Einwilligungserklärung Datenschutz zur App Preventicus Heartbeats

EINWILLIGUNGSERKLÄRUNG DATENSCHUTZ ZUR APP PREVENTICUS HEARTBEATS UND TELECARE-CENTER

Mit Einwilligung in die Verarbeitung Ihrer Gesundheitsdaten erkläre ich mein Einverständnis in die mit der Nutzung der App Preventicus Heartbeats verbundene Datenverarbeitung gemäß den dabei geltenden Datenschutzhinweisen und den Nutzungsbestimmungen.
Zugleich erkläre ich für den Fall, dass ich dabei ergänzend den medizinischen-technischen Dienst des Telecare-Centers nutze mein Einverständnis in die dafür erforderliche Verarbeitung meiner Gesundheitsdaten gemäß den geltenden Datenschutzhinweisen und AGB des Telecare-Centers.
Ich kann mein Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf meiner Einwilligung führt jedoch dann dazu, dass eine vertragsgemäße Nutzung der App Preventicus Heartbeats oder des Telecare-Centers nicht länger möglich ist. Auch ist im Falle des Widerrufs eine Verarbeitung auf gesetzlicher Grundlage nicht ausgeschlossen.

DATENSCHUTZHINWEISE NUTZUNG DER APP PREVENTICUS HEARTBEATS 

Mit diesen Datenschutzhinweisen möchten wir darüber informieren, auf welcher Grundlage und zu welchen Zwecken wir personenbezogene Daten verarbeiten, die wir von Ihnen erheben oder die Sie uns bereitstellen, wenn Sie die App Preventicus Heartbeats nutzen. Zudem möchten wir Sie über die Ihnen zukommenden Datenschutzrechte informieren.

Für bestimmte Kategorien von Datenverarbeitungen können ergänzende Datenschutzbestimmungen gelten, etwa wenn Sie die App Preventicus Heartbeats nutzen, um an einer Studie teilzunehmen oder einem telemedizinischen Versorgungsprogramm Ihrer Krankenkasse.
Die App Preventicus Heartbeats ist ein für den Europäischen Wirtschaftsraum klassifiziertes Medizinprodukt und erfüllt die grundlegenden Anforderungen der Verordnung (EU) 2017/745 bzw. ihrer nationalen Umsetzung.

Weitere Informationen sind den Nutzungsbestimmungen zu entnehmen.

PREVENTICUS wird Ihre persönlichen Daten vertraulich und streng zweckgebunden verarbeiten. Die Verarbeitung Ihrer Gesundheitsdaten erfolgt ausschließlich auf Servern in Deutschland.

I. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Preventicus GmbH
Ernst-Abbe-Straße 15
07743 Jena

Sie erreichen unseren betrieblichen Datenschutzbeauftragten unter den vorgenannten Kontaktdaten sowie per E-Mail: datenschutz@preventicus.com

II. Was sind personenbezogene Daten
Personenbezogene Daten sind Informationen, mit denen eine Person identifiziert oder auch kontaktiert werden kann, etwa über eine E-Mail-Adresse.
Für die Verwendung der App Preventicus Heartbeats benötigen wir weder Ihren Namen noch weitere Kontaktdaten von Ihnen, sondern speichern Ihre Daten zunächst ohne Namensbezug (pseudonym) auf unseren Systemen.
In diesem Sinne werden in der App Preventicus Heartbeats keine Sie unmittelbar personenbezogenen Daten verarbeitet. PREVENTICUS kann unregistrierte Nutzer aufgrund der in Preventicus Heartbeats typischerweise gespeicherten Daten weder identifizieren noch individuell kontaktieren.

III. Welche Daten erheben wir?
III.a Gesundheitsdaten
Mit der App Preventicus Heartbeats können Sie selbst Messreihen Ihres Pulses mit Ihrem Smartphone anfertigen und mit der App dokumentieren. Mit den so bereitgestellten Informationen kann die App Preventicus Heartbeats Herzrhythmusstörungen (Extraschläge, Vorhofflimmern) automatisch erkennen und einordnen helfen, soweit ausreichend genaue und valide Messserien vorliegen („Gesundheitsdaten“). Ihren Herzrhythmus und Pulswellen speichern wir auf unseren Servern.

III.b Sensordaten
Zusätzlich zur Einordnung der Messergebnisse wird beim Messen neben der Kamera auch auf andere Sensordaten Ihres Smartphones zurückgegriffen und der Messung hinzugespeichert, etwa um das Messergebnis beeinträchtigende Erschütterungen zu berücksichtigen.

III.c weitere Daten, die Sie uns mitteilen
Wir benötigen grundsätzlich weder Ihren Namen noch weitere Kontaktdaten von Ihnen, sondern speichern Ihre Daten zunächst ohne Namensbezug auf unseren Systemen. Die Verarbeitung erfolgt ausschließlich auf Servern in Deutschland. Sie haben jedoch die Möglichkeit, in gespeicherten PDF-Reports Ihren Namen und in einem Freitextfeld, Anlässe der Messung bzw. Symptome (Herzrasen, Schwindel, Herzstolpern, Brustschmerzen,..) für eigene Zwecke hinzuspeichern, etwa als Hilfestellung bei der Weitergabe an Ihren Arzt.
Auch können Sie in Ihrem Nutzerprofil Ihr Geschlecht und Geburtsjahr angeben, was uns eine bessere Einordnung Ihrer Messergebnisse erlaubt.

III.d Registrierung
Wenn Sie sich bei uns registrieren möchten, übermitteln Sie uns Ihre E-Mail-Adresse sowie ein von Ihnen gesetztes Passwort. Optional können Sie einen Nutzernamen vergeben, Ihren Namen angeben, sowie einen Gutschein-Code im Feld ‚Kennung Gesundheitspartner‘ eingeben.
Ihre Daten werden dann pseudonymisiert gespeichert. Das bedeutet, dass Ihre personenbezogenen Daten verschlüsselt in einer separaten Datenbank getrennt von Ihren Gesundheitsdaten abgelegt und bei Bedarf zugeordnet werden können.
Die Registrierung erlaubt die Übertragung Ihrer Lizenz unabhängig vom Betriebssystem und die Wiederherstellung Ihrer Messdaten bei Wechsel oder Verlust Ihres Smartphones. Auch ist darüber die Teilnahme an einem Versorgungsprogramm möglich oder einer Studie.
III.e Interoperabilitätsoption mit Drittanbieter-App
Preventicus Heartbeats kann zu Herzrhythmusmessungen aus interoperablen medizinischen Anwendungen von Drittanbietern heraus aufgerufen und verwendet werden.
In diesem Fall führt Preventicus Heartbeats seine Messungen mit anschließender pseudonymisierter Datenanalyse auf Servern in Deutschland durch. Die pseudonymisierten Ergebnisse werden verschlüsselt in die medizinische Drittanbieter-App rückübertragen. Dabei erhebt Preventicus Heartbeats aus der medizinischen Drittanbieter-App keine personenbeziehbaren Daten, mit Ausnahme der zur Datenanalyse erforderlichen Angaben (Alter und Geschlecht).
Preventicus Heartbeats ist eine unabhängige medizinische Anwendung. Bitte beachten Sie bei der Verwendung der Interoperabilitätsoption die Datenschutzhinweise der von Ihnen zusätzlich verwendeten kompatiblen medizinischen Drittanbieter-App.
Preventicus hat keinen Einfluß auf etwaige Weiterverarbeitungen Ihrer Messergebnisse in medizinischen Anwendungen von Drittanbietern.
Liste kompatibler medizinischer Anwendungen, die mit Preventicus Heartbeats derzeit interoperabel sind:

  • MAFA. Mobile Gesundheitstechnologie für Vorhofflimmer-Management mit integrierter Entscheidungshilfe, Bildung und Patientenbeteiligung: mAF App-Test
  • MAFA und seine verbundene Anwendung ist ein wissenschaftliches Projekt in China, geleitet von Prof. GUO YUTAO (301 hospital Beijing, PRC).
  • UKSH App: Gesundheitshub (IBM-Projekt elektronische Gesundheitsakte)

III.f Nutzungsdaten, die wir über die Verwendung unserer App erheben

III.f.1 Firebase 

In Heartbeats kommen die Dienste Google Analytics for Firebase und Firebase Crashlytics auf Basis Ihrer Einwilligung zum Einsatz. Wir sammeln damit statistisch aggregierte Daten zur App-Verwendung speziell in Bezug auf Systemabstürze und Fehler (Firebase Crashlytics) zur Fehlererkennung und -behebung, sowie bestimmte, durch Nutzer ausgelöste Events (Google Analytics for Firebase) zur Optimierung unserer App. Beachten Sie, dass dabei auch eine Übermittlung in die USA durch Google erfolgen kann. Mit Ihrer Einwilligung stimmen Sie zugleich gem. Art.49 Abs.1 S.1 lit.a DSGVO solchen Übermittlungen zu. Es besteht dabei insbesondere das Risiko, dass Ihre Nutzungsdaten durch US-Behörden, zu Kontroll- und Überwachungszwecke, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden.

Wir haben zusätzlich mit Google LLC eine Datenschutzvereinbarung getroffen, unter Einbeziehung sogenannter Standardvertragsklauseln. Diese sollen den von der Verarbeitung in unsicheren Drittländern betroffenen Personen ein angemessenes Datenschutzniveau garantieren, insbesondere rechtsverbindliche und durchsetzbare Rechte. Für weitere Informationen, einschließlich der Anforderung einer Kopie der Dokumente die zum Schutz Ihrer Daten eingesetzt werden, kontaktieren Sie uns bitte.

Für Crashlytics werden Informationen zum Gerät (u.a. die UUID und anonymisierte IP-Adresse), der installierten App-Version sowie andere Informationen erhoben, vor allem in Bezug auf die Soft- und Hardware des Nutzers. Für Analytics wird, wenn der Nutzer eine bestimmte Aktion ausführt, ein dem Event entsprechender Bezeichner, die Instance-ID Ihres Endgeräts an Google gesendet. Die Nutzungs- und Gerätedaten werden ausschließlich in pseudonymisierter Form durch Google LLC als unser Auftragsverarbeiter aggregiert und ausgewertet. Eine Weitergabe Ihrer Daten an Dritte erfolgt dabei nicht.

Für Crashlytics werden Informationen zum Gerät (u.a. die UUID und anonymisierte IP-Adresse), der installierten App-Version sowie andere Informationen erhoben, vor allem in Bezug auf die Soft- und Hardware des Nutzers. Für Analytics wird, wenn der Nutzer eine bestimmte Aktion ausführt, ein dem Event entsprechender Bezeichner, die Instance-ID Ihres Endgeräts an Google gesendet. Die Nutzungs- und Gerätedaten werden ausschließlich in pseudonymisierter Form durch Google LLC als unser Auftragsverarbeiter aggregiert und ausgewertet. Eine Weitergabe Ihrer Daten an Dritte erfolgt dabei nicht.

Sie können den Analysedienst Firebase Crashlytics und Firebase Analytics der Google LLC jederzeit deaktivieren und damit Ihre Einwilligung in die Erhebung dieser Daten mit Wirkung für die Zukunft widerrufen. Öffnen Sie dazu die Einstellungen (Zahnrad oben rechts) und klicken auf „Deaktivieren“. 

Soweit Sie an einem über Heartbeats genutzten Versorgungsprogramm teilnehmen, dass Ihre Krankenkasse bzw. Krankenversicherung u.a. mit uns gemeinsam ausrichtet, wird die Datenerhebung Firebase Crashlytics und Google Analytics for Firebase mit Beginn des Vertrags des jeweiligen Versorgungsprogramms durch uns deaktiviert und nach Beendigung wieder aktiviert.

Ferner verwenden wir den Firebase Cloud Messaging Dienst Google Inc. für Android sowie Apple Push Notifications für iOS um Push-Nachrichten oder sogenannte In-App-Messages (Nachrichten, die nur innerhalb der jeweiligen App angezeigt werden) an Ihr Endgerät übermitteln zu können. Dabei generieren Firebase und Apple einen berechneten Schlüssel, der sich aus der Kennung der App und ihrer Geräte-Kennung zusammensetzt. Dieser Schlüssel wird auf unserer Push-Plattform mit den von Ihnen gewählten Einstellungen hinterlegt, um Ihnen die Inhalte Ihren Wünschen entsprechend zur Verfügung zu stellen. Die Firebase- bzw. Apple-Server können keinerlei Rückschluss auf die Anfragen von Nutzenden ziehen oder sonstige Daten ermitteln, die mit einer Person im Zusammenhang stehen. Firebase bzw. Apple dienen ausschließlich als Übermittler.

Die Push-Nachrichten können in den Einstellungen des Endgeräts jederzeit deaktiviert und auch wieder aktiviert werden. Wir verarbeiten dabei keine personenbeziehbaren Daten.

III.g.3 Wissenschaftliche Forschungszwecke
Für wissenschaftliche Forschungszwecke verarbeiten wir die IP-Adresse zur anonymen Einordnung Ihres Wohnbezirks sowie weitere statistische Daten, wie Alter und Geschlecht.

IV. Datenverarbeitung zur Zahlungsabwicklung bei Nutzung der Vollversion
Wenn Sie die Vollversion erwerben, werden Ihre Zahlungsdaten zur Abwicklung des Kaufes ausschließlich durch den Appstore-Betreiber verarbeitet. Ihre Kontakt- und Zahlungsdaten werden uns nicht übermittelt. Bitte beachten Sie die Datenschutz-und Nutzungsbestimmungen Ihres jeweiligen Appstore-Betreibers, Apple App Store und Google Play Store.

V. Wo speichern wir Ihre personenbezogenen Daten?

Mit der Nutzung dieser App findet entsprechend Ihrer Einwilligung in den Einsatz Google Analytics for Firebase und Firebase Crashlytics eine Datenübermittlung in Länder außerhalb des Europäischen Wirtschaftsraums („EWR“) statt. Für diese Länder liegt kein Angemessenheitsbeschluss der EU-Kommission vor, da dort keine mit der EU vergleichbaren Datenschutzbestimmungen festgestellt wurden (sogenannte Drittländer). 
Alle übrigen Daten werden ausschließlich in Rechenzentren in Deutschland verarbeitet.

VI. Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG):

VI.a zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 lit. b DSGVO)
PREVENTICUS verarbeitet die vertragsgegenständlichen Daten accountbezogen, um Ihnen und anderen Leistungserbringern gegenüber, die vertraglich vereinbarten Leistungen zu erbringen und zuzuordnen sowie die Daten den richtigen Empfängern bereitstellen zu können.
Wir speichern und anonymisieren Ihre Messreihen und diesbezüglich von uns erstellte Auswertungen bzw. Gesundheitswerte für wissenschaftliche und statistische Zwecke und zur kontinuierlichen Verbesserung der App und Messsysteme, unbeschadet eines Widerrufs oder Löschung Ihres Accounts. Dazu wird PREVENTICUS die Zuordnung zum Account final löschen. Die Daten werden damit in einer Weise anonymisiert, dass betroffene Personen nicht oder nicht mehr identifiziert werden können.

VI.b zur Verarbeitung personenbezogener Gesundheitsdaten aufgrund Ihrer Einwilligung (Art. 6. Abs. 1 lit. a DSGVO, Art. 9. Abs. 2 lit. a DSGVO)
Aufgrund Ihrer Einwilligung verarbeiten wir Ihre Gesundheitsdaten, um die Erkennung von Herzrhythmusstörungen (Extraschläge, Vorhofflimmern) durchzuführen und zu Ihrer Information eine Einordnung der Ergebnisse in Analysereports vorzunehmen.

VI.c zur Ausübung oder Verteidung rechtlicher Ansprüche (Art. 9 Abs. 2 lit. f DSGVO)
Soweit erforderlich, verarbeiten wir Ihre Daten ggf. zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche.

VI.d. im Rahmen der Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 27 BDSG)

Im Rahmen unseres berechtigten Interesses speichern und anonymisieren wir Ihre Messreihen und diesbezüglich von uns erstellte Auswertungen bzw. Gesundheitsdaten für wissenschaftliche Zwecke. Dazu wird PREVENTICUS die Zuordnung zum Account final löschen. Zudem verarbeiten wir die IP-Adresse zur anonymen Einordnung Ihres Wohnbezirks sowie weitere statistische Daten, wie Alter und Geschlecht, soweit vorhanden. Die Daten werden damit in einer Weise anonymisiert, dass betroffene Personen nicht oder nicht mehr identifiziert werden können.

VII. Wem werden meine personenbeziehbaren Daten übermittelt?
Innerhalb PREVENTICUS erhalten prinzipiell nur diejenigen Personen Zugriff auf Daten, die diese zur Erfüllung unserer vertraglichen und ggf. gesetzlichen Pflichten benötigen. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies betrifft insbesondere unseren ISO27001-zertifizierten Hoster.
Wir übermitteln demgemäß keine personenbezogenen oder -beziehbare Daten von Ihnen an Dritte ohne Ihr ausdrückliches vorheriges Einverständnis.
Ihnen ist freigestellt, Ihre über die App generierten Auswertungen (Menüpunkt Report) Dritten zu übermitteln. So können Sie sich bspw. eines technischen Partners von PREVENTICUS bedienen, etwa einem Telecare-Center. Beachten Sie dazu bitte Ziff. 6 der Nutzungsbedingungen, über das Nutzungspaket „Telecare-Center“.

VIII. Ist die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben?
Sie sind nicht verpflichtet, uns vorgenannte personenbezogene Daten bereitzustellen.

IX. Wie lange werden meine Daten gespeichert?
Grundsätzlich verarbeiten und speichern wir Ihre persönlichen Daten solange, wie dies zur Zweckerfüllung erforderlich ist oder soweit dies gesetzlich geboten ist.

X. Ihre Rechte als betroffene Person
Jede von unseren personenbezogenen Datenverarbeitungen betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde gemäß Artikel 77 DSGVO i. V. m § 19 BDSG.
Preventicus ist, außer bei registrierten Nutzern, nicht in der Lage, Nutzer zu identifizieren. Mangels ausreichend identifizierender Merkmale ist Preventicus eine Zuordnung der Gesundheitsdaten zu einem nicht registrierten Nutzer nicht möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung.

X.I. Information über Ihr Widerspruchsrecht nach Artikel 21 DSGVO
X.I.I. Einzelfallbezogenes Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Abs. 1 f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch, soweit gegeben, für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Abs. 4 DSGVO. Siehe dazu insbesondere Ziff. 3.4.
Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten dürfen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

X.I.II. Widerruf erteilter Einwilligungen
Sie können uns gegenüber eine erteilte Einwilligung jederzeit widerrufen.
Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der EU-Datenschutz-Grundverordnung, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

X.I.III. Wahrnehmung Widerspruch bzw. Widerruf erteilter Einwilligung
Der Widerspruch kann formfrei erfolgen und kann etwa per Telefon an uns gerichtet werden an:

  • indem Sie auf Abmelden im unteren Teil einer E-Mail-Nachricht (Newsletter) klicken;
  • indem Sie unser Kontaktformular unter Kontakt zum Widerspruch verwenden;
  • durch schriftliche Mitteilung an unter Ziff. 1 angegebene Anschrift
  • telefonisch unter der Rufnummer +49 36 41 / 55 98 45-0
  • oder per E-Mail unter info @ preventicus.com
  • Um den Erhalt von E-Mails oder sonstigem Werbematerial abzubestellen, können Sie auch den Anweisungen in der jeweiligen Mitteilung folgen.

Bitte wenden Sie sich bzgl. Ihrer Datenschutzrechte unmittelbar an die Datenschutzbeauftragten.

XI. Änderungsvorbehalt
PREVENTICUS ist berechtigt, die Datenschutzerklärung jederzeit zu ändern, insbesondere diese an Änderungen der Rechtslage durch Gesetz oder Rechtsprechung anzupassen. Die jeweils aktuellste Fassung ist an dieser Stelle abruf- und einsehbar. Änderungen der Datenschutzbestimmung werden mit dem Tag ihrer Veröffentlichung an dieser Stelle wirksam.

Jena, den 23.06.2021