Datenschutzhinweis für Patientinnen und Patienten

Informationspflicht nach Art. 13 & 14 DSGVO

für Privat-/IGeL-Abrechnung und Inkasso

 

1. Verantwortlicher für die Datenverarbeitung
medipec GmbH Abrechnungsservice für Ärzte,

Kasseler Landstr. 25a
37081 Göttingen

Telefon: +49 (0) 551 99960 403
Telefax +49 (0) 551 99960 404

E-Mail: info@medipec.de
Webseite: www.medipec.de

 

2. Datenschutzbeauftragter
medipec GmbH Abrechnungsservice für Ärzte

Datenschutzbeauftragter
Kasseler Landstr. 25a
37081 Göttingen
Email: datenschutz@medipec.de

 

3. Zwecke der Verarbeitung und Rollen

3.1 Abrechnung von privatärztlichen Leistungen / IGeL-Leistungen
Wir verarbeiten personenbezogene Daten, um im Auftrag von Ärztinnen, Ärzten, Laboren oder anderen medizinischen Leistungserbringern die Abrechnung von Privat- und IGeL-Leistungen durchzuführen. Dies umfasst insbesondere:

• Erstellung und Versand von Rechnungen, Gutschriften und ggf. Mahnschreiben
• Prüfung und Verbuchung von Zahlungseingängen
• Kommunikation mit Patientinnen und Patienten, Ärztinnen/Ärzten, Laboren und Versicherungen
• Erfüllung gesetzlicher Dokumentations- und Aufbewahrungspflichten

 

Rolle im Rahmen der Abrechnung:
Im Rahmen der Abrechnungstätigkeiten handeln wir in der Regel als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für die jeweilige Praxis, das Labor oder den sonstigen medizinischen Leistungserbringer.

Rechtsgrundlagen der Verarbeitung (Abrechnung):

• 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Abwicklung der Behandlung und Abrechnung)
• 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten, z. B. handels- und steuerrechtliche Pflichten)
• 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten, sicheren und nachvollziehbaren Abrechnung)
• 9 Abs. 2 lit. h DSGVO (Verarbeitung von Gesundheitsdaten für Zwecke der Gesundheitsversorgung und Verwaltung)

3.2 Inkasso und Forderungsmanagement
Soweit wir mit dem Einzug offener Forderungen beauftragt werden oder Forderungen auf uns übergehen, verarbeiten wir personenbezogene Daten zur Durchführung von Inkasso- und Forderungsmanagementmaßnahmen. Dies umfasst insbesondere:

• Prüfung und Verwaltung offener Forderungen
• Durchführung von außergerichtlichem und ggf. gerichtlich geltend gemachtem Mahn- und Inkassoverfahren
• Kontaktaufnahme mit Schuldnerinnen und Schuldnern per Post, E-Mail oder Telefon
• Abstimmung mit Rechtsanwälten, Gerichten, Behörden und ggf. Auskunfteien
• Sicherung, Durchsetzung und Verteidigung rechtlicher Ansprüche

 

Rolle im Rahmen des Inkassos:
Im Rahmen von Inkasso- und Forderungsmanagementtätigkeiten handeln wir in der Regel als eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.

Rechtsgrundlagen der Verarbeitung (Inkasso):

• 6 Abs. 1 lit. b DSGVO (Erfüllung vertraglicher Pflichten im Zusammenhang mit der Zahlungsabwicklung)
• 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchsetzung und Sicherung berechtigter Forderungen)
• 9 Abs. 2 lit. f DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten, einschließlich Gesundheitsdaten, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen)

 

4. Kategorien personenbezogener Daten

Stammdaten (z. B. Name, Anschrift, Geburtsdatum, Geschlecht, Kontaktdaten)

• Abrechnungs- und Leistungsdaten (z. B. Behandlungsdatum, Leistungsziffern, Gebühren, Rechnungsnummern)
• Gesundheitsdaten (z. B. Diagnosen, Behandlungsangaben, Laborwerte, medizinische Dokumentation, soweit zur Abrechnung oder Inkasso erforderlich)
• Versicherungsdaten (z. B. Krankenversicherung, Versicherungsnummer, Kostenträger)
• Forderungs- und Mahndaten (z. B. Höhe der Forderung, Zahlungsverlauf, Mahnstufen, Vereinbarungen)
• Kommunikationsdaten (z. B. E-Mail-Korrespondenz, Schreiben, Gesprächsnotizen, Dokumentation telefonischer Kontakte)
• Zahlungs- und Bankdaten (z. B. IBAN, BIC, Kontoinhaber, Zahlungszeitpunkte)
• Daten aus öffentlich zugänglichen Quellen und Registern (z. B. gerichtliche Schuldnerverzeichnisse)

 

5. Herkunft der Daten
Wir erhalten personenbezogene Daten insbesondere aus folgenden Quellen:

• Ärztinnen und Ärzte, Labore sowie andere medizinische Leistungserbringer, die uns mit der Abrechnung beauftragen
• gesetzliche und private Krankenversicherungen oder andere Kostenträger
• die betroffene Person selbst (z. B. bei Rückfragen, Einwendungen zur Rechnung, direkten Zahlungen)
• Rechtsanwälte, Gerichte und Behörden im Rahmen von Forderungsangelegenheiten
• Auskunfteien und öffentlich zugängliche Register, soweit dies zur Bewertung und Durchsetzung von Forderungen erforderlich ist

 

6. Empfänger oder Kategorien von Empfängern der Daten
Je nach Einzelfall können personenbezogene Daten an folgende Empfänger übermittelt werden:

• Ärztinnen und Ärzte, Labore sowie andere medizinische Leistungserbringer
• gesetzliche und private Krankenversicherungen, Beihilfestellen oder sonstige Kostenträger
• IT-, Hosting-, Druck- und Kommunikationsdienstleister im Rahmen von Auftragsverarbeitungsverhältnissen
• Banken und Zahlungsdienstleister
• Rechtsanwälte, Gerichte, Gerichtsvollzieher und Behörden
• Auskunfteien und Bonitätsdienstleister (im Rahmen des Inkassos, soweit gesetzlich zulässig und erforderlich)
• Steuerberater, Wirtschaftsprüfer und sonstige zur Verschwiegenheit verpflichtete Berufsgeheimnisträger

 

7. Übermittlung in Drittländer
Eine Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) findet grundsätzlich nicht statt. Sollte in Einzelfällen doch eine Übermittlung erforderlich sein, erfolgt diese nur unter Beachtung der Vorgaben der Art. 44 ff. DSGVO (insbesondere auf Grundlage eines Angemessenheitsbeschlusses oder geeigneter Garantien).

 

8. Dauer der Speicherung
Wir speichern personenbezogene Daten nur so lange, wie dies für die oben genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Typische Aufbewahrungsfristen sind insbesondere:

• handels- und steuerrechtliche Aufbewahrungspflichten von regelmäßig 6 bzw. 10 Jahren (z. B. nach Abgabenordnung und Handelsgesetzbuch)
• Verjährungsfristen für zivilrechtliche Ansprüche, die in der Regel 3 Jahre betragen, im Einzelfall aber auch länger sein können (z. B. bis zu 30 Jahre)

Nach Ablauf der jeweiligen Fristen werden die Daten gelöscht oder anonymisiert, sofern sie nicht ausnahmsweise noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.

 

9. Rechte der betroffenen Personen
Betroffene Personen haben nach der DSGVO insbesondere folgende Rechte:

• Recht auf Auskunft über die zu ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Recht auf Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
• Recht auf Löschung („Recht auf Vergessenwerden“), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch gegen bestimmte Verarbeitungen, insbesondere wenn diese auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruhen (Art. 21 DSGVO)

Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an die oben genannten Kontaktdaten. Gegebenenfalls kann eine Identitätsprüfung erforderlich sein.

 

10. Beschwerderecht bei einer Aufsichtsbehörde
Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen datenschutzrechtliche Bestimmungen verstößt (Art. 77 DSGVO). Zuständig ist in der Regel die Aufsichtsbehörde des Bundeslandes ihres Wohnsitzes oder des Sitzes unseres Unternehmens.

 

11. Automatisierte Entscheidungsfindung / Profiling
Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

 

12. Stand dieser Datenschutzhinweise
Stand: 11.2025

Wir behalten uns vor, diese Informationen bei Bedarf zu aktualisieren, insbesondere bei Änderungen der Rechtslage oder unserer Datenverarbeitungsprozesse.