der digitalen Gesundheitsanwendung actensio
Letzte Anpassung am 01.12.2023
Verantwortliche Stelle im Sinne des Datenschutzrechts
mementor DE GmbH
Karl-Heine-Straße 15
04229 Leipzig
Deutschland
info@mementor.de
Kontaktdaten des Datenschutzbeauftragten
Paul Schmude
Karl-Heine-Straße 15
04229 Leipzig
Deutschland
dataprivacy@mementor.de
Diese Datenschutzerklärung soll die Nutzer über die Art, den Umfang und den Zweck der Erhebung und Verwendung personenbezogener Daten durch den verantwortlichen Anbieter informieren.
Die Datenschutzerklärung ist für die App actensio gültig. Die App actensio wird zur Behandlung von Bluthochdruck verwendet und lenkt mittels eines virtuellen Avatars durch eine Vielzahl von Übungen und Informationen. Mit Hilfe eines Tagebuchs wird dabei der Fortschritt verfolgt und die Therapie gelenkt. Dazu werden Gesundheitsdaten i. S. v. Art. 9 DSGVO verwendet, diese werden in Punkt 5. b) genauer erläutert.
Bei jeder Nutzung von actensio wird eine Verbindung mit dem actensio-Server hergestellt. Dabei werden automatisch Informationen erfasst.
Es werden dabei die
IP-Adresse und
Informationen zu dem von Ihnen genutzten Endgerät
erfasst. Ohne diese Daten wäre es technisch teils nicht möglich actensio zu nutzen. Insofern ist die Erfassung der Daten zwingend notwendig. Darüber hinaus verwenden wir die anonymisierten Informationen für statistische Zwecke. Sie helfen uns bei der Optimierung des Angebots und der Technik. Wir behalten uns zudem das Recht vor, die Log-Files bei Verdacht auf eine rechtswidrige Nutzung unseres Angebotes nachträglich zu kontrollieren. Rechtsgrundlage für die vorübergehende Speicherung der Daten bzw. der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem zuvor genannten Zwecken folgt.
Eine Löschung der Daten, insbesondere der Logfiles erfolgt in regelmäßigen Abständen.
Sie haben die Möglichkeit uns damit zu beauftragen, Ihr Rezept für actensio an die Krankenkasse zu übermitteln. Dafür können Sie über https://actens.io/rezept-service/ Ihr Rezept hochladen und sich anmelden, siehe Punkt 5. a) für die Anmeldung.
Für die Durchführung werden folgende Daten erhoben:
Versichertennummer
Name
Geburtsdatum
Arzt-Nummer
Stempel des Arztes mit Name, Adresse
Datum der Verschreibung
Nach der Anmeldung und dem Hochladen des Rezepts wird von uns die Anschrift der Krankenkasse herausgesucht und ein Schreiben verfasst, in welchem um die Einlösung des Rezepts und die Ausstellung eines DiGA-Codes für Sie gebeten wird. Dieses Schreiben wird von uns an den Service LetterXpress, bereitgestellt durch A&O Fischer GmbH & Co. KG, Maybachstraße 9, 21423 Winsen (Luhe), zum Versand weitergeleitet. Sie erhalten danach die Rückantwort direkt von Ihrer Krankenkasse.
Mit der Übertragung des Rezepts erfolgt gleichzeitig eine Anmeldung, um sicherzustellen, dass wir Sie verifizieren können und damit Sie gegebenenfalls von Ihren Rechten Gebrauch machen können.
Alle übertragenen Daten, außer der E-Mailadresse, werden nur so lange gespeichert, bis der DiGA-Code eingelöst wird, oder bis 30 Tage seit der Anmeldung vergangen sind. Die Löschung der Anmeldedaten erfolgt gemäß den Vorgaben in Punkt 5. a).
Die Verarbeitung Ihrer Daten erfolgt in diesem Fall aufgrund Ihrer Einwilligung gem. Art. 6 Abs.1 S. 1 lit. a DSGVO und Art. 9 Abs. 2 S. 1 lit. a DSGVO. Sie können die Einwilligung jederzeit ohne Angabe von Gründen widerrufen.
Im Rahmen des Trainings werden personenbezogene Daten verarbeitet. Als personenbezogene Daten gelten alle Informationen, anhand derer eine Person eindeutig identifizierbar ist. Es handelt sich somit um Daten, die zu einer Person zurückverfolgt werden können.
Alle Daten werden auf Servern in Deutschland von europäischen Anbietern gespeichert und verarbeitet. Der Betreiber unserer Server ist nach ISO 27001 zertifiziert, es liegen entsprechende Auftragsdatenverarbeitungsverträge vor.
Zur Nutzung der App muss ein Internetzugang verfügbar sein. Die Nutzung von internetbasierten Diensten geht generell mit einem gewissen Sicherheitsrisiko einher, welches wir von unserer Seite aus minimieren, dennoch können wir nicht alle Risiken restlos adressieren.
a) Registrierung
Sofern eine Registrierung über die Website https://actens.io bzw. die Gesundheitsanwendung actensio erfolgt, werden von mementor die folgenden personenbezogenen Daten im Rahmen der Registrierung und Nutzung der Gesundheitsanwendung actensio verarbeitet:
E-Mail-Adresse und
Lizenzcode
Grundlage für die Verarbeitung ist Ihre Einwilligung in unsere Nutzungsbedingungen, unsere Datenschutzerklärung und dass Sie die Ausschlusskriterien gelesen haben
Die Anmeldung ermöglicht den Zugriff auf Leistungen und Inhalte, die nur registrierten Nutzern zur Verfügung stehen. Bei Bedarf haben angemeldete Nutzer die Möglichkeit, die im Rahmen der Registrierung genannten Daten jederzeit im Profil zu ändern oder zu löschen.
Die Verarbeitung Ihrer Daten erfolgt in diesem Fall aufgrund Ihrer Einwilligung gem. Art. 6 Abs.1 S. 1 lit. a DSGVO in Verbindung mit Art. 9 Abs. 2 S. 1 lit. a DSGVO, sowie § 4 Abs. 2 S. 1 DiGA-V. Sie können die Einwilligung jederzeit ohne Angabe von Gründen widerrufen. Die etwaige Verarbeitung des DiGA-Codes zur Abrechnung erfolgt auf Grundlage von Art. 6. Abs. 1 S. 1 lit. b DSGVO.
Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf ihren expliziten Wunsch hin ihr Konto auch über die 30 Tage vor der Löschung bewahren.
b) Training mittels actensio
Um das Training zu personalisieren und damit eine möglichst hohe Erfolgsquote zu erzielen, werden im Training mit der Gesundheitsanwendung actensio weitergehende Daten erhoben. Dazu gehören
Bei der Nutzung der App werden Gesundheitsdaten zu
abgefragt. Die von Ihnen abgegebenen Antworten werden gespeichert und ausgewertet, um das Training auf Ihre individuellen Probleme und Bedürfnisse anzupassen. Bei den erhobenen Daten handelt es sich um besondere Kategorien personenbezogener Daten, speziell Gesundheitsdaten, i. S. v. Art. 9 DSGVO, bzw. § 22 BDSG. Gesundheitsdaten sind alle Daten, die sich auf den körperlichen und geistigen Gesundheitszustand einer natürlichen Person beziehen. Diese Daten werden auf einem Server in Deutschland gespeichert. Die Server werden nicht von uns, sondern von einem europäischen Anbieter betrieben. Mit diesem liegt ein Auftragsdatenverarbeitungsvertrag und eine Liste technischer und organisatorischer Maßnahmen vor. Der Auftragnehmer ist nach ISO 27001 zertifiziert. Auf die Daten haben nur unsere Administratoren, unsere Mitarbeiter im Support und Sie Zugriff.
Die gespeicherten Daten werden genutzt, um Auswertungen zu erstellen und den Trainingserfolg zu überwachen.
Diese Daten werden von mementor nur erhoben und genutzt, sofern der Gesetzgeber dies ausdrücklich erlaubt oder aber der Nutzer in die Erhebung, Bearbeitung, Nutzung und Weitergabe der Daten einwilligt.
Rechtsgrundlage zur Verarbeitung der Daten, bzw. Gesundheitsdaten ist Ihre ausdrückliche Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO und Art. 9 Abs. 2 S. 1 lit. a DSGVO. Sie können ihre Einwilligung zur Verarbeitung jederzeit ohne Angaben von Gründen zurückziehen. Ein Zurückziehen der Einwilligung resultiert in einer Sperrung der Verarbeitung ihrer Daten und einer Löschung nach 30 Tagen. Innerhalb dieses Zeitraums können Sie ihre Einwilligung erneut erteilen und das Programm ohne Fortschrittsverlust weiternutzen.
Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf ihren expliziten Wunsch hin ihr Konto auch über die 30 Tage vor der Löschung bewahren.
c) Fitness Tracker und Schrittzähler
Die von mementor angebotene Gesundheitsanwendung actensio kann optional mit einem Fitnesstracker verbunden werden. Dabei werden Informationen zu
körperlicher Aktivität
von der entsprechenden API an actensio übermittelt und entsprechend lit. b in das Protokoll übernommen.
Eine Verbindung mit dem Fitnesstracker und das Abrufen der Daten ist nur möglich, nachdem Sie gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO Ihre Einwilligung erteilt haben. Sie haben jederzeit die Möglichkeit diese Einwilligung zu widerrufen und actensio auch ohne Fitnesstracker fortzuführen.
Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf ihren expliziten Wunsch hin ihr Konto auch über die 30 Tage vor der Löschung bewahren.
d) E-Mails
Wir nutzen Sendinblue der Firma Newsletter2Go GmbH, Köpenicker Straße 126, 10179 Berlin zum Versand von E-Mails. Dies betrifft sowohl die E-Mail zur Registrierung, System-E-Mails, Erinnerungs-E-Mails und Newsletter. Dabei werden
ihre E-Mailadresse,
ihr selbstgewählter Nutzername,
der Inhalt der Nachricht und
die Information ob die E-Mail gelesen wurde
verarbeitet. Mit dem Dienstleister wurde ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen. Sendinblue nutzt Unterauftragnehmer innerhalb der EU, daher kann es sein, dass Informationen in den E-Mails aus Ländern außerhalb Deutschlands geladen werden.
Wir verwenden in unseren E-Mails Pixel zum Nachvollziehen, ob eine E-Mail ihr Ziel erreicht hat und gelesen wurde. Dies ist notwendig um zu wissen, ob der Versand von E-Mails funktioniert.
Die Verarbeitung erfolgt auf Basis ihrer Einwilligung nach Art. 6 Abs. 1. S. 1 lit. a DSGVO i. V. m. Art. 9 Abs. 2. lit. a. Eine Durchführung des Trainings ist auch ohne das Verschicken von E-Mails möglich, Sie können jederzeit in ihrem Profil einstellen, ob Sie Erinnerungs-E-Mails oder einen Newsletter erhalten wollen.
Die verarbeiteten Daten werden nur so lange gespeichert, wie es für die Durchführung des Versendens notwendig ist.
Die Gesundheitsanwendung actensio basiert auf aktuellen wissenschaftlichen Behandlungsmethoden und berücksichtigt neuste Kenntnisse aus der Forschung. Um eine kontinuierliche Verbesserung des Trainings sicherzustellen, behält sich mementor vor, Ihre Daten zu anonymisieren und anschließend auszuwerten. Damit können das Training und dessen Effektivität optimiert werden. Durch die Anonymisierung ist es später nicht mehr möglich diese Daten einer natürlichen Person zuzuordnen.
Wenn Sie mementor per E-Mail oder Formular kontaktieren, werden die von Ihnen gemachten Angaben (insbesondere Ihre E-Mail-Adresse) gespeichert, um Ihre Anfrage beantworten und mögliche Anschlussfragen stellen zu können.
In diesem Fall erfolgt die Verarbeitung Ihrer Daten auf Grundlage Ihrer (konkludenten) Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO.
Sie haben die Möglichkeit sich einen telefonischen Supporttermin mit uns zu vereinbaren. Zur Organisation solcher Termine nutzen wir Calenso. Anbieter ist Braincept AG, Neuenkirchstrasse 19, 6203 Sempach-Station, Schweiz, Europa (Webseite: https://www.calenso.com).
Wir nutzen Calenso um Telefontermine online buchbar zu machen. Dies stellt ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO dar, das berechtigte Interesse liegt dabei in der strukturierten Organisation der Termine.
Bei der Terminbuchung werden Name, E-Mail-Adresse und die Telefonnummer verlangt. Die an uns gesendeten Informationen verbleiben bei uns, bis Sie uns zur Löschung auffordern oder der Zweck für die Datenspeicherung entfällt. Zwingende gesetzliche Bestimmungen – insb. Aufbewahrungsfristen – bleiben unberührt. Sollten Sie es bevorzugen, Termine nicht via Calenso mit uns zu vereinbaren, können Sie alternativ per E-Mail (support@mementor.de) mit uns in Kontakt treten.
Zusätzlich haben wir mit Calenso einen Auftragsdatenverarbeitungsvertrag (Data Processing Agreement, DPA) abgeschlossen. Dadurch ist sichergestellt, dass Calenso die Nutzer-Daten nur im Rahmen der EU-Datenschutznormen ausschliesslich zur Verarbeitung der Anfragen nutzt und diese nicht an Dritte weitergibt.
Nähere Informationen über Calenso und zu den erfassten Daten entnehmen Sie der Datenschutzerklärung von Calenso unter dem folgenden Link: https://calenso.com/datenschutz/.
actensio verwendet sogenannte Cookies. Das sind Textdateien, die vom Server aus auf Ihrem Gerät gespeichert werden. Cookies werden in actensio genutzt, um Sitzungsdaten nach der Anmeldung im Programm zu speichern. Wir weisen Sie darauf hin, dass dies mit gewissen Risiken verbunden sein kann. Um sicherzustellen, dass Ihre Sitzung nicht von Drittpersonen gekapert werden kann, empfehlen wir Ihnen, sich nach jeder Nutzung von actensio auszuloggen.
Im Folgenden finden Sie Informationen dazu, welche Betroffenenrechte das geltende Datenschutzrecht Ihnen gegenüber dem Verantwortlichen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gewährt:
a) Das Recht, gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen.
b) Das Recht, gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.
c) Das Recht, gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
d) Das Recht, gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.
e) Das Recht, gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen. Im Profil können Sie alle über Sie gespeicherten Daten in einem Maschinenlesbaren Format exportieren. Sie haben auch die Möglichkeit, einer klinischen Fachperson (Arzt / Psychotherapeut) Zugriff auf einen Auswertungsreport zu geben. Im Report sind Daten aus Ihrem Blutdrucktagebuch sowie Daten zum Fortschritt im Training enthalten. Der Zugriff kann nicht von der klinischen Fachperson selbst ausgelöst werden, sondern geht ausschließlich durch eine Aktion von Ihnen aus dem Profil der Anwendung aus. Jeder Zugriff ist nur durch eine explizite Autorisierung von Ihnen möglich.
f) Das Recht, sich gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde des Bundeslandes unseres oben angegebenen Sitzes oder ggf. die Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes wenden.
g) Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO: Sie haben das Recht, eine einmal erteilte Einwilligung in die Verarbeitung von Daten jederzeit mit Wirkung für die Zukunft zu widerrufen. Im Falle des Widerrufs werden wir die betroffenen Daten unverzüglich löschen, sofern eine weitere Verarbeitung nicht auf eine Rechtsgrundlage zur einwilligungslosen Verarbeitung gestützt werden kann. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
h) Sofern Ihre personenbezogenen Daten von uns auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie gemäß Art. 21 DSGVO das Recht, Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dies aus Gründen erfolgt, die sich aus Ihrer besonderen Situation ergeben. Soweit sich der Widerspruch gegen die Verarbeitung personenbezogener Daten zum Zwecke von Direktwerbung richtet, haben Sie ein generelles Widerspruchsrecht ohne das Erfordernis der Angabe einer besonderen Situation.
Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an support@mementor.de.
Um zu gewährleisten, dass unsere Datenschutzerklärung stets den aktuellen gesetzlichen Vorgaben entspricht, behält sich mementor jederzeit Änderungen vor. Das gilt auch für den Fall, dass die Datenschutzerklärung aufgrund neuer oder überarbeiteter Leistungen, zum Beispiel neuer Serviceleistungen, angepasst werden muss.
Sollten einzelne Bestimmungen dieser Datenschutzerklärung ganz oder in Teilen unwirksam oder undurchführbar sein oder werden, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen.