Der Schutz Ihrer personenbezogenen Daten ist uns sehr wichtig. In dieser Datenschutzerklärung erfahren Sie, wie Ihre Daten im Rahmen der Abrufbereitstellung Ihrer Laborergebnisse unter Beachtung der gesetzlichen Datenschutzvorschriften verarbeitet werden.
Grundlegender Hinweis
Das LABOR stellt seinen Einsendern (u. a. Arztpraxen, Ärztinnen/Ärzte, Betriebsärztinnen/-ärzte, im Folgenden: EINSENDER) diese APP zur Verfügung, um die Arbeit mit den Ergebnissen, die das LABOR im Auftrag des EINSENDER ermittelt, zu optimieren.
Das LABOR und die EINSENDER sind sich bewusst, dass die APP grundsätzlich mit hochbrisanten Daten umgeht und deshalb höchste Sicherheitsanforderungen beachtet werden müssen. Die APP erhebt allerdings keine medizinischen oder besonders zu überwachenden personenbezogenen Daten, sondern transportiert diese auf sichere Weise, um eine Darstellung in übersichtlichem Format zu ermöglichen.
Das LABOR hat die ITECH entsprechend beauftragt. Es existieren Verträge zwischen LABOR und ITECH, die die Datenschutzvereinbarungen konkret regeln.
Die erforderlichen Zugangsdaten für die Nutzung der APP werden dem EINSENDER vom LABOR bereitgestellt.
Gegenstand der Vereinbarung
Die Parteien wollen ihre wechselseitigen datenschutzrechtlichen Verpflichtungen nach der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO) sowie den damit im Zusammenhang stehenden Datenschutzgesetzen erfüllen und die sich daraus ergebenden Rechte und Pflichten der Parteien im Zusammenhang mit der Datenverarbeitung Rechnung tragen.
Sofern in dieser Erklärung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i. S. d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
ITECH verarbeitet im Rahmen dieser APP „besondere Kategorien personenbezogener Daten“ z.B. in Form von Gesundheitsdaten, für welche es besondere Schutzregelungen gibt (vgl. DSGVO Artikel 9, insbesondere Absatz 2 Nr. 8 in Verbindung mit Absatz 3). Der Umfang der Datenverarbeitung bestimmt sich aus der schriftlichen Vereinbarung mit dem LABOR oder aus der in diesem Zusammenhang einschlägigen Rechtsgrundlage. ITECH erhebt die besonderen Arten personenbezogener Daten nicht selbst, sondern verarbeitet und transportiert sie im Auftrag des LABOR und unterliegt der Geheimhaltungspflicht. Der EINSENDER unterliegt dem Berufsgeheimnis.
Zwischen dem LABOR und ITECH besteht ein Wartungsvertrag inklusive einem Auftragsverarbeitungsvertrag und Regelungen zu technisch-organisatorischen Maßnahmen zum Datenschutz. ITECH verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und unter Einhaltung der ggf. vom LABOR erteilten ergänzenden Weisungen. Zweck, Art und Umfang der Datenverarbeitung richten sich ausschließlich nach diesem Vertrag und/oder den Weisungen des LABOR. Eine hiervon abweichende Verarbeitung von Daten ist ITECH untersagt. Ausgenommen hiervon sind gesetzliche Regelungen, die ITECH ggf. zu einer anderweitigen Verarbeitung verpflichten.
Funktion der Anwendung bzw. App
Der Zugang und die Nutzung der APP kommen ohne personenbezogene Daten aus. Die APP kann nur genutzt werden, wenn eine Multi-Faktor-Authentifizierung (MFA) verwendet wird. Der Benutzername, das Passwort und der MFA-Code werden nicht in der APP gespeichert und nur zum Login verschlüsselt übertragen. Anschließend erhält die App einen Access- und einen Refresh-Token, welche verschlüsselt auf dem Gerät gespeichert werden. Durch den Access-Token wird Zugriff auf die Daten gewährt. Mithilfe des Refresh-Tokens können neue Access- und Refresh-Token innerhalb der App ohne erneute Anmeldung generiert werden. Der Zugriff auf den Refresh-Token wird lediglich gewährt, wenn das Gerät als vertrauenswürdig deklariert wurde und die App über die Authentifizierungsoptionen des jeweiligen Endgerätes (z.B. Gesichtserkennung, Fingerabdruckscanner, Geräte-PIN) entsperrt werden kann.
Push-Benachrichtigungen
Wenn Sie die App zum ersten Mal starten, werden Sie gefragt, ob Sie Push-Benachrichtigungen erhalten möchten. Sie können diese ablehnen oder erlauben. Die Push-Benachrichtigungen dienen lediglich dazu, Sie zu informieren, sobald neue Berichte in der APP verfügbar sind. Diese Funktion ist optional und wird nur mit Ihrer Erlaubnis eingeschaltet. Wir verwenden dafür Google Firebase. Firebase generiert einen berechneten Schlüssel, der sich aus der Kennung der App und ihrer Geräte-Kennung zusammensetzt. Falls Sie Push-Benachrichtigungen aktivieren, wird der Schlüssel serverseitig hinterlegt und mit dem jeweiligen Account verknüpft. Die Firebase-Server können keinerlei Rückschluss auf die Anfragen von Nutzenden ziehen oder sonstige Daten ermitteln, die mit einer Person im Zusammenhang stehen. Firebase dient ausschließlich als Übermittler. Sonstige Dienste von Google Firebase, insbesondere Google Firebase Analytics, sind deaktiviert. Nähere Informationen hierzu sowie zum Datenschutz bei Google-Produkten finden Sie
hier und bei
Google.
Erhebung und Speicherung von Geräteinformationen
Zusätzlich zu dem Firebase Schlüssel, erfasst die APP bestimmte technische Informationen über das verwendete Gerät, um die Verwaltung der verbundenen Geräte zu ermöglichen. Zu den erfassten Daten gehören:
- Der Anzeigename des Geräts: Dieser Name wird entweder vom Nutzer in den Geräteeinstellungen des Smartphones festgelegt oder in den App-Einstellungen individuell angepasst.
- Das Betriebssystem des Geräts: Dies umfasst den Namen des Betriebssystems (z. B. Windows).
- Die Version des Betriebssystems: Die genaue Versionsnummer des auf dem Gerät installierten Betriebssystems.
- Der Gerätehersteller: Der Hersteller des Geräts (z. B. Apple, Samsung).
- Die Gerätemodell: Die Modellbezeichnung des Geräts (z. B. iPhone 14 Pro, Galaxy S22).
Diese Informationen werden genutzt, um dem Nutzer in der Webansicht eine Übersicht der mit dem Account verbundenen Geräte bereitzustellen. Dadurch wird es möglich, Geräte zu identifizieren und bei Bedarf gezielt aus dem Account zu entfernen. Das Entfernen eines Geräts führt dazu, dass dieses Gerät keine Push-Benachrichtigungen mehr empfängt.
Die Daten werden nur so lange gespeichert, wie das jeweilige Gerät mit dem Account verbunden ist. Sobald ein Gerät entfernt wird, werden die entsprechenden Informationen unverzüglich gelöscht.
Helfen Sie uns bei der Verbesserung der APP
Trotz aller Sorgfalt bei Entwicklung und Test unserer Apps, können spezielle Situationen auf Ihrem Endgerät zu Problemen in unserer Anwendung führen. Hier können Sie uns helfen. Wir nutzen den Dienst Google Firebase Crashlytics, um bei möglichen Problemen anonyme Protokolle lokal auf Ihrem Gerät zu erstellen. Diese Protokolle enthalten keinerlei personenbezogene Daten. Um Zugriff auf diese Protokolle zu erhalten, fragen wir Sie in der APP nach Ihrer ausdrücklichen Einwilligung, diese Protokolle an Google übermitteln zu dürfen. Anstelle einer generellen Einwilligung können Sie uns auch eine einmalige Einwilligung erteilen, sowie Ihre Entscheidung jederzeit in den Einstellungen der APP anpassen. Ausführliche Angaben finden Sie unter folgendem
Link sowie in den
Datenschutzhinweisen von Firebase Crashlytics.
Verschlüsselt gespeicherte Daten
Daten, die auf Ihrem Gerät gespeichert werden
Temporär gespeicherte Daten
Es werden folgende Daten temporär in Ihrem Browser gespeichert:
- Die benutzerdefinierten Sucheinstellungen
- Die benutzerdefinierten Markierungen
- Der benutzerdefinierte Standardfilter
- Die benutzerdefinierten Einstellungen
Bei diesen auf dem Gerät gespeicherten Daten handelt es sich zum Teil um personenbezogene Daten i. S. d. Art. 4 Abs. 1 DSGVO, die allerdings nur temporär für die Dauer der Sitzung gespeichert werden.
Verschlüsselt gespeicherte Daten
Es werden folgende Daten verschlüsselt auf dem Gerät gespeichert:
- Der Access-Token
- Der Refresh-Token
- Der ID-Token
- Der Zeitpunkt der Token-Erstellung
Die hier genannten Daten werden spätestens beim Entfernen der App vom Gerät gelöscht. Bei einer vollständigen Abmeldung des angemeldeten Nutzers werden ebenfalls alle den Nutzer betreffenden Daten gelöscht.
Die erhobenen Daten werden ausschließlich für die Funktionalität der Anwendung/App verwendet und nicht an Dritte weitergegeben oder für Werbezwecke o. Ä. eingesetzt. Das Nutzungsverhalten des Anwenders wird nicht protokolliert.
Daten, die wir speichern, wenn Sie uns kontaktieren
Wenn Sie Kontakt zu uns aufnehmen, geben Sie bestimmte Daten von sich bekannt, wie z. B. Ihre E-Mail-Adresse oder Ihre Telefonnummer. In manchen Fällen ist es erforderlich, dass wir Sie nach weiteren persönlichen Daten wie Ihrem Namen oder Geburtsdatum fragen, damit wir Ihr Anliegen bearbeiten können. Dabei benutzen wir das Ticket-System „Zammad”. Die von Ihnen angegebenen Daten werden, sofern diese für die Bearbeitung Ihres Anliegens erforderlich sind, von uns erfasst und nur in der Dokumentation Ihres Anliegens hinterlegt. Diese Daten werden nur so lange aufbewahrt, wie die Aufbewahrungs- und Nachweispflichten es erfordern. Niemals geben wir Ihre Daten für Werbezwecke o. Ä. weiter.
Rechte der Einsender
Der EINSENDER ist Vertragspartner des LABOR und hat in diesem Zusammenhang Datenschutzvereinbarungen mit dem LABOR geschlossen. Diese regeln die grundlegenden Rechte und Pflichten. Dort ist auch die Verarbeitung von „besonderen Kategorien personenbezogener Daten“ nach Art. 9 DSGVO geregelt, die sich mit Hilfe der APP anzeigen lassen.
Der EINSENDER erhält über einen Link in der APP jederzeit Zugang zur aktuellen Datenschutzvereinbarung, die speziell für diese APP hinterlegt ist.