Häufig gestellte Fragen bezüglich des Globalen Datenschutzes von
Butterfly Network („Butterfly“)

Zuletzt aktualisiert: 26. März 2020

In diesen FAQ werden häufig gestellte Fragen zum Umgang von Butterfly mit Datenschutz und Sicherheit beantwortet, einschließlich Fragen dazu, wie Butterfly die globalen Datenschutzverordnungen, etwa die Datenschutz-Grundverordnung der Europäischen Union („DSGVO”) oder das Datenschutzgesetz in Australien und Neuseeland, einhält. Darüber hinaus sollen unsere Kunden und medizinische Fachkräfte (wie Sie) besser über die von Ihnen an Butterfly übermittelten Patientendaten informiert werden.

Wir hoffen, dass Sie die FAQ nützlich finden. Bitte beachten Sie jedoch, dass es sich hierbei weder um eine Rechtsberatung handelt noch darauf ausgerichtet ist, Ihr Unternehmen über die erforderlichen Schritte zu informieren, sodass Sie Ihren rechtlichen Verpflichtungen nachkommen.

Hat Butterfly ein Datenschutzprogramm?

Ja, Butterfly bietet ein umfangreiches Datenschutzprogramm an. 

Wir können Ihnen nicht sagen, wie die Einhaltung des Datenschutzes für Sie aussieht, jedoch können wir Sie darüber informieren, wie unsere Dienste funktionieren und welche Sicherheitskontrollen wir implementiert haben. Wir bemühen uns, sicherzustellen, dass wir für unsere Dienste branchenführende Sicherheitskontrollen verwenden. Letztendlich liegt es allerdings an Ihnen, zu beurteilen, ob unsere Dienste für Ihr Unternehmen geeignet sind. Bei Butterfly bemühen wir uns, diese Einschätzung so einfach wie möglich für Sie zu gestalten:

  • In unseren Standardverträgen haben wir detaillierte Datenschutz- und Sicherheitsbedingungen, einschließlich eines Anhangs zur Datenverarbeitung (sofern wir Daten aus der EU und der Schweiz verarbeiten) gemäß den Vorschriften der DSGVO.
  • Wir sind nach dem EU-US- sowie dem Schweiz-US-Datenschutzschild-Programm zertifiziert, um Daten gemäß den Prinzipien des Datenschutzschildes zu schützen.  Weitere Informationen über den Datenschutzschild finden Sie unter www.privacyshield.gov. Um unsere Zertifizierung einzusehen, besuchen Sie https://www.privacyshield.gov/participant?id=a2zt00000008hnlAAA&status=Active.  
  • Wir implementieren geltende technische und organisatorische Sicherheitsmaßnahmen, um uns anvertraute personenbezogene Daten zu schützen, einschließlich der hier beschriebenen Maßnahmen.
  • Benennung eines Datenschutzbeauftragten (Data Protection Officer, DPO), der die Einhaltung des Datenschutzes seitens Butterfly fortlaufend überwacht. Sie können unseren Datenschutzbeauftragten unter dpo@butterflynetinc.com kontaktieren.

Wenn Sie weitere Fragen zur Einhaltung des Datenschutzes von Butterfly haben, senden Sie bitte unter Verwendung der obenstehenden Kontaktinformationen eine E-Mail an unseren Datenschutzbeauftragen. 

Hat Butterfly ein spezielles Sicherheitsteam? 

Ja – Datensicherheit ist für uns bei Butterfly von größter Bedeutung.  Wir erwarten von allen unseren Mitarbeitern, Daten, die unsere Kunden uns anvertrauen, stets vertraulich zu behandeln. 

Unser Sicherheitsteam steht unter der Leitung unseres Informationssicherheitsbeauftragten (Chief Information Security Officer, CISO).  Der Informationssicherheitsbeauftragte wird durch ein spezielles Datensicherheitsteam unterstützt, dessen Aufgabe es ist, die Implementierung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen zu garantieren, einschließlich der hier beschriebenen Maßnahmen.

Welche personenbezogenen Daten werden verarbeitet?

In Verbindung mit unseren Diensten haben medizinische Fachkräfte die Möglichkeit, bestimmte Patientendaten („Patientendaten”) auf die Butterfly Plattform hochzuladen und dort zu hosten. Unsere Kunden bestimmen, welche Patientendaten auf die Plattform hochgeladen werden. Diese können Folgendes umfassen: Patientennamen, Geschlecht, Geburtsdatum sowie die mithilfe des iQ-Geräts erfassten Scans der Krankenaktennummer. Sie umfassen mitunter klinische Notizen der medizinischen Fachkräfte über den Patienten sowie seiner Scans. 

Alle Patientendaten, die von Butterfly innerhalb Butterfly-Plattform verarbeitet werden, gelten als personenbezogene Daten und die EU und viele Länder außerhalb der EU wie Australien und Neuseeland verfügen über Gesetze, die die Erhebung, Verwendung, Speicherung und Übermittlung der personenbezogenen Daten ihrer Einwohner schützen. Tatsächlich werden Patientendaten vielerorts als sensible Daten (oder „Sonderkategorie von Daten“) gehandhabt und unterliegen somit einem erhöhten Schutz und verschärften Anforderungen zur Einhaltung.

Butterfly hat eine Reihe von Maßnahmen getroffen, dank derer seine Kunden die Patientendaten innerhalb der Butterfly-Plattform sicher und vertrauensvoll erfassen und speichern können. Butterfly verpflichtet sich, alle von uns erhaltenen personenbezogenen Daten im Sinne der geltenden Datenschutzrechte zu verarbeiten. 

Wo werden die Patientendaten gespeichert?

Wo Ihre Daten gespeichert werden, hängt von der geografischen Lage Ihres Unternehmens ab. Wir verwenden derzeit die folgenden AWS-Rechenzentren zur Speicherung von Daten:

  • Europa: Ihre Daten werden in der Region AWS eu-central-1 (Frankfurt) gespeichert.
  • Australien und Neuseeland: Ihre Daten werden in der Region AWS ap-southeast-2 (Sydney) gespeichert.
  • Nordamerika und Rest der Welt: Ihre Daten werden in der Region AWS us-east-1 (Nord-Virginia) und AWS us-west-2 (Oregon) gespeichert.
  • Kanada: Ihre Daten werden in der Region AWS (Montreal, QC) gespeichert.

Die einzelnen Regionen schränken den Zugang der Kunden zum Butterfly Network nicht ein: Sie bestimmen lediglich den geografischen Standort, an dem die Daten gespeichert und die Rechenressourcen bereitgestellt werden. Bitte beachten Sie, dass Ihre Daten zwar in den oben genannten Regionen gespeichert werden, dass jedoch Mitarbeiter von Butterfly Network in den Vereinigten Staaten auf diese Daten zugreifen können. Dies gilt jedoch nur in dem Maße, wie es für die Bereitstellung, Sicherung und Wartung der Dienste gemäß unserem Vertrag mit unseren Kunden erforderlich ist. Daten in anonymisierter oder aggregierter Form können auch in unseren zentralen Speicher- und Verarbeitungssystemen in den Vereinigten Staaten gespeichert werden.

Stimmt es, dass öffentliche Einrichtungen in British Columbia und Nova Scotia alle personenbezogenen Daten, über die sie verfügen, innerhalb Kanadas speichern müssen?

Das ist nicht der Fall. Der Freedom of Information and Protection of Privacy Act (FOIPPA) der Provinz British Columbia und der Personal Information International Disclosure Protection Act (PIIDPA) der Provinz Nova Scotia enthalten Ausnahmen, wonach öffentliche Stellen in diesen Provinzen personenbezogene Daten außerhalb Kanadas speichern können, wenn die Daten der betreffenden Person zugeordnet wurden und die Person, um die es sich handelt, zugestimmt hat, dass ihre Daten gemäß den Bestimmungen des FOIPPA oder des PIIDPA aus einer anderen Gerichtsbarkeit abgerufen oder dort gespeichert werden. PIIDPA bietet den Leitern öffentlicher Einrichtungen in Nova Scotia weiteren Spielraum, die Speicherung von personenbezogenen Daten außerhalb Kanadas zu erlauben, wenn die Speicherung den notwendigen Anforderungen der Tätigkeit der öffentlichen Einrichtung entspricht.

Verlangt die DSGVO, dass personenbezogene Daten aus der EU in der EU bleiben müssen?

Nein, die DSGVO verlangt nicht, dass personenbezogene Daten aus der EU in der EU verbleiben müssen. Die DSGVO beschränkt die Übermittlung personenbezogener Daten aus der EU in Länder wie die Vereinigten Staaten, es sei denn, der Empfänger sieht angemessene Schutzmaßnahmen für diese Daten vor. Der Anhang zur EU-Datenverarbeitung von Butterfly Network, der auf unsere Datenschutzschild-Zertifizierung und die Modellklauseln der Europäischen Kommission verweist, ermöglicht es unseren Kunden jedoch, personenbezogene Daten aus der EU rechtmäßig an Butterfly Network mit Sitz in den Vereinigten Staaten zu übermitteln. Details zu unserer Datenschutzschild-Zertifizierung finden Sie hier.

Welche Rolle spielen Butterfly, der Patient und das medizinische Fachpersonal im Rahmen der DSGVO?

Wenn medizinische Fachkräfte Patientendaten an Butterfly übermitteln, sind sie (oder das Krankenhaus, für das sie tätig sind) der/die Datenverantwortliche, Butterfly ist üblicherweise der Datenverarbeiter, der Patient ist das Datensubjekt. Als Datenverarbeiter verpflichtet sich Butterfly, Patientendaten aus der EU gemäß den Anforderungen des Artikels  28 der DSGVO in seinem Anhang zur Standarddatenverarbeitung zu verarbeiten. Eine Kopie des Dokuments ist seinen Standardbedingungen beigefügt (auf Anfrage erhältlich). 

Butterfly fungiert mitunter im Rahmen seiner Beziehung zu medizinischen Fachkräften als Datenverantwortlicher, wenn es z. B. Daten erfasst über medizinische Fachkräfte zu Zwecken des Marketings, der Vermarktung und Verwaltung seiner Beziehung mit medizinischen Fachkräften (oder dem Krankenhaus, für das sie tätig sind).  

Butterfly kann ferner im Rahmen der geltenden Gesetze und unter Zustimmung seiner Kunden als Datenverantwortlicher für bestimmte Patientendaten in Zusammenhang mit seinen Deep Learning-Aktivitäten fungieren. Mehr Informationen darüber finden Sie im Datenschutzhinweis von Butterfly, in dem erläutert wird, wie wir Patientendaten für solche Zwecke nutzen. 

Was unternimmt Butterfly, um die DSGVO einzuhalten und seine Kunden bei der Einhaltung der DSGVO zu unterstützen?

Butterfly hat mit Unterstützung spezialisierter externer Fachberater ein Compliance-Projekt zur Einhaltung der DSGVO initiiert. Folgende spezifische Maßnahmen hat Butterfly zusätzlich zu den oben beschriebenen ergriffen:

  • Ergänzung unserer Verträge mit Lieferanten und Kunden, um sicherzustellen, dass die Bedingungen mit der DSGVO übereinstimmen.
  • In der Gewährleistung unserer Datenschutzrichtlinien und -hinweise wird das Vorhaben von Butterfly, die DSGVO einzuhalten sowie den Rechten von Einzelpersonen hinsichtlich ihrer Daten nachzukommen, erklärt. Den Datenschutzhinweis von Butterfly finden Sie hier.
  • Die Formalisierung unseres Prozesses bezüglich der personenbezogenen Rechte von Datensubjekten unterstützt die Gewährleistung unseres Services und einer effizienteren Beantwortung von Anfragen unserer Kunden zu Datensubjekten.
  • Gewährleistung der Verwendung stabiler und angemessener Sicherheitsmaßnahmen zum Schutz aller Daten, die in den von Butterfly zugehörigen oder kontrollierten Systemen erfasst und verarbeitet werden.
  • Bewertung von Auswirkungen auf den Datenschutz zur Identifizierung und Minimierung von Risiken für Patientendaten.
  • Genaue Protokollierung der von uns verarbeiteten personenbezogenen Daten. 

Butterfly Network verpflichtet sich zur Einhaltung der DSGVO-Compliance und ist sich der Relevanz dessen für seine Kunden bewusst. 

Wie erfolgt bei Butterfly Network die Einhaltung der den Datenexport regulierenden EU-Gesetze?

Im Rahmen der EU-Datenschutzgesetze ist der Export personenbezogener Daten in einen Staat außerhalb des Europäischen Wirtschaftsraums („EWR“) an Empfänger außerhalb des EWR verboten, sofern keine entsprechenden Schutzmaßnahmen vorhanden sind. 

Obwohl Butterfly Network seine Dienste Kunden auf der ganzen Welt anbietet, einschließlich medizinischen Fachkräften im EWR und der Schweiz, befindet sich sein Hauptsitz in den Vereinigten Staaten. Aus diesem Grund werden personenbezogene Daten aus dem EWR und der Schweiz von Butterfly auf den Servern und Einrichtungen in den Vereinigten Staaten verarbeitet. 

Um die Einhaltung von EU-Datenexportgesetzen zu gewährleisten, hat sich Butterfly im Rahmen des EU-US- und Schweiz-US-Datenschutzschildes, das der Vereinfachung des rechtmäßigen Transfers von Daten aus dem EWR und der Schweiz zwecks Verarbeitung von Butterfly in den Vereinigten Staaten dient, selbst zertifiziert. Weitere Informationen über den Datenschutzschild finden Sie unter www.privacyshield.gov. Um unsere Zertifizierung einzusehen, besuchen Sie https://www.privacyshield.gov/participant?id=a2zt00000008hnlAAA&status=Active.  

Darüber hinaus gewährleistet Butterfly die Verarbeitung von Daten aus dem EWR und der Schweiz gemäß den EU-Standardvertragsklauseln (bisweilen auch „Modellklauseln” genannt), falls der Transfer nicht durch die Datenschutzschild-Zertifizierung von Butterfly abgedeckt ist. Hierbei handelt es sich um die von der Europäischen Kommission im Voraus genehmigten Bedingungen der Standardformulare für den Datenexport. Durch ihre Unterzeichnung verpflichtet sich Butterfly, die von ihren EU-Kunden erhaltenen personenbezogenen Daten (einschließlich Patientendaten) gemäß den EU-Datenschutzstandards zu schützen.

Wie sieht es mit Dritten aus, die im Auftrag von Butterfly tätig sind?

Wenn Butterfly mit einem Dritten einen Vertrag abschließt, der in irgendeiner Weise mit Patientendaten interagiert, so muss dieser Dritte zunächst eine Sicherheits- und Risikobewertung von Butterfly bestehen, um sicherzustellen, dass er bezüglich personenbezogener Daten die Standards von Butterfly einhält. Darüber hinaus gewährleistet Butterfly, dass solche Unternehmen vertraglich verpflichtet sind gleichwertige Sicherheitsmaßnahmen zum Schutz von Patientendaten umzusetzen und aufrechtzuerhalten. 

Unsere aktuelle Liste der Subprozessoren ist nachstehend aufgeführt. Da sich unser Geschäft entwickelt und wächst, können sich auch die von uns beauftragten Subprozessoren ändern. Bitte schauen Sie regelmäßig nach, ob es Aktualisierungen gibt.

Name des Unternehmens

Unternehmen
Sitz
Amazon Web Services, Inc. (AWS)
USA
Asana
USA
Aptible, Inc.
USA
Auth0, Inc.
USA
Avalara, Inc.
USA
Celigo, Inc.
USA
DHL.
Global
Google LLC (bzgl.: G-Suite, Google Cloud Platform)
USA
Heap, Inc
USA
Hotjar, Ltd.
USA
LaunchDarkly
USA
New Relic, Inc.
USA
Oracle.
USA
Stitch Data.
USA
Saleforce.com, Inc.
USA
Segment.
USA
Slack Technologies, Inc.
USA
Splunk Inc.
USA
Stripe.
USA
Webflow.
USA
Zapier Inc.
USA
Zendesk, Inc.
USA

Müssen Patienten über die Datenverarbeitung durch Butterfly informiert werden? 

In manchen Ländern verlangen die Datenschutzgesetze, dass Patienten darüber informiert werden, wie ihre Daten genutzt und weitergegeben werden (einschließlich über die beabsichtigten Empfänger ihrer Daten und über Informationen zu der Behörde, die ihre Daten aufbewahrt). In manchen Fällen müssen Patienten dementsprechend über die von Butterfly durchgeführte Verarbeitung informiert werden. Falls dies auf Ihre Gerichtsbarkeit zutrifft, ermöglichen Sie Patienten bitte, den Datenschutzhinweis von Butterfly einzusehen. Auf diese Weise können sie nachvollziehen, wie Butterfly ihre personenbezogenen Daten in Verbindung mit den Diensten von Butterfly verarbeitet und nutzt. 

Was mache ich, wenn einer meiner Patienten nach seinen Patientendaten fragt?

Bestimmte Datenschutzgesetze (einschließlich der DSGVO) geben Patienten das Recht, eine Kopie ihrer von Ihnen aufbewahrten Daten anzufordern. Dies kann mitunter als „Auskunftsantrag des Datensubjekts“ bezeichnet werden. Richtet ein Patient einen solchen Auskunftsantrag direkt an Butterfly, leiten wir ihn in unserer Funktion als Datenverarbeiter schnellstmöglich an Sie weiter. Sollte Butterfly die angefragten Daten aufbewahren, stellt Butterfly Ihnen die entsprechenden Daten gemäß unserem Vertrag mit Ihnen bereit. 

Können Patienten auch andere Dinge verlangen?

Neben dem Recht des Zugriffs auf die von uns über sie gehaltenen Daten haben Patienten außerdem andere Rechte nach geltenden Datenschutzrichtlinien (wie der DSGVO in der EU). Solch Rechte beinhalten das Recht, fehlerhafte oder unvollständige Daten berichtigen zu lassen, ihre Daten löschen zu lassen oder von Ihnen die Einstellung der Verarbeitung ihrer Daten zu verlangen. Die Patienten können von Ihnen eventuell auch verlangen, ihre von Ihnen erfassten Daten an eine andere medizinische Fachkraft zu übermitteln. Wenn ein Patient eines seiner Rechte in Bezug auf seine Patientendaten ausüben möchte, werden wir Ihnen angemessene Unterstützung bieten, um die Ausführung der Patientenanfrage zu erleichtern.  Wenn ein Patient uns direkt kontaktiert, um solche Rechte auszuüben, werden wir die Anfrage so bald wie möglich an Sie weiterleiten.  

Wie sieht es mit den Aufzeichnungen aus, die Butterfly über medizinische Fachkräfte aufbewahrt?

Butterfly erfasst auch personenbezogene Daten von Kunden/medizinischen Fachkräften, um Butterfly-Produkte zu bewerben, Ihnen ein Butterfly-Konto einzurichten, Bestellungen zu bearbeiten und Anfragen zu beantworten. Diese Daten werden durch dieselben Sicherheitsmaßnahmen geschützt. Unser Datenschutzhinweis enthält Einzelheiten darüber, wie Butterfly die personenbezogenen Daten medizinischer Fachkräfte verarbeitet sowie über deren Rechte.

Wo kann ich weitere Informationen erhalten?

Wenn Sie Fragen haben oder Hilfe benötigen, wenden Sie sich bitte an dpo@butterflynetinc.com.