Menü

Datenschutzerklärung für NotPASS

Zurück zur Startansicht

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung der Software NotPASS (nachfolgend „NotPASS“ oder „System“).

Wichtiger Hinweis: Diese Fassung ist ein technischer Mustertext und ersetzt keine individuelle rechtliche Beratung. Die Verantwortlichen Stelle sollte den Text durch einen Datenschutzbeauftragten oder Rechtsberater prüfen und an die konkrete Organisation anpassen.

1. Verantwortlicher und Geltungsbereich

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von NotPASS ist:

[Name des Krankenhauses / Rettungsdienstträgers / Einrichtung]

[Straße, Hausnummer]

[PLZ, Ort]

Telefon: [Telefonnummer]
E-Mail: [E-Mail-Adresse]

Sofern NotPASS als Software-as-a-Service (SaaS) durch die Health365 AC GmbH oder einen anderen Anbieter betrieben wird, erfolgt dies in der Regel als Auftragsverarbeitung gemäß Art. 28 DSGVO. Die datenschutzrechtliche Hauptverantwortung bleibt bei der jeweiligen Einrichtung (z. B. Krankenhaus, Rettungsdienst).

2. Kontaktdaten des Datenschutzbeauftragten

Unser Datenschutzbeauftragter ist erreichbar unter:

[Name / ggf. externe Stelle]

[Adresse]

E-Mail: [DPO-E-Mail-Adresse]
Telefon: [DPO-Telefonnummer]

3. Zweck der Verarbeitung und Systembeschreibung

NotPASS ist ein digitales Dokumentations- und Prozessunterstützungssystem für:

  • Leitstellen,
  • Rettungsdienstfahrzeuge (RTW, NEF),
  • Zentrale Notaufnahmen (ZNA),
  • stationäre Bereiche / Pflege,
  • ärztliche Dienste.

Zu den wesentlichen Funktionen gehören insbesondere:

  • digitale Patientenaufnahme (inkl. QR-Code-Self-Check-in und Gesundheitskarten-Einlesung),
  • Wartelistenverwaltung in der ZNA,
  • Einsatzdokumentation im Rettungsdienst (RTW/NEF) inkl. cABCDE, SAMPLER, Medikation, Übergabe, Schockraum,
  • stationäre Patientenübersichten,
  • BI-Dashboard und ZNA-Analytics zur Prozess- und Leistungsanalyse,
  • Security- & Compliance-Modul für Security Incidents, Betroffenenrechte und Aufbewahrungsfristen.

Die Verarbeitung personenbezogener Daten dient insbesondere:

  • der Durchführung und Dokumentation medizinischer Behandlungen,
  • der Organisation und Abwicklung von Rettungsdiensteinsätzen,
  • der Erfüllung gesetzlicher Dokumentations- und Aufbewahrungspflichten,
  • der IT- und Informationssicherheit (inkl. NIS-2-Anforderungen),
  • der Qualitätssicherung und Prozessoptimierung.

4. Kategorien personenbezogener Daten

In NotPASS werden je nach Rolle und Nutzung u. a. folgende Datenkategorien verarbeitet:

4.1 Patientendaten
  • Stammdaten (Name, Vorname, Geburtsdatum, Geschlecht, Anschrift, Kontaktdaten),
  • Versichertendaten (Versichertennummer, gesetzlich/privat, Krankenkasse),
  • Identifikationsdaten (z. B. Personalausweisnummer, Versicherungsnummer).
4.2 Gesundheitsdaten (besondere Kategorien, Art. 9 DSGVO)
  • Anamnesen (SAMPLER, Vorgeschichte, Allergien, Medikation),
  • Vitalparameter, Befunde, Diagnosen, Triage-Daten (z. B. cABCDE, Triage-Farben),
  • Dokumentation von Notfallbehandlungen, Übergaben, Medikationen.
4.3 Einsatzdaten
  • Einsatznummer, Einsatzort, Einsatzart,
  • Statusverläufe (z. B. Status 0–9 im Rettungsdienst),
  • Zeitstempel (Alarmierung, Anfahrt, Eintreffen, Transport, Übergabe usw.),
  • beteiligte Fahrzeuge, Teams und Rollen.
4.4 Mitarbeiter- und Benutzerdaten
  • Name, Benutzername, Rolle (z. B. „Arzt“, „Pflege“, „RTW“, „NEF“, „Leitstelle“, „ZNA“, „Demo“),
  • dienstliche Kontaktdaten (Dienst-E-Mail, ggf. Telefonnummer),
  • Login- und Aktivitätsdaten (Audit-Logs zu Aktionen im System).
4.5 Technische Daten und Protokolldaten
  • Logdaten (Zeitpunkt, Benutzerkennung, durchgeführte Aktionen),
  • IP-Adressen, Geräteinformationen (z. B. Tablet, PC, Mobilgerät),
  • Fehlermeldungen, Systemereignisse und Security Incidents.
4.6 Compliance- und Security-Daten
  • Informationen zu gemeldeten Security Incidents (Art, Schwere, Status, Maßnahmen),
  • Informationen zu Betroffenenanfragen nach Art. 12 ff. DSGVO (Art, Bearbeitungsstatus, Fristen, Antworten).

5. Rechtsgrundlagen der Verarbeitung

Je nach Kontext stützt sich die Verarbeitung personenbezogener Daten insbesondere auf folgende Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag / Behandlungsvertrag), z. B. zur Durchführung medizinischer Behandlungen, Rettungseinsätze.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), z. B. gesetzliche Dokumentations- und Aufbewahrungspflichten im Gesundheits- und Rettungsdienstrecht.
  • Art. 9 Abs. 2 lit. h DSGVO (Behandlung / Gesundheitsversorgung) für die Verarbeitung von Gesundheitsdaten.
  • Art. 6 Abs. 1 lit. e DSGVO (öffentliche Aufgabe), soweit Rettungsdiensteinsätze hoheitlich organisiert sind.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), insbesondere für IT-Sicherheit, Protokollierung, Qualitätssicherung und Prozessoptimierung.

6. Hosting, Auftragsverarbeitung und Empfänger

NotPASS wird in einer gesicherten Server- bzw. Cloud-Infrastruktur betrieben, z. B. in Rechenzentren von [Hosting-Provider, z. B. Microsoft Azure] innerhalb der EU / des EWR (z. B. Region [Region]).

Es bestehen Auftragsverarbeitungsverträge (Art. 28 DSGVO) zwischen der verantwortlichen Stelle, dem Betreiber von NotPASS (z. B. Health365 AC GmbH) und ggf. weiteren Unterauftragnehmern.

Empfänger der Daten können u. a. sein:

  • interne Fachabteilungen (ZNA, Stationen, Rettungsdienst, Pflege, ärztliche Dienste),
  • IT-Abteilungen und Informationssicherheitsbeauftragte,
  • Hosting- und Supportdienstleister im Rahmen der Auftragsverarbeitung,
  • zuständige Behörden, Aufsichtsbehörden und Kostenträger, sofern eine rechtliche Verpflichtung besteht.

Eine Übermittlung in Drittländer außerhalb der EU/des EWR erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss, EU-Standardvertragsklauseln) erfüllt sind. [Konkrete Angaben werden durch den Verantwortlichen ergänzt.]

7. Speicherdauer und Löschkonzept

Die Speicherdauer personenbezogener Daten richtet sich nach gesetzlichen Aufbewahrungspflichten, medizinischen Erfordernissen und organisationsinternen Regelungen.

In NotPASS steht ein Datenaufbewahrungs-Modul zur Verfügung, mit dem Aufbewahrungsfristen je Datenkategorie (z. B. Patientendaten, Gesundheitsdaten, Einsatzdaten, Protokolldaten) festgelegt und administriert werden können.

Typischerweise gelten u. a. folgende Grundsätze (konkrete Fristen können abweichen):

  • Patientendaten und Gesundheitsdaten werden entsprechend den gesetzlichen Vorgaben (z. B. ärztliche Dokumentationspflichten) bis zu 25 Jahre nach Abschluss der Behandlung aufbewahrt.
  • Einsatzdaten werden gemäß Rettungsdienstrecht und Qualitätssicherungsanforderungen aufbewahrt.
  • Mitarbeiter- und Benutzerdaten werden gemäß arbeits-, steuer- und sozialrechtlichen Vorgaben gespeichert.
  • Protokolldaten und Security-Logs werden nur so lange gespeichert, wie sie zur Sicherheit, Nachvollziehbarkeit und Erfüllung gesetzlicher Pflichten (z. B. NIS-2) erforderlich sind.

Nach Ablauf der jeweiligen Frist werden Daten nach dem Löschkonzept gelöscht, anonymisiert oder pseudonymisiert, soweit nicht gesetzliche oder rechtliche Gründe eine längere Speicherung erfordern (z. B. laufende Verfahren).

8. Rechte der betroffenen Personen

Betroffene Personen haben – je nach rechtlichen Voraussetzungen – insbesondere folgende Rechte:

  • Auskunft über die verarbeiteten personenbezogenen Daten (Art. 15 DSGVO),
  • Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO),
  • Löschung der Daten (Art. 17 DSGVO), soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen,
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO), soweit anwendbar,
  • Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO gestützt werden (Art. 21 DSGVO).

Zur Ausübung dieser Rechte können sich Betroffene an den Verantwortlichen (siehe Abschnitt 1) oder den Datenschutzbeauftragten (Abschnitt 2) wenden.

NotPASS stellt hierfür ein Betroffenenrechte-Modul zur Verfügung, in dem Anfragen dokumentiert, bearbeitet und fristgerecht abgeschlossen werden können.

9. Beschwerderecht bei einer Aufsichtsbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Zuständig ist in der Regel die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat, oder die Behörde am Wohnort der betroffenen Person.

10. Pflicht zur Bereitstellung von Daten

Im medizinischen und rettungsdienstlichen Kontext ist die Bereitstellung bestimmter personenbezogener Daten erforderlich, um Behandlungen und Einsätze sachgerecht durchführen zu können. Ohne diese Daten kann eine medizinische Versorgung ggf. nicht oder nur eingeschränkt erfolgen.

Gesetzliche Dokumentations- und Aufbewahrungspflichten können zudem dazu führen, dass Daten nicht sofort gelöscht werden dürfen, obwohl Betroffene dies wünschen.

11. Automatisierte Entscheidungsfindung / KI-Unterstützung

NotPASS trifft keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die rechtliche Wirkung entfalten oder betroffene Personen in ähnlicher Weise erheblich beeinträchtigen.

Das System kann KI-gestützte Funktionen und Analysen zur Unterstützung des medizinischen Personals bereitstellen (z. B. Triage-Vorschläge, Unterstützung der Einsatz- oder Visitenplanung, Prozess- und BI-Analysen). Diese Funktionen dienen ausschließlich der Unterstützung; die medizinische Entscheidungsverantwortung liegt stets bei den behandelnden Fachpersonen.

12. Datensicherheit

Es werden geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO eingesetzt, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören u. a.:

  • Rollen- und berechtigungsbasierte Zugriffskonzepte (z. B. ZNA, RTW, NEF, Leitstelle, Pflege, Arzt),
  • Verschlüsselung von Daten bei Übertragung und, soweit möglich, bei Speicherung,
  • Protokollierung von Zugriffen und sicherheitsrelevanten Ereignissen (Audit-Logs),
  • regelmäßige Sicherheitsupdates und Härtung der Server- und Anwendungsumgebung,
  • Backup- und Wiederherstellungsverfahren,
  • Überwachung und Auswertung von Security Incidents im integrierten Security-Modul.

Die Maßnahmen werden laufend überprüft und an den Stand der Technik sowie an regulatorische Anforderungen (z. B. NIS-2) angepasst.

13. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann bei Änderungen gesetzlicher Vorgaben, der Rechtsprechung oder der technischen Ausgestaltung von NotPASS angepasst werden.

Die jeweils aktuelle Fassung ist innerhalb von NotPASS im Bereich Security & Compliance / Datenschutz abrufbar.

Stand: [Monat Jahr]