Mit Einrichtung eines Praxika-Zugangs darf die Corinis GmbH personenbezogene Daten ausschließlich im Rahmen der Funktionen von Praxika und nur auf dokumentierte Weisung des jeweiligen Auftraggebers verarbeiten.
Die Corinis GmbH gewährleistet, dass den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter:innen sowie allen sonstigen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- bzw. Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags fort.
Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden.
Verarbeitung personenbezogener Daten im Rahmen der Online-Terminbuchung über Praxika.at
Personenbezogene Daten werden im Rahmen der Online-Terminbuchung über Praxika.at im Auftrag durch die Corinis GmbH nur im notwendigen Umfang erhoben und verarbeitet.
Wir verarbeiten und speichern Ihre personenbezogenen Daten nur solange, wie dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Sobald die Speicherung zur Erfüllung dieser Pflichten nicht mehr notwendig ist, werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
Widerruf von Einwilligungen
Sofern Sie uns gegenüber Einwilligungen erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Ihren Widerruf senden Sie bitte an die unten angegebenen Kontaktdaten unter „Verantwortlicher“.
Ihre Rechte
- Sie haben gegenüber uns folgende Rechte in Bezug auf Ihre personenbezogenen Daten:
- Recht auf Auskunft
- Recht auf Berichtigung oder Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Widerspruch gegen die Verarbeitung
- Recht auf Datenübertragbarkeit
Darüber hinaus haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.
Verantwortlicher
Corinis GmbH
A-1150 Wien Viktoriagasse 14a/26
E-Mail: office@corinis.com
Die Nutzung von Praxika sowie der integrierten Zusatzdienste (insbesondere Nextcloud für Videotelefonie und Cloud-Speicher) erfolgt datenschutzrechtlich im Rahmen einer Auftragsverarbeitung. Vor der produktiven Nutzung ist daher zwischen dem jeweiligen Praxika-Nutzer als Verantwortlichem und der Corinis GmbH als Auftragsverarbeiter ein gesonderter Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen.
Der Auftragsverarbeitungsvertrag regelt insbesondere:
HINWEIS: Ohne abgeschlossenen AVV verstößt die Nutzung von Praxika gegen Art. 28 DSGVO. Eine Mustervorlage stellt die WKO (Wirtschaftskammer Österreich) zur Verfügung.
Für Fragen oder Klärungen wenden Sie sich bitte an info@praxika.at.
Durch die Verwendung von Praxika speichern und verarbeiten Sie personenbezogene Daten Ihrer Kund:innen bzw. Patient:innen. Je nach Art der Nutzung können darunter auch Gesundheitsdaten als besondere Kategorien personenbezogener Daten fallen.
Sie sind als Verantwortliche:r dafür zuständig, gegenüber Ihren Patient:innen bzw. Klient:innen die jeweils erforderlichen Datenschutzinformationen bereitzustellen und eine passende Rechtsgrundlage für die Verarbeitung sicherzustellen. Für Gesundheitsdaten kommt im Behandlungszusammenhang insbesondere Art. 9 Abs. 2 lit. h DSGVO in Betracht, soweit die Verarbeitung für Zwecke der Gesundheitsversorgung oder Behandlung durch Fachpersonal unter Berufsgeheimnis erfolgt.
Für die Nutzung von Videotelefonie und Cloud-Speicher über die integrierte Nextcloud-Lösung ist darüber hinaus eine ausdrückliche Einwilligung der Patient:innen einzuholen, sofern diese nicht bereits durch den Behandlungsvertrag oder eine gesonderte Vereinbarung abgedeckt ist. Die Einwilligung muss insbesondere Art, Zweck und technische Rahmenbedingungen der Kommunikation benennen sowie auf das jederzeitige Widerrufsrecht hinweisen.
Für Anfragen zu den über einen Kontakt gespeicherten Daten steht im Kontaktfenster eine Funktion zum Datenauszug zur Verfügung. Zusätzlich können dort sämtliche Daten zu einem Kontakt gelöscht werden.
Werden die Daten zu einem Kontakt gelöscht, ist eine Wiederherstellung nur im Rahmen vorhandener Backups und gegen entsprechenden Aufwand möglich. Die Vorhaltung in Backups ersetzt nicht die gesetzlichen Aufbewahrungspflichten des jeweiligen Verantwortlichen.
Beim Standard-Datenexport eines Patienten bzw. einer Patientin sind interne Kommentare oder Notizen unter Umständen nicht automatisch enthalten. Soweit solche Inhalte personenbezogene Daten sind und von einem Auskunftsersuchen erfasst werden, sind sie gesondert bereitzustellen.
Mit Löschung des Praxika-Zugangs werden alle im System gespeicherten Daten unwiderruflich gelöscht. Vor der Kündigung sind alle erforderlichen Daten eigenverantwortlich durch den Nutzer zu exportieren und lokal zu sichern. Praxika übernimmt keine Haftung für Datenverluste, die aus einer unterlassenen Datensicherung vor Kontoauflösung entstehen.
Praxika bietet die Nutzung von Videotelefonie sowie Cloud-Speicher auf Basis von Nextcloud an, welches in einem Österreichischem Datencenter gehostet wird. Diese Dienste ermöglichen die verschlüsselte Kommunikation mit Patient:innen sowie den sicheren Austausch und die Ablage von Dokumenten.
Der Betrieb der Nextcloud-Instanz erfolgt durch einen vertraglich gebundenen Partner der Corinis GmbH. Dieser handelt datenschutzrechtlich als Unterauftragsverarbeiter gemäß Art. 28 Abs. 2 DSGVO. Der Einsatz ist durch den Auftragsverarbeitungsvertrag abgedeckt (siehe Abschnitt AVV).
Da im Rahmen von Videotelefonie und Cloud-Speicher Gesundheitsdaten übertragen und gespeichert werden können, gelten die strengen Anforderungen des Art. 9 DSGVO sowie des österreichischen Gesundheitstelematikgesetzes (GTelG 2012). Gemäß § 6 GTelG 2012 müssen Gesundheitsdaten ausschließlich über gesicherte oder verschlüsselte Kanäle übermittelt werden.
Alle Videoverbindungen erfolgen verschlüsselt (Ende-zu-Ende-Verschlüsselung bzw. Transportverschlüsselung über TLS/HTTPS).
Vor der Nutzung von Videotelefonie für Therapiegespräche ist die ausdrückliche Einwilligung der Patient:innen einzuholen und schriftlich zu dokumentieren. Die Einwilligung muss auf die Art der Kommunikation, mögliche technische Risiken und das jederzeitige Widerrufsrecht hinweisen.
Personenbezogene Daten werden grundsätzlich nicht zu Marketingzwecken oder für sonstige Analysezwecke an Dritte weitergegeben. Insbesondere erfolgt keine Weitergabe für werbliche 3rd-Party-Tracking-Zwecke, und es werden keine externen Analysewerkzeuge wie Google Analytics eingesetzt, sofern dies nicht ausdrücklich anders angegeben und rechtskonform freigegeben wurde.
Soweit dies für den technischen Betrieb von Praxika oder der integrierten Zusatzdienste erforderlich ist, erfolgt eine Verarbeitung durch vertraglich gebundene Auftragsverarbeiter bzw. Unterauftragsverarbeiter innerhalb der Europäischen Union. Alle Daten befinden sich auf Servern bzw. in Rechenzentren innerhalb der EU.
Es werden insbesondere folgende Kategorien personenbezogener Daten verarbeitet:
Die Verarbeitung erfolgt zu folgenden Zwecken auf den jeweils einschlägigen Rechtsgrundlagen:
| Verarbeitung | Zweck | Rechtsgrundlage | Speicherdauer |
| Patientenaufnahme und Terminverwaltung | Begründung, Planung und Durchführung der Behandlung, Kommunikation, Erinnerungssysteme | Art. 6 Abs. 1 lit. b DSGVO; bei Gesundheitsdaten Art. 9 Abs. 2 lit. h DSGVO | Bis Ende des Behandlungsverhältnisses; darüber hinaus nach gesetzlichen Aufbewahrungspflichten |
| Behandlungsdokumentation | Medizinische bzw. therapeutische Dokumentation, Therapieverlauf, Qualitätssicherung | Art. 6 Abs. 1 lit. b bzw. lit. c DSGVO; Art. 9 Abs. 2 lit. h DSGVO | Nach berufsrechtlichen und gesetzlichen Mindestfristen |
| Abrechnung und Verwaltung | Abrechnung mit Patient:innen, Kassen oder Versicherungen sowie Buchführung | Art. 6 Abs. 1 lit. b und lit. c DSGVO; ggf. Art. 6 Abs. 1 lit. f DSGVO | Nach gesetzlichen Aufbewahrungspflichten (z. B. BAO/UGB, mind. 7 Jahre) |
| Überweisungen und Konsilien | Übermittlung relevanter Informationen an mitbehandelnde Stellen | Art. 6 Abs. 1 lit. b DSGVO; Art. 9 Abs. 2 lit. h DSGVO | Solange für Behandlungszweck erforderlich |
| Videotelefonie (Nextcloud) | Durchführung von Therapiegesprächen via Videokommunikation | Art. 6 Abs. 1 lit. b DSGVO; Art. 9 Abs. 2 lit. h DSGVO; ggf. Einwilligung nach Art. 6 Abs. 1 lit. a i. V. m. Art. 9 Abs. 2 lit. a DSGVO | Keine dauerhafte Speicherung der Videoinhalte; Verbindungsprotokolle nach technischem Erfordernis |
| Cloud-Speicher (Nextcloud) | Sichere Ablage und Übermittlung von Dokumenten und Behandlungsunterlagen | Art. 6 Abs. 1 lit. b DSGVO; Art. 9 Abs. 2 lit. h DSGVO | Bis zur aktiven Löschung durch den Nutzer; im Rahmen gesetzlicher Aufbewahrungspflichten |
| Patientenportal und Online-Formulare | Sichere Bereitstellung und Empfang von Daten, Termin- und Dokumentenfunktionen | Art. 6 Abs. 1 lit. b DSGVO; Art. 9 Abs. 2 lit. h DSGVO; technisch notwendige Cookies ohne Einwilligung | Während Nutzung; Protokolldaten nach technischen und gesetzlichen Anforderungen |
| Nicht notwendige Cookies oder Analysefunktionen | Komfort, Statistik, Reichweitenmessung | Einwilligung gemäß § 165 Abs. 3 TKG 2021; Widerruf jederzeit möglich | Bis Widerruf oder Ablauf |
Es wurden technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau für die im Rahmen von Praxika und der integrierten Nextcloud-Dienste verarbeiteten Daten zu gewährleisten.
Alle produktiv eingesetzten Server und Rechenzentrumsleistungen befinden sich innerhalb der Europäischen Union. Zur Redundanz und Sicherstellung des Services werden Daten in unterschiedlichen Rechenzentren innerhalb der EU verarbeitet. Alle Daten werden auf verschlüsselten Laufwerken gespeichert.
Derzeit eingesetzte Rechenzentrums- und Infrastrukturpartner:
| Dienstleister | Funktion | Standort |
| Netplanet GmbH (FN 339937h) | Primäres Rechenzentrum, ISO 27001 zertifiziert | Österreich, EU |
| NTT Global Data Centers EMEA AT GmbH | Rechenzentrumsinfrastruktur | Österreich, EU |
| Contabo GmbH (HRB 180722) | Serverinfrastruktur (Backup) | Deutschland, EU |
Soweit externe Infrastruktur- oder Hosting-Dienstleister sowie der Nextcloud-Partnerbetreiber für den Betrieb von Praxika und der integrierten Zusatzdienste eingesetzt werden, handelt es sich datenschutzrechtlich um Unterauftragsverarbeiter. Deren Einbindung erfolgt ausschließlich auf Basis einer vertraglichen Verpflichtung gemäß Art. 28 DSGVO.
Die Corinis GmbH informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern rechtzeitig im Vorhinein. Der Auftraggeber hat das Recht, gegen solche Änderungen Einspruch zu erheben, sofern dies vertraglich vorgesehen ist.
Die Corinis GmbH stellt sicher, dass allen Unterauftragsverarbeitern dieselben datenschutzrechtlichen Verpflichtungen auferlegt werden, die auch zwischen dem Auftraggeber und der Corinis GmbH vereinbart sind.
Die Verbindung zu Praxika erfolgt ausschließlich über eine verschlüsselte HTTPS-Verbindung. Per E-Mail versendete Rechnungen werden über verschlüsselte SMTP-Verbindungen übertragen. Die Datenverbindungen zwischen den eingesetzten Rechenzentren sind ebenfalls verschlüsselt.
Videotelefonie-Verbindungen über Nextcloud erfolgen verschlüsselt. Im Cloud-Speicher abgelegte Dateien werden auf dem Server auf verschlüsselten Laufwerken gespeichert.
Der Zugriff auf Server, Backups und die Nextcloud-Infrastruktur erfolgt ausschließlich durch entsprechend geschulte Mitarbeiter:innen der Corinis GmbH bzw. des beauftragten Nextcloud-Partners und wird nachvollziehbar protokolliert.
Sollte es zu einer Verletzung des Schutzes personenbezogener Daten kommen – etwa durch einen Angriff auf die Serverinfrastruktur, unbefugten Zugriff, Datenverlust oder einen vergleichbaren Vorfall –, werden betroffene Praxika-Nutzer:innen unverzüglich per E-Mail informiert.
Unabhängig von dieser Benachrichtigung ist der jeweilige Verantwortliche (Praxika-Nutzer:in) verpflichtet, eine meldepflichtige Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde zu melden, sofern die gesetzlichen Voraussetzungen vorliegen. In Österreich erfolgt die Meldung an die Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien; Online-Meldung: https://dsb.gv.at/eingabe-an-die-dsb/-meldung-data-breach.
Soweit die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge hat – was bei Gesundheitsdaten im Zweifelsfall anzunehmen ist –, sind auch die betroffenen Personen unverzüglich zu benachrichtigen (Art. 34 DSGVO).
Um Ausfälle durch fehlerhafte Hardware zu vermeiden, sind die eingesetzten Datenträger redundant ausgelegt.
Die Praxika-Datenbank wird regelmäßig nach folgendem Muster gesichert:
Alle Backups werden auf verschlüsselten Datenträgern gespeichert. Der Zugriff ist auf berechtigte Mitarbeiter:innen der Corinis GmbH beschränkt; der Zugriff auf Schlüsselmaterial ist organisatorisch gesondert abgesichert.
Die Backup-Rotation dient der Ausfallsicherheit und ersetzt nicht die gesetzlichen Aufbewahrungspflichten des jeweiligen Verantwortlichen. Soweit gesetzliche Aufbewahrungsfristen bestehen (z. B. nach BAO, UGB oder berufsrechtlichen Vorschriften), sind diese vom Verantwortlichen eigenständig zu gewährleisten, unabhängig von der technischen Backup-Retention.
Daten werden grundsätzlich nicht historisiert, außer im Rahmen der vorübergehenden Sicherungen gemäß Backup-Konzept. Ein gelöschter Kontakt wird aus der produktiven Datenbank entfernt und ist nur innerhalb der jeweils noch vorhandenen Backup-Zyklen wiederherstellbar.
Auf Wunsch kann ein vollständiger Datenexport angefordert werden. Die in Praxika gespeicherten Daten umfassen insbesondere:
Diese Daten können in strukturierten Formaten (JSON oder XML) bereitgestellt werden. Zusätzlich können über die vorhandenen Export- bzw. Druckfunktionen Patient:innen-Daten, Rechnungen und Terminlisten exportiert werden.
Im Cloud-Speicher (Nextcloud) abgelegte Daten können vom jeweiligen Nutzer selbst exportiert bzw. heruntergeladen werden. Bei Beendigung des Nutzungsverhältnisses sind die Daten eigenverantwortlich zu sichern oder zu löschen.
Mit Löschung des Praxika-Zugangs werden alle im System gespeicherten Daten unwiderruflich gelöscht. Vor der Kündigung sind alle erforderlichen Daten eigenverantwortlich durch den Nutzer zu exportieren und lokal zu sichern. Praxika übernimmt keine Haftung für Datenverluste, die aus einer unterlassenen Datensicherung vor Kontoauflösung entstehen.