Skip to main content

DATENSCHUTZERKLÄRUNG 

Klinik Angermühle GmbH – Psychosomatische Fachklinik 

Gemäß Art. 13 und 14 DSGVO | Stand: Mai 2026 

Datenschutzbeauftragter

Wir haben einen Datenschutzbeauftragten bestellt, der für die Klinik Angermühle GmbH  gemäß Art. 37 ff DSGVO tätig ist.

Mag. Dzevad Mujezinovic, CIPP/E, CISM 

Specific-Group Germany GmbH

Bayerwaldstraße 7

81737 München, Deutschland 

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte direkt an unseren Datenschutzbeauftragten.

Sie erreichen Herrn Mujezinovic unter

datenschutz@klinik-angermuehle.de

1. Verantwortliche Stelle

Name: Klinik Angermühle GmbH 

Vertreten durch: Dr. med. Hans-Rainer Buchmüller 

Anschrift: Am Stadtpark 1–39, D-94469 Deggendorf 

Telefon: +49 (0)991 / 370 55-0 

E-Mail: info@klinik-angermuehle.de 

Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Postfach 606, 91511 Ansbach 

2. Verarbeitung von Patientendaten (Kernleistung der Klinik)

Als psychosomatische Fachklinik verarbeiten wir besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO, insbesondere Gesundheitsdaten. Die nachfolgenden Abschnitte informieren Sie nach Art. 13 und Art. 14 DSGVO über Zweck, Rechtsgrundlage, Empfänger und Speicherdauer dieser Verarbeitungen. 

2.1 Erhebung und Verarbeitung von Behandlungsdaten 

Kategorien verarbeiteter Daten 

Wir verarbeiten folgende Datenkategorien im Rahmen der Behandlung: 

  • Stamm- und Kontaktdaten (Name, Geburtsdatum, Adresse, Kontaktdaten)
  • Krankenversicherungsdaten (Krankenkasse, Versichertennummer, Versicherungsstatus)
  • Anamnese- und Diagnosedaten (psychosomatische, psychiatrische, neurologische, internistische Diagnosen)
  • Therapie- und Behandlungsdaten (Therapiepläne, Medikation, Verlaufsdokumentation)
  • Laborwerte und medizinische Befunde (Blutbild, EEG, PSG, neuropsychologische Testergebnisse)
  • Sozialanamnestische Daten (Lebenssituation, Berufs- und Familiensituation)
  • Psychologische Testbefunde und Gutachten
  • Kommunikationsdaten (Briefe, E-Mails im Behandlungskontext)

Zwecke der Verarbeitung 

Die Datenverarbeitung erfolgt zu folgenden Zwecken: 

  • Stationäre und ambulante Behandlung, Diagnostik, Therapieplanung und -durchführung
  • Führung der Patientenakte (§ 630f BGB)
  • Abrechnung mit gesetzlichen und privaten Krankenversicherungen sowie Berufsgenossenschaften
  • Erfüllung gesetzlicher Dokumentations- und Meldepflichten
  • Qualitätssicherung und -management im Gesundheitswesen
  • Gutachten und Berichte für Leistungsträger auf gesetzlicher Grundlage

Rechtsgrundlagen (Art. 6 und Art. 9 DSGVO) 

Art. 9 Abs. 2 lit. c DSGVO: Verarbeitung zum Schutz lebenswichtiger Interessen bei Notfallbehandlungen. 

Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG: Medizinische Diagnostik, Versorgung und Behandlung im Rahmen des Behandlungsvertrags. 

Art. 6 Abs. 1 lit. b DSGVO: Erfüllung des Behandlungsvertrags sowie vorvertragliche Maßnahmen (§ 630a ff. BGB). 

Art. 6 Abs. 1 lit. c DSGVO: Erfüllung gesetzlicher Pflichten (§ 630f BGB, SGB V, SGB XI, ärztliche Schweigepflicht). 

Art. 9 Abs. 2 lit. a DSGVO: Einwilligungsbasierte Verarbeitungen (z.B. Weitergabe an Angehörige, Forschungszwecke). 

Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 

Speicherdauer 

Behandlungsdaten werden nach Abschluss der Behandlung für die gesetzlich vorgeschriebenen Fristen aufbewahrt: 

  • Patientenakten und ärztliche Aufzeichnungen: 10 Jahre nach Abschluss der Behandlung (§ 630f Abs. 3 BGB)
  • Röntgenaufnahmen und Röntgenunterlagen: 10 Jahre nach der letzten Behandlung (§ 28 Abs. 3 RöV)
  • Unterlagen im Bereich des Mutterschutzes und der Strahlenschutzverordnung: bis zu 30 Jahre
  • Abrechnungsunterlagen: 6 bzw. 10 Jahre nach steuer- und handelsrechtlichen Vorschriften (§ 147 AO, § 257 HGB)
  • Psychotherapeutische Aufzeichnungen: 10 Jahre, in bestimmten Fällen darüber hinaus

Nach Ablauf der gesetzlichen Aufbewahrungsfristen werden Ihre Daten datenschutzkonform gelöscht oder vernichtet, sofern keine berechtigten Interessen (z.B. laufende Rechtsstreitigkeiten) einer früheren Löschung entgegenstehen. 

2.2 Daten aus Drittquellen (Art. 14 DSGVO) 

Wir erhalten im Rahmen des Behandlungsprozesses personenbezogene Daten auch von Dritten. Die Information gemäß Art. 14 DSGVO erfolgt spätestens zum Zeitpunkt der ersten Kontaktaufnahme bzw. der ersten Nutzung der übermittelten Daten. 

Einweisende Ärzte und Hausärzte: Diagnosen, Medikation, Vorbefunde, ärztliche Berichte. Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO, Art. 6 Abs. 1 lit. b DSGVO. 

Gesetzliche Krankenkassen (GKV): Versichertenstammdaten, Kostenübernahmegenehmigungen, Abrechnungsinformationen. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. SGB V. 

Private Krankenversicherungen (PKV): Versicherungsdaten, Genehmigungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO. 

Berufsgenossenschaften / Unfallversicherungen: Unfallbericht, Diagnosen, Behandlungsverlauf. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO. 

Rettungsdienste / Notaufnahmen: Notfalldaten, Erstdiagnosen, Vitalparameter. Rechtsgrundlage: Art. 9 Abs. 2 lit. c DSGVO. 

Angehörige (mit Einwilligung): Ergänzende Angaben zur Krankengeschichte. Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO. 

Vorbehandelnde Kliniken / Fachärzte: Entlassberichte, Befunde, Bildgebungen. Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO. 

Gerichte / Behörden: Gutachtenaufträge, rechtlich relevante Informationen. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO. 

2.3 Empfänger von Patientendaten 

Ihre Patientendaten werden nur in dem für die Behandlung und die gesetzliche Pflichterfüllung erforderlichen Umfang weitergegeben. Empfänger können sein: 

  • Gesetzliche und private Krankenversicherungen sowie Berufsgenossenschaften (Abrechnung, Art. 6 Abs. 1 lit. c DSGVO i.V.m. SGB V)
  • Konsiliärärzte und hinzugezogene Fachärzte im Rahmen der Mitbehandlung (Art. 9 Abs. 2 lit. h DSGVO)
  • Nachbehandelnde Ärzte und Einrichtungen (Entlassmanagement, § 39 Abs. 1a SGB V)
  • Laboratorien und medizinische Dienstleister (Auftragsverarbeiter gem. Art. 28 DSGVO)
  • Apotheken im Rahmen der Medikamentenversorgung
  • Gesundheitsämter und Behörden bei gesetzlichen Meldepflichten (z.B. Infektionsschutzgesetz)
  • Gerichte, Staatsanwaltschaften und Rechtsanwälte bei Rechtsverfolgung oder auf richterliche Anordnung
  • Medizinische Dienste der Krankenversicherung (MDK) zur Begutachtung
  • Rentenversicherungsträger bei Begutachtungsverfahren

Eine darüber hinausgehende Weitergabe Ihrer Daten erfolgt nur mit Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). 

2.4 Datenübermittlung in Drittstaaten 

Eine Übermittlung von Patientendaten in Länder außerhalb der EU/des EWR findet grundsätzlich nicht statt. Sofern im Einzelfall eine Übermittlung erforderlich sein sollte, erfolgt dies ausschließlich auf Grundlage von Art. 49 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung) oder Art. 49 Abs. 1 lit. f DSGVO (zum Schutz lebenswichtiger Interessen). 

3. Verarbeitung von Website-Daten

3.1 Hosting 

Anbieter: Ritzinger-IT, Christian Ritzinger, Emmersdorfer Str. 9, D-84381 Johanniskirchen. Mit dem Hoster besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. 

Verarbeitete Daten: IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Zugriffsdaten. 

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: sichere, effiziente Website-Bereitstellung. 

3.2 Server-Log-Dateien 

Der Hosting-Provider erhebt automatisch folgende technische Daten: Browsertyp und -version, genutztes Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, Zeitpunkt des Seitenaufrufs, IP-Adresse. Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. 

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: technisch fehlerfreie Darstellung und Optimierung der Website. 

Speicherdauer: In der Regel 7 Tage, danach automatische Löschung. 

3.3 Kontaktformular und E-Mail-/Telefonkontakt 

Bei Kontaktaufnahme über das Formular oder per E-Mail/Telefon/Fax werden Ihre Angaben (Name, Kontaktdaten, Anfrage) zur Bearbeitung und für etwaige Rückfragen gespeichert. 

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: effektive Anfragenbearbeitung). 

Freiwilligkeit: Die Bereitstellung Ihrer Kontaktdaten ist freiwillig; ohne diese Angaben ist eine Bearbeitung Ihrer Anfrage nicht möglich. 

Speicherdauer: Bis zur abschließenden Bearbeitung; gesetzliche Aufbewahrungsfristen bleiben unberührt. 

3.4 SSL-/TLS-Verschlüsselung 

Diese Website verwendet aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung ist am Schlosssymbol in der Browserzeile und an der Adresse „https://“ erkennbar. 

3.5 Newsletter (CleverReach) 

Anbieter: CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland. 

Verarbeitete Daten: E-Mail-Adresse, Öffnungs- und Klickverhalten. 

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit durch Klick auf den Abmeldelink widerrufen werden. 

Auftragsverarbeitung: Mit CleverReach besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. 

Speicherdauer: Bis zur Abbestellung; nach Austragung (Art. 6 Abs. 1 lit. f DSGVO). Keine Drittstaatenübermittlung. 

3.6 YouTube (Google Ireland Limited) 

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. 

Diese Website bindet YouTube-Videos im erweiterten Datenschutzmodus ein. Im erweiterten Modus werden erst bei aktiver Videowiedergabe Local-Storage-Elemente gesetzt. 

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über CMP, § 25 Abs. 1 TDDDG) soweit Zugriff auf das Endgerät erfolgt; Art. 6 Abs. 1 lit. f DSGVO für reine Datenverarbeitung. 

Drittstaatentransfer: Google verfügt über eine Zertifizierung nach dem EU-US Data Privacy Framework (DPF). Weitere Informationen: https://policies.google.com/privacy?hl=de 

3.7 Google Maps (Google Ireland Limited) 

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. 

Bei Aktivierung von Google Maps wird Ihre IP-Adresse an Google-Server übermittelt (ggf. USA). Google Maps wird erst nach Ihrer aktiven Einwilligung über den Cookie-Banner aktiviert. 

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, § 25 Abs. 1 TDDDG). 

Drittstaatentransfer: EU-Standardvertragsklauseln (SCC) und DPF-Zertifizierung. Weitere Informationen: https://policies.google.com/privacy?hl=de 

3.8 Google Fonts (lokal gehostet) 

Diese Website verwendet Google Fonts in einer lokal installierten Version. Es findet keine Verbindung zu Google-Servern statt; es werden keine Daten übermittelt. 

4. Cookies und Endgerätezugriff (§ 25 TDDDG)

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, in Kraft seit 01.12.2021, novelliert 2023) ergänzt die DSGVO für den Bereich des Zugriffs auf Endgeräte (z.B. Cookies, Local Storage, Gerätekennungen). Gemäß § 25 Abs. 1 TDDDG ist die Speicherung von Informationen in Endeinrichtungen der Nutzer oder der Zugriff auf dort gespeicherte Informationen nur mit vorheriger, informierter Einwilligung zulässig, sofern dies nicht nach § 25 Abs. 2 TDDDG ausnahmsweise ohne Einwilligung erlaubt ist. 

4.1 Technisch notwendige Cookies und Zugriffe (§ 25 Abs. 2 TDDDG – einwilligungsfrei) 

Folgende Zugriffe auf Ihr Endgerät sind gemäß § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig, da sie ausschließlich zur Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz erforderlich sind oder für die Bereitstellung eines vom Nutzer ausdrücklich gewünschten Dienstes unbedingt erforderlich sind: Session-Cookies zur technischen Sitzungsverwaltung, Sicherheits-Tokens (CSRF-Schutz), Load-Balancing-Cookies des Hosters sowie technisch notwendige Local-Storage-Einträge zur Website-Funktionalität. Rechtsgrundlage: § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. f DSGVO. 

4.2 Einwilligungspflichtige Dienste (§ 25 Abs. 1 TDDDG) 

Folgende Dienste greifen auf Ihr Endgerät zu oder setzen Informationen und bedürfen gemäß § 25 Abs. 1 TDDDG Ihrer vorherigen Einwilligung, die über unsere Consent-Management-Plattform (CMP / Cookie-Banner) eingeholt wird: 

YouTube (Google Ireland Limited): Auch im erweiterten Datenschutzmodus werden bei Aktivierung Local-Storage-Einträge auf Ihrem Endgerät gesetzt. Dies erfordert gemäß § 25 Abs. 1 TDDDG eine vorherige Einwilligung. Zweck: Videowiedergabe zur Präsentation der Klinik und ihrer Therapieangebote. Einwilligung wird über den Cookie-Banner eingeholt. Widerruf: jederzeit über die CMP-Einstellungen. Rechtsgrundlage: § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO. 

Google Maps (Google Ireland Limited): Die Einbindung von Google Maps lädt Skripte und setzt Cookies/Local-Storage-Einträge auf Ihrem Endgerät. Dies erfordert gemäß § 25 Abs. 1 TDDDG eine vorherige Einwilligung. Empfohlen wird eine 2-Klick-Lösung: Die Karte wird erst nach aktivem Klick auf eine Schaltfläche geladen. Zweck: Darstellung des Klinikstandorts zur Anfahrtsorientierung. Widerruf: über die CMP-Einstellungen oder Neuladen der Seite. Rechtsgrundlage: § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO. 

CleverReach Tracking-Pixel (Newsletter): Beim Öffnen des Newsletters wird ein Zählpixel geladen, der den Zugriff auf Ihr Endgerät protokolliert (Öffnungsrate). Dies erfordert gemäß § 25 Abs. 1 TDDDG eine Einwilligung, die im Rahmen der Newsletter-Anmeldung (Double-Opt-In) eingeholt wird. Widerruf: durch Abmeldung vom Newsletter. Rechtsgrundlage: § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO. 

4.3 Consent Management Platform (CMP) / Cookie-Banner 

Beim ersten Besuch unserer Website erscheint ein Cookie-Banner (Consent Management Platform), über den Sie Ihre Einwilligung in die oben genannten einwilligungspflichtigen Dienste erteilen oder ablehnen können. Ihre Einwilligungsentscheidung wird gespeichert, sodass Sie bei Folgebesuchen nicht erneut gefragt werden. Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ in der Fußzeile unserer Website widerrufen oder anpassen. Die Verarbeitung der CMP-Einstellungsdaten selbst (Nachweis der Einwilligung) erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht zur Nachweisbarkeit der Einwilligung) sowie Art. 7 Abs. 1 DSGVO. 

4.4 Übersicht aller Cookies und Endgerätezugriffe 

Session-Cookie (PHPSESSID): Zweck: Sitzungsverwaltung. Anbieter: Ritzinger-IT. Laufzeit: Sitzungsende. Einwilligung: nicht erforderlich (§ 25 Abs. 2 TDDDG). 

YouTube Local Storage: Zweck: Videowiedergabe. Anbieter: Google Ireland Ltd. Laufzeit: variabel. Einwilligung: erforderlich (§ 25 Abs. 1 TDDDG). 

Google Maps Cookies: Zweck: Kartendarstellung/Standort. Anbieter: Google Ireland Ltd. Laufzeit: bis 2 Jahre. Einwilligung: erforderlich (§ 25 Abs. 1 TDDDG). 

CleverReach Zählpixel: Zweck: Newsletter-Öffnungsrate. Anbieter: CleverReach GmbH & Co. KG. Laufzeit: Sitzungsende. Einwilligung: über Newsletter-Anmeldung (§ 25 Abs. 1 TDDDG).

5. Wissenschaftliche Studien und klinische Prüfungen

Die Klinik Angermühle GmbH führt drei Kategorien von Studien durch: klinische Prüfungen mit Arzneimitteln bzw. Medizinprodukten, wissenschaftliche Beobachtungsstudien sowie allgemeine Forschungsstudien. Nachfolgend informieren wir Sie gemäß Art. 13 DSGVO über die jeweilige Datenverarbeitung, da sich Zweck, Rechtsgrundlage und Anforderungen je nach Studientyp wesentlich unterscheiden. 

5.1 Klinische Prüfungen / Arzneimittel- und Medizinproduktestudien (AMG/MPDG) 

Zweck und Rechtsrahmen 

Klinische Prüfungen dienen der Untersuchung von Wirksamkeit, Verträglichkeit und Sicherheit von Arzneimitteln oder Medizinprodukten unter kontrollierten Bedingungen. Sie unterliegen dem strengen gesetzlichen Rahmen des Arzneimittelgesetzes (AMG), des Medizinprodukterecht-Durchführungsgesetzes (MPDG), der GCP-Verordnung (Good Clinical Practice) sowie der EU-Verordnung Nr. 536/2014 (klinische Prüfungen von Humanarzneimitteln). 

Verarbeitete Datenkategorien 

Im Rahmen klinischer Prüfungen werden folgende Daten verarbeitet: 

  • Identifikationsdaten (Name, Geburtsdatum, Probanden-Code)
  • Medizinische Vorgeschichte, Begleiterkrankungen und -medikationen
  • Diagnose- und Therapiedaten, studienbezogene Untersuchungsergebnisse
  • Laborwerte, Vitalparameter, EKG und weitere klinische Messwerte
  • Unerwünschte Ereignisse (Adverse Events) und schwerwiegende unerwünschte Ereignisse (SAE)
  • Fragebogendaten und psychometrische Testergebnisse
  • Einwilligungserklärungen und Probandeninformationen

Rechtsgrundlagen 

Art. 9 Abs. 2 lit. a DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG: Ausdrückliche schriftliche Einwilligung (Informed Consent) als zwingend vorgeschriebene Voraussetzung für die Studienteilnahme gemäß § 40 Abs. 1 AMG und Art. 29 EU-VO 536/2014. 

Art. 6 Abs. 1 lit. c DSGVO i.V.m. AMG / MPDG: Erfüllung gesetzlicher Meldepflichten gegenüber Behörden (BfArM, EMA, zuständige Ethikkommission) und des Sponsors der klinischen Prüfung, soweit gesetzlich vorgeschrieben. 

Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen an der Geltendmachung und Verteidigung von Rechtsansprüchen sowie Erfüllung vertraglicher Pflichten gegenüber dem Studienauftraggeber (Sponsor). 

Sponsor und Empfänger 

Bei klinischen Prüfungen ist in der Regel ein externer Auftraggeber (Sponsor, z. B. Pharmaunternehmen oder Forschungseinrichtung) beteiligt. Daten können übermittelt werden an: 

  • Den Sponsor der klinischen Prüfung (pseudonymisiert über Probanden-Code)
  • Zuständige Behörden: Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), Europäische Arzneimittel-Agentur (EMA), zuständige Landesbehörde
  • Ethikkommissionen (Prüfung und Überwachung)
  • Vertragsforschungsorganisationen (CRO) als Auftragsverarbeiter gem. Art. 28 DSGVO
  • Monitoring-Beauftragten des Sponsors (ausschließlich zum Zweck der Qualitätssicherung und gesetzlich vorgeschriebenen Überwachung der Studie)

Alle Empfänger erhalten ausschließlich pseudonymisierte Daten. Eine Weitergabe identifizierender Daten erfolgt nur, soweit dies gesetzlich ausdrücklich vorgeschrieben ist (z. B. bei Meldung schwerwiegender unerwünschter Ereignisse). 

Speicherdauer 

  • Studienunterlagen und Prüfbögen: mindestens 25 Jahre nach Studienende gem. § 13 GCP-V bzw. Art. 58 EU-VO 536/2014
  • Probanden-Einwilligungen: mindestens 25 Jahre
  • Meldungen unerwünschter Ereignisse: 15 Jahre nach Studienende
  • Nach Ablauf der Fristen: datenschutzkonforme Löschung bzw. Vernichtung

5.2 Wissenschaftliche Beobachtungsstudien (nicht-interventionell) 

Zweck 

Wissenschaftliche Beobachtungsstudien dienen der Erforschung von Krankheitsverläufen, Therapieergebnissen und Behandlungsmethoden im Bereich der Psychosomatik und Psychotherapie, ohne dass zusätzliche Eingriffe über die Standardbehandlung hinaus erfolgen. Ziele sind die Evaluation der Wirksamkeit von Therapieverfahren, die Analyse von Prädiktoren für den Therapieerfolg sowie die Weiterentwicklung evidenzbasierter Behandlungsstandards. 

Verarbeitete Datenkategorien 

  • Soziodemografische Daten (Alter, Geschlecht, Bildungsstand, Beruf, Familienstand)
  • Diagnosedaten gemäß ICD-10/ICD-11
  • Ergebnisse standardisierter psychologischer Testverfahren (PHQ-9, GAD-7, SF-36, SCL-90)
  • Behandlungsdaten: Art, Dauer und Intensität der durchgeführten Therapien
  • Verlaufsmessungen und Katamnesedaten (Prä-Post-Messungen)
  • anonymisierte/pseudonymisierte Angaben aus der Krankenakte, soweit studienrelevant

Rechtsgrundlagen 

Art. 9 Abs. 2 lit. a DSGVO: Ausdrückliche schriftliche Einwilligung der teilnehmenden Patienten (Informed Consent). Die Teilnahme ist freiwillig und hat keinen Einfluss auf die Behandlung. 

Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 27 BDSG: Verarbeitung zu wissenschaftlichen Forschungszwecken im öffentlichen Interesse, sofern ausschließlich pseudonymisierte oder anonymisierte Daten ausgewertet werden und das Forschungsinteresse überwiegt. 

Empfänger und Veröffentlichung 

  • Kooperationspartner (Universitäten, Forschungsinstitute): ausschließlich pseudonymisiert, auf Grundlage von Kooperationsverträgen (Art. 26 DSGVO) oder AVV (Art. 28 DSGVO)
  • Wissenschaftliche Fachzeitschriften und Kongresse: ausschließlich in vollständig anonymisierter, aggregierter Form
  • Ethikkommissionen: im Rahmen der Prüfung und Genehmigung der Studie

Speicherdauer 

  • Pseudonymisierte Studiendaten: mindestens 10 Jahre nach Studienabschluss (DFG-Leitlinien)
  • Einwilligungserklärungen: 10 Jahre als Nachweis gem. Art. 7 Abs. 1 DSGVO
  • Re-Identifikationsschlüssel: Löschung nach Studienende bzw. nach Widerruf

5.3 Allgemeine Forschungsstudien 

Zweck 

Allgemeine Forschungsstudien umfassen grundlagenwissenschaftliche und angewandte Forschungsvorhaben, die über klinische Prüfungen und strukturierte Beobachtungsstudien hinausgehen. Hierzu zählen u. a. Grundlagenforschung zu psychosomatischen Mechanismen, Methodenentwicklung in der psychometrischen Diagnostik sowie interdisziplinäre Forschungskooperationen mit Hochschulen und anderen Forschungseinrichtungen. 

Verarbeitete Datenkategorien 

  • pseudonymisierte Behandlungs- und Verlaufsdaten (nur mit Einwilligung)
  • Ergebnisse spezifischer Forschungsinstrumente (Interviews, Fragebogen, experimentelle Aufgaben)
  • Biologische Proben und Messdaten, sofern studienspezifisch und eingewilligt (z.  Speichelproben für Cortisol-Analysen)
  • Audiovisuelle Aufzeichnungen für Verhaltensanalysen (nur mit ausdrücklicher Einwilligung)

Rechtsgrundlagen 

Art. 9 Abs. 2 lit. a DSGVO: Ausdrückliche schriftliche Einwilligung für jede Studie individuell. Der Widerruf ist jederzeit ohne Nachteile für die Behandlung möglich. 

Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 27 Abs. 1 BDSG: Verarbeitung zu wissenschaftlichen Forschungszwecken, sofern das Forschungsinteresse das Schutzinteresse der Betroffenen erheblich überwiegt, der Zweck nicht anders erreichbar ist und geeignete Schutzmaßnahmen getroffen werden. 

Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen an der wissenschaftlichen Erkenntnisgewinnung und Veröffentlichung von Forschungsergebnissen, soweit keine Einwilligung erforderlich und die Daten vollständig anonymisiert sind. 

Empfänger 

  • Forschungspartner (Hochschulen, Institute): pseudonymisiert, mit Datennutzungsvertrag
  • Forschungsförderer (z.  DFG, BMBF): ausschließlich anonymisierte Ergebnisdaten
  • Fachzeitschriften und Konferenzen: ausschließlich anonymisierte, aggregierte Daten

Speicherdauer 

  • Rohdaten: 10 Jahre nach Veröffentlichung der Ergebnisse gemäß DFG-Leitlinien zur guten wissenschaftlichen Praxis
  • Einwilligungserklärungen: 10 Jahre nach Studienende (Art. 7 Abs. 1 DSGVO)
  • Vollständig anonymisierte Daten: keine Speicherfrist (kein Personenbezug)

5.4 Gemeinsame Regelungen für alle Studientypen 

Einwilligungsverfahren (Informed Consent) 

Die Teilnahme an jeder Studie setzt eine umfassende, verständliche Aufklärung und eine ausdrückliche schriftliche Einwilligung voraus. Sie werden informiert über: 

  • Zweck, Ablauf und Dauer der Studie sowie die verarbeiteten Datenkategorien
  • Name und Kontaktdaten des Sponsors bzw. Studienleiters und des Datenschutzbeauftragten
  • Freiwilligkeit der Teilnahme und Recht auf jederzeitigen Widerruf ohne Nachteile für die laufende Behandlung
  • Maßnahmen zur Pseudonymisierung, Datensicherheit und Vertraulichkeit
  • Empfänger der Daten und mögliche Drittstaatenübermittlungen
  • Art und Form der Veröffentlichung von Studienergebnissen

Der Widerruf der Einwilligung hat keine Auswirkung auf bereits in anonymisierter Form ausgewertete Daten. 

Pseudonymisierung und Datensicherheit 

Sämtliche Studiendaten werden schnellstmöglich pseudonymisiert. Name und direkte Identifikationsmerkmale werden durch einen Probanden-Code ersetzt. Der Re-Identifikationsschlüssel wird getrennt von den Studiendaten unter besonderem Zugriffsschutz aufbewahrt. Studienergebnisse werden ausschließlich in aggregierter, anonymisierter Form veröffentlicht – eine Rückidentifizierung einzelner Personen ist nicht möglich. 

Ethikvotum und gute wissenschaftliche Praxis 

Alle Studien werden vor Beginn einer anerkannten Ethikkommission zur Prüfung vorgelegt und nur bei positivem Votum durchgeführt. Die Studien folgen der Deklaration von Helsinki, den DFG-Leitlinien zur guten wissenschaftlichen Praxis sowie den einschlägigen gesetzlichen Anforderungen (AMG, MPDG, GCP-V, EU-VO 536/2014). Sie erhalten zu jeder Studie eine separate, studienbezogene Probandeninformation mit allen studienspezifischen Einzelheiten. 

Datenübermittlung in Drittstaaten 

Bei klinischen Prüfungen mit internationalem Sponsor kann eine Übermittlung pseudonymisierter Daten in Drittstaaten (insbesondere USA) erforderlich sein. In diesem Fall erfolgt die Übermittlung ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO (EU-Standardvertragsklauseln) oder bei Vorliegen eines Angemessenheitsbeschlusses der EU-Kommission (z. B. EU-US Data Privacy Framework). Bei wissenschaftlichen und allgemeinen Forschungsstudien findet grundsätzlich keine Übermittlung in Drittstaaten statt. 

6. Verarbeitung von Bewerberdaten

6.1 Zweck und Umfang der Verarbeitung 

Die Klinik Angermühle GmbH verarbeitet personenbezogene Daten von Bewerbern zum Zwecke der Durchführung des Bewerbungsverfahrens und zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses. 

Verarbeitete Datenkategorien: 

  • Kontakt- und Stammdaten (Name, Adresse, Telefon, E-Mail)
  • Qualifikationsdaten (Lebenslauf, Zeugnisse, Zertifikate, Berufserfahrung)
  • Kommunikationsdaten aus dem Bewerbungsprozess (E-Mails, Gesprächsnotizen)
  • besondere Datenkategorien, sofern vom Bewerber freiwillig mitgeteilt (z.B. Schwerbehinderteneigenschaft gem. § 164 SGB IX)

6.2 Rechtsgrundlagen 

Bewerbungsverfahren: § 26 BDSG i.V.m. Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Beschäftigungsverhältnisses). 

Besondere Datenkategorien: § 26 Abs. 3 BDSG i.V.m. Art. 9 Abs. 2 lit. b DSGVO (z.B. Angaben zur Schwerbehinderung). 

Bewerberpool: Art. 6 Abs. 1 lit. a DSGVO (gesonderte Einwilligung, jederzeit widerrufbar). 

6.3 Weitergabe von Bewerberdaten 

Ihre Bewerberdaten werden innerhalb der Klinik ausschließlich an die an der Personalentscheidung beteiligten Personen (Personalabteilung, Fachabteilungsleitung, Direktion) weitergegeben. Eine Weitergabe an Dritte erfolgt nicht, es sei denn, dies ist gesetzlich vorgeschrieben oder Sie haben ausdrücklich eingewilligt. 

6.4 Speicherdauer 

Bei Ablehnung oder Zurückziehung der Bewerbung: bis zu 6 Monate nach Abschluss des Bewerbungsverfahrens (Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse: Nachweis im Falle eines Rechtsstreits gem. AGG). Bei erfolgreicher Bewerbung: Überführung in die Personalakte für die Dauer des Beschäftigungsverhältnisses zuzüglich der gesetzlichen Aufbewahrungsfristen. 

7. Ihre Rechte als betroffene Person

Zur Ausübung Ihrer Rechte wenden Sie sich an unseren Datenschutzbeauftragten oder schriftlich an unsere Klinikadresse. 

Auskunftsrecht (Art. 15 DSGVO) 

Sie haben das Recht, unentgeltlich Auskunft über die bei uns gespeicherten personenbezogenen Daten zu erhalten. 

Berichtigungsrecht (Art. 16 DSGVO) 

Recht auf Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten. 

Löschungsrecht (Art. 17 DSGVO) 

Recht auf Löschung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. 

Einschränkung der Verarbeitung (Art. 18 DSGVO) 

Recht auf Einschränkung der Verarbeitung in bestimmten gesetzlich geregelten Situationen. 

Datenportabilität (Art. 20 DSGVO) 

Recht auf Herausgabe Ihrer Daten in einem gängigen, maschinenlesbaren Format. 

Widerrufsrecht (Art. 7 Abs. 3 DSGVO) 

Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. 

Beschwerderecht (Art. 77 DSGVO) 

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Postfach 606, 91511 Ansbach, www.lda.bayern.de. 

HINWEIS ZUM WIDERSPRUCHSRECHT NACH ART. 21 DSGVO: 

Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wenn Sie Widerspruch einlegen, werden wir Ihre betroffenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 Abs. 1 DSGVO). 

8. Allgemeine Datenschutzinformationen

8.1 Profiling und automatisierte Entscheidungsfindung 

Wir führen kein Profiling und keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO durch. Sämtliche Entscheidungen, die Ihre Person oder Behandlung betreffen, werden durch qualifiziertes Personal getroffen. Das Newsletter-Tracking (CleverReach) stellt kein Profiling im Sinne von Art. 22 DSGVO dar, da daraus keine Entscheidungen mit Rechtswirkung abgeleitet werden. 

8.2 Pflicht oder Freiwilligkeit zur Datenangabe 

Die Bereitstellung personenbezogener Daten auf unserer Website ist grundsätzlich freiwillig. Im Rahmen eines stationären oder ambulanten Behandlungsverhältnisses sind bestimmte Patientendaten für die Aufnahme, Behandlung und Abrechnung gesetzlich (§ 630f BGB, SGB V) oder vertraglich vorgeschrieben. Ohne diese Daten kann eine Behandlung nicht oder nur eingeschränkt durchgeführt werden. 

8.3 Auftragsverarbeitung (Art. 28 DSGVO) 

Im Rahmen unserer Tätigkeit setzen wir Auftragsverarbeiter ein, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit allen Auftragsverarbeitern werden Verträge gemäß Art. 28 DSGVO geschlossen. Aktuelle Auftragsverarbeiter umfassen insbesondere: Ritzinger-IT (Webhosting), CleverReach GmbH & Co. KG (Newsletter), externe IT-Dienstleister (Praxissoftware, Telematikinfrastruktur). 

8.4 Ärztliche Schweigepflicht 

Alle behandelnden Ärztinnen und Ärzte sowie das gesamte medizinische Personal unterliegen der ärztlichen Schweigepflicht gemäß § 9 MBO-Ä sowie dem strafrechtlichen Schutz nach § 203 StGB. Die Weitergabe von Patientendaten an unbefugte Dritte ist untersagt. 

8.5 Datensicherheit 

Wir setzen dem Stand der Technik entsprechende technische und organisatorische Maßnahmen (TOM) zum Schutz Ihrer Daten ein. Die Datenübertragung auf unserer Website erfolgt über SSL/TLS-Verschlüsselung. Intern werden Zugriffsberechtigungen nach dem Need-to-Know-Prinzip vergeben. 

8.6 Änderungen dieser Datenschutzerklärung 

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den geltenden gesetzlichen Anforderungen entsprechen zu lassen. Die aktuelle Version ist stets auf unserer Website unter www.klinik-angermuehle.de/datenschutz/ abrufbar. Stand: Mai 2026.