Datenschutzbestimmung iDIERS-App von iDIERS GmbH

1.1. Verantwortlicher

Anbieter dieser App und verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften ist:

iDIERS GmbH
Leopoldstr. 175
80804 München.

Das bedeutet, die iDIERS GmbH entscheidet über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der App-Nutzer (“Nutzerdaten“) und ist im Gegenzug für deren Sicherheit und die Einhaltung der anwendbaren Gesetze verantwortlich. Als Verantwortlicher unterliegen wir darüber hinaus auch Informationspflichten, die wir mit dieser Datenschutzerklärung erfüllen möchten.

1.2. Zweckbestimmung

DICAM-iDIERS ist eine Software, die dem Arzt auf Basis seiner Diagnose Informationen/ Auswahlmöglichkeiten zur Erstellung eines Trainingsplans zur Prävention und Linderung muskuloskelettaler Schmerzen zur Verfügung stellt.
Die Software ist nicht dazu bestimmt, Informationen zu liefern, die zu Entscheidungen für diagnostische oder therapeutische Zwecke herangezogen werden; sie dient auch nicht der Kontrolle physiologischer Prozesse.

iDIERS App ist eine Software, die Patienten individualisierte Trainingsempfehlungen zur Prävention und Linderung muskuloskelettaler Schmerzen für die autonome häusliche Anwendung zur Verfügung stellt.
Die App ist nicht dazu bestimmt, Informationen zu liefern, die zu Entscheidungen für diagnostische oder therapeutische Zwecke herangezogen werden; sie dient auch nicht der Kontrolle physiologischer Prozesse.

1.3. Allgemeine Hinweise

iDIERS GmbH beachtet in der Entwicklung und beim Betreiben der App die Grundsätze Datenschutz durch Technik (Privacy by design) und datenschutzfreundliche Voreinstellungen (Privacy by default). Gleiches gilt im Zuge der Weiterentwicklung unserer Apps und bei der Umsetzung neuer rechtlicher Vorgaben.
Generell verarbeiten wir Ihre personenbezogenen und -beziehbare Daten gemäß den Vorgaben der Datenschutzgrundverordnung (DGSVO) der Europäischen Union. In keinem Fall werden wir Ihre personenbezogenen Daten ohne Ihre Einwilligung zu Werbe- oder Marketingzwecken nutzen oder an Dritte außerhalb von iDIERS GmbH weitergeben.

2. Verwendung Ihrer Daten (Zwecke der Verarbeitung)

Die iDIERS App von iDIERS GmbH kann grundsätzlich ohne die Eingabe personenbezogener Daten genutzt werden. Sie erfasst ausschließlich Daten zur Dokumentation und Optimierung des Therapieverlaufs, wie etwa die absolvierten, bzw. nicht absolvierten Trainingseinheiten, evtl. vorhandene Schmerzen am Haltungs- und Bewegungsapparat und die physische Fitness (Anstrengungslevel). Sämtliche Angaben sind freiwillig. Die iDIERS App sendet keine Daten an iDIERS GmbH.

Im Zusammenhang mit der Nutzung der iDIERS App werden Daten für folgende Zwecke erhoben:
• zu dem bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung durch die Nutzer
• gegebenenfalls zu der Nachweisführung bei Vereinbarungen nach § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch

Personenbezogene Daten wie Name oder Geburtsdatum werden bei der Verarbeitung (im Sinne von Art. 4 Ziff. 2 DS-GVO) im Zusammenhang mit der iDIERS App nicht ausgewertet (sog. personenbeziehbare Daten). Die Verarbeitung beinhaltet:
Informationen durch den QR-Code (von Ihrem Arzt bereitgestellt):
• Arzt-ID
• Patienten-ID
• Voucher
• Verschreibungs-Periode
• Aktivitätslevel
• Optionen
• Übungs-ID

Daten, die auf dem Handy gespeichert werden:

• Videos, Bilder und Anweisungen bezüglich der Übungen
• Einstellungen: E-Mail-Adresse, Ablaufdatum Voucher, Trainingsstufe etc.
• Ihre Kommentare

Daten, die auf dem iDIERS-Server gespeichert werden:
• Benutzer
• Patienten-ID
• E-Mail-Adresse (hash, anomysiert, nur für Passwort-Verlust)
• Password (hash, anonymisiert, nur für Passwort-Verlust)
• Datum Einrichtung Account
• Vouchers
• Arzt-ID
• VoucherCode
• VoucherFriendlyCode
• Erstellungsdatum
• Aktivierungsdatum
• Gültigkeitszeitraum
• Voucher-ID
• Trainings
• Trainings-ID

3. Ort der Speicherung und Datenlöschung

Die im Zuge der Nutzung eingegebenen Daten werden von der iDIERS App nur lokal auf Ihrem mobilen Endgerät gespeichert und verwaltet und verbleiben somit in Ihrer Hand. Um sämtliche Nutzerdaten unwiederbringlich zu löschen, müssen Sie lediglich die iDIERS App von Ihrem mobilen Endgerät löschen.

Bei Löschung der iDIERS App von Ihrem mobilen Endgerät sind Ihre Nutzungsdaten unwiederbringlich verloren, da diese Daten nicht auf dem iDIERS Server gespeichert sind. Sie haben jedoch die Möglichkeit, die Daten vor Löschung der App zu exportieren.

Hinweis: Bei Nutzung von cloudbasierten Backup-Funktionen des Betriebssystems Ihres Endgerätes (Smartphones) sind Ihre Daten trotz Löschung der App gegebenenfalls noch im Backupspeicher vorhanden. Beachten Sie hierzu die Bedienungshinweise des jeweiligen Betriebssystems.

Sie haben die Möglichkeit, Daten von „Apple Health“ und „Google Fit“ in Ihre iDIERS App zu importieren. Diese importierten Daten werden ebenfalls nur lokal auf Ihrem mobilen Endgerät gespeichert.

Wir stellen sicher, dass Ihre personenbezogenen Daten, die im Hinblick auf die Zwecke der Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

3.1 Löschkonzept (Auszug)

Bei der Deinstallation der iDIERS App werden alle Nutzerdaten auf Ihrem mobilen Endgerät gelöscht. Auf den Deinstallationsprozess des Betriebssystems haben wir keinen Einfluss. Wir können nicht garantieren, dass alle Daten, einschließlich Caches und temporäre Dateien gelöscht werden.

Falls Sie iDIERS nicht von der Deinstallation der App informieren (Regelfall) werden alle Daten auf dem iDIERS Server standardmäßig nach einjähriger Nicht-Benutzung vom Server gelöscht.

Auf dem iDIERS Server werden Ihre vorgenannten personenbezogenen Daten nur so lange gespeichert, wie sie für die Erbringung der zugesagten Funktionalitäten der digitalen Gesundheitsanwendung oder zu anderen, unmittelbar aus rechtlichen Verpflichtungen resultierenden Zwecken zwingend erforderlich sind. Nach Erfüllung dieser Zwecke – nach Ablauf eines Jahres ohne Aktivitäten, d.h. ohne Verlängerung Ihrer Übungen – werden die personen-bezogenen Daten auf dem Server gelöscht.

Die Löschung wird dokumentiert. Es ist nachvollziehbar, wer was wann gelöscht hat. Diese Protokolle werden für drei Jahre aufbewahrt.

Verantwortlich für die Löschung ist die Geschäftsführung der iDIERS GmbH; eine Überprüfung erfolgt durch den Datenschutzbeauftragten der IDIERS GmbH.

Auf Ihren Antrag oder Ihrem Widerruf der Einwilligung werden alle Daten Ihres Benutzerkontos auf dem iDIERS Server unverzüglich gelöscht.

Sie werden vor der Löschung des Benutzerkontos auf damit möglicherweise verlorengehende Daten und auf das Recht auf Datenübertragung gemäß Artikel 20 der Verordnung (EU) 2016/679 hingewiesen.

4. Sicherheit der Verarbeitung

Die iDIERS App wurde entsprechend den aktuellen Sicherheitsstandards entwickelt und ausführlich getestet, um den optimalen Schutz Ihrer Daten zu gewährleisten.

Wir weisen darauf hin, dass eine Datenübertragung im Internet (z.B. beim Versand exportierter Daten durch Sie per E-Mail) Sicherheitslücken aufweisen kann. Wir versuchen, durch Vorkehrungen wie Pseudonymisierung, Datensparsamkeit, Beachtung von Löschfristen und unter Berücksichtigung des aktuellen Stands der Technik Ihre Daten vor dem unberechtigten Zugriff Dritter zu schützen. Trotz dieser Schutzmaßnahmen lässt sich eine unrechtmäßige Verarbeitung durch Dritte nicht vollständig ausschließen.

Es ist sichergestellt, dass die Kommunikation der iDIERS App mit anderen Diensten technisch soweit eingeschränkt ist, dass aus der iDIERS App heraus keine ungewollte Datenkommunikation erfolgen kann, über die personenbezogene Daten versendet werden.

Für die auf dem iDIERS Server gespeicherten Daten haben wir Sichervorkehrungen getroffen, die u.a. eine Übermittlung Ihrer Daten an ein Drittland ausschließen.

Über die iDIERS App oder iDIERS werden keine personenbezogenen Daten an Dritte weitergegeben, sofern dies nicht unmittelbar für die Erfüllung von Zwecken nach § 4 Absatz 2 Nummer 1 oder die Erfüllung gesetzlicher Vorschriften erforderlich und auf diese Zwecke beschränkt ist. An der Verarbeitung Ihrer Daten auf dem iDIERS Server sind ausschließlich beteiligt:

Hardware:
Hewlett Packard (Service ausschließlich über LOGIN)
Qnap (Service ausschließlich über LOGIN)

Software:

Microsoft Server 2019 (keine Datenübermittlung an Hersteller)
VMWare (keine Datenübermittlung an Hersteller, Support / Wartung über LOGIN. Infrastruktur-Software, kein Zugriff auf Daten des Betriebssystems)
Veeam (keine Datenübermittlung an Hersteller, Support / Wartung über LOGIN, kein Zugriff auf Daten des Betriebssystems)
Securepoint Antivirus

Dienstleister:

LOGIN SystemHaus GmbH
Hetzner Online GmbH (Rechenzentrum)
Securepoint GmbH (Statusmeldungen AV, keine Übermittlung personenbezogener Daten,)

5. Ihre Rechte als Betroffener

Als Betroffener haben Sie gemäß den Vorgaben der Datenschutzgrundverordnung (DSGVO) verschiedene Rechte, auf die wir Sie hinweisen möchten:

§ Recht auf Auskunft:
Sie haben das Recht, Auskunft zu den über sie gespeicherten personenbezogenen Daten in dem in Artikel 15 der Verordnung (EU) 2016/679 festgelegten Umfang zu erhalten.

§ Recht auf Löschung und Berichtigung:
Sie haben das Recht auf Berichtigung der Sie betreffenden unrichtigen personenbezogenen Daten und auf Vervollständigung von Sie betreffenden unvollständigen personenbezogenen Daten.
Um sämtliche therapiebezogene Daten unwiederbringlich zu löschen, müssen Sie lediglich die iDIERS App von Ihrem mobilen Endgerät löschen. Informationen hierzu finden Sie in den Bedienungshinweisen zu Ihrem mobilen Endgerät.
Sämtliche auf dem iDIERS Server gespeicherten personenbezogenen Daten werden auf Ihr Verlangen hin unverzüglich gelöscht oder nur eingeschränkt verarbeitet.
Wir werden allen Empfängern, denen Ihre personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 DSGVO mitteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Wir unterrichten Sie über diese Empfänger, wenn Sie dies verlangen.

§ Recht auf Widerspruch:
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. iDIERS verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

§ Recht auf Datenübertragbarkeit:
Gemäß Artikel 20 der DSGVO haben Sie das Recht, Ihre mit Hilfe der App gesammelten Therapiedaten in einem strukturierten, maschinenlesbaren Format auszulesen – etwa um sie mit einer anderen Software weiter zu nutzen. Die iDIERS App bietet unter dem Menüpunkt „Daten exportieren“ die Möglichkeit, sämtliche Therapiedaten oder auch eine beliebige Teilmenge als PDF- oder JSON-Datei zu exportieren.
Sie haben ferner das Recht, die Sie betreffenden personenbezogenen Daten, die auf dem iDIERS Server gespeichert sind, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch iDIERS zu übermitteln.

§ Recht auf Beschwerde bei der Aufsichtsbehörde:
Wir sind rechtlich dazu verpflichtet, Sie darüber zu informieren, dass Sie ein Beschwerderecht bei der Aufsichtsbehörde haben.

6. Tracking

Wir verwenden keine Tracking-Tools.

7. Abrufbarkeit der Datenschutzbestimmungen

Sie können diese Datenschutzbestimmungen jederzeit in der iDIERS App unter Info > Datenschutzbestimmungen abrufen.

8. Ihre Ansprechpartner

In unserem Unternehmen wird die Einhaltung der gesetzlichen Bestimmungen und dieser Erklärung durch unseren betrieblichen Datenschutzbeauftragten überwacht. Die Administratoren der App sind im Umgang mit personenbezogenen Daten geschult und auf die Einhaltung der Datenschutzvorschriften verpflichtet worden. Für Fragen rund um den Datenschutz können Sie sich an unseren Datenschutzbeauftragten wenden:

iDIERS GmbH
Datenschutzbeauftragter
Leopoldstr. 175
80804 München
datenschutz@idiers.de

Externer Ansprechpartner zum Thema Datenschutz ist die zuständige Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht

Promenade 18
91522 Ansbach
Germany
Telefon: +49 (0) 981 180093-0
Telefax: +49 (0) 981 180093-800
E-Mail: poststelle@lda.bayern.de

Stand: 02.11.2023, Version 5