Datenschutzerklärung der Hanseatischen Krankenkasse (HEK) für die Nutzung der smarthealth Anwendung

Seit dem 01.01.2021 bietet die HEK die elektronische Patientenakte (ePA) für Ihre Versicherten an. Damit haben gesetzlich Versicherte die Möglichkeit, gesundheitsbezogenen Dokumente sicher und lebenslang zu verwalten. Die Nutzung ist für alle Versicherten freiwillig. Sie kann jederzeit beendet und später erneut begonnen werden. Die gesetzliche Grundlage für die Einführung der ePA ist der § 291a Absatz 5c Satz 4 Sozialgesetzbuch (SGB) V.

Allen Versicherten stehen zwei Varianten für die Nutzung zur Verfügung. Die ePA kann ganz bequem und mobil auf dem eigenen Smartphone (Android und iOS) genutzt werden. Alternativ kann die ePA über Kartenterminals bei Leistungserbringern, wie zum Beispiel niedergelassenen Ärzten, genutzt werden.

Der Schutz Ihrer Daten ist uns dabei ein wichtiges Anliegen.

Wenn Sie smarthealth und die darin enthaltene elektronische Patientenakte nutzen, vertrauen Sie der Hanseatischen Krankenkasse Ihre persönlichen Daten an. Wir sind uns der damit verbundenen großen Verantwortung bewusst und werden alles dafür tun, Ihre Daten zu schützen und sicherzustellen, dass Sie die Kontrolle über Ihre Daten behalten.

Ergänzend zu der Datenschutzerklärung der Hanseatischen Krankenkasse (HEK), zu den Informationen der HEK zur Datenschutzgrundverordnung sowie zu den Informationen der HEK zu den Betroffenenrechten gelten für das Angebot der smarthealth Anwendung der HEK, insbesondere für das Angebot der elektronischen Patientenakte (ePA), die Informationen zur Datenerhebung und zur Datenverarbeitung dieser Datenschutzerklärung.

Sie enthält allgemeine Informationen zur ePA, Informationen über die Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten und ergänzende Informationen zur Nutzung über Endgeräte bei Leistungserbringern.

Informationen zur Datenerhebung und Datenverarbeitung

1. Allgemeines

Die smarthealth Anwendung der HEK ist die persönliche Akte für jeden Versicherten, welche aus der elektronischen Patientenakte (ePA) und den individuellen HEK Services besteht.

Das Angebot wird durch die von der HEK beauftragte Firma IBM Deutschland GmbH durchgeführt und gestaltet. Die IBM Deutschland GmbH unterliegt den datenschutzrechtlichen Anforderungen und der datenschutzrechtlichen Kontrolle der HEK.

Die Teilnahme an der smarthealth Anwendung und damit auch an der elektronischen Patientenakte (ePA), ist freiwillig und kann jederzeit widerrufen oder beendet werden.

Gemäß Art. 13 Abs. 1 Buchst. a der Datenschutz-Grundverordnung (EU-DSGVO) ist die HEK - Hanseatische Krankenkasse, Wandsbeker Zollstraße 86 – 90, 22041 Hamburg, für die Verarbeitung der Daten verantwortlich. Weitere Details zu den Verantwortlichen finden Sie am Ende dieser Datenschutzerklärung unter dem Abschnitt 13.

Mit dieser Datenschutzerklärung der HEK geben wir Ihnen als Versicherte die gesetzlich notwendigen Informationen zu der Verwendung Ihrer persönlichen Daten.
Denn Ihre Datensicherheit ist der Hanseatischen Krankenkasse ein wichtiges Anliegen.

1.1 Was ist smarthealth?

Smarthealth ist die persönliche Akte für die Versicherten der HEK. Smarthealth ist ein erweitertes digitales Angebot, welches aus den gesetzlichen Anforderungen der elektronischen Patientenakte (ePA) und den individuellen HEK Services besteht. Zu den individuellen Services gehört die Bereitstellung von Gesundheitsdaten, wie zum Beispiel Angaben zu Arztbesuchen oder verschriebenen Medikamenten.

1.2 Was ist die elektronische Patientenakte?

Gesetzlich definiert ist die elektronische Patientenakte (gemäß § 341 SGB V) eine versichertengeführte elektronische Akte, die den Versicherten von den Krankenkassen auf Antrag zur Verfügung gestellt wird.

Die Nutzung ist für die Versicherten freiwillig.

Mit ihr sollen den Versicherten auf Verlangen Informationen, insbesondere zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten, für eine einrichtungs-, fach- und sektorenübergreifenden Nutzung für Zwecke der Gesundheitsversorgung, insbesondere zur gezielten Unterstützung von Anamnese und Befunderhebung, barrierefrei elektronisch bereitgestellt werden.

Mit der ePA können gesundheitsbezogene Daten zwischen Versicherten und denjenigen, die an der medizinischen Behandlung beteiligt sind, ausgetauscht werden. Dazu zählen Arzt-, Zahnarzt- und Psychotherapeutenpraxen sowie Apotheken und Krankenhäuser.

Die Hoheit über die ePA liegt immer beim Nutzer. Sie entscheiden, welcher Dritte auf Ihre Akte und die darin gespeicherten Dokumente zugreifen darf. Die Berechtigungen können je Person oder Institution mit zeitlicher Einschränkung vergeben werden. Jede Aktivität, die von Ihnen selbst oder einem Dritten in der ePA stattfindet, wird protokolliert.

1.3 Was leistet die elektronische Patientenakte für Sie?

Es besteht die Möglichkeit eine Vielzahl von Daten in die elektronische Patientenakte einzustellen, zum Beispiel Diagnosen, durchgeführte und geplante Therapiemaßnahmen oder Behandlungsberichte (vergleiche: § 341 Absatz 2 SGB V).

Der umfassende Katalog von Gesundheitsdaten, welche in die elektronische Patientenakte eingestellt werden können ist in § 341 Abs. 2 SGB V erläutert.

Die Einführung der elektronischen Patientenakte (ePA) (ab dem 01.01.2021) ist durch das Terminservice-Versorgungsgesetzt (TSVG) geregelt. Ausführliche Informationen zur elektronischen Patientenakte (ePA) finden Sie auf den Internetseiten des Bundesministeriums für Gesundheit und der Gematik.

Die ePA ist das zentrale Element der vernetzten Gesundheitsversorgung (gemeint ist der digitalen beziehungsweise internetbasierten Gesundheitsversorgung) und basiert auf der technischen Vernetzung durch die Telematikinfrastruktur. Die Telematikinfrastruktur (TI) vernetzt alle Beteiligten im Gesundheitswesen wie Ärzte, Zahnärzte, Psychotherapeuten, Krankenhäuser, Apotheken und Krankenkassen im Rahmen der digitalen Gesundheitsanwendung miteinander. Informationen finden Sie dazu auf der Internetseite der Gematik.

Mit der ePA ist es möglich, Daten von Ärzten und Krankenhäusern direkt in Ihre persönliche Akte übertragen zu lassen sowie eigene Dokumente bereitzustellen, um sie mit Arztpraxen und Krankenhäusern zu teilen. Ziel der ePA ist es, Gesundheitsdaten an einem Ort zu verwalten und darüber hinaus weitere Services, wie zum Beispiel Impf- und Vorsorgehinweise und die Dokumenten-Verwaltung, zu nutzen.

Smarthealth Nutzer können Daten selbst eintragen sowie bestimmte Daten von der HEK übermitteln lassen. Zusätzlich können teilnehmende Leistungserbringer (zum Beispiel Ärzte oder Krankenhäuser) bestimmte Daten in die ePA übermitteln. Versicherte der HEK behalten die Hoheit und Kontrolle über sämtliche personenbezogene Daten. Dies betrifft die selbst eingegebenen Daten und die Daten, die auf seine Veranlassung hin übermittelt wurden (zum Beispiel von einem Arzt).

Die Verarbeitung erfolgt gemäß den Vorgaben des Sozialgesetzbuches V (SGB V) unter Berücksichtigung der Datenschutzgesetze EU-DSGVO (Datenschutz-Grundverordnung) und BDSG (Bundesdatenschutzgesetz).

Alle personenbezogenen Daten, die die Gesundheit betreffen, also alle Gesundheitsdaten, werden ausschließlich auf Grundlage Ihrer Einwilligung verarbeitet beziehungsweise genutzt.
Wir möchten für Sie diese Datenschutzerklärung verständlich, einfach und transparent gestalten:
Gleichberechtigung ist für die Hanseatische Krankenkasse Anspruch und gelebte Praxis. In dieser Datenschutzerklärung verwenden wir neben dem Gender_Gap das sogenannte generische Maskulinum bei Berufsbezeichnungen und rechtlich verankerten Bezeichnungen und Begriffen. Es sind selbstverständlich alle Geschlechter damit angesprochen. Datenschutz ist komplex genug, wir bemühen uns um sprachliche Einfachheit bei gelebter Gleichberechtigung aller Menschen.

2. Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören Ihr Name oder Ihre Versichertennummer. Personenbezogene Daten sind auch sonstige Informationen, mit denen Sie direkt oder indirekt identifiziert werden können.  Identifiziert werden können Sie insbesondere durch die Zuordnung zu einer Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck Ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

Diese Datenschutzerklärung informiert Sie darüber, welche Daten smarthealth von Ihnen erhebt und für welche Zwecke wir diese verarbeiten.

Folgende Daten werden aus dem IT System der HEK an smarthealth übertragen:

• Technische Referenznummer
• Verifizierte E-Mail-Adresse
• Krankenversichertennummer (KVNR)

Die technische Referenznummer wird benötigt, um Daten, die von der HEK kommen, Ihnen in smarthealth eindeutig zuordnen zu können.

Die Krankenversichertennummer wird benötigt, wenn mit Ihrer Zustimmung Dokumente übertragen werden (zum Beispiel zu einem Arzt), um diese eindeutig zuordnen zu können.

Die verifizierte E-Mail-Adresse wird benötigt, um Sie über Aktivitäten in smarthealth zu benachrichtigen und um bei einem Gerätewechsel das Gerät bestätigen und damit freischalten zu können. So verifizieren - authentisieren - Sie Ihre E-Mail-Adresse: Sie hinterlegen in smarthealth Ihre E-Mail-Adresse. An diese erhalten Sie von der HEK eine E-Mail mit einem Bestätigungslink. Darüber bestätigen Sie, dass Sie Empfänger dieser E-Mail sind.
An diese bestätigte E-Mail-Adresse erhalten Sie Nachrichten zu Aktivitäten in smarthealth. Damit können Sie sicher sein, dass Sie über alles informiert sind und gegebenenfalls Aktivitäten überprüfen.

3. Wer ist für die Verarbeitung meiner Daten verantwortlich?

Die smarthealth Anwendung wird Ihnen von der HEK bereitgestellt. Die HEK ist verantwortlich für die Bereitstellung und Verarbeitung Ihrer Daten.
Sie können sich über die am Ende dieser Datenschutzerklärung aufgeführten Kontaktdaten (unter 11.) an uns wenden. Dort finden Sie auch die Kontaktdaten unseres Datenschutzbeauftragten.

4. Welche Daten werden im Rahmen meiner Registrierung für smarthealth verarbeitet und für welche Zwecke werden diese verwendet?

4.1 Übertragung der technischen Referenznummer


Bei der Registrierung für smarthealth werden Sie gebeten, in die Übermittlung bestimmter Stammdaten (unter anderem der technischen Referenznummer) von Ihrer Krankenkasse HEK an IBM Deutschland GmbH, Adresse, einzuwilligen. Bei der technischen Referenznummer handelt es sich um eine interne durch die HEK generierte und genutzte Zuordnungsnummer, die von IBM Deutschland GmbH zur eindeutigen technischen Zuordnung und Überprüfung Ihrer Berechtigung zur Nutzung von smarthealth verwendet wird.

Mit Ihrer Einwilligung erklären Sie sich einverstanden, dass Ihre Stammdaten an smarthealth übertragen und von der IBM Deutschland GmbH gespeichert und verarbeitet werden dürfen. Das ist wichtig, damit die IBM Deutschland GmbH die ePA für Sie bereitstellen kann sowie für eine sichere Anmeldung und eindeutige Zuordnung Ihrer Daten sorgen kann.

Die von Ihnen erklärte Einwilligung wird von der IBM Deutschland GmbH zu Nachweiszwecken protokolliert (einschließlich Datum und Uhrzeit, technischer Referenznummer und Wortlaut der Einwilligungserklärung). Diese Daten werden zur Vertragserfüllung sowie zur Wahrung der berechtigten Interessen der IBM Deutschland GmbH (Nachweiszwecke) gespeichert und verarbeitet, soweit dies zur Sicherstellung und Dokumentation der Einhaltung der gesetzlichen Anforderungen sowie zur Geltendmachung, Ausübung oder Verteidigung unserer rechtlichen Ansprüche erforderlich ist.

Ohne die Erteilung der Einwilligung können Sie die Registrierung oder Aktualisierung der Stammdaten nicht abschließen. Den Wortlaut der Einwilligung können Sie – im Rahmen des Exports sämtlicher in der IBM ePA gespeicherter Daten – über die Funktionalitäten der IBM ePA abrufen. Diese finden Sie auf der Startseite der IBM ePA.

Sie können Ihre Einwilligung jederzeit widerrufen, ohne dass hierdurch die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt würde. In diesem Fall können Sie die IBM ePA jedoch nicht mehr weiter nutzen, da die Verarbeitung der technischen Referenznummer für die Bereitstellung der IBM eGA zwingend erforderlich ist. Sofern Sie Ihre Einwilligung dennoch widerrufen möchten, nutzen Sie bitte die Funktionalität in der IBM ePA zur Kündigung.

4.2 Anlage und Freischaltung Ihres Accounts zur Nutzung von smarthealth.

Mit Generierung Ihres privaten Schlüssels (zur Verschlüsselung der Inhalte in Ihrer IBM ePA) sowie Ihres persönlichen Sicherheitsschlüssels (Recovery Key) und Freischaltung Ihres Zugangs zur IBM ePA wird Ihr Account zur Nutzung der IBM ePA angelegt.

Hierzu generiert IBM eine interne Zuordnungs- und Referenznummer ("ePA-Kundennummer"), unter der Ihr Account zur Nutzung der IBM ePA geführt und verwaltet wird. Sämtliche von Ihnen in der IBM ePA gespeicherten Daten sind Ihrer ePA-Kundennummer zugeordnet. Die technische Referenznummer der HEK wird mit der ePA Kundennummer verknüpft, so dass eine eindeutige Zuordnung sichergestellt ist, etwa sofern Sie Daten von der HEK in die IBM ePA importieren wollen (siehe Ziffer 5.1(b)). Die ePA-Kundennummer wird zur Erfüllung des mit Ihnen geschlossenen Nutzungsvertrages verarbeitet, soweit dies zur Bereitstellung der IBM ePA erforderlich ist, sowie zur Wahrung unserer berechtigten Interessen (Protokollierung zu Nachweiszwecken, Fehleranalyse, Gewährleistung der Systemsicherheit, Verhinderung von Missbrauch, Aufdeckung und Verfolgung von Straftaten oder Verstößen gegen die Nutzungsbedingungen, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen).

Zudem verknüpft IBM Ihre ePA-Kundennummer im Rahmen des Registrierungsprozesses mit einer Kennziffer, die von der IBM für die HEK vergeben wurde, so dass Ihre Krankenkassenzugehörigkeit ebenfalls Ihrem Account zugeordnet ist. Diese Information benötigt IBM zu Abrechnungszwecken der HEK. Die Nutzung von smarthealth ist für Sie kostenfrei. Die HEK trägt die Kosten für Sie.

Der Zeitpunkt der Freischaltung Ihres Zugangs zur IBM ePA wird von IBM aus Nachweiszwecken protokolliert (ePA-Kundennummer, Datum, Uhrzeit). Diese Informationen werden von IBM zu Abrechnungszwecken gegenüber der HEK benötigt (siehe hierzu Ziffer 5.2(a)). Zudem kann damit der Nachweis erbracht werden, dass rechtlich relevante Bestimmungen akzeptiert oder zur Kenntnis genommen wurden (zum Beispiel die AGBs oder die Datenschutzerklärung) oder bestimmte Erklärungen abgegeben worden sind (zum Beispiel die Einwilligungserklärungen), da dies zwingende Voraussetzung ist, um die IBM ePA freizuschalten.

Die vorstehend beschriebene Verarbeitung der Daten begründet sich durch den zwischen Ihnen und uns bestehenden Vertrag. Dies beinhaltet die Verarbeitung der Daten zur Durchführung vorvertraglicher Maßnahmen, die auf Ihre Anfrage hin erfolgen, sowie zur Wahrung der berechtigten Interessen von IBM (Nachweiszwecke, Sicherstellung der Einhaltung und Dokumentation der gesetzlichen Anforderungen, Überprüfung der Berechtigung zur Nutzung der IBM ePA, Gewährleistung der ordnungsgemäßen Abrechnung gegenüber der HEK, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen).

4.3 Anmeldung (Login) zu Ihrem Account

Es gibt zwei verschiedene Möglichkeiten sich anzumelden (Login): Entweder mit einer PIN und der persönlichen NFC-fähigen Gesundheitskarte (NFC=NearFieldCommunication – Auslesen der Karte per Funk) oder mit einer Zwei-Faktor-Authentisierung mittels der Alternativen Versichertenidentität (al.vi).

Anmeldung mit dem Smartphone und Gesundheitskarte über NFC

Für die erste Möglichkeit wird ein Smartphone mit NFC-Funktion benötigt sowie eine NFC-fähige Gesundheitskarte. Die Gesundheitskarte muss NFC-fähig sein, damit sie zur Anmeldung genutzt werden kann. Eine NFC-fähige Karte verfügt über einen Chip zur Nahfeldkommunikation. Hat Ihre Gesundheitskarte diese Funktion noch nicht, kann sie bei der HEK gegen eine neue, NFC-fähige Karte getauscht werden. Ob Ihre Karte bereits NFC-fähig ist, erkennen Sie am Aufdruck der CAN (eine 6-stellige Nummer, die sogenannte Card Access Nummer) unterhalb des Schriftzuges "Gesundheitskarte" auf der Vorderseite Ihrer Karte und dem Symbol für die kontaktlose Verwendung.
Um sich in die eigene ePA einzuloggen, muss bei jedem Login die persönliche elektronische Gesundheitskarte an das Smartphone gehalten werden und aus Sicherheitsgründen die auf der Karte aufgedruckte „CardAccessNummer“ (CAN) eingegeben werden (damit wird unbefugtes Lesen der Karte verhindert). Über den Chip zur Nahfeldkommunikation werden Sie zweifelsfrei authentifiziert. Danach muss die persönliche PIN zur Karte eingegeben werden. Die persönliche PIN erhalten Sie von der HEK.

Anmeldung mit Smartphone per Alternativer Versichertenidentität (al.vi)

Die Alternative Versichertenidentität (al.vi) funktioniert ohne Gesundheitskarte. Um sie zu nutzen, wird Ihre Identität zuvor zweifelsfrei über die HEK festgestellt und ein Verfahren einer Zwei-Faktor-Authentisierung genutzt. Dies erfolgt bei der Authentifizierung zur HEK Service-App für den smart-Bereich einmalig und kann für jeden Login in smarthealth verwendet werden.

5. Welche Daten werden im Rahmen meiner Nutzung von smarthealth verarbeitet, und für welche Zwecke werden diese verwendet?

In smarthealth stehen Ihnen mehrere Leistungsbereiche zur Verfügung, in denen Sie Ihre Gesundheitsdaten erfassen, speichern und verwalten sowie bestimmte Services nutzen können. Hierbei gelten die folgenden Grundsätze:

• Ihre Gesundheitsdaten werden nur auf Grundlage Ihrer Einwilligung erhoben, gespeichert und verarbeitet, und nur zu dem Zweck, um Ihnen im Rahmen der Durchführung des Nutzungsvertrages die Funktionalitäten von smarthealth bereitstellen zu können (d.h. um Ihnen die Speicherung und Verwaltung Ihrer Gesundheitsdaten in smarthealth und die Nutzung der inbegriffenen Services zu ermöglichen).
• Ihre Gesundheitsdaten werden für keine anderen Zwecke verarbeitet und ohne Ihre Zustimmung nicht an Dritte weitergegeben.

Auf Ihre Gesundheitsdaten kann grundsätzlich nur in verschlüsselter Form zugegriffen werden. Ein Zugriff auf Ihre Gesundheitsdaten in lesbarer Form ist nur bei der Nutzung einzelner Funktionalitäten erforderlich: Technisch bedingt müssen einzelne (wenige) Daten kurzfristig einsehbar sein, wenn bestimmte Funktionen genutzt werden (zum Beispiel Impf- und Vorsorgehinweise oder der Medikationsplan. Näheres dazu siehe Ziffer 5.1(c) und in unseren FAQs. Bitte lesen Sie unseren Abschnitt zur Sicherheit Ihrer Daten (Ziffer 8), um mehr darüber zu erfahren, wie wir Ihre Gesundheitsdaten schützen.

Neben Ihren Gesundheitsdaten (hierzu Ziffern 5.1) verarbeitet IBM im Rahmen Ihrer Nutzung von smarthealth nur in geringem Umfang weitere personenbezogene Daten von Ihnen, etwa soweit dies zu Abrechnungszwecken erforderlich ist. Diese weiteren Datenverarbeitungen beschreiben wir unter Ziffer 5.2.

In den nachfolgenden Abschnitten erläutern wir Ihnen genauer, welche Daten im Rahmen Ihrer Nutzung von smarthealth von uns verarbeitet werden und für welche Zwecke sowie auf welcher Rechtsgrundlage wir diese verwenden.

5.1 Verarbeitung von Gesundheitsdaten

5.1.1 Manuelle Eingabe, Speicherung und Verwaltung von Gesundheitsdaten

Im Rahmen der Nutzung von smarthealth können Sie in den folgenden Bereichen Gesundheitsdaten manuell eingeben, speichern und verwalten:

• Arztbesuch: Angaben zu Ihren Arztbesuchen, wie Name des Arztes, Fachrichtung, Art des Besuches, Grund der Behandlung, Datum, Uhrzeit, Notiz (Freitextfeld).
• Dokumente und Fotos: Dokumente und Fotos (zum Beispiel von Arztrezepten, Befunden, bildgebenden Untersuchungen, Medikationsplan, Ausweis, Überweisung) in einem standardisierten Format hochzuladen und in smarthealth unter Angabe weniger Daten, sogenannte Metadaten (zum Beispiel Titel, Dokumenttyp, Datum, Quelle/Herkunft des Dokuments, Kommentar) zu speichern. Hierzu ist erforderlich, dass Sie den Zugriff auf Ihre Kamera sowie auf Fotos erlauben.
• Impfungen: Bezeichnung der Impfung (zum Beispiel Influenza), Tag der Impfung, Art der Impfung (etwa Immunisierung, Auffrischung), Impfstoff, Chargennummer, Name des die Impfung durchführenden Arztes.
• Medikamente: Pharmazentralnummer (PZN), Name des Medikaments, Wirkstoff, rezeptpflichtig, rezeptfrei.
• Vorsorge: Art der Vorsorgeuntersuchung (zum Beispiel Hautkrebsscreening, Darmkrebsfrüherkennung), Tag der Vorsorgeuntersuchung, Name des die Vorsorge durchführenden Arztes.

Folgende Informationen können Sie zum Beispiel in der ePA speichern:

• Arztbriefe und Krankenhausentlassungsberichte
• Befunde (zum Beispiel Allergologie- oder Laborbefunde)
• Diagnosen
• Fotodokumentationen
• Patienteninformationen
• Pflegedokumentationen
• Schwangerschafts- und Geburtsdokumentationen
• Therapiedokumentationen

Sie können im Bereich "Profil" Ihr Geburtsdatum und Geschlecht ergänzen, um spezifische, in den jeweiligen Leistungsbereichen angebotene Services zu nutzen (hierzu Ziffer 5.1(c)).
Darüber hinaus können Ihnen künftig weitere Leistungsbereiche bereitgestellt oder bestehende Leistungsbereiche angepasst werden. Sie können die aktuellen Leistungsbereiche und Funktionalitäten jederzeit in smarthealth einsehen.

Die von Ihnen in smarthealth gespeicherten Daten werden ausschließlich auf Grundlage der von Ihnen erteilten Einwilligung verarbeitet (hierzu Ziffer 5.1(d)). Sie sind weder gesetzlich noch vertraglich verpflichtet, etwaige Daten anzugeben, und können in sämtlichen Leistungsbereichen stets frei entscheiden, ob und welche Daten Sie eingeben möchten. Sie können Ihre manuell eingegebenen Daten – solange Ihnen der vollständige Funktionsumfang von smarthealth zur Verfügung steht (siehe Ziffer 1) – jederzeit individuell bearbeiten und löschen. Zudem können Sie Ihre Daten jederzeit exportieren (unter: Einstellungen -> Datenexport).



5.1.2 Automatische Übertragung und Aktualisierung von Gesundheitsdaten von der HEK.

Nach der erstmaligen Übertragung der Daten erfolgt die Aktualisierung Ihrer Daten immer dann, wenn Sie smarthealth öffnen. Wenn Sie diesen Service aktivieren, können Sie entscheiden, ob die Daten zu allen Leistungsbereichen oder nur eine Auswahl an Leistungsbereichen automatisch von der HEK importiert (aktualisiert) werden sollen. Dieser Service kann jederzeit aktiviert und deaktiviert werden.

Folgende Leistungsbereiche bestehen:

• Arbeitsunfähigkeit (AU): Diagnose, behandelnder Arzt (Name, Adresse, Fachgruppe – soweit bekannt), Dauer der Krankschreibung.

• Arzt und Impfung: Abrechnungsrelevante Angaben über Ihre Behandlungen, wie etwa Abrechnungszeitraum, Abrechnende Praxis (Bezeichnung und Adresse – soweit bekannt), Sachkosten und Honorarkosten, Diagnose, Tag der Behandlung, Gebührenposition, behandelnder Arzt (Name, Adresse, Fachgruppe – soweit bekannt), ggf. Angaben zu durchgeführten Impfungen an dem Termin (Bezeichnung der Impfung).

• Medikamente: Angaben zu Ihren Medikamenten, wie etwa ausgebende Apotheke (Name, Adresse), Abgabedatum, Pharmazentralnummer (PZN), Name des Medikaments, Darreichungsform (z.B. Trockensaft), Menge, Wirkstoffbezeichnung, verordnender Arzt (Name, Adresse, Fachgruppe – soweit bekannt), Verordnungsdatum und Anzahl, Preis, Zuzahlung und zusätzliche Kosten.

• Zahngesundheit: Abrechnungsrelevante Angaben über Ihre Behandlungen, wie etwa Abrechnungsart, Abrechnungszeitraum, Zahnarzt (Name, Adresse – soweit bekannt), Laborkosten, Kundenanteil, Zuschuss, Honorarkosten und sonstige Kosten, ggf. Kostenplandatum und Zeitraum, Behandlungsdatum, Gebührenpositionen.

Sie können die Ihnen aktuell zur Auswahl stehenden Leistungsbereiche und Funktionalitäten jederzeit in smarthealth einsehen.

Im Rahmen eines Datenimports können immer nur die bei der HEK für den jeweiligen Leistungsbereich vorhandenen Gesundheitsdaten übertragen werden. Die Daten stehen der HEK für einen begrenzten Zeitraum zur Verfügung. Der Zeitraum ist abhängig von den geltenden Speicherfristen.

Wenn ein Dokument nicht mehr relevant ist oder anderen nicht mehr zur Verfügung stehen soll, kann es gelöscht werden. Sie können die von der HEK importierten Daten jederzeit für einen oder sämtliche Leistungsbereiche löschen. Eine solche Löschung ist jedoch immer nur insgesamt für sämtliche der in den einzelnen Leistungsbereichen importierten Daten möglich. Diese technische Vorgabe ist erforderlich, um die Authentizität, Vollständigkeit und Verlässlichkeit der von der HEK importierten Gesundheitsdaten sicherzustellen. Eine individuelle Löschung einzelner Daten könnte den Aussagegehalt Ihrer Gesundheitsdaten verfälschen und damit verhindern, dass Ihre elektronische Gesundheitsakte (ePA) als verlässliche Dokumentation Ihrer gesundheitsbezogenen Daten dienen kann. Sie können die importierten Daten jederzeit über die Funktion Datenexport aus smarthealth exportieren (unter: Einstellungen -> Datenexport).

Sollten die importierten Daten unrichtig oder unvollständig sein, sowie um einzelne Daten zu löschen, wenden Sie sich bitte an den Leistungserbringer, um die Daten löschen, berichtigen oder vervollständigen zu lassen (siehe hierzu genauer Ziffer 10). Hierdurch wird die Authentizität, Vollständigkeit und Verlässlichkeit Ihrer Gesundheitsdaten in der IBM eGA gewahrt und damit sichergestellt, dass in smarthealth nur richtige Gesundheitsdaten gespeichert sind und Ihre Patientenakte in smarthealth als verlässliche Dokumentation Ihrer gesundheitsbezogenen Daten dienen kann.

Der automatische Import und die Aktualisierung Ihrer Daten erfolgt auf Grundlage Ihrer Einwilligung (hierzu Ziffer 5.1(d)). Ihnen steht es frei, die Importfunktion zu nutzen und Ihre Einwilligung in die automatische Übertragung und Aktualisierung Ihrer Daten zu erteilen oder Ihre Daten manuell einzugeben. Ohne Erteilung Ihrer Einwilligung können Sie den Service nicht nutzen und es werden keine Daten in die elektronische Patientenakte übertragen. Sie können den Service jederzeit aktivieren oder deaktivieren.

5.1.3 Verarbeitung von Gesundheitsdaten zur Bereitstellung spezifischer in smarthealth angebotener Services

In smarthealth stehen Ihnen spezifische weitere Services zur Verfügung. Sie können jederzeit selbst entscheiden, welche dieser Services Sie nutzen und aktivieren möchten und welche Daten Sie bereitstellen wollen. Nachfolgend beschreiben wir Ihnen, wie wir Ihre Daten verarbeiten, wenn Sie die einzelnen Services aktivieren und nutzen:

Dokumente vom Arzt

Der Service „Dokumente vom Arzt“ bietet Ihnen die Möglichkeit, eArztbriefe mit Ihrem Arzt auszutauschen. Zur Nutzung des Service "Datenaustausch mit Arzt" wird einmalig ein E-Mail-Account inklusive Postfach erstellt. Ihr Arzt kann Ihnen Gesundheitsdaten verschlüsselt an Ihr Postfach senden. Sie erhalten in smarthealth einen Hinweis zum Posteingang. Weitere Informationen zur Aktivierung und Funktionalität des Service finden Sie in unseren FAQs. Genauere Beschreibung folgend:

Datenaustausch mit teilnehmenden Ärzten

Dieser Service ermöglicht es dem Arzt Gesundheitsdaten (Befunde, Diagnosen, Medikation, Bilddateien wie Röntgenbilder) an smarthealth (hier die individuellen HEK Services) zu senden. Der Arzt muss dazu das Produkt „KV-Connect“ der KV Telematik in seiner Praxis einsetzten. Wenn Sie diesen Service aktivieren, wird für Sie eine KV-Connect-Adresse erstellt. Bestandteil dieses Accounts ist die eGA-ID, eine interne Zuordnungs- und Referenznummer, um eine eindeutige Zuordnung zwischen E-Mail-Account und smarthealth herstellen zu können.

Sie müssen dem Arzt Ihre KV-Connect-Mail-ID nennen oder der Arzt scannt den QR Code, der diese Adresse enthält, ein. KV-Connect kommuniziert über das sichere Netz der Kassenärztlichen Vereinigungen (KVn SNK). Auf dieses erhält man Zugriff, wenn man durch die KV-Telematik zertifiziert wurde. Smarthealth ist von der KV-Telematik für die Kommunikation mit KV Connect zertifiziert. KV-Connect ist der Kommunikationskanal für den Datentransfer zwischen Ärzten und Kassenärztlichen Vereinigungen. Es steht ausschließlich im sicheren Netz der KVen (SNK) zur Verfügung. Durch KV-Connect werden alle übertragenen Nachrichten automatisch verschlüsselt.

Wenn der Arzt die Daten versenden möchte, ruft er zunächst über den KV-Connect Server das aktuelle Zertifikat mit Ihrem Public Key ab. Mit dem Public Key werden Ihre Daten sicher verschlüsselt.
In smarthealth werden die verschlüsselten Daten abgelegt. Sobald ein Dokument empfangen wurde, werden Sie darüber informiert. Nur Sie können die Dokumente entschlüsseln, abrufen, ansehen, löschen und verschlüsselt speichern.

Wenn Sie den Service deaktivieren, wird die KV-Connect-Adresse inaktiv gesetzt, sodass keine Daten mehr an diese Adresse gesendet werden können und alle empfangenen eArztbriefe und Dokumente werden unwiederbringlich gelöscht.



Übertragung von Dokumenten von teilnehmenden Krankenhäusern

Dieser Service gibt Ihnen die Möglichkeit, Dokumente (Entlassbriefe, Laborberichte) als PDF-Dokument von Ihrem behandelnden Krankenhaus zu importieren. Voraussetzung ist, dass das Krankenhaus an diesem Service teilnimmt. Eine Liste der teilnehmenden Krankenhäuser wird Ihnen in smarthealth angezeigt. Damit die Dokumente Ihnen zugeordnet werden können, benötigt das Krankenhaus Ihre Versichertennummer. Diese wird an das Krankenhaus übermittelt. Die Dokumente werden mit Ihrem Public Key verschlüsselt und in einem geschützten Bereich des Krankenhauses zum Abruf zwischengespeichert und übertragen. In smarthealth werden die Daten gespeichert, angezeigt und gelöscht. Sollten Informationen in den Dokumenten unrichtig oder unvollständig sein, müssen Sie die Korrektur der Daten durch das Krankenhaus veranlassen. Dazu ist es erforderlich, dass Sie die betroffenen Dokumente löschen und einen neuen Import der vervollständigten oder berichtigten Dokumente von Ihrem Krankenhaus anfordern. Damit ist die Authentizität, Vollständigkeit und Verlässlichkeit, der vom Krankenhaus importierten Gesundheitsdaten gewahrt.

Sie können Ihre Einwilligung zu diesem Service jederzeit widerrufen. Dazu deaktivieren Sie einfach den Service.

Impf- und Vorsorgehinweise:

In den Leistungsbereichen „Impfungen” und „Vorsorge" können Sie Informationen zu Ihren Impfungen und Ihre Vorsorgedaten hinterlegen und verwalten. Zudem können Sie sich Ihre persönlichen Hinweise zu Impfungen und Vorsorgeuntersuchungen erstellen lassen.
Zur Nutzung dieser Services werden die folgenden Daten verarbeitet:

• bisherige Impfungen und Vorsorgeuntersuchungen (manuell eingetragen oder von der HEK übertragen)
• Geschlecht
• Geburtsdatum

Wenn noch nicht in smarthealth hinterlegt, werden beide Daten automatisch bei Aktivierung des Service von der HEK an smarthealth übertragen. Für die Erstellung der Impfhinweise werden die von Ihnen gespeicherten Daten mit den Empfehlungen der Ständigen Impfkommission (STIKO) abgeglichen und daraus Impfhinweise für Sie generiert. Für die Erstellung der Vorsorgehinweise werden die von Ihnen gespeicherten Daten mit den Ihnen gesetzlich zustehenden Vorsorgeuntersuchungen abgeglichen und daraus Vorsorgehinweise für Sie generiert.

Die Richtigkeit der Impf- beziehungsweise Vorsorgehinweise hängt von der Vollständigkeit und Qualität der in smarthealth hinterlegten Daten ab. IBM kann die Richtigkeit und Vollständigkeit der von Ihnen eingegebenen oder importierten Daten nicht überprüfen. Besprechen Sie die Ihnen angezeigten Impf- und Vorsorgehinweise mit Ihrem Arzt, um mit ihm zu entscheiden, welche Impfungen beziehungsweise welche Vorsorgeuntersuchungen für Sie sinnvoll sind.

Zur Erstellung der Impf- und Vorsorgehinweise werden die gespeicherten Daten (Geschlecht, Geburtsdatum sowie die Informationen über Ihre Impfungen beziehungsweise Vorsorgeuntersuchungen) auf Ihrem Endgerät mit Ihrem privaten Schlüssel entschlüsselt und über eine Transportverschlüsselung an den Server von IBM gesendet, auf dem die IBM ePA betrieben wird. Dort sind Ihre Daten technisch bedingt für IBM kurzfristig einsehbar, um Ihre persönlichen Impf- beziehungsweise Vorsorgehinweise zu erstellen. Anschließend werden die Hinweise über eine Transportverschlüsselung an Ihr Endgerät gesendet und die zur Erstellung der Hinweise auf dem Server von IBM verarbeiteten Daten umgehend wieder gelöscht. Die von Ihnen in die IBM ePA eingegebenen Daten (Geschlecht, Geburtsdatum, Impfungen bzw. Vorsorgeuntersuchungen) bleiben jedoch in der IBM ePA in den jeweiligen Leistungsbereichen in für IBM nicht einsehbarer Form verschlüsselt gespeichert (siehe Ziffer 5.1(a)). Die von Ihnen generierten Impf- und Vorsorgehinweise werden nur für die Dauer Ihrer jeweiligen Nutzung der IBM ePA vorgehalten. Bei einer späteren erneuten Anmeldung in der IBM ePA müssen Sie die Impf- beziehungsweise Vorsorgehinweise neu generieren. Dies ist notwendig, damit die Ihnen angezeigten Hinweise immer Ihre jeweils aktuell hinterlegten Daten berücksichtigen.

Medikationsplan:

Der Service "Medikationsplan" ermöglicht es Ihnen, einen von Ihrem Arzt erstellten Medikationsplan in smarthealth zu hinterlegen. Diesen können Sie mit der Kamerafunktion Ihres Endgeräts über den auf dem Medikationsplan abgebildeten sogenannten Datamatrix-Code einlesen. Dadurch werden der Datamatrix-Code, die vom Arzt verschriebenen Medikamente, die entsprechenden Einnahmehinweise und Angaben über den verordnenden Arzt (Vor- und Nachname, Adresse und Telefonnummer des Arztes) verschlüsselt gespeichert. Im Rahmen der Bereitstellung dieses Service sind einzelne Daten technisch bedingt kurzfristig einsehbar. Weiter bietet Ihnen dieser Service die Möglichkeit der Erinnerung an die Einnahme der Medikamente. Die Erinnerung erfolgt durch Push-Benachrichtigungen mittels der Benachrichtigungs- und Mitteilungsfunktion Ihres Endgerätes. Zur Nutzung des Service müssen Sie zusätzlich die Berechtigungen Ihres Endgeräts so einrichten, dass die HEK Service-App Zugriff auf Ihre Kamera erhält sowie Ihnen Benachrichtigungen und Mitteilungen senden darf. Die Erinnerungen an die Medikamenteneinnahme enthalten zum Schutz Ihrer Privatsphäre keine Informationen zu den jeweiligen Medikamenten, sondern nur einen generellen Hinweis. Sie können sämtliche hinterlegte Medikationspläne selbst löschen.
Die Datenverarbeitung im Rahmen der vorstehenden Services erfolgt ausschließlich auf Grundlage Ihrer Einwilligung, die Sie im Rahmen der Aktivierung des jeweiligen Service erteilen (hierzu sogleich Ziffer 5.1.4). Sie können Ihren elektronischen Medikationsplan aus der Patientenakte (ePA) selbst in die individuellen HEK Services kopieren. Sie können einen nicht elektronisch bereitgestellten Medikationsplan in die HEK Services selbst hochladen oder manuell eintragen.

5.1.4 Einwilligung in die Verarbeitung Ihrer Gesundheitsdaten

Im Rahmen der Registrierung werden Sie gebeten, Ihre Einwilligung in die Speicherung und Verarbeitung etwaiger Gesundheitsdaten zu erklären, die Sie im Zuge Ihrer weiteren Nutzung von smarthealth manuell eingeben (einschließlich etwaiger von Ihnen hochgeladener Dokumente und/oder Fotos) (siehe hierzu Ziffer 5.1.1).
Sofern Sie sich für eine automatische Übertragung und Aktualisierung bestimmter Daten durch die HEK entscheiden, müssen Sie im Rahmen der Aktivierung dieser Services Ihre Einwilligung in die Übertragung und Verarbeitung Ihrer Gesundheitsdaten erklären (siehe hierzu Ziffer 5.1(b)).
Daneben werden Sie bei der Aktivierung von einzelnen Services in den jeweiligen Leistungsbereichen von smarthealth dazu aufgefordert, spezifische zusätzliche Einwilligungen in die zur Erbringung des jeweiligen Service erforderliche Verarbeitung Ihrer Gesundheitsdaten abzugeben (siehe hierzu Ziffer 5.1.3).

Mit Ihren jeweiligen Einwilligungen erklären Sie sich damit einverstanden, dass, soweit für den jeweiligen Service erforderlich, die von Ihnen ausgewählten Daten an IBM übertragen werden und Ihre im Rahmen Ihrer Nutzung von smarthealth eingegebenen, importierten oder empfangenen Daten von IBM gespeichert und verarbeitet werden, um Ihnen im Rahmen der Bereitstellung der Funktionalitäten die Speicherung und Verwaltung Ihrer Daten in smarthealth sowie die Nutzung der gewünschten Services zu ermöglichen.

Die von Ihnen erklärten Einwilligungen werden von IBM zu Nachweiszwecken protokolliert. Hierzu speichert IBM den Wortlaut Ihrer Einwilligungserklärungen, Ihre ePA-Kundennummer sowie den Zeitpunkt der Einwilligung (Datum, Uhrzeit). Zudem erfasst und speichert IBM bei Nutzung des entsprechenden Service die Datenübertragung von der HEK, einschließlich Zeitpunkt (Datum, Uhrzeit), Leistungsbereich und Zeitraum der übertragenen Daten. Diese Daten werden zur Vertragserfüllung sowie zur Wahrung der berechtigten Interessen von IBM (Nachweiszwecke) gespeichert und verarbeitet, soweit dies zur Sicherstellung und Dokumentation der Einhaltung der gesetzlichen Anforderungen sowie zur Geltendmachung, Ausübung oder Verteidigung unserer rechtlichen Ansprüche erforderlich ist. Den Wortlaut Ihrer Einwilligungen können Sie – im Rahmen des Datenexports sämtlicher in smarthealth gespeicherter Daten abrufen (unter: Einstellungen --> Datenexport).

Sie können Ihre Einwilligungen jederzeit widerrufen, ohne dass hierdurch die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt würde. Hierzu können Sie die einzelnen Services jederzeit wieder deaktivieren. Sie können Ihre Daten jederzeit selbst durch die in der IBM eGA zur Verfügung gestellten Funktionen löschen (hierzu Ziffer 10).

Zudem bildet die bereits im Rahmen der Registrierung erklärte Einwilligung in die Speicherung und Verarbeitung Ihrer manuell eingegebenen Gesundheitsdaten die Grundlage für die Speicherung und Verarbeitung sämtlicher Daten, die von Ihnen im Rahmen Ihrer Nutzung von smarthealth manuell eingegeben werden. Bei einem Widerruf dieser Einwilligung können Sie smarthealth nicht weiter nutzen. Sofern Sie die Einwilligung widerrufen möchten, nutzen Sie bitte folgende Funktion: Einstellungen --> Vertrag --> "Zur Kündigung".

5.2 Verarbeitung sonstiger personenbezogener Daten

5.2.1 Erfassung von Nutzungsdaten zu Abrechnungszwecken

Das Angebot von smarthealth inklusive der Patientenakte ist für Sie kostenfrei. Die Kosten der Nutzung von smarthealth trägt die HEK für Sie.

Um eine nutzungsabhängige Abrechnung der Nutzung von smarthealth gegenüber der HEK zu ermöglichen, werden folgende Daten und Informationen erhoben, gespeichert und verarbeitet:

• Datum und Uhrzeit der Registrierung für die Nutzung von smarthealth
• Datum und Uhrzeit des letzten Zugriffs auf smarthealth pro Quartal (es werden stets nur die Informationen über einen Zeitraum der jeweils fünf letzten Quartale erfasst und gespeichert)
• Technische Referenznummer
• ePA Kundennummer
• Krankenkassenzugehörigkeit
• Art, Datum und Uhrzeit einer etwaigen Kündigung (soweit anwendbar)
• Art, Datum und Uhrzeit einer etwaigen sonstigen Vertragsbeendigung (soweit anwendbar)

Diese für Abrechnungszwecke gespeicherten Daten werden von der IBM im Regelfall ausschließlich in aggregierter und anonymisierter Form an die HEK zu Zwecken der Rechnungsstellung übermittelt. Alleine bei Widersprüchen im Hinblick auf den Umfang Ihrer tatsächlichen Nutzung von smarthealth kann es im Rahmen der Rechnungsprüfung erforderlich sein, dass die IBM – ausschließlich anhand der technischen Referenznummer – bestimmte dieser oben genannten Daten über Ihre Nutzung mit den entsprechenden, von der HEK erfassten Daten abgleicht. Hierbei wird nur gegenüber der HEK der Zeitpunkt des letzten Zugriffs auf smarthealth sowie Ihre technische Referenznummer offengelegt, sodass der HEK eine eindeutige Zuordnung zu Ihrer tatsächlichen Nutzung möglich ist. Die HEK wird hierdurch jedoch keine Informationen erhalten, die ihr nicht ohnehin bereits vorliegen. IBM erhält im Rahmen dieses Abgleichs keinerlei Informationen, welche eine Identifizierung der einzelnen Nutzer von smarthealth ermöglichen würden.

Die Verarbeitung der Daten zu Abrechnungszwecken ist Voraussetzung der Erfüllung des Vertrags mit Ihnen über die Nutzung von smarthealth. Zudem erfolgt die Verarbeitung zur Wahrung der berechtigten Interessen (Nachweiszwecke) der IBM, soweit dies zur Geltendmachung, Ausübung oder Verteidigung unserer rechtlichen Ansprüche erforderlich ist. Ihre Daten werden für keine anderen Zwecke verwendet oder sonst an Dritte weitergegeben. Unter keinen Umständen werden Ihre Gesundheitsdaten gegenüber der HEK offengelegt.

5.2.2 Protokollierung von Log-Daten und IP-Adressen

IBM protokolliert systemseitig Log-Daten der Zugriffe auf die Systemumgebung und Applikationen von smarthealth auf den Servern von IBM (Datum, Zeitpunkt, Anforderung/Vorgang, Fehlermeldung), um etwaige Störungen zu analysieren und mögliche Fehlerursachen zu identifizieren und zu beheben. Zu diesen Zwecken kann in den Log-Daten auch Ihre ePA Kundennummer gespeichert werden. Es ist IBM grundsätzlich nicht möglich, von Ihrer ePA Kundennummer Rückschlüsse auf Ihre Person zu ziehen.

Daneben protokolliert IBM die IP-Adressen der Endgeräte, mit denen Sie smarthealth nutzen, sowie den dazugehörigen Vorgang (Anforderung/Vorgang, Datum, Uhrzeit), um potentielle Angriffe von außen gegen die Systemumgebung von smarthealth nachvollziehen und abwehren zu können. Die IP-Adressen werden in der Regel nicht mit Ihrer IBM Kundennummer verknüpft.

Soweit die Log-Daten personenbezogene Daten enthalten oder die IP-Adresse erfasst wird, stützt IBM die Verarbeitung dieser Daten auf die Notwendigkeit der Verarbeitung zur Wahrung der berechtigten Interessen von IBM (Fehleranalyse, Gewährleistung der Systemsicherheit, Verhinderung von Missbrauch, Aufdeckung und Verfolgung von Straftaten oder Verstößen gegen die Nutzungsbedingungen, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen).

5.2.3 Übermittlung von Kontaktdaten von der HEK zur Abwicklung rechtlich gebotener Kommunikation

Um smarthealth möglichst datensparsam auszugestalten, erhebt IBM keine Merkmale zur unmittelbaren Identifikation Ihrer Person und verzichtet somit auch auf die Erhebung etwaiger Kontaktdaten (wie etwa Name, E-Mail-Adresse oder Telefonnummer) zur unmittelbaren Kommunikation mit Ihnen.

Es kann jedoch Fälle geben, in denen IBM auf eine direkte Kommunikationsmöglichkeit mit Ihnen angewiesen ist, um eine rechtlich gebotene Kommunikation wirksam, effektiv und zeitnah durchführen zu können. Beispielsweise ist IBM gesetzlich verpflichtet, die Nutzer von smarthealth in bestimmten Fällen unverzüglich von einer Verletzung des Schutzes Ihrer personenbezogenen Daten zu benachrichtigen.

In diesen Fällen wird die HEK auf Aufforderung von IBM geeignete Kontaktdaten an IBM bereitstellen (wie etwa Ihre E-Mail-Adresse oder Telefonnummer), damit IBM Sie direkt kontaktieren kann. Hierzu wird IBM der HEK eine Liste mit den technischen Referenznummern der betroffenen Nutzer übersenden, damit die HEK entsprechende Kontaktdaten zu den dieser Referenznummer zugeordneten Nutzern an IBM übermitteln kann.

Die von der HEK übermittelten Kontaktdaten werden von IBM alleine zur Vertragsdurchführung (bei vertragsrelevanter Kommunikation), zur Wahrung der berechtigten Interessen von IBM (soweit zur Geltendmachung, Ausübung oder Verteidigung unserer rechtlichen Ansprüche erforderlich), sowie zur Erfüllung rechtlicher Verpflichtungen (wie etwa bei einer gesetzlichen Pflicht zur Benachrichtigung der Nutzer von smarthealth im Fall der Verletzung des Schutzes personenbezogener Daten) verarbeitet und jeweils nur soweit dies zur Durchführung der rechtlich gebotenen Kommunikation erforderlich ist. Die Daten werden nach vollständiger Abwicklung der Kommunikation wieder gelöscht. Unter keinen Umständen werden diese Daten für andere Zwecke verwendet oder mit Ihren sonstigen Daten, insbesondere etwaigen Gesundheitsdaten, dauerhaft verknüpft.

5.2.4 Erfassung und Analyse von aggregierten Daten über die Nutzung der IBM eGA

IBM erfasst und analysiert ferner anonymisierte Informationen über Art und Umfang der Nutzung von smarthealth (zum Beispiel wann und in welchen Leistungsbereichen Datenobjekte gespeichert, bearbeitet oder gelöscht werden, wie lange und zu welchen Zeiten smarthealth genutzt wird, welche Leistungsbereiche häufig oder weniger häufig genutzt werden).

Die Informationen über das Nutzungsverhalten werden stets nur in anonymisierter und aggregierter Form verarbeitet, ohne dass ein Rückschluss auf Ihre Person oder die Person anderer Nutzer möglich wäre.

Die hiermit verbundene etwaige Verarbeitung erfolgt zur Wahrung der berechtigten Interessen von IBM. Die Informationen werden von IBM auf anonymisierter Basis ausgewertet, um das allgemeine Nutzungsverhalten der Nutzer von smarthealth besser zu verstehen sowie einzelnen Funktionalitäten zu verbessern. Zudem kann IBM die anonymisierten und aggregierten Statistiken und Analysen über das Nutzungsverhalten an die HEK weitergeben.

6. Wo und wie lange werden meine Daten gespeichert?

Ihre Daten werden ausschließlich innerhalb der Bundesrepublik Deutschland auf Servern im Rechenzentrum der SoftLayer Technologies Deutschland GmbH, einem Gruppen-Unternehmen der IBM Corporation, gespeichert und verarbeitet. Ihre Gesundheitsdaten werden hierbei stets verschlüsselt gespeichert (siehe Ziffer 8). Auf ihrem Endgerät werden mit Ausnahme Ihres privaten Schlüssels (zur Verschlüsselung der in smarthealth gespeicherten Inhalte) und Ihres persönlichen Sicherheitsschlüssels (Recovery Key) keine weiteren Daten gespeichert.
Soweit in dieser Datenschutzerklärung nicht anders geregelt, werden Ihre Daten wie folgt aufbewahrt:

• Ihre Zuordnungs- und Referenznummern (technische Referenznummer, ePA Kundennummer) sowie Ihre Krankenkassenzugehörigkeit werden nach Beendigung des Nutzungsvertrages (etwa durch Kündigung des Nutzungsvertrages oder Beendigung Ihres Versicherungsverhältnisses mit der HEK) – zusammen mit Angaben zur Art der Kündigung beziehungsweise der sonstigen Vertragsbeendigung, Datum und Uhrzeit der Kündigung sowie Zeitpunkt des Vertragsendes (Datum, Uhrzeit) – zur Vertragsabwicklung sowie zur Wahrung der berechtigen Interessen von IBM (Sicherung des Nachweises zur Geltendmachung, Ausübung oder Verteidigung unserer rechtlichen Ansprüche) noch für einen Zeitraum von drei Jahren aufbewahrt.
• Ihre in smarthealth gespeicherten Gesundheitsdaten werden nur so lange aufbewahrt, wie ein gültiger Nutzungsvertrag mit Ihnen besteht. Nach Beendigung des Nutzungsvertrags werden die Daten spätestens nach 14 Tagen vollständig und unwiderruflich im Rahmen unserer allgemeinen Löschroutinen gelöscht. Sie können die Gesundheitsdaten jederzeit selbst löschen (siehe hierzu Ziffer 10). Sie haben die Möglichkeit, Ihre Daten bis zur Beendigung des Nutzungsvertrages aus smarthealth in einem gängigen, von IBM bestimmten Standardformat (zum Beispiel im JSON-Format) zu exportieren und auf einem Medium Ihrer Wahl zu speichern.

Voraussetzung dafür ist, dass Ihnen die HEK Service-App zur Nutzung von smarthealth für diesen Zeitraum weiter von der HEK bereitgestellt wird. Hierüber werden Sie im Fall der Beendigung – soweit möglich und angemessen – in smarthealth vorab informiert. Nach Beendigung des Nutzungsvertrages ist ein Export der in der smarthealth gespeicherten Daten nicht mehr möglich.
• Die für Abrechnungszwecke bei der IBM gespeicherten Daten über Ihre Nutzung von smarthealth (siehe Ziffer 5.2(a)) werden nicht länger als 15 Monate gespeichert, es sei denn, dass eine längere Speicherung zur Geltendmachung, Ausübung oder Verteidigung unserer Ansprüche im Zusammenhang mit der Abrechnung mit der HEK erforderlich ist.
• Die von Ihnen zu Nachweiszwecken erfassten Protokolldaten (wie etwa Zeitpunkt und Inhalt erklärter Einwilligungserklärungen) werden – zusammen mit Ihrer ePA Kundennummer und Ihrer technischen Referenznummer – zur Vertragsabwicklung sowie zur Wahrung der berechtigten Interessen von IBM (Sicherung des Nachweises zur Geltendmachung, Ausübung und Verteidigung unserer rechtlichen Ansprüche) nach Beendigung des Nutzungsvertrages noch für einen Zeitraum von drei Jahren aufbewahrt.
• Die zur Fehleranalyse, Gewährleistung der Systemsicherheit sowie Verhinderung von Missbrauch und Aufdeckung und Verfolgung von Straftaten oder Verstößen gegen die Nutzungsbedingungen bei uns gespeicherten Log-Daten (einschließlich Ihrer ePA Kundennummer) und die IP-Adresse Ihres Endgeräts, mit dem Sie smarthealth nutzen, werden jeweils sieben Tage nach der entsprechenden Protokollierung gelöscht, es sei denn, dass innerhalb dieses Zeitraums ein Vorfall entdeckt wurde, der eine weitere Aufklärung, Untersuchung und/oder Verfolgung erfordert.

Sämtliche vorstehend aufgeführten Daten werden nach Ablauf der genannten Zeiträume vollständig gelöscht, es sei denn, dass einer Löschung gesetzliche Aufbewahrungspflichten entgegenstehen oder eine längere Speicherung im konkreten Fall zur Erfüllung unserer rechtlichen Verpflichtungen oder zur Geltendmachung, Ausübung oder Verteidigung unserer Rechtsansprüche erforderlich ist.

7. An wen werden meine Daten weitergegeben?

Ihre Daten werden streng vertraulich behandelt.
Die vertrauliche Behandlung Ihrer Daten ist uns, der Hanseatischen Krankenkasse, ein überragend wichtiges Anliegen. Soweit dies nicht in dieser Datenschutzerklärung ausdrücklich vorgesehen ist, geben wir Ihre Daten daher nicht an Dritte weiter, es sei denn, Sie haben in die Weitergabe ausdrücklich eingewilligt. Zudem kann es sein, dass wir zur Weitergabe Ihrer Daten, einschließlich Ihrer verschlüsselten Gesundheitsdaten, gesetzlich verpflichtet sind. Dies ist zum Beispiel dann der Fall, wenn strafprozessuale Maßnahmen gegen die HEK durch die Gerichte erlassen werden (sofern dies zum Beispiel gemäß § 73 SGB X zur Durchführung eines Strafverfahrens wegen eines Verbrechens oder wegen einer sonstigen Straftat von erheblicher Bedeutung erforderlich ist.).

Wir nutzen ausschließlich mit IBM verbundene Unternehmen der IBM-Gruppe mit Sitz in Deutschland als technische Dienstleister, die uns dabei helfen, die smarthealth inklusive der elektronischen Patientenakte (ePA) bereitzustellen. Hierbei handelt es sich um die SoftLayer Technologies Deutschland GmbH, bei der Ihre Daten gespeichert werden (siehe hierzu etwa Ziffern 6 und 8), sowie die IBM Client Innovation Center Germany GmbH, die uns dabei unterstützt, smarthealth technisch zu betreiben und die Ihnen angebotenen Funktionalitäten und Dienste bereitzustellen. Unter keinen Umständen werden wir Ihre personenbezogenen Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums übermitteln. Unsere Dienstleister werden ausschließlich in unserem Auftrag und gemäß unseren Weisungen tätig und sind verpflichtet, sämtliche notwendigen technischen und organisatorischen Maßnahmen zu ergreifen, um Ihre Daten gemäß den datenschutzrechtlichen Erfordernissen zu schützen. Eine Weitergabe an Dritte oder Verwendung für andere Zwecke ist unseren Dienstleistern nicht gestattet.

Weiterleitung von Daten aus der elektronischen Patientenakte in smarthealth

Wir richten uns nach den Vorgaben der gematik. Die gematic regelt die Anforderungen zur Weiterleitung von Daten (wie Medikationsplan, Dokumente und Daten von Ärzten und Krankenhäusern) aus der Patientenakte.

Zustimmung zur Verarbeitung von Daten in zusätzlichen Funktionalitäten

Sie müssen der Verarbeitung Ihrer Daten ausdrücklich zustimmen. Dies betrifft Umfang, Art und Dauer der Verarbeitung der Daten. Die Zustimmung muss vor der Nutzung einer Zusatzfunktion erfolgen. Diese Zustimmung können Sie jederzeit widerrufen.

8. Wie werden meine Daten geschützt?

Wir behandeln Ihre Daten vertraulich. IBM hat geeignete technische und organisatorische Sicherheitsmaßnahmen implementiert, um Ihre Daten vor unbefugter Weitergabe oder Offenlegung, unbefugtem Zugriff, unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust oder Veränderung, oder sonstigem Missbrauch zu schützen.

Ihre Daten werden in einem mehrfach zertifizierten und sicheren Rechenzentrum in Deutschland in einem IBM ePA Bereich gespeichert und verarbeitet. Das Rechenzentrum wird durch die SoftLayer Technologies Deutschland GmbH, einem Gruppenunternehmen der IBM Corporation, im Auftrag von IBM betrieben. Mit Ausnahme Ihrer technischen Referenznummer, eGA Kundennummer und der Krankenkassenzugehörigkeit werden sämtliche Daten, die Sie in die IBM ePA manuell eingeben oder von Dritten in die IBM ePA übertragen lassen, ausschließlich verschlüsselt gespeichert. Die Verschlüsselung erfolgt durch Ihren privaten Schlüssel, der im Rahmen Ihrer Registrierung für die IBM ePA generiert und auf Ihrem Endgerät gespeichert wird. IBM hat keinen Zugriff auf Ihren privaten Schlüssel, so dass Ihre in der IBM ePA verschlüsselt gespeicherten Daten, alleine von Ihnen (über die Nutzung Ihres privaten Schlüssels) in lesbarer Form eingesehen werden können.
Die eingesetzten Verschlüsselungsmechanismen orientieren sich an aktuellen und zukünftigen Verfahren und Vorgaben des BSI. IBM kann die in der IBM ePA gespeicherten Daten nicht einsehen. Eine Ausnahme besteht nur dann, wenn Sie die Funktionalitäten zu Impf- und Vorsorgehinweisen oder den Medikationsplan nutzen, bei denen technisch bedingt einzelne (wenige) Daten (Geschlecht, Geburtsdatum, Impfungen) für IBM kurzfristig einsehbar sind, um Ihnen den jeweiligen Dienst zur Verfügung zu stellen. Anschließend werden die Daten stets sofort wieder gelöscht. Weitere Informationen entnehmen Sie bitte unseren FAQs.

Der Betrieb der IBM eGA erfolgt mit sehr genauen und kontrollierten Verantwortungsbereichen und Zugriffsrechten von geschultem Personal aus Deutschland und Europa heraus. Die Aktivitäten des Personals werden überwacht und protokolliert.

9. Wie kann diese Datenschutzerklärung geändert werden

Die HEK behält sich vor, diese Datenschutzerklärung zu ändern. Sie werden über einen entsprechenden Hinweis in smarthealth rechtzeitig informiert, sofern wir Anpassungen oder Ergänzungen an dieser Datenschutzerklärung vornehmen. Zudem können Sie die aktuelle Fassung dieser Datenschutzerklärung jederzeit in smarthealth (unter Einstellungen --> Informationen --> Datenschutz) abrufen.

10. Welche Rechte habe ich?

Gemäß den gesetzlichen Bestimmungen zum Datenschutz haben Sie jederzeit das Recht:

10.1 Recht auf Auskunft

Sie haben das Recht, Auskunft über die von uns verarbeiteten Daten sowie eine Kopie dieser Daten zu verlangen. Zum Recht auf Auskunft nutzen Sie bitte folgende Funktion in smarthealth: Einstellungen -> Informationen -> Recht auf Auskunft.

10.2 Recht auf Berichtigung

Sie haben das Recht, die Berichtigung unrichtiger Daten und, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger Daten zu verlangen.
Hinweis: Die Berichtigung der von Ihnen manuell eingegebenen Daten können Sie jederzeit selbst in smarthealth vornehmen. Die Berichtigung der von der HEK importierten Gesundheitsdaten können Sie unmittelbar nur beim jeweiligen Leistungserbringer vornehmen lassen. Diese technische Vorgabe ist erforderlich, um die Authentizität, Vollständigkeit und Verlässlichkeit der von der HEK importierten Gesundheitsdaten sicherzustellen. Wenden Sie sich daher bitte an den Leistungserbringer, von dem die zu berichtigenden Daten stammen. Sobald dieser die berichtigten Daten an die HEK übermittelt hat, werden die Daten bei der nächsten automatischen Aktualisierung (soweit dieser Service bei Ihnen zu diesem Zeitpunkt aktiviert ist) auch in smarthealth berichtigt (hierzu Ziffer 5.1.2).

10.3 Recht auf Löschung

Sie haben das Recht, bei Vorliegen berechtigter Gründe die Löschung Ihrer Daten zu verlangen.

Hinweis: Die Löschung der von Ihnen manuell eingegebenen Daten können Sie selbst in smarthealth vornehmen. Die Löschung der von der HEK importierten Gesundheitsdaten können Sie jederzeit selbst in den jeweiligen Leistungsbereichen vornehmen, in die die Gesundheitsdaten importiert wurden (hierzu weiter im Detail Ziffer 5.1.2). Zur Löschung sämtlicher von Ihnen gespeicherter Daten nutzen Sie bitte die Funktionalitäten in smarthealth zur Kündigung des Nutzungsvertrages mit der HEK (unter: Einstellungen -> Vertrag -> "Zur Kündigung").

10.4 Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, sofern die gesetzlichen Voraussetzungen gegeben sind.

10.5 Recht auf Datenübertragbarkeit

Sie haben das Recht, bei Vorliegen der gesetzlichen Voraussetzungen die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten an einen anderen Verantwortlichen zu übermitteln oder, soweit dies technisch machbar ist, durch IBM übermitteln zu lassen.

Hinweis: Zum Export Ihrer Daten nutzen Sie bitte die folgende Funktion in smarthealth (unter: Einstellungen -> Datenexport). Diese Funktion ermöglicht den Datenexport sämtlicher zu Ihrer Person gespeicherter Daten in einem gängigen von IBM bestimmten Standardformat (zum Beispiel im JSON-Format) sowie den Datenexport der Texte etwaiger von Ihnen erklärter Einwilligungserklärungen. Sie sind nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen, sofern die gesetzlichen Voraussetzungen hierfür nicht vorliegen. Eine automatisierte Entscheidungsfindung wird von IBM gegenwärtig nicht durchgeführt.

10.6 Widerspruchsrecht

Sie haben das Recht, der Verarbeitung Ihrer Daten, die zur Wahrung der berechtigten Interessen von IBM erfolgt, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, nach Maßgabe der gesetzlichen Bestimmungen zu widersprechen.

Darüber hinaus sind Sie berechtigt, etwaige von Ihnen im Rahmen der Registrierung oder Nutzung von smarthealth erteilten Einwilligungserklärungen jederzeit zu widerrufen, ohne dass hierdurch die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt würde.

Bitte beachten Sie die jeweiligen Besonderheiten, die im Zusammenhang mit der Darstellung der jeweiligen Einwilligungserklärungen erläutert werden (siehe Ziffer 5.1(d)). Insbesondere kann es sein, dass Sie smarthealth in bestimmten Fällen nach einem Widerruf nicht mehr nutzen können, da die Verarbeitung der von dem Widerruf betroffenen Daten zwingende Voraussetzung für die Bereitstellung von smarthealth ist.

Sofern Sie in diesen Fällen dennoch von Ihrer Möglichkeit zum Widerruf der Einwilligungserklärung Gebrauch machen möchten, nutzen Sie bitte folgende vorgesehenen Funktion zur Kündigung (unter: Einstellungen -> Vertrag -> "Zur Kündigung").

Zur Ausübung Ihrer Rechte nutzen Sie bitte die in smarthealth vorgesehenen Funktionalitäten. Da IBM keinen Zugriff auf etwaige Identifikationsmerkmale von Ihnen hat, ist IBM bei Kontaktaufnahme auf anderem Wege eine Überprüfung der Berechtigung und eine Zuordnung zu den in smarthealth gespeicherten Daten in der Regel nicht möglich. Auch kann IBM Ihre in smarthealth gespeicherten Gesundheitsdaten nicht einsehen.

Bei Fragen können Sie sich jederzeit an die HEK unter den nachfolgend aufgeführten Kontaktdaten wenden. Zudem haben Sie unbeschadet sonstiger Rechtsbehelfe jederzeit das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.

11. Welche Informationen zu der elektronischen Patientenakte (ePA) müssen mir von meiner Krankenkasse zur Verfügung gestellt werden?

Wir möchte Sie mit allen wichtigen Informationen versorgen, damit Sie ein eigenes und abgewogenes Urteil zu der elektronischen Patientenakte treffen können und damit die elektronische Patientenakte für Sie ein echter Mehrwert ist.

Deshalb erhalten Sie von uns noch einmal kompakt alle zentralen und wichtigen Informationen in diesem Abschnitt, damit die elektronische Patientenakte (ePA) für Sie völlig transparent und verständlich ist. Damit erfüllen wir gern und umfassend unsere Informationspflichten (aus § 343 SGB V, Sozialgesetzbuch Fünftes Buch), die wir als Krankenkasse Ihnen gegenüber als Nutzer_in der elektronischen Patientenakte haben:

Informationen zu den datenschutzrechtlich Verantwortlichen

Datenschutzrechtlich verantwortlich ist die
HEK - Hanseatische Krankenkasse,
Wandsbeker Zollstraße 86-90, 22041 Hamburg
Telefon: 0800 0213213 (kostenfrei)
Fax: 040 65696-1237
E-Mail: datenschutz@hek.de.

Information über den Anbieter der elektronischen Patientenakte

Anbieter der von der Hanseatischen Krankenkasse zur Verfügung gestellten elektronischen Patientenakte ist die IBM Deutschland GmbH.

Informationen über die Funktionsweise der elektronischen Patientenakte

In dieser Datenschutzerklärung haben wir Sie in den Abschnitten 4. und 5. umfassend über die Funktionsweise der elektronischen Patientenakte informiert.

Informationen über die Art der Daten, die in der elektronischen Patientenakte verarbeitet werden

In dieser Datenschutzerklärung haben wir Sie in dem Abschnitt 5. umfassend über die Art der Daten in Ihrer elektronischen Patientenakte informiert.

Dabei handelt es sich um Gesundheitsdaten (zum Beispiel Diagnosen, Daten zu Befunden, Therapiemaßnahmen) und sonstige Daten.
Wichtige Gesundheitsdaten, die Sie in der elektronischen Patientenakte speichern können, sind insbesondere (vergleich § 341 Absatz 2 SGB V):


• Daten zu Befunden
• Diagnosen
• durchgeführte und geplante Therapiemaßnahmen
• Früherkennungsuntersuchungen
• Behandlungsberichte
• sonstige medizinische Informationen der Behandlung
• elektronischer Medikationsplan
• elektronische Notfalldaten
• elektronische Arztbriefe
• regelmäßige Inanspruchnahme zahnärztlicher Vorsorgeuntersuchungen
• elektronisches Untersuchungsheft für Kinder (zur Früherkennung von Krankheiten)
• elektronischer Mutterpass
• elektronische Impfdokumentation
• Gesundheitsdaten, welche Sie selbst zur Verfügung gestellt haben
• Ihre Daten aus der elektronischen Gesundheitsakte (also Daten aus smarthealth vor dem 1.1.2021)
• Daten der HEK über die von Ihnen in Anspruch genommenen Leistungen
• Daten zu Ihrer pflegerischen Versorgung
• Daten elektronischer Verordnungen
• Arbeitsunfähigkeitsbescheinigungen
• sonstige von den Leistungserbringern (zum Beispiel Ärzte, Zahnärzte, Apotheker, Gesundheits- und Krankenpfleger, Hebammen) für Sie bereitgestellte Daten

Der Gesetzgeber hat sämtliche Gesundheitsdaten in § 341 SGB V aufgeführt.
Einen Überblick über sämtliche Daten der elektronischen Patientenakte können Sie sich anhand des Gesetzestextes des § 341 SGB V verschaffen.

Information über die Freiwilligkeit der Einrichtung der elektronischen Patientenakte

Die Einrichtung Ihrer elektronischen Patientenakte (ePA) ist ausdrücklich freiwillig und kostenfrei.

Information über das Recht auf teilweise oder vollständige Löschung der Elektronischen Patientenakte (ePA)

Sie haben das Recht auf jederzeitige teilweise oder vollständige Löschung Ihrer elektronischen Patientenakte (ePA).

Information über das Erfordernis Ihrer vorherigen Einwilligung in die Datenverarbeitung in der elektronischen Patientenakte gegenüber der Hanseatischen Krankenkasse, IBM Deutschland GmbH und Leistungserbringern (zum Beispiel Ärzten, Zahnärzten, Apothekern)

Ihre vorherige Einwilligung ist erforderlich, damit Ihre Krankenkasse, die Hanseatische Krankenkasse, Daten in Ihre elektronische Patientenakte (ePA) einspeisen kann oder Daten aus Ihrer elektronischen Patientenakte (ePA) nutzen kann.
Dasselbe gilt für Leistungserbringer (zum Beispiel Ärzte, Zahnärzte, Apotheker, Psychotherapeuten, Pflegefachfrauen usw.) im Gesundheitswesen und den Anbieter der elektronischen Patientenakte (ePA) (IBM Deutschland GmbH).
Ihre vorherige Einwilligung ist erforderlich, damit die Leistungserbringer (zum Beispiel Ärzte) und Anbieter (IBM Deutschland GmbH) Daten (zum Beispiel Arztbriefe oder Rezepte) in Ihre elektronische Patientenakte (ePA) einspeisen können.
An diese einmal erteilte Einwilligung (gegenüber zum Beispiel Ärzten, Apothekern) sind Sie nicht gebunden. Sie haben jederzeit die Möglichkeit des Widerrufs Ihrer vorher erteilten Einwilligung.

Information über die erforderliche Datenverarbeitung durch die Hanseatische Krankenkasse und die Anbieter (unter anderem IBM Deutschland GmbH)

Über die für den Zweck der Einrichtung der elektronischen Patientenakte erforderliche Datenverarbeitung (gemäß § 344 Abs. 1 SGB V) durch die Hanseatische Krankenkasse und die Anbieter (unter anderem IBM Deutschland GmbH) haben wir Sie in dem Abschnitt 4. dieser Datenschutzerklärung der HEK umfassend informiert.

Information über Ihren Anspruch auf selbstständige Speicherung und Löschung von Daten in der elektronischen Patientenakte

Sie haben als Versicherter das Recht auf selbstständige Verarbeitung von Daten. Das heißt, Sie sind berechtigt, Daten in der elektronischen Patientenakte auszulesen und zu übermitteln. Sie können also zum Beispiel ein Rezept Ihres Arztes in die elektronische Patientenakte einstellen und dieses Rezept an Ihren Apotheker übermitteln, das heißt dem Apotheker eine Zugriffsberechtigung einräumen, § 337 SGB V.
Sie sind berechtigt, Daten in der elektronischen Patientenakte eigenständig zu löschen, § 337 Abs. 2 SGB V.

Information über Ihr Recht, Zugriffsberechtigungen auf Daten in der elektronischen Patientenakte zu erteilen

Sie sind berechtigt, Leistungserbringern (zum Beispiel Ärzten, Zahnärzten, Apothekern) Zugriffsberechtigungen auf Daten in der elektronischen Patientenakte einzuräumen, § 337 Abs. 3 SGB V.
Information über den mangelnden Zugriff der Krankenkassen auf die in der elektronischen Patientenakte gespeicherten Daten
Die Krankenkassen haben keinen Zugriff auf die in der elektronischen Patientenakte gespeicherten Daten.

Information über Ihren Anspruch auf Übertragung von bei der Hanseatischen Krankenkasse gespeicherten Daten in die elektronische Patientenakte (ab dem 1. Januar 2022), § 350 SGB V

Sie als Versicherter haben ab dem 1. Januar 2022 einen Anspruch darauf, dass Ihre Krankenkasse Ihre Daten über die bei ihr in Anspruch genommenen Leistungen in Ihre elektronische Patientenakte übermittelt. Die Übermittlung der Daten erfolgt über den Anbieter der elektronischen Patientenakte (IBM Deutschland GmbH).
Voraussetzung für die Übermittlung Ihrer Daten ist allerdings Ihr Antrag. Ohne Ihren Antrag ist die Übermittlung von bei der Krankenkasse gespeicherten Daten in Ihre elektronische Patientenakte unzulässig.

Information über Ihren Anspruch auf Übertragung von Behandlungsdaten und elektronischen Arztbriefen in die elektronische Patientenakte durch Leistungserbringer (zum Beispiel Ärzte)

Gemäß § 347 SGB V haben Sie einen Anspruch auf Übermittlung von Daten in Ihre elektronische Patientenakte und die dortige Speicherung durch die Leistungserbringer (zum Beispiel Ärzte, Apotheker).
Voraussetzung ist insoweit allerdings, dass der Leistungserbringer (zum Beispiel der Arzt) an der elektronischen Verarbeitung von Daten in die elektronische Patientenakte überhaupt teilnimmt.
Denselben Anspruch haben Sie gegenüber Krankenhäusern und bezogen auf elektronische Arztbriefe, § 348 SGB V und § 349 SGB V. Die Leistungserbringer (zum Beispiel Ärzte) in den zugelassenen Krankenhäusern müssen auf Verlangen des Versicherten Ihre Behandlungsdaten in die elektronische Patientenakte übermitteln und dort speichern.
Sie haben auch einen Anspruch darauf, dass Ihre Arztbriefe in Ihrer elektronischen Patientenakte gespeichert werden.

Information über Ihren Anspruch auf Übertragung von Daten aus der elektronischen Gesundheitsakte in die elektronische Patientenakte

Vom 1. Januar 2022 an haben Sie einen rechtlichen Anspruch darauf, durch Ihren Antrag Ihre bisher in der elektronischen Gesundheitsakte gespeicherten Daten in die elektronische Patientenakte zu übermitteln und dort speichern zu lassen, § 351 SGB V. Diese Übertragung von Daten aus der elektronischen Gesundheitsakte in die elektronische Patientenakte hat die Hanseatische Krankenkasse auf Ihren Antrag hin sicherzustellen.

Informationen über die Voraussetzungen für den Zugriff von Leistungserbringern (zum Beispiel Ärzte, Zahnärzte, Apotheker, Psychotherapeuten, Pflegefachfrauen, Hebammen/Geburtshelfer) auf Daten in der elektronischen Patientenakte nach § 352 SGB V und die Verarbeitung dieser Daten durch den Leistungserbringer (zum Beispiel Ärzte).

Auf Ihre Daten in der elektronischen Patientenakte dürfen die Leistungserbringer (zum Beispiel Ärzte), die in § 352 SGB V gesetzlich abschließend genannt sind (zum Beispiel Ärzte, Zahnärzte, Apotheker, Psychotherapeuten, Gesundheits- und Krankenpfleger, Hebammen/Geburtshelfer), nur zugreifen, wenn Sie als Versicherter Ihre Einwilligung dazu (in der elektronischen Patientenakte durch technische Zugriffsfreigabe, vergleiche § 339 SGB V) erteilt haben.
Sie bestimmen also durch Ihre Einwilligung in jedem einzelnen Fall, welcher Arzt, welcher Zahnarzt, welcher Apotheker etc. auf Ihre Gesundheitsdaten in der elektronischen Patientenakte zugreifen darf. Wenn Sie also keine Einwilligung in der elektronischen Patientenakte erteilen, erhält zum Beispiel Ihr behandelnder Arzt keine technische Möglichkeit, auf Ihre Gesundheitsdaten in der elektronischen Patientenakte zuzugreifen.
Grundsätzlich sind die Leistungserbringer (zum Beispiel Ärzte, Zahnärzte, Apotheker, Psychotherapeuten) gesetzlich nur befugt, auf Ihre Daten in der elektronischen Patientenakte zu zugreifen, soweit dies für Ihre Versorgung, also für die Versorgung des Versicherten, erforderlich ist (dies bestimmt § 352 SGB V).
Auf die Daten in der elektronischen Patientenakte (nach § 341 Abs. 1 S. 1 SGB V) dürfen mit Einwilligung des Versicherten nach § 339 SGB V ausschließlich folgende Personen zugreifen, welche in § 352 SGB V abschließend aufgezählt sind (§ 352 SGB V):
1. Ärzte (außer Ärzte bei einer Behörde des öffentlichen Gesundheitsdienstes), die zur Versorgung der Versicherten in deren Behandlung eingebunden sind, soweit dies für die Versorgung der Versicherten erforderlich ist (§ 352 SGB V).
2. Die berufsmäßigen Gehilfen des Arztes (oder dessen Auszubildenden), zudem die berufsmäßigen Gehilfen (oder dessen Auszubildenden) in einem Krankenhaus oder in einer Vorsorge- oder Rehabilitationseinrichtung. Allerdings muss deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich sein und muss unter Aufsicht eines Arztes erfolgen (§ 352 SGB V).
3. Zahnärzte, die zur Versorgung der Versicherten in deren Behandlung eingebunden sind, soweit dies für die Versorgung der Versicherten erforderlich ist.
4. Die berufsmäßigen Gehilfen des Zahnarztes (oder dessen Auszubildenden), zudem die berufsmäßigen Gehilfen (oder dessen Auszubildenden) in einem Krankenhaus oder in einer Vorsorge- oder Rehabilitationseinrichtung. Allerdings muss deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich sein und muss unter Aufsicht eines Zahnarztes erfolgen (§ 352 SGB V).
5. Apotheker, soweit dies für die Versorgung der Versicherten erforderlich ist (§ 352 SGB V).
6. Pharmazeutisches Personal der Apotheke, soweit dies im Rahmen der von Ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist. Der Zugriff auf Ihre Daten darf dabei nur unter der Aufsicht eines Apothekers erfolgen, soweit nach apothekenrechtlichen Vorschriften eine Beaufsichtigung der mit dem Zugriff verbundenen pharmazeutischen Tätigkeiten vorgeschrieben ist (§ 352 SGB V).
7. Psychotherapeuten, die in die Behandlung des Versicherten eingebunden sind, soweit dies für die Versorgung der Versicherten erforderlich ist (§ 352 SGB V).
8. die berufsmäßigen Gehilfen (beziehungsweise die Auszubildenden) der Psychotherapeuten, eines Krankenhauses oder in einer Vorsorge- oder Rehabilitationseinrichtung, deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist. Der Zugriff darf nur unter Aufsicht eines Psychotherapeuten erfolgen (§ 352 SGB V).
9. Gesundheits- und Krankenpfleger sowie Gesundheits-, und Kinderkrankenpfleger, die in die medizinische oder pflegerische Versorgung der Versicherten eingebunden sind, soweit dies für die Versorgung der Versicherten erforderlich ist (§ 352 SGB V).
10. Altenpfleger, die in die medizinische oder pflegerische Versorgung der Versicherten eingebunden sind, soweit dies für die Versorgung der Versicherten erforderlich ist (§ 352 SGB V).
11. Pflegefachfrauen und Pflegefachmänner, die in die medizinische pflegerische Versorgung der Versicherten eingebunden sind, soweit dies für die Versorgung der Versicherten erforderlich ist.
12. Pflegepersonal, soweit deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und unter Aufsicht einer Pflegefachfrau bzw. Pflegefachmanns erfolgt (§ 352 SGB V).
13. Hebammen, die zur Leistungserbringung zugelassen sind oder als Angestellte tätig sind und in die Versorgung der Versicherten eingebunden sind, soweit dies für die Versorgung des Versicherten erforderlich ist (§ 352 SGB V).
14. Physiotherapeuten, die zur Leistungserbringung zugelassen sind und zur Versorgung des Versicherten in die Behandlung eingebunden sind, soweit dies für die Versorgung des Versicherten erforderlich ist (§ 352 SGB V).
15. die Gehilfen (und Auszubildenden) des Physiotherapeuten (auch in einem Krankenhaus), deren Zugriff auf Daten im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist unter Aufsicht eines Physiotherapeuten (§ 352 SGB V).
16. Ärzte einer Behörde eines öffentlichen Gesundheitsdienstes, soweit diese Datenverarbeitung erforderlich ist für die Erfüllung von Aufgaben, die der für den öffentlichen Gesundheitsdienst zuständigen Behörde nach dem Infektionsschutzgesetz zugewiesen sind (§ 352 SGB V).
17. nichtärztliche Behördenangehörige einer Behörde des öffentlichen Gesundheitsdienstes im Rahmen ihrer zulässigen Tätigkeit unter Aufsicht eines Arztes derselben Behörde für Zwecke des Infektionsschutzgesetzes (§ 352 SGB V).
18. Fachärzte für Arbeitsmedizin und Ärzte, die über die Zusatzbezeichnung "Betriebsmedizin" verfügen, die nicht in die Versorgung von Patienten eingebunden sind (§ 352 SGB V).
Abschließend noch einmal zur Beruhigung: Alle genannten Leistungserbringer, von den Ärzten bis zu den Hebammen, erhalten nur eine Zugriffsberechtigung auf Ihre Gesundheitsdaten in der elektronischen Patientenakte, wenn Sie ihnen vorher eine Einwilligung erteilen.

Diese Einwilligung kann nur in Ihrer elektronischen Patientenakte erfolgen. Diese Einwilligung erfolgt durch Ihre Handlung durch technische Zugriffsfreigabe, vergleiche § 339 Abs. 1 SGB V.
Der Gesetzgeber hat durch die gesetzliche Regelung in § 339 Abs. 1 SGB V festgelegt, dass Ihre Einwilligung durch eindeutige bestätigende Handlung durch technische Zugriffsfreigabe in der elektronischen Patientenakte erforderlich ist, damit der Leistungserbringer (zum Beispiel Ihr Arzt) Zugriff auf Ihre elektronischen Gesundheitsdaten in der elektronischen Patientenakte erhält.

Information über die Möglichkeit der Einwilligung in die konkrete Datenverarbeitung beim Leistungserbringer (zum Beispiel bei Ihrem Arzt)

Sie haben die Möglichkeit, direkt vor Ort bei Ihrem Leistungserbringer (zum Beispiel in der Arztpraxis),
dem jeweiligen Leistungserbringer (zum Beispiel Ihrem Arzt), den Zugriff auf Ihre elektronischen Gesundheitsdaten, also auf Ihre elektronische Patientenakte einzuräumen.

Achtung! Sehr wichtig: Vor dem 1. Januar 2022 haben Sie keine Möglichkeit, Ihre Einwilligung gegenüber Ihrem Leistungserbringer (also zum Beispiel Ihrem Arzt) auf spezifische Dokumente oder Datensätze zu beschränken. Dies hat der Gesetzgeber so festgelegt, vergleiche § 342 Abs. 2 Nr. 2, § 343 Abs. 1 Nr. 12 SGB V.

Sie können den Zugriff auch nicht auf Gruppen von Dokumenten oder Gruppen von Datensätzen der elektronischen Patientenakte beschränken. Diese Regelung liegt nicht im Ermessen der Hanseatischen Krankenkasse, dies bestimmt der Gesetzgeber.
Es gilt also das Alles-oder-Nichts-Prinzip:
Entweder Ihr Leistungserbringer (zum Beispiel Ihr Arzt) hat Zugriff auf Ihre gesamte elektronische Patientenakte oder er hat keinen Zugriff auf Ihre elektronische Patientenakte. Einzelne Dokumente, wie zum Beispiel einzelne Rezepte oder einzelne Arztbriefe, können Sie ihm nicht gesondert zugänglich machen (bis zum 1. Januar 2022). So die gesetzliche Regelung.
Wenn Sie nicht wollen, dass Ihr Arzt alle Ihre Gesundheitsdaten in der elektronischen Patientenakte einsehen kann, dürfen Sie ihm keine Freigabe für Ihre elektronische Patientenakte erteilen.
Dies hat der Gesetzgeber in § 342 Abs. 2 Nr. 2 SGB V und in § 343 Abs. 1 Nr. 12, 13 SGB V festgelegt.

Information über das Angebot von zusätzlichen Anwendungen der elektronischen Patientenakte

Mit unserem Online-Angebot smarthealth bieten wir Ihnen nicht nur die elektronische Patientenakte, sondern auch individuelle HEK Services.
Sie stellen der Hanseatischen Krankenkasse damit Daten aus der elektronischen Patientenakte zum Zweck der Nutzung zusätzlicher von der Hanseatischen Krankenkasse angebotenen Service-Anwendungen zur Verfügung. Die Krankenkasse darf die Daten aus der elektronischen Patientenakte zu diesem Zweck verarbeiten, dies erlaubt der Gesetzgeber in § 345 Abs. 1 SGB V.

Information über die sichere Nutzung der elektronischen Patientenakte durch geeignete Endgeräte

Die Nutzung der elektronischen Patientenakte für Sie ist sicher, wenn Sie geeignete Endgeräte benutzen.

Geeignete Endgeräte sind: Smartphone, Tablet
Geeignete Betriebssysteme sind: iOS, Android

Information über die Möglichkeit (und die Voraussetzungen), Ihre Gesundheitsdaten der elektronischen Patientenakte freiwillig für Forschungszwecke freizugeben

Sie haben die Möglichkeit, Ihre in der elektronischen Patientenakte gespeicherten Gesundheitsdaten zu Forschungszwecken zur Verfügung zu stellen.
Die Freigabe erfolgt nur, wenn Sie Ihre informierte Einwilligung erklären. Das bedeutet, Sie müssen umfassend über die Möglichkeiten der Freigabe Ihrer Gesundheitsdaten zu Forschungszwecken aufgeklärt sein, bevor Sie einwilligen.
Sie können den Umfang der Datenfreigabe frei wählen und auf bestimmte Kategorien oder auf Gruppen von Dokumenten und Datensätze oder auf spezifische Dokumente und Datensätze beschränken.
Die Freigabe wird in der elektronischen Patientenakte dokumentiert.
Die Übermittlung der freigegebenen Daten erfolgt an das Forschungsdatenzentrum gemäß § 303 d SGB V.

Information über Ihre Rechte gegenüber der Hanseatischen Krankenkasse als dem für die Datenverarbeitung Verantwortlichen nach der Datenschutz-Grundverordnung.

Über Ihre Rechte nach der Datenschutz-Grundverordnung informieren wir Sie umfassend durch die "Informationen der HEK zur Datenschutz-Grundverordnung". Diese finden Sie unter www.hek.de.

12. Ergänzende Informationen zur Nutzung der ePA über die Endgeräte bei Leistungserbringern.

Zusätzlich zu den Möglichkeiten der Registrierung und Nutzung der ePA gelten die nachfolgenden ergänzenden Bestimmungen für die Registrierung und Nutzung der ePA über die Endgeräte bei den Leistungserbringern.

12.1 Registrierung und Aktivierung Ihres ePA-Kontos

Um sich für die ePA registrieren zu können, ist es erforderlich, dass Sie diese Datenschutzerklärung lesen und einwilligen. Ihre Einwilligung zur Datenschutzerklärung wird von der HEK gespeichert. Bei Beendigung der ePA-Nutzung wird diese Information gelöscht.

Nach Ihrer Einwilligung wird Ihre Krankenversichertennummer zur Anlage der ePA an IBM übermittelt: Die Krankenversichertennummer zeigt die Krankenkassenzugehörigkeit eines Nutzers und wird für die Anlage der Patientenakte als Identifizierungsmerkmal benötigt. Sie wird im Rahmen einer Transportverschlüsselung übermittelt und IBM kann auf diese Daten nicht zugreifen.

Daten können erst angefordert werden, wenn Sie die Registrierung abgeschlossen und Ihr Zugang zur ePA freigeschaltet wurde. So wird sichergestellt, dass alle übertragenen Daten in Ihrer ePA verschlüsselt gespeichert werden. Da nur Sie Zugriff auf Ihre elektronische Gesundheitskarte sowie die dazugehörige PIN haben, können nur Sie Ihre Gesundheitsdaten einsehen und verwalten.

Um Ihre ePA zu aktivieren, ist es zwingend erforderlich, dass Sie sich erstmals innerhalb von 12 Monaten nachdem wir Ihnen die Anlage Ihrer ePA bestätigt haben, in Ihre ePA per HEK-App in smarthealth oder per Endgerät beim Leistungserbringer einloggen. Erfolgt dies nicht, ist eine erneute Registrierung der Akte erforderlich.

12.2 Login-Verfahren

Um sich über das Endgerät bei Ihrem Arzt einzuloggen, benötigen Sie Ihre Gesundheitskarte sowie die dazugehörige PIN. Sofern Sie bisher noch keine PIN hatten, erhalten Sie diese in einem separaten Brief von der HEK nach der Registrierung für die ePA.

12.3 Möglichkeiten in der Anwendung

In die Akte können Sie alle von der gematik vorgegebenen Dokumenttypen einstellen. Wenn Sie Dokumente in die ePA hochladen, haben Sie diese zum Beispiel im Gespräch mit Ihrem Arzt direkt verfügbar.

Folgende Informationen können zum Beispiel in der ePA gespeichert werden:

• Arztbriefe und Krankenhausentlassungsberichte
• Befunde (u.a. Allergologie- und Laborbefunde)
• Diagnosen
• Fotodokumentationen
• Patienteninformationen
• Pflegedokumentationen
• Schwangerschafts- und Geburtsdokumentationen
• Therapiedokumentationen

Sie haben im Rahmen des Zugriffs auf die ePA über die Endgeräte bei den Leistungserbringern nicht die Möglichkeit der Nutzung der kassenindividuellen ePA-Zusatzfunktionen. Auch besteht im Rahmen der Nutzung der Endgeräte der Leistungserbringer nicht die Möglichkeit die Einwilligung auf Datenzugriff für Leistungserbringer auf spezifische Dokumente und Datensätze zu beschränken.

13. Wie kann ich die HEK kontaktieren?

Bei Fragen zur Verarbeitung personenbezogener Daten durch die HEK und IBM im Zusammenhang mit der Bereitstellung von smarthealth können Sie sich jederzeit an die HEK unter den nachfolgend aufgeführten Kontaktdaten wenden. Bitte nutzen Sie - soweit technisch im Rahmen der Bereitstellung des jeweiligen Funktionsumfangs möglich - jedoch zur Ausübung Ihrer gesetzlichen Rechte (siehe Ziffer 10) die in smarthealth vorgesehenen Funktionalitäten.

Ihr Recht auf Mitteilungspflicht

Die HEK teilt allen Empfängern, denen Ihre personenbezogenen Daten rechtskonform offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 und Artikel 18 EU-DSGVO mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand für die HEK verbunden. Wir informieren Sie über die Empfänger, sofern Sie diese Information wünschen.

Ihr Beschwerderecht bei der Aufsichtsbehörde

Sollten Sie mit der Datenverarbeitung der HEK nicht zufrieden sein, haben Sie das Recht sich bei der zuständigen Aufsichtsbehörde zu beschweren. Folgende Aufsichtsbehörde ist zuständig: Bundesdatenschutzbeauftragter für den Datenschutz und die Informationsfreiheit, Husarenstraße 30, 53117 Bonn.

Keine automatisierte Einzelfallentscheidung

Ausschließlich automatisierte Einzelfallentscheidungen gemäß Artikel 22 EU-DSGVO finden bei der HEK nicht statt.

Verantwortliche Stelle

Hanseatische Krankenkasse
Wandsbeker Zollstraße 86-90
22041 Hamburg
Telefon: 0800 0213213 (kostenfrei)
E-Mail: kontakt@hek.de

Datenschutzbeauftragter der HEK

Hanseatische Krankenkasse
Datenschutzbeauftragter
Wandsbeker Zollstraße 86-90
22041 Hamburg
E-Mail: datenschutz@hek.de

Keine Datenübermittlung in Drittstaaten

Es findet keine Datenübermittlung an Drittstaaten statt.

Weitere Informationen zu den Betroffenenrechten

Alle von uns erhobenen Daten unterliegen einem besonderen Schutz, dem Sozialdatenschutz nach dem Sozialgesetzbuch (SGB), dem Bundesdatenschutzgesetz (BDSG) und insbesondere der Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO). Wir erheben, verarbeiten und verwenden Ihre personenbezogenen Daten ausschließlich im Rahmen dieser Bestimmungen.
Ausführliche Informationen dazu finden Sie auf unserer Internetseite www.hek.de/betroffenenrechte/

Stand: 1. Januar 2021