Datenschutz-Erklärung für amrhein.at

Einleitung und Überblick

Der Schutz Ihrer Privatsphäre und personenbezogenen Daten ist uns ein wichtiges Anliegen. In dieser Datenschutzerklärung erfahren Sie, welche personenbezogenen Daten (das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen) wir auf der Website amrhein.at erheben und zu welchem Zweck wir sie verwenden. Wir erläutern Ihnen außerdem Ihre Rechte in Bezug auf Ihre Daten.

Wichtig vorweg: Wir nutzen keine externen Analyse- oder Trackingdienste auf dieser Website. Es werden keine Werbenetzwerke eingebunden, keine Social-Media-Plugins verwendet und keinerlei fremde Fonts (z.B. Google Fonts) oder Widgets von Drittanbietern nachgeladen. Unsere Website dient ausschließlich der Information über unsere Praxis und der Bereitstellung einer Online-Terminbuchung - Werbung, Profilbildung oder andere nicht erforderliche Datenverarbeitungen finden nicht statt.

Bitte lesen Sie die folgenden Erläuterungen aufmerksam durch. Bei Fragen zum Datenschutz können Sie sich jederzeit unter den unten angegebenen Kontaktdaten an uns wenden.

Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website (im Sinne der DSGVO) sind:

Dr.med.univ. Benedikt Matt
Ordination für Augenheilkunde und Optometrie
Raiffeisenstraße 1
6890 Lustenau, Österreich
E-Mail: info@drmatt.at
Tel.: +43 5577 84290

Dr.med.univ. Frank Matt
Ordination für Augenheilkunde und Optometrie
Raiffeisenstraße 1
6890 Lustenau, Österreich
E-Mail: ordi.drmatt@gmx.at
Tel.: +43 5577 84290

Dr.med.univ. Michael Ess
Ordination für Augenheilkunde und Optometrie
Raiffeisenstraße 1
6890 Lustenau, Österreich
E-Mail: ordination@dr-ess.at
Tel.: +43 5577 84290

Als verantwortliche Stelle bestimmen wir, wie Ihre personenbezogenen Daten im Rahmen des Besuchs dieser Website verarbeitet werden, und tragen dafür Sorge, dass die Verarbeitung im Einklang mit den gesetzlichen Datenschutzvorschriften erfolgt.

Hosting und technische Bereitstellung der Website (Squarespace)

Unsere Website wird auf der Plattform Squarespace gehostet. Anbieter ist die Squarespace Inc., 225 Varick Street, New York, NY 10014, USA. Die Inanspruchnahme von Squarespace ermöglicht uns eine schnelle und zuverlässige Bereitstellung der Website, einschließlich der zugehörigen technischen Infrastruktur und Design-Vorlagen.

Beim Besuch unserer Website werden aus technischen Gründen bestimmte Daten automatisch durch Squarespace erfasst. Zu diesen Zugriffsdaten können insbesondere gehören:

• IP-Adresse des anfragenden Geräts,

• Datum und Uhrzeit der Anfrage,

• angeforderte Seite/Datei und übertragene Datenmenge,

• Browsertyp und -version, verwendetes Betriebssystem,

• Referrer-URL (die zuvor besuchte Seite, sofern über einen Link zu uns gelangt).

Diese Server-Logdaten sind erforderlich, um Ihnen die Website ausliefern zu können und die Stabilität sowie Sicherheit des Betriebs zu gewährleisten. Ohne diese Daten wäre ein Abruf der Seiten technisch nicht möglich. Die Verarbeitung erfolgt daher auf Grundlage unseres berechtigten Interesses an einer sicheren und funktionsfähigen Präsentation unseres Internetangebots (Art. 6 Abs. 1 lit. f DSGVO).

Squarespace verarbeitet die genannten Daten in unserem Auftrag. Wir haben mit Squarespace einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen, der sicherstellt, dass Squarespace die Daten ausschließlich nach unseren Weisungen und im Rahmen der DSGVO verarbeitet.

Bitte beachten Sie, dass Squarespace als US-amerikanischer Anbieter Ihre Daten unter Umständen auch auf Servern in den USA verarbeitet (siehe Abschnitt Datenübermittlung in Drittländer weiter unten). Durch technische und vertragliche Maßnahmen (insbesondere Standardvertragsklauseln) wird jedoch ein angemessenes Datenschutzniveau sichergestellt.

Die automatisch erhobenen Server-Logdaten werden von uns nicht mit anderen Datenquellen zusammengeführt und ausschließlich zum Zweck der Bereitstellung sowie zur eventuellen Fehleranalyse oder Abwehr von Angriffen genutzt. Eine Weitergabe dieser Protokolldaten an Dritte erfolgt nicht, außer sie wäre zur Rechtsverfolgung bei unzulässigen Angriffen auf unsere Infrastruktur gesetzlich vorgeschrieben.

Einsatz von Cookies (keine Einwilligungspflicht)

Unsere Website verwendet Cookies, die durch Squarespace gesetzt werden. Cookies sind kleine Textdateien, die Ihr Browser auf Ihrem Endgerät speichert, um bestimmte Informationen zu behalten. Generell dienen Cookies dazu, die Benutzerfreundlichkeit und Stabilität einer Website zu gewährleisten.

Wir setzen keine eigenen Cookies zu Werbe-, Tracking- oder Analysezwecken ein. Die einzige auf unserer Website verwendete Cookie-Datei ist ein technisch notwendiges Cookie von Squarespace, das für den sicheren Betrieb der Website unerlässlich ist:

crumb – Dieses Session-Cookie dient der Sicherheit: Es verhindert Cross-Site Request Forgery (CSRF), also Angriffe, bei denen fremde Websites unbefugt Aktionen auf unserer Seite auslösen könnten. (Kategorie: technisch notwendig; Speicherdauer: nur für die aktuelle Sitzung)

Dieses Cookie wird als Erstanbieter-Cookie direkt über unsere Domain bzw. durch die Hosting-Plattform Squarespace gesetzt. Es dient ausschließlich dem technischen Betrieb, insbesondere der Sicherheit. Es enthält keine Funktionen zur Nutzerverfolgung oder Profilbildung im Sinne des Telekommunikationsgesetzes (TKG 2021) oder der Datenschutz-Grundverordnung (DSGVO). Ihr Verhalten wird nicht über Websites hinweg nachverfolgt, und es werden keine Nutzerprofile erstellt.

Cookie-Einwilligung: Da wir nur die oben genannten technisch notwendigen Cookies einsetzen und keine einwilligungspflichtigen Cookies (wie z.B. für Werbung oder externe Analysen) verwenden, verzichten wir auf ein Cookie-Banner. Gemäß § 165 Abs. 3 TKG 2021 ist für technisch erforderliche Cookies keine vorherige Einwilligung des Nutzers nötig. Ein Cookie-Hinweis würde Ihnen keinen Mehrwert bieten, da es keine Auswahlmöglichkeit zu treffen gibt - die Cookies sind für den Betrieb erforderlich, und es gibt keine optionalen Cookies, die abgewählt werden könnten.

Sie können natürlich Ihren Browser so konfigurieren, dass keine Cookies gespeichert werden oder dass Cookies beim Schließen des Browsers gelöscht werden. Dies kann jedoch die Darstellung oder Funktion unserer Website beeinträchtigen. Wenn Sie Cookies vollständig blockieren, kann es sein, dass die Seite nicht mehr stabil läuft, da die genannten Sicherheits- und Session-Funktionen dann fehlen.

Zusammengefasst: Die eingesetzten Cookies dienen allein der stabilen Bereitstellung unserer Website. Eine Nutzung zu Werbezwecken oder zur Erstellung von Nutzungsprofilen findet nicht statt.

Verwendung externer JSON-Daten für Termin- und sonstige Inhaltsanzeigen

Zur Verbesserung der Benutzerfreundlichkeit und zur Bereitstellung aktueller Informationen (z.B. aktuelle Terminverfügbarkeiten oder Öffnungszeiten) binden wir strukturierte Datendateien im JSON-Format von einer extern gehosteten Quelle ein. Diese Dateien werden clientseitig über JavaScript von der URL https://drmatt.de abgerufen. Diese Domain gehört zum Webauftritt derselben Betreiber wie amrhein.at und steht vollständig unter unserer inhaltlichen und technischen Kontrolle.

Die eingebundene Datei enthält ausschließlich nicht-personenbezogene Informationen. Es erfolgt dabei keine Übertragung oder Speicherung personenbezogener Daten.

Technisch bedingt wird beim Abruf eine HTTP-Verbindung zum Server bei unserem Hostinganbieter (IONOS SE, Deutschland) hergestellt. Dabei können Verbindungsdaten wie IP-Adresse, Browsertyp und Referrer-URL automatisch durch IONOS erfasst werden. Diese Logdaten werden ausschließlich zur technischen Auslieferung und zur Absicherung des Betriebs verwendet. Eine Auswertung durch uns oder eine Weitergabe an Dritte findet nicht statt.

Die Einbindung erfolgt im Rahmen unseres berechtigten Interesses an einer funktionalen und benutzerfreundlichen Darstellung unseres Online-Angebots (Art. 6 Abs. 1 lit. f DSGVO). Es findet kein Tracking, kein Profiling und keine Übertragung an Dritte außerhalb unseres Einflussbereichs statt.

CGM LIFE eSERVICES, eingebettetes iFrame

Als eine Möglichkeit der digitalen Kommunikation mit Ihnen nutzen wir auf unserer Website ein eingebettetes Modul der Plattform CGM LIFE eSERVICES, bereitgestellt durch die HCS Health Communication Service GmbH, Pachergasse 4, 4400 Steyr.

Dieses Tool dient der Online-Terminbuchung sowie der sicheren Übermittlung medizinischer Informationen – insbesondere zur Befundkommunikation, zum Arztbriefaustausch und zur elektronischen Übermittlung von Dokumenten zwischen unserer Ordination und Ihnen als Patient oder Patientin.

Wenn Sie das Modul verwenden, werden Ihre personenbezogenen Daten (z. B. Name, Kontaktdaten, gewünschter Termin, medizinische Informationen, hochgeladene oder abgerufene Dokumente) direkt in die technische Infrastruktur der CGM LIFE-Plattform eingegeben. Medizinische Unterlagen, die wir Ihnen zur Verfügung stellen, können dort sicher von Ihnen abgerufen werden. Die Datenübertragung erfolgt ausschließlich verschlüsselt (SSL-Verbindung mit zusätzlicher CGM LIFE-Verschlüsselung).

HCS Health Communication Service GmbH verarbeitet diese Daten ausschließlich innerhalb der Europäischen Union und verpflichtet sich gemäß der offiziellen Datenschutzerklärung zu umfassenden technischen und organisatorischen Schutzmaßnahmen entsprechend Art. 32 DSGVO. Eine Weitergabe oder Nutzung der Daten zu anderen Zwecken als zur Bereitstellung der Dienstleistung findet nicht statt, es sei denn, Sie haben ausdrücklich eingewilligt oder es liegt eine gesetzliche Verpflichtung vor.

Ein Vertrag zur Auftragsverarbeitung im Sinne von Art. 28 DSGVO ist mit HCS Health Communication Service GmbH durch Einbindung des Dienstes und Nutzung gemäß deren Allgemeinen Geschäftsbedingungen wirksam geschlossen.

Wir erhalten von HCS Health Communication Service GmbH die übermittelten Daten zur weiteren Verarbeitung in unserer Praxissoftware. Diese Daten verwenden wir ausschließlich zur Organisation und Durchführung von Terminen, zur Befundkommunikation sowie zur medizinischen Dokumentation im Rahmen unserer ärztlichen Tätigkeit. Eine weitergehende Nutzung oder Weitergabe erfolgt nicht.

Die Nutzung des CGM LIFE-Moduls ist freiwillig. Wenn Sie die elektronische Verarbeitung Ihrer Daten über diesen Weg nicht wünschen, können Sie Termine auch telefonisch vereinbaren und medizinische Dokumente auf alternativen Wegen (z. B. persönlich oder postalisch) erhalten oder übermitteln.

Terminerinnerung per SMS

Wenn Sie uns - z. B. über das Online-Terminbuchungsmodul (CGM LIFE) - Ihre Mobiltelefonnummer angeben, verwenden wir diese zusätzlich zur eigentlichen Terminorganisation auch zur Versendung einer automatisierten SMS-Erinnerung vor dem vereinbarten Termin.

Die technische Versendung dieser Terminerinnerungs-SMS erfolgt über unser Praxisverwaltungssystem MEDXPERT von CGM Arztsysteme Österreich GmbH, Ricoweg 22, 2351 Wiener Neudorf. Für den eigentlichen Versand nutzen wir den Dienst eines spezialisierten Drittanbieters, mit dem wir einen gesonderten Vertrag abgeschlossen haben: LINK Mobility Austria GmbH, Brauquartier 5/13, 8055 Graz, Österreich.

Im Rahmen dieser Verarbeitung übermitteln wir Ihre Mobiltelefonnummer sowie technische Versanddaten (z. B. Versandzeitpunkt, Zustellstatus) an LINK Mobility. Der Inhalt der SMS wird ausschließlich zum Zweck der Versendung verarbeitet und danach automatisch gelöscht, sofern keine gesetzlich vorgeschriebene oder abrechnungsbezogene Aufbewahrung erforderlich ist.

LINK Mobility verarbeitet die Daten ausschließlich in unserem Auftrag auf Grundlage einer abgeschlossenen Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt auf Servern innerhalb der EU bzw. des EWR. Sollte es im Einzelfall zu einer Übermittlung in Länder außerhalb des Europäischen Wirtschaftsraums kommen (z. B. bei internationalem SMS-Routing), erfolgt dies nur unter Beachtung geeigneter Garantien wie z. B. EU-Standardvertragsklauseln, um ein angemessenes Datenschutzniveau zu gewährleisten.

Die Verarbeitung Ihrer Telefonnummer zu diesem Zweck erfolgt auf Grundlage unseres berechtigten Interesses an einer effizienten Praxisorganisation und der Vermeidung von versäumten Terminen (Art. 6 Abs. 1 lit. f DSGVO). Sie haben das Recht, dieser Nutzung jederzeit zu widersprechen. Bitte teilen Sie uns dies einfach bei der Terminvereinbarung oder nachträglich mit – wir respektieren Ihren Wunsch selbstverständlich.

Eine weitergehende Nutzung Ihrer Telefonnummer zu anderen Zwecken (z. B. Werbung) findet nicht statt.

Kontaktaufnahme per E-Mail

Unsere Website bietet keine Eingabeformulare (außer der Terminbuchung über CGM Life, siehe oben). Der Kontakt zu uns kann jedoch über die angegebenen E-Mail-Adressen erfolgen. Wenn Sie auf einen E-Mail-Link (mailto:) klicken, öffnet sich Ihr E-Mail-Programm mit der vorbereiteten Adresse (und ggf. einem vorgegebenen Betreff), und Sie können uns eine Nachricht schicken.

Wenn Sie uns per E-Mail kontaktieren, werden die dabei übermittelten personenbezogenen Daten von uns verarbeitet. Das betrifft insbesondere Ihre E-Mail-Adresse, den Inhalt Ihrer Nachricht und alle weiteren Informationen, die Sie freiwillig angeben (wie z.B. Ihren Namen, Telefonnummer oder Anhänge). Diese Daten nutzen wir ausschließlich, um mit Ihnen in Kontakt zu treten und Ihr Anliegen zu bearbeiten.

Bitte beachten Sie: Wenn Sie bereits Patient unserer Praxis sind und medizinische Anliegen per E-Mail schildern, werden wir diese Informationen unter Umständen in Ihrer Patientenakte speichern, um sie im Rahmen der Behandlung zu berücksichtigen. Ohne Ihr Einverständnis werden wir jedoch keine vertraulichen Gesundheitsinformationen per E-Mail austauschen.

Eine Weitergabe der Inhalte Ihrer E-Mail an Dritte erfolgt nicht, es sei denn, Sie bitten uns ausdrücklich darum oder es besteht eine gesetzliche Verpflichtung (z.B. wenn aus Ihrer Anfrage Pflichten für uns erwachsen, bestimmte Stellen zu informieren). Wir nutzen die E-Mail-Daten nicht für Werbung oder andere Zwecke.

Sicherheitshinweis zur E-Mail-Kommunikation

Bitte bedenken Sie, dass die Kommunikation per E-Mail Sicherheitsrisiken bergen kann. E-Mails werden in der Regel unverschlüsselt über das Internet versendet. Zwar nutzen unsere Mail-Server gängige Transportverschlüsselungen (TLS), dennoch können wir keine Garantie dafür übernehmen, dass der Weg Ihrer E-Mail zu uns lückenlos geschützt ist. Auf dem Übermittlungsweg könnten - theoretisch - unbefugte Dritte Einsicht in E-Mails nehmen oder Inhalte manipulieren.

Wenn Sie besonders sensible Informationen haben (insbesondere medizinische Daten oder persönliche Identifikationsangaben), empfehlen wir Ihnen, diese nicht ungesichert per E-Mail zu versenden. Nutzen Sie in solchen Fällen lieber den direkten Austausch vor Ort, das Telefon oder - wenn verfügbar - speziell abgesicherte Kommunikationswege. Sollten Sie dennoch per E-Mail vertrauliche Daten übermitteln, erfolgt dies auf eigenes Risiko. Wir werden eingehende Nachrichten zwar vertraulich behandeln, können aber keine Haftung für externe Zugriffe auf dem Versandweg übernehmen.

Rechte der betroffenen Personen

Als von der Datenverarbeitung betroffene Person stehen Ihnen nach der DSGVO verschiedene Rechte zu, die Sie uns gegenüber geltend machen können:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, von uns eine Bestätigung zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Falls ja, können Sie Auskunft über diese Daten sowie weitere Informationen zur Verarbeitung (Zwecke, Kategorien, Empfänger, Speicherdauer etc.) erhalten.

• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten, die wir von Ihnen gespeichert haben, zu verlangen.

• Recht auf Löschung (Art. 17 DSGVO): Sie können unter bestimmten Voraussetzungen verlangen, dass wir Ihre personenbezogenen Daten löschen. Dies ist z.B. der Fall, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind oder Sie eine erteilte Einwilligung widerrufen und es an einer anderweitigen Rechtsgrundlage fehlt.

• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen. In diesem Fall werden die Daten - abgesehen von ihrer Speicherung - nur noch mit Ihrer Einwilligung oder zur Geltendmachung/Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen/juristischen Person oder aus wichtigen öffentlichen Interessen verarbeitet.

• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem gängigen, maschinenlesbaren Format zu erhalten. Gegebenenfalls können Sie auch verlangen, dass wir diese Daten direkt an einen anderen Verantwortlichen übertragen, soweit dies technisch machbar ist.

• Recht auf Widerspruch (Art. 21 DSGVO): Soweit wir Daten auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen diese Verarbeitung Widerspruch einzulegen. Im Falle eines Widerspruchs werden wir Ihre Daten nicht weiterverarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Hinweis: Das Widerspruchsrecht umfasst auch das Recht, der Verarbeitung Ihrer Daten zu Direktwerbezwecken jederzeit zu widersprechen. In unserem Fall betreiben wir jedoch keinerlei Direktwerbung mit Ihren Daten (siehe Abschnitt Keine Werbung und kein Profiling).

• Recht auf Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Wenn wir Daten aufgrund Ihrer Einwilligung verarbeiten (was bei der Nutzung unserer Webseite in der Regel nicht der Fall ist, da wir uns auf andere Rechtsgrundlagen stützen), haben Sie das Recht, eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Um Ihre Rechte auszuüben, können Sie uns formlos über die oben genannten Kontaktdaten (E-Mail oder Post) kontaktieren. Bitte geben Sie dabei möglichst an, auf welches Recht Sie sich beziehen und welche Verarbeitungsvorgänge betroffen sind, damit wir Ihr Anliegen gezielt bearbeiten können. Wir werden Ihr Anliegen dann prüfen und entsprechend den gesetzlichen Vorgaben umsetzen. Gegebenenfalls werden wir zur Verifizierung Ihrer Identität Rückfragen stellen, um sicherzustellen, dass keine unbefugte Person Auskunft über Ihre Daten erhält.

Beschwerderecht bei der Datenschutzbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO oder anderes Datenschutzrecht verstößt, steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). In Österreich ist die zuständige Aufsichtsbehörde die Österreichische Datenschutzbehörde (DSB). Sie können sich an die DSB wenden unter:

Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien, Österreich
Telefon: +43 1 52 152-0

Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe. Sie können sich also parallel auch an andere in Ihrem Land zuständige Datenschutzaufsichtsbehörden wenden, insbesondere wenn Sie Ihren Wohnsitz in einem anderen EU-Mitgliedstaat haben. Für uns ist jedoch die oben genannte österreichische Behörde federführend zuständig.

Wir würden es begrüßen, wenn Sie bei Anliegen zunächst mit uns Kontakt aufnehmen, damit wir etwaige Unklarheiten direkt klären können. Sie haben jedoch jederzeit das freie Recht, sich an die Behörde zu wenden.

Speicherfristen und Löschung

Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie es für den jeweiligen Zweck erforderlich ist. Anschließend werden die Daten entweder gelöscht oder in ihrer Verwendung eingeschränkt (z.B. gesperrt), falls gesetzliche Aufbewahrungspflichten bestehen.

Konkret gelten bei uns folgende Speicherfristen bzw. Löschkonzepte:

• Server-Logdaten (siehe Abschnitt Hosting): Diese technischen Protokolldaten werden von Squarespace erhoben, um beispielsweise Angriffe erkennen und auswerten zu können. Die genaue Dauer der Speicherung dieser Daten wird von Squarespace nicht öffentlich angegeben. Wir greifen nur im Bedarfsfall (z. B. bei Fehlersuche oder Sicherheitsvorfällen) auf diese Daten zu.

• Cookies: Session-Cookies (wie crumb oder SS_SESSION_ID) verfallen automatisch beim Schließen Ihres Browsers oder nach kurzer Inaktivität. Persistente Cookies wie SS_ANALYTICS_ID haben eine definierte Lebensdauer (hier ca. 12–13 Monate) und werden danach ebenfalls automatisch vom Browser gelöscht. Sie können Cookies natürlich auch manuell früher löschen (siehe Browser-Einstellungen). Durch das Löschen oder Blockieren der Cookies entstehen für Sie keine Nachteile außer ggf. geringfügigen Komforteinbußen bei der Nutzung.

• Termindaten (CGM Life): Die Daten, die Sie bei der Online-Terminbuchung eingeben, werden bei uns in der Praxissoftware gespeichert, sobald der Termin zustande kommt. Wir halten uns dabei an die gesetzlichen Aufbewahrungsfristen für Patientendaten. Als Arztpraxis sind wir verpflichtet, Behandlungsdaten für mindestens 10 Jahre ab dem Ende der Behandlung aufzubewahren (§ 51 Abs. 3 Ärztegesetz in Österreich). Ihre Terminanfrage wird Teil Ihrer Patientenakte, falls es zu einem Termin/Behandlungsverhältnis kommt. Sollte kein Termin zustande kommen oder Sie die Anfrage abbrechen, werden die eingegebenen Daten in der Regel zeitnah gelöscht. Auf den CGM Life Servern werden Terminbuchungsdaten ebenfalls nur so lange vorgehalten, bis sie in unsere lokale Praxissoftware übernommen wurden; genaueres dazu entnehmen Sie bitte den Informationen von HCS Health Communication Service GmbH (in der Regel erfolgt die Synchronisation unmittelbar, sodass externe Zwischenspeicherungen minimal sind).

• E-Mail-Kommunikation: Ihre E-Mails und die darin enthaltenen Informationen speichern wir so lange, wie es für die Abwicklung Ihres Anliegens erforderlich ist. Nach abgeschlossener Kommunikation werden wir - je nach Inhalt - Ihre Nachricht löschen, sofern keine weitere Aufbewahrung notwendig ist. Handelt es sich um allgemeine Anfragen ohne behandlungsrelevante Informationen, löschen wir die E-Mail-Korrespondenz in der Regel spätestens nach einem Jahr. Enthält Ihre E-Mail jedoch Informationen, die für eine zukünftige Behandlung oder rechtliche Nachweispflichten relevant sind (z.B. eine wichtige Absprache), kann sie in unsere Patientenakte oder Ablage übernommen und dort entsprechend der geltenden Fristen (siehe oben, z.B. 10 Jahre bei Gesundheitsdaten) aufbewahrt werden. In jedem Fall überprüfen wir gespeicherte E-Mail-Daten regelmäßig und löschen sie, wenn kein Erfordernis der weiteren Speicherung mehr besteht.

Abgesehen von diesen konkret genannten Fristen gelten selbstverständlich auch alle gesetzlichen Aufbewahrungsvorschriften. Sollte eine Norm uns verpflichten, bestimmte Daten länger vorzuhalten (etwa steuerliche Aufbewahrungsfristen für geschäftliche Kommunikation), richten wir uns nach diesen Vorgaben. Nach Ablauf der jeweiligen Frist werden die entsprechenden Daten routinemäßig gelöscht.

Rechtsgrundlagen der Verarbeitung

Die DSGVO verlangt, dass für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage besteht. Im Folgenden geben wir an, auf welche Rechtsgrundlagen wir die Datenverarbeitung auf unserer Website stützen:

• Bereitstellung der Website & Server-Logs: Die Verarbeitung technischer Verbindungsdaten zur Anzeige der Website (einschließlich der notwendigen Squarespace-Cookies und Logfiles) erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). Unser berechtigtes Interesse liegt in der ordnungsgemäßen und sicheren Darstellung unseres Online-Angebots. Wir haben eine Abwägung vorgenommen und kommen zu dem Schluss, dass die Verarbeitung dieser Daten in minimalinvasiver Weise erfolgt und Ihre Rechte dadurch nicht überwogen werden - zumal diese Daten primär zur Gefahrenabwehr und Leistungserbringung genutzt werden und nicht zu Ihrem Nachteil.

• Online-Terminbuchung (Vertragserfüllung): Wenn Sie einen Termin über die CGM Life Plattform buchen, ist die Verarbeitung Ihrer eingegebenen Daten für die Durchführung vorvertraglicher Maßnahmen bzw. zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). In dem Moment, in dem Sie einen Termin anfragen, begründen Sie faktisch das Angebot zu einem Behandlungsvertrag, den wir durch Terminbestätigung annehmen. Die Verarbeitung der Kontakt- und Termindaten ist daher nötig, um den Arzttermin (als unsere vertragliche Leistung) zu organisieren. Sofern Sie dabei Gesundheitsdaten (wie z.B. Angaben zum Beschwerdegrund) übermitteln, verarbeiten wir diese auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO - das heißt, die Verarbeitung ist erlaubt, da sie für medizinische Behandlungszwecke durch einen Angehörigen eines Gesundheitsberufs erfolgt. Ihre Gesundheitsdaten unterliegen zudem der gesetzlichen Verschwiegenheitspflicht (Arztgeheimnis).

• Kontaktaufnahme per E-Mail: Treten Sie mit uns in Kontakt (per E-Mail), verarbeiten wir Ihre Angaben zur Beantwortung Ihrer Anfrage. Je nach Inhalt der Anfrage stützen wir dies auf Art. 6 Abs. 1 lit. b DSGVO (wenn die Kontaktaufnahme im Zusammenhang mit einem bestehenden oder anzubahnenden Vertragsverhältnis steht - z.B. Anfrage zu einem Termin, einer Behandlung oder ähnlichem) oder auf Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse, allgemeine Anfragen zu beantworten und die Kommunikation mit Nutzern zu führen). In letzterem Fall gehen wir davon aus, dass Ihr Interesse an einer Antwort und unser Interesse an der Pflege der Kommunikation übereinstimmen. Sollten Sie uns freiwillig zusätzliche Informationen geben, die besondere Kategorien personenbezogener Daten enthalten (etwa Gesundheitsinformationen in Ihrer Nachricht), gilt auch hier Art. 9 Abs. 2 lit. h DSGVO als Erlaubnisgrundlage, sofern die Daten für die Beurteilung Ihres Anliegens in einem medizinischen Kontext erforderlich sind.

• Gesetzliche Verpflichtungen:
  Darüber hinaus verarbeiten wir personenbezogene Daten, wenn dies zur Erfüllung gesetzlicher Pflichten erforderlich ist – etwa zur Einhaltung von Aufbewahrungspflichten nach dem Ärztegesetz, der Bundesabgabenordnung oder anderen einschlägigen Rechtsvorschriften. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO.

Zusätzlich möchten wir klarstellen, dass keine Verarbeitungsvorgänge auf unserer Website auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) gestützt werden müssen, da wir - wie beschrieben - keine einwilligungspflichtigen Techniken einsetzen. Sollte es dennoch in Einzelfällen vorkommen, dass wir um Ihre Einwilligung bitten (z.B. wenn Sie zukünftig einen Newsletter abonnieren wollten, den wir derzeit nicht anbieten), würden wir Sie diesbezüglich transparent informieren und Ihre Entscheidung selbstverständlich respektieren.

Keine Werbung, kein Profiling und kein automatisiertes Entscheiden

Wir verwenden Ihre Daten nicht zu Werbezwecken. Sie erhalten von uns keine Newsletter, Werbung oder unerwünschte Informationen, sofern Sie diese nicht ausdrücklich anfordern. Ihre Daten werden auch nicht an Dritte für Marketing weitergegeben.

Zudem betreiben wir keinerlei Profiling im Sinne von Art. 4 Nr. 4 DSGVO. Das heißt, wir erstellen keine automatisierten Profile Ihrer Person oder Auswertungen Ihres Verhaltens, die rechtliche oder ähnlich erhebliche Auswirkungen für Sie hätten. Es findet keine automatisierte Entscheidungsfindung statt. Alle Vorgänge, bei denen personenbezogene Daten verarbeitet werden (z.B. Terminvereinbarung, E-Mail-Beantwortung), beinhalten stets eine manuelle Überprüfung bzw. Interaktion durch uns als verantwortliche Personen.

Kurz gesagt: Ihre Daten werden von uns ausschließlich für die Zwecke verarbeitet, die in dieser Erklärung beschrieben sind (Website-Bereitstellung, Terminorganisation, Kommunikation). Jegliche darüber hinausgehende Nutzung - insbesondere für Werbung, Verkauf von Daten, Erstellung von Persönlichkeitsprofilen - erfolgt nicht.

Keine externen Dienste mit Analyse- oder Werbezwecken

Wie eingangs erläutert, setzen wir keine externen Dienste zur Analyse, Werbung oder zum Nutzer-Tracking ein. Unsere Website ist bewusst datensparsam gestaltet und übermittelt beim Besuch keine personenbezogenen Nutzungsdaten an Dritte zu Werbezwecken oder zur Verhaltensauswertung. Im Klartext:

• Keine Analyse-Dienste: Wir nutzen kein Google Analytics oder vergleichbare Analysedienste anderer Anbieter. Ihre Nutzung unserer Website wird nicht von Drittanbietern mitverfolgt.

• Keine Werbe- oder Tracking-Pixel: Es sind keine Facebook-Pixel, Google Ads Tags oder ähnliche Technologien eingebunden.

• Keine Social Media Plugins: Sie finden auf unserer Seite keine „Gefällt mir“- oder „Share“-Buttons von Facebook, Twitter, Instagram o.ä., die Ihre Daten bereits beim Laden der Seite an solche Netzwerke übertragen könnten. Wenn wir auf unsere Social-Media-Präsenzen verlinken, dann nur über einfache Links ohne automatische Datentransmission.

• Keine externen Schriftarten oder eingebetteten Medien: Wir binden keine Google Fonts oder andere externe Schriftbibliotheken ein. Alle verwendeten Schriften und Medien werden entweder direkt von unserem Server geladen oder sind Teil des Squarespace-Hosting. Ebenso haben wir keine YouTube-Videos, Google Maps oder fremdgehostete Inhalte eingebettet, die bei Ihnen nachgeladen würden.

Datenübermittlung in Drittländer

Drittländer sind Länder außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR), in denen das Datenschutzniveau ggf. nicht dem der EU entspricht. Grundsätzlich übermitteln wir Ihre personenbezogenen Daten nicht in Drittländer. Alle von uns direkt kontrollierten Datenverarbeitungen finden innerhalb der EU bzw. des EWR statt (unsere Praxis befindet sich in Österreich, und der Termin-Service von HCS Health Communication Service GmbH wird - nach Angaben - in der EU gehostet).

Eine Ausnahme ergibt sich jedoch durch die Nutzung von Squarespace als Hosting-Plattform. Squarespace Inc. ist ein US-Unternehmen, und es kann nicht ausgeschlossen werden, dass bestimmte Daten (insbesondere technisch erforderliche Daten wie IP-Adressen in Server-Logs oder bei der Nutzung der Squarespace-Cookies) auf Server in den USA übertragen und dort verarbeitet werden.

Die Datenübermittlung in die USA erfolgt auf Grundlage der von Squarespace in seinen Nutzungsbedingungen vorgesehenen EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, die Bestandteil des Data Processing Addendum (DPA) sind. Damit verpflichtet sich Squarespace vertraglich zur Einhaltung eines dem europäischen Datenschutzniveau entsprechenden Standards. Zusätzlich ist Squarespace nach eigenen Angaben dem EU-US Data Privacy Framework beigetreten (einem Abkommen, das den Datenaustausch zwischen EU und USA erleichtern soll), was das Datenschutzniveau weiter verbessern soll.

Dennoch möchten wir Sie darauf hin weisen, dass trotz dieser Maßnahmen ein gewisses Restrisiko verbleibt: Nach US-Recht können dortige Behörden unter bestimmten Voraussetzungen auf personenbezogene Daten zugreifen, ohne dass EU-Bürgerinnen und -Bürger über die gleichen Rechtsmittel wie innerhalb der EU verfügen. Auch wenn wir durch Standardvertragsklauseln und unsere Vertragsbeziehung zu Squarespace versuchen, Ihre Daten bestmöglich zu schützen, besteht ein Restrisiko, dass US-Behörden (z.B. Geheimdienste) Daten einsehen könnten, sofern diese - etwa temporär - in den USA gespeichert werden.

Wir versichern Ihnen allerdings, dass wir nur die minimal erforderlichen Daten über Squarespace verarbeiten lassen (im Wesentlichen die in dieser Erklärung erwähnten technischen Daten) und keinerlei sensible Kunden-/Patientendaten an US-Stellen übermitteln.

Abgesehen von dem genannten Hosting-Fall findet keine Datenübermittlung in Drittstaaten statt. Insbesondere werden Daten aus der Terminbuchung oder Ihrer Kommunikation nicht in Länder außerhalb der EU verbracht, solange Sie nicht selbst einen solchen Versand veranlassen.

Externe Links

Unsere Internetpräsenz beinhaltet Verlinkungen zu Seiten Dritter. Sollten Sie einem solchen Link folgen, möchten wir darauf hinweisen, dass diese Seiten ihre eigenen Datenschutzbestimmungen aufweisen, für die wir keine Zuständigkeit oder Haftung übernehmen können. Bevor Sie Ihre persönlichen Informationen auf diesen Seiten weitergeben, empfehlen wir, die jeweiligen Datenschutzbestimmungen zu überprüfen.

Externe Verlinkungen sind als solche erkennbar ausgeschrieben oder durch folgendes Symbol gekennzeichnet: