Datenschutzerklärung

Mit dieser Datenschutzerklärung möchten wir Sie darüber informieren, wie wir personenbezogene Daten innerhalb der App zanadio verarbeiten. Wir sind uns bewusst, welche Bedeutung die Verarbeitung personenbezogener Daten für den Nutzer hat, und beachten dementsprechend alle einschlägigen gesetzlichen Vorgaben. Dabei ist der Schutz Ihrer Privatsphäre für uns von höchster Bedeutung. Deshalb ist das Einhalten der gesetzlichen Bestimmungen zum Datenschutz für uns selbstverständlich.

zanadio ist eine Softwarelösung zur Therapie von Patient:innen mit Adipositas (definiert durch einen Body-Mass-Index von über 30 kg/m²). Die Zielgruppe sind Adipositaspatient:innen mit einem BMI zwischen 30 und 40 kg/m², die in ihrer Fähigkeit zu körperlicher Aktivität, Ernährungsumstellung oder Verhaltensänderung nicht signifikant beeinträchtigt sind. Das entspricht Patient:innen mit einem EOSS-Stadium (Edmonton Obesity Staging System) von 0 bis 2, die mindestens 18 Jahre alt sind und über die Fähigkeit verfügen, ein mobiles Gerät zu verwenden.

Die Softwarelösung wird von einem Arzt/einer Ärztin auf Grundlage der Diagnose von Adipositas (ICD-10 E66.x) verschrieben, sowie der Eignung für die Verwendung des Produkts angesichts des Zustands des Patienten basierend auf der Entscheidung des Arztes.

Die Softwarelösung zielt darauf ab, die Patienten bei der Umstellung ihres Lebensstils zu unterstützen, was zu einer Reduzierung von Körperfett und Gewicht führt. Bei Patienten, die aktiv an dem Programm teilgenommen haben, wird eine durchschnittliche Gewichtsreduktion von mindestens 5 % erwartet. Konkret betrachtet die App die Lifestyle-Faktoren Ernährung, körperliche Aktivität und damit verbundene Verhaltensweisen.

Mehr zum Zweck der Softwarelösung zanadio erfahren Sie hier.

Namen und Kontaktdaten des Verantwortlichen

Sidekick Health Germany GmbH
Geschäftsführer: Henrik Emmert, Dr. Tryggvi Thorgeirsson
Poststraße 20, 20354 Hamburg
[email protected]

Datenschutzbeauftragter

Sollten Sie Fragen zu unseren Datenschutzmaßnahmen, zur Verarbeitung Ihrer Daten oder bezüglich der Wahrung Ihrer Betroffenenrechte haben, erreichen Sie uns und unseren Datenschutzbeauftragten wie folgt:

Externer Datenschutzbeauftragter
ePrivacy GmbH
vertreten durch Prof. Dr. Christoph Bauer
Burchardstraße 14, 20095 Hamburg
Zu allen Fragen und Anliegen bezüglich Ihrer Daten, wenden Sie sich gerne an [email protected].

Sollten Sie direkt mit unserem Datenschutzbeauftragten kommunizieren wollen (beispielsweise, weil Sie ein besonders sensibles Anliegen haben), kontaktieren Sie diesen bitte auf dem Postweg, da die Kommunikation per E-Mail immer Sicherheitslücken aufweisen kann. Bitte geben Sie bei der Anfrage an, dass sich Ihr Anliegen auf die Firma Sidekick Health Germany GmbH bezieht.

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen über eine bestimmte oder bestimmbare Person. Darunter fallen die folgenden Kategorien personenbezogener Daten, die wir verarbeiten:

• Ihre Profil- und Kontaktdaten (Vor- und Nachname, Spitzname, E-Mail-Adresse, Geburtsdatum, Passwort)
• Ihre Korrespondenz mit uns (Nachrichten von und an den Support-Dienst oder mit dem Ansprechpartner)
• Ziele (Ihre von Ihnen gesetzten Ziele sowie Vorschläge Ihrer Ansprechpartner für Ziele)
• Identifikationsnummern (Kunden-ID, DiGA Code, Krankenkasse, Gutscheincode, bei Nutzung der ePA: Krankenversicherungsnummer)
• Online-Identifikatoren (User-IDs, IP-Adresse, Cookie-IDs, gekürzte IP-Adresse)
• Gender / Geschlecht
• Bewegungs- und Gesundheitsdaten (Körpergröße, Körpergewicht, Schritte, Sportliche Aktivität, Mahlzeiten inkl. Kalorien und/oder Nährwerten, Bewegungs-Level, Wasserkonsum, Schwangerschaft, Stillen, Krebserkrankung, Operationen zur Gewichtsabnahme)
• Akademien und Trainingslektionen (umgesetzte und vorgeschlagene Akademien und Trainings sowie Fortschritt, Reflexion und Favoriten)
• Umfragen und Tagebucheinträge (Tagebucheinträge, Fragebögen zu Stimmung, Rückfragen zu bestehenden Krankheiten, die die Bewegung einschränken, persönliche Ziele des Nutzers)
• Nutzerinformationen (Ihre Einwilligung zur Datenverarbeitung (inkl. Timestamp und Version der Einwilligung), favorisierte Mahlzeiten und Aktivitäten, Status des Nutzers (Selbstzahler, Testaccount, Nutzer))
• Logfiles (Timestamps für Aktivitäten, Authentifizierungsversuche inkl. Passwort-Reset, Feedback und Nachrichten, Token, Status von Nachrichten)
• Betriebssystem und dessen Oberfläche, sowie Version und Sprache der App sowie Geräteinformationen
• Bei Selbstzahlern: Kundendaten (Rechnungsdaten, Benutzerprofile, Adresse, Bestellhistorie, Zahlungsdaten)

Verwendungszwecke

Wir verarbeiten Ihre Daten innerhalb der DiGA zu den folgenden Zwecken:

• zu dem bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung durch die Nutzer (insb. med. Bestimmung) nach § 4 Abs. 2 S. 1 Nr. 1 DiGAV. Die genaue Zweckbestimmung von zanadio finden Sie hier.
• zu der Nachweisführung bei Vereinbarungen nach § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch (bzgl. bestimmter (erfolgsabhängiger) Abrechnungen mit Krankenkassen) § 4 Abs. 2 S. 1 Nr. 3 DiGAV
• Zur Bereitstellung der Funktion “Übertragung in die elektronische Patientenakte” nach § 6a DiGAV

Wenn Sie uns Ihre gesonderte Einwilligung gegeben haben, verarbeiten wir zudem Daten zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der DiGA (§ 4 Abs. 2 S. 1 Nr. 4 DiGAV).

Wenn Sie Selbstzahler sind oder einen Gutscheincode verwenden, verarbeiten wir ausgewählte Daten zur Abrechnung unserer Leistung mit Ihnen.

Wenn gesetzliche Aufbewahrungsfristen bestehen, speichern wir die Daten, um unseren gesetzlichen Verpflichtungen nachzukommen.

In seltenen Fällen werden die Daten zur Verteidigung von Rechtsansprüchen oder zur Betrugsprävention gespeichert.

Rechtsgrundlage

Wir stützen uns bei der Verarbeitung Ihrer Daten auf die folgenden Rechtsgrundlagen:

• Alle App-spezifischen Daten: Ihre Einwilligung, sofern Sie uns eine solche gegeben haben (Art. 6 Abs. 1 lit. a) DSGVO und Art. 9 Abs. 2 lit. a DSGVO),
• § 29 Medizinproduktrecht-Durchführungsgesetz (MPDG)
• die Erfüllung von gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c) DSGVO)

Auf Grundlage unserer gesetzlichen Verpflichtungen verarbeiten wir Ihre Daten, die wir im Rahmen des bestimmungsgemäßen Gebrauchs unserer App erfasst haben (einschließlich Nutzerdaten, Anwendungs- und Abrechnungsdaten sowie der zugehörigen technischen Daten), insbesondere auch zur Erfüllung von medizinproduktrechtlichen Verpflichtungen. Hierzu zählen beispielsweise die Durchführung von Konformitätsbewertungsverfahren und die Überwachung der App nach deren Inverkehrbringung.

Erfordernis oder Verpflichtung zur Bereitstellung von Daten

Soweit dies nicht ausdrücklich angegeben ist, ist die Bereitstellung Ihrer Daten nicht erforderlich oder verpflichtend.

Speicherdauer

Wir speichern Ihre Daten,

• wenn Sie in die Verarbeitung eingewilligt haben höchstens solange, bis Sie Ihre Einwilligung widerrufen;
• sofern gesetzliche Aufbewahrungspflichten bestehen, bis zum Ende der Aufbewahrungsfristen

Ab dem Zeitpunkt der Validierung des Zugangscodes können Sie die Anwendung 3 Monate lang nutzen.

Sofern Sie

• Ihre Einwilligung widerrufen oder
• Ihren Account löschen, werden Ihre Daten durch Anonymisierung gelöscht.

Sofern Sie eine weitergehende Speicherung Ihrer Daten wünschen, ziehen Sie bitte einen Export. Einige Daten können, je nachdem, wie Sie die Anwendung genutzt haben und was Sie in die Freitextfelder eingegeben haben, weiterhin als pseudonyme Daten eingestuft werden. Diese Daten unterliegen den gesetzlichen Aufbewahrungsfristen. Wir speichern diese Datensätze für bis zu 10 Jahre, um unseren gesetzlichen Verpflichtungen nach Art. 10 MDR i. V. m. Annex XV, Kapitel III Ziff. 3 MDR nachzukommen.

Danach löschen wir alle personenbezogenen Daten auf Basis eines manuellen Prozesses vollständig.

Datensicherung

Wir haben umfangreiche technische und organisatorische Maßnahmen ergriffen, um Ihre Daten gegen mögliche Gefahren – wie unbefugten Zugang oder Zugriff, unbefugte Kenntnisnahme, Veränderung oder Verbreitung – sowie vor Verlust, Zerstörung oder Missbrauch zu sichern.

Bitte beachten Sie jedoch, dass der Versand über Ihr E‑Mail‑Programm erfolgt und damit außerhalb der Anwendung liegt. Wir weisen darauf hin, dass die Datenübertragung bei der Kommunikation per (unverschlüsselter) E-Mail Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Download der zanadio-App

Beim Herunterladen der mobilen App werden die erforderlichen Informationen an den Apple App Store bzw. Google Play Store übertragen, also insbesondere Nutzername, E-Mail-Adresse und Kundennummer Ihres Accounts, Zeitpunkt des Downloads, Zahlungsinformationen und die individuelle Gerätekennziffer. Auf diese Datenerhebung haben wir keinen Einfluss und sind nicht dafür verantwortlich; die Verantwortung dafür liegt allein beim Apple App Store bzw. Google Play Store. Wir verarbeiten die Daten nur, soweit es für das Herunterladen der mobilen App auf Ihr mobiles Endgerät notwendig ist.

Datenempfänger

Wir übermitteln personenbezogene Daten an Dritte, um unsere vertraglichen oder gesetzlichen Verpflichtungen zu erfüllen und unsere Dienstleistungen anbieten zu können.

mailbox.org
Wir nutzen mailbox.org (ein Dienst der Heinlein Support GmbH) als E-Mail-Hosting-Provider zur Kommunikation mit Ihnen. Im Zuge der Nutzung werden Kontaktdaten (wie z.B. E-Mail-Adresse und ggf. Name), Online-Identifikatoren (wie z.B. die IP-Adresse) und die Inhalte der Nachricht vom Dienstleister verarbeitet.
Weitere Informationen zum Dienstleister unter: https://mailbox.org/de/datenschutzerklaerung/

Thryve/mHealth Pioneers GmbH
Sollten Sie als Nutzer sich entscheiden, Daten aus Fitnessbändern oder Waagen in die zanadio App übertragen zu wollen, nutzen wir den Dienst Thryve der mHealth Pioneers GmbH. Der Dienst verarbeitet pseudonymisierte Daten zur Gewichtsentwicklung sowie Angaben zur Anzahl der Schritte/km.
Weitere Informationen zum Dienstleister unter: https://thryve.health/imprint/

Open Telekom Cloud (OTC)
Wir nehmen Hosting-Leistungen der Telekom Deutschland GmbH (im Folgenden Telekom genannt), Landgrabenweg 151, 53227 Bonn) in Anspruch. Diese dienen der Zurverfügungstellung von Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und Datenbankdienste, Sicherheitsleistungen sowie technischer Wartungsleistungen, um den Betrieb der App aufrechtzuerhalten. Hierbei verarbeitet unser Hostinganbieter alle unter Datenkategorien genannten Daten von Nutzern der DiGA App.
Weitere Informationen zum Dienstleister unter: https://open-telekom-cloud.com/de/datenschutz/

azuma mimoto
Für die Nutzung der Funktion "Weiterleitung der Daten an die elektronische Patientenakte" ist eine Authentifizierung mit der GesundheitsID notwendig. Hierbei wird zum Login mit der GesundheitsID eine vertrauenswürdige Quelle für das Abrufen der Krankenversichertennummer (KVNR) benötigt. Um diesen Dienst zur Verfügung zu stellen, nutzen wir azuma mimoto (azuma healthtech GmbH, Lindenstr. 4g, 81545 München). Bei diesem System werden über ein Token (eine Softwarekomponente zum Identifizieren und zur Authentifizierung von Nutzern) Ihre Daten mit bestimmten Daten Ihrer Krankenkasse abgeglichen.
Vereinfacht gesagt, ist azuma mimoto eine technische Brücke zwischen Ihrer Krankenkasse, die für die Erstellung Ihrer GesundheitsID primär zuständig ist, und den DiGAs. Durch azuma mimoto werden die Daten des Tokens von Ihrer Krankenkasse an die DiGA in einem Token weitergegeben. Dabei werden folgende Daten verarbeitet: KVNR und UUID (pseudonymer Identifier). Bei azuma mimoto werden diese Daten nur im Sinne der Tokenübermittlung verarbeitet. Daten in den Tokens werden nicht gespeichert und für keine weiteren Zwecke verwendet. Sobald die Token-Übergabe an die DiGA erfolgreich durchgeführt ist, werden die Tokens gelöscht. Zum Zwecke der Abrechnung werden Metadaten des Prozesses an azuma übermittelt (User-ID, Application ID, Krankenkassen-ID, DiGA Hersteller-ID, Status, Zeitstempel).

Übertragung in die elektronische Patientenakte
Um Ihre Daten in Ihre elektronische Patientenakte zu übertragen, haben Sie zwei Optionen:

Die einmalige oder die regelmäßige, automatisierte Übertragung. Weitere Informationen zur Nutzung einer dieser Optionen inkl. der personenbezogenen Daten, welche an die ePA übertragen werden, finden Sie hier. Die weitere Nutzung dieser Daten obliegt Ihnen und Ihrer jeweiligen Krankenversicherung. Die Übertragung findet nur statt, wenn Sie eine Einwilligung gegeben haben.

Sentry (Error Monitoring)
Wir verwenden den Dienst Sentry des Anbieters Sentry Inc. (45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) zur Fehlerüberwachung in unseren Anwendungen. Der Speicherort dieser Datenverarbeitung ist auf die EU begrenzt. Da der Anbieter sich jedoch in den USA befindet, findet rechtlich eine Datenübertragung in Länder außerhalb des Europäischen Wirtschaftsraums auf der Grundlage des EU-US Privacy Framework statt.
Weitere Informationen zum Anbieter finden Sie unter: https://sentry.io/privacy/

Wir nutzen von uns gehostete Systeme von Matomo für Analysen (soweit dazu eine Einwilligung vorliegt) und LimeSurvey für Umfragen. Es findet keine Datenübertragung an diese Anbieter statt.

Übertragung in Drittländer

Es findet keine Datenübertragung in Länder außerhalb des Europäischen Wirtschaftsraums statt.

Ihre Rechte

Als Betroffener haben Sie die folgenden Rechte:

• Auskunft über die Verarbeitung Ihrer Daten zu verlangen, sowie den Erhalt einer Kopie Ihrer personenbezogenen Daten. Auskunft können Sie unter anderem verlangen über die Zwecke der Verarbeitung, die Kategorien der personenbezogenen Daten die verarbeitet werden, die Empfänger der Daten (sofern eine Weitergabe erfolgt), die Dauer der Speicherung oder die Kriterien für die Festlegung der Dauer;
• die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen zu übermitteln;
• Ihre Daten zu berichtigen. Sollten Ihre personenbezogenen Daten unvollständig sein, so haben Sie, unter Berücksichtigung der Verarbeitungszwecke, das Recht die Daten zu vervollständigen;
• Ihre Daten löschen oder sperren zu lassen;
• die Verarbeitung einschränken zu lassen;
• der Verarbeitung Ihrer Daten zu widersprechen;
• Ihre Einwilligung zur Verarbeitung Ihrer Daten für die Zukunft zu widerrufen und
• sich bei der zuständigen Aufsichtsbehörde über eine unzulässige Datenverarbeitung zu beschweren.

Sie können jederzeit Ihre Einwilligungen in Ihren Account-Einstellungen widerrufen bzw. Ihren Account löschen. Der Widerruf der Einwilligung zum bestimmungsgemäßen Gebrauch führt zu einer Löschung Ihrer Daten. Bitte beachten Sie, dass der Vorgang nicht rückgängig gemacht werden kann. Bei Deinstallation der App werden die Daten von Ihren Geräten gelöscht, nicht jedoch Ihr Account.

Sollten Sie Auskunft über Ihre Daten erhalten oder eine Einschränkung der Verarbeitungen vornehmen wollen, können Sie dies jederzeit in Ihren Account-Einstellungen tun.

Stand der Datenschutzerklärung

Bei Änderungen unserer Prozesse passen wir die Informationen an.

Stand dieser Datenschutzerklärung: April 2025

Archiv

• September 2024
• Juli 2024
• Januar 2024
• September 2023
• August 2023
• Juli 2022
• Juni 2022
• Mai 2022
• Oktober 2020