a) Account-Erstellung
Wofür? Erstellung eines Accounts für die Anwendung, Sie können dies entweder per E-Mail-Adresse und Passkey oder per E-Mail-Adresse und Passwort durchführen, wir empfehlen Passkey
Was? E-Mail-Adresse, Passkey (Wie funktioniert ein Passkey?) oder E-Mail-Adresse, Passwort
Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar)
Löschfristen 30 Tage nach Erstellung, falls kein Freischaltcode benutzt wurde
Dienstleister Bereitstellung der Passkey-Funktionalität: Hanko GmbH, Ringstr. 19, 24114 Kiel, Deutschland.
Konsequenz der Weitergabe ist die Speicherung der E-Mailadresse auf RDS (Service von Amazon Web Services, Amazon Web Services, Inc. 410 Terry Avenue North Seattle WA 98109. United States) in Frankfurt (Main), Deutschland - trotz vertraglicher Zusicherung durch Amazon Web Services, dass alle Daten in Deutschland bleiben, kann eine Übertragung der E-Mailadresse und des Passkeys in ein Drittland nicht vollständig ausgeschlossen werden. Eine Anmeldung bei unserer Anwendung ist allerdings nur zusätzlich mit den auf Ihrem Gerät befindlichen Schlüssel möglich. Der Passkey alleine ist nutzlos, somit wäre lediglich ihre E-Mailadresse im Falle eines Datenabflusses betroffen.
b) Codeeinlösung
Wofür? Zum Start des Schlaftrainings und zur Abrechnung der Leistung bei der Krankenkasse oder privaten Krankenversicherung: Wir schicken den eingegebenen Code an eine Schnittstelle der Krankenkasse, bzw. verifizieren diesen bei ihrer privaten Krankenversicherung, um die Echtheit und Aktualität des Codes zu prüfen. Wenn Sie somnio selbst gekauft haben, prüfen wir, ob der Code von uns ausgestellt wurde.
Was? Freischaltcode, Registrierungsdatum, E-Mail-Adresse, Passkey (Wie funktioniert ein Passkey?) oder nur Freischaltcode, Registrierungsdatum, falls bereits ein Account erstellt wurde
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar)
Löschfristen 30 Tage nach Ablauf der Lizenzdauer, 14 und 7 Tage vor Ablauf erfolgt eine Benachrichtigung, die Löschung kann auf expliziten Wunsch aufgeschoben werden
Dienstleister Bereitstellung der Passkey-Funktionalität: Hanko GmbH, Ringstr. 19, 24114 Kiel, Deutschland.
Konsequenz der Weitergabe ist die Speicherung der E-Mailadresse auf RDS (Service von Amazon Web Services, Amazon Web Services, Inc. 410 Terry Avenue North Seattle WA 98109. United States) in Frankfurt (Main), Deutschland - trotz vertraglicher Zusicherung durch Amazon Web Services, dass alle Daten in Deutschland bleiben, kann eine Übertragung der E-Mailadresse und des Passkeys in ein Drittland nicht vollständig ausgeschlossen werden. Eine Anmeldung bei unserer Anwendung ist allerdings nur zusätzlich mit den auf Ihrem Gerät befindlichen Schlüssel möglich. Der Passkey alleine ist nutzlos, somit wäre lediglich ihre E-Mailadresse im Falle eines Datenabflusses betroffen.
c) Anmeldung
Wofür? Vor jeder Nutzung der Anwendung müssen Sie sich anmelden
Was? E-Mail-Adresse, Passkey (Wie funktioniert ein Passkey?) oder Gesundheits-ID oder E-Mail-Adresse, Passwort
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)
Löschfristen keine Speicherung
Dienstleister Bereitstellung der Passkey-Funktionalität: Hanko GmbH, Ringstr. 19, 24114 Kiel, Deutschland.
Konsequenz der Weitergabe ist die Speicherung der E-Mailadresse auf RDS (Service von Amazon Web Services, Amazon Web Services, Inc. 410 Terry Avenue North Seattle WA 98109. United States) in Frankfurt (Main), Deutschland - trotz vertraglicher Zusicherung durch Amazon Web Services, dass alle Daten in Deutschland bleiben, kann eine Übertragung der E-Mailadresse und des Passkeys in ein Drittland nicht vollständig ausgeschlossen werden. Eine Anmeldung bei unserer Anwendung ist allerdings nur zusätzlich mit den auf Ihrem Gerät befindlichen Schlüssel möglich. Der Passkey alleine ist nutzlos, somit wäre lediglich ihre E-Mailadresse im Falle eines Datenabflusses betroffen.
Bereitstellung der Gesundheits-ID-Funktionalität: azuma healthtech GmbH, Lindenstr. 4g, 81545 München, Deutschland; Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht.
d) Durchführung des Schlaftrainings
Wofür? Selbständige Verlaufskontrolle, Personalisierung des Trainings
Was? selbstgewählter Nutzername, Geschlecht, Alter, Gesundheitsdaten zu Schlafzeiten, Schlafverhalten, Angaben zum persönlichen Krankheitsbild, Konsum relevanter Substanzen wie Alkohol und Koffein, subjektiven Empfinden zur Leistungsfähigkeit und Stimmung, Vorwissen, Fortschritt in der Anwendung
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)
Löschfristen 30 Tage nach Ablauf der Lizenzdauer, 14 und 7 Tage vor Ablauf erfolgt eine Benachrichtigung, die Löschung kann auf expliziten Wunsch aufgeschoben werden
Dienstleister keine
e) Fitness-Tracker (optional)
Wofür? Übertragung von Messwerten der Fitness-Tracker in die Anwendung
Was? Gesundheitsdaten zu Schlafzeiten, Schlafverhalten
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)
Löschfristen 30 Tage nach Ablauf der Lizenzdauer, 14 und 7 Tage vor Ablauf erfolgt eine Benachrichtigung, die Löschung kann auf expliziten Wunsch aufgeschoben werden
Dienstleister Anbindung der Fitness-Tracker: Thryve von mHealth Pioneers GmbH, Körtestraße 10, 10967 Berlin, Deutschland, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht
f) E-Mails
Wofür? Versenden von Erinnerungs-E-Mails, Zwei-Faktor-Authentisierung, Registierungs-E-Mails, System-E-Mails, Kommunkation in besonderen Fällen (Sicherheitskorrekturmaßnahmen)
Was? E-Mailadresse, selbstgewählter Nutzername
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)
Löschfristen Daten werden nur so lange gespeichert, wie es für die Erreichung des Zweckes der Verarbeitung notwendig ist
Dienstleister Anbieter zum Versand von E-Mails: Sendinblue der Firma Newsletter2Go GmbH, Köpenicker Straße 126, 10179 Berlin, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht
g) Medizinischer Bericht (optional)
Wofür? Erstellung, Export und Versand des medizinischen Berichts, damit Ihre behandelnde Fachperson sehen kann, wie ihr aktueller Stand ist
Was? Aggregierte Daten zur Therapie: Modulfortschritt, Verlauf von klinisch relevanten Parametern, selbstgewählter Nutzername
Im Falle einer Übertragung des Zugangscodes per E-Mail: ihre E-Mailadresse, die E-Mailadresse der behandelnden Praxis - wir erstellen immer einen sicheren Link, den Sie jederzeit wieder entfernen können, die E-Mail wird vorformuliert und muss durch Sie abgeschickt werden
Sollten Sie den medizinischen Bericht exportieren, sind Sie für die Sicherheit dieses Berichts verantwortlich. Teilen Sie ihn daher nur mit berechtigten Personen und löschen Sie ihn, falls er nicht mehr benötigt wird.
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (konkludente Einwilligung, jederzeit widerrufbar)
Löschfristen Spätestens mit der Löschung Ihres Accounts, 30 Tage nach Lizenzablauf
Dienstleister keine
h) Schreiben in die elektronische Patientenakte (optional)
Wofür? Export von Nutzungsdaten in die elektronische Patientenakte, entweder manuell oder regelmäßig automatisiert - soweit verfügbar
Was? Nutzungsdaten, klinisch relevante Parameter
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar) - Sie müssen den Export aktiv bestätigen
Löschfristen keine Speicherung der Daten auf Seiten von mementor
Dienstleister Zugriff auf den ePA-Fachdienst: MEDKONNEKT GmbH, Schleißheimer Straße 91A, 85748 Garching b. München, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht
Bereitstellung der Gesundheits-ID-Funktionalität: azuma healthtech GmbH, Lindenstr. 4g, 81545 München, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht
i) Kontaktaufnahme mit dem Support (optional)
Wofür? Falls Sie sich direkt an uns wenden wollen und menschliche Unterstützung bei technischen Problemen haben oder Nachfragen zu Programminhalten
Was? E-Mailadresse
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, Art. 6 Abs.1 S. 1 lit. c, DSGVO und § 4 Abs. 2 S. 1 DiGA-V (konkludente Einwilligung, jederzeit widerrufbar) - Sie schreiben uns an
Löschfristen Unverzüglich, sobald wir unseren gesetzlichen Nachweispflichten nicht mehr nachkommen müssen - dies kann je nach Art der Anfrage variieren
Dienstleister keine
j) Terminvereinbarung für ein Supportgespräch (optional)
Wofür? Falls Sie sich direkt an uns wenden wollen und persönliche Unterstützung bei technischen Problemen haben oder Nachfragen zu Programminhalten und dies auf telefonischem Wege machen wollen, können Sie ein Supportgespräch buchen
Was? Name, E-Mail-Adresse, Telefonnummer
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, DSGVO und § 4 Abs. 2 S. 1 DiGA-V (konkludente Einwilligung, jederzeit widerrufbar) - Sie buchen einen Termin bei uns
Löschfristen Unverzüglich, sobald wir unseren gesetzlichen Nachweispflichten nicht mehr nachkommen müssen - dies kann je nach Art der Anfrage variieren
Dienstleister Terminbuchungstool: Calenso. Anbieter ist Braincept AG, Neuenkirchstrasse 19, 6203 Sempach-Station, Schweiz, Europa (Webseite: https://www.calenso.com)
Die Daten werden an Calenso weitergegeben und dort bis zur Durchführung des Supportgesprächs gespeichert
k) Anonymisierung von Daten zur Verbesserung des Services und zum Nachweis der fortlaufenden Eignung der Anwendung
Wofür? Da wir keine personenbezogenen Daten dauerhaft speichern wollen, trotzdem Nachweispflichten in der Überwachung nach dem Inverkehrbringen einer Gesundheitsanwendung haben, müssen wir Daten auswerten
Was? selbstgewählter Nutzername, Geschlecht, Alter, Gesundheitsdaten zu Schlafzeiten, Schlafverhalten, Angaben zum persönlichen Krankheitsbild, Konsum relevanter Substanzen wie Alkohol und Koffein, subjektiven Empfinden zur Leistungsfähigkeit und Stimmung, Vorwissen, Fortschritt in der Anwendung
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, Art. 6 Abs.1 S. 1 lit. c, DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)
Löschfristen keine Speicherung personenbezogener Daten, Daten zur Bewertung von Modulen generell werden nur anonymisiert gespeichert, außer Sie wollen explizit, dass Sie danach kontaktiert werden, in diesem Fall werden die Angaben zu einer Supportanfrage (siehe Punkt i)
Dienstleister keine