Datenschutzerklärung für Kunden

(Stand Januar 2016)

Letzte Aktualisierung 26.11.2015.

samedi GmbH (kurz „samedi“) bietet mit der Internet-Software über die Internetplattform app.samedi.de und app.samedi.cc (einschließlich aller dazugehörigen Top-Level-, Länder- und Sub-Domains) eine Web-Software zur eigenen Datenverarbeitung an, die ausschließlich über Web-Browser oder samedi® Apps zu erreichen ist.

Die Anwendungen werden natürlichen und juristischen Personen als Kunden-Benutzerkonten zur eigenen Online-Datenverarbeitung in samedi® Anwendungen angeboten.

Die persönlichen und medizinischen Daten, die auf samedi® gespeichert werden, sind sehr sensibel und werden daher mit höchster Effektivität und Sicherheit durch samedi geschützt. Die Datenschutzgesetze von Deutschland (wie das Telemediengesetz (TMG), das Bundesdatenschutzgesetz (BDSG), die datenschutzrechtlichen Bestimmungen des Telekommunikationsgesetzes (TKG)) und die gesetzgeberischen Vorgaben auf EU-Ebene sollen dabei sicherstellen, dass das Selbstbestimmungsrecht auch beim Umgang mit den Daten der Nutzer und Kunden von samedi® zur Geltung kommt und die Privatsphäre jedes einzelnen gewahrt bleibt. samedi sorgt für die Einhaltung dieser Datenschutzgesetze und unterliegt der Kontrolle und Aufsicht des Berliner Beauftragten für Datenschutz und Informationsfreiheit.

Die vom Nutzer und Kunden in ihren persönlichen Benutzerkonten hinterlegten Daten sind sehr sensibel und werden daher mit einem sehr hohen Sicherheitsstandard durch samedi geschützt. samedi hat daher ein umfassendes Datenschutz- und Sicherheitskonzept über den (1) Datenzugang, (2) Datenverarbeitung, (3) Datentransfer und (4) Datenspeicherung erstellt, welches der Sensibilität der Daten gerecht wird.

1 Datenzugang in samedi®

Sämtliche Daten werden von dem jeweiligen Kunden von samedi selbst in einem persönlichen samedi-Benutzerkonto angelegt und aktualisiert. Die Kunden von samedi entscheiden allein, welche Daten sie eingeben und speichern. Jederzeit können die Kunden einzelne Teile oder den gesamten Bestand ihrer Daten wieder löschen. Der Zugriff auf ihre Daten ist nur über einen von den Kunden frei wählbaren Benutzernamen und ein frei gewähltes Passwort möglich. Für das Kunden-Benutzerkonto bietet samedi als zusätzlichen Schutz ein SSL-Client-Zertifikat an, um den Zugang auf bestimmte Rechner der Kunden einzugrenzen und einen Missbrauch zu verhindern. Das Zertifikat wird vom Browser generiert und nur mit diesem Zertifikat wird ein Login erlaubt.

Der Benutzername ist der Name, mit dem die Kunden von samedi ihren persönlichen samedi-Benutzerkonten und damit den Zugang zu ihren dort hinterlegten Daten öffnen. Gemäß den Empfehlungen des Datenschutzes werden die Kunden aufgefordert ein möglichst sicheres Passwort zu wählen (d.h. mindestens 6 Zeichen, keine Wortkombination, sondern eine Kombination von Zahlen, Zeichen und Buchstaben). samedi® empfiehlt den Kunden die Zugangsdaten (Benutzername und Passwort) wie einen Wertgegenstand unter Verschluss zu halten und das Passwort regelmäßig zu ändern. Der Kunde ist allerdings selber für die Sicherheit seines eigenen Computers und seiner eigenen Software verantwortlich und hat für den entsprechenden Schutz zu sorgen. Es gibt die Möglichkeit einer Zugangswiederherstellung mittels eines zweistufigen TAN-Verfahrens auf die vom Benutzer angegebene Email-Adresse und Handy-Nummer. Nach erfolgreicher Eingabe der beiden TANs kann der Kunde ein neues Passwort vergeben, jedoch nicht auf die Patientendaten zugreifen. Hierzu muss erst ein Administrator-Konto durch sein Login die Entschlüsselungsrechte erteilen. Der Administrator kann einzelne Konten deaktivieren und aktivieren sowie für die Konten ein neues Passwort vergeben.

Aufgrund der starken Verschlüsselungsarchitektur von samedi®, durch die sowohl Dritte als auch samedi selbst die schützenswerten Daten der Kunden nicht lesen können, kann samedi das Konto bzw. die im Konto hinterlegten Daten nicht wiederherstellen, wenn der Kunde seine Zugangsdaten verliert. Daher bietet samedi den Kunden die Möglichkeit, initial einen „Masterkey“ anzulegen. Mit diesem „Masterkey“ bzw. „Master-Benutzerkonto“ können die Kunden nicht operativ arbeiten, aber neue Logins anlegen. samedi empfiehlt den Kunden diesen „Masterkey“ besonders stark zu schützen (bspw. „physisch im Tresor“).

2 Generelle Datenverarbeitung

In der Datenverarbeitung unterscheidet samedi zwischen drei verschiedenen Datenkategorien: (a) Öffentliche Daten, (b) direkte samedi Kundendaten, (c) besonders schützenswerte Daten der samedi Kunden (wie bspw. Patienten- oder Medizin-Daten) und (d) Cookie-Daten.

(a) Öffentliche Daten

Die öffentlichen Daten der Kunden, die auch der Homepage oder Branchenbucheinträgen zu den Kunden entnommen werden können (wie bspw. Selbstbeschreibung einer Praxis oder Klinikadresse), werden auf der samedi Plattform den anderen Kunden/Nutzern der samedi® Plattform angezeigt. Der Kunde hat die Möglichkeit das öffentliche Profil auf der samedi Plattform eigenständig zu ändern, mit zusätzlichen Informationen zu erweitern oder auch komplett zu entfernen.

(b) Direkte samedi Kundendaten

In einer internen samedi® Kundendatenbank, die nur für die samedi Mitarbeiter zugänglich ist, werden sowohl die Adressdaten, Kommentare der samedi Service Mitarbeiter bei der Kundenbetreuung als auch die Kontaktdaten wie E-Mail-Adresse oder Handy-Nummern hinterlegt. Diese Daten benötigt samedi, um mit den Kunden Kontakt aufnehmen sowie Service und Support erbringen zu können. Die Daten bleiben aufgrund von rechtlichen Haftungsrisiken über die Kundenbeziehung hinaus gespeichert. Bei zahlungspflichtigen Kundenvertragsverhältnissen werden auch Angaben zur Person sowie Zahlungsinformationen gespeichert, die zur Abwicklung des Vertragsverhältnisses erforderlich sind. Diese Daten werden von samedi nur im Zusammenhang mit diesem Vertragsverhältnis genutzt.

Im Rahmen von wichtigen vertraglichen Änderungen, technischen Neuerungen oder allgemeinen Kundeninformationen sendet samedi einen Newsletter an die Kunden. Eine Abmeldung von dem Newsletter kann im Benutzerkonto des Kunden erfolgen, wodurch sich der Kunde aber wichtiger Informationen verschließt und wodurch jegliche Haftung für diesbezügliche Folgeschäden ausgeschlossen ist.

(c) Besonders schützenswerte Daten der samedi Kunden

Die vom Kunden in ihren persönlichen Benutzerkonten hinterlegten personenbezogenen Daten wie Patienten- oder Medizindaten gelten gemäß § 3 Abs. 9 BDSG als besonders schützenswert. Diese Daten des Kunden werden lokal auf dem Rechner des Kunden verschlüsselt und liegen nur lokal auf den Rechnern des Kunden entschlüsselt vor. Damit können nur die Kunden lokal ihre eigenen besonders schützenswerten Daten einsehen. samedi hält die personenbezogenen Daten nicht im Klartext, sondern nur als kryptographische Daten („Kryptodaten“) auf den samedi Servern vor. Im Gegensatz zu anonymisierten Daten (§ 3 Abs. 6 BDSG) und pseudonymisierten Daten (§ 3 Abs. 6a BDSG) enthalten die Kryptodaten von samedi überhaupt keine Einzelangaben zu persönlichen oder sachlichen Verhältnissen und weisen einen faktisch leeren Informationsgehalt auf. Hierfür wurde von samedi eigens eine clientseitige Verschlüsselungslösung konzipiert und implementiert. Dieses Verfahren gewährleistet, dass die Daten erst im Client-System von den berechtigen Benutzern entschlüsselt werden können. Dieser Ansatz ist konform zur Vorgabe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zu „Datenschutz und Telemedizin – Anforderungen an Medizinnetze 2002“ (vgl. http://www.datenschutz.hessen.de/download.php?download_ID=145, Stand November 2015), die auf S. 7 aussagen, dass „wenn sichergestellt werden kann, dass der externe Dritte (Auftragnehmer) keine personenbezogenen medizinischen Daten zur Kenntnis nehmen kann (z. B. bei Konzepten zur digitalen externen Archivierung, bei denen eine Verschlüsselung aller Informationen vorgesehen ist), liegt keine Durchbrechung der ärztlichen Schweigepflicht vor“ nach § 203 StGB. Ebenfalls greift der Beschlagnahmeschutz nach § 97 Abs. 2 Satz 2 StPO auch bei samedi als Cloud-Dienstleister mit der Verschlüsselungstechnologie, da der Beschlagnahmeschutz für Personen der Heilberufe auf Dienstleister (wie samedi) ausgeweitet wird, sofern dieser schützenswerte Daten verarbeitet.

Um bei einem Zugriff auf die Daten die Datumsangaben des letzten Zugriffes für den Kunden anzuzeigen und gegebenenfalls nach einer längeren Zeit der Nicht-Nutzung Erinnerungs- und Löschungsroutinen einleiten zu können, werden diese Datumsangaben durch samedi verarbeitet. Es werden aber dazu keine betreffenden Nutzungs- bzw. Kundenprofile erstellt, sondern dem Kunden nur eine Art generelles Logbuch über seine vergangenen Anmeldungen angezeigt. Dabei wird nicht gezeigt und/oder gespeichert, was der Kunde konkret getan oder verändert hat, sondern es wird nur generell angezeigt, ob er im persönlichen Benutzerkonto aktiv war.

Es werden keine personenbezogenen Daten durch samedi weitergegeben, wenn der Kunde dazu nicht ausdrücklich sein Einverständnis erteilt hat oder samedi zur Herausgabe verpflichtet ist, beispielsweise aufgrund einer gerichtlichen oder behördlichen Anordnung. Bei einer Kündigung des Vertragsverhältnisses zwischen dem Kunden und samedi löscht samedi die im Nutzerkonto gespeicherten Daten endgültig.

(d) Cookies

Darüber hinaus verwendet samedi ‘Session-Cookies’. Session-Cookies sind kleine Dateien, die im Speicher des Rechners vom Kunden gespeichert werden, um das Sitzungs-Konzept der samedi® Plattform zu unterstützen. Im Session-Cookie wird eine zufällig erzeugte eindeutige Identifikationsnummer abgelegt. Diese Session-Cookies können keine anderen Daten speichern. Es handelt sich dabei nur um so genannte temporäre Dateien, die automatisch wieder gelöscht werden, nachdem der Kunde die aktuelle samedi®-Sitzung beendet hat. In keinem Fall erhält eine dritte Partei die Möglichkeit, über die Internet-Seiten von samedi Cookies bei den Nutzern/Kunden zu hinterlegen.

3 Verschlüsselung des Datentransfers bzw. der Kommunikation

Der Transfer der Daten vom Computer des Kunden zu den samedi Servern wie auch umgekehrt das Herunterladen von Daten von den samedi Servern auf den Computer des Nutzers/Kunden ist verschlüsselt. samedi benutzt hierfür den aktuellen Verschlüsselungsstandard SSL (Secure Socket Layer, Version 3.0). Dieses bewährte kryptographische Verfahren wird weltweit als Standard für hochsensible Transaktionen im Internet verwendet, wie beispielsweise im Online-Banking und bei sensiblen Internet-Anwendungen im Gesundheitsbereich. Es kombiniert einen 2048 Bit langen öffentlichen Schlüssel mit einem zufälligen symmetrischen Schlüssel in der Länge von 256 Bit. Am Schlosssymbol im Browser-Fenster ist erkennbar, ob die Informationen geschützt übermittelt werden und welche Verschlüsselungslänge im Browser unterstützt wird. Die Authentizität des Verschlüsselungscodes von samedi wird durch das StartSSL.com-Zertifikat bestätigt. Über einen Doppelklick auf das Schlosssymbol am oberen Bildrand erfährt der Nutzer mehr über das Zertifikat.

4 Verschlüsselung der Datenspeicherung

Sämtliche Daten, die auf den samedi Servern gespeichert werden, werden auf verschlüsselten Festplatten gespeichert (AES-256). Darüber hinaus werden Daten, die der ärztlichen Schweigepflicht unterliegen, bereits lokal auf dem Rechner des Kunden verschlüsselt und erst danach zu den samedi Servern übertragen. Dafür wird ein mehrstufiges System aus symmetrischen und asymmetrischen Verschlüsselungsalgorithmen verwendet, so dass weder Administratoren noch Mitarbeiter von samedi noch Dritte diese Daten im Klartext lesen können. Zum Entschlüsseln der dafür nötigen Schlüssel ist es zwingend nötig, den Benutzernamen und das Passwort des Benutzerkontos zu kennen. Sämtliche verwendeten Kryptographierungs-Algorithmen entsprechen der Technischen Richtlinie TR-02102 („Kryptographische Verfahren: Empfehlungen und Schlüssellängen“) des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Zur sicheren, physischen Verwahrung der Nutzer/Kunden Daten arbeitet samedi mit einem externen, großen Internet-Provider (derzeit: filoo GmbH, Moltkestraße 25a, D-33330 Gütersloh). Die von diesem Provider bereitgestellten Server befinden sich in Deutschland. Nur besonders autorisierte Personen (etwa von Service-Unternehmen zu Wartungsarbeiten) haben Zugang zu den gesicherten Räumen. Aufgrund der verschlüsselten Datenspeicherung können diese Personen nicht auf die Kundendaten zugreifen. Der Provider gewährleistet den Einsatz moderner Firewall-Technologie und physikalisch gesicherter Einrichtungen.

Der Aufgabenbereich des Providers beinhaltet lediglich die Sicherstellung der Verfügbarkeit der Infrastruktur des Rechenzentrums (Strom, Internet, Routing) sowie der gemieteten Hardware (z.B. Austausch defekter Komponenten). Auf die Server selbst haben nur Administratoren von samedi Zugriff.

5 Auskunfts- und Widerrufsrecht

Der Kunde erhält jederzeit ohne Angabe von Gründen kostenfrei Auskunft über seine bei samedi gespeicherten Kundendaten (s. Absatz 2.b). Er kann jederzeit seine bei samedi erhobenen Daten sperren, ändern oder löschen lassen. Auch kann er jederzeit die samedi erteilte Einwilligung zur Datenerhebung und Verwendung ohne Angaben von Gründen widerrufen.

Sollten Sie weitere Fragen haben, so können Sie sich gerne an uns wenden: samedi GmbH, Rigaer Str. 44, 10247 Berlin, Tel. +49 (0)30 21230707-0, E-Mail: datenschutz@samedi.de.

samedi überprüft regelmäßig und durchgängig die Einhaltung dieser Datenschutzbestimmungen und lässt sich hierzu von einer externen, unabhängigen Firma prüfen (derzeit: TÜV Saarland). Erhält samedi formale Beschwerdeschriften, wird sie mit dem Verfasser bezüglich seiner Bedenken Kontakt aufnehmen, um eventuelle Beschwerden hinsichtlich der Verwendung von persönlichen Daten zu lösen. samedi verpflichtet sich, dazu kooperativ mit den entsprechenden Behörden, einschließlich lokaler Datenschutzbehörden, zusammenzuarbeiten.

Ein Angebot der samedi GmbH
Rigaer Str. 44
10247 Berlin
Deutschland

Telefon: +49 (0)30 21230707-0
Fax: +49 (0)30 21230707-9
E-Mail: info@samedi.de
Website: www.samedi.de

Vertretungsberechtigt: Prof. Dr. Alexander Alscher, Katrin Keller
Handelsregister: Amtsgericht Berlin Charlottenburg/HRB: 112862 USt-IdNr: DE260137799
UStID: Finanzamt Mitte für Körperschaften III – Umsatz-Steuer-Nr. DE260137799

samedi-ADV-Vertrag-2015 zum Download (Rechtsklick-> "Ziel speichern unter…")

Testen Sie samedi® jetzt 30 Tage kostenlos

Kein Download, keine Installation nötig.