Datenschutzerklärung zur GesundheitsApp

Verantwortliche Stelle für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Zusammenhang mit der GesundheitsApp ist die Concordia Krankenversicherungs-AG, Karl-Wiechert-Allee 55, 30625 Hannover. 

Unseren Datenschutzbeauftragten erreichen Sie per E-Mail an datenschutz@concordia.de oder per Post an Concordia Versicherungen • Datenschutzbeauftragter • 30621 Hannover.

Für die Datenverarbeitung in der deutschen Versicherungswirtschaft gibt es einen Datenschutzkodex des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Mit dem Kodex verpflichten sich die unterzeichnenden Versicherer zur Einhaltung umfassender Datenschutz- und Datensicherheitsregeln zum Schutz der Kundendaten. 

Die Selbstverpflichtung konkretisiert die allgemeinen Regeln des Datenschutzrechts für die Versicherungswirtschaft. Sie ist an die Anforderungen der Datenschutz-Grundverordnung angepasst und beschreibt, unter welchen Voraussetzungen Versicherer personenbezogene Daten von Kunden und an Verträgen beteiligten Personen datenschutzrechtlich verarbeiten dürfen. 

Bereits 2012 hat sich die deutsche Versicherungswirtschaft einen Datenschutzkodex (Code of Conduct) gegeben. Inzwischen sind ihm zahlreiche Versicherungsunternehmen mit einem Marktanteil von 95 Prozent beigetreten. Für diese Unternehmen gilt die Selbstverpflichtung. Die Versicherungsunternehmen, die dem Datenschutzkodex beigetreten sind oder noch beitreten werden, sind verpflichtet, ihre Datenverarbeitungsprozesse an den branchenspezifischen Standards auszurichten. Die Concordia Versicherungs-Gesellschaft auf Gegenseitigkeit, die Concordia Krankenversicherungs-AG und die Concordia oeco Lebensversicherungs-AG sind dem Code of Conduct bereits zum 01.01.2014 beigetreten. 

Nachfolgend finden Sie 

• die Liste der beigetretenen Versicherungsunternehmen  
• den vollständigen Text des Code of Conduct 2018  

Im Folgenden möchten wir Sie darüber informieren, welche Daten im Rahmen der verschiedenen Funktionen der GesundheitsApp erhoben, verarbeitet und gespeichert werden und auf welcher Rechtsgrundlage dies erfolgt. 

4.1. Datenverarbeitung im Rahmen der Installation der App 

Die App wird von uns kostenlos zur Verfügung gestellt. Sie ist über von Dritten betriebene Vertriebsplattformen (App Stores) wie den Google Play Store oder den Apple App Store erhältlich. Möglicherweise müssen Sie sich hierfür bei dem Anbieter des jeweiligen App Stores registrieren. Auf die in diesem Zusammenhang erforderliche Verarbeitung Ihrer personenbezogenen Daten durch einen App Store haben wir keinen Einfluss. Wir sind an keiner Vereinbarung mit dem Anbieter eines App Stores beteiligt. Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Installation ist ausschließlich der jeweilige Anbieter. Bitte informieren Sie sich bei Bedarf direkt beim jeweiligen App Store Anbieter. 

4.2. Datenverarbeitung im Rahmen der Registrierung, des Logins und der Nutzung der GesundheitsApp 

Um die GesundheitsApp nutzen zu können, müssen Sie sich zunächst in der GesundheitsApp registrieren. Im Rahmen der Registrierung werden die von Ihnen in die Eingabemaske eingegebenen personenbezogenen Daten (Name, E-Mail-Adresse, Geburtsdatum, Versicherungsnummer) zum Zwecke der Durchführung der Registrierung und der Nutzung der GesundheitsApp erhoben, gespeichert und verarbeitet. Die Angabe dieser Daten ist erforderlich, damit Sie sich registrieren und die GesundheitsApp nutzen können. Darüber hinaus wird ein Identifizierungsverfahren (POSTIDENT) durch den von uns beauftragten Dienstleister Deutsche Post-AG, Charles-de-Gaulle-Straße 20, 53113 Bonn durchgeführt. Informationen zur Datenverarbeitung erhalten Sie unter: www.deutschepost.de/de/p/postident/postident-datenschutzhinweise.html  

Nach der erfolgreichen Registrierung können Sie sich mit Ihrem Benutzernamen und Ihrem Passwort in der GesundheitsApp anmelden.  

Sofern Ihr Mobilgerät die biometrische Anmeldung technisch unterstützt und Sie diese Funktion auf Ihrem Gerät aktiviert haben, wird Ihnen angeboten, diese Funktion auch für die Anmeldung in der GesundheitsApp zu nutzen. Die Nutzung ist freiwillig. Sie können dieses Angebot ablehnen oder nach erfolgter Einwilligung jederzeit über die Einstellungen widerrufen. Die GesundheitsApp nutzt die betriebssystemseitigen Mechanismen zur Überprüfung der biometrischen Merkmale, erhält aber selbst keine biometrischen Merkmale, sondern nur das Ergebnis.  

Für die Nutzung der App erheben und verwenden wir neben den oben genannten Registrierungsdaten auch Ihre IP-Adresse, die von Ihnen verwendete Version der App, Logdaten und das von Ihnen verwendete Passwort, wobei das Passwort verschlüsselt und für uns nicht einsehbar ist. Darüber hinaus wird auf Ihrem Endgerät ein Langzeit-Cookie gespeichert, das der Überprüfung eines Sicherheitsfaktors dient. Eine weitergehende Nutzung dieses technisch notwendigen Cookies sowie eine Identifizierung Ihres Endgerätes erfolgt nicht. 

Sofern der Nutzer diese Einstellung auf seinem mobilen Endgerät zulässt, nutzt die App auch Push-Benachrichtigungen, um den Nutzer über Ereignisse zu informieren, die seine Reaktion erfordern können (z.B. Erinnerung an die Einnahme von Medikamenten). 

Die Verarbeitung der vorgenannten personenbezogenen Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b) bzw. lit. f) DSGVO.  

4.3. Datenverarbeitung im Rahmen der Funktion „Rechnungen“ 

Über die Funktion „Rechnungen“ können Sie uns Leistungsdokumente (Arztrechnungen, Rezepte, Verordnungen sowie Heil- und Kostenpläne) und Vertragsdokumente (Mitteilungen zu Vertragsänderungen, Formulare, Bescheinigungen) übermitteln. Ihre in diesen Dokumenten enthaltenen personenbezogenen Daten (einschließlich Gesundheitsdaten) sowie die Daten etwaiger mitversicherter Personen werden von uns in unserem Bestandsführungssystem erhoben, gespeichert und genutzt. Außerdem wird uns der Zeitpunkt (Datum und Uhrzeit) der Einreichung mitgeteilt. 

Sofern Sie uns Daten mitversicherter Personen übermitteln, bitten wir um Mitteilung dieser Datenschutzhinweise an diese Personen. 

Ihre eingereichten Dokumente werden gelöscht, wenn der jeweilige Zweck für die Verarbeitung erreicht oder nachträglich entfallen ist, es sei denn, es bestehen weitere gesetzliche Pflichten zur Verarbeitung. 

Rechtsgrundlagen dieser Datenverarbeitung sind Art. 6 Abs. 1 lit. a) und b), Art. 9 Abs. 2 lit. a) DSGVO. Ihre Einwilligung zur Verarbeitung Ihrer Daten haben Sie bereits im Rahmen Ihrer Antragstellung zum Versicherungsvertrag erklärt. 

4.4. Datenverarbeitung im Rahmen der Funktion „Gesundheitsakte“ 

Mit der Funktion „Gesundheitsakte“ können Sie personenbezogene Daten (inkl. Gesundheitsdaten) von sich und etwaigen mitversicherten Personen sowie weiteren Personen in der App digital speichern und verwalten, z.B. in Form von Medikamentenplänen, Dokumenten, Impfterminen und Notfalldaten. Welche Daten dies sind, entscheiden Sie. Für die Rechtmäßigkeit der Datenspeicherung sind Sie selbst verantwortlich. Auf die in der „Gesundheitsakte“ gespeicherten Daten haben wir keinen Zugriff. 

Die Verarbeitung der vorgenannten personenbezogenen Daten dient der Erfüllung des mit Ihnen geschlossenen Nutzungsvertrages und beruht auf Art. 6 Abs. 1 lit. b) und lit. f) sowie Art. 9 Abs. 2 lit. a) DSGVO. 

4.5. Datenverarbeitung im Rahmen der Funktion „Post“ 

Die Funktion "Post" bietet Ihnen die Möglichkeit, die GesundheitsApp als persönliches Kundenpostfach im Vertragsverhältnis zur Concordia Krankenversicherungs-AG zu nutzen. Dies bedeutet, dass wir Ihnen im Rahmen der Nutzungsvereinbarung Leistungsabrechnungen zum bestehenden Versicherungsvertrag zur jeweiligen Versicherungsscheinnummer verschlüsselt in das cloudbasierte Postfach einstellen und speichern und Sie gleichzeitig über die Einstellung der Dokumente in das Postfach per E-Mail an Ihre im Menüpunkt „Benachrichtigungen“ hinterlegte E-Mail-Adresse benachrichtigen. Die Leistungsabrechnungen enthalten verschiedene personenbezogene Daten wie Name, Versicherungsscheinnummer, Anschrift, aber auch Gesundheitsdaten (z. B. behandelnde Ärzte und Einrichtungen, Behandlungszeitraum, Art der Behandlung oder Hilfsmittel) von Ihnen und - soweit mitversichert - von mitversicherten Personen. 

Die Verarbeitung der vorgenannten personenbezogenen Daten dient der Durchführung des mit Ihnen geschlossenen Nutzungs- und Versicherungsvertrages und beruht auf Art. 6 Abs. 1 lit. b) bzw. lit. f) DSGVO sowie den im Registrierungsprozess abgegebenen Einwilligungserklärungen (Art. 9 Abs. 2 lit. a) DSGVO). 

Sofern Sie sich zum Schutz vor Datenverlust (z.B. bei Wechsel oder Verlust des mobilen Endgerätes) für die optionale Cloud-Nutzung entscheiden, werden die Dokumente und die darin enthaltenen personenbezogenen Daten innerhalb der Funktionen „Rechnungen“ und „Gesundheitsakte“ zusätzlich in einer Cloud gespeichert.  Mit Ihrem persönlichen Schlüssel können Sie auch von einem anderen Gerät auf Ihre Daten zugreifen (Synchronisation) oder bei Geräteverlust Ihre Daten wiederherstellen. 

Die Dokumente und personenbezogenen Daten werden verschlüsselt in die Cloud übertragen und dort verschlüsselt gespeichert. Weder wir noch der Cloud-Betreiber haben Zugriff auf den Schlüssel oder die in der Cloud gespeicherten personenbezogenen Daten. 

Die Datenübertragung und damit der Transportweg von der GesundheitsApp zum Cloud-Server und zu unseren Servern erfolgt verschlüsselt. Diese Verschlüsselung gilt als ausreichend sicher. Durch die Transportverschlüsselung und die Verschlüsselung der Daten sind Ihre Daten doppelt geschützt. 

Sie können Ihre in der Cloud gespeicherten Daten jederzeit selbst löschen oder uns mit der Löschung beauftragen. Wenn Sie uns mit der Löschung beauftragen, sind wir jedoch verpflichtet, alle Daten zu löschen, d.h. gegebenenfalls auch die Daten von anderen Personen, die Sie angelegt haben. Darüber hinaus werden die Daten in der Cloud nach einer Inaktivität von 24 Monaten vollständig gelöscht. 

Diese Datenverarbeitung dient dem Zweck, die Cloud-Lösung anbieten zu können. 

Rechtsgrundlagen für diese Datenverarbeitung sind Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO. Ihre Einwilligung erklären Sie vor der erstmaligen Nutzung der Cloud-Lösung. 

Für die Nutzung der Funktionen der GesundheitsApp ist es erforderlich, dass die GesundheitsApp auf bestimmte Funktionen Ihres Endgerätes zugreifen kann und entsprechende Berechtigungen erhält. Hierzu werden Sie zu Beginn oder bei der ersten Nutzung der jeweiligen Funktion gefragt, ob Sie die entsprechenden Berechtigungen für den Zugriff erteilen möchten. Die von Ihnen erteilten Berechtigungen können Sie jederzeit auf Ihrem Endgerät einsehen und ändern. 

Kamera 

Mit der Kamerafunktion können Bilder oder Dokumente in die GesundheitsApp hochgeladen werden, um sie dort im Sinne von Ziffer 5.3 dieser Datenschutzhinweise zu verwalten. Hierzu werden Sie von der GesundheitsApp vorab aufgefordert, auf die Kamerafunktion Ihres Endgeräts zuzugreifen. 

Gerätespeicher 

Sie können Bilder oder Dokumente, welche Sie bereits in Ihrem Endgerät abgelegt haben, in die App laden, um diese dort zu verwalten. Dazu fragt Sie die GesundheitsApp vorab nach dem Zugriff auf den Gerätespeicher Ihres Endgerätes. 

Push-Benachrichtigung 

Sie können Ihre App so einstellen, dass diese Sie an bestimmte Tätigkeiten erinnert. Dazu fragt Sie die GesundheitsApp, ob Sie Push-Benachrichtigungen freigeben. 

Kontakte 

Sie können in der App bestimmte Ansprechpartner wie Angehörige oder Ärzte als Notfallkontakte hinterlegen. Um dies zu tun, fordert die GesundheitsApp Sie dazu auf, auf die Kontakte Ihres Mobilgerätes zuzugreifen. 

Sie können aus der GesundheitsApp heraus auslösen, dass eine E-Mail an den Concordia Support mit Logdateien Ihrer GesundheitsApp (Fehlerbericht) generiert wird. Dies ist möglich, wenn ein Fehler oder Absturz in der GesundheitsApp auftritt oder über die Einstellungen der GesundheitsApp können Sie die Erzeugung dieser E-Mail auch selbstständig und jederzeit auslösen.   

In den vorbelegten Texten sind Informationen zum Gerät und zur GesundheitsApp enthalten, die dazu von der GesundheitsApp gesammelt werden.  Die E-Mail kann aber auch beliebig angepasst oder verworfen werden. 

Zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten sowie unserer wirtschaftlichen und geschäftlichen Interessen bedienen wir uns teilweise externer Dienstleister. Eine Auflistung der von uns eingesetzten Auftragnehmer und Dienstleister, zu denen nicht nur vorübergehende Geschäftsbeziehungen bestehen, können Sie der Übersicht im Anhang entnehmen und unter folgendem Link abrufen: www.concordia.de/datenschutz/liste-der-dienstleister/ 

Speziell zur Erbringung von Dienstleistungen im Rahmen der GesundheitsApp und für deren Betrieb bedienen wir uns weiterer Dienstleister. Diese verarbeiten die Daten ausschließlich im Rahmen unserer Weisungen und sind auf die Einhaltung der geltenden Datenschutzbestimmungen verpflichtet worden. Alle Dienstleister wurden sorgfältig ausgewählt.  

Unser technischer Dienstleister für die Erstellung, Administration und Weiterentwicklung der GesundheitsApp ist die Insiders Technologies GmbH, Brüsseler Straße 1, 67657 Kaiserslautern. Insiders handelt für die Concordia Krankenversicherungs-AG als Auftragsverarbeiter gem. Art. 28 DSGVO und bedient sich der Amazon Web Services EMEA SARL (AWS Europe), 38 avenue John F. Kennedy, L-1855, Luxemburg, die als Unterauftragsverarbeiter handelt und die Serverinfrastruktur der Cloud zur Verfügung stellt. Da die in der Cloud gespeicherten Daten verschlüsselt sind, können sie weder von Insiders noch von AWS Europe eingesehen werden. 

Personenbezogene Daten werden nicht an Dritte weitergegeben, es sei denn, dass wir dazu gesetzlich oder durch Gerichtsbeschluss verpflichtet sind. 

Sie haben die Möglichkeit zur Geltendmachung von Betroffenenrechten.  

Hinweis: Für die Geltendmachung von Betroffenenrechten wenden Sie sich bitte vorzugsweise an kv-app@concordia.de. Im Übrigen stehen Ihnen die oben genannten Kontaktdaten zur Verfügung. 

Auskunftsrecht 

Sie haben das Recht auf Auskunft über die zu Ihrer Person gespeicherten personenbezogenen Daten.  

Widerrufsrecht 

Wenn Sie eine Einwilligung zur Nutzung von Daten erteilt haben, können Sie diese jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen. 

Berichtigung 

Sie können die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten Daten verlangen, soweit dies möglich ist. 

Löschung 

Sie haben das Recht auf Löschung der bei uns zu Ihrer Person gespeicherten Daten. Wir weisen darauf hin, dass Daten, die Ihren Versicherungsvertrag betreffen und die über „Rechnungen“ verarbeitet werden, nach Ablauf des Versicherungsvertrages zur Erfüllung gesetzlicher Aufbewahrungspflichten, die in der Regel 10 Jahre betragen, gesperrt und anschließend gelöscht werden. Sollten Sie die GesundheitsApp deinstallieren, werden solche Informationen also weiterhin bei uns gespeichert. 

Sie können Ihre in der Cloud gespeicherten Daten jederzeit selbst löschen oder uns mit der Löschung beauftragen. Wenn Sie uns mit der Löschung beauftragen, sind wir jedoch verpflichtet, alle Daten zu löschen, d.h. gegebenenfalls auch die Daten von anderen Personen, die Sie angelegt haben. Darüber hinaus werden die Daten in der Cloud nach einer Inaktivität von 24 Monaten vollständig gelöscht. 

Datenübertragungsrecht 

Sie haben das Recht, Ihre uns bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format herauszuverlangen. 

Zur Durchführung bietet Ihnen die GesundheitsApp die Möglichkeit, im Bereich Einstellungen die Option „Daten exportieren“ zu nutzen. Mit der Nutzung wird eine zip-Datei auf Ihrem Endgerät erzeugt. 

Widerspruchsrecht 

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit im Rahmen der Voraussetzungen des Art. 21 DSGVO gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern die Datenverarbeitung aufgrund unserer berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO erfolgt. 

Wir setzen in der GesundheitsApp keine automatisierte Entscheidungsfindung oder ein Profiling (eine automatisierte Analyse Ihrer persönlichen Umstände) ein.