Deutsche Migräne- und Kopfschmerzgesellschaft e.V.

Datenschutzerklärung zur Nutzung des „Kopfschmerzregisters der DMKG“

1. Was ist das „Kopfschmerzregister der DMKG“?

Das „Kopfschmerzregister der DMKG“ ist eine Datenbank, in der Daten von Patienten zu Kopfschmerzen erhoben, gespeichert und verarbeitet werden. Ziel des „Kopfschmerzregisters der DMKG“ ist die Verbesserung der Versorgung von Kopfschmerzpatienten in Deutschland. Im Kopfschmerzregister werden kopfschmerz- und sonstige personenbezogene Daten vom Patienten und behandelnden Arzt erhoben, um den Arzt bei einer strukturierten Kopfschmerzbehandlung zu unterstützen. Um eine Zuordnung der Patienten zur behandelnden Praxis bzw. zum Arzt/Studienzentrum zu gewährleisten, verarbeiten wir, die Deutsche Migräne- und Kopfschmerzgesellschaft e.V. (DMKG), zudem die personenbezogenen Daten des behandelnden Arztes. Die Daten werden zusätzlich, ausschließlich in pseudonymisierter oder anonymisierter Form, für die Kopfschmerzforschung genutzt.

Verantwortlicher:
Deutsche Migräne- und Kopfschmerzgesellschaft e.V.
Generalsekretariat bei der Migräne- und Kopfschmerzklinik Königstein
Ölmühlweg 31
61462 Königstein im Taunus

Vertreten durch: Herrn PD Dr. med. Tim Jürgens
Klinik und Poliklinik für Neurologie
Universitätsmedizin Rostock
Gehlsheimer Straße 20
18147 Rostock

2. Wie funktioniert das „Kopfschmerzregister der DMKG“?

Vor der Erstvorstellung und vor jeder Wiedervorstellung bei dem am Kopfschmerzregister teilnehmenden Arzt werden die teilnehmenden Patienten gebeten, Daten zu ihren Kopfschmerzen, aktuellen und bisherigen Behandlungsversuchen sowie Begleiterkrankungen über ein Patientenportal einzugeben und über die DMKG-App ihren persönlichen Kopfschmerzkalender zu führen. Während der Vorstellung beim behandelnden Arzt stehen diesem dann die vorab erhobenen Patientendaten in strukturierter Form zur Verfügung und können durch den Arzt ergänzt, geändert oder bestätigt werden. In pseudonymisierter Form werden die Daten in eine Auswertungsdatenbank überführt, die für wissenschaftliche sowie statistische Auswertungen genutzt wird. Ferner sollen Daten in anonymisierter Form an Dritte zu Zwecken wissenschaftlicher und statistischer Kopfschmerzforschung, Marktforschung und Produktentwicklung im Kopfschmerzbereich weitergegeben werden.

Pseudonymisierung von Daten bedeutet die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Diese zusätzlichen Informationen müssen gesondert aufbewahrt werden und unterliegen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Für die Pseudonymisierung der Daten des Kopfschmerzregisters werden die folgenden Maßnahmen durchgeführt:

• Weglassen folgender Attribute: Vorname, Nachname, E-Mail-Adresse, Wohnort
• Aggregieren der Geburtsdaten zu Geburtsjahren
• Reduzierung der Postleitzahl auf 2 Stellen

Anonymisierung von Daten bedeutet das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Unter dem Begriff Profiling wird jede Art der automatisierten Verarbeitung personenbezogener Daten verstanden, die darin besteht, dass personenbezogene Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, zu verstehen. Profiling wird ausschließlich bei der durch Algorithmen gestützten automatisierten Auswertung der Fragebögen (aktuell: Depression-Angst-Stress-Skala (DASS), Migraine Disability Assessment Scale (MIDAS), und Veterans RAND 12 Gesundheitsfragebogen) im Projekt verwendet. Die Ergebnisse der Auswertung werden dem behandelnden Arzt im Web-Portal zur Verfügung gestellt.

3. Welche Daten werden im „Kopfschmerzregister der DMKG“ erfasst?

Wenn sich ein Arzt oder ein Patient beim „Kopfschmerzregister der DMKG“ als Teilnehmer bzw. Nutzer mittels Web-Portal bzw. App anmeldet, werden verschiedene personenbezogene Daten vom Teilnehmer bzw. Nutzer erhoben.

Diese Daten gibt entweder der Nutzer als Betroffener selbst ein, d. h. der Patient seine Patientendaten oder der Arzt bzw. ein Mitarbeiter des Arztes ihre Nutzerdaten (Direkterhebung beim Betroffenen). Soweit der Arzt die Patientendaten ergänzt, ändert oder bestätigt (Erhebung beim einem Dritten), gelten ebenfalls die Rechte und Pflichten aus der Nutzung des „Kopfschmerzregisters der DMKG“ sowie diese Erklärung. Die Rechte auf Berichtigung o.ä. sind direkt beim behandelnden Arzt geltend zu machen.

Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können, Art. 4 Nr. 1 DSGVO.

3.1. Eingaben durch den Patienten:

3.1.1. Identifikationsdaten:

• E-Mail-Adresse
• Vorname
• Nachname
• Geburtsdatum
• Postleitzahl und Wohnort
• Geschlecht
• Familienstand
• Anzahl der Kinder/Geburtsjahr und -monat
• Höchster Schulabschluss
• Höchste abgeschlossene Ausbildung
• Berufsbezeichnung
• Derzeitige Beschäftigung
• Umfang der Berufstätigkeit/Anzahl der Wochenarbeitsstunden
• Schichtdienst

3.1.2. Gesundheitsdaten (über Web-Portal)

• Körpergewicht
• Körpergröße
• Schwangerschaftsdaten: Schwangerschaft möglich? Schwangerschaft vorliegend? Ggf. Schwangerschaftswoche
• Zeitpunkt der Erstmanifestation der Kopfschmerzen
• Zuletzt gestellte Kopfschmerzdiagnose
• Bildgebung des Kopfes (wann und welche Art (CT/MRT), Ergebnis: auffällig/unauffällig)
• Anzahl der Tage im Monat mit Kopfschmerzen (Unterscheidung in leichte und schwere Kopfschmerzen)
• Anzahl der Tage, an denen Schmerzmittel oder Triptane eingenommen werden
• Stärke der Kopfschmerzen (Skala 1 – 10)
• Anzahl der Tage mit kopfschmerzbedingtem Arbeits- bzw. Schulausfall
• Anzahl der Tage mit kopfschmerzbedingter Beeinträchtigung bei Freizeit bzw. Haushalt
• Anzahl der Arztbesuche, Besuche in der Notaufnahme, Nächte im Krankenhaus wegen Kopfschmerzen
• Vorliegen einer Erwerbsminderungsrente oder eines Grads der Behinderung
• Selbsteinschätzung des aktuellen Gesundheitszustands auf einer visuellen Skala
• Fragebögen (Depression-Angst-Stress-Skala; Migraine Disability Assessment Scale; Veterans RAND 12 Gesundheitsfragebogen; Patient Global Impression of Change)
• Aktuelle und frühere Kopfschmerzmedikation, Wirkung und evtl. Nebenwirkungen
• Aktuelle und frühere nichtmedikamentöse Verfahren zur Kopfschmerzbehandlung
• Frühere stationäre oder tagesklinische Behandlungen wegen Kopfschmerzen
• Begleiterkrankungen und Begleitmedikation
• Häufigkeit Nikotin- und Alkoholkonsum
• Kopfschmerz-Begleitsymptome (bei Nutzung der App)

3.1.3. Daten zu familiären Vorbelastungen (über Web-Portal)

• Vorkommen von Kopfschmerzerkrankungen in der Familie

3.1.4. Gesundheitsdaten (über App)

Täglich zu führender Kopfschmerzkalender, erhoben werden:

Vorhandensein von Kopfschmerzen an dem Tag, falls ja: Kopfschmerzintensität, -Dauer, Begleitsymptome, Ausfall bei Arbeit/Schule, Freizeit, Besuch bei Arzt, in Notaufnahme oder stationäre Behandlung wegen Kopfschmerzen, Verwendung einer Akutmedikation, falls ja, Angabe von Präparat, Dosierung und Wirkung.

3.2. Ärzte und deren Mitarbeiter

3.2.1. Eigene Daten des Arztes/Arztpraxis/Studienzentrum:

• E-Mail-Adresse
• Vorname
• Nachname
• Adresse und Kontaktinformationen der Arztpraxis bzw. des Studienzentrums
• Fachrichtung

3.2.2. Patientendaten, die durch den Arzt eingetragen werden müssen:

• Diagnose(n)
• Ergebnisse der klinisch-neurologischen Untersuchung
• Empfehlungen für das weitere Vorgehen (Procedere)

3.2.3. Zusätzlich müssen die folgenden Eingaben des Patienten durch den Arzt bestätigt (oder korrigiert) werden:

• Kopfschmerztage, starke Kopfschmerztage, Schmerzmitteltage, Fehltage bei der Arbeit
• Kopfschmerz-Akutmedikation
• Medikamentöse Kopfschmerz-Prophylaxe
• Begleiterkrankungen
• Begleitmedikation
• Ergebnisse der Zusatzdiagnostik

3.2.4. Patientendaten, die durch den Arzt eingetragen werden können:

• Anamnese
• Epikrise
• Praxisinterne Notizen
• Nicht-medikamentöse Prophylaxe

4. Was passiert mit den Daten im „Kopfschmerzregister der DMKG“ im Einzelnen?

4.1. Warum dürfen wir Ihre Daten verarbeiten?

Die Daten werden aufgrund der Einwilligung des Patienten gemäß Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 6 Abs. 1 lit a i.V.m. Art. 9 Abs. 2 lit a DSGVO sowie aufgrund des Behandlungsvertrags gemäß § 630 a BGB i.V.m. Art. 6 Abs. 1 lit. b DSGVO zwischen dem behandelnden Arzt und dem Patienten erhoben. Ferner stützt sich die Erhebung der Arztdaten auf die Erfüllung einer vertraglichen Verpflichtung aus dem Nutzungsvertrag zwischen der DMKG und dem teilnehmenden Arzt im Sinne des Art. 6 Abs. 1 lit. b DSGVO.

Wir verarbeiten Ihre personenbezogenen Daten im Projekt automatisiert und zum Zwecke des Profiling (siehe Punkt 6) auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a i.V.m. Art. 9 Abs. 2 lit. a DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG.

4.2. Wofür nutzen wir Ihre Daten?

• Unterstützung der Behandlung (Versorgungsbereich)
  

  Ziel des „Kopfschmerzregisters der DMKG“ ist die Unterstützung des Arztes bei der Informationserhebung im Rahmen der Anamnese, Befunderhebung und Diagnose. Hierzu werden personenbezogene Daten, die vom Patienten angegeben oder dem Arzt eingetragenen werden, gesammelt, aggregiert und an die entsprechenden Stellen (Studienzentren und Arztpraxen) unter Wahrung technischer und organisatorischer Schutzmaßnahmen weitergeleitet.

• Wissenschaftliche Kopfschmerzforschung und statistische Auswertung
  

  Ihre Daten werden zu Zwecken der wissenschaftlichen Kopfschmerzforschung und zu statistischen Zwecken auf der gesetzlichen Grundlage des § 27 BDSG i.V.m. Art. 89 DSGVO erhoben und verarbeitet.

  Die Verarbeitung gemäß § 22 BDSG ist für wissenschaftliche Zwecke erforderlich, weil Auswertungen nur valide Rückschlüsse auf Kopfschmerzerkrankungen zulassen, wenn ein ausreichend großer Datenpool ausgewertet und analysiert werden kann. Die Interessen an der Verarbeitung überwiegen Ihren Interessen erheblich, da Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit zur Gewährleistung hoher Qualitätsstandards bei der Gesundheitsversorgung den Einzelinteressen des Betroffenen überwiegen. Die DMKG hilft angemessene und spezifische Maßnahmen zur Wahrung Ihrer Interessen umzusetzen. Diese können hier eingesehen werden. Hierzu pseudonymisieren wir Ihre Daten bei der Übernahme aus der Registerdatenbank.

• Wissenschaftliche und statistische Kopfschmerzforschung, Marktforschung und Produktentwicklung im Kopfschmerzbereich
  

  Die Weitergabe von Daten an Dritte für Zwecke der wissenschaftlichen und statistischen Kopfschmerzforschung, Marktforschung oder Produktentwicklung im Kopfschmerzbereich erfolgt ausschließlich in anonymisierter Form. Ihre personenbezogenen Daten werden nicht weitergegeben.

4.3. Wie lange werden Ihre Daten gespeichert?

Ihre Daten werden datenschutzkonform nur so lange gespeichert, wie es der Zweck erfordert. Alle Daten, die zum Zweck der Unterstützung der Gesundheitsvorsorge, der Unterstützung der medizinischen Diagnostik und der Behandlung dienen, werden mindestens 10 Jahre ab Erhebung gespeichert. Die Daten, die Forschungszwecken dienen, werden bis zum Ende des Forschungsprojektes und der erforderlichen Auswertung und Nachnutzung gespeichert. Für anonymisierte Daten gibt es keine Speicherbegrenzung.

4.4. Wer hat Zugriff auf meine Daten?

Sie können Ihre Daten jederzeit einsehen. Die DMKG setzt datenschutzkonform Auftragsverarbeiter zur Erfüllung ihrer Verpflichtungen ein. Von den teilnehmenden Studienzentren und Arztpraxen hat nur die/der Sie behandelnde Arztpraxis/Studienzentrum/Arzt Zugriff auf Ihre Daten, soweit Sie nicht in die Weitergabe an sonstige Ärzte ausdrücklich einwilligen. Zur Auswertung Ihrer gespeicherten Patientendaten erfolgt eine anonymisierte Weitergabe an das Münchner Studienzentrum am Klinikum rechts der Isar der Technischen Universität München. Eine Zuordnung der Daten zu Ihnen ist dann nicht mehr möglich.

4.5. Weitergabe der Daten an Dritte

Ihre Identifikationsdaten geben wir nur an Dritte weiter, wenn:

• Sie Ihre Einwilligung zu der Verarbeitung der Sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben haben gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO,
• dies gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist,
• für den Fall, dass für die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. c DSGVO eine gesetzliche Verpflichtung besteht,
• die Verarbeitung erforderlich ist, um lebenswichtige Interessen zu schützen gemäß Art. 6 Abs. 1 S. 1 lit. d DSGVO,
• die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde gemäß Art. 6 Abs. 1 S. 1 lit. e DSGVO,
• die Weitergabe gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben.

Ihre Gesundheitsdaten im Besonderen geben wir nur an Dritte weiter, wenn:

• die Verarbeitung gemäß Art. 9 Abs. 2 lit. b DSGVO erforderlich ist, damit der Verantwortliche oder Sie, die Ihnen aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
• die Verarbeitung gemäß Art. 9 Abs. 2 lit. c DSGVO zum Schutz lebenswichtiger Interessen Ihrer oder einer anderen natürlichen Person erforderlich und Sie aus körperlichen oder rechtlichen Gründen außerstande sind, Ihre Einwilligung zu geben,
• die Verarbeitung gemäß Art. 9 Abs. 2 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist,
• die Verarbeitung gemäß Art. 9 Abs. 2 lit. g DSGVO auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung Ihrer Grundrechte und Interessen vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist,
• die Verarbeitung gemäß Art. 9 Abs. 2 lit. h DSGVO für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien erforderlich ist,
• die Verarbeitung gemäß Art. 9 Abs. 2 lit. i DSGVO aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Ihrer Rechte und Freiheiten, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich ist, oder
• die Verarbeitung gemäß Art. 9 Abs. 2 lit. j DSGVO auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung Ihrer Grundrechte und Interessen vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 DSGVO erforderlich ist.

Ansonsten erfolgt eine Weitergabe an sonstige Dritte ausschließlich in anonymisierter Form.

5. Welche Rechte habe ich als Betroffener?

Sie haben das Recht:

• gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
• gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
• gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
• gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
• gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
• gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen und Sie demgemäß am „Kopfschmerzregister der DMKG“ nicht mehr teilenehmen können und
• gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder unseres Sitzes wenden.

Die Einwilligung erfolgt freiwillig und ist unabhängig von Ihrer Behandlung. Sie kann mit Wirkung für die Zukunft jederzeit ohne die Angabe von Gründen widerrufen werden, ohne dass dadurch Nachteile für Ihre medizinische Behandlung entstehen. Eine Teilnahme am „Kopfschmerzregister der DMKG“ ist dann nicht mehr möglich. Die bis zum Widerruf erfolgte Datenverarbeitung bleibt jedoch rechtmäßig.

Sie haben einen Anspruch auf Auskunft (einschließlich der kostenlosen Überlassung einer Kopie der Daten), Berichtigung, Löschung, Einschränkung der Verarbeitung und Übertragung Ihrer personenbezogenen Daten gem. Art. 15-20 DSGVO unter:

Deutsche Migräne- und Kopfschmerzgesellschaft e.V.
Ölmühlweg 31
61462 Königstein im Taunus
oder per E-Mail: kopfschmerzregister@dmkg.de

Bei Anliegen zur Datenverarbeitung und zur Einhaltung der datenschutzrechtlichen Anforderungen können Sie sich auch an folgenden Datenschutzbeauftragten wenden:

Herrn Lukas Wagner
HK2 Comtection GmbH
Hausvoigteiplatz 11 A
10117 Berlin
E-Mail-Adresse: wagner@comtection.de

Sie haben ein Beschwerderecht bei jeder Aufsichtsbehörde für den Datenschutz. Eine Liste der Aufsichtsbehörden in Deutschland finden Sie unter:

https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

6. Arbeitet das „Kopfschmerzregister der DMKG“ mit Profiling?

Die meisten vom Patienten eingegebenen Daten im „Kopfschmerzregister der DMKG“ werden direkt erhoben und unverändert wieder angezeigt. In einigen Fällen werden zur besseren Übersichtlichkeit einfache Datenaggregationen und Strukturierungen durchgeführt. Eine Ausnahme bilden die per Fragebögen (siehe unten) erhobenen Daten. Die Auswertung dieser Daten erfolgt anhand verschiedener veröffentlichter Algorithmen, die genaue Vorgehensweise kann der jeweiligen Quelle entnommen werden.

• Depression-Angst-Stress-Skala (DASS)¹
• Migraine Disability Assessment Scale (MIDAS)²
• Veterans RAND 12 Gesundheitsfragebogen (VR-12)³

Andere Arten der automatisierten Verarbeitung personenbezogener Daten finden nicht statt (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a und Art. 22 Abs. 4, 2 lit. c DSGVO).

Die Tragweite und die angestrebten Auswirkungen des Profiling lassen sich wie folgt beschreiben:

Die automatische Auswertung der Fragebögen kann dem behandelnden Arzt als unterstützendes Instrument bei der Einschätzung der Kopfschmerzerkrankung eines Patienten dienen. Dabei sieht der Arzt sowohl das Ergebnis der Auswertung als auch die vom Patienten eingegebenen unverarbeiteten Daten, die die Grundlage für die automatischen Auswertungen darstellen. Somit können alle Ergebnisse zweifelsfrei nachvollzogen werden. Entscheidungen bezüglich Diagnose, Diagnostik oder Therapie werden im „Kopfschmerzregister der DMKG“ nicht automatisiert herbeigeführt. Diese obliegen ausschließlich dem behandelnden Arzt.

7. Datenschutzfolgeabschätzung

Aufgrund des Einsatzes neuer Technologien und der umfangreichen Verarbeitung von Gesundheitsdaten sind wir als Verantwortliche zur Bewertung von Risiken und Schutz Ihrer personenbezogenen Daten gemäß Art. 35 Abs. 3 lit. b DSGVO verpflichtet eine Datenschutzfolgeabschätzung zu erstellen. Hierbei handelt es sich um einen iterativen Prozess, welcher über die gesamte Projektlaufzeit an den aktuellen Stand der Technik angepasst wird und die Verarbeitung Ihrer personenbezogenen Daten hinsichtlich des Risikos für Ihre Rechte und Freiheiten bewertet, d. h. wie groß ein möglicher Schaden für Sie sein könnte und wie wahrscheinlich der Eintritt dieses Schadens ist. Berücksichtigt werden hierbei die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die Ursachen der Risiken.

Die Datenschutzfolgeabschätzung beinhaltet gemäß Art. 35 Abs. 7 DSGVO die folgenden Punkte:

• Systematische Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke der Verarbeitung,
• Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den Zweck,
• Bewertung der Risiken in Bezug auf die Rechte und Freiheiten der betroffenen Person und

die zur Bewältigung von Risiken geplanten Abhilfemaßnahmen, einschließlich adäquater Garantien, Sicherheitsvorkehrungen und Verfahren.

8. Datensicherheit

Für das „Kopfschmerzregister der DMKG“ wird aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, die Sie als Teilnehmer/Nutzer eintragen, eine TLS-Verschlüsselung eingesetzt. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nach dem derzeitigen Stand der Technik nicht von Dritten mitgelesen werden.

Wir bedienen uns im Übrigen geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Dazu gehörten die folgenden Maßnahmen:

• Rechte-Rollen-Konzept,
• Protokollierung des Zugriffs,
• Überprüfung der Erforderlichkeit der Daten,
• Validierung der Daten bei Eingabe,
• Speicherbegrenzung,
• Einsatz von Verschlüsselung,
• Erstellung regelmäßiger Backups,
• Nutzung redundanter Systeme,
• Nachfrage des Systems vor Ausführung einer Änderung,
• Dokumentation der Vorgänge,
• Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
• Benennung eines Datenschutzbeauftragten und
• Pseudonymisierung von personenbezogenen Daten

Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Dennoch möchten wir Sie darüber informieren, dass bei der Datenübertragung im Internet, unabhängig von der Art der Nutzung über das Web-Portal oder die Apps, Sicherheitslücken entstehen können. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich. Bitte halten Sie Ihre Endgeräte auf dem technisch neuesten Stand, führen unverzüglich alle herstellerseitig angebotenen Updates durch und halten Ihre Zugangsmedien (Geräte und Passwörter) vor Dritten geschützt.

9. Änderung dieser Datenschutzerklärung

Durch die Weiterentwicklung des „Kopfschmerzregisters der DMKG“ oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website unter https://portal.kopfschmerzregister.de/privacy.xhtml von Ihnen abgerufen und ausgedruckt werden.

¹ Nilges P, Essau C. Depression, anxiety and stress scales: DASS--A screening procedure not only for pain patients. Schmerz 2015;29:649-657.

² Stewart WF, Lipton RB, Whyte J, Dowson A, Kolodner K, Liberman JN, Sawyer J. An international study to assess reliability of the Migraine Disability Assessment (MIDAS) score. Neurology 1999;53:988-994.

³ Kazis LE, Selim A, Rogers W, Ren XS, Lee A, Miller DR. Dissemination of methods and results from the veterans health study: final comments and implications for future monitoring strategies within and outside the veterans healthcare system. J Ambul Care Manage 2006;29:310-319.