Letzte Aktualisierung 14. Apr. 2023
Verantwortliche Stelle im Sinne des Datenschutzrechts
mementor DE GmbH
Karl-Heine-Straße 15
04229 Leipzig
Deutschland
info@mementor.de
Kontaktdaten des Datenschutzbeauftragten
Paul Schmude
Karl-Heine-Straße 15
04229 Leipzig
Deutschland
paul.schmude@mementor.de
Diese Datenschutzerklärung soll die Nutzer über die Art, den Umfang und den Zweck der Erhebung und Verwendung personenbezogener Daten durch den verantwortlichen Anbieter informieren.
Die Datenschutzerklärung ist für die App glykio gültig. Die App glykio wird zur Behandlung von Diabetes mellitus Typ 2 verwendet und lenkt mittels eines virtuellen Avatars durch eine Vielzahl von Übungen und Informationen. Mit Hilfe eines Tagebuchs wird dabei der Fortschritt verfolgt und die Therapie gelenkt. Dazu werden Gesundheitsdaten i. S. v. Art. 9 DSGVO verwendet, diese werden in Punkt 4. b) genauer erläutert.
Bei jeder Nutzung von glykio wird eine Verbindung mit unserem Server hergestellt. Dabei werden automatisch Informationen erfasst.
Es werden dabei die
IP-Adresse und
Informationen zu dem von Ihnen genutzten Endgerät
erfasst. Ohne diese Daten wäre es technisch teils nicht möglich glykio zu nutzen. Insofern ist die Erfassung der Daten zwingend notwendig. Darüber hinaus verwenden wir die anonymisierten Informationen für statistische Zwecke. Sie helfen uns bei der Optimierung des Angebots und der Technik. Wir behalten uns zudem das Recht vor, die Log-Files bei Verdacht auf eine rechtswidrige Nutzung unseres Angebotes nachträglich zu kontrollieren. Rechtsgrundlage für die vorübergehende Speicherung der Daten bzw. der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO, wobei das berechtigte Interesse aus dem zuvor genannten Zwecken folgt.
Eine Löschung der Daten, insbesondere der Logfiles erfolgt in regelmäßigen Abständen.
Im Rahmen des Trainings werden personenbezogene Daten verarbeitet. Als personenbezogene Daten gelten alle Informationen, anhand derer eine Person eindeutig identifizierbar ist. Es handelt sich somit um Daten, die zu einer Person zurückverfolgt werden können. Daten werden von mementor nur erhoben und genutzt, sofern der Gesetzgeber dies ausdrücklich erlaubt oder aber der Nutzer in die Erhebung, Bearbeitung, Nutzung und Weitergabe der Daten einwilligt.
Alle Daten werden auf Servern in Deutschland von europäischen Anbietern gespeichert und verarbeitet. Der Betreiber unserer Server ist nach ISO 27001 zertifiziert, es liegen entsprechende Auftragsdatenverarbeitungsverträge vor.
Zur Nutzung der App muss ein Internetzugang verfügbar sein. Die Nutzung von internetbasierten Diensten geht generell mit einem gewissen Sicherheitsrisiko einher, welches wir von unserer Seite aus minimieren, dennoch können wir nicht alle Risiken restlos adressieren.
a) Registrierung
Sofern eine Registrierung über die Website https://glyk.io bzw. die Gesundheitsanwendung glykio erfolgt, werden von mementor die folgenden personenbezogenen Daten im Rahmen der Registrierung und Nutzung der Gesundheitsanwendung glykio verarbeitet:
E-Mail-Adresse und
Lizenzcode
Grundlage für die Verarbeitung ist Ihre Einwilligung in unsere Nutzungsbedingungen, unsere Datenschutzerklärung und dass Sie die Ausschlusskriterien gelesen haben
Die Anmeldung ermöglicht den Zugriff auf Leistungen und Inhalte, die nur registrierten Nutzern zur Verfügung stehen. Bei Bedarf haben angemeldete Nutzer die Möglichkeit, die im Rahmen der Registrierung genannten Daten jederzeit im Profil zu ändern oder zu löschen.
Die Verarbeitung Ihrer Daten erfolgt in diesem Fall aufgrund Ihrer Einwilligung gem. Art. 6 Abs.1 S. 1 lit. a DSGVO in Verbindung mit Art. 9 Abs. 2 S. 1 lit. a DSGVO, sowie § 4 Abs. 2 S. 1 DiGA-V. Sie können die Einwilligung jederzeit ohne Angabe von Gründen widerrufen. Die Verarbeitung des DiGA-Codes zur Abrechnung erfolgt auf Grundlage von Art. 6. Abs. 1 S. 1 lit. b DSGVO.
Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf ihren expliziten Wunsch hin ihr Konto auch über die 30 Tage vor der Löschung bewahren.
b) Training mittels glykio
Um das Training zu personalisieren und damit eine möglichst hohe Erfolgsquote zu erzielen, werden im Training mit der Gesundheitsanwendung glykio weitergehende Daten erhoben. Dazu gehören
ein selbst gewählter Nutzername
Geschlecht,
Alter,
Informationen über
Aktivität (wieviel Zeit für körperliche Aktivitäten aufgewandt wurde),
Ernährung (Konsum verschiedener Lebensmittelgruppen),
Gewicht,
Rauchverhalten,
die Zeit, die für Achtsamkeitsübungen und Entspannung aufgewandt wurde.
Bei der Nutzung der App werden Gesundheitsdaten zu
Blutzucker,
Medikamenten
abgefragt. Die von Ihnen gegebenen Antworten werden gespeichert und ausgewertet, um das Training auf Ihre individuellen Probleme und Bedürfnisse anzupassen und um Ihnen und ggfs. ihrem Arzt oder ihrer Ärztin die Möglichkeit zur Verlaufskontrolle zu geben. Bei den erhobenen Daten handelt es sich um besondere Kategorien personenbezogener Daten, speziell Gesundheitsdaten, i. S. v. Art. 9 DSGVO, bzw. § 22 BDSG. Gesundheitsdaten sind alle Daten, die sich auf den körperlichen und geistigen Gesundheitszustand einer natürlichen Person beziehen. Auf die Daten haben nur unsere Administratoren, unsere Mitarbeiter:innen im Support und Sie Zugriff.
Rechtsgrundlage zur Verarbeitung der Daten, bzw. Gesundheitsdaten ist Ihre ausdrückliche Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO und Art. 9 Abs. 2 S. 1 lit. a DSGVO. Sie können ihre Einwilligung zur Verarbeitung jederzeit ohne Angaben von Gründen zurückziehen. Ein Zurückziehen der Einwilligung resultiert in einer Sperrung der Verarbeitung ihrer Daten und einer Löschung nach 30 Tagen. Innerhalb dieses Zeitraums können Sie ihre Einwilligung erneut erteilen und das Programm ohne Fortschrittsverlust weiternutzen.
Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf ihren expliziten Wunsch hin ihr Konto auch über die 30 Tage vor der Löschung bewahren.
c) Fitness-Tracker
Die von mementor angebotene Gesundheitsanwendung glykio kann optional mit einem Fitnesstracker verbunden werden. Dabei werden Informationen zu körperlicher Aktivität von der entsprechenden Schnittstelle an glykio übermittelt und entsprechend lit. b in das Protokoll übernommen.
Eine Verbindung mit dem Fitnesstracker und das Abrufen der Daten ist nur möglich, nachdem Sie gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO Ihre Einwilligung erteilt haben. Sie haben jederzeit die Möglichkeit diese Einwilligung zu widerrufen und glykio auch ohne Fitnesstracker fortzuführen.
Die Löschung der Daten erfolgt 30 Tage nach der Beendigung des Nutzungszeitraumes, damit Sie im Falle einer Folgeverordnung noch die Möglichkeit haben auf ihr bestehendes Konto zuzugreifen und sich kein neues anlegen müssen. Sie erhalten 14 Tage und 7 Tage vor Ablauf eine Benachrichtigung über die Löschung, Sie können auf ihren expliziten Wunsch hin ihr Konto auch über die 30 Tage vor der Löschung bewahren.
d) E-Mails
Wir nutzen Sendinblue der Firma Newsletter2Go GmbH, Köpenicker Straße 126, 10179 Berlin zum Versand von E-Mails. Dies betrifft sowohl die E-Mail zur Registrierung, System-E-Mails, Erinnerungs-E-Mails und Newsletter. Dabei werden
ihre E-Mailadresse,
ihr selbstgewählter Nutzername,
der Inhalt der Nachricht und
die Information ob die E-Mail gelesen wurde
verarbeitet. Mit dem Dienstleister wurde ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen. Sendinblue nutzt Unterauftragnehmer innerhalb der EU, daher kann es sein, dass Informationen in den E-Mails aus Ländern außerhalb Deutschlands geladen werden.
Wir verwenden in unseren E-Mails Pixel zum Nachvollziehen, ob eine E-Mail ihr Ziel erreicht hat und gelesen wurde. Dies ist notwendig um zu wissen, ob der Versand von E-Mails funktioniert.
Die Verarbeitung erfolgt auf Basis ihrer Einwilligung nach Art. 6 Abs. 1. S. 1 lit. a DSGVO i. V. m. Art. 9 Abs. 2. lit. a. Eine Durchführung des Trainings ist auch ohne das Verschicken von E-Mails möglich, Sie können jederzeit in ihrem Profil einstellen, ob Sie Erinnerungs-E-Mails oder einen Newsletter erhalten wollen.
Die verarbeiteten Daten werden nur so lange gespeichert, wie es für die Durchführung des Versendens notwendig ist.
Die Gesundheitsanwendung glykio basiert auf aktuellen wissenschaftlichen Behandlungsmethoden und berücksichtigt neuste Kenntnisse aus der Forschung. Um eine kontinuierliche Verbesserung des Trainings sicherzustellen, behält sich mementor vor, Ihre Daten zu anonymisieren und anschließend auszuwerten. Damit können das Training und dessen Effektivität optimiert werden. Durch die Anonymisierung ist es später nicht mehr möglich diese Daten einer natürlichen Person zuzuordnen.
Grundlage für die Anonymisierung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO, das berechtigte Interesse liegt dabei in der konstanten Verbesserung unseres Programms.
Wenn Sie mementor per E-Mail oder Formular kontaktieren, werden die von Ihnen gemachten Angaben (insbesondere Ihre E-Mail-Adresse) gespeichert, um Ihre Anfrage beantworten und mögliche Anschlussfragen stellen zu können.
In diesem Fall erfolgt die Verarbeitung Ihrer Daten auf Grundlage Ihrer (konkludenten) Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO.
glykio verwendet sogenannte Cookies. Das sind Textdateien, die vom Server aus auf Ihrem Gerät gespeichert werden. Cookies werden in glykio genutzt, um Sitzungsdaten nach der Anmeldung im Programm zu speichern. Wir weisen Sie darauf hin, dass dies mit gewissen Risiken verbunden sein kann. Um sicherzustellen, dass Ihre Sitzung nicht von Drittpersonen gekapert werden kann, empfehlen wir Ihnen, sich nach jeder Nutzung von glykio auszuloggen.
Im Folgenden finden Sie Informationen dazu, welche Betroffenenrechte das geltende Datenschutzrecht Ihnen gegenüber dem Verantwortlichen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gewährt:
a) Das Recht, gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen.
b) Das Recht, gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.
c) Das Recht, gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
d) Das Recht, gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.
e) Das Recht, gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen. Im Profil können Sie alle über Sie gespeicherten Daten in einem Maschinenlesbaren Format exportieren. Sie haben auch die Möglichkeit, einer klinischen Fachperson (Arzt / Psychotherapeut) Zugriff auf einen Auswertungsreport zu geben. Im Report sind Daten aus Ihrem Blutdrucktagebuch sowie Daten zum Fortschritt im Training enthalten. Der Zugriff kann nicht von der klinischen Fachperson selbst ausgelöst werden, sondern geht ausschließlich durch eine Aktion von Ihnen aus dem Profil der Anwendung aus. Jeder Zugriff ist nur durch eine explizite Autorisierung von Ihnen möglich.
f) Das Recht, sich gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde des Bundeslandes unseres oben angegebenen Sitzes oder ggf. die Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes wenden.
g) Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO: Sie haben das Recht, eine einmal erteilte Einwilligung in die Verarbeitung von Daten jederzeit mit Wirkung für die Zukunft zu widerrufen. Im Falle des Widerrufs werden wir die betroffenen Daten unverzüglich löschen, sofern eine weitere Verarbeitung nicht auf eine Rechtsgrundlage zur einwilligungslosen Verarbeitung gestützt werden kann. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
h) Sofern Ihre personenbezogenen Daten von uns auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie gemäß Art. 21 DSGVO das Recht, Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dies aus Gründen erfolgt, die sich aus Ihrer besonderen Situation ergeben. Soweit sich der Widerspruch gegen die Verarbeitung personenbezogener Daten zum Zwecke von Direktwerbung richtet, haben Sie ein generelles Widerspruchsrecht ohne das Erfordernis der Angabe einer besonderen Situation.
Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an support@mementor.de.
Um zu gewährleisten, dass unsere Datenschutzerklärung stets den aktuellen gesetzlichen Vorgaben entspricht, behält sich mementor jederzeit Änderungen vor. Das gilt auch für den Fall, dass die Datenschutzerklärung aufgrund neuer oder überarbeiteter Leistungen, zum Beispiel neuer Serviceleistungen, angepasst werden muss.