Datenschutzerklärung

Mit der nachfolgenden Datenschutzerklärung wird über die Verarbeitung personenbezogener Daten innerhalb der Nutzung der DiGA aktivdia informiert. Dabei spielt der Schutz der Privatsphäre des Betroffenen die entscheidende Rolle.

aktivdia ist eine Software-Lösung (DiGA) zur Begleitung der Therapie von Typ-2-Diabetikern. Die DiGA wird entweder von einem Arzt bzw. einer Ärztin auf Grundlage der Diagnose Diabetes Typ 2 (ICD-10: E11) verschrieben oder vom Betroffenen direkt bei der Krankenkasse angefragt.

Kontaktdaten des Verantwortlichen

TWT Digital Health GmbH
Im Schuhmachergewann 6
69123 Heidelberg

E-Mail:
Telefon: +49 6221 8220 0

Handelsregister: Registergericht Mannheim
Registernummer: 335935  

Kontaktdaten des Datenschutzbeauftragten

Datenschutz Süd GmbH
Dr. iur. Christian Borchers
Wörthstr. 15
97082 Würzburg

E-Mail:

Die Anfragen werden in angemessener Zeit beantwortet.

Datenverarbeitung im Rahmen der digitalen Gesundheitsanwendung

Umfang und Zwecke der Verarbeitung personenbezogener Daten

Im Rahmen der Nutzung unserer DiGA verarbeiten wir Registrierungs- und Gesundheitsdaten.  Es werden u.a. die folgenden personenbezogenen Daten verarbeitet:

  • Benutzernamen
  • E-Mail
  • Geschlecht
  • Körpergröße
  • Gewicht
  • Alter/Geburtsdatum
  • Stimmung/Wohlbefinden
  • Mahlzeiten
  • Kalorienaufnahme/-verbrauch
  • Blutzuckermessdaten

Zwecke der Datenverarbeitung

Die personenbezogenen Daten der Nutzer:innen werden grundsätzlich nur bis zu dem Punkt verarbeitet, soweit dies zur Bereitstellung einer funktionsfähigen digitalen Gesundheitsanwendung sowie derer Inhalte und Leistungen erforderlich ist. Die während der Anwendung erhobenen Gesundheitsdaten dienen ausschließlich zur Durchführung der Digitalen Gesundheitsanwendung und damit der Verbesserung des körperlichen Gesundheitszustands der Nutzer:innen.

Der Zweck der Verarbeitung der Nutzerdaten zur täglichen Routine und zum Gesundheitszustand besteht daher darin, die Anwendung zum bestimmungsgemäßen Gebrauch als digitale Gesundheitsanwendung bereitzustellen.

Die Verarbeitung personenbezogener Daten der Nutzer:innen erfolgt regelmäßig nur nach Einwilligung der Nutzer:innen. Die personenbezogenen Daten können auch manuell in Übereinstimmung mit dem jeweiligen Zweck verarbeitet werden, wenn dies erforderlich oder zweckmäßig ist. An der Datenverwaltung können unsere Mitarbeiter oder andere von TWT Digital Health Group Beauftragte teilnehmen, unter anderem zum Zwecke der Fehlerbeseitigung, der Klärung von Unklarheiten o.ä. Diese Personen können personenbezogene Daten jedoch nur insoweit und in dem Umfang verarbeiten, als dies vorstehend erläutert wird. Überdies sind sie verpflichtet über Verschwiegenheit über personenbezogene Daten und Sicherheitsmaßnahmen zu bewahren, deren Offenlegung den Datenschutz gefährden würde.

Bestimmte Informationen werden bereits automatisch verarbeitet, sobald die App heruntergeladen wird. Beim Download der aktivdia App werden bestimmte erforderliche Informationen an den ausgewählten App Store (z.B. Google Play oder Apple App Store) übermittelt, insbesondere können dabei der Nutzername, die E‑Mail-Adresse, der Zeitpunkt des Downloads sowie die individuelle Gerätekennziffer verarbeitet werden. Die Verarbeitung dieser Daten erfolgt ausschließlich durch den Betreiber des jeweiligen App Stores und liegt außerhalb des Einflussbereiches. In diesem Zusammenhang werden auch Informationen zur Bereitstellung von Push-Nachrichten und zur Überwachung der App-Leistung übermittelt. Es werden keine Gesundheitsdaten übertragen oder offengelegt.

Rechtsgrundlage der Datenverarbeitung

Um alle Funktionen der Anwendung laut Vertrag zu nutzen, können die Nutzer:innen in der Anwendung ihre Gesundheitsdaten eingeben. Diese Daten werden als sensible personenbezogene Daten laut Art. 9 Abs. 2 lit. a) DSGVO i.V.m. § 4 Abs. 2 Nr. 1 DiGAV lediglich aufgrund der jeweiligen Einwilligung verarbeitet. Die Einwilligung wird ausdrücklich und freiwillig erteilt, ist allerdings zur Nutzung notwendig.

Die Identifikations- und Kontaktdaten sowie die Daten über die Vertragserfüllung und die Kommunikation mit den Nutzer:innen werden auf Grundlage der Durchführung des Vertrages gemäß Art. 6 Abs. 1 lit. b) DSGVO verarbeitet.

Widerruf der Einwilligung

Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können die Nutzer:innen jederzeit widerrufen. Ein Widerruf hat zur Folge, dass der Funktionsumfang der digitalen Anwendung nicht mehr zur Verfügung steht. Dabei ist zu beachten, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen. Bei Deinstallation der DiGA

Empfänger

Die von den Nutzer:innen im Rahmen der Nutzung der digitalen Gesundheitsanwendung eingegebenen Gesundheitsdaten werden prinzipiell nicht an Dritte (z.B. Krankenkasse) weitergegeben. Für die Bereitstellung unserer Dienstleistung setzen wir die „…“ ein, in welcher die Nutzerdaten gespeichert werden. Betreiber ist die“…“. Die Gesundheitsdaten der Nutzer:innen werden ausschließlich in Deutschland verarbeitet.

Die zur Abrechnung der erbrachten Leistung notwendigen Registrierungsdaten werden an die Krankenkasse übermittelt. Dazu werden die Daten u.a. von unserem Dienstleister NOVENTI Health SE (Berg-am-Laim-Str, 105, 81673 München) verarbeitet. Eine Übermittlung von Gesundheitsdaten an die Krankenkasse ist ausgeschlossen.

Weiterhin können die Daten an folgende Auftragsdatenverarbeiter weitergegeben werden:

  • aktivmed GmbH, Oldenburger Straße 17, 48429 Rheine
  • Für Crash reporting wird Sentry https://sentry.io/welcome/ genutzt und übermitteln hier Daten
  • GD Gesundheitsdienst GmbH, Oldenburger Straße 17, 48429 Rheine
  • diabetikerbedarf db GmbH, Walshagenstr. 127, 48429 Rheine
  • PRRC: ?
  • Datenschutzbeauftragter: Dr. iur. Christian Borchers, Wörthstr. 15, 97082 Würzburg
  • Vollständig?

Die Daten werden nicht außerhalb der EU verarbeitet. Personenbezogene Daten können jedoch an Behörden zur Ausführung der Befugnisse übermittelt werden.

Es besteht für die Nutzer:innen die Möglichkeit einen PDF-Bericht (mit Daten bezüglich u.a. Blutzuckermessungen, Gewicht) generieren zu lassen, den diese dem Leistungserbringer zur Verfügung stellen können. Eine Weiterleitung dieses PDF-Berichtes findet nicht automatisch statt. Diese muss der Nutzer bzw. die Nutzerin gezielt an seinen jeweiligen Leistungserbringer erteilen.

Speicherdauer der Daten

Die Daten werden zur Dauer der Nutzung der digitalen Gesundheitsanwendung gespeichert. Die auf Grundlage der rechtlichen Verpflichtungen gemäß Art. 6 Abs. 1 lit. c) DSGVO erhobenen personenbezogenen Daten werden innerhalb der gesetzlich festgelegten Fristen verarbeitet.

Während der Nutzung der App können Daten gespeichert werden. Die DiGA ist für wiederholte Verordnungen ausgelegt. Nach der maximalen Verordnungsdauer von 90 Tagen pausiert die Anwendung und die Nutzer:innen werden aufgefordert einen neuen Zugangscode für weitere 90 Tage einzugeben. Die Daten werden in der Zwischenzeit der Pausierung gespeichert, damit die Therapie dort fortgesetzt werden kann, wo sie unterbrochen wurden.

Es gibt eine Grace period von 1 Monat, wenn der Nutzer bzw. die Nutzerin aktiv zustimmt. 

Die Löschung des Profils, einschließlich der Daten kann durch den Nutzer bzw. die Nutzerin selbst vorgenommen werden.

Es werden personenbezogene Daten nach Vertragsende zum Schutz der berechtigen Interessen des Herstellers bezüglich z.B. Verteidigung vor etwaigen Ansprüchen der Nutzer:innen (z.B. Schadensersatzansprüche), auch vor Gericht, für die Dauer der für zivilrechtliche Ansprüche einschlägigen, regelmäßigen Verjährungspflicht von drei Jahren, ab Vertragsende, gemäß § 195 BGB. In diesem Zusammenhang werden lediglich Daten der Identifikation (Vorname, Nachname) und Kontaktdaten (E-Mail) sowie Daten über die Vertragserfüllung.

Die durch rechtliche Vorgaben geforderten Daten (typischerweise Rechnungsdaten und Angaben zur erbrachten Leistung) müssen für die Zwecke der Buchhaltung und der Erfüllung der gesetzlichen Aufbewahrungspflichten verarbeiten werden. Die Speicherdauer beträgt bei den für die Umsatzsteuerzahlung relevanten Unterlagen 10 Jahre nach Ablauf des Rechnungsjahres, in dem die Leistung erbracht wurde.

Registrierung und Zweck, Rechtsgrundlage und Bereitstellungspflicht

Für die Registrierung wird der Krankenkassencode erfasst und es wird eine Bestätigung, dass der Login erfolgreich war, per E-Mail versendet. Der E-Mail-Provider ist (…?).

Die Daten werden ausschließlich zur Durchführung des Registrierungs- und Abrechnungs-Prozesses genutzt und erfolgen damit auf Grundlage eines berechtigten Interesses gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO.

Nach Erhalt der Einwilligung erhält die Anwendung Zugang auf das Endgerät der Nutzer:innen. Diese Push-Up-Nachrichten enthalten keine gesundheitsrelevanten Daten und können von den Nutzer:innen ausgestellt werden.

Betroffenenrechte

Die nachfolgenden Rechte gegenüber TWT Digital Health GmbH können geltend gemacht werden.

Auskunftsrecht nach Artikel 15 DSGVO

Die Nutzer:innen haben das Recht Auskunft über die von aktivdia verarbeiteten personenbezogenen Daten sowie eine Kopie dieser Daten zu verlangen. Weiterhin haben die Nutzer:innen Auskunftsmöglichkeiten darüber wie und zu welchem Zwecke diese Daten verarbeitet werden.

Recht auf Berichtigung nach Artikel 16 DSGVO

Bei unrichtig oder unvollständig vorliegenden Daten besteht das Recht die Berichtigung bzw. die Vervollständigung der personenbezogenen Daten zu verlangen. Einzelne Daten können eigenständig angepasst werden.

Recht auf Löschung nach Artikel 17 DSGVO

Es besteht das Recht auf Löschung der personenbezogenen Daten. Dieses Recht kann durchgehend selbst verwirklicht werden, indem das Profil und damit einhergehend die persönlichen Daten gelöscht werden. Ausgenommen sind hiervon alle personenbezogenen Daten, die aufgrund der vorgenannten gesetzlichen Verpflichtungen gespeichert müssen.

Es ist zu beachten, dass eine endgültige Löschung der Daten nicht rückgängig gemacht werden kann.

Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO

Wird die Verarbeitung der Daten eingeschränkt, darf diese Einschränkung nur unter besonderen Voraussetzungen, wie beispielsweise der erneuten Einwilligung der betroffenen Person verarbeitet werden. Solch eine Einschränkung der Verarbeitung kann gegeben sein, sofern eine der folgenden Voraussetzungen vorliegt:

  • Die Richtigkeit der personenbezogenen Daten wird bestritten.
  • Die Verarbeitung der Daten ist unrechtmäßig erfolgt und statt der Löschung der personenbezogenen Daten wurde die Einschränkung der Nutzung verlangt.
  • Der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
  • Die Interessenabwägung nach Einreichen eines Widerspruchs noch nicht abgeschlossen ist.
Recht auf Datenübertragbarkeit nach Artikel 20 DSGVO

Die Nutzer:innen haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Die Daten der App können auch direkt aus dem Profil exportiert werden.

Recht auf Beschwerde bei einer Aufsichtsbehörde

Die Nutzer:innen haben ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde. Die für aktivdia zuständige Aufsichtsbehörde ist:

Frau Claudia von Taschitzki
Rohrbacher Straße 12
69115 Heidelberg
Telefon: 06221 58-12580
Fax: 06221 58-4612580
E-Mail: