Praxis 

Gisbert Mönnich, 

Alsfelder Straße 6, 

35305 Grünberg.

Diese Datenschutzerklärung wurde aus einer Mustervorlage von Prof.  Dr. Thomas Hoeren erstellt, die er zusammen mit Mitarbeitern der Forschungsstelle Recht des DFN - Vereins entwickelt hat (u.a. Johannes Baur und Charlotte Röttgen).

                                                                                                                                                                                                                 
  Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO                                                                                                                                                                                                                
 

Name und Kontaktdaten des Verantwortlichen:

Praxis Gisbert Mönnich, Alsfelder Straße 6, 35305 Grünberg.

                                                                                                                                                                                                             
 

Name und Kontaktdaten des Datenschutzbeauftragten:

Entfällt.

                                                                                                                                                                                                                 
  Zwecke der Verarbeitung: Tätigkeitsgegenstand der Praxis ist die Psychotherapie, Beratung und Untersuchung von Patienten oder Ratsuchenden                                                                                                                                                                                                                
  Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten: Patientendatendaten sowie Daten von Lieferanten sowie anderer Geschäftspartner, sofern die Verarbeitung zur Erfüllung der unter b. genannten Zwecke erforderlich ist. Details sind in der Anlage beschrieben.                                                                                                                                                                                                                
  Kategorien von Empfängern, denen die Daten offengelegt worden sind bzw. werden (intern/extern) sowie Empfänger in Drittstaaten: Hierzu zählen: Verantwortliche des öffentlichen Rechts bei Vorliegen vorrangiger Rechtsvorschriften, externe Auftragnehmer gemäß Art. 28 DSGVO sowie Dritte, soweit dies zur Erfüllung der in Spalte O genannten Zwecke erforderlich ist. Hierzu zählen Zahlungsdienstleister, Behörden, Gerichte, sonstige öffentliche Stellen. Interne Empfänger können z.B. sein: Buchhaltung, ...                                                                                                                                                                                                      
  Übermittlung in Drittstaaten: Eine Übermittlung an andere Unternehmen mit Sitz außerhalb der EU finden nur in Ausnahmefällen und bei bestimmten Datenverarbeitungen statt. Siehe Spalte I.                                                                                                                                                                                                                
  Regelfristen für die Löschung der Datenkategorien: Der Gesetzgeber hat vielfältige Aufbewahrungspflichten und -fristen erlassen. Nach Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig gelöscht. Sofern Daten hiervon nicht berührt sind, werden sie gelöscht, wenn ihre spezifischen Verarbeitungszwecke wegfallen. Die konkreten Löschfristen werden bei den jeweiligen Verfahren in der Anlage beschrieben.                                                                                                                                                                                                                
  Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Die Systeme der Praxis werden durch eine Vielzahl von Maßnahmen gegen unbefugten Zugriff, Verlust oder Zerstörung und unzulässige Veränderung geschützt. Details zu jedem Verfahren werden in der Anlage erläutert.                                                                                                                                                                                                                
  Name der Datenverarbeitung Zwecke der Datenverarbeitung Rechtsgrundlage Beschreibung der Verarbeitung Name der Datenverarbeitung Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO Betroffene / betroffene Personengruppen Personenbezogene Daten / Datenkategorien Name der Datenverarbeitung Empfänger / Empfängerkategorien Drittstaatentransfer Zugriffsberechtigte Name der Datenverarbeitung Regelfristen für die Löschung Allgemeine Beschreibung der technischen  und organisatiorischen Maßnahmen Anmerkung Name der Datenverarbeitung Datenschutzfolgenabschätzung                                                                                                                                                                                    
  PATIENTEN PATIENTEN PATIENTEN PATIENTEN PATIENTEN                                                                                                                                                                                    
  Anlegen von Akten Erfassung der Daten für Anlegung der Akte Art. 6 Abs. 1 S. 1 lit.b  DSGVO Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung Anlegen von Akten Ja Patienten Gesundheitsdaten, gegebenenfalls auch genetische Daten Anlegen von Akten Intern: Praxisinhaber
Extern: andere Ärzte / Psychotherapeuten, Kassenärztliche Vereinigungen, Krankenkassen, der Medizinische Dienst der Krankenversicherung, Ärztekammern, privatärztliche Verrechnungsstellen
Möglich Praxisinhaber Anlegen von Akten 10 Jahre Ende der Behandlung, bei bestimmten chronischen Erkrankungen 30 Jahre nach Ende der Behandlung 1. Zutrittskontrolle
2. Zugangskontrolle Aktenraum
3. Zugriffskontrolle Aktenschrank
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Anlegen von Akten nicht erforderlich                                                                                                                                                                                    
  Einsatz und Nutzung des Praxisverwaltungssystems Psychotherapeutische Dokumentation, Abrechnung der psychotherapeutischen Leistungen, Qualitätssicherung, Terminmanagement Art. 6 Abs. 1 S. 1 lit.b  DSGVO Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung Einsatz und Nutzung des Praxisverwaltungssystems Ja Patienten Gesundheitsdaten, gegebenenfalls auch genetische Daten Einsatz und Nutzung des Praxisverwaltungssystems Intern: Praxisinhaber
Extern: andere Ärzte / Psychotherapeuten, Kassenärztliche Vereinigungen, Krankenkassen, der Medizinische Dienst der Krankenversicherung, Ärztekammern, privatärztliche Verrechnungsstellen
Möglich Praxisinhaber Einsatz und Nutzung des Praxisverwaltungssystems 10 Jahre Ende der Behandlung, bei bestimmten chronischen Erkrankungen 30 Jahre nach Ende der Behandlung 1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Einsatz und Nutzung des Praxisverwaltungssystems nicht erforderlich                                                                                                                                                                                    
  BUCHHALTUNG BUCHHALTUNG BUCHHALTUNG BUCHHALTUNG BUCHHALTUNG                                                                                                                                                                                    
  Finanzbuchhaltung Durchführung der Finanzbuchhaltung Art. 6 Abs. 1 lit. c DSGVO,§ 257 HGB, § 147 AO Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung Finanzbuchhaltung Nein Beschäftigte, Mandanten, Partner und Lieferanten Reisekosten von Beschäftigten, Mandatsrechnungsdaten, Daten von Partnern und Lieferanten sowie alle dazugehörigen Abrechnungsunterlagen Finanzbuchhaltung  der Finanzbuchhaltung Nein Praxisinhaber der Finanzbuchhaltung, Steuerberaterbüro Schornstein, Alsfeld Finanzbuchhaltung Art. 17 Abs. 3 lit. b DSGVO, § 147 Abs. 3 AO, zehn Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist.
Achtung: Bei diesen Daten besteht eine Aufbewahrungspflicht! Eine Löschung vor Ablauf dieser Frist kommt nicht in Betracht!
1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Finanzbuchhaltung nicht erforderlich                                                                                                                                                                                    
  Reiseplanung Planung von Dienstreisen Art. 6 Abs.1 lit. f DSGVO Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung Reiseplanung Nein   Stammdaten, dienstliche Kreditkarte, Reisedaten, Ausweisdaten/Reisepassdaten Reiseplanung Fluglinien, Eisenbahnen, Autovermietungen, Hotels, Buchungsplattformen, Reisebüros, Botschaften, Immigrationsbehörden Bei Reisen in Drittstaaten ggf. zur Buchung und zur Beantragung von Visa etc. Praxisinhaber in der Praxisführung Reiseplanung Soweit Daten gespeichert werden:
Art. 17 Abs. 3 lit. e DSGVO ,§ 147 Abs. 3 AO, zehn Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist.
Achtung: Bei diesen Daten besteht eine Aufbewahrungspflicht! Eine Löschung vor Ablauf dieser Frist kommt nicht in Betracht!
1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
siehe gesonderte Ausfertigung zu TOM
  Reiseplanung nicht erforderlich                                                                                                                                                                                    
  Archivierung der Daten Optisches Archiv zur revisionssicheren Archivierung von Auftrags- und Finanzbuchhaltungsdaten. Geschäftsunterlagen wie Kreditorenrechnungen oder Dokumenten werden hier manuell gescannt und archiviert. Art. 6 Abs. 1 lit. c DSGVO,§ 257 HGB , § 147 AO, § 4 Abs. 2a LStDV Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung Archivierung der Daten Nein Patienten, Lieferanten Eingangs-, Ausgangs-, Buchungsbelege, Unterlagen von Mandanten Archivierung der Daten Zugriffsberechtigte  Nein Praxisinhaber, zugriffsberechtigte Angestellte Archivierung der Daten Art. 17 Abs. 3 lit. b) DSGVO, § 147 Abs. 3 AO, zehn Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist.
Achtung: Bei diesen Daten besteht eine Aufbewahrungspflicht! Eine Löschung vor Ablauf dieser Frist kommt nicht in Betracht!
1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Archivierung der Daten nicht erforderlich                                                                                                                                                                                    
                                                                                                                                                                                                                         
  Name der Datenverarbeitung Zwecke der Datenverarbeitung Rechtsgrundlage Beschreibung der Verarbeitung Name der Datenverarbeitung Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO Betroffene / betroffene Personengruppen Personenbezogene Daten / Datenkategorien Name der Datenverarbeitung Empfänger / Empfängerkategorien Drittstaatentransfer Zugriffsberechtigte Name der Datenverarbeitung Regelfristen für die Löschung Allgemeine Beschreibung der technischen  und organisatiorischen Maßnahmen Anmerkung Name der Datenverarbeitung Datenschutzfolgenabschätzung                                                                                                                                                                                    
  BUCHHALTUNG BUCHHALTUNG BUCHHALTUNG BUCHHALTUNG BUCHHALTUNG                                                                                                                                                                                    
  Allgemeine Abwicklung des Zahlungsverkehrs Allgemeine Abwicklungen der Zahlungen Art. 6 Abs. 1 lit. b DSGVO Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung Allgemeine Abwicklung des Zahlungsverkehrs Ja Patienten, Geschäftspartner Name und Kontodaten Allgemeine Abwicklung des Zahlungsverkehrs  der Buchhaltung Möglich Praxisinhaber der Buchhaltung , Steuerbüro Schornstein, Alsfeld Allgemeine Abwicklung des Zahlungsverkehrs Unverzüglich nach Ausscheiden des jeweiligen s, Art. 17 Abs. 1 lit a) DSGVO 1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Allgemeine Abwicklung des Zahlungsverkehrs nicht erforderlich                                                                                                                                                                                    
  Controlling Controlling zur Planung, Steuerung und Kontrolle aller Unternehmensbereiche. Das Controlling hat hier eine Kostenkontrollfunktion. Art. 6 Abs.1 lit. f DSGVO
§ 26 BDSG n.F.
Datenerfassung, Speicherung und ggf. interne Weiterverarbeitung Controlling Nein , Lieferanten, Patienten Vereinzelte Daten, die im Rahmen von Abrechnungen etc. sichtbar sind. Controlling  in der Unternehmensführung Nein Praxisinhaber in der Praxisführung Controlling Hier nicht vorhanden, weil keine personenbezogenen Daten gespeichert werden. 1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Controlling nicht erforderlich                                                                                                                                                                                    
                                                                                                                                                                                                                         
  WERBUNG/MARKETING/AKQUISITION WERBUNG/MARKETING/AKQUISITION WERBUNG/MARKETING/AKQUISITION WERBUNG/MARKETING/AKQUISITION WERBUNG/MARKETING/AKQUISITION                                                                                                                                                                                    
  Tracking-Maßnahmen Speicherung der IP-Adresse, der besuchten Unterseiten und der Verweildauer durch die Tracking Software beim Besuch der Webseite. Darüber hinaus Einsatz des Analysetools „Google Analytics“ zur Optimierung des Webauftritts. Art. 6 Abs. 1 S. 1 lit. f DSGVO
Art. 28 DSGVO
  Tracking-Maßnahmen Nein Webseitenbesucher IP-Adresse der Webseitenbesucher
Bewegungen und Clicks der Besucher auf der Webseite
Browser-Fingerprints
Tracking-Maßnahmen Dienstleister jimdo, Hamburg Möglich Praxisinhaber, zugriffsberechtigte Angestellte Tracking-Maßnahmen § 15 TMG,  bei bloßem Besuch der Internetseite maximal sieben Tage. 1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Tracking-Maßnahmen nicht erforderlich                                                                                                                                                                                    
                            Grundsätzlich bei nicht mit einer Befristung versehenen Einwilligungen unbeschränkt. Gegebenenfalls gemäß Art. 17 Abs. 1 lit. b DSGVO, unmittelbar nach Widerruf der Einwilligung oder nach Widerspruch. 1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Newsletter nicht erforderlich                                                                                                                                                                                    
                                                                                                                                                                                                                         
  Name der Datenverarbeitung Zwecke der Datenverarbeitung Rechtsgrundlage Beschreibung der Verarbeitung Name der Datenverarbeitung Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO Betroffene / betroffene Personengruppen Personenbezogene Daten / Datenkategorien Name der Datenverarbeitung Empfänger / Empfängerkategorien Drittstaatentransfer Zugriffsberechtigte Name der Datenverarbeitung Regelfristen für die Löschung Allgemeine Beschreibung der technischen  und organisatiorischen Maßnahmen Anmerkung Name der Datenverarbeitung Datenschutzfolgenabschätzung                                                                                                                                                                                    
  Sonstiges Sonstiges Sonstiges Sonstiges Sonstiges                                                                                                                                                                                    
  Wartung der Software     Softwarewartung zur Behebung von Fehlern, zur Verbesserung der Performance oder anderer Attribute und Anpassungen an Veränderungen. Wartung der Software im Auftrag bedarf keiner eigenen Rechtsgrundlage; Voraussetzungen des Art. 28 DSGVO sind eingehalten.   Wartung der Software     Möglich daten, Patientendaten Alle personenbezogenen Daten, die in der Software sichtbar sind. Wartung der Software     Hasomed als IT-Dienstleister Nein

Praxisinhaber, zugriffsberechtigte Angestellte, Hasomed GmbH, Paul-Ecke-Str. 1, 39114 Magdeburg

Wartung der Software     Hier nicht vorhanden, weil keine Daten gespeichert werden. 1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Wartung der Software     nicht erforderlich                                                                                                                                                                                    
  IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit Betreuung und Administration der IT-Infrastruktur Art. 6 Abs. 1 S. 1 lit. b und f DSGVO
Art. 28 DSGVO
  IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit Nein   Jede Art von Daten IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit  IT Nein Praxisinhaber, zugriffsberechtigte Angestellte IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit Nicht erforderlich, weil keine Speicherung von Daten erfolgt 1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  IT-Infrastruktur/Netzwerkadministration/IT-Sicherheit nicht erforderlich                                                                                                                                                                                    
  Audits Interne Audits für die kontinuierliche Überwachung von Prozessen zur Erfüllung von gesetzlichen Standards oder Richtlinien in der Praxis. Art. 6 Abs. 1 S. 1 lit. f DSGVO
 Art. 28 DSGVO
  Audits Nein   Jede Datenart Audits  IT Nein Praxisinhaber, zugriffsberechtigte Angestellte Audits Nicht erforderlich, weil keine Speicherung von Daten erfolgt 1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Audits nicht erforderlich                                                                                                                                                                                    
  E-Mail-System Bereitstellung, Verarbeitung und Archivierung von der E-Mail Kommunikation zur Datensicherung und effizienten Prozessgestaltung. Art. 6 Abs. 1 S. 1 lit. b, c, f DSGVO   E-Mail-System Möglich  und Dritte (IT-Dienstleister etc.) Name, E-Mail, ggf. Anschrift , Kontaktdaten, Nutzungsdaten E-Mail-System Ausgewählte  der IT-Abteilung, mit  zertifiziertem  Zugang, E-Mail-Empfänger Nein Praxisinhaber, zugriffsberechtigte Angestellte, Telekom Deutschland E-Mail-System Art. 17 Abs. 1 lit. a, Abs. 3 lit. b, lit. e DSGVO: unverzüglich nach Zweckerfüllung, bzw. § 147 Abs. 3 AO, zehn Jahre, beginnend mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist. 1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  E-Mail-System nicht erforderlich                                                                                                                                                                                    
  Internetzugang Gewährleistung von Internetzugang. Art. 6 Abs. 1 S. lit. f und Art. 88 DSGVO
§ 26 BDSG (neu)
  Internetzugang Nein   Browserverläufe, Name, ggf. E-Mail Internetzugang  der IT-Abteilung Nein Praxisinhaber, zugriffsberechtigte Angestellte Internetzugang Art. 17 Abs. 3 lit. e DSGVO: bis zum Verjährungseintritt aller absehbaren Ansprüche - sieben Monate gemäß §§ 4, 5 KSchG, beginnend mit dem Ausspruch einer evtl. Kündigung. 1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Internetzugang nicht erforderlich                                                                                                                                                                                    
  Nutzerverwaltung und Zugriffsberechtigung IT Verwaltung von Nutzern und Zugriffsberechtigungen im Active Directory-Verzeichnisdienst Art. 6 Abs. 1 S. lit. f und Art. 88 DSGVO
§ 26 BDSG (neu)
  Nutzerverwaltung und Zugriffsberechtigung IT Nein   Name, Nutzerkennung, berufliche Position, E-Mail-Adresse Nutzerverwaltung und Zugriffsberechtigung IT  der IT-Abteilung
Vorgesetzte
Nein Praxisinhaber, zugriffsberechtigte Angestellte Nutzerverwaltung und Zugriffsberechtigung IT Art. 17 Abs. 1 lit. a DSGVO unverzüglich nach Ausscheiden des s 1. Zutrittskontrolle
2. Zugangskontrolle Datenverarbeitung
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot
siehe gesonderte Ausfertigung zu TOM
  Nutzerverwaltung und Zugriffsberechtigung IT nicht erforderlich