Datenschutzinformation für die Nutzung der App „CeP online“

Sofern Sie ein webbasiertes Präventionsprogramm bewilligt bekommen haben, muss nach der Initialphase im Centrum für Prävention im Rahmen der Trainings- und Verstetigungsphase (12 Wochen berufsbegleitend) eine webgestützte App (CeP online) bzw. Webportal genutzt werden. Der Service steht Teilnehmern generell bis zum Ablauf der Eigenaktivitätsphase (ca. 6 Monate) zur Verfügung. Einige Daten werden nur aufgrund ihrer Einwilligung verarbeitet, während einige Daten erforderlich sind, um die gewünschte Präventionsleistung zu erbringen. Bitte nehmen Sie sich die Zeit, diese Datenschutzinformation sorgfältig zu lesen.

1. Name und Anschrift des für die Verarbeitung Verantwortlichen

Diese Datenschutzinformation gilt für die Verarbeitung Ihrer personenbezogenen Daten durch die Klinik Höhenried gGmbH als Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO für die Datenverarbeitung. Im Folgenden finden Sie unsere Kontaktdaten:

Deutsche Rentenversicherung Bayern Süd
Klinik Höhenried gGmbH
82347 Bernried

vertreten durch den Geschäftsführer Herrn Robert Zucker
E-Mail: info@cep-hoehenried.de
Tel: +49-8158-24-0

2. Kontaktdaten des Datenschutzbeauftragten

Die Klinik Höhenried gGmbH hat einen betrieblichen Datenschutzbeauftragten bestellt:

Frau Anja Weber
Munker Privacy Consulting GmbH
Zugspitzstraße 3a
82399 Raisting
E-Mail: datenschutz@hoehenried.de

3. Account-Erstellung und Identifizierung Ihrer Person

Welche Kategorien personenbezogener Daten verarbeiten wir bei dieser Datenverarbeitung?
Die Klinik Höhenried legt Ihren Nutzer-Account zentral an. Zur Registrierung und Authentifizierung Ihrer Person werden Ihr Vorname, Ihr Nachname sowie die Zuordnung zu ihrer Teilnehmergruppe benötigt.

Zur Generierung des Registrierungscodes wird eine CeP-Teilnehmernummer und eine App- Identifikationsnummer angelegt. Im Rahmen der Registrierung wird ihre E-Mail-Adresse und ein Passwort benötigt.

Wofür verarbeiten wir Ihre personenbezogenen Daten bei dieser Datenverarbeitung?
Die Datenspeicherung dient der Bereitstellung Ihres Nutzer-Accounts sowie Ihrer eindeutigen Identifizierung und Zuordnung zur Gruppe. Dies ist Voraussetzung für die Nutzung dieses Service.

Welche Rechtsgrundlagen hat diese konkrete Datenverarbeitung?
Die Rechtsgrundlage für die Datenverarbeitung ist die Erfüllung einer gesetzlichen Aufgabe über die Nutzung der CeP Online-App gemäß Art. 6 Abs. 1 S. 1 lit. c) DS-GVO.

4. Aktivitätentagebuch

Welche Kategorien personenbezogener Daten verarbeiten wir bei dieser Datenverarbeitung?

Im Aktivitätentagebuch können Sie folgende Aktivitäten eintragen:

  • Dauer von Ausdauertrainings
  • Dauer von Krafttrainings
  • Dauer von Entspannungsübungen
  • Dauer von Beweglichkeitstrainings
  • Gewicht
  • Schlafdauer
  • Schlafqualität (Smiley-Bewertung schlecht, mittel, gut)
  • Bewertung Selbstmanagement (Smiley-Bewertung schlecht, mittel, gut)
  • Bewertung Ernährungsverhalten (Smiley-Bewertung schlecht, mittel, gut)
  • Allgemeines Befinden (Smiley-Bewertung schlecht, mittel, gut)

Wofür verarbeiten wir Ihre personenbezogenen Daten bei dieser Datenverarbeitung?
Wir speichern die Daten in Ihrer CeP Online-App, damit diese zur jederzeitigen Einsicht und zum jederzeitigen Abruf durch Sie und durch Ihre Therapeuten bereitstehen.

Welche Rechtsgrundlagen hat diese konkrete Datenverarbeitung?
Die Bereitstellung der Daten ist freiwillig. Die Verarbeitung dieser Daten erfolgt auf der Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a), Art. 9 Abs. 2 lit. a) DS-GVO. Diese können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt. Ihren Widerruf können Sie jederzeit an das Centrum für Prävention der Klinik Höhenried gGmbH z. B. per E- Mail an info@cep-hoehenried richten. Darüber hinaus haben Sie die Möglichkeit Eintragungen jederzeit selbst innerhalb der App zu löschen. Bitte beachten Sie, dass die Information(en) dann nicht mehr zur Verfügung stehen.

5. Datenverarbeitung im Rahmen des Prävention-/Therapievertrages

Welche Kategorien personenbezogener Daten verarbeiten wir bei dieser Datenverarbeitung?
Wir verarbeiten Ihre Kontaktdaten auf Basis des Präventions-Therapievertrags.

Wofür verwenden wir Ihre personenbezogenen Daten bei dieser Datenverarbeitung?
Wir verwenden die bereitgestellten Daten zur Bearbeitung und Dokumentation Ihrer Anfragen oder Ihres Feedbacks, sowie zur Erfüllung des Präventionsvertrages.

Welche Rechtsgrundlage hat diese konkrete Datenverarbeitung?
Rechtsgrundlage für die Verarbeitung sind unsere vertraglichen Verpflichtungen gemäß Art. 6 Abs. 1 S. 1 lit. b) DS-GVO. Ergänzend finden sich Grundlagen im deutschen Recht, unter anderem im sechsten, neunten und zehnten Buch des Sozialgesetzbuches (SGB), aber z.B. auch in den §§ 630a ff. Bürgerliches Gesetzbuch (BGB).

6. Bereitstellung von personalisierten Empfehlungen sowie Auswertung Ihrer Therapie

Welche Kategorien personenbezogener Daten verarbeiten wir bei dieser Datenverarbeitung?
Wir verwenden für die Bereitstellung personalisierter Empfehlungen Daten zu Ihrer Person sowie die von Ihnen im Aktivitätentagebuch eingetragenen Daten z.B. Körpergröße, Gewicht, etc.

Wofür verarbeiten wir Ihre personenbezogenen Daten bei dieser Datenverarbeitung?
Auf Basis Ihrer eingegebenen Daten kann der Therapeut zielgerichtete Informationen zur Verbesserung Ihrer aktuellen Gesundheitssituation in der App bereitstellen. Wir nutzen Ihre Angaben über Ihre Aktivitäten für die Therapieunterstützung- und Auswertung.

Darüber hinaus werden die Angaben genutzt, um im persönlichen Gespräch in der abschließenden Auffrischungsphase in der Klinik Höhenried gGmbH Informationen für ein gesünderes Leben und weitere Empfehlungen zu geben.

Welche Rechtsgrundlage hat diese Datenverarbeitung?
Sofern Empfehlungen zur Erfüllung der Präventionsleistung erforderlich sind, erfolgt die Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. b) DS-GVO.

Sofern für die Empfehlungen Informationen aus dem Aktivitätentagebuch herangezogen werden, ist die Bereitstellung Ihrer Daten freiwillig. Die Datenverarbeitung erfolgt dann auf Basis ihrer Einwilligung (vgl. Ziffer 4).

7. Zugriff auf Funktionen Ihres Endgeräts

Welche Kategorien personenbezogener Daten verarbeiten wir bei dieser Datenverarbeitung?
Einige Funktionen der App CeP Online benötigen Zugriff auf Funktionen Ihres Endgeräts. Diese sind Kamera und Mikrofon.

Wofür verarbeiten wir Ihre personenbezogenen Daten bei dieser Datenverarbeitung?
Für die Nutzung der Videokonferenzfunktion oder Einstellung von Profilbildern im Messenger benötigt die App CeP Online Zugriff auf die oben aufgeführten Funktionen Ihres mobilen Endgeräts. Ihre Einwilligung auf die Zugriffe auf ihr Endgerät wird gesondert angefordert.

Welche Rechtsgrundlagen hat diese konkrete Datenverarbeitung?
Wir verarbeiten die oben genannten personenbezogenen Daten auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DS-GVO i. V. m. Art. 9 Abs. 2 lit. a) DS-GVO und § 25 Abs. 1 TTDSG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TTDSG umfasst. Die Abgabe der Einwilligungserklärung ist freiwillig. Diese können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Speicherung wird dadurch aber nicht berührt. Ihren Widerruf können Sie jederzeit durch die Vornahme der entsprechenden Einstellungen auf Ihrem Endgerät erklären.

8. Dokumentenbereitstellung durch Therapeuten über „Begleitprogramm“ und Dashboard

Welche Kategorien personenbezogener Daten verarbeiten wir bei dieser Datenverarbeitung?
Informationen des Nutzer-Accounts (vgl. Ziffer 3 z. B. Nutzer-Account, Teilnehmergruppe).

Wofür verarbeiten wir Ihre personenbezogenen Daten bei dieser Datenverarbeitung?
Mit dieser Funktionalität können Ihnen Therapeuten Dokumente, z.B. Trainingspläne, Ernährungstipps und Übungen und Informationen direkt in Ihr Portal bzw. in die App hochladen.

Welche Rechtsgrundlagen hat diese Datenverarbeitung?
Die Rechtsgrundlage für die Datenverarbeitung ist die Erfüllung einer gesetzlichen Aufgabe über die Nutzung der CeP Online-App gemäß Art. 6 Abs. 1 S. 1 lit. c) DS-GVO und Art. 6 Abs. 1 S. 1 lit. b) DS-GVO zur Erfüllung unserer vertraglichen Verpflichtungen.

9. Nutzung des Messengers zur Kommunikation innerhalb der App

Welche Kategorien personenbezogener Daten verarbeiten wir bei dieser Datenverarbeitung?
Bei dieser Funktionalität nutzen wir die Namen (bzw. Namenskürzel der Teilnehmer Ihrer CeP online Therapie-Gruppe), eingestellte Profilbilder, sowie die Inhalte der Kommunikation (Chats) , sofern Teilnehmer diese Funktion nutzen.

Wofür verarbeiten wir Ihre personenbezogenen Daten bei dieser Datenverarbeitung?
Die in der CeP Online-App hinterlegten Chat-Verläufe und vorstehend genannten Daten werden verschlüsselt auf unseren Servern hinterlegt und können bei Einzel-Chats nur von den jeweiligen Teilnehmern bzw. bei Gruppen-Chats nur von den Gruppen-Mitgliedern eingesehen werden.

Bitte beachten Sie, dass wir auf die Datenverarbeitungen durch andere Teilnehmer und deren Geräte keinen Einfluss haben. Sofern Beiträge gegen die Nutzungsbedingungen verstoßen, werden diese gelöscht.

Welche Rechtsgrundlagen hat diese Datenverarbeitung?
Rechtsgrundlage für die Nutzung der Kontaktdaten und der Chatfunktion ist Ihre Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DS-GVO. Diese können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Speicherung wird dadurch aber nicht berührt. Ihren Widerruf können Sie jederzeit an das Centrum für Prävention der Klinik Höhenried gGmbH unter info@cep-hoehenried.de richten oder direkt in der App durch Deaktivierung der Funktion veranlassen.

10. Eingesetzte Dienstleister und Speicherort

Für die Entwicklung und Programmierung der App als auch für die Bereitstellung der Infrastruktur verwenden wir den Dienstleister Profession Fit GmbH, Weichselgasse 10, 84030 Ergolding.

Wir haben mit dem vorstehenden Dienstleister einen Vertrag zur Auftragsverarbeitung abgeschlossen, um die Anforderungen der DSGVO umzusetzen.

Sämtliche mit der CeP Online App und der Web-Anwendung unter https://www.self-control- online.de verarbeiteten Daten werden auf Servern der Hetzner Online GmbH mit Sitz in Gunzenhausen verarbeitet. Die Datenverarbeitungen finden in Nürnberg, Deutschland, statt. Die Hetzner Online GmbH wird als Subunternehmer unseres Auftragsverarbeiters eingebunden.

Für den Versand von Systembenachrichtigungen (Registrierungsprozess, ggf. Zurücksetzung von Passwörtern) verwenden wir den Dienstleister Mailjet 4, rue Jules Lefebvre 75009 Paris, Frankreich. Wir haben ein berechtigtes Interesse an der Durchführung eines sicheren und effizienten Registrierungsprozesses (Art. 6 Abs. 1 lit f. DSGVO). Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details finden Sie hier: https://www.mailjet.com/de/rechtliches/av-vertrag/.

Für Push-Benachrichtigungen verwendet unser Dienstleister Google Firebase. Google Firebase ist ein Dienst der Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland, Die Nutzung dieses Analyse-Tools erfolgt auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG. Die Einwilligung ist jederzeit widerrufbar. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details finden Sie hier: https://privacy.google.com/businesses/controllerterms/mccs/.

Für den technischen Schutz des Webportals wird die Dogado GmbH, Antonio-Segni-Str. 11, 44263 Dortmund und dessen Subunternehmen Link11 GmbH, Lindleystr. 12, 60314 Frankfurt am Main eingesetzt. Wir haben ein berechtigtes Interesse am technischen Schutz des Webportals (Art. 6 Abs. 1 lit. f. DS-GVO). Hinweise zum Datenschutz von Dogado finden Sie unter https://www.dogado.de/legal/datenschutz. Hinweise zum Datenschutz von Link11 finden Sie unter https://www.link11.com/de/data-privacy/.

Für die Funktionalität von Videokonferenzen verwendet unser Dienstleister die edudip GmbH, Jülicher Str. 306, 52070 Aachen. Wir haben ein berechtigtes Interesse an der Vollintegration und Bereitstellung, sowie Durchführung von effizienten Videokonferenzen über die App (Art. 6 Abs. 1 lit. f. DS-GVO). Hinweise zum Datenschutz von Edudip finden Sie unter https://www.edudip.com/de/datenschutz.

11. Mit wem teilen wir Ihre personenbezogenen Daten bei vorstehenden Datenverarbeitungen und auf welcher Rechtsgrundlage?

Die Übermittlung von personenbezogenen Daten an den Kostenträger zu Abrechnungszwecken erfolgt nach Art. 6 Abs. 1 Buchst. c DSGVO, Art. 9 Abs. 2 Buchst. h DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 Buchst. b BDSG.

Eine weitere Datenübermittlung findet nur statt, sofern Sie hierzu ihre Einwilligung erteilt haben.

Ihre personenbezogenen Daten werden bei den genannten Datenverarbeitungen nicht mit Dritten geteilt. Auftragsverarbeiter gelten nicht als Dritte.

12. Wann werden Ihre personenbezogenen Daten gelöscht?

Ihr CeP-Online Account und sämtliche personenbezogene Daten in der App (z. B. Namen bzw. Namenskürzel, Eintragungen im Aktivitätentagebuch, Chats und Gruppenchats) werden sicher gespeichert und nach Abschluss der Präventionsleistung innerhalb eines Monats gelöscht. Eine Aufforderung zur Löschung Ihrerseits ist nicht erforderlich.

Personenbezogene Daten, welche wir auf Grundlage Ihrer Einwilligung verarbeiten, können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Den Widerruf richten Sie gerne per E- Mail an info@cep-hoehenried.de oder führen diesen direkt über die App-Einstellungen aus. Der Widerruf bewirkt, dass Daten in der App gelöscht werden und nicht mehr zur Verfügung stehen und die entsprechende App-Funktion nicht mehr genutzt werden kann.

Anfragen und Rückfragen innerhalb der App oder zur App werden nach 8 Wochen gelöscht.

Sofern Anfragen und Eingaben oder die Kommunikation abrechnungsrelevant sind und/oder in die ärztliche Dokumentation aufgenommen werden müssen, erfolgt eine Speicherung innerhalb der ärztlichen Dokumentation (nicht App) für die Dauer der gesetzlichen Aufbewahrungsfrist. Diese beträgt 10 Jahre.

13. Herkunft der Daten

Sämtliche Daten werden in der Regel bei Ihnen direkt erhoben. Vereinzelt erhalten wir Informationen auch von anderen Stellen.

Im Rahmen der Bewilligung erhalten wir Vor-Nachname für die App-Registrierung vom Kostenträger (zuständige Rentenversicherung).

Sofern Sie im Rahmen einer Unternehmens- Arbeitgebergruppe teilnehmen, können wir Informationen auch direkt vom Gesundheitsdienst ihres Arbeitgebers erhalten.

14. Ihre Rechte in Bezug auf Ihre Daten

Auskunft:
Sie haben das Recht, von uns jederzeit über die zu Ihnen gespeicherten Daten Auskunft zu verlangen (Art. 15 DS-GVO). Dies betrifft auch die Empfänger oder Kategorien von Empfängern, an die diese Daten weitergegeben werden, den Zweck und die Dauer der Speicherung.

Berichtigung, Löschung, Einschränkung der Verarbeitung:
Zudem haben Sie das Recht, unter den Voraussetzungen des Art. 16 DS-GVO die Berichtigung, unter den Voraussetzungen des Art. 17 DS-GVO die Löschung oder unter den Voraussetzungen des Art. 18 DS-GVO die Einschränkung der Verarbeitung zu verlangen.

Widerspruch gegen die Verarbeitung:
Im Fall einer Verarbeitung personenbezogener Daten zur Wahrnehmung von im öffentlichen Interesse liegenden Aufgaben (Art. 6 Abs. 1 Satz 1 lit. e) DSGVO) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO) können Sie der Verarbeitung der Sie betreffenden personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widersprechen. Im Fall des Widerspruchs haben wir jede weitere Verarbeitung Ihrer Daten zu den vorgenannten Zwecken zu unterlassen, es sei denn, es liegen zwingende, schutzwürdige Gründe für eine Verarbeitung vor, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

Unter den Voraussetzungen des Art. 21 Abs. 1 DS-GVO kann der Datenverarbeitung aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, widersprochen werden.

Datenübertragbarkeit:
Ferner können Sie unter den Voraussetzungen des Art. 20 DS-GVO jederzeit eine Datenübertragung verlangen.

Wie können Sie Ihre Rechte ausüben?
Bitte wenden Sie sich zur Ausübung dieser Rechte an die Deutsche Rentenversicherung Bayern Süd, Centrum für Prävention der Klinik Höhenried gGmbH, 82347 Bernried oder per E-Mail an info@cep-hoehenried.de.

15. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde. Sie können sich hierfür an die Datenschutzaufsichtsbehörde Ihres üblichen Aufenthaltsortes oder unseres Firmensitzes wenden. Die Anschrift der für Klinik Höhenried gGmbH zuständigen Aufsichtsbehörde lautet:

Bay. Landesbeauftragte für den Datenschutz
Wagmüllerstraße 18
80538 München