Hinweise zum Datenschutz in der Cogthera-App (Datenschutzerklärung)

1. Allgemeines

Wir als Cogthera GmbH und Verantwortlicher für Herstellung und Betrieb der Cogthera-App nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst und behandeln diese vertraulich und entsprechend den gesetzlichen Vorschriften. Mit diesen Datenschutzhinweisen informieren wir Sie, welche Daten von Ihnen wir zu welchen Zwecken, in welchem Umfang und in welcher Form verarbeiten und wie Sie Ihre Rechte als Betroffener gegenüber uns wahrnehmen können. Wir kommen damit unserer Verpflichtung nach Art. 13 und 14 DSGVO nach.

Diese Datenschutzhinweise gelten gleichermaßen für die iOS- und Android-Varianten der Cogthera-App in ihrer Ausgestaltung als digitale Gesundheitsanwendung (“DiGA”) gemäß § 33a SGB V.

1.1 Die Coghtera-App

Die Cogthera-App ist eine mobile Anwendung, die eine multimodale Intervention für erwachsene Patientinnen und Patienten mit leichter kognitiver Beeinträchtigung oder leichter Demenz anbietet. Die patientenzentrierte App zielt darauf ab, die kognitiven Funktionen zu fördern. Die Intervention umfasst individualisiertes kognitives Training, Bewegungsübungen im Rahmen von Doppelaufgaben, audio-geführte Meditationen sowie edukative Inhalte.

Die Cogthera-App ist ein Medizinprodukt der Klasse I gemäß der Medizinprodukteverordnung 2017/45 und dem Medizinproduktegesetz. 

Die Cogthera-App wird Ihnen als digitale Gesundheitsanwendung (“DiGA”) gemäß § 33a SGB V bereitgestellt. Als DiGA setzt die Coghtera-App die Anforderungen der DiGA-Verordnung zum Datenschutz und zur Datensicherheit vollständig um und ist gemäß der technischen Richtlinie TR-03161 (Anforderungen an Anwendungen im Gesundheitswesen) des Bundesamts für Sicherheit in der Informationstechnik zertifiziert.

1.2 Begriffe

Dieses Dokument gibt Ihnen einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie die Cogthera-App installieren und nutzen. Hierbei nutzen wir die folgenden Begriffe gemäß ihrer Definition in Art. 4 der Datenschutz-Grundverordnung (DSGVO): 

  • Personenbezogene Daten sind alle Daten, mit denen Sie direkt oder indirekt als natürliche Person identifiziert werden können. Hierzu zählt z.B. auch die Adresse (“IP-Nummer”), mit der sich ihr Handy oder Tablet mit dem Internet verbindet.
  • Gesundheitsdaten sind alle Daten, die sich auf die körperliche oder geistige Gesundheit einer Person, einschließlich der Bereitstellung von Gesundheitsdienstleistungen, beziehen und Aufschluss über deren Gesundheitszustand geben.
  • Die Verarbeitung von Daten umfasst jeglichen mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang auf Ihre personenbezogenen Daten – von deren Erhebung und Speicherung über die Darstellung und Auswertung bis zur Löschung.
  • Die Cogthera GmbH (“wir”) als Verantwortlicher für die Cogthera-App hat die Mittel und Zwecke der Verarbeitung Ihrer personenbezogenen Daten definiert und umgesetzt. Als Verantwortlicher stellt die Cogthera GmbH sicher, dass alle Verarbeitungsvorgänge gesetzeskonform erfolgen und Sie Ihre Rechte als betroffene Person uneingeschränkt wahrnehmen können. Weitere Informationen hierzu finden Sie in den folgenden Abschnitten dieser Datenschutzhinweise.
  • Für bestimmte Verarbeitungen Ihrer Daten bedienen wir uns Auftragsverarbeitern, die diese Verarbeitungen in unserem Auftrag und gemäß unserer Weisung ausführen. Ein Beispiel ist der Versand von E-Mails. Eine vollständige Auflistung aller Auftragsverarbeiter und der von diesen zur Verarbeitung empfangenen Daten finden Sie in Abschnitt 4 dieser Datenschutzhinweise.
  • Die DiGA-Verordnung schreibt vor, dass bestimmte Datenverarbeitungen Ihre explizite, informierte Einwilligung erfordern. Ausführliche Informationen zu den mit den verschiedenen Einwilligungen verbundenen Datenverarbeitungen finden Sie in Abschnitt 2.1 “Einwilligungen”. Jede Einwilligung kann von Ihnen aus der Cogthera-App heraus widerrufen werden. 

1.3 Verantwortlicher für die Datenverarbeitung

Verantwortlicher  für die Cogthera-App ist:

Cogthera GmbH

Goethestraße 28

80336 München

Handelsregister: HRB275887

Registergericht: München

Vertreten durch:

Johannes Funk

Kontakt

Telefon: +49 89 9607 1914

E-Mail: info@cogthera.de

1.4 Datenschutzbeauftragter

Bei allgemeinen Fragen zum Datenschutz können Sie sich unter folgender E-Mail-Adresse an unseren Datenschutzbeauftragten Dr. Maximilian Bügler wenden:

E-Mail: datenschutz@cogthera.de

2. Rechtliche Grundlagen für die Verarbeitung Ihrer Daten

Die Verarbeitung personenbezogener Daten und Gesundheitsdaten ist nur dann zulässig, wenn für die Verarbeitung dieser Daten eine wirksame Rechtsgrundlage vorliegt. 

Sofern wir Ihre Daten verarbeiten, erfolgt dies regelmäßig auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit Art. 9 Abs. 2 DSGVO, zum Zweck der Erfüllung eines Vertrages gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO oder aus einem berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f) DSGVO. 

2.1 Einwilligungen

Die für die Nutzung der Cogthera-App erforderlichen und optionalen Einwilligungen leiten sich unmittelbar aus den gesetzlichen Vorgaben der DiGAV und den für DiGA geltenden Datenschutzanforderungen ab. Im Einzelnen werden Sie in der Cogthera-App um die folgenden Einwilligungen gebeten:

  1. Grundlage der Nutzung der Cogthera-App ist Ihre Einwilligung zu den Datenverarbeitungen zum bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung gemäß § 4 Abs. 2 Satz 1 Nr. 1 DiGAV. Diese Einwilligung umfasst alle für die Nutzung der Cogthera-App zwingend erforderlichen Datenverarbeitungen. Diese sind zusammen mit den jeweils verarbeiteten Daten im Abschnitt 3 “Erhebung und Verarbeitung Ihrer Daten” beschrieben. 
  2. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht für DiGA die Nutzeranmeldung auf dem höchstmöglichen Sicherheitsniveau vor. Hierfür bietet die Cogthera-App Ihnen die Nutzung der von Ihrer Krankenkasse angebotenen GesundheitsID an. Der Gesetzgeber erlaubt in § 139e Abs. 10 SGB V zur Verbesserung der Nutzerfreundlichkeit für DiGA auch die Nutzung eines niedrigeren Sicherheitsniveaus. Hierzu bitten wir Sie um Ihre Einwilligung. Dieses erlaubt eine Anmeldung durch einfache Eingabe einer 6-stelligen PIN auf dem für die Registrierung genutzten Gerät (Gerätebindung). Weitere Informationen hierzu finden Sie in Abschnitt 6 “Technische und Organisatorische Maßnahmen”.
  3. Wir verwenden Ihre E-Mail-Adresse als Ihren Benutzernamen. Bei der Anmeldung müssen Sie diese zusammen mit der PIN angeben. Normalerweise verarbeiten wir diese Adresse nur als Hashwert, was uns die Zuordnung zu einem Benutzerkonto erlaubt, aber keine Kenntnis der genutzten E-Mail-Adresse gibt. Mit Ihrer Einwilligung können Sie festlegen, dass die E-Mail-Adresse zusätzlich im Klartext auf dem Mobiltelefon gespeichert wird, so dass Sie diese nicht immer neu eingeben müssen. 
  4. Die Cogthera-App kann Ihnen Push-Benachrichtigungen mit Erinnerungen und anderen Informationen senden. Die versendeten Nachrichten enthalten keine Gesundheitsdaten. Push-Benachrichtigungen sind initial deaktiviert. Wir fragen in der Cogthera-App nach Ihrer Einwilligung, diese Funktion zu aktivieren.

Die unter Nummer 1 genannte Einwilligung ist für die Nutzung der Cogthera-App erforderlich. Alle anderen Einwilligungen sind optional, d.h. der bestimmungsgemäße Gebrauch der Cogthera-App mit allen Übungen und Auswertungen ist auch uneingeschränkt möglich, wenn Sie diese Einwilligungen nicht geben.

Über das Menü “Einwilligungen verwalten” können Sie einsehen, welche dieser Einwilligungen Sie uns gegeben haben. Über dieses Menü können Sie jede dieser Einwilligungen einzeln widerrufen oder auch erneut abgeben. Ein Widerruf der unter 1 genannten Einwilligung entzieht uns die Rechtsgrundlage für eine weitere Verarbeitung Ihrer Daten und führt daher zur Beendigung der Nutzung der App und zur Löschung Ihres Benutzerkontos mitsamt aller von uns zu Ihnen gespeicherten Daten (siehe auch Abschnitt 3.5 “Beendigung der Nutzung”).

2.2 Zugriffsrechte auf Funktionen der mobilen Plattform

Über die oben aufgeführten Einwilligungen hinaus sind bestimmte Funktionen der genutzten Plattform (iOS oder Android) nur nutzbar, wenn Sie uns entsprechende Zugriffsberechtigungen einräumen. Diese werden durch die genutzte Plattform in Form einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO  in Verbindung mit Art. 9 Abs. 2 DSGVO abgefragt:

  • An vielen Stellen der Cogthera-App erfolgen Eingaben per Sprache. Für diesen bestimmungsgemäßen Gebrauch gemäß § 4 Abs. 2 Satz 1 Nr. 1 DiGAV muss die Cogthera-App auf das Mikrofon des genutzten Mobiltelefons zugreifen. Die über das Mikrofon erfassten Sprachdateien werden live analysiert und nur für kurze Zeit im Arbeitsspeicher des Servers abgelegt und danach sofort gelöscht. Um uns den Zugriff auf das Mikrofon zu erlauben, benötigen wir Ihre Einwilligung. Diese Einwilligung wird durch die genutzte Plattform (iOS oder Android) im Rahmen der Benutzerregistrierung abgefragt.
  • Für den Versand von Erinnerungen und Informationen als Push-Benachrichtigungen nutzt die Cogthera-App über die mobile Plattform bereitgestellte Funktionen. Neben Ihrer grundsätzlichen Einwilligung zum Erhalt von Push-Benachrichtigungen benötigen wir auch die Einwilligung, auf die entsprechenden Funktionen der mobilen Plattform zugreifen zu dürfen. Diese Einwilligung wird durch die genutzte Plattform (iOS oder Android) im Rahmen der Registrierung abgefragt, sofern Sie dem Empfang von Push-Benachrichtigungen zugestimmt haben.

3. Erhebung und Verarbeitung personenbezogener Daten und Gesundheitsdaten

Nachfolgend beschreiben wir, welche personenbezogenen Daten einschließlich Gesundheitsdaten wir erheben und zu welchen Zwecken wir sie verarbeiten. 

3.1. Herunterladen der App

Sie können die Cogthera-App im Google Play Store oder im Apple App Store herunterladen. Beim Herunterladen von Apps aus dem Google Play Store oder dem Apple App Store werden die hierfür erforderlichen Informationen an Google Ireland Limited bzw. Apple Distribution International in Irland übermittelt, insbesondere Angaben zu Ihrem Google- bzw. Apple-Konto (Nutzername, E-Mail-Adresse, Kundennummer) sowie der Zeitpunkt des Downloads und die eindeutige Geräte-ID. Auf diese Datenverarbeitung haben wir keinen Einfluss und sind dafür nicht verantwortlich.

Weitere Informationen finden Sie in den jeweiligen Datenschutzhinweisen von Google (https://policies.google.com/privacy) und Apple (https://www.apple.com/legal/privacy/de-ww/).

3.2. Anlegen eines Benutzerkontos (Registrierung)

Zur Nutzung der Cogthera-App müssen Sie sich über der App registrieren und ein Benutzerkonto erstellen.

Hierzu können Sie entweder Ihre GesundheitsID oder eine E-Mail-Adresse verwenden.

Registrierung und Anmeldung mit GesundheitsID

Sie können für die Registrierung Ihres Benutzerkontos und die Anmeldung an der Cogthera-App die GesundheitsID Ihrer Krankenkasse verwenden. Hierbei werden Sie während der Anmeldung auf eine App Ihrer Krankenkasse umgeleitet, über die Sie identifiziert und authentifiziert werden. Welche Daten die Krankenkasse hierzu verarbeitet, liegt außerhalb unserer Verantwortung und kann sich von Kasse zu Kasse unterscheiden. Weitere Informationen zur GesundheitsID finden Sie im Web-Angebot des Bundesministeriums für Gesundheit: Die Gesundheits-ID als digitale Identität | gesund.bund.de

Sofern Sie sich mit Ihrer GesundheitsID registrieren, speichern wir die folgenden Daten in Ihrem Benutzerkonto:

  • anwendungs- und kassenspezifisches Pseudonym als primärer Identifizierer
  • Krankenversicherungsnummer (KVNR) als übergeordneten Schlüssel, um im Fall eines Kassenwechsels Ihr Benutzerkonto auffinden zu können

Registrierung und Anmeldung mit PIN und Gerätebindung

Für die Registrierung benötigen Sie folgende Daten:

– Ihre E-Mail-Adresse

– Eine von Ihnen selbst definierte, sechsstellige PIN

Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie ein befristet gültiges Einmalpasswort (OTP) und einen Link. Durch Eingabe des Einmalpassworts oder Klicken des Links verifizieren wir Ihre E-Mail-Adresse. Im Anschluss definieren Sie eine sechsstellige PIN, welche Sie zur wiederholten Anmeldung an der Cogthera-App nutzen. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verlangt für Anwendungen im Gesundheitswesen eine Zwei-Faktor-Authentifizierung. Neben der genannten PIN nutzen wir Ihr bei der Registrierung genutztes Mobiltelefon als zweiten Faktor. Dies bedeutet, dass Sie sich nur von diesem Gerät an der Cogthera-App anmelden können. Auch wenn ein Hacker Ihre PIN erspäht oder erraten haben sollte, kann er sich nicht an Ihrem Account anmelden, da dies nur von Ihrem Gerät aus möglich ist.

In der Konsequenz bedeutet dies jedoch auch für Sie, dass bei Vergessen der PIN oder Verlust des Mobiltelefons keine Anmeldung an der Cogthera-App mehr möglich ist. Der für DiGA-Hersteller zuständige Bundesverband SVDGV ist hier aktuell in der Abstimmung mit dem BSI, wie zukünftig ein sicheres und benutzerfreundliches Wiederherstellen von Benutzerkonten bei Verlust eines Authentifizierungsfaktors möglich sein kann.

Wir verarbeiten die oben genannten Daten, damit Sie die Cogthera-App nutzen und Ihr Profil verwalten können. Die E-Mail-Adresse wird dabei per Default nur als Hashwert gespeichert, d.h. in einer Form, die lediglich einen Abgleich ermöglicht, ohne dabei die Adresse uns gegenüber offenzulegen. Da Sie die E-Mail-Adresse bei jeder Anmeldung eingeben müssen, können Sie uns die Einwilligung geben, die Adresse im Klartext zu speichern und automatisch in der Anmeldemaske einzufüllen (siehe auch Abschnitt 2.1 “Einwilligungen”).

Alle Daten des Benutzerkontos werden gelöscht, sobald Sie die Nutzung der Cogthera-App beenden. Dies kann explizit durch den Widerruf Ihrer Einwilligung zur Datenverarbeitung zum bestimmungsgemäßen Gebrauch erfolgen oder implizit durch den Ablauf der Verordnungsfrist. Nähere Informationen hierzu finden Sie in Abschnitt 3.5 “Beendigung der Nutzung”.

3.3. Einlösen eines Freischaltcodes

Die Kosten für die Nutzung der Cogthera-App als DiGA werden durch Ihre Krankenkasse übernommen. Sie erhalten hierzu von Ihrer Krankenkasse einen DiGA-Aktivierungscode zur Freischaltung der Funktionen der Cogthera-App. Der DiGA-Aktivierungscode wird von uns bei der Krankenkasse verifiziert und zur Abrechnung der DiGA verwendet. Der DiGA-Aktivierungscode ist nicht personenbezogen und kann nur durch die Krankenkasse Ihnen als Person zugeordnet werden. Wir speichern einen Hashwert des DiGA-Aktivierungscodes als Teil Ihres Benutzerkontos, um Ihnen in berechtigten Szenarien das Aufsetzen eines neuen Benutzerkontos zu ermöglichen.

3.4. Während der Nutzung verarbeitete Daten

Wenn Sie die Inhalte der Cogthera-App nutzen, verarbeiten wir Daten, die für die Bereitstellung der Trainings- und Trainingsbewertungsfunktionen erforderlich sind (z. B. Antworten auf Fragen zu Ihren Fortschritten und Fortschrittsdaten in den Übungen) und die Ihre Nutzerpräferenzen erfassen (z.B. gegebene Einwilligungen und Konfiguration der ePA-Exportfunktion). Grundlage dieser Verarbeitungen ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO  in Verbindung mit Art. 9 Abs. 2 DSGVO) zur Datenverarbeitung zum bestimmungsgemäßen Gebrauch der DiGA gemäß § 4 Abs. Satz 1 Nr. 1 DiGAV. Dies umfasst die folgenden Kategorien von Daten:

  • Sprachdateien (temporäre Verarbeitung ohne Speicherung),
  • aus den Sprachdateien extrahierte Inhalte,
  • Ergebnisse aus Fragebögen und deren Auswertungen.

Zusätzlich werden Daten zur Personalisierung der Übungen erhoben. Die Angabe dieser Daten ist freiwillig:

  • Alter (optional)
  • Geschlecht (optional)
  • Diagnose (MD/MCI/Keine Angabe) (optional)

Um den sicheren Betrieb zu gewährleisten, Benutzer-Support bei auftretenden Problemen leisten zu können, Anfragen zum Datenschutz beantworten zu können und mögliche Angriffsversuche zu erkennen, verarbeiten wir verschiedene Nutzungsdaten:

  • Informationen zu Anmeldevorgängen und Abgaben bzw. Widerrufen von Einwilligungen zur Erfüllung der datenschutzrechtlichen Nachweis- und Rechenschaftspflichten der DSGVO
  • IP Adresse, Mobile IDs (IDFA, IDFV, Android ID) und Informationen zum genutzten Mobiltelefon zur Zusammenführung und Auswertung von Betriebsprotokollen und zur Erkennung von (gerätespezifischen) Fehlern
  • Gerätekennung für den Versand von Push-Benachrichtigungen (nur wenn Push-Benachrichtigungen aktiviert werden),
  • Zeitzone und Sprache zur Normalisierung von Betriebsprotokollen

Rechtsgrundlagen dieser Verarbeitungen sind Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit Art. 9 Abs. 2 DSGVO, die Verpflichtung zur Erfüllung eines Vertrages gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO und unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO.

3.5. Beendigung der Nutzung und Löschung von Daten (Löschkonzept)

Alle im Rahmen der Nutzung der Cogthera-App erhobenen personenbezogenen Daten werden nur solange gespeichert, bis Sie uns zur Löschung auffordern (siehe Abschnitt 4 “Ihre Rechte als Betroffener”), Ihre Einwilligung zur Datenverarbeitung zu den bestimmungsgemäßen Zwecken widerrufen oder der Zweck der Datenspeicherung entfällt. Der Zweck der Datenspeicherung entfällt z.B. mit dem Ablauf der Verordnungsdauer, sofern Sie nicht zuvor einen neuen Aktivierungscode eingegeben haben.

Sofern Daten aufgrund einer von Ihnen erteilten optionalen Einwilligung verarbeitet werden (siehe Nummer 2 bis 4 in Abschnitt 2.1 “Einwilligungen”), endet die Verarbeitung mit Ihrem Widerruf, spätestens jedoch mit Ablauf der im vorherigen Absatz beschrieben Fristen. Der Widerruf wirkt sofort und führt dazu, dass die betroffenen Datenverarbeitungen unverzüglich gestoppt und die auf Basis der widerrufenen Einwilligung gespeicherten Daten gelöscht werden.  

Sie können alle Einwilligungen jederzeit in den App-Einstellungen widerrufen. Wenn Sie Ihre Einwilligung zur Datenverarbeitung zu dem bestimmungsgemäßen Gebrauch der Cogthera-App widerrufen, können Sie die Cogthera-App nicht weiter nutzen. Sie haben in diesem Fall jedoch noch die Möglichkeit, einen Auszug Ihrer Daten auf Ihrem genutzten Mobiltelefon oder in Ihrer elektronischen Patientenakte zu speichern. 

Alle Löschungen erfolgen unmittelbar mit Wegfall der Rechtsgrundlage bzw. des Zwecks der Speicherung. Grundsätzlich ist dies der Zeitpunkt des Widerrufs der legitimierenden Einwilligung, eine explizite Löschaufforderung Ihrerseits oder der Ablauf der Verordnungsdauer. Ausnahmen hiervon sind:

  • Einträge in Betriebsprotokollen werden unabhängig von den anderen Speicherfristen regelhaft nach 30 Tagen gelöscht. Die Aufbewahrungsdauer berücksichtigt Anforderungen des Betriebs und der Analyse von möglichen Fehlern und Angriffsversuchen. 
  • Zur Erfüllung der Anforderungen an die Verfügbarkeit von Diensten und Daten fertigen wir regelmäßige Backups an. Diese Sicherungskopien werden regelmäßig und regelhaft wirksam gelöscht bzw. vollständig überschrieben.  

Bitte beachten Sie: Durch die alleinige Deinstallation der Cogthera-App auf Ihrem Mobiltelefon wird nur die Anwendung selbst gelöscht, nicht jedoch die bis zu diesem Zeitpunkt gespeicherten Daten. Diese werden in diesem Fall automatisch bei Ablauf der Verordnungsdauer gelöscht, sofern Sie nicht vorher einen neuen Aktivierungscode eingegeben haben. Wenn Sie die Nutzung der Cogthera-App vor Ablauf der Verordnungsfrist beenden wollen, widerrufen Sie daher bitte zuerst Ihre Einwilligung zur Datenverarbeitung zu dem bestimmungsgemäßen Gebrauch der Cogthera-App (Menüpunkt “Meine Einwilligungen”) bevor Sie die App selbst deinstallieren. 

4. Empfänger von Daten

Für bestimmte Verarbeitungen Ihrer Daten bedienen wir uns Auftragsverarbeitern, die diese Verarbeitungen in unserem Auftrag und gemäß unserer Weisung ausführen. Mit allen Auftragsverarbeitern sind Verträge gemäß Art. 28 DSGVO geschlossen, mit denen wir sicherstellen, dass die Ihnen gegenüber gemachten Zusagen zum Datenschutz auch für die mit Hilfe von Auftragsverarbeitern ausgeführten Verarbeitungen eingehalten werden können.

Für die Hintergrundsysteme der Cogthera-App und die Speicherung der verarbeiteten Daten nutzen wir Cloud-Dienste von Google Cloud EMEA Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Die Speicherung der Daten findet ausschließlich in Rechenzentren in Deutschland statt. Hinweise zum Datenschutz in der Google Cloud finden Sie unter Google Cloud-Datenschutzhinweise.

Für den Versand von E-Mails nutzen wir den Dienst Gmail von Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Die Speicherung der Daten findet ausschließlich in Rechenzentren in Deutschland statt. Hinweise zum Datenschutz der Google Dienste finden Sie unter https://policies.google.com/privacy?gl=DE.

Sofern Sie Push-Benachrichtigungen aktiviert haben, versenden wir diese unter Nutzung der Dienste Firebase App Check und Firebase Cloud Messaging von Google Cloud EMEA Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Die versandten Nachrichten werden durch Google nicht gespeichert. Die Speicherung der Routing-Informationen erfolgt in Rechenzentren in Europa und den USA. Für Datenverarbeitungen in den USA gelten die Vorgaben des EU-US Data Privacy Frameworks, auf das sich Google verpflichtet hat und wodurch der korrekte und sichere Datentransfer personenbezogener Daten von EU-Bürgern in die USA geregelt wird. Zudem verwendet Google die Standardvertragsklauseln gemäß Art. 46. Abs. 2 und 3 DSGVO, die z.B. Ihre Rechte im Fall von Datenherausgabeverlangen absichern. Hinweise zum Datenschutz der Google Dienste finden Sie unter https://policies.google.com/privacy?gl=DE.

Sicherungskopien aller Daten werden verschlüsselt bei Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gespeichert. Hinweise zum Datenschutz bei Hetzner finden Sie unter https://www.hetzner.com/de/legal/privacy-policy/.

5. Ihre Rechte als Betroffener 

Die DSGVO gewährt betroffenen Personen, deren Personen- und Gesundheitsdaten wir verarbeiten, bestimmte Rechte, über die wir Sie an dieser Stelle informieren möchten:

  • Recht auf Auskunft (Art. 15 DSGVO, § 34 BDSG): Sie haben das Recht jederzeit Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten wir über Sie gespeichert haben. Eine Zusammenfassung der Daten können Sie auch erhalten, wenn Sie im Menüpunkt “Ihre Daten verwalten” den Export im PDF-Format auslösen. Wir verarbeiten nur Daten, die Sie uns selbst zur Verfügung gestellt haben oder die wir im Rahmen einer Anmeldung mit Ihrer GesundheitsID von Ihrer Krankenkasse bekommen haben.
  • Recht auf Löschung (Art. 17 DSGVO, § 35 BDSG): Sie können die Löschung Ihrer Daten verlangen. Sie können alle bei uns über Sie erhobenen Daten (siehe Abschnitt 3 “Erhebung und Verarbeitung personenbezogener Daten”) auch selbst durch Widerruf Ihrer Einwilligung zu den Datenverarbeitungen zum bestimmungsgemäßen Gebrauch der Cogthera-App löschen (siehe auch Abschnitt 3.5 “Beendigung der Nutzung”).
  • Recht auf Berichtigung (Art. 16 DSGVO, § 34 BDSG): Sollten die von uns über Sie gespeicherten Daten falsch oder unvollständig sein, können Sie die Korrektur bzw. Vervollständigung dieser verlangen. Viele der erhobenen Daten können Sie auch selbst über den Menüpunkt “Ihre Daten verwalten” in der App bearbeiten und korrigieren.  
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Wenn Sie die Richtigkeit Ihrer Daten bestreiten oder Ihnen die Verarbeitung dieser Daten unrechtmäßig erscheint, können Sie verlangen, dass wir die Verarbeitung dieser Daten einschränken. Dies bedeutet, dass wir die Daten zwar zunächst weiter speichern, jedoch keinen Zugriff darauf mehr erlauben.
  • Recht auf Mitteilung und Benachrichtigung im Rahmen der Berichtigung, Löschung oder Einschränkung gegenüber Empfängern (“Recht auf Vergessenwerden”, Art. 19 DSGVO): Eine Weitergabe an Dritte im Sinne des Art. 19 DSGVO erfolgt durch den Datenexport in die elektronische Patientenakte. Wir haben gemäß der gesetzlichen Regelungen keine Berechtigung, Daten in der elektronischen Patientenakte zu löschen. Daher müssen Sie zur Umsetzung des Rechts auf Vergessenwerden die Löschung der betroffenen Daten in der elektronischen Patientenakte selbst vornehmen. Nähere Hinweise hierzu finden Sie in der ePA-Client-App Ihrer Krankenkasse. 
  • Recht auf Datenübertragbarkeit (Artikel 20 DSGVO): Sie haben das Recht, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen. Wählen Sie hierzu den Menüpunkt “Ihre Daten verwalten”. 
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen. Hierzu genügt ein Widerruf Ihrer Einwilligung zu den Datenverarbeitungen zum bestimmungsgemäßen Gebrauch der Cogthera-App (siehe auch Abschnitt 3.5 “Beendigung der Nutzung”).
  • Recht, keiner automatisierten Entscheidungsfindung im Einzelfall oder Profiling zu unterliegen (Artikel 22 DSGVO): Bei uns werden keine automatisierten Entscheidungen über Sie getroffen. Es findet keine Profilbildung im Sinne des Art. 22 DSGVO statt. 

5.1 Anfragen zum Datenschutz 

Zur Geltendmachung Ihrer hier beschriebenen Rechte können Sie sich jederzeit an uns wenden. Unsere Kontaktdaten finden Sie in den Abschnitten 1.2 „Verantwortliche Stelle“ bzw. 1.3 „Datenschutzbeauftragter“. Bitte haben Sie Verständnis, dass 

  • wir bei Anfragen zu Ihren Daten Angaben zu Ihrem Benutzerkonto oder Ihrer Verordnung abfragen bzw. verifizieren, um sicherzustellen, dass Sie der Besitzer des Benutzerkontos sind. Hierbei werden wir Sie niemals nach Ihrer PIN fragen.
  • wir keine Möglichkeit haben, Ihnen bei vergessener PIN oder verlorenem Mobiltelefon einen neuen Zugang zu Ihrem bestehenden Benutzerkonto zu geben. 
  • wir keine medizinische Beratung geben, d.h. wir nur Anfragen beantworten, die sich auf Themen des Datenschutzes und der Handhabung der Cogthera-App beziehen.

Wenn Sie uns per E-Mail kontaktieren, erhalten Sie innerhalb von 24 Stunden eine erste Antwort. Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (z.B. E-Mail-Adresse, Anfrage) wird zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Die von Ihnen an uns per Kontaktanfrage übersandten Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Anfragen, die aufgrund ausbleibender Rückmeldungen Ihrerseits offen sind, werden automatisch nach 14 Tagen gelöscht.

Mit dem Stellen einer Anfrage geben Sie uns Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, ggf. in Verbindung mit Art. 9 Abs. 2 DSGVO), die für die Beantwortung der Anfrage erforderlichen Daten zu verarbeiten. 

5.2. Zuständige Datenschutzaufsicht

Sie haben außerdem das Recht, sich bei der für uns zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. In München – unserem Sitz – ist dies das Bayerische Landesamt für Datenschutzaufsicht, Postfach 606, 91511 Ansbach, Deutschland. Alternativ können Sie sich auch an die Datenschutzbehörde Ihres Wohnortes wenden, die Ihr Anliegen dann an die zuständige Behörde weiterleitet. Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

6. Technische und Organisatorische Maßnahmen

Die Cogthera-App setzt geeignete technische und organisatorische Maßnahmen um, die den Schutz Ihrer Daten und Ihrer Rechte als betroffene Person absichern. Hierzu erfüllen wir u.a. über die Datenschutz-Grundverordnung hinaus auch die für DiGA geltenden ergänzenden Vorgaben:

  • Die Cogthera-App setzt alle zutreffenden Anforderung der Anlage-1 zur DiGA-Verordnung zum Datenschutz bei DiGA um. Hierzu gehört z.B. die unmittelbare Löschung von Daten nach Wegfall des Verarbeitungszwecks.
  • Die Cogthera-App und das zugehörige Hintergrundsysteme sind durch eine unabhängige Stelle gemäß BSI TR-03161-1 bzw. BSI TR-03161-3 zertifiziert. Diese Zertifizierung bestätigt u.a. die Sicherheit der gewählten Verfahren zur Authentifizierung, die lückenlose Umsetzung des Löschkonzepts und die wirksame Verschlüsselung der ausgetauschten Daten.
  • Für den Betrieb der Cogthera-App setzen wir auf ein nach ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem (ISMS).
  • Wir führen regelmäßig Penetrationstests gegen die Cogthera-App und das zugehörge Hintergrundsystem durch. Hierbei simuliert eine unabhängige Stelle nach einem vom BSI vorgegebenen Verfahren Hackerangriffe auf unsere Systeme.

Die Cogthera-App macht von der in § 139e Abs. 10 SGB V geschaffenen Möglichkeit Gebrauch, neben der GesundheitsID ein weiteres Verfahren zur Authentifizierung anzubieten, das ein niedrigeres Sicherheitsniveau besitzt. Auch dieses Verfahren erfüllt die Vorgabe einer Zwei-Faktor-Authentifizierung mit zwei voneinander unabhängigen Faktoren unterschiedlicher Kategorien (Besitz und Wissen), die jedoch einfacher nutzbar sind, als z.B. die Anmeldung mit Personalausweis oder Gesundheitskarte: 

  • Als ersten Faktor nutzen wir eine Gerätebindung, d.h. eine Anmeldung wird nur akzeptiert, wenn Sie von dem zur Registrierung genutzten Mobiltelefon erfolgt. Hierzu speichern wir einen kryptografischen Schlüssel auf dem Mobiltelefon. Die Sicherheit dieses Verfahrens hängt davon ab, welche technischen Mittel Ihr Mobiltelefon besitzt, um diesen Schlüssel zu schützen. Um die Sicherheit unabhängig vom genutzten Gerät zu erhöhen, wird der Schlüssel innerhalb einer vom BSI vorgegebenen Frist ausgetauscht.
  • Als zweiten Faktor nutzen wir eine von Ihnen selbst vergebene sechsstellige PIN. Eine solche PIN wird vom BSI als weniger sicher eingestuft als z.B. die PIN Ihres Personalausweises oder Ihrer Gesundheitskarte.

7. Änderungen dieser Datenschutzhinweise

Bitte beachten Sie, dass wir uns vorbehalten, diese Datenschutzhinweise von Zeit zu Zeit zu aktualisieren. Über Änderungen werden Sie auf dieser Seite sowie per E-Mail an die bei der Registrierung angegebene E-Mail-Adresse informiert.

Für jede Verarbeitung Ihrer Daten gelten die jeweils zum Zeitpunkt der Verarbeitung gültigen Datenschutzhinweise.

Stand: 7. November 2025