Datenschutzerklärung

Verantwortliche Stelle im Sinne des Datenschutzrechts
mementor DE GmbH
Karl-Heine-Straße 15
04229 Leipzig
Deutschland
info[at]mementor.de

Kontaktdaten des Datenschutzbeauftragten
Paul Schmude
Karl-Heine-Straße 15
04229 Leipzig
Deutschland
paul.schmude@mementor.de

Diese Datenschutzerklärung soll die Nutzer über die Art, den Umfang und den Zweck der Erhebung und Verwendung personenbezogener Daten durch den verantwortlichen Anbieter informieren.

Die Datenschutzerklärung ist für die App somnio gültig. Die App somnio wird zur Behandlung von Ein- und Durchschlafstörungen verwendet und lenkt mittels eines virtuellen Avatars durch eine Vielzahl von kognitiven Verhaltensübungen. Mit Hilfe eines Schlaftagebuchs wird dabei der Fortschritt verfolgt und die Therapie gelenkt. Dazu werden Gesundheitsdaten i. S. v. Art. 9 DSGVO verwendet, diese werden in Punkt 4. b) genauer erläutert.

Bei jeder Nutzung von somnio wird eine Verbindung mit dem somnio-Server hergestellt. Dabei werden automatisch Informationen erfasst.

• IP-Adresse und
• Informationen zu dem von Ihnen genutzten Endgerät

erfasst. Ohne diese Daten wäre es technisch teils nicht möglich, somnio zu nutzen. Insofern ist die Erfassung der Daten zwingend notwendig. Darüber hinaus verwenden wir die anonymisierten Informationen für statistische Zwecke. Sie helfen uns bei der Optimierung des Angebots und der Technik. Wir behalten uns zudem das Recht vor, die Log-Files bei Verdacht auf eine rechtswidrige Nutzung unseres Angebotes nachträglich zu kontrollieren. Rechtsgrundlage für die vorübergehende Speicherung der Daten bzw. der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem zuvor genannten Zwecken folgt.

Eine Löschung der Daten, insbesondere der Logfiles erfolgt in regelmäßigen Abständen.

Sie haben die Möglichkeit uns damit zu beauftragen, Ihr Rezept an die Krankenkasse zu übermitteln. Dafür können Sie über https://somn.io/rezept-service/ Ihr Rezept hochladen und sich anmelden, siehe Punkt 5. a) für die Anmeldung. Für die Durchführung werden folgende Daten erhoben:

• Name, Vorname
• E-Mail-Adresse
• postalische Anschrift
• Telefonnummer (optional)
• Krankenkasse
• Bild des Rezepts mit
• Versichtennummer
• Name
• Geburtsdatum
• Arzt-Nummer
• Stempel des Arztes mit Name, Adresse
• Datum der Verschreibung

Nach der Anmeldung und dem Hochladen des Rezepts wird von uns die Anschrift der Krankenkasse herausgesucht und ein Schreiben verfasst, in welchem um die Einlösung des Rezepts und die Ausstellung eines DiGA-Codes für Sie gebeten wird. Dieses Schreiben wird von uns an den Service LetterXpress, bereitgestellt durch A&O Fischer GmbH & Co. KG, Maybachstraße 9, 21423 Winsen (Luhe), zum Versand weitergeleitet. Sie erhalten danach die Rückantwort direkt von Ihrer Krankenkasse.

Mit der Übertragung des Rezepts erfolgt gleichzeitig eine Anmeldung, um sicherzustellen, dass wir Sie verifizieren können und damit Sie gegebenenfalls von Ihren Rechten Gebrauch machen können.

Alle übertragenen Daten, außer der E-Mailadresse, werden nur so lange gespeichert, bis der DiGA-Code eingelöst wird, oder bis 30 Tage seit der Anmeldung vergangen sind. Die Löschung der Anmeldedaten erfolgt gemäß den Vorgaben in Punkt 5. a).

Die Verarbeitung Ihrer Daten erfolgt in diesem Fall aufgrund Ihrer Einwilligung gem. Art. 6 Abs.1 S. 1 lit. a DSGVO und Art. 9 Abs. 2 S. 1 lit. a DSGVO. Sie können die Einwilligung jederzeit ohne Angabe von Gründen widerrufen.

Im Rahmen des Schlaftrainings werden personenbezogene Daten verarbeitet. Als personenbezogene Daten gelten alle Informationen, anhand derer eine Person eindeutig identifizierbar ist. Es handelt sich somit um Daten, die zu einer Person zurückverfolgt werden können.

Alle Daten werden auf Servern in Deutschland von europäischen Anbietern gespeichert und verarbeitet. Der Betreiber unserer Server ist nach ISO 27001 zertifiziert, es liegen entsprechende Auftragsdatenverarbeitungsverträge vor.

Zur Nutzung der App muss ein Internetzugang verfügbar sein. Die Nutzung von internetbasierten Diensten geht generell mit einem gewissen Sicherheitsrisiko einher, welches wir von unserer Seite aus minimieren, dennoch können wir nicht alle Risiken restlos adressieren.

a) Anmeldung
Sie haben die Möglichkeit sich bereits ohne Lizenzcode über die Website https://www.somn.io anzumelden. Nach einer Anmeldung haben Sie die Möglichkeit sich über die möglichen Formen der Verschreibung zu informieren und zu erfahren, wie der genaue Weg ist, um einen Lizenz-Code, bzw. einen DiGA-Code zu erhalten. Für die Anmeldung ist folgendes Datum erforderlich:

• E-Mail-Adresse

Grundlage für die Verarbeitung ist Ihre Einwilligung in unsere Nutzungsbedingungen, unsere Datenschutzerklärung und dass Sie die Ausschlusskriterien gelesen haben

Die Verarbeitung Ihrer Daten erfolgt in diesem Fall aufgrund Ihrer Einwilligung gem. Art. 6 Abs.1 S. 1 lit. a DSGVO. Sie können die Einwilligung jederzeit ohne Angabe von Gründen widerrufen.

Die Löschung der Daten erfolgt automatisch nach 30 Tagen Inaktivität. Sie erhalten vor Ablauf eine Benachrichtigung über die Löschung.

b) Registrierung
Sofern eine Registrierung über die Website http://www.somn.io bzw. die Gesundheitsanwendung somnio erfolgt, werden von mementor die folgenden personenbezogenen Daten im Rahmen der Registrierung und Nutzung der Gesundheitsanwendung somnio verarbeitet:

• E-Mail-Adresse und
• Lizenzcode

Grundlage für die Verarbeitung ist Ihre Einwilligung in unsere Nutzungsbedingungen, unsere Datenschutzerklärung und dass Sie die Ausschlusskriterien gelesen haben

Sofern Sie Mitglied der Techniker Krankenkasse sind und über den Mitgliederbereich die Website von somnio aufrufen, ist die Eingabe eines Lizenzcodes nicht notwendig. Allerdings erhält mementor Kenntnis davon, dass Sie Mitglied der Techniker Krankenkasse sind.

Sollten Sie hingegen Mitglied der Generali Deutschland Krankenversicherung AG sein und die Seite von somnio über den Mitgliederbereich aufrufen, ist die Eingabe von Daten Ihrerseits nicht notwendig. In diesem Fall wird mementor Ihre E-Mail-Adresse durch die Generali mitgeteilt.

Wenn Sie Mitglied der CSS Versicherung sind, haben Sie ebenfalls über den Mitgliederbereich die Möglichkeit, die Seite von somnio aufzurufen. In diesem Fall sind von Ihnen bei der Anmeldung neben der E-Mail-Adresse Ihre Versicherungsnummer anzugeben. Zudem müssen Sie bestätigen, dass Sie über eine Zusatzversicherung verfügen, die die Kosten der Nutzung von somnio deckt.

Die Anmeldung ermöglicht den Zugriff auf Leistungen und Inhalte, die nur registrierten Nutzern zur Verfügung stehen. Zusätzlich nutzen wir den DiGA-Code für die Abrechnung bei der Krankenkasse. Es werden außer dem DiGA-Code keine weiteren Daten übertragen. Bei Bedarf haben angemeldete Nutzer die Möglichkeit, die im Rahmen der Registrierung genannten Daten jederzeit im Profil zu ändern oder zu löschen.

Die Verarbeitung Ihrer Daten erfolgt in diesem Fall aufgrund Ihrer Einwilligung gem. Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V. Sie können die Einwilligung jederzeit ohne Angabe von Gründen widerrufen. Die Verarbeitung des DiGA-Codes zur Abrechnung erfolgt auf Grundlage von Art. 6. Abs. 1 S. 1 lit. b DSGVO.

Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf Ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf Ihren expliziten Wunsch hin Ihr Konto auch über die 30 Tage vor der Löschung bewahren.

c) Schlaftraining mittels somnio
Um das Schlaftraining zu personalisieren und damit eine möglichst hohe Erfolgsquote zu erzielen, werden im Schlaftraining mit der Gesundheitsanwendung somnio weitergehende Daten erhoben. Dazu gehören

• ein selbst gewählter Nutzername
• Geschlecht,
• Alter

Bei der Nutzung der App werden Gesundheitsdaten zu

• den Schlafzeiten,
• dem Konsum relevanter Substanzen wie Alkohol und Koffein,
• Schlafverhalten und
• Ihrem subjektiven Empfinden zur Leistungsfähigkeit und Stimmung

abgefragt. Die von Ihnen abgegebenen Antworten werden gespeichert und ausgewertet, um das Training auf Ihre individuellen Probleme und Bedürfnisse anzupassen. Bei den erhobenen Daten handelt es sich um besondere Kategorien personenbezogener Daten, speziell Gesundheitsdaten, i. S. v. Art. 9 DSGVO, bzw. § 22 BDSG. Gesundheitsdaten sind alle Daten, die sich auf den körperlichen und geistigen Gesundheitszustand einer natürlichen Person beziehen. Diese Daten werden auf einem Server in Deutschland gespeichert. Die Server werden nicht von uns, sondern von einem europäischen Anbieter betrieben. Mit diesem liegt ein Auftragsdatenverarbeitungsvertrag und eine Liste technischer und organisatorischer Maßnahmen vor. Der Auftragnehmer ist nach ISO 27001 zertifiziert. Auf die Daten haben nur unsere Administratoren, unsere Mitarbeiter im Support und Sie Zugriff.

Die gespeicherten Daten werden genutzt, um Score-Werte zu berechnen, Auswertungen zu erstellen und den Trainingserfolg zu überwachen.

Diese Daten werden von mementor nur erhoben und genutzt, sofern der Gesetzgeber dies ausdrücklich erlaubt oder aber der Nutzer in die Erhebung, Bearbeitung, Nutzung und Weitergabe der Daten einwilligt.

Rechtsgrundlage zur Verarbeitung der Daten, bzw. Gesundheitsdaten ist Ihre ausdrückliche Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO und Art. 9 Abs. 2 S. 1 lit. a DSGVO. Sie können Ihre Einwilligung zur Verarbeitung jederzeit ohne Angaben von Gründen zurückziehen. Ein Zurückziehen der Einwilligung resultiert in einer Sperrung der Verarbeitung Ihrer Daten und zu einer Löschung nach 30 Tagen, innerhalb dieses Zeitraums können Sie Ihre Einwilligung erneut erteilen und das Programm ohne Fortschrittsverlust weiternutzen.

Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf Ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf Ihren expliziten Wunsch hin Ihr Konto auch über die 30 Tage vor der Löschung bewahren.

d) Schlaftracker
Die von mementor angebotene Gesundheitsanwendung somnio kann optional mit einem Fitnesstracker verbunden werden. Die Anbindung erfolgt dabei über eine vom jeweiligen Hersteller ausgegebene Schnittstelle. Dabei werden Informationen zur

• Bettgehzeit,
• Einschlafzeit,
• Schlafdauer,
• Anzahl nächtlicher Wachphasen und Dauer,
• Aufwachzeit und
• Aufstehzeit

vom Fitnesstracker an somnio übermittelt und entsprechend lit. b in das Schlaftagebuch übernommen.

Eine Verbindung mit dem Fitnesstracker und das Abrufen der Daten ist nur möglich, nachdem Sie gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO Ihre Einwilligung erteilt haben. Sie haben jederzeit die Möglichkeit diese Einwilligung zu widerrufen und somnio auch ohne Fitnesstracker fortzuführen.

Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf Ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf Ihren expliziten Wunsch hin Ihr Konto auch über die 30 Tage vor der Löschung bewahren.

e) E-Mails
Wir nutzen Sendinblue der Firma Newsletter2Go GmbH, Köpenicker Straße 126, 10179 Berlin zum Versand von E-Mails. Dies betrifft sowohl die E-Mail zur Registrierung, System-E-Mails, Erinnerungs-E-Mails und Newsletter. Dabei werden

• Ihre E-Mailadresse,
• Ihr selbstgewählter Nutzername,
• der Inhalt der Nachricht und
• die Information ob die E-Mail gelesen wurde

verarbeitet. Mit dem Dienstleister wurde ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen. Der Dienstleister nutzt Unterauftragnehmer innerhalb der EU, daher kann es sein, dass Informationen in den E-Mails aus Ländern außerhalb Deutschlands geladen werden.

Wir verwenden in unseren E-Mails Pixel zum Nachvollziehen, ob eine E-Mail ihr Ziel erreicht hat und gelesen wurde. Dies ist notwendig um zu wissen, ob der Versand von E-Mails funktioniert.

Die Verarbeitung erfolgt auf Basis Ihrer Einwilligung nach Art. 6 Abs. 1. S. 1 lit. a DSGVO i. V. m. Art. 9 Abs. 2. lit. a. Eine Durchführung des Trainings ist auch ohne das Verschicken von E-Mails möglich, Sie können jederzeit in Ihrem Profil einstellen, ob Sie Erinnerungs-E-Mails oder einen Newsletter erhalten wollen.

Die verarbeiteten Daten werden nur so lange gespeichert, wie es für die Durchführung des Versendens notwendig ist.

Wenn Sie mementor per E-Mail oder Formular kontaktieren, werden die von Ihnen gemachten Angaben (insbesondere Ihre E-Mail-Adresse) gespeichert, um Ihre Anfrage beantworten und mögliche Anschlussfragen stellen zu können.

In diesem Fall erfolgt die Verarbeitung Ihrer Daten auf Grundlage Ihrer (konkludenten) Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Sie haben die Möglichkeit sich einen telefonischen Supporttermin mit uns zu vereinbaren. Zur Organisation solcher Termine nutzen wir Calenso. Anbieter ist Braincept AG, Neuenkirchstrasse 19, 6203 Sempach-Station, Schweiz, Europa (Webseite: https://www.calenso.com).

Wir nutzen Calenso um Telefontermine online buchbar zu machen. Dies stellt ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO dar, das berechtigte Interesse liegt dabei in der strukturierten Organisation der Termine.

Bei der Terminbuchung werden Name, E-Mail-Adresse und die Telefonnummer verlangt. Die an uns gesendeten Informationen verbleiben bei uns, bis Sie uns zur Löschung auffordern oder der Zweck für die Datenspeicherung entfällt. Zwingende gesetzliche Bestimmungen – insb. Aufbewahrungsfristen – bleiben unberührt. Sollten Sie es bevorzugen, Termine nicht via Calenso mit uns zu vereinbaren, können Sie alternativ per E-Mail (support@mementor.de) mit uns in Kontakt treten.

Zusätzlich haben wir mit Calenso einen Auftragsdatenverarbeitungsvertrag (Data Processing Agreement, DPA) abgeschlossen. Dadurch ist sichergestellt, dass Calenso die Nutzer-Daten nur im Rahmen der EU-Datenschutznormen ausschliesslich zur Verarbeitung der Anfragen nutzt und diese nicht an Dritte weitergibt.

Nähere Informationen über Calenso und zu den erfassten Daten entnehmen Sie der Datenschutzerklärung von Calenso unter dem folgenden Link: https://calenso.com/datenschutz/.

somnio verwendet sogenannte Cookies. Das sind Textdateien, die vom Server aus auf Ihrem Gerät gespeichert werden. Cookies werden in somnio genutzt, um Sitzungsdaten nach der Anmeldung im Programm zu speichern. Wir weisen Sie darauf hin, dass dies mit gewissen Risiken verbunden sein kann. Um sicherzustellen, dass Ihre Sitzung nicht von Drittpersonen gekapert werden kann, empfehlen wir Ihnen, sich nach jeder Nutzung von somnio auszuloggen.

Im Folgenden finden Sie Informationen dazu, welche Betroffenenrechte das geltende Datenschutzrecht Ihnen gegenüber dem Verantwortlichen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gewährt:

a) Das Recht, gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft Ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen.

b) Das Recht, gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.

c) Das Recht, gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

d) Das Recht, gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.

e) Das Recht, gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen. Im Profil können Sie alle über Sie gespeicherten Daten in einem Maschinenlesbaren Format exportieren. Sie haben auch die Möglichkeit, einer klinischen Fachperson (Arzt / Psychotherapeut) Zugriff auf einen Auswertungsreport zu geben. Im Report sind Daten aus Ihrem Schlaftagebuch sowie Daten zum Fortschritt im Schlaftraining enthalten. Der Zugriff kann nicht von der klinischen Fachperson selbst ausgelöst werden, sondern geht ausschließlich durch eine Aktion von Ihnen aus dem Profil der Anwendung aus. Jeder Zugriff ist nur durch eine explizite Autorisierung von Ihnen möglich.

f) Das Recht, sich gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde des Bundeslandes unseres oben angegebenen Sitzes oder ggf. die Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes wenden.

g) Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO: Sie haben das Recht, eine einmal erteilte Einwilligung in die Verarbeitung von Daten jederzeit mit Wirkung für die Zukunft zu widerrufen. Im Falle des Widerrufs werden wir die betroffenen Daten unverzüglich löschen, sofern eine weitere Verarbeitung nicht auf eine Rechtsgrundlage zur einwilligungslosen Verarbeitung gestützt werden kann. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

h) Sofern Ihre personenbezogenen Daten von uns auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie gemäß Art. 21 DSGVO das Recht, Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dies aus Gründen erfolgt, die sich aus Ihrer besonderen Situation ergeben. Soweit sich der Widerspruch gegen die Verarbeitung personenbezogener Daten zum Zwecke von Direktwerbung richtet, haben Sie ein generelles Widerspruchsrecht ohne das Erfordernis der Angabe einer besonderen Situation.

Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an support@mementor.de.

Um zu gewährleisten, dass unsere Datenschutzerklärung stets den aktuellen gesetzlichen Vorgaben entspricht, behält sich mementor jederzeit Änderungen vor. Das gilt auch für den Fall, dass die Datenschutzerklärung aufgrund neuer oder überarbeiteter Leistungen, zum Beispiel neuer Serviceleistungen, angepasst werden muss.