Datenschutz

Datenschutzerklärung

Der Schutz der persönlichen Daten unserer Klienten, Studienteilnehmer, Lieferanten und Geschäftspartner ist uns ein besonderes Anliegen.

Mit 25.5.2018 trat die aktuell gültige Datenschutzgrundverordnung in Kraft. Die folgende Erklärung erfolgt, um der Datenschutzgrundverordnung gerecht zu werden.

Wir verarbeiten persönliche Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TKG 2003)

1. Gesetz, Begriffsdefinition

Gemäß Art. 4 Z 1 der Datenschutzgrundverordnung (DSGVO) sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (=Betroffener) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung

  • zu einer Kennung, wie einem Namen,
  • zu einer Kennnummer,
  • zu Standortdaten,
  • zur Online-Kennung oder
  • zu einem oder mehreren besonderen Merkmalen

identifiziert werden kann, die Ausdruck der physischen, psychologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

2. Betroffene

Im Zuge der Geschäftsabwicklung der SCIgenia GmbH (nachfolgend angeführt als Verantwortliche) mit ihren

  • Klienten,
  • Studienteilnehmern
  • Lieferanten
  • sonstigen Geschäftspartnern

erhebt, speichert, verarbeitet und übermittelt die Verantwortliche von den o.a. Betroffenen personenbezogene Daten.

3. Verarbeitungszweck / Verarbeitungstätigkeiten

Es erfolgen studienspezifische Einladungen zur Studienmitwirkung an niedergelassene Ärzte aus dem Adress-Datensatz der Ärztekammer für Wien.

Bei Studien nach AMG und MPG erfolgt die studienspezifische Verarbeitung und Archivierung von Teilnehmer-Daten und Messwerten (Fragebögen, Laborwerte), gemäß Studienprotokoll, wie es von der jeweiligen Ethikkommission und dem Bundesamt für Sicherheit im Gesundheitswesen (BASG) bewilligt wurde.

Bei Studien, welche keine Begutachtung durch eine Ethikkommission erfordern, erfolgt die studienspezifische Verarbeitung und Archivierung von Teilnehmer-Daten und Messwerten (Fragebögen, Laborwerte), gemäß schriftlicher Einwilligung der aufgeklärten und rekrutierten Studienteilnehmer.

Betreffend Publikationen in Fachjournalen:

  • Einholung der jeweils relevanten Zustimmung zur Publikation von Personen-identifizierenden Daten (Bilddaten), wie vom jeweiligen Fachjournal verlangt.
  • Telefonische Kontaktaufnahme mit Studienteilnehmern auf Basis der zu Studienbeginn explizit erteilten Bewilligung.

Des weiteren werden bestehende Klienten- und Lieferantendaten und Daten sonstiger Geschäftspartner im Rahmen der Buchführungspflicht (Rechnungswesen) und zur Durchführung von Marketingmaßnahmen für die Verantwortliche verwendet. Dabei werden personenbezogene Daten für folgende Marketingzwecke genutzt:

  • Zusenden von Newslettern (per Mail oder postalisch),
  • Informationsfoldern bzw. –broschüren (postalisch),
  • Imageprospekten (postalisch).

4. SCIgenia Datenschutzplan

Alle Schriftstücke und Dokumente, welche Personen-identifizierende Daten (Namen, Adressen) beinhalten, sind unter Verschluss, bzw. werden nach Ablauf der Gebrauchs- und Aufbewahrungsfrist geschreddert (Sicherheitsstufe nach DIN 66399: P-5). Der Zugang und das Schreddern ist ausgewählten Mitarbeitern vorbehalten.

Alle Computer sind durch ein sich periodisch aktualisierendes Virenschutzprogramm vor unlauterem Datenzugriff geschützt.

Studienspezifische Daten werden ausschließlich gemäß bewilligtem Studienprotokoll abgefragt, geordnet, gespeichert und verarbeitet. In der Regel erfolgt die Verarbeitung anonymisiert.

Adressdaten (Ärzte, Betriebe, Geschäftspartner) werden auf Basis öffentlich zugänglicher Daten aktualisiert.

5. Rechtsgrundlage  

Die Datenverarbeitung erfolgt einerseits

  • gem. Art 6 Abs 1 lit b DSGVO für die Erfüllung eines jeweils abgeschlossenen Vertrages

und andererseits

  • gem. Art 6 Abs 1 lit c DSGVO zur Erfüllung einer rechtlichen Verpflichtung gem. § 132 BAO (Aufbewahrungsfrist 7 Jahre), § 190 UGB (Buchführungspflicht), § 212 UGB (Aufbewahrungspflicht)

6. Empfänger personenbezogener Daten

Die personenbezogenen Daten werden zur Erfüllung der vertraglichen und rechtlichen Pflichten an folgende Unternehmen übermittelt:

  • Partnerfirmen
  • Akademische Dienstleister
  • externer Betreiber einer Verwaltungssoftware

7. Löschungs- und Aufbewahrungsfristen

Bei Aufnahme der personenbezogenen Daten wird bei der Verantwortlichen ein Handakt / elektronischer Akt angelegt, welcher sämtliche Verträge, Korrespondenzen, etc. beinhaltet. Dieser Akt wird für die Dauer des jeweiligen Vertrages unter Berücksichtigung gesetzlicher Vorschriften und kaufmännischer Gepflogenheiten aufbewahrt / gespeichert. Beispielsweise muss nach Vertragsende der Akt für eine mögliche Überprüfung des Finanzamtes 7 Jahre von der Verantwortlichen aufbewahrt werden.

Für allfällige Rechtsstreitigkeiten aus dem jeweiligen Vertrag wird dieser Akt darüber hinaus als Papierakt bis zu 30 Jahre archiviert – bis zum Ablauf der absoluten Verjährungsfrist gem. § 1489 ABGB. Ausgenommen davon sind nicht mehr benötigte Kontodaten, die vorzeitig gelöscht werden. Zugang zu den archivierten Papierakten hat ausschließlich der zuständige Sachbearbeiter, sowie die Geschäftsführung.

8. Betroffenenrechte

a.  Auskunftsrecht

Im Sinne des Art. 15 DSGVO hat jeder Betroffene (Klient, Studienteilnehmer, sonstiger Lieferant / Geschäftspartner, etc.) das Recht, von der Verantwortlichen eine Bestätigung darüber zu verlangen, ob seine personenbezogenen Daten verarbeitet wurden und – wenn ja – über folgende Informationen aufgeklärt zu werden:

  • die Verwendungszwecke, für die die personenbezogenen Daten verarbeitet werden,
  • die Art von Daten (=Kategorien personenbezogener Daten), die verarbeitet werden,
  • die Empfänger, bzw. Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen,
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder – falls dies nicht möglich ist – die Kriterien für die Festlegung dieser Dauer,
  • das bestehende Recht auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen die Verarbeitung,
  • das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde,
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Information über die Herkunft der Daten,
  • die Nutzung automatisierter Entscheidungsfindungssysteme (inkl. Profiling), sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

b.  Recht auf Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, Widerruf der Einwilligung

Darüber hinaus hat jeder Betroffene (Klient, Studienteilnehmer, sonstiger Lieferant / Geschäftspartner, etc.) gem. Art. 16 bis 21 DSGVO ebenso das Recht, die Berichtigung seiner unrichtigen personenbezogenen Daten oder deren unverzügliche Löschung – sofern einer der nachfolgenden Gründe vorliegt – zu verlangen:

  • die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder in sonstiger Weise verarbeitet wurden, nicht mehr notwendig,
  • die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung,
  • die betroffene Person legt Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Weiterverarbeitung vor,
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet,
  • die Löschung der personenbezogenen Daten ist für die Erfüllung einer rechtlichen Verpflichtung (lt. Unionsrecht, bzw. Recht der Mitgliedstaaten) erforderlich, dem der Verantwortliche unterliegt,
  • die personenbezogenen Daten wurden bei einem Kind im Zusammenhang mit Diensten der Informationsgesellschaft ermittelt.

Ein Recht auf Löschung der Daten gemäß Art. 17 DSGVO besteht jedoch nicht, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zur -Erfüllung einer rechtlichen Verpflichtung (Vertragserfüllung) erforderlich ist.

Jeder Betroffene (Klient, Studienteilnehmer, sonstiger Lieferant / Geschäftspartner) hat das Recht, „seine“ Daten „in einer maschinenlesbaren Form“ zu erhalten (Recht auf Übertragbarkeit), sowie für seine eigenen Zwecke und vierschiedenen Dienste wiederzuverwenden. Dieses Recht kann auch in einem aufrechten Vertragsverhältnis geltend gemacht werden.

Ansuchen auf Übertragbarkeit der personenbezogenen Daten sind in schriftlicher Form unter Nachweis der Identität des Betroffenen (Ausweiskopie) bei der Verantwortlichen zu stellen.

Ebenso hat jeder Betroffene (Klient, Studienteilnehmer, sonstiger Lieferant / Geschäftspartner, etc.) das Recht, gemäß Art. 21 DSGVO aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung seiner personenbezogenen Daten Widerspruch einzulegen, dies gilt auch für ein auf diese Bestimmung gestütztes Profiling.

Die Verantwortliche verarbeitet sodann die personenbezogenen Daten nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der Betroffenen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Durch den Widerruf der Einwilligung gem. Art. 7 DSGVO wird die Rechtsmäßigkeit bisheriger Verarbeitungen (die auf Grundlage der Einwilligung erfolgt sind) nicht berührt. Ein Widerruf kann schriftlich oder mündlich erfolgen – für die Beweiskraft wird jedoch Schriftform empfohlen.

c.  Beschwerderecht

Jeder Betroffene (Klient, Studienteilnehmer, sonstiger Lieferant / Geschäftspartner, etc.) hat gem. Art. 77 DSGVO und § 24 DSG das Recht binnen eines Jahres nach Kenntnis der Datenschutzverletzung Beschwerde bei der Datenschutzbehörde zu erheben, wenn die Verantwortliche bei der Verarbeitung der ihn betreffenden personenbezogenen Daten gegen die DSGVO oder das DSG verstoßen hat.

Sollte sich die Datenschutzbehörde mit der Beschwerde nicht befassen oder den Betroffenen nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde informieren, steht dem Betroffenen auch die Anrufung des Bundesverwaltungsgerichtes offen.

Alle Anfragen und Ansuchen an die Verantwortliche (betreffend Pkte. 7. A) bis c)) sind in schriftlicher Form unter Nachweis der Identität des Betroffenen (Ausweiskopie) zu stellen.

9. Kontaktdaten der Verantwortlichen

SCIgenia Science Support GmbH - International Project-Design & Management

Hahngasse 16/14

1090 Wien - Austria

Email: office(at)scigenia.com

Telefon: +43 (0)1 239 23 23

Mobil: +43 (0)664 28 48 324