Anlage zu den AGB – Datenschutz und -Sicherheit

 

 

Gemäß dem mit dem Tierhalter geschlossenen Behandlungsvertrag für Tiere führen wir, die Veteria Fachtierarztzentrum und Tagesklinik GmbH (kurz Veteria GmbH), eingetragen im Handelsregister Cottbus(HRB13540CB), tierärztliche Leistungen gemäß der Gebührenordnung für Tierärzte (kurz: GOT) durch. Für diese Leistungserstellung erheben wir personenbezogene Daten direkt beim Tierhalter. Diese Daten dienen der ordnungsgemäßen Abwicklung und Abrechnung der tierärztlichen Leistungen.

 

Der Erfassungsbogen „Aufnahmeschein und Einwilligung zur Datenverwendung“ erhält die wichtigen Angabe zu den Themen Datenschutz und Datensicherheit. Sie haben dort die Möglichkeit Ihre Daten anzugeben und die Weiterleitung zu bestimmen.

 

Wir verarbeiten und speichern personenbezogeneDaten des Tierhaltersin einem IT-Systemund in Papierakten. Dies erfolgt zur Erbringung und Abrechnung der im Einzelfall erforderlichen Leistungen; eine anderweitige Nutzung der Daten erfolgt nicht. Die Verarbeitung erfolgt ausschließlich durch Mitarbeiter, die gemäß dem Bundesdatenschutzgesetz oder der Datenschutz-Grundverordnung auf Geheimhaltung oder Vertraulichkeit verpflichtet sind. Die Einrichtung (Veteria GmbH) verpflichtet sich insgesamt zu einem vertraulichen Umgang mit personenbezogenen Daten gemäß Treu und Glauben und der Einhaltung aller Vorgaben zum Datenschutz und zur Verschwiegenheit.

Unsere MitarbeiterInnen werden regelmäßig belehrt und zu den Themen Datenschutz und -Sicherheit verpflichtet.

Die personenbezogenen Daten werden auf Wunsch und nach Genehmigung an einrichtungsexterne Kooperationspartner übermittelt, soweit dies zur Erfüllung der Leistungspflicht seitens der Einrichtung erforderlich ist, oder eine Einwilligung des Tierhalters vorliegt. Dies betrifft überweisende, mit- und weiterbehandelnde Tierärzte,sowie, externe Labore z.B. „Laboklin“, „Biocontrol“, Pathologische Institute, jeweils nach Absprache.

 

Die personenbezogenen Daten des Tierhalters werden unter Beachtung branchenüblicher Sicherheits- und Schutzkonzepteelektronisch verarbeitet. Unsere Sicherheitskonzepte sind geprüft und nach dem Stand Mai 2018 den neuen Vorschriften entsprechend.

 

Ihre personenbezogenen Daten werden dabei

 

– durch ein eigenes IT-System verarbeitet, dabei kommen  die Software BTE.myaniwinund DICOM-Pacs der Fa. Oehm und Rehbein zum Einsatz. Direkten Zugriff haben nur berechtige MitabeiterInnen, die diese Daten für vertragsgemäße Tätigkeiten benötigen. Wartungsarbeiten erfolgen durch die Fremdfirma Herzog-Softwareausschließlich durch MitarbeiterInnen, die auf Vertraulichkeit verpflichtet sind. Mit diesen Unternehmen besteht eine datenschutzrechtliche Vereinbarung nach Art. 28 GVO.

 

-falls gewünscht im Rahmen einer Bonitätsprüfung an die Fa. BFS übermittelt.Diese verarbeitet die Daten selbstständig  zum Zwecke der Prüfung der Zahlungsfähigkeit.

 

 

-Im Rahmen der Abrechnung oder Inkasso unserer Rechnungsstellung leiten wir Ihre Daten, falls notwendig an die zuständigen/ bearbeitenden Firmen / Behörden, weiter.

 

Bei strafbaren Handlungen oder Themen, die den Tierschutz, die allgemeine Gesundheit oder das Seuchengesetz betreffen sind wir verpflichtet alle Informationen, auch gegen Ihren Willen, den zuständigen Behörden zur Verfügung zu stellen.

Die Schweigepflicht beinhaltet lediglich die Daten von Menschen.  Tiere haben hier keinen rechtlichen Anspruch. (Polizei, Veterinäramt, Gesundheitsamt, Jagdaufsicht, Zoll, Landes- und Bundesbehörden nach Antrag)

 

 

Die Einrichtung hat einen externen betrieblichen Datenschutzbeauftragten bestellt (Dr. Gert Landauer).

Nach Ablauf der Aufbewahrungsfristen (in der Regel ca. 10 Jahre) werden alle personenbezogenen Daten der Tierhalter gelöscht / vernichtet, soweit dies technisch möglich ist.

Die Einträge zu den Behandlungen können für Notdienste auch länger bestehen bleiben.

 

Mit der  Unterschrift auf dem Erfassungsbogenwilligen Siein die Verarbeitung der personenbezogenen Daten ein.

 

Jede Einwilligung erfolgt freiwillig und  kann jederzeit widerrufen werden.

 

Bei Verletzung Ihrer den Datenschutz betreffenden Rechte könnenSiesich jederzeit an die datenschutzrechtliche Aufsicht im zuständigen  Bundesland wenden und  dort eine Meldung machen.

 

Unter der Mailadresse datenschutz@veteria.de können Sie jederzeit Auskünfte zur Verarbeitung der personenbezogenen Daten schriftlich beantragen. Ersatzweise ist auch der Postweg möglich. Gleichermaßen könnenSie jederzeit von dem Recht nach Art. 15 GVO Gebrauch machen und Kopien der gespeicherten personenbezogenen Daten erhalten. Dafür geben Sie uns in der Regel bis zu 5 Werktagen Zeit (12 Abs. 3 DS-GVO). Die Monatsfrist wird nur nach Mitteilung überschritten (Art. 12 Abs. 3 Satz 3 DS-GVO)

Auskünfte erfolgen in der Regel schriftlich oder per Mai im PDF-Format, können aber auf Wunsch auch persönlich und mündlich erteilt werden. Fax und Telefon sind in diesem Fall nicht gewünscht.

 

 

Nachfolgend finden Sie Auszüge aus der aktuellen Verordnung (Stand 05/2018)

 

Rechtsgrundlagen

 

Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten

  1. Personenbezogene Daten müssen
    1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
    2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
    3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
    4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
    5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
    6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
  2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung

  1. 1Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
    1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
    2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
    3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
    4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
    5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
    6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

2Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

  1. Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
  2. 1Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
    1. Unionsrecht oder
    2. das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

2Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. 3Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. 4Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

  1. Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
    1. jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
    2. den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
    3. die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
    4. die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
    5. das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

  1. Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
    1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
    2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
    3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
    4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
    5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
    6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
  2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
    1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
    3. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
    4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    5. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
    6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
  3. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
  4. Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Art. 24 DSGVO Verantwortung des für die Verarbeitung Verantwortlichen

  1. Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
  2. Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.
  3. Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.

Art. 32 DSGVO Sicherheit der Verarbeitung

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
    1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
  3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
  4. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.