1. Zweck des Dokuments
Die ABAStroke-App wird von uns, der ABAStroke sp. z o.o., betrieben.
ABAStroke ist eine mobile Anwendung für die häusliche neurologische Rehabilitation bei kognitiven Defiziten nach einem Schlaganfall. Durch die Verbindung der Methodik der Angewandten Verhaltensanalyse (Applied Behavior Analysis, ABA) mit Algorithmen des maschinellen Lernens (KI) bietet ABAStroke Patientinnen und Patienten praktisch unbegrenzte Übungsmöglichkeiten im Rahmen einer selbstständigen, personalisierten und wirksamen Behandlung.
Die nachstehende Datenschutzrichtlinie erläutert, wie wir Ihre Daten, sogenannte personenbezogene Daten, bei der Nutzung der ABAStroke-App (nachfolgend: „App“) verarbeiten. Außerdem informieren wir Sie darüber, wie wir Ihre Daten schützen, wann sie gelöscht werden und welche Rechte Ihnen nach den Datenschutzvorschriften zustehen.
Der Verantwortliche ist keine medizinische Einrichtung im Sinne der geltenden Rechtsvorschriften und erbringt keine medizinischen Leistungen.
Die im Rahmen der App bereitgestellten Dienste stellen keine Gesundheitsleistungen dar, insbesondere umfassen sie keine medizinische Beratung, keine Diagnosestellung, keine Behandlung und keine therapeutischen Entscheidungen.
Alle im Dienst bereitgestellten Informationen dienen ausschließlich Informationszwecken und dürfen nicht als Ersatz für eine professionelle medizinische Beratung betrachtet werden. Wenn Sie medizinischen Rat oder eine Diagnose benötigen, wenden Sie sich bitte an eine geeignete Fachperson oder eine medizinische Einrichtung.
2. Verantwortlicher für personenbezogene Daten
Name und Kontaktdaten des Verantwortlichen
Verantwortlicher für diese App ist:
ABAStroke sp. z o.o. ul. Warszawska 3/3 31-155 Kraków Polen
Datenschutzbeauftragter
Bei Fragen zu unseren Datenschutzmaßnahmen, zur Datenverarbeitung oder zum Schutz der Rechte betroffener Personen können Sie sich wie folgt an unseren Datenschutzbeauftragten wenden: michal@abastroke.com
3. Umfang der verarbeiteten personenbezogenen Daten
Der Verantwortliche verarbeitet personenbezogene Daten in dem Umfang, der zur Erreichung der Verarbeitungszwecke erforderlich ist, gemäß dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO sowie unter Berücksichtigung der Anforderungen an die Informationssicherheit nach ISO/IEC 27001.
Im Zusammenhang mit der Verwendung eines Authentifizierungsmechanismus, der auf einmaligen Aktivierungscodes beruht, verarbeitet der Verantwortliche keine standardmäßigen Identifikationsdaten der Nutzerin oder des Nutzers. Die Aktivierung der App erfolgt ausschließlich durch Eingabe dieses Codes und dessen anschließende automatische Überprüfung im System.
Der Verifizierungsprozess erfolgt automatisiert und beschränkt sich auf die Prüfung der Richtigkeit und Gültigkeit des Codes, ohne dass zusätzliche Identifikationsdaten der Nutzerin oder des Nutzers erhoben oder verarbeitet werden müssen.
Folglich verarbeitet die App keine weiteren Daten, die eine unmittelbare Identifizierung der Patientin oder des Patienten ermöglichen, wie Vorname, Nachname, PESEL-Nummer oder Wohnanschrift. Der Umfang der Datenverarbeitung bleibt auf das für die Erbringung des Dienstes erforderliche Mindestmaß beschränkt. Der Umfang der verarbeiteten Daten umfasst insbesondere:
- Daten, die zur Aktivierung des Zugangs erforderlich sind, insbesondere den Code,
- technische und betriebliche Daten, zum Beispiel IP-Adresse, Sitzungskennungen, Zeitstempel,
- Daten, die sich aus der Nutzung des Dienstes ergeben.
Der Verantwortliche verarbeitet besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO und unter Anwendung geeigneter technischer und organisatorischer Maßnahmen zu deren Schutz gemäß Art. 32 DSGVO.
Die Datenverarbeitung erfolgt unter Berücksichtigung der Grundsätze der Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie unter Einsatz von Sicherheitsmaßnahmen, die dem identifizierten Risiko angemessen sind, einschließlich Mechanismen zur Zugriffskontrolle, Protokollierung von Vorgängen und zum Management von Sicherheitsvorfällen.
Nutzerinnen und Nutzer können optional in die Anonymisierung von Daten zu Zwecken der Weiterentwicklung einwilligen, um die technische Funktionalität und Benutzerfreundlichkeit sicherzustellen. Diese Einwilligung kann jederzeit ohne Angabe von Gründen widerrufen werden. Wir arbeiten mit anerkannten medizinischen sowie wissenschaftlichen und Forschungseinrichtungen im Bereich der Weiterentwicklung unserer Produkte zusammen. Für wissenschaftliche Zwecke erforderliche Daten werden ausschließlich in anonymisierter Form übermittelt, damit Forschende keine Rückschlüsse auf eine konkrete Nutzerin oder einen konkreten Nutzer ziehen können. Unser gemeinsames Ziel ist die Weiterentwicklung, damit unsere Nutzerinnen und Nutzer während der Therapie die bestmögliche Unterstützung und Anleitung erhalten.
4. Integration mit einem externen System und Verifizierung des Aktivierungscodes
Der Verantwortliche informiert darüber, dass die App eine Integration mit einem externen System Ihrer Krankenkasse nutzt.
Die Anmeldung in der App erfolgt ausschließlich durch Eingabe eines Aktivierungscodes, der anschließend im System automatisch überprüft wird. Zu diesem Zweck müssen Nutzerinnen und Nutzer bei ihrem Krankenversicherer einen individuellen Code beantragen. Der Verifizierungsprozess erfolgt automatisiert und besteht darin, die Gültigkeit und Richtigkeit des eingegebenen Codes im externen System zu prüfen.
Im Rahmen dieses Prozesses übermittelt die App an das System ausschließlich die für die Verifizierung erforderlichen Daten, insbesondere den Aktivierungscode sowie technische Informationen im Zusammenhang mit der Anfrage, wie etwa einen Zeitstempel oder Daten, die zur Absicherung der Kommunikation erforderlich sind. Das System übermittelt der App keine die Nutzerin oder den Nutzer identifizierenden Daten in Form von Vorname, Nachname oder anderen Daten, die eine unmittelbare Identifizierung der Patientin oder des Patienten ermöglichen.
Die Verifizierung des Codes im System ist Voraussetzung für den Zugriff auf die Funktionen der App. Wenn eine positive Verifizierung des Codes nicht möglich ist, erhält die Nutzerin oder der Nutzer keinen Zugang zum System.
Die Übermittlung von Daten an das System erfolgt ausschließlich in dem Umfang, der zur Durchführung des Authentifizierungsprozesses erforderlich ist, und auf Grundlage des berechtigten Interesses des Verantwortlichen, das in der Sicherstellung der Sicherheit des Zugangs zur App sowie ihres ordnungsgemäßen Funktionierens besteht (Art. 6 Abs. 1 lit. f DSGVO). Soweit Daten durch das System als separater Verantwortlicher oder als Auftragsverarbeiter verarbeitet werden können, richtet sich die Verantwortung für deren weitere Verarbeitung nach gesonderten Vereinbarungen zwischen den Parteien.
Der Verantwortliche gewährleistet, dass die Integration mit dem System der Krankenkasse so konzipiert wurde, dass der Umfang der übermittelten Daten minimiert und das Risiko einer unbefugten Offenlegung begrenzt wird, gemäß dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO.
5. Zwecke und Rechtsgrundlagen der Datenverarbeitung
Der Verantwortliche verarbeitet personenbezogene Daten der Nutzerinnen und Nutzer gemäß den Vorschriften der DSGVO ausschließlich in dem Umfang, der zur Erreichung bestimmter Zwecke erforderlich ist, und auf Grundlage der entsprechenden Rechtsgrundlagen nach Art. 6 Abs. 1 sowie, im Falle besonderer Kategorien personenbezogener Daten, Art. 9 Abs. 2 dieser Verordnung.
Personenbezogene Daten werden verarbeitet, um die Nutzung der App und ihrer Funktionen zu ermöglichen, insbesondere zur Authentifizierung der Nutzerin oder des Nutzers, zur Sitzungsverwaltung und zur Gewährleistung des Zugangs zu Systemressourcen. Rechtsgrundlage dieser Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, das heißt die Erforderlichkeit zur Erfüllung eines Vertrags über die Nutzung der App oder zur Durchführung vorvertraglicher Maßnahmen.
Daten können außerdem verarbeitet werden, um den ordnungsgemäßen Betrieb und die Sicherheit der App sicherzustellen, einschließlich der Überwachung von Aktivitäten, der Erkennung von Missbrauch, der Führung von Systemprotokollen und des Managements von Sicherheitsvorfällen. Rechtsgrundlage der Verarbeitung in diesem Bereich ist Art. 6 Abs. 1 lit. f DSGVO, das heißt das berechtigte Interesse des Verantwortlichen an der Gewährleistung der Sicherheit und Integrität des Systems sowie am Schutz vor Missbrauch.
Im Bereich der Bearbeitung von Nutzeranfragen und der Kontaktaufnahme mit der Nutzerin oder dem Nutzer werden Daten verarbeitet, um Anfragen zu beantworten oder technische Probleme zu lösen. Rechtsgrundlage der Verarbeitung ist je nach Art der Anfrage Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.
Der Verantwortliche verarbeitet Daten außerdem zur Erfüllung rechtlicher Pflichten, die sich aus Rechtsvorschriften ergeben, insbesondere im Bereich des Schutzes personenbezogener Daten und der Informationssicherheit. In diesem Fall ist Art. 6 Abs. 1 lit. c DSGVO die Rechtsgrundlage der Verarbeitung.
Bei Gesundheitsdaten, die besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO darstellen, weist der Verantwortliche darauf hin, dass die App keine medizinischen Dienstleistungen erbringt. Die Verarbeitung solcher Daten erfolgt ausschließlich auf Grundlage der ausdrücklichen Einwilligung der Nutzerin oder des Nutzers gemäß Art. 9 Abs. 2 lit. a DSGVO sowie Art. 6 Abs. 1 lit. a DSGVO. Die Bereitstellung medizinischer Daten ist freiwillig und erfolgt ausschließlich in dem Umfang, der sich aus den Funktionen der App ergibt.
Die Nutzerin oder der Nutzer hat das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung berührt wird.
6. Welche Rechte haben Sie?
Sie können sich jederzeit an uns wenden, wenn Sie Fragen zu Ihren Datenschutzrechten haben oder eines der folgenden Rechte ausüben möchten:
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO), zum Beispiel können Sie sich an uns wenden, wenn Sie eine zuvor erteilte Einwilligung widerrufen möchten. Sie können Ihre Einwilligung oder Einwilligungen zur Datenverarbeitung in der App widerrufen. Der Widerruf der Einwilligung kann insbesondere erfolgen durch:
- Nutzung der entsprechenden in der App verfügbaren Funktion zur Verwaltung von Einwilligungen,
- Kontaktaufnahme mit dem Verantwortlichen über die angegebenen Kontaktdaten.
Im Falle des Widerrufs der Einwilligung zur Verarbeitung von Gesundheitsdaten kann die weitere Nutzung der App-Funktionen, die eine Verarbeitung dieser Daten erfordern, eingeschränkt oder unmöglich sein.
Der Verantwortliche setzt das Verlangen auf Widerruf der Einwilligung unverzüglich, spätestens innerhalb der gesetzlich vorgesehenen Frist, um und stellt sicher, dass der Widerruf der Einwilligung ebenso einfach möglich ist wie deren Erteilung.
Der Widerruf der Einwilligung führt zur Einstellung der Verarbeitung der Daten in dem Umfang, in dem die Verarbeitung auf dieser Einwilligung beruhte, es sei denn, eine weitere Verarbeitung ist auf einer anderen Rechtsgrundlage zulässig.
Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der Datenverarbeitung, die vor dem Widerruf erfolgt ist. Der Widerruf der Einwilligung berührt nicht die Verarbeitung personenbezogener Daten, die auf anderen rechtlichen Voraussetzungen nach Art. 6 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DSGVO) beruht, insbesondere wenn die Verarbeitung zur Erfüllung eines Vertrags, zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder zur Wahrung seiner berechtigten Interessen erforderlich ist.
Wenn Sie die für die ordnungsgemäße Nutzung der App erforderliche Datenverarbeitung nicht mehr wünschen, können Sie dem auch in der App widersprechen und dadurch Ihr Nutzerkonto sowie alle damit verbundenen Daten dauerhaft löschen.
- Recht auf Auskunft (Art. 15 DSGVO), zum Beispiel können Sie sich an uns wenden, wenn Sie wissen möchten, welche Daten wir über Sie speichern.
- Recht auf Berichtigung (Art. 16 DSGVO), zum Beispiel können Sie sich an uns wenden, wenn sich Ihre Daten geändert haben und wir diese berichtigen sollen.
- Recht auf Löschung (Art. 17 DSGVO), zum Beispiel können Sie sich an uns wenden, wenn Sie möchten, dass wir bestimmte Daten löschen, die wir über Sie speichern.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
Die Nutzerin oder der Nutzer hat das Recht, die Einschränkung der Verarbeitung ihrer oder seiner personenbezogenen Daten in den gesetzlich vorgesehenen Fällen zu verlangen, insbesondere wenn:
- die Nutzerin oder der Nutzer die Richtigkeit der Daten bestreitet, und zwar für einen Zeitraum, der es dem Verantwortlichen ermöglicht, die Richtigkeit der Daten zu überprüfen,
- die Verarbeitung unrechtmäßig ist und die Nutzerin oder der Nutzer die Löschung der Daten ablehnt und stattdessen die Einschränkung ihrer Nutzung verlangt,
- der Verantwortliche die Daten für die Verarbeitungszwecke nicht mehr benötigt, sie jedoch von der Nutzerin oder dem Nutzer zur Geltendmachung, Ausübung oder Verteidigung von Ansprüchen benötigt werden,
- die Nutzerin oder der Nutzer Widerspruch gegen die Verarbeitung eingelegt hat, bis festgestellt wurde, ob die berechtigten Gründe des Verantwortlichen gegenüber den Gründen des Widerspruchs der Nutzerin oder des Nutzers überwiegen.
Während der Einschränkung der Verarbeitung dürfen die Daten lediglich gespeichert oder in dem Umfang verarbeitet werden, der zur Geltendmachung, Ausübung oder Verteidigung von Ansprüchen erforderlich ist, oder in anderen gesetzlich vorgesehenen Fällen. Jede Einschränkung der Verarbeitung wird in den Systemen des Verantwortlichen entsprechend gekennzeichnet.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO), zum Beispiel können Sie sich an uns wenden, um die bei uns gespeicherten Daten in einem komprimierten Format zu erhalten, etwa weil Sie diese an eine andere App übermitteln möchten.
- Recht auf Widerspruch (Art. 21 DSGVO), wenn die Verarbeitung auf dem berechtigten Interesse des Verantwortlichen beruht.
- Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 Abs. 1 DSGVO). Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Rechtsvorschriften, insbesondere gegen die DSGVO, verstößt, können Sie zur Einreichung einer Beschwerde den Präsidenten des Amtes für den Schutz personenbezogener Daten kontaktieren: https://uodo.gov.pl/
7. Löschung und Speicherdauer der Daten
Sofern nicht anders angegeben, löschen wir Ihre Daten, sobald sie nicht mehr benötigt werden.
Personenbezogene Daten der Nutzerinnen und Nutzer werden für einen Zeitraum verarbeitet, der 90 Tage ab dem Tag ihrer Erhebung nicht überschreitet, gemäß dem Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO, es sei denn, ihre weitere Speicherung ist aufgrund gesetzlicher Vorschriften erforderlich, insbesondere im Zusammenhang mit der Erfüllung von Pflichten nach Art. 6 Abs. 1 lit. c DSGVO.
Nach Ablauf dieses Zeitraums werden die Daten endgültig und unwiderruflich gelöscht oder anonymisiert, und zwar in einer Weise, die eine weitere Zuordnung zu einer bestimmten Person unmöglich macht. Folglich verfügt der Verantwortliche nach Ablauf dieses Zeitraums nicht mehr über personenbezogene Daten der Nutzerin oder des Nutzers und hat keine Möglichkeit, diese wiederherzustellen.
Der Verantwortliche informiert darüber, dass er keine medizinische Einrichtung und kein Verantwortlicher für medizinische Dokumentation ist. Ihre personenbezogenen Daten, einschließlich des Therapieberichts, werden an die ePA übermittelt, wenn Sie hierzu Ihre Einwilligung erteilen. Therapiedaten können ausschließlich dann an die ePA übermittelt werden, wenn die Nutzerin oder der Nutzer eine solche Funktion nutzt oder die erforderliche Einwilligung erteilt. Umfang und Häufigkeit der Datenübermittlung hängen von der verfügbaren ePA-Funktion sowie von den Einstellungen der Nutzerin oder des Nutzers ab.
Mit der wirksamen Übermittlung der Daten wird die ePA in Bezug auf die von ihr verfolgten Verarbeitungszwecke zu einem separaten Verantwortlichen für personenbezogene Daten. In diesem Fall sind alle Anfragen zu personenbezogenen Daten, einschließlich der Ausübung der Rechte nach Art. 15 bis 22 DSGVO, unmittelbar an diesen Rechtsträger zu richten.
Die Daten Ihres Nutzerkontos werden nach Abschluss der Therapie automatisch gelöscht. Alternativ löschen wir Ihre Daten unverzüglich auf Ihren Antrag hin über die ABAStroke-App oder auf anderem Wege.
Selbstverständlich können Sie jederzeit Auskunft über die gespeicherten Daten verlangen. Datenschutzanfragen und sonstige rechtliche Angelegenheiten können zudem für einen längeren Zeitraum im Rahmen der geltenden gesetzlichen Aufbewahrungs- und Verjährungsfristen gespeichert werden.
8. Löschung des Nutzerkontos und der Nutzerdaten
Gemäß der Auslegung der DiGAV (§ 4 Abs. 2) durch die Behörde BfArM wird das Konto zusammen mit allen personenbezogenen Daten nach Ablauf der Gültigkeitsdauer (90 Tage) für DiGA-Nutzerinnen und -Nutzer in Deutschland automatisch gelöscht.
Die Nutzerin oder der Nutzer hat das Recht, das Konto jederzeit ohne Angabe von Gründen zu löschen.
Bei Stellung eines Antrags auf Löschung des Kontos ergreift der Verantwortliche unverzüglich Maßnahmen zur Löschung des Kontos einschließlich der ihm zugeordneten personenbezogenen Daten gemäß Art. 17 DSGVO (Recht auf Löschung, sogenanntes „Recht auf Vergessenwerden“).
Die Löschung des Kontos führt zur dauerhaften und unwiderruflichen Löschung der personenbezogenen Daten der Nutzerin oder des Nutzers, vorbehaltlich der Fälle, in denen die weitere Verarbeitung der Daten aufgrund gesetzlicher Vorschriften erforderlich ist, insbesondere zur Erfüllung rechtlicher Pflichten oder zur Geltendmachung, Feststellung oder Verteidigung von Ansprüchen (Art. 6 Abs. 1 lit. c und f DSGVO).
Unabhängig hiervon werden zuständige öffentliche Stellen oder andere berechtigte Rechtsträger, an die Daten übermittelt wurden, zu separaten Verantwortlichen für diese Daten. In einem solchen Fall ist die Ausübung von Rechten im Zusammenhang mit der weiteren Verarbeitung der Daten unmittelbar an diese Rechtsträger zu richten.
9. Technische Daten
Die von uns erhobenen technischen Daten informieren uns über das Betriebssystem und die Version der App, die Sie für den Zugriff auf ABAStroke verwenden. Die nachstehenden Informationen werden automatisch erhoben, wenn Sie die ABAStroke-App aktiv nutzen. Soweit rechtlich zulässig und technisch möglich, erheben wir diese Daten erst nach Ihrer aktiven Einwilligung in der App.
- Plattform, zum Beispiel iOS oder Android, und Version des Betriebssystems auf dem Gerät,
- Gerätedaten, zum Beispiel Sprache, Zeitzone, Modell,
- IP-Adresse,
- Nutzungsdauer.
Aus Sicherheitsgründen werden diese Daten über eine verschlüsselte Verbindung übertragen. Ihre Daten werden in der Regel so lange gespeichert, wie Sie über eine aktive Lizenz zur Nutzung der App verfügen, das heißt 90 Tage. Alternativ werden die Daten gespeichert, bis Sie sich entscheiden, einzelne Daten oder das gesamte Nutzerkonto zu löschen. Die Daten werden erhoben, um Ihnen die bestimmungsgemäße Nutzung der App zu ermöglichen.
10. Konfiguration der App
Die Nutzung der App erfordert eine Konfiguration durch Angabe von Daten. Für die Konfiguration ist ein Aktivierungscode erforderlich.
Die erste Aktivierung des Zugangs zur App erfolgt durch Eingabe des Aktivierungscodes, der im System überprüft wird. Nach positiver Verifizierung des Codes kann die App ein technisches Nutzerkonto erstellen und die aktive Installation der App mit dem Gerät der Nutzerin oder des Nutzers verknüpfen.
Bei späterer Nutzung der App kann der Zugriff auf die aktive Installation durch gerätespezifische Mechanismen abgesichert werden, wie Device Binding, Systemsperre, Geräte-PIN oder biometrische Authentifizierung, sofern die Nutzerin oder der Nutzer diese aktiviert hat und das Gerät sie unterstützt. Die App bietet die Möglichkeit der Authentifizierung, nach Einholung einer informierten Einwilligung, mittels biometrischer Authentifizierungsmethoden, zum Beispiel Fingerabdruck oder Face ID, die von Ihrem Smartphone unterstützt werden. Die Verantwortung für Ihre biometrischen Daten liegt bei dem jeweiligen Anbieter des Authentifizierungsdienstes. Wir erhalten ausschließlich das Ergebnis der Authentifizierung.
Aus Sicherheitsgründen werden die erhobenen Daten über eine verschlüsselte Verbindung übertragen. Ihre Daten werden in der Regel so lange gespeichert, wie Sie über eine aktive Lizenz zur Nutzung der ABAStroke-App verfügen. Alternativ werden die Daten gespeichert, bis Sie sich entscheiden, einzelne Daten oder das gesamte Nutzerkonto zu löschen. Zweck der Datenabfrage ist die Erstellung eines Nutzerkontos, das für die sichere und ordnungsgemäße Nutzung der App erforderlich ist.
11. Push-Benachrichtigungen
Derzeit haben wir keine Push-Benachrichtigungen eingeführt.
12. Funktionalität und Benutzerfreundlichkeit
Durch die Einwilligung in die Nutzung technischer Funktionen erklären Sie sich damit einverstanden, dass wir die in der App angegebenen Informationen verarbeiten, um ihre fortlaufende technische Funktionalität, Benutzerfreundlichkeit und Weiterentwicklung sicherzustellen.
13. Software von Drittanbietern
Zur Gewährleistung des ordnungsgemäßen, sicheren und stabilen Betriebs der App verwendet der Verantwortliche auch Softwarekomponenten von Drittanbietern, einschließlich Open-Source-Komponenten sowie anderer Elemente, die als SOUP (Software of Unknown Provenance) bezeichnet werden, das heißt Software, die nicht unmittelbar vom Verantwortlichen entwickelt wurde, jedoch als Teil des Systems verwendet wird.
Diese Komponenten werden mit gebotener Sorgfalt ausgewählt und unterliegen einer regelmäßigen Überwachung, Validierung und Aktualisierung gemäß der beim Verantwortlichen geltenden Richtlinie zum Software-Sicherheitsmanagement und Risikomanagement. Ziel dieser Maßnahmen ist es, das Risiko von Fehlern, Sicherheitslücken und Störungen im Betrieb der App zu begrenzen.
Bei Offenlegung wesentlicher Schwachstellen, Sicherheitsvorfälle oder Änderungen an SOUP-Komponenten, die sich auf die Datensicherheit oder die Art der Nutzung der App auswirken können, kann der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen, insbesondere:
- Sicherheits-Patches und Aktualisierungen installieren,
- risikomindernde Maßnahmen umsetzen,
- die Verfügbarkeit ausgewählter Funktionen vorübergehend einschränken,
- die Funktionsweise der App in dem Umfang ändern, der zur Gewährleistung der Sicherheit und Kontinuität der Dienste erforderlich ist.
Sofern die Art des Ereignisses dies zulässt und dies begründet ist, können Nutzerinnen und Nutzer über wesentliche Änderungen durch in der App angezeigte Mitteilungen informiert werden.
In dem durch Rechtsvorschriften erforderlichen Umfang oder aufgrund der Art der eingesetzten Technologien kann der Verantwortliche zusätzliche Informationen über die verwendeten Komponenten bereitstellen, einschließlich Informationen über Open-Source-Lizenzen und eingesetzte technische Lösungen. Diese Informationen können in der technischen Dokumentation, in der Nutzerdokumentation oder auf begründetes Verlangen berechtigter Rechtsträger bereitgestellt werden.
Die Nutzung der App bedeutet die Akzeptanz der Tatsache, dass ihr Betrieb in begrenztem Umfang von externen Komponenten abhängen kann, über die der Verantwortliche keine vollständige Kontrolle ausübt, wobei zugleich gewährleistet wird, dass geeignete organisatorische und technische Maßnahmen zum Schutz der Daten und zur Minimierung von Risiken für Nutzerinnen und Nutzer angewendet werden.
14. Empfänger personenbezogener Daten
Gemäß der vorstehenden Beschreibung und den genannten Zwecken stellen wir Ihre Daten den folgenden Empfängern zur Verfügung, soweit diese für die Erbringung unserer Dienste und die Kommunikation mit Ihnen erforderlich sind:
- Anbieter technischer und infrastruktureller Dienstleistungen - Rechtsträger, die für den Verantwortlichen Hosting-, Wartungs-, IT-, Systemsicherheits-, technischen Support-, Fehlerüberwachungs-, Datensicherungs- und sonstige Dienstleistungen erbringen, die für den ordnungsgemäßen und sicheren Betrieb der App erforderlich sind;
- Rechtsträger, die an der Abwicklung des deutschen DiGA-Pfads beteiligt sind - in dem Umfang, der zur Aktivierung des erstatteten Zugangs, zur Bestätigung der Berechtigung zur Nutzung der App oder zur Abrechnung der Leistung erforderlich ist; dies kann insbesondere die zuständige Krankenkasse, ihre Dienstleister oder andere Rechtsträger umfassen, die diesen Prozess technisch unterstützen;
- Rechtsträger, die an der Abwicklung der GesundheitsID, der ePA oder anderer Elemente der deutschen digitalen Gesundheitsinfrastruktur beteiligt sind - sofern die Nutzerin oder der Nutzer solche Funktionen nutzt - ausschließlich in dem Umfang, der zur Durchführung der gewählten Funktion erforderlich ist;
- Rechtsträger, die die Bearbeitung von Anfragen und die Kommunikation mit der Nutzerin oder dem Nutzer unterstützen - wenn die Nutzerin oder der Nutzer den Verantwortlichen kontaktiert, können Daten in dem Umfang verarbeitet werden, der zur Beantwortung oder Lösung des gemeldeten Problems erforderlich ist.
Darüber hinaus kann der Verantwortliche die Verarbeitung personenbezogener Daten an Dritte übertragen, die für ihn Dienstleistungen erbringen, die zur Sicherstellung des ordnungsgemäßen Betriebs der App und zur Erreichung der in dieser Richtlinie genannten Zwecke erforderlich sind.
Die Auftragsverarbeitung erfolgt ausschließlich auf Grundlage eines schriftlichen oder elektronischen Vertrags gemäß Art. 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DSGVO), der den Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten anzuwenden und Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten.
Der Verantwortliche setzt ausschließlich Auftragsverarbeiter ein, die ausreichende Garantien für die Umsetzung geeigneter Sicherheitsmaßnahmen bieten, die den Anforderungen der DSGVO, branchenspezifischen Normen und den Grundsätzen des Informationssicherheitsmanagements entsprechen. Diese Rechtsträger dürfen personenbezogene Daten ausschließlich in dem Umfang und für den Zeitraum verarbeiten, der zur Erbringung der übertragenen Dienstleistungen erforderlich ist.
Derzeit setzen wir keine Vorgänge ein, bei denen automatisierte Entscheidungen getroffen werden, die gegenüber den betroffenen Personen rechtliche Wirkungen entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen würden.
15. Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums (EWR)
Personenbezogene Daten werden nicht außerhalb des Europäischen Wirtschaftsraums übermittelt.
16. Verarbeitung in Prozessen mit automatisierter Entscheidungsfindung einschließlich Profiling
Derzeit setzen wir keine Vorgänge ein, bei denen automatisierte Entscheidungen getroffen werden, die gegenüber den betroffenen Personen rechtliche Wirkungen entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen würden.
17. Wie schützen wir Ihre Daten?
Um den Schutz und die Sicherheit der Daten zu gewährleisten, ergreifen wir umfassende Sicherheitsmaßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer personenbezogenen Daten sicherzustellen. Dabei berücksichtigen wir den aktuellen Stand der Technik und die geltenden Datenschutzvorschriften. Ihre Daten werden ausschließlich in einem verschlüsselten Speicherbereich innerhalb der App gespeichert. Die Integrität dieses Speicherbereichs wird durch das Betriebssystem Ihres Smartphones gewährleistet. Die Daten werden mit unserem Datenbankmanagementsystem synchronisiert. Alle Daten werden zusätzlich in der Datenbank mit einem der Nutzerin oder dem Nutzer zugewiesenen Schlüssel verschlüsselt. Regelmäßige Sicherungskopien schützen vor einem unbeabsichtigten Datenverlust.
Im Rahmen des Informationssicherheitsmanagementsystems hat der Verantwortliche Verfahren und Schutzmaßnahmen eingeführt und unterhält diese, die den Anforderungen der Norm 27001 (Informationssicherheitsmanagementsystem) entsprechen. Der Verantwortliche verfügt über ein Zertifikat über die Übereinstimmung mit ISO/IEC 27001, das die Anwendung weltweit anerkannter Standards im Bereich Informationsschutz, Risikomanagement und kontinuierliche Verbesserung der eingesetzten Schutzmaßnahmen bestätigt.
Die eingesetzten Sicherheitsmaßnahmen umfassen insbesondere Zugriffskontrolle auf Daten, Verschlüsselung, Systemüberwachung, regelmäßige Tests und Bewertungen der Wirksamkeit der Schutzmaßnahmen, Management von Sicherheitsvorfällen sowie Schulungen für Personen, die zur Verarbeitung personenbezogener Daten befugt sind.
Der Verantwortliche analysiert laufend Bedrohungen und ergreift Maßnahmen zur Minimierung des Risikos einer Verletzung des Schutzes personenbezogener Daten.
18. Was können Sie tun, um die Sicherheit Ihrer Daten zu gewährleisten?
Um ein möglichst hohes Sicherheitsniveau für Ihre Daten zu gewährleisten, müssen Sie geeignete Maßnahmen zum Schutz der App und der über sie übermittelten Daten ergreifen.
Dazu gehören:
- Sichere Umgebung und Verbindungen: Stellen Sie sicher, dass Sie die App über eine sichere Internetverbindung nutzen, um das Risiko eines Datenverlusts zu verringern. Vermeiden Sie die Nutzung öffentlicher WLAN-Netze, wenn Sie vertrauliche Informationen eingeben oder abrufen. Verbindungen über öffentliche Netze können mit Sicherheitsrisiken verbunden sein, die der Entwickler der App nicht vollständig beseitigen kann.
- Halten Sie die App und das Betriebssystem aktuell, um die neuesten Sicherheitsupdates zu nutzen.
- Aktivieren Sie die Bildschirmsperre: Verwenden Sie eine PIN, ein Passwort oder eine biometrische Sperre, um Ihr Gerät standardmäßig zu entsperren.
- Achten Sie auf verdächtige Nachrichten: Öffnen Sie keine Links oder Anhänge in E-Mails oder Nachrichten, die zur Angabe von Anmeldedaten auffordern oder verdächtig erscheinen.
19. Änderungen der Datenschutzrichtlinie
Der Verantwortliche behält sich das Recht vor, diese Datenschutzrichtlinie jederzeit zu ändern oder zu aktualisieren, insbesondere bei Änderungen der Rechtsvorschriften, technologischer Weiterentwicklung, Einführung neuer Funktionen der App oder Änderungen der Art und Weise der Verarbeitung personenbezogener Daten.
Bei wesentlichen Änderungen des Inhalts der Datenschutzrichtlinie, einschließlich Änderungen ihrer den Nutzerinnen und Nutzern bereitgestellten Übersetzungen, wird die Nutzerin oder der Nutzer beim ersten Start der App nach deren Veröffentlichung über die neue Fassung des Dokuments informiert. Bis zur Kenntnisnahme des aktuellen Inhalts der Datenschutzrichtlinie und zur erneuten Einwilligung durch Markieren des entsprechenden Kontrollkästchens kann der Zugriff auf die Funktionen der App eingeschränkt oder vollständig gesperrt werden.
Das Kontrollkästchen zur Annahme der aktualisierten Datenschutzrichtlinie ist standardmäßig nicht markiert, und die Schaltfläche zur Fortsetzung der Nutzung der App bleibt inaktiv, bis die Nutzerin oder der Nutzer ihre oder seine Einwilligung erteilt hat.
Die Nutzerin oder der Nutzer hat die Möglichkeit, den vollständigen Inhalt der aktuellen Datenschutzrichtlinie über die Funktion „View Privacy Policy/Read more“ einzusehen, die ein eigenes Fenster oder Bedienfeld mit der geltenden Fassung des Dokuments öffnet.
Die weitere Nutzung der App nach Annahme der neuen Fassung der Datenschutzrichtlinie bedeutet die Bestätigung, dass die Nutzerin oder der Nutzer deren Inhalt zur Kenntnis genommen hat, sowie die Annahme der eingeführten Änderungen. Der Verantwortliche empfiehlt, den aktuellen Inhalt der Datenschutzrichtlinie regelmäßig einzusehen, um aktuelle Informationen zu den Grundsätzen der Verarbeitung und des Schutzes personenbezogener Daten zu erhalten.
20. Wie können Sie uns kontaktieren?
Bei Fragen dazu, wie wir Ihre personenbezogenen Daten verwenden, können Sie uns per E-Mail oder postalisch unter den folgenden Adressen kontaktieren:
ABAStroke sp. z o.o. ul. Warszawska 3/3 31-155 Kraków Polen mit dem Zusatz: „Datenschutz“