DSGVO Information gemeinsame Datenverarbeitung

gemäß Art. 26 DSGVO

Aufgrund der gemeinsamen Verarbeitung von personenbezogenen Daten auf einer Plattform des Roten Kreuzes zur Verarbeitung von Testpersonendaten/Patientendaten, um Bezirksverwaltungsbehörden schneller über Covid19-Erkrankte zu informieren, besteht hinsichtlich dieser Verarbeitungsschritte eine gemeinsame Verantwortung der Oberösterreichischen Gesundheitsholding GmbH (kurz „OÖG“) Goethestraße 89, 4020 Linzund dem Österreichischen Roten Kreuz, Landesverband OÖ (kurz „RK“), Körnerstraße 28, 4020 Linz.

Verarbeitete Datenkategorien – diese Daten werden auf einer gemeinsamen Plattform verarbeitet:

• Testpersonen/Patientendaten: Vor- und Zuname, Geburtsdatum, Geschlecht, Adresse, Sozialversicherungsnummer, E-Mail-Adresse, Tel. Nr, Art der bevorzugten Kontaktaufnahme
• Daten der Probenentnahme: Datum, Uhrzeit
• Befunddaten: Covid Laborergebnis (positiv/negativ)
• ID

Zweck:

Verarbeitung zum Zweck der schnelleren Verständigung der Bezirksverwaltungsbehörden über Covid19-Erkrankte.

Rechtsgrundlage:

Art 9 Abs 2 lit a und lit i DSGVO; §3 Abs 1 Z 1a EpiG §4 Abs 15 EpiG;
§§4 ff EpiG

Die OÖG und RK haben als gemeinsame Verantwortliche über die Übermittlung der genannten personenbezogenen Daten zur schnelleren Verständigung der Bezirksverwaltungsbehörden über Covid19-Erkrankte eine Vereinbarung geschlossen, in der festgelegt ist, wer von ihnen welche Verpflichtung gemäß der Datenschutz-Grundverordnung (DSGVO) erfüllt.

Für die Bearbeitung von Betroffenenrechten gem Art 15- 20, 21, 22 DSGVO sowie für Meldungen an die Aufsichtsbehörde gem. Art 33 und 34 DSGVO, sind die OÖG und RK verantwortlich.

Aufgrund der gemeinsamen Verarbeitung von personenbezogenen Daten bei klinischen Forschungsprojekten, besteht hinsichtlich dieser Verarbeitungsschritte eine gemeinsame Verantwortung der Johannes Kepler Universität Linz (kurz „JKU“), Altenberg Straße 69, 4040 Linz und der Kepler Universitätsklinikum GmbH (kurz „KUK“), Med Campus III, Krankenhausstraße 7a, 4020 Linz.

Verarbeitete Datenkategorien – diese Daten werden von der KUK an die JKU übermittelt:

• pseudonymisierte Forschungs- und Gesundheitsdaten von Patient*innen

Zweck:

Verarbeitung zum Zweck der Durchführung und Abwicklung von klinischen Forschungsprojekten an der JKU in Zusammenarbeit mit der KUK.

Rechtsgrundlage:

Art 6 Abs 1 lit a iVm Art 9 Abs 2 lit a DSGVO;
Art 9 Abs 2 lit j DSGVO iVm § 2 d Abs 2 und § 2 f Abs 2 FOG

Die JKU und KUK haben als gemeinsame Verantwortliche über die Übermittlung der genannten personenbezogenen Daten zur Durchführung klinischer Studien eine Vereinbarung geschlossen, in der festgelegt ist, wer von ihnen welche Verpflichtung gemäß der Datenschutz-Grundverordnung (DSGVO) erfüllt.

Für die Bearbeitung von Betroffenenrechten gem Art 15- 20, 21, 22 DSGVO sowie für Meldungen an die Aufsichtsbehörde gem. Art 33 und 34 DSGVO, sind die KUK und JKU verantwortlich.

Aufgrund des gemeinsamen Einsatzes einer Software für Laboranalysen und Befunderstellung besteht hinsichtlich dieses Verarbeitungsschrittes eine gemeinsame Verantwortung von Kepler Universitätsklinikum GmbH, Institut für medizinische und chemische Labordiagnostik (Zentrallabor), Krankenhausstraße 7a, 4020 Linz und AMD – Arbeitsmedizinischer Dienst GmbH, Kaplanhofstraße 1, 4020 Linz

Verarbeitete Datenkategorien – diese Daten werden in der gemeinsam genutzten Laborsoftware verarbeitet:

• Patientenstammdaten: Vor- und Zuname, Geburtsdatum, Geschlecht, Adresse, Sozialversicherungsnummer, Wohnanschrift, Tel. Nr. und ggfs. interne ID-Nummer
• Daten der Probenentnahme: Datum, Ort, Uhrzeit, Art des Probenmaterials
• Daten der Probenanalyse: Art der angeforderten Analyse, die einweisende Organisationseinheit
• Befunddaten: Laborergebnis

Zweck:

Verarbeitung für Zwecke der medizinischen Diagnostik, Durchführung von speziellen Diagnoseverfahren durch qualifiziertes Labor

Rechtsgrundlage:

Art 9 Abs. 2 lit. h DSGVO

AMD und KUK haben als gemeinsam Verantwortliche über die Laboranalysen eine Vereinbarung geschlossen, in der festgelegt ist, wer von ihnen welche Verpflichtung gemäß der Datenschutz-Grundverordnung (DSGVO) erfüllt.

Für die Bearbeitung von Betroffenenrechten gem Art 15- 20, 21, 22 DSGVO sowie für Meldungen an die Aufsichtsbehörde gem. Art 33 und 34 DSGVO, sind die KUK und AMD verantwortlich.

Aufgrund des gemeinsamen Einsatzes des Hinweisgebersystem der Firma Business Keeper GmbH, besteht eine gemeinsame Verantwortung zwischen der Oberösterreichische Gesundheitsholding GmbH (OÖG) Goethestraße 89, 4020 Linz, der Kepler Universitätsklinikum GmbH (KUK) Med Campus II,Krankenhausstraße 7a, 4020 Linz, der Oö. Landespflege- und Betreuungszentren GmbH (LPBZ) Schloss Haus 1, 4224 Wartberg/Aist und der FH Gesundheitsberufe OÖ GmbH (FHG OÖ) Semmelweisstraße 34, 4020 Linz.

Verarbeitete Datenkategorien bei einer freiwilligen Meldung im Hinweisgebersystem:

• Name, sofern Sie Ihre Identität offenlegen,
• gegebenenfalls Namen von Personen sowie sonstige personenbezogene Daten der Personen, die Sie in Ihrer Meldung nennen.

Zweck:

Hinweise auf Missstände, Gesetzesverstöße oder sonstige Regelwidrigkeiten in der OÖG, KUK, LPBZ und FHG OÖ auf einem sicheren und vertraulichen Weg entgegenzunehmen, zu bearbeiten und zu verwalten.

Rechtsgrundlage:

Artikel 6 Abs. 1 lit. f DSGVO

Die OÖG, KUK, LPBZ und FHG OÖ haben als gemeinsame Verantwortliche über den Einsatz eines gemeinsamen Hinweisgebersystems der Firma Business Keeper GmbH eine Vereinbarung geschlossen, in der festgelegt ist, wer von ihnen welche Verpflichtung gemäß der Datenschutz-Grundverordnung (DSGVO) erfüllt.

Für die Bearbeitung von Betroffenenrechten gem Art 15- 20, 21, 22 DSGVO sowie für Meldungen an die Aufsichtsbehörde gem. Art 33 und 34 DSGVO, sind die OÖG, KUK, LPBZ und FHG verantwortlich.

Aufgrund der gemeinsamen Verarbeitung von personenbezogenen Daten bei dem bis 31.10.2024 laufenden Projekt „Epileptische Anfälle Erkennen und Prognostizieren mittels Sensornetzwerk und Intelligenter Algorithmen“ (kurz: EPILEPSIA) im Rahmen der Initiative upperVISION2030 des Landes Oberösterreich, besteht hinsichtlich dieser Verarbeitungsschritte eine gemeinsame Verantwortung von der Johannes Kepler Universität Linz (kurz „JKU“), Altenberger Straße 69, 4040 Linz, datenschutz@jku.at, der Kepler Universitätsklinikum GmbH (kurz „KUK“), Med Campus III, Krankenhausstraße 7a, 4020 Linz, datenschutz@ooeg.at und der FiveSquare GmbH (kurz „FSQ“), Sperlstraße 14/2, 4040 Linz, privacy@fivesquare.ai.

Verarbeitete Datenkategorien:

Die KUK übermittelt der JKU und der FSQ zur Durchführung des gemeinsamen Projektes bereits vorhandene EEG-, EKG- und Sauerstoffsättigungsdaten von Patient*innen der KUK sowie die EEG-,EKG- und Sauerstoffsättigungsdaten von den Studienteilnehmer*innen in pseudonymisierter Form. Mit Hilfe von Wearables werden noch weitere Gesundheitsdaten von den Studienteilnehmer*innen, nämlich cerebrale Blutfluss, EEG, Bewegungsdaten, Hautwiderstand, Atemfrequenz, Körpergeruch, Blutdruck, Temperatur, elektromyographische Daten und gegebenenfalls weitere Vitalfunktionen, die mobil messbar sind (Sensordaten), erhoben. Die KUK bringt die Sensoren am Körper der Studienteilnehmer*innen an und dokumentiert in einem eigenen System (getrennt von der Sensordatenaufzeichnung) die Zuordnung der Sensordaten zu den jeweiligen Studienteilnehmer*innen.

Die von der KUK erhobenen und für das gemeinsame Forschungsvorhaben aufbereiteten Gesundheitsdaten (EEG-, EKG- und Sauerstoffsättigungsdaten) werden ausschließlich pseudonymisiert über verschlüsselte Datenträger an die Projektpartner JKU und FSQ weitergegeben und von diesen in weiterer Folge auf den EPILEPSIA-Server übertragen. Während die von den Ohrensensoren aufgezeichneten Daten mittels Bluetooth an das Cosinuss Gateway (in den Räumlichkeiten des KUK) und in weiterer Folge an den Cosinuss-Server, welcher sich in Deutschland befindet, übermittelt und im Weiteren auf den EPILEPSIA-Server übertragen werden, werden die von den anderen Sensoren aufgezeichneten Daten samt mittels Bluetooth auf Tablets, die von der JKU oder FSQ für das Projekt angeschafft wurden und die sich in den Räumlichkeiten des KUK befinden, übermittelt und von dort auf den EPILEPSIA-Server übertragen. Dabei werden keine Patienten-/Fallnummern mitgesendet. Mit diesen Maßnahmen ist eine Identifizierung der Studienteilnehmer*innen durch die JKU und FSQ grundsätzlich ausgeschlossen.

Die Cosinuss GmbH stellt nur ihre Systeme sowie den Speicherplatz zur Verfügung, greift jedoch selbst nicht auf die Sensordaten zu. Die an den Cosinuss-Server übermittelten Daten enthalten keine Informationen, die – unter Berücksichtigung aller zur Verfügung stehenden rechtlich zulässigen Mittel – eine Identifizierung der Studienteilnehmer*innen durch die Cosinuss GmbH ermöglichen würden.

JKU und FSQ werden in enger Abstimmung gemeinsam an einem System zur Epilepsieerkennung bzw. -prognose mit künstlicher Intelligenz arbeiten und verwenden dazu die Gesundheitsdaten.

Zweck

Ist die technische Realisierung und klinische Erprobung eines am Körper tragbaren Sensornetzwerks zur automatisierten Erkennung und Vorhersage von epileptischen Anfällen unter Anwendung modernster Lernverfahren aus dem Bereich der künstlichen Intelligenz. Im Rahmen des Projektes werden wissensbasierte Systeme mit Machine Learning und Künstlicher Intelligenz entwickelt, die über eine mobile Datenerfassung Informationen sammeln, übertragen, auswerten und analysieren. Um das Projekt erfolgreich durchführen zu können, ist die Verarbeitung von medizinischen Daten von Epilepsie-Patient*innen erforderlich.

Rechtsgrundlagen

JKU:

Art. 9 Abs. 2 lit. j DSGVO iVm § 2d Abs. 2 FOG (retrospektive Studie)
Art. 9 Abs. 2 lit. a und j DSGVO iVm § 2d Abs. 2 FOG (prospektive Studie)

KUK:

Art. 9 Abs. 2 lit. j DSGVO iVm § 7 Abs. 1 Z 2 DSG,
Art. 9 Abs. 2 lit. a und j DSGVO iVm § 7 Abs. 1 Z 2 DSG
Art 9 Abs. 2 lit. j DSGVO iVm § 2f Abs. 2 FOG und § 2d Abs. 2 Z 1 lit. b FOG iVm § 7 Abs 1 Z 3 DSG (retrospektive Studie)
Art. 9 Abs. 2 lit. a DSGVO (prospektive Studie)

FSQ:

Art. 9 Abs. 2 lit. j DSGVO iVm § 2d Abs. 2 FOG (retrospektive Studie)
Art. 9 Abs. 2 lit. a und j DSGVO iVm § 2d Abs. 2 FOG (prospektive Studie)

Vereinbarung über die Zusammenarbeit:

Die JKU, KUK und FSQ haben als gemeinsame Verantwortliche über die Übermittlung der genannten personenbezogenen Daten zur Durchführung des Projektes „EPILEPSIA“ eine Vereinbarung geschlossen, in der festgelegt ist, wer von ihnen welche Verpflichtung gemäß der Datenschutz-Grundverordnung (DSGVO) erfüllt.

Für die Bearbeitung von Betroffenenrechten gem Art 15- 20, 21, 22 DSGVO sowie für Meldungen an die Aufsichtsbehörde gem. Art 33 und 34 DSGVO, sind die KUK, JKU und FSQ verantwortlich.

Stand Februar 2023

Aufgrund der gemeinsamen Verarbeitung von personenbezogenen Daten, besteht hinsichtlich dieser Verarbeitungsschritte eine gemeinsame Verantwortung von der FH Gesundheitsberufe OÖ GmbH (kurz „FHG OÖ“), Semmelweisstraße 34/D3, 4020 Linz, datenschutz@oög.at und der Kepler Universitätsklinikum GmbH (kurz „KUK“), Med Campus III, Krankenhausstraße 7a, 4020 Linz, datenschutz@ooeg.at.

Verarbeitete Datenkategorien

Patienten

• Alter, Geschlecht
• Bilder (insb Ultraschall, MR udgl) in anonymisierter Form
• klinische Daten in pseudonymisierter Form (Blutanalysedaten)
• Demographische Daten, Schmerzempfinden, Medikamenteneinnahme
• Fragen zur Gesundheitsvorsorge
• Daten im Rahmen einer vordefinierten Forschungsfrage

Mitarbeitern der KUK

• Name
• Personaldaten (zB Wochenarbeitszeit, Stundensätze)
• Lebenslauf/Qualifikationsnachweis
• Fragen zur persönlichen Belastung am Arbeitsplatz

Zweck

Zur gemeinsamen Durchführung und Abwicklung von Forschungsprojekten im klinischen und krankenhausmanagementrelevanten Bereichen im Rahmen der Forschung und Lehre beider Hochschulen werden personenbezogene Daten verarbeitet.

Rechtsgrundlagen

FHG:

Art. 6 Abs. 1 lit. a DSGVO
Art. 6 Abs. 1 lit. a iVm Art 9 Abs 2 lit a DSGVO
Art 9 Abs 2 lit j DSGVO iVm § 2d Abs. 2 Z 1 lit. b FOG iVm § 7 Abs 1 Z 3 DSG
Art. 6 Abs. 1 lit. b DSGVO iVm § 2g Abs 2 FOG

KUK:

Art. 6 Abs. 1 lit. a DSGVO
Art. 6 Abs. 1 lit. a iVm Art 9 Abs 2 lit a DSGVO
Art 9 Abs 2 lit j DSGVO iVm § 2d Abs. 2 Z 1 lit. b FOG iVm § 7 Abs 1 Z 3 DSG
Art. 6 Abs. 1 lit. b DSGVO iVm § 2g Abs 2 FOG

Vereinbarung über die Zusammenarbeit

Die FHG und KUK haben als gemeinsame Verantwortliche über die Übermittlung der genannten personenbezogenen Daten zur Durchführung und Abwicklung von klinischen Forschungsprojekten eine Vereinbarung geschlossen, in der festgelegt ist, wer von ihnen welche Verpflichtung gemäß der Datenschutz-Grundverordnung (DSGVO) erfüllt.

Für die Bearbeitung von Betroffenenrechten gem Art 15- 20, 21, 22 DSGVO sowie für Meldungen an die Aufsichtsbehörde gem. Art 33 und 34 DSGVO, sind die KUK und FHG OÖ verantwortlich.