Datenschutzbestimmungen Corona-Freepass-App und Dienstleistung
Solltest du persönliche Daten für das Wiederverwenden gespeichert haben und möchtest diese jetzt löschen, kannst du das hier tun.
I. EINLEITUNG UND BEGRIFFE
1. EINLEITUNG
Die geschäftliche Tätigkeit der Hamburger Access Technologies HAT GmbH, Zimmerpforte 3, 20099 Hamburg, E-Mail: info@coronafreepass.de (nachfolgend „HAT“ oder „wir“ genannt) besteht in der Entwicklung und dem Angebot technischer Lösungen und Dienstleistungen zur Eindämmung der SARS-CoV-2-Pandemie. HAT betreibt einen Dienst mit dem Namen „CORONA FREEPASS“, der als Smartphone-Applikation für mobile Endgeräte für iOS und Android (nachfolgend CORONA-FREEPASS-APP) sowie als Weblösung unter URL www.coronafreepass.de zur Verfügung steht. Mit CORONA FREEPASS können Nutzer einen privaten Test auf das neuartige Corona-Virus in Anspruch nehmen.
Die HAT erbringt die Abwicklung der Buchung und Bezahlung des Tests über die CORONA-FREEPASS-APP, die Verifikation des Kunden und die Testung in einer Teststation, die Übersendung der pseudonymisierten Probe an das Labor und die Information des Kunden über das Testergebnis. Der Partner der HAT – die ICH Hamburg-Stendal GbR (nachfolgend „Labor“ genannt) – erbringt die eigentliche Laboranalyse und erfüllt bei einem positiven Testergebnis die Meldepflichten nach dem Infektionsschutzgesetz.
Mit dem Herunterladen, dem Betrieb der App und der Erbringung unserer Dienstleistung verarbeiten wir ebenso wie bei der Buchung über unsere Webseite personenbezogene Daten. Diese werden von uns vertraulich behandelt und nach den geltenden Gesetzen – insbesondere der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) – verarbeitet.
Mit unseren Datenschutzbestimmungen wollen wir Sie informieren, welche personenbezogenen Daten wir von Ihnen erheben, zu welchen Zwecken und auf welcher Rechtsgrundlage wir sie verwenden und gegebenenfalls wem wir sie offenlegen. Darüber hinaus werden wir Ihnen erklären, welche Rechte Ihnen zur Wahrung und Durchsetzung Ihres Datenschutzes zustehen.
2. BEGRIFFE
Unsere Datenschutzbestimmungen enthalten Fachbegriffe, die in der DSGVO und dem BDSG stehen. Zu Ihrem besseren Verständnis wollen wir diese Begriffe in einfachen Worten vorab erklären:
2.1 Personenbezogene Daten
"Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Angaben einer identifizierten Person können z.B. der Name oder die E-Mail-Adresse sein. Personenbezogen sind aber auch Daten, bei denen die Identität nicht unmittelbar ersichtlich ist, sich aber ermitteln lässt, indem man eigene oder fremde Informationen kombiniert und so erfährt, um wen es sich handelt. Eine Person wird z.B. über die Angabe ihrer Anschrift oder Bankverbindung, ihres Geburtsdatums oder Benutzernamens, ihrer IP-Adressen und/oder Standortdaten identifizierbar. Relevant sind hier alle Informationen, die in irgendeiner Weise einen Rückschluss auf eine Person zulassen.
2.2 Verarbeitung
Unter einer "Verarbeitung" versteht Art. 4 Nr. 2 DSGVO jeden Vorgang im Zusammenhang mit personenbezogenen Daten. Dies betrifft insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung, Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.
2.3 Gesundheitsdaten
Der Begriff der „Gesundheitsdaten“ wird in Art. 4 Nr. 15 DSGVO definiert als personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit eines Menschen, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand dieser Person hervorgehen.
II. Verantwortlicher und Datenschutzbeauftragter
3. VERANTWORTLICHER
Verantwortlich für die Datenverarbeitung ist:
Unternehmen: Hamburger Access Technologies GmbH
Gesetzlicher Vertreter: Heiko Fuchs, Axel Strehlitz (Geschäftsführer)
Anschrift: Zimmerpforte 3, 20099 Hamburg
Telefon: 040-285309280
E-Mail: info@coronafreepass.de
4. Datenschutzbeauftragter
Wir haben für unser Unternehmen einen externen Datenschutzbeauftragten bestellt. Sie erreichen ihn unter:
Name: Arne Platzbecker
Anschrift: HABEWI GmbH & Co. KG, Palmaille 96, 22767 Hamburg
Telefon: 040/ 46008966
Fax: 040/ 46008977
E-Mail: datenschutz@habewi.de
III. Verarbeitungsrahmen
5. VERARBEITUNGSRAHMEN: CORONA-FREEPASSAPP, Terminbuchung, Durchführung und abwicklung Corona-Test, Laborergebnis, Meldepflicht
Im Rahmen des Angebotes und der Durchführung von Corona-Tests verarbeiten wir die nachfolgend unter Ziffer 6-10 im Einzelnen aufgeführten personenbezogenen Daten der zu testenden Personen. Wir verarbeiten nur Daten, welche die zu testende Person aktiv in der CORONA-FREEPASS-APP, oder ggf. in einem Papier-Formular angibt oder die uns vom eingesetzten Labor mitgeteilt werden. Diese Daten werden ausschließlich von uns verarbeitet und grundsätzlich nicht an Dritte verkauft, verliehen oder weitergegeben.
Im Rahmen unserer Tätigkeit ist es jedoch notwendig, personenbezogene Daten an das Labor ICH Hamburg-Stendal GbR (nachfolgend „Labor“ genannt) zu übermitteln. Ebenso werden wir ggf. personenbezogene Daten inkl. Gesundheitsdaten vom Labor empfangen. Hinsichtlich der Verarbeitung der Daten von getesteten Personen besteht eine gemeinsame Verantwortlichkeit zwischen dem Labor und uns gem. Art. 26 DSGVO (siehe Ziffer 11).
Sofern wir uns bei der Verarbeitung Ihrer personenbezogenen Daten im Übrigen der Hilfe externer Dienstleister bedienen, erfolgt dies im Rahmen einer sogenannten Auftragsverarbeitung, bei der wir als Auftraggeber unserem Auftragnehmer gegenüber weisungsbefugt sind. Eine solche Auftragsverarbeitung liegt im Hinblick auf das Hosting unserer App und Webseite vor. Unsere App und unsere Webseite werden bei dem externen Dienstleister Digital Ocean (DigitalOcean, LLC, 101 Avenue of the Americas, 10th Floor New York 10013, USA) im Rechenzentrumsstandort in Frankfurt am Main gehostet.
Sollten bei einzelnen, der in Ziffern 6-10 aufgeführten Verarbeitungen weitere externe Dienstleister zum Einsatz kommen, werden sie dort benannt.
Eine Datenübermittlung in Drittstaaten findet im Übrigen grundsätzlich nicht statt und ist auch nicht geplant. Allerdings werden beim Herunterladen und Installieren der App aus dem Apple App Store bzw. Google Play Store, Daten durch Apple (Apple Inc., One Apple Park Way, Cupertino, California, 95014, USA) bzw. Google (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) erhoben (siehe dazu unter Ziffer 6).
IV. Die Verarbeitungen im Einzelnen
6. HERUNTERLADEN DER APP AUS EINEM APP STORE
Die App können Sie für Apple Geräte nur im Apple App Store und für Android Geräte nur im Google Play Store herunterladen. Um die App herunterladen zu können, benötigen Sie ein Benutzerkonto bei Apple bzw. Google. Bei Herunterladen der App aus dem Apple App Store oder aus dem Google Play Store werden die zum Herunterladen erforderlichen Informationen ausschließlich an den jeweiligen Anbieter des App Stores – also an Apple oder Google – übertragen. Dabei handelt es sich z.B. um Ihren Nutzernamen (z.B. Ihre Apple-ID), E-Mail-Adresse, Telefonnummer, Zeitpunkt des Downloads und/oder die individuelle Gerätekennziffer. Auf diese Datenerhebung beim Herunterladen der App haben wir keinen Einfluss. Wir erhalten in diesem Zusammenhang keine persönlichen Angaben von Ihnen. Insbesondere übermittelt uns Apple bzw. Google nicht Ihren Namen, Ihren Nutzernamen (z.B. Apple-ID) oder Ihre E-Mail-Adresse. Weitere Informationen zum Datenschutz finden Sie in der Datenschutzrichtlinie von Apple: https://www.apple.com/legal/privacy/de-ww/ bzw. in der Datenschutzerklärung von Google: https://policies.google.com/privacy?gl=DE&hl=de
7. BEREITSTELLUNG DER WEBSEITE UND SERVER-LOGFILES DER WEBSEITE
7.1 Beschreibung der Verarbeitung
Bei jedem Aufruf der Webseite erfassen wir automatisch Informationen, die Ihr Browser an unseren Server übermittelt. Dabei handelt es sich um die folgenden Daten:
- IP-Adresse
- verwendete Browsersoftware, sowie deren Version und Sprache
- Betriebssystem
- die auf der Website aufgerufenen Unterseiten
- das Datum und die Uhrzeit des Aufrufes der Website
- Land und Ort aus dem ein Nutzer die Website besucht hat
Diese werden auch in den sogenannten Logfiles unseres Systems gespeichert. Die vorübergehende Speicherung Ihrer IP-Adresse durch das System ist notwendig, um unsere Webseite an das Endgerät eines Nutzers aus-liefern zu können. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben. Ihre IP-Adresse wird jedoch nicht in den Logfiles gespeichert.
7.2 Zweck
Die Verarbeitung erfolgt, um den Aufruf der Webseite zu ermöglichen, sowie deren Stabilität und Sicherheit zu gewährleisten. Darüber hinaus dient die Verarbeitung der statistischen Auswertung und Verbesserung unseres Online-Angebotes.
7.3 Rechtsgrundlage
Die Verarbeitung ist zur Wahrung der überwiegenden berechtigten Interessen des Verantwortlichen erforderlich (Art. 6 Abs. 1 lit. f DSGVO). Unser berechtigtes Interesse liegt in dem, in Ziffer 7.2 benannten Zweck.
7.4 Speicherdauer
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Eine Löschung der Logfiles erfolgt nach 7 Tagen.
8. Registrierung in der App
8.1 Beschreibung der Verarbeitung
Einzelne Funktionen und Angebote der CORONA-FREEPASS-APP stehen Ihnen nur als registrierter Nutzer zur Verfügung. Mit der Registrierung schließen Sie einen kostenlosen Nutzungsvertrag mit uns ab.
Mit der Registrierung in der CORONA-FREEPASS-APP kommt ein kostenloser Nutzungsvertrag zwischen dem Kunden und HAT zu Stande. Die Registrierung erfolgt üblicherweise im Rahmen der erstmaligen Buchung eines kostenpflichtigen SARS-CoV-2-Tests (siehe Ziffer 9), indem Sie das Registrierungsformular in der CORONA-FREEPASS-APP ausfüllen und uns elektronisch übermitteln. Zur Registrierung bedarf es der Angabe Ihres Vornamens, Nachnamens, Geschlechts, Anschrift, Telefon und E-Mail-Adresse, sowie der Hinterlegung eines Fotos von Ihnen („Selfie“). Die mit einem Sternchen „*“ markierten Pflichtfelder müssen von Ihnen ausgefüllt werden. Ansonsten ist es uns nicht möglich, mit Ihnen einen Vertrag zu schließen und unsere Leistungen zu erbringen. Alle weiteren Angaben sind freiwillig. Diese Daten werden ausschließlich auf Ihrem Endgerät gespeichert und uns lediglich in verschlüsselter Form übermittelt. Nach dem Absenden des Registrierungsformulars erhalten Sie eine automatische Willkommens-E-Mail. Diese enthält einen Link zur Bestätigung ihrer E-Mail-Adresse. Darüber hinaus erhalten Sie von uns eine automatische SMS an die angegebene Telefonnummer. In dieser SMS finden Sie einen Code, den Sie zur Verifizierung der Telefonnummer in der App eingeben müssen. Erst nach erfolgreicher Verifikation Ihrer E-Mail-Adresse und Ihrer Telefonnummer wird Ihr Account bei CORONA FREEPASS freigeschaltet.
Als registrierter Nutzer können Sie zukünftig schneller und bequemer Corona-Tests erwerben und unsere Dienstleistungen in Anspruch nehmen, indem Sie Ihre Daten bei Folgeeinkäufen nicht erneut eingeben müssen. Bei Buchung über unsere Webseite werden keine Nutzerdaten registriert, sondern bei jeder Buchung neu erhoben.
8.2 Zweck
Die Verarbeitung erfolgt, um Ihnen die Funktionen unserer Dienste für registrierte Nutzer bereitstellen zu können.
8.3 Rechtsgrundlage
Die Verarbeitung ist zum Abschluss und zur Erfüllung des Nutzungsvertrages erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Ohne Angabe Ihrer personenbezogenen Daten im Rahmen der Registrierung können wir unsere vertraglich geschuldeten Leistungen nicht erbringen.
8.4 Speicherdauer
Die Daten werden von uns mit Beendigung Ihres Nutzungsvertrages automatisch gelöscht. Den Nutzungsvertrag können Sie selbständig beenden, indem Sie uns durch einfache Erklärung an die Hamburg Access Technologies GmbH (Kontaktdaten siehe Ziffer 3) mitteilen, dass Sie kein registrierter Nutzer der CORONA-FREEPASS-APP mehr sein wollen. Wir werden Ihren Nutzer-Account dann unverzüglich löschen, nachdem Ihnen die Ergebnisse der von Ihnen gebuchten Corona-Tests mitgeteilt worden sind und etwaige Meldepflichten des Labors gegenüber dem Gesundheitsamt erfüllt sind.
9. Terminbuchung über die App oder webseite
9.1 Beschreibung der Verarbeitung
Um einen Corona-Test in einer unserer Teststationen in Anspruch nehmen zu können, müssen Sie vorab einen kostenpflichtigen SARS-CoV-2-Test buchen.
Eine Terminbuchung ist einerseits über unsere CORONA-FREEPASS-APP möglich. Sie können sich zunächst auf einer Karte die Teststationen von HAT ansehen. Sofern Sie in dem Dialog der App bzw. auf Ihrem Endgerät die Ortungsfunktionen Ihres Endgerätes aktivieren, werden Ihnen die Teststationen in Ihre Nähe angezeigt. Wählen Sie dann die gewünschte Teststation und einen der angezeigten freien Termine; klicken Sie dann auf den Button „JETZT BUCHEN“. Wenn Sie zum ersten Mal einen Termin über die CORONA-FREEPASS-APP erwerben, werden Sie im nächsten Schritt aufgefordert, weitere Angaben zu Ihnen zu machen, ansonsten werden die Daten aus einer vorherigen Registrierung (siehe Ziffer 7.1) verwendet. Es handelt es sich dabei um Ihren Vornamen, Nachnamen, Geschlecht, Anschrift, Telefon und E-Mail-Adresse, sowie um Ihr Foto („Selfie“). Diese Daten werden ausschließlich auf Ihrem Endgerät gespeichert und uns lediglich in verschlüsselter Form übermittelt.
Eine Terminbuchung ist andererseits Webseite mit der URL www.coronafreepass.de möglich. Im Unterschied zur CORONA-FREEPASS-APP können Sie über die Webseite nicht nur Tests für sich, sondern auch für neun weitere Personen (Erwachsene und Minderjährige ab 6 Jahre) buchen. Bitte geben Sie zunächst die Anzahl der zu testenden Erwachsenen und Minderjährigen an. Sie können sich dann auf einer Karte die Teststationen von HAT ansehen. Basierend auf Ihrer IP-Adresse werden Ihnen die Teststationen in Ihre Nähe angezeigt. Wählen Sie dann die gewünschte Teststation und einen der angezeigten freien Termine; klicken Sie dann auf den Button „JETZT BUCHEN“. Sie werden im nächsten Schritt aufgefordert, weitere Angaben zu Ihnen und den weiteren zu testenden Personen zu machen. Es handelt es sich dabei jeweils um den Vornamen, Nachnamen, Geschlecht, Anschrift und Mobiltelefonnummer aller zu testenden Personen. Als Vertragspartner müssen Sie zudem Ihre E-Mail-Adresse angeben. Diese Daten werden uns in verschlüsselter Form übermittelt. Sie sind verpflichtet, sich vor der Eingabe personenbezogener Daten von Dritten die entsprechenden Vollmacht zur Beauftragung des Labors, sowie die Einwilligungen der zu testenden Personen zur Übermittlung ihrer Stammdaten an HAT, sowie zur Übermittlung des Laborergebnisses durch das Labor an HAT einzuholen und ihnen die vorliegenden Datenschutzbestimmungen zur Verfügung zu stellen.
Ihre Daten sind einerseits erforderlich, um Sie als Vertragspartner erfassen zu können. Darüber hinaus erlaubt uns die Erfassung der Stammdaten aller zu testenden Personen bereits bei der Terminbuchung eine zeitsparende Durchführung des Tests an unserer Teststation, da sie vor Ort nicht (erneut) Ihre Stammdaten angeben müssen. Sie werden vor dem Abschluss eines Kaufs gebeten, die Richtigkeit Ihrer Angaben noch einmal zu überprüfen und in der CORONA-FREEPASS-APP bzw. der Webseite zu bestätigen.
Bei Buchung eines Tests können Sie darüber hinaus zwischen den Zahlarten Kreditkarte (über Stripe) oder PayPal auswählen. Mit der zahlungspflichtigen Bestellung werden Ihre Stammdaten an uns und die für die Zahlung erforderlichen Daten an den jeweiligen Zahlungsdienstleister übermittelt.
Bei einer erfolgreichen Buchung über die CORONA-FREEPASS-APP erhalten Sie eine Buchungsbestätigung innerhalb der App. Bei einer erfolgreichen Buchung über unsere Webseite versenden wir an unseren Vertragspartner (das ist der Besteller - und nicht an die weiteren zu testenden Personen) eine Bestätigungs-E-Mail an die angegebene E-Mail-Adresse.
9.2 Zweck
Die Datenverarbeitung erfolgt zum ordnungsgemäßen Abschluss, zur Erfüllung und Abwicklung des Vertrages. Darüber hinaus benötigen wir die Daten zur Korrespondenz mit Ihnen, zur Abrechnung unserer Leistungen, zur Abwicklung von evtl. vorliegenden Haftungsansprüchen sowie der Geltendmachung etwaiger Ansprüche gegen Sie.
9.3 Rechtsgrundlage und Widerruf von Einwilligungen
Die Verarbeitung der in Ziffer 8.1 aufgeführten personenbezogenen Daten der zu testenden Person ist zum Abschluss und zur Abwicklung des Vertrages nach Art. 6 Abs. 1 S. 1 lit. b DSGVO erforderlich. Ohne die in Ziffer 8.1 genannten Daten ist uns ein Abschluss des Vertrages sowie die Erfüllung von Verpflichtungen aus dem Vertrag nicht möglich.
9.4 Speicherdauer
Die Daten werden von uns gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr benötigt werden. Die im Rahmen des Vertragsverhältnisses von uns erhobenen und verarbeiteten personenbezogenen Daten werden bis zum Ablauf der Regelverjährungsfrist (3 Jahre nach Ablauf des Kalenderjahres, in dem der Vertrag beendet wurde) gespeichert und danach gelöscht, es sei denn, dass wir nach Artikel 6 Abs. 1 S. 1 lit. c DSGVO aufgrund von Aufbewahrungs- und Dokumentationspflichten (insb. aus HGB oder AO) zu einer längeren Speicherung verpflichtet sind. Ihre Vertragsdaten und die dazugehörigen Dokumente speichern wir für 10 Jahre (§147 Abs.3 AO), sonstige Handels- und Geschäftsbriefe für 6 Jahre (§ 257 Abs. 4 HGB).
9.5 Empfänger
Zur Abwicklung Ihrer Zahlung werden personenbezogene Daten an einen der nachfolgend aufgeführten und von Ihnen im Rahmen Ihres Einkaufs ausgewählten externen Zahlungsdienstleister weitergegeben:
- PayPal: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg. Weitere Informationen zum Datenschutz bei PayPal finden Sie unter https://www.paypal.com/de/webapps/mpp/ua/privacy-full?locale.x=de_DE.
- Kreditkarte: Stripe, Inc., 185 Berry Street, Suite 550, San Francisco, California 94107, USA. Weitere Informationen zum Datenschutz bei Stripe finden Sie unter https://stripe.com/de/privacy
Die für die Bezahlung erforderlichen Daten werden von den Zahlungsdienstleistern ggf. auch in den USA verarbeitet.
10. Durchführung Des Corona-Tests
10.1 Beschreibung der Verarbeitung
Die Durchführung des Corona-Tests erfolgt in einer unserer Teststationen. Minderjährigen Personen müssen von einem Erziehungsberechtigten begleitet werden. Dort werden Sie zunächst als unser Vertragspartner bzw, als zu testende Person identifiziert, indem wir die bei der Terminbuchung angegebenen Stammdaten (siehe Ziffer 9.1) überprüft werden. Eine solche Verifizierung beinhaltet das Vorzeigen der erfolgreichen Buchung in der CORONA-FREEPASS-APP auf dem Endgerät des Kunden oder als Ausdruck der Bestätigungs-E-Mail und nach Aufforderung der Mitarbeiter der Teststation – seines Personalausweises. Im Rahmen der Verifizierung scannt der Mitarbeiter der Teststation den QR-Code aus der CORONA-FREEPASS-APP auf dem Endgerät der zu testenden Person oder aus der Bestätigungs-E-Mail und vermerkt im System, wenn eine Identitätsüberprüfung erfolgt ist.
Im Anschluss wird der zu testenden Person eine Lösung zum Gurgeln und in ein Gefäß spucken übergeben. Zur Überprüfung der Daten und zur Entgegennahme der Probe setzen wir in den Teststationen auch Personal von externen Dienstleistern ein. Diese sind für uns im Rahmen einer Auftragsverarbeitung tätig.
Ihre Probe werden wir schließlich in pseudonymisierter Form (mit einer Probennummer oder einem QR-Code) an das Labor zur Durchführung der Laboranalyse auf SARS-CoV-2 übermitteln.
10.2 Zweck
Die Datenverarbeitung erfolgt zur Durchführung des vertraglich geschuldeten Corona-Tests der zu testenden Person.
10.3 Rechtsgrundlage und Widerruf von Einwilligungen
Die Verarbeitung ist zur Abwicklung des zwischen Ihnen und uns geschlossenen Vertrages nach Art. 6 Abs. 1 S. 1 lit. b DSGVO erforderlich.
Im Übrigen erfolgt die Verarbeitung Ihrer personenbezogenen Daten durch das Labor auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Ziff. 1 lit. b BDSG. Sie sind zur Erfüllung des Laborvertrages und zur Durchführung der medizinischen Diagnostik der entnommenen Probe erforderlich.
10.4 Speicherdauer
Zur Speicherdauer Ihrer Stamm- und Vertragsdaten verweisen wir auf Ziffer 8.4. Ihre Probe wird von uns nicht aufbewahrt, sondern an das Labor übersandt.
10.5 Empfänger
Ihre Probe wird in pseudonymisierter Form an das Labor übermitteln. Hinsichtlich der Verarbeitung der Daten von getesteten Personen besteht eine gemeinsame Verantwortlichkeit zwischen dem Labor und uns gem. Art. 26 DSGVO (siehe Ziffer 12).
11. Abwicklung des Corona-Tests, Laborergebnis, Meldepflicht
11.1 Beschreibung der Verarbeitung
Ihre Probe wird von dem Labor auf das SARS-CoV-2-Virus untersucht. Das Labor weiß bei der Untersuchung nicht, von welcher Person die Probe stammt. Dem Labor liegt lediglich eine Probennummer bzw. ein QR-Code vor. Das Laborergebnis bekommen Sie im Regelfall von uns mitgeteilt. Sofern Sie im Rahmen der Terminbuchung oder in der Teststation eine entsprechende Einwilligungserklärung abgegeben und das Labor von der Schweigepflicht entbunden haben, wird uns das Labor zu diesem Zweck Ihr Laborergebnis zu Ihrem Pseudonym mitteilen. Uns ist es dann möglich, das Laborergebnis dem betreffenden Kunden zuzuordnen. Wir erhalten dadurch Kenntnis, ob Sie positiv oder negativ auf SARS-CoV-2 getestet worden sind und werden Ihnen das Laborergebnis über die CORONA-FREEPASS-APP übermitteln. Bei der Buchung über die CORONA-FREEPASS-APP werden wir Ihnen das Testergebnis über die App mitteilen. Bei der Buchung über die Webseite werden wir den zu testenden Personen an die zuvor angegebene Mobiltelefonnummer eine Bestätigungs-SMS senden- In dieser SMS befindet sich ein Link zur Abfrage der Testergebnisse. Bei Minderjährigen gilt als Telefonnummer für die Bestätigungs-SMS die Telefonnummer des Erziehungsberechtigten.
Im Falle eines positiven Laborergebnisses ist das Labor aus Gründen des Infektionsschutzes gesetzlich verpflichtet, den Befund inkl. Ihrer Stammdaten an das zuständige Gesundheitsamt zu melden. Da das Labor aber bis zu diesem Zeitpunkt nicht über diese Daten verfügt, werden wir für positive Proben die Stammdaten von Ihrer CORONA-FREEPASS-APP abfragen und an das Labor übermitteln.
11.2 Zweck
Die Datenverarbeitung erfolgt, um Ihnen das Laborergebnis schnell und bequem mitteilen zu können. Bei einem positiven Befund erfolgt die Datenverarbeitung auch zur Erfüllung gesetzlicher Meldepflichten und zum Infektionsschutz der Bevölkerung.
11.3 Rechtsgrundlage und Widerruf der Einwilligung
Die Übermittlung des Laborergebnisses durch das Labor an uns und die Mitteilung des Laborergebnisses durch uns an die zu testende Person über die CORONA-FREEPASS-APP bzw. per SMS hat seine Rechtsgrundlage in einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO, Art. 9 Abs. 2 lit. a DSGVO. Eine Einwilligung ist freiwillig und kann jederzeit durch einfache Erklärung an die Hamburg Access Technologies GmbH (Kontaktdaten siehe Ziffer 3) mit Wirkung für die Zukunft widerrufen werden.
Die Datenübermittlung bei einem positiven Befundergebnis durch HAT an das Labor und durch das Labor an das Gesundheitsamt erfolgt aus einem öffentlichen Interesse im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 lit. i DSGVO) und zwar zum Schutz der Bürger vor Gesundheitsgefahren. Die Meldepflicht des Labors beruht auf Art. 9 Abs. 2 gem. § 7 Abs. 1 Nr. 44a, 8 Abs. 2 Nr. 2 IfSG.
11.4 Speicherdauer
Das Laborergebnis wird von uns für die Dauer von 30 Tagen gespeichert und danach gelöscht. Das Labor hat die Proben für die Dauer von einem Tag, sowie das dazugehörige Laborergebnis für die Dauer von 10 Jahren aufzubewahren. Danach werden diese Unterlagen durch das Labor vernichtet bzw. die entsprechenden Daten gelöscht.
11.5 Empfänger
Im Falle eines positiven Laborergebnisses wird das Labor gesetzlich den Befund inkl. Ihrer Stammdaten an das zuständige Gesundheitsamt übermitteln.
V. Informationen zur gemeinsamen Verantwortlichkeit zwischen HAT und dem Labor
gem. Art. 26 Abs. 2 S. 2 DSGVO
12.1 Was ist der Grund für die gemeinsame Verantwortlichkeit?
Bei „dem Projekt“ CORONA FREEPASS arbeiten HAT und Labor eng zusammen. Dies betrifft die Verarbeitung der Daten von getesteten Personen inkl. ihrer Gesundheitsdaten. Dabei hat das Labor grundsätzlich keinen Zugriff auf die personenbezogenen Daten der, in der CORONA-FREEPASS-APP registrierten Nutzer bzw. Kunden. Diese Daten sind nur auf dem Endgerät der Nutzer bzw. im System von HAT gespeichert. Das Labor erhält ausschließlich pseudonymisierte Proben zur Untersuchung. Aufgrund von Meldepflichten aus dem Infektionsschutzgesetz muss das Labor allerdings bei positiven Laborergebnissen die Stammdaten der Kunden (Vorname, Nachname, Geschlecht, Anschrift, Telefon und E-Mail-Adresse) von HAT erfahren, um diese Daten an das zuständige Gesundheitsamt melden zu können.
Die Parteien haben gemeinsam die Reihenfolge der Verarbeitung dieser Daten in den einzelnen Prozessabschnitten festgelegt. Sie sind daher innerhalb der nachfolgend beschriebenen Prozessabschnitte gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich (Art. 26 DSGVO).
12.2 Für welche Prozessabschnitte besteht eine gemeinsame Verantwortlichkeit?
Eine gemeinsame Verantwortlichkeit besteht nur hinsichtlich der Verarbeitung der personenbezogenen Stammdaten der Kunden (Vorname, Nachname, Geschlecht, Anschrift, Telefon und E-Mail-Adresse) und des Testergebnisses. Die gemeinsame Verantwortlichkeit besteht hinsichtlich der folgenden Prozessabschnitte in der mittleren Tabellenspalte:
Alleinige Verantwortlichkeit HAT | Gemeinsame Verantwortlichkeit | Alleinige Verantwortlichkeit Labor |
1. Betrieb der App und der Webseite |
|
|
| 2. Erhebung der Stammdaten bei der Buchung eines Corona-Tests (inkl. Beauftragung des Labors) in der App |
|
3. Betrieb einer Teststation |
|
|
| 4. Überprüfung Identität des Getesteten |
|
5. Durchführung der Probenentnahme/ Entgegennahme der Probe |
|
|
6. Weiterleitung der Probe an Labor |
|
|
|
| 7. Laboranalyse |
| 8. Übermittlung Testergebnisse nach Laboranalyse an Kunden |
|
| 9. Erfüllung von Meldepflichten bei positivem Testergebnis an Gesundheitsamt |
|
Für die übrigen Prozessabschnitte (linke und rechte Spalte der Tabelle) besteht keine gemeinsame Festlegung der Zwecke und Mittel der Datenverarbeitung besteht, sodass jede Partei entsprechend für diese Prozessabschnitte in eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO tätig ist.
12.3 Was haben die Parteien vereinbart?
Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben HAT und Labor vereinbart, wer von ihnen welche Pflichten nach der DSGVO erfüllt. Dies betrifft insbesondere die Wahrnehmung der Rechte der betroffenen Personen und die Erfüllung der Informationspflichten gemäß den Artikeln 13 und 14 DSGVO. Diese Vereinbarung ist notwendig, da bei der CORONA FREEPASS Dienstleistung personenbezogene Daten getesteter Personen in unterschiedlichen Prozessabschnitten und Systemen verarbeitet werden, die entweder von HAT oder Labor betrieben werden.
Prozessabschnitt
| Zuständigkeit für Prozessabschnitt | Erfüllung der Informationspflichten durch: |
12.3.1 Erhebung der Stammdaten bei der Buchung eines Corona-Tests (inkl. Beauftragung des Labors) | HAT | HAT (siehe Ziffer 9) |
12.3.2 Überprüfung Identität des Getesteten | HAT | HAT (siehe Ziffer 10) |
12.3.3 Übermittlung Testergebnis nach Laboranalyse an Kunden | Labor & HAT | HAT (siehe Ziffer 11) |
12.3.4 Erfüllung von Meldepflichten bei positivem Testergebnis an Gesundheitsamt | Labor | HAT (siehe Ziffer 11) |
11.4 Was bedeutet das für Betroffene?
Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Parteien die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten für die einzelnen Prozessabschnitte wie folgt:
- Im Rahmen der gemeinsamen Verantwortlichkeit ist
- HAT für die Verarbeitung der personenbezogenen Daten im Abschnitt 12.3.1-12.3.2 (und bei vorliegender Einwilligung des Betroffenen auch 12.3.3) zuständig und
- Labor für die Verarbeitung der personenbezogenen Daten im Abschnitt 12.3.4 (und bei fehlender Einwilligung des Betroffenen auch 12.3.3) zuständig.
- HAT macht den betroffenen Personen mit diesen Datenschutzbestimmungen die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zugänglich.
- HAT und das Labor informieren sich unverzüglich gegenseitig über von Betroffenen geltend gemachte Rechtspositionen. Sie stellen einander sämtliche für die Beantwortung von Auskunftsersuchen notwendigen Informationen zur Verfügung.
- Datenschutzrechte können sowohl bei HAT bzgl. der Abschnitte 12.3.1-12.3.3 und bei Labor bzgl. der Abschnitte 12.3.3-12.3.4 geltend gemacht werden. Betroffene erhalten die Auskunft grundsätzlich von der Stelle, bei der Rechte geltend gemacht wurden.
VI. Sicherheitsmaßnahmen
13. Sicherheitsmaßnahmen
Um Ihre persönlichen Daten vor fremdem Zugriff zu schützen, haben wir unsere App und unsere Webseite mit einem SSL-Zertifikat versehen. SSL steht für „Secure-Sockets-Layer“ und verschlüsselt die Kommunikation von Daten zwischen unserem Server und der App auf dem Endgerät des Nutzers.
VII. Ihre Rechte
14. BETROFFENENRECHTE
Im Hinblick auf die oben beschriebene Datenverarbeitung durch unseren Verein stehen Ihnen die folgenden Betroffenenrechte zu:
14.1 Auskunft (Art. 15 DSGVO)
Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, steht Ihnen unter den in Art. 15 DSGVO genannten Voraussetzungen ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO aufgeführten weiteren Informationen zu.
14.2 Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten und ggf. die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
14.3 Löschung (Art. 17 DSGVO)
Sie haben das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO im einzelnen aufgeführten Gründe zutrifft, z. B. wenn Ihre Daten für die von uns verfolgten Zwecke nicht mehr benötigt werden.
14.4 Einschränkung der Datenverarbeitung (Art. 18 DSGVO)
Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO aufgeführten Voraussetzungen gegeben ist, z. B. wenn Sie die Richtigkeit Ihrer personenbezogenen Daten bestreiten, wird die Datenverarbeitung für die Dauer eingeschränkt, die uns die Überprüfung der Richtigkeit Ihrer Daten ermöglicht.
14.5 Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, unter den in Art. 20 DSGVO aufgeführten Voraussetzungen, die Herausgabe der Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen.
14.6 Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
Sie haben das Recht, bei einer Verarbeitung, die auf einer Einwilligung beruht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf gilt ab dem Zeitpunkt seiner Geltendmachung. Er wirkt mit anderen Worten für die Zukunft. Die Verarbeitung wird durch den Widerruf der Einwilligung also nicht rückwirkend rechtswidrig.
14.7 Beschwerde (Art. 77 DSGVO)
Wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Sie können dieses Recht bei einer Aufsichtsbehörde in dem EU-Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen.
14.8 Verbot automatisierter Entscheidungen/ Profiling (Art. 22 DSGVO)
Entscheidungen, die für Sie rechtliche Folge nach sich ziehen oder Sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten - einschließlich eines Profiling - gestützt werden. Wir teilen Ihnen mit, dass wir im Hinblick auf Ihre personenbezogenen Daten keine automatisierte Entscheidungsfindung einschließlich Profiling einsetzen.
14.9 Widerspruch (Art. 21 DSGVO)
Wenn wir personenbezogene Daten von Ihnen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (zur Wahrung überwiegender berechtigten Interessen) verarbeiten, haben Sie das Recht, unter den in Art. 21 DSGVO aufgeführten Voraussetzungen dagegen Widerspruch einzulegen. Dies gilt jedoch nur, soweit Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Nach einem Widerspruch verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen. Wir müssen die Verarbeitung ebenfalls nicht einstellen, wenn sie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. In jedem Fall – auch unabhängig von einer besonderen Situation – haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten für Direktwerbung einzulegen.
15. KAMERA ZUGRIFF
15.1 Beschreibung des Zugriffs
Im Verlauf der Registrierung und zur Überprüfung der Gültigkeit von Test- und Impfzertifikaten verlangt die App Zugriff auf die Kameranutzung Ihres Smartphones.15.2 Zweck
Der Kamerazugriff erfolgt im Rahmen des Scanvorganges eines QR-Codes beispielsweise zur Validierung eines Eintrittstickets oder eines Impfzertifikates beziehungsweise eines Genesenenzertifikats. Zudem wird die Kamera im Rahmen der Erstellung eines Eigenfotos/Selfies benötigt, das nach der Validierung der persönlichen Daten bei der Zugangskontrolle zu Veranstaltungen anstelle eines Ausweisdokumentes Zugang zu Veranstaltungen gewährt und die Kontrolle beschleunigt.15.3 Rechtsgrundlage und Widerruf von Einwilligungen
Die Zugriff auf die Kamera ist zur Nutzung der App als Zutrittsinstrument zwingend erforderlich und kann jederzeit durch den Nutzer in den Einstellungen seines Smartphones widerrufen werden.16. STORAGE ZUGRIFF
16.1 Beschreibung
Die App bittet im Rahmen des Registrierungsvorganges um Zugriff auf die gespeicherten Fotos (Storage).16.2. Zweck
Der Zugriff auf den Fotospeicher (Storage) erfolgt, damit Sie als Nutzer einen Screenshot Ihres Impfzertifikates oder Genesenen-Dokuments in die App importieren können.16.3 Rechtsgrundlage und Widerruf der Einwilligung
Die Verarbeitung der in Ziffer 10.1 aufgeführten personenbezogenen Daten der zu testenden Person ist zum Abschluss und zur Abwicklung des Vertrages nach Art. 6 Abs. 1 S. 1 lit. b DSGVO erforderlich. Ohne die in Ziffer 10.1 genannten Daten ist uns ein Abschluss des Vertrages sowie die Erfüllung von Verpflichtungen aus dem Vertrag nicht möglich. Die Erhebung eines „Selfies“ und die Speicherung von Daten in dem Local Storage Ihres Endgerätes erfolgt auf Grundlage von Einwilligungen gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO. Die Einwilligungen sind freiwillig und können von Ihnen jederzeit mit Wirkung für die Zukunft im Hinblick auf das Selfie durch einfache Erklärung an die Hamburg Access Technologies GmbH (Kontaktdaten siehe Ziffer 3) und im Hinblick auf die Speicherung Ihres Impf- und Genesenenstatus‘ im Local Storage durch Anklicken dieses Opt-Out-Links widerrufen werden.16.4 Speicherdauer
Die Daten werden von uns gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr benötigt werden. Die im Rahmen des Vertragsverhältnisses von uns erhobenen und verarbeiteten personenbezogenen Daten werden bis zum Ablauf der Regelverjährungsfrist (3 Jahre nach Ablauf des Kalenderjahres, in dem der Vertrag beendet wurde) gespeichert und danach gelöscht, es sei denn, dass wir nach Artikel 6 Abs. 1 S. 1 lit. c DSGVO aufgrund von Aufbewahrungs- und Dokumentationspflichten (insb. aus HGB oder AO) zu einer längeren Speicherung verpflichtet sind. Ihre Vertragsdaten und die dazugehörigen Dokumente speichern wir für 10 Jahre (§147 Abs.3 AO), sonstige Handels- und Geschäftsbriefe für 6 Jahre (§ 257 Abs. 4 HGB). Ihren Impfstatus speichern wir für sechs Monate.17.a ABWICKLUNGDES EINLASSES ZU VERANSTALTUNGEN
17a.1 Beschreibung der Verarbeitung
Wenn Sie mittels App-Nutzung beschleunigten Zugang zu Veranstaltungen haben möchten und hierzu Ihren Impfstatus bzw. Ihren Genesenen-Status nachweisen müssen, zeigen Sie beim Zugang Ihre „Corona Freepass ID“ vor. Diese besteht aus Ihrem Selfie und einem sich ständig verändernden, animierten QR-Code. Bei der Zugangskontrolle wird dieser dynamische Code durch die Zugangskontrollierenden gescannt. Auf dem Display des Kontrollierenden erscheint Ihr Foto mit der Information, dass der Impfstatus bzw. Genesenen-Status gültig ist. Zugleich werden Sie als Anwesender der jeweiligen Veranstaltung eingecheckt.17a.2 Zweck
Mit der Anzeige des Fotos kann der Kontrollierende in sehr kurzer Zeit anhand des Fotos überprüfen, ob die vor ihm stehende Person auf der Person des Zertifikates in Bezug auf den Impf- oder Genesenen-Status‘ entspricht, ohne eine Ausweiskontrolle vornehmen zu müssen.17a.3 Rechtsgrundlage und Widerruf der Einwilligung
Die Anzeige des Fotos und des Impf- bzw. Genesenen-Status erfolgt zur Abwicklung des zwischen Ihnen und uns geschlossenen Vertrages nach Art. 6 Abs. 1 S. 1 lit. b DSGVO. Rechtsgrundlage sind die Bestimmungen der jeweiligen Eindämmungsverordnungen der Länder, die eine Überprüfung des Status als Zugangsvoraussetzung zu Veranstaltungen vorschreiben. Eine Einwilligung ist freiwillig und kann jederzeit durch einfache Erklärung an die Hamburg Access Technologies GmbH (Kontaktdaten siehe Ziffer 3) mit Wirkung für die Zukunft widerrufen werden.17a.4 Speicherdauer
Ihre CheckIn-Daten werden für die Dauer von vier Wochen gespeichert und nach deren Ablauf automatisch gelöscht.17a.5 Empfänger
Ihre CheckIn-Daten werden ausschließlich auf Verlangen der Gesundheitsbehörden und ausschließlich im Rahmen der Kontaktnachverfolgung im Falle eines Infektionsgeschehens bei einer Veranstaltung, bei der Sie eingecheckt waren, genutzt.
Stand: 23.09.2021