Datenschutzerklärung

Die Forschungsstelle für Psychotherapie (FOST) verfügt über langjährige Erfahrung in der Entwicklung, Implementierung und Evaluation Technik unterstützter Interventionen in der psychosozialen Versorgung. Die Programme und Applikationen wurden in enger Kooperation mit unseren klinischen Partnern entwickelt und haben sich in einer Vielzahl von Studien als technisch stabil und sicher erwiesen.

Datenschutz und Datensicherheit für die Nutzer unseres Webauftrittes haben in unserem Institut einen hohen Stellenwert. Transparenz bezüglich der Verarbeitung Ihrer personenbezogenen Daten wie auch der Schutz Ihrer Daten sind uns daher besonders wichtig.
Mit dieser Erklärung geben wir Ihnen einen Überblick, wie bei der Nutzung unserer Internetseiten Daten zu Ihrer Person erhoben und verarbeitet werden und was Sie ggf. selbst zum besseren Schutz Ihrer Daten tun können.

I. Name und Anschrift der Verantwortlichen

Forschungsstelle für Psychotherapie
Universitätsklinikum Heidelberg
Bergheimer Str. 54
69115 Heidelberg
Tel. 06221-5638170
E-Mail: stephanie.bauer@med.uni-heidelberg.de

II. Kontakt zum Datenschutzbeauftragten

Der Datenschutzbeauftragte des Verantwortlichen ist:

Universitätsklinikum Heidelberg
Datenschutzbeauftragter
Im Neuenheimer Feld 672
69121 Heidelberg
Datenschutz@med.uni-heidelberg.de

III. Allgemeines zur Datenverarbeitung

1. Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist also, ob durch die erhobenen Daten ein Personenbezug hergestellt werden kann. Darunter fallen Informationen wie z.B. Ihr Name, Ihre Anschrift, Ihre Telefonnummer, Mailadresse. Informationen, die nicht direkt mit Ihrer wirklichen Identität in Verbindung gebracht werden - wie z.B. favorisierte Webseiten oder Anzahl der Nutzer einer Seite - sind keine personenbezogenen Daten.

2. Umfang der Verarbeitung personenbezogener Daten
Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3. Wie erheben und verarbeiten wir Daten zu Ihrer Person?
Wenn Sie unsere Webseiten besuchen, speichern unsere Webserver standardmäßig zum Zweck der Systemsicherheit temporär die Verbindungsdaten des anfragenden Rechners, die Webseiten, die Sie bei uns besuchen, das Datum und die Dauer des Besuches, die Erkennungsdaten des verwendeten Browser- und Betriebssystem-Typs, IP-Adresse sowie die Webseite, von der aus Sie uns besuchen. Darüber hinausgehende personenbezogene Angaben wie Ihr Name, Ihre Anschrift, Telefonnummer oder E-Mail-Adresse werden nicht erfasst, es sei denn, diese Angaben werden von Ihnen freiwillig gemacht, z.B. im Rahmen einer Registrierung. Sie können diese Seite besuchen, ohne Angaben zu Ihrer Person zu machen. Personenbezogene Daten werden nur erhoben, wenn Sie uns diese im Rahmen Ihres Besuchs unseres Internetauftritts freiwillig mitteilen.

Der für die Verarbeitung Verantwortliche erteilt Ihnen jederzeit auf Anfrage Auskunft darüber, welche personenbezogenen Daten über Sie gespeichert sind. Ferner berichtigt oder löscht der für die Verarbeitung Verantwortliche Ihre personenbezogenen Daten auf Ihren Wunsch oder Hinweis, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der in dieser Datenschutzerklärung benannte Datenschutzbeauftragte und die Gesamtheit der Mitarbeiter des für die Verarbeitung Verantwortlichen stehen Ihnen in diesem Zusammenhang als Ansprechpartner zur Verfügung.

4. Wie nutzen wir Daten zu Ihrer Person, wie geben wir sie weiter?
Sofern innerhalb des Internetangebotes die Möglichkeit zur Eingabe persönlicher oder geschäftlicher Daten (E-Mail-Adressen, Namen, Anschriften) besteht, so erfolgt die Preisgabe dieser Daten Ihrerseits auf ausdrücklich freiwilliger Basis. Wenn Sie uns eine E-Mail zuschicken, werden Ihre persönlichen Daten nur insoweit gesammelt, als es für eine Antwort erforderlich ist. Die E-Mail wird unverschlüsselt übermittelt.
Die von Ihnen zur Ver­fü­gung ge­stell­ten per­so­nen­be­zo­ge­nen Daten ver­wen­den wir aus­schlie­ß­lich zum Zweck der tech­ni­schen Ad­mi­nis­tra­ti­on der Web­sei­ten und zur Er­fül­lung Ihrer Wün­sche und An­for­de­run­gen, also in der Regel zur Be­ant­wor­tung Ihrer An­fra­ge. Eine Wei­ter­ga­be, Ver­kauf oder sons­ti­ge Über­mitt­lung Ihrer per­so­nen­be­zo­ge­nen Daten an Drit­te er­folgt nicht, es sei denn, dass dies zum Zwe­cke der Ver­trags­ab­wick­lung er­for­der­lich ist oder Sie aus­drück­lich ein­ge­wil­ligt haben. Eine erteilte Einwilligung kann mit Wirkung für die Zukunft jederzeit widerrufen werden.

5. Wie lange bleiben Ihre Daten gespeichert?
Grundsätzlich speichern wir alle Informationen, die Sie uns übermitteln, bis der jeweilige Zweck erfüllt ist. Ist eine längere Speicherung gesetzlich vorgesehen, erfolgt die Speicherung in diesem Rahmen.
Sollten Sie nicht mehr wünschen, dass wir Ihre Daten nutzen, so kommen wir dieser Bitte natürlich umgehend nach (Bitte wenden Sie sich dazu an die unter „Kontakt“ angegebene Adresse).

6. Wann werden Ihre Daten gelöscht?
Die Löschung der gespeicherten personenbezogenen Daten erfolgt, wenn Sie Ihre Einwilligung zur Speicherung widerrufen, wenn die Kenntnis der Daten zur Erfüllung des mit der Speicherung verfolgten Zwecks nicht mehr erforderlich ist oder wenn die Speicherung aus sonstigen gesetzlichen Gründen unzulässig ist. Daten für Abrechnungszwecke und buchhalterische Zwecke werden von einem Löschungsverlangen nicht berührt.

7. Einsatz von Cookies
Im Rahmen Ihres Besuchs auf unseren Seiten verwenden wir sogenannte Cookies. Das sind kleine Textdateien, die auf Ihrem Computer abgelegt werden. Cookies helfen uns dabei, die Nutzungshäufigkeit und die Anzahl der Nutzer unserer Internetseiten zu ermitteln, sowie unsere Angebote für Sie möglichst komfortabel und effizient zu gestalten.
Die FOST hinterlegt für den jeweiligen Zeitraum der Programmnutzung sogenannte Session-Cookies auf Ihrem Computer. Session-Cookies sind Textdateien, die für die vollumfängliche Nutzung der Funktionen der Programme notwendig sind und für die Dauer der Programmnutzung auf dem Computer gespeichert werden. Nach Nutzung des Programms werden diese wieder vom Ihrem PC gelöscht, d.h. es verbleiben keine Cookies auf dem PC.
Bitte beachten Sie, dass Sie bei einer Deaktivierung mit einer eingeschränkten Darstellung der Seite und mit einer eingeschränkten Benutzerführung rechnen müssen. Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs oder zur Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (z.B. Warenkorbfunktion) erforderlich sind, werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste.

8. Was tun wir für die Sicherheit der Verarbeitung?
Unser Institut trifft alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen, um Ihre personenbezogenen Daten vor Verlust und Missbrauch zu schützen. So werden Ihre Daten in einer sicheren Betriebsumgebung gespeichert, die der Öffentlichkeit nicht zugänglich ist.
Folgende Bausteine gewährleisten einen hohen Standard der Programme in Bezug auf Datenschutz und Datensicherheit:

• Hosting Provider:
  Die FOST nutzt keine externen Hosting Provider. Die Applikationen der FOST laufen auf Instituts eigenen, Firewall-geschützten Servern. In Abhängigkeit der projektbezogenen Anforderungen werden Applikationen auf getrennten Servern gehostet.
• Programmierumgebung:
  Die FOST verwendet LAMP-Kombinationen als Programmierumgebung, die die Realisierung von Applikationen mit höchsten Sicherheitsstandards ermöglichen. Die Systeme werden kontinuierlich weiterentwickelt und auf Ihre Sicherheit hin überprüft.
• Serverarchitektur:
  Die FOST nutzt Linux Systeme mit verschlüsselten Partitionen. Um möglichst geringe Ausfallzeiten zu gewährleisten werden jeweils zwei Systeme redundant gehalten. Jedes Projekt erhält getrennte Datenbanken. Persönliche und klinische Daten werden verschlüsselt und getrennt gespeichert. Softwareentwicklung und die Beseitigung von Softwarefehlern erfolgt auf Testsystemen. Test-, Produktions- und Bereitstellungumgebung sind getrennt.
• Firewall:
  Der Datenverkehr wird durch Hardware- und Software-Firewalls geschützt, die nur http- und https-Traffic aus dem Internet zulassen um bspw. Denial-of-Service Angriffe zu blockieren.
• Verschlüsselung:
  Die FOST verwendet aktuelle Verschlüsselungstechniken (TLS) für die Datenübermittelung und -speicherung. Das bedeutet, dass die Kommunikation zwischen Ihrem Computer und den Servern unseres Institutes unter Einsatz eines anerkannten Verschlüsselungsverfahrens erfolgt, wenn Ihr Browser diese Technologie unterstützt. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.
  Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
• Audit Trails:
  Über Log-Dateien im Daten Management System können Dateneingaben und -änderungen im System nachvollzogen werden, d.h. es kann nachträglich überprüft werden, ob und wann Daten eingegeben, verändert oder entfernt wurden.
• Back-Up und Datensicherung:
  Applikationsdaten werden täglich gesichert. Ein vollständiges Back-up sichert die Daten verschlüsselt auf Back-Up Server. Wöchentlich erfolgt ein verschlüsseltes Back-Up auf einen externen Datenträger, der physikalisch getrennt und für Dritte unzugänglich gelagert wird.
• Performanz und Verfügbarkeit:
  Die Produktionsumgebung umfasst gespiegelte Server, die eine hohe Verfügbarkeit der Programme für die Anwender gewährleisten (Primary-Replica Systeme). Die Dimensionierung der eingesetzten Hard- und Softwarekomponenten orientiert sich an individuellen Projektanforderungen und gewährleistet eine hohe Geschwindigkeit der Applikationen. Die Zuverlässigkeit der Dienste wird kontinuierlich überwacht.
• Nutzerauthentifizierung:
  Der Programmlogin erfolgt passwortgeschützt mit Benutzername bzw. Pseudonym oder Codenummer.
• Kommunikation:
  Einige Programme verwenden E-Mails und SMS als Kommunikationsmittel. Es werden nur solche personenbezogenen verwendet und gespeichert, die für die Funktionsfähigkeit der Programme notwendig sind. E-Mail Adressen und Telefonnummern werden verschlüsselt gespeichert.
• Dateneinsicht:
  Entsprechend ihrer vorab definierten Rollenbeschreibung haben nur bestimmte Mitarbeiter, die den Datenschutzbestimmungen unterliegen, nach entsprechender Authentifizierung am System Zugang zu den Daten.
• Einsatz von Analysesoftware:
  Die FOST nutzt keine Webanalysedienste von Drittanbietern (z.B. Google Analytics) oder speichert Cookies von Drittanbietern.

Sollten Sie mit uns über E-Mail in Kontakt treten wollen, weisen wir darauf hin, dass die Vertraulichkeit der übermittelten Informationen nicht gewährleistet ist. Der Inhalt von E-Mails kann von Dritten eingesehen werden. Wir empfehlen Ihnen daher, uns keine vertraulichen Informationen über E-Mail zukommen zu lassen.

9. Das sind Ihre Datenschutzrechte
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und mögliche Empfänger und den Zweck der Datenverarbeitung (Art. 15 DSGVO) und ggf. ein Recht auf Berichtigung unrichtiger Daten Art. 16 DSGVO), Löschung dieser Daten (Art. 17 DSGVO) das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch (Art. 21 DSGVO) sowie das Recht auf Datenübertragbarkeit von Ihnen bereitgestellter Daten nach Art. 20 DSGVO). Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.
Darüber hinaus steht Ihnen im Falle datenschutzrechtlicher Verstöße ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu (Art. 77 DSGVO i.V.m. §19 BDSG). Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat. Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten können folgendem Link entnommen werden: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links....

10. Wie Sie gegebene Einwilligungen zur Datenverarbeitung widerrufen können?
Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

11. Kontakt bei Fragen, Beschwerden Geltendmachung Ihrer Rechte
Bei Fragen, Beschwerden oder Geltendmachung Ihrer Datenschutzrechte können Sie sich jederzeit unter folgender Adresse an uns wenden:
Forschungsstelle für Psychotherapie
Universitätsklinikum Heidelberg
Bergheimer Str. 54
69115 Heidelberg
Tel. 06221-5638170
E-Mail: stephanie.bauer(at)med.uni-heidelberg.de

Im Falle einer rechtswidrigen Datenverarbeitung haben Sie das Recht, sich bei folgender Aufsichtsbehörde zu beschweren:

Der Landesbeauftragte für den Datenschutz und
die Informationsfreiheit Baden- Württemberg
Postfach 10 29 32, 70025 Stuttgart
Königstraße 10a, 70173 Stuttgart
Tel.: 0711/61 55 41 – 0
Fax: 0711/61 55 41 – 15
E-Mail: poststelle@lfdi.bwl.de
Internet: http://www.baden-wuerttemberg.datenschutz.de

12. Änderung der Datenschutzerklärung
Es können Änderungen an diesen Datenschutzhinweisen vorgenommen werden, die auf dieser Seite rechtzeitig bekanntgegeben werden.

Stand 18.01.2021