Datenschutzerklärung für die ABAStroke-Anwendung - Deutschland

1. Zweck dieses Dokuments

Die ABAStroke-Anwendung wird von ABAStroke sp. z o.o. betrieben.

ABAStroke ist eine mobile Anwendung für die häusliche neurologische Rehabilitation bei kognitiven Defiziten nach einem Schlaganfall. Durch die Verbindung der Methodik der Angewandten Verhaltensanalyse (Applied Behavior Analysis, ABA) mit Algorithmen des maschinellen Lernens (KI) bietet ABAStroke Patientinnen und Patienten praktisch unbegrenzte Möglichkeiten, Übungen im Rahmen einer selbstständigen, personalisierten und wirksamen Therapie durchzuführen.

Diese Datenschutzerklärung erläutert, wie wir Ihre Daten, das heißt Ihre personenbezogenen Daten, verarbeiten, wenn Sie die ABAStroke-Anwendung (die "Anwendung") nutzen. Sie erläutert außerdem, wie wir Ihre Daten schützen, wann die Daten gelöscht werden und welche Rechte Ihnen nach dem Datenschutzrecht zustehen.

Der Verantwortliche ist kein Gesundheitsdienstleister im Sinne des geltenden Rechts und erbringt keine medizinischen Leistungen.

Die über die Anwendung bereitgestellten Leistungen stellen keine Gesundheitsleistungen dar. Sie umfassen insbesondere keine medizinische Beratung, keine Diagnosestellung, keine Behandlung und keine therapeutische Entscheidungsfindung.

Alle im Dienst bereitgestellten Informationen dienen ausschließlich Informationszwecken und dürfen nicht als Ersatz für eine professionelle medizinische Beratung behandelt werden. Wenn Sie medizinischen Rat oder eine Diagnose benötigen, wenden Sie sich bitte an eine geeignete Fachperson oder einen Gesundheitsdienstleister.

2. Verantwortlicher für personenbezogene Daten

Name und Kontaktdaten des Verantwortlichen

Der Verantwortliche für diese Anwendung ist:

ABAStroke sp. z o.o., ul. Warszawska 3/3, 31-155 Krakau, Polen

Datenschutzbeauftragter

Wenn Sie Fragen zu unseren Datenschutzmaßnahmen, zur Datenverarbeitung oder zum Schutz der Rechte betroffener Personen haben, können Sie unseren Datenschutzbeauftragten unter folgender Adresse kontaktieren: michal@abastroke.com

3. Umfang der verarbeiteten personenbezogenen Daten

Der Verantwortliche verarbeitet personenbezogene Daten in dem Umfang, der zur Erreichung der Verarbeitungszwecke erforderlich ist, in Übereinstimmung mit dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO und unter Berücksichtigung der Anforderungen an die Informationssicherheit nach ISO/IEC 27001.

Da die Anwendung einen Authentifizierungsmechanismus auf Grundlage einmaliger Aktivierungscodes verwendet, verarbeitet der Verantwortliche keine standardmäßigen Identifikationsdaten der Nutzerin oder des Nutzers. Die Aktivierung der Anwendung erfolgt ausschließlich durch Eingabe dieses Codes und dessen anschließende automatische Überprüfung im System.

Der Überprüfungsprozess ist automatisiert und beschränkt sich auf die Prüfung der Richtigkeit und Gültigkeit des Codes, ohne dass zusätzliche Identifikationsdaten der Nutzerin oder des Nutzers erhoben oder verarbeitet werden müssen.

Folglich verarbeitet die Anwendung keine sonstigen Daten, die eine direkte Identifizierung der Patientin oder des Patienten ermöglichen, wie Vorname, Nachname oder Wohnanschrift. Der Umfang der Datenverarbeitung bleibt auf das für die Erbringung des Dienstes erforderliche Minimum beschränkt. Der Umfang der verarbeiteten Daten umfasst insbesondere:

• Daten, die zur Aktivierung des Zugangs erforderlich sind, wie den Aktivierungscode;
• technische und betriebliche Daten, wie IP-Adresse, Sitzungskennungen und Zeitstempel;
• Daten, die durch die Nutzung des Dienstes entstehen.

Der Verantwortliche verarbeitet besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO und unter Anwendung geeigneter technischer und organisatorischer Maßnahmen zu deren Schutz gemäß Art. 32 DSGVO.

Die Verarbeitung erfolgt unter Beachtung der Grundsätze der Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie unter Einsatz von Sicherheitsmaßnahmen, die dem festgestellten Risiko angemessen sind, einschließlich Zugriffskontrolle, Protokollierung von Vorgängen und Management von Sicherheitsvorfällen.

Nutzerinnen und Nutzer können optional in die Anonymisierung von Daten zur Weiterentwicklung der Anwendung einwilligen, um die technische Funktionalität und Benutzerfreundlichkeit sicherzustellen, einschließlich des Trainings von KI-Modellen. Diese Einwilligung kann jederzeit ohne Angabe von Gründen widerrufen werden. Wir arbeiten bei der Weiterentwicklung unserer Anwendung mit anerkannten medizinischen, wissenschaftlichen und Forschungseinrichtungen zusammen. Daten, die für wissenschaftliche Zwecke erforderlich sind, werden ausschließlich in anonymisierter Form übermittelt, sodass Forschende keine Rückschlüsse auf eine konkrete Nutzerin oder einen konkreten Nutzer ziehen können. Unser gemeinsames Ziel ist die Weiterentwicklung, damit unsere Nutzerinnen und Nutzer während der Therapie die bestmögliche Unterstützung und Anleitung erhalten. Die Einwilligung umfasst die folgenden Daten:

• die Nutzerkennung, auf die sich Sitzungsdaten und Daten zu Übungsserien beziehen;
• die Sitzungskennung sowie Datum und Uhrzeit des Beginns und Endes der Sitzung;
• die Liste der Übungsserien in einer Sitzung, einschließlich der genauen Bezeichnung der Engine und Variante, zum Beispiel 3E oder 14B;
• vollständige Zeitstempel jeder Serie: Beginn, Ende und Dauer;
• Schwierigkeitsgrad der Serie: Anfangsniveau und Endniveau;
• den Status von 23 kognitiven Funktionen vor und nach der Sitzung oder mindestens den Status nach jeder Sitzung, da dies der Hauptvektor ist, mit dem das Modell arbeitet;
• die vom Modell für die nächste Sitzung generierte Empfehlung: welche Serien, Engine-Varianten und Schwierigkeitsgrade das Modell vorgeschlagen hat.

4. Integration mit einem externen System und Überprüfung des Aktivierungscodes

Der Verantwortliche informiert Sie darüber, dass die Anwendung eine Integration mit einem externen System Ihrer Krankenkasse nutzt.

Die Anmeldung in der Anwendung erfolgt ausschließlich durch Eingabe eines Aktivierungscodes, der anschließend automatisch im System überprüft wird. Zu diesem Zweck müssen Nutzerinnen und Nutzer bei ihrer Krankenkasse einen individuellen Code anfordern. Der Überprüfungsprozess ist automatisiert und besteht aus der Prüfung der Gültigkeit und Richtigkeit des eingegebenen Codes im externen System.

Im Rahmen dieses Prozesses übermittelt die Anwendung an das System nur die Daten, die zur Durchführung der Überprüfung erforderlich sind, insbesondere den Aktivierungscode und technische Informationen im Zusammenhang mit der Anfrage, wie einen Zeitstempel oder Daten, die zur Absicherung der Kommunikation erforderlich sind. Das System übermittelt an die Anwendung keine Daten, die die Nutzerin oder den Nutzer identifizieren, wie Vorname, Nachname oder andere Daten, die eine direkte Identifizierung der Patientin oder des Patienten ermöglichen.

Die Überprüfung des Codes im System ist Voraussetzung für den Zugang zu den Funktionen der Anwendung. Wenn der Code nicht positiv überprüft werden kann, erhält die Nutzerin oder der Nutzer keinen Zugang zum System.

Daten werden an das System nur in dem Umfang übermittelt, der zur Durchführung des Authentifizierungsprozesses erforderlich ist, und auf Grundlage des berechtigten Interesses des Verantwortlichen, den sicheren Zugang zur Anwendung und deren ordnungsgemäße Funktion sicherzustellen (Art. 6 Abs. 1 lit. f DSGVO). Soweit Daten durch das System als eigenständigen Verantwortlichen oder als Auftragsverarbeiter verarbeitet werden können, richtet sich die Verantwortung für die weitere Verarbeitung nach gesonderten Vereinbarungen zwischen den Parteien.

Der Verantwortliche stellt sicher, dass die Integration mit dem System der Krankenkasse so gestaltet wurde, dass der Umfang der übermittelten Daten minimiert und das Risiko einer unbefugten Offenlegung reduziert wird, in Übereinstimmung mit dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO.

5. Zwecke und Rechtsgrundlagen der Datenverarbeitung

Der Verantwortliche verarbeitet personenbezogene Daten der Nutzerinnen und Nutzer im Einklang mit der DSGVO, nur soweit dies zur Erreichung bestimmter Zwecke erforderlich ist und auf Grundlage der entsprechenden Rechtsgrundlagen nach Art. 6 Abs. 1 sowie, bei besonderen Kategorien von Daten, Art. 9 Abs. 2 DSGVO.

Personenbezogene Daten werden verarbeitet, um die Nutzung der Anwendung und ihrer Funktionen zu ermöglichen, insbesondere die Nutzerauthentifizierung, die Sitzungsverwaltung und den Zugang zu Systemressourcen. Rechtsgrundlage dieser Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, das heißt, die Verarbeitung ist für die Erfüllung eines Vertrags über die Nutzung der Anwendung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.

Daten können außerdem verarbeitet werden, um den ordnungsgemäßen Betrieb und die Sicherheit der Anwendung sicherzustellen, einschließlich der Überwachung von Aktivitäten, der Erkennung von Missbrauch, der Führung von Systemprotokollen und des Managements von Sicherheitsvorfällen. Rechtsgrundlage dieser Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO, das heißt das berechtigte Interesse des Verantwortlichen an der Sicherstellung der Sicherheit und Integrität des Systems sowie am Schutz vor Missbrauch.

Bei Supportanfragen von Nutzerinnen und Nutzern und bei der Kommunikation mit ihnen werden Daten verarbeitet, um Anfragen zu beantworten oder technische Probleme zu lösen. Rechtsgrundlage der Verarbeitung ist je nach Art der Anfrage Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.

Der Verantwortliche verarbeitet Daten außerdem zur Erfüllung rechtlicher Verpflichtungen aus dem geltenden Recht, insbesondere im Bereich des Schutzes personenbezogener Daten und der Informationssicherheit. In diesen Fällen ist Art. 6 Abs. 1 lit. c DSGVO Rechtsgrundlage der Verarbeitung.

Soweit Gesundheitsdaten betroffen sind, die besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO darstellen, erklärt der Verantwortliche, dass die Anwendung keine medizinischen Leistungen erbringt. Solche Daten werden ausschließlich auf Grundlage der ausdrücklichen Einwilligung der Nutzerin oder des Nutzers gemäß Art. 9 Abs. 2 lit. a DSGVO und Art. 6 Abs. 1 lit. a DSGVO verarbeitet. Die Bereitstellung medizinischer Daten ist freiwillig und erfolgt nur in dem Umfang, der sich aus der Funktionalität der Anwendung ergibt.

Die Nutzerin oder der Nutzer hat das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung berührt wird.

6. Welche Rechte haben Sie?

Sie können uns jederzeit kontaktieren, wenn Sie Fragen zu Ihren Datenschutzrechten haben oder eines der folgenden Rechte ausüben möchten:

• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO). Sie können uns kontaktieren, wenn Sie eine zuvor erteilte Einwilligung widerrufen möchten. Sie können Ihre Einwilligung oder Einwilligungen zur Datenverarbeitung in der Anwendung widerrufen. Der Widerruf der Einwilligung kann insbesondere durch Nutzung der entsprechenden Funktion in der Anwendung zur Verwaltung von Einwilligungen oder durch Kontaktaufnahme mit dem Verantwortlichen über die angegebenen Kontaktdaten erfolgen.
• Auskunftsrecht (Art. 15 DSGVO), zum Beispiel wenn Sie wissen möchten, welche Daten wir über Sie speichern.
• Recht auf Berichtigung (Art. 16 DSGVO), zum Beispiel wenn sich Ihre Daten geändert haben und korrigiert werden sollen.
• Recht auf Löschung (Art. 17 DSGVO), zum Beispiel wenn Sie möchten, dass wir bestimmte Daten löschen, die wir über Sie speichern.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO), zum Beispiel um die bei uns gespeicherten Daten in einem komprimierten Format zu erhalten, weil Sie diese an eine andere Anwendung übertragen möchten.
• Widerspruchsrecht (Art. 21 DSGVO), wenn die Verarbeitung auf dem berechtigten Interesse des Verantwortlichen beruht.
• Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 Abs. 1 DSGVO). Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen das Recht, insbesondere gegen die DSGVO, verstößt, können Sie sich zur Einreichung einer Beschwerde an den BfDI wenden.

Wird die Einwilligung in die Verarbeitung von Gesundheitsdaten widerrufen, kann die weitere Nutzung von Funktionen der Anwendung, die die Verarbeitung solcher Daten erfordern, eingeschränkt oder unmöglich sein.

Der Verantwortliche wird einem Antrag auf Widerruf der Einwilligung unverzüglich und spätestens innerhalb der gesetzlich vorgeschriebenen Frist nachkommen und sicherstellen, dass der Widerruf der Einwilligung ebenso einfach möglich ist wie ihre Erteilung.

Der Widerruf der Einwilligung führt zur Beendigung der Verarbeitung in dem Umfang, in dem die Verarbeitung auf der Einwilligung beruhte, es sei denn, eine weitere Verarbeitung ist auf einer anderen Rechtsgrundlage zulässig.

Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung. Der Widerruf der Einwilligung berührt nicht die Verarbeitung auf anderen Rechtsgrundlagen nach Art. 6 Abs. 1 der Verordnung (EU) 2016/679 (DSGVO), insbesondere wenn die Verarbeitung für die Erfüllung eines Vertrags, zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder zur Wahrung seiner berechtigten Interessen erforderlich ist.

Wenn Sie nicht mehr wünschen, dass die für die ordnungsgemäße Nutzung der Anwendung erforderliche Datenverarbeitung fortgesetzt wird, können Sie auch in der Anwendung widersprechen und dadurch Ihr Nutzerkonto und alle damit verbundenen Daten dauerhaft löschen.

Die Nutzerin oder der Nutzer hat das Recht, in den gesetzlich vorgesehenen Fällen die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen, insbesondere wenn:

• die Nutzerin oder der Nutzer die Richtigkeit der Daten bestreitet, für einen Zeitraum, der es dem Verantwortlichen ermöglicht, deren Richtigkeit zu überprüfen;
• die Verarbeitung unrechtmäßig ist und die Nutzerin oder der Nutzer der Löschung der Daten widerspricht und stattdessen die Einschränkung ihrer Nutzung verlangt;
• der Verantwortliche die Daten für die Zwecke der Verarbeitung nicht mehr benötigt, die Daten jedoch von der Nutzerin oder dem Nutzer zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden;
• die Nutzerin oder der Nutzer Widerspruch gegen die Verarbeitung eingelegt hat, bis geprüft wurde, ob die berechtigten Gründe des Verantwortlichen gegenüber den Gründen des Widerspruchs überwiegen.

Während der Einschränkung dürfen Daten nur gespeichert oder in dem Umfang verarbeitet werden, der zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, oder in anderen gesetzlich vorgesehenen Fällen. Jede Einschränkung der Verarbeitung wird in den Systemen des Verantwortlichen entsprechend gekennzeichnet.

7. Löschung und Speicherdauer der Daten

Soweit nicht anders angegeben, löschen wir Ihre Daten, sobald sie nicht mehr benötigt werden.

Personenbezogene Daten der Nutzerinnen und Nutzer werden nicht länger als 90 Tage ab dem Zeitpunkt ihrer Erhebung verarbeitet, in Übereinstimmung mit dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO, es sei denn, eine weitere Speicherung ist gesetzlich erforderlich, insbesondere im Zusammenhang mit Verpflichtungen nach Art. 6 Abs. 1 lit. c DSGVO.

Nach Ablauf dieses Zeitraums werden die Daten endgültig und unwiederbringlich gelöscht oder in einer Weise anonymisiert, die eine weitere Zuordnung zu einer bestimmten Person verhindert. Dementsprechend verfügt der Verantwortliche nach Ablauf des genannten Zeitraums nicht mehr über personenbezogene Daten der Nutzerin oder des Nutzers und kann sie nicht wiederherstellen.

Der Verantwortliche informiert Sie darüber, dass er kein Gesundheitsdienstleister und nicht Verantwortlicher für medizinische Unterlagen ist. Ihre personenbezogenen Daten können zusammen mit Ihrem Therapiebericht an die elektronische Patientenakte (ePA) übermittelt werden, wenn Sie eine entsprechende Einwilligung erteilen. Therapiedaten können nur dann an die ePA übermittelt werden, wenn die Nutzerin oder der Nutzer eine solche Funktion nutzt oder die erforderliche Einwilligung erteilt. Umfang und Häufigkeit der Datenübermittlungen hängen von der verfügbaren ePA-Funktion und den Einstellungen der Nutzerin oder des Nutzers ab.

Mit der wirksamen Übermittlung der Daten wird die ePA zu einem eigenständigen Verantwortlichen für personenbezogene Daten für die von ihr durchgeführten Verarbeitungszwecke. In einem solchen Fall sind alle Anfragen zu personenbezogenen Daten, einschließlich der Ausübung der Rechte nach Art. 15 bis 22 DSGVO, direkt an diese Stelle zu richten.

Ihre Nutzerkontodaten werden nach Abschluss der Therapie automatisch gelöscht. Alternativ löschen wir Ihre Daten unverzüglich auf Ihre Anfrage, die über die ABAStroke-Anwendung oder auf anderem Wege gestellt wird.

Sie können selbstverständlich jederzeit Auskunft über gespeicherte Daten verlangen. Datenschutzanfragen und sonstige rechtliche Angelegenheiten können zudem innerhalb geltender gesetzlicher Aufbewahrungs- und Verjährungsfristen länger gespeichert werden.

8. Löschung des Nutzerkontos und der Nutzerdaten

Nach der Auslegung des BfArM zu § 4 Abs. 2 DiGAV wird das Konto zusammen mit allen personenbezogenen Daten nach Ablauf des Gültigkeitszeitraums (90 Tage) für DiGA-Nutzerinnen und -Nutzer in Deutschland automatisch gelöscht.

Die Nutzerin oder der Nutzer hat das Recht, das eigene Konto jederzeit ohne Angabe von Gründen zu löschen.

Wird ein Antrag auf Löschung des Kontos gestellt, ergreift der Verantwortliche unverzüglich Maßnahmen zur Löschung des Kontos zusammen mit den ihm zugeordneten personenbezogenen Daten gemäß Art. 17 DSGVO (Recht auf Löschung, sogenanntes "Recht auf Vergessenwerden").

Die Löschung des Kontos führt zur dauerhaften und unwiederbringlichen Löschung der personenbezogenen Daten der Nutzerin oder des Nutzers, vorbehaltlich der Fälle, in denen eine weitere Verarbeitung gesetzlich erforderlich ist, insbesondere zur Erfüllung rechtlicher Verpflichtungen oder zur Geltendmachung, Ausübung oder Verteidigung von Ansprüchen (Art. 6 Abs. 1 lit. c und lit. f DSGVO).

Unabhängig davon werden zuständige öffentliche Stellen oder andere berechtigte Stellen, an die Daten übermittelt wurden, zu eigenständigen Verantwortlichen. In einem solchen Fall ist die Ausübung von Rechten im Zusammenhang mit der weiteren Datenverarbeitung direkt an diese Stellen zu richten.

9. Technische Daten

Die von uns erhobenen technischen Daten geben Aufschluss über das Betriebssystem und die Version der Anwendung, die Sie für den Zugriff auf ABAStroke verwenden. Die nachstehenden Informationen werden automatisch erhoben, wenn Sie die ABAStroke-Anwendung aktiv nutzen. Soweit rechtlich zulässig und technisch möglich, erheben wir diese Daten erst, nachdem Sie in der Anwendung aktiv eingewilligt haben.

• Plattform, wie iOS oder Android, und Version des Betriebssystems auf dem Gerät;
• Gerätedaten, wie Sprache, Zeitzone und Modell;
• IP-Adresse;
• Nutzungszeit.

Aus Sicherheitsgründen werden diese Daten über eine verschlüsselte Verbindung übertragen. Ihre Daten werden grundsätzlich so lange gespeichert, wie Sie über eine aktive Lizenz zur Nutzung der Anwendung verfügen, das heißt 90 Tage. Alternativ werden Daten gespeichert, bis Sie sich entscheiden, einzelne Daten oder das gesamte Nutzerkonto zu löschen. Die Daten werden erhoben, um Ihnen die bestimmungsgemäße Nutzung der Anwendung zu ermöglichen.

10. Einrichtung der Anwendung

Die Nutzung der Anwendung erfordert eine Einrichtung durch Bereitstellung von Daten. Für die Einrichtung ist ein Aktivierungscode erforderlich.

Die erstmalige Aktivierung des Zugangs zur Anwendung erfolgt durch Eingabe eines Aktivierungscodes, der im System überprüft wird. Nach positiver Überprüfung des Codes kann die Anwendung ein technisches Nutzerkonto erstellen und die aktive Installation der Anwendung mit dem Gerät der Nutzerin oder des Nutzers verknüpfen.

Bei späterer Nutzung der Anwendung kann der Zugang zur aktiven Installation durch gerätespezifische Mechanismen geschützt werden, wie Device Binding, Systemsperre, Geräte-PIN oder biometrische Authentifizierung, sofern die Nutzerin oder der Nutzer diese aktiviert hat und das Gerät sie unterstützt. Die Anwendung bietet die Möglichkeit der Authentifizierung, nachdem eine informierte Einwilligung eingeholt wurde, mittels biometrischer Authentifizierungsmethoden, die von Ihrem Smartphone unterstützt werden, wie Fingerabdruck oder Face ID. Die Verantwortung für Ihre biometrischen Daten liegt beim jeweiligen Anbieter des Authentifizierungsdienstes. Wir erhalten lediglich das Authentifizierungsergebnis.

Aus Sicherheitsgründen werden die erhobenen Daten über eine verschlüsselte Verbindung übertragen. Ihre Daten werden grundsätzlich so lange gespeichert, wie Sie über eine aktive Lizenz zur Nutzung der ABAStroke-Anwendung verfügen, das heißt 90 Tage. Alternativ werden Daten gespeichert, bis Sie sich entscheiden, einzelne Daten oder das gesamte Nutzerkonto zu löschen. Zweck der Anforderung der Daten ist die Erstellung eines Nutzerkontos, das für die sichere und ordnungsgemäße Nutzung der Anwendung erforderlich ist.

11. Push-Benachrichtigungen

Wir haben derzeit keine Push-Benachrichtigungen implementiert.

12. Funktionalität und Benutzerfreundlichkeit

Mit der Einwilligung in die Nutzung technischer Funktionen willigen Sie ein, dass wir die in der Anwendung bereitgestellten Informationen verarbeiten, um deren fortlaufende technische Funktionalität, Benutzerfreundlichkeit und Weiterentwicklung sicherzustellen.

13. Software Dritter

Um den ordnungsgemäßen, sicheren und stabilen Betrieb der Anwendung sicherzustellen, nutzt der Verantwortliche auch Softwarekomponenten von Dritten, einschließlich Open-Source-Komponenten und anderer Elemente, die als SOUP (Software of Unknown Provenance) bezeichnet werden, das heißt Software, die nicht unmittelbar vom Verantwortlichen entwickelt wurde, aber als Bestandteil des Systems verwendet wird.

Diese Komponenten werden mit der gebotenen Sorgfalt ausgewählt und unterliegen einer regelmäßigen Überwachung, Validierung und Aktualisierung entsprechend der beim Verantwortlichen geltenden Richtlinie zum Software-Sicherheitsmanagement und Risikomanagement. Zweck dieser Maßnahmen ist es, das Risiko von Fehlern, Sicherheitslücken und Störungen der Funktion der Anwendung zu verringern.

Werden erhebliche Schwachstellen, Sicherheitsvorfälle oder Änderungen an SOUP-Komponenten bekannt, die die Datensicherheit oder die Art der Nutzung der Anwendung beeinträchtigen können, kann der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen, insbesondere:

• Sicherheits-Patches und Updates installieren;
• Maßnahmen zur Risikominderung umsetzen;
• die Verfügbarkeit ausgewählter Funktionen vorübergehend einschränken;
• den Betrieb der Anwendung in dem Umfang ändern, der zur Gewährleistung der Sicherheit und Kontinuität der Dienste erforderlich ist.

Wenn die Art des Ereignisses dies zulässt und dies gerechtfertigt ist, können Nutzerinnen und Nutzer über wesentliche Änderungen durch in der Anwendung angezeigte Mitteilungen informiert werden.

Soweit dies gesetzlich erforderlich ist oder sich aus der Art der eingesetzten Technologien ergibt, kann der Verantwortliche zusätzliche Informationen zu den verwendeten Komponenten bereitstellen, einschließlich Informationen über Open-Source-Lizenzen und technische Lösungen. Diese Informationen können in der technischen Dokumentation, in der Nutzerdokumentation enthalten sein oder auf begründete Anfrage berechtigter Stellen bereitgestellt werden.

Die Nutzung der Anwendung bedeutet die Anerkennung der Tatsache, dass ihre Funktion in begrenztem Umfang von externen Komponenten abhängen kann, über die der Verantwortliche keine vollständige Kontrolle hat, wobei gleichzeitig sichergestellt wird, dass geeignete organisatorische und technische Maßnahmen zum Schutz der Daten und zur Minimierung von Risiken für Nutzerinnen und Nutzer angewendet werden.

14. Empfänger personenbezogener Daten

Entsprechend der vorstehenden Beschreibung und den genannten Zwecken legen wir Ihre Daten den folgenden Empfängern offen, die für die Erbringung unserer Dienste und die Kommunikation mit Ihnen erforderlich sind:

• Anbieter technischer und infrastruktureller Dienste, das heißt Stellen, die dem Verantwortlichen Hosting, Wartung, IT-Dienste, Systemsicherheit, technischen Support, Fehlerüberwachung, Datensicherung und andere Dienste bereitstellen, die für den ordnungsgemäßen und sicheren Betrieb der Anwendung erforderlich sind;
• Stellen, die an der Abwicklung des deutschen DiGA-Pfads beteiligt sind, soweit dies zur Aktivierung eines erstatteten Zugangs, zur Bestätigung der Berechtigung zur Nutzung der Anwendung oder zur Abrechnung des Dienstes erforderlich ist. Dazu können insbesondere die jeweilige Krankenkasse, deren Dienstleister oder andere Stellen gehören, die diesen Prozess technisch unterstützen;
• Stellen, die an der Abwicklung der GesundheitsID, der elektronischen Patientenakte (ePA) oder anderer Elemente der deutschen digitalen Gesundheitsinfrastruktur beteiligt sind, wenn die Nutzerin oder der Nutzer solche Funktionen nutzt, ausschließlich in dem Umfang, der zur Ausführung der ausgewählten Funktion erforderlich ist;
• Stellen, die die Bearbeitung von Anfragen und die Kommunikation mit der Nutzerin oder dem Nutzer unterstützen, wenn die Nutzerin oder der Nutzer den Verantwortlichen kontaktiert, soweit dies zur Beantwortung oder Lösung des gemeldeten Problems erforderlich ist.

Darüber hinaus kann der Verantwortliche die Verarbeitung personenbezogener Daten Dritten anvertrauen, die Dienste erbringen, die zur Sicherstellung des ordnungsgemäßen Betriebs der Anwendung und zur Erreichung der in dieser Erklärung genannten Zwecke erforderlich sind.

Die Auftragsverarbeitung erfolgt ausschließlich auf Grundlage eines schriftlichen oder elektronischen Vertrags, der gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO) geschlossen wird und den Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten anzuwenden und Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten.

Der Verantwortliche setzt nur Auftragsverarbeiter ein, die ausreichende Garantien für die Umsetzung geeigneter Sicherheitsmaßnahmen bieten, die den Anforderungen der DSGVO, Branchenstandards und Grundsätzen des Informationssicherheitsmanagements entsprechen. Diese Stellen dürfen personenbezogene Daten nur in dem Umfang und für den Zeitraum verarbeiten, der zur Erbringung der beauftragten Dienste erforderlich ist.

Wir führen derzeit keine Vorgänge durch, bei denen eine automatisierte Entscheidungsfindung stattfindet, die gegenüber betroffenen Personen rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Sentry - freiwillige Weitergabe diagnostischer Daten aus Fehlerberichten

Direkt in der Anwendung können Sie in die Funktion "Fehlerberichte teilen" einwilligen. Um die Sicherheit, Stabilität und ordnungsgemäße Funktion der Anwendung sicherzustellen, kann der Verantwortliche Sentry nutzen, ein Tool der Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Sentry wird verwendet, um Anwendungsfehler zu überwachen, Abstürze zu analysieren und technische Probleme zu diagnostizieren.

Die Übermittlung diagnostischer Daten an Sentry ist vollständig freiwillig und erfolgt nur, nachdem die Einwilligung der Nutzerin oder des Nutzers durch Aktivierung der in den Anwendungseinstellungen verfügbaren Funktion "Fehlerbericht der Anwendung teilen" eingeholt wurde.

Wird keine Einwilligung erteilt, werden keine diagnostischen Daten an Sentry gesendet. Sie können Ihre Einwilligung jederzeit in den Anwendungseinstellungen widerrufen.

Umfang der verarbeiteten Daten

Wenn eine Einwilligung erteilt wird, dürfen nur begrenzte technische Daten, die zur Diagnose von Fehlern und zur Verbesserung des Betriebs der Anwendung erforderlich sind, an Sentry übermittelt werden, insbesondere:

• Absturzprotokolle der Anwendung;
• Informationen über technische Fehler;
• Leistungsdaten der Anwendung;
• Informationen über die Anwendungsversion, das Betriebssystem und das Gerät;
• anonyme technische Sitzungskennungen.

Der Verantwortliche ergreift Maßnahmen, um die Übermittlung von Daten an Sentry auszuschließen, die eine direkte Identifizierung der Nutzerin oder des Nutzers ermöglichen (PII), wie Vorname und Nachname, E-Mail-Adresse, Telefonnummer oder der Inhalt der von der Nutzerin oder dem Nutzer eingegebenen Daten.

Auftragsverarbeiter

Sentry handelt als Auftragsverarbeiter oder Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO und verarbeitet Daten nur auf dokumentierte Weisung des Verantwortlichen und gemäß einem Vertrag über die Auftragsverarbeitung.

Rechtsgrundlagen der Verarbeitung

Rechtsgrundlage für die Verarbeitung diagnostischer Daten ist:

• Art. 6 Abs. 1 lit. a DSGVO - die Einwilligung der Nutzerin oder des Nutzers in die Weitergabe diagnostischer Daten;
• Art. 28 DSGVO - die Beauftragung eines Auftragsverarbeiters mit der Datenverarbeitung.

Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums

Diagnostische Daten können außerhalb des Europäischen Wirtschaftsraums übermittelt werden, insbesondere in die Vereinigten Staaten. Eine solche Übermittlung erfolgt unter Anwendung der nach der DSGVO erforderlichen geeigneten Garantien, einschließlich der von der Europäischen Kommission genehmigten Standardvertragsklauseln.

Weitere Informationen zur Datenverarbeitung durch Sentry finden Sie in der Datenschutzerklärung des Anbieters: https://sentry.io/privacy/

15. Übermittlungen außerhalb des Europäischen Wirtschaftsraums (EWR)

Personenbezogene Daten werden nicht außerhalb des Europäischen Wirtschaftsraums übermittelt, mit Ausnahme der über Sentry verarbeiteten diagnostischen Daten wie oben beschrieben und vorbehaltlich der nach der DSGVO erforderlichen Garantien.

16. Verarbeitung im Zusammenhang mit automatisierter Entscheidungsfindung, einschließlich Profiling

Wir führen derzeit keine Vorgänge durch, bei denen eine automatisierte Entscheidungsfindung stattfindet, die gegenüber betroffenen Personen rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

17. Wie schützen wir Ihre Daten?

Zur Gewährleistung von Datenschutz und Datensicherheit wenden wir umfassende Sicherheitsmaßnahmen an, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer personenbezogenen Daten sicherzustellen. Dabei berücksichtigen wir den Stand der Technik und die geltenden Datenschutzgesetze. Ihre Daten werden ausschließlich in einem verschlüsselten Speicherbereich in der Anwendung gespeichert. Die Integrität dieses Speicherbereichs wird durch das Betriebssystem Ihres Smartphones gewährleistet. Daten werden mit unserem Verwaltungssystem und unserer Datenbank synchronisiert. Regelmäßige Sicherungskopien ermöglichen die Wiederherstellung von Daten.

Im Rahmen seines Informationssicherheitsmanagementsystems hat der Verantwortliche Verfahren und Schutzmaßnahmen implementiert und unterhält diese, die den Anforderungen von ISO/IEC 27001 (Informationssicherheitsmanagementsystem) entsprechen. Der Verantwortliche verfügt über ein Zertifikat über die Konformität mit ISO/IEC 27001, das die Anwendung weltweit anerkannter Standards im Bereich des Informationsschutzes, des Risikomanagements und der kontinuierlichen Verbesserung der Schutzmaßnahmen bestätigt.

Die eingesetzten Sicherheitsmaßnahmen umfassen insbesondere Zugriffskontrolle auf Daten, Verschlüsselung, Systemüberwachung, regelmäßige Tests und Bewertungen der Wirksamkeit der Schutzmaßnahmen, Management von Sicherheitsvorfällen sowie Schulungen der zur Verarbeitung personenbezogener Daten befugten Personen.

Der Verantwortliche analysiert fortlaufend Bedrohungen und ergreift Maßnahmen zur Minimierung des Risikos von Verletzungen des Schutzes personenbezogener Daten.

18. Was können Sie tun, um Ihre Daten sicher zu halten?

Um ein möglichst hohes Sicherheitsniveau für Ihre Daten zu gewährleisten, müssen Sie geeignete Maßnahmen zum Schutz der Anwendung und der über sie übermittelten Daten ergreifen. Dazu gehören:

• Sichere Umgebung und Verbindungen: Stellen Sie sicher, dass Sie die Anwendung über eine sichere Internetverbindung nutzen, um das Risiko eines Datenverlusts zu verringern. Vermeiden Sie die Nutzung öffentlicher WLAN-Netze, wenn Sie sensible Informationen eingeben oder abrufen. Verbindungen über öffentliche Netze können Sicherheitsrisiken mit sich bringen, die der Entwickler der Anwendung nicht vollständig ausschließen kann.
• Halten Sie die Anwendung und das Betriebssystem aktuell, damit Sie von den neuesten Sicherheitsupdates profitieren.
• Aktivieren Sie die Bildschirmsperre: Verwenden Sie eine PIN, ein Passwort oder eine biometrische Sperre als Standardmethode zum Entsperren Ihres Geräts.
• Seien Sie vorsichtig bei verdächtigen Nachrichten: Öffnen Sie keine Links oder Anhänge in E-Mails oder Nachrichten, die nach Zugangsdaten fragen oder verdächtig erscheinen.

19. Änderungen der Datenschutzerklärung

Der Verantwortliche behält sich das Recht vor, diese Datenschutzerklärung jederzeit zu ändern oder zu aktualisieren, insbesondere bei Änderungen des Rechts, technologischer Entwicklung, Implementierung neuer Funktionen der Anwendung oder Änderungen der Art und Weise, wie personenbezogene Daten verarbeitet werden.

Werden wesentliche Änderungen am Inhalt der Datenschutzerklärung vorgenommen, einschließlich Änderungen an ihren den Nutzerinnen und Nutzern bereitgestellten Übersetzungen, wird die Nutzerin oder der Nutzer beim ersten Start der Anwendung nach ihrer Veröffentlichung über die neue Version des Dokuments informiert. Bis die Nutzerin oder der Nutzer die aktuelle Datenschutzerklärung gelesen und durch Aktivieren des entsprechenden Kontrollkästchens erneut eingewilligt hat, kann der Zugang zu den Funktionen der Anwendung eingeschränkt oder vollständig gesperrt sein.

Das Kontrollkästchen zur Annahme der aktualisierten Datenschutzerklärung ist standardmäßig nicht aktiviert, und die Schaltfläche, die die weitere Nutzung der Anwendung ermöglicht, bleibt inaktiv, bis die Nutzerin oder der Nutzer einwilligt.

Die Nutzerin oder der Nutzer kann die vollständige aktuelle Datenschutzerklärung über die Funktion "Datenschutzerklärung anzeigen/Mehr lesen" einsehen, die ein spezielles Fenster oder Panel mit der aktuellen Version des Dokuments öffnet.

Die weitere Nutzung der Anwendung nach Annahme der neuen Version der Datenschutzerklärung bestätigt, dass die Nutzerin oder der Nutzer deren Inhalt gelesen hat und die eingeführten Änderungen akzeptiert. Der Verantwortliche empfiehlt, die aktuelle Datenschutzerklärung regelmäßig zu prüfen, um aktuelle Informationen über die Regeln der Verarbeitung und des Schutzes personenbezogener Daten zu erhalten.

20. Wie können Sie uns kontaktieren?

Wenn Sie Fragen dazu haben, wie wir Ihre personenbezogenen Daten verwenden, können Sie uns per E-Mail oder schriftlich unter den folgenden Adressen kontaktieren:

ABAStroke sp. z o.o., ul. Warszawska 3/3, 31-155 Krakau, Polen - mit dem Vermerk: "Datenschutz"

E-Mail: contact@abastroke.com, michal@abastroke.com