Datenschutzerklärung WUNDERA® Free, WUNDERA® Pro und WUNDERA® Premium (App)
§ 1 Einleitung
(1) Die sciendis GmbH, Riemannstraße 32, 04107 Leipzig, Tel. 0341/98997230, E-Mail: info@sciendis.de („sciendis“) hat eine App für den Einsatz auf mobilen Endgeräten entwickelt, die eine schnellere, einfachere und sicherere Dokumentation von Wunden und von Wundbehandlungen ermöglicht („App“).
(2) Die im Zuge der App-Nutzung stattfindende Verarbeitung personenbezogener Daten wird im Rahmen dieser Datenschutzerklärung näher dargestellt. Personenbezogene Daten sind alle Daten, die auf App-Nutzer einerseits und Patienten andererseits beziehbar sind, z. B. Name, Adresse, E-Mail-Adresse, insbesondere aber behandlungsspezifische Gesundheitsdaten gem. Art. 9 DS-GVO (z.B. Diagnose, Behandlungen und Dokumentation des Behandlungsverlaufs).
§ 2 Verantwortliche
(1) Verantwortlicher gem. Art. 4 Abs. 7 DS-GVO für die im Zusammenhang mit dem Download der App stattfindende Datenverarbeitung von Nutzerdaten ist der jeweilige App-Store-Betreiber.
(2) Verantwortlicher gem. Art. 4 Abs. 7 DS-GVO für die beim Einsatz der App zur medizinischen Dokumentation stattfindenden Datenverarbeitung ist die jeweilige Gesundheitseinrichtung.
(3) Soweit es um die Nutzung personenbezogener Daten zur Vermarktung und Weiterentwicklung der App oder zur Entwicklung neuer Produkte geht, ist Verantwortlicher sciendis.
§ 3 Erhebung personenbezogener Daten bei Nutzung der App
(1) Beim Download der App über den App-Store erhebt der jeweilige App-Store-Betreiber zum Zwecke der Ermöglichung des Downloads Nutzerdaten (z.B. Nutzername, E-Mail-Adresse und Kundennummer Ihres Accounts, Zeitpunkt des Downloads, Zahlungsinformationen und die individuelle Gerätekennziffer). Auf diese Datenerhebung hat sciendis keinen Einfluss und ist nicht dafür verantwortlich. Näheres zur Datenverarbeitung durch den jeweiligen App-Store-Betreiber finden Sie in dessen Datenschutzerklärung.
(2) Bei der Nutzung der App zur medizinischen Dokumentation werden zum einen personenbezogene Daten des App-Nutzers, zum anderen aber auch personenbezogene Daten der Patienten bzw. Pflegebedürftigen wie folgt erhoben und verarbeitet:
- Daten des App-Nutzers:
- Vorname, Name
- Organisation und Telefonnummer
- E-Mail-Adresse zur Anmeldung
- MAC-Adresse des Smartphones zur Lizenzverwaltung
- Bilder für die Wunddokumentation der App
- Standort für Routenplanung
- Patientenstammdaten:
Pflichtangaben: Name, VornameGeburtsdatumGeschlechtAnschriftVersicherungsnummer | Optionale Angaben: TelefonnummerPflegeheim oder PflegedienstBehandelnder ArztE-Mail-Adresse |
- Gesundheitsdaten
- Art der Behandlung
- Daten zum Behandlungsverlauf von chronischen Wunden (z.B. Diagnose, Medikamente, Wundfoto, Wundgröße, Wundart, Wundausfluss, Datum der Wundbehandlung etc.)
- Stammdaten externer Kontakte (nur WUNDERA® Premium & optional):
Name / FirmennameKategorieKontaktpersonTelefonnummerE-Mail-Adresse | AnschriftBundeslandLandAddresszusatz |
(3) Die Speicherung der Stammdaten erfolgt ausschließlich pseudonymisiert. Ihnen wird nach Eingabe vom System automatisch ein eindeutiges Pseudonym zugeordnet.
(4) Die Speicherung der Gesundheitsdaten erfolgt ausschließlich pseudonymisiert. Ihnen wird nach Eingabe vom System automatisch ein eindeutiges Pseudonym zugeordnet.
(5) Die Verarbeitung der unter Abs. 2 genannten personenbezogenen Daten erfolgt zum Zwecke der medizinischen Dokumentation durch die jeweilige Gesundheitseinrichtung.
Rechtsgrundlage dafür ist, insbesondere soweit es um Gesundheitsdaten nach Art. 9 Abs. 1 DS-GVO geht, die ausdrückliche Einwilligung des teilnehmenden Patienten, Art. 6 Abs. 1 S. 1 lit. a DS-GVO.
Im Verhältnis zur jeweiligen Gesundheitseinrichtung erfolgt die Datenverarbeitung durch sciendis auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b DS-GVO.
(6) Darüber hinaus können Gesundheitsdaten von sciendis auch zur Instandhaltung (z.B. Fehlerbeseitigung, Programm-Updates etc.), zur Weiterentwicklung der App (z.B. Bilderkennung, Behandlungsempfehlungen etc.) und/oder für die Entwicklung neuer Produkte (z.B. Techniken des maschinellen Lernens) gespeichert und verarbeitet werden. Gesundheitsdaten werden vor einer solchen Nutzung jedoch vollständig anonymisiert und anschließend ausschließlich anonymisiert verarbeitet.
Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit b DSGVO, soweit es um die Instandhaltung der App geht, darüber hinaus auch Art. 6 Abs. 1 S. 1 lit. f DS-GVO.
(7) Die Speicherung und Verarbeitung personenbezogener Daten zu den in Abs. 5 und 6 genannten Zwecken erfolgt ausschließlich in Deutschland auf einem Server der „Open Telekom Cloud“ (OTC). Dazu hat sciendis einen Auftragsverarbeitungsvertrag mit der Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn, abgeschlossen.
(8) Zu Zwecken des Marketings und des Vertriebs greift sciendis auf Tools und Dienstleistungen des Anbieters „Pipedrive“ zurück. Dazu hat sciendis einen Auftragsverarbeitungsvertrag mit der Pipedrive OÜ, Mustamäe tee 3a, 10615 Tallinn, Estland, abgeschlossen. In diesem Zusammenhang kann die Verarbeitung personenbezogener Daten auch außerhalb des Geltungsbereichs der DSGVO, insbesondere in den USA oder anderen Drittstaaten auf Basis von Standardvertragsklauseln erfolgen. Diese Datenverarbeitung betrifft ausschließlich personenbezogene Daten der jeweiligen Gesundheitseinrichtung (§ 2 Abs. 2) einschließlich Daten des App-Nutzers (§ 3 Abs. 2a), jedoch keine Stammdaten (§ 3 Abs. 2b) oder Gesundheitsdaten (§ 3 Abs. 2c) von Patienten bzw. Pflegebedürftigen.
Rechtsgrundlagen für diese Datenverarbeitung sind Art. 6 Abs. 1 S. 1 lit. b und lit. f sowie im Hinblick auf die Datenübermittlung Art. 46 Abs. 2 lit. c DS-GVO.
(9) Zu Zwecken der Zahlungsabwicklung greift sciendis auf Tools und Dienstleistungen des Anbieters „stripe“ zurück. Dazu hat sciendis einen Auftragsverarbeitungsvertrag mit der Stripe Payments Europe Ltd, Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Irland abgeschlossen. In diesem Zusammenhang kann die Verarbeitung personenbezogener Daten auch außerhalb des Geltungsbereichs der DSGVO, insbesondere in den USA oder anderen Drittstaaten auf Basis von Standardvertragsklauseln erfolgen. Diese Datenverarbeitung betrifft ausschließlich personenbezogene Daten der jeweiligen Gesundheitseinrichtung (§ 2 Abs. 2) einschließlich Daten des App-Nutzers (§ 3 Abs. 2a), jedoch keine Stammdaten (§ 3 Abs. 2b) oder Gesundheitsdaten (§ 3 Abs. 2c) von Patienten bzw. Pflegebedürftigen.
Rechtsgrundlagen für diese Datenverarbeitung sind Art. 6 Abs. 1 S. 1 lit. b und lit. f sowie im Hinblick auf die Datenübermittlung Art. 46 Abs. 2 lit. c DS-GVO.
(10) Zu Zwecken des E-Mail-Versands der angebotenen Dienste greift sciendis auf Tools und Dienstleistungen des Anbieters „Mailgun“ zurück. Dazu hat sciendis einen Auftragsverarbeitungsvertrag mit der Mailgun Technologies, 112 E Pecan St #1135, San Antonio, TX 78205, USA, abgeschlossen. Diese Datenverarbeitung findet aufgrund entsprechender Einstellungen ausschließlich auf Servern innerhalb der EU statt und betrifft lediglich personenbezogene Daten der Emailadresse (§ 3 Abs. 2d) und die Stammdaten (§ 3 Abs. 2b) Vorname und Name des Patienten bzw. Pflegebedürftigen, jedoch keine Gesundheitsdaten (§ 3 Abs. 2c).
Rechtsgrundlagen für diese Datenverarbeitung sind Art. 6 Abs. 1 S. 1 lit. b und lit. f sowie im Hinblick auf die Datenübermittlung Art. 46 Abs. 2 lit. c DS-GVO.
(11) Zu Zwecken der Optimierung der angebotenen Dienste greift sciendis auf Tools und Dienstleistungen des Anbieters „sentry“ zurück. Dazu hat sciendis einen Auftragsverarbeitungsvertrag mit der Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, abgeschlossen. In diesem Zusammenhang kann die Verarbeitung personenbezogener Daten auch außerhalb des Geltungsbereichs der DSGVO, insbesondere in den USA oder anderen Drittstaaten auf Basis von Standardvertragsklauseln erfolgen. Diese Datenverarbeitung betrifft ausschließlich Daten zur Fehlerprotokollierung (Geräte- und Analysedaten) der jeweiligen Gesundheitseinrichtung (§ 2 Abs. 2) bzw. des App-Nutzers (§ 3 Abs. 2a). Die Daten werden nicht personenbezogen verarbeitet. Es werden keine Stammdaten (§ 3 Abs. 2b) oder Gesundheitsdaten (§ 3 Abs. 2c) von Patienten bzw. Pflegebedürftigen verarbeitet.
Rechtsgrundlagen für diese Datenverarbeitung sind Art. 6 Abs. 1 S. 1 lit. b und lit. f sowie im Hinblick auf die Datenübermittlung Art. 46 Abs. 2 lit. c DS-GVO.
(12) Zu Zwecken der Optimierung der angebotenen Dienste greift sciendis auf Tools und Dienstleistungen des Anbieters „LogRocket“ zurück. Dazu hat sciendis einen Auftragsverarbeitungsvertrag mit LogRocket Inc., 87 Summer St., Boston, MA 02110, USA, abgeschlossen. In diesem Zusammenhang kann die Verarbeitung personenbezogener Daten auch außerhalb des Geltungsbereichs der DS-GVO, insbesondere in den USA oder anderen Drittstaaten auf Basis von Standardvertragsklauseln erfolgen. Diese Datenverarbeitung betrifft ausschließlich personenbezogene Daten der jeweiligen Gesundheitseinrichtung (§ 2 Abs. 2) einschließlich Daten des App-Nutzers (§ 3 Abs. 2a), jedoch keine Stammdaten (Abs. 2b) oder Gesundheitsdaten (§ 3 Abs. 2c) von Patienten bzw. Pflegebedürftigen.
Rechtsgrundlage dafür ist die ausdrückliche Einwilligung des teilnehmenden App-Nutzers nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO sowie im Hinblick auf die Datenübermittlung Art. 46 Abs. 2 lit. c DS-GVO.
(13) Darüber hinaus werden personenbezogene Daten von sciendis nicht an Dritte übermittelt.
(14) Die Speicherdauer der Stammdaten und Gesundheitsdaten bestimmt sich nach den Erfordernissen der jeweiligen Gesundheitseinrichtung und den dafür geltenden gesetzlichen Vorgaben. Sciendis selbst speichert die Daten des App-Nutzers bis zu 3,5 Jahre nach Beendigung des Vertrages mit der Gesundheitseinrichtung zum Zwecke der Vertragsdurchführung und -abwicklung (Art. 6 Abs. 1 lit. b DS-GVO) sowie zur Rechtsverfolgung und –verteidigung (Art. 6 Abs. 1 lit. f DS-GVO).
§ 4 Ihre Rechte
(1) Sie haben sciendis gegenüber jeweils folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
– gemäß Art. 7 Abs. 3 DS-GVO Ihre einmal erteilte Einwilligung – also Ihr freiwilliger, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung verständlich gemachter Willen, dass Sie mit der Verarbeitung der betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden sind – jederzeit uns gegenüber zu widerrufen, falls Sie eine solche erteilt haben. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen,
– gemäß Art. 15 DS-GVO Auskunft über Ihre von uns verarbeiteten Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen (Recht auf Auskunft),
– gemäß Art. 16 DS-GVO unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten Daten zu verlangen (Recht auf Berichtigung),
– gemäß Art. 17 DS-GVO die Löschung Ihrer bei uns gespeicherten Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Recht auf Löschung),
– gemäß Art. 18 DS-GVO die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird oder die Verarbeitung unrechtmäßig ist (Recht auf Einschränkung der Verarbeitung),
– gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung einzulegen, sofern die Verarbeitung aufgrund von Art. 6 Abs. 1 S. 1 lit. e oder lit. f DS-GVO erfolgt. Dies ist insbesondere der Fall, wenn die Verarbeitung nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist. Sofern es sich nicht um einen Widerspruch gegen Direktwerbung handelt, bitten wir bei Ausübung eines solchen Widerspruchs um die Darlegung der Gründe, weshalb wir Ihre Daten nicht wie von uns durchgeführt verarbeiten sollen. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen (Recht auf Widerspruch gegen die Verarbeitung),
– gemäß Art. 20 DS-GVO Ihre Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen (Recht auf Datenübertragbarkeit).
(2) Sie haben gemäß Art. 77 DS-GVO zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.
(3) Die für sciendis zuständige Datenschutz-Aufsichtsbehörde ist der Sächsische Datenschutzbeauftragte, Devrientstraße 5, 01067 Dresden, Telefon: 0351/85471-101, Fax: 0351/85471-109, E-Mail: saechsdsb@slt.sachsen.de.