ProHerz Datenschutzvereinbarung

V18 – 07.03.2025

Verwenden Sie die ProHerz App als DiGA, dann klicken Sie bitte hier, um zur Datenschutzvereinbarung zur DiGA zu gelangen.

A Datenschutzvereinbarung für die Digitale Gesundheitsanwendung „ProHerz“ der ProCarement GmbH

Befinden Sie sich im kardiologischen Telemonitoring (TMZ) dann klicken Sie bitte hier, um zur Datenschutzvereinbarung zum TMZ zu gelangen.

B Datenschutzvereinbarung für die App „ProHerz“ der ProCarement GmbH im Telemonitoring bei Herzinsuffizienz

Bitte stellen Sie sicher, dass Sie sich im richtigen Abschnitt der Datenschutzvereinbarung befinden, wenn Sie den Verweisen folgen. Die Verweise sind in beiden Teilen der Vereinbarung enthalten und jeweils für den entsprechenden Abschnitt und Modell gültig.

A Datenschutzvereinbarung für die Digitale Gesundheitsanwendung „ProHerz“ der ProCarement GmbH

Diese Datenschutzvereinbarung gilt für die Digitale Gesundheitsanwendung (folgend: DiGA) ProHerz der ProCarement GmbH (folgend: ProCarement“). Bitte lesen Sie diese Datenschutzvereinbarung sorgfältig, bevor Sie die DiGA ProHerz nutzen. Um die Services zu nutzen, müssen Sie mindestens 18 Jahre alt sein

1. Vorwort

ProHerz ist eine medizinische digitale Anwendung (App), die Ihnen helfen soll, Ihre Herzkrankheit besser einzuschätzen. Indem Sie die für Ihre Erkrankung wichtigsten Werte, beispielsweise Blutdruck, Sauerstoffsättigung (Sauerstoffgehalt des Blutes), Körpergewicht und -temperatur, täglich messen und in Ihr digitales Tagebuch eintragen, erfahren Sie, wie Ihr Körper mit der Herzkrankheit umgeht und welche Gewohnheiten sich positiv bzw. negativ auf den Verlauf Ihrer Gesundheit auswirken könnten. Dieses Wissen ermöglicht es Ihnen, selbstbestimmt und kontrolliert auf Ihre Krankheit einzugehen.

Die von Ihnen selbst gemessenen Daten werden über die App mit festgelegten Normwerten verglichen. Automatisch wird Ihr persönliches Gesundheitsprofil erstellt, darauf aufbauend werden die Daten kategorisiert und geprüft.

Sie können Ihre medizinischen Daten in Ihre elektronische Patientenakte übertragen, Ihrem Arzt über die App ProHerz einen Zugriff auf Ihre Daten freigeben oder einen PDF-Export ausgedruckt zu Ihrem nächsten Arztbesuch mitbringen. Dabei bekommt Ihr Arzt keinen generellen Zugriff auf Ihre Daten. Sie müssen die Daten tagesaktuell, z.B. in jedem Behandlungstermin erneut selbst freigeben. Sie allein bestimmen darüber, wer Ihre Gesundheitsdaten einsieht und verwendet.

Wenn Sie es wünschen, erinnert ProHerz Sie täglich an die Einnahme Ihrer Medikamente (Medikamentenplan).

Außerdem stellt Ihnen ProHerz allgemeine, leitliniengerechte Gesundheitsinformationen über Ihre Erkrankung zur Verfügung.

Bei technischen Fragen oder Fragen zur App können Sie sich an den Support des ProCarement CareCenter wenden.

ProHerz ist eine Therapiebegleitung und wird Ihnen keine Diagnosen stellen, Ihnen keine Behandlung vorschlagen oder in die von Ihren Ärzten festgelegten Therapien eingreifen; sie ersetzt den Arztbesuch nicht. ProHerz dient ausschließlich dazu, Ihnen eine bessere Kontrolle über Ihre Krankheit und deren Symptome zu geben und Sie als informierten Patienten in die Lage zu versetzen, mit Hilfe Ihres digitalen Gesundheitstagebuchs gemeinsam mit Ihrem Arzt zu evaluieren, welche Behandlung für Sie die Beste ist. Die Entscheidung über Ihre Therapie, das Ziel Ihrer Behandlung und die Behandlungsmaßnahmen trifft in jedem Fall Ihr Arzt.

Dabei nehmen wir, die ProCarement GmbH (nachfolgend gemeinsam: „das Unternehmen“, „wir“ oder „uns“), den Schutz Ihrer personenbezogenen Daten sehr ernst und möchten Sie an dieser Stelle über den Datenschutz in unserem Unternehmen informieren.

Uns sind im Rahmen unserer datenschutzrechtlichen Verantwortlichkeiten durch das Inkrafttreten der EU-Datenschutz-Grundverordnung, (Verordnung (EU) 2016/679; nachfolgend: „DSGVO“), zusätzliche Pflichten auferlegt worden, um den Schutz personenbezogener Daten der von einer Verarbeitung betroffenen Person (wir sprechen Sie nachfolgend auch mit „Nutzer“, „Patient“, „Sie“, „Ihnen“ oder „Betroffener“ an) sicherzustellen. Zudem unterliegen wir als Hersteller eines Medizinproduktes, das in das Verzeichnis digitaler Gesundheitsanwendungen des Bundesinstituts für Arzneimittel und Medizinprodukte vorläufig aufgenommen wurde, 

• der europäischen Medizinprodukte-Verordnung, Verordnung (EU) 2017/745 (MDR),
• den datenschutzrechtlichen Anforderungen des Sozialgesetzbuches und
• der Verordnung über das Verfahren und die Anforderungen zur Prüfung der Erstattungsfähigkeit digitaler Gesundheitsanwendungen in der gesetzlichen Krankenversicherung (DiGAV).

Wir sind uns dieser Verantwortung bewusst und werden Ihre (Gesundheits-)Daten nur in dem notwendigen Umfang, nur auf einer gesetzlichen Grundlage und mit Ihrer ausdrücklichen und informierten Einwilligung unter den höchsten uns möglichen Sicherheitsvorkehrungen verarbeiten.

Soweit wir entweder allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden, umfasst dies vor allem die Pflicht, Sie transparent über Art, Umfang, Dauer und Rechtsgrundlage der Verarbeitung zu informieren. Mit dieser Erklärung (nachfolgend: „Datenschutzvereinbarung“) informieren wir Sie darüber, in welcher Weise und zu welchem Zweck Ihre personenbezogenen Daten von uns verarbeitet werden.

Aus Gründen der Darstellung und Lesbarkeit wurde in dieser Datenschutzvereinbarung und in allen unseren Produkten die männliche Form verwendet. Dies geschieht selbstverständlich ohne jegliche Diskriminierungsabsicht. Es sind immer alle Geschlechter einbezogen.

2. Allgemeines

2.1. Datenverantwortliche

ProCarement GmbH
Äußere Nürnberger Straße 62
91301 Forchheim, Deutschland
Geschäftsführer: Dr. Sebastian Eckl

info@procarement.com

09191 9504310
USt. -ID: DE354993818
Amtsgericht Nürnberg, HRB 11513

Postanschrift:
ProCarement
Äußere Nürnberger Str. 62
91301 Forchheim

2.2. Externe Datenschutzbeauftragte

Julia Haske
be-on-Quality GmbH
Lilienstrasse 33
D-91244 Reichenschwand
datenschutz@procarement.com

2.3. Wenn Sie Fragen zu Datenschutz und Privatsphäre haben:

Wenn Sie Fragen zu dem Datenschutz und dem Schutz Ihrer Privatsphäre haben, stehen wir Ihnen unter den oben genannten Kontaktdaten zu Verfügung. Sie können sich in deutscher und englischer Sprache an uns wenden.

Sie erreichen uns per Post, per E-Mail und an den Werktagen von Montag bis Freitag zwischen 8:30 Uhr und 15:30 Uhr auch telefonisch (es gelten die für den Freistaat Bayern festgelegten Feiertage). 

Unabhängig davon, über welches Kommunikationsmedium Sie Kontakt zu uns aufnehmen, werden wir Ihre Anfrage innerhalb von 24 Stunden beantworten. 

2.4. Zuständige Aufsichtsbehörde

Bei Beschwerden können Sie sich an die für uns zuständige Datenschutz-Aufsichtsbehörde wenden:

Landesamt für Datenschutzaufsicht
Promenade 18, 91522 Ansbach

Postanschrift:
Postfach 1349, 91504 Ansbach

Telefon/ Fax:
Tel.: 0981/180093-0
Fax: 0981/180093-800

E-Mail:
poststelle@lda.bayern.de

2.5. Begriffsbestimmungen

Nach dem Vorbild des Art. 4 DSGVO liegen dieser Datenschutzvereinbarung folgende Begriffsbestimmungen zugrunde:

„Personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („Betroffener“) beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Online-Kennung, Standortdaten oder mithilfe von Informationen zu ihren physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitätsmerkmalen identifiziert werden kann. Die Identifizierbarkeit kann auch mittels einer Verknüpfung von derartigen Informationen oder anderem Zusatzwissen gegeben sein. Auf das Zustandekommen, die Form oder die Verkörperung der Informationen kommt es nicht an (auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten enthalten).Beispielsweise handelt es sich bei Ihrem Namen, Ihren Standortdaten, Ihrer IP-Adresse, der Gerätekennung, der SIM-Kartennummer, Ihrer Adresse sowie E-Mail-Adresse um personenbezogene Daten, Ihr Fingerabdruck, Bilder, Filme, Audioaufnahmen, aber auch Ihr Nutzerverhalten fallen in diese Kategorie.

„Verarbeiten“ (Art. 4 Nr. 2 DSGVO) ist jeder Vorgang, bei dem mit personenbezogenen Daten umgegangen wird, gleich ob mit oder ohne Hilfe automatisierter (d.h. technikgestützter) Verfahren. Dies umfasst insbesondere das Erheben (d.h. die Beschaffung), das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder sonstige Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten sowie die Änderung einer Ziel- oder Zweckbestimmung, die einer Datenverarbeitung ursprünglich zugrunde gelegt wurde.

„Verantwortlicher“ (Art. 4 Nr. 7 DSGVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

„Dritter“ (Art. 4 Nr. 10 DSGVO) ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer dem Betroffenen, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; dazu gehören auch andere konzernangehörige juristische Personen. 

„Auftragsverarbeiter“ (Art. 4 Nr. 8 DSGVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen, insbesondere gemäß dessen Weisungen, verarbeitet (z. B. IT-Dienstleister). Im datenschutzrechtlichen Sinne ist ein Auftragsverarbeiter insbesondere kein Dritter. 

„Einwilligung“ (Art. 4 Nr. 11 DSGVO) der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person oder deren rechtlicher Vertreter (Vorsorgebevollmächtigter, Betreuer) zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. 

„Anwendung“ bezeichnet in dieser Datenschutzvereinbarung die digitale medizinische Applikation (App), welche der Nutzer mit den entsprechenden Endgeräten benutzt. Solche Endgeräte sind zum Beispiel das Smartphone oder das Tablet. Außerdem zählen zu der Anwendung alle Server-Systeme und eine webbasierte Plattform für das CareCenter und alle angebunden Ärzte, welche im Hintergrund personenbezogene Daten für die ProCarement GmbH darstellt, verarbeitet und speichert.

„Nutzer/Patient/betroffene Person“ isteine Person, die für die Anwendung registriert ist und/oder deren personenbezogene Daten anderweitig innerhalb der Anwendung verarbeitet werden. 

„Bevollmächtigter“ ist eine Person, die die Anwendung entweder für sich selbst, im Namen einer anderen Person (z. B. als pflegende oder betreuende Person) oder als eingeladener Nutzer verwendet, dem ein Hauptnutzer die Berechtigung zum Zugriff auf die Anwendung erteilt hat. 

„Gesundheitsdaten“ sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Beispielsweise handelt es sich bei den von Ihnen in das digitale Tagebuch eingetragenen Messwerten (Blutdruck, Körpergewicht, Temperatur, Sauerstoffsättigung, die elektrische Herzaktivität im kardiologischen Telemonitoring (TMZ-Modell) etc.), bei den von Ihnen eingetragenen Beschwerden (Kopfschmerz, Schwindel etc.) oder auch bei den von Ihnen eingetragenen Medikamenten um Gesundheitsdaten.

„DiGA“ Eine Digitale Gesundheitsanwendung (DiGA) ist eine App oder Software, die zur Unterstützung der medizinischen Behandlung oder zur Verbesserung der Gesundheit eingesetzt wird. In Deutschland können DiGAs unter bestimmten Bedingungen von der gesetzlichen Krankenversicherung erstattet werden, wenn sie nachweislich zur Verbesserung der Gesundheit beitragen.

Bestimmungsgemäßer Gebrauch: Digitale Gesundheitsanwendungen (DiGA) werden zur Verbesserung der Gesundheit und des Wohlbefindens eingesetzt. Ihr bestimmungsgemäßer Gebrauch umfasst: Diagnoseunterstützung (DiGA können bei der Erkennung und Diagnose von Krankheiten helfen), Therapieunterstützung (zum Beispiel durch Erinnerungen an Medikation oder Übungen), Gesundheitsmonitoring (die Überwachung von Gesundheitsdaten, wie z.B. Blutdruck, Blutzucker oder Gewicht, hilft dabei, Fortschritte zu verfolgen) und Prävention. Der bestimmungsgemäße Gebrauch ist die medizinische Bestimmung der Anwendung. Sie wird für jede DiGA von dem Hersteller selbst festgelegt und mit konkreten Funktionen und Diensten umgesetzt. 

Positiver Versorgungseffekt: Der positive Versorgungseffekt ist der Nutzen der Digitalen Gesundheitsanwendung. Dieser Nutzen kann in einem medizinischen Nutzen liegen (z.B. verbesserter Gesundheitszustand, schnellere Genesung, mehr Lebensqualität) und/ oder in einer besseren Versorgung von Menschen bestehen (z.B. einfacherer und schnellerer Zugang zu medizinischen Leistungen, mehr Selbstbestimmung im Umgang mit einer Krankheit, Entlastung von Patienten und Angehörigen). Der positive Versorgungseffekt muss nachgewiesen werden, damit eine Software oder App in das Verzeichnis der erstattungsfähigen Digitalen Gesundheitsanwendungen aufgenommen werden kann.

Elektronische Patientenakte: Die elektronische Patientenakte (ePA) ist eine digitale Akte, in der alle wichtigen medizinischen Informationen eines Patienten gesammelt und gespeichert werden. Dazu gehören zum Beispiel: Befunde von Ärzten, Diagnosen, Medikationspläne, Röntgenbilder oder Impfungen. Der große Vorteil der ePA ist, dass diese Informationen zentral gespeichert und mit Einwilligung des Patienten von verschiedenen Gesundheitsdienstleistern (z. B. Hausärzten, Fachärzten, Krankenhäusern) abgerufen werden können. Die Daten gehören dabei dem Patienten und er entscheidet, wer Zugriff darauf hat. Patienten können auch selbst Dokumente in die Akte hochladen, z. B. Ergebnisse von Vorsorgeuntersuchungen. Die ePA wird von den Krankenkassen bereitgestellt und ist freiwillig.

Gesundheits-ID: Die Gesundheits-ID ist eine eindeutige Identifikationsnummer für jeden gesetzlich Krankenversicherten in Deutschland. Sie dient dazu, den sicheren Zugriff auf digitale Gesundheitsdienste wie die ePA zu ermöglichen.

Die Gesundheits-ID hilft, eine Person eindeutig zu identifizieren, ohne dass sensible

Informationen wie Name oder Geburtsdatum verwendet werden müssen. Sie ist ein wichtiger Bestandteil der Sicherheitsarchitektur der ePA, damit nur autorisierte

Personen auf die Gesundheitsdaten zugreifen können. Während die ePA alle wichtigen Gesundheitsinformationen digital speichert, sorgt die Gesundheits-ID dafür, dass der Zugriff auf diese Daten sicher und eindeutig ist.

2.6. Änderung der Datenschutzvereinbarung

Im Rahmen der Fortentwicklung des Datenschutzrechts sowie technologischer oder organisatorischer Veränderungen werden unsere Datenschutzhinweise regelmäßig überprüft und wird die Datenschutzvereinbarung angepasst. Über Änderungen werden Sie unterrichtet. Die aktuelle Version finden Sie immer in unserer App, in Ihrem persönlichen Benutzer-Account und auf unserer Homepage.

Sollten wir Änderungen an dieser Datenschutzerklärung vornehmen, informieren wir Sie mindestens 14 Tage vor Inkrafttreten der Änderungen in verständlicher Form über die Änderungen. Insbesondere informieren wir Sie darüber, welche Änderungen vorgenommen wurden und ob hiervon der Umfang der Datenverarbeitung oder Ihre Rechte berührt sind. Sollte es bei einer wesentlichen Änderung der Datenverarbeitung der Fall sein, dass sich Ihre ursprünglich erteilte Einwilligung nicht mehr auf die neu gestaltete Datenverarbeitung erstreckt, werden wir Sie erneut um Ihre Einwilligung zur Datenverarbeitung bitten.

Diese Datenschutzvereinbarung hat den Stand von Januar 2025.

2.7. Keine Verpflichtung zur Bereitstellung personenbezogener Daten

Wir machen den Abschluss von Verträgen mit uns nicht davon abhängig, dass Sie uns Ihre personenbezogenen Daten bereitstellen. Für Sie als Nutzer besteht keine gesetzliche oder vertragliche Verpflichtung, uns Ihre Daten zur Verfügung zu stellen. Jedoch können wir die Leistungen des Produkts „ProHerz“ in einigen Fällen nur eingeschränkt oder gar nicht erbringen, wenn Sie die dafür erforderlichen Daten nicht bereitstellen. Sofern sich im Rahmen der Anwendung „ProHerz“ Einschränkungen der Leistung wegen fehlender Daten ergeben, werden Sie darauf hingewiesen.

3. Informationen über die Verarbeitung Ihrer Daten

DATENVERARBEITUNGSPROZESSE IN DER ANWENDUNG

3.1. Allgemeines

Bei der Nutzung unserer Anwendung verarbeiten wir personenbezogene Daten und Gesundheitsdaten von Ihnen.

Die DSGVO gilt für alle personenbezogenen Daten und regelt, ob und wie diese Daten verarbeitet werden dürfen.

3.1.1. Personenbezogene Daten

Die Verarbeitung von personenbezogenen Daten ist danach nur erlaubt, wenn die Daten für einen bestimmten Zweck verarbeitet werden und die Verarbeitung der Daten erforderlich ist, um diesen Zweck zu erreichen. Zusätzlich muss eine gesetzliche Erlaubnis zur Verarbeitung vorliegen oder müssen Sie in die Verarbeitung Ihrer personenbezogenen Daten freiwillig und informiert einwilligen. Diese Befugnisse sind in Art. 6 Abs. 1 DSGVO geregelt:

Art. 6 Abs. 1 DSGVO: Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

3.1.2. Gesundheitsdaten

Als höchst sensible Daten stellt die DSGVO die Gesundheitsdaten unter den besonderen Schutz von Art. 9 DSGVO. 

Auch hier gilt, dass personenbezogene Gesundheitsdaten nur zu einem bestimmten Zweck verarbeitet werden dürfen und dass die Verarbeitung erforderlich sein muss, um diesen Zweck zu erfüllen. Während aber die Verarbeitung von personenbezogenen Daten außerhalb von Art. 6 Abs. 1 DSGVO grundsätzlich unzulässig ist, ist die Verarbeitung von Gesundheitsdaten ausdrücklich verboten (Art. 9 Abs. 1 DSGVO). Nur in den von Art. 9 Abs. 2 DSGVO festgelegten Ausnahmen dürfen Ihre Gesundheitsdaten verarbeitet werden. Eine der wichtigsten Ausnahmen von dem Verbot der Verarbeitung ist dabei Ihre informierte und freiwillige Einwilligung in die Verarbeitung Ihrer Gesundheitsdaten (Art. 9 Abs. 2 Buchstabe a DSGVO).

3.1.3. Datenverarbeitung in der Digitalen Gesundheitsanwendung (DiGA)

An die Verarbeitung Ihrer personenbezogenen Daten und Gesundheitsdaten in einer Digitalen Gesundheitsanwendung (DiGA) stellt der Gesetzgeber noch höhere Anforderungen.

Gemäß § 4 Absatz 2 DiGAV dürfen Ihre Gesundheitsdaten hier nur zu bestimmten Zwecken und nur mit Ihrer ausdrücklichen Einwilligung verarbeitet werden.

Ihre personenbezogenen Daten dürfen danach nur verarbeitet werden,

1. um Ihnen als Nutzer den bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung zu ermöglichen, [§ 4 Absatz 2 Nr. 1 DiGAV],
2. um den Nachweis positiver Versorgungseffekte im Rahmen einer Erprobung nach § 139e Absatz 4 des Fünften Buches Sozialgesetzbuch führen zu können, [§ 4 Absatz 2 Nr. 2 DiGAV],
3. um bei Vereinbarungen nach § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch Nachweis führen zu können, [§ 4 Absatz 2 Nr. 3 DiGAV], und
4. um die technische Funktionsfähigkeit, die Nutzerfreundlichkeit und die Weiterentwicklung der digitalen Gesundheitsanwendung dauerhaft gewährleisten zu können, [§ 4 Absatz 2 Nr. 4 DiGAV].

Zu dem bestimmungsgemäßen Gebrauch zählt jede Datenerhebung und -verarbeitung, die erforderlich ist, um ProHerz im Rahmen der Behandlung Ihrer Herzerkrankung entsprechend dem unter A. ausführlich beschriebenen Zwecken einzusetzen. 

Wir haben ProHerz so aufgebaut, dass sowohl die Verarbeitung Ihrer personenbezogenen Daten als auch die Verarbeitung Ihrer Gesundheitsdaten der DSGVO entspricht. Nutzen Sie die App ProHerz im Rahmen einer ärztlichen Verordnung als DiGA, sind die Funktionen und Datenverarbeitungsprozesse von ProHerz zudem so eingeschränkt und angepasst, dass sie auch die strengen Anforderungen der DiGAV erfüllen. Nahezu jede Datenverarbeitung in ProHerz erfolgt nur mit Ihrer vorherigen ausdrücklichen Einwilligung.

Die Details der Einwilligungen sind am Ende dieser Datenschutzvereinbarung unter dem Punkt „Ihre Einwilligung“ beschrieben.

Ihre personenbezogenen (Gesundheits-)Daten werden wie folgt verarbeitet:

3.2. Welche Daten werden beim Download der App verarbeitet?

Beim Download („Herunterladen“) der App „ProHerz“ werden Daten zu Ihrer Person an den von Ihnen verwendeten App Store (z.B. Apple App Store oder Google Play) übermittelt.

Insbesondere werden beim Herunterladen Ihre folgenden personenbezogenen Daten an den App Store übertragen:

• Ihre E-Mail-Adresse, 
• Ihr Nutzername, 
• die Kundennummer des herunterladenden Accounts, 
• die individuelle Gerätekennziffer, 
• Zahlungsinformationen und
• der Zeitpunkt des Downloads.

Auf die Erhebung und Verarbeitung dieser Daten haben wir keinen Einfluss, sie erfolgt vielmehr ausschließlich durch den von Ihnen ausgewählten App Store. Dementsprechend sind wir für diese Erhebung und Verarbeitung nicht verantwortlich; die Verantwortung dafür liegt allein beim App Store.

3.3. Welche Daten werden verarbeitet, wenn Sie uns per E-Mail, Telefon, Kontaktformular oder Post kontaktieren?

Wenn Sie per E-Mail, Telefon, über unser Kontaktformular oder per Post Kontakt zu uns aufnehmen, speichern wir die personenbezogenen Daten, die Sie uns mitteilen (bspw. Ihr Name und Ihre Kontaktdaten). Wir verwenden diese Daten nur, um Ihre Anfrage zu beantworten und, sofern Sie bereits registrierter Nutzer unserer App sind, um Registrierungsdaten und Nutzungsinformationen zu verifizieren. Bitte teilen Sie uns keine Gesundheitsdaten mit, wenn Sie uns über E-Mail oder unser Kontaktformular kontaktieren.

Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten hängt von dem Grund Ihrer Kontaktaufnahme ab:

Kontaktieren Sie uns, weil Sie Interesse an der Nutzung von ProHerz haben, erfolgt die Verarbeitung Ihrer Daten auf der Grundlage von Art. 6 Absatz 1 Satz 1 Buchstabe b DSGVO. 

Sind Sie bereits Nutzer von ProHerz und geht es um eine Erfüllung unserer vertraglichen Pflichten, erfolgt die Verarbeitung Ihrer Daten ebenso auf der Grundlage von Art. 6 Absatz 1 Satz 1 Buchstabe b DSGVO.

Ist die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich (vor allem, um Ihnen einen Kommunikationsweg für allgemeine Anfragen anzubieten), erfolgt die Verarbeitung Ihrer Daten auf der Grundlage von Art. 6 Absatz 1 Satz 1 Buchstabe f DSGVO.

Wenn Sie uns über unser Kontaktformular ansprechen, holen wir zudem immer Ihre ausdrückliche Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten ein (Art. 6 Absatz 1 Satz 1 Buchstabe f DSGVO).

Auch die strengen Datenschutzanforderungen der DiGAV sind erfüllt. Wir verarbeiten Ihre oben genannten Kontakt- und Registrierungsdaten nur aufgrund Ihrer Einwilligung und ausschließlich, um Ihnen den bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung zu ermöglichen (§ 4 Absatz 2 Nummer 1 DiGAV). Die Details der Einwilligung sind am Ende dieser Datenschutzvereinbarung unter dem Punkt „Ihre Einwilligung“ beschrieben.

Die im Zusammenhang mit Ihrer Kontaktaufnahme bei uns verarbeiteten Daten löschen wir unverzüglich, sobald Ihr Anliegen bearbeitet und die Speicherung nicht mehr erforderlich ist. 

Wir weisen Sie darauf hin, dass eine E-Mail ohne die datenschutzrechtlich anerkannte Verschlüsselung nicht ausreichend sicher ist. Senden Sie uns daher bitte keine vertraulichen Angaben, Daten oder Gesundheitsdaten per E-Mail, sondern wählen Sie dafür entweder den Postweg oder das Kontaktformular unserer Homepage. Für Daten, die Sie uns unverlangt per E-Mail senden, übernehmen wir keine Verantwortung. Wir senden Ihnen niemals ohne Ihren Wunsch personenbezogene Daten per E-Mail.

3.4. Welche Daten werden verarbeitet, wenn Sie die App ProHerz nutzen?

Die Anwendung ProHerz ist ein Medizinprodukt und mit Aufnahme in das Verzeichnis digitaler Gesundheitsanwendungen des Bundesinstituts für Arzneimittel und Medizinprodukte auch eine zur medizinischen Versorgung zugelassene digitale Gesundheitsanwendung nach § 33 a SGB V. Verordnet Ihr Arzt Ihnen aufgrund einer bei Ihnen festgestellten Herzerkrankung die App ProHerz, übernimmt die gesetzliche Krankenkasse die Kosten für die Nutzung von ProHerz ganz oder teilweise. Wir unterliegen als Hersteller damit den Anforderungen der digitale Gesundheitsanwendungen-Verordnung (DiGAV), die festlegt, dass wir Ihre Daten grundsätzlich nur mit Ihrer Einwilligung und nur zu den in § 4 Absatz 2 DiGAV genannten Zwecken verarbeiten dürfen (siehe Abschnitt 3.1.3 Ziff. 1).

3.4.1. Allgemeine Funktionen und Datenverarbeitungsprozesse im Rahmen von ProHerz als DiGA

Im Rahmen Ihrer Nutzung von ProHerz erheben wir bestimmte Daten automatisch. Dabei handelt es sich in jedem Fall um Daten, die für die Nutzung von ProHerz erforderlich sind (sogenannte Nutzungsdaten). Hierzu gehören:

• IP-Adresse
• Datum und Uhrzeit der Anfrage und der Logins
• Zeitzonendifferenz zur Greenwich Mean Time (GMT)
• Inhalt der Anforderung (konkrete Seite)
• Zugriffsstatus/HTTP-Statuscode
• jeweils übertragene Datenmenge
• Betriebssystem und dessen Oberfläche
• Softwareversion der App
• Hersteller, Typ und Betriebssystemversion des Smart Devices
• Eingegebener Freischaltcode

Diese Daten gehören in die Kategorie der personenbezogenen Daten. Wir verarbeiten diese Daten, um Ihnen die Funktionen von ProHerz zur Verfügung zu stellen und so den bestimmungsgemäßen Gebrauch zu ermöglichen [§ 4 Absatz 2 Nr. 1 DiGAV]. 

Die Nutzungsdaten verarbeiten wir auch, um die technischen Funktionen der Anwendung ProHerz zu prüfen, zu verbessern und aufrecht zu erhalten [§ 4 Absatz 2 Nr. 4 DiGAV]. 

Wenn Sie ausdrücklich eingewilligt haben, verarbeiten wir Ihre Nutzungsdaten auch um die Nutzerfreundlichkeit von ProHerz zu gewährleisten und die Anwendung weiterzuentwickeln [§ 4 Absatz 2 Nr. 4 DiGAV]. Zu diesen Daten gehören beispielsweise die Informationen, wann, wie oft und welche Bereiche der Anwendung Sie mit welchen Einstellungen nutzen. Diese Evaluation ermöglicht es uns, einen hohen Qualitätsstandard zu sichern, unsere Leistungsangebote fortlaufend zu verbessern und diese auf Ihre individuellen Bedürfnisse anzupassen. Ihre Einwilligung in diese Datenverarbeitung ist nicht notwendig, um ProHerz nutzen zu können. Erteilen Sie Ihre Einwilligung nicht, können Sie ProHerz uneingeschränkt nutzen und wir verwenden Ihre Daten nicht zur Verbesserung und Weiterentwicklung von ProHerz.

Den Freischaltcode verwenden wir, um den Nachweis zur Abrechnung mit Ihrer Krankenkasse zu führen und Ihnen den bestimmungsgemäßen Gebrauch von ProHerz zu ermöglichen [§ 4 Absatz 2 Nr. 1 DiGAV].

Jede Verarbeitung der oben genannten Daten erfolgt ausschließlich zu einem in § 4 Absatz 2 DiGAV genannten legitimen Zweck. 

Die DSGVO legitimiert die Verarbeitung dieser Nutzungsdaten gem. Art. 6 Abs. 1 b) DSGVO, da die Verarbeitung für die Erfüllung des Vertrages zwischen Ihnen und uns oder zur Durchführung der von Ihnen angefragten vorvertraglichen Maßnahmen erforderlich ist.

3.4.2. Spezifische Funktionen und Datenverarbeitungsprozesse von ProHerz als DiGA

Darüber hinaus erheben und verarbeiten wir Daten, die Sie uns selbst bereitstellen. Diese Daten verarbeiten wir, um für Sie einen persönlichen Account zu erstellen und um Ihnen den bestimmungsgemäßen Gebrauch sowie die technische Funktionsfähigkeit von ProHerz zu ermöglichen. Sie müssen Ihren Account nicht unter Ihrem tatsächlichen Namen führen, sondern können ein Pseudonym oder einen frei erfundenen Namen verwenden. Alle von Ihnen abgegeben Einwilligungen werden mit diesem Account verknüpft, um Ihnen stets einen sicheren Widerruf Ihrer Einwilligungen zu ermöglichen.

Im Einzelnen erfragen und erfassen wir von Ihnen die nachfolgend aufgelisteten Daten, um die folgend genannten und rechtlich erlaubten Zwecke erfüllen zu können:

• E-Mail-Adresse (Pflichtangabe) für die Verifizierung Ihres Benutzeraccounts, zur Information zu ausstehenden Maßnahmen in der App und falls nötig die Kommunikation mit Ihnen [bestimmungsgemäßer Gebrauch und technische Funktionsfähigkeit]
• Geschlecht, Geburtsjahr, Gewicht und Größe (Pflichtangaben) werden für die individualisierte Auswertung und Zuordnung konkreter Gesundheitsinformationen benötigt [bestimmungsgemäßer Gebrauch, § 4 Absatz 2 Nr. 1 DiGAV]
• Wunschname (Pflichtangabe), wenn Sie in der App persönlich angesprochen werden wollen und nicht ein selbstgewähltes Pseudonym verwenden. [technische Funktionsfähigkeit, § 4 Absatz 2 Nr. 2 DiGAV]
• Vitalparameter wie Blutdruck, Puls, Sauerstoffsättigung, Gewicht und Temperatur zur Erfassung und Darstellung Ihres individuellen Gesundheitszustands [bestimmungsgemäßer Gebrauch, § 4 Absatz 2 Nr. 1 DiGAV]
• Telefonnummer (Optional) für Rückfragen im Rahmen des technischen Supports [technische Funktionsfähigkeit, § 4 Absatz 2 Nr. 2 DiGAV]
• Ihre Adressdaten (Optional) zur Kommunikation mit Ihnen und zur vollständigen Darstellung Ihres Profiles [technische Funktionsfähigkeit, § 4 Absatz 2 Nr. 2 DiGAV]
• Familienkontaktdaten (Optional) zur Erstellung eines Notfallplans [bestimmungsgemäßer Gebrauch, § 4 Absatz 2 Nr. 1 DiGAV]
• Ihren persönlichen Medikationsplan (Optional) für die Erinnerungsfunktion an die Einnahme der Medikamente [bestimmungsgemäßer Gebrauch, § 4 Absatz 2 Nr. 1 DiGAV]
• Daten zur Krankengeschichte, wie Diagnosen, Untersuchungsbefunde und Arztbriefe zur Erfassung Ihres Gesundheitszustandes und Zuordnung konkreter Gesundheitsinformationen (Optional) [bestimmungsgemäßer Gebrauch, § 4 Absatz 2 Nr. 1 DiGAV]

Bei der Erhebung Ihrer Vitalparameter besteht für Sie die Möglichkeit, die durch Ihre medizinischen Messgeräte gemessenen Gesundheitsdaten manuell in Ihren persönlichen Benutzeraccount zu übertragen. Darüber hinaus bieten wir die Möglichkeit, Werte auch digital (per Bluetooth) zu übertragen. 

Um die mit Hilfe von einem bluetooth-fähigen Blutdruckmessgerät, Pulsoximeter und Waage gemessenen Vitalparameter digital per Bluetooth in den persönlichen Benutzeraccount übertragen zu können, muss bei einem mit der Software Android betriebenen Gerät zusätzlich zu Bluetooth die Standortermittlung aktiviert werden, um Sie darauf hinzuweisen, dass auch Bluetooth auf den Standort zugreift. Dies erfolgt auch, wenn die App geschlossen oder nicht in Gebrauch ist. Dabei greift die App ProHerz selbst nicht auf den Gerätestandort zu. Es werden von uns keine Standortdaten erhoben, gespeichert oder mit anderen Daten zusammengeführt. 

ProHerz vergleicht die von Ihnen gemessenen Vitalparameter sodann mit den Soll-Werten und stellt Ihren individuellen Gesundheitszustand dar.

Um Sie gegebenenfalls daran zu erinnern, dass Sie Ihre Medikamenteneinnahme protokollieren, Ihre Messungen vornehmen, sich Gesundheitswissen aneignen, oder um allgemeine Informationen und Weiterentwicklungen oder Modifikationen der App ProHerz anzuzeigen, werden Sie durch die App über Nachrichtenfunktionen informiert. Dies geschieht einerseits über Nachrichten der App (Benachrichtigungen bei Android, Mitteilungen bei iOS), andererseits auch über System-E-Mail-Nachrichten, über die von Ihnen registrierte E-Mail-Adresse. Dabei handelt es sich in jedem Fall nur um allgemeine Hinweise und Informationen. Ihre Gesundheitsdaten bleiben zu jeder Zeit sicher in Ihrer App und werden von uns nicht über E-Mail versandt oder erfragt.

Wenn Sie es wünschen, können Sie Ihrem Arzt Ihre (Gesundheits-)Daten über das webbasierte Arztportal zeitlich begrenzt zur Verfügung stellen, die Daten als PDF versenden oder ausgedruckt in Papierform zu Ihrem nächsten Arztbesuch mitbringen (siehe Abschnitt 3.11).

Benötigen Sie unseren technischen Support, können Sie bei technischen Problemen oder Fragen zur App auch über die App Kontakt mit unseren Support-Mitarbeitern im ProCarement CareCenter aufnehmen. Dabei werden die von Ihnen mitgeteilten Daten, wie bspw. Ihr Name und Ihre Kontaktdaten, von uns nur gespeichert und verwendet, um Sie als registrierten Nutzer zu identifizieren und um Ihre Anfrage beantworten zu können. (siehe Abschnitt 3.3).

Wir verarbeiten die genannten Daten und erfassen Ihre krankheitsspezifischen Vitalzeichen und Zustände, um ein individuelles Gesundheits- und Therapieprofil zu erstellen und Ihnen die Möglichkeit zu geben, bewusster mit Ihrer Krankheit umzugehen, den Einfluss bestimmter Verhaltensweisen und Lebensumstände zu evaluieren und den Erfolg der ärztlichen Therapie durch Ihr eigenes Verhalten zu unterstützen [bestimmungsgemäßer Gebrauch, § 4 Abs. 2 Nr. 1 DIGAV]. 

Zusätzlich benötigen wir die genannten Daten, um Ihnen durch speziell aufbereitete medizinische Informationen krankheitsspezifisches Wissen zu vermitteln, Sie an die Einnahme Ihrer Medikamente zu erinnern und Ihr Gesundheits- und Therapieprofil auf Ihren Wunsch hin mit Ihrem Arzt zu teilen [bestimmungsgemäßer Gebrauch, § 4 Absatz 2 Nummer 1 DiGAV].

Die Datenverarbeitung dient darüber hinaus dem Zweck, positive Versorgungseffekte im Rahmen einer Erprobung nach § 139e Absatz 4 des Fünften Buches Sozialgesetzbuch nachzuweisen [§ 4 Absatz 2 Nr. 2 DiGAV]. Hierfür pseudonymisieren wir Ihre unter 4.1. und 4.2 genannten Daten und werten sie in pseudonymisierter Form im Hinblick darauf aus, ob die Anwendung von ProHerz innerhalb eines bestimmten Zeitraums einen positiven Einfluss auf Ihren Krankheitsverlauf hatte.

Jede Verarbeitung der oben genannten Daten erfolgt ausschließlich zu einem in § 4 Absatz 2 DiGAV genannten legitimen Zweck.

3.4.3. Rechtmäßigkeit der Datenverarbeitungsprozesse

Die in 3.4.1 und 3.4.2 beschriebenen Datenverarbeitungsprozesse sind nach DSGVO rechtmäßig,

da die Verarbeitung erforderlich ist, um den Vertrag zwischen Ihnen und uns über die Nutzung der Anwendung ProHerz zu erfüllen (Art. 6 Absatz 1 Satz 1 Buchstabe b DSGVO) und

da Sie Ihre Einwilligung zu der Datenverarbeitung erteilt haben, Art. 6 Absatz 1 Satz 1 Buchstabe a DSGVO [für die personenbezogene Daten], Art. 9 Absatz 2 Buchstabe a DSGVO [für die Gesundheitsdaten].

Die in 3.4.1 und 3.4.2 beschriebenen Datenverarbeitungsprozesse sind auch nach DiGAV rechtmäßig,

da sie ausschließlich den Zweck verfolgen,

• Ihnen den bestimmungsgemäßen Gebrauch von ProHerz als DiGA zu ermöglichen,
• die technische Funktionsfähigkeit, die Nutzerfreundlichkeit und die Weiterentwicklung der digitalen Gesundheitsanwendung dauerhaft zu gewährleisten und
• da sie nur aufgrund Ihrer ausdrücklichen Einwilligung erfolgen.
• Die Nutzung von ProHerz ist dabei nicht abhängig von dieser Einwilligung und eine einmal erklärte Einwilligung können Sie jederzeit widerrufen. Die Details der Einwilligung und die Folgen eines Widerrufs sind am Ende dieser Datenschutzvereinbarung unter dem Punkt „Ihre Einwilligung“ (Abschnitt 5) beschrieben.

3.5. Bereitstellung von (Gesundheits-)Daten durch Dritte

Wenn Sie selbst körperlich nicht dazu in der Lage sind ProHerz zu verwenden oder die in Abschnitt 3.4.2. genannten Daten in die App ProHerz einzugeben, kann eine andere, von Ihnen selbst bestimmte oder gesetzlich mit Ihrer Betreuung beauftragte Person (z.B. Angehörige, Ihr Vorsorgebevollmächtigter oder Betreuer) Ihre in 3.4.2. genannten personenbezogenen Daten und Gesundheitsdaten zur weiteren Verarbeitung in der digitalen Anwendung bereitstellen. 

Dabei handelt die von Ihnen selbst bevollmächtigte dritte Person (z.B. Ihr Angehöriger, Vorsorgebevollmächtigter oder Ihre Pflegeperson) nur soweit und solange sie diese Person selbst autorisieren. Sie können die Vollmacht gegenüber der dritten Person jederzeit widerrufen und Ihre Rechte aus diesem Vertrag selbst wahrnehmen. Die Kontrolle über das Handeln einer von Ihnen selbst bevollmächtigten Person haben stets Sie selbst. Bitte informieren Sie uns unverzüglich, wenn Sie einer Person die Befugnis entziehen, Ihre Daten bereitzustellen.

Handelt ein gesetzlicher Betreuer in Ihrem Namen, aber gegen Ihren Willen, bitten wir Sie uns unverzüglich darüber zu informieren und das für Sie zuständige Betreuungsgericht zu kontaktieren. Ein Betreuer hat die grundlegende Pflicht, nach Ihrem Wunsch und in Ihrem Willen zu handeln (§ 1821 Bürgerliches Gesetzbuch).

3.6. Zuordnung konkreter Gesundheitsinformationen

Die Anwendung verwendet Ihre Angaben zu Geschlecht, Diagnose und Raucher-/ Nichtraucherstatus, um Ihren Gesundheitszustand zu bewerten und Ihnen darauf basierend auf Sie individuell abgestimmte allgemeine Gesundheitsinformationen bereitzustellen (z.B. welche wissenschaftlichen Erkenntnisse es über den Einfluss von Rauchen auf den Verlauf der bei Ihnen diagnostizierten Krankheit gibt). Die von der Anwendung durchgeführte Verknüpfung der Daten soll gewährleisten, dass Sie aus dem Dienst den größtmöglichen Nutzen ziehen. 

Diese Datenverarbeitung ist kein „Profiling“ im Sinne des Art. 4 Nummer 4 DSGVO, da sie nicht auf bestimmte Erkenntnisse über Ihre Persönlichkeit abzielt. 

Darüber hinaus führt die Datenverarbeitung nicht zu automatischen Entscheidungen, die für Sie rechtliche Auswirkungen hätten, denn Entscheidungen über die betroffene Person (z.B. Entscheidungen über Handlungsempfehlungen) werden stets von einer natürlichen Person getroffen, in jedem Fall von einer bei uns beschäftigten Fachkraft.

3.7. Datensicherheit

Um Ihre personenbezogenen Daten gegen unbeabsichtigte sowie unrechtmäßige Zerstörung, Verlust, Veränderung, unberechtigte Weitergabe, unberechtigten Zugriff und andere unrechtmäßige oder unberechtigte Formen der Verarbeitung nach geltendem Recht zu schützen, haben wir nach Maßgabe des Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen angemessene technische und organisatorische Sicherheitsmaßnahmen getroffen.

Unsere Maßnahmen umfassen insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen Zugangs zu den Daten, als auch des sie betreffenden Zugriffs, der Eingabe, Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Ebenso haben wir Verfahren implementiert, die die Wahrnehmung von Betroffenenrechten, Löschung von Daten und Reaktion auf Gefährdung der Daten gewährleisten. Weiter berücksichtigen wir den Schutz Ihrer personenbezogenen Daten bereits bei der Entwicklung, bzw. Auswahl unserer Hardware, App, sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).

Alle Daten werden direkt vom Endnutzer über die Benutzung der App auf dem mobilen Endgerät erhoben. Beim Beenden der App werden diese Daten von Ihrem mobilen Endgerät über eine verschlüsselte TLS-Verbindung an unseren Server übertragen und in einer entsprechend gesicherten Datenbank gespeichert.

3.8. Speicherdauer, Löschung und Anonymisierung Ihrer Daten

Generell wird die Speicherdauer begrenzt durch den Verarbeitungszweck (Artikel 5 Absatz 1 e) DSGVO).Das heißt, dass wir Ihre personenbezogenen Daten und Gesundheitsdaten unwiederbringlich löschen, sobald wir sie nicht mehr brauchen, um

• Ihnen den bestimmungsgemäßen Gebrauch von ProHerz zu ermöglichen, 
• die technische Funktionsfähigkeit, die Nutzerfreundlichkeit und die Weiterentwicklung von ProHerz dauerhaft gewährleisten zu können.

Die Sie betreffenden Daten, die wir verarbeiten, um Ihnen den bestimmungsgemäßen Gebrauch von ProHerz zu ermöglichen, löschen wir, sobald Sie ProHerz nicht mehr nutzen. Diese Daten werden so lange gespeichert, wie Sie die digitale Anwendung nutzen. Wir werden Sie spätestens 14 Tage vor dem Ablauf der verordneten bzw. bewilligten Nutzungsdauer ausdrücklich auf möglicherweise verloren gehende Daten und Ihr Recht auf Datenübertragung gemäß Artikel 20 DSGVO sowie die Möglichkeiten des Datenexports hinweisen.

Wenn Sie eingewilligt haben, dass Ihre Daten länger gespeichert werden, damit Sie später wieder darauf zugreifen können, werden Ihre Daten 30 Tage nach Ende der Nutzung gelöscht.

Sie können jederzeit ohne Angaben von Gründen die Löschung Ihres Benutzerkontos entweder direkt in der App (Mehr | Mein Benutzerkonto | Benutzerkonto löschen) vornehmen, oder Sie nehmen Kontakt mit unserem Support per Telefon oder E-Mail (datenschutz@procarement.com) auf.

Im Falle einer Inaktivität (keine aktive Verordnung der Digitalen Gesundheitsverordnung) wird Ihr Benutzerkonto gelöscht. Sie erhalten eine E-Mail mit der Benachrichtigung über die Löschung Ihres Benutzerprofils und einen passwortgeschützten Datenauszug.

Sollten Sie die ProHerz-App von Ihrem Smartphone deinstallieren, betrifft dies Ihr Benutzerkonto zunächst nicht. Erst bei einer Inaktivität kommt es zu einer Löschung. Das bedeutet, spätestens 120 Tage nach Eingabe eines DiGA-Aktivierungscodes wird Ihr Benutzer-Konto gelöscht. Sie können in diesem Zeitraum die App wieder installieren und Ihr vorhandenes Benutzerkonto verwenden.

Sollten wir unsere Allgemeinen Geschäfts- und Nutzungsbedingungen ändern und sollten sich die vorgenommenen Änderungen auf die Verarbeitung Ihrer personenbezogenen Daten auswirken, werden wir Sie mindestens 14 Tage vor Inkrafttreten der Änderungen informieren und um Ihre Bestätigung bitten. Wir können die Verarbeitung Ihrer personenbezogenen Daten aussetzen und diese Daten sperren, bis Sie die geänderten AGB zur Kenntnis genommen haben. Nehmen Sie die Änderungen nicht innerhalb einer von uns bestimmten Frist an oder sind mehr als drei Monate vergangen, müssen wir so verfahren, als ob Sie alle gegebenen Einwilligungen widerrufen hätten und Ihren Nutzer-Account löschen. In jedem Fall werden wir Sie persönlich informieren, bevor eine solche Einschränkung oder Löschung Ihrer Daten vorgenommen wird.

Vorausgesetzt, Sie willigen gemäß Abschnitt 5.1. (5) in die Anonymisierung Ihrer Daten ein, anonymisieren wir Ihre Daten im Rahmen des Löschkonzepts, um die anonymisierten Daten anschließend für die Weiterentwicklung von ProHerz zu nutzen. Die anonymisierten Daten werden von der ProCarement GmbH nur intern und zu keinem anderen Zweck als der Verbesserung und Weiterentwicklung der App ProHerz genutzt.

3.9. Übermittlung von Daten an Dritte / Kategorien von Empfängern

Sofern wir im Rahmen der Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern oder Dritten) offenlegen, Daten an diese übermitteln oder ihnen sonst Zugriff auf die Daten gewähren, erfolgt dies nur auf Basis einer gesetzlichen Grundlage, der Einwilligung von Ihnen, soweit wir rechtlich dazu verpflichtet sind oder auf Grundlage unserer berechtigten Interessen (z.B. Hosting der Server).

Sofern wir andere Unternehmen oder Personen mit der Verarbeitung von Daten auf Grundlage eines sog. „Auftragsverarbeitungsvertrages“ beauftragen, geschieht dies auf Grundlage des Art. 28 DSGVO. Daher setzen wir nur Auftragsverarbeiter ein, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung von personenbezogenen Daten im Einklang mit den gesetzlichen Erfordernissen sowie mit unserer Datenschutzvereinbarung erfolgt.

Folgende Auftragsverarbeiter und Dritte sind an der Verarbeitung Ihrer Daten beteiligt:

• Auftragsverarbeiter:
  • OVH GmbH, Oskar-Jäger-Str. 173/K6, 50825 Köln, Deutschland, Amtsgericht Saarbrücken – HRB 15369
    Die Firma OVH GmbH hostet in ihrem Rechenzentrum unseren Server, auf dem Ihre personenbezogenen Daten und Gesundheitsdaten verarbeitet und gespeichert werden. Das Hosting ist erforderlich, um Ihnen ProHerz technisch bereitstellen zu können und Ihnen den bestimmungsgemäßen Gebrauch zu ermöglichen. Mit der OVH GmbH haben wir einen Auftragsverarbeitungsvertrag geschlossen, in dem sich die OVG GmbH verpflichtet, den gleichen Sicherheitsstandard für Ihre Daten zu gewährleisten wie wir. Die OVG GmbH ist zertifiziert nach PCI DSS, ISO/IEC 27001, SOC 1 TYPE II und SOC 2 TYPE II und verfügt über die Zulassung zum Hosting von Gesundheitsdaten.
  • PVS plus GmbH, Solinger Str. 10, 45481 Mülheim an der Ruhr, Deutschland, Amtsgericht Duisburg HRB 33944
    Die Firma PVS plus GmbH ist unser Abrechnungsdienstleister. An die PVS plus GmbH geben wir Ihren Freischaltcode weiter, damit die PVS plus GmbH den Freischaltcode über eine API-Schnittstelle bei Ihrer gesetzlichen Krankenkasse verifiziert und die Verwendung von ProHerz gegenüber Ihrer gesetzlichen Krankenkasse abrechnet. Zweck der Datenverarbeitung ist es, Ihnen ProHerz zur Verfügung zu stellen und Ihnen den bestimmungsgemäßen Gebrauch zu ermöglichen. Mit der PVS plus GmbH haben wir einen Auftragsverarbeitungsvertrag geschlossen, der die PVS plus GmbH zu den gleich hohen Sicherheitsstandards verpflichtet, die auch wir garantieren. Die PVS plus GmbH erfüllt die gesetzlichen Vorgaben zur Datenübermittlung nach § 302 SGB V.
  • Ionic Appflow des Unternehmens Ionic.io, EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg
    Ionic Appflow unterstützt bei der Entwicklung, Bereitstellung und Aktualisierung der App, indem es automatisierte Build- und Deployment-Prozesse ermöglicht. Dabei werden keine Gesundheitsdaten gespeichert, sondern ausschließlich technische Metadaten verarbeitet, die für die App-Entwicklung und -Bereitstellung erforderlich sind. Es bestehen Standard-Auftragsverarbeitungsverträge (AVVs), die sicherstellen, dass Ihre Daten gemäß höchsten Sicherheitsstandards verarbeitet werden. Diese Verträge garantieren den Schutz Ihrer Daten und die Einhaltung der geltenden Datenschutzvorgaben. Ionic Appflow ist nach SOC 2 Type II zertifiziert.
  • Amazon Web Services
    Amazon Web Services (AWS) wird für das Hosting und die Bereitstellung der Live-Update-Funktion genutzt. Diese Funktion ermöglicht es, bestimmte App-Updates ohne erneuten Download aus dem App Store bereitzustellen, sodass Sie stets die aktuelle und sicherste Version der Anwendung nutzen können. Dabei stellt AWS die notwendige Infrastruktur zur Verarbeitung und Speicherung dazu notwendiger Daten bereit. Dabei werden keine Gesundheitsdaten gespeichert, sondern ausschließlich technische Metadaten verarbeitet, Es bestehen Standard-Auftragsverarbeitungsverträge (AVVs), die sicherstellen, dass Ihre Daten gemäß höchsten Sicherheitsstandards verarbeitet werden. Diese Verträge garantieren den Schutz Ihrer Daten und die Einhaltung der geltenden Datenschutzvorgaben. Amazon Web Services (AWS) ist nach ISO/IEC 27001 zertifiziert und verfügt über SOC 2.
• Dritte zum Zwecke der Einhaltung gesetzlicher Vorschriften (z.B. Steuerberater, Finanzamt etc.)
• Dritte zum Zweck der Wahrnehmung unserer berechtigten Interessen und Rechtsberatung (z.B. Rechtsanwaltskanzleien)
• Dritte zum Zwecke der Behandlung (Ärzte, Krankenhäuser etc.), wobei Sie selbst im Laufe der Nutzung von ProHerz bestimmen, welche personenbezogenen Daten und Gesundheitsdaten an wen zum Zweck der Behandlung weitergegeben werden.

3.10. Übertragung Ihrer Daten in die elektronische Patientenakte (ePA)

Ist gerade noch in der Freigabe. Wir informieren Sie darüber, wenn diese Funktion in der App aktiviert ist.

Gemäß § 6a DiGAV sind wir rechtlich verpflichtet, Ihnen den Export Ihrer in ProHerz verarbeiteten (Gesundheits-)Daten in Ihre elektronische Patientenakte zu ermöglichen.

ProHerz bietet Ihnen daher die Funktion, Ihre zum Zweck des bestimmungsgemäßen Gebrauchs der App gesammelten und auf unseren Servern gespeicherten Daten und Gesundheitsdaten unter Nutzung Ihrer Gesundheits-ID in Ihre elektronische Patientenakte zu übertragen. Ein Export geschieht nur mit Ihrer vorherigen ausdrücklichen Einwilligung.

Die Übertragung kann manuell oder über eine automatische Synchronisation erfolgen. Dabei können Sie nicht auswählen, welche Daten übertragen werden. Technisch ist derzeit nur der Export aller nachfolgend genannten Daten oder keiner Daten möglich.

Wenn Sie Ihre Gesundheitsdaten aus ProHerz an Ihre ePA übertragen möchten, verbinden wir ProHerz mit Ihrer Gesundheits-ID und übermitteln wir mit Ihrer ausdrücklichen Einwilligung die folgenden personenbezogenen Daten und Gesundheitsdaten an Ihre ePA:

Patientenstammdaten (personenbezogene Daten)	Name
	Geschlecht
	Telefonnummer
	E-Mail-Adresse
	Adresse
Vitalparameter (Gesundheitsdaten)	Blutdruckwerte (in mmHg)
	Gewicht (in Kg)
	Herzfrequenz (pro Minute)
	Sauerstoffsättigung (in %)
	Trockengewicht (Normalgewicht) (in Kg)
	Temperatur (in °C)
Medikamente (Gesundheitsdaten)	Produktname
	Dosis
	Einheit
	Wirkstoff
Medikationsplan (Gesundheitsdaten)	Einnahmeart (z.B. oral, topisch, intravenös, Injektion, subkutan, Inhalation)
	Häufigkeit der Einnahme (z.B. täglich, wöchentlich, monatlich, bei Bedarf)
Medikamenteneinnahme (Gesundheitsdaten)	Menge der Einnahme
Diagnosen (Gesundheitsdaten)	ICD-Codes (z.B. I50 Herzschwäche)
Allergien und Intoleranzen (Gesundheitsdaten)	z.B. Gräser, Tierhaare, Antibiotika
Fragebögen und Antworten (Gesundheitsdaten)	KCCQ-12 Fragebogen
	WHO-5 Fragebogen
	2-Fragen-Test
Informationen DiGA	DiGA-Name (ProHerz)
	DiGA-Hersteller (ProCarement GmbH)

Wir übertragen diese Daten entsprechend Ihrer Einwilligung entweder nur einmalig auf Ihre manuelle Anforderung hin oder regelmäßig wiederkehrend über eine automatische, tägliche Synchronisation. 

Die Datenverarbeitung ist gemäß DSGVO rechtmäßig, wenn Sie Ihre Einwilligung zu der Datenverarbeitung erteilt haben, Art. 6 Absatz 1 Satz 1 Buchstabe a DSGVO [für die personenbezogene Daten], Art. 9 Absatz 2 Buchstabe a DSGVO [für die Gesundheitsdaten].

Die in Abschnitt 3.10 beschriebenen Datenverarbeitungsprozesse sind auch nach DiGAV rechtmäßig, da sie ausschließlich den Zweck verfolgen, Ihnen den bestimmungsgemäßen Gebrauch von ProHerz als DiGA zu ermöglichen und da sie nur aufgrund Ihrer ausdrücklichen Einwilligung erfolgen.

Sie können Ihre Einwilligung jederzeit widerrufen. Die Nutzung von ProHerz wird durch Ihren Widerruf nicht eingeschränkt. Sie können ProHerz auch ohne Ihre ePA nutzen. 

Bitte beachten Sie, dass wir keinen Zugriff auf die in der ePA gespeicherten Daten haben. Daher können wir die Datenübermittlung weder rückgängig machen noch eine Löschung von Daten in der ePA veranlassen. Jedoch haben Sie in Ihrer ePA die vollständige Kontrolle über Ihre Daten und können die übertragenen Daten selbst löschen.

3.11. Übertragung Ihrer Daten an Ihren behandelnden Arzt/ Auszug als pdf

ProHerz bietet Ihnen die Funktion, Ihre in der App gesammelten und auf unseren Servern gespeicherten Daten und Gesundheitsdaten an Ihren Arzt zu übertragen. Dadurch kann Ihr Arzt ihren Gesundheitsverlauf besser nachverfolgen. Ihr Arzt bekommt jedoch niemals einen generellen Zugriff auf Ihre in der App gespeicherten Gesundheitsdaten. Sie müssen die Daten in jedem Behandlungstermin erneut selbst freigeben. Sie allein bestimmen darüber, wer Ihre Gesundheitsdaten wann einsieht und verwendet.

Die Datenverarbeitung ist gemäß DSGVO rechtmäßig, wenn Sie Ihre Einwilligung zu der Datenverarbeitung erteilt haben, Art. 6 Absatz 1 Satz 1 Buchstabe a DSGVO [für die personenbezogene Daten], Art. 9 Absatz 2 Buchstabe a DSGVO [für die Gesundheitsdaten].

Die in Abschnitt 3.11 beschriebenen Datenverarbeitungsprozesse sind auch nach DiGAV rechtmäßig, da sie ausschließlich den Zweck verfolgen, Ihnen den bestimmungsgemäßen Gebrauch von ProHerz als DiGA zu ermöglichen und da sie nur aufgrund Ihrer ausdrücklichen Einwilligung erfolgen.

Sie können Ihre Einwilligung jederzeit widerrufen. Die Nutzung von ProHerz wird durch Ihren Widerruf nicht eingeschränkt. 

Bitte beachten Sie, dass wir die einmal an Ihren Arzt übermittelten Daten nicht zurückholen können. Sind Ihre Daten an den Arzt übermittelt und dort in Ihrer Patientenakte gespeichert, liegt die Verantwortung für diese Daten bei Ihrem Arzt. Sie können Ihre Rechte als Betroffener gegenüber Ihrem Arzt geltend machen und dort die Löschung oder Einschränkung Ihrer Daten verlangen. Dem Arzt obliegen jedoch rechtliche Aufbewahrungspflichten, die einer vollständigen Löschung entgegenstehen können. 

Alternativ können Sie einen pdf-Auszug Ihrer Daten aus der App heraus erstellen und die Unterlagen ausgedruckt in Papierform zu Ihrem nächsten Arztbesuch mitbringen.

3.12. Übertragung Ihrer Daten zur Aktualisierung der App („LiveUpdate“)

Die Anwendung führt in regelmäßigen Abständen eine Aktualisierung ihrer Funktionen durch. Dazu meldet die Anwendung Ihre IP-Adresse an den Server der Amazon Web Services, Inc., der die Anfrage an unseren Server weiterleitet, über den die aktuelle App-Version abgerufen und auf Ihr mobiles Endgerät übertragen wird. Die Amazon Web Services, Inc. ist im Rahmen des EU-U.S. Data Privacy Framework zertifiziert.

Die in Abschnitt 3.12 beschriebenen Datenverarbeitungsprozesse sind rechtmäßig, da die Verarbeitung erforderlich ist, um den Vertrag zwischen Ihnen und uns über die Nutzung der Anwendung ProHerz zu erfüllen (Art. 6 Absatz 1 Satz 1 Buchstabe b DSGVO), da sie ausschließlich den Zweck verfolgen, die technische Funktionsfähigkeit der digitalen Gesundheitsanwendung dauerhaft zu gewährleisten und da sie nur aufgrund Ihrer ausdrücklichen Einwilligung erfolgen.

4. Ihre Rechte

Sie haben uns gegenüber hinsichtlich der Sie betreffenden personenbezogenen Daten und Gesundheitsdaten folgende Rechte:

• Recht auf Berichtigung und Löschung
• Recht auf Datenübertragbarkeit
• Recht auf Einschränkung der Verarbeitung
• Recht auf Auskunft
• Recht auf Widerspruch gegen die Verarbeitung

Ob und inwieweit diese Rechte im Einzelfall vorliegen und / oder durchgesetzt werden können und welche Bedingungen konkret gelten, ergibt sich aus dem Gesetz, insbesondere aus der DSGVO und dem BDSG-neu.

4.1. Recht auf Auskunft (Art. 15 DSGVO)

Sie können von uns eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.

Liegt eine solche Verarbeitung vor, können Sie von uns über die folgenden Informationen Auskunft verlangen:

• die Zwecke, zu denen Ihre personenbezogenen Daten verarbeitet werden;
• die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
• die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
• die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
• das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• alle verfügbaren Informationen über die Herkunft der Daten, wenn Ihre personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Sie.

Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

4.2. Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben uns gegenüber ein Recht auf Berichtigung und/oder Vervollständigung, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Wir müssen die Berichtigung unverzüglich vorzunehmen.

4.3. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen, wenn:

• Sie die Richtigkeit der Sie betreffenden personenbezogenen Daten bestreiten für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
• die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
• wir Ihre personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigen und löschen würden, Sie diese Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen noch benötigen, oder
• wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.

Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

Wurde die Einschränkung der Verarbeitung nach den o. g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

4.4. Recht auf Löschung (Art. 17 DSGVO)

Löschungspflicht
Sie können von uns verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft:

• Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
• Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 a) oder Art. 9 Abs. 2 a) DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
• Sie legen gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
• Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
• Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
• Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

Information an Dritte

Haben wir die Sie betreffenden personenbezogenen Daten an Dritte weitergegeben und sind wir gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so werden wir unter Berücksichtigung der verfügbaren Technologie und der Kosten angemessene Maßnahmen treffen, um die Dritten darüber zu informieren, dass Sie als betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

• zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
• zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 h) und i) sowie Art. 9 Abs. 3 DSGVO;
• für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

4.5. Recht auf Mitteilung (Art. 19 DSGVO)

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung uns gegenüber geltend gemacht, sind wir verpflichtet, die Berichtigung, Löschung oder Einschränkung Ihrer Daten allen Dritten mitzuteilen, denen wir Ihre personenbezogenen Daten offengelegt haben. Dies gilt nicht, wenn sich eine solche Mitteilung als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden ist.

4.6. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, sofern

• die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 a) DSGVO oder Art. 9 Abs. 2 a) DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 b) DSGVO beruht und
• die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass Ihre personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.

4.7. Recht auf Widerspruch (Art. 21 DSGVO)

Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 e) oder f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein Profiling.

In der Folge dürfen wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 

Wir bitten Sie uns die Gründe Ihres Widerspruchs darzulegen, damit wir die Sachlage prüfen können. Entsprechend werden wir die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe mitteilen, aufgrund derer wir die Verarbeitung fortführen.

4.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligung (Art. 7 Abs. 3 DSGVO)

Für Datenverarbeitungen, die auf der Grundlage einer von Ihnen erteilten Einwilligung erfolgen, haben Sie jederzeit das Recht, die erteilte Einwilligung gem. Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund Ihrer Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. 

Sie können die jeweils erteilte Einwilligung zur Verarbeitung jederzeit ohne Angaben von Gründen widerrufen, und zwar entweder 

• direkt in der App (Mehr | Mein Benutzerkonto | Einwilligungen) oder 
• über E-Mail (datenschutz@procarement.com). 

Dabei ist es möglich, auch nur eine Einwilligung zu widerrufen. Die Folgen Ihres Widerrufs hängen davon ab, ob Sie optionale Einwilligung oder eine für die Bereitstellung von ProHerz erforderliche Datenverarbeitung widerrufen.

Zum Beispiel können Sie Ihre Einwilligung in die Verarbeitung Ihrer Daten „zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung von ProHerz“ gesondert widerrufen. Die weitere Nutzung von ProHerz ist dann nicht eingeschränkt. 

Widerrufen Sie jedoch Ihre Einwilligung in eine Datenverarbeitung, die notwendig ist, um Ihnen den bestimmungsgemäßen Gebrauch von ProHerz zu ermöglichen, hat Ihr Widerruf eine Löschung des Benutzerkontos zur Folge.

Wir werden Sie im Fall eines solchen Widerrufs noch einmal ausdrücklich auf möglicherweise verlorengehende Daten und Ihr Recht auf Datenübertragung gemäß Artikel 20 DSGVO sowie die Möglichkeiten des Datenexports hinweisen.

Die Details zu Ihren Einwilligungen und dem jeweils möglichen Widerruf finden Sie in Abschnitt 5.

4.9. Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie haben zudem das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten in unserem Unternehmen zu beschweren. Für unsere Firma zuständig ist das Bayerische Landesamt für Datenschutzaufsicht, Promenade 18 91522 Ansbach, BayLDA – Das Bayerische Landesamt für Datenschutzaufsicht, E-Mail: poststelle@lda.bayern.de.

4.10. Ansprechpartner

Wenden Sie sich bei allen Fragen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten sowie zur Ausübung der eigenen Rechte an den Datenverantwortlichen (Punkt 2.1).

Bitte geben Sie genau an, welche Daten geändert, gelöscht, geprüft oder aktualisiert werden sollen oder, für welche Daten Sie Verarbeitungseinschränkungen festlegen möchten. Wir werden auf Ihr Verlangen innerhalb von 7 Tagen reagieren.

5. Ihre Einwilligungserklärungen

5.1. Alle Einwilligungserklärungen im Überblick

Die Gesundheitsdaten, die Sie uns bei der Nutzung von ProHerz mitteilen und die durch uns verarbeitet werden, um den Verwendungszweck von ProHerz im Rahmen Ihrer Krankenbehandlung zu erfüllen, sind besonders sensible personenbezogene Daten. Sie unterliegen einem besonderen Schutz nach § 4 Absatz 2 DiGAV und Art. 9 DSGVO und dürfen insbesondere nicht ohne Ihre Einwilligung verarbeitet werden. Wir bitten Sie daher um folgende Einwilligungserklärungen:

(1) Sie können darin einwilligen, dass wir Ihre personenbezogenen Daten und Ihre Gesundheitsdaten zum Zweck des bestimmungsgemäßen Gebrauchs der digitalen Gesundheitsanwendung verarbeiten dürfen.

(2) Sie können darin einwilligen, dass wir Ihre personenbezogenen Daten nutzen, um Ihnen E-Mail-Nachrichten zum Zweck des bestimmungsgemäßen Gebrauchs der digitalen Gesundheitsanwendung zu senden. (vgl. Punkt 3.4.2.)

(3) Sie können darin einwilligen, dass wir Ihre personenbezogenen Daten und Ihre Gesundheitsdaten zum Zwecke der dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung von ProHerz verarbeiten dürfen.

(4) Sie können darin einwilligen, dass Ihre personenbezogenen Daten und Gesundheitsdaten nach dem Ende der ärztlichen Verordnung weiterhin noch für 30 Tage zum Zweck der Nutzerfreundlichkeit gespeichert werden.

(5) Sie können darin einwilligen, dass Ihre personenbezogenen Daten und Gesundheitsdaten anonymisiert und als anonymisierte Daten zum Zweck der Weiterentwicklung von ProHerz verwendet werden dürfen.

(6) Sie können darin einwilligen, dass Ihre personenbezogenen Daten und Gesundheitsdaten in Ihre elektronische Patientenakte übertragen werden dürfen.

(7) Sie können darin einwilligen, dass Ihre personenbezogenen Daten und Gesundheitsdaten über unser webbasiertes Arztportal an Ihren Arzt übertragen werden dürfen.

Um diese Einwilligungserklärungen werden Sie auch im Rahmen des Registrierungsprozesses bzw. vor einer Datenübermittlung an Ihre ePA oder Ihren Arzt noch einmal ausdrücklich gebeten.

Die Nutzung der App ist nicht abhängig von Ihrer Einwilligung und eine einmal erklärte Einwilligung können Sie jederzeit widerrufen. Während Ihre Einwilligungen nach 5.1. (1) und (2) erforderlich sind, um den bestimmungsgemäßen Gebrauch von ProHerz zu ermöglichen, kann ProHerz trotzdem vollumfänglich genutzt werden, auch wenn Sie in die Datenverarbeitungsprozesse nach (3), (4), (5), (6) und/ oder (7) nicht einwilligen.

5.2. Widerruf der Einwilligung

Jede dieser Einwilligungen kann von Ihnen jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt 3.8). 

Sie können jede Ihre Einwilligung entweder 

• direkt in der App (Mehr | Mein Benutzerkonto | Einwilligungen) oder 
• über unseren Support per E-Mail (datenschutz@procarement.com) widerrufen.

Bitte formulieren Sie eindeutig, ob Sie alle Einwilligungserklärungen oder nur bestimmte Einwilligungen widerrufen möchten.

5.3. Nichteinwilligung bzw. Folgen eines Widerrufs der bereits erteilten Einwilligung

Bei einem Widerruf bleibt die bis dahin erfolgte Verarbeitung Ihrer Daten rechtmäßig. Nach dem Widerruf können Ihre personenbezogenen Daten weiterverarbeitet werden, soweit dies rechtlich zulässig ist, z.B. bei Rechtsstreiten vor Gerichten oder Behörden.

4.1 (1) und (2) – für den Gebrauch notwendige Einwilligungen

Willigen Sie nicht ein oder widerrufen Sie Ihre Einwilligung nach Abschnitt 5.1 (1) und/ oder 4.1 (2), entziehen Sie uns das Recht zur Verarbeitung von Daten, die für die Funktion und den bestimmungsgemäßen Gebrauch der App ProHerz erforderlich sind. In der Folge Ihres Widerrufs können Sie die DiGA ProHerz nicht mehr weiter nutzen. 

Wir werden Sie im Fall eines solchen Widerrufs noch einmal ausdrücklich auf möglicherweise verlorengehende Daten und Ihr Recht auf Datenübertragung gemäß Artikel 20 DSGVO sowie die Möglichkeiten des Datenexports hinweisen.

4.1 (3) – (7) – optionale Einwilligungen

Willigen Sie nicht ein oder widerrufen Sie Ihre Einwilligung nach Abschnitt 5.1 (3) entziehen Sie uns lediglich das Recht, Ihre Daten zum Zweck der Verbesserung der App-Funktionalität und unserer Leistungen auszuwerten. Sie können die Anwendung ProHerz in diesem Fall ohne Einschränkungen weiter nutzen.

Willigen Sie nicht ein oder widerrufen Sie Ihre Einwilligung nach Abschnitt 5.1 (4) entziehen Sie uns das Recht, Ihre Daten noch für weitere 30 Tage nach Ende Ihres Nutzungszeitraums zu speichern. Sollten Sie eine neue Verordnung von Ihrem Arzt bekommenen ProHerz wieder freischalten, können Sie dann nicht mehr auf Ihre zuvor erhobenen Daten zugreifen. 

Willigen Sie nicht ein oder widerrufen Sie Ihre Einwilligung nach Abschnitt 5.1 (5) entziehen Sie uns das Recht, Ihre Daten zu anonymisieren und zum Zweck der Weiterentwicklung von ProHerz anonymisiert zu verarbeiten. Sie können die Anwendung ProHerz in diesem Fall ohne Einschränkungen weiter nutzen.

Willigen Sie nicht ein oder widerrufen Sie Ihre Einwilligung nach Abschnitt 5.1 (6) entziehen Sie uns das Recht, Ihre Daten an Ihre elektronische Patientenakte zu übertragen. Sie können die Anwendung ProHerz in diesem Fall ohne Einschränkungen weiter nutzen.

Willigen Sie nicht ein oder widerrufen Sie Ihre Einwilligung nach Abschnitt 5.1 (7) entziehen Sie uns das Recht, Ihre Daten an Ihren Arzt zu übertragen. Sie können die Anwendung ProHerz in diesem Fall ohne Einschränkungen weiter nutzen.

B Datenschutzvereinbarung für die App „ProHerz“ der ProCarement GmbH im Telemonitoring bei Herzinsuffizienz

Diese Datenschutzvereinbarung gilt für Telemonitoring-Softwareanwendung ProHerz (folgend: „App“ oder „ProHerz(TMZ)“) der ProCarement GmbH (folgend: ProCarement“). Bitte lesen Sie diese Datenschutzvereinbarung sorgfältig, bevor Sie ProHerz nutzen. Um die Services zu nutzen, müssen Sie mindestens 18 Jahre alt sein.

1. Vorwort

ProHerz ist eine medizinische digitale Anwendung (App), die Ihnen helfen soll, Ihre Herzkrankheit besser einzuschätzen. Indem Sie die für Ihre Erkrankung wichtigsten Werte, beispielsweise Blutdruck, Sauerstoffsättigung (Sauerstoffgehalt des Blutes), Körpergewicht und -temperatur, täglich messen und in Ihr digitales Tagebuch eintragen, erfahren Sie, wie Ihr Körper mit der Herzkrankheit umgeht und welche Gewohnheiten sich positiv bzw. negativ auf den Verlauf Ihrer Gesundheit auswirken könnten. Die Übertragung der Messwerte kann auch über implantierte Geräte erfolgen. Dieses Wissen ermöglicht es Ihnen, selbstbestimmt und kontrolliert auf Ihre Krankheit einzugehen. Für Ihren Arzt ergibt sich ein nahezu lückenloses Bild der für Ihre Behandlung wichtigen Werte und Körperfunktionen, die eine engmaschige medizinische Betreuung ermöglichen. Dabei arbeitet Ihr (primär) behandelnder Arzt eng mit den Kardiologen des Telemedizinischen Zentrums zusammen. 

Telemonitoring bei Herzinsuffizienz ist eine datengestützte Behandlungsmethode, bei der Ihr primär behandelnder Arzt (PBA) mit einem Telemedizinischen Zentrum (TMZ) auf der Grundlage der von Ihnen selbst gemessenen oder von implantierten Geräten übertragenen Messwerte zusammenarbeitet. ProHerz (TMZ) ist dabei eine nach der Verordnung (EU) 2017/745 (MDR) zertifizierte und CE-gekennzeichnete Telemonitoring-Softwarelösung, die Ihre IST-Daten aufnimmt, mit vom TMZ festgelegten SOLL-Werten vergleicht und die Daten sowie die Auswertung über ein datenschutzsicheres Web-Portal mit den Ärzten des Telemedizinischen Zentrums teilt. Darauf basierend treffen die Ärzte des TMZ gemeinsam mit Ihrem primär behandelnden Arzt medizinische Entscheidungen über die weitere Behandlung Ihrer Erkrankung. Einzelheiten regelt die Vereinbarung von Qualitätssicherungsmaßnahmen nach § 135 Abs. 2 SGB V zum Telemonitoring bei Herzinsuffizienz (QS-V TmHi). Das Telemonitoring bei Herzinsuffizienz ist eine anerkannte Untersuchungs- und Behandlungsmethode und wird von Ihrer gesetzlichen Krankenversicherung erstattet. Wenn Sie es wünschen, erinnert ProHerz Sie täglich an die Einnahme Ihrer Medikamente (Medikamentenplan).

Außerdem stellt Ihnen ProHerz allgemeine, leitliniengerechte Gesundheitsinformationen über Ihre Erkrankung zur Verfügung.

Bei technischen Fragen oder Fragen zur App können Sie sich an den Support des ProCarement CareCenter wenden.

ProHerz ist eine Therapiebegleitung und wird Ihnen keine Diagnosen stellen, Ihnen keine Behandlung vorschlagen oder in die von Ihren Ärzten festgelegten Therapien eingreifen; sie ersetzt den Arztbesuch nicht. ProHerz (TMZ) dient ausschließlich dazu, Ihre Messwerte für Ihre Ärzte zu dokumentieren und Ihnen eine bessere Kontrolle über Ihre Krankheit und deren Symptome zu geben, um Sie als informierten Patienten in die Lage zu versetzen, mit Hilfe Ihres digitalen Gesundheitstagebuchs gemeinsam mit Ihrem Arzt zu evaluieren, welche Behandlung für Sie die Beste ist. Die Entscheidung über Ihre Therapie, das Ziel Ihrer Behandlung und die Behandlungsmaßnahmen trifft in jedem Fall Ihr Arzt.

Dabei nehmen wir, die ProCarement GmbH (nachfolgend gemeinsam: „das Unternehmen“, „wir“ oder „uns“), den Schutz Ihrer personenbezogenen Daten sehr ernst und möchten Sie an dieser Stelle über den Datenschutz in unserem Unternehmen informieren.

Uns sind im Rahmen unserer datenschutzrechtlichen Verantwortlichkeiten durch das Inkrafttreten der EU-Datenschutz-Grundverordnung, (Verordnung (EU) 2016/679; nachfolgend: „DSGVO“), zusätzliche Pflichten auferlegt worden, um den Schutz personenbezogener Daten der von einer Verarbeitung betroffenen Person (wir sprechen Sie nachfolgend auch mit „Nutzer“, „Patient“, „Sie“, „Ihnen“ oder „Betroffener“ an) sicherzustellen. 

Zudem unterliegen wir als Hersteller eines Medizinproduktes, das für das Telemonitoring bei Herzinsuffizienz eingesetzt wird, 

• der europäischen Medizinprodukte-Verordnung, Verordnung (EU) 2017/745 (MDR),
• den datenschutzrechtlichen Anforderungen des SGB V,
• dem Beschluss des GBA vom 30.03.2021(Nr. 37 Anlage I Richtlinie Methoden vertragsärztliche Versorgung) und 
• der Qualitätssicherungsvereinbarung nach § 135 Abs. 2 SGB V (QS-V TmHi). 

Wir sind uns dieser Verantwortung bewusst und werden Ihre (Gesundheits-)Daten nur in dem notwendigen Umfang, nur auf einer gesetzlichen Grundlage und mit Ihrer ausdrücklichen und informierten Einwilligung unter den höchsten uns möglichen Sicherheitsvorkehrungen verarbeiten. Da ProHerz auch als digitale Gesundheitsanwendung (DiGA) Bestandteil der ambulanten medizinischen GKV-Versorgung ist, erfüllt ProHerz auch alle Anforderungen der DIGAV an Datenschutz, Datensicherheit und technische Aspekte.

Soweit wir entweder allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden, umfasst dies vor allem die Pflicht, Sie transparent über Art, Umfang, Dauer und Rechtsgrundlage der Verarbeitung zu informieren. Mit dieser Erklärung (nachfolgend: „Datenschutzvereinbarung“) informieren wir Sie darüber, in welcher Weise und zu welchem Zweck Ihre personenbezogenen Daten von uns verarbeitet werden.

Aus Gründen der Darstellung und Lesbarkeit wurde in dieser Datenschutzvereinbarung und in allen unseren Produkten die männliche Form verwendet. Dies geschieht selbstverständlich ohne jegliche Diskriminierungsabsicht. Es sind immer alle Geschlechter einbezogen.

2. Allgemeines

2.1. Datenverantwortliche

ProCarement GmbH
Äußere Nürnberger Straße 62
91301 Forchheim, Deutschland
Geschäftsführer: Dr. Sebastian Eckl

info@procarement.com

09191 9504310

USt. -ID: DE354993818

Amtsgericht Nürnberg, HRB 11513

Postanschrift:

ProCarement
Äußere Nürnberger Str. 62
91301 Forchheim

2.2. Externe Datenschutzbeauftragte

Julia Haske
be-on-Quality GmbH
Lilienstrasse 33
D-91244 Reichenschwand
datenschutz@procarement.com

2.3. Wenn Sie Fragen zu Datenschutz und Privatsphäre haben:

Wenn Sie Fragen zu dem Datenschutz und dem Schutz Ihrer Privatsphäre haben, stehen wir Ihnen unter den oben genannten Kontaktdaten zu Verfügung. Sie können sich in deutscher und englischer Sprache an uns wenden.

Sie erreichen uns per Post, per E-Mail und an den Werktagen von Montag bis Freitag zwischen 8:30 Uhr und 15:30 Uhr auch telefonisch (es gelten die für den Freistaat Bayern festgelegten Feiertage). 

Unabhängig davon, über welches Kommunikationsmedium Sie Kontakt zu uns aufnehmen, werden wir Ihre Anfrage innerhalb von 24 Stunden beantworten.

2.4. Zuständige Aufsichtsbehörde

Bei Beschwerden können Sie sich an die für uns zuständige Datenschutz-Aufsichtsbehörde wenden:

Landesamt für Datenschutzaufsicht

Promenade 18, 91522 Ansbach

Postanschrift:

Postfach 1349, 91504 Ansbach

Telefon/ Fax:

Tel.: 0981/180093-0

Fax: 0981/180093-800

E-Mail:

poststelle@lda.bayern.de

2.5. Begriffsbestimmungen

Nach dem Vorbild des Art. 4 DSGVO liegen dieser Datenschutzvereinbarung folgende Begriffsbestimmungen zugrunde:

„Personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („Betroffener“) beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Online-Kennung, Standortdaten oder mithilfe von Informationen zu ihren physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitätsmerkmalen identifiziert werden kann. Die Identifizierbarkeit kann auch mittels einer Verknüpfung von derartigen Informationen oder anderem Zusatzwissen gegeben sein. Auf das Zustandekommen, die Form oder die Verkörperung der Informationen kommt es nicht an (auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten enthalten).Beispielsweise handelt es sich bei Ihrem Namen, Ihren Standortdaten, Ihrer IP-Adresse, der Gerätekennung, der SIM-Kartennummer, Ihrer Adresse sowie E-Mail-Adresse um personenbezogene Daten, Ihr Fingerabdruck, Bilder, Filme, Audioaufnahmen, aber auch Ihr Nutzerverhalten fallen in diese Kategorie.

„Verarbeiten“ (Art. 4 Nr. 2 DSGVO) ist jeder Vorgang, bei dem mit personenbezogenen Daten umgegangen wird, gleich ob mit oder ohne Hilfe automatisierter (d.h. technikgestützter) Verfahren. Dies umfasst insbesondere das Erheben (d.h. die Beschaffung), das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder sonstige Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten sowie die Änderung einer Ziel- oder Zweckbestimmung, die einer Datenverarbeitung ursprünglich zugrunde gelegt wurde.

„Verantwortlicher“ (Art. 4 Nr. 7 DSGVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

„Dritter“ (Art. 4 Nr. 10 DSGVO) ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer dem Betroffenen, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; dazu gehören auch andere konzernangehörige juristische Personen. 

„Auftragsverarbeiter“ (Art. 4 Nr. 8 DSGVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen, insbesondere gemäß dessen Weisungen, verarbeitet (z. B. IT-Dienstleister). Im datenschutzrechtlichen Sinne ist ein Auftragsverarbeiter insbesondere kein Dritter. 

„Einwilligung“ (Art. 4 Nr. 11 DSGVO) der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person oder deren rechtlicher Vertreter (Vorsorgebevollmächtigter, Betreuer) zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. 

„Anwendung“ bezeichnet in dieser Datenschutzvereinbarung die digitale medizinische Applikation (App), welche der Nutzer mit den entsprechenden Endgeräten benutzt. Solche Endgeräte sind zum Beispiel das Smartphone oder das Tablet. Außerdem zählen zu der Anwendung alle Server-Systeme und eine webbasierte Plattform für das CareCenter und alle angebunden Ärzte, welche im Hintergrund personenbezogene Daten für die ProCarement GmbH darstellt, verarbeitet und speichert.

„Nutzer/Patient/betroffene Person“ isteine Person, die für die Anwendung registriert ist und/oder deren personenbezogene Daten anderweitig innerhalb der Anwendung verarbeitet werden. 

„Bevollmächtigter“ ist eine Person, die die Anwendung entweder für sich selbst, im Namen einer anderen Person (z. B. als pflegende oder betreuende Person) oder als eingeladener Nutzer verwendet, dem ein Hauptnutzer die Berechtigung zum Zugriff auf die Anwendung erteilt hat. 

„Gesundheitsdaten“ sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Beispielsweise handelt es sich bei den von Ihnen in das digitale Tagebuch eingetragenen Messwerten (Blutdruck, Körpergewicht, Temperatur, Sauerstoffsättigung, die elektrische Herzaktivität im kardiologischen Telemonitoring (TMZ-Modell) etc.), bei den von Ihnen eingetragenen Beschwerden (Kopfschmerz, Schwindel etc.) oder auch bei den von Ihnen eingetragenen Medikamenten um Gesundheitsdaten.

„Primär behandelnder Arzt (PBA)” ist z.B. Ihr Hausarzt oder Kardiologe, der mit dem TMZ das Telemonitoring bei Herzinsuffizienz im Rahmen von Nummer 37, Anlage I, Richtlinie vertragsärztliche Versorgung „Telemonitoring bei Herzinsuffizienz” gestaltet. Der PBA stellt die Indikation für das Telemonitoring, berät Sie in Bezug auf die Teilnahme an dem Telemonitoring-Programm, bespricht mit Ihnen die Ergebnisse des Telemonitoring und darauf basierend die weitere Therapie Ihrer Herzerkrankung.

Ein „Telemedizinisches Zentrum (TMZ)” sind alle zur Teilnahme an der vertragsärztlichen Versorgung zugelassene Ärzte (Kardiologen), zugelassene medizinische Versorgungszentren, ermächtigte Ärzte oder ermächtigte Einrichtungen, die die fachlichen und technischen Voraussetzungen für die Ausführung und Abrechnung von Leistungen des Telemonitorings bei Herzinsuffizienz erfüllen. Das TMZ prüft die Indikation für das Telemonitoring, unterhält die technische Infrastruktur und führt das Telemonitoring durch. Das bedeutet, das TMZ erfasst und analysiert Ihre Gesundheitswerte auf der Basis von definierten Algorithmen. Das TMZ legt für Sie individuelle Grenzwerte fest, sichtet Warnmeldungen, bitte Sie um Wiederholungen von Messungen, benachrichtigt bei Warnmeldungen Ihren Arzt (PBA), berichtet Ihrem Arzt (PBA) regelmäßig über die bei Ihnen gemessenen Parameter, deren Verlauf sowie besondere Ereignisse und bespricht mit Ihrem Arzt (PBA) eine mögliche Optimierung der Therapie. 

Elektronische Patientenakte: Die elektronische Patientenakte (ePA) ist eine digitale Akte, in der alle wichtigen medizinischen Informationen eines Patienten gesammelt und gespeichert werden. Dazu gehören zum Beispiel: Befunde von Ärzten, Diagnosen, Medikationspläne, Röntgenbilder oder Impfungen. Der große Vorteil der ePA ist, dass diese Informationen zentral gespeichert und mit Einwilligung des Patienten von verschiedenen Gesundheitsdienstleistern (z. B. Hausärzten, Fachärzten, Krankenhäusern) abgerufen werden können. Die Daten gehören dabei dem Patienten und er entscheidet, wer Zugriff darauf hat. Patienten können auch selbst Dokumente in die Akte hochladen, z. B. Ergebnisse von Vorsorgeuntersuchungen. Die ePA wird von den Krankenkassen bereitgestellt und ist freiwillig.

Gesundheits-ID: Die Gesundheits-ID ist eine eindeutige Identifikationsnummer für jeden gesetzlich Krankenversicherten in Deutschland. Sie dient dazu, den sicheren Zugriff auf digitale Gesundheitsdienste wie die ePA zu ermöglichen.

Die Gesundheits-ID hilft, eine Person eindeutig zu identifizieren, ohne dass sensible

Informationen wie Name oder Geburtsdatum verwendet werden müssen. Sie ist ein wichtiger Bestandteil der Sicherheitsarchitektur der ePA, damit nur autorisierte

Personen auf die Gesundheitsdaten zugreifen können. Während die ePA alle wichtigen Gesundheitsinformationen digital speichert, sorgt die Gesundheits-ID dafür, dass der Zugriff auf diese Daten sicher und eindeutig ist.

2.6. Änderung der Datenschutzvereinbarung

Im Rahmen der Fortentwicklung des Datenschutzrechts sowie technologischer oder organisatorischer Veränderungen werden unsere Datenschutzhinweise regelmäßig überprüft und wird die Datenschutzvereinbarung angepasst. Über Änderungen werden Sie unterrichtet. Die aktuelle Version finden Sie immer in unserer App, in Ihrem persönlichen Benutzer-Account und auf unserer Homepage.

Sollten wir Änderungen an dieser Datenschutzerklärung vornehmen, informieren wir Sie mindestens 14 Tage vor Inkrafttreten der Änderungen in verständlicher Form über die Änderungen. Insbesondere informieren wir Sie darüber, welche Änderungen vorgenommen wurden und ob hiervon der Umfang der Datenverarbeitung oder Ihre Rechte berührt sind. Sollte es bei einer wesentlichen Änderung der Datenverarbeitung der Fall sein, dass sich Ihre ursprünglich erteilte Einwilligung nicht mehr auf die neu gestaltete Datenverarbeitung erstreckt, werden wir Sie erneut um Ihre Einwilligung zur Datenverarbeitung bitten.

Diese Datenschutzvereinbarung hat den Stand von Januar 2025.

2.7. Keine Verpflichtung zur Bereitstellung personenbezogener Daten

Wir machen den Abschluss von Verträgen mit uns nicht davon abhängig, dass Sie uns Ihre personenbezogenen Daten bereitstellen. Für Sie als Nutzer besteht keine gesetzliche oder vertragliche Verpflichtung, uns Ihre Daten zur Verfügung zu stellen. Jedoch können wir die Leistungen des Produkts „ProHerz“ in einigen Fällen nur eingeschränkt oder gar nicht erbringen, wenn Sie die dafür erforderlichen Daten nicht bereitstellen. Sofern sich im Rahmen der Anwendung „ProHerz“ Einschränkungen der Leistung wegen fehlender Daten ergeben, werden Sie darauf hingewiesen.

3. Informationen über die Verarbeitung Ihrer Daten

DATENVERARBEITUNGSPROZESSE IN DER ANWENDUNG

3.1. Allgemeines

Bei der Nutzung unserer Anwendung verarbeiten wir personenbezogene Daten und Gesundheitsdaten von Ihnen.

Die DSGVO gilt für alle personenbezogenen Daten und regelt, ob und wie diese Daten verarbeitet werden dürfen.

3.1.1. Personenbezogene Daten

Die Verarbeitung von personenbezogenen Daten ist danach nur erlaubt, wenn die Daten für einen bestimmten Zweck verarbeitet werden und die Verarbeitung der Daten erforderlich ist, um diesen Zweck zu erreichen. Zusätzlich muss eine gesetzliche Erlaubnis zur Verarbeitung vorliegen oder müssen Sie in die Verarbeitung Ihrer personenbezogenen Daten freiwillig und informiert einwilligen. Diese Befugnisse sind in Art. 6 Abs. 1 DSGVO geregelt:

Art. 6 Abs. 1 DSGVO: Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

3.1.2. Gesundheitsdaten

Als höchst sensible Daten stellt die DSGVO die Gesundheitsdaten unter den besonderen Schutz von Art. 9 DSGVO. 

Auch hier gilt, dass personenbezogene Gesundheitsdaten nur zu einem bestimmten Zweck verarbeitet werden dürfen und dass die Verarbeitung erforderlich sein muss, um diesen Zweck zu erfüllen. Während aber die Verarbeitung von personenbezogenen Daten außerhalb von Art. 6 Abs. 1 DSGVO grundsätzlich unzulässig ist, ist die Verarbeitung von Gesundheitsdaten ausdrücklich verboten (Art. 9 Abs. 1 DSGVO). Nur in den von Art. 9 Abs. 2 DSGVO festgelegten Ausnahmen dürfen Ihre Gesundheitsdaten verarbeitet werden. Eine der wichtigsten Ausnahmen von dem Verbot der Verarbeitung ist dabei Ihre informierte und freiwillige Einwilligung in die Verarbeitung Ihrer Gesundheitsdaten (Art. 9 Abs. 2 Buchstabe a DSGVO).

3.1.3. Datenverarbeitung im Rahmen des Telemonitoring bei Herzinsuffizienz (TMZ)

Die für das Telemonitoring bei Herzinsuffizienz eingesetzte Software muss gemäß § 5 QS-V TmHi eine gültige CE-Kennzeichnung gemäß der Verordnung (EU) 2017/745 (MDR) haben und zur Durchführung des Telemonitorings bei Herzinsuffizienz gemäß Anlage I Nr. 37 der Richtlinie des Gemeinsamen Bundesausschusses zu Untersuchungs- und Behandlungsmethoden der vertragsärztlichen Versorgung (MVV-RL) geeignet sein. 

Wir haben ProHerz so aufgebaut, dass sowohl die Verarbeitung Ihrer personenbezogenen Daten als auch die Verarbeitung Ihrer Gesundheitsdaten der DSGVO entspricht. Nutzen Sie die App ProHerz im Rahmen eines Telemonitoring bei Herzinsuffizienz, sind die Funktionen und Datenverarbeitungsprozesse von ProHerz zudem so eingeschränkt und angepasst, dass sie auch die Anforderungen derQS-V TmHi und Anlage I Nr. 37 der Richtlinie des Gemeinsamen Bundesausschusses zu Untersuchungs- und Behandlungsmethoden der vertragsärztlichen Versorgung (MVV-RL) erfüllen. 

Die Details der Einwilligungen sind am Ende dieser Datenschutzvereinbarung unter dem Punkt „Ihre Einwilligung“ beschrieben.

Ihre personenbezogenen (Gesundheits-)Daten werden wie folgt verarbeitet:

3.2. Welche Daten werden beim Download der App verarbeitet?

Beim Download („Herunterladen“) der App „ProHerz“ werden Daten zu Ihrer Person an den von Ihnen verwendeten App Store (z.B. Apple App Store oder Google Play) übermittelt.

Insbesondere werden beim Herunterladen Ihre folgenden personenbezogenen Daten an den App Store übertragen:

• Ihre E-Mail-Adresse, 
• Ihr Nutzername, 
• die Kundennummer des herunterladenden Accounts, 
• die individuelle Gerätekennziffer, 
• Zahlungsinformationen und
• der Zeitpunkt des Downloads.

Auf die Erhebung und Verarbeitung dieser Daten haben wir keinen Einfluss, sie erfolgt vielmehr ausschließlich durch den von Ihnen ausgewählten App Store. Dementsprechend sind wir für diese Erhebung und Verarbeitung nicht verantwortlich; die Verantwortung dafür liegt allein beim App Store.

3.3. Welche Daten werden verarbeitet, wenn Sie uns per E-Mail, Telefon, Kontaktformular oder Post kontaktieren?

Wenn Sie per E-Mail, Telefon, über unser Kontaktformular oder per Post Kontakt zu uns aufnehmen, speichern wir die personenbezogenen Daten, die Sie uns mitteilen (bspw. Ihr Name und Ihre Kontaktdaten). Wir verwenden diese Daten nur, um Ihre Anfrage zu beantworten und, sofern Sie bereits registrierter Nutzer unserer App sind, um Registrierungsdaten und Nutzungsinformationen zu verifizieren. Bitte teilen Sie uns keine Gesundheitsdaten mit, wenn Sie uns über E-Mail oder unser Kontaktformular kontaktieren.

Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten hängt von dem Grund Ihrer Kontaktaufnahme ab: 

Kontaktieren Sie uns, weil Sie Interesse an der Nutzung von ProHerz haben, erfolgt die Verarbeitung Ihrer Daten auf der Grundlage von Art. 6 Absatz 1 Satz 1 Buchstabe b DSGVO. 

Sind Sie bereits Nutzer von ProHerz und geht es um eine Erfüllung unserer vertraglichen Pflichten, erfolgt die Verarbeitung Ihrer Daten ebenso auf der Grundlage von Art. 6 Absatz 1 Satz 1 Buchstabe b DSGVO.

Ist die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich (vor allem, um Ihnen einen Kommunikationsweg für allgemeine Anfragen anzubieten), erfolgt die Verarbeitung Ihrer Daten auf der Grundlage von Art. 6 Absatz 1 Satz 1 Buchstabe f DSGVO.

Wenn Sie uns über unser Kontaktformular ansprechen, holen wir zudem immer Ihre ausdrückliche Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten ein (Art. 6 Absatz 1 Satz 1 Buchstabe f DSGVO).

Wir verarbeiten Ihre oben genannten Kontakt- und Registrierungsdaten nur aufgrund Ihrer Einwilligung und ausschließlich, um Ihnen den bestimmungsgemäßen Gebrauch der Telemonitoring-Software ProHerz zu ermöglichen Die Details der Einwilligung sind am Ende dieser Datenschutzvereinbarung unter dem Punkt „Ihre Einwilligung“ beschrieben.

Die im Zusammenhang mit Ihrer Kontaktaufnahme bei uns verarbeiteten Daten löschen wir unverzüglich, sobald Ihr Anliegen bearbeitet und die Speicherung nicht mehr erforderlich ist. 

Wir weisen Sie darauf hin, dass eine E-Mail ohne die datenschutzrechtlich anerkannte Verschlüsselung nicht ausreichend sicher ist. Senden Sie uns daher bitte keine vertraulichen Angaben, Daten oder Gesundheitsdaten per E-Mail, sondern wählen Sie dafür entweder den Postweg oder das Kontaktformular unserer Homepage. Für Daten, die Sie uns unverlangt per E-Mail senden, übernehmen wir keine Verantwortung. Wir senden Ihnen niemals ohne Ihren Wunsch personenbezogene Daten per E-Mail.

3.4. Welche Daten werden verarbeitet, wenn Sie die App ProHerz nutzen?

Die Telemonitoring-Software ProHerz ist ein Medizinprodukt und mit Aufnahme in das Verzeichnis digitaler Gesundheitsanwendungen des Bundesinstituts für Arzneimittel und Medizinprodukte auch eine zur medizinischen Versorgung zugelassene digitale Gesundheitsanwendung nach § 33 a SGB V. Nehmen Sie als gesetzlich krankenversicherter Patient aufgrund einer bei Ihnen festgestellten Herzerkrankung an dem Behandlungsprogramms „Telemonitoring bei Herzinsuffizienz“ teil, übernimmt die gesetzliche Krankenkasse die Kosten für die Nutzung von ProHerz. Wir unterliegen als Hersteller der Telemonitoring-Software den Anforderungen der Vereinbarung von Qualitätssicherungsmaßnahmen nach § 135 Abs. 2 SGB V zum Telemonitoring bei Herzinsuffizienz (QS-V TmHi) und verarbeiten Ihre Daten grundsätzlich nur mit Ihrer Einwilligung und nur zu den in der QS-V TmHi genannten Zwecken (siehe Abschnitt 3.1).

3.4.1. Allgemeine Funktionen und Datenverarbeitungsprozesse von ProHerz im Rahmen der Behandlungsmethode „Telemonitoring bei Herzinsuffizienz“

Im Rahmen Ihrer Nutzung von ProHerz erheben wir bestimmte Daten automatisch. Dabei handelt es sich in jedem Fall um Daten, die für die Nutzung von ProHerz erforderlich sind (sogenannte Nutzungsdaten). Hierzu gehören:

• IP-Adresse
• Datum und Uhrzeit der Anfrage und der Logins
• Zeitzonendifferenz zur Greenwich Mean Time (GMT)
• Inhalt der Anforderung (konkrete Seite)
• Zugriffsstatus/HTTP-Statuscode
• jeweils übertragene Datenmenge
• Betriebssystem und dessen Oberfläche
• Softwareversion der App
• Hersteller, Typ und Betriebssystemversion des Smart Devices
• Eingegebener Freischaltcode

Diese Daten gehören in die Kategorie der personenbezogenen Daten. Wir verarbeiten diese Daten, um Ihnen die Funktionen von ProHerz zur Verfügung zu stellen und so den bestimmungsgemäßen Gebrauch zu ermöglichen.

Die Nutzungsdaten verarbeiten wir auch, um die technischen Funktionen der Anwendung ProHerz zu prüfen, zu verbessern und aufrecht zu erhalten. 

Wenn Sie ausdrücklich eingewilligt haben, verarbeiten wir Ihre Nutzungsdaten auch um die Nutzerfreundlichkeit von ProHerz zu gewährleisten und die Anwendung weiterzuentwickeln. Zu diesen Daten gehören beispielsweise die Informationen, wann, wie oft und welche Bereiche der Anwendung Sie mit welchen Einstellungen nutzen. Diese Evaluation ermöglicht es uns, einen hohen Qualitätsstandard zu sichern, unsere Leistungsangebote fortlaufend zu verbessern und diese auf Ihre individuellen Bedürfnisse anzupassen. Ihre Einwilligung in diese Datenverarbeitung ist nicht notwendig, um ProHerz nutzen zu können. Erteilen Sie Ihre Einwilligung nicht, können Sie ProHerz uneingeschränkt nutzen und wir verwenden Ihre Daten nicht zur Verbesserung und Weiterentwicklung von ProHerz.

Den Freischaltcode verwenden wir, um den Nachweis zur Abrechnung mit Ihrer Krankenkasse zu führen und Ihnen den bestimmungsgemäßen Gebrauch von ProHerz zu ermöglichen.

Jede Verarbeitung der oben genannten Daten erfolgt ausschließlich zu einem in der QS-V TmHi genannten legitimen Zweck. 

Die DSGVO legitimiert die Verarbeitung dieser Nutzungsdaten gem. Art. 6 Abs. 1 b) DSGVO, da die Verarbeitung für die Erfüllung des Vertrages zwischen Ihnen und uns oder zur Durchführung der von Ihnen angefragten vorvertraglichen Maßnahmen erforderlich ist.

3.4.2. Spezifische Funktionen und Datenverarbeitungsprozesse von ProHerz im Rahmen der Behandlungsmethode „Telemonitoring bei Herzinsuffizienz“

Darüber hinaus erheben und verarbeiten wir Daten, die Sie uns selbst bereitstellen. Diese Daten verarbeiten wir, um für Sie einen persönlichen Account zu erstellen und um Ihnen den bestimmungsgemäßen Gebrauch sowie die technische Funktionsfähigkeit von ProHerz zu ermöglichen. Unter den bestimmungsgemäßen Gebrauch fällt jegliche Datenerhebung und -verarbeitung, die aufgrund der Anforderungen an die Datenübertragung (QS-V TmHi) erforderlich ist, um die Telemonitoring-Software ProHerz entsprechend ihrem Verwendungszweck im Rahmen der besonderen Untersuchungs- und Behandlungsmethode „Telemonitoring bei Herzinsuffizienz“ einzusetzen.

Im Einzelnen erfragen und erfassen wir von Ihnen die nachfolgend aufgelisteten Daten, um die folgend genannten und rechtlich erlaubten Zwecke erfüllen zu können: 

• E-Mail-Adresse (Pflichtangabe) für die Verifizierung Ihres Benutzeraccounts, zur Information zu ausstehenden Maßnahmen in der App und falls nötig die Kommunikation mit Ihnen [bestimmungsgemäßer Gebrauch und technische Funktionsfähigkeit]
• Geschlecht, Geburtsdatum, Gewicht und Größe (Pflichtangaben) werden für die individualisierte Auswertung und Zuordnung konkreter Gesundheitsinformationen benötigt [bestimmungsgemäßer Gebrauch]
• Vorname und Nachname (Pflichtangaben) zur Erstellung Ihres persönlichen Accounts und zur persönlicheren Kommunikation mit Ihnen
• Vitalparameter wie Blutdruck, Puls, Sauerstoffsättigung, Gewicht und Temperatur sowie die elektrische Herzaktivität zur Erfassung und Darstellung Ihres individuellen Gesundheitszustands, zur Bereitstellung individualisierter Informationen und Handlungsempfehlungen gemäß des Therapieplanes Ihres Behandlers und zur Rückmeldung zu Abweichungen Ihrer Messwerte (Warnmeldungen) [bestimmungsgemäßer Gebrauch]
• Telefonnummer (Optional) für Rückfragen im Rahmen des technischen Supports [technische Funktionsfähigkeit]
• Ihre Adressdaten (Optional) zur Kommunikation mit Ihnen und zur vollständigen Darstellung Ihres Profils [technische Funktionsfähigkeit]
• Familienkontaktdaten (Optional) zur Erstellung eines Notfallplans [bestimmungsgemäßer Gebrauch]
• Ihren persönlichen Medikationsplan (Optional) für die Erinnerungsfunktion an die Einnahme der Medikamente [bestimmungsgemäßer Gebrauch]
• Daten zur Krankengeschichte, wie Diagnosen, Untersuchungsbefunde und Arztbriefe zur Erfassung Ihres Gesundheitszustandes und Zuordnung konkreter Gesundheitsinformationen (Optional) [bestimmungsgemäßer Gebrauch]

Bei der Erhebung Ihrer Vitalparameter besteht für Sie die Möglichkeit, die durch Ihre medizinischen Messgeräte gemessenen Gesundheitsdaten manuell in Ihren persönlichen Benutzeraccount zu übertragen. Darüber hinaus bieten wir die Möglichkeit, Werte auch digital (per Bluetooth) zu übertragen. 

Um die mit Hilfe von einem bluetooth-fähigen Blutdruckmessgerät, Pulsoximeter und Waage sowie einem mobilen EKG-Gerät gemessenen Vitalparameter digital per Bluetooth in den persönlichen Benutzeraccount übertragen zu können, muss bei einem mit der Software Android betriebenen Gerät zusätzlich zu Bluetooth die Standortermittlung aktiviert werden, um Sie darauf hinzuweisen, dass auch Bluetooth auf den Standort zugreift. Dies erfolgt auch, wenn die App geschlossen oder nicht in Gebrauch ist. Dabei greift die App ProHerz selbst nicht auf den Gerätestandort zu. Es werden von uns keine Standortdaten erhoben, gespeichert oder mit anderen Daten zusammengeführt. 

ProHerz vergleicht die von Ihnen gemessenen Vitalparameter sodann mit den Soll-Werten und stellt Ihren individuellen Gesundheitszustand dar. Die erfassten personenbezogenen Gesundheitsdaten und Auswertungen werden auf einem sicheren Weg an das Telemedizinische Zentrum übermittelt, wo das medizinisches Fachpersonal Einsicht in Ihr Gesundheitsprofil (die gemessenen Vitalparameter und die Auswertungen) hat. Darauf basierend erstellen die Ärzte des TMZ Behandlungsempfehlungen und einen Quartalsbericht für den Sie primär behandelnden Arzt (PBA). Bei einem Abweichen der IST-Werte von den Soll-Werten gibt ProHerz zudem eine Warnmeldung an das Telemedizinische Zentrum ab. Sowohl die Ärzte des Telemedizinischen Zentrums (TMZ) als auch Ihr behandelnder Arzt (PBA) haben die Möglichkeit, Sie über die Nachrichtenfunktion der App zu kontaktieren.

Um Sie gegebenenfalls daran zu erinnern, dass Sie Ihre Medikamenteneinnahme protokollieren, Ihre Messungen vornehmen, sich Gesundheitswissen aneignen, oder um allgemeine Informationen und Weiterentwicklungen oder Modifikationen der App ProHerz anzuzeigen, werden Sie durch die App über Nachrichtenfunktionen informiert. Dies geschieht einerseits über Nachrichten der App (Benachrichtigungen bei Android, Mitteilungen bei iOS), andererseits auch über System-E-Mail-Nachrichten, über die von Ihnen registrierte E-Mail-Adresse. Dabei handelt es sich in jedem Fall nur um allgemeine Hinweise und Informationen. Ihre Gesundheitsdaten bleiben zu jeder Zeit sicher in Ihrer App und werden von uns nicht über E-Mail versandt oder erfragt.

Benötigen Sie unseren technischen Support, können Sie bei technischen Problemen oder Fragen zur App auch über die App Kontakt mit unseren Support-Mitarbeitern im ProCarement CareCenter aufnehmen. Dabei werden die von Ihnen mitgeteilten Daten, wie bspw. Ihr Name und Ihre Kontaktdaten, von uns nur gespeichert und verwendet, um Sie als registrierten Nutzer zu identifizieren und um Ihre Anfrage beantworten zu können. (siehe Abschnitt 3.3).

3.4.3. Rechtmäßigkeit der Datenverarbeitungsprozesse

Die in 3.4.1 und 3.4.2 beschriebenen Datenverarbeitungsprozesse sind nach DSGVO rechtmäßig,

da die Verarbeitung erforderlich ist, um den Vertrag zwischen Ihnen und uns über die Nutzung der Anwendung ProHerz zu erfüllen (Art. 6 Absatz 1 Satz 1 Buchstabe b DSGVO) und

da Sie Ihre Einwilligung zu der Datenverarbeitung erteilt haben, Art. 6 Absatz 1 Satz 1 Buchstabe a DSGVO [für die personenbezogene Daten], Art. 9 Absatz 2 Buchstabe a DSGVO [für die Gesundheitsdaten].

Die in 3.4.1 und 3.4.2 beschriebenen Datenverarbeitungsprozesse sind auch nach QS-V TmHi rechtmäßig,

da sie ausschließlich den Zweck verfolgen,

• Ihnen den bestimmungsgemäßen Gebrauch von ProHerz als Telemonitoring-Software zu ermöglichen (Anlage I, Nummer 37 G-BA Richtlinie Methoden vertragsärztliche Versorgung „Telemonitoring bei Herzinsuffizienz“, § 4 QSV-TmHi),
• die festgelegten Haupt- und Nebenleistungspflichten in der Versorgung mit der anerkannten Untersuchungs- und Behandlungsmethode „Telemonitoring bei Herzinsuffizienz“ (§ 4 QS-V TmHi) zu erfüllen,
• Dokumentationen und Jahresstatistiken im Sinne von §§ 6, 7 QS-V TmHi zu erstellen (Vereinbarung von Qualitätssicherungsmaßnahmen nach § 135 Abs. 2 SGB V zum Telemonitoring bei Herzinsuffizienz)
• die technische Funktionsfähigkeit, die Nutzerfreundlichkeit und die Weiterentwicklung der Telemonitoring-Software dauerhaft zu gewährleisten und
• da sie nur aufgrund Ihrer ausdrücklichen Einwilligung erfolgen.
• Die Nutzung von ProHerz ist dabei nicht abhängig von dieser Einwilligung und eine einmal erklärte Einwilligung können Sie jederzeit widerrufen. Die Details der Einwilligung und die Folgen eines Widerrufs sind am Ende dieser Datenschutzvereinbarung unter dem Punkt „Ihre Einwilligung“ (Abschnitt 5) beschrieben.

3.5. Bereitstellung von (Gesundheits-)Daten durch Dritte

Wenn Sie selbst körperlich nicht dazu in der Lage sind ProHerz zu verwenden oder die in Ziffer 3.4.2. genannten Daten in die App ProHerz einzugeben, kann eine andere, von Ihnen selbst bestimmte oder gesetzlich mit Ihrer Betreuung beauftragte Person (z.B. Angehörige, Ihr Vorsorgebevollmächtigter oder Betreuer) Ihre in 3.4.2. genannten personenbezogenen Daten und Gesundheitsdaten zur weiteren Verarbeitung in der digitalen Anwendung bereitstellen. 

Dabei handelt die von Ihnen selbst bevollmächtigte dritte Person (z.B. Ihr Angehöriger, Vorsorgebevollmächtigter oder Ihre Pflegeperson) nur soweit und solange sie diese Person selbst autorisieren. Sie können die Vollmacht gegenüber der dritten Person jederzeit widerrufen und Ihre Rechte aus diesem Vertrag selbst wahrnehmen. Die Kontrolle über das Handeln einer von Ihnen selbst bevollmächtigten Person haben stets Sie selbst. Bitte informieren Sie uns unverzüglich, wenn Sie einer Person die Befugnis entziehen, Ihre Daten bereitzustellen.

Handelt ein gesetzlicher Betreuer in Ihrem Namen, aber gegen Ihren Willen, bitten wir Sie uns unverzüglich darüber zu informieren und das für Sie zuständige Betreuungsgericht zu kontaktieren. Ein Betreuer hat die grundlegende Pflicht, nach Ihrem Wunsch und in Ihrem Willen zu handeln (§ 1821 Bürgerliches Gesetzbuch).

3.6. Zuordnung konkreter Gesundheitsinformationen

Die Anwendung verwendet Ihre Angaben zu Geschlecht, Diagnose und Raucher-/Nichtraucherstatus, um Ihren Gesundheitszustand zu bewerten und Ihnen darauf basierend auf Sie individuell abgestimmte allgemeine Gesundheitsinformationen bereitzustellen (z.B. welche wissenschaftlichen Erkenntnisse es über den Einfluss von Rauchen auf den Verlauf der bei Ihnen diagnostizierten Krankheit gibt). Die von der Anwendung durchgeführte Verknüpfung der Daten soll gewährleisten, dass Sie aus dem Dienst den größtmöglichen Nutzen ziehen. 

Diese Datenverarbeitung ist kein „Profiling“ im Sinne des Art. 4 Nummer 4 DSGVO, da sie nicht auf bestimmte Erkenntnisse über Ihre Persönlichkeit abzielt. 

Darüber hinaus führt die Datenverarbeitung nicht zu automatischen Entscheidungen, die für Sie rechtliche Auswirkungen hätten, denn Entscheidungen über die betroffene Person (z.B. Entscheidungen über Handlungsempfehlungen) werden stets von einer natürlichen Person getroffen, in jedem Fall von einer bei uns beschäftigten Fachkraft.

3.7. Datensicherheit

Um Ihre personenbezogenen Daten gegen unbeabsichtigte sowie unrechtmäßige Zerstörung, Verlust, Veränderung, unberechtigte Weitergabe, unberechtigten Zugriff und andere unrechtmäßige oder unberechtigte Formen der Verarbeitung nach geltendem Recht zu schützen, haben wir nach Maßgabe des Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen angemessene technische und organisatorische Sicherheitsmaßnahmen getroffen.

Unsere Maßnahmen umfassen insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen Zugangs zu den Daten, als auch des sie betreffenden Zugriffs, der Eingabe, Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Ebenso haben wir Verfahren implementiert, die die Wahrnehmung von Betroffenenrechten, Löschung von Daten und Reaktion auf Gefährdung der Daten gewährleisten. Weiter berücksichtigen wir den Schutz Ihrer personenbezogenen Daten bereits bei der Entwicklung, bzw. Auswahl unserer Hardware, App, sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).

Alle Daten werden direkt vom Endnutzer über die Benutzung der App auf dem mobilen Endgerät erhoben. Beim Beenden der App werden diese Daten von Ihrem mobilen Endgerät über eine verschlüsselte TLS-Verbindung an unseren Server übertragen und in einer entsprechend gesicherten Datenbank gespeichert.

3.8. Speicherdauer, Löschung und Anonymisierung Ihrer Daten

Generell wird die Speicherdauer begrenzt durch den Verarbeitungszweck (Artikel 5 Absatz 1e DSGVO).Das heißt, dass wir Ihre personenbezogenen Daten und Gesundheitsdaten unwiederbringlich löschen, sobald wir sie nicht mehr brauchen, um

• Ihnen den bestimmungsgemäßen Gebrauch von ProHerz zu ermöglichen, 
• die festgelegten Haupt- und Nebenleistungspflichten in der Versorgung mit der anerkannten Untersuchungs- und Behandlungsmethode „Telemonitoring bei Herzinsuffizienz“ (§ 4 QS-V TmHi) zu erfüllen,
• Dokumentationen und Jahresstatistiken im Sinne von §§ 6, 7 QS-V TmHi zu erstellen, 
• die technische Funktionsfähigkeit, die Nutzerfreundlichkeit und die Weiterentwicklung von ProHerz dauerhaft gewährleisten zu können.

Die Sie betreffenden Daten, die wir verarbeiten, um Ihnen den bestimmungsgemäßen Gebrauch von ProHerz zu ermöglichen, löschen wir, sobald Sie ProHerz nicht mehr nutzen. Diese Daten werden so lange gespeichert, wie Sie die digitale Anwendung nutzen. Wir werden Sie spätestens 14 Tage vor dem Ablauf der verordneten bzw. bewilligten Nutzungsdauer ausdrücklich auf möglicherweise verloren gehende Daten und Ihr Recht auf Datenübertragung gemäß Artikel 20 DSGVO sowie die Möglichkeiten des Datenexports hinweisen.

Wenn Sie eingewilligt haben, dass Ihre Daten länger gespeichert werden, damit Sie später wieder darauf zugreifen können, werden Ihre Daten 30 Tage nach Ende der Nutzung gelöscht.

Sie können jederzeit ohne Angaben von Gründen die Löschung Ihres Benutzerkontos entweder direkt in der App (Mehr | Mein Benutzerkonto | Benutzerkonto löschen) vornehmen, oder Sie nehmen Kontakt mit unserem Support per Telefon oder E-Mail (datenschutz@procarement.com) auf.

Im Falle einer Inaktivität (keine aktive Teilnahme am Telemonitoring) wird Ihr Benutzerkonto gelöscht. Sie erhalten eine E-Mail mit der Benachrichtigung über die Löschung Ihres Benutzer-Kontos und einen passwortgeschützten Datenauszug.

Sollten Sie die ProHerz-App von Ihrem Smartphone deinstallieren, betrifft dies Ihr Benutzerkonto zunächst nicht. Erst bei einer Inaktivität kommt es zu einer Löschung. Das bedeutet, je nach Ablauf eines Aktivierungscodes, plus 30 Tage, wird Ihr Benutzerprofil gelöscht. Sie können in diesem Zeitraum die App wieder installieren und Ihr vorhandenes Benutzerprofil verwenden. Auch nach Löschung Ihres Benutzerprofils müssen die Daten entsprechend den Vorgaben für die Quartals-und Jahresabrechnung bei der Krankenkasse und für evtl. Rückfragen als Patientenakte für 10 Jahre archiviert werden

Vorausgesetzt, Sie willigen gemäß Abschnitt 5.1 (5) in die Anonymisierung Ihrer Daten ein, anonymisieren wir Ihre Daten im Rahmen des Löschkonzepts, um die anonymisierten Daten anschließend für die Weiterentwicklung von ProHerz zu nutzen. Die anonymisierten Daten werden von der ProCarement GmbH nur intern und zu keinem anderen Zweck als der Verbesserung und Weiterentwicklung der App ProHerz genutzt.

3.9. Übermittlung von Daten an Dritte / Kategorien von Empfängern

Sofern wir im Rahmen der Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern oder Dritten) offenlegen, Daten an diese übermitteln oder ihnen sonst Zugriff auf die Daten gewähren, erfolgt dies nur auf Basis einer gesetzlichen Grundlage, der Einwilligung von Ihnen, soweit wir rechtlich dazu verpflichtet sind oder auf Grundlage unserer berechtigten Interessen (z.B. Hosting der Server).

Sofern wir andere Unternehmen oder Personen mit der Verarbeitung von Daten auf Grundlage eines sog. „Auftragsverarbeitungsvertrages“ beauftragen, geschieht dies auf Grundlage des Art. 28 DSGVO. Daher setzen wir nur Auftragsverarbeiter ein, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung von personenbezogenen Daten im Einklang mit den gesetzlichen Erfordernissen sowie mit unserer Datenschutzvereinbarung erfolgt.

Folgende Auftragsverarbeiter und Dritte sind an der Verarbeitung Ihrer Daten beteiligt:

• Auftragsverarbeiter:
  • OVH GmbH, Oskar-Jäger-Str. 173/K6, 50825 Köln, Deutschland, Amtsgericht Saarbrücken – HRB 15369
    Die Firma OVH GmbH hostet in ihrem Rechenzentrum unseren Server, auf dem Ihre personenbezogenen Daten und Gesundheitsdaten verarbeitet und gespeichert werden. Das Hosting ist erforderlich, um Ihnen ProHerz technisch bereitstellen zu können und Ihnen den bestimmungsgemäßen Gebrauch zu ermöglichen. Mit der OVH GmbH haben wir einen Auftragsverarbeitungsvertrag geschlossen, in dem sich die OVG GmbH verpflichtet, den gleichen Sicherheitsstandard für Ihre Daten zu gewährleisten wie wir. Die OVG GmbH ist zertifiziert nach PCI DSS, ISO/IEC 27001, SOC 1 TYPE II und SOC 2 TYPE II und verfügt über die Zulassung zum Hosting von Gesundheitsdaten.
  • PVS plus GmbH, Solinger Str. 10, 45481 Mülheim an der Ruhr, Deutschland, Amtsgericht Duisburg HRB 33944
    Die Firma PVS plus GmbH ist unser Abrechnungsdienstleister. An die PVS plus GmbH geben wir Ihren Freischaltcode weiter, damit die PVS plus GmbH den Freischaltcode über eine API-Schnittstelle bei Ihrer gesetzlichen Krankenkasse verifiziert und die Verwendung von ProHerz gegenüber Ihrer gesetzlichen Krankenkasse abrechnet. Zweck der Datenverarbeitung ist es, Ihnen ProHerz zur Verfügung zu stellen und Ihnen den bestimmungsgemäßen Gebrauch zu ermöglichen. Mit der PVS plus GmbH haben wir einen Auftragsverarbeitungsvertrag geschlossen, der die PVS plus GmbH zu den gleich hohen Sicherheitsstandards verpflichtet, die auch wir garantieren. Die PVS plus GmbH erfüllt die gesetzlichen Vorgaben zur Datenübermittlung nach § 302 SGB V.
  • Ionic Appflow des Unternehmens Ionic.io, EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg
    Ionic Appflow unterstützt bei der Entwicklung, Bereitstellung und Aktualisierung der App, indem es automatisierte Build- und Deployment-Prozesse ermöglicht. Dabei werden keine Gesundheitsdaten gespeichert, sondern ausschließlich technische Metadaten verarbeitet, die für die App-Entwicklung und -Bereitstellung erforderlich sind. Es bestehen Standard-Auftragsverarbeitungsverträge (AVVs), die sicherstellen, dass Ihre Daten gemäß höchsten Sicherheitsstandards verarbeitet werden. Diese Verträge garantieren den Schutz Ihrer Daten und die Einhaltung der geltenden Datenschutzvorgaben. Ionic Appflow ist nach SOC 2 Type II zertifiziert.
  • Amazon Web Services
    Amazon Web Services (AWS) wird für das Hosting und die Bereitstellung der Live-Update-Funktion genutzt. Diese Funktion ermöglicht es, bestimmte App-Updates ohne erneuten Download aus dem App Store bereitzustellen, sodass Sie stets die aktuelle und sicherste Version der Anwendung nutzen können. Dabei stellt AWS die notwendige Infrastruktur zur Verarbeitung und Speicherung dazu notwendiger Daten bereit. Dabei werden keine Gesundheitsdaten gespeichert, sondern ausschließlich technische Metadaten verarbeitet, Es bestehen Standard-Auftragsverarbeitungsverträge (AVVs), die sicherstellen, dass Ihre Daten gemäß höchsten Sicherheitsstandards verarbeitet werden. Diese Verträge garantieren den Schutz Ihrer Daten und die Einhaltung der geltenden Datenschutzvorgaben. Amazon Web Services (AWS) ist nach ISO/IEC 27001 zertifiziert und verfügt über SOC 2.
• Dritte zum Zwecke der Einhaltung gesetzlicher Vorschriften (z.B. Steuerberater, Finanzamt etc.)
• Dritte zum Zweck der Wahrnehmung unserer berechtigten Interessen und Rechtsberatung (z.B. Rechtsanwaltskanzleien)
• Dritte zum Zwecke der Behandlung (Ärzte, Krankenhäuser etc.), wobei Sie selbst im Laufe der Nutzung von ProHerz bestimmen, welche personenbezogenen Daten und Gesundheitsdaten an wen zum Zweck der Behandlung weitergegeben werden.

3.10. Übertragung Ihrer Daten in die elektronische Patientenakte (ePA)

Ist gerade noch in der Freigabe. Wir informieren Sie darüber, wenn diese Funktion in der App aktiviert ist.

ProHerz bietet Ihnen die Funktion, Ihre zum Zweck des bestimmungsgemäßen Gebrauchs der App gesammelten und auf unseren Servern gespeicherten Daten und Gesundheitsdaten unter Nutzung Ihrer Gesundheits-ID in Ihre elektronische Patientenakte zu übertragen. Ein Export geschieht nur mit Ihrer vorherigen ausdrücklichen Einwilligung.

Die Übertragung kann manuell oder über eine automatische Synchronisation erfolgen. Dabei können Sie nicht auswählen, welche Daten übertragen werden. Technisch ist derzeit nur der Export aller nachfolgend genannten Daten oder keiner Daten möglich.

Wenn Sie Ihre Gesundheitsdaten aus ProHerz an Ihre ePA übertragen möchten, verbinden wir ProHerz mit Ihrer Gesundheits-ID und übermitteln wir mit Ihrer ausdrücklichen Einwilligung die folgenden personenbezogenen Daten und Gesundheitsdaten an Ihre ePA:

Patientenstammdaten (personenbezogene Daten)	Name
	Geschlecht
	Telefonnummer
	E-Mail-Adresse
	Adresse
Vitalparameter (Gesundheitsdaten)	Blutdruckwerte (in mmHg)
	Gewicht (in Kg)
	Herzfrequenz (pro Minute)
	Sauerstoffsättigung (in %)
	Trockengewicht (Normalgewicht) (in Kg)
	Temperatur (in °C)
Medikamente (Gesundheitsdaten)	Produktname
	Dosis
	Einheit
	Wirkstoff
Medikationsplan (Gesundheitsdaten)	Einnahmeart (z.B. oral, topisch, intravenös, Injektion, subkutan, Inhalation)
	Häufigkeit der Einnahme (z.B. täglich, wöchentlich, monatlich, bei Bedarf)
Medikamenteneinnahme (Gesundheitsdaten)	Menge der Einnahme
Diagnosen (Gesundheitsdaten)	ICD-Codes (z.B. I50 Herzschwäche)
Allergien und Intoleranzen (Gesundheitsdaten)	z.B. Gräser, Tierhaare, Antibiotika
Fragebögen und Antworten (Gesundheitsdaten)	KCCQ-12 Fragebogen
	WHO-5 Fragebogen
	2-Fragen-Test

Wir übertragen diese Daten entsprechend Ihrer Einwilligung entweder nur einmalig auf Ihre manuelle Anforderung hin oder regelmäßig wiederkehrend über eine automatische, tägliche Synchronisation. 

Die Datenverarbeitung ist gemäß DSGVO rechtmäßig, wenn Sie Ihre Einwilligung zu der Datenverarbeitung erteilt haben, Art. 6 Absatz 1 Satz 1 Buchstabe a DSGVO [für die personenbezogene Daten], Art. 9 Absatz 2 Buchstabe a DSGVO [für die Gesundheitsdaten].

Sie können Ihre Einwilligung jederzeit widerrufen. Die Nutzung von ProHerz wird durch Ihren Widerruf nicht eingeschränkt. Sie können ProHerz auch ohne Ihre ePA nutzen.

Bitte beachten Sie, dass wir keinen Zugriff auf die in der ePA gespeicherten Daten haben. Daher können wir die Datenübermittlung weder rückgängig machen noch eine Löschung von Daten in der ePA veranlassen. Jedoch haben Sie in Ihrer ePA die vollständige Kontrolle über Ihre Daten und können die übertragenen Daten selbst löschen.

3.11. Übertragung Ihrer Daten an das Telemedizinische Zentrum (TMZ) und Ihren primär behandelnden Arzt (PBA)

Unabhängig von Abschnitt E dieser Datenschutzvereinbarung werden Ihre Daten aufgrund der von Ihnen erklärten Einwilligung zur Teilnahme an dem Telemonitoring bei Herzinsuffizienz auch ohne Ihre ausdrückliche Zustimmung in der App sowohl an Ihren primär behandelnden Arzt (PBA) als auch an das durchführende ärztliche telemedizinische Zentrum (TMZ) übermittelt und dort verarbeitet. Über das webbasierte Arztportal können der PBA und die Ärzte des TMZ innerhalb der Anwendung über die Nachrichtenfunktion mit Ihnen oder Ihrem Betreuer bzw. Bevollmächtigten (Abschnitt 3.9) Kontakt aufnehmen. 

Die Weitergabe Ihrer Gesundheitsdaten ist erforderlich, um Ihnen den bestimmungsgemäßen Gebrauch von ProHerz als Telemonitoring-Software zu ermöglichen (Anlage I, Nummer 37 G-BA Richtlinie Methoden vertragsärztliche Versorgung „Telemonitoring bei Herzinsuffizienz“, § 4 QSV-TmHi). 

Die beschriebene Datenverarbeitung ist rechtmäßig,

da die Verarbeitung erforderlich ist, um den Vertrag zwischen Ihnen und uns über die Nutzung der Anwendung ProHerz zu erfüllen (Art. 6 Absatz 1 Satz 1 Buchstabe b DSGVO) und

da Sie im Rahmen der Teilnahme an dem Telemonitoring-Programm Ihre Einwilligung zu der Datenverarbeitung erteilt haben, Art. 6 Absatz 1 Satz 1 Buchstabe a DSGVO [für die personenbezogene Daten], Art. 9 Absatz 2 Buchstabe a DSGVO [für die Gesundheitsdaten].

3.12. Übertragung Ihrer Daten zur Aktualisierung der App („LiveUpdate“)

Die Anwendung führt in regelmäßigen Abständen eine Aktualisierung ihrer Funktionen durch. Dazu meldet die Anwendung Ihre IP-Adresse an den Server der Amazon Web Services, Inc., der die Anfrage an unseren Server weiterleitet, über den die aktuelle App-Version abgerufen und auf Ihr mobiles Endgerät übertragen wird. Die Amazon Web Services, Inc. ist im Rahmen des EU-U.S. Data Privacy Framework zertifiziert.

Die in Abschnitt 3.12 beschriebenen Datenverarbeitungsprozesse sind rechtmäßig, da die Verarbeitung erforderlich ist, um den Vertrag zwischen Ihnen und uns über die Nutzung der Anwendung ProHerz zu erfüllen (Art. 6 Absatz 1 Satz 1 Buchstabe b DSGVO) und da sie ausschließlich den Zweck verfolgen, die technische Funktionsfähigkeit von ProHerz dauerhaft zu gewährleisten.

3.13. Verarbeitung von Daten im Rahmen der Meldung von Vorkommnissen (Post-Market-Surveillance und Vigilanz-Meldungen)

Als Hersteller eines Medizinproduktes sind wir gesetzlich dazu verpflichtet, uns über unerwünschte Vorkommnisse im Zusammenhang mit der Sicherheit oder Qualität von ProHerz zu informieren. Wenn Sie uns solche Vorkommnisse mitteilen, werden wir Ihre Informationen auswerten und prüfen. Gegebenenfalls kontaktieren wir Sie bei Rückfragen.

Ferner sind wir gesetzlich dazu verpflichtet, schwerwiegende Vorkommnisse bei den zuständigen Gesundheitsbehörden zu melden, wobei wir Ihre Informationen ausschließlich in pseudonymisierter Form weitergeben.

Wir verarbeiten Ihre personenbezogenen Daten in diesem Zusammenhang ausschließlich zur Erfüllung unserer gesetzlichen Pflichten als Hersteller eines Medizinproduktes gemäß Artikel 83 und 87 Verordnung (EU) 2017/745 vom 5. April 2017 (MDR). Die Datenverarbeitung ist rechtmäßig gemäß Art. 6 Absatz 1 c), Absatz 3 a) DSGVO (personenbezogene Daten) bzw. Art. 9 Absatz 2 i) DSGVO (Gesundheitsdaten).

4. Ihre Rechte

Sie haben uns gegenüber hinsichtlich der Sie betreffenden personenbezogenen Daten und Gesundheitsdaten folgende Rechte:

• Recht auf Berichtigung und Löschung
• Recht auf Datenübertragbarkeit
• Recht auf Einschränkung der Verarbeitung
• Recht auf Auskunft
• Recht auf Widerspruch gegen die Verarbeitung

Ob und inwieweit diese Rechte im Einzelfall vorliegen und / oder durchgesetzt werden können und welche Bedingungen konkret gelten, ergibt sich aus dem Gesetz, insbesondere aus der DSGVO und dem BDSG-neu.

4.1. Recht auf Auskunft (Art. 15 DSGVO)

Sie können von uns eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.

Liegt eine solche Verarbeitung vor, können Sie von uns über die folgenden Informationen Auskunft verlangen:

• die Zwecke, zu denen Ihre personenbezogenen Daten verarbeitet werden;
• die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
• die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
• die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
• das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• alle verfügbaren Informationen über die Herkunft der Daten, wenn Ihre personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Sie.

Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

4.2. Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben uns gegenüber ein Recht auf Berichtigung und/oder Vervollständigung, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Wir müssen die Berichtigung unverzüglich vorzunehmen.

4.3. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen, wenn:

• Sie die Richtigkeit der Sie betreffenden personenbezogenen Daten bestreiten für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
• die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
• wir Ihre personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigen und löschen würden, Sie diese Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen noch benötigen, oder
• wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.

Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

Wurde die Einschränkung der Verarbeitung nach den o. g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

4.4. Recht auf Löschung (Art. 17 DSGVO)

Löschungspflicht
Sie können von uns verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft:

• Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
• Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 a) oder Art. 9 Abs. 2 a) DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
• Sie legen gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
• Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
• Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
• Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

Information an Dritte

Haben wir die Sie betreffenden personenbezogenen Daten an Dritte weitergegeben und sind wir gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so werden wir unter Berücksichtigung der verfügbaren Technologie und der Kosten angemessene Maßnahmen treffen, um die Dritten darüber zu informieren, dass Sie als betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

• zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
• zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 h) und i) sowie Art. 9 Abs. 3 DSGVO;
• für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

4.5. Recht auf Mitteilung (Art. 19 DSGVO)

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung uns gegenüber geltend gemacht, sind wir verpflichtet, die Berichtigung, Löschung oder Einschränkung Ihrer Daten allen Dritten mitzuteilen, denen wir Ihre personenbezogenen Daten offengelegt haben. Dies gilt nicht, wenn sich eine solche Mitteilung als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden ist.

4.6. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, sofern

• die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 a) DSGVO oder Art. 9 Abs. 2 a) DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 b) DSGVO beruht und
• die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass Ihre personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.

4.7. Recht auf Widerspruch (Art. 21 DSGVO)

Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 e) oder f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein Profiling.

In der Folge dürfen wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 

Wir bitten Sie uns die Gründe Ihres Widerspruchs darzulegen, damit wir die Sachlage prüfen können. Entsprechend werden wir die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe mitteilen, aufgrund derer wir die Verarbeitung fortführen.

4.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligung (Art. 7 Abs. 3 DSGVO)

Für Datenverarbeitungen, die auf der Grundlage einer von Ihnen erteilten Einwilligung erfolgen, haben Sie jederzeit das Recht, die erteilte Einwilligung gem. Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund Ihrer Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. 

Sie können die jeweils erteilte Einwilligung zur Verarbeitung jederzeit ohne Angaben von Gründen widerrufen, und zwar entweder 

• direkt in der App (Mehr | Mein Benutzerkonto | Einwilligungen) oder 
• über E-Mail (datenschutz@procarement.com). 

Dabei ist es möglich, auch nur eine Einwilligung zu widerrufen. Die Folgen Ihres Widerrufs hängen davon ab, ob Sie optionale Einwilligung oder eine für die Bereitstellung von ProHerz erforderliche Datenverarbeitung widerrufen.

Zum Beispiel können Sie Ihre Einwilligung in die Verarbeitung Ihrer Daten „zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung von ProHerz“ gesondert widerrufen. Die weitere Nutzung von ProHerz ist dann nicht eingeschränkt. 

Widerrufen Sie jedoch Ihre Einwilligung in eine Datenverarbeitung, die notwendig ist, um Ihnen den bestimmungsgemäßen Gebrauch von ProHerz zu ermöglichen, hat Ihr Widerruf eine Löschung des Benutzerkontos zur Folge.

Wir werden Sie im Fall eines solchen Widerrufs noch einmal ausdrücklich auf möglicherweise verlorengehende Daten und Ihr Recht auf Datenübertragung gemäß Artikel 20 DSGVO sowie die Möglichkeiten des Datenexports hinweisen.

Die Details zu Ihren Einwilligungen und dem jeweils möglichen Widerruf finden Sie in Abschnitt 5.

4.9. Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie haben zudem das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten in unserem Unternehmen zu beschweren. Für unsere Firma zuständig ist das 

Bayerische Landesamt für Datenschutzaufsicht, 

Promenade 18 91522 Ansbach

E-Mail: poststelle@lda.bayern.de.

4.10. Ansprechpartner

Wenden Sie sich bei allen Fragen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten sowie zur Ausübung der eigenen Rechte an den Datenverantwortlichen (Punkt 2.1).

Bitte geben Sie genau an, welche Daten geändert, gelöscht, geprüft oder aktualisiert werden sollen oder, für welche Daten Sie Verarbeitungseinschränkungen festlegen möchten. Wir werden auf Ihr Verlangen innerhalb von 7 Tagen reagieren.

5. Ihre Einwilligungserklärungen

5.1. Alle Einwilligungserklärungen im Überblick

Die Gesundheitsdaten, die Sie uns bei der Nutzung von ProHerz mitteilen und die durch uns verarbeitet werden, um den Verwendungszweck von ProHerz im Rahmen Ihrer Krankenbehandlung zu erfüllen, sind besonders sensible personenbezogene Daten. Sie unterliegen einem besonderen Schutz nach Art. 9 DSGVO. Wir bitten Sie daher um folgende Einwilligungserklärungen:

(1) Sie können darin einwilligen, dass wir Ihre personenbezogenen Daten und Ihre Gesundheitsdaten zum Zweck des bestimmungsgemäßen Gebrauchs der Telemonitoring-Software ProHerz verarbeiten dürfen.

(2) Sie können darin einwilligen, dass wir Ihre personenbezogenen Informationen, insbesondere Ihre Gesundheitsdaten, an Ihren primär behandelnden Arzt und das betreuende telemedizinische Zentrum weitergeben.

(3) Sie können darin einwilligen, dass wir Ihre personenbezogenen Daten nutzen, um Ihnen E-Mail-Nachrichten zum Zweck des bestimmungsgemäßen Gebrauchs der Telemonitoring-Software ProHerz zu senden. (vgl. Punkt 3.4.2.)

(4) Sie können darin einwilligen, dass wir Ihre personenbezogenen Daten und Ihre Gesundheitsdaten zum Zwecke der dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung von ProHerz verarbeiten dürfen.

(5) Sie können darin einwilligen, dass Ihre personenbezogenen Daten und Gesundheitsdaten nach dem Ende der ärztlichen Verordnung weiterhin noch für 30 Tage zum Zweck der Nutzerfreundlichkeit gespeichert werden.

(6) Sie können darin einwilligen, dass Ihre personenbezogenen Daten und Gesundheitsdaten anonymisiert und als anonymisierte Daten zum Zweck der Weiterentwicklung von ProHerz verwendet werden dürfen.

(7) Sie können darin einwilligen, dass Ihre personenbezogenen Daten und Gesundheitsdaten in Ihre elektronische Patientenakte übertragen werden dürfen.

Um diese Einwilligungserklärungen werden Sie auch im Rahmen des Registrierungsprozesses bzw. vor einer Datenübermittlung an Ihre ePA oder Ihren Arzt noch einmal ausdrücklich gebeten.

Die Nutzung der App ist nicht abhängig von Ihrer Einwilligung und eine einmal erklärte Einwilligung können Sie jederzeit widerrufen. Während Ihre Einwilligungen nach 5.1 (1), (2) und (3) erforderlich sind, um den bestimmungsgemäßen Gebrauch von ProHerz zu ermöglichen, kann ProHerz trotzdem vollumfänglich genutzt werden, auch wenn Sie in die Datenverarbeitungsprozesse nach (4), (5), (6) und/ oder (7) nicht einwilligen.

5.2. Widerruf der Einwilligung

Jede dieser Einwilligungen kann von Ihnen jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt 3.8). 

Sie können jede Ihre Einwilligung entweder 

• direkt in der App (Mehr | Mein Benutzerkonto | Einwilligungen) oder 
• über unseren Support per E-Mail (datenschutz@procarement.com) widerrufen.

Bitte formulieren Sie eindeutig, ob Sie alle Einwilligungserklärungen oder nur bestimmte Einwilligungen widerrufen möchten.

5.3. Nichteinwilligung bzw. Folgen eines Widerrufs der bereits erteilten Einwilligung

Bei einem Widerruf bleibt die bis dahin erfolgte Verarbeitung Ihrer Daten rechtmäßig. Nach dem Widerruf können Ihre personenbezogenen Daten weiterverarbeitet werden, soweit dies rechtlich zulässig ist, z.B. bei Rechtsstreiten vor Gerichten oder Behörden.

5.1 (1), (2) und (3) – für den Gebrauch notwendige Einwilligungen

Willigen Sie nicht ein oder widerrufen Sie Ihre Einwilligung nach Abschnitt 5.1 (1), 5.1(2) und/ oder 5.1 (3), entziehen Sie uns das Recht zur Verarbeitung von Daten, die für die Funktion und den bestimmungsgemäßen Gebrauch der App ProHerz als Telemonitoring-Software erforderlich sind. In der Folge Ihres Widerrufs können Sie ProHerz nicht mehr weiter nutzen. 

Wir werden Sie im Fall eines solchen Widerrufs noch einmal ausdrücklich auf möglicherweise verlorengehende Daten und Ihr Recht auf Datenübertragung gemäß Artikel 20 DSGVO sowie die Möglichkeiten des Datenexports hinweisen.

5.1 (4) – (7) – optionale Einwilligungen

Willigen Sie nicht ein oder widerrufen Sie Ihre Einwilligung nach Abschnitt 5.1 (4) entziehen Sie uns lediglich das Recht, Ihre Daten zum Zweck der Verbesserung der App-Funktionalität und unserer Leistungen auszuwerten. Sie können die Anwendung ProHerz in diesem Fall ohne Einschränkungen weiter nutzen.

Willigen Sie nicht ein oder widerrufen Sie Ihre Einwilligung nach Abschnitt 5.1 (5) entziehen Sie uns das Recht, Ihre Daten noch für weitere 30 Tage nach Ende Ihres Nutzungszeitraums zu speichern. Sollten Sie eine neue Verordnung von Ihrem Arzt bekommenen ProHerz wieder freischalten, können Sie dann nicht mehr auf Ihre zuvor erhobenen Daten zugreifen. 

Willigen Sie nicht ein oder widerrufen Sie Ihre Einwilligung nach Abschnitt 5.1 (6) entziehen Sie uns das Recht, Ihre Daten zu anonymisieren und zum Zweck der Weiterentwicklung von ProHerz anonymisiert zu verarbeiten. Sie können die Anwendung ProHerz in diesem Fall ohne Einschränkungen weiter nutzen.

Willigen Sie nicht ein oder widerrufen Sie Ihre Einwilligung nach Abschnitt 5.1 (7) entziehen Sie uns das Recht, Ihre Daten an Ihre elektronische Patientenakte zu übertragen. Sie können die Anwendung ProHerz in diesem Fall ohne Einschränkungen weiter nutzen.