Datenschutzerklärung

der digitalen Gesundheitsanwendung somnio

Letzte Anpassung am 28.01.2025

1 Zweck und Geltungsbereich

Die Datenschutzerklärung ist für die Anwendung somnio gültig. Die Anwendung somnio wird zur Behandlung von Ein- und Durchschlafstörungen verwendet.

Zur Nutzung der Anwendung muss ein Internetzugang verfügbar sein. Die Nutzung von internetbasierten Diensten geht generell mit einem gewissen Sicherheitsrisiko einher, welches wir von unserer Seite aus minimieren. Dennoch können wir nicht alle Risiken restlos adressieren.

Wir verwenden Bibliotheken und Software von Drittanbietern. Diese werden so sparsam wie möglich eingesetzt und von uns regelmäßig überwacht.

2 Tipps, wie Sie den Schutz Ihrer Daten maximieren können

  • Verwenden Sie eine E-Mailadresse welche keine Details zu Ihrer Person preisgibt (z.B. pm1234@test.de statt peter.mueller@test.de)

  • Gleiches gilt für Ihren selbstgewählten Nutzernamen (z.B. “Superstar” statt Petra)

  • Damit Sie sicher sein können, dass keine Daten im Arbeitsspeicher verbleiben, starten Sie das Endgerät neu oder fahren Sie es runter. Im Arbeitsspeicher verbleibende Daten nach Beendigung der Anwendung können wir nicht schützen oder kontrollieren, Dritte könnten mit Zugriff auf ihr Endgerät diese Daten auslesen

  • Tipps des Bundesamts für Sicherheit in der Informationstechnik: Basistipps zur IT-Sicherheit

3 Erfassung allgemeiner Informationen

Wofür? Zur korrekten Darstellung von und zur Verbindung mit der Anwendung, sowie zur Erkennung von und zum Schutz vor Angriffen

Was? IP-Adresse, Informationen zum Endgerät

Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO, das berechtigte Interesse liegt im Schutz unserer Anwendung, sowie in der korrekten Darstellung der Anwendung

Sie können gegen diese Verarbeitung Widerspruch einlegen. Bitte schreiben Sie dazu an dataprivacy@mementor.de.

Löschfristen IP-Adressen werden 10 Tage gespeichert, Endgerätedaten direkt nach Erfüllung des Zwecks

Dienstleister keine

4 Rezept-Service (optionaler Service für Versicherte gesetzlicher Krankenkassen)

Wofür? Wir kümmern uns für Sie um die Rezepteinreichung bei Ihrer Krankenkasse. Sie laden Ihr Rezept hoch, wir schicken es elektronisch (falls möglich) oder per Post an ihre Krankenkasse, Sie bekommen den DiGA-Code zur Freischaltung der Anwendung zugeschickt.

Gleichzeitig wird ein Profil erstellt (siehe nächster Punkt), damit Sie die volle Kontrolle über Ihre Daten behalten.

Was? Adressdaten, E-Mailadresse, Telefonnummer (optional), Krankenkasse, Bild des Rezepts mit Versichertennummer und Name

Rechtsgrundlage Art. 9 Abs. 2 lit. a DSGVO (Einwilligung, jederzeit widerrufbar)

Löschfristen Unverzüglich nach Einlösung des Lizenzcodes durch den Account oder nach maximal 30 Tagen

Dienstleister Zum Versand von Briefen: LetterXpress, bereitgestellt durch A&O Fischer GmbH & Co. KG, Maybachstraße 9, 21423 Winsen (Luhe), Deutschland

5 Schlaftraining

a) Account-Erstellung

Wofür? Erstellung eines Accounts für die Anwendung, Sie können dies entweder per E-Mail-Adresse und Passkey oder per E-Mail-Adresse und Passwort durchführen, wir empfehlen Passkey

Was? E-Mail-Adresse, Passkey (Wie funktioniert ein Passkey?) oder E-Mail-Adresse, Passwort

Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar)

Löschfristen 30 Tage nach Erstellung, falls kein Freischaltcode benutzt wurde

Dienstleister Bereitstellung der Passkey-Funktionalität: Hanko GmbH, Ringstr. 19, 24114 Kiel, Deutschland.
Konsequenz der Weitergabe ist die Speicherung der E-Mailadresse auf RDS (Service von Amazon Web Services, Amazon Web Services, Inc. 410 Terry Avenue North Seattle WA 98109. United States) in Frankfurt (Main), Deutschland - trotz vertraglicher Zusicherung durch Amazon Web Services, dass alle Daten in Deutschland bleiben, kann eine Übertragung der E-Mailadresse und des Passkeys in ein Drittland nicht vollständig ausgeschlossen werden. Eine Anmeldung bei unserer Anwendung ist allerdings nur zusätzlich mit den auf Ihrem Gerät befindlichen Schlüssel möglich. Der Passkey alleine ist nutzlos, somit wäre lediglich ihre E-Mailadresse im Falle eines Datenabflusses betroffen.

b) Codeeinlösung

Wofür? Zum Start des Schlaftrainings und zur Abrechnung der Leistung bei der Krankenkasse oder privaten Krankenversicherung: Wir schicken den eingegebenen Code an eine Schnittstelle der Krankenkasse, bzw. verifizieren diesen bei ihrer privaten Krankenversicherung, um die Echtheit und Aktualität des Codes zu prüfen. Wenn Sie somnio selbst gekauft haben, prüfen wir, ob der Code von uns ausgestellt wurde.

Was? Freischaltcode, Registrierungsdatum, E-Mail-Adresse, Passkey (Wie funktioniert ein Passkey?) oder nur Freischaltcode, Registrierungsdatum, falls bereits ein Account erstellt wurde

Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar)

Löschfristen 30 Tage nach Ablauf der Lizenzdauer, 14 und 7 Tage vor Ablauf erfolgt eine Benachrichtigung, die Löschung kann auf expliziten Wunsch aufgeschoben werden

Dienstleister Bereitstellung der Passkey-Funktionalität: Hanko GmbH, Ringstr. 19, 24114 Kiel, Deutschland.
Konsequenz der Weitergabe ist die Speicherung der E-Mailadresse auf RDS (Service von Amazon Web Services, Amazon Web Services, Inc. 410 Terry Avenue North Seattle WA 98109. United States) in Frankfurt (Main), Deutschland - trotz vertraglicher Zusicherung durch Amazon Web Services, dass alle Daten in Deutschland bleiben, kann eine Übertragung der E-Mailadresse und des Passkeys in ein Drittland nicht vollständig ausgeschlossen werden. Eine Anmeldung bei unserer Anwendung ist allerdings nur zusätzlich mit den auf Ihrem Gerät befindlichen Schlüssel möglich. Der Passkey alleine ist nutzlos, somit wäre lediglich ihre E-Mailadresse im Falle eines Datenabflusses betroffen.

c) Anmeldung

Wofür? Vor jeder Nutzung der Anwendung müssen Sie sich anmelden

Was? E-Mail-Adresse, Passkey (Wie funktioniert ein Passkey?) oder Gesundheits-ID oder E-Mail-Adresse, Passwort

Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)

Löschfristen keine Speicherung

Dienstleister Bereitstellung der Passkey-Funktionalität: Hanko GmbH, Ringstr. 19, 24114 Kiel, Deutschland.
Konsequenz der Weitergabe ist die Speicherung der E-Mailadresse auf RDS (Service von Amazon Web Services, Amazon Web Services, Inc. 410 Terry Avenue North Seattle WA 98109. United States) in Frankfurt (Main), Deutschland - trotz vertraglicher Zusicherung durch Amazon Web Services, dass alle Daten in Deutschland bleiben, kann eine Übertragung der E-Mailadresse und des Passkeys in ein Drittland nicht vollständig ausgeschlossen werden. Eine Anmeldung bei unserer Anwendung ist allerdings nur zusätzlich mit den auf Ihrem Gerät befindlichen Schlüssel möglich. Der Passkey alleine ist nutzlos, somit wäre lediglich ihre E-Mailadresse im Falle eines Datenabflusses betroffen.

Bereitstellung der Gesundheits-ID-Funktionalität: azuma healthtech GmbH, Lindenstr. 4g, 81545 München, Deutschland; Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht.

d) Durchführung des Schlaftrainings

Wofür? Selbständige Verlaufskontrolle, Personalisierung des Trainings

Was? selbstgewählter Nutzername, Geschlecht, Alter, Gesundheitsdaten zu Schlafzeiten, Schlafverhalten, Angaben zum persönlichen Krankheitsbild, Konsum relevanter Substanzen wie Alkohol und Koffein, subjektiven Empfinden zur Leistungsfähigkeit und Stimmung, Vorwissen, Fortschritt in der Anwendung

Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)

Löschfristen 30 Tage nach Ablauf der Lizenzdauer, 14 und 7 Tage vor Ablauf erfolgt eine Benachrichtigung, die Löschung kann auf expliziten Wunsch aufgeschoben werden

Dienstleister keine

e) Fitness-Tracker (optional)

Wofür? Übertragung von Messwerten der Fitness-Tracker in die Anwendung

Was? Gesundheitsdaten zu Schlafzeiten, Schlafverhalten

Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)

Löschfristen 30 Tage nach Ablauf der Lizenzdauer, 14 und 7 Tage vor Ablauf erfolgt eine Benachrichtigung, die Löschung kann auf expliziten Wunsch aufgeschoben werden

Dienstleister Anbindung der Fitness-Tracker: Thryve von mHealth Pioneers GmbH, Körtestraße 10, 10967 Berlin, Deutschland, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht

f) E-Mails

Wofür? Versenden von Erinnerungs-E-Mails, Zwei-Faktor-Authentisierung, Registierungs-E-Mails, System-E-Mails, Kommunkation in besonderen Fällen (Sicherheitskorrekturmaßnahmen)

Was? E-Mailadresse, selbstgewählter Nutzername

Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)

Löschfristen Daten werden nur so lange gespeichert, wie es für die Erreichung des Zweckes der Verarbeitung notwendig ist

Dienstleister Anbieter zum Versand von E-Mails: Sendinblue der Firma Newsletter2Go GmbH, Köpenicker Straße 126, 10179 Berlin, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht

g) Medizinischer Bericht (optional)

Wofür? Erstellung, Export und Versand des medizinischen Berichts, damit Ihre behandelnde Fachperson sehen kann, wie ihr aktueller Stand ist

Was? Aggregierte Daten zur Therapie: Modulfortschritt, Verlauf von klinisch relevanten Parametern, selbstgewählter Nutzername
Im Falle einer Übertragung des Zugangscodes per E-Mail: ihre E-Mailadresse, die E-Mailadresse der behandelnden Praxis - wir erstellen immer einen sicheren Link, den Sie jederzeit wieder entfernen können, die E-Mail wird vorformuliert und muss durch Sie abgeschickt werden

Sollten Sie den medizinischen Bericht exportieren, sind Sie für die Sicherheit dieses Berichts verantwortlich. Teilen Sie ihn daher nur mit berechtigten Personen und löschen Sie ihn, falls er nicht mehr benötigt wird.

Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (konkludente Einwilligung, jederzeit widerrufbar)

Löschfristen Spätestens mit der Löschung Ihres Accounts, 30 Tage nach Lizenzablauf

Dienstleister keine

h) Schreiben in die elektronische Patientenakte (optional)

Wofür? Export von Nutzungsdaten in die elektronische Patientenakte, entweder manuell oder regelmäßig automatisiert - soweit verfügbar

Was? Nutzungsdaten, klinisch relevante Parameter

Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar) - Sie müssen den Export aktiv bestätigen

Löschfristen keine Speicherung der Daten auf Seiten von mementor

Dienstleister Zugriff auf den ePA-Fachdienst: MEDKONNEKT GmbH, Schleißheimer Straße 91A, 85748 Garching b. München, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht
Bereitstellung der Gesundheits-ID-Funktionalität: azuma healthtech GmbH, Lindenstr. 4g, 81545 München, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht

i) Kontaktaufnahme mit dem Support (optional)

Wofür? Falls Sie sich direkt an uns wenden wollen und menschliche Unterstützung bei technischen Problemen haben oder Nachfragen zu Programminhalten

Was? E-Mailadresse

Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, Art. 6 Abs.1 S. 1 lit. c, DSGVO und § 4 Abs. 2 S. 1 DiGA-V (konkludente Einwilligung, jederzeit widerrufbar) - Sie schreiben uns an

Löschfristen Unverzüglich, sobald wir unseren gesetzlichen Nachweispflichten nicht mehr nachkommen müssen - dies kann je nach Art der Anfrage variieren

Dienstleister keine

j) Terminvereinbarung für ein Supportgespräch (optional)

Wofür? Falls Sie sich direkt an uns wenden wollen und persönliche Unterstützung bei technischen Problemen haben oder Nachfragen zu Programminhalten und dies auf telefonischem Wege machen wollen, können Sie ein Supportgespräch buchen

Was? Name, E-Mail-Adresse, Telefonnummer

Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, DSGVO und § 4 Abs. 2 S. 1 DiGA-V (konkludente Einwilligung, jederzeit widerrufbar) - Sie buchen einen Termin bei uns

Löschfristen Unverzüglich, sobald wir unseren gesetzlichen Nachweispflichten nicht mehr nachkommen müssen - dies kann je nach Art der Anfrage variieren

Dienstleister Terminbuchungstool: Calenso. Anbieter ist Braincept AG, Neuenkirchstrasse 19, 6203 Sempach-Station, Schweiz, Europa (Webseite: https://www.calenso.com)
Die Daten werden an Calenso weitergegeben und dort bis zur Durchführung des Supportgesprächs gespeichert

k) Anonymisierung von Daten zur Verbesserung des Services und zum Nachweis der fortlaufenden Eignung der Anwendung

Wofür? Da wir keine personenbezogenen Daten dauerhaft speichern wollen, trotzdem Nachweispflichten in der Überwachung nach dem Inverkehrbringen einer Gesundheitsanwendung haben, müssen wir Daten auswerten

Was? selbstgewählter Nutzername, Geschlecht, Alter, Gesundheitsdaten zu Schlafzeiten, Schlafverhalten, Angaben zum persönlichen Krankheitsbild, Konsum relevanter Substanzen wie Alkohol und Koffein, subjektiven Empfinden zur Leistungsfähigkeit und Stimmung, Vorwissen, Fortschritt in der Anwendung

Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, Art. 6 Abs.1 S. 1 lit. c, DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)

Löschfristen keine Speicherung personenbezogener Daten, Daten zur Bewertung von Modulen generell werden nur anonymisiert gespeichert, außer Sie wollen explizit, dass Sie danach kontaktiert werden, in diesem Fall werden die Angaben zu einer Supportanfrage (siehe Punkt i)

Dienstleister keine

6 Weitere Datenverarbeiter

a) Hostinganbieter

Wofür? Damit unsere Anwendung funktioniert, muss sie gehostet werden. Dies beinhaltet die Speicherung und Verarbeitung aller Daten, welche nicht direkt auf dem Endgerät verarbeitet werden

Was? Alle serverseitigen Verarbeitungen von Daten, sowie die Speicherung von Daten, inklusive Gesundheitsdaten

Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, DSGVO und § 4 Abs. 2 S. 1 DiGA-V

Löschfristen 30 Tage nach Ablauf der Lizenzdauer, 14 und 7 Tage vor Ablauf erfolgt eine Benachrichtigung, die Löschung kann auf expliziten Wunsch aufgeschoben werden

Dienstleister IONOS Cloud, bereitgestellt durch IONOS SE, Elgendorfer Str. 57. 56410 Montabaur (Serverstandort Deutschland)
Durch die Nutzung von IONOS werden alle verarbeiteten und gespeicherten Daten auf das Rechenzentrum von IONOS übertragen. IONOS verfügt über eine Vielzahl von Sicherheitsmaßnahmen um zu garantieren, dass ihre Daten dort sicher sind, mehr Informationen finden Sie unter Datenschutz & Datensicherheit | IONOS Cloud

7 Cookies

somnio verwendet sogenannte Cookies. Das sind Textdateien, die vom Server aus auf Ihrem Gerät gespeichert werden. Cookies werden in somnio genutzt, um Sitzungsdaten nach der Anmeldung im Programm zu speichern. Wir weisen Sie darauf hin, dass dies mit gewissen Risiken verbunden sein kann. Um sicherzustellen, dass Ihre Sitzung nicht von Drittpersonen gekapert werden kann, empfehlen wir Ihnen, sich nach jeder Nutzung von somnio auszuloggen.

8 Ihre Rechte

a) Allgemein

Jedes der nachfolgenden Rechte können Sie am besten über eine E-Mail an support@mementor.de geltend machen.

Sie haben das Recht auf

  • Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten nach Art. 15 DSGVO,

  • die Berichtigung unrichtiger oder Vervollständigung bei uns gespeicherten personenbezogenen Daten nach Art. 16 DSGVO,

  • Löschung Ihrer bei uns gespeicherten personenbezogenen Daten nach Art. 17 DSGVO,

  • die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten nach Art. 18 DSGVO,

  • Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen nach Art. 20 DSGVO zu verlangen,

  • Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DSGVO,

  • Widerruf erteilter Einwilligungen nach Art. 7 Abs. 3 DSGVO.

9 Änderung unserer Datenschutzerklärung

Wir behalten uns eine Änderung der Datenschutzerklärung für den Fall von geänderten gesetzlichen Vorgaben oder für den Fall von Aktualisierungen auf unserer Seite. Sollten Sie zu diesem Zeitpunkt bereits registriert sein, werden Sie informiert.

10 Kontaktinformationen

Verantwortliche Stelle im Sinne des Datenschutzrechts
mementor DE GmbH
Karl-Heine-Straße 15
04229 Leipzig
Deutschland
info@mementor.de

Kontaktdaten des Datenschutzbeauftragten
mementor DE GmbH
Datenschutz
Karl-Heine-Straße 15
04229 Leipzig
Deutschland
dataprivacy@mementor.de