Datenschutzerklärung der VIACTIV Krankenkasse für die Nutzung der elektronischen Patientenakte (ePA)

Mit den nachstehenden Ausführungen möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten/Sozialdaten durch die VIACTIV Krankenkasse und die VIACTIV Pflegekasse im Rahmen der Nutzung der ePA informieren und Ihnen Ihre Informationsrechte gem. der Artikel 13 und 14 der Datenschutz-Grundverordnung (DS-GVO) sowie hinsichtlich Ihres Widerspruchsrechts gem. Artikel 21 der DS-GVO erläutern.
Neben dieser ePA Datenschutzerklärung verweisen wir auf die Allgemeinen Nutzungsbedingungen für VIACTIV – ePA und die ePA.

1. Was ist die ePA?

Mit der ePA erhalten Versicherte zum ersten Mal einen transparenten Überblick über ihre Gesundheitsdaten. Die Nutzung der ePA ist freiwillig und kostenfrei. Möchten Versicherte der VIACTIV Krankenkasse diesen Service nutzen, können sie ab 1. Januar 2021 einen entsprechenden Antrag stellen. Mit der ePA werden die Versicherten darin bestärkt, souverän und eigenverantwortlich mit den eigenen Daten umgehen zu können. Etwaige personenbezogene Daten/Sozialdaten, die ihre Gesundheit betreffen ("Gesundheitsdaten"), werden ausschließlich auf Grundlage einer Einwilligung verarbeitet.

Mit der ePA können Versicherte ihre gesundheitsbezogenen Daten/Sozialdaten all denjenigen zur Verfügung stellen, die an ihrer medizinischen Behandlung beteiligt sind – ob Ärzten, Zahnärzten, Psychotherapeuten, Apothekern, anderen Leistungserbringern und eingerichteten Vertretern.

Medizinische Daten können auf verschiedene Weise in die Akte eingestellt werden: So können Versicherte selbst Dokumente hochladen, lokal speichern oder auch aus der Akte entfernen. Zusätzlich kann medizinisches Personal die Daten in der ePA ergänzen, sofern der Versicherte dies wünscht.
Die ePA kann verschiedene Daten und Dokumentationen enthalten wie etwa:

  • Befunde (u.a. Allergologie- und Laborbefunde)
  • Diagnosen
  • Impfpass
  • Kinderuntersuchungsheft
  • Mutterpass
  • Patienteninformationen
  • Pflegedokumentationen
  • Therapiedokumentationen
    • Zahnbonusheft

Darüber hinaus ist es ab 01.01.2022 möglich, Ihre elektronische Patientenakte bei einem Kassenwechsel von Ihrer ehemaligen an die neue Krankenkasse zu übertragen.

2. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Die VIACTIV Krankenkasse hat den gesetzlichen Auftrag ihren Versicherten ab dem 01.01.2021 die persönliche ePA anzubieten. Die VIACTIV Krankenkasse kooperiert hierbei mit der IBM Deutschland GmbH, die die technische Plattform der ePA bereitstellt. Sowohl die VIACTIV Krankenkasse als auch die IBM Deutschland GmbH wurden im Rahmen eines Zulassungsverfahrens der Gematik auf die Gewährleistung des Datenschutzes und der Informationssicherheit geprüft.

Des Weiteren sind noch andere Dienstleister zur Sicherstellung der gesetzlichen Anforderungen rund um das Angebot der VIACTIV – ePA und ePA beteiligt. (z. B: asf GmbH – Telefonsupport/Sperrservice)

Verantwortliche Stelle ist:

VIACTIV Krankenkasse
Suttner-Nobel-Allee 3-5
44803 Bochum
Telefon: 0800-2221211
E-Mail: service@viactiv.de

VIACTIV Pflegekasse
Suttner-Nobel-Allee 3-5
44803 Bochum
Telefon: 0800-2221211
E-Mail: service@viactiv.de

Sie erreichen unseren Datenschutzbeauftragten unter:

VIACTIV Krankenkasse
Datenschutzbeauftragter
Suttner-Nobel-Allee 3-5
44803 Bochum
Telefon: 0234-479 2799
E-Mail: datenschutz@viactiv.de

VIACTIV Pflegekasse
Datenschutzbeauftragter
Suttner-Nobel-Allee 3-5
44803 Bochum
Telefon: 0234-479 2799
E-Mail: datenschutz@viactiv.de

3. Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, zum Beispiel Ihr Name oder Ihre Versichertennummer, aber auch sonstige Informationen, mit denen Sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung oder zu einem oder mehreren besonderen Merkmale, die Ausdruck Ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind, identifiziert werden können.

Diese Datenschutzerklärung informiert Sie nachfolgend darüber, welche Daten wir von Ihnen erheben und für welche Zwecke wir diese verarbeiten.

4. Was sind Sozialdaten?

Sozialdaten sind personenbezogene Daten die im Rahmen der Aufgaben des § 284 SGB V und § 94 SGB XI durch die VIACTIV Krankenkasse verarbeitet werden.

5. Was sind Gesundheitsdaten?

Zu den personenbezogenen Gesundheitsdaten zählen alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen.

6. Welche Daten verarbeiten wir? Aus welchen Quellen stammen diese Daten?

6.1. Welche Daten werden im Rahmen meiner Registrierung für VIACTIV – ePA und die ePA verarbeitet und für welche Zwecke werden sie verwendet?

6.1.1. Übertragung von Stammdaten der VIACTIV Krankenkasse

Im Rahmen des Registrierungsprozesses für die ePA-App (im Folgenden VIACTIV – ePA) sowie zur Bereitstellung des Zugangs zur ePA, werden Sie gebeten, in die Übermittlung bestimmter Sozialdaten (Versichertennummer, Geburtsdatum, E-Mailadresse, PIN (Registrierung über ein mobiles Endgerät), Gerätekennung des mobilen Endgeräts) einzuwilligen. Die von Ihnen abgefragten Sozialdaten werden ausschließlich verschlüsselt in der ePA gespeichert, sodass kein Unberechtigter Ihre Daten einsehen kann.

Ihre E-Mail-Adresse wird darüber hinaus auch zur Kommunikation bei Änderungen von Stammdaten innerhalb VIACTIV – ePA und ePA verwendet.

Mit Ihrer jeweiligen Einwilligung erklären Sie sich damit einverstanden, dass die genannten Stammdaten von Ihrer VIACTIV Krankenkasse in die ePA übertragen und von der IBM Deutschland GmbH gespeichert und verarbeitet werden dürfen. Damit stellen wir eine eindeutige Zuordnung Ihrer Daten sicher, gewährleisten eine Überprüfung, ob ein Anspruch auf Bereitstellung des Zugangs zur ePA besteht (Versicherungsverhältnis bei der VIACTIV Krankenkasse muss gegeben sein) und sorgen für eine sichere Anmeldung in die ePA.

Die von Ihnen erklärte Einwilligung, einschließlich Zeitpunkt (Datum, Uhrzeit) und Wortlaut der Einwilligungserklärung, wird von der VIACTIV Krankenkasse zur Sicherstellung und Dokumentation der Einhaltung der gesetzlichen Anforderungen (Rechenschaftspflicht) sowie zur Geltendmachung, Ausübung oder Verteidigung unserer rechtlichen Ansprüche, verarbeitet und protokolliert.
Den Wortlaut Ihrer Einwilligung können Sie im Rahmen des Exports sämtlicher in der VIACTIV – ePA gespeicherter Daten über die Funktionalitäten abrufen (unter: Einstellungen – Informationen – Einwilligungen).

Ohne die Erteilung der Einwilligung können Sie die Registrierung nicht durchführen.

Sie können Ihre Einwilligung in die Datenverarbeitung jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass hierdurch die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. Wenn Sie die Einwilligung widerrufen, können Sie die ePA jedoch nicht mehr weiter nutzen, da die Verarbeitung der Stammdaten für die Bereitstellung der ePA zwingend erforderlich ist.

Sofern Sie die Einwilligung in die Datenverarbeitung zur ePA dennoch widerrufen, räumen wir Ihnen eine Frist von sieben Tagen ein, um von diesem Widerruf zurückzutreten (bei versehentlichen Widerruf). Nach den sieben Tagen werden Ihre Daten endgültig gelöscht.

Neben dem Widerruf der Datenverarbeitung können Sie Ihre ePA auch kündigen (bzw. die Löschung der ePA beantragen). In diesem Fall besteht eine Widerrufsfrist von 28 Tagen. Danach werden Ihre Daten endgültig gelöscht.

6.1.2. Anlage und Freischaltung Ihres Accounts sowie Nutzung der App VIACTIV – ePA für mobile Endgeräte und der ePA

Die VIACTIV Krankenkasse verwendet die von Ihnen zur Verfügung gestellten Informationen, um Ihnen eine digitale Identität (GesundheitsID)zur Nutzung der VIACTIV – ePA zur Verfügung zu stellen.

Hierfür müssen Sie sich gegenüber der VIACTIV Krankenkasse authentifizieren. Dazu gibt es zwei Möglichkeiten:

Möglichkeit 1: Identifizieren Sie sich mit der Online-Ausweisfunktion Ihres Personalausweises
Sie benötigen:

  • Ihren Personalausweis mit Online-Ausweisfunktion
  • Die 6-stellige Ausweis-PIN oder 5-stellige Transport-PIN
  • Ein Endgerät mit NFC-Funktion (kontaktlose Datenübertragung)

Möglichkeit 2: Identifizieren Sie sich mit Ihrer elektronischen Gesundheitskarte (eGK)

Sie benötigen:

  • Ihre elektronische Gesundheitskarte
  • Die dazugehörige PIN
  • Ein Endgerät mit NFC-Funktion (kontaktlose Datenübertragung)

Zudem müssen Sie Ihre mitgeteilte E-Mail-Adresse mittels Bestätigungscode verifizieren. Nachdem Sie sich gegenüber der VIACTIV Krankenkasse authentifiziert haben, erhalten Sie den Bestätigungscodeper E-Mail zur Freischaltung der App VIACTIV – ePA. Der Bestätigungscode ist ausschließlich Ihnen bekannt und muss innerhalb von 30 Minuten zur Aktivierung Ihrer GesundheitsID genutzt werden.

Um Ihnen eine ePA einzurichten, wird Ihre Krankenversichertennummer über ein bundesweites Krankenversichertennummer-Register abgeglichen und überprüft. So können wir als VIACTIV Krankenkasse sicherstellen, dass Ihre Krankenversichertennummer nur einmal existiert.

Nach Freischaltung des Zugangs zur App VIACTIV – ePA für mobile Endgeräte, wird ein persönlicher Sicherheitsschlüssel (Recovery Key) erzeugt, der ebenfalls nur Ihnen bekannt ist. Dieser Sicherheitsschlüssel ermöglicht Ihnen im Falle eines Wechsels oder Verlust Ihres Endgerätes weiterhin auf Ihren ePA- Account (einschließlich der darin bisher gespeicherten Daten) zuzugreifen. Im Falle des Verlustes dieses persönlichen Sicherheitsschlüssels existiert Ihr ePA-Account weiterhin, die bisher in Ihrer elektronischen Patientenakte gespeicherten Daten werden hingegen aus Sicherheitsgründen gelöscht.

Um in Ihre ePA zu gelangen, müssen Sie in der VIACTIV – ePA für mobile Endgeräte (hier Zutritt durch PIN-Eingabe Ihrer GesundheitsID) den Button ePA betätigen. Sie werden sodann aufgefordert, sich entweder über die Login-Daten Ihrer App VIACTIV – ePA (GesundheitsID) oder die Eingabe der Daten Ihrer NFC-fähigen eGK zu authentifizieren.

Sofern Sie den Zugang über die GesundheitsID wählen, ist folgendes zu beachten.

Durch die Nutzung GesundheitsID können Sie zukünftig immer die Login Daten (selbst vergebener PIN) zur Anmeldung an die VIACTIV – ePA auch bei der ePA nutzen.

Nach Wahl dieser Zugangsmethode müssen Sie Ihr Einverständnis zur Verarbeitung Ihrer im Rahmen zur Registrierung VIACTIV – ePA erhobenen Sozialdaten/personenbezogenen Daten (Krankenversichertennummer, Vor- und Nachnamen, aufgedruckte Namenszeile der elektronischen Gesundheitskarte, ausgestelltes Zertifikat und E-Mail-Adresse) zum Zwecke der Nutzung der GesundheitsID geben.

Sie erhalten sodann eine E-Mail, mit der Sie die Freischaltung Ihres Smartphones bestätigen müssen.

Nach Bestätigung über den Link in der E-Mail und in der ePA ist die Geräteregistrierung abgeschlossen. Der Zeitpunkt der Anmeldung, das Gerät, die Akten-ID (Krankenversichertennummer) werden protokolliert.

Diese Daten werden ausschließlich zur Authentifizierung zum Zugang zu Ihrer ePA benötigt und nicht gespeichert. Ihre Berechtigung wird mit einem Institutionskennzeichen der VIACTIV Krankenkasse abgeglichen und berechtigt Ihnen den Zugang zur ePA.

Die obengenannten Daten verarbeitet die VIACTIV Krankenkasse, um Ihnen die gemäß § 342 SGB V aufgetragene Verpflichtung zum Angebot und zur Nutzung der ePA (Registrierungsprozess zur VIACTIV - ePA und den Zugang zur ePA) sowie die gesetzlichen Vorgaben aus der DSGVO und SGB X (z. B.: Betroffenenrechte, Rechenschaftspflicht, Rechtmäßigkeit der Verarbeitung) und die Wahrung ihrer berechtigten Interessen (Gewährleistung der ordnungsgemäßen Abrechnung, Fehleranalyse, Gewährleistung der Systemsicherheit, Verhinderung von Missbrauch) zu erfüllen.

Die VIACTIV Krankenkasse verknüpft die von Ihnen per Einwilligung zur Verfügung gestellten Stammdaten im Rahmen des Registrierungsprozesses mit einer für Sie eindeutigen Kennziffer (Technische Referenznummer), so dass Ihrem Account ebenfalls ein Versicherungsverhältnis bei der VIACTIV Krankenkasse zugeordnet ist. Diese Information benötigt die IBM Deutschland GmbH zu Abrechnungszwecken gegenüber der VIACTIV Krankenkasse.

Der Zeitpunkt (Krankenversichertennummer, Datum, Uhrzeit) der Freischaltung Ihres Zugangs zur ePA wird von der IBM Deutschland GmbH sowohl zum Zwecke der Rechenschaftspflicht protokolliert als auch zu Abrechnungszwecken gegenüber der VIACTIV Krankenkasse benötigt. Zudem kann durch diese Daten der Nachweis zur Freischaltung sowie die rechtlich relevanten, akzeptierten und zur Kenntnis genommenen Bestimmungen (z.B. Informationen nach § 343 SGB V, Allgemeine Nutzungsbedingungen oder Datenschutzerklärung) und Einwilligungserklärungen erbracht und nachgehalten werden, die zwingende Voraussetzungen sind, die ePA freizuschalten.

6.1.3. Anlage und Nutzung der ePA über VIACTIV – ePA mit stationären Client

Auf dem stationären Client können Sie die erstmalige Registrierung für die ePA selbst nicht durchführen. Der Zugang zur ePA kann für den stationären Client nur über den Registrierungsprozess VIACTIV – ePA für mobile Endgeräte oder über den analogen Weg erfolgen. Wir verweisen hinsichtlich der im Rahmen der erstmaligen Registrierung verarbeiteten Daten auf die Ausführungen in den Punkten 6.1.2 und 6.1.4.

Haben Sie die ePA gemäß den Punkten 6.1.2 und 6.1.4 eingerichtet, werden Sie für den Zutritt zur ePA aufgefordert, sich durch die Eingabe der Daten Ihrer NFC-fähigen eGK (PIN der eGK, CAN) zu authentifizieren. Diese Daten werden ausschließlich zur Authentifizierung zum Zugang zu Ihrer ePA benötigt und nicht gespeichert. Bei jedem neuen Anmeldeprozess zur ePA ist eine erneute Eingabe dieser Daten erforderlich. Ihre Berechtigung wird mit einem Institutionskennzeichen der VIACTIV Krankenkasse abgeglichen und berechtigt Ihnen den Zugang zur ePA.

Die obengenannten Daten verarbeitet die VIACTIV Krankenkasse, um Ihnen die gemäß § 342 SGB V aufgetragene Verpflichtung zum Angebot und zur Nutzung der elektronischen Patientenakte (Registrierungsprozess zur VIACTIV - ePA und den Zugang zur ePA) sowie die gesetzlichen Vorgaben aus der DSGVO und SGB X (z. B.: Betroffenenrechte, Rechenschaftspflicht, Rechtmäßigkeit der Verarbeitung) und die Wahrung ihrer berechtigten Interessen (Gewährleistung der ordnungsgemäßen Abrechnung, Fehleranalyse, Gewährleistung der Systemsicherheit, Verhinderung von Missbrauch) zu erfüllen.

Die VIACTIV Krankenkasse verknüpft die von Ihnen per Einwilligung zur Verfügung gestellten Stammdaten im Rahmen des Registrierungsprozesses mit einer für Sie eindeutigen Kennziffer (Technische Referenznummer), so dass Ihrem Account ebenfalls ein Versicherungsverhältnis bei der VIACTIV Krankenkasse zugeordnet ist. Diese Information benötigt die IBM Deutschland GmbH zu Abrechnungszwecken gegenüber der VIACTIV Krankenkasse.

Der Zeitpunkt (Versichertennummer, Datum, Uhrzeit) der Freischaltung Ihres Zugangs zur ePA wird von der IBM Deutschland GmbH sowohl zum Zwecke der Rechenschaftspflicht protokolliert als auch zu Abrechnungszwecken gegenüber der VIACTIV Krankenkasse benötigt. Zudem kann durch diese Daten der Nachweis zur Freischaltung sowie die rechtlich relevanten, akzeptierten und zur Kenntnis genommenen Bestimmungen (z. B. Informationen nach § 343 SGB V, Allgemeine Nutzungsbedingungen oder Datenschutzerklärung) und Einwilligungserklärungen erbracht und nachgehalten werden, die zwingende Voraussetzungen sind, die ePA freizuschalten.

6.1.4. Anlage und Freischaltung Ihrer analogen ePA

Für die Beantragung des Zugangs zur ePA auf dem analogen Weg müssen sie uns die Kenntnisnahme der Informationen nach § 343 SGB V, der Allgemeinen Nutzungsbedingungen, der Datenschutzerklärung sowie die Einwilligung in die Datenverarbeitung unterschreiben, damit wir Ihnen ein ePA Aktenkonto einrichten können. Erst nach Kenntnisnahme dieser Dokumente und schriftlicher Bestätigung Ihrerseits, dass Sie die Inhalte dieser Dokumente zur Kenntnis genommen haben, darf die VIACTIV Krankenkasse die erforderlichen, administrativen personenbezogenen Daten/Sozialdaten für die Eröffnung eines ePA Aktenkontos verarbeiten.
Für die Beantragung der ePA können Sie die gewohnten, angebotenen Kommunikationskanäle (bspw. Telefon) der VIACTIV Krankenkasse nutzen.

Diese administrativen personenbezogenen Daten/Sozialdaten werden verarbeitet, um den Anforderungen zur Rechenschaftspflicht (Informationspflicht, Rechtmäßigkeit der Verarbeitung) nachzukommen.

Die Aktivierung erfolgt beim Leistungserbringer durch das erstmalige Einloggen in die ePA.

6.2. Welche Daten werden im Rahmen meiner Nutzung der ePA durch die VIACTIV Krankenkasse verarbeitet und für welche Zwecke werden diese verwendet?

In der ePA der VIACTIV Krankenkasse stehen Ihnen mehrere Services und Funktionen zur Verfügung, in denen Sie Ihre Gesundheitsdaten erfassen, speichern und verwalten können. Hierbei hält die VIACTIV Krankenkasse folgende Grundsätze ein:

  • Ihre Gesundheitsdaten werden nur dann verarbeitet, wenn Sie explizit eingewilligt haben. Die Verarbeitung erfolgt nur zu dem Zweck, um Ihnen im Rahmen der Nutzung die Funktionalitäten der ePA bereitstellen zu können (d.h. Speicherung und Verwaltung Ihrer Gesundheitsdaten, um die Services zu ermöglichen).
  • Ihre personenbezogenen Daten/ Gesundheitsdaten werden für keine anderen Zwecke verarbeitet und ohne Ihre Zustimmung nicht an Dritte weitergegeben.
  • Die VIACTIV Krankenkasse erhält keinen Zugriff auf Ihre abgespeicherten Gesundheitsdaten.

6.2.1. Verarbeitung von personenbezogene Daten/ Gesundheitsdaten durch manuelle Eingabe

Im Rahmen der ePA angebotenen Funktionalitäten:

  • Impfungen: Angaben zu Ihren Impfungen, wie etwa Bezeichnung der Impfung (z. B. Influenza, Varizellen), Tag der Impfung, Art der Impfung (etwa Immunisierung, Auffrischung), Impfstoff, Chargennummer, Name des die Impfung durchführenden Arztes.
  • Vorsorge: Angaben zu Ihren Vorsorgeuntersuchungen, wie etwa Art der Vorsorgeuntersuchung (z. B. Hautkrebsscreening, Darmkrebsfrüherkennung), Tag der Vorsorgeuntersuchung, Name des die Vorsorge durchführenden Arztes,
  • Medikamente: Angaben zu Ihren Medikamenten, wie etwa Pharmazentralnummer (PZN), Name des Medikaments, Wirkstoff, rezeptpflichtig, rezeptfrei, ggf. Medikationsplan sowie Bestätigungen der Medikamenteneinnahmen.
  • Medikationsplan: Der Service "Medikationsplan" ermöglicht es Ihnen, einen von Ihrem Arzt erstellten Medikationsplan in Ihrer ePA zu hinterlegen. Diesen können Sie mit der Kamerafunktion Ihres Endgeräts über den auf dem Medikationsplan abgebildeten sog. Datamatrix-Code einlesen. Dadurch werden neben dem Datamatrix-Code selbst die vom Arzt verschriebenen Medikamente, die entsprechenden Einnahmehinweise und Angaben über den verordnenden Arzt (Vor-und Nachname, Adresse und Telefonnummer des Arztes) verschlüsselt in Ihrer ePA gespeichert. Im Rahmen der Bereitstellung dieses Service sind einzelne Daten technisch bedingt für IBM kurzfristig einsehbar. Weiter bietet Ihnen dieser Service ggf. die Möglichkeit der Erinnerung an die Einnahme der Medikamente. Die Erinnerung erfolgt durch Push-Benachrichtigungen mittels der Benachrichtigungs- und Mitteilungsfunktion Ihres Endgerätes. Die Erinnerungen an die Medikamenteneinnahme enthalten zum Schutz Ihrer Privatsphäre keine Informationen zu den jeweiligen Medikamenten, sondern nur einen generellen Hinweis.
    Sie können sämtliche in Ihrer ePA hinterlegten Medikationspläne unmittelbar selbst in dem Leistungsbereich Medikamente löschen.
    Zur Nutzung des Service müssen Sie zusätzlich die Berechtigungen Ihres Endgeräts so einrichten, dass die App der VIACTIV Krankenkasse Zugriff auf Ihre Kamera erhält sowie Ihnen Benachrichtigungen und Mitteilungen schicken darf.
  • Ärzte: Angaben zur Führung Ihrer Ärzteliste, wie etwa Name, Titel, Fachrichtung, Name der Praxis, Adresse, Telefon, Notiz (Freitextfeld).
  • Arztbesuch: Angaben zu Ihren Arztbesuchen, wie etwa Name des Arztes, Fachrichtung, Art des Besuches, Grund der Behandlung, Datum, Uhrzeit, Notiz (Freitextfeld).
  • Patientenakte/ Berechtigungen verwalten: Berechtigungen: Ein Leistungserbringer kann auf die Daten, die in Ihrer persönlichen ePA gespeichert sind, erst dann zugreifen, wenn Sie ihm hierzu eine Berechtigung erteilt haben. Im Rahmen der Vergabe der Berechtigung werden die Stammdaten des berechtigten Leistungserbringers sowie die von Ihnen vergebenen Berechtigungen in der ePA verarbeitet und dort dokumentiert. Das Erteilen der Berechtigung entspricht der Einwilligung in die Datenverarbeitung. Sie können zwischen einer grobgranularen Berechtigung für die gesamte Akte oder einer feingranularen Berechtigung für Dokumentenkategorien oder Berechtigung für einzelne Dokumente wählen.
  • Ereignisse: manuelle Einträge jeglicher Art. Die dort von Ihnen erfassten Daten dürfen keinen illegalen Content enthalten. Ferner dürfen die Angaben nur für die medizinische Versorgung, die Eigenorganisation medizinischer Belange oder zur Erstattung der Behandlungskosten relevant sein.

Dies gilt aber auch für alle anderen Services, die Sie nutzen.

6.2.2. Verarbeitung von Gesundheitsdaten durch Upload

In der ePA haben Sie die Möglichkeit, Dokumente und/ oder Fotos (z. B. von Arztrezept, Arztbrief, Befund, bildgebende Untersuchung, Medikationsplan, Ausweis, Überweisung) in einem standardisierten Format hochzuladen und unter Angabe weniger Metadaten (z. B. Titel, Dokumenttyp, Datum, Quelle/Herkunft des Dokuments, Kommentar) zu speichern.

Für mobile Endgeräte müssen Sie hierfür den Zugriff auf Ihre Kamera sowie Fotos erlauben.

Darüber hinaus können Ihnen künftig weitere Leistungsbereiche bereitgestellt oder bestehende Leistungsbereiche angepasst werden. Sie können die aktuellen Leistungsbereiche und Funktionalitäten jederzeit in der ePA einsehen.

Die von Ihnen in der ePA gespeicherten Daten werden ausschließlich auf Grundlage der von Ihnen erteilten Einwilligung verarbeitet. Sie sind weder gesetzlich noch vertraglich verpflichtet, etwaige Daten anzugeben, und können in sämtlichen Leistungsbereichen stets frei entscheiden, ob und welche Daten Sie eingeben möchten. Sie können Ihre manuell eingegebenen Daten jederzeit individuell bearbeiten und/oder löschen. Zudem können Sie Ihre Daten jederzeit – im Rahmen des Datenexports sämtlicher gespeicherter Daten – über die Funktionalitäten exportieren (unter: Einstellungen – Daten exportieren). Sie haben die Auswahl die Daten sowohl lokal auf Ihrem mobilen Endgerät als auch auf einem externen Speicherort abzulegen.

6.2.3. Verarbeitung von Gesundheitsdaten zur Bereitstellung in der ePA

In der ePA stehen Ihnen weitere spezifische Services zur Verfügung. Sie können jederzeit selbst entscheiden, welche dieser Services Sie nutzen und aktivieren möchten und welche Daten Sie bereitstellen wollen. Nachfolgend beschreiben wir Ihnen, wie wir Ihre Daten verarbeiten, wenn Sie die einzelnen Services aktivieren und nutzen:

  • Impf- und Vorsorgehinweise: In den Leistungsbereichen „Impfungen” und „Vorsorge" können Sie Informationen zu Ihren Impfungen bzw. Ihrer Vorsorge hinterlegen und verwalten. Zudem können Sie sich Ihre persönlichen Hinweise zu Impfungen bzw. Vorsorgeuntersuchungen erstellen lassen. Zur Nutzung dieser Services werden die folgenden Daten verarbeitet: Ihre hinterlegten bisherigen Impfungen und Vorsorgeuntersuchungen (manuell eingetragen) sowie Ihr Geschlecht und Ihr Geburtsdatum. Für die Erstellung der Impfhinweise werden die von Ihnen gespeicherten Daten mit den Empfehlungen der Ständigen Impfkommission (STIKO) abgeglichen und daraus Impfhinweise für Sie generiert. Für die Erstellung der Vorsorgehinweise werden die von Ihnen gespeicherten Daten mit den Ihnen gesetzlich zustehenden Vorsorgeuntersuchungen abgeglichen und daraus Vorsorgehinweise für Sie generiert. Die Richtigkeit der Impf- bzw. Vorsorgehinweise hängt von der Vollständigkeit und Qualität der in der ePA hinterlegten Daten ab. Die VIACTIV Krankenkasse kann die Richtigkeit und Vollständigkeit der von Ihnen eingegebenen oder importierten Daten nicht überprüfen.
    Besprechen Sie die Ihnen angezeigten Impf- und Vorsorgehinweise mit Ihrem Arzt, um mit ihm zu entscheiden, welche Impfungen bzw. welche Vorsorgeuntersuchungen für Sie sinnvoll sind. Zur Erstellung der Impf- und Vorsorgehinweise werden die gespeicherten Daten (Geschlecht, Geburtsdatum sowie die Informationen über Ihre Impfungen bzw. Vorsorgeuntersuchungen) auf Ihrem Endgerät mit Ihrem privaten Schlüssel entschlüsselt und über eine Transportverschlüsselung an den Server der IBM Deutschland GmbH gesendet, auf dem die ePA betrieben wird. Dort sind Ihre Daten technisch bedingt für den Betreiber IBM Deutschland GmbH kurzfristig einsehbar, um Ihre persönlichen Impf- bzw. Vorsorgehinweise zu erstellen. Anschließend werden die Hinweise über eine Transportverschlüsselung an Ihr Endgerät gesendet und die zur Erstellung der Hinweise auf dem Server von IBM verarbeiteten Daten umgehend wieder gelöscht.
  • Übertragung Ihres Entlassungsbriefs vom Krankenhaus: Im Rahmen Ihrer Nutzung der ePA können Sie zudem Ihren Entlassungsbrief (als PDF Dokument) von dem Sie behandelnden Krankenhaus importieren, sofern dieses an die ePA angebunden ist. Für diesen Zweck werden Sie im Rahmen der Aktivierung dieses Service um Ihre Einwilligung gebeten, dass Ihre Versichertennummer an Ihr Krankenhaus zur Anforderung des Entlassungsbriefs übermittelt wird. Der Entlassungsbrief wird verschlüsselt übertragen und Ihnen in der ePA angezeigt. Sie können den in der ePA gespeicherten Entlassungsbrief jederzeit wieder löschen. Sollten die Informationen in dem Entlassungsbrief unrichtig oder unvollständig sein, wenden Sie sich bitte an Ihr Krankenhaus, um die Daten berichtigen oder vervollständigen zu lassen. Sie müssen dann den Entlassungsbrief in der ePA löschen und einen neuen Import des berichtigten oder vervollständigten Entlassungsbriefs von Ihrem Krankenhaus anfordern. Dieses technische Verfahren ist erforderlich, um die Authentizität, Vollständigkeit und Verlässlichkeit der von Ihrem Krankenhaus importierten Gesundheitsdaten zu wahren und damit sicherzustellen, dass Ihre ePA als verlässliche Dokumentation Ihrer Gesundheitsdaten dienen kann.
  • Medikationsplan: Der Service "Medikationsplan" ermöglicht es Ihnen, einen von Ihrem Arzt erstellten Medikationsplan in Ihrer ePA zu hinterlegen. Diesen können Sie mit der Kamerafunktion Ihres Endgeräts über den auf dem Medikationsplan abgebildeten sog. Datamatrix-Code einlesen. Dadurch werden neben dem Datamatrix-Code selbst die vom Arzt verschriebenen Medikamente, die entsprechenden Einnahmehinweise und Angaben über den verordnenden Arzt (Vor- und Nachname, Adresse und Telefonnummer des Arztes) verschlüsselt in Ihrer ePA gespeichert. Im Rahmen der Bereitstellung dieses Service sind einzelne Daten technisch bedingt für IBM Deutschland GmbH kurzfristig einsehbar. Weiter bietet Ihnen dieser Service ggf. die Möglichkeit der Erinnerung an die Einnahme der Medikamente. Die Erinnerung erfolgt durch Push-Benachrichtigungen mittels der Benachrichtigungs- und Mitteilungsfunktion Ihres Endgerätes. Zur Nutzung des Service müssen Sie zusätzlich die Berechtigungen Ihres Endgeräts so einrichten, dass die VIACTIV – ePA Zugriff auf Ihre Kamera erhält sowie Ihnen Benachrichtigungen und Mitteilungen schicken darf. Die Erinnerungen an die Medikamenteneinnahme enthalten zum Schutz Ihrer Privatsphäre keine Informationen zu den jeweiligen Medikamenten, sondern nur einen generellen Hinweis. Sie können sämtliche in Ihrer ePA hinterlegten Medikationspläne unmittelbar selbst in dem Leistungsbereich Medikamente löschen.
  • elektronische Abrechnungsdaten (eAD): Die VIACTIV Krankenkasse stellt Ihnen auf Antrag Informationen über beanspruchte Leistungen rückwirkend bereit. Wenn Sie zum Arzt oder ins Krankenhaus gehen, legen Sie Ihre VIACTIV-Versichertenkarte vor. Die anschließende Abrechnung der Leistungen mit der VIACTIV geschieht im Hintergrund. Die eAD sorgen für Transparenz und bietet Ihnen einen Einblick in das, was der Arzt oder andere Leistungserbringer an Leistungen abgerechnet haben. Die eAD enthalten nicht nur die Daten der abgerechneten Leistungen für das laufende Jahr, sondern auch für die der letzten drei Kalenderjahre. Die eAD enthalten jedoch keine Leistungen, die Sie privat bezahlt haben, oder die Sie durch Erstattungen nutzen konnten.
    Sie können den in der ePA gespeicherten eAD jederzeit wieder löschen.
    Sollten Sie auf Ihren eAD Angaben oder Leistungen finden, die Ihrer Meinung nach nicht erbracht wurden, könnte ein Fehler oder gar ein Abrechnungsbetrug vorliegen. Setzen Sie sich in solchen Fällen unbedingt umgehend mit uns in Verbindung. Sie müssen dann die bisher gespeicherten eAD in der ePA selbst löschen und einen neuen Import der berichtigten eAD von uns anfordern.
    Ihre eAD enthalten folgende Angaben:

    Angaben zu Ihrer Person:

    • Name
    • Anschrift
    • Versichertennummer
    • Zeitraum für welchen die Patientenquittung erstellt wurde

Angaben zu folgenden Leistungen, sofern diese von Ihnen in Anspruch genommen wurden:

    • Krankenhausleistungen
    • Arznei- und Hilfsmittel (Apotheke)
    • Ambulante Versorgung durch Vertragsärzte
    • Zahnärztliche Leistungen
    • Zahnersatz, Kieferbruch, Kieferorthopädie und Parodontitis-Behandlung
    • Hilfsmittel
    • Heilmittel (wie z. B. Physiotherapie)
    • Hebammen und Entbindungshelfer
    • Haushaltshilfe
    • Krankentransport
    • Leistungen zur Rehabilitation
    • Sonstige Leistungen

Die Datenverarbeitung im Rahmen der vorstehenden Services erfolgt ausschließlich auf Grundlage Ihrer Einwilligung, die Sie im Rahmen der Nutzung der jeweiligen Services erteilen.

6.2.4. Verarbeitung sonstiger personenbezogener Daten

(a) Erfassung von Nutzungsdaten zu Abrechnungszwecken

Die Nutzung der ePA ist für Sie kostenlos. Die Kosten für Ihre Nutzung trägt die VIACTIV Krankenkasse.
Um eine nutzungsabhängige Abrechnung der ePA gegenüber der IBM Deutschland GmbH zu ermöglichen, erheben, speichern und verarbeiten wir folgende Informationen über die Nutzung der ePA:

  • Datum und Uhrzeit der Registrierung für die Nutzung
  • Datum und Uhrzeit des letzten Zugriffs auf die ePA pro Quartal (es werden stets nur die Informationen über einen Zeitraum der jeweils fünf letzten Quartale erfasst und gespeichert)
  • Technische Referenznummer
  • Krankenkassenzugehörigkeit
  • Art, Datum und Uhrzeit einer etwaigen Kündigung (soweit anwendbar) bzw. Art, Datum und Uhrzeit einer etwaigen sonstigen Vertragsbeendigung (soweit anwendbar).

Die verarbeiteten Daten zu Abrechnungszwecken dienen zur Erfüllung des Vertrages zwischen der VIACTIV Krankenkasse und der IBM Deutschland GmbH und werden für keine anderen Zwecke verarbeitet oder an Dritte weitergegeben.

(b) Protokolldaten zur Sicherstellung der Systemumgebung

Die IBM Deutschland GmbH protokolliert systemseitig Log-Daten der Zugriffe auf die Systemumgebung und Applikationen der ePA auf den Servern (Datum, Zeitpunkt, Anforderung/ Vorgang, Fehlermeldung), um etwaige Störungen zu analysieren und mögliche Fehlerursachen zu identifizieren und zu beheben. Zu diesen Zwecken kann in den Log-Daten auch Ihre technische Referenznummer gespeichert werden. Es ist der IBM Deutschland GmbH grundsätzlich nicht möglich, von Ihrer technischen Referenznummer Rückschlüsse auf Ihre Person zu ziehen.

Daneben wird die IP-Adressen der Endgeräte, mit denen Sie die ePA nutzen, sowie den dazugehörigen Vorgang (Anforderung/ Vorgang, Datum, Uhrzeit) protokolliert, um potentielle Angriffe von außen gegen die Systemumgebung nachvollziehen und abwehren zu können. Soweit die Log-Daten personenbezogene Daten/ Sozialdaten enthalten oder die IP-Adresse erfasst werden, dienen diese der IBM Deutschland GmbH die Wahrung der berechtigten Interessen (Fehleranalyse, Gewährleistung der Systemsicherheit, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) zu gewährleisten.

Das ePA-Frontend für Versicherte ermöglicht die übersichtliche Anzeige sämtlicher Protokolleinträge, inklusive aller Inhalte des § 291a-konformen Zugriffsprotokolls und der Verwaltungsprotokolle.

Darüber hinaus können Sie ein Auskunftsersuchen zu gespeicherten Protokolldaten an die VIACTIV Krankenkasse richten, die eine entsorechende Anforderung an die IBM formuliert.

Sie haben als Nutzer der ePA die Möglichkeit, sich die Anmeldeprotokolle der letzten fünf Anmeldungen im Register "Patientenakte (ePA)" im Auswahlmenü anzeigen zu lassen.

Zudem erfolgt eine Protokollierung der Nutzungsdaten (Aktionsprotokoll – Bps.: Suche nach Dokumenten, Einstellen, Herunterladen und Löschen von Dokumenten, Vergabe, Ändern und Löschen von Berechtigungen, Login) zum Nachweis einer korrekten, rechtskonformen Verarbeitung.

Die Protokolleinträge werden am Ende des auf ihre Generierung folgenden Jahres gelöscht. Ausnahme: Die 50 jüngsten Protokolleinträge werden auch dann nicht gelöscht, wenn die zuvor genannte Frist erreicht bzw. überschritten ist.

Die Aktionsprotokolle enthalten folgende Daten:

  • Ausgeführte Operation
  • Name des Bearbeiters
  • ID des Bearbeiters
  • Zugriffsgerät
  • Name des Aktenanbieters
  • ID des Aktenanbieters
  • Zugriffsumgebung
  • Protokoll Code

Das Aktionsprotokoll muss, sofern Sie ein Front-End des Versicherten nutzen, von Ihnen gesichert werden. Das Aktionsprotokoll kann weder migriert noch übertragen werden. Sofern Sie Interesse an den Aktionsprotokollen haben, müssen diese durch Sie gesichert werden. Ein Export durch IBM und die VIACTIV Krankenkasse ist nicht möglich. Nutzen Sie kein Front-End des Versicherten, können Sie die Aktionsprotokolle im Rahmen eines Auftrags über den Kundenservice der VIACTIV bei der IBM anfordern (siehe auch Betroffenenrechte unter Punkt 17 dieser Datenschutzerklärung).

(c) Datenverarbeitung im Rahmen des Supports und Lösung von Incidents (Support Fall)

Zur Durchführung des 2nd-Level-Supports ist es der IBM gestattet zur Analyse eines Fehlerbildes in Ausnahmefällen je Einzelfall zeitlich befristet personenbezogene Daten/ Sozialdaten zu verarbeiten.

Die IBM muss hierfür je nach Anwendungsfall ein oder mehrere der folgenden personenbezogenen Daten/ Sozialdaten von Ihnen verarbeiten, um Support zu leisten und technische Lösungen für Incidents zu schaffen:

  • bei allen Fragen zum ePA-Bereich: Krankenversichertennummer
  • bei allen Fragen zum ePA-Bereich (kassenindividueller Bereich): technische Referenznummer/Partnernummer
  • bei Fragen zum Status der Gerätebindung (Versand von Bestätigungs- und Informations-E-Mails seitens IBM zusätzlich: verifizierte E-Mail-Adresse

Der IBM-2nd-Level-Support informiert die VIACTIV Krankenkasse über das gemeinsam genutzte Ticketsystem, welches Sozialdatum für die Problemlösung benötigt wird. Die IBM verpflichtet sich nur solche Daten anzufordern, die für die Lösung des Incidents erforderlich sind.

Nach der Problemlösung durch die IBM und Mitteilung an uns werden die personenbezogenen Daten/ Sozialdaten bei IBM gelöscht.

Bei uns werden die Daten gemäß Löschkonzept der VIACTIV Krankenkasse spätestens nach einem Jahr gelöscht.

(d) E-Mailadresse zu Kommunikationszwecken

Die von Ihnen verifizierte E-Mail-Adresse dient als Kommunikationsmedium bei Änderung von Daten während Ihrer Nutzung der ePA (bspw., wenn Sie Ihre E-Mail-Adresse ändern). Ihre verifizierte E-Mail-Adresse dient ausschließlich dazu, Sie über Änderungen in Ihrer ePA zu informieren. Die E-Mail-Adresse wird zu keinen anderen Zwecken genutzt.

(e) Daten zur Kontenverwaltung

Zur Administration Ihrer digitalen oder analogen Nutzung der ePA wird ein Kontenverwaltungssystem, innerhalb unseres Bestandssystem oscare®, von der VIACTIV Krankenkasse genutzt.

Im Rahmen des Kontenverwaltungssystems verwalten und speichern wir Ihre Nutzungs-, Berechtigungs- und Statusdaten Ihrer ePA, Ihre erteilten Einwilligungen sowie Ihre Krankenversichertennummer zur Anlage einer ePA, jedoch keine von Ihnen hochgeladenen Gesundheitsdaten.
Für die digitale Nutzung der ePA speichern wir zusätzlich Ihr genutztes Authentisierungsmittel GesundheitsID oder NFC-fähigen eGK), mit dem Sie sich in der ePA einloggen.

(f) Daten zur Gewährleistung der Betroffenenrechte nach Artikel 15 DSGVO

Zur Beantragung des Rechts auf Auskunft ist es erforderlich, dass wir Ihre Stammdaten (Name, Vorname, Krankenversichertennummer) in einem Ticketsystem verarbeiten und zur Erstellung des Auskunftsersuchens aus der ePA durch die IBM die Krankenversicherungsnummer an die IBM übermitteln.

Die IBM stellt für die VIACTIV Krankenkasse eine Kopie der unverschlüsselt gespeicherten personenbezogenen Daten zu Ihrer Person, die Gegenstand der Verarbeitung sind, zur Verfügung. Der Umfang und die Art der Daten richtet sich nach der jeweils aktuellen ePA-Version.

Dies sind zurzeit:

  • Informationen zur Authentifizierung (Mittel und Log-Files)
  • Informationen zur Berechtigung (berechtigte Person und Logfiles)
  • Informationen zu Benachrichtigungskanälen
  • Informationen zum Gerät/ Smartphone
  • Informationen zu Anfragen
  • Informationen zu Datensatz-Statusänderungen
  • Informationen zur Kommunikation (versendete Mails)
  • Informationen zur Kontoverwaltung (Datensatz/ Löschen von Jobs)

Dabei werden folgende Datenarten verarbeitet:

  • Zeitliche Angaben (Uhrzeit, Datum hinzugefügt, gültig bis)
  • Ereignis/ Beschreibung des Ereignisses
  • Ergebnis der Authentifikation/ Berechtigungsprüfung
  • Versichertennummer
  • Titel und Name des Versicherten inkl. gematik spezifische technische Merkmale
  • Gerätename, Geräte-ID, Geräte-Status
  • Autorisierungstyp, Seriennummer und Status
  • Nummer, Grund, Zeitpunkt und E-Mail-Adresse der Anfrage
  • Ziel/ Mail/ Adresse, Zeitpunkt und Grund des Mailversands
  • Name der Krankenkasse und Krankenkassenkennzeichen

Das Ergebnis mit den oben genannten Daten erhalten wir von der IBM, ergänzen diese Daten um die Daten aus der ePA-Kontenverwaltung (siehe Punkt 6.2.4 e) und stellen Ihnen die gesamten Informationen nach Artikel 15 DSGVO per Post zu.

Nach Übertragung der Informationen durch die IBM an uns, werden die dafür erstellten Kopien sowie die von uns an die IBM übermittelte Krankenversichertennummer bei der IBM gelöscht.

Ihr Auskunftsersuchen wird zusammen mit der Auskunft nach Artikel 15 DSGVO zur Erfüllung der Rechenschaftspflicht gemäß Löschkonzept der VIACTIV Krankenkasse bei uns spätestens nach fünf Jahren gelöscht.

(g) Daten zur Verarbeitung der Auskunft nach § 309 SGB V

Zur Sicherstellung des § 309 SGB V (Datenschutzkontrolle) ist es erforderlich, dass sowohl von der VIACTIV Krankenkasse als auch von der IBM personenbezogene Daten/ Sozialdaten verarbeitet werden. Nach der Gesetzesbegründung beinhaltet dies die Zugriffe und Zugriffsversuche auf Ihre ePA.
Hierfür darf die IBM auf unsere Weisung Ihre Krankenversichertennummer verarbeiten.
Zur Erfüllung der Auskunft stellt uns die IBM eine Kopie der unverschlüsselt gespeicherten Verwaltungsprotokolle zur Verfügung. Der Umfang der Verwaltungsprotokolle richtet sich nach der aktuellen Fassung der Gematik-Spezifikationen und beinhaltet die erfolgten und versuchten Zugriffe in Ihrer ePA.

Die zu verarbeitenden Daten im Rahmen der Auskunft nach § 309 SGB V entsprechen den von der IBM zu übermittelnden Daten bei einem Auskunftsersuchen nach Artikel 15 DSGVO (siehe Punkt 6.2.4 f).
Nach Übertragung der Informationen nach § 309 SGB V durch die IBM an uns, werden die dafür erstellten Kopien sowie die von uns an die IBM übermittelte Krankenversichertennummer bei der IBM gelöscht.

7. Nach der gesetzlich geforderten Aufbewahrungsfrist von drei Jahren werden die Verwaltungs-protokolle gelöscht.Daten zu Forschungszwecken freigeben

Gemäß § 363 SGV i.V.m. § 303e SGB V können Sie Ihre Daten der ePA freiwillig zu Forschungszwecken freigeben.

Dies betrifft die Bereiche Impfpass, Mutterpass, Kinderuntersuchungsheft, und/ oder Zahnbonusheft, die zu folgenden Forschungszwecken

  • Verbesserung der Qualität der Versorgung,
  • Forschung, insbesondere für Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens,
  • Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Krankenversicherung,
  • Wahrnehmung von Aufgaben der Gesundheitsberichterstattung,

freigegeben und an das Forschungsdatenzentrum des Bundesministeriums für Gesundheit zur Verarbeitung übermittelt werden können. Ihre Einwilligung in die Übermittlung und Datenverarbeitung erfolgt individuell und freiwillig. Sie können die Einwilligung jederzeit (auch für Teilbereiche) mit Wirkung für die Zukunft widerrufen. Nach Widerruf der Einwilligung werden diese Daten dann nicht mehr dem Forschungsdatenzentrum zur Forschung übermittelt.

8. Anbindung an das Nationale Gesundheitsportal

Die gesetzlichen Krankenversicherungen sind dazu verpflichtet (§ 342 Abs. 2 Nr. 4 Buchstabe e SGB V) sicherzustellen, dass Ihre Versicherten auf Informationen des Nationalen Gesundheitsportals nach § 395 barrierefrei zugreifen können.

Darüber hinaus sollen Informationen des Gesundheitsportals mit Daten, die in Ihrer ePA gespeichert sind, verknüpft angeboten werden können, um sich insbesondere über Sie betreffende Symptome, Diagnosen, Präventionsmaßnahmen oder die Therapie von Erkrankungen zu informieren.
Um diesen Service nutzen zu können, müssen Sie eine entsprechende Berechtigung erteilen.

Die erteilte Berechtigung kann unter den Einstellungen in der elektronischen Patientenakte jederzeit widerrufen werden.
Auch Ihre Vertreter sind zum Ausführen der zuvor genannten Aktivitäten berechtigt.

9. Digitale Gesundheitsanwendungen

Aufgrund des Digitalen-Versorgung-und-Pflege-Modernisierungsgesetzes (DVPMG) ist die VIACTIV Krankenkasse verpflichtet, ihre Daten aus digitalen Gesundheitsanwendungen (DiGA) mit ihrer Einwilligung vom DiGA-Hersteller in Ihre ePA übermitteln zu lassen und dort zu speichern. Eine Kenntnisnahme durch die VIACTIV sowie ein Zugriff durch uns auf diese Daten ist nicht möglich.

Der DiGA-Hersteller stellt auf Ihren Wunsch und mit Ihrer ausdrücklichen Berechtigung die Daten (DiGA-Dokumente) aus einer DiGA in Ihre ePA ein. Es können nur Berechtigungen an DiGA vergeben werden, die im Verzeichnisdienst (VZD) der Telematikinfrastruktur registriert sind. Im Auswahlmenü in der ePA können Sie entsprechende Hersteller mit Ihrer ePA verbinden. Die Berechtigungen bzw. Verbindungen können jederzeit von ihnen widerrufen bzw. getrennt werden.

Die DiGA-Hersteller können keine Daten in Ihrer ePA einsehen.

Auch einem Vertreter ist das Ausführen der zuvor beschriebenen Aktivitäten gestattet.

10. Vertretungen einrichten

  • Vertretung einrichten als Akteninhaber:
    Zur Einrichtung einer Vertretung müssen Sie über den Pfad Einstellungen – Patientenakte - Vertretungen den Vornamen und Nachnamen, die Versichertennummer und die E-Mail-Adresse des Vertreters hinterlegen. Ein Vertreter hat grundsätzlich die gleichen Zugriffsmöglichkeiten wie Sie selbst, kann Leistungserbringern Zugriffe gewähren oder entziehen und die Krankenkassen zur Datenbereitstellung auffordern. Ein Berechtigter kann ihre ePA jedoch nicht löschen oder aber weitere Vertreter benennen bzw. Vertretungen widerrufen. Vor der Einrichtung eines Vertreters ist es erforderlich, dass Sie uns aktiv bestätigen, dass Ihnen die Einwilligung zur Verarbeitung der erforderlichen Daten des Vertreters vorliegt.
  • Vertretung hinzufügen als Vertreter (Schaltfläche „Als Vertretung“):

    Zur Durchführung der Vertretung müssen Sie ein eigenes Profil anlegen, über das Sie im Anschluss Zugang in die ePA des zu Vertretenden erhalten. Es ist erforderlich, dass hierfür die Versichertennummer des zu Vertretenden und die ePA-Adresse im Profil hinterlegt werden.

Die Daten der Vertretungsregelung werden ausschließlich in der ePA verarbeitet. Die VIACTIV Krankenkasse erhält keine Kenntnis darüber.

11. Einwilligung in die Verarbeitung Ihrer Gesundheitsdaten

Im Rahmen des Zugangsverfahrens zur ePA werden Sie gebeten, Ihre Einwilligung in die Verarbeitung personenbezogener Daten/Sozialdaten zur Registrierung, Authentifizierung, Validierung und Aktivierung der elektronischen Patientenakte zu geben.

Ihre Einwilligungen sind freiwillig. Sie können Ihre Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass hierdurch die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Bei einem Widerruf in die Einwilligung der Verarbeitung personenbezogener Daten des Registrierungsprozesses können Sie die ePA nicht mehr weiter nutzen.

Sofern Sie die Einwilligung dennoch widerrufen möchten, nutzen Sie bitte die Funktionalität zur Kündigung (unter: Einstellungen - Vertrag - „Zur Kündigung“). In diesem Fall werden die bisher gespeicherten Daten durch die VIACTIV Krankenkasse vollständig gelöscht.

Sofern Sie bloß die weitere Speicherung und Verarbeitung bestimmter, manuell eingegebener Daten verhindern wollen, können Sie diese Daten jederzeit individuell löschen.

Des Weiteren werden Sie bei der Aktivierung von einzelnen Services und Funktionen der ePA dazu aufgefordert, zusätzliche spezifische Einwilligungen in die zur Erbringung der jeweiligen Services erforderliche Verarbeitung Ihrer Gesundheitsdaten abzugeben.

Mit Ihren jeweiligen Einwilligungen erklären Sie sich damit einverstanden, dass, soweit für den jeweiligen Service erforderlich, die von Ihnen ausgewählten Daten übertragen und im Rahmen Ihrer Nutzung verarbeitet werden. Nur nach Ihrer Einwilligung ist die Bereitstellung der Funktionalitäten der ePA möglich.

Die von Ihnen erklärten Einwilligungen werden im Wortlaut von der VIACTIV Krankenkasse zum Zwecke der Rechenschaftspflicht protokolliert.

Ihre Einwilligungen können Sie innerhalb der ePA in der VIACTIV – ePA (mobile Endgeräte/stationärer Client) einsehen, und die damit verbundenen Wortlaute und die Protokolldaten abrufen (unter: Einstellungen – Informationen - Einwilligungen).

Ebenso können Sie die einzelnen Services jederzeit wieder deaktivieren. Bitte beachten Sie, dass durch die Deaktivierung eines Service zwar die weitere Verarbeitung Ihrer Daten für Zwecke der Bereitstellung der jeweiligen Services verhindert wird, die Deaktivierung der Services aber nicht die Löschung der bereits in der ePA gespeicherten Daten zur Folge hat.
Sie können Ihre Daten aber jederzeit selbst innerhalb der jeweiligen Services löschen.

12. Bereitstellung des telefonischen Supports

Die VIACTIV Krankenkasse stellt ihren Versicherten zur Nutzung der ePA einen telefonischen Support zur Verfügung, über den generelle Fragen zu den Funktionalitäten beantwortet werden. Die Berechtigung zum Zugang zum Telefonsupport wird von der Krankenkasse überprüft (Authentifizierung des Versicherten).

Den Support erreichen Sie unter der Telefonnummer: +49 800 758 3000.

Zur Bereitstellung des telefonischen Supports nutzen wir außerhalb unserer Geschäftszeiten den Dienstleister asf GmbH, um Ihnen einen 24/7 Service zur Verfügung zu stellen. Damit die asf GmbH Sie als Versicherten der VIACTIV Krankenkasse identifiziert und die Berechtigung zum Telefonsupport überprüft, findet ebenfalls eine Authentifizierung statt. Hierfür stellen wir der asf GmbH Versichertenstammdaten zur Verfügung.

Der Support hat keinen Zugriff auf die operativen Systeme und kann somit Ihre gespeicherten Daten nicht einsehen. Bei technischen Störungen wird ein Ticket im Ticketsystem erstellt und an den technischen Support weitergeleitet. Sollte die Supportanfrage nicht direkt im ersten Telefonat mit Ihnen beantwortet werden können, erhalten Sie auf Basis dieser Ticketnummer zu einem späteren Zeitpunkt eine telefonische Rückmeldung zum Lösungsstand Ihrer Anfrage durch die VIACTIV Krankenkasse.

In Notfällen ist die asf GmbH dazu berechtigt eine Sperrung Ihres mobilen Endgeräts bei Verlustmeldung durch Sie durchzuführen (Sperrservice). Um die Sperrung durchzuführen, werden die folgenden Informationen von Ihnen benötigt:

  • Art der Sperre (ePA oder eGK)
  • Versichertennummer
  • Name
  • Vorname
  • Geburtsdatum
  • Integrated Circuit Card Serial Number (ICCSN) (Kennnummer der eGK)

13. Werden Daten in ein Drittland übermittelt?

Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet nicht statt.

14. Wo werden meine Daten gespeichert?

Ihre personenbezogenen Daten/Sozialdaten aus dem Registrierungsprozess, E-Mailadresse und selbstvergebener PIN, werden ausschließlich innerhalb der Bundesrepublik Deutschland auf Servern der IBM Deutschland GmbH, mit Standort in Frankfurt am Main, verarbeitet. Für die E-Mailvalidierung der Registrierungsanfrage der VIACTIV – ePA, kommt ein E-Mailserver der Fa. ITSC GmbH (SMTP-Server), mit Standort in Hannover, zum Einsatz.

Die Registrierung, Authentifizierung und das Speichern von Gesundheitsdaten in der ePA werden in einem separat, geschützten Rechenzentrum der SoftLayer Technologies Deutschland GmbH in Frankfurt am Main, einem Gruppen-Unternehmen der IBM Corporation, gespeichert und verarbeitet.
Ihre Gesundheitsdaten werden hierbei stets verschlüsselt in Ihrer ePA verarbeitet.

Für die E-Mail-Kommunikation in Zusammenhang mit der ePA wird ein E-Mail Service der Fa. ITSC GmbH, mit Standort Hannover, verwendet.

Das Bestandsystem oscare® und die Kontoverwaltung der VIACTIV Krankenkasse verarbeitet und speichert Ihre Daten im Rechenzentrum der Mobil ISC GmbH in Lehrte.

Für den telefonischen 1st-Level-Support außerhalb der VIACTIV Geschäftszeiten wird der Telefondienstleister asf GmbH eingesetzt. asfGmbH erhält im Zuge des telefonischen Supports außerhalb unserer Geschäftszeiten einen Auszug der Versichertenstammdaten und hat keinen direkten Zugriff auf das Bestandsystem der VIACTV Krankenkasse.

Auf ihrem Endgerät werden mit Ausnahme Ihres persönlichen Sicherheitsschlüssels (Recovery Key - zur Verschlüsselung der in Ihrer ePA gespeicherten Inhalte) keine weiteren Daten gespeichert.

15. Wie lange werden meine Daten gespeichert?

Wir verarbeiten Ihre personenbezogenen Daten/Sozialdaten, solange es für die Erfüllung unserer gesetzlichen Aufgaben erforderlich ist. Sofern dieses Erfordernis entfällt, werden die Daten unter Beachtung der gesetzlichen Aufbewahrungsfristen gelöscht.

Ihre gespeicherten Gesundheitsdaten werden so lange in der ePA aufbewahrt, bis Sie von Ihrer Kündigung Gebrauch machen. Nach Kündigung der ePA werden die Daten spätestens nach 28 Tagen vollständig und unwiderruflich gelöscht. Solange besteht auch ein Widerrufsrecht zu Ihrer Kündigung. Sie können Ihre Gesundheitsdaten zudem jederzeit selbst löschen. Sie haben die Möglichkeit Ihre Daten bis zur Beendigung der Nutzung der ePA (Kündigung der Mitgliedschaft, Kündigung ePA, Widerruf der Einwilligung zur Datenverarbeitung) aus der ePA zu exportieren und auf einem Medium Ihrer Wahl zu speichern. Beachten Sie bitte hierbei, dass sie die exportierten Daten nur in verschlüsselter Form abspeichern können und eine dafür notwendige Applikation, mit einem zertifizierten Front-End des Versichertenmoduls (FdV Modul), benötigen, um diese entschlüsselt zu öffnen.

Im Rahmen eines Widerrufs der Einwilligung in die Datenverarbeitung zur ePA werden Ihre Daten nach sieben Tagen gelöscht.

Die für Abrechnungszwecke gespeicherte Daten (Datum und Uhrzeit der Registrierung für die Nutzung, Datum und Uhrzeit des letzten Zugriffs auf die ePA pro Quartal, Technische Referenznummer, Krankenkassenzugehörigkeit, Art, Datum und Uhrzeit einer etwaigen Kündigung (soweit anwendbar) bzw. Art, Datum und Uhrzeit einer etwaigen sonstigen Vertragsbeendigung (soweit anwendbar) über Ihre Nutzung der ePA, werden nicht länger als 15 Monate gespeichert.

Die von Ihnen zu Nachweiszwecken erfassten Protokolldaten (wie etwa Zeitpunkt und Inhalt erklärter Einwilligungserklärungen) werden zur Vertragsabwicklung sowie zur Wahrung der berechtigten Interessen von IBM Deutschland GmbH (Sicherung des Nachweises zur Geltendmachung, Ausübung und Verteidigung unserer rechtlichen Ansprüche) nach Beendigung des Nutzungsvertrages noch für einen Zeitraum von drei Jahren aufbewahrt. Die zur Fehleranalyse, Gewährleistung der Systemsicherheit sowie die Allgemeinen Nutzungsbedingungen gespeicherten Log-Daten und die IP-Adresse Ihres Endgeräts, mit dem Sie die ePA nutzen, werden jeweils 14 Tage nach der entsprechenden Protokollierung gelöscht, es sei denn, dass innerhalb dieses Zeitraums ein Vorfall entdeckt wurde, der eine weitere Aufklärung, Untersuchung und/oder Verfolgung erfordert.

Sämtliche vorstehend aufgeführten Daten werden nach Ablauf der genannten Zeiträume vollständig gelöscht, es sei denn, dass einer Löschung gesetzliche Aufbewahrungspflichten entgegenstehen oder eine längere Speicherung im konkreten Fall zur Erfüllung unserer rechtlichen Verpflichtungen oder zur Geltendmachung, Ausübung oder Verteidigung unserer Rechtsansprüche erforderlich ist.

16. Wie werden die Daten geschützt?

Ihre Daten werden vertraulich behandelt. Es wurden zur Sicherheit technische und organisatorische Maßnahmen implementiert, die zum Schutz Ihrer Daten gegen Offenlegung und vor unbefugten Zugriff sowie unbefugter Weitergabe dienen.
Ihre Daten werden sicher in einem mehrfach zertifizierten Rechenzentrum der IBM Deutschland GmbH verarbeitet. Sämtliche Daten, die Sie in der ePA speichern oder von Dritten in die ePA hochladen lassen, sind ausschließlich verschlüsselt. Die Verschlüsselung wird durch Ihren privaten Sicherheitsschlüssel generiert und auf Ihrem mobilen Endgerät gespeichert. Weder die VIACTIV Krankenkasse noch die IBM Deutschland GmbH hat Zugriff auf Ihren privaten Schlüssel, der während der Registrierung an der ePA erstellt wird. Die Daten in der ePA können ausschließlich durch den Nutzer eingesehen werden.

Die verwendeten Verschlüsselungsmechanismen und Methoden orientieren sich an aktuellen Verfahren und Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI).

17. Welche Datenschutzrechte haben Sie?

Sie als betroffene Person haben

  • das Recht auf Auskunft nach Art. 15 DS-GVO,
  • das Recht auf Berichtigung nach Art. 16 DS-GVO,
  • das Recht auf Löschung nach Art. 17 Abs. 1 DS-GVO,
  • das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO
  • das Recht auf Mitteilungspflicht seitens der VIACTIV Krankenkasse im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung nach Art. 19 DS-GVO
  • Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO
  • sowie das Recht auf Widerspruch nach Art. 21 DS-GVO.

Die vorgenannten Datenschutzrechte werden darüber hinaus durch spezielle Regelungen zum Sozialdatenschutz ergänzt – vgl. §§ 83 und 84 SGB X.

In Bezug auf das Recht auf Auskunft können Sie einen Antrag auf ein detailliertes Auskunftsersuchen gemäß Art. 15 DSGVO zur ePA stellen. Dies umfasst auch die Verwaltungsprotokolle der ePA. Diesen Antrag können Sie formlos bei uns stellen.

Ferner haben Sie das Recht, eine der VIACTIV Krankenkasse erteilte Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten/ Sozialdaten jederzeit zu widerrufen. Bitte beachten Sie aber, dass der Widerruf die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Schließlich besteht auch das Recht der Beschwerde bei einer Aufsichtsbehörde. Für die VIACTIV Krankenkasse ist die Datenschutzaufsichtsbehörde der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig.

Darüber hinaus verweisen wir auf unsere allgemeinen Informationen zum Datenschutz auf unserer Homepage unter https://www.viactiv.de/datenschutz.

18. Erfolgt eine Aktualisierung dieser Datenschutzhinweise?

Im Rahmen der technischen Weiterentwicklung unseres Dienstleistungsangebotes sowie des gesetzlichen Rahmens werden wir auch unsere Informationen zum Datenschutz sowie die Datenschutzerklärung der ePA laufend anpassen. Hierzu werden Änderungen des Datenschutzhinweises auf unserer Webseite veröffentlicht. Bitte lesen Sie daher regelmäßig die jeweils aktuelle Fassung der Informationen zum Datenschutz unter https://www.viactiv.de/datenschutz. Vorbehaltlich der geltenden Rechtsvorschriften treten alle Änderungen des Datenschutzhinweises in Kraft, sobald die aktualisierte Version veröffentlicht wird. Sollten wir bereits Daten über Sie erfasst haben und/ oder einer gesetzlichen Informationspflicht unterliegen, werden wir Sie zusätzlich über wesentliche Änderungen unseres Datenschutzhinweises informieren und Sie um Ihre Zustimmung bitten, sollte dies gesetzlich erforderlich sein.

Dezember 2023