Datenschutzerklärung

Datenschutzerklärung 

Invirto App

Frau sitzt am Frühstückstisch und guckt auf ein Smartphone

Datenschutzerklärung Invirto App 

Stand: 21.08.2023

Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten innerhalb unserer App und der mit ihr verbundenen Funktionen und Inhalte (nachfolgend gemeinsam bezeichnet als „App“) auf. Die Datenschutzerklärung gilt unabhängig von den verwendeten Systemen, Plattformen und Geräten (z.B. iOS oder Android), auf denen die App ausgeführt wird. 

 

Zweckbestimmung des Medizinprodukts Invirto

Das medizinproduktrechtliche System „Invirto - Die Therapie gegen Angst“, “Invirto - Die Nachsorge bei Angst” sowie “Invirto - die Therapie gegen Depression” bestehen aus einer Software Applikation, Kopfhörern und einer Virtual Reality Brille. Die Applikation, die mit Kopfhörern und Virtual Reality Brille genutzt wird, bietet Patient:innen psychotherapeutische Informationen und Strategien an und ermöglicht somit eine ortsunabhängige Behandlung, um die Symptome von psychischen Erkrankungen (unter anderem Angststörungen und Depressionen) zu reduzieren.

  1. Name und Kontaktdaten des Verantwortlichen 

Sympatient GmbH 

Koppel 34-36 

20099 Hamburg, Deutschland 

Tel.: +49 40 22 85 22 00

E-Mail: kontakt@invirto.de

  1. Kontaktdaten des Datenschutzbeauftragten 

Herr Eglant Elezaj

Koppel 34-36

20099 Hamburg, Deutschland
E-Mail: datenschutz@sympatient.com

 

  1. Welche Daten erheben wir? 

Personenbezogene Daten sind nach der DSGVO (Art. 4 Nr. 1 DSGVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Hierzu gehören allgemeine Bestandsdaten der Nutzer (z. B. Name, Adresse, E-Mail-Adresse, Mobilrufnummer). 

Besonders schützenswerte Daten werden als besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO besonders geschützt. Hierzu zählen insbesondere biometrische Daten und Gesundheitsdaten. Bei biometrischen Daten handelt es sich um Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die mit speziellen technischen Verfahren gewonnen wurden und die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten (z.B. Personalausweisfotos). Bei Gesundheitsdaten handelt es sich um personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (z.B. Beschwerden, Diagnosen, Medikationspläne).

Der Begriff der Verarbeitung ist weit gefasst, er bezeichnet gemäß Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. 

Der Begriff des Nutzers fasst alle Kategorien der von der Datenverarbeitung betroffenen Personen zusammen. 

3.1 Bei der Nutzung der Invirto App erhobene Daten 

Bei der Nutzung der Invirto App werden die Daten in der nachfolgenden Tabelle verarbeitet. 

Nr. 

Datenkategorie 

Konkrete Datenpunkte

Authentifizierungsdaten zur Anmeldung in der App   

E-Mail, Passwort, Zeitpunkt der Anmeldung

Gerätedaten zur Bereitstellung der Inhalte und Virtual Reality

Handymodell, Betriebssystem, Installationsspezifische Device-ID

Fortschrittsdaten zum Betrieb der App und zur Therapieerbringung mit begleitenden Therapeut:innen

Angezeigte und absolvierte Inhalte, 

Fragebogenantworten

Einstellungen zur individuellen Kurszusammenstellung

Einwilligungen (AGB, Datenschutz, In-App 

Benachrichtigungen, Kamera, Mikrofon), 

Nutzerspezifische Kurszusammenstellung (Inhalt der App), Version der installierten App

Serverkommunikation zum Betrieb der App

IP-Adressen, Abgerufene Inhalte, Pseudonymisierte ID, Timestamp

Server Log Files zum Betrieb der App

Timestamp, anonymisierte IP, URLs

 

Sofern eine Einwilligung vorliegt werden die Datenpunkte zu folgenden Zwecken erhoben: 

Zweck

Rechtsgrundlage

Bestimmungsgemäßer Gebrauch von Invirto 

Nr. 1 in § 4 Absatz 2 Satz 2 DiGAV

Nachweis positiver Versorgungseffekte im Rahmen einer Erprobung von Invirto (§ 139e Abs. 4 SGB V)

Nr. 2 in § 4 Absatz 2 Satz 2 DiGAV

Nachweisführung bei Vereinbarungen über Vergütungsbeträge für Invirto (§ 134 Absatz 1 Satz 3 SGB V)

Nr. 3 in § 4 Absatz 2 Satz 2 DiGAV

Dauerhafte Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der digitalen Gesundheitsanwendung

Nr. 4 in § 4 Absatz 2 Satz 2 DiGAV

3.2. Kontaktanfragen

Für die Bearbeitung der Kontaktanfrage nutzen wir Strato AG, Pascalstraße 10, 10587 Berlin (Strato) als Auftragsverarbeiter. Strato  Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit Strato und Zammad geschlossen. 

3.3. Registrierung

Für den Zweck der sicheren Registrierung und Anmeldung bei der App setzen wir einen Service der intension GmbH, Zeppelinstraße 10, 73760 Ostfildern, ein. Intension wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme

Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit Intension geschlossen. 

 

3.4. Erinnerungen

Für die Versendung der Erinnerungen, die für eine Gewährleistung einer erfolgreichen Therapie erforderlich sind, nutzen wir den Anbieter Flowmailer B.V., Van Nelleweg 1,3044 BC Rotterdam als Auftragsverarbeiter. Flowmailer wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit Flowmailer geschlossen. 

  1. Abrechnung 

Sofern Sie die App auf Grundlage des mit Ihrer Krankenversicherung bestehenden Selektivvertrages nach § 140a SGB V nutzen, leiten wir Ihre Abrechnungsdaten (ICD-Diagnose, Diagnosedatum, Diagnosesicherheit, Vor- und Nachname, erbrachte Module, Arzt-Nr. des behandelnden Arztes, Versicherten-Nr.) an die Deutsches Medizinrechenzentrum (DMRZ) GmbH, Wiesenstraße 21, 40549 Düsseldorf weiter. 

Die DMRZ wird Ihre Daten nur zum Zwecke der Abrechnung, d.h. nur insoweit verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit der DMRZ geschlossen. 

Sofern Sie Invirto als Digitale Gesundheitsanwendung (DiGA) nutzen, leiten wir Ihren DiGA Code, für den Zweck der sicheren Abrechnung, über unsere Server bei dem Auftragsverarbeiter OVH GmbH, St. Johanner Str. 41-43, 66111 Saarbrücken (OVH), an den Abrechnungsdienstleister NOVENTI HealthCare GmbH, Einsteinring 41-43, 85609 Aschheim bei München (Noventi), weiter.

OVH wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit OVH geschlossen. 

Noventi wird ihren DiGA Code nur zum Zwecke der Abrechnung, d.h. nur insoweit verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit Noventi geschlossen.

  1. Invirto App Hosting 

Die App wird von dem externen Dienstleister Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park Leopardstown, Dublin 18, Ireland, gehostet (Hoster). Die personenbezogenen Daten, die die App erfasst, werden auf Servern des Hosters in den Niederlanden gespeichert. Die verarbeiteten personenbezogenen Daten liegen dem Hoster ausschließlich in pseudonymisierter Form und verschlüsselt vor. Nur Sympatient kann diese Daten wieder einer konkreten Person zuordnen. Dem Hoster ist eine Re-Identifizierung der jeweiligen Nutzer nicht möglich. Auf diese Weise werden die personenbezogenen Daten auch für den Fall einer im Einzelfall zulässigen Übermittlung von Daten in die USA (z.B. im Rahmen des CLOUD Acts) bestmöglich geschützt. Darüber hinaus hat der Hoster uns vertraglich zugesichert, im Falle von Herausgabeverlangen durch US-Behörden den Rechtsweg zu beschreiten und auszuschöpfen, bevor personenbezogene Daten herausgegeben werden.

Unser Hoster wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung seiner Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit unserem Hoster geschlossen. 

Die Datenschutzerklärung von Microsoft finden Sie unter folgendem Link: https://privacy.microsoft.com/de-de/privacystatement

  1. Wie lange bewahren wir Ihre personenbezogenen Daten auf? 


Um die jeweiligen Zwecke zu erfüllen, werden personenbezogene Daten solange gespeichert, wie Sie Invirto in Anspruch nehmen. Soweit sich aus den übrigen Regelungen dieser Datenschutzhinweise keine kürzere Speicherdauer ergibt, ist eine Löschung nach Verschreibungsende (90Tage) vorgesehen. Willigen Nutzer:innen einer Verarbeitung zwecks dauerhafte Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der digitalen Gesundheitsanwendung nach § 4 Absatz 2 Satz 2 Nr. 4 DiGAV ein, ist ab Einwilligung eine Verlängerung der Verarbeitung um weitere 30 Tage möglich.

Alle personenbezogenen Daten werden gelöscht oder anonymisiert, sodass kein Rückschluss auf Nutzer:innen unmöglich wird. Darüber hinaus werden personenbezogene Daten nur in dem Umfang und soweit wir dazu aufgrund zwingender gesetzlicher Aufbewahrungspflichten verpflichtet sind, gespeichert. Soweit wir Ihre Daten nicht mehr für die in diesen Datenschutzhinweisen beschriebenen Zwecke benötigen, werden sie während der jeweiligen gesetzlichen Aufbewahrungsfrist lediglich gespeichert und nicht für andere Zwecke verarbeitet, es sei denn, hierfür liegen die gesetzlichen Voraussetzungen vor und wir informieren Sie zuvor entsprechend.

  1. Rechtsgrundlagen 

Die Verarbeitung Ihrer personenbezogenen Daten (Ziffer 3.1 Nr. 1 bis 6) erfolgt auf Grundlage Ihrer Einwilligung, um den bestimmungsgemäßen Gebrauch der App sicherzustellen, § 4 Abs. 2 Satz 1 Nr. 1 DiGAV. Für einen bestimmungsgemäßen Gebrauch der App ist es auch erforderlich, dass wir an vordefinierten Punkten mit den begleitenden Therapeuten sprechen. Sofern die bei der Nutzung der App erhobenen Daten auf eventuelle Gefahren für den Nutzer hinweisen, wird der Therapeut benachrichtigt, um die Nutzer proaktiv zu kontaktieren. 

Soweit Ihre personenbezogenen Daten (Ziffer 3.1 Nr. 2 bis 6) zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der App verarbeitet werden, erfolgt dies auf Grundlage Ihrer getrennt zu diesem Zweck eingeholten Einwilligung, § 4 Abs. 2 Satz 1 Nr. 4 DiGAV. 

Die für die Abrechnung erforderliche Verarbeitung personenbezogener Daten (Ziffer 3.1 Nr. 6) erfolgt auf Grundlage des § 302 Abs. 1 SGB V. 

  1. Findet eine Weitergabe Ihrer Daten an Dritte statt?

    Im Rahmen der Invirto-Behandlung bieten wir die Möglichkeit, zwecks Integration von Invirto in bestehende Therapien, Daten der Behandlung an qualifizierte Behandler:innen weiterzuleiten. Dazu zählen Stammdaten (Name, E-Mail Adresse, Telefonnummer, Patienten-ID), Medizinische Daten (Krankenversicherung, Befunde, Behandlungsverläufe, etc.) und Fortschrittsdaten in der digitalen Anwendung (beispielsweise angezeigte und absolvierte Inhalte, Fragebogenantworten, etc.). Voraussetzung für den Erhalt jeglicher Behandlungsdaten ist die vorherige Registrierung der Behandler:innen unter Angabe ihrer oder seiner Kontaktdaten bei der Sympatient GmbH und die explizite Zustimmung der Patient:innen. Rechtsgrundlage für die Datenübermittlung der begleitenden Therapeut:innen ist die Einwilligung der Patient:innen entsprechend Ziffer 7.
  2. Weitergabe Ihrer Daten an unsere Firma Beavivo
    Im Rahmen der Invirto-Behandlung bieten wir Patient:innen die Möglichkeit an neben den vorgegebenen Therapie-Leistungen auf eigenen Wunsch noch weitere psychische Therapie-Stunden über unsere Tochterfirma Beavivo zu erwerben. Hierfür bedarf es der Zustimmung der Patient:innen, dass wir ihre Daten unserem Team von Beavivo zur Kontaktaufnahme weitergeben können.
  3. Ihre Rechte 

Sie haben gegenüber Sympatient folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten: 

10.1 Recht auf Auskunft, Art. 15 DS-GVO 

Mit dem Recht auf Auskunft erhält der Betroffene eine umfassende Einsicht in die ihn angehenden Daten und einige andere wichtige Kriterien, wie beispielsweise die Verarbeitungszwecke oder die Dauer der Speicherung. Es gelten die in § 34 BDSG geregelten Ausnahmen von diesem Recht.

10.2 Recht auf Berichtigung, Art. 16 DS-GVO 

Das Recht auf Berichtigung beinhaltet die Möglichkeit für die Betroffenen, unrichtige sie angehende personenbezogene Daten korrigieren zu lassen. 

10.3 Recht auf Löschung, Art. 17 DS-GVO 

Das Recht auf Löschung beinhaltet die Möglichkeit für Betroffene, Daten beim Verantwortlichen löschen zu lassen. Dies ist allerdings nur dann möglich, wenn die ihn angehenden personenbezogenen Daten nicht mehr notwendig sind, rechtswidrig verarbeitet werden oder eine diesbezügliche Einwilligung widerrufen wurde. Es gelten die in § 35 BDSG geregelten Ausnahmen von diesem Recht. 

Um von Ihrem Recht auf Löschung Gebrauch zu machen, können Sie uns entweder eine E-Mail schreiben (Siehe 2. Kontakt des Datenschutzbeauftragten) oder in der App mit dem Button „Meine Daten löschen“ einen Löschauftrag erteilen. Wir kommen Ihrer Anfrage innerhalb von 3 Werktagen nach. 

Hinweis:

Bei der Löschung gehen sämtliche Daten und Fortschritte verloren. Dies hat zur Folge, dass keine Behandlung mehr von Seiten der Invirto Therapie gewährleistet werden kann. Was wiederum den Ausschluss aus der App bedeutet.

10.4 Recht auf Recht auf Einschränkung der Verarbeitung, Art. 18 DS-GVO

Das Recht auf Einschränkung der Verarbeitung beinhaltet die Möglichkeit für den Betroffenen, Daten beim Verantwortlichen einzuschränken („sperren“). Dies ist allerdings nur dann möglich, wenn die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt, der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Hinweis:

Bei der Einschränkung, kann nicht mehr korrekt auf die benötigten Daten zugegriffen werden. Dies hat zur Folge, dass keine Behandlung mehr von Seiten der Invirto-Therapie gewährleistet werden kann. Was wiederum den Ausschluss aus der App bedeutet.

10.5 Recht auf Widerspruch gegen die Erhebung, Verarbeitung und / oder Nutzung, Art. 21 DS-GVO 

Das Recht auf Widerspruch beinhaltet die Möglichkeit für den Betroffenen, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihn betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DS-GVO erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten des Betroffenen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 

10.6 Recht auf Datenübertragbarkeit, Art. 20 DS-GVO 

Das Recht auf Datenübertragbarkeit beinhaltet die Möglichkeit für Betroffene, die sie angehenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format vom Verantwortlichen zu erhalten, um sie gegebenenfalls an einen anderen Verantwortlichen zu übermitteln oder weiterleiten zu lassen. 

10.7 Recht auf Widerruf der Einwilligung, Art. 7 DS-GVO 

Soweit die Verarbeitung der personenbezogenen Daten auf Grundlage einer Einwilligung erfolgt, kann der Betroffene sie jederzeit für den entsprechenden Zweck widerrufen. Die Rechtmäßigkeit der Verarbeitung aufgrund der getätigten Einwilligung bleibt bis zum Eingang des Widerrufs unberührt. 

Die vorgenannten Rechte können Sie gegenüber den unter Ziffer 1 genannten Adressaten schriftlich oder elektronisch geltend machen. 

Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs gemäß Art. 77 DS-GVO das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt.

crosschevron-down