Datenschutzerklärung
Wir, die ALTE OLDENBURGER Krankenversicherung AG (nachfolgend „AO“), freuen uns über Ihr Interesse an unserer App „Meine AO“ (nachfolgend „App“), unserem Unternehmen und dem Umgang mit den uns anvertrauten personenbezogenen Daten. Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und möchten, dass Sie wissen, wann und wie wir als Betreiber der App Ihre personenbezogenen Daten verarbeiten.
Nachfolgend möchten wir sowohl Ihnen als Versicherungsnehmer und Nutzer der App (nachfolgend Nutzer) als auch Ihnen als mitversicherte Person des Versicherungsvertrages (nachfolgend versicherte Person) gemäß Art. 13 und 14 DSGVO bereits vor der Nutzung der App darstellen, welche personenbezogenen Daten wir im Detail verarbeiten, wofür wir diese verwenden, ob und in welchem Umfang diese von uns gespeichert und/oder ggf. an andere Empfänger übermittelt werden.
1. Name und Kontaktdaten der verantwortlichen Stelle
Diese Hinweise zum Datenschutz gelten für die Verarbeitung durch die
ALTE OLDENBURGER Krankenversicherung AG
Alte-Oldenburger-Platz 1, 49377 Vechta
als verantwortliche Stelle.
2. Kontaktdaten des Datenschutzbeauftragten
Den Datenschutzbeauftragten der AO können Sie kontaktieren unter:
ALTE OLDENBURGER Krankenversicherung AG
Datenschutz
Alte-Oldenburger-Platz 1, 49377 Vechta
oder
datenschutz@alte-oldenburger.de
3. Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten
(a) Registrierungsdaten
Im Rahmen der Registrierung bzw. des Account-Upgrades werden die vom Nutzer in die Eingabemaske eingegebenen personenbezogenen Daten (Name, Anrede, E-Mail-Adresse, Geburtsdatum, Versicherungs-Nr.) von der AO erhoben, gespeichert und zum Zwecke der Durchführung der Registrierung und App-Nutzung verarbeitet. Überdies wird die im Rahmen des Versicherungsvertrages erhobene Postanschrift des Nutzers für die postalische Versendung von Registrierungsbriefen verarbeitet. Die Verarbeitung der vorgenannten personenbezogenen Daten beruht auf Art. 6 Abs. 1 lit. b) bzw. f) DSGVO.
Sofern der Nutzer während des Registrierungsprozesses bzw. des Account-Upgrades die genannten personenbezogenen Daten bereitstellt, so erfolgt dies auf ausdrücklich freiwilliger Basis. Allerdings ist die Bereitstellung erforderlich, damit sich der Nutzer registrieren und damit die App nutzen kann oder im Falle des Account-Upgrades das Account-Upgrade durchführen und damit die erweiterten Funktionen der App nutzen kann. Ohne die Bereitstellung der personenbezogenen Daten erfolgt keine Registrierung bzw. kein Account-Upgrade.
(b) Nutzungsdaten
Zur Nutzung der App erhebt und verwendet die AO neben den unter Ziff. 3a) genannten Registrierungsdaten auch die IP-Adresse des Nutzers, die vom Nutzer verwendete App-Version, Logdaten und das vom Nutzer verwendete Passwort, wobei das Passwort verschlüsselt und durch die AO nicht einsehbar ist. Des Weiteren wird ein Langzeit-Cookie auf Ihrem Endgerät gespeichert, der der Überprüfung eines Sicherheitsfaktors (TAN) dient. Eine weitergehende Nutzung dieses technisch notwendigen Cookies sowie eine Identifikation Ihres Endgerätes erfolgen nicht.
Die App verwendet ferner, sofern der Nutzer diese Einstellung auf seinem mobilen Endgerät zulässt, Push-Benachrichtigungen, um den Nutzer über Vorgänge zu informieren, die seine Reaktion erforderlich machen könnten (z. B. Erinnerung an Medikamenteneinnahme). Die Verarbeitung der vorgenannten personenbezogenen Daten durch die AO dient der Durchführung des mit dem Nutzer abgeschlossenen Nutzungsvertrages und beruht auf Art. 6 Abs. 1 lit. b) bzw. f) DSGVO.
(c) Datenverarbeitung im Rahmen der einzelnen Funktionen der App
Wie den Nutzungsbedingungen zu entnehmen ist, bietet die App zahlreiche Funktionen. Bei folgenden Funktionen werden zur Nutzung dieser Funktionen folgende personenbezogene Daten des Nutzers und der versicherten Personen verarbeitet:
aa) Funktion „Einreichungen“
Mit der Funktion „Einreichungen“ kann der Nutzer Leistungsdokumente (Krankheitskostenrechnungen, Rezepte, Verordnungen sowie Heil- und Kostenpläne) sowie Vertragsdokumente (Mitteilungen zu Vertragsänderungen, Formulare, Bescheinigungen) bei der AO einreichen. Die in diesen Dokumenten enthaltenen personenbezogenen Daten (auch Gesundheitsdaten) des Nutzers und etwaiger versicherter Personen erhebt, speichert und nutzt die AO in ihrem Bestandsverwaltungssystem.
Sofern sich der Nutzer optional für die Cloudnutzung entscheidet, um sich gegen Datenverlust (z. B. im Falle des Wechsels oder Abhandenkommens des mobilen Endgerätes) abzusichern, werden die Dokumente und die dort enthaltenen personenbezogenen Daten des Nutzers und etwaiger versicherter Personen zusätzlich in einer Cloud gespeichert, wobei die Dokumente und personenbezogenen Daten verschlüsselt in die Cloud übertragen und in dieser verschlüsselt gespeichert werden. Die AO hat weder Zugriff auf den Schlüssel noch auf die in der Cloud gespeicherten personenbezogenen Daten.
Die Datenübertragung und somit der Transportweg von der App zum Cloud-Server und zum Server der AO erfolgt verschlüsselt. Diese Verschlüsselung gilt als ausreichend sicher, wobei trotz hoher Sicherheitsstandards nie vollständig ausgeschlossen werden kann, dass unberechtigte Dritte Daten lesen oder verändern können. Durch die Transportverschlüsselung und die Verschlüsselung der Daten sind Ihre Daten doppelt gesichert.
Wenn der Nutzer über die Funktion „Einreichungen“ die genannten Dokumente bei der AO einreicht, wird der AO der Zeitpunkt (Datum und Uhrzeit) der Einreichung mitgeteilt. Wenn der Nutzer die Möglichkeit der Cloudspeicherung nutzt, erhält die AO Informationen über Beginn, Ende und Umfang der Cloudspeicherung. Diese Informationen sind erforderlich, um die für den Betrieb der Cloud notwendigen Kapazitäten bereitzustellen und nicht mehr aktive Benutzerkonten zu erkennen. Ein Zugriff auf die Dokumente und personenbezogenen Daten in der Cloud durch die AO ist jedoch nicht möglich.
Die Verarbeitung der vorgenannten personenbezogenen Daten durch die AO dient der Durchführung des mit dem Nutzer abgeschlossenen Versicherungs- und Nutzungsvertrages und beruht auf Art. 6 Abs. 1 lit. b) bzw. f) DSGVO.
bb) Funktion „Gesundheitsakte“
Mit der Funktion „Gesundheitsakte“ kann der Nutzer personenbezogene Daten von sich (inkl. Gesundheitsdaten) sowie personenbezogene Daten (inkl. Gesundheitsdaten) etwaiger versicherter Personen und weiterer Personen digital in der App auf seinem mobilen Endgerät speichern und verwalten. Welche Daten das sind, entscheidet der Nutzer. Die AO hat keinen Zugriff auf die in der „Gesundheitsakte“ der App und damit auf dem mobilen Endgerät gespeicherten Daten.
Sofern sich der Nutzer optional für die Cloudnutzung entscheidet, um sich gegen Datenverlust (z. B. im Falle des Wechsels oder Abhandenkommens des mobilen Endgerätes) abzusichern, werden die personenbezogenen Daten (inkl. Gesundheitsdaten) des Nutzers sowie etwaiger versicherter Personen und anderer Personen zusätzlich in einer Cloud gespeichert, wobei die Dokumente und personenbezogenen Daten verschlüsselt in die Cloud übertragen und in dieser verschlüsselt gespeichert werden. Die AO hat weder Zugriff auf den Schlüssel noch auf die in der Cloud gespeicherten personenbezogenen Daten.
Wenn der Nutzer über die Funktion „Gesundheitsakte“ die genannten personenbezogenen Daten in der Cloud speichert, erhält die AO Informationen über Beginn, Ende und Umfang der Cloudspeicherung. Diese Informationen sind erforderlich, um die für den Betrieb der Cloud notwendigen Kapazitäten bereitzustellen und nicht mehr aktive Benutzerkonten zu erkennen. Ein Zugriff auf die personenbezogenen Daten in der Cloud durch die AO ist jedoch nicht möglich. Die Datenübertragung und somit der Transportweg von der App zum Cloud-Server und zum Server der AO erfolgt verschlüsselt. Diese Verschlüsselung gilt als ausreichend sicher, wobei trotz hoher Sicherheitsstandards nie vollständig ausgeschlossen werden kann, dass unberechtigte Dritte Daten lesen oder verändern können. Durch die Transportverschlüsselung und die Verschlüsselung der Daten sind Ihre Daten doppelt gesichert.
Die Verarbeitung der vorgenannten personenbezogenen Daten durch die AO dient der Durchführung des mit dem Nutzer abgeschlossenen Nutzungsvertrages und beruht auf Art. 6 Abs. 1 lit. b) und f) DSGVO.
cc) Funktion „Postbox“ (für bereits registrierte Nutzer der App nur dann, wenn das Account-Upgrade durchgeführt wird)
Die Funktion Postbox bietet dem Nutzer die Möglichkeit, die App als sein persönliches Kundenpostfach im Vertragsverhältnis zur AO zu nutzen. Das bedeutet, dass die AO dem Nutzer oder versicherten Personen im Rahmen der Nutzungsvereinbarung Leistungsabrechnungen zu seinem bei der AO bestehenden Versicherungsvertrag zu der jeweiligen Versicherungs-Nr., die er im Rahmen der Registrierung angegeben hat, verschlüsselt in die cloudbasierte Postbox einstellt und speichert und den Nutzer über die Einstellung der Dokumente in die Postbox zugleich per E-Mail auf seine im „Profil“ der App hinterlegte E-Mail-Adresse benachrichtigt. In den Leistungsabrechnungen sind verschiedene personenbezogene Daten wie Name, Versicherungsscheinnummer, Anschrift aber auch Gesundheitsdaten (z. B. behandelnde Ärzte und Einrichtungen, Behandlungszeitraum, Art der Behandlung oder Hilfsmittel) vom Nutzer und – sofern mitversichert – von versicherten Personen enthalten.
Die Verarbeitung der vorgenannten personenbezogenen Daten durch die AO dient der Durchführung des mit dem Nutzer abgeschlossenen Nutzungsvertrages und Versicherungsvertrages und beruht auf Art. 6 Abs. 1 lit. b) bzw. f) DSGVO sowie der im Registrierungs- oder Upgradeprozess abgegebenen Einwilligungserklärungen (Art. 9 Abs. 2 lit. a) DSGVO).
4. Empfänger der personenbezogenen Daten
Empfänger der personenbezogenen Daten ist Insiders Technologies GmbH (Brüsseler Straße 1, 67657 Kaiserslautern), bei dem es sich um den technischen Dienstleister der AO für die Erstellung, Verwaltung und Weiterentwicklung der App handelt. Insiders handelt für die AO als Auftragsverarbeiter gem. Art. 28 DSGVO und bedient sich zur Erfüllung seiner gegenüber der AO übernommenen Verpflichtungen wiederum seinem Unterauftragnehmer Amazon Web Services EMEA SARL (AWS Europe), 38 avenue John F. Kennedy, L-1855, Luxemburg, der als Unter-Auftragsverarbeiter („weiterer Auftragsverarbeiter“) im Sinne des Art. 28 Abs. 2, 4 DSGVO handelt und die Serverinfrastruktur der Cloud (siehe Funktionen „Einreichungen“, „Gesundheitsakte“ und „Postbox“) zur Verfügung stellt. Da die in der Cloud gespeicherten Daten verschlüsselt sind, können diese weder von Insiders noch von AWS Europe eingesehen werden.
Wie bereits oben unter Ziff. 3.c) cc) beschrieben werden personenbezogene Daten der versicherten Person, die in den Leistungsabrechnungen enthalten sind und von der AO in die cloudbasierte Postbox eingestellt werden, dem Nutzer offenbart.
5. Speicherdauer
Soweit erforderlich, speichert die AO die genannten personenbezogenen Daten für die Dauer des Nutzungsvertrages zwischen der AO und dem Nutzer und den damit verbundenen gesetzlichen Pflichten. Dazu gehören insbesondere die Aufbewahrungs- und Dokumentationspflichten nach dem Handelsgesetzbuch, der Abgabenordnung und dem Geldwäschegesetz, die abhängig von der Art der Dokumente Speicherfristen bis zu 10 Jahren vorsehen, sowie Ansprüche, die z. B. der gesetzlichen Verjährungsfrist nach dem Bürgerlichen Gesetzbuch (in der Regel 3 bis abhängig von der Art der Ansprüche max. 30 Jahre) unterliegen.
6. Rechte der Betroffenen
Dem Nutzer bzw. der versicherten Personen steht gegenüber der AO das Recht zu:
- gemäß Art. 15 DSGVO Auskunft über ihre verarbeiteten personenbezogenen Daten und bestimmte weitere Informationen zu verlangen,
- gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung ihrer gespeicherten personenbezogenen Daten zu verlangen,
- gemäß Art. 17 DSGVO unter weiteren Voraussetzungen die Löschung der gespeicherten personenbezogenen Daten zu verlangen,
- gemäß Art. 18 DSGVO unter weiteren Voraussetzungen die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen,
- gemäß Art. 20 DSGVO unter weiteren Voraussetzungen die den Nutzer bzw. die versicherte Person betreffenden personenbezogenen Daten, die der AO bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Verfahren zu erhalten und diese Daten an einen anderen Verantwortlichen ohne unsere Behinderung zu übermitteln,
- die Einwilligung in die Verarbeitung der personenbezogenen Daten jederzeit mit Wirkung für die Zukunft zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Sofern die Einwilligung widerrufen werden sollte, können die personenbezogenen Daten jedoch gegebenenfalls aufgrund eines gesetzlichen Erlaubnistatbestandes verarbeitet werden.
Ferner steht dem Nutzer bzw. der versicherten Person gegenüber der AO das Widerspruchsrecht nach Art. 21 DSGVO wie folgt zu:
Verarbeitet die AO personenbezogene Daten zur Wahrung berechtigter Interessen nach Art. 6 Abs. 1 f) DSGVO, können der Nutzer bzw. die versicherte Person dieser Verarbeitung aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit widersprechen. Die AO verarbeitet die personenbezogenen Daten dann nicht mehr, es sei denn, die AO kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten des Nutzers bzw. der versicherten Person überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Zur Ausübung der in dieser Ziffer genannten Rechte sowie bei Fragen und Beschwerden zur Verwendung der personenbezogenen Daten kann sich der Nutzer bzw. die versicherte Person an den oben genannten Datenschutzbeauftragten der AO wenden.
Zudem kann sich der Nutzer bzw. die versicherte Person mit Beschwerden bzgl. der Verarbeitung seiner/ ihrer personenbezogenen Daten auch an die zuständige Aufsichtsbehörde (Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover) wenden.
Stand 10/2021