Im Rahmen des Schlaftrainings werden personenbezogene Daten verarbeitet. Als personenbezogene Daten gelten alle Informationen, anhand derer eine Person eindeutig identifizierbar ist. Es handelt sich somit um Daten, die zu einer Person zurückverfolgt werden können.
Alle Daten werden auf Servern in Deutschland von europäischen Anbietern gespeichert und verarbeitet. Der Betreiber unserer Server ist nach ISO 27001 zertifiziert, es liegen entsprechende Auftragsdatenverarbeitungsverträge vor.
Zur Nutzung der App muss ein Internetzugang verfügbar sein. Die Nutzung von internetbasierten Diensten geht generell mit einem gewissen Sicherheitsrisiko einher, welches wir von unserer Seite aus minimieren, dennoch können wir nicht alle Risiken restlos adressieren.
a) Account-Erstellung
Sie haben die Möglichkeit bereits ohne Lizenzcode über die Website http://www.somn.io einen Account für somnio zu erstellen. Nach der Erstellung Ihres Accounts haben Sie die Möglichkeit sich über die möglichen Formen der Verschreibung zu informieren und zu erfahren, wie der genaue Weg ist, um einen Lizenz-Code, bzw. einen DiGA-Code zu erhalten. Für die Account Erstellung ist folgendes Datum erforderlich:
Grundlage für die Verarbeitung ist Ihre Einwilligung in unsere Nutzungsbedingungen, unsere Datenschutzerklärung und dass Sie die Ausschlusskriterien gelesen haben
Die Verarbeitung Ihrer Daten erfolgt in diesem Fall aufgrund Ihrer Einwilligung gem. Art. 6 Abs.1 S. 1 lit. a DSGVO. Sie können die Einwilligung jederzeit ohne Angabe von Gründen widerrufen.
Die Löschung der Daten erfolgt automatisch nach 30 Tagen Inaktivität. Sie erhalten vor Ablauf eine Benachrichtigung über die Löschung.
b) Registrierung
Sofern eine Registrierung über die Website http://www.somn.io bzw. die Gesundheitsanwendung somnio erfolgt, werden von mementor die folgenden personenbezogenen Daten im Rahmen der Registrierung und Nutzung der Gesundheitsanwendung somnio verarbeitet:
E-Mail-Adresse und
Lizenzcode
Grundlage für die Verarbeitung ist Ihre Einwilligung in unsere Nutzungsbedingungen, unsere Datenschutzerklärung und dass Sie die Ausschlusskriterien gelesen haben
Sofern Sie Mitglied der Techniker Krankenkasse sind und über den Mitgliederbereich die Website von somnio aufrufen, ist die Eingabe eines Lizenzcodes nicht notwendig. Allerdings erhält mementor Kenntnis davon, dass Sie Mitglied der Techniker Krankenkasse sind.
Sollten Sie hingegen Mitglied der Generali Deutschland Krankenversicherung AG sein und die Seite von somnio über den Mitgliederbereich aufrufen, ist die Eingabe von Daten Ihrerseits nicht notwendig. In diesem Fall wird mementor Ihre E-Mail-Adresse durch die Generali mitgeteilt.
Die Anmeldung ermöglicht den Zugriff auf Leistungen und Inhalte, die nur registrierten Nutzern zur Verfügung stehen. Zusätzlich nutzen wir den DiGA-Code für die Abrechnung bei der Krankenkasse. Es werden außer dem DiGA-Code keine weiteren Daten übertragen. Bei Bedarf haben angemeldete Nutzer die Möglichkeit, die im Rahmen der Registrierung genannten Daten jederzeit im Profil zu ändern oder zu löschen.
Die Verarbeitung Ihrer Daten erfolgt in diesem Fall aufgrund Ihrer Einwilligung gem. Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V. Sie können die Einwilligung jederzeit ohne Angabe von Gründen widerrufen. Die Verarbeitung des DiGA-Codes zur Abrechnung erfolgt auf Grundlage von Art. 6. Abs. 1 S. 1 lit. b DSGVO.
Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf Ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf Ihren expliziten Wunsch hin Ihr Konto auch über die 30 Tage vor der Löschung bewahren.
c) Anmeldung
Ihnen stehen zwei Möglichkeiten zur Anmeldung in somnio zu Verfügung:
Die Verarbeitung Ihrer Daten erfolgt in diesem Fall aufgrund Ihrer Einwilligung gem. Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V. Sie können die Einwilligung jederzeit ohne Angabe von Gründen widerrufen.
Um die über sektorale Identity Provider ausgegebene Gesundheits-ID als Login Möglichkeit anzubieten, nutzen wir ein Softwaremodul der azuma healthtech GmbH, Lindenstr. 4g, 81545 München. Mit dem Dienstleister wurde ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen.
d) Schlaftraining mittels somnio
Um das Schlaftraining zu personalisieren und damit eine möglichst hohe Erfolgsquote zu erzielen, werden im Schlaftraining mit der Gesundheitsanwendung somnio weitergehende Daten erhoben. Dazu gehören
Bei der Nutzung der App werden Gesundheitsdaten zu
den Schlafzeiten,
dem Konsum relevanter Substanzen wie Alkohol und Koffein,
Schlafverhalten und
Ihrem subjektiven Empfinden zur Leistungsfähigkeit und Stimmung
abgefragt. Die von Ihnen abgegebenen Antworten werden gespeichert und ausgewertet, um das Training auf Ihre individuellen Probleme und Bedürfnisse anzupassen. Bei den erhobenen Daten handelt es sich um besondere Kategorien personenbezogener Daten, speziell Gesundheitsdaten, i. S. v. Art. 9 DSGVO, bzw. § 22 BDSG. Gesundheitsdaten sind alle Daten, die sich auf den körperlichen und geistigen Gesundheitszustand einer natürlichen Person beziehen. Diese Daten werden auf einem Server in Deutschland gespeichert. Die Server werden nicht von uns, sondern von einem europäischen Anbieter betrieben. Mit diesem liegt ein Auftragsdatenverarbeitungsvertrag und eine Liste technischer und organisatorischer Maßnahmen vor. Der Auftragnehmer ist nach ISO 27001 zertifiziert. Auf die Daten haben nur unsere Administratoren, unsere Mitarbeiter im Support und Sie Zugriff.
Die gespeicherten Daten werden genutzt, um Score-Werte zu berechnen, Auswertungen zu erstellen und den Trainingserfolg zu überwachen.
Diese Daten werden von mementor nur erhoben und genutzt, sofern der Gesetzgeber dies ausdrücklich erlaubt oder aber der Nutzer in die Erhebung, Bearbeitung, Nutzung und Weitergabe der Daten einwilligt.
Rechtsgrundlage zur Verarbeitung der Daten, bzw. Gesundheitsdaten ist Ihre ausdrückliche Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO und Art. 9 Abs. 2 S. 1 lit. a DSGVO. Sie können Ihre Einwilligung zur Verarbeitung jederzeit ohne Angaben von Gründen zurückziehen. Ein Zurückziehen der Einwilligung resultiert in einer Sperrung der Verarbeitung Ihrer Daten und zu einer Löschung nach 30 Tagen, innerhalb dieses Zeitraums können Sie Ihre Einwilligung erneut erteilen und das Programm ohne Fortschrittsverlust weiternutzen.
Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf Ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf Ihren expliziten Wunsch hin Ihr Konto auch über die 30 Tage vor der Löschung bewahren.
e) Schlaftracker
Die von mementor angebotene Gesundheitsanwendung somnio kann optional mit einem Fitnesstracker verbunden werden. Die Anbindung erfolgt dabei über eine vom jeweiligen Hersteller ausgegebene Schnittstelle. Dabei werden Informationen zur
vom Fitnesstracker an somnio übermittelt und entsprechend lit. b in das Schlaftagebuch übernommen.
Eine Verbindung mit dem Fitnesstracker und das Abrufen der Daten ist nur möglich, nachdem Sie gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO Ihre Einwilligung erteilt haben. Sie haben jederzeit die Möglichkeit diese Einwilligung zu widerrufen und somnio auch ohne Fitnesstracker fortzuführen.
Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf Ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf Ihren expliziten Wunsch hin Ihr Konto auch über die 30 Tage vor der Löschung bewahren.
f) E-Mails
Wir nutzen Sendinblue der Firma Newsletter2Go GmbH, Köpenicker Straße 126, 10179 Berlin zum Versand von E-Mails. Dies betrifft sowohl die E-Mail zur Registrierung, System-E-Mails, Erinnerungs-E-Mails und Newsletter. Dabei werden
Ihre E-Mailadresse,
Ihr selbstgewählter Nutzername,
der Inhalt der Nachricht und
die Information ob die E-Mail gelesen wurde
verarbeitet. Mit dem Dienstleister wurde ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen. Der Dienstleister nutzt Unterauftragnehmer innerhalb der EU, daher kann es sein, dass Informationen in den E-Mails aus Ländern außerhalb Deutschlands geladen werden.
Wir verwenden in unseren E-Mails Pixel zum Nachvollziehen, ob eine E-Mail ihr Ziel erreicht hat und gelesen wurde. Dies ist notwendig um zu wissen, ob der Versand von E-Mails funktioniert.
Die Verarbeitung erfolgt auf Basis Ihrer Einwilligung nach Art. 6 Abs. 1. S. 1 lit. a DSGVO i. V. m. Art. 9 Abs. 2. lit. a. Eine Durchführung des Trainings ist auch ohne das Verschicken von E-Mails möglich, Sie können jederzeit in Ihrem Profil einstellen, ob Sie Erinnerungs-E-Mails oder einen Newsletter erhalten wollen.
Die verarbeiteten Daten werden nur so lange gespeichert, wie es für die Durchführung des Versendens notwendig ist.
g) Medizinischer Bericht
Sie haben die Möglichkeit ihre in somnio aufgenommenen Daten in visuell aufbereiteter Form mit einer Fachperson zu teilen. Dazu können Sie entweder einen Link oder einen Code erstellen, welchen Sie teilen können. Alternativ können Sie den Bericht auch als PDF generieren lassen und teilen. Der erstellte Code verliert automatisch nach 24 Stunden seine Gültigkeit, der erstellte Link nach 3 Monaten. Beide können Sie an der gleichen Stelle wieder entfernen, an der sie generiert werden.
Der Bericht enthält akkumulierte Daten zur Nutzung der Anwendung und zu Schlafdaten.
Nach dem Erstellen sind Sie für den Code, bzw. den Link oder die PDF verantwortlich. Teilen Sie diese nicht mit Unbefugten, kommunizieren Sie diese nicht über ungeschützte Kanäle.
Die Verarbeitung erfolgt auf Basis Ihrer konkludenten Einwilligung nach Art. 6 Abs. 1. S. 1 lit. a DSGVO i. V. m. Art. 9 Abs. 2. lit. a). Sie haben innerhalb der Anwendung die volle Kontrolle und können jedwede Möglichkeit des Zugangs umgehend entfernen.
h) Elektronische Patientenakte
Sofern technisch verfügbar haben Sie die Möglichkeit Ihre in somnio erfassten Gesundheitsdaten (siehe 5. d) Schlaftraining mittels somnio) manuell oder automatisch monatlich in Ihre elektronische Patientenakte zu exportieren. Dafür müssen Sie im Besitz einer elektronischen Patientenakte sein und bei Ihrer Krankenkasse für die GesundheitsID registriert sein.
Das Hochladen Ihrer Daten in ihre elektronische Patientenakte ist nur möglich, nachdem Sie gem. Art. 9 Abs. 2 S. 1 lit. a DSGVO Ihre Einwilligung erteilt haben. Sie haben jederzeit die Möglichkeit diese Einwilligung zu widerrufen.
Wir nutzen MEDKONNEKT GmbH, Schleißheimer Straße 91A, 85748 Garching b. München, für den Zugriff auf den ePA Fachdienst. Mit dem Dienstleister wurde ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen.
Für die nötige Authentifizierung mittels Gesundheits-ID nutzen wir ein Softwaremodul der azuma healthtech GmbH, Lindenstr. 4g, 81545 München. Mit dem Dienstleister wurde ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen.