Skip to main content
Skip to main navigation
Skip to footer

EU-US- und Schweiz-US-Datenschutzschild

Cerner verpflichtet sich öffentlich zur Einhaltung der Prinzipien des EU-US-Datenschutzschildes und des Schweiz-US-Datenschutzschildes (EU-U.S. and Swiss-U.S. Privacy Shield Framework Principles) durch Selbstzertifizierung.

Allgemeines

Die Cerner Corporation und ihre nachfolgend genannten Tochtergesellschaften („Cerner“) verpflichten sich dazu, den Datenschutz und die Datensicherheit ihrer Kunden, Partner und Mitarbeiter durch die Einhaltung strenger Datenschutzgrundsätze zu gewährleisten. Cerner ist dazu verpflichtet, hinsichtlich personenbezogener Daten, die das Unternehmen aus dem Europäischen Wirtschaftsraum (EWR) oder der Schweiz erhebt, speichert und/oder verarbeitet, bestimmte rechtliche Anforderungen einzuhalten. Diese Anforderungen wurden in der Europäischen Datenschutzrichtlinie der Europäischen Datenschutz-Grundverordnung (DSGVO) sowie in den Gesetzen der einzelnen Länder festgelegt.

Wann immer Cerners Geschäftstätigkeit die Verarbeitung von personenbezogenen Daten aus dem EWR oder der Schweiz in den Vereinigten Staaten von Amerika („USA“) erfordert, befolgt Cerner das Regelwerk des EU-US-Datenschutzschildes (Privacy Shield) bzw. das Rahmenwerk des Schweiz-US-Datenschutzschildes (Swiss-U.S. Privacy Shield Framework) (im Folgenden zusammenfassend „Datenschutzschild“ oder „Privacy Shield“) , welches seitens des US-Handelsministeriums für die Übermittlung, Erhebung, Verwendung und Speicherung personenbezogener Daten, die aus den Mitgliedsstaaten des EWR bzw. der Schweiz in die USA übermittelt werden, festgelegt wurde. Cerner hat gegenüber dem US-Handelsministerium nachgewiesen, dass Cerner die Datenschutzgrundsätze in Bezug auf Informationspflicht, Wahlmöglichkeit, Rechenschaftspflicht bei der Weitergabe von Daten, Sicherheit, Datenintegrität und Zweckbindung, Auskunftsrecht sowie Rechtsschutz, Durchsetzung und Haftung anwendet. Im Falle eines Konflikts zwischen dieser Richtlinie d und den Datenschutzgrundsätzen des Privacy Shield, gelten die Bestimmungen des Privacy Shield. Weitere Informationen zum Datenschutzschild sowie Cerners Zertifizierung finden Sie unter https://www.privacyshield.gov/.

Die folgenden Datenschutzrichtlinien umfassen diejenigen Grundsätze, die Cerner bei der Übermittlung jeglicher personenbezogener Daten aus dem EWR und/oder der Schweiz in die USA befolgt. Diese Datenschutzrichtlinien gelten für alle personenbezogenen Daten aus dem EWR oder der Schweiz unabhängig davon, in welchem Format oder Medium diese Informationen gespeichert werden. Im Folgenden werden die Mitgliedsstaaten des EWR und die Schweiz zusammenfassend als „Europa“ bezeichnet.

Einbezogene Tochtergesellschaften von Cerner

Die folgenden Tochtergesellschaften der Cerner Corporation erhalten personenbezogene Daten aus Europa und richten sich ebenfalls nach den Grundsätzen des Datenschutzschildes: Cerner Health Services Inc.

Cerners Rollen im Rahmen der Datenverarbeitung, , die Arten personenbezogener Daten, die Cerner erhält, und die Zwecke, für die Cerner personenbezogene Daten aus Europa verarbeitet Bei der Verarbeitung personenbezogener Daten aus Europa nimmt Cerner zwei unterschiedliche Rollen ein:

Erstens: Als „Verantwortlicher“ bestimmt Cerner die Art und Weise wie sowie den Zweck für den betroffene personenbezogene Daten erhoben, gespeichert und verarbeitet werden.

Als Verantwortlicher erhebt und verarbeitet Cerner personenbezogene Daten von Kunden, Lieferanten, Partnern und Mitarbeitern. Der Umfang der von Cerner verarbeiteten personenbezogenen Daten seiner Kunden, Händler und Partner ist auf die für das Geschäftsverhältnis notwendigen Informationen begrenzt. Solche Daten sind beispielsweise Name, Kontaktinformationen, Zahlungsnachweise, Verträge und Geschäftskorrespondenz. Sofern Cerner als Verantwortlicher personenbezogene Daten von Mitarbeitern seiner hundertprozentigen europäischen Tochtergesellschaften, die zum Zwecke der Personalverwaltung an die Cerner Corporation in den USA übermittelt werden, erhält, speichert und verarbeitet, unterliegt die Verarbeitung dieser Daten den Datenschutzbestimmungen von Cerners HR Privacy Policy/HR Datenschutzrichtlinie.

Zudem ist es das Ziel von Cerner, seinen Kunden, Partnern und Mitarbeitern weltweit auf sie zugeschnittene Internetangebote, Online-Informationen und Kommunikationsdienste zur Verfügung zu stellen, die den Nutzern wichtige und hilfreiche Informationen, Ressourcen und Dienste bieten. Zu diesem Zweck erhebt und verarbeitet Cerner die personenbezogenen Daten von Nutzern bei deren Besuch von Cerner Webseiten, darunter v. a. die Seiten cerner.com und/oder ucern.com. Folglich verarbeitet Cerner in bestimmten Situationen personenbezogene Daten von europäischen Kunden, Partnern und Mitarbeitern. Dies geschieht u. a. im Rahmen einer internetbasierten Kommunikations- und Austauschplattform für Fachpersonal. Der Umfang der Erhebung und Verwendung personenbezogener Daten durch Cerner ist abhängig von den Diensten, die ein Nutzer auf den Webseiten in Anspruch nimmt sowie von den individuellen Datenschutzeinstellungen. Für europäischer Nutzer von Cerner Webseiten gelten die Bestimmungen von Cerners Datenschutzerklärung ebenfalls: https://www.cerner.com/Privacy/.

Zweitens: Als „Auftragsverarbeiter“ verarbeitet Cerner ferner personenbezogene Daten im Auftrag seiner Kunden, die Verantwortliche im Sinne des Datenschutzes sind. In dieser Funktion bestimmt Cerner weder den Zweck der Datenverarbeitung, noch legt Cerner diese anderweitig fest oder entscheidet darüber. Cerners Kunden, als Verantwortliche im Sinne des Datenschutzes, erheben eigene Daten und bestimmen den Zweck der Verarbeitung. Cerner erhält und verarbeitet personenbezogene Daten auf Weisung seiner Kunden. Cerner unterhält in diesem Fall keine direkte Beziehung zu den Personen, auf die sich die personenbezogenen Daten beziehen. Als Auftragsverarbeiter agiert Cerner im Auftrag des Kunden, der Verantwortlicher bleibt, und ist verpflichtet, seine Leistungen im Einklang mit dem Privacy Shield sowie den mit dem Kunden vereinbarten vertraglichen Datenschutzverpflichtungen zu erbringen. Der Kunde, als Verantwortlicher,  ist dafür verantwortlich, die Verarbeitung personenbezogener Daten im Einklang mit  den für ihn und die Betroffenen anwendbaren europäischen Datenschutzgesetzen und Anforderungen zu gewährleisten.

Als Hersteller von Krankenhaus- und Verwaltungsinformationssystemen unterstützt Cerner seine Kunden weltweit bei der Implementierung und beim Support von Cerner-Lösungen in deren Gesundheitseinrichtungen. Da Cerner Implementierungs- und Support-Dienste für verschiedene Gesundheitseinrichtungen erbringt, erhält, speichert und verarbeitet Cerner zu diesen Zwecken personenbezogene Daten von europäischen Kunden. Dies umfasst u. a. die Namen, Rollen, E-Mail-Adressen, Telefonnummern und beruflichen Adressen von Mitarbeitern sowie solche Patientendaten, die von Kunden zur Fehlerprüfung bei bestimmten Computerhardware- oder Softwareproblemen gemäß bestehenden Geschäfts- oder Dienstleistungsverträgen zur Verfügung gestellt werden. Weiterhin stellt Cerner Leistungen wie Remote Hosting-Dienste, Fernsystemüberwachung, Wiederherstellung von Daten nach Systemausfällen, Data Warehousing sowie Anwendungsverwaltungsdienste zur Verfügung, bei denen Cerner für bestimmte Kunden als Verwalter der Patientendaten fungieren kann. Mit diesen Angeboten erhält Cerner nicht nur Zugang zu anbieterspezifischen Patientendaten, sondern kann auch viele weitere verwaltungsbezogene Aufgaben übernehmen.

Diese Datenschutzrichtlinien sind vorbehaltlich dieser Unterscheidung zu verstehen.

Informationspflicht

Wann immer Cerner als Verantwortlicher personenbezogene Daten an einen Drittanbieter übermittelt oder Daten für einen anderen als den ursprünglich genehmigten Zweck verwendet, setzt Cerner den Betroffenen gemäß den Grundsätzen der Informationspflicht und der Wahlmöglichkeit des Datenschutzschildes darüber in Kenntnis. Cerner informiert die Personen, für deren Daten Cerner Verantwortlicher ist, über seine Verpflichtung dem Datenschutzschild gegenüber und darüber hinaus über: Zweck und Verwendung der personenbezogenen Daten, Kontaktmöglichkeiten bei Fragen und Beschwerden, Kategorien von Drittanbieter an die die jeweiligen Daten weitergeleitet werden, Zweck der Weiterleitung, Recht der Personen auf den Zugriff auf ihre Daten, Cerners Maßnahmen zur Begrenzung der Datenverwendung und -weitergabe, Cerners unabhängige Stelle für Streitbeilegung und Möglichkeiten für ein bindendes Schiedsverfahren. Cerner kann aufgrund von rechtmäßigen Anfragen von Behörden zur Wahrung der nationalen Sicherheit, zum Zwecke der Strafverfolgung und aufgrund potenzieller Verpflichtungen zur Datenweitergabe an Drittanbieter daran gebunden sein, personenbezogene Informationen weiterzugeben.

Im Falle einer Verarbeitung personenbezogener Daten durch Cerner in den USA für einen europäischen Kunden erfolgt die Verarbeitung nach Weisung des Kunden und Cerner informiert diesen über Cerners Teilnahme am Datenschutzschild. Der Kunde, als Verantwortlicher, ist dafür verantwortlich, die Verarbeitung personenbezogener Daten gemäß der in den europäischen Datenschutzgesetzen festgelegten Rechte und Anforderungen der betroffenen Personen zu gewährleisten.

Wahlmöglichkeit

Cerner gibt personenbezogene Daten nicht ohne Zustimmung der betroffenen Personen an einen Dritten als Verantwortlichen weiter, es sei denn, eine rechtmäßige Anfrage einer Behörde, die Wahrung der nationalen Sicherheit oder eine Strafverfolgung macht dies erforderlich. Gemäß den zuvor genannten Punkten schließt Cerner einen Vertrag mit einem Dritten Verantwortlichem ab, der vorsieht, dass die Daten ausschließlich für begrenzte und bestimmte Zwecke und nur bei Zustimmung der betroffenen Personen verarbeitet werden und dass der Empfänger die Daten in dem gleichen Maße wie Cerner schützt und die Organisation darüber in Kenntnis setzt, wenn er diesen Anforderungen nicht mehr nachkommen kann. Der Vertrag muss darüber hinaus die Bestimmung enthalten, dass der Dritte als Verantwortlicher in einem solchen Fall die Verarbeitung der Daten beendet oder andere angemessene Korrekturmaßnahmen in die Wege leitet.

Personenbezogene Daten, für die Cerner Verantwortlicher ist, können zur Verarbeitung im Auftrag von Cerner und unter Einhaltung der Weisungen seitens Cerner an Dienstleister weitergegeben werden. Cerner beschränkt die an Dienstleister weitergegebenen Daten auf diejenigen Daten, die zum Ausführen der vertraglich vereinbarten Aufgaben für den Drittanbieter notwendig sind. Dabei vergewissert sich Cerner zunächst, dass der Drittanbieter dazu verpflichtet ist, mindestens den laut den Grundsätzen des Datenschutzschildes festgelegten Datenschutz zu gewährleisten. Cerner schließt einen schriftlichen Vertrag mit dem Drittanbieter ab, wodurch angemessene Vorkehrungen für einen hinreichenden Datenschutz getroffen werden. Dazu gehört beispielsweise die ausschließliche Auswahl von Dienstleistern für die Datenverarbeitung mit Sitz in Europa oder einer Zertifizierung gemäß des Datenschutzschildes. Cerner stellt durch angemessene Maßnahmen sicher, dass der Drittanbieter die übermittelten personenbezogenen Informationen in Übereinstimmung mit Cerners Verpflichtungen gemäß den Grundsätzen des Datenschutzschildes verarbeitet. Erlangt Cerner Kenntnis davon, dass die Verwendung oder Weitergabe von personenbezogenen Daten durch den Drittanbieter die Bestimmungen dieser Richtlinien verletzt, wird Cerner alle notwendigen und angemessenen Schritte in die Wege leiten, um die Verwendung oder Weitergabe zu verhindern oder zu unterbinden und die unbefugte Verarbeitung zu berichtigen. Drittanbieter sind ferner dazu verpflichtet, Cerner zu informieren, wenn sie das durch die Grundsätze des Datenschutzschildes festgelegte Maß des Datenschutzes nicht mehr gewährleisten können. Auf Anfrage des US- Handelsministeriums stellt Cerner eine Zusammenfassung oder ein repräsentatives Exemplar der relevanten Datenschutzbestimmungen des Vertrags mit dem betreffenden Drittanbieter zur Verfügung.

Cerner kann außerdem dazu verpflichtet sein, die Daten einer Person aufgrund einer rechtmäßigen Anfrage einer Behörde zur Wahrung der nationalen Sicherheit oder einer Strafverfolgung weiterzugeben. Cerner ist unter Umständen für die Weitergabe von personenbezogene Daten europäischer Betroffener an Dritte haftbar, wenn diese gemäß den Bestimmungen des Datenschutzschildes erhalten wurden.

Datensicherheit

Cerner verarbeitet Daten ausschließlich im Rahmen des ursprünglichen oder nachträglich genehmigten Verwendungszwecks durch den Verantwortlichen bzw. die betroffene Person. In dem für diese Zwecke notwendigen Ausmaß trifft Cerner geeignete Maßnahmen, um sicherzustellen, dass die personenbezogenen Daten für die vorgesehene Verwendung nutzbar, fehlerfrei, vollständig und aktuell sind. Cerner befolgt diesen Grundsatz während der gesamten Speicherzeit der Informationen.

Auskunftsrecht

Cerner bekennt sich zu dem (ggf. bestimmten rechtlichen Einschränkungen unterliegenden) Auskunftsrecht von Personen hinsichtlich ihrer personenbezogenen Daten, die Cerner als Verantwortlicher von diesen Personen verarbeitet. Betroffene Personen können sich bezüglich dieser Auskunft über diese Daten sowie der Korrektur, Änderung oder Löschung fehlerhafter Daten an die unten stehenden Kontaktpersonen wenden. Cerner beantwortet Anfragen dieser Art innerhalb eines angemessenen Zeitrahmens. In der Funktion als Auftragsverarbeiter unterstützt Cerner außerdem jegliche Auskunftsanfragen, die sich an einen Kunden von Cerner richten.

Rechtsschutz, Durchsetzung und Haftung

Cerner ist in Bezug auf die Einhaltung des Datenschutzschilds selbstreguliert. Des Weiteren werden regelmäßige Kontrollen durchgeführt, um zu gewährleisten, dass die internen Datenschutzrichtlinien zu personenbezogenen Daten aus Europa korrekt sind, dass die vorgesehenen Informationen umfassend sind, sie sichtbar veröffentlicht und restlos umgesetzt werden sowie dass sie zugänglich sind und den aktuellen Grundsätzen des Datenschutzschildes entsprechen. Cerner schult seine Mitarbeiter regelmäßig zu den internen Datenschutzrichtlinien über personenbezogene Informationen bei Implementierungen und verhängt im Falle von Zuwiderhandlungen Disziplinarmaßnahmen.

Cerner verpflichtet sich dazu, Beschwerden über den Schutz, die Erhebung oder Verwendung personenbezogener Informationen im Einklang mit den Grundsätzen des Datenschutzschildes zwischen der EU und den USA bzw. der Schweiz und den USA zu klären. Personen aus dem EWR oder der Schweiz sollten sich bei Anfragen oder Beschwerden bezüglich dieser Datenschutzrichtlinien zunächst an die unten stehenden Kontaktpersonen bei Cerner wenden, bevor sie unabhängige Regressverfahren in die Wege leiten. Cerner wird die Angaben prüfen und versuchen, alle Beschwerden und Konflikte in Bezug auf die Verwendung und Weitergabe von personenbezogenen Daten gemäß den Grundsätzen des Datenschutzschildes zu lösen. Gemäß diesen Grundsätzen beantwortet Cerner Beschwerden innerhalb von 45 Tagen.

Cerner hat sich weiterhin dazu verpflichtet. ungelöste Beschwerden bezüglich des Datenschutzes gemäß den Grundsätzen des Datenschutzschildes an BBB EU PRIVACY SHIELD zu richten. BBB EU PRIVACY SHIELD ist eine unabhängige, alternative und gemeinnützige Streitschlichtungsstelle in den USA, die vom Council of Better Business Bureaus betrieben wird. Privatpersonen entstehen bei Hinzuziehen von BBB EU PRIVACY SHIELD keine Kosten. Falls Sie keine zeitnahe Empfangsbestätigung Ihrer Beschwerde erhalten oder Ihrer Beschwerde von Cerner nicht zufriedenstellend nachgegangen wurde, besuchen Sie www.bbb.org/EU-privacy-shield/for-eu-consumers/, um nähere Informationen zu erhalten und eine Beschwerde einzureichen.

Falls Ihre Beschwerde nicht oder nur teilweise durch Hinzuziehen von Cerner, BBB EU Privacy Shield oder nationalen Datenschutzbehörden gelöst werden kann, kann Ihnen unter bestimmten Umständen ein bindendes Schiedsverfahren vor dem Privacy Shield Panel offenstehen. Weitere Informationen erhalten Sie unter www.privacyshield.gov.

Bevor ein Anspruch auf ein Schiedsverfahren geltend gemacht werden kann, müssen die folgenden Rechtsbehelfe ausgeschöpft sein: (1) direkte Benachrichtigung von Cerner über die Beschwerde und Gewährung von 45 Tagen innerhalb derer Cerner die Beschwerde klären kann, (2) Hinzuziehen der unabhängigen Schiedsstelle BBB EU PRIVACY SHIELD und (3) Hinzuziehen der nationalen Datenschutzbehörden, die die Beschwerde an das US-Handelsministerium verweisen kann. Das Ministerium prüft die Beschwerde und antwortet der zuständigen Datenschutzbehörde innerhalb von 90 Tagen.

Personaldaten

Als Verantwortlicher verpflichtet sich Cerner in Bezug auf Personaldaten, die Cerner zu Anstellungsverhältnissen aus Europa übermittelt werden, zur Zusammenarbeit mit den Datenschutzbehörden der EU sowie dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Übermittelt eine europäische Organisation personenbezogene Informationen, die im Rahmen eines Angestelltenverhältnisses erhoben wurden, über ihre (derzeitigen oder früheren) Angestellten an Cerner, unterliegt die Erhebung der Informationen und ihre Verarbeitung vor der Übermittlung den nationalen Gesetzten der europäischen Länder, in denen die Informationen erhoben wurden. Alle Bedingungen oder Einschränkungen, die diese Gesetzte bezüglich der Informationsübermittlung vorsehen, sind bindend. Erhält Cerner Personalinformationen aus Europa, wird Cerner diese gemäß dem Datenschutzschild nur an Dritte weiterleiten oder für einen anderen als den ursprünglichen Zweck verarbeiten, wenn die Grundsätze Informationspflicht und Wahlmöglichkeit eingehalten wurden.

Falls Sie keine zeitnahe Empfangsbestätigung Ihrer Beschwerde erhalten oder Ihrer Beschwerde von Cerner nicht zufriedenstellend nachgegangen wurde, und falls Ihre Anfrage bzw. Beschwerde Personaldaten betrifft, können Sie Ihre Beschwerde einer unabhängigen Schiedsstelle vorlegen: Bürger aus der EU/dem EWR richten sich an ein von den Datenschutzbehörden der EU eingerichtetes Panel („Datenschutzschild-Panel“), Bürger aus der Schweiz an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Kontaktieren Sie hierfür die für Sie zuständige nationale Daten- oder Arbeitsschutzbehörde. Cerner arbeitet mit dem Datenschutzschild-Panel und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten zusammen und erkennt ihre Entscheidungen an.

Kontaktinformationen

Cerner verpflichtet sich dazu, Beschwerden über den Schutz, die Erhebung oder Verwendung personenbezogener Informationen durch Cerner gemäß den Grundsätzen des Datenschutzschildes zu behandeln. Europäische Bürger können sich bei Anfragen oder Beschwerden bezüglich dieser Datenschutzrichtlinien zunächst an die nachfolgenden Kontaktpersonen bei Cerner wenden:

In Europa:

Jana Fuchs
EMEA Data Protection Officer
Cerner Health Services Deutschland GmbH
Siemensdamm 50, 4. Etage, 13629 Berlin, Deutschland
Tel.: +49 040 30333 5931
E-Mail: Jana.Fuchs@cerner.com

In den USA

Marc E. Elkins
Chief Compliance Officer
Cerner Corporation

2800 Rockcreek Parkway - Cerner Corporation
North Kansas City, MO 64117-255, USA
Tel.: +1 816 221 1024
Fax: 816 579 0550
E-Mail: melkins@cerner.com

Änderungen

Der vorliegende Leitfaden wird in unregelmäßigen Abständen gemäß den Anforderungen des Datenschutzschildes aktualisiert. Änderungen des Leitfadens werden auf dieser Webseite veröffentlicht.
Datum der letzten Aktualisierung: 26. OKTOBER 2017