To Top
+41 41 740 05 05

Datenschutzerklärung und Bearbeitungsreglement Pure Health Consulting GmbH

Version 1.01 vom 01.08.2018

1. Kurzüberblick

Pure Health Consulting (PHC) bietet verschiedene Dienstleistungen in den Bereichen Medizin, Gesundheit, Ernährung und Sport an. Um unsere Kunden auf dem Weg zu mehr körperlicher und mentaler Gesundheit optimal zu unterstützen, vermittelt PHC Kunden innerhalb ihres Partnernetzwerks an Spezialisten wie Ärzte, Therapeuten und Coaches.

Dabei werden Personendaten bearbeitet resp. einsehbar die besonders schützenswert sind. Unter Personendaten sind alle Angaben zu verstehen, die sich auf eine bestimmte oder bestimmbare (natürliche)Person beziehen. In erster Linie sind das Daten von Personen, die bei PHC Dienstleistungen beziehen und ihre Personendaten PHC selber bekanntgeben. Zu diesen Daten gehören zum Beispiel Kontaktinformationen wie Name, Adresse oder Telefonnummer sowie weitere persönliche Daten wie Geburtsdatum, AHV- und Versichertennummer sowie detaillierte Angaben zur Gesundheit dieser Person.

Da PHC grossen Wert auf den Schutz dieser zum Teil besonders schützenswerten Daten legt, wird in dieser Datenschutzerklärung darüber informiert:

  • Wer für die Datenbearbeitung verantwortlich ist;
  • Von welchen Personen welche Daten erhoben und bearbeitet werden;
  • Wie und von wem die Daten erhoben und bearbeitet werden;
  • Zu welchem Zweck die Daten bearbeitet werden und auf welcher rechtlichen Grundlage;
  • Wem die Daten bekanntgegeben werden;
  • Wie lange die Daten aufbewahrt werden;
  • Was die Rechte der Kunden sind.

2. Anwendbarkeit der Datenschutzerklärung

Diese Datenschutzerklärung erläutert die Beschaffung und weitere Bearbeitungen von Personendaten durch PHC. Vorbehalten bleiben die Beschaffung und weitere Bearbeitungen von Personendaten, die durch andere Datenschutzerklärungen oder Nutzungsbedingungen abgedeckt sind, aus den Umständen hervorgehen oder gesetzlich geregelt sind.

3 Erhebung, Bearbeitung und Nutzung von Personendaten

3.1 Betroffene Personen

PHC bearbeitet namentlich folgende Kategorien von Personendaten von Kunden:

  • Persönliche Daten und Kontaktinformationen: Dazu gehören insbesondere, aber nicht abschliessend, Vor- und Nachname, Geschlecht, Geburtsdatum, Alter, Zivilstand, AHV- und Versichertennummer, Sprachen, Nationalität, Kantons- und Gemeindezugehörigkeit, (E-Mail)Adresse, Telefonnummer, Gesundheitsdaten, Familienangehörige, etc.;
  • Vertragsdaten: Art und Umfang der Leistungen, Eintritts- und Austrittsdatum;
  • Daten im Zusammenhang mit Leistungsabwicklungen: Dazu gehören unter anderem Leistungserbringer, Diagnosen, Arztberichte, Angaben von Vertrauensärzten, Leistungskosten, Bank- und Post-Verbindungen, Zahlungen, Angaben im Zusammenhang mit Rückfragen, Rechnungen des Leistungserbringers;
  • Daten im Zusammenhang mit dem Consulting: Angaben zu Gesundheit wie Anamnese und Risikostratifizierung sowie Daten des Vitalitätschecks.

Im Rahmen der Geschäftsbeziehung mit PHC werden Kunden diejenigen Kundendaten bereitstellen müssen, die für die Aufnahme und Abwicklung der Vertragsbeziehung und Erfüllung der damit verbundenen vertraglichen Pflichten notwendig oder gesetzlich vorgeschrieben sind. Ohne diese Daten wird PHC in der Regel nicht in der Lage sein, den Vertrag mit dem jeweiligen Kunden zu schliessen oder diesen auszuführen.

3.2 Datenquellen

Die Personendaten werden in erster Linie bei der direkten Kommunikation mit den Kunden (persönliches Gespräch, Brief, Kontakt- und Antragsformulare, E-Mail, Telefon, oder auf andere Weise) sowie im Rahmen der Benutzung der Website erhoben.

Personendaten können aber auch indirekt erhoben werden, so namentlich durch

  • von Kunden ermächtigte Personen und Stellen;
  • Leistungserbringer und Vertrauensärzte;
  • öffentlich zugängliche Quellen (z.B. Internet, Presse, Medien, Register).

3.3 Datenbearbeiter bzw. beteiligte Stellen

Die Abwicklung der Dienstleistung sowie die Erhebung und Erfassung der Daten wird in erster Linie von PHC Mitarbeitenden vorgenommen. Für diese Aufgabe bearbeiten sie Personendaten inkl. besonders schützenswerte Personendaten gemäss der Datensammlung von PHC. Auch die im Netzwerk beteiligten Partner haben auf die für sie relevanten Daten Zugriff, jedoch kein Recht diese zu bearbeiten. Ergänzungen die sich aus den Dienstleistungen des Netzwerkpartners ergeben sind jedoch zulässig.

Bei der Durchführung der Dienstleistung haben die Netzwerkpartner jeweils auf diejenigen Daten Zugriff, die für die jeweilige Aufgabenerfüllung erforderlich sind. Auf ausdrücklichen Wunsch des Kunden können gewisse Informationen bestimmten Netzwerkpartnern vorenthalten oder unzugänglich gemacht werden.

4 Verwendung der Kundendaten

PHC verwendet die Kundendaten für den Kundenbearbeitungszweck aufgrund folgender Rechtsgrundlagen:

  • Vertragserfüllung;
  • Schnelle und effiziente Vernetzung mit den Netzwerkpartnern;
  • Effiziente und effektive Kundenbetreuung, Kontaktpflege und sonstige Kommunikation mit Kunden auch ausserhalb der Vertragsabwicklung;
  • Aufrechterhaltung und sichere, effiziente und effektive Organisation des Geschäftsbetriebs, einschliesslich eines sicheren, effizienten und effektiven Betriebs und einer erfolgreichen Weiterentwicklung der Website und anderer IT-Systeme;
  • Sinnvolle Unternehmensführung und -entwicklung;
  • Effiziente und effektive Verbesserung der bestehenden Produkte und Dienstleistungen und Entwicklung neuer Produkte und Dienstleistungen;
  • Durchführung von Werbung und Marketing.

5 Schweigepflicht

Sämtliche Mitarbeitende von PHC unterstehen der Schweigepflicht. Die Mitarbeitenden sind über die Sanktionen informiert und unterzeichnen mit Eintritt bei PHC zudem eine Geheimhaltungs- und Schweigepflichtserklärung.

6 Datenaufbewahrung

PHC speichert vertragsbezogene Kundendaten und Partnerdaten grundsätzlich für die Dauer des Vertragsverhältnisses und zehn Jahre über die Beendigung des Vertragsverhältnisses hinaus, soweit im Einzelfall keine kürzeren oder längeren gesetzlichen Aufbewahrungspflichten bestehen, dies aus Beweisgründen erforderlich ist oder ein anderer nach anwendbarem Recht gültiger Ausnahmegrund besteht, oder eine frühere Löschung angezeigt ist (namentlich weil die Daten nicht mehr benötigt werden oder PHC zu deren Löschung verpflichtet ist).

7 Benutzung und Datenzugriff

7.1 Zugriffsberechtigte

Zugriffsberechtigt auf die PHC Datenbank sind:

  • Mitarbeitende von PHC, soweit sie dies zur Ausübung ihrer Tätigkeit benötigen;
  • Systemadministratoren von PHC;
  • Netzwerkpartner, sofern sie für den Kunden eine vertraglich vereinbarte Leistung erbringen.

(alle zusammen Zugriffsberechtigte).

7.2 Verwaltung der Zugriffsberechtigten

Die Verwaltung der Zugriffsberechtigten wird intern von der IT von PHC geführt. Neue Identitäten inkl. Accounts werden nur erfasst, wenn ein gültiger Arbeits- oder Dienstleistungsvertrag existiert und eine entsprechende Freigabe der Rechte vorliegt.

7.3 Aufhebung der Zugriffsberechtigung

Die Zugriffsberechtigten auf die PHC Datenbank sind nur so lange zugriffsberechtigt, als sie die Daten für die Ausübung ihrer Arbeitsfunktion benötigen. Bei Austritt, Aufgabenwechsel sowie bei Beendigung einer vertraglich vereinbarten Leistung wird die Zugriffsberechtigung entzogen oder die für den neuen Aufgabenbereich benötigten Zugriffsberechtigungen neu zugewiesen.

7.4 IT-Dienstleister

Soweit der Betrieb der PHC Datenbank an externe IT-Dienstleister ausgelagert ist, folgen diese in ihrem Bereich analogen Regelungen.

8 Technische und organisatorische Massnahmen

8.1 Zugangskontrolle

Sämtliche Server, auf denen besonders schützenswerte Personendaten von PHC gespeichert werden, sind entweder elektronisch oder manuell vor dem Zugang unbefugter Personen gesichert. Die Arbeitsplätze sind vor dem Zutritt unbefugter Dritter geschützt. Spezialräume und sensible Räume, wie die Technikräume und die Rechenzentren, sind wie folgt gesichert:

  • Die elektronischen Datenträger in den von der IT von PHC betriebenen Rechenzentren und durch die IT der PHC betriebenen dezentralen Server sind mit erhöhten physischen Sicherheitsanforderungen ausschliesslich für den Zugang spezifisch berechtigter Personen gesichert.
  • Die elektronischen Datenträger in dezentralen Servern und Computern, welche nicht durch die IT der PHC betrieben werden, sind vergleichbaren Sicherheitsvorkehrungen unterstellt, wie diejenigen, die durch diese selbst betrieben werden.
  • Die Server, welche für die Sicherung und Funktion der Datenbank benötigt werden, befinden sich ausschliesslich in der Schweiz.

8.2 Authentifizierung der Zugriffsberechtigten

Der Zugriff auf die Datenbank von PHC wird durch die User-ID kombiniert mit einem individuellen Passwort geschützt. Es wird empfohlen, zusätzlich eine 2-Schlüssel-Authentifizierung zu aktivieren.

8.3 Übermittlung von Daten

Die Übermittlung von Daten zwischen den Datenendstationen und den Hostcomputern ist durch das Übertragungsprotokoll geschützt.

8.4 Massnahmen zum Schutz der Daten (Vertraulichkeit) im Bereich der Endgeräte

Die Datenendgeräte sind in geschützten Zonen platziert. Mobile Datenendgeräte enthalten Datenspeicher, die durch ein starkes, passwortabhängiges Verschlüsselungsverfahren geschützt sind.

Ausgedruckte Daten werden so aufbewahrt, dass Drittpersonen (z.B. Raumpflegepersonal) diese nicht einsehen und/oder kopieren können. Diese Daten werden in Anwendung einer internen Weisung entweder in abschliessbaren Behältnissen aufbewahrt oder via Aktenvernichter oder Datarec entsorgt.

8.5 Protokollierung

Zusätzlich zur Kontrolle der Zugriffe auf die PHC Datenbank über das Berechtigungsverfahren sowie den Schutz über die persönliche User-ID und Passwort-Erkennung, verfügt die Datenbank über eine Protokollierung der automatisierten Bearbeitung, damit nachträglich festgestellt werden kann, wer die Daten zu welchem Zeitpunkt bearbeitet hat.

8.6 Entwicklung

Anfragen für die Weiterentwicklung des Systems werden zusammengefasst und als Maintenance, Kleinvorhaben oder Projekt definiert, budgetiert und realisiert.

9 Rechte der Kunden

Jeder Kunde hat gegenüber PHC ein Auskunftsrecht ub̈ er sie betreffende Personendaten. Zudem haben sie das Recht, von PHC die Berichtigung, Löschung und Einschränkung von sie betreffende Personendaten zu verlangen sowie einer solchen Bearbeitung von Personendaten zu widersprechen.

10 Änderung der Datenschutzerklärung

PHC kann die vorliegende Datenschutzerklärung jederzeit ohne Vorankündigung und Mitteilung anpassen. Es gilt die jeweils aktuelle, auf der Website publizierte Fassung.

Soweit die Datenschutzerklärung Teil einer Vereinbarung mit Kunden und Partnern ist, kann PHC diese im Falle einer Aktualisierung über die Änderung per E-Mail oder auf andere geeignete Weise informieren. Erfolgt innert 30 Tagen kein Widerspruch, so gilt die neue Datenschutzerklärung als vereinbart. Wird widersprochen, kann PHC die Vereinbarung ausserordentlich und fristlos auflösen.

Zug, August 2018