Kontakt

Datenschutz mit Das Lab GmbH und ZAVA

Datenschutzbestimmungen

Mit diesen Datenschutzbestimmungen informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Erbringung des Tests, den Sie über ZAVA, betrieben durch die Health Bridge Medical Limited, 2 Dublin Landings, N Wall Quay, North Dock Dublin, D01 V4A3, Irland („ZAVA“) bestellt haben („Test“).

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten ist:

Sanobis GmbH
Zeppelinstr. 24
61352 Bad Homburg vor der Höhe

Geschäftsführer: Prof. Dr. Klaus Olek, Antje Heinecke, Dr. Dominik Otto
Telefon: +49 (6172) 959 45 60
Telefax: +49 6172 9594 561
E-Mail: info@sanobis.de

Sie erreichen unseren betrieblichen Datenschutzbeauftragten unter:

Paul-Gerhard Otto
Sanobis GmbH
Zeppelinstraße 24
61352 Bad Homburg vor der Höhe
Telefon: +49 (6172) 959 45 60
Email: datenschutz@sanobis.de

2. Personenbezogene Daten

Wir verarbeiten Daten, die ZAVA uns in Ihrem Auftrag für die Durchführung des Tests übermittelt, die wir für den Versand des Test-Kits nutzen, die wir aus der labormedizinischen Analyse des Untersuchungsmaterials (z.B. Abstrich, Urin) gewinnen und die wir zur Erstellung, Speicherung und Übermittlung der Testergebnisse nutzen. Dazu gehören auch personenbezogene Daten, die sich auf Ihre körperliche oder geistige Gesundheit beziehen und aus denen Informationen über Ihren Gesundheitszustand hervorgehen (Gesundheitsdaten, Art. 4 Nr. 15 DSGVO). Dies sind insbesondere

Sie können die Bereitstellung personenbezogener Daten selbstverständlich ablehnen. Möglicherweise können wir dann aber den Test nicht durchführen. Das gilt insbesondere dann, wenn Daten für die Begründung, Durchführung und Beendigung des Behandlungsvertrags über die Laborleistungen („Behandlungsvertrag Labor“) mit Ihnen notwendig sind oder wir gesetzlich verpflichtet sind, Daten zu erheben. Pflichtangaben sind im Bestellprozess als solche gekennzeichnet.

3. Zwecke der Datenverarbeitung und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) zu den nachfolgend genannten Zwecken.

a) Erfüllung des Behandlungsvertrags Labor
(Art. 6 Abs. 1 S. 1 lit. b bzw. Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 BDSG)

Wir nutzen Ihre Daten, einschließlich der Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) zum Abschluss des Behandlungsvertrags Labor zwischen uns und Ihnen, zur Durchführung vorvertraglicher Maßnahmen und um den Test zu erbringen und abzurechnen. Wir schicken Ihnen das bestellte Test-Kit an die von Ihnen im Rahmen der Bestellung angegebene Adresse und führen die labormedizinische Analyse des Untersuchungsmaterials (Abstrich, Urin) durch, das Sie uns geschickt haben. Dabei nutzen wir auch die Daten, die ZAVA im Rahmen der Bestellung erhoben und uns in Ihrem Auftrag für die Durchführung des Tests übermittelt hat. Wir erstellen und speichern die Testergebnisse und übermitteln diese gemeinsam mit einer Laborrechnung an ZAVA. ZAVA stellt Ihnen die Testergebnisse in Ihrem Patientenkonto zum Abruf bereit.

Für die Verarbeitung Ihrer Daten im Zusammenhang mit der Bestellung des Tests und der Bereitstellung der Testergebnisse ist ZAVA datenschutzrechtlich verantwortlich (Art. 4 Nr. 7 DSGVO). Dazu gehört die Aktivierung des Tests, die Beantwortung von Fragen zur Probenentnahme, die Entgegennahme von Reklamationen ausbleibender oder fehlerhafter Test-Kits und die Kommunikation über den Bestellstatus.

b) Aufgrund Ihrer Einwilligung

Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z. B. Weitergabe von Daten, siehe dazu auch Ziffer 4.) erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Rechtsgrundlage ist Art. 9 Abs. 2 lit. a, Art. 6 Abs. 1 Satz lit. a DSGVO. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

c) Sonstige Zwecke

Über die Bereitstellung der Erbringung des Tests hinaus verarbeiten wir Ihre personenbezogenen Daten auch zur Wahrung berechtigter Interessen von uns oder Dritten (Art. 6 Abs. 1 Satz. 1 lit. f DSGVO) wie insbesondere in folgenden Fällen:

  • Beantwortung Ihrer Anfragen außerhalb eines Vertrages oder vorvertraglicher Maßnahmen;
  • Gewährleistung unserer IT-Sicherheit und unseres IT-Betriebs; und/oder
  • Verhinderung und Aufklärung von Straftaten.

Unser berechtigtes Interesse besteht darin, unser Unternehmen gegen Beeinträchtigungen und Gefahren zu schützen und unsere Ansprüche durchzusetzen. Zudem unterliegen wir diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z. B. Steuergesetze), die die Verarbeitung von Daten erfordern (Art. 6 Abs. 1 Satz 1 lit. c DSGVO).

Ihre Gesundheitsdaten verarbeiten wir dabei nur, wenn und soweit die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 9 Abs. 2 lit. f DSGVO), aus Gründen eines erheblichen öffentlichen Interesses (Art. 9 Abs. 2 lit. g DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. d BDSG) oder öffentlicher Gesundheitsbelange (Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG) erforderlich ist.

4. Weitergabe von Daten

Innerhalb unseres Unternehmens erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese für den Versand des Test-Kits, die Durchführung der labormedizinischen Analyse, die Erstellung und Übermittlung der Testergebnisse brauchen.

Wir beauftragen den Dienstleister Das Lab GmbH, Kurfürstendamm 194, 10707 („DasLab“) mit dem Versand des Test-Kits. Dazu gehört auch die Rücknahme fehlerhafter und Versendung neuer Test-Kits nach einer Reklamation. DasLab beauftragt Schubert Medizinprodukte GmbH & Co. KG; Bodenwöhrer Str. 3, 92442 Wackersdorf („Schubert“) als Subunternehmer mit diesen Aufgaben. Die Weitergabe Ihrer Daten erfolgt zur Erfüllung des Laborleistungsvertrags (Art. 6 Abs. 1 Satz. 1 lit. b DSGVO). Ihre Gesundheitsdaten geben wir an DasLab auf der Grundlage Ihrer Einwilligung und nur weiter, wenn und soweit dies zur Durchführung des Versands der Test-Kits erforderlich ist und Sie uns bzw. die bei uns angestellten Ärzte und Mitarbeiter von Ihrer Schweigepflicht entbunden haben (Art. 9 Abs. 2 lit. a, Art. 6 Abs. 1 Satz lit. a DSGVO). Bei der Verarbeitung Ihrer Daten für den Versand des Test-Kits ist DasLab datenschutzrechtlich eigenständig verantwortlich (Art. 4 Nr. 7 DSGVO). Weitere Informationen über die Datenverarbeitung durch DasLab finden Sie hier.

Soweit Sie ausdrücklich eingewilligt und Sie uns bzw. die bei uns angestellten Ärzte und Mitarbeiter von Ihrer Schweigepflicht entbunden haben (Art. 9 Abs. 2 lit. a, Art. 6 Abs. 1 Satz lit. a DSGVO) nutzen wir außerdem eine technische Infrastruktur von DasLab, um die Testergebnisse gemeinsam mit einer Laborrechnung an ZAVA zu übermitteln und ZAVA zu informieren, wenn wir mit dem bei uns eingegangenen Untersuchungsmaterial die Laboranalyse nicht durchführen können. Die Datenübermittlung durch DasLab erfolgt auf der Grundlage eines Auftragsverarbeitungsvertrags, der den Schutz Ihrer Daten sicherstellt. DasLab nutzt auf der Grundlage des Auftragsverarbeitungsvertrags den technischen Dienstleister Amazon Web Services EMEA SARL (“AWS“) als Host Provider. Die Datenverarbeitung durch AWS erfolgt auf der Grundlage eines Auftragsverarbeitungsvertrags, der den Schutz Ihrer Daten sicherstellt. Weitere Informationen über die Auftragsverarbeitung durch AWS finden Sie hier und die Datenschutzerklärung von AWS hier.

Darüber hinaus erfolgt eine Weitergabe oder Übermittlung Ihrer personenbezogenen Daten nur, wenn gesetzliche Bestimmungen dies gebieten (Art. 6 Abs. 1 S. 1 lit. c DSGVO) oder Sie eingewilligt haben (Art. 9 Abs. 2 lit. a, Art. 6 Abs. 1 S. 1 lit. a DSGVO).

5. Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation

AWS gehört zu einem Konzern mit Hauptsitz in den USA. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. DasLab hat deshalb durch den Abschluss der neuen Standardvertragsklauseln (verabschiedet durch die Europäische Kommission mit Beschluss 2021/914/EU vom 4. Juni 2021) Garantien im Sinne von Art. 46 Abs. 2 lit. c DSGVO für den Schutz Ihrer Daten getroffen. Dem Risiko, dass Ihre Daten dennoch durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können, hat DasLab durch zusätzliche Maßnahmen Rechnung getragen. DasLab schützt personenbezogene Daten durch eine Pseudonymisierung und/oder Verschlüsselung vor dem Zugriff durch US-Behörden und sonstige Dritte.

6. Speicherdauer und Datenlöschung

Ihre personenbezogenen Daten werden von uns und unseren Dienstleistern im Einklang mit dem anwendbaren Datenschutzrecht gespeichert, soweit und solange dies für die in dieser Datenschutzerklärung genannten Verarbeitungszwecke erforderlich ist und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Wir verarbeiten und speichern personenbezogene Daten, soweit erforderlich, jedenfalls für die Dauer unserer Vertragsbeziehung, was beispielsweise auch die Anbahnung und die Abwicklung eines Vertrages umfasst. Personenbezogene Daten von Patienten sind grundsätzlich gemäß § 630f Absatz 3 BGB sowie den Vorschriften der jeweils einschlägigen Berufsordnung für die Dauer von zehn Jahren nach Abschluss der labormedizinischen Analyse aufzubewahren.

Bei Vertragsbeziehungen, aber auch bei sonstigen zivilrechtlichen Ansprüchen, richtet sich die Speicherdauer darüber hinaus auch nach den gesetzlichen Verjährungsfristen, die nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) in der Regel drei Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre betragen können. Außerdem unterliegen wir verschiedenen Aufbewahrungs- und Dokumentations-pflichten. Nach gesetzlichen Vorgaben erfolgt die Aufbewahrung für 6 Jahre gemäß § 257 Abs. 1 HGB (Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Handelsbriefe, Buchungsbelege, etc.) sowie für 10 Jahre gemäß § 147 Abs. 1 AO (Bücher, Aufzeichnungen, Lageberichte, Buchungsbelege, Handels- und Geschäftsbriefe, für Besteuerung relevante Unterlagen, etc.).

Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt, d. h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet.

7. Datensicherheit

Der Datenaustausch zwischen uns und DasLab erfolgt über einen Secure File Transfer Protocol (SSTP)-Server. Die Kommunikation wir anhand einer Public-Key-Kryptografie authentifiziert. Des Weiteren sichern wir unsere Systeme durch technische und organisatorische Maßnahmen gegen Verlust sowie Zerstörung, Zugriff, Veränderung oder Verbreitung Ihrer Daten durch unbefugte Personen ab.

8. Datenschutzrechte

Soweit Sie von der Datenverarbeitung betroffen sind, haben Sie uns gegenüber das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.

Sie haben zudem das Recht, der Datenverarbeitung durch uns zu widersprechen (Art. 21 DSGVO). Dieses Widerspruchsrecht gilt im Hinblick auf die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO erfolgt. Wir verarbeiten diese Daten bei Einlegung des Widerspruchs nicht mehr, es sei denn, dem stehen zwingende schutzwürdige Gründe für die Verarbeitung entgegen, z.B. die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Soweit unsere Verarbeitung der personenbezogenen Daten auf einer Einwilligung beruht (Art. 9 Abs. 2 lit. a, Art. 6 Abs. 1 S. 1 lit. a DSGVO), können Sie bzw. die Patienten diese jederzeit widerrufen; die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung bleibt hiervon unberührt.

Zur Geltendmachung all dieser Rechte sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an unseren Datenschutzbeauftragten oder an uns (siehe die Kontaktdaten unter Ziffer 1) wenden.

Unabhängig hiervon haben Sie das Recht, bei einer Aufsichtsbehörde – insbesondere in dem EU-Mitgliedstaat Ihre Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes – eine Beschwerde einzulegen, wenn Sie bzw. die Patienten der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO oder andere geltende Datenschutzgesetze verstößt (Art. 77 DSGVO, § 19 BDSG).

9. Keine automatisierte Entscheidungsfindung im Einzelfall

Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Art. 22 DSGVO. Sollten wir dieses Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgegeben ist.

Stand: August 2022