Datenschutz­erklärung

Version 2.0; Stand: 07.04.2020

Diese Datenschutzerklärung klärt Sie über die Verarbeitung von personenbezogenen Daten bei der Verwendung der Coronotes App (im Folgenden „App“) auf.

1. Gemeinsame Verantwortlichkeit

Die App ist aus einem Projekt der Uni Tübingen und des Max – Planck – Instituts für Intelligente Systeme entstanden. Gemeinsame Verantwortliche gem. 26 Datenschutz-Grundverordnung (DS-GVO) sind:

Eberhard Karls Universität Tübingen
Geschwister-Scholl-Platz
72074 Tübingen
Tel.: + 49 (0) 70 71/29-0
Internet: http://www.uni-tuebingen.de

und

Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V.
Hofgartenstraße 8
D-80539 München
Telefon: +49 (89) 2108-0
Internet: https://www.mpg.de

2. Kontaktdaten des Datenschutzbeauftragten

Unseren Datenschutzbeauftragten erreichen Sie unter folgender Adresse:

Datenschutzbeauftragter der Universität Tübingen
Geschwister-Scholl-Platz
72074 Tübingen
E-Mail: datenschutz@uni-tuebingen.de
Telefon: +49 70 71 29-0

Datenschutzbeauftragte der Max – Planck – Gesellschaft
Heidi Schuster
Hofgartenstraße 8
D-80539 München
Telefon: +49 (89) 2108-1554
E-Mail: datenschutz@mpg.de

3. Zweck der Verarbeitung

Coronotes ist eine App, in der Nutzer täglich einen kurzen Fragebogen zu ihrem Gesundheitszustand ausfüllen. Zusätzlich gibt jeder Nutzer einmalig physiologische Basisinformationen ein und beantwortet nach Bedarf auch vereinzelt zusätzliche Fragebögen im Rahmen von wissenschaftlichen und klinischen Studien. Zweck der App ist eine Datensammlung, aus der wissenschaftliche Erkenntnisse über die Verbreitung und Symptome von COVID-19 sowie Frühindikatoren von schweren Krankheitsverläufen gewonnen werden können. Zudem soll die App klinische Studien und Abläufe in Bezug auf COVID-19 unterstützen und beschleunigen.

4. Verarbeitung personenbezogener Daten (insb. Gesundheitsdaten)

Personenbezogene Daten sind alle Informationen, die Sie persönlich identifizieren. Hierzu gehören allgemeine Bestandsdaten der Nutzer (z. B. Name, Adresse, E-Mail-Adresse, Mobilrufnummer).

Besonders schützenswerte Daten werden als besondere Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO besonders geschützt. Hierzu zählen insbesondere biometrische Daten und Gesundheitsdaten. Bei biometrischen Daten handelt es sich um Daten, die mit speziellen technischen Verfahren gewonnen wurden zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten (z.B. Personalausweisfotos). Bei Gesundheitsdaten handelt es sich um personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (z.B. Beschwerden, Diagnosen, Medikationspläne).

Der Begriff der Verarbeitung ist weit gefasst, er bezeichnet gemäß Art. 4 Nr. 2 DS-GVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

5. Verarbeitung personenbezogener Daten bei der Verwendung der App

Für die Verwendung der App ist es erforderlich, dass personenbezogene Daten verarbeitet werden. Dies betrifft sowohl die allgemeine Verwendung als auch die Nutzung konkreter Funktionalitäten.

5.1. Herunterladen der App

Beim Herunterladen der App werden die dafür notwendigen Informationen an den jeweiligen App Store übertragen. Auf diese Datenerhebungen haben wir keinen Einfluss und sind nicht dafür verantwortlich. Wir verarbeiten die bereitgestellten Daten, soweit dies für das Herunterladen der App auf ihr Smartphone notwendig ist. Sie werden darüber hinaus nicht weiter gespeichert. Die App greift von sich aus nicht auf Funktionen ihres Endgerätes zu. Es werden keine Gerätekennungen, Adresslisten oder Standortdaten erhoben und gespeichert.

5.2. Registrierung

Um die Vertraulichkeit Ihrer Daten sicherzustellen, setzt die Nutzung der App eine Registrierung voraus. Mit Starten der App wird Ihnen eine zufällig generierte und nicht rückverfolgbare Benutzer-ID zugewiesen, um die von Ihnen eingegebenen Daten einem bestimmten Nutzerkonto zuordnen zu können. Wenn Sie möchten, können Sie zusätzlich Ihre E-Mail-Adresse eingeben. Damit können Sie Ihr Nutzerkonto wiederherstellen, wenn Sie Ihre Benutzer-ID nicht mehr auffinden können.

Folgende Daten werden zum Beispiel erhoben und verarbeitet:

Einmalabfrage (multiple choice oder Freifeldeingabe):

  • Geschlecht (m / w / divers)
  • Existierende Schwangerschaft (ja / nein)
  • Alter (in 10er Schritten, d.h. 0 -10 Jahre, 10 - 20 Jahre, 20 - 30 Jahre, usw) -> Jahr
  • Raucher (Schachteln / Tag) + Anzahl Jahre, Aktuell Raucher, Ex-Raucher, Nie Raucher, durchschnittliche Anzahl an Schachteln x Anzahl Jahre
  • Vorerkrankungen (Mehrfachnennung möglich): Herz / Lunge (nicht: allergisches Asthma) / Diabetes Typ 1 / Diabetes Typ 2 / Leber / Tumor / Immunsystem / Bluthochdruck / Rheuma
  • In welcher Wohnkonstellation leben Sie (allein / Familie oder Wohngemeinschaft / Pflegeheim)
  • PLZ
  • Körpergröße (in 5cm Schritten)
  • Körpergewicht (in 5kg Schritten)
  • Aktuelle Grippeimpfung (ja / nein)

Tägliche Abfrage (multiple choice und Freifeldeingabe)

  • Gesundheitszustand (gesund / krank)
  • Bei Angabe “krank”
  • Wie haben sich Ihre Symptome im Vergleich zu gestern verändert?” (verbessert, gleich, verschlechtert)
  • Symptome (Mehrfachnennung möglich: Fieber, Husten, Abgeschlagenheit, Muskelschmerzen, Kurzatmigkeit, fehlender Geruchssinn, Sehstörungen, Farbsehstörungen, Halsschmerzen, Schüttelfrost, Kopfschmerzen, Gelenkschmerzen, Durchfall, Erbrechen, Schnupfen, Herzklopfen, Schwindel, Herzrasen, Augenschmerzen)
  • Husten Auswurf -> rot gelb grün weiß glasig
  • Kurzatmigkeit -> in Ruhe, beim Sprechen, beim Gehen in Ebene, beim Treppensteigen
  • Treppensteigen -> 1 Stockwerk, 2 Stockwerke / Gehen in der Ebene: 0 – 50m, 50 – 150m, 150m – 300m
  • Körpertemperatur (in Grad Celsius)
  • Körpergewicht (in kg)
  • Blutdruck in Ruhe (in mmHg)
  • Puls in Ruhe (in Hz)
  • Atemzüge in Minute in Ruhe (in Hz) – halbe Minute messen
  • Sauerstoffsättigung falls vorhanden (in %)
  • Kenntnis davon erlangt hat COVID-19? -> wenn ja, wann?
  • Wann tritt Kurzatmigkeit auf? (im Liegen, im Sitzen, nach wenigen Schritten, nach 15 Treppenstufen)
  • Erfolgte eine ärztliche Konsultation? (Ja, Nein)
  • Medikamente -> Immunsuppressiva (Cortison, nicht-Cortison), ACE Hämmer, Antibiotika
  • Wie fit fühlen Sie sich?” (arbeitsfähig, leicht eingeschränkt, bettlägrig)
  • Wurde bei Ihnen ein COVID-19-Test durchgeführt (ja /nein)?
  • Wissen Sie, welche Art des Tests es war? (PCR, AK Immunoassay, T cell repertoire, Microbiome)
  • Datum des Tests
  • Ergebnis des Tests (positiv / negativ / ausstehend)
  • Welche anderen Ereignisse gab es? (Krankenhausaufenthalt, Quarantäne, ICU, Intubation)
  • Gespeichert wird Datum und Ende
  • Bei Teilnahme an Studie: Haben Sie Ihre Studienmedikation eingenommen?” (ja, nein)

Die von Ihnen eingegebenen Daten werden von uns zentral auf Servern von AWS (Amazon Web Services) in Frankfurt gespeichert. AWS verarbeitet (speichert) die Daten als sog. Auftragsverarbeiter. Zwischen AWS und uns besteht ein Auftragsverarbeitungsvertrag der alle Anforderungen an Art. 28 Abs. 3DS-GVO erfüllt (sog. AWS GDPR Data Processing Addendum, einsehbar hier: https://aws.amazon.com/de/blogs/security/aws-gdpr-data-processing-addendum/ .

Wir verarbeiten die vorgenannten Daten aufgrund der von Ihnen vorher erklärten ausdrücklichen Einwilligung. Rechtsgrundlage ist Art. 9 Abs. 2 lit. a) DS-GVO.

6. Kontaktaufnahme

Bei Ihrer Kontaktaufnahme mit uns per E-Mail oder per Telefon werden Ihre Emailadresse und weitere Angaben, falls Sie diese machen, von uns verarbeitet, um Ihre Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung.

7. Datensicherheit und Verschlüsselungen

Der Transport der Daten zwischen App und dem Cloud-Backend auf den AWS-Servern erfolgt verschlüsselt mit Perfect Forward Secrecy. Die dafür verwendeten Software Bibliotheken sind nach FIPS-140-2 Stufe 1 zertifiziert.

8. Weitergabe der Daten

Die von Ihnen eingegebenen Daten werden mit Wissenschaftlern anderer Hochschulen und öffentlicher Gesundheitsorganisationen innerhalb der EU geteilt, die die Daten z.B. zur frühzeitigen Erkennung von COVID-19 anhand der Symptome und Risikoprofile nutzen wollen. Hierzu wird das Cloud-Backend der App für angemeldete Einrichtungen freigegeben. Medizinische Einrichtungen (z.B. Krankenhäuser oder Unternehmen, die unmittelbar an Tests oder Impfungen zu COVID-19 arbeiten) sollen ebenfalls Zugriff erhalten, z.B. um frühzeitig Kapazitäten für COVID-19 Patienten zu planen oder spezielle zugeschnittene Studienteilnehmer zu rekrutieren (z.B. an COVID-19 erkrankte und wieder gesundete Patienten unter 40 Jahre).

Wenn Sie Ihre Einwilligung erklärt haben, werden Ihre Daten im Falle einer stationären Aufnahme an das Sie behandelnde Krankenhaus weitergegeben. Dem Krankenhaus ist es dann erlaubt, die Ihrer Benutzer-ID zugeordneten Daten aus dem Cloud-Backend abzurufen. Bei Ihrer Einwilligung können Sie wählen, ob die Weitergabe nur zu Versorgungszwecken oder darüber hinaus auch zu Forschungszwecken an dieses Krankenhaus weitergegeben werden dürfen. Die Weitergabe der Daten erfolgt nur bis zum Ende der Behandlung einschließlich einer etwaigen Nachsorge. Rechtsgrundlage für die Weitergabe der Daten an das Cloud-Backend zu Forschungs- und Evaluierungszwecken sowie die Freigabe der Daten an ein Krankenhaus zur Behandlung und Nachsorge ist Ihre Einwilligung nach Art. 9 Abs. 2 lit. a) DS-GVO.

9. Speicherzeiten / Löschung

Wir speichern personenbezogene Daten nur so lange auf unserem Cloud-Backend, wie es zur Erfüllung der jeweiligen Zwecke erforderlich ist. Die Ihrer Benutzer-ID zugeordneten Daten werden gelöscht, wenn Sie Ihren Account löschen. Sie werden bereits vorher gelöscht, wenn Sie die App über einen Zeitraum von 6 Monaten nicht genutzt haben. Eine Löschung erfolgt nicht, wenn Sie Ihre Einwilligung in die Forschung mit Ihren Daten gegeben haben. In diesem Fall wird nur die von Ihnen etwa eingegebene E-Mail-Adresse und die Verknüpfung mit Ihrer Nutzer-ID gelöscht (Löschung durch Anonymisierung).

10. Ihre Rechte als Nutzer dieser App

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft,
  • Recht auf Berichtigung oder Löschung,
  • Recht auf Widerruf erteilter Einwilligungen
  • Recht auf Einschränkung der Verarbeitung,
  • Recht auf Widerspruch gegen die Verarbeitung,
  • Recht auf Datenübertragbarkeit.

Für die Ausübung Ihrer Rechte wenden Sie sich bitte an die Universität Tübingen bzw. an den Max – Planck – Gesellschaft e.V..

Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Eine Nutzung der entsprechenden Dienste ist dann nicht mehr möglich.

Wenn Sie Ihre vorgenannten Rechte wahrnehmen wollen, können Sie sich jederzeit hierzu an [bitte ergänzen] wenden.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.