Datenschutzleitlinien

Präambel

Die Mindable Health GmbH ist Anbieter von einer digitalen Gesundheitsanwendung bei Panikstörung und Agoraphobie. Dem Unternehmen ist der vertrauliche Umgang mit personenbezogenen Gesundheitsdaten von oberster Priorität. Insbesondere in einem therapeutischen Kontext muss diese Vertraulichkeit gewährleistet sein, daher wollen wir sowohl Behandelnden, als auch Patient:innen die dafür notwendige Sicherheit bieten. Mindable Health GmbH verpflichtet sich, jegliche Verarbeitung von personenbezogenen Daten rechtmäßig, für den Nutzer transparent, Integrität und Vertraulichkeit wahrend, und nach den Prinzipien der Datenminimierung und des “Privacy by design” umzusetzen. Darüber hinaus arbeiten wir mit dem höchsten Ansprüche an Datenschutz und Nutzerfreundlichkeit, ohne in der Abwägung dieser unterschiedlichen Anforderungen ein Teilaspekt zu vernachlässigen.

1. Geltungsbereich

Diese Datenschutzleitlinien beziehen sich auf alle Unternehmensprozesse, sowie beteiligte Mitarbeitende, die im Zusammenhang mit der digitalen Gesundheitsanwendung “Mindable: Panikstörung und Agoraphobie” stehen. Datenschutzrechtliche Fragen hinsichtlich anderer Geschäftsbeziehungen, ferner des unternehmensinternen Personalwesens werden an dieser Stelle nicht behandelt.

2. Verantwortlichkeiten

Verantwortlich für die Datenverarbeitung, im Sinne des Gesetzes, ist die Geschäftsführung der Mindable Health GmbH:

Frau Linda Weber und Herr Eddie Rietz

Rheinsberger Straße 76/77, 10115 Berlin

Telefon: 030/62923386

E-Mail: org@mindable.health

Datenschutzbeauftragter ist:

Herr Alexander Burnhauser

Rheinsberger Straße 76/77, 10115 Berlin

E-Mail: datenschutz@mindable.health

Die Geschäftsführung ist verantwortlich für die Datenverarbeitung. Damit ist sie verpflichtet sicherzustellen, dass die gesetzlichen und die in der Datenschutzleitlinien enthaltenen Anforderungen des Datenschutzes berücksichtigt werden. Es ist Managementaufgabe der Führungskräfte, durch organisatorische, personelle und technische Maßnahmen eine ordnungsgemäße Datenverarbeitung unter Beachtung des Datenschutzes sicherzustellen. Die Umsetzung dieser Vorgaben liegt in der Verantwortung der zuständigen Mitarbeitenden. Bei Datenschutzkontrollen durch Behörden ist der Datenschutzbeauftragte umgehend zu informieren. Die Geschäftsführung ist verpflichtet, den Datenschutzbeauftragten in seiner Tätigkeit zu unterstützen. Die für Geschäftsprozesse und Projekte fachlich Verantwortlichen müssen den Datenschutzbeauftragten rechtzeitig über neue Verarbeitungen personenbezogener Daten informieren. Bei Datenverarbeitungsvorhaben, aus denen sich besondere Risiken für Persönlichkeitsrechte der Betroffenen ergeben können, ist der Datenschutzbeauftragte schon vor Beginn der Verarbeitung zu beteiligen. Dies gilt insbesondere für besonders schutzwürdige personenbezogene Daten. Die Führungskräfte müssen sicherstellen, dass ihre Mitarbeitenden im erforderlichen Umfang zum Datenschutz geschult werden.

3. Rechtliche Rahmenbedingungen im Unternehmen

Einschlägige Gesetze und Verordnungen:

Datenschutzgrundverordnung (DSGVO/ Verordnung (EU) 2016/679)

Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)

Medizinprodukteverordnung,(MDR/ (EU) 2017/74)

Sozialgesetzbuch (SGB) Fünftes Buch (V)

Telekommunikationsgesetz (TKG)

Telemediengesetz (TMG)

Digitale-Versorgung-Gesetz (DVG)

Einkommensteuergesetz (EstG)

Strafgesetzbuch (StGB)

Abgabenordnung (AO)

Handelsgesetzbuch (HGB)

Bundesgesetzbuch (BGB)

4. Datenschutzorganisation

4.1. Prinzipien für die Verarbeitung personenbezogener Daten

4.1.1. Rechtmäßigkeit

Bei der Verarbeitung personenbezogener Daten müssen die Persönlichkeitsrechte des Betroffenen gewahrt werden. Personenbezogene Daten müssen auf rechtmäßige Weise erhoben und verarbeitet werden.

4.1.2. Zweckbindung

Die Verarbeitung personenbezogener Daten darf lediglich für die Zwecke erfolgen, die vor der Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Zwecke sind nur eingeschränkt möglich und bedürfen einer Rechtfertigung. Darüber hinaus beschränken sich die zulässigen Verarbeitungszwecke auf die Vorgaben im Rahmen von §4 Abs.2 DiGAV:

  1. Dem bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung durch die Nutzenden,
  2. zu dem Nachweis positiver Versorgungseffekte im Rahmen einer Erprobung nach § 134 Abs. 1 S. 3 SGB V
  3. zu der Nachweisführung bei Vereinbarungen nach § 134 Abs.1 S.3 SGB V
  4. zu der dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der digitalen Gesundheitsanwendung

Datenverarbeitungsbefugnisse zu anderen Zwecken bleiben unberührt, dies betrifft bei eine DiGA insbesondere die Abrechnung gegenüber der Krankenkasse (§ 302 SGB V).

4.1.3. Transparenz

Der Betroffene muss über den Umgang mit seinen Daten informiert werden. Grundsätzlich sind personenbezogene Daten bei dem Betroffenen selbst zu erheben. Bei Erhebung der Daten muss der Betroffene mindestens Folgendes erkennen können oder entsprechend informiert werden über:

  1. Die Identität der verantwortlichen Stelle
  2. Den Zweck der Datenverarbeitung
  3. Dritte oder Kategorien von Dritten, an die die Daten gegebenenfalls übermittelt werden.

4.1.4. Datenvermeidung und Datensparsamkeit

Vor einer Verarbeitung personenbezogener Daten muss geprüft werden, ob und in welchem Umfang diese notwendig sind, um den mit der Verarbeitung angestrebten Zweck zu erreichen. Personenbezogene Daten dürfen nicht auf Vorrat für potentielle, zukünftige Zwecke gespeichert werden, es sei denn, dies ist durch staatliches Recht vorgeschrieben oder erlaubt.

4.1.5. Löschung

Personenbezogene Daten, die nach Ablauf von gesetzlichen oder geschäftsprozessbezogenen Aufbewahrungsfristen nicht mehr erforderlich sind, müssen gelöscht werden. Bestehen im Einzelfall Anhaltspunkte für schutzwürdige Interessen dieser Daten, müssen die Daten gespeichert bleiben, bis das schutzwürdige Interesse rechtlich geklärt wurde bzw. durch die Mindable Health GmbH geprüft werden konnte.

4.1.6. Sachliche Richtigkeit und Datenaktualität

Personenbezogene Daten sind richtig, vollständig und – soweit erforderlich – auf dem aktuellen Stand zu speichern. Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass nicht zutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.

4.1.7. Vertraulichkeit und Datensicherheit

Für personenbezogene Daten gilt das Datengeheimnis. Sie müssen im persönlichen Umgang vertraulich behandelt werden und durch angemessene organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung gesichert werden.

4.2. Zulässigkeit der Datenverarbeitung

Mindable Health GmbH hält sich streng an die Vorgaben für digitale Gesundheitsanwendungen im Rahmen der DiGAV und verarbeitet niemals Daten zu Werbezwecken oder sonstigen, sogenannten “berechtigter Interessen” im Sinne von Art.6 Abs.1 lit.f DSGVO. Im Folgenden eine abschließende Listung der durch Mindable Health GmbH herangezogenen Rechtsgrundlagen.

4.2.1. Einwilligung im Sinne von Art.9 Abs.2 lit.a

Die Verarbeitung besonders schutzwürdiger personenbezogener Daten darf nur erfolgen, wenn dies gesetzlich erforderlich ist oder der Betroffene ausdrücklich eingewilligt hat. Die Verarbeitung dieser Daten ist auch dann zulässig, wenn sie zwingend notwendig ist, um rechtliche Ansprüche gegenüber dem Betroffenen geltend zu machen, auszuüben oder zu verteidigen. Wird die Verarbeitung besonders schutzwürdiger Daten geplant, ist der Beauftragte für den Datenschutz im Vorfeld zu informieren. Eine Datenverarbeitung kann aufgrund einer Einwilligung des Betroffenen stattfinden. Vor der Einwilligung muss der Betroffene gemäß IV.3. dieser Datenschutzleitlinie informiert werden. Die Einwilligungserklärung ist aus Beweisgründen grundsätzlich schriftlich oder elektronisch einzuholen. Unter Umständen, z.B. bei telefonischer Beratung, kann die Einwilligung auch mündlich erteilt werden. Ihre Erteilung muss dokumentiert werden.

4.2.2. Datenverarbeitung aufgrund gesetzlicher Erlaubnis und Verpflichtungen

Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn staatliche Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach genannten Rechtsvorschriften.

4.3. Übermittlung personenbezogener Daten

4.3.1. Übermittlung an öffentliche Einrichtungen

Eine Übermittlung an öffentliche Einrichtungen ist unter bestimmten Vorraussetzungen gesetzlich vorgesehen (z.B. bei sicherheitsrelevanten Vorfällen im Kontext von Medizinprodukten, siehe dazu Einzelregelungen im MPG/MDR). Eine solche Übermittlung darf ausschließlich in anonymisierter Form erfolgen. Die Verantwortlichkeit liegt, in Rücksprache mit dem Datenschutzbeauftragten, bei der verantwortlichen Person für Medizinprodukte (VPMP).

4.3.2. Übermittlung an Auftragsverarbeiter

Eine Auftragsdatenverarbeitung liegt vor, wenn ein Auftragnehmer mit der Verarbeitung personenbezogener Daten beauftragt wird, ohne dass ihm die Verantwortung für den zugehörigen Geschäftsprozess übertragen wird. In diesen Fällen ist mit externen Auftragnehmern eine Vereinbarung über eine Auftragsdatenverarbeitung abzuschließen. Dabei behält das beauftragende Unternehmen die Verantwortung für die korrekte Durchführung der Datenverarbeitung. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Bei der Erteilung des Auftrags sind die nachfolgenden Vorgaben einzuhalten; der beauftragende Fachbereich muss ihre Umsetzung sicherstellen.

  1. Der Auftragnehmer ist nach seiner Eignung zur Gewährleistung der erforderlichen technischen und organisatorischen Schutzmaßnahmen auszuwählen. Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen.
  2. Der Auftrag ist in Textform zu erteilen. Dabei sind die Weisungen zur Datenverarbeitung und die Verantwortlichkeiten des Auftraggebers und des Auftragnehmers zu dokumentieren.
  3. Die vom Beauftragten für den Datenschutz bereitgestellten Vertragsstandards müssen beachtet werden.
  4. Der Auftraggeber muss sich vor Beginn der Datenverarbeitung von der Einhaltung der Pflichten des Auftragnehmers überzeugen. Die Einhaltung der Anforderungen an die Datensicherheit kann ein Auftragnehmer insbesondere durch Vorlage einer geeigneten Zertifizierung nachweisen. Je nach Risiko der Datenverarbeitung ist die Kontrolle gegebenenfalls während der Vertragslaufzeit regelmäßig zu wiederholen.
  5. An zahlreichen Stellen der DSGVO finden sich selbstständige datenschutzrechtliche Pflichten, die sich ebenfalls an den Auftragsverarbeiter richten.
  6. Art. 27 Abs. 1 DSGVO: Die Pflicht zur Bestellung eines „Repräsentanten“ trifft auch den Auftragsverarbeiter.
  7. Art. 30 Abs. 2 DSGVO: Der Auftragsverarbeiter ist zur Führung von Verfahrensverzeichnissen verpflichtet.
  8. Art. 31 DSGVO: Die Pflicht zur Zusammenarbeit mit der Datenschutzaufsicht trifft auch den Auftragsverarbeiter.
  9. Art. 32 Abs. 1 DSGVO: Die Pflicht zu technischen und organisatorischen Maßnahmen der Datensicherheit gilt auch für den Auftragsverarbeiter.

10.Art. 37 Abs. 1 DSGVO: Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten trifft auch den Auftragsverarbeiter.

11.Art. 44 DSGVO: Die Beschränkungen für den Datentransfer in Drittländer sind auch vom Auftragsverarbeiter zu beachten.

4.4. Betroffenenrechte

Jeder Betroffene kann die folgenden Rechte wahrnehmen. Ihre Geltendmachung ist umgehend durch den verantwortlichen Bereich zu bearbeiten und darf für den Betroffenen zu keinerlei Nachteilen führen. Folgendes ist zu beachten:

  1. Informationsrecht – Offenlegung a) Name und Kontaktdaten des Verantwortlichen (ggf. auch des Vertreters) b) Kontaktdaten des Datenschutzbeauftragten c) Zweck und Rechtgrundlage der Verarbeitung d) Berechtigte Interessen (bei Verarbeitung nach Art. 6 DSGVO) e) Empfänger bzw. Kategorien von Empfängern f) Übermittlung in Drittland oder an internationale Organisation g) Dauer der Speicherung h) Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit i) Bestehen eines Rechts auf Widerspruch der Einwilligung j) Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde k) Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und mögliche Folgen der Nichtbereitstellung l) Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling m) Information über eine mögliche Zweckänderung der Datenverarbeitung
  2. Auskunftsrecht a) Zwecke der Datenverarbeitung b) Kategorien der Daten c) Empfänger oder Kategorien von Empfängern d) Dauer der Speicherung e) Recht auf Berichtigung, Löschung und Widerspruch f) Beschwerderecht bei einer Aufsichtsbehörde g) Herkunft der Daten (wenn nicht bei Betroffenen erhoben) h) Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling i) Übermittlung in Drittland oder an internationale Organisation
  3. Recht auf Berichtigung und Löschung a) Wenn die Speicherung der Daten nicht mehr notwendig ist b) Wenn der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat c) Wenn die Daten unrechtmäßig verarbeitet wurden d) Wenn eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht

 

5. Umsetzung des Datenschutzs

5.1. Dokumentation

Mindable Health GmbH führt eine Dokumentation über folgende Teilbereiche:

  1. Verzeichnis der Verarbeitungstätigkeiten
  2. Schutzbedarfsfeststellung nach dem BSI-Standard 200-2
  3. Datenschutzfolgeabschätzung nach Art.35 DSGVO
  4. Eine Liste der Auftragsverarbeiter und die mit diesen abgeschlossenen AV-Verträge
  5. Eine Liste aller technischer und organisatorische Maßnahmen
  6. Mitarbeiterschulungen hinsichtlich Datenschutz und -sicherheit
  7. Verpflichtungserklärungen der Mitarbeiter zur Verschwiegeneheit

Neben der ständigen Aktualisierung erfolgt einmal jährlich eine Gesamtprüfung hinsichtlich Notwendigkeit, Angemessenheit und Aktualität.

5.2. Technische und organisatorische Maßnahmen

Personenbezogene Daten sind jederzeit gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie gegen Verlust, Verfälschung oder Zerstörung zu schützen. Dies gilt unabhängig davon, ob die Datenverarbeitung elektronisch oder in Papierform erfolgt. Vor Einführung neuer Verfahren der Datenverarbeitung, insbesondere neuer IT Systeme, sind technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten festzulegen und umzusetzen. Diese Maßnahmen haben sich am Stand der Technik, den von der Verarbeitung ausgehenden Risiken und dem Schutzbedarf der Daten zu orientieren. Der verantwortliche Fachbereich kann dazu insbesondere seinen Datenschutzbeauftragten zu Rate ziehen. Die technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten sind Teil des Informationssicherheitsmanagements und müssen kontinuierlich an die technischen Entwicklungen und an organisatorische Änderungen angepasst werden.

App-seitige Sicherheitsmaßnahmen

  • Lokale biometrische Authentifizierung
  • Verschlüsselung auf Endgerät
  • Warn- und Nutzungshinweise 
  • Remote Logout
  • Zwingende Updates

Betriebssicherheit

  • Kryptografische Maßnahmen
  • Backups (Betrieb)
  • Dokumentation (Software, Konfigurationen)
  • Interne Passwortrichtlinien / MFA

Netzwerksicherheit

  • Übertragungsverschlüsselung
  • Firewall
  • Informationsübertragung
  • Netzwerk Rechtemanagement
  • Kryptografische Maßnahmen
  • Schemabasierte APIs

Überwachung (tech.)

  • Rückverfolgbarkeit
  • Revisionsfähigkeit
  • Protokollierung & Logging
  • Drittanbieterüberwachung

Datensicherheit 

  • Datentrennung
  • Datenverschlüsselung
  • Backups und Archivierung

Überwachung

  • Wahrung der Betroffenenrechte
  • Überwachung durch den Datenschutzbeauftragten
  • Jährliche Re-evaluation der Datenschutzfolgeabschätzung

Release-Management

  • Planmäßiges Vorgehen bei Softwareupdates
  • Zwingende Updates

Berechtigungskonzept

  • Dezidierte Rechtevergabe nur im notwendigen Umfang

Sensibilisierung

  • Mitarbeiterschulungen im Datenschutz
  • Mitarbeiterschulungen in Datensicherheit

Operative Prozesse

  • Planmäßiges Vorgehen bei Verletzungen der Datensicherheit
  • Planmäßiges Vorgehen bei Verletzung des Datenschutzes

Auftragsverarbeitungsverträge

  • Adäquate Auswahl und Vertragsgestaltung mit Auftragsverarbeitern

Schweigepflicht

  • Verschwiegenheit im Rahmen von Berufsgeheimnisträgern

Diese Liste hat keinen Anspruch auf Vollständigkeit. Details zu den Maßnahmen sind der Datenschutzfolgeabschätzung bzw. den jeweiligen internen Dokumenten zu entnehmen. 

5.3. Datenschutzvorfälle und Mitarbeiterleitlinien

Mitarbeiter dürfen personenbezogene Daten nicht für eigene private oder wirtschaftliche Zwecke nutzen, an Unbefugte übermitteln oder diesen auf andere Weise zugänglich machen. Vorgesetzte müssen ihre Mitarbeiter bei Beginn des Beschäftigungsverhältnisses über die Pflicht zur Wahrung des Datengeheimnisses unterrichten. Diese Verpflichtung besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

1.) Kein Mitarbeiter erhält direkten oder indirekten Zugang zu personenbezogenen Daten von Nutzern ohne voherige Schulung und unterschriebener Verschwiegenheitserklärung.

2.) Kein Mitarbeiter erhält über seinen konkreten Veranwortungsbereich notwendigen Umfang hinaus, direkten oder indirekten Zugang zu personenbezogenen Daten von Nutzern. Dies betrifft insbesondere Zugang zu den unterschiedlichen Mindable-Tools. Personenbezogene Daten unterliegen dem Datengeheimnis. Eine unbefugte Erhebung, Verarbeitung oder Nutzung ist den Mitarbeitern untersagt. Unbefugt ist jede Verarbeitung, die ein Mitarbeiter vornimmt, ohne damit im Rahmen der Erfüllung seiner Aufgaben betraut und entsprechend berechtigt zu sein. Es gilt das Need-to-know-Prinzip: Mitarbeiter dürfen nur Zugang zu personenbezogenen Daten erhalten, wenn und soweit dies für ihre jeweiligen Aufgaben erforderlich ist. Dies erfordert die sorgfältige Aufteilung und Trennung von Rollen und Zuständigkeiten sowie deren Umsetzung und Pflege im Rahmen von Berechtigungskonzepten.

3.) Bereits bei der Planung einer wesentliche Veränderung des Anwendungsprogrammes oder der damit verbundenen technischen Ausgestalltung wird Rücksprache im Sinne von Art.38 Abs.1 DSGVO mit dem Datenschutzbeauftragten gehalten.

4.) Jeder unrechtmäßiger Zugriff bzw. unrechtmäßige Veränderung oder Löschung, wird – auch bereits bei einem Verdachtsmoment – dem Datenschutzbeauftragten gemeldet. 

Zuwiderhandlungen, für die einzelne Mitarbeiter verantwortlich sind, können zu arbeitsrechtlichen Sanktionen führen.

5.4. Kontrolle und Ausbau des Datenschutzes

Die Einhaltung der Richtlinien zum Datenschutz und der geltenden Datenschutzgesetze muss regelmäßig durch Datenschutzaudits und weitere Kontrollen überprüft werden. Die Durchführung obliegt dem Datenschutzbeauftragten und weiteren, mit Auditrechten ausgestatteten Unternehmensbereichen. Die Ergebnisse der Datenschutzkontrollen sind dem Datenschutzbeauftragten mitzuteilen. Die Geschäftsführung ist über wesentliche Ergebnisse zu informieren. Die zuständige Datenschutzaufsichtsbehörde kann im Rahmen der ihr nach staatlichem Recht zustehenden Befugnisse auch eigene Kontrollen der Einhaltung der Vorschriften dieser Leitlinie durchführen. Mindable Health GmbH verpflichtet sich bis zum 01.01.2023 ein Informationssicherheits-Managementsystem nach ISO 2700 zu implementieren.