Ärztin/Arzt zeigt die Vertidisan-App auf dem Smartphone
Vertidisan®

Datenschutzerklärung – Digitale Gesundheitsanwendung Vertidisan

Stand: 09.10.2023 · zuletzt aktualisiert am 12.03.2024. Mindestalter zur Nutzung: 18 Jahre, unabhängig vom Betriebssystem (iOS/Android).

1. Verantwortlicher

Digitineers GmbH & Co. KG, Österreich: Mariahilfer Str. 123/3, 1060 Wien (info@vertidisan.com), Deutschland: August-Bebel-Str. 9, 72072 Tübingen (Hauptsitz)
Telefon: +49 7071 704 30 10 · E-Mail: info@digitineers.com · www.digitineers.com

Speicherung der Daten bei: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Server-Standorte: Deutschland und Finnland (Hetzner Finland Oy). Datenschutzbestimmungen: hetzner.com/rechtliches/datenschutz.

Abrechnung GKV: Der Freischaltcode wird pseudonym an die Noventi HealthCare GmbH, Berg-am-Laim-Straße 105, 81673 München übertragen und an die gesetzliche Krankenversicherung weitergeleitet. Datenschutzbestimmungen: noventi.healthcare/datenschutz.

2. Datenschutzbeauftragter

Herr Marcel Heintz, DaVedo GmbH, Robert-Koch-Straße 35, 55129 Mainz
Telefon: +49 6131 3278420 · E-Mail: kontakt@davedo.de · www.davedo.de

3. Geltungsbereich

Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten gemäß Art. 4 Abs. 1 DSGVO sowie besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (u. a. Gesundheitsdaten, biometrische Daten) im Rahmen der Nutzung von Vertidisan.

4. Verarbeitung von Daten bei Registrierung und Nutzung

4.1 Download: Beim Download werden automatisch Daten an den jeweiligen App-Store übertragen (Nutzername, E-Mail, Kundennummer, Gerätekennziffer, Zahlungsinformation, Zeitpunkt). Verantwortlich hierfür ist der jeweilige App-Store-Betreiber.

4.2.1.1 Registrierung: IP-Adresse, Datum/Uhrzeit des Zugriffs, Passwort, E-Mail-Adresse, Freischaltcode (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).

4.2.1.2 Gesundheitsdaten (nur mit gesonderter Einwilligung, Art. 9 Abs. 2 lit. a DSGVO):

  • Nutzer-/Gesundheitsdaten: Diagnose, Symptome, Beschwerden, Verlauf
  • Gerätedaten: Handymodell, Betriebssystem, Device-ID
  • Fortschrittsdaten: angezeigte und absolvierte Inhalte
  • Inhaltsdaten: Einwilligungen zu AGB/Datenschutz/Cookies/Push-Nachrichten, App-Version
  • Serverdaten: IP-Adressen, aufgerufene Inhalte, pseudonymisierte ID, Zeitstempel
  • Server-Log-Files: IP, URL, Zeitstempel

4.2.1.3 Kontaktdaten bei Kontaktaufnahme zum Kundenservice.

4.2.4 Speicherdauer: Löschung nach dem 90. Therapietag, spätestens 180 Tage nach Registrierung/Aktivierung. Außerhalb der App (z. B. Rechnungsdaten bei Selbstzahlern): 6 Kalenderjahre gemäß HGB.

5. Weitergabe an Dritte

Kein Verkauf personenbezogener Daten. Keine Weitergabe ohne Ihre Zustimmung, außer gesetzlich gestattet. Auftragsverarbeiter werden gemäß Art. 28 Abs. 1 DSGVO eingesetzt; die Verarbeitung erfolgt ausschließlich in Deutschland bzw. Finnland. Eine behördliche Auskunftspflicht (z. B. Strafverfolgung, Ordnungswidrigkeiten, Finanzbehörden) bleibt unberührt.

6. Löschung von Daten

Backups werden spätestens nach 32 Tagen gelöscht. IP-Adressen zur Missbrauchserkennung werden maximal 7 Tage gespeichert.

7. Ihre Rechte

Auskunftsrecht (Art. 15 DSGVO), Recht auf Berichtigung (Art. 16), Recht auf Löschung (Art. 17), Recht auf Einschränkung der Verarbeitung (Art. 18), Recht auf Datenübertragbarkeit (Art. 20).

8. Widerspruchsrecht

Sie haben ein Widerspruchsrecht gemäß Art. 21 DSGVO sowie ein Beschwerderecht bei einer Aufsichtsbehörde. Eine erteilte Einwilligung können Sie gemäß Art. 7 Abs. 3 DSGVO jederzeit widerrufen – über Ihre Profileinstellungen, durch Löschung Ihres Accounts oder schriftlich.

9.–10. DiGAV: Zwecke & technische/organisatorische Maßnahmen

Die Datenverarbeitung erfolgt gemäß § 4 Abs. 2 DiGAV zu folgenden Zwecken: bestimmungsgemäßer Gebrauch, Nachweis positiver Versorgungseffekte, Nachweisführung nach § 134 SGB V, Funktionsfähigkeit und Weiterentwicklung. Hierfür können zwei getrennte Einwilligungen abgegeben werden.

Technische und organisatorische Maßnahmen umfassen u. a.: sicheres Authentisierungs- und Sitzungsdaten-Management, Zugriffssicherheit, Software-Risikomanagement gemäß ISO 27001/ISO 13485/BSI C5, Hosting auf deutschen Servern, eine 72-Stunden-Meldepflicht bei Datenschutzverletzungen, zertifizierte Penetrationstests gemäß BSI-Konzept (BSI TR-03161, pending), keinen Zugriff auf Gerätesensoren/-hardware über das Nötigste hinaus, eine vollständige Transparenzliste eingesetzter Fremdsoftware, Erreichbarkeit Mo–Sa 9–19 Uhr MEZ mit Antwort binnen 24 Stunden, Werbefreiheit, keine In-App-Käufe und keine automatischen Abo-Verlängerungen.

11. Datenschutzprüfung

Die Datenschutzprüfung erfolgte anhand der Kriterien des BfArM gemäß § 139e Abs. 11 SGB V und § 78a Abs. 8 SGB XI.

12. Änderungen dieser Datenschutzerklärung

Die aktuelle Fassung ist jederzeit über diese Website und über die App (Menüpunkt „Datenschutz“) abrufbar.