblick darüber, wer etwas an meiner Akte geändert hat?
4.4.1 Das Verwaltungsprotokoll
4.4.2 Das Zugriffsprotokoll
4.5 Welche Rechte habe ich gegenüber meiner Krankenkasse hinsichtlich der Datenverarbeitungsvorgänge der ePA?
4.6 Welche Daten tauscht die Krankenkasse mit dem Betreiber der ePA aus?
4.7 Was muss ich bei Nutzung der ePA-Anwendung beachten?
4.8 Welche Maßnahmen muss ich bei Verlust oder Verdacht auf Missbrauch der eGK oder der Zugangsdaten für die ePA-Anwendung treffen?
4.9 Ich will meine Krankenkasse wechseln. Kann ich meine in der ePA gespeicherten Daten einfach mitnehmen?
4.10 Was muss ich tun, wenn ich die ePA nicht mehr will?
4.11 Habe ich Nachteile bei meiner Gesundheitsversorgung, wenn ich die ePA nicht nutze?
5. Was kann ich in meiner elektronischen Patientenakte speichern?
5.1 Wie melde ich mich bei der ePA an?
5.2 Was benötige ich zum Zugriff auf meine Daten?
5.3 Zu welchen Kategorien kann ich Dokumente in der ePA speichern?
5.4 Kann ich Vertraulichkeitsstufen für Dokumente festlegen?
6. Wer hat wie Zugriff auf die elektronische Patientenakte?
6.1 Welche rechtlichen Vorgaben für Leistungserbringer gibt es?
6.2 Welcher Leistungserbringer darf auf welche Daten in der ePA zugreifen?
6.3 Wie funktioniert die Erteilung von Berechtigungen konkret?
6.4 Wie berechtige ich eine an meiner Behandlung beteiligte Leistungserbringereinrichtung konkret?
6.4.1 Wie erteile ich Berechtigungen in der ePA-Anwendung?
6.4.2 Wie erteile ich Berechtigungen ohne die ePA-Anwendung, wenn ich z. B. beim Leistungserbringer vor Ort bin oder die ePA-Anwendung nicht nutze?
7. Wer muss Daten in meine elektronische Patientenakte einstellen, wenn ich es wünsche?
8. Ich benötige Unterstützung bei der Nutzung der elektronischen Patientenakte. Was kann ich tun?
9. Ich möchte eine elektronische Patientenakte führen, aber keine ePA-Anwendung nutzen. Was bedeutet das für mich?
10. Was wird mit meiner elektronischen Patientenakte in Zukunft außerdem möglich sein?
10.1 Neue Merkmale der ePA ab 1. Juli 2022.
10.2 Neue Merkmale der ePA ab 1. Januar 2023.
10.2.1 Unterstützung weiterer Dokumentenformate
10.2.2 Möglichkeit der Freigabe der Daten für die Forschung.
10.2.3 Nutzung eines Sofortnachrichten-Dienstes über die ePA-Anwendung.
10.2.4 Zugriff auf das nationale Gesundheitsportal
10.3 Neue Merkmale der ePA ab 1. Juli 2023.
1. Einleitung
Dieses Dokument informiert Sie über die elektronische Patientenakte (ePA). Die ePA steht Ihnen seit 2021 als Angebot Ihrer Krankenkasse zur Verfügung. Ob Sie sie nutzen möchten oder nicht, ist allein Ihre freiwillige Entscheidung. Welche Möglichkeiten Ihnen die ePA aktuell bietet und welche in Zukunft stufenweise hinzukommen, möchten wir Ihnen im Folgenden zeigen (nähere Informationen zu den zukünftigen Funktionalitäten der ePA finden Sie in Kapitel 10).
Ihre Krankenkasse aktualisiert diesen Informationstext fortlaufend und setzt Sie rechtzeitig über neue Funktionen der ePA und deren sichere Benutzung in Kenntnis.
2. Was ist die elektronische Patientenakte?
Die elektronische Patientenakte (ePA) ist eine von Ihnen geführte elektronische Akte. In die ePA können Sie und die an Ihrer Behandlung beteiligten Leistungserbringer persönliche Gesundheits- und Krankheitsdaten sicher digital hochladen, speichern, dort lesen, auslesen, verwenden und selbstverständlich auch wieder löschen. Ihre Krankenkasse stellt Ihnen eine ePA-Anwendung in Form einer eigenständigen App, als spezielle Anwendung innerhalb einer bestehenden App Ihrer Krankenkasse oder aber als Desktop-Anwendung zur Verfügung. Wenn Sie die von Ihrer Krankenkasse zur Verfügung gestellte ePA-Anwendung nutzen, haben Sie jederzeit die Möglichkeit, Ihre in die ePA eingestellten Gesundheitsdaten einzusehen.
Die ePA-Anwendung baut über das Internet eine Verbindung zur Telematikinfrastruktur auf, in der die ePA liegt. An dieses Netzwerk sind bzw. werden die verschiedenen Leistungserbringer im deutschen Gesundheitswesen angeschlossen.
Leistungserbringer werden alle Personengruppen und Einrichtungen genannt, die im Rahmen der gesetzlichen Krankenversicherung (GKV) Leistungen erbringen. Hierzu zählen z. B. Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Krankenhäuser und Apotheken. Einrichtungen, in denen Leistungserbringer tätig sind, werden im Folgenden als Leistungserbringereinrichtungen bezeichnet. Dies können Arztpraxen, Apotheken, Krankenhäuser, Medizinische Versorgungszentren und andere Einrichtungen des Gesundheitswesens sein. Aber auch einzelne Organisationseinheiten wie etwa die Abteilung eines Krankenhauses oder eine bestimmte Fachrichtung eines Medizinischen Versorgungszentrums können eine eigene Leistungserbringereinrichtung darstellen.
Die von Ihrer Krankenkasse zur Verfügung gestellte ePA-Anwendung ist sicherheitsgeprüft und von der Gesellschaft für Telematik (gematik) zugelassen. Die ePA-Anwendung lässt sich auf Smartphones und Tablets mit Android- oder iOS-Betriebssystem installieren sowie auf Desktop-Computern und Laptops mit den Betriebssystemen Windows, macOS und Linux. Für die Sicherheit Ihrer Anwendungsumgebung - also Smartphone, PC-Hardware oder Betriebssystem, auf denen die Anwendung installiert wird - sind Sie als Nutzerin bzw. Nutzer selbst verantwortlich (s. 4.7).
Falls Sie kein mobiles Endgerät bzw. keinen PC/Laptop besitzen oder aber die ePA-Anwendung Ihrer Krankenkasse aus anderen Gründen nicht verwenden wollen, können Sie die ePA dennoch nutzen. Allerdings stehen Ihnen in diesem Fall einige Funktionen nur eingeschränkt oder gar nicht zur Verfügung. Beispielsweise können Sie ohne eine ePA-Anwendung keine Dokumente persönlich in die ePA einstellen. Über die Möglichkeiten und Einschränkungen der ePA-Nutzung ohne eine dazugehörige Anwendung informieren wir Sie in Kapitel 9.
In Ihre ePA können Sie selbst mittels der ePA-Anwendung Dokumente hochladen. Oder Sie bitten beispielsweise Ihre behandelnden Ärztinnen und Ärzte in der Praxis oder im Krankenhaus darum, Kopien der relevanten Unterlagen in Ihre Akte zu übertragen. Aus rechtlichen Gründen verbleibt die Originaldokumentation Ihrer Behandlung aber immer bei dem Sie behandelnden Leistungserbringer. Zusätzlich können Sie Ihre Krankenkasse berechtigen, Informationen über von Ihnen in Anspruch genommene Leistungen in die ePA einzustellen. Nur Sie selbst und von Ihnen selbst Berechtigte können in die ePA Einblick nehmen. Die Berechtigung und damit die Einwilligung in die Bereitstellung der Daten kann jederzeit von Ihnen widerrufen werden. In keinem Fall kann die Krankenkasse Informationen in Ihrer Akte einsehen.
3. Wie sicher ist die elektronische Patientenakte?
Die Dokumente in Ihrer Akte sind stets verschlüsselt abgelegt und können nur auf den Endgeräten der von Ihnen berechtigten Personen und Ihren eigenen Endgeräten entschlüsselt werden. Der dazu notwendige (elektronische) Sicherheitsschlüssel ist sicher hinterlegt. Er besteht aus zwei Teilen, die an getrennten Orten aufbewahrt werden: beim Anbieter der elektronischen Patientenakte (ePA) und bei einem zentralen, von der Gesellschaft für Telematik (gematik) bestimmten Schlüsseldienstbetreiber. Für den Zugriff auf die ePA werden beide Schlüsselteile benötigt. Nur Sie und die von Ihnen Berechtigten verfügen über den kompletten Schlüssel - weder der ePA-Anbieter noch der Schlüsseldienstbetreiber, die jeweils nur einen Teil des Schlüssels aufbewahren, können also auf die ePA zugreifen. Der Schlüssel befindet sich bewusst nicht auf Ihrer elektronischen Gesundheitskarte (eGK), damit Sie auch bei einem (geplanten oder ungeplanten) Austausch der eGK weiterhin Zugriff auf Ihre Akte haben.
Damit Sie und die von Ihnen Berechtigten gezielt nach Dokumenten in Ihrer Akte suchen können, werden zusätzliche Informationen über Merkmale Ihrer Dokumente gespeichert - die sogenannten Metadaten. Die Metadaten umfassen z. B. die Autorin bzw. den Autor des Dokuments, deren bzw. dessen Institution, die Fachrichtung, die Dokumentenart (wie beispielsweise elektronischer Arztbrief, elektronischer Medikationsplan oder elektronischer Impfnachweis), technische Informationen zum Dokument (u. a. die im Rahmen der Berechtigungsvergabe genutzte Vertraulichkeitsstufe, die Dokumentengröße und die Dokumenten-ID). Diese Daten verarbeitet das Aktensystem in einer auf höchstem Niveau sicherheitsgeprüften und vertrauenswürdigen technischen Umgebung, auf die weder der Aktenbetreiber noch die Krankenkasse Zugriff haben.
4. Was muss ich grundsätzlich zur elektronischen Patientenakte wissen?
Seit Beginn des Jahres 2021 bieten die Krankenkassen ihren Versicherten elektronische Patientenakten (ePA) an. Welche grundsätzlichen Rechte und Möglichkeiten gehen damit für Sie einher?
4.1 Ist die ePA verpflichtend?
Die Nutzung der ePA ist für Sie freiwillig. Entscheiden Sie sich dafür, bedarf es Ihrer Einwilligung in die Datenverarbeitung gegenüber der Krankenkasse. Ihre Einwilligung wird im Rahmen des Antrags zur Einrichtung Ihrer ePA abgefragt – noch bevor die Akte technisch eingerichtet und eröffnet wird.
4.2 Wer bietet die ePA an und betreibt sie?
Die ePA wird von den Krankenkassen zur Verfügung gestellt und Ihnen als Versicherten angeboten. Dabei arbeiten die Krankenkassen mit Industriepartnern zusammen, die die entsprechenden Akten nach den technischen und nicht-technischen Anforderungen, die die Gesellschaft für Telematik (gematik GmbH) festlegt, entwickeln und betreiben. Alle ePA-Anbieter müssen mit ihrem Aktensystem und den dazugehörigen Versicherten-Apps ein Zulassungsverfahren gegenüber der gematik durchlaufen, bei dem die Einhaltung aller Anforderungen an Funktionalität, Betrieb, Sicherheit und Datenschutz nachgewiesen werden muss.
Ihre Krankenkasse arbeitet mit der Firma Gematik zusammen, um Ihnen die ePA bereitzustellen.
4.3 Kann ich Dokumente in der ePA oder die ganze Akte löschen?
Das Prinzip der Freiwilligkeit bedeutet natürlich auch, dass Sie jederzeit das Recht haben, die in die Akte eingestellten Dokumente selbst zu löschen oder durch von Ihnen berechtigte Leistungserbringereinrichtungen löschen zu lassen. Einen Löschvorgang könnte auf Ihren ausdrücklichen Wunsch hin z. B. eine Ärztin oder ein Arzt vornehmen, die oder der Sie behandelt. Weitere Informationen finden Sie in Kapitel 6.
4.4 Wie behalte ich den Überblick darüber, wer etwas an meiner Akte geändert hat?
Die ePA zeichnet Vorgänge, die von Ihnen berechtigte Einrichtungen durchführen, in einem Protokoll auf. Dabei unterscheidet die ePA die Protokollierung von Verwaltungsvorgängen – das sogenannte Verwaltungsprotokoll – und Vorgängen, die unmittelbar im Zusammenhang mit Ihren medizinischen Daten stehen – das sogenannte Zugriffsprotokoll.
Wenn Sie die ePA-Anwendung Ihrer Krankenkasse nutzen, stellt Ihnen diese die Inhalte beider Protokolle komfortabel und einheitlich dar, sodass Sie grundsätzlich nicht zwischen beiden Protokollen unterscheiden müssen.
4.4.1 Das Verwaltungsprotokoll
Im Verwaltungsprotokoll speichert die ePA alle Vorgänge, die rein administrativen Charakter haben, die also nicht direkt ein Dokument oder dessen Metadaten betreffen. Dies sind beispielsweise die An- oder Abmeldung berechtigter Benutzerinnen und Benutzer. Ebenso umfasst das Verwaltungsprotokoll den technischen Zeitpunkt der Einrichtung der ePA sowie Einträge bei Schließung der Akte.
Auf die Einträge im Verwaltungsprotokoll kann der Anbieter – im Gegensatz zu den in der ePA abgelegten Daten - grundsätzlich zugreifen. Auf diese Weise kann der Anbieter Sie beispielsweise bei technischen Problemen unterstützen. Der Zugriff auf das Verwaltungsprotokoll ist jedoch nur mit Ihrer Einwilligung zulässig.
Alle Einträge des Verwaltungsprotokolls, die älter als drei Jahre sind, werden automatisch durch das Aktensystem gelöscht. Diese Löschfrist gilt auch, wenn Sie die Akte schließen. Folglich liegen diese Protokolleinträge auch dann noch bis zu drei Jahre vor, wenn Sie die ePA bereits geschlossen haben.
4.4.2 Das Zugriffsprotokoll
Im Zugriffsprotokoll speichert Ihre ePA alle Zugriffe, die in direktem Zusammenhang mit Ihren Dokumenten stehen, z. B. das Aufrufen, Einstellen oder Löschen eines Dokuments. Auch die Erteilung oder der Entzug von Berechtigungen werden hier gespeichert. Einträge im Zugriffsprotokoll sind dabei auf die gleiche Weise geschützt wie die Metadaten zu Ihren Dokumenten (Näheres dazu in Kapitel 4.4. Die Daten werden drei Jahre nach Erstellung des Protokolleintrags tagesgenau automatisiert gelöscht. Dies gilt auch dann, wenn Sie die ePA ganz oder teilweise gelöscht haben.
Wenn Sie die ePA-Anwendung Ihrer Krankenkasse nutzen, stellt Ihnen diese die Inhalte beider Protokolle einheitlich dar, sodass Sie einen Überblick darüber erhalten, wer auf Ihre Akte zugegriffen und wer welche Änderungen an Ihrer Akte vorgenommen hat. Bei Nutzung der ePA-Anwendung haben Sie außerdem die Möglichkeit, die Protokolldaten auf Ihrem eigenen Endgerät zu sichern. Die ePA-Anwendung bietet Ihnen dazu eine entsprechende Funktion an.
4.5 Welche Rechte habe ich gegenüber meiner Krankenkasse hinsichtlich der Datenverarbeitungsvorgänge der ePA?
Ihre Rechte gegenüber der Krankenkasse ergeben sich aus den gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DS-GVO). Im Sinne dieser Verordnung ist die Krankenkasse „Verantwortlicher“. Sie als Versicherte bzw. Versicherter können gegenüber Ihrer Krankenkasse die „Rechte der betroffenen Person“ nach der DS-GVO geltend machen. Hierzu zählt insbesondere, dass die Krankenkassen verpflichtet sind, die Versicherten über die Erhebung von personenbezogenen Daten zu informieren (Art. 13, Art. 14 DS-GVO). Ferner haben die Versicherten gemäß DS-GVO folgende Rechte:
Dabei ist zu beachten, dass der Gesetzgeber diese Rechte ausgeschlossen hat, wenn deren Wahrnehmung von der Krankenkasse als datenschutzrechtlich verantwortlicher Stelle nicht oder nur unter Umgehung von Schutzmechanismen, wie insbesondere Verschlüsselung oder Anonymisierung, gewährleistet werden kann. Diese Einschränkung besteht, soweit die Krankenkasse als verantwortliche Stelle aufgrund der bestehenden Verschlüsselungsmechanismen technisch keinen Zugriff auf die in der ePA gespeicherten Daten hat. Für Daten, die nicht Ende-zu-Ende verschlüsselt sind, wie beispielsweise das Verwaltungsprotokoll, sind diese Rechte nicht ausgeschlossen. Dementsprechend kann die Krankenkassen Auskunfts- oder Korrekturbitten seitens der Versicherten zu den in der ePA gespeicherten Daten (z. B. zu Arztbriefen) gar nicht nachkommen. Eine Ausnahme bilden Diagnosen zu in Anspruch genommenen Leistungen der Krankenkassen. Da diese Daten auf Ihren Wunsch hin und mit Ihrer Einwilligung aus den Beständen der Abrechnungsdaten Ihrer Krankenkasse in Ihre ePA eingespielt werden, haben Sie bei diesen Daten die Möglichkeit der Korrektur durch die Krankenkasse. Dazu benötigen Sie vom jeweiligen Leistungserbringer eine Bestätigung der korrekten Diagnose. Über das nähere Verfahren informiert Sie Ihre Krankenkasse.
Die Krankenkasse stellt Ihnen eine ePA-Anwendung zur selbstständigen Wahrnehmung Ihrer Rechte im Sinne der DS-GVO zur Verfügung. Allerdings können Sie mithilfe der ePA-Anwendung nicht die von Ihrem Leistungserbringer zur Verfügung gestellten Daten korrigieren. Sollten Korrekturen dieser Daten erforderlich sein, wenden Sie sich bitte an den Sie behandelnden Leistungserbringer. (Beachten Sie in diesem Zusammenhang die Hinweise in den Kapiteln 4.4. und 9)
4.6 Welche Daten tauscht die Krankenkasse mit dem Betreiber der ePA aus?
Um Ihre ePA einzurichten, tauschen die Krankenkasse und der jeweilige Industriepartner administrative personenbezogene Informationen aus. Zudem prüft Ihre Krankenkasse bzw. der Anbieter der ePA anhand Ihrer Krankenversichertennummer, ob bereits eine Patientenakte für Sie existiert. Ein Austausch von personenbezogenen Gesundheitsdaten findet an dieser Stelle nicht statt.
4.7 Was muss ich bei Nutzung der ePA-Anwendung beachten?
Die ePA-Anwendung ermöglicht Ihnen den selbstständigen Zugriff auf Ihre Gesundheitsdaten über Ihre eigenen Endgeräte wie Smartphones, Laptops oder PCs. Ihre jeweilige ePA-Anwendung haben die Krankenkassen nach den Vorgaben der gematik und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellt. Zusätzlich durchläuft jede ePA-Anwendung eine Sicherheitsprüfung. Diese kann nur von Prüfstellen durchgeführt werden, die bei der gematik und dem BSI akkreditiert sind. Um die Sicherheit Ihrer ePA-Daten zu gewährleisten, ist es unabdingbar, dass Sie ausschließlich eine von der gematik zugelassene ePA-Anwendung nutzen, die Sie aus einer vertrauenswürdigen Quelle heruntergeladen haben. Vertrauenswürdige Quellen sind der App-Store von Apple für das iOS-Betriebssystem sowie Google Play für Android. Für die Betriebssysteme weiterer Endgeräte (Laptops oder PCs) sind die Stores der Betriebssystemhersteller (z. B. Microsoft oder Apple) oder die Website Ihrer Krankenkasse die vertrauenswürdigen Bezugsquellen. Diesbezüglich sind die Krankenkassen verpflichtet, die datenschutzrechtlichen Vorgaben auch im Hinblick auf die Übermittlung an Drittländer einzuhalten.
Nach der Installation muss Ihre ePA-Anwendung im Rahmen der ersten Nutzung freigeschaltet werden. Hierfür sind grundsätzlich zwei Wege vorgesehen: Der sicherste Weg ist die Freischaltung über Ihre elektronische Gesundheitskarte (eGK) mit NFC-Übertragungsstandard, also mit einer kontaktlosen Schnittstelle, wie sie heute bereits auf vielen EC- und Kreditkarten zu finden ist, und der dazugehörigen PIN, die Sie von Ihrer Krankenkasse erhalten. Zur Nutzung Ihrer eGK an einem stationären Endgerät benötigen Sie in der Regel ein geeignetes Kartenlesegerät, das vom Betriebssystem Ihres Computers unterstützt wird. Dieses können Sie im Einzelhandel (z. B. in Elektronik-Fachgeschäften) auf eigene Kosten erwerben. Eine Erstattung der Kosten durch Ihre Krankenkasse ist nicht möglich. Aufgrund der besonderen Schutzwürdigkeit Ihrer medizinischen Daten in der ePA empfiehlt das BSI die Nutzung eines Kartenlesegeräts ab Sicherheitsklasse 2 (Geräte mit eigener Tastatur, ohne eigene Anzeige) und höher.
Eine weitere Möglichkeit ist die Freischaltung Ihrer ePA über einen von Ihrer Krankenkasse zur Verfügung gestellten alternativen Zugang ohne die eGK. Diese Aktivierung bleibt auch bei einem Wechsel des Endgeräts gültig, also auch dann, wenn Sie Ihre ePA mal über Ihr Smartphone, mal an Ihrem PC nutzen wollen. Die Übermittlung des alternativen Zugangs ohne eGK ist kassenspezifisch. Bei Fragen dazu wenden Sie sich bitte an Ihre Krankenkasse.
Zudem sollten Sie Ihre ePA-Anwendung stets auf Endgeräten betreiben, die unter Ihrer Kontrolle stehen. Der Zugriff auf die ePA über einen öffentlichen PC, z. B. in einem Internet-Café, ist daher unbedingt zu vermeiden! Um die ePA sicher vom eigenen Endgerät aus zu nutzen, müssen Sie zudem für den Schutz Ihrer jeweiligen Endgeräte Sorge tragen. Entsprechende Anweisungen, die Sie hierfür ausführen müssen, finden sich in der Dokumentation der ePA-Anwendung. Ebenso sollten Sie die Empfehlungen des BSI zur Endgerätesicherheit befolgen. Das BSI stellt hierfür ein Informationsangebot im Internet bereit: https://www.bsi-fuer-buerger.de.
4.8 Welche Maßnahmen muss ich bei Verlust oder Verdacht auf Missbrauch der eGK oder der Zugangsdaten für die ePA-Anwendung treffen?
Dem Schutz dieser Zugangswege kommt besonders hohe Bedeutung zu. Bei Verlust oder Verdacht auf Missbrauch der eGK oder des Zugangs für die ePA und die ePA-Anwendung müssen diese umgehend bei der Krankenkasse gesperrt werden, um die Sicherheit der ePA zu gewährleisten. Die Krankenkassen bieten hierfür verschiedene Sperrmöglichkeiten an (z. B. telefonisch oder online).
4.9 Ich will meine Krankenkasse wechseln. Kann ich meine in der ePA gespeicherten Daten einfach mitnehmen?
Die ePA wird Ihnen von Ihrer Krankenkasse angeboten. Sollten Sie die Krankenkasse wechseln und eine ePA auch bei Ihrer neuen Krankenkasse nutzen wollen, so müssen Sie dies gegenüber der neuen Krankenkasse erklären. Ab 1. Januar 2022 besteht die Möglichkeit der verschlüsselten maschinellen Datenübernahme. Dazu müssen Sie grundsätzlich die ePA bei Ihrer Krankenkasse über die ePA-Anwendung in einen Transportzustand versetzen. Dabei verschlüsselt der Aktenbetreiber Ihrer Krankenkasse die Akte so, dass Ihre medizinischen Daten sowie die Metadaten vertraulich vom Aktenbetreiber Ihrer alten zum Betreiber der neuen Krankenkasse übermittelt werden können. In diesem Zustand kann weder ein schreibender noch ein lesender Zugriff auf die Akte erfolgen. In der ePA-Anwendung der neuen Krankenkasse können Sie dann die Datenübernahme aus der alten ePA-Anwendung starten. Das Verfahren stellt dabei sicher, dass die Daten Ihrer alten ePA erst dann gelöscht werden, wenn die Daten vollständig beim Betreiber Ihrer neuen Krankenkasse angekommen sind. Die erteilten Berechtigungen sowie die Vertretungen (weitere Informationen zu Vertretungsregelungen s. Kapitel 8) werden dabei – wenn Sie dies wünschen - ebenfalls übernommen. Bitte beachten Sie, dass Informationen aus kassenspezifischen Anwendungen der ePA möglicherweise nicht automatisch übernommen werden. Entsprechende Daten sollten Sie bei Bedarf selbst sichern, damit diese nach Ihrem Krankenkassenwechsel noch zur Verfügung stehen. Ihre Krankenkasse stellt Ihnen hierfür weitere Informationen zur Datenübernahme beim Wechsel der Krankenkasse bereit.
4.10 Was muss ich tun, wenn ich die ePA nicht mehr will?
Sie haben grundsätzlich und jederzeit die Möglichkeit, Ihre ePA komplett zu schließen, also löschen zu lassen. Dazu müssen Sie die erteilte Einwilligung zur Nutzung der ePA gegenüber Ihrer Krankenkasse widerrufen. Diese Kündigung der ePA bzw. der Widerruf zur Nutzung muss gegenüber Ihrer Krankenkasse in einer geeigneten Form ausgesprochen werden. Dies kann beispielsweise über die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung geschehen. Zum genauen Vorgehen wenden Sie sich an Ihre Krankenkasse.
Von der Löschung betroffen sind alle Inhalte Ihrer Akte - sämtliche Dokumente, erteilte Berechtigungen und Protokolleinträge - mit Ausnahme der Einträge des Verwaltungsprotokolls (Näheres dazu in Kapitel 4.4). Die Verantwortung zur Sicherung der in Ihrer Akte gespeicherten Dokumente obliegt in diesem Fall Ihnen als ePA-Nutzerin bzw. ePA-Nutzer. Wenn Sie bestimmte Dokumente auch nach Schließung Ihrer ePA behalten wollen, müssen Sie diese anderweitig speichern.
Nutzen Sie die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung zum Zugriff auf die ePA, haben Sie die Möglichkeit, die Protokolldaten ebenfalls auf Ihrem eigenen Endgerät zu sichern. Die Anwendung bietet Ihnen dazu eine entsprechende Funktion an. Neben der Sicherung der Dokumente ist auch die Sicherung der Protokolldaten aus Sicht des Datenschutzes sinnvoll, damit Sie später nachvollziehen können, wer Zugriff auf Ihre Akte hatte.
4.11 Habe ich Nachteile bei meiner Gesundheitsversorgung, wenn ich die ePA nicht nutze?
Sollten Sie sich dazu entscheiden, die ePA nicht nutzen zu wollen, entstehen Ihnen hieraus keine Nachteile für Ihre Gesundheitsversorgung. Diese wird auch zukünftig durch die etablierten Verfahren gewährleistet bleiben.
Als Zusatzangebot sorgt die ePA in Zukunft aber für eine gesteigerte Transparenz Ihrer medizinischen Daten. So besitzen Sie im Rahmen einer ePA-Nutzung den Vorteil, die Dokumente, Befunde oder Informationen Ihrer Behandlung digital einsehen und an ausgewählte Leistungserbringer wie Ärztinnen und Ärzte oder Krankenhäuser weitergeben zu können bzw. diesen den Zugriff auf Ihre Daten zu erlauben. Dieser durch Sie initiierte und gesteuerte digitale Datenaustausch kann dabei helfen, Ihre medizinische Versorgung zu verbessern. Durch den Zugriff auf relevante Gesundheitsdaten in Ihrer ePA unterstützen Sie die behandelnden Ärztinnen und Ärzte und andere Leistungserbringer dabei, die bestmögliche therapeutische Entscheidung treffen zu können, unerwünschte Wirkungen abzuwenden sowie unnötige Behandlungen oder Doppeluntersuchungen zu vermeiden.
5. Was kann ich in meiner elektronischen Patientenakte speichern?
In der elektronischen Patientenakte (ePA) können Sie unter Verwendung der von der Krankenkasse bereitgestellten ePA-Anwendung eigene Gesundheitsdaten speichern. Dies können beispielsweise eigenständig geführte Diabetes-Tagebücher sein oder digitalisierte Befunde aus früheren Behandlungen, die Ihnen Ihre Ärztinnen und Ärzte auf Papier bereitgestellt haben, oder aber auch eigene Aufzeichnungen zu Ihrem Gesundheitszustand.
An Ihrer Behandlung beteiligte Ärztinnen und Ärzte können, sofern Sie eine entsprechende Berechtigung erteilen, beispielsweise die folgenden Daten in der ePA ablegen:
Gesetzliche Vertreterinnen und Vertreter können auf die Akte der zu vertretenden Person zugreifen. So können Eltern beispielsweise eine ePA ihres mitversicherten Kindes führen.
5.1 Wie melde ich mich bei der ePA an?
Zur Anmeldung bei der ePA nutzen Sie die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung sowie entweder die eGK mit PIN oder, auf Ihren Wunsch hin, ein kassenspezifisches, den Vorgaben der Gesellschaft für Telematik (gematik) entsprechendes alternatives Zugangsverfahren ohne eGK. Ihre Krankenkasse informiert Sie über die jeweiligen Voraussetzungen zur Anmeldung ohne eGK in der ePA-Anwendung auf ihrem Smartphone sowie zur Anmeldung ohne eGK an Ihrem Desktop-PC oder Laptop.
Das jeweilige Sicherheitsniveau der Anmeldung mit und ohne eGK ist unterschiedlich hoch. Höher ist es bei der Anmeldung mit der eGK, in diesem Fall entspricht es einem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten Sicherheitsstandard. Jedoch wird auch das alternative Verfahren ohne eGK für einen Übergangszeitraum vom BSI akzeptiert. Eine entsprechende Zertifizierung gibt es bei der Authentifizierung ohne eGK allerdings nicht. Ihre Kasse informiert Sie umfassend über die zur Verfügung stehenden Möglichkeiten, die potenziellen Risiken und über Wege, diese zu vermeiden. Wenn Sie sich für die Nutzung der alternativen Zugangsmöglichkeit ohne eGK entscheiden, müssen Sie diesen Wunsch explizit gegenüber Ihrer Krankenkasse kommunizieren.
5.2 Was benötige ich zum Zugriff auf meine Daten?
Unabhängig davon, wie Sie sich bei der ePA authentifizieren, nutzen Sie eine von Ihrer Krankenkasse bereitgestellte ePA-Anwendung auf Ihrem Smartphone oder einem geeigneten Laptop/PC, um auf die ePA zuzugreifen. Die ePA-Anwendung ist nach den Vorgaben des BSI und der gematik erstellt und sicherheitsgeprüft. Mit ihr können Sie sämtliche Funktionen der ePA selbstständig nutzen, u. a. die folgenden:
Versicherte ohne geeignete Endgeräte können eine ePA bei Ihrer Krankenkasse beantragen und anlegen lassen. In diesem Fall erfolgt die Berechtigungsvergabe für den Zugriff direkt beim Besuch in der Arztpraxis, im Krankenhaus oder bei einem anderen Leistungserbringer (Näheres hierzu in Kapitel 6.3). Grundsätzlich können Sie diese Art der Berechtigungsvergabe vor Ort auch nutzen, wenn Sie über die ePA-Anwendung auf Ihre ePA zugreifen, etwa um eine Leistungserbringereinrichtung spontan zu berechtigen.
5.3 Zu welchen Kategorien kann ich Dokumente in der ePA speichern?
Die ePA bietet die Möglichkeit, Dokumente verschiedener Kategorien zu speichern. Die Kategorien werden dabei direkt bei der Speicherung von Dokumenten automatisch durch das Aktensystem vergeben. Folgende Unterscheidungen sind möglich:
5.4 Kann ich Vertraulichkeitsstufen für Dokumente festlegen?
Für jedes in die ePA eingestellte Dokument können Sie eine Vertraulichkeitsstufe festlegen. Die von Ihnen, Ihren Leistungserbringern oder Ihrer Krankenkasse in die ePA eingestellten Dokumente sind nach dem Einstellen zunächst standardmäßig der Vertraulichkeitsstufe „normal“ zugeordnet (Näheres dazu in Kapitel 6.3). Über Ihre ePA-Anwendung können Sie den Dokumenten selbstständig die Stufen „vertraulich“ oder „streng vertraulich“ zuweisen. Sollten Sie direkt beim Einstellen von Dokumenten in die ePA durch den Leistungserbringer eine höhere Vertraulichkeitsstufe wünschen, so kann dieser das auch direkt bei der Ablage in der ePA berücksichtigen. Bitte sprechen Sie das gegenüber Ihrem Leistungserbringer an.
Sowohl die Dokumentenkategorie als auch die Vertraulichkeitsstufe spielen bei der Vergabe von Berechtigungen eine wichtige Rolle (weitere Informationen zum Erteilen einer Berechtigung finden Sie in Kapitel 6.4).
6. Wer hat wie Zugriff auf die elektronische Patientenakte?
Auf die elektronischen Patientenakte (ePA) können Sie selbst, sofern Sie die ePA-Anwendung nutzen, sowie auch Mitarbeitende der von Ihnen berechtigten Leistungserbringereinrichtungen zugreifen, z. B. Ihre Hausärztin bzw. Ihr Hausarzt sowie deren medizinische Fachangestellte. In welcher Art und Weise der Zugriff der berechtigten Leistungserbringereinrichtungen erfolgen kann, wird Ihnen in den Kapiteln 6.2, 6.3 und 6.4 erläutert.
Die Berechtigung für den Zugriff auf Ihre ePA erteilen Sie stets den Leistungserbringereinrichtungen, und nicht nur einzelnen Personen wie z. B. der behandelnden Ärztin bzw. dem behandelnden Arzt. Bei größeren Leistungserbringereinheiten wie beispielsweise einem Medizinischen Versorgungszentrum oder einem Krankenhaus kann dies bedeuten, dass neben Ihrer behandelnden Ärztin oder Ihrem Arzt eine Vielzahl weiterer Personen des medizinischen Fachpersonals der gleichen Leistungserbringereinheit rein technisch auf die Daten zugreifen können. Ein Zugriff darf jedoch nur erfolgen, soweit dies tatsächlich zu Behandlungszwecken erforderlich ist. Überdies ist jede Leistungserbringereinrichtung gesetzlich verpflichtet, zu protokollieren, wer wann, auf welche Daten Ihrer ePA zugegriffen hat.
Mit der Zugriffsberechtigung auf die ePA willigen Sie automatisch in die Verarbeitung Ihrer persönlichen Daten durch die jeweilige Leistungserbringereinrichtung ein. Dazu nutzen Sie die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung. Sie können den Zugriff aber auch direkt vor Ort, in der Praxis oder im Krankenhaus, mithilfe Ihrer elektronischen Gesundheitskarte (eGK) und der zugehörigen PIN auf den vor Ort verfügbaren Geräten gewähren. Solche Geräte, wie z. B. das Kartenterminal, sind von der Gesellschaft für Telematik (gematik) geprüft und zugelassen.
Zudem kann Ihre Krankenkasse – nachdem Sie sie dazu aufgefordert und berechtigt haben – Daten zu von Ihnen in Anspruch genommenen Leistungen in der ePA ablegen. Diese Daten umfassen z. B. Diagnosen, eingelöste Rezepte u. Ä. Wie bei einer Leistungserbringereinrichtung können Sie auch Ihrer Krankenkasse eine einmal erteilte Zugriffsberechtigung jederzeit wieder entziehen. Die Beauftragung und Berechtigung der Krankenkasse zur Übermittlung der Leistungsauskunft sowie die Beendigung können Sie direkt über die ePA-Anwendung veranlassen. Ein Zugriff auf die Daten in der ePA ist für die Krankenkasse damit nicht verbunden.
Neben Leistungserbringereinrichtungen können Sie auch Personen, denen Sie besonders vertrauen, zum ePA-Zugriff berechtigen. Dies sind die sogenannten Vertreterinnen bzw. Vertreter. Ihre Vertretung hat grundsätzlich die gleichen Zugriffsmöglichkeiten wie Sie selbst, kann Leistungserbringereinrichtungen Zugriffe gewähren oder entziehen und die Krankenkassen zur Datenbereitstellung auffordern. Ihre Vertretung kann Ihre ePA jedoch weder löschen noch weitere Vertreterinnen oder Vertreter benennen bzw. Vertretungen widerrufen (weitere Informationen zu Vertretungsregelungen finden Sie in Kapitel 8).
6.1 Welche rechtlichen Vorgaben für Leistungserbringer gibt es?
Auch wenn Sie eine Berechtigung erteilt haben, darf ein Leistungserbringer (bzw. das medizinische Personal der Leistungserbringereinrichtung) nur auf Daten in Ihrer persönlichen ePA zugreifen, wenn dieser Leistungserbringer in Ihre Behandlung eingebunden ist und wenn die Daten aus Ihrer ePA für Ihre Versorgung erforderlich sind. Dies ist darin begründet, dass rechtlich zwischen der technischen Erteilung einer Zugriffsberechtigung und der „Erlaubnis“ zur Datenverarbeitung, der sogenannten Einwilligung, zu unterscheiden ist. Selbst wenn Sie eine technische Berechtigung für einen Leistungserbringer erteilt haben, der nicht in Ihre Behandlung eingebunden ist, darf dieser nicht ohne Weiteres auf Ihre ePA-Daten zugreifen. Denn der Zugriff setzt eine rechtsgültige Einwilligung voraus. Diese muss freiwillig, für einen konkreten Fall, nach ausreichender Information der bzw. des Betroffenen und unmissverständlich abgegeben werden.
Sie können gegenüber einer Leistungserbringereinrichtung die Einwilligung in die Verarbeitung Ihrer in der ePA gespeicherten Daten jederzeit widerrufen. Dies können Sie in der von Ihrer Krankenkasse zur Verfügung gestellten ePA-Anwendung durchführen. Falls Sie die ePA-Anwendung nicht nutzen, können Sie der betroffenen Leistungserbringereinrichtung diese Rechte beispielsweise bei Ihrem nächsten Besuch in der Praxis entziehen, indem Sie eine neue Berechtigung mit einer Dauer von einem Tag erteilen. Mit Ablauf des eingestellten Tages kann nicht länger auf die ePA zugegriffen werden.
Für einige Leistungserbringer hat der Gesetzgeber festgelegt, dass sie grundsätzlich nur bestimmte Informationen in Ihrer ePA einsehen dürfen. Über diese gesetzlich festgelegten Zugriffsrechte hinaus können Sie keine Berechtigung zum Zugriff erteilen. Zum Beispiel darf eine Apothekerin bzw. ein Apotheker keine Daten aus Ihrem elektronischen Zahn-Bonusheft einsehen. Sie können der Apothekerin bzw. dem Apotheker deshalb auch keinen Zugriff auf Ihr elektronisches Zahnbonusheft erlauben.
6.2 Welcher Leistungserbringer darf auf welche Daten in der ePA zugreifen?
Welcher Leistungserbringer auf welche Daten zugreifen darf, hat der Gesetzgeber detailliert in § 352 SGB V geregelt. Diese Regelungen haben wir für Sie in der Tabelle in diesem Kapitel zusammengefasst.
Natürlich ist der Zugriff auf die Daten in Ihrer ePA immer nur unter der Voraussetzung möglich, dass Sie die jeweilige Leistungserbringereinrichtung dazu berechtigt haben und diese an die TI angeschlossen ist. Wichtig ist, dass Sie bei Vergabe der Berechtigungen an Ihre behandelnden Leistungserbringer die Berechtigungen im Vergleich zur Tabelle weiter einschränken können. Die Vergabe von über die in der Tabelle dargestellten hinausgehenden Berechtigungen durch Sie ist entsprechend den gesetzlichen Vorgaben jedoch nicht zulässig.
Anhand der im Kapitel 6.3 und 6.4 dargestellten Möglichkeiten können Sie auf Wunsch genau kontrollieren, welche der an Ihrer Behandlung beteiligten Leistungserbringereinrichtungen auf welche in Ihrer ePA gespeicherten Daten zugreifen darf. So können Sie beispielsweise Befunde, die Sie als besonders vertraulich einstufen, nur mit der Hausarztpraxis teilen und vor dem Zugriff anderer an Ihrer Behandlung beteiligter Leistungserbringereinrichtungen verbergen.
Ein auslesender Zugriff (d. h. ein Kreuz in der Spalte „Auslesen“) bedeutet dabei immer, dass die Daten aus der ePA heruntergeladen und in die Behandlungsdokumentation des jeweiligen Leistungserbringers übernommen werden können. Auch bei einem Entzug der Berechtigung bleiben Daten, die Leistungserbringer in ihre Behandlungsdokumentation übernommen haben, für die ehemals berechtigte Leistungserbringereinrichtung verfügbar. Der Grund dafür ist, dass sie die Daten durch die Übernahme aus der ePA heruntergeladen und eine eigene Kopie der Daten erstellt haben. Dies ist aus rechtlicher Sicht erforderlich, da Leistungserbringer ihre Behandlung medizinisch vollständig dokumentieren müssen.
Die gematik ist die in § 310 SGB V genannte Gesellschaft für Telematik. An ihr beteiligt ist die Bundesrepublik Deutschland über das Bundesministerium für Gesundheit mit 51 % der Geschäftsanteile. Die verbleibenden Geschäftsanteile entfallen auf den GKV-Spitzenverband, den PKV-Verband, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die ABDA – Bundesvereinigung Deutscher Apothekerverbände.
Beispiel 1: Die dargestellte Tabelle zeigt Ihnen, dass beispielsweise Ärztinnen und Ärzte sowie das Personal in ärztlichen Leistungserbringereinrichtungen - ohne weitere Einschränkungen bei Ihrer Berechtigungsvergabe - auf alle Daten von Leistungserbringern schreibend, auslesend und löschend zugreifen können. Auf Daten, die von Ihnen oder von weiteren Anbietern bereitgestellt werden, können an Ihrer Behandlung beteiligte Ärztinnen und Ärzte nur auslesend sowie zum Löschen zugreifen.
Beispiel 2: Apothekerinnen und Apotheker (sowie das Personal der Apotheke) haben - ohne weitere Einschränkungen bei Ihrer Berechtigungsvergabe - auf den elektronischen Medikationsplan, die elektronische Impfdokumentation sowie Verordnungsdaten und Dispensierinformationen von Rezepten schreibenden Zugriff, d. h., sie können diese Daten in Ihrer ePA anlegen und aktualisieren. Auf alle anderen Dokumente können berechtigte Apothekerinnen und Apotheker sowie das Apothekenpersonal ausschließlich auslesend zugreifen.
Beispiel 3: Heilmittelerbringer inkl. Personal wie z. B. Physiotherapeutinnen und Physiotherapeuten können mit Ausnahme der Impfdokumentation bei entsprechender Vergabe der Berechtigungen alle Daten in der ePA auslesen. Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen können von Physiotherapeutinnen und Physiotherapeuten geschrieben werden. Auch das Löschen ist möglich. Schreiben und Löschen können Physiotherapeutinnen und Physiotherapeuten aber nur solche Daten, die sie selbst oder andere Physiotherapeutinnen und Physiotherapeuten in Ihre Akte eingestellt haben.
6.3 Wie funktioniert die Erteilung von Berechtigungen konkret?
Mit der von Ihrer Krankenkasse bereitgestellten ePA-Anwendung können Sie Ihre ePA bequem verwalten. Dort stellen Sie ein, wer welche Daten in Ihrer ePA einsehen kann. Sie bestimmen auch, wie lange Sie den Zugriff erlauben wollen. Voreingestellt sind sieben Tage. Sie können dabei eine Dauer von einem Tag bis „unbegrenzt“ wählen. Nach Ablauf der von Ihnen gewählten Zeit endet die Berechtigung für die jeweilige Leistungserbringereinrichtung automatisch. Sie kann die Dokumente dann nicht mehr in der ePA einsehen. Für die Praxisdokumentation lokal heruntergeladene Kopien sind allerdings für den Leistungserbringer weiterhin verfügbar. Grundsätzlich können Sie einmal erteilte Berechtigungen jederzeit wieder entziehen. Wenn Sie Hilfe bei der Bedienung der ePA-Anwendung brauchen, hilft Ihnen Ihre Krankenkasse gerne weiter.
Wenn Sie keine ePA-Anwendung nutzen oder wenn Sie Ihr Endgerät z. B. beim Arztbesuch einmal nicht zur Hand haben, können Sie trotzdem Zugriffe auf Ihre ePA erlauben. Dazu benötigen Sie Ihre eGK und die dazugehörige PIN (persönliche Identifikationsnummer). Der Vorgang funktioniert ähnlich wie das Bezahlen mit Bankkarte und PIN im Supermarkt. Die eGK wird in einem Lesegerät beim Leistungserbringer eingelesen. Anschließend geben Sie Ihre PIN ein und bestätigen so, welche Daten die Leistungserbringereinrichtung einsehen darf. Die Vergabe von Berechtigungen auf Kategorienbasis (mittelgranular) bei der Leistungserbringereinrichtung überschreibt feingranulare Berechtigungsvergaben aus dem Frontend der bzw. des Versicherten, falls solche schon erfolgt sind. Sollten Sie die PIN nutzen wollen, aber noch keine erhalten haben, wenden Sie sich bitte an Ihre Krankenkasse.
6.4 Wie berechtige ich eine an meiner Behandlung beteiligte Leistungserbringereinrichtung konkret?
Die Mitarbeitenden einer Leistungserbringereinrichtung können auf die Daten, die in Ihrer persönlichen ePA gespeichert sind, erst dann zugreifen, wenn Sie der Einrichtung hierzu eine Berechtigung erteilt haben. Das Erteilen der Berechtigung über die ePA-Anwendung oder das Kartenterminal in der Arztpraxis oder im Krankenhaus entspricht der Einwilligung in die Datenverarbeitung. Sämtliche Berechtigungen, die Sie erteilen, werden in Ihrer ePA gespeichert. Mithilfe der von der Krankenkasse bereitgestellten ePA-Anwendung können Sie diese jederzeit einsehen und bei Bedarf anpassen.
Wen Sie berechtigen dürfen, regelt der Gesetzgeber in § 352 SGB V (vgl. Kapitel 6.2). Dort werden die Einrichtungen und Personengruppen genannt. Die im Folgenden genannten Personengruppen sind bereits an die Telematikinfrastruktur (TI) angeschlossen:
Die nachfolgenden Gruppen werden Schritt für Schritt an die TI angeschlossen, sodass Sie ihnen dann auch eine Zugriffsberechtigung erteilen können:
6.4.1 Wie erteile ich Berechtigungen in der ePA-Anwendung?
Sie haben die Möglichkeit, den Zugriff auf die ePA mittels verschiedener Berechtigungen zu steuern. Dazu stehen ihnen die folgenden Möglichkeiten zur Verfügung.
Grobgranulare Erteilung von Berechtigungen
Über die Erteilung von Berechtigungen in der ePA-Anwendung steuern Sie, welche Leistungserbringereinrichtung auf welche Dokumente zugreifen kann. Eine Möglichkeit ist die Steuerung anhand der bereits genannten Kategorien. In diesem Fall berechtigen Sie Leistungserbringereinrichtungen dazu, auf eine oder mehrere Kategorien zuzugreifen (Näheres dazu in Kapitel 5.3). Die Mitarbeitenden einer Leistungserbringereinrichtung erhalten dann Zugriff auf die Dokumente in der Vertraulichkeitsstufe „normal“, sofern Sie nichts anderes festlegen (vgl. Kapitel 5.4).
Mittelgranulare Erteilung von Berechtigungen
Weitere Möglichkeiten der Zugriffssteuerung über die ePA-Anwendung ergeben sich durch die Auswahl einer Kategorie in Kombination mit einer Vertraulichkeitsstufe. Dies können die Vertraulichkeitsstufen „normal“ oder „vertraulich“ sein. Im Zuge der Berechtigung einer Leistungserbringereinrichtung legen Sie fest, auf welche Dokumentenkategorie mit welcher Vertraulichkeitsstufe der Zugriff gewährt werden soll. Die Erteilung von Zugriffen auf Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ ist damit nicht möglich.
Feingranulare Erteilung von Berechtigungen
Die feinste Abstufung hinsichtlich der Zugriffsrechte in der Anwendung erhalten Sie, indem Sie auf Ebene einzelner Dokumente bestimmen, wer darauf zugreifen darf. Dadurch können Sie beispielsweise Zugriff auf Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ gewähren.
Zusammenfassend
Die grobgranulare Berechtigungsvergabe bezeichnet die Erteilung von Berechtigungen auf Basis der Kategorien. Bei der mittelgranularen Berechtigungsvergabe erteilen Sie Berechtigungen auf eine der in Kapitel 5.3 genannten Kategorien und Bereiche in Kombination mit den Vertraulichkeitsstufen „normal“ oder „vertraulich“. Bei der feingranularen Berechtigungsvergabe berechtigen Sie auf Basis eines einzelnen Dokuments. Dokumente, die Sie mit der Vertraulichkeitsstufe „streng vertraulich“ versehen haben, können Sie nur mithilfe der feingranularen Berechtigungsvergabe Ihren Leistungserbringern zugänglich machen.
Die Möglichkeiten der grob- und mittelgranularen Berechtigungsvergabe stehen Ihnen sowohl in der ePA-Anwendung als auch beim Leistungserbringer zur Verfügung. Feingranulare Berechtigungen können Sie ausschließlich in der ePA-Anwendung vergeben.
Zudem können Sie in der ePA-Anwendung auch festlegen, welche Vertraulichkeitsstufe eingestellte Dokumente standardmäßig bekommen sollen. Diese gilt dann für alle von Ihren Leistungserbringern oder Ihnen selbst eingestellten Dokumente. Selbstverständlich können Sie diese Voreinstellung beim Einstellen eines Dokuments auch individuell überschreiben, indem Sie eine andere Vertraulichkeitsstufe wählen. Außerdem können Sie in Ihrer ePA-Anwendung die Vertraulichkeitsstufe eines Dokuments jederzeit ändern.
Wenn Sie eine Berechtigung erteilen, legen Sie in der ePA-Anwendung auch fest, wie lange diese gelten soll. Sie haben die Wahl zwischen einer Berechtigungsdauer von mindestens einem Tag bis unbegrenzt.
6.4.2 Wie erteile ich Berechtigungen ohne die ePA-Anwendung, wenn ich z. B. beim Leistungserbringer vor Ort bin oder die ePA-Anwendung nicht nutze?
Ohne ePA-Anwendung können Sie Berechtigungen direkt vor Ort in der Leistungserbringereinrichtung erteilen. Sprechen Sie dazu das Personal der Einrichtung an und teilen Sie mit, für welche Kategorie (vgl. Kapitel 5.3 und für welchen Zeitraum Sie Berechtigungen erteilen möchten.
Zur Kontrolle der Erteilung der Berechtigungen zeigt Ihnen das Kartenterminal des Leistungserbringers die von ihm angeforderten Berechtigungen Schritt für Schritt an. Zur Erteilung der Berechtigung bestätigen Sie diese auf dem Kartenterminal. Durch diesen Prozess haben Sie auch in der Leistungserbringerumgebung die Kontrolle darüber, wen Sie zu welchem Zugriff berechtigen. Bitte denken Sie daran, dass Sie zur Erteilung von Berechtigungen in der Arztpraxis Ihre eGK und die zugehörige PIN benötigen.
Bitte beachten Sie, dass Sie bei einer in der Leistungserbringereinrichtung direkt vor Ort erteilten Zugriffsberechtigung ausschließlich Berechtigungen für die Vertraulichkeitsstufen „normal“ und „vertraulich“ erteilen können. Eine Erteilung von Berechtigungen für Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ ist vor Ort beim Leistungserbringer nicht möglich. Dies dient dem Schutz Ihrer als „streng vertraulich“ gekennzeichneten Daten.
7. Wer muss Daten in meine elektronische Patientenakte einstellen, wenn ich es wünsche?
Die elektronische Patientenakte (ePA) lebt davon, dass in ihr möglichst viele Ihrer Gesundheitsdaten abgelegt sind – erst dann entfaltet sie für Sie und Ihre behandelnden Ärztinnen und Ärzte den vollen Mehrwert. Neben den Daten, die Sie selbst einspeisen, kommt es dabei natürlich auch ganz entscheidend auf die Daten an, die im Rahmen Ihrer Behandlungen bei Ärztinnen bzw. Ärzten oder im Krankenhaus erhoben werden.
Sie haben gegenüber Ihren behandelnden Ärztinnen und Ärzten sowie anderen Leistungserbringern einen Anspruch darauf, dass die im Rahmen der Behandlung anfallenden Daten an Ihre ePA übermittelt und darin gespeichert werden. Zuvor müssen Sie allerdings eine Berechtigung zum Zugriff auf Ihre ePA erteilt haben (siehe hierzu Kapitel 6.4).
Zudem haben Sie einen Anspruch darauf, dass Ihre behandelnden Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte sowie Psychotherapeutinnen und -therapeuten Sie bei der Erstbefüllung der ePA unterstützen. Die Unterstützungsleistung umfasst die Übermittlung medizinischer Daten an die ePA und ist auf medizinische Daten aus der konkreten aktuellen Behandlung beschränkt.
Darüber hinaus können Sie von Ihren Ärztinnen und Ärzten, Zahnärztinnen und Zahnärzten oder Apothekerinnen und Apothekern die Speicherung der Daten aus dem Notfalldatensatz und des elektronischen Medikationsplans verlangen. Ändert sich etwas in Ihrem Medikationsplan oder in Ihrem Notfalldatensatz, haben Sie das Recht, dass Ihre Ärztin bzw. Ihr Arzt diese Daten sowohl in der ePA als auch auf der elektronischen Gesundheitskarte (eGK) aktualisiert. Sprechen Sie Ihre Ärztin bzw. Ihren Arzt darauf an, wenn Sie hierzu Fragen haben.
Ab dem 1. Januar 2022 haben Sie das Recht, dass an Ihrer Behandlung beteiligte Leistungserbringer weitere medizinische Informationen in strukturierter Form in der ePA speichern. Dies sind folgende:
Sie haben außerdem das Recht, von Ärztinnen und Ärzten sowie anderen Leistungserbringern die Löschung von Dokumenten und Daten zu verlangen, die diese in Ihre ePA hochgeladen haben.
Neben dem Anspruch gegenüber Leistungserbringern können Sie auch von Ihrer Krankenkasse verlangen, dass Daten zu von Ihnen in Anspruch genommenen Leistungen in die ePA eingestellt werden. Dazu gehören auch Informationen zu Diagnosen und Medikamenten, die Ihre Krankenkasse im Rahmen der Abrechnung der an Ihrer Behandlung beteiligten Leistungserbringer erhält. Bitte beachten Sie, dass diese Informationen Ihrer Krankenkasse erst mit erheblichem zeitlichen Verzug vorliegen. Um Ihrer Krankenkasse die Datenbereitstellung zu ermöglichen, müssen Sie gegenüber der Krankenkasse in die Datenbereitstellung einwilligen sowie die entsprechende Berechtigung zum Zugriff auf die ePA erteilen. Nur dann kann Ihre Krankenkasse ausschließlich zur Ablage dieser Informationen auf Ihre ePA zugreifen.
8. Ich benötige Unterstützung bei der Nutzung der elektronischen Patientenakte. Was kann ich tun?
Der Gesetzgeber sieht vor, dass Sie über die von Ihrer Krankenkasse bereitgestellte ePA-Anwendung Vertreterinnen bzw. Vertreter für die Handhabung Ihrer elektronischen Patientenakte (ePA) berechtigen können. Diese haben dann annähernd die gleichen Rechte wie Sie selbst. Ihre Vertreterinnen und Vertreter können aber keine weiteren Vertretungen benennen und sind nicht befugt, die Akte zu schließen. Ihre Vertretung kann beispielsweise Zugriffsrechte an Leistungserbringereinrichtungen (Ärzte- und Zahnärzteschaft, Krankenhäuser, Apotheken u. a.) vergeben und die in Ihrer Akte gespeicherten Dokumente einsehen. Es ist daher wichtig, dass Sie diese verantwortungsvolle Aufgabe nur an Personen übertragen, denen Sie vollständig vertrauen und denen Sie beispielsweise auch eine Vorsorgevollmacht erteilen würden. Vertretungen können – anders als Berechtigungen für Leistungserbringereinrichtungen – nicht zeitlich befristet vergeben werden und laufen daher nicht ab. Sie müssen Ihre Vertreterin bzw. Ihren Vertreter daher aktiv über die ePA-Anwendung Ihrer Krankenkasse von der Vertretung entbinden. Ihre Krankenkasse erläutert Ihnen die Möglichkeit und das Verfahren zur Vergabe von Vertretungsberechtigungen noch einmal genauer.
9. Ich möchte eine elektronische Patientenakte führen, aber keine ePA-Anwendung nutzen. Was bedeutet das für mich?
Die Nutzung der elektronischen Patientenakte (ePA) ist auch ohne die von der Krankenkasse bereitgestellte ePA-Anwendung und ohne Vertretungsperson möglich. Allerdings ergeben sich dann einige Veränderungen, die auch Auswirkungen auf die Wahrnehmung Ihrer Rechte als datenschutzrechtlich betroffene Person haben.
Wenn Sie die ePA-Anwendung nicht nutzen, haben Sie keine Möglichkeit, Einsicht in Ihre in der ePA gespeicherten Daten zu nehmen. Dies umfasst neben den Dokumenten auch die erteilten Berechtigungen sowie die Zugriffsprotokolle, in denen die ePA aufzeichnet, wer wann welche Interaktionen mit Ihrer Akte bzw. den darin gespeicherten Daten vorgenommen hat. Die Krankenkassen haben weder die gesetzliche Befugnis noch die Möglichkeiten, die Daten der ePA auszulesen.
Zudem haben Sie keine Möglichkeit, Daten selbstständig in der ePA zu speichern. Dokumente können ausschließlich durch die von Ihnen berechtigten Leistungserbringereinrichtungen in die ePA eingestellt werden. Gleiches gilt für die Löschung: Nur berechtigte Leistungserbringereinrichtungen können in Ihrem Auftrag Dokumente aus der ePA löschen. Somit haben Sie auch keine Möglichkeit zur Erstellung einer Sicherheitskopie auf Ihrem eigenen Endgerät. Dies betrifft sowohl die Dokumente als auch die Protokolle (vgl. Kapitel 4.4).
Die Berechtigung für Leistungserbringereinrichtungen erteilen Sie ohne ePA-Anwendung ausschließlich direkt beim Leistungserbringer mithilfe Ihrer elektronischen Gesundheitskarte (eGK) und Ihrer PIN im Dialog mit dem Praxispersonal.
Um einer berechtigten Leistungserbringereinrichtung auch ohne ePA-Anwendung den Zugriff zu entziehen, bestehen folgende Optionen:
Eine Übernahme der Daten bei Wechsel der Krankenkasse ist in der ePA nur über die ePA-Anwendung möglich. Wenn Sie weder eine ePA-Anwendung noch eine Vertretung nutzen, besteht beim Wechsel der Krankenkasse somit für Sie keine Möglichkeit der Datenübernahme.
10. Was wird mit meiner elektronischen Patientenakte in Zukunft außerdem möglich sein?
Einige Nutzungsmöglichkeiten der elektronischen Patientenakte (ePA) werden nach und nach hinzukommen. Dieses Informationsdokument wird rechtzeitig aktualisiert zur Verfügung gestellt, sodass Sie sich über die neuen Funktionen umfassend informieren können. Im Folgenden geben wir Ihnen einen Überblick, was im späteren Verlauf zusätzlich mit Ihrer ePA möglich sein wird.
10.1 Neue Merkmale der ePA ab 1. Juli 2022
Ab 1. Juli 2022 erhalten Sie nach aktuellem Willen des Gesetzgebers die Möglichkeit, Ihre Erklärung zur Organspende im Organspende-Register über Ihre ePA-Anwendung abzugeben. Die Erklärung als solche wird nicht in der ePA gespeichert, sondern in dem dafür vorgesehenen Register abgelegt. Weitere Informationen zur Organ- und Gewebespende erhalten Sie auf der Website des Bundesministeriums für Gesundheit: https://www.bundesgesundheitsministerium.de/themen/praevention/organspende.html
10.2 Neue Merkmale der ePA ab 1. Januar 2023
10.2.1Unterstützung weiterer Dokumentenformate
Die ePA wird mit Beginn des Jahres 2023 noch einmal um die folgenden digitalen Dokumentenformate erweitert, die in Ihrer Akte auf Ihren Wunsch hin gespeichert werden können:
10.2.2 Möglichkeit der Freigabe der Daten für die Forschung
Die in Ihrer ePA gespeicherten Gesundheitsdaten können Sie in Zukunft zudem auch für Forschungszwecke zur Verfügung stellen. Die Datenbereitstellung ist dabei entsprechend den gesetzlichen Vorgaben selbstverständlich freiwillig und in pseudonymisierter Form möglich. Derzeit legt die Gesellschaft für Telematik (gematik) die konkrete Umsetzung unter Einhaltung aller Anforderungen des Datenschutzes fest. Dabei stimmt sie sich eng mit dem Bundesbeauftragten für Datenschutz, dem Bundesamt für Sicherheit in der Informationstechnik, dem Bundesgesundheitsministerium, den Krankenkassen, der Ärzteschaft und den Forschungseinrichtungen ab. Ihre Krankenkasse wird Sie zeitgerecht über die entsprechenden Schritte und Funktionen zur freiwilligen Datenbereitstellung an berechtigte Forschungseinrichtungen informieren.
10.2.3 Nutzung eines Sofortnachrichten-Dienstes über die ePA-Anwendung
Neben der Nutzung für die ePA wird die ePA-Anwendung Ihrer Krankenkasse ab 1. Januar 2023 auch eine Funktion zur sicheren Übermittlung von Sofortnachrichten an Ihre Krankenkasse umfassen und kann – falls die an Ihrer Behandlung beteiligten Leistungserbringer dies wünschen – auch zur Kommunikation mit Ihren Leistungserbringern genutzt werden.
10.2.4 Zugriff auf das nationale Gesundheitsportal
Um Ihnen zusätzliche Informationen für Ihre Gesundheit anzubieten, ist ab 1. Januar 2023 ein direkter Zugriff aus der ePA-Anwendung auf das nationale Gesundheitsportal vorgesehen.
10.3 Neue Merkmale der ePA ab 1. Juli 2023
Ab 1. Juli 2023 sieht der Gesetzgeber vor, dass Sie Ihren elektronischen Medikationsplan, der derzeit auf der elektronischen Gesundheitskarte (eGK) gespeichert wird, online über die ePA-Anwendung einsehen und löschen sowie auch hierfür Zugriffsberechtigungen erteilen können. Gleiches gilt für den derzeit auf der eGK speicherbaren Notfalldatensatz.