Datenschutzerklärung für die HBC-Dienstleistungen
2025-07-01
1. Anwendungsbereich
Die vorliegende Datenschutzerklärung gilt für alle Dienstleistungen der Heart-Based Center AG (HBC), bei denen Personendaten bearbeitet werden.
2. Begriffe
Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, darin eingeschlossen: Persönlichen Angaben wie Personalien, Kontaktdaten und Versicherungsangaben, gesundheitsbezogene Daten wie Anamnesen, Diagnosen, Therapievorschläge und Befunde sowie medizinische Proben und Probenreste.
Eine betroffene Person ist eine Person, über die wir Personendaten bearbeiten.
Bearbeiten umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, so beispielsweise das Abfragen, Abgleichen, Anpassen, Archivieren, Aufbewahren, Auslesen, Bekanntgeben, Beschaffen, Erfassen, Erheben, Löschen, Offenlegen, Ordnen, Organisieren, Speichern, Verändern, Verbreiten, Verknüpfen, Vernichten und Verwenden von Personendaten.
3. Rechtsgrundlagen
Die Bearbeitung der Daten erfolgt aufgrund des mit der betroffenen Person abgeschlossenen Dienstleistungsvertrages und der gesetzlichen Vorgaben zur Erfüllung des Dienstleistungszwecks und den damit verbundenen Pflichten.
Wir bearbeiten personenbezogene Daten im Einklang mit dem schweizerischen Datenschutzrecht, so insbesondere dem Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) und der Verordnung über den Datenschutz (Datenschutzverordnung, DSV).
Wir bearbeiten, sofern und soweit die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union anwendbar ist, Personendaten gemäss mindestens einer der folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung eines Vertrages mit der betroffenen Person sowie zur Durchführung vorvertraglicher Massnahmen.
- Art. 6 Abs. 1 lit. f DSGVO für die erforderliche Bearbeitung von Personendaten, um die berechtigten Interessen von uns oder von Dritten zu wahren, sofern nicht die Grundfreiheiten und Grundrechte sowie Interessen der betroffenen Person überwiegen. Berechtigte Interessen, auch gesundheitsbezogene Daten, sind insbesondere unser Interesse, unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben sowie darüber kommunizieren zu können, die Gewährleistung der Informationssicherheit, der Schutz vor Missbrauch, die Durchsetzung von eigenen rechtlichen Ansprüchen und die Einhaltung von schweizerischem Recht.
- Art. 6 Abs. 1 lit. c DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung einer rechtlichen Verpflichtung, der wir gemäss allenfalls anwendbarem Recht von Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR) unterliegen.
- Art. 6 Abs. 1 lit. a DSGVO für die Bearbeitung von Personendaten mit Einwilligung der betroffenen Person.
- Art. 6 Abs. 1 lit. d DSGVO für die erforderliche Bearbeitung von Personendaten, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Wir halten darüber hinaus sämtliche ethischen Richtlinien ein, die von den in der Schweiz anerkannten Organisationen des Gesundheitswesens erlassen wurden.
4. Grundsatz
Wir nutzen die uns zugänglichen Daten ausschliesslich für die in den einzelnen Dienstleistungen genannten Zwecke
Darüber hinaus nutzen wir die uns zugänglichen Daten, darunter insbesondere die gesundheitsbezogenen Personendaten sowie medizinische Proben und Probenreste, anonym und verschlüsselt bzw. de-identifiziert und pseudonymisiert zu Forschungszwecken und Analysen. Diese Nutzung hat keinen Einfluss auf die medizinische Behandlung.
Wir verarbeiten alle Personendaten in Übereinstimmung mit den geltenden Schweizer Datenschutzgesetzen. Dies bedeutet insbesondere, dass wir zusichern und gewährleisten, dass wir in Vorbereitung, Vollzug und Abschluss unserer Dienstleistungen sowie unserer Forschungs- und Analysetätigkeit alle uns daraus direkt oder indirekt zugänglichen Personendaten ausschliesslich und in vollständiger Übereinstimmung mit allen einschlägigen Schweizer Gesetzen, Vorschriften und ethischen Richtlinien erheben, verarbeiten, nutzen und beseitigen und dass wir alle Genehmigungen von Ethikkommissionen und gegebenenfalls Einwilligungen von Personen, die für die Umsetzung der Vereinbarung erforderlich sind, vor Beginn des jeweiligen Teils der zugewiesenen Arbeiten einholen werden.
5. Art, Umfang und Zweck der Datenbearbeitung
Wir bearbeiten jene Personendaten, die erforderlich sind, um unsere Aktivitäten und Dienstleistungen im Rahmen eines Dienstleistungsvertrages sicher, zuverlässig und im Interesse der betroffenen Person ausüben zu können. Solche Personendaten können insbesondere sein:
- Bestandes- und Kontaktdaten
- Gesundheitsbezogene Daten (z.B. Angaben zur Erkrankung wie Untersuchungsergebnisse und Abklärungen familiärer Vorbelastungen)
- Proben (Urin, Blut oder Gewebe; können im Rahmen einer Behandlung resp. eines Dienstleistungsvertrages zu Diagnose- oder Behandlungszwecken entnommen werden)
- Browser- und Gerätedaten
- Inhaltsdaten, Meta- bzw. Randdaten und Nutzungsdaten, Standortdaten
- Verkaufsdaten, Vertrags- und Zahlungsdaten.
Diese Personendaten können wir anonymisiert bzw. de-identifiziert und pseudonymisiert auch zu Forschungszecken einsetzen resp. weiterverwenden, so insbesondere die gesundheitsbezogenen Daten und Proben (welche normalerweise entsorgt werden).
Wir bearbeiten Personendaten während jener Dauer, die für den jeweiligen Zweck bzw. die jeweiligen Zwecke oder gesetzlich erforderlich ist. Personendaten, deren Bearbeitung nicht mehr erforderlich ist, werden anonymisiert bzw. de-identifiziert und pseudonymisiert oder gelöscht.
Wir bearbeiten Personendaten grundsätzlich nur mit Einwilligung der betroffenen Personen resp. ihrer Eltern oder gesetzlichen Vertreter. Eine solche Einwilligung ist zeitlich unbegrenzt und gilt für alle bereits erhobenen oder zukünftig zu erhebenden Personendaten. Sie hat keinen Einfluss auf die therapeutische oder medizinische Behandlung der betroffenen Person. Sofern und soweit die Bearbeitung aus anderen rechtlichen Gründen zulässig ist, können wir darauf verzichten, eine Einwilligung einzuholen. Wir können Personendaten beispielsweise ohne Einwilligung bearbeiten, um einen Vertrag zu erfüllen, um rechtlichen Verpflichtungen nachzukommen oder um überwiegende Interessen zu wahren.
6. Empfang von Personendaten durch Dritte
Wir bearbeiten ausserdem Personendaten, die wir von Dritten erhalten, aus öffentlich zugänglichen Quellen beschaffen oder bei der Ausübung unserer Aktivitäten und Tätigkeiten erheben, sofern und soweit eine solche Bearbeitung aus rechtlichen Gründen zulässig ist. Dies betrifft insbesondere auch Personendaten von Gesundheitsfachpersonen, bei denen die betroffene Person in Behandlung war oder ist, sofern sie hierfür ihre Einwilligung gegeben hat, und von behandelnden Ärztinnen und Ärzten (Krankengeschickte der betroffenen Person).
7. Weitergabe von Personendaten an Dritte
Wir können Personendaten durch Dritte bearbeiten lassen. Wir können Personendaten gemeinsam mit Dritten bearbeiten oder an Dritte übermitteln.
Bei solchen Dritten handelt es sich insbesondere um
- spezialisierte Anbieter, deren Leistungen wir in Anspruch nehmen (z.B. Labore)
- die behandelnden Ärztinnen und Ärzte, welche wie bisher unverschlüsselten Zugang zur ganzen Krankengeschichte haben
- Gesundheitsfachpersonen, bei denen die betroffene Person in Behandlung war oder ist, sofern sie hierfür ihre Einwilligung gegeben hat
- Behörden und Institutionen des Gesundheitswesens (z.B. Versicherungen)
- Forschungsinstitute (vor allem die Heart-Based Medicine Foundation und das von ihr betriebene Data-Center an der Universität Basel, Spitäler, pharmazeutische Unternehmen)
- Biobanken
Die Weitergabe von Personendaten an Behörden erfolgt aufgrund der gesetzlichen Meldepflichten.
Die Übermittlung von Personendaten an die Krankenversicherung bzw. an die Unfall- oder Invalidenversicherung erfolgt zum Zweck der Abrechnung der erbrachten Dienstleistung, dies im Rahmen der gesetzlichen Vorgaben.
Die Weitergabe der notwendigen Personendaten an das Inkassobüro erfolgt zwecks Einzugs fälliger Geldforderungen.
Die Weitergabe von Personendaten an Forschungsinstitute und Biobanken erfolgt anonymisiert bzw. de-identifiziert und pseudonymisiert und verschlüsselt. Verschlüsselung bedeutet, dass alle Angaben, die Rückschlüsse auf die betroffene Person zulassen, wie beispielsweise Name oder Geburtsdatum, durch einen Code (Schlüssel) ersetzt werden. Der Schlüssel ist nur von den Personen einsehbar, die von der Forschungsleitung damit beauftragt wurden. Personen, die den Schlüssel nicht kennen, können die betroffene Person nicht identifizieren. Sämtliche Forschungsprojekte unterliegen zudem den strengen in der Schweiz geltenden gesetzlichen Bestimmungen und Kontrollen.
8. Datensicherheit
Wir treffen geeignete technische und organisatorische Massnahmen, um eine dem jeweiligen Risiko angemessene Datensicherheit zu gewährleisten. Mit unseren Massnahmen gewährleisten wir insbesondere die Vertraulichkeit, Verfügbarkeit, Nachvollziehbarkeit und Integrität der bearbeiteten Personendaten, ohne aber absolute Datensicherheit gewährleisten zu können.
Der Zugriff auf unsere Daten erfolgt mittels Transportverschlüsselung wie SSL/ TLS/ HTTPS oder anderen gleichwertigen oder besseren Systemen.
Es ist uns bewusst, dass unsere digitale Kommunikation – wie grundsätzlich jede digitale Kommunikation – der Massenüberwachung ohne Anlass und Verdacht durch Sicherheitsbehörden in der Schweiz, im übrigen Europa, in den Vereinigten Staaten von Amerika (USA) und in anderen Ländern unterliegt. Wir können aber keinen direkten Einfluss auf die entsprechende Bearbeitung von Personendaten durch Geheimdienste, Polizeistellen und andere Sicherheitsbehörden nehmen. Wir können auch nicht ausschliessen, dass einzelne betroffene Personen gezielt überwacht werden.
9. Personendaten im Ausland
Wir bearbeiten Personendaten grundsätzlich in der Schweiz. Wir können Personendaten aber auch in andere Staaten exportieren bzw. übermitteln, insbesondere um sie dort zu bearbeiten oder bearbeiten zu lassen.
Wir können Personendaten in alle Staaten und Territorien auf der Erde sowie anderswo im Universum exportieren, sofern das dortige Recht gemäss Beschluss des Schweizerischen Bundesrates einen angemessenen Datenschutz sowie – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – gemäss Beschluss der Europäischen Kommission einen angemessenen Datenschutz gewährleistet.
Wir können Personendaten in Staaten, deren Recht keinen angemessenen Datenschutz gewährleistet, übermitteln, sofern der Datenschutz aus anderen Gründen gewährleistet ist, insbesondere auf Grundlage von Standarddatenschutzklauseln oder mit anderen geeigneten Garantien. Ausnahmsweise können wir Personendaten in Staaten ohne angemessenen oder geeigneten Datenschutz exportieren, wenn dafür die besonderen datenschutzrechtlichen Voraussetzungen erfüllt sind, beispielsweise die ausdrückliche Einwilligung der betroffenen Personen oder ein unmittelbarer Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages. Wir geben betroffenen Personen auf Nachfrage gerne Auskunft über allfällige Garantien oder liefern eine Kopie allfälliger Garantien.
10. Datenschutzrechtliche Ansprüche betroffener Personen
Wir gewähren betroffenen Personen sämtliche Ansprüche gemäss dem anwendbaren Datenschutzrecht. Betroffene Personen verfügen insbesondere über folgende Rechte:
- Auskunft: Betroffene Personen können Auskunft verlangen, ob wir Personendaten über sie bearbeiten, und falls ja, um welche Personendaten es sich handelt. Betroffene Personen erhalten ferner jene Informationen, die erforderlich sind, um ihre datenschutzrechtlichen Ansprüche geltend zu machen und Transparenz zu gewährleisten. Dazu zählen die bearbeiteten Personendaten als solche, aber unter anderem auch Angaben zum Bearbeitungszweck, zur Dauer der Aufbewahrung, zu einer allfälligen Bekanntgabe bzw. einem allfälligen Export von Daten in andere Staaten und zur Herkunft der Personendaten.
- Berichtigung und Einschränkung: Betroffene Personen können unrichtige Personendaten berichtigen, unvollständige Daten vervollständigen und die Bearbeitung ihrer Daten einschränken lassen.
- Löschung und Widerspruch: Betroffene Personen können Personendaten ganz oder teilweise löschen lassen («Recht auf Vergessen») und der Bearbeitung ihrer Daten mit Wirkung für die Zukunft widersprechen.
- Datenherausgabe und Datenübertragung: Betroffene Personen können die Herausgabe von Personendaten oder die Übertragung ihrer Daten an einen anderen Verantwortlichen verlangen.
Die datenschutzrechtlichen Ansprüche sind schriftlich geltend zu machen. Sofern ihnen im Sinne unseres Rechts auf Aufschiebung, Einschränkung oder Verweigerung es Anspruchs nichts entgegentritt und die Bearbeitung auf keine andere Rechtsgrundlage als die Einwilligung gestützt werden kann, wird die Bearbeitung eingestellt. Die Rechtmässigkeit der bis zum Widerruf erfolgten Datenbearbeitung bleibt davon unberührt.
Wir können die Ausübung der Rechte von betroffenen Personen im rechtlich zulässigen Rahmen aufschieben, einschränken oder verweigern. Wir können betroffene Personen auf allenfalls zu erfüllende Voraussetzungen für die Ausübung ihrer datenschutzrechtlichen Ansprüche hinweisen. Wir können beispielsweise die Auskunft mit Verweis auf Geschäftsgeheimnisse oder den Schutz anderer Personen ganz oder teilweise verweigern. Wir können beispielsweise auch die Löschung von Personendaten mit Verweis auf gesetzliche Aufbewahrungspflichten ganz oder teilweise verweigern.
Wir können für die Ausübung der Rechte ausnahmsweise Kosten vorsehen. Wir informieren betroffene Personen vorgängig über allfällige Kosten.
Wir sind verpflichtet, betroffene Personen, die Auskunft verlangen oder andere Rechte geltend machen, mit angemessenen Massnahmen zu identifizieren. Betroffene Personen sind zur Mitwirkung verpflichtet.
11. Rechtsschutz betroffener Personen
Betroffene Personen haben das Recht, ihre datenschutzrechtlichen Ansprüche auf dem Rechtsweg durchzusetzen oder Anzeige bzw. Beschwerde bei einer zuständigen Datenschutz-Aufsichtsbehörde zu erheben.
Datenschutz-Aufsichtsbehörde für Anzeigen von betroffenen Personen gegen private Verantwortliche und Bundesorgane in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
Mögliche Datenschutz-Aufsichtsbehörden für Beschwerden von betroffenen Personen – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – sind als Mitglieder im Europäischen Datenschutzausschuss (EDSA) organisiert. In einigen Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR) sind die Datenschutz-Aufsichtsbehörden föderal strukturiert, insbesondere in Deutschland.
12. Protokollierung
Wir protokollieren jeden Zugriff von uns auf die uns zugänglichen Daten umfassend und vollständig und stellen jederzeit für die Vertragsparteien eine aktuelle Zugänglichkeit auf dieses Archiv sicher.
13. Dienste von Dritten
Wir nutzen Dienste von spezialisierten Dritten, um unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben zu können. Mit solchen Diensten können wir unter anderem Funktionen und Inhalte in unsere Software einbetten. Bei einer solchen Einbettung erfassen die genutzten Dienste aus technisch zwingenden Gründen mindestens zeitweilig die IP-Adressen der Anwenderinnen und Anwender.
Für erforderliche sicherheitsrelevante, statistische und technische Zwecke können Dritte, deren Dienste wir nutzen, Daten im Zusammenhang mit unseren Aktivitäten und Tätigkeiten aggregiert, anonymisiert bzw. de-identifiziert und pseudonymisiert bearbeiten. Es handelt sich beispielsweise um Leistungs- oder Nutzungsdaten, um den jeweiligen Dienst im Rahmen der Vereinbarung nutzen zu können.
14. Digitale Infrastruktur
Wir nutzen Dienste von spezialisierten Dritten, um benötigte digitale Infrastruktur im Zusammenhang mit unseren Aktivitäten und Tätigkeiten in Anspruch nehmen zu können. Dazu zählen beispielsweise Hosting- und Speicherdienste von ausgewählten Anbietern.
15. Dokumente
Wir nutzen Dienste von Dritten, um Dokumente in unsere Software einbinden zu können. Solche Dokumente können PDF-Dateien, Präsentationen, Tabellen und Textdokumente umfassen. Wir können damit nicht nur das Betrachten, sondern auch das Bearbeiten oder Kommentieren solcher Dokumente ermöglichen.
16. Aufbewahrung und Weiterverwendung von Daten nach der Laufzeit
Die bei uns geführten Akten werden während 20 Jahren nach Ihrer letzten Sitzung aufbewahrt. Danach wird sie mit Ihrer ausdrücklichen Einwilligung weiter aufbewahrt oder sicher gelöscht bzw. vernichtet.
Nach Ablauf einer Dienstleistung archivieren wir alle Dokumente und Daten und jegliche Kopien von diesen, die wir auf der Grundlage dieser Dienstleistung erhoben und bearbeitet haben ordnungsgemäss für 20 Jahre. Danach werden sie vollständig und irreversibel von allen unseren Systemen gelöscht. Daten, die wir für statistische und wissenschaftliche Zwecke sowie für die weitere Entwicklung unserer Dienstleistungen benötigen oder einsetzen könnten, werden zeitlich unlimitiert anonymisiert bzw. de-identifiziert und pseudonymisiert erhalten und bei Bedarf für diese Zwecke weiterverwendet.
17. Kontakt
Bei Fragen zum Datenschutz oder für die Wahrnehmung von Rechten im Rahmen des Datenschutzes ist von der betroffenen Person die für sie zuständige Fachperson zu kontaktieren.