Softbrik KI für Digital Gesundheit

Datenschutzerklärung

Die für das Forschungsprojekt „Telemedizin und Acne inversa – TeleVersa” (im Folgenden „Forschungsprojekt”) unter Ziffer 1 aufgeführten Verantwortlichen (im Folgenden „Verantwortliche”) legen großen Wert auf den Datenschutz. Daher erheben und verarbeiten die Verantwortlichen Ihre personenbezogenen Daten ausschließlich in Übereinstimmung mit den einschlägigen gesetzlichen Bestimmungen, insbesondere der EU-Datenschutzgrundverordnung (DSGVO). Diese Datenschutzerklärung beschreibt, welche Arten von personenbezogenen Daten von Ihnen im Rahmen und im Zusammenhang mit dem Forschungsprojekt verarbeitet werden.

Neben der in dieser Datenschutzerklärung beschriebenen Datenverarbeitung durch die Verantwortlichen erfolgt ebenfalls eine eigenständige Erhebung und Verarbeitung Ihrer personenbezogenen Daten (einschließlich Gesundheitsdaten) durch die ADA Health GmbH, Karl-Liebknecht-Str. 1, D-10178 Berlin, Telefon +493040367390, E-Mail legal_ext@ada.com (im Folgenden „ADA Health”). Dies betrifft die Symptomanalyse über das von ADA Health bereitgestellte und betriebene Symptomanalyse Tool. Diese Datenverarbeitung durch ADA Health ist Gegenstand einer gesonderten, zusätzlichen Einwilligung von Ihnen gegenüber ADA Health auf Grundlage der Datenschutzrichtlinie (https://ada.com/de/privacy-policy/raw/) und der Allgemeinen Geschäftsbedingungen von ADA Health (https://ada.com/de/terms-and-conditions/raw/).

1. Die in dieser Datenschutzerklärung beschriebenen Abläufe und Datenverarbeitungen beziehen sich ausschließlich auf Ihre personenbezogenen Daten (einschließlich Gesundheitsdaten) aus den Fragebögen (Patient*innen- und Ärzt*in-Fragebögen) und den von ADA Health mit Ihrer Zustimmung bereitgestellten Fallbericht, nicht jedoch auf die Datenverarbeitung durch ADA Health im Rahmen der Leistungserbringung beim ADA Health Symptomanalyse Tool. An dieser Datenverarbeitung sind die Verantwortlichen nicht beteiligt und sie haben auch keinen Zugriff auf diese personenbezogenen Daten.

1.1 Die Datenverarbeitung im Rahmen der Durchführung des Forschungsprojektes steht nach Maßgabe der in Ziffer 3 beschriebenen Zuständigkeits- und Verantwortungsbereiche in der jeweiligen Verantwortung

  • des Initiators und Organisators des Forschungsprojektes, die Novartis Pharma GmbH, Roonstr. 25, D-90429 Nürnberg (im Folgenden „Novartis”); sowie
  • Ihrer/Ihres in der datenschutzrechtlichen Einwilligungserklärung und Schweigepflichtentbindung aufgeführten Hautärztin/ Hautarztes .

Als Initiator und Organisator des Forschungsprojektes agiert Novartis gemeinsam mit der*dem Hautärzt*in als gemeinsam Verantwortliche (Art. 26 in Verbindung mit Art. 4 Nr. 7 DSGVO).

1.2 Die Datenschutzbeauftragten der Verantwortlichen können Sie unter den folgenden Kontaktdaten erreichen:

  • Novartis Pharma GmbH: Data Privacy, Roonstr. 25, D-90429 Nürnberg, E-Mail datenschutz@novartis.com.
  • Hautärzt*in: Siehe die Angaben in der von Ihnen erteilten datenschutzrechtlichen Einwilligungserklärung.

2. Was ist der Grund für die gemeinsame Verantwortung zwischen Novartis und der*dem Hautärzt*in.

2.1 Novartis arbeitet beim Forschungsprojekt in arbeitsteiliger Weise eng mit der*dem Hautärzt*in zusammen. Dies betrifft auch die Verarbeitung Ihrer personenbezogenen Daten in pseudonymisierter Form. Novartis hat mit der*dem Hautärzt*in die Reihenfolge der Verarbeitung Ihrer personenbezogenen in den einzelnen Projektabschnitten festgelegt (siehe hierzu Ziffer 3). Vor diesem Hintergrund sind Novartis und die*der Hautärzt*in innerhalb der nachfolgend beschriebenen Prozessabschnitte Ihnen gegenüber gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich (Art. 26 DSGVO).

2.2 Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeiten haben Novartis und die*der Hautärzt*in eine Vereinbarung gemäß Art. 26 DSGVO abgeschlossen, in der insbesondere geregelt ist, welche Partei welche Pflichten gemäß der EU-Datenschutzgrundverordnung (DSGVO) erfüllt. Dies betrifft insbesondere die Wahrnehmung Ihrer datenschutzrechtlichen Rechte im Sinne der Art. 15 ff. DSGVO (vgl. Ziffer 7) sowie die Erfüllung der datenschutzrechtlichen Informationspflichten im Sinne von Art. 13 DSGVO (vgl. Ziffer 3.2).

3.     Zuständigkeiten und Verantwortungsbereiche für die Datenverarbeitung

3.1 Die Zuständigkeiten und die Verantwortung für die Datenverarbeitung sind wie folgt zwischen den Verantwortlichen festgelegt:

Datenverarbeitung
Zuständigkeit und Verantwortung
(a)
Erhebung Ihrer personenbezogenen Daten im Rahmen der Arztfragebögen und die Einholung Ihrer schriftlichen Einwilligungserklärung in die Verarbeitung der personenbezogenen Daten für die Zwecke des Forschungsprojektes nach Maßgabe der Patienteninformation und dieser Datenschutzerklärung.
Alleinige Verantwortung der/des Hautärztin/Hausarztes.
(b)
Erhebung Ihrer personenbezogenen Daten im Rahmen der Patienten-Fragebögen
Alleinige Verantwortung von Novartis.
(c)
Speicherung des von ADA Health bereitgestellten pseudonymisierten Fallberichtes in der Projektdatenbank.
Alleinige Verantwortung von Novartis.
(d)
Verschlüsselte Übermittlung und Speicherung Ihrer pseudonymisierten Angaben aus dem Ärzt*in- und Patient*innen-Fragebögen in der Projektdatenbank.
Alleinige Verantwortung von Novartis.
(e)
Die Bereitstellung, der Betrieb und die Nutzung der Projektdatenbank für die Durchführung des Forschungsprojektes.
Alleinige Verantwortung von Novartis.
(f)
Die Analyse und Auswertung der pseudonymisierten Daten für Zwecke des Forschungsprojektes und die anschließende Verwendung anonymisierter Auswertungen und Auswertungsergebnisse zur wissenschaftlichen Dokumentation und Auswertung sowie zur Verwendung von anonymisierten Fachpublikationen (z.B. auf Fachkongressen oder in Fachzeitschriften).
Alleinige Verantwortung von Novartis.

3.2 Bei Erhebung Ihrer personenbezogenen Daten ist für die Erfüllung der Informationspflichten (Art. 13 DSGVO) die*der Hautärzt*in zuständig. Zu diesem Zweck wird Ihnen die*der Hautärzt*in gemeinsam mit dem Einwilligungsformular die Patient*innen-Information sowie diese Datenschutzerklärung zur Verfügung stellen.

4.     Art der Daten, Ablauf und Zweck der Datenverarbeitung

4.1 Im Rahmen des Forschungsprojektes werden in pseudonymisierter Form folgende Datenarten verarbeitet: Geschlecht, Alter, Größe, Gewicht, Diagnosen, Informationen zur Dauer und Ausprägung assoziierter Symptome zur Acne inversa bzw. Ihrer Hautkrankheit, Krankheitshistorie (Dauer der Erkrankung, Anzahl der Arztkontakte, Therapien und Schmerzen), Lebensqualität, Auswirkung Ihrer gesundheitlichen Probleme auf Ihre Fähigkeit zu arbeiten und Ihre Alltagsaktivitäten zu bewältigen sowie Informationen zu emotionalen Aspekten und dem Wohlempfinden im Rahmen der Ärzt*in-Patient*innen-Beziehung.

4.2 Die Datenverarbeitung unterliegt dem nachfolgend aufgeführten Ablauf:

(a) Nach Durchführung der eigenständigen ADA Health Symptomanalyse über die von ADA Health bereitgestellte Webapplikation über das Tablet, die in der alleinigen Verantwortung von ADA Health erfolgt, wird mit Ihrer Veranlassung ein Fallbericht von ADA Health erstellt und bereitgestellt. Des Weiteren werden Sie gebeten, die in der Patient*innen-Information im Einzelnen aufgeführten Patient*innen-Fragebögen zu beantworten. Dies erfolgt über ein Tablet, das Ihnen im Auftrag von Novartis durch deren Dienstleister Institut Dr. Schauerte GmbH, Finkenstr. 7, D-80333 München (im Folgenden „IDS”) zur Verfügung gestellt wird. Zuletzt führt die*der Hautärzt*in eine routinemäßig dermatologische Untersuchung bei Ihnen durch und beantwortet ebenfalls die in der Patient*innen-Information im Einzelnen aufgeführten Ärzt*in-Fragebögen über eine Webapplikation.

(b) Im Rahmen Ihrer Beantwortung der Patient*innen-Fragebögen über das von IDS bereitgestellte Tablet erfasst der Webserver aus technischer Notwendigkeit ferner bestimmte Verkehrsdaten von Ihnen (z.B. IP-Adresse, Datum und Uhrzeit der Durchführung des jeweiligen Patient*innen-Fragebogens, der verwendete Browser, das verwendete Betriebssystem, Domainname und Adresse des Internet- Providers). Diese Verkehrsdaten werden ausschließlich für die Durchführung des jeweiligen Patient*innen-Fragebogens über das bereitgestellte Tablet verarbeitet.

(c) Sämtliche der im Rahmen des Forschungsprojektes erhobenen personenbezogenen Daten von Ihnen (Patient*innen- und Ärzt*innen-Fragebögen sowie ADA Health Fallbericht) werden über eine verschlüsselte Verbindung und ausschließlich in pseudonymisierter Form an die Projektdatenbank, die im Auftrag von Novartis von IDS bereitgestellt und betrieben wird, übermittelt und dort gespeichert. Pseudonymisiert bedeutet, dass Ihr Name durch ein Pseudonym (d.h. einen Nummerncode) ersetzt wird. Infolgedessen ist die Zuordnung Ihrer Angaben, Werte und Informationen zu Ihnen ohne zusätzliche Informationen ausgeschlossen. Über diese zusätzlichen Informationen verfügt nur Ihr*e Hautärzt*in, nicht jedoch Novartis oder IDS.

(d) Die pseudonymisierten Daten sämtlicher Teilnehmer*innen (einschließlich Ihnen) in der Projektdatenbank werden anschließend von IDS im Auftrag von Novartis wissenschaftlich analysiert und ausgewertet. IDS ist hierbei als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) für Novartis tätig. Nach Abschluss der Auswertung anonymisiert IDS die Auswertungen und Auswertungsergebnisse und übergibt diese an Novartis.

4.3 Die Verantwortlichen verarbeiten Ihre pseudonymisierten Daten (einschließlich Gesundheitsdaten) aus den Patient*innen- und Ärzt*in-Fragebögen sowie aus dem Fallbericht von Ada Health für die Zwecke der wissenschaftlichen Dokumentation und Auswertung sowie der Erstellung von anonymisierten Auswertungen und Auswertungsergebnissen aller Teilnehmer*innen (einschließlich Ihnen) für Zwecke der Veröffentlichung im Rahmen von Publikationen (z.B. Beiträge auf Fachkongressen und in Fachzeitschriften). Die Sie betreffenden Informationen helfen den Verantwortlichen, ein besseres Verständnis über die Acne inversa Erkrankung und die damit einhergehenden Einschränkungen im Alltag zu erlangen mit dem Ziel, Erkenntnisse zu erhalten, um die aktuelle Gesundheitsversorgungssituation von Acne inversa Patient*innen verbessern zu können.

4.4 Ferner sind zuständige Überwachungsbehörden sowie von Novartis beauftragte Monitorinnen/Monitore berechtigt, Ihre bei der*dem Hautärzt*in vorhandenen personenbezogenen Daten (insbesondere Gesundheitsdaten) ausschließlich zum Zwecke der Überprüfung der ordnungsgemäßen Durchführung dieses Forschungsprojektes einzusehen (z.B. Überprüfung der wirksam erteilten Einwilligungserklärung oder Überprüfung der ordnungsgemäßen Übertragung in die Projektdatenbank). Diese Monitorinnen/Monitore, die als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) für Novartis tätig sind, sind vertraglich zur Verschwiegenheit verpflichtet. Eine Weitergabe der eingesehenen personenbezogenen Daten (einschließlich Gesundheitsdaten) an Novartis oder IDS findet nicht statt.

4.5 Die Verarbeitung Ihrer pseudonymisierten Daten (einschließlich Gesundheitsdaten) erfolgt ausschließlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR).

4.6 Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten – einschließlich Ihrer Gesundheitsdaten – für die in Ziffern 4.3 und 4.4 genannten Zwecke ist Ihre erteilte ausdrückliche Einwilligung (Art. 6 Abs. 1 Buchst. a, Art. 9 Abs. 2 Buchst. a DSGVO).

5.     Risiken der Datenverarbeitung und Weitergabe Ihrer personenbezogenen Daten

5.1 Bei jeder Datenverarbeitung können Vertraulichkeitsrisiken (z.B. die Möglichkeit, die betreffende Person zu identifizieren) trotz aller Bemühungen nicht vollständig ausgeschlossen werden. Derartige Risiken steigen in der Regel, je mehr Daten miteinander verknüpft werden können. Die Verantwortlichen werden alle angemessenen und nach dem Stand der Technik möglichen Maßnahmen zum Schutz Ihrer Privatsphäre ergreifen und Daten nur an Dritte weitergeben, die ein geeignetes Datenschutzkonzept vorweisen können. Medizinische Risiken sind mit der Datenverarbeitung nicht verbunden.

5.2 Ihre in der Projektdatenbank eingestellten pseudonymisierten Daten werden nicht an Dritte weitergegeben, es sei denn, dies ist zur Erfüllung des Forschungsprojektes erforderlich, sonst aufgrund einschlägiger gesetzlicher Bestimmungen zulässig oder Sie haben den Verantwortlichen Ihre Einwilligung in die Weitergabe erteilt.

5.3 Die Verantwortlichen sind berechtigt, die Verarbeitung Ihrer pseudonymisierten Daten im Rahmen der datenschutzrechtlichen Vorgaben ganz oder teilweise an externe Dienstleister auszulagern, die für den jeweiligen Verantwortlichen als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) tätig sind.

Novartis setzt folgende externe Dienstleister als Auftragsverarbeiter im Rahmen des Forschungsprojektes ein:

Dienstleister
Beschreibung des Dienstes
Empfängerland und angemes-senes Datenschutzniveau
Dienstleister Institut Dr. Schauerte GmbH, Finkenstr. 7, D-80333 München
Bereitstellung, Betrieb und Hosting der Projekt¬daten¬bank, Durchführung der Analyse und Auswertung der pseudonym-isierten Daten der Teilnehmer und Erstellung von entsprechenden Auswertungen und Auswertungsergebnissen
Deutschland (EU)

6.     Dauer der Speicherung Ihrer personenbezogenen Daten

Ihre personenbezogenen Daten werden von den Verantwortlichen nur so lange gespeichert, wie dies für die Erreichung der Zwecke, für die diese personenbezogenen Daten erhoben wurden, erforderlich ist oder – soweit darüberhinausgehende gesetzliche Aufbewahrungsfristen bestehen – für die Dauer der gesetzlich vorgegebenen Aufbewahrung. Im Anschluss werden Ihre personenbezogenen Daten gelöscht.

Ihre pseudonymisierten Daten werden von IDS nach Abschluss des Forschungsprojektes anonymisiert und Novartis ausschließlich in Form von anonymisierten Auswertungen und Auswertungsergebnisse aller Teilnehmer*innen zur Verfügung gestellt. Anschließend werden diese Daten bei IDS gelöscht.

7.     Ihre Betroffenenrechte

7.1 Ihnen stehen nach Maßgabe des geltenden Datenschutzrechts insbesondere die folgenden Rechte gegenüber den Verantwortlichen zu. Bitte wenden Sie sich an die unter Ziffer 1 angegebenen Kontaktmöglichkeiten der Verantwortlichen.

Bitte üben Sie Ihre in dieser Ziffer 7 beschriebenen Betroffenenrechte vorrangig gegenüber der*dem Hautärzt*in bzw. deren*dessen Personal aus, da nur diese in der Lage sind, Ihnen die entsprechenden pseudonymisierten Daten zuzuordnen. Novartis (einschließlich ihres Auftragsverarbeiters IDS) ist eine Zuordnung der pseudonymisierten Daten zu Ihnen nicht möglich (Art. 11 DSGVO).

7.2 Als betroffene Person im Sinne der EU-Datenschutzgrundverordnung (DSGVO) haben Sie grundsätzlich das Recht auf Auskunft über die Verarbeitung Ihrer personenbezogenen Daten (Art. 15 DSGVO). Sie haben ggf. das Recht, die Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) oder Einschränkung der Verarbeitung (Art. 18 DSGVO) Ihrer personenbezogenen Daten zu verlangen und je nach Sachlage haben Sie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO).

7.3 Soweit die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Bitte beachten Sie, dass die Verwendung der anonymisierten Auswertungen und Auswertungsergebnisse aller Teilnehmer*innen von Ihrem Widerruf unberührt bleibt, da es sich hierbei um anonyme Daten handelt.

7.4 Sie haben zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

  • Zuständige Datenschutzaufsichtsbehörde für Novartis: Bayerisches Landesamt für Datenschutzaufsicht, Postfach 606,
    D- 91511 Ansbach, Telefon +49 981 180093-0, Fax +49 981 180093-800, E-Mail poststelle@lda.bayern.de.
  • Zuständige Datenschutzaufsichtsbehörde für die*den Hautärzt*in: Siehe die Angaben in der datenschutzrechtlichen Einwilligungserklärung und Schweigepflichtentbindung.

Sie können sich aber auch an eine andere Datenschutzaufsichtsbehörde – etwa an Ihrem Wohnsitz – wenden. Weitere Datenschutzaufsichtsbehörden finden Sie auf der Website der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unter www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

7.5 Die Verantwortlichen informieren sich unverzüglich gegenseitig über die von Ihnen geltend gemachten datenschutzrechtlichen Rechtspositionen. Die Verantwortlichen stellen einander sämtliche für die Beantwortung von Auskunftsersuchen oder anderen datenschutzrechtlichen Anfragen notwendigen Informationen zur Verfügung.