Datenschutz

 

Liebe Besucher/innen dieser Webseite,

ich stelle Ihnen auf dieser Datenschutzseite dar, wie in dieser Praxis mit den durch Ihren Besuch auf meiner Seite gewonnen Daten verfahren wird (Gewinnung, Speicherung, Archivierung, Weiterverarbeitung).

Erstmal: sollten Sie Fragen/Anregungen/Löschungen bzgl. Ihrer hier gewonnenen Daten haben, wenden Sie sich bitte an mich als Verantwortlichen unter den hier dargestellten Kontaktdaten; gleiches gilt, falls Sie Anregungen oder Fragen bzgl. dieses Datenschutztextes haben sollten:

Psychologische Praxis

Dipl.-Psych. Heiko Peter Schmidt

Telefonnummer: 02151-4101626

E-Mail-Adresse: hpschmidt@praxis-krefeld.de

Impressum: https://praxis-krefeld.de/impressum

Nach Art. 37 Abs. 1 DSGVO ist ein Datenschutzbeauftragter in dieser 1-Mann-Praxis nicht notwendig, da die Kerntätigkeiten dieser Praxis in der Behandlung psychischer Krankheiten und in der psychologischen Beratung/Coaching besteht (und natürlich nicht in der Verarbeitung digitaler Daten). Aus diesem Grund werden hier auch so wenig Daten wie möglich gesammelt, die eine Identifikation (direkt oder indirekt) Ihrer Person möglich machen könnte.

Dennoch werden hier im Rahmen dieser Webseite folgende Arten von Daten wie folgt verarbeitet:

1. Beschreibung der Kategorien von personenbezogenen Daten (Art. 30 Abs. 1 S. 2 lit. c)

 – Bestandsdaten (z.B. Name im Kontaktformular)

 – Kontaktdaten (z.B. Emailadresse, Telefonnummer im Kontaktformular)

 – Inhaltsdaten (z.B. Texteingaben im Kontaktformular)

 – Metadaten (z.B. IP-Adresse, Informationen über benutzte Geräte in den Server-Logfiles und Matomo)

2. Beschreibung der Kategorien betroffener Personen (Art. 30 Abs. 1 S. 2 lit. c):

– Besucher und Nutzer dieser Webseite

3. Zwecke der Verarbeitung (Art. 30 Abs. 1 S. 2 lit b):

– Zurverfügungstellung des Onlineangebotes (Funktionen, Inhalte)

– Beantwortung von Kontaktanfragen, Kommunikation mit dem jeweiligen Nutzer.

– Sicherheitsmaßnahmen

– anonymisierte Reichweitenmessung

 

SSL-Verschlüsselung/Kontaktformular

Diese Praxisseite ist SSL-verschlüsselt, d.h. vertrauliche Daten, die Sie mir über das Kontaktformular schicken, werden verschlüsselt an den Hoster (also da, wo mein Server und damit auch diese Webseite gespeichert und verwaltet wird) gesendet. Diese Daten werden dann von dort mir als Email zugeschickt.  Leider ist diese letzte Wegstrecke nicht 100% sicher und kann unter Umständen von Dritten gelesen werden. Die aktuelle Diskussion über verschlüsselte Emails zeigt zusätzlich, dass es auch hier – je nach genutztem Email-Programm – Angriffspunkte geben kann (Stand 05/2018). Wenn Ihnen dies zu unsicher sein sollte, beschränken Sie sich in Ihrer Anfrage dann bitte auf das Nötigste…die weiteren Fragen werde ich dann mit Ihnen telefonisch oder auch im direkten Kontakt in meiner Praxis klären.

Die Daten der Kontaktaufnahme über Email/Kontaktformular werden auf dem Mailserver (Hoster) und lokal in der Praxis (Mailprogramm auf Praxis-PC) gespeichert – jeweils Passwort-geschützt, das Passwort ist nur mir bekannt. Sollte ein mündlich/schriftlicher Behandlungsvertrag für Psychotherapie (zwischen Ihnen als Patienten und mir) oder Beratungsvertrag (zwischen Ihnen als Klienten und mir) nach einem persönlichen Erstgespräch vereinbart werden, wird der Emailkontakt (und damit auch die Angaben, die Sie im Kontaktformular gegeben haben) in der lokal vorhandenen Patienten-/ bzw. Klientenakte gespeichert und muss entsprechend der gesetzlichen Aufbewahrungspflicht für Krankendaten für 10 Jahre gespeichert werden (Praxisserver, offline). Sollte kein Behandlungsvertag zustande kommen, werden diese Daten nach Ablauf eines Monats unwiderruflich gelöscht (lokal und auf Mailserver).

Letztendlich willigen Sie durch Ihre Kontaktaufnahme (und durch Ihren Klick auf „Senden“) per Mail/Kontaktformular ein, dass Ihre Angaben, wie Name, Email-Adresse und IP-Adresse an mich übertragen und – um überhaupt antworten zu können – auch und ausschliesslich im Rahmen der Praxistätigkeit genutzt werden können. Dennoch werden Sie zukünftig in den Kontaktformularen eine Checkbox finden, in der Sie dieser Speicherung (und Nutzung) zustimmen müssen. Wünschen Sie eine nachfolgende Löschung Ihrer Email(s), bitte kurze Info (Brief, Tel, Email) an mich. Grundsätzlich gilt natürlich, dass keine Daten von Ihnen – ohne ausdrücklichen Wunsch von Ihnen persönlich – diese Praxis verlassen (Ausnahme: Gerichtliche Anordnungen, die zur Aufhebung der Schweigepflicht führen).

 

Hosting

Der von mir genutzte Server wird vom Provider Webhost-United GmbH ( https://www.webhost-united.de/ ) mit Sitz in Aachen verwaltet („gehostet“). Dieser ist für die Bereitstellung der Webseite, der damit verbundenen Rechenkapazität, des Speicherplatzes, der Datenbankdienste, für die Sicherheit und für die technischen Wartungsarbeiten zuständig. Eine Vereinbarung zur Auftragsverarbeitung (Auftragsverarbeitungsvertrag)  liegt vor und kann eingesehen und angefordert werden. Dies ist deswegen notwendig, da dieser auf Grundlage eines berechtigten Interesses an einer effizienten und sicheren Zurverfügungstellung dieses Onlineangebotes gem. Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 28 DSGVO Kommunikations- und Metadaten von Besuchern dieser Webseite verarbeitet werden (siehe oben: Verarbeitung von Daten aus den Kontaktformularen, Mailserver und Logfiles [siehe unten]

 

Server-Logfiles (Erhebung von Zugriffsdaten)

Mit Ihrem Zugriff auf diese Webseite werden sogenannten Server-Logfiles durch den Provider des Webspace erfasst. Diese Logfiles, die mir nur als aggregierte Zusammenfassungen angeboten werden, erlauben keinen Rückschluss auf Sie und Ihre Person, werden jedoch auf Grundlage eines berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO erhoben.

Die entsprechenden Informationen die der Server erfasst, bestehen aus dem Namen der Webseite, der Datei, dem aktuellen Datum, der Datenmenge, dem Webbrowser und seiner Version, dem Domain-Namen Ihres Internet-Providers, der Referrer-URL als jene Seite, von der Sie auf unsere Seite gewechselt sind, sowie Ihrer IP-Adresse. Diese aggregierten Daten dienen ausschliesslich zur Funktionsüberprüfung dieser Website. Sollte der Verdacht auf eine rechtswidrige Nutzung dieser Webseite bestehen, können diese Daten nachfolgend analysiert werden.

 

WordPress-Support

Mit dem Support meiner auf o.g. Server befindlichen WordPress-Installation wurde ein externer Dienstleister beauftragt (Web- und IT-Consulting Marc Nilius, WP-Wartung24, https://wp-wartung24.de, Karweg 51, 57537 Mittelhof). Dieser hat durch seinen Administrator-Zugriff auch Zugriff auf die sich hier auf dem Server befindlichen aggregierten Zugriffsdaten von Matomo (über Plugin WP-Piwik). Eine Identifikation von Besuchern dieser Webseite über diese Daten ist jedoch nicht möglich. Ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) liegt hier vor.

 

Cookies & Tracking

  • Third-party-Cookies: Es werden keine Cookies genutzt, die Informationen an andere Server/Dienstleister/Angebote o.ä. übermitteln
  • First-party-Cookies: Es werden 2 Cookies vom Matomo (ehemals Piwik) gesetzt. Matomo befindet sich auf demselben Server wie diese Webseite und gibt entsprechend keine Informationen an andere Server weiter

Reichweitenmessung mit Matomo
Matomo (früher unter Piwik bekannt) ist eine Software, die hier auf dem Server installiert ist und Ihre Webseitenaufrufe protokoliert.
Auf Grundlage unserer berechtigten Interessen (d.h. z.B. Interesse an Informationen über häufig besuchte Seiten, Veränderungen des Zugriffs (z.B. aktuell bezüglich der Zunahme von mobilen Geräten und damit auch notwendiger Funktionsanpassungen), Optimierung dieses Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) werden die folgenden Daten verarbeitet: der von Ihnen verwendete Browsertyp und die Browserversion, das von Ihnen verwendete Betriebssystem, Ihr Herkunftsland, Datum und Uhrzeit der Serveranfrage, die Anzahl der Besuche, Ihre Verweildauer auf der Website sowie die von Ihnen betätigten externen Links. Die IP-Adresse der Nutzer wird anonymisiert, bevor sie gespeichert wird. Matomo verwendet Cookies, die auf dem Computer der Nutzer gespeichert werden und die eine Analyse der Benutzung unseres Onlineangebotes durch die Nutzer ermöglichen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt werden. Die Cookies haben eine Speicherdauer von einer Woche. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden nur auf unserem Server gespeichert und nicht an Dritte weitergegeben. Nutzer können der anonymisierten Datenerhebung durch das Programm Matomo jederzeit mit Wirkung für die Zukunft widersprechen, indem sie auf den untenstehenden Link klicken. In diesem Fall wird in ihrem Browser ein sog. Opt-Out-Cookie abgelegt, was zur Folge hat, dass Matomo keinerlei Sitzungsdaten mehr erhebt. Wenn Nutzer ihre Cookies löschen, so hat dies jedoch zur Folge, dass auch das Opt-Out-Cookie gelöscht wird und daher von den Nutzern erneut aktiviert werden muss. Die Logs mit den Daten der Nutzer werden nach spätestens 6 Monaten gelöscht.

Opt-Out für Matomo:
.

 

Google Fonts

Für die Darstellung dieser Webseite wurden Schriftarten benutzt, die von Servern, die zu Google gehören, geladen werden (sogenannte Google Fonts). Aktuell (Stand 05/2018) werden beim Besuch dieser Webseite diese Google-Server kontaktiert, die nicht nur die angeforderten Schriftarten hochladen, sondern auch personenrelevante Daten des jeweiligen Besuchers übermitteln. Dabei ist momentan unklar und intransparent, wie und welche Daten Google speichert und verarbeitet. Als wahrscheinlich kann gelten: IP-Adresse, Geolokalisation und browserspezifische Daten.

Da diese Schriften aber Teil des gewachsenen Corporate Designs dieser Praxis sind und damit auch in anderen Medien genutzt werden (Visitenkarten, Flyer, Praxisschild), es entsprechend berechtigtes Interesse darstellt, diese weiter zu nutzen und juristisch nicht klar ist, wie dies nach der neuen Datenschutzverordnung zu bewerten ist, wird aktuell nicht darauf verzichtet. Es wird hier aber angestrebt, die jeweils benötigten Schriftarten auf dem von mir genutzten Server lokal zu speichern, um damit mittelfristig auf diese externe Datenübermittlung zu verzichten.

Die Datenschutzerklärung von Google finden Sie hier: https://policies.google.com/privacy?hl=de
Opt-Out: https://adssettings.google.com/authenticated

Für Firefox sind Add-ons verfügbar, die u.a. diese externe Schriftartenbereitstellung unterbinden (u.a.uBlock Origin)

 

Google AdWords

Diese Praxis setzt das Online-Werbeprogramm „Google AdWords“ ein. Mit AdWords kann ich Anzeigen auf Google schalten, um in der lokalen Suche auf meine Praxis aufmerksam zu machen. Suchen Sie in der Google-Suche beispielsweise nach den Begriffen „Psychologe“ und „Krefeld“, so können Sie dort in den Suchergebnissen eine Werbeanzeige meiner Praxis sehen (abh. von monatlichen Beitrag, den ich unter AdWords leiste). Klicken Sie auf diese Werbung, werden die mit Ihrem Besuch von Google erhobenen Daten (über ein sog. „Conversion-Cookie“) nicht mit mir geteilt. Cookies können somit nicht über diese Webseite nachverfolgt werden. Die mit Hilfe des Cookies eingeholten Informationen dienen lediglich dazu, „Conversion-Statistiken“ für diese Webseite zu erstellen. Diese Praxis bekommt also Kenntnis über die Gesamtanzahl der Nutzer, die auf ihre Anzeige geklickt haben und zu einer mit einem Conversion-Tracking-Tag versehenen Seite (also dieser Webseite) weitergeleitet wurden. Sie erhalten jedoch keine Informationen, mit denen sich Nutzer persönlich identifizieren lassen.

Die Datenschutzerklärung von Google finden Sie hier: https://policies.google.com/privacy?hl=de

Grundsätzlich gilt: So weit möglich, nutzen Sie den „privaten Modus“ in dem von Ihnen genutzten Browser (auch mobil), aktivieren Sie „do-not-track“ in den jeweiligen Browser-Einstellungen (Sicherheit und Privatsphäre) und deaktivieren Sie das automatische Speichern von „Cookies“, insbesondere „Third-party-Cookies“, die Daten auf entfernte Server übermitteln.

 

Videosprechstunde

Um auch für Menschen ein psychologisches/psychotherapeutisches Angebot anzubieten, die nicht in der Lage sind, hier in der Praxis (auch zeitweise) präsent zu sein, biete ich die Möglichkeit an, in direktem Kontakt über eine Videosprechstunde mit mir in Verbindung zu treten. Dies stellt also eine weitere Möglichkeit einer Kommunikation mit mir dar (neben Praxispräsenz, Email, Telefon). Die Verhältnismässigkeit des Videochats leitet sich entweder aus dem subjektiven Dringlichkeit ab, die der Patient/Klient empfindet und von mir entsprechend frühestens während der Videosprechstunde beurteilt werden kann oder aus einer vorher stattgefundenen eindeutiger Absprache zwischen Ihnen als Patient/Klient und mir.

Ich weise darauf hin, dass – wie jede andere Form der Kommunikation auch – die von mir gewählte Form der Videosprechstunde über das Internet, nie eine wirkliche „technische“ 100%ige Vertraulichkeit gewährleisten kann.
Beispielhaft verschlüsselt Skype mittels AES (256 Bit) den Videochat, setzt aber Cookies auf Ihrem Rechner, überträgt Ihre IP-Adresse und die Meta-Verbindungsdaten, also auch, mit wem Sie gerade im Videochat sind. Wenn Sie bereits Skype nutzen, haben Sie dieser Datenverarbeitung schon vorher gegenüber Microsoft zugestimmt (also schon einen entsprechenden Vertrag geschlossen) und damit auch die Erhebung, Verarbeitung und Nutzung der personenbezogenen Kommunikationsnutzerdaten von Ihnen als Skype-Nutzer. Problematischer in diesem therapeutischen Umfeld ist jedoch die Speicherung der Kommunikation auf Microsoft-eigenen Servern (Cloud), die sich nicht immer in der EU, sondern auch in den USA befinden können und die Möglichkeit beinhalten, diese Gespräche – auch nachfolgend – abzuhören und auch zu verarbeiten. Wie weit dies (wenn auch nur ausschnittsweise) passiert, ist leider aufgrund der Intransparenz von Microsoft nicht überprüfbar, zumal auch nachfolgend keine Information über stattgefundene Kontrollen herausgegeben werden.
Prinzipiell gilt dies für alle vermeintlich „kostenlosen“ Videochat- oder auch Messengeranbietern, wie WhatsApp, FaceTime oder Hangout.

In meiner Praxis biete ich eine Videosprechstunde unter WebRTC des Schweizer Anbieters „Veeting“ an, der die europäischen Datenschutzrichtlinien für ärztliche Gesundheitsdienste erfüllt und keine Daten auf seinen Servern speichert, wenn dies nicht explizit gewünscht wird. WebRTC ist ein Standard für verschlüsselte Echtzeitkommunikation zwischen 2 Rechnern (auch mobil), welches den Vorteil besitzt ein sogenannter „offener Standard“ zu sein (Infos: https://www.golem.de/news/videochat-webrtc-ist-offiziell-fertig-1711-130988.htmlhttps://de.wikipedia.org/wiki/WebRTC ).
Für die Nutzung ist kein Account notwendig, sondern kann von jedem innerhalb des Browser ohne zusätzliche Software genutzt werden (ausser: iPhones, da Apple hier diese Form des Videochats – zugunsten von FaceTime, welches für ärztliche Dienstleistungen nicht datenschutzkonform ist – bewusst blockt).
Die prinzipielle Technik kann hier kostenlos ausprobiert werden: https://meet.jit.si/ .

 

Therapeutisches Setting – Besonderheiten

Am Ende hier noch eine Beschreibung bzgl. des Datenschutzes, der sich speziell aus den Besonderheiten einer psychologischen Praxis mit den Schwerpunkten Psychotherapie und Beratung/Coaching ergeben:

Diese Praxis verarbeitet ausschliesslich Daten von Klienten bzw. Interessenten entsprechend Art. 6 Abs. 1 lit. b) DSGVO, um diesen gegenüber meine vertraglichen oder auch sogenannte vorvertraglichen Leistungen erbringen zu können (die sich also aus dem Zeitraum zwischen Kontaktaufnahme und dem Abschluss eines mündlich oder schriftlich geschlossenen Behandlungs-/Beratungsvertrags ergeben). Diese sind entsprechend an dem jeweiligen (mündlich oder schriftlich vereinbarten) Behandlungs- oder Beratungsvertrag gebunden.

Zu diesen Daten gehören:

– Bestands- und Stammdaten, wie Name, Adresse

– Kontaktdaten, wie Email-Adresse, Telefonnummer

– Vertragsdaten, wie in Anspruch genommene Leistungen

Zahlungsdaten werden nicht erhoben, da Sie Überweisungen nach Leistungserbringung und Rechnungsstellung tätigen

Sollten Sie anonym bleiben wollen, werden keine oben beschriebenen Daten erhoben. Es erfolgt dann nur eine Dokumentation der jeweiligen Behandlungs-/Beratungsstunde mit einer von Ihnen bestimmten Codierung, die Sie weder direkt noch indirekt identifizierbar macht.

 

Im Rahmen der hier angebotenen psychologischen/psychotherapeutischen Leistungen, erhalte ich möglicherweise auch Kenntnis von Informationen, die besonderen Kategorien von Daten gem. Art. 9 Abs. 1 DSGVO entsprechen, insbesondere detaillierte Angaben zur Gesundheit, Ihrem Sexualleben oder der sexuellen Orientierung, ethnischer Herkunft oder religiösen oder weltanschaulichen Grundüberzeugungen. Diese werden -wenn behandlungs-/beratungsrelevant – im Rahmen der Dokumentationspflicht mit in die Patienten- bzw. Klientenakte (Praxisintern, offline) gespeichert, es erfolgt keine Weiterverarbeitung bzw. Weitergabe (Schweigepflicht). Sollte es im Rahmen der Vertragserfüllung notwendig sein, hole ich gem. Art. 6 Abs. 1 lit. a., Art. 7, Art. 9 Abs. 2 lit. a. DSGVO eine ausdrückliche Einwilligung des jeweiligen Patienten/Klienten ein. Sofern es für die Vertragserfüllung oder auch gesetzlich erforderlich ist, werden diese Daten der Patienten/Klienten im Rahmen der Kommunikation mit anderen Fachkräften, an der Vertragserfüllung erforderlicherweise oder typischerweise beteiligten Dritten, wie z.B. Abrechnungsstellen übermittelt, sofern dies der Erbringung unserer Leistungen gem. Art. 6 Abs. 1 lit b. DSGVO dient, gesetzlich gem. Art. 6 Abs. 1 lit c. DSGVO vorgeschrieben ist, den Interessen des Patienten/Klienten an einer effizienten und kostengünstigen Gesundheitsversorgung als berechtigtes Interesse gem. Art. 6 Abs. 1 lit f. DSGVO dient oder gem. Art. 6 Abs. 1 lit d. DSGVO notwendig ist, um lebenswichtige Interessen der Patienten/Klienten oder einer anderen natürlichen Person zu schützen oder im Rahmen einer Einwilligung gem. Art. 6 Abs. 1 lit. a., Art. 7 DSGVO. Die Löschung der Daten erfolgt, wenn die Daten zur Erfüllung vertraglicher oder gesetzlicher Fürsorgepflichten sowie Umgang mit etwaigen Gewährleistungs- und vergleichbaren Pflichten nicht mehr erforderlich ist, wobei die Erforderlichkeit der Aufbewahrung der Daten alle drei Jahre überprüft wird; im Übrigen gelten die gesetzlichen Aufbewahrungspflichten, so sind ärztliche/psychotherapeutische Aufzeichnungen auf die Dauer von 10 Jahren nach Abschluss der Behandlung aufzubewahren, soweit nicht nach gesetzlichen Vorschriften eine längere Aufbewahrungspflicht besteht.

Hinsichtlich der praxisinternen Datenschutzabläufe informiere ich Sie gesondert über ein Datenschutz-Merkblatt, das ich mit Ihnen zu Behandlungs-/Beratungsbeginn besprechen und aushändigen werde. [Praxisinformation Datenschutz als pdf]

 

Widerruf, Änderungen, Berichtigungen und Aktualisierungen

Jeder Nutzer dieser Webseite hat das Recht, auf Antrag unentgeltlich Auskunft zu erhalten über die personenbezogenen Daten, die über ihn gespeichert wurden. Zusätzlich hat der Nutzer das Recht auf Berichtigung unrichtiger Daten, Sperrung und Löschung seiner personenbezogenen Daten, soweit dem keine gesetzliche Aufbewahrungspflicht entgegensteht.

 

Sollten Sie Fragen, Anregungen bzgl. der Umsetzung der DSGVO dieser Praxis haben, kontaktieren Sie mich gerne. Gleiches gilt für Löschanfragen, die – solange sie nicht die gesetzliche Aufbewahrungsfrist von 10 Jahren für Krankendaten tangieren – von mir grundsätzlich in Ihrem Sinne beantwortet werden.

Gruss

Dipl.-Psych. Heiko Peter Schmidt