Datenschutzerklärung – Digitale Gesundheitsanwendung Vertidisan
Stand: 09.10.2023 · zuletzt aktualisiert am 12.03.2024. Mindestalter zur Nutzung: 18 Jahre, unabhängig vom Betriebssystem (iOS/Android).
1. Verantwortlicher
Digitineers GmbH & Co. KG, Österreich: Mariahilfer Str. 123/3, 1060 Wien (info@vertidisan.com), Deutschland: August-Bebel-Str. 9, 72072 Tübingen (Hauptsitz)
Telefon: +49 7071 704 30 10 · E-Mail: info@digitineers.com · www.digitineers.com
Speicherung der Daten bei: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Server-Standorte: Deutschland und Finnland (Hetzner Finland Oy). Datenschutzbestimmungen: hetzner.com/rechtliches/datenschutz.
Abrechnung GKV: Der Freischaltcode wird pseudonym an die Noventi HealthCare GmbH, Berg-am-Laim-Straße 105, 81673 München übertragen und an die gesetzliche Krankenversicherung weitergeleitet. Datenschutzbestimmungen: noventi.healthcare/datenschutz.
2. Datenschutzbeauftragter
Herr Marcel Heintz, DaVedo GmbH, Robert-Koch-Straße 35, 55129 Mainz
Telefon: +49 6131 3278420 · E-Mail: kontakt@davedo.de · www.davedo.de
3. Geltungsbereich
Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten gemäß Art. 4 Abs. 1 DSGVO sowie besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (u. a. Gesundheitsdaten, biometrische Daten) im Rahmen der Nutzung von Vertidisan.
4. Verarbeitung von Daten bei Registrierung und Nutzung
4.1 Download: Beim Download werden automatisch Daten an den jeweiligen App-Store übertragen (Nutzername, E-Mail, Kundennummer, Gerätekennziffer, Zahlungsinformation, Zeitpunkt). Verantwortlich hierfür ist der jeweilige App-Store-Betreiber.
4.2.1.1 Registrierung: IP-Adresse, Datum/Uhrzeit des Zugriffs, Passwort, E-Mail-Adresse, Freischaltcode (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).
4.2.1.2 Gesundheitsdaten (nur mit gesonderter Einwilligung, Art. 9 Abs. 2 lit. a DSGVO):
- Nutzer-/Gesundheitsdaten: Diagnose, Symptome, Beschwerden, Verlauf
- Gerätedaten: Handymodell, Betriebssystem, Device-ID
- Fortschrittsdaten: angezeigte und absolvierte Inhalte
- Inhaltsdaten: Einwilligungen zu AGB/Datenschutz/Cookies/Push-Nachrichten, App-Version
- Serverdaten: IP-Adressen, aufgerufene Inhalte, pseudonymisierte ID, Zeitstempel
- Server-Log-Files: IP, URL, Zeitstempel
4.2.1.3 Kontaktdaten bei Kontaktaufnahme zum Kundenservice.
4.2.4 Speicherdauer: Löschung nach dem 90. Therapietag, spätestens 180 Tage nach Registrierung/Aktivierung. Außerhalb der App (z. B. Rechnungsdaten bei Selbstzahlern): 6 Kalenderjahre gemäß HGB.
5. Weitergabe an Dritte
Kein Verkauf personenbezogener Daten. Keine Weitergabe ohne Ihre Zustimmung, außer gesetzlich gestattet. Auftragsverarbeiter werden gemäß Art. 28 Abs. 1 DSGVO eingesetzt; die Verarbeitung erfolgt ausschließlich in Deutschland bzw. Finnland. Eine behördliche Auskunftspflicht (z. B. Strafverfolgung, Ordnungswidrigkeiten, Finanzbehörden) bleibt unberührt.
6. Löschung von Daten
Backups werden spätestens nach 32 Tagen gelöscht. IP-Adressen zur Missbrauchserkennung werden maximal 7 Tage gespeichert.
7. Ihre Rechte
Auskunftsrecht (Art. 15 DSGVO), Recht auf Berichtigung (Art. 16), Recht auf Löschung (Art. 17), Recht auf Einschränkung der Verarbeitung (Art. 18), Recht auf Datenübertragbarkeit (Art. 20).
8. Widerspruchsrecht
Sie haben ein Widerspruchsrecht gemäß Art. 21 DSGVO sowie ein Beschwerderecht bei einer Aufsichtsbehörde. Eine erteilte Einwilligung können Sie gemäß Art. 7 Abs. 3 DSGVO jederzeit widerrufen – über Ihre Profileinstellungen, durch Löschung Ihres Accounts oder schriftlich.
9.–10. DiGAV: Zwecke & technische/organisatorische Maßnahmen
Die Datenverarbeitung erfolgt gemäß § 4 Abs. 2 DiGAV zu folgenden Zwecken: bestimmungsgemäßer Gebrauch, Nachweis positiver Versorgungseffekte, Nachweisführung nach § 134 SGB V, Funktionsfähigkeit und Weiterentwicklung. Hierfür können zwei getrennte Einwilligungen abgegeben werden.
Technische und organisatorische Maßnahmen umfassen u. a.: sicheres Authentisierungs- und Sitzungsdaten-Management, Zugriffssicherheit, Software-Risikomanagement gemäß ISO 27001/ISO 13485/BSI C5, Hosting auf deutschen Servern, eine 72-Stunden-Meldepflicht bei Datenschutzverletzungen, zertifizierte Penetrationstests gemäß BSI-Konzept (BSI TR-03161, pending), keinen Zugriff auf Gerätesensoren/-hardware über das Nötigste hinaus, eine vollständige Transparenzliste eingesetzter Fremdsoftware, Erreichbarkeit Mo–Sa 9–19 Uhr MEZ mit Antwort binnen 24 Stunden, Werbefreiheit, keine In-App-Käufe und keine automatischen Abo-Verlängerungen.
11. Datenschutzprüfung
Die Datenschutzprüfung erfolgte anhand der Kriterien des BfArM gemäß § 139e Abs. 11 SGB V und § 78a Abs. 8 SGB XI.
12. Änderungen dieser Datenschutzerklärung
Die aktuelle Fassung ist jederzeit über diese Website und über die App (Menüpunkt „Datenschutz“) abrufbar.