1. Allgemeines

1.1. Einführung

Die Cogthera-App ist eine mobile Anwendung, mit der wir es Ihnen ermöglichen wollen, Ihre kognitiven Fähigkeiten zu fördern, um so die Symptome Ihrer leichten kognitiven Beeinträchtigungen (MCI) oder leichter Demenz zu lindern. Wir arbeiten dabei mit einem
wissenschaftlich fundierten Ansatz, bestehend aus Meditations-, Gedächtnis- und einfachen Bewegungsübungen.
Die Cogthera-App ist ein Medizinprodukt der Klasse I gemäß der Medizinprodukteverordnung 2017/45 und dem Medizinproduktegesetz.
Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst und behandeln diese vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Diese Datenschutzrichtlinie gilt für die Cogthera-App mit Blick auf die iOS- und Android-Apps (im Folgenden als „ANWENDUNG“ oder „Cogthera-App“ bezeichnet).
Dieses Dokument erläutert Art, Zweck und Umfang der Datenerhebung im Rahmen der Nutzung unserer Produkte.
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere ANWENDUNG besuchen oder nutzen.
Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz finden Sie in unserer unter diesem Text aufgeführten Datenschutzerklärung. Gesundheitsdaten sind alle Daten, die sich auf die körperliche oder geistige Gesundheit einer Person, einschließlich der Bereitstellung von Gesundheitsdienstleistungen, beziehen und Aufschluss über deren Gesundheitszustand geben.
Wir weisen darauf hin, dass die Datenübertragung im Internet Sicherheitslücken aufweisen kann. Ein vollständiger Schutz der Daten vor dem Zugriff Dritter ist nicht möglich. Bitte stellen Sie außerdem sicher, dass Sie allein Zugriff auf Ihr Endgerät haben und vertrauenswürdige Netzwerke nutzen. Sicherheitsprobleme, die andernfalls auftreten könnten, können von uns nicht vollständig behoben werden.

1.2. Verantwortliche Stelle

Cogthera GmbH
Goethestraße 28
80336 München
Handelsregister: HRB275887
Registergericht: München
Vertreten durch:
Johannes Funk
Kontakt
Telefon: +49 89 9607 1914
E-Mail: info@cogthera.de
„Verantwortliche Stelle“ ist die Stelle, die personenbezogene Daten (z. B. Namen, E-Mail-Adressen etc.) erhebt und verarbeitet.

1.3. Datenschutzbeauftragter

Bei allgemeinen Fragen zum Datenschutz können Sie sich unter folgender E-Mail-Adresse an unseren Datenschutzbeauftragten Dr. Maximilian Bügler wenden:
E-Mail: datenschutz@cogthera.de

1.4. Allgemeine Speicherdauer von personenbezogenen Daten und Gesundheitsdaten

Vorbehaltlich abweichender oder konkreterer Angaben innerhalb dieser Datenschutzerklärung werden die im Rahmen dieser ANWENDUNG erhobenen personenbezogenen Daten gespeichert, bis Sie uns zur Löschung auffordern (siehe 6. Löschung der Daten (Löschkonzept)), Ihre Einwilligung zur Speicherung widerrufen oder der Zweck der Datenspeicherung entfällt.
Die Aufbewahrungsfristen richten sich prinzipiell nach § 4 Absatz 2 Verordnung über das Verfahren und die Anforderungen zur Prüfung der Erstattungsfähigkeit digitaler Gesundheitsanwendungen in der gesetzlichen Krankenversicherung (Digitale Gesundheitsanwendungen-Verordnung – „DiGAV“).
Nach Erreichung der dort genannten Zwecke werden Ihre Daten bei uns gelöscht. Sofern eine gesetzliche Aufbewahrungspflicht oder ein anderer gesetzlich anerkannter Grund für die Datenspeicherung (z.B. berechtigtes Interesse) besteht, werden die betreffenden personenbezogenen Daten und Gesundheitsdaten nicht gelöscht, bevor der jeweilige Zweck der Speicherung entfällt.

1.5. Rechtliche Grundlagen für die Speicherung personenbezogener Daten und Gesundheitsdaten

Die Verarbeitung personenbezogener Daten und Gesundheitsdaten ist nur dann zulässig, wenn für die Verarbeitung dieser Daten eine wirksame Rechtsgrundlage vorliegt. Sofern wir Ihre Daten verarbeiten, erfolgt dies regelmäßig auf Grundlage Ihrer Einwilligung  em. Art. 6 Abs. 1 lit. a DSGVO. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2, zum Zwecke der Erfüllung eines Vertrages gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO (z. B. bei der Nutzung aktivierter Funktionen der ANWENDUNG) oder auf Grundlage berechtigter Interessen gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO, die stets einer Abwägung unterliegen deine Interessen. Die jeweiligen Rechtsgrundlagen werden in dieser Datenschutzerklärung ggf. an gesonderter Stelle genannt.

1.6. Verschlüsselung

Diese ANWENDUNG nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Anfragen, die Sie an uns als Betreiber senden, oder der Kommunikation zwischen Nutzern, eine SSL-Verschlüsselung. Durch diese Verschlüsselung wird verhindert, dass die von Ihnen übermittelten Daten von unbefugten Dritten mitgelesen werden können.

1.7. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit unter Beachtung der gesetzlichen Vorgaben zu ändern.

2. Ihnen stehen die folgenden gesetzlichen Datenschutzrechte zu:

2.1. Allgemein

Die DSGVO gewährt betroffenen Personen, deren Personen- und Gesundheitsdaten wir verarbeiten, bestimmte Rechte, über die wir Sie an dieser Stelle informieren möchten:

● Auskunftsrecht (Art. 15 DSGVO, § 34 BDSG)
● Recht auf Löschung (Art. 17 DSGVO, § 35 BDSG).
● Recht auf Berichtigung (Art. 16 DSGVO, § 34 BDSG)
● Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
● Recht auf Mitteilung und Benachrichtigung im Rahmen der Berichtigung, Löschung
oder Einschränkung gegenüber Empfängern (Art. 19 DSGVO)
● Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
● Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
● Widerspruchsrecht (Art. 21 DSGVO)
● Recht, keiner automatisierten Entscheidungsfindung im Einzelfall oder Profiling zu
unterliegen (Artikel 22 DSGVO)

Zur Geltendmachung Ihrer hier beschriebenen Rechte können Sie sich jederzeit an uns wenden. Unsere Kontaktdaten finden Sie unter Punkt 1 „Verantwortliche Stelle“ bzw. „Datenschutzbeauftragter“.
Sie haben außerdem das Recht, sich bei der für uns zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. In München – unserem Sitz – ist dies das Bayerische Landesamt für Datenschutzaufsicht, Postfach 606, 91511 Ansbach, Deutschland.

Alternativ können Sie sich auch an die Datenschutzbehörde Ihres Wohnortes wenden, die Ihr Anliegen dann an die zuständige Behörde weiterleitet.
Datenverarbeitungsvorgänge im Rahmen der ANWENDUNG sind nur mit Ihrer Einwilligung möglich. Vor Beginn der Datenverarbeitung holen wir ausdrücklich Ihre Einwilligung ein. Sie können diese Einwilligung jederzeit über die App-Einstellungen oder per E-Mail widerrufen.
Eine formlose Mitteilung an datenschutz@cogthera.de genügt. Die Rechtmäßigkeit der bis
zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.

2.2. Information über Ihr Widerspruchsrecht gemäß Art. 21 DSGVO

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten und Gesundheitsdaten, die u.a. aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch nach Art. 21 DSGVO einzulegen. Wir werden die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten und Gesundheitsdaten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

2.3. Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen

Im Falle von Verstößen gegen die DSGVO steht dem Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Das Recht auf Beschwerde besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs. Eine Liste der
Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

2.4. Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Sie können uns jederzeit per E-Mail kontaktieren. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:

● Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung haben Sie das Recht, eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
● Wenn die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig geschah/geschieht, können Sie statt der Löschung die Einschränkung der Datenverarbeitung verlangen.
● Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie diese jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, statt der Löschung die Einschränkung der Verarbeitung Ihrer
personenbezogenen Daten zu verlangen.
● Sofern Sie Widerspruch gemäß Art. Gemäß Art. 21 Abs. 1 DSGVO ist eine Abwägung zwischen Ihren und unseren Interessen vorzunehmen. Solange noch unklar ist, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

Gemäß Artikel 18 Absatz 2 DSGVO gilt zudem, wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen wir diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen der Rechtsverletzung oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeiten.

2.5. Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

2.6. Auskunft, Löschung und Berichtigung

Sie haben jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten und Gesundheitsdaten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung sowie ein Recht auf Berichtigung oder Löschung dieser Daten.
Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten und Gesundheitsdaten können Sie sich jederzeit per E-Mail an uns wenden.

3. Zugriffsrechte für die Anwendung

Um unsere Dienste über die ANWENDUNG bereitstellen zu können, benötigen wir die unten aufgeführten Zugriffsrechte, die uns den Zugriff auf bestimmte Funktionen Ihres Geräts ermöglichen.
● WiFi-Verbindungen
● Empfangen von Daten aus dem Internet
● Netzwerkzugang
● Mikrofonzugriff
● Push-Benachrichtigungen (opt-in)

Zur Gewährleistung der Funktionalitäten der ANWENDUNG ist der Zugriff auf die Gerätefunktionen erforderlich. Rechtsgrundlage für diese Datenverarbeitung ist unser berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO. 6 Abs. 1 lit. f DSGVO, Ihre
Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO und/oder – sofern ein Vertrag zustande gekommen ist – die Erfüllung unserer vertraglichen Pflichten (Art. 6 Abs. 1 lit. b DSGVO).

Die so erhobenen Daten werden in der Regel nicht länger gespeichert, als es für die Nutzung der jeweiligen Funktionen erforderlich ist. Das Lösch-Intervall beträgt 14 Tage, zusätzlich werden die Daten weitere 30 Tage in den Backups aufbewahrt, bis diese gelöscht werden. Das bloße Löschen der App bewirkt nicht die Löschung der personenbezogenen Daten auf unseren Servern. Erst nach Ablauf der Verschreibung oder aufgrund einer Löschanfrage werden die personenbezogenen Daten unter Berücksichtigung der gesetzlichen Regelungen gelöscht.

4. Erhebung und Verarbeitung personenbezogener Daten und Gesundheitsdaten im Rahmen der Nutzung der ANWENDUNG

Nachfolgend beschreiben wir, welche personenbezogenen Daten wir erheben, zu welchen Zwecken wir sie verarbeiten und auf welcher Rechtsgrundlage wir dies tun.

4.1. Herunterladen der App

Sie können die App im Google Play Store oder im Apple App Store herunterladen. Beim Herunterladen von Apps aus dem Google Play Store oder dem Apple App Store werden die hierfür erforderlichen Informationen an Google Ireland Limited bzw. Apple Distribution International in Irland übermittelt, also insbesondere der Nutzername, die E-Mail-Adresse und die Kundennummer Ihres Google- bzw. Apple-Kontos, Zeitpunkt des Downloads und eindeutige Geräte-ID. Auf diese Datenerhebung haben wir keinen Einfluss und sind dafür nicht verantwortlich.
Weitere Informationen finden Sie in den jeweiligen Datenschutzhinweisen von Google (https://policies.google.com/privacy) und Apple (https://www.apple.com/legal/privacy/de-ww/).

4.2. Allgemein

Wenn Sie unsere ANWENDUNG nutzen, erheben wir je nach Verfügbarkeit folgende personenbezogene und Gesundheitsdaten von Ihnen:
● Alter (opt-in)
● Geschlecht (opt-in)
● Diagnose (MD/MCI/Keine Angabe) (opt-in)
● Sprachdateien, wobei diese live analysiert werden und nur für kurze Zeit im Arbeitsspeicher des Servers abgelegt werden und danach sofort gelöscht werden,
● E-Mail-Adresse oder Mobiltelefonnummer, diese werde „gehashed“ gespeichert und nicht im Klartext, damit tragen wir insbesondere zum Prinzip der Datensparsamkeit bei,
● Nutzungsdaten
● Metadaten
● IP Adresse
● Gerätekennung (opt- in – wenn Push Notifications aktiviert werden)
● Zeitzone
● Sprache
● Mobile IDs (IDFA, IDFV, Android ID)
● Ergebnisse aus Fragebögen und Auswertungen

Die Verarbeitung dieser personenbezogenen Daten und Gesundheitsdaten ist erforderlich, um die Funktionalität der ANWENDUNG sicherzustellen. Rechtsgrundlage für diese Datenverarbeitung ist unser berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f
DSGVO, Ihre Einwilligung im Sinne des Art. 6 Abs. 1 S. 1 lit. a DSGVO und/oder – sofern es sich um einen Vertrag handelt, abgeschlossen ist – die Erfüllung unserer vertraglichen Pflichten (Art. 6 Abs. 1 lit. b DSGVO).

4.3. Serverprotokolldateien

Der Serveranbieter ist Scaleway, 11bis Rue Roquépine, 75008 Paris, Frankreich.
Die Webseite finden Sie hier:
www.scaleway.com
Datenbackups werden bei Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gespeichert. Die Webseite finden Sie hier:
www.hetzner.de
Der Serverprovider erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser bzw. die ANWENDUNG automatisch an uns übermittelt. Diese sind:
● verwendetes Betriebssystem
● Version der ANWENDUNG
● Uhrzeit der Serveranfrage
● IP-Adresse
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Datenerhebung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. f DSGVO. Der Betreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner ANWENDUNG – hierzu müssen die Server-Log-Files erfasst werden.

4.4. Registrierung in der ANWENDUNG

Sie können sich in unserer ANWENDUNG registrieren oder einen Zugang erstellen.
Für die Registrierung benötigen Sie folgende Daten:
– Ihre E-Mail-Adresse oder Ihre Mobiltelefonnumer
– Zugriff auf E-Mail-Postfach bzw. SMS-Postfach
– Zufällig bei Installation der ANWENDUNG generierte Device-ID
Nach Eingabe Ihrer E-Mail-Adresse oder Mobiltelefonnummer erhalten sie ein Einmalpasswort (OTP) und einen Link. Durch Eingabe des Einmalpassworts oder klicken des Links, werden Sie in der ANWENDUNG angemeldet. Wir verarbeiten die oben genannten
Daten, damit Sie die ANWENDUNG nutzen und Ihr Profil verwalten können. Die bei der Registrierung erfassten Daten (E-Mail-Adresse oder Mobiltelefonnnummer) werden von uns in Hash-Form (kann nur zum Abgleich genutzt werden) gespeichert, solange
Sie in dieser ANWENDUNG registriert sind. Gesetzliche Aufbewahrungsfristen und das Löschkonzept gemäß Ziffer 6.ff. bleiben unberührt.
Mit dem Abschluss der Registrierung in der ANWENDUNG erklären Sie sich mit der Verarbeitung personenbezogener Daten und Gesundheitsdaten zum Zweck der Nutzung der ANWENDUNG und zu Beweiszwecken gemäß § 134 Abs. 1 Satz 3 SGB V einverstanden.

4.5. Einlösen eines Freischaltcodes

Wenn Sie von Ihrer Krankenkasse einen DiGA-Aktivierungscode („Digitale Gesundheitsanwendung“) zur Freischaltung der Funktionen der ANWENDUNG haben, wird dieser von uns bei der Krankenkasse verifiziert und zur Abrechnung der DiGA verwendet.
Dies erfolgt auf Grundlage der DiGAV (Digitale Gesundheitsanwendungsverordnung) §4 Absatz 2 zur Überprüfung von Vereinbarungen § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch.

4.6. Studien und Forschungszwecke

Haben Sie Ihren DiGA-Aktivierungscode als Teil einer wissenschaftlichen Studie erhalten und haben Sie der Studieneinwilligungserklärung zugestimmt, erlauben Sie eine pseudonymisierte Datenweitergabe an die Studienleitung sowie an andere wissenschaftliche
Kooperationspartner, die den Nutzen der ANWENDUNG evaluieren.
Die Speicherung erfolgt immer nach den gesetzlichen Datenschutzbestimmungen.

4.7. Nutzung des Inhalts der ANWENDUNG

Wenn Sie die Inhalte der ANWENDUNG nutzen, verarbeiten wir Daten, die für die Bereitstellung der Trainings- und Trainingsbewertungsfunktionen erforderlich sind (z. B. Altersgruppe, Antworten auf Fragen zu Ihren Fortschritten, Fortschrittsdaten in den Übungen, Einwilligung in die Trainingserinnerung, Training, Einstellungen). Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. 6 Abs. 1b DSGVO zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen sowie Art. 6 Abs. f DSGVO zur Wahrung unserer berechtigten Interessen.

4.8. Anfragen per E-Mail

Wenn Sie uns per E-Mail kontaktieren, erhalten Sie immer innerhalb von 24 Stunden eine erste Antwort. Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (z.B. E-Mail-Adresse, Anfrage) wird zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Die Datenverarbeitung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage mit der Erfüllung eines Vertrages zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und/oder auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), da wir ein berechtigtes Interesse haben an der effektiven Bearbeitung der an uns gerichteten Anfragen. Die von Ihnen an uns per Kontaktanfrage übersandten Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere gesetzliche Aufbewahrungsfristen – bleiben unberührt. Wir geben Ihre Daten nicht ohne Ihre Einwilligung weiter.

4.9. Verarbeitung von Daten im Rahmen der Verordnung über digitale Gesundheitsanwendungen (DiGAV)

Wie oben beschrieben, kann in der ANWENDUNG der DiGA-Aktivierungscode eingegeben werden, der im Rahmen einer Verschreibung eines behandelnden Arztes, eines Therapeuten oder einer Genehmigung Ihrer gesetzlichen Krankenkasse erhältlich ist.
Wenn Sie die ANWENDUNG auf diesem Weg erhalten, konkretisiert und ergänzt die Verordnung über digitale Gesundheitsanwendungen, kurz DiGAV, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Anforderungen für das Unternehmen des Herstellers und für die DiGA selbst. Die personenbezogenen Daten und Gesundheitsdaten werden ausschließlich zu folgenden Zwecken verarbeitet:
● für die bestimmungsgemäße Nutzung der digitalen Gesundheitsanwendung durch den Nutzer,
● zum Nachweis positiver Versorgungseffekte im Rahmen einer Prüfung nach § 139e Absatz 4 des Fünften Buches Sozialgesetzbuch,
● zum Nachweis von Vereinbarungen nach § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch und
● zur dauerhaften Gewährleistung der technischen Funktionalität, Benutzerfreundlichkeit und Weiterentwicklung der digitalen Gesundheitsanwendung.
Der Nachweis von Vereinbarungen nach § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch dient in erster Linie der Abrechnung mit Ihrer Krankenkasse. Zu diesem Zweck wird Ihr Aktivierungscode erfasst und verarbeitet. Die dauerhafte Gewährleistung der
technischen Funktionalität, der Benutzerfreundlichkeit und der Weiterentwicklung der DiGA umfasst die Verarbeitung Ihres Feedbacks zur Verbesserung der App.
Voraussetzung für die rechtmäßige Datenverarbeitung gemäß § 4 Abs. 2 DiGAV ist, dass Sie in die Datenverarbeitung zu den oben genannten Zwecken einwilligen. Die Einwilligung wird bei der Registrierung erteilt und kann, wie oben unter Punkt 2 beschrieben, widerrufen werden.

5. Datenanalyse

Wenn Sie unsere ANWENDUNG aufrufen, kann Ihr Nutzungsverhalten zum Nachweis positiver Versorgungseffekte im Rahmen einer Prüfung nach § 139e Abs. 4 SGB V, zum Nachweis von Vereinbarungen nach § 134 Abs. 1 Satz 3 SGB V und zum Nachweis von
Vereinbarungen nach § 134 Abs. 1 Satz 3 SGB V herangezogen werden Zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit, Benutzerfreundlichkeit und Weiterentwicklung der DiGA können statistische Auswertungen vorgenommen werden. Beim
Einsatz externer Dienstleister (Auftragsverarbeiter) stellen wir durch entsprechende Verträge mit den Dienstleistern sicher, dass die Datenverarbeitung im Einklang mit deutschen und europäischen Datenschutzstandards erfolgt.

6. Löschung von Daten (Löschkonzept)

Die Verarbeitung Ihrer Personen- und Gesundheitsdaten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung bei der Anmeldung.
Sie können Ihre Einwilligung jederzeit in den App-Einstellungen widerrufen. Wenn Sie Ihre Einwilligung widerrufen, können Sie die Anwendung nicht nutzen. Die Einwilligung behält ihre Rechtsgültigkeit bis auf Widerruf.
Darüber hinaus haben Sie im Rahmen des Rechts auf Löschung und des Rechts auf Vergessenwerden die Möglichkeit, die Löschung Ihrer Daten zu verlangen. Neben dem Bundesdatenschutzgesetz und der Datenschutz-Grundverordnung sowie weiteren Gesetzen
(insbesondere der Abgabenordnung (AO), dem Handelsgesetzbuch (HGB) und dem Sozialgesetzbuch (SGB) bestehen für die Cogthera GmbH Aufbewahrungspflichten verschiedene Arten von Daten und Dokumenten. Grundsätzlich speichern wir alle Daten nur
so lange, wie es zur Erfüllung gesetzlicher und vertraglicher Pflichten erforderlich ist. Wir werden die Daten dann umgehend löschen. Konkrete Löschfristen finden Sie in den folgenden Abschnitten.

6.1. Löschung von Benutzerdaten

Die Cogthera GmbH erhebt und verarbeitet bestimmte Nutzerdaten. Dabei handelt es sich um personenbezogene Daten und Gesundheitsdaten gemäß Art. 6 Abs. 1 lit. f DSGVO. Art. 9 Abs. 1 DSGVO (zur genauen Benennung der Daten siehe Ziffer 4.2 dieser
Vereinbarung). Um Ihr Recht auf Löschung und Vergessenwerden auszuüben, melden Sie sich einfach in der ANWENDUNG an. Anschließend können Sie die Löschung Ihres Kontos und Ihrer Daten in Ihrem Profil beantragen. Wenn Sie die Löschung beantragt haben, werden alle personenbezogenen Daten und Gesundheitsdaten, die keiner gesetzlichen Aufbewahrungspflicht unterliegen, gelöscht.
Wenn Sie die Löschung Ihrer Daten nicht proaktiv beantragen, werden alle personenbezogenen Daten, einschließlich Gesundheitsdaten, nach Ablauf Ihres Zugriffs gelöscht. Ohne einen neuen Aktivierungscode werden Ihre Daten nach Ablauf von 14 Tagen
vom Server sowie nach Ablauf von weiteren 30 Tagen aus unseren Backups gelöscht.

6.2. Löschung der Abrechnungsdaten

Aus buchhalterischen Gründen müssen Abrechnungsdaten auch nach Ihrem Löschungsantrag bis zu zehn Jahre aufbewahrt werden. Hierzu sind wir durch das Handelsgesetzbuch, die Abgabenordnung, das Geldwäschegesetz und das Medizinproduktegesetz gesetzlich verpflichtet. Um Ihrem Löschwunsch vollständig nachkommen zu können, werden wir zudem solche Daten, die einer gesetzlichen Aufbewahrungspflicht unterliegen, unmittelbar nach Ihrem Wunsch durch technische Vorkehrungen einschränken und pseudonymisieren, sodass eine Zuordnung der Daten zu Ihrem Nutzerprofil dann nicht mehr möglich ist. Auf diese Weise werden Ihre pseudonymisierten Daten nur für gesetzliche Aufbewahrungszwecke sicher gespeichert.

6.3. App löschen – Deinstallieren

Durch die Deinstallation unserer der Cogthera-App auf Ihrem Mobiltelefon wird nur die Anwendung selbst gelöscht, nicht jedoch die bis zu diesem Zeitpunkt gespeicherten Daten. Um Ihre Daten zu löschen, gehen Sie bitte wie in Abschnitt 6 beschrieben vor.

Stand: 21.03.2024