Ein Unternehmen derRHÖN-KLINIKUM AG
English
A A A
A A A
English
Philipps Universität Marburg Philipps Universität Marburg Fachbereich 20 – Medizin
Justus-Liebig-Universität Gießen Justus-Liebig-Universität Gießen Fachbereich 11 – Medizin

Datenschutzerklärung Secure File Transfer

Liebe Beschäftigte, liebe Geschäftspartner,

mit der nachfolgenden Erklärung möchten wir Ihnen einen Überblick über Art, Umfang und Zwecke der Erhebung und Verwendung Ihrer Daten beim Verfahren Secure File Transfer – abrufbar unter https://sft.rhoen-klinikum-ag.com/ geben.

Wer ist für Datenverarbeitung verantwortlich?

Verantwortlicher im Sinne des Datenschutzrecht ist die

RHÖN-KLINIKUM AG
Schlossplatz 1
97616 Bad Neustadt a. d. Saale
Tel.: +49 9771 65-0
E-Mail: rka(at)rhoen-klinikum-ag.com

Unsere Datenschutzbeauftragte

Unsere Datenschutzbeauftragte im Unternehmen erreichen Sie unter

Konzerndatenschutzbeauftragte
der RHÖN-KLINIKUM AG
Schlossplatz 1
97616 Bad Neustadt a. d. Saale
Telefon: 0611/23 60 176-0 oder 0160/977 364 71
E-Mail: konzerndatenschutz(at)rhoen-klinikum-ag.com

1.  Welche Daten von Ihnen werden von uns verarbeitet? Und zu welchen Zwecken?

Die RHÖN-KLINIKUM AG erhebt und speichert bei der Nutzung von Secure File Transfer automatisch in ihren Server-Logs Informationen, die Ihr Browser an uns übermittelt bzw. die bei der Kommunikation entstehen. Diese sind:

  • IP-Adresse des Endgerätes des Webseitenbesuchers,
  • verwendetes Gerät,
  • Hostname des zugreifenden Rechners,
  • Betriebssystem des Besuchers,
  • Browsertyp und Version,
  • Name der abgerufenen Datei,
  • Zeitpunkt der Serveranfrage,
  • Menge der Daten,
  • Information, ob der Abruf der Daten erfolgreich war.

Von registrierten Benutzern speichern und verarbeiten wir ausschließlich die personenbezogenen Daten, welche Sie uns im Antragsformular mitteilen und die bei der Nutzung von Secure File Transfer aus technischen Gründen benötigt werden. Diese sind:

Für den Benutzerantrag:

  • Ihr Name,
  • Ihre E-Mail-Adresse,
  • Ihre Telefonnummer,
  • den Zweck der Nutzung der Lösung
  • und das Datum des Antrags.

Für das Login in Secure File Transfer

  • Ihr Benutzername,
  • Ihr Kennwort,
  • die von Ihnen eingestellte Sprache.

Ergänzend werden folgende Protokolldaten vom System Secure File Transfer erhoben:

  • der Zeitpunkt Ihres letzten erfolgreichen Logins,
  • der Zeitpunkt Ihres letzten Log-outs,
  • Ihre IP-Adresse beim Aufruf der SFT-Login-Seite.

Ihre im Antragsformular übermittelten Kontaktdaten werden von uns einzig zur Erstellung Ihres SFT Nutzer-Accounts verwendet. Die weiteren Daten werden ausschließlich dazu genutzt, um den von Ihnen gewünschten Service des Secure File Transfer zu erbringen und zu gewährleisten.

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

 

2. Einsatz von Local Storage Items, Session Storage Items und Cookies

Unsere Webseite verwendet Local Storage Items, Session Storage Items und/oder Cookies. Beim Local Storage handelt es sich um einen Mechanismus, welcher die Speicherung von Daten innerhalb des Browsers auf Ihrem Endgerät ermöglicht. Diese Datenbeinhalten meist Benutzerpräferenzen, wie beispielsweise den „Tag-“ oder „Nachtmodus“ einer Webseite, und bleiben so lange erhalten, bis Sie die Daten manuell löschen. Session Storage ist dem Local Storage sehr ähnlich, wohingegen die Speicherdauer nur während der aktuellen Sitzung, also bis zum Schließen des aktuellen Tabs andauert. Danach werden die Session Storage Items von Ihrem Endgerät gelöscht. Bei Cookies handelt es sich um Informationen, welche ein Webserver (Server, der Webinhalte bereitstellt) auf Ihrem Endgerät hinterlegt, um dieses Endgerät identifizieren zu können. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) und nach Ende Ihres Besuchs einer Webseite gelöscht oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert, bis Sie diese selbst löschen oder eine automatische Löschung durch Ihren Webbrowser erfolgt.

2.1 Cookies und Daten im Browser des SECURE FILE TRANSFER

Name

Typ (Speicherdauer)

 

Zweck

core

1st-Party, Cookie (Session)

Dieses Cookie ist technisch für den Betrieb der Webseite / des genutzten Dienstes notwendig.

Das Cookie ist für grundlegende Funktionalitäten der Website verantwortlich, wie z. B. das Speichern von Anmeldeinformationen oder Spracheinstellungen.

webui

1st-Party, Cookie (Session)

Dieses Cookie ist technisch für den Betrieb der Webseite / des genutzten Dienstes notwendig.

Das Cookie speichert Informationen über den Zustand der Benutzeroberfläche (UI) einer Webanwendung.

lastStateBeforeLogin

1st-Party, Local Storage (Dauerhaft)

Dieses Cookie ist technisch für den Betrieb der Webseite / des genutzten Dienstes notwendig.

Das Cookie speichert den Zustand der Webseite, bevor Sie sich als Benutzer anmelden oder authentifizieren.

messages

1st-Party, Local Storage (Dauerhaft)

Dieses Cookie ist technisch für den Betrieb der Webseite / des genutzten Dienstes notwendig.

Dieses Cookie speichert Informationen über Nachrichten, die zwischen dem Benutzer und der Website ausgetauscht wurden. Wenn Sie beispielsweise auf der Website Nachrichten senden oder empfangen, kann das Cookie den Verlauf dieser Kommunikation speichern.

saved-auth-object

1st-Party, Local Storage (Dauerhaft)

Dieses Cookie ist technisch für den Betrieb der Webseite / des genutzten Dienstes notwendig.

Wenn Sie sich auf der Website anmelden und authentifizieren, kann das Cookie “saved-auth-object” den Zustand Ihrer Anmeldung speichern.

Dadurch können Sie auf der Website navigieren, ohne sich bei jeder Anfrage erneut anmelden zu müssen.

saved-language-key

1st-Party, Local Storage (Dauerhaft)

Dieses Cookie ist technisch für den Betrieb der Webseite / des genutzten Dienstes notwendig.

Dieses Cookie speichert die Ihnen ausgewählte Spracheinstellung.

 

3. Auf welcher Grundlage basiert das?

Bei den Rechtsgrundlagen in Hinblick auf die Nutzung von Secure File Transfer (SFT) ist unter drei verschiedenen Nutzungsarten bzw. Übermittlungswegen zu unterscheiden:

  • „outbound“ – Dabei werden Daten durch den Verantwortlichen in den Datenraum eingestellt, damit sie durch Dritte (nachfolgend „Empfänger“) aus diesem Datenraum „abgeholt“ werden. Rechtsgrundlage für die Verarbeitung ist in Bezug auf Patientendaten Art. 9 Abs. 2 lit. a i.V.m. Art. 6 Abs. 1 lit. a DSGVO und bei keinen besonderen Kategorien personenbezogener Daten Art.  6 Abs. 1 lit. a, lit. b, lit. c, lit. f DSGVO.
     
  • „inbound“ – Dabei werden Daten durch Dritte (nachfolgend „Empfänger“) in der Nutzungsart „outbound“ zur Verfügung gestellt, d.h. der Standort ist Empfänger von Daten. Rechtsgrundlage für die Verarbeitung ist in Bezug auf Patientendaten Art. 9 Abs. 2 lit. a i.V.m. Art. 6 Abs. 1 lit. a DSGVO und bei keinen besonderen Kategorien personenbezogener Daten Art.  6 Abs. 1, lit. b. DSGVO.
     
  • „transfer“ – Dabei werden Daten innerhalb eines Standortes über einen Datenraum transferiert (übermittelt). Rechtsgrundlage für die Verarbeitung ist in Bezug auf Patientendaten Art. 9 Abs. 2 lit. h i.V.m. Art. 6 Abs. 1 lit. b DSGVO (Behandlungsvertrag). Bei keinen besonderen Kategorien personenbezogener Daten Art. 6 lit. b, lit. f DSGVO.

Weiterhin speichern und verarbeiten wir auf Grundlage Ihres Arbeitsvertrages (Art. 6 Abs. 1 lit. b DSGVO) für Zwecke des Beschäftigungsverhältnisses ausschließlich die personenbezogenen Daten von registrierten Benutzern, die uns im Antragsformular mittgeteilt werden und die bei der Nutzung von Secure File Transfer aus technischen Gründen benötigt werden.
Für die Nutzerverwaltung erheben und speichern wir Ihren Namen, Vornamen, E-Mail-Adresse und Telefonnummer und Zweck der Nutzung.
Rechtsgrundlage zur Datenverarbeitung im Antrag zum Secure File Transfer-Account als Nutzung eines Arbeitsmittels (SFT) ist Art. 6 lit. b DSGVO (Arbeitsvertrag).

Weitere Rechtsgrundlage für die Erhebung der Daten im Antragsformular und die Nutzerverwaltung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die berechtigten Interessen unseres Unternehmens sind:

  • Die Verwaltung der Benutzer sämtlicher Systeme und Anwendungen im Unternehmen,
  • Schutz von IT-Systemen und Daten vor unbefugten Zugriffen (sowohl intern als auch extern),
  • eindeutige Identifizierung jedes Benutzers (z.B. über eine Kombination von Benutzernamen und Passwort),
  • Zurücksetzen des Passworts bei Bedarf,
  • Vergabe von Zugriffsberechtigungen auf Systeme, Services und Anwendungen,
  • Rechtzeitiges Sperren oder Löschen von Konten und Berechtigungen, wenn diese nicht mehr benötigt werden (z.B. bei Austritt aus dem Unternehmen).
  • Die Telefonnummer ist erforderlich, um Rückfragen zur Benutzeranlage und ggf. Anschlussfragen schnell und unkompliziert klären zu können.
  • Übermittlung an Dritte: Personenbezogene Daten können nach Art. 6 Abs. 1 lit. f) DSGVO soweit diese zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich sind und zur Verfolgung von Straftaten übermittelt werden.

Die Erhebung der Daten kann auch auf der rechtlichen Grundlage der Wahrung berechtigter Interessen nach Art. 6 Abs. 1 lit. 1 f DS-GVO basieren. Die berechtigten Interessen der RHÖN KLINIKUM AG sind in diesem Fall die Bereitstellung einer kommunikationsverschlüsselten Datenaustauschplattform, die Gewährleistung der Stabilität und Sicherheit für den Service des Secure File Transfer, die technisch fehlerfreie und optimierte Bereitstellung unseres Dienstes.

Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs oder zur Bereitstellung der von Ihnen erwünschten Funktionen erforderlich sind, werden auf Grundlage der Wahrung berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO, gespeichert. Als Betreiber des Secure File Transfer haben wir ein berechtigtes Interesse, unsere Dienste technisch fehlerfrei und optimiert bereitzustellen. Andere Cookies (z.B. Cookies zur Analyse Ihres Surfverhaltens) werden nicht gespeichert.

4. An welche Empfänger werden die Daten weitergegeben?

Zu den internen Empfängern zählen Beschäftigte des Verantwortlichen.

Zu den externen Empfängern zählen Krankenhäuser, Leistungserbringer im Gesundheitswesen z.B. Krankenhäuser, medizinische Versorgungszentren, niedergelassene Ärzte, Apotheken, Therapeuten etc., Link-Empfänger (Dritte), Auftragsverarbeiter, Sorge-/Vertretungsberechtigte, Systemadministratoren und Strafverfolgungsbehörden, sofern eine Verpflichtung zur Übermittlung besteht.

Eine Übermittlung an Empfänger außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR) findet in der Regel nicht statt.

5. Wie lange werden die Daten gespeichert?

Grundsätzlich löschen wir Ihre Daten, sofern diese noch im Datenraum vorhanden sind, bei Widerruf der Einwilligung innerhalb von 14 Tagen.
Bei der Löschung eines Benutzeraccounts werden die damit zusammenhängenden personenbezogenen Daten spätestens nach 12 Monaten nach Vertragsende gelöscht. Die Dateien im Datenraum werden systemseitig automatisiert nach 7 Tagen gelöscht. Die Kontaktdaten und Datenräume werden nach Nichtnutzung mit einer Frist von 12 Monaten mit Prüfung durch den Systemadministrator manuell gelöscht. Die Logdateien auf dem Webserver werden automatisch nach 30 Tagen gelöscht. 
Mit dem Schließen Ihres Browsers werden die Session Cookies automatisch gelöscht und können nicht mehr rekonstruiert werden.

Wir werden generell zum Ende eines Jahres prüfen, ob und in welchem Umfang Daten von Beschäftigten wegen eines Wegfalls der Erforderlichkeit gelöscht werden können.

6. Wo werden die Daten verarbeitet?

Die Daten werden ausschließlich auf IT-Systemen in unserem Serverraum in Bad Neustadt verarbeitet. Auf diese IT-Systeme haben nur befugte Administratoren des Systems Zugriff

Sofern wir Daten durch einen Dienstleister verarbeitet werden, stellen wir sicher, dass dies unter Einhaltung der datenschutzrechtlichen Vorgaben erfolgt. Eine Verarbeitung der Daten außerhalb der europäischen Union erfolgt nicht.

7. Ihre Rechte als „Betroffene“

Wir möchten Ihnen gerne erklären, welche Rechte Sie haben, wenn es um Ihre personenbezogenen Daten geht. Diese Rechte sind in der Datenschutz-Grundverordnung (DSGVO) festgelegt:

  • Auskunftsrecht (Art. 15 DSGVO): Sie dürfen erfahren, welche Daten wir über Sie gespeichert haben, warum wir sie speichern und an wen sie weitergegeben werden. Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir dann ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.
  • Recht auf Berichtigung (Art.16 DSGVO): Wenn etwas an Ihren Daten nicht stimmt, können Sie uns bitten, das zu korrigieren.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können verlangen, dass wir Ihre Daten löschen, wenn es keinen guten Grund mehr gibt, sie zu speichern.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Manchmal möchten Sie vielleicht nicht, dass wir Ihre Daten komplett löschen, aber auch nicht, dass wir diese aktiv nutzen. In diesem Fall können Sie uns bitten, dass wir die Verarbeitung Ihrer Daten einschränken.
  • Widerspruchsrecht (Art. 21 DSGVO): Wenn wir Ihre Daten für bestimmte Zwecke nutzen, können Sie dagegen Widerspruch einlegen. Besonders bei Direktwerbung haben Sie immer das Recht, Nein zu sagen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem gebräuchlichen Format erhalten und an einen anderen Dienst übertragen lassen.
  • Beschwerderecht bei einer Aufsichtsbehörde: Wenn Sie glauben, dass wir nicht richtig mit Ihren Daten umgehen, können Sie sich bei einer Datenschutzbehörde beschweren. Bei einer Aufsichtsbehörde beschweren können Sie insbesondere in dem Mitgliedsstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder am Ort des mutmaßlichen Verstoßes.
  • Widerrufsrecht bei Einwilligungen: Wenn Sie uns erlaubt haben, Ihre Daten zu nutzen, können Sie diese Erlaubnis jederzeit zurückziehen.

Möchten Sie von Ihren Betroffenenrechten gegenüber der RHÖN-KLINIKUM AG Gebrauch machen, genügt eine Nachricht an die Mailadresse: rka(at)rhoen-klinikum-ag.com.

8. TLS-Verschlüsselung

Aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, die Sie an uns als Seitenbetreiber senden, nutzt unsere Website TLS-Verschlüsselung entsprechend der Stand der Technik in Verbindung mit einer AES-256-Bit-Verschlüsselung. Damit sind Daten, die Sie über diese Website übermitteln, für Dritte nicht mitlesbar. Sie erkennen eine verschlüsselte Verbindung an der „https://“ Adresszeile Ihres Browsers und ggf. am Schloss-Symbol in der Browserzeile.

9. Kein Bestehen einer automatischen Entscheidungsfindung/Profiling

Eine automatische Entscheidungsfindung oder Profiling i.S.v. Art. 22 DS-GVO wird nicht vorgenommen.

10. Aktualität und Änderung dieser Datenschutzhinweise

Diese Datenschutzhinweise sind aktuell gültig und haben den Stand 05.04.2024. Durch die Weiterentwicklung von Secure File Transfer oder aufgrund geänderter gesetzlicher Vorgaben kann es notwendig werden, diese Datenschutzhinweise zu aktualisieren. Die jeweils aktuellen Datenschutzhinweise können Sie jederzeit auf dieser Website abrufen.

 

Experten finden

Unsere Kliniken

Kontakt

Tel: +49 9771 65-0

Cookies ändern