Informationen über die gemeinsame Verantwortlichkeit bei der Datenverarbeitung im Portal Mein-Krankenhaus.Digital

Wir, die in der Liste der Einrichtungen genannten Verantwortlichen („Einrichtungen“) und die Patientenplattform Betriebsmanagement GmbH, Radlsteg 1, 80331 München („PBG“) - nachfolgend gemeinsam „Parteien“ oder „wir“ oder „uns“ genannt - haben uns zusammengeschlossen, um gemeinsam den Aufbau und die Nutzung des Portals Mein-Krankenhaus.Digital zu ermöglichen. Aufgrund unseres gemeinsamen Wirkens bestimmen wir gemeinsam über Zwecke und Mittel der Datenverarbeitung in diesem Portal i.S.d. Art. 4 Nr. 7 DSGVO und sind demnach gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO. Mit den folgenden Informationen möchten wir Sie - als Betroffene/r – über die wesentlichen Inhalte und Regelungen der zwischen uns getroffenen Vereinbarung über eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO („Vereinbarung“) informieren. 

Verantwortlichkeit und Aufgabenverantwortung

Ihre Daten werden in klar definierten Prozessen und Bereichen verarbeitet, damit die Funktionen des Portals bereitgestellt werden können. Für diese Prozesse und Bereiche haben wir in der Vereinbarung festgelegt, welche Aufgaben und Pflichten (nachfolgend „Aufgabenverantwortung“) von den jeweiligen Parteien zu erfüllen sind. Sie werden nachstehend beschrieben. 

Aufgabenverantwortung der PBG

• Die PBG ist rechtliche Betreiberin des Portals und hat die Aufgabe übernommen, sämtliche Datenschutzpflichten der Parteien, die aus der gemeinsamen Verarbeitung von Stamm- und Behandlungsdaten sowie Nutzungsdaten im Portal resultieren und im Rahmen des Betriebs des Portals zu erfüllen sind, operativ umzusetzen. Zusätzlich übernimmt die PBG im Rahmen des Betriebs der zentralen Komponenten des Portals auch die Aufgabenverantwortung, die sich aus den regulatorischen Vorgaben zur Informationssicherheit sowie zur Data Governance (Datenmanagement und Datennutzung) ergeben (DSISDG). Demnach obliegen der PBG insbesondere die
• Übernahme der Datenschutzverantwortung (Aufgabenverantwortung) für den Betrieb des Portals und folglich Übernahme sämtlicher damit verbundener Aufgaben und Pflichten 
• Sicherstellung der Rechtskonformität der Verarbeitung personenbezogener Daten im Portal 
• Information der Betroffenen über die Datenverarbeitungen im Portal gemäß Art. 13, 14 DSGVO
• Begleitung der Auswahl und Beauftragung von Auftragsverarbeitern und fachliche Prüfung von Leistungen der Auftragsverarbeiter in Bezug auf Datenverarbeitungen im Portal
• Hoheit über die Verwaltung von rechtskonformen Zugriffen auf personenbezogene Daten im Portal
• Sicherstellung der notwendigen technischen und organisatorischen Maßnahmen gemäß den datenschutzrechtlichen Vorgaben (insb. DSGVO, BDSG) in Bezug auf den Betrieb des Portals
• Sicherstellung der Einhaltung regulatorischer (insb. gesetzlicher) und vertraglicher Vorgaben zur Informationssicherheit in Bezug auf den Betrieb des Portals
• Data Governance: Übernahme der Verantwortung für das Datenmanagement und die Datennutzung im Portal und in den zugrundeliegenden Systemen
• Ansprechpartner und Anlaufstelle für Betroffenenanfragen, Sicherstellung von Betroffenenrechten und Bearbeitung von Betroffenenanfragen in Bezug auf Datenverarbeitungen im Portal
• Meldung von etwaigen Datenschutzverstößen im Portal an Behörden

Die Aufgabenverantwortung der PBG betrifft dabei alle Prozesse und Aufgaben, die im Portal erfolgen bzw. diesem zuzurechnen sind (siehe zur Abgrenzung), namentlich die: 

• technische Anbindung der Einrichtungen an das Portal mittels Schnittstelle im Gateway-Server (vor Ort bei der Einrichtung) und alle Datenverarbeitungen ab Übergabe an die Schnittstelle (Gateway-Server) zum Portal einschließlich Festlegung der Anforderungen an diese Schnittstelle
• Erstellung, Verwaltung und Verarbeitung einrichtungsübergreifender Patientenidentitäten (MPI) zwecks Identifizierung im Portal und vor Ort bei den Einrichtungen, insb. Patientendatenabgleich, Verlinkung von lokalen Patientenidentitäten der Einrichtungen mit dem zentralen MPI (siehe aber zum Identifizierungsprozess vor Ort)
• Verarbeitung des erstellten MPI im Portal inkl. „Clearing“ bei Datenkonflikten (Differenzen in Stammdatensätzen des Patienten bei verschiedenen Einrichtungen) 
• Festlegung von Rechten und Rollen, Einsichts- und Zugriffsrechten in und auf Daten im Portal
• Datenverarbeitungen im Portal (insb. Registrierungs- und Anmeldeprozesse, Bereitstellung und Sicherstellung der Funktionen des Portals, Verarbeitungen zwecks dieser Funktionen) 
• Bereitstellung einer Schnittstelle d.h. der technischen Voraussetzungen für die Einrichtungen zur Anbindung von Digitalen Entlass- und Überleitungsmanagementplattformen (DEÜM-Plattformen) an die Datenaustauschplattform des Portals (ohne Einbindung dieser dritten DEÜM-Plattformen in die Weboberfläche des Portals) einschließlich Festlegung der technischen und organisatorischen Anforderungen an diese DEÜM-Plattformen und die DEÜM-Dienstleister
• Steuerung des Datenaustauschs zwischen den Einrichtungen und den DEÜM-Plattformen über die Datenaustauschplattform des Portals

Aufgabenverantwortung der Einrichtungen

• Bestimmte Prozesse und Aufgaben werden von den Einrichtungen außerhalb des Portals durchgeführt bzw. wahrgenommen. Für diese sind die Einrichtungen nicht gemeinsam, sondern jeweils eigenständig verantwortlich bzw. übernehmen die Aufgabenverantwortung. Diese Prozesse und Aufgaben sind in der Vereinbarung ausdrücklich wie folgt benannt:
• Datenverarbeitung in eigenen IT-Bestandssystemen einer Einrichtung (lokale Systeme z.B. Krankenhausinformationssystem) - keine gemeinsame Verantwortlichkeit
• Datenverarbeitungen bis zur Übergabe an die Schnittstelle des lokal in der Einrichtung befindlichen Gateway-Servers zwecks Übermittlung in das Portal
• Rollen-/Rechtesteuerung in Bezug auf die Mitarbeiter bzw. medizinischen Nutzer des Portals innerhalb der Einrichtung
• Persönliche Überprüfung der Identität des Patienten vor Ort in der Einrichtung zwecks Upgrade des Benutzerkontos in Stufe 2 (identifiziertes Benutzerkonto)
• Einholung der Einwilligung des Patienten für die Übermittlung von Stammdaten und Gesundheitsdaten aus dem eigenen IT-Bestandssystem in das Portal sowie Verwaltung und Dokumentation dieser Patienten-Einwilligung (einschließlich Meldung des Widerrufs an die PBG und damit Sicherstellung der Umsetzung des Widerrufs dieser Einwilligung)
• Identifikation von Zuweisern
• Einholung der notwendigen Einwilligung des Patienten für die Übermittlung von Daten an die Datenaustauschplattform des Portals im Rahmen des DEÜM sowie Verwaltung und Dokumentation dieser Einwilligung (einschließlich Meldung des Widerrufs an die PBG und damit Sicherstellung der Umsetzung des Widerrufs dieser Einwilligung)
• Datenschutzkonforme Verarbeitung der Daten im Rahmen des Entlass- und Überleitungsmanagements in eigenen IT-Bestandssystemen sowie in den DEÜM-Plattformen

Sollten Sie Fragen zur Datenverarbeitung der jeweiligen Einrichtung als getrennt Verantwortlichen außerhalb des Portals haben oder Ihre Betroffenenrechte geltend machen wollen, wenden Sie sich bitte an die jeweilige Einrichtung unter den in der Liste aufgeführten Kontaktdaten. 

In Zweifelsfällen können Sie sich auch an die PBG wenden. Die PBG leitet Anfragen, die nicht Datenverarbeitungen im Portal betreffen, umgehend an die zuständige Einrichtung weiter. 

Kontaktdaten

Die PBG erreichen Sie unter folgenden Kontaktdaten:

Patientenplattform Betriebsmanagement GmbH, 
Radlsteg 1, 
80331 München (PBG) 

Den Datenschutzbeauftragten der PBG erreichen Sie wie folgt:

e:los GmbH
Heideweg 25
92318 Neumarkt

E-Mail: datenschutz@mein-krankenhaus.digital

Die Kontaktdaten der weiteren Verantwortlichen können Sie der Liste an entsprechender Stelle entnehmen ebenso wie die Kontaktdaten der jeweiligen Datenschutzbeauftragten.

Wer ist mein Ansprechpartner für meine Rechte wie Auskunft oder Löschung?

Sie können grundsätzlich hinsichtlich der Verarbeitung Ihrer Daten jeden der Verantwortlichen einzeln ansprechen und die Ihnen aus den Art. 15 bis 22 DSGVO zustehenden Rechte auf 

• Auskunft
• Berichtigung
• Löschung
• Einschränkung der Verarbeitung
• Datenübertragbarkeit
• Widerruf von Einwilligungen
• Widerspruch

gegenüber jedem Verantwortlichen geltend machen.

Bezüglich der Verarbeitung Ihrer personenbezogenen Daten im Portal unter Verantwortung der PBG (siehe Ziff. 2.1) haben wir allerdings die PBG als erste Anlaufstelle für alle Betroffenenanfragen bestimmt und entsprechende Prozesse zur schnellen Beantwortung Ihrer Anfragen etabliert. Wir empfehlen Ihnen daher, dass Sie sich zur Geltendmachung Ihrer Rechte in Bezug auf Datenverarbeitungen im Portal direkt an die PBG wenden (Kontaktdaten siehe Ziff. 2.).

Sollte die Datenverarbeitung, bezüglich derer Sie Ihre Rechte geltend machen, ausschließlich oder zugleich Datenverarbeitungen außerhalb des Portals bzw. in der Aufgabenverantwortung der Einrichtungen (Ziff. 2.2.) betreffen, wird die PBG Ihre Anfrage an die jeweilige Einrichtung weiterleiten oder diese entsprechend einbinden. 

Zuständige Aufsichtsbehörde

Die zuständige Aufsichtsbehörde für den Betrieb des Portals ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Postfach 1349
91504 Ansbach

Telefon: +49 (0) 981 180093-0
E-Mail: poststelle@lda.bayern.de
Webseite: https://www.lda.bayern.de/

Wie kann ich mehr Informationen zur Datenverarbeitung erhalten?

Weitere Informationen über die Verarbeitung Ihrer persönlichen Daten erhalten Sie in unseren Datenschutzhinweisen.

Stand: Dezember 2025

Liste der Einrichtungen mit Anschluss an Mein-Krankenhaus.Digital

• Algesiologikum GmbH — www.algesiologikum.de
• AMEOS Krankenhausgesellschaft Warendorf mbH — www.ameos.de/klinikum-warendorf
• Arberlandkliniken Kommunalunternehmen — www.arberlandkliniken.de
• Barmherzige Brüder gemeinnützige Krankenhaus GmbH — www.bb-krankenhausverbund.de
• Behandlungszentrum Aschau GmbH — www.kiz-chiemgau.de
• Caritas Krankenhaus St. Lukas GmbH — www.csl-kelheim.de
• CJD Asthmazentrum Berchtesgaden — www.berchtesgaden.cjd.de
• cusanus trägerschaft trier mbh — www.cusanus-traegergesellschaft-trier.de
• Deutsches Herzzentrum München des Freistaates Bayern, Klinik an der Technischen Universität München, nichtrechtsfähige Anstalt des öffentlichen Rechts — www.deutsches-herzzentrum-muenchen.de
• Diakoneo KdöR — www.diakoneo.de
• DONAUISAR Klinikum Deggendorf-Dingolfing-Landau gKU — www.donau-isar-klinikum.de
• Fachklinik Osterhofen GmbH — www.fachklinik-osterhofen.de
• Gemeinde Fridolfing, Gebietskörperschaft — www.salzachklinik-fridolfing.de
• Gemeinnützige Krankenhausgesellschaft des Landkreises Bamberg mbH — www.gkg-bamberg.de
• Gemeinsames Komunalunternehmen Donau-Ries Kliniken und Seniorenheime AöR — www.donkliniken.de
• GEOMED-Kreisklinik GmbH — www.geomed-klinik.de
• Heiligenfeld GmbH / Heiligenfeld Kliniken GmbH — www.heiligenfeld.de
• Hessing Stiftung — www.hessing-kliniken.de
• Ilmtalklinik GmbH — www.ilmtalkliniken.de
• Innklinikum Altötting und Mühldorf gKU — www.innklinikum.de
• Klinik Kitzinger Land - Kommunalunternehmen des Landkreis Kitzingen — www.k-kl.de
• Kliniken am Goldenen Steig gGmbH — www.frg-kliniken.de
• Kliniken an der Paar, Eigenbetrieb des Landkreises Aichach-Friedberg — www.klipa.de
• Kliniken des Landkeises Neustadt a. d. Aisch - Bad Windsheim (Kommunalunternehmen des Landkreises Neustadt a. d. Aisch - Bad Windsheim) — www.kliniken-nea.de
• Kliniken Dr. Erler gGmbH — www.erler-klinik.de
• Kliniken im Naturpark Altmühltal, Kommunalunternehmen des Landkreises Eichstätt, A.d.ö.R. — www.kna-online.de
• Kliniken Nordoberpfalz AG — www.kliniken-nordoberpfalz.ag
• Kliniken Südostbayern AG — www.kliniken-suedostbayern.de
• Klinikum Aschaffenburg-Alzenau gemeinnützige GmbH — www.klinikum-ab-alz.de
• Klinikum Bayreuth GmbH — www.klinikum-bayreuth.de
• Klinikum Fichtelgebirge Kommunalunternehmen — www.klinikum-fichtelgebirge.de
• Klinikum Forchheim - Fränkische Schweiz gGmbH — www.klinikumforchheim.de
• Klinikum Fürth A.ö.R. — www.klinikum-fuerth.de
• Klinikum Gütersloh gGmbH — www.klinikum-guetersloh.de
• Klinikum Ingolstadt GmbH — www.klinikum-ingolstadt.de
• Klinikum Landkreis Erding Anstalt des öffentlichen Rechts — www.klinikum-erding.de
• Klinikum Landsberg am Lech - KU — www.klinikum-landsberg.de
• Klinikum Neumarkt A.ö.R. — www.klinikum-neumarkt.de
• Klinikum St. Marien, Kommunalunternehmen, AöR der Stadt Amberg — www.klinikum-amberg.de
• Kommunalunternehmen "Krankenhäuser des Landkreises Amberg-Sulzbach", AöR — www.kh-as.de
• Kommunalunternehmen Klinikum Altmühlfranken, AöR — www.klinikum-altmuehlfranken.de
• Kongregation der Barmherzigen Schwestern vom heiligen Vinzenz von Paul — www.barmherzige.net
• Kongregation der Schwestern des Erlösers K.d.ö.R. — www.josef.de
• Krankenhaus GmbH Landkreis Weilheim-Schongau — www.meinkrankenhaus2030.de
• Kreisklinik Roth (KU) AöR Landkreis Roth — www.kreisklinik-roth.de
• Kreiskliniken Bogen-Mallersdorf, Kommunalunternehmen des Landkreises Straubing-Bogen — www.kreiskliniken-bogen-mallersdorf.de
• KU Haßberg-Kliniken AöR — www.hassberg-kliniken.de
• LA-Regio Kliniken gU AdöR des Landkreises und der Stadt Landshut — www.la-regio-kliniken.de
• Landkreis Erlangen-Höchstadt Regiebetrieb — www.kreiskrankenhaus-hoechstadt.de
• Landkreis Main-Spessart — www.klinikum-msp.de
• Landkreis Neuburg-Schrobenhausen — www.neuburg-schrobenhausen.de
• Landkreis Passau Krankenhaus gGmbH (Gesundheitseinrichtungen Landreis Passau) — www.ge-passau.de
• Landkreis Regensburg — www.kreisklinik-woerth.de
• Landkreis Schwäbisch Hall — https://www.lrasha.de/landkreis/kreiseinrichtungen/kliniken-des-landkreises
• Main-Klinik Ochsenfurt gGmbH — www.main-klinik.de
• Malteser Waldkrankenhaus Erlangen gGmbH — www.waldkrankenhaus.de
• Martha-Maria Krankenhaus gGmbH — www.martha-maria.de
• Martha-Maria Krankenhaus Halle-Dölau gGmbH — www.kh-halle-doelau.de
• Medizinische Einrichtungen des Bezirks Oberpfalz KU — www.medbo.de
• München Klinik gGmbH — www.muenchen-klinik.de
• Paracelsus-Kliniken Deutschland GmbH & Co. KGaA — www.paracelsus-kliniken.de
• RoMed Kliniken der Stadt und des Landkreises Rosenheim GmbH — www.romed-kliniken.de
• Schwesternschaft München vom Bayerischen Roten Kreuz e.V. — www.schwesternschaft-muenchen.de
• Selbstständiges Kommunalunternehmen des Landkreises Günzburg, Kreiskliniken Günzburg-Krumbach — www.kliniken-gz-kru.de
• St. Josefs Krankenhaus Balserische Stiftung gGmbH — www.jokba.de
• Stadt Memmingen — www.klinikum-memmingen.de
• Stadt Passau — www.klinikum-passau.de
• Stadt Schweinfurt — www.leopoldina-krankenhaus.com
• Starnberger Kliniken GmbH Tochtergesellschaft des Landkreises Starnberg — www.starnberger-kliniken.de