der digitalen Gesundheitsanwendung somnio
Letzte Anpassung am 17.03.2026
Die Datenschutzerklärung ist für die Anwendung somnio gültig. Die Anwendung somnio wird zur Behandlung von Ein- und Durchschlafstörungen verwendet.
Zur Nutzung der Anwendung muss ein Internetzugang verfügbar sein. Die Nutzung von internetbasierten Diensten geht generell mit einem gewissen Sicherheitsrisiko einher, welches wir von unserer Seite aus minimieren. Dennoch können wir nicht alle Risiken restlos adressieren.
Wir verwenden Bibliotheken und Software von Drittanbietern. Diese werden so sparsam wie möglich eingesetzt und von uns regelmäßig überwacht.
Diese Datenschutzerklärung ist nur für Nutzer:innen in der EU bestimmt. Für Nutzer:innen außerhalb der EU ist die englische Fassung gültig.
Verwenden Sie eine E-Mailadresse welche keine Details zu Ihrer Person preisgibt (z.B. pm1234@test.de statt peter.mueller@test.de)
Gleiches gilt für Ihren selbstgewählten Nutzernamen (z.B. “Superstar” statt Petra)
Damit Sie sicher sein können, dass keine Daten im Arbeitsspeicher verbleiben, starten Sie das Endgerät neu oder fahren Sie es runter. Im Arbeitsspeicher verbleibende Daten nach Beendigung der Anwendung können wir nicht schützen oder kontrollieren, Dritte könnten mit Zugriff auf ihr Endgerät diese Daten auslesen
Aktivieren Sie ihren Geräteschutz (PIN, Mustersperre oder ähnliches)
Führen Sie regelmäßig Software-Updates durch
Halten Sie ihr Betriebssystem aktuell
Nutzen Sie nur verschlüsselte Netzwerkverbindungen, greifen Sie ggfs. auf VPN zurück
Speichern Sie sensible Daten nur auf vertrauenswürdigen Geräten
Tipps des Bundesamts für Sicherheit in der Informationstechnik: Basistipps zur IT-Sicherheit
Melden Sie sich niemals von einem öffentlichen Gerät aus an
Löschen Sie regelmäßig ihre Cookies im Browser
Vermeiden Sie es die Anwendung zu schließen ohne sich auszuloggen
Prüfen Sie regelmäßig, ob Sie die eingestellten Benachrichtigungen wirklich benötigen
Sollten Sie einen Fehler bemerken oder Ihnen etwas merkwürdig vorkommen, melden Sie sich bitte umgehend an unseren Support
Wofür? Zur korrekten Darstellung von und zur Verbindung mit der Anwendung, sowie zur Erkennung von und zum Schutz vor Angriffen
Was? IP-Adresse, Informationen zum Endgerät
Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO, das berechtigte Interesse liegt im Schutz unserer Anwendung, sowie in der korrekten Darstellung der Anwendung
Sie können gegen diese Verarbeitung Widerspruch einlegen. Bitte schreiben Sie dazu an dataprivacy@mementor.de.
Löschfristen IP-Adressen werden 10 Tage gespeichert, Endgerätedaten direkt nach Erfüllung des Zwecks
Dienstleister keine
Wofür? Wir kümmern uns für Sie um die Rezepteinreichung bei Ihrer Krankenkasse. Sie laden Ihr Rezept hoch, wir schicken es elektronisch (falls möglich) oder per Post an ihre Krankenkasse, Sie bekommen den DiGA-Code zur Freischaltung der Anwendung zugeschickt.
Gleichzeitig wird ein Profil erstellt (siehe nächster Punkt), damit Sie die volle Kontrolle über Ihre Daten behalten.
Was? Adressdaten, E-Mailadresse, Telefonnummer (optional), Krankenkasse, Bild des Rezepts mit Versichertennummer und Name
Rechtsgrundlage Art. 9 Abs. 2 lit. a DSGVO (Einwilligung, jederzeit widerrufbar)
Löschfristen Unverzüglich nach Einlösung des Lizenzcodes durch den Account oder nach maximal 90 Tagen
Dienstleister Zum Versand von Briefen: LetterXpress, bereitgestellt durch A&O Fischer GmbH & Co. KG, Maybachstraße 9, 21423 Winsen (Luhe), Deutschland
Wofür? Erstellung eines Accounts für die Anwendung, Sie können dies entweder per E-Mail-Adresse und Passkey oder per E-Mail-Adresse und Passwort durchführen, wir empfehlen Passkey
Was? E-Mail-Adresse, Passkey (Wie funktioniert ein Passkey?) oder E-Mail-Adresse, Passwort
Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar)
Löschfristen 30 Tage nach Erstellung, falls kein Freischaltcode benutzt wurde
Dienstleister Bereitstellung der Passkey-Funktionalität: Hanko GmbH, Ringstr. 19, 24114 Kiel, Deutschland.
Konsequenz der Weitergabe ist die Speicherung der E-Mailadresse auf RDS (Service von Amazon Web Services, Amazon Web Services, Inc. 410 Terry Avenue North Seattle WA 98109. United States) in Frankfurt (Main), Deutschland - trotz vertraglicher Zusicherung durch Amazon Web Services, dass alle Daten in Deutschland bleiben, kann eine Übertragung der E-Mailadresse und des Passkeys in ein Drittland nicht vollständig ausgeschlossen werden. Eine Anmeldung bei unserer Anwendung ist allerdings nur zusätzlich mit den auf Ihrem Gerät befindlichen Schlüssel möglich. Der Passkey alleine ist nutzlos, somit wäre lediglich ihre E-Mailadresse im Falle eines Datenabflusses betroffen.
Wofür? Zum Start des Schlaftrainings und zur Abrechnung der Leistung bei der Krankenkasse oder privaten Krankenversicherung: Wir schicken den eingegebenen Code an eine Schnittstelle der Krankenkasse, bzw. verifizieren diesen bei ihrer privaten Krankenversicherung, um die Echtheit und Aktualität des Codes zu prüfen. Wenn Sie die Anwendung selbst gekauft haben, prüfen wir, ob der Code von uns ausgestellt wurde.
Was? Freischaltcode, Registrierungsdatum, E-Mail-Adresse, Passkey (Wie funktioniert ein Passkey?) oder Freischaltcode, Registrierungsdatum, E-Mail-Adresse, Passwort oder nur Freischaltcode, Registrierungsdatum, falls bereits ein Account erstellt wurde
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar)
Löschfristen 30 Tage nach Ablauf der Lizenzdauer, 14 und 7 Tage vor Ablauf erfolgt eine Benachrichtigung, die Löschung kann auf expliziten Wunsch aufgeschoben werden
Dienstleister Bereitstellung der Passkey-Funktionalität: Hanko GmbH, Ringstr. 19, 24114 Kiel, Deutschland.
Konsequenz der Weitergabe ist die Speicherung der E-Mailadresse auf RDS (Service von Amazon Web Services, Amazon Web Services, Inc. 410 Terry Avenue North Seattle WA 98109. United States) in Frankfurt (Main), Deutschland - trotz vertraglicher Zusicherung durch Amazon Web Services, dass alle Daten in Deutschland bleiben, kann eine Übertragung der E-Mailadresse und des Passkeys in ein Drittland nicht vollständig ausgeschlossen werden. Eine Anmeldung bei unserer Anwendung ist allerdings nur zusätzlich mit den auf Ihrem Gerät befindlichen Schlüssel möglich. Der Passkey alleine ist nutzlos, somit wäre lediglich ihre E-Mailadresse im Falle eines Datenabflusses betroffen.
Wofür? Vor jeder Nutzung der Anwendung müssen Sie sich anmelden
Was? E-Mail-Adresse, Passkey (Wie funktioniert ein Passkey?) oder Gesundheits-ID oder E-Mail-Adresse, Passwort
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)
Löschfristen keine Speicherung
Dienstleister Bereitstellung der Passkey-Funktionalität: Hanko GmbH, Ringstr. 19, 24114 Kiel, Deutschland.
Konsequenz der Weitergabe ist die Speicherung der E-Mailadresse auf RDS (Service von Amazon Web Services, Amazon Web Services, Inc. 410 Terry Avenue North Seattle WA 98109. United States) in Frankfurt (Main), Deutschland - trotz vertraglicher Zusicherung durch Amazon Web Services, dass alle Daten in Deutschland bleiben, kann eine Übertragung der E-Mailadresse und des Passkeys in ein Drittland nicht vollständig ausgeschlossen werden. Eine Anmeldung bei unserer Anwendung ist allerdings nur zusätzlich mit den auf Ihrem Gerät befindlichen Schlüssel möglich. Der Passkey alleine ist nutzlos, somit wäre lediglich ihre E-Mailadresse im Falle eines Datenabflusses betroffen.
Bereitstellung der Gesundheits-ID-Funktionalität: azuma healthtech GmbH, Lindenstr. 4g, 81545 München, Deutschland; Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht.
Wofür? Selbständige Verlaufskontrolle, Personalisierung des Trainings
Was? selbstgewählter Nutzername, Geschlecht, Alter, Gesundheitsdaten zu Schlafzeiten, Schlafverhalten, Gewicht, Größe, Angaben zum persönlichen Krankheitsbild, Konsum relevanter Substanzen wie Alkohol und Koffein, subjektiven Empfinden zur Leistungsfähigkeit und Stimmung, Vorwissen, Fortschritt in der Anwendung
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)
Löschfristen 30 Tage nach Ablauf der Lizenzdauer, 14 und 7 Tage vor Ablauf erfolgt eine Benachrichtigung, die Löschung kann auf expliziten Wunsch aufgeschoben werden
Dienstleister keine
Wofür? Übertragung von Messwerten der Fitness-Tracker in die Anwendung
Was? Gesundheitsdaten zu Schlafzeiten, Schlafverhalten
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)
Löschfristen 30 Tage nach Ablauf der Lizenzdauer, 14 und 7 Tage vor Ablauf erfolgt eine Benachrichtigung, die Löschung kann auf expliziten Wunsch aufgeschoben werden
Dienstleister Anbindung der Fitness-Tracker: Thryve von mHealth Pioneers GmbH, Körtestraße 10, 10967 Berlin, Deutschland, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht
Wofür? Versenden von Erinnerungs-E-Mails, Zwei-Faktor-Authentisierung, Registierungs-E-Mails, System-E-Mails, Kommunkation in besonderen Fällen (Sicherheitskorrekturmaßnahmen)
Was? E-Mailadresse, selbstgewählter Nutzername
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)
Löschfristen Daten werden nur so lange gespeichert, wie es für die Erreichung des Zweckes der Verarbeitung notwendig ist
Dienstleister Anbieter zum Versand von E-Mails: Sendinblue der Firma Newsletter2Go GmbH, Köpenicker Straße 126, 10179 Berlin, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht
Wofür? Erstellung, Export und Versand des medizinischen Berichts, damit Ihre behandelnde Fachperson sehen kann, wie ihr aktueller Stand ist
Was? Aggregierte Daten zur Therapie: Modulfortschritt, Verlauf von klinisch relevanten Parametern, selbstgewählter Nutzername
Im Falle einer Übertragung des Zugangscodes per E-Mail: ihre E-Mailadresse, die E-Mailadresse der behandelnden Praxis - wir erstellen immer einen sicheren Link, den Sie jederzeit wieder entfernen können, die E-Mail wird vorformuliert und muss durch Sie abgeschickt werden
Sollten Sie den medizinischen Bericht exportieren, sind Sie für die Sicherheit dieses Berichts verantwortlich. Teilen Sie ihn daher nur mit berechtigten Personen und löschen Sie ihn, falls er nicht mehr benötigt wird.
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (konkludente Einwilligung, jederzeit widerrufbar)
Löschfristen Spätestens mit der Löschung Ihres Accounts, 30 Tage nach Lizenzablauf
Dienstleister keine
Wofür? Export von Nutzungsdaten in die elektronische Patientenakte, entweder manuell oder regelmäßig automatisiert - soweit verfügbar
Was? Nutzungsdaten, klinisch relevante Parameter
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar) - Sie müssen den Export aktiv bestätigen
Löschfristen keine Speicherung der Daten auf Seiten von mementor
Dienstleister Zugriff auf den ePA-Fachdienst: MEDKONNEKT GmbH, Schleißheimer Straße 91A, 85748 Garching b. München, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht
Bereitstellung der Gesundheits-ID-Funktionalität: azuma healthtech GmbH, Lindenstr. 4g, 81545 München, Daten werden nur zur Verarbeitung weitergegeben und umgehend danach gelöscht
Wofür? Falls Sie sich direkt an uns wenden wollen und menschliche Unterstützung bei technischen Problemen benötigen oder Nachfragen zu Programminhalten haben
Was? E-Mailadresse, Informationen zum Endgerät, ggfs. Gesundheitsdaten
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, Art. 6 Abs.1 S. 1 lit. c, DSGVO und § 4 Abs. 2 S. 1 DiGA-V (konkludente Einwilligung, jederzeit widerrufbar) - Sie schreiben uns an
Löschfristen Unverzüglich, sobald wir unseren gesetzlichen Nachweispflichten nicht mehr nachkommen müssen - dies kann je nach Art der Anfrage variieren
Dienstleister keine
Wofür? Falls Sie sich direkt an uns wenden wollen und persönliche Unterstützung bei technischen Problemen haben oder Nachfragen zu Programminhalten und dies auf telefonischem Wege machen wollen, können Sie ein Supportgespräch buchen
Was? Name, E-Mail-Adresse, Telefonnummer
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, DSGVO und § 4 Abs. 2 S. 1 DiGA-V (konkludente Einwilligung, jederzeit widerrufbar) - Sie buchen einen Termin bei uns
Löschfristen Unverzüglich, sobald wir unseren gesetzlichen Nachweispflichten nicht mehr nachkommen müssen - dies kann je nach Art der Anfrage variieren
Dienstleister Terminbuchungstool: Calenso. Anbieter ist Braincept AG, Neuenkirchstrasse 19, 6203 Sempach-Station, Schweiz, Europa (Webseite: https://www.calenso.com)
Die Daten werden an Calenso weitergegeben und dort bis zur Durchführung des Supportgesprächs gespeichert
Wofür? Da wir keine personenbezogenen Daten dauerhaft speichern wollen, trotzdem Nachweispflichten in der Überwachung nach dem Inverkehrbringen einer Gesundheitsanwendung haben, müssen wir Daten auswerten
Was? selbstgewählter Nutzername, Geschlecht, Alter, Gesundheitsdaten zu Schlafzeiten, Schlafverhalten, Angaben zum persönlichen Krankheitsbild, Konsum relevanter Substanzen wie Alkohol und Koffein, subjektiven Empfinden zur Leistungsfähigkeit und Stimmung, Vorwissen, Fortschritt in der Anwendung
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, Art. 6 Abs.1 S. 1 lit. c, Art. 9 Abs.2 S.1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar)
Löschfristen keine Speicherung personenbezogener Daten, Daten zur Bewertung von Modulen generell werden nur anonymisiert gespeichert, außer Sie wollen explizit, dass Sie danach kontaktiert werden, in diesem Fall werden die Angaben zu einer Supportanfrage (siehe Punkt i)
Dienstleister keine
Wofür? Da wir unsere Anwendungen stetig verbessern wollen, fragen wir innerhalb der Anwendung nach Einschätzungen zu Modulen oder anderen Inhalten
Was? Freitextangaben, Bewertungen
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar) - die Einwilligung in der Regel im Modulfluss eingeholt
Löschfristen Es werden nur solche Daten personenbezogen gespeichert, welche einen weiteren Einfluss auf die Therapie haben, diese werden spätestens mit der Löschung Ihres Accounts, also 30 Tage nach Lizenzablauf, anonymisiert bzw. gelöscht. Alle anderen Daten werden ohne personenbezug aufgenommen.
Dienstleister keine
Wofür? Studien werden in der Regel nicht von uns selbst durchgeführt, daher ist zur Durchführung von Studien eine Übertragung an den Studienpartner notwendig
Was? alle vom betreffenden Studienprotokoll vorgesehenen Angaben
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, Art. 6 Abs.1 S. 1 lit. c, DSGVO und § 4 Abs. 2 S. 1 DiGA-V (Einwilligung, jederzeit widerrufbar) - die Einwilligung wird nicht innerhalb der Anwendung eingeholt, sondern im Rahmen der Einwilligung in die Studienteilnahme
Löschfristen Es handelt sich nur um eine Übertragung, daher erfolgt im Rahmen dieser Verarbeitung keine Speicherung
Dienstleister keine
Wofür? Damit unsere Anwendung funktioniert, muss sie gehostet werden. Dies beinhaltet die Speicherung und Verarbeitung aller Daten, welche nicht direkt auf dem Endgerät verarbeitet werden
Was? Alle serverseitigen Verarbeitungen von Daten, sowie die Speicherung von Daten, inklusive Gesundheitsdaten
Rechtsgrundlage Art. 6 Abs.1 S. 1 lit. a, DSGVO und § 4 Abs. 2 S. 1 DiGA-V
Löschfristen 30 Tage nach Ablauf der Lizenzdauer, 14 und 7 Tage vor Ablauf erfolgt eine Benachrichtigung, die Löschung kann auf expliziten Wunsch aufgeschoben werden
Dienstleister IONOS Cloud, bereitgestellt durch IONOS SE, Elgendorfer Str. 57. 56410 Montabaur (Serverstandort Deutschland)
Durch die Nutzung von IONOS werden alle verarbeiteten und gespeicherten Daten auf das Rechenzentrum von IONOS übertragen. IONOS verfügt über eine Vielzahl von Sicherheitsmaßnahmen um zu garantieren, dass ihre Daten dort sicher sind, mehr Informationen finden Sie unter https://cloud.ionos.de/datensicherheit
Die Anwendung verwendet sogenannte Cookies – kleine Textdateien, die vom Server auf Ihrem Gerät gespeichert werden. Sie dienen dazu, Sitzungsdaten nach der Anmeldung im Programm zu speichern.Bitte beachten Sie, dass die Verwendung von Cookies mit gewissen Sicherheitsrisiken verbunden sein kann. Um zu verhindern, dass Ihre Sitzung von unbefugten Dritten übernommen wird, empfehlen wir, sich nach jeder Nutzung ordnungsgemäß auszuloggen. Auch nach einem Absturz des Programms oder einem unerwarteten Beenden können Cookies auf Ihrem Gerät bestehen bleiben. Ein manuelles Löschen der Cookies kann zusätzliche Sicherheit bieten.
Jedes der nachfolgenden Rechte können Sie am besten über eine E-Mail an support@mementor.de geltend machen.
Sie haben das Recht auf
Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten nach Art. 15 DSGVO,
die Berichtigung unrichtiger oder Vervollständigung bei uns gespeicherten personenbezogenen Daten nach Art. 16 DSGVO,
Löschung Ihrer bei uns gespeicherten personenbezogenen Daten nach Art. 17 DSGVO,
die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten nach Art. 18 DSGVO,
Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen nach Art. 20 DSGVO zu verlangen,
Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DSGVO,
Widerruf erteilter Einwilligungen nach Art. 7 Abs. 3 DSGVO.
Wir behalten uns eine Änderung der Datenschutzerklärung für den Fall von geänderten gesetzlichen Vorgaben oder für den Fall von Aktualisierungen auf unserer Seite. Sollten Sie zu diesem Zeitpunkt bereits registriert sein, werden Sie informiert.
mementor DE GmbH
Karl-Heine-Straße 15
04229 Leipzig
Deutschland
info@mementor.de
mementor DE GmbH
Datenschutz
Karl-Heine-Straße 15
04229 Leipzig
Deutschland
dataprivacy@mementor.de