INFORMATIONEN ZUM DATENSCHUTZ

1. Grundlegende Informationen, Verantwortliche

Vielen Dank für Ihr Interesse an den Informationen zum Datenschutz! Im Rahmen der Nutzung der mobilen Applikation „APPROVE.ZONE“ („App“) verarbeiten wir personenbezogene Daten von Ihnen, insbesondere auch Gesundheitsdaten. Verantwortlich für die Verarbeitung im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung („DSGVO“), des Bundesdatenschutzgesetzes sowie Diensteanbieter im Sinne des Telemediengesetzes ist die APPROVE.ZONE, eine Initiative der advisoryteam at3 GmbH, Königsallee 27, 40212 Düsseldorf. Gerne möchten wir Sie mit diesen Informationen zum Datenschutz präzise, transparent, verständlich und in einer leicht zugänglichen Form sowie in einer klaren und einfachen Sprache über die Verarbeitung Ihrer personenbezogenen Daten in unserer App aufklären.

 

2. Informationen zum „APPROVE.ZONE“-System und der App

Wir betreiben ein informationstechnisches System zum digitalen, fälschungssicheren, aktuellen Nachweis von Impfungen, Genesungen und Tests im Zusammenhang mit dem Coronavirus SARS-CoV-2 („System“). Das System verbindet Impfzentren, Testzentren oder Arztpraxen („Einrichtungen“) und Endnutzer. Es besteht aus dem System-internen Verwaltungs-Backend („Verwaltungs-Backend“), einer Software-Plattform für Einrichtungen („Software-Plattform“) sowie der App für Endnutzer.

 

Im Verwaltungs-Backend werden teilnehmende Einrichtungen verwaltet und freigeschaltet. Diese Einrichtungen können über die Software-Plattform Endnutzerprofile anlegen sowie Informationen über Impfungen, Genesungen und Tests der Endnutzer, insbesondere durchgeführte Impfungen und Testergebnisse, auf deren Wunsch eintragen. Diese Informationen werden dann an die App übertragen. Der Endnutzer kann auf dieser Basis mit Hilfe der App digitale, fälschungssichere und aktuelle Nachweise über Impfungen, Genesungen und Tests erbringen. So können beispielsweise Kultureinrichtungen oder der Einzelhandel prüfen, jederzeit sicher prüfen, ob der Endnutzer tatsächlich geimpft oder negativ getestet wurde.

 

3. Welche Daten werden bei Nutzung der App auf welche Weise verarbeitet?

Wir verarbeiten Ihre personenbezogenen Daten wie folgt: zur Registrierung in der App und zur Nutzung der App (insbesondere zur Eintragung von Impfungen und Testergebnissen). Ferner nutzen wir anonyme Daten zu statistischen Zwecken. Das möchten wir Ihnen im Folgenden genauer erklären:

 

a) Registrierung in der App

Um die App zu nutzen, müssen Sie sich registrieren und so ein passwortgeschütztes Nutzerkonto anlegen. Im Rahmen der Registrierung in der App werden folgende personenbezogenen Daten abgefragt: Vorname, Nachname, Anschrift (Straße, Hausnummer, Postleitzahl, Stadt), Geburtsdatum, Geschlecht (optional) und E-Mail-Adresse („Registrierungsdaten“). Die Registrierungsdaten bilden die Grundlage für Ihr Nutzerprofil und die Nutzung der App und sie werden benötigt, um den rechtlichen Anforderungen einer Impfung sowie von Testnachweisen zu entsprechen.

 

b) Nutzung der App, Eintragung von Impfungen und Testergebnissen

Nach erfolgreicher Registrierung können Einrichtungen auf Ihren Wunsch Impfungen und Testergebnisse in der App eintragen lassen („Ergebnisdaten“). Dies funktioniert wie folgt: Mit Ihrer Registrierung wird automatisch eine zufällige, pseudonyme Nutzer-Identifikationsnummer („Unique Identification Number“, „UID“) generiert und Ihrem Nutzerkonto zugeordnet. Diese UID können Sie der App entnehmen und Einrichtungen im Rahmen einer Impfung oder eines Tests mitteilen, sodass Einrichtungen mittels ihrer Software-Plattform Impfungen und Testergebnisse unter Nutzung der UID im System eintragen können. Bei Impfungen werden folgende Informationen eingetragen: UID, Datum, Uhrzeit, Erst- oder Zweitimpfung, Impfstoff. Bei Tests werden folgende Informationen eingetragen: UID, Datum, Uhrzeit, Ergebnis (positiv, negativ oder ungültig). Hierbei handelt es sich um Gesundheitsdaten und mithin um besondere Kategorien personenbezogener Daten. Vor diesem Hintergrund verarbeiten wir Ihre personenbezogenen Daten insbesondere ausschließlich auf Grundlage Ihrer Einwilligung (siehe hierzu Ziffer 4 dieser Informationen zum Datenschutz) sowie unter Berücksichtigung spezieller technischer und organisatorischer Maßnahmen (siehe hierzu Ziffer 7 dieser Informationen zum Datenschutz).

 

Ferner können Sie Ergebnisse von Ihren eigenen Selbsttests als Tagebucheinträge festhalten („Selbsttest-Daten“). Ihre Selbsttest-Daten werden ausschließlich auf Ihrem Endgerät gespeichert und können allein durch Sie verwaltet werden.

 

c) Statistische Zwecke

Schließlich werden aus Registrierungsdaten und Ergebnisdaten aggregierte und damit anonyme statistische Datensätze erstellt. Hierfür werden keine personenspezifischen Informationen verwendet, insbesondere nicht UID, Geschlecht, Geburtsdatum oder Anschrift. Eine „Re-Identifizierung“ von Endnutzern auf Basis der statistischen Datensätze ist nicht möglich. Die Erstellung statistischer Datensätze dient dazu, uns und Einrichtungen einen statistischen Gesamtüberblick über die Nutzung des Systems zu ermöglichen (beispielsweise die Gesamtzahl der Endnutzer sowie die Gesamtzahl durchgeführter Impfungen und Tests).

 

4. Rechtgrundlage und Zweck der Verarbeitung, Freiwilligkeit

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich zum Zwecke der Bereitstellung des Systems und Ihrer Nutzung der App. Die Verarbeitung dient insoweit der Zurverfügungstellung eines digitalen, fälschungssicheren, aktuellen Nachweises von Impfungen, Genesungen und Tests im Zusammenhang mit dem Coronavirus SARS-CoV-2.

 

Wir verarbeiten Ihre personenbezogenen Daten auf Basis Ihrer Einwilligung gemäß Art. 9 Abs. 2 lit. a) DS-GVO.

 

Die Nutzung der App und die Erteilung der Einwilligung sind freiwillig. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Senden Sie dafür eine E-Mail an datenschutz@approve.zone oder schreiben Sie an APPROVE.ZONE, eine Initiative der advisoryteam at3 GmbH, - Der Datenschutzbeauftragte -, Königsallee 27, 40212 Düsseldorf. Die Rechtmäßigkeit der aufgrund Ihrer Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.

 

Die Bereitstellung Ihrer personenbezogenen Daten durch Sie ist weder gesetzlich noch vertraglich vorgeschrieben. Sie sind auch nicht verpflichtet, die personenbezogenen Daten bereitzustellen. Die Bereitstellung ist jedoch für die Nutzung der App erforderlich. Wenn Sie Ihre personenbezogenen Daten nicht bereitstellen, können Sie die App nicht nutzen. Insoweit führt auch der Widerruf Ihrer Einwilligung dazu, dass eine Nutzung der App nicht weiter möglich ist.

 

5. Datenübermittlung, beispielsweise an Dritte und in Drittländer

Eine Übermittlung personenbezogener Daten findet ausschließlich auf Ihren Wunsch im Rahmen der Eintragung von Impfungen und Testergebnissen statt. Eine darüberhinausgehende Übermittlung Ihrer personenbezogenen Daten an Dritte findet nicht statt. Soweit wir Unternehmen mit der Durchführung von Leistungen beauftragen, insbesondere technische Dienstleister, schließen wir datenschutzrechtliche Vereinbarungen ab, die eine zweck- und weisungsgebundene sowie technisch abgesicherte Verarbeitung der personenbezogenen Daten sicherstellen. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Servern in Deutschland. Eine Übermittlung in ein außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums liegendes Drittland findet nicht statt.

 

6. Dauer der Verarbeitung, Löschung Deiner Daten

Wir verarbeiten Ihre personenbezogenen Daten für die Zeit der Nutzung der App. Sie haben jederzeit die Möglichkeit, die App von Ihrem Endgerät zu löschen sowie die Löschung Ihrer personenbezogenen Daten zu veranlassen. Ferner haben Sie jederzeit die Möglichkeit, Ihre Einwilligung zu widerrufen. In diesen Fällen werden wir Ihr Nutzerprofil und die zugehörigen personenbezogenen Daten löschen. Nur soweit wir aufgrund gesetzlicher Aufbewahrungspflichten zu einer Aufbewahrung verpflichtet sind, insbesondere aus steuerlichen und bilanziellen Gründen, löschen wir Ihre persönlichen Daten mit Ablauf der entsprechenden Aufbewahrungsfristen. In der Zwischenzeit sperren wir sie.

 

7. Sicherheit der Verarbeitung

Wir haben geeignete technische und organisatorische Maßnahmen getroffen, um ein angemessenes Schutzniveau hinsichtlich des bei der Verarbeitung Ihrer personenbezogenen Daten bestehenden Risikos zu gewährleisten. Insbesondere haben wir folgende Maßnahmen implementiert:

  • Ihre Registrierungsdaten werden verschlüsselt und getrennt von Ihren Ergebnisdaten in unterschiedlichen Datenbanken gespeichert.
  • Ihre personenbezogenen Daten werden ganz überwiegend pseudonym verarbeitet. Einrichtungen können in ihrer Software-Plattform ausschließlich pseudonyme Daten verwenden. Ein „Zusammenführen“ Ihrer Registrierungsdaten und Ihrer Ergebnisdaten ist Einrichtungen nicht möglich.
  • Die Verarbeitung sämtlicher personenbezogener Daten erfolgt ausschließlich auf Servern in Deutschland.
  • Systementwicklung und -betreuung sowie Hosting werden durch ISO27001-zertifizierte Unternehmen durchgeführt
  • Das System beinhaltet ein die Verarbeitung personenbezogener Daten einschränkendes Rechte- und Rollenkonzept unter Berücksichtigung des „need-to-know-"Prinzips.
  • Einträge über Selbsttests werden ausschließlich auf dem Gerät des Endnutzers gesichert.
  • Die App wurde basierend auf dem aktuellen Anforderungskatalog einer „Digitalen Gesundheitsanwendung (DiGa)“ entwickelt, der einen erweiterten Schutz für personenbezogene und insbesondere medizinische Daten vorschreibt.
  • Alle Bereiche des Systems wurden und werden regelmäßig durch Penetrationstests gehärtet.
  • Die technischen und organisatorischen Maßnahmen werden regelmäßig einer Prüfung und erforderlichenfalls Aktualisierung unterzogen.

 

8. Betroffenenrechte

Sie haben das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung („Recht auf Vergessenwerden“) nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Darüber hinaus besteht ein Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 DSGVO. Kontaktinformationen zur Geltungmachung Ihrer Betroffenenrechte finden Sie unter Ziffer 9 dieser Informationen zum Datenschutz.

 

9. Kontakt, Datenschutzbeauftragter

Für Fragen oder Anmerkungen zum Thema Datenschutz, zum Widerruf Ihrer Einwilligung sowie zwecks Ausübung Ihrer Betroffenenrechte können Sie sich gerne an unseren Datenschutzbeauftragten wenden:

 

APPROVE.ZONE, eine Initiative der advisoryteam at3 GmbH

- Der Datenschutzbeauftragte -

Königsallee 27

40212 Düsseldorf

E-Mail: datenschutz@approve.zone