Datenschutzerklärung für Mindable-Apps und digitale Gesundheitsanwendungen (DiGA)

Stand: 30. Juli 2024

1. Kontaktdaten

Namen und Kontaktdaten des Verantwortlichen

Mindable Health GmbH
Vertreten durch Linda-Marie Weber und Eddie Rietz
Neue Grünstraße 17
10179 Berlin

E-Mail: info@mindable.health
Telefon: 030 62923386

(im Folgenden “Mindable Health”, “wir” oder “uns”)

Datenschutzbeauftragter

Sollten Sie Fragen zu unseren Datenschutzmaßnahmen, zur Verarbeitung Ihrer Daten oder bezüglich der Wahrung Ihrer Betroffenenrechte haben, erreichen Sie uns und unseren Datenschutzbeauftragten wie folgt:

Externer Datenschutzbeauftragter
ePrivacy GmbH
vertreten durch Prof. Dr. Christoph Bauer
Große Bleichen 21, 20354 Hamburg

Zu allen Fragen und Anliegen bezüglich Ihrer Daten, wenden Sie sich gerne an datenschutz@mindable.health.

Sollten Sie direkt mit unserem Datenschutzbeauftragten kommunizieren wollen (beispielsweise, weil Sie ein besonders sensibles Anliegen haben), kontaktieren Sie diesen bitte auf dem Postweg, da die Kommunikation per E-Mail immer Sicherheitslücken aufweisen kann. Bitte geben Sie bei der Anfrage an, dass sich ihr Anliegen auf die Firma Mindable Health bezieht.

2. Zweck und Geltungsbereich

Diese Datenschutzerklärung informiert Sie (als nutzende Person) über die Art, den Umfang, den Zweck der Erhebung und die Verarbeitung Ihrer personenbezogenen Daten in den Mindable Anwendungen (Applications, Apps) und digitalen Gesundheitsanwendungen (DiGAs).

Unter der Marke “Mindable” bieten wir mobile Apps, die das Ziel verfolgen, Krankheitssymptome infolge psychischer Störungen (wie z.B. soziale Phobien, Panikstörungen, Agoraphobie) zu lindern und so bei dessen Bewältigung zu unterstützen.

Die Apps sind dazu bestimmt, geeignete störungsrelevante Inhalte, Methoden sowie Übungen anzubieten und zu vermitteln. Diese basieren auf etablierten psychotherapeutischen Leitlinien, Ansätzen und Verfahren.

Sie können in Ergänzung zur üblichen Versorgung im Gesundheitswesen von Patienten eigenständig genutzt werden (u.a. zur Überbrückung der Wartezeit, therapiebegleitend, als auch zur Rückfallprävention).

3. Datenverarbeitung im Rahmen der App-Nutzung

Im Rahmen der Nutzung der Mindable-App werden personenbezogene Daten, einschließlich sensibler Gesundheitsdaten, verarbeitet. Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zu den sensiblen Gesundheitsdaten gehören Informationen über die körperliche oder geistige Gesundheit einer Person.

Die in den folgenden Abschnitten beschriebenen personenbezogenen Daten, die Sie uns im Rahmen des bestimmungsgemäßen Gebrauchs der App zur Verfügung stellen, sind erforderlich, um das Ziel des Einsatzes der App bestmöglich gewährleisten zu können.

Die Verarbeitung dieser Daten erfolgt in Übereinstimmung mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO). Soweit Sie die Mindable-App als abrechnungsfähige Leistung gegenüber der Krankenkasse in Anspruch nehmen, konkretisiert und ergänzt die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) die Vorgaben aus der DSGVO.

3.1 Registrierung und Account-Erstellung

Für die Nutzung der Mindable-App müssen Sie sich registrieren und einen Account erstellen. Im Rahmen der Registrierung erheben wir Namens-, Kontakt-, Abrechnungs-, und sonstige Profildaten (Accountdaten):

  • E-Mail
  • Freischaltcode
  • Selbstgewählter Nutzername
  • Geschlechtsidentität
  • Geburtsdatum
  • Spracheinstellungen

Wenn Sie die App als Selbstzahler oder im Rahmen eines Angebot über Ihrer privaten Krankenversicherung nutzen und eine Erstattung durch Ihre Krankenversicherung erfolgt, können zusätzliche Daten zu Abrechnungszwecken gegenüber Ihrer Krankenversicherung erhoben werden, wie ggf. Versicherungsgesellschaft, Versicherungsnummer, Adresse.

Diese personenbezogene Daten sind notwendig, um für Sie einen Zugang und einen Account zur Nutzung der App innerhalb der Nutzungsdauer zu erstellen. Darüberhinaus stellen wir sicher, dass das App-Programm optimal auf Ihre Bedürfnisse zugeschnitten ist und Sie Ihren Account durch zusätzliche Profildaten personalisieren können. Darüber

Die Verarbeitung der Accountdaten basiert auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und auf der Notwendigkeit für die Erfüllung des Vertrags mit Ihnen (Art. 6 Abs. 1 lit. b DSGVO). Die Angabe des Geburtsdatums wird für den Zweck des bestimmungsgemäßen Gebrauchs (gemäß EU-MDR Art. 2 Nr. 12 i.V.m. §4 DiGAV Abs. 2 Nr. 1) verarbeitet, d.h. Nutzung von nutzenden Personen im Alter innerhalb der Zweckbestimmung. Darüber hinaus sind wir aufgrund der Aufnahme unserer App in das Verzeichnis für digitale Gesundheitsanwendung gesetzlich verpflichtet kontinuierlich Nachweise über den medizinischen Nutzen zu erbringen (§4 Abs. 2 Nr. 2 DiGAV) und gegenüber der Krankenkasse zur Nachweisführung über die Nutzung verpflichtet (§4 Abs. 2 Nr. 3 DiGAV). Dies kann auch die anonymisierte Auswertung Ihrer soziodemographischen Daten, wie Geschlecht oder Alter, beinhalten.

3.2 Anmeldung mit biometrischen Daten

In der App haben Sie die Option, sich mithilfe von biometrischen Daten wie Fingerabdruck („Touch-ID“/“Fingerabdruck-ID“) oder Gesichtserkennung („Face-ID“), abhängig von Ihrem Endgerät, anzumelden (Login). Die biometrischen Daten werden durch eine Technologie auf Ihrem mobilen Gerät erfasst und ausschließlich lokal auf Ihrem Gerät gespeichert. Wir sind nicht für die Durchführung des Verfahrens verantwortlich und haben keinen Zugriff auf die gespeicherten Daten.

Um diese Funktion zu nutzen, müssen Sie zuvor ausdrücklich der Verarbeitung Ihrer personenbezogenen biometrischen Daten gemäß Art. 9 Abs. 2 lit. a DSGVO durch den Anbieter Ihres Betriebssystems zustimmen.

3.3 Nutzung des App-Programms

3.3.1 Gesundheitsdaten

Im Rahmen der Nutzung der Inhalte der Mindable-App verarbeiten wir Ihre Antworten und Eingaben innerhalb der App. Diese Daten beziehen sich teilweise auf Ihre körperliche und psychische Gesundheit (z.B. die Beantwortung von Fragen zum Auftreten von krankheitsbedingten Symptomen bzw. Beschwerden und Ihrem Umgang hiermit).

Die Verarbeitung der Gesundheitsdaten basiert auf Ihrer ausdrücklichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO und um den bestimmungsgemäßen Gebrauch der Mindable-App nach §4 Abs. 2 Nr. 1 DiGAV zu ermöglichen. Darüber hinaus sind wir aufgrund der Zulassung unserer Apps als digitale Gesundheitsanwendung gemäß §4 Abs. 2 Nr. 2 DiGAV gesetzlich verpflichtet kontinuierlich Nachweise über den medizinischen Nutzen zu erbringen. Zudem sind wir gesetzlich nach §4 Abs. 2 Nr. 3 DiGAV gegenüber der Krankenkasse zur Nachweisführung über die Nutzung verpflichtet. Dies kann die Anonymisierung Ihrer Daten und die Weitergabe in ausschließlich anonymisierter Form an unsere Partner zur Zwecken der medizinischen Forschung beinhalten.

3.3.2 Technische Daten

Bei Nutzung der App werden technische Verbindungsdaten (Log- und Protokolldaten) verarbeitet, die von Ihrem Gerät an uns übermittelt werden.

Dazu zählen folgende Daten:

  • IP-Adresse
  • Informationen zu dem von Ihnen genutzten Endgerät
  • Datum und Zeitstempel des Zugriffs

Die Verarbeitung dieser Daten erfolgt im Rahmen unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, um Ihnen den Zugriff auf unsere Apps zu ermöglichen, unsere Systeme abzusichern und sicherzustellen, dass alle technischen Funktionen einwandfrei funktionieren. Diese Daten sind technisch notwendig und werden benötigt, um die abgerufenen Inhalte zur Verfügung stellen können.

3.3.3 Daten zur Weiterentwicklung der Anwendung

Sofern Sie dafür explizit einwilligen, werden Ihre Nutzungsdaten zum Zweck der dauerhaften Gewährleistung der technischen Funktionalität, Benutzerfreundlichkeit und der Weiterentwicklung von Mindable nach §4 Abs. 2 Nr. 4 DiGAV verarbeitet. Dazu zählen u.a. Datum, Zeitstempel und Nutzungsdauer von einzelnen Aktivitäten und aufgerufenen Funktionen.

Diese Einwilligung ist freiwillig und führt zu keiner Bevorzugung oder Benachteiligung. Sie können diese Einwilligung jederzeit in den App-Einstellungen widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

3.4 Kontaktaufnahme und Support

Sie haben die Möglichkeit telefonisch, über die App oder per E-Mail Kontakt mit uns aufzunehmen. Bei der Kontaktaufnahme erfassen wir Ihre Angaben wie Ihren Namen, Ihre Anschrift, E-Mail-Adresse und Telefonnummer, um Ihre Anfrage bearbeiten zu können und gegebenenfalls weitere Korrespondenz zu führen. Für die Erfassung, Verarbeitung und Abwicklung von Support-Anfragen nutzen wir den Dienstleister Zammad GmbH mit Sitz in Marienstraße 11, 10117 Berlin. Für die Kontaktaufnahme per E-Mail nutzen wir den Auftragsverarbeiter Auftragsverarbeiter AWS, der von Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg betrieben wird und gemäß Art. 28 DSGVO agiert.

Die Verarbeitung Ihrer Daten erfolgt entweder aufgrund des beidseitig berechtigten Interesses an der Kontaktaufnahme gemäß Art. 6 Abs. 1 lit. f DSGVO oder zur Erfüllung des Vertrages gemäß Art. 6 Abs. 1 lit. b DSGVO.

3.5 Rechtsverteidigung und Übermittlung an Behörden

Soweit erforderlich, verarbeiten wir Ihre Daten zur Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten sowie zur Verhinderung und Aufklärung von Straftaten. Die Verarbeitung erfolgt auf Grundlage einer Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO, die immer auch Ihre berechtigten Interessen berücksichtigt.

Wenn wir von Behörden oder im Rahmen von Rechtsstreitigkeiten dazu aufgefordert werden, Informationen an Behörden, Gerichte oder andere Dritte zu übermitteln, kommen wir dieser Aufforderung nach, soweit wir dazu rechtlich verpflichtet sind. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO.

3.6 Anonymisierte Datenweiterverarbeitung zu Forschungszwecken

Wir anonymisieren Ihre personenbezogenen Daten, die wir im Rahmen der App-Nutzung erheben, um sie zu Forschungszwecken zu verwenden. Dies gilt sowohl für allgemeine als auch für gesundheitsbezogene Informationen. Die Anonymisierung von Gesundheitsdaten ist gemäß Art. 9 Abs. 2 lit. j DSGVO in Verbindung mit § 27 Abs. 1, 3 BDSG erlaubt, wenn sie für wissenschaftliche Forschungszwecke erforderlich ist und die Interessen der verantwortlichen Person an der Datenverarbeitung die gegenläufigen Interessen der betroffenen Personen überwiegen.

Wir verwenden Ihre anonymisierten Daten ausschließlich zu wissenschaftlichen Forschungszwecken, um neue Erkenntnisse zur wirksamen und nutzerfreundlichen Umsetzung von therapeutischen Maßnahmen in digitalen Formaten zu gewinnen.

Die Anonymisierung der Daten entspricht dem Grundsatz der Datenminimierung und gewährleistet einen datenschonenden Umgang mit personenbezogenen Angaben.

Die Verarbeitung personenbezogener Daten im Zusammenhang mit der Anonymisierung beruht auf Art. 6 Abs. 1 lit. f DSGVO. Wenn Sie aus besonderen Gründen dennoch widersprechen möchten, steht Ihnen gemäß Art. 21 Abs. 1 Hs. 1 DSGVO ein Widerspruchsrecht zu, das jedoch konkrete Umstände des Einzelfalls erfordert, die eine hervorgehobene Schutzwürdigkeit begründen.

3.7 Optionale Zusatzfunktion zur Rückfallprävention

Nach Beendigung des Zugangs zum vollständigen Funktionsumfang der App (z.B. mit Ablauf des Freischaltcodes), steht Ihnen der kostenlose Rückfallpräventions-Modus optional zur Verfügung.

Der Rückfallpräventions-Modus ist ein spezieller Modus mit eingeschränkten Funktionen, der es Ihnen ermöglicht, Ihre bisherige Fortschritte einzusehen, Ihre Daten zu exportieren, Ihren weiteren Symptomverlauf durch regelmäßige Checkups zu verfolgen und im Falle eines Rückfalls unkompliziert wieder in die vollumfängliche App-Nutzung zu wechseln, z.B. bei Erhalt oder Erwerb eines neuen Freischaltcodes.

Der Rückfallpräventions-Modus ist optional und kann für Sie relevant sein, wenn Ihnen die App-Nutzung für einen längeren Zeitraum nicht oder nur eingeschränkt möglich ist, oder Sie zunächst den vollständigen Transfer des Erlernten in den Alltag ohne die App-Begleitung ausprobieren möchten.

Diese kostenlose Zusatzfunktion ist nicht Bestandteil der durch das BfArM geprüften DiGA. Sie wird im Rahmen des bestimmungsgemäßen Gebrauchs als Medizinprodukt angeboten.

Um den Rückfallpräventions-Modus zu aktivieren, ist Ihre explizite Einwilligung notwendig. Ansonsten gelten die Angaben unter Abschnitt 5. “Aufbewahrung und Löschkonzept”.

Die Verarbeitung Ihrer Daten basiert auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO ) und auf der Notwendigkeit für die Erfüllung des Vertrags mit Ihnen (Art. 6 Abs. 1 lit. b DSGVO).

Mit der Einwilligung nach Art. 6 lit. a oder b DSGVO haben Sie die Möglichkeit Ihre personenbezogenen Daten aus der App in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder diese Daten ohne Behinderung einem anderen Verantwortlichen zu übermitteln (Art. 20 DSGVO).

4. Widerruf von Einwilligungen

Sie haben die Möglichkeit, Ihre Einwilligung jederzeit in den Einstellungen Ihres Profils zu widerrufen oder indem Sie sich über datenschutz@mindable.health an uns wenden. Ein Widerruf wirkt nur für Verarbeitungen ab dem Zeitpunkt an dem uns dieser zugeht. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen. Bitte beachten Sie, dass ein Widerrufsrecht nicht für anonymisierte Daten gilt, da eine Zuordnung der Daten zu Ihrer Person zu diesem Zeitpunkt nicht mehr möglich sein wird.

Bitte beachten Sie, dass bei einem Widerruf Ihrer Einwilligung in die für die App zwingend notwendigen Einwilligungen auch automatisch eine Löschung Ihres Accounts erfolgt.

5. Aufbewahrungs- und Löschkonzept

Grundsätzlich speichern wir Ihre personenbezogenen Daten nicht länger, als wir sie für die jeweiligen Verarbeitungszwecke benötigen und nur dann, wenn wir dazu aufgrund zwingender gesetzlicher Aufbewahrungspflichten verpflichtet sind.

Solange Sie Ihren Account nutzen, werden Ihre Daten gespeichert. Sobald Ihr Zugang zur App endet, werden Ihre personenbezogenen Daten automatisch und zeitnah gelöscht. 

Sofern Sie auch Ihre Einwilligung zur Gewährleistung der Nutzerfreundlichkeit erteilt haben, können Ihre Daten noch für zusätzliche 30 Tage (bei Apps mit Verordnungs-/Nutzungszeitraum unter 365 Tagen) gespeichert werden. Für die Löschung braucht es keine weitere Handlung Ihrerseits. 

Bei Apps mit Verordnungs-/Nutzungszeitraum von 365 Tagen und länger, erfolgt die endgültige Löschung Ihrer Daten nach dreimonatiger Inaktivität automatisch. 

Außerhalb des Verordnungs-/Nutzungszeitraums hinaus ist eine verlängerte Speicherung Ihrer Daten nur nach expliziter Einwilligung im sogenannten optionalen “Rückfallpräventions-Modus” möglich (siehe Abschnitt 3.6 dieser Datenschutzerklärung). In diesen Fall wird der Account - sofern Sie ihn nicht vorher löschen - weitere 365 Tage aufrecht erhalten. Die endgültige Löschung erfolgt in diesem Fall nach Ablauf der 365 Tage, sofern Sie in dieser Zeit die App nicht erneut aktiviert haben, ansonsten nach dreimonatiger Inaktivität. Für die Löschung braucht es keine weitere Handlung Ihrerseits.

Wenn Sie Ihre Daten vorher löschen wollen, können Sie die Löschung innerhalb Ihrer Profileinstellungen jederzeit vornehmen, indem Sie den Account löschen. In diesem Fall werden die Daten sofort gelöscht, sofern ihre vorübergehende Speicherung nicht aufgrund rechtlicher Aufbewahrungspflichten erforderlich ist (z.B. handels- und steuerrechtliche Aufbewahrungspflichten). Bitte beachten Sie, dass die Löschung nicht rückgängig gemacht werden kann.

Für abrechnungsrelevante Daten gelten gesetzliche Aufbewahrungsfristen von 10 Jahren (§147 Abs. 3 i. V. m. Abs. 1 Nr. 1, 4 und 4a AO, § 14b Abs. 1 UstG). Wir bewahren die abrechnungsrelevanten Daten in dem Zeitraum sicher auf und löschen diese unverzüglich nach Ablauf der gesetzlichen Aufbewahrungsfristen.

Eine Deinstallation unserer mobilen Applikation auf Ihrem Handy löscht nur die Applikation selbst, allerdings nicht die bis zu diesem Zeitpunkt gespeicherten Daten. Für eine Löschung Ihrer Daten gehen Sie bitte wie oben beschrieben vor.

6. Datenempfänger

Wir geben Ihre personenbezogenen Daten nur weiter, wenn Sie ausdrücklich eingewilligt haben, hierfür eine gesetzliche Grundlage besteht oder dies zur Durchsetzung unserer Rechte, insbesondere zur Durchsetzung oder zur Verteidigung von Ansprüchen, erforderlich ist.

Es erfolgt keine Übermittlung von personenbezogenen Daten in Drittländer und jegliche Verarbeitung erfolgt innerhalb des Europäischen Wirtschaftsraums statt.

Auftragsverarbeiter gemäß Art. 28 DSGVO sind:

  • Zammad GmbH mit Sitz in Marienstraße 11, 10117 Berlin,
  • Open Telekom Cloud der Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn, und
  • Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg.

7. Datensicherheit

Wir sind uns der Vertraulichkeit Ihrer sensiblen Daten bewusst und nehmen diese Verantwortung sehr ernst. Aus diesem Grund setzen zahlreiche Maßnahmen zur Sicherung Ihrer Daten ein. Ihre sensiblen Gesundheitsdaten werden Ihre Daten ausschließlich auf Servern in Deutschland verarbeitet, die besonders sicher sind und hohen Sicherheitsstandards unterliegen.

Bei der Nutzung der App in potenziell unsicheren Umgebungen wie beispielsweise der Verwendung von öffentlichen oder ungesicherten Netzwerken oder der Weitergabe Ihres Geräts an Dritte ein mögliches Risiko für den unbefugten Zugriff auf Ihre Daten besteht. Dieses Risiko kann auch auftreten, wenn Sie die App auf einem gemeinsam genutzten Gerät verwenden oder Telekommunikationsverbindungen nutzen, die von staatlichen Stellen überwacht werden. Wir möchten darauf hinweisen, dass diese Risikofaktoren außerhalb unseres Einflussbereichs liegen und dass Ihre aktive Mitarbeit bei der Sicherung Ihrer Daten unerlässlich ist.

8. Ihre Rechte

Unter gewissen Umständen können Sie gemäß den gesetzlichen Bestimmungen zum Datenschutz bestimmte Rechte in Bezug auf Ihre personenbezogenen Daten in Anspruch nehmen.

Als Betroffener haben Sie die folgenden Rechte:

  • Auskunft über die Verarbeitung Ihrer Daten zu verlangen, sowie den Erhalt einer Kopie Ihrer personenbezogenen Daten. Auskunft können Sie unter anderem verlangen über die Zwecke der Verarbeitung, die Kategorien der personenbezogenen Daten die verarbeitet werden, die Empfänger der Daten (sofern eine Weitergabe erfolgt), die Dauer der Speicherung oder die Kriterien für die Festlegung der Dauer;
  • die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen zu übermitteln;
  • Ihre Daten zu berichtigen. Sollten Ihre personenbezogenen Daten unvollständig sein, so haben Sie, unter Berücksichtigung der Verarbeitungszwecke, das Recht die Daten zu vervollständigen;
  • Ihre Daten löschen oder sperren zu lassen;
  • die Verarbeitung einschränken zu lassen;
  • der Verarbeitung Ihrer Daten zu widersprechen;
  • Ihre Einwilligung zur Verarbeitung Ihrer Daten für die Zukunft zu widerrufen und
  • sich bei der zuständigen Aufsichtsbehörde über eine unzulässige Datenverarbeitung zu beschweren.

Um Ihre hier beschriebenen Rechte geltend zu machen, können Sie sich jederzeit an uns wenden. Unsere Kontaktdaten finden Sie unter “Kontaktdaten” dieser Datenschutzerklärung.

9. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bedarfsorientiert zu aktualisieren und zu überarbeiten. Bitte beachten Sie, dass sämtliche von uns erhobenen Daten der Datenschutzerklärung unterliegen, die zum Zeitpunkt der Datenerhebung in Kraft ist.

Alle zukünftigen Änderungen an unserer Datenschutzerklärung werden auf dieser Seite veröffentlicht und gegebenenfalls per E-Mail oder über die App mitgeteilt. Wir empfehlen Ihnen daher, regelmäßig einen Blick auf diese Seite zu werfen, um stets über unsere Datenverarbeitungspraktiken auf dem Laufenden zu bleiben.