Datenschutzhinweise der „Corona-Datenspende“

Verantwortliche Stelle im Sinne des Art. 4 Abs. 7 DSGVO:
Robert Koch-Institut, Nordufer 20, 13353 Berlin

Ansprechpartner:
Corona-Datenspende@rki.de

Datenschutzbeauftragter:
Dr. Jörg Lekschas
Nordufer 20
13353 Berlin
Tel: +49 30 18754 3594
E-Mail: Datenschutz@rki.de

Diese Datenschutzhinweise informieren Sie über Zweck, Art und Umfang der durch uns im Rahmen der Corona-Datenspende erhobenen und verarbeiteten Daten. Das Gesamtsystem „Corona-Datenspende“ umfasst die Corona-Datenspende-App (im Folgenden „App“) sowie den Backend-Server des RKI, auf dem die Daten aller Teilnehmenden analysiert und modelliert werden. Das bedeutet, dass eine Verarbeitung personenbezogener Daten nicht nur mittels der App, sondern auch durch den Backend-Server erfolgt.

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst und arbeiten in voller Übereinstimmung mit den geltenden Datenschutzbestimmungen. Die folgenden Absätze informieren Sie darüber:

• für welchen Zweck die Daten erhoben werden,
• was die rechtliche Grundlage für die Verarbeitung ist,
• wie lange wir die Daten aufbewahren und wo sie gespeichert werden,
• welche personenbezogenen Daten über die Corona-Datenspende erhoben werden,
• warum die Postleitzahl gespeichert wird,
• warum Alter, Größe, Geschlecht und Gewicht erfasst und gespeichert werden,
• dass keine Daten an Dritte weiter gegeben werden,
• welche Rechte Sie als Nutzer haben und wie Sie diese ausüben können. 

1. Zweck der Datenerhebung und -verarbeitung

Das zur Verfügung stellen der Daten, die über Ihr Fitnessarmband oder Ihre Smartwatch erfasst werden, unterstützt das Robert Koch-Institut (im Folgenden „RKI“) dabei, eine bessere Vorhersage des bundesweiten Erkrankungsverlaufs mit grippeähnlichen Erkrankungen, wie COVID-19 und damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die COVID-19-Pandemie zu ermöglichen. Die Vorhersagen sollen regelmäßig auf Landkreisebene getroffen und in anonymisierter Form der Öffentlichkeit zur Verfügung gestellt werden. Zu diesem Zweck wird zu Beginn des Einrichtungsprozesses der App Ihre Postleitzahl abgefragt. Auf Basis wissenschaftlicher Modelle berechnet ein Algorithmus auf dem Server im Backend-Bereich anhand Ihrer personenbezogenen Daten täglich die Wahrscheinlichkeit des Vorliegens einer grippeähnlichen Erkrankung, wie COVID-19. Bereits die Auswertung des Ruhepulses, der Schlafdauer und des Aktivitätslevels sind ausreichend für eine Erkennung von entsprechenden Symptomen. Ihre individuellen Daten werden zusammen mit den Daten aller anderen App-Nutzer auf Landkreisebene ausgewertet (im Folgenden „Zweck“).

**Es wird ausdrücklich darauf hingewiesen, dass die App weder eine medizinische Beratung noch eine individuelle Diagnostik durchführt. **

2. Einwilligung in die Datenverarbeitung

Die Verarbeitung von Daten erfolgt auf Grundlage Ihrer Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten) zu dem oben genannten Zweck (Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO).

3. Umfang der erhobenen Daten, Speicherort und -dauer

Wir verarbeiten die in Ziff. 4 genannten personenbezogenen Daten der Nutzer der Corona-Datenspende zweckgebunden und gemäß den gesetzlichen Bestimmungen.

Zu dem oben genannten Zweck werden Ihre Postleitzahl, Ihr Alter, Ihre Größe, Ihr Geschlecht und Ihr Gewicht und die Daten Ihres Fitnessarmbands zusammengeführt. Der Abruf der Daten Ihres Fitnessarmbands erfolgt unter Nutzung eines durch die App automatisch generierten Pseudonyms (Token) und erst nach Ihrer entsprechenden Freigabe in Apple Health, Samsung Health oder auf den Seiten Ihres Fitnessarmband-Anbieters (Fitbit, Garmin, Polar, Withings, Google Fit, Oura, Amazfit). Bei Apple Health, Samsung Health, Garmin, Fitbit, Oura, Polar und Withings werden keine Profildaten übertragen. Bei der Freigabe der Daten über Google Fit wird das Profilbild, falls im Google Account hinterlegt, übermittelt. Bei der Freigabe der Daten über Amazfit wird das Geburtsdatum (Monat/Jahr) übermittelt. Diese Daten werden zusammen mit den anderen Daten im Arbeitsspeicher verarbeitet und bei der Speicherung der Daten verworfen. Die Freigabe der Daten über Polar und Amazfit erlaubt aus technischen Gründen auch den Zugriff auf Profildaten (Name, Vorname, Geburtsdatum, Größe, Gewicht, Geschlecht). Die Freigabe der Daten über Samsung erlaubt aus technischen Gründen auch den Zugriff auf eine Geräte-ID des Smartphones und des Fitnessarmbands. Diese Daten werden allerdings bei keinem der Anbieter abgerufen und somit nicht durch das RKI verarbeitet. Entsprechend der Einwilligung wurden vor dem 08.05.2020 Alter, Geschlecht, Größe und Gewicht bei allen Fitnessarmband-Herstellern sofern hinterlegt, abgerufen, übertragen und gerundet gespeichert. Bei Nutzern von Fitbit, Polar und Google Fit, die sich vor diesem Datum registriert haben, wurden Profilinformationen (Name, Vorname) bis zu diesem Datum übertragen, jedoch nicht gespeichert.

• Welche Daten für den Zweck gespeichert werden, wird in Ziff. 4 genannt. Ob ggf. durch die erteilte Freigabe weitere Informationen beim Hersteller Ihres Fitnessarmbands abrufbar sind, wird durch die Fitnessarmband-Hersteller selbst vorgegeben. Zu keinem Zeitpunkt speichert das RKI unmittelbar identifizierende Informationen wie Namen oder Adresse. Ausschließlich die in Ziff. 4 genannten Daten werden gespeichert.
• Das in der App angezeigte Pseudonym ermöglicht Ihnen die Ausübung Ihrer Betroffenenrechte. Bitte behandeln Sie dieses sorgfältig und halten Sie es vor dem Zugriff durch Dritte geschützt. Bei Verlust Ihres Pseudonyms haben Sie keine Möglichkeit mehr, die Löschung Ihrer Daten zu verlangen.
• Indem das Konto Ihres Fitnessarmband-Anbieters mit der Corona-Datenspende verbunden wird, erlauben Sie dem RKI, die Daten, die von den Fitnessarmband-Herstellern zur Verfügung gestellt werden, abzurufen, zu verarbeiten und die unter Ziff. 4.3 genannten Daten zum o.g. Zweck zu speichern. Das RKI ruft dabei nur die Daten ab, die ab dem Zeitpunkt Ihrer Einwilligung in die Nutzung der App durch Ihr Fitnessarmband erfasst worden sind. Gegenüber dem Anbieter Ihres Fitnessarmbands haben Sie das Recht zu verlangen, dass die Sie betreffenden und dort gespeicherten personenbezogenen Daten an das RKI übermittelt werden sollen (Recht auf Datenübertragbarkeit gemäß Artikel 20 DSGVO). Dieser Import erfolgt initial bei Freigabe und regelmäßig sobald neue Fitnessarmband-Daten vorliegen.
• Der Abruf der Daten Ihres Fitnessarmbands erfolgt zwischen dem Server des RKI und den Servern der Anbieter der Fitnessarmbänder. Ausnahmen bilden dabei die Verknüpfungen Ihres Fitnessarmbands über Apple Health oder Samsung Health. In diesen Fällen erfolgt der Abruf zwischen dem Smartphone des App-Nutzers und dem Server des RKI. Diese Daten werden verschlüsselt zu dem von uns ausschließlich in Deutschland betriebenen Server übertragen, dort verarbeitet und die unter Ziff. 4.3 genannten Daten werden gespeichert.
• Ihre personenbezogenen Daten werden gelöscht, sobald der in Ziff. 1 genannte Zweck der Datenerhebung und -verarbeitung entfällt, spätestens jedoch nach 10 Jahren. Bis zu diesem Zeitpunkt werden Ihre Daten pseudonymisiert auf einem RKI Server gespeichert. Entsprechend der Leitlinie 17 der „Leitlinien zur Sicherung guter wissenschaftlicher Praxis“ der Deutschen Forschungsgemeinschaft (Stand: September 2019) ist die Speicherung der Daten bis zu 10 Jahre erforderlich. Lediglich die Auswertungsergebnisse werden zu Forschungszwecken in aggregierter und anonymisierter Form, die keinen Rückschluss auf Ihre Person zulässt, veröffentlicht und dauerhaft in einer wissenschaftlichen Forschungsdatenbank des RKI gespeichert.
• Wenn Sie die App nicht mehr nutzen wollen, können Sie über den Button „Nutzer löschen“ im Menü in der App sowohl Ihr Konto als auch alle damit verbundenen und gespeicherten Informationen, sowohl in der Datenspende-App, als auch auf dem RKI-Backend-Server löschen. Daten, die zu diesem Zeitpunkt bereits in Auswertungen eingeflossen sind und veröffentlicht wurden, können aus diesen nicht mehr rückwirkend entfernt werden, da sie ausschließlich in anonymisierter Form in die Auswertungen eingegangen sind. Daten, die noch nicht anonymisiert ausgewertet wurden, werden jedoch nicht mehr für zukünftige Auswertungen herangezogen und gelöscht. Aufgrund von technischen Gegebenheiten kann die vollständige Löschung der Daten bis zu 30 Tage in Anspruch nehmen. Die angegebene Löschfrist von 30 Tagen bezieht sich auf die Datenhaltung in Backups. Im aktiven System werden die Daten innerhalb von maximal 24 Stunden gelöscht, i.d.R. wesentlich schneller.
• Um die Freigabe Ihrer Daten zu widerrufen, reicht eine einfache Deinstallation der App mit Ausnahme von Apple Health und Samsung Health technisch nicht aus, da dadurch die Verbindung nicht getrennt wird. Sollten Sie die App deinstalliert haben, ohne die Freigabe Ihrer Daten zu widerrufen, können Sie die Freigabe jederzeit beim Anbieter Ihres Fitnessarmbands bzw. Ihrer Smartwatch zurücknehmen.

Sie können jederzeit die Freigabe Ihrer Daten in der App widerrufen. Dazu können Sie im Menüpunkt „Datenquellen“ die Verbindung mit dem Fitnessarmband oder der Smartwatch trennen. Wenn Ihr Fitnessarmband oder Ihre Smartwatch mit Apple Health oder Samsung Health arbeitet, muss die Datenfreigabe in Apple Health bzw. Samsung Health zurückgezogen werden. Wurde die Verknüpfung mit der Datenquelle getrennt, werden keine Daten mehr an das RKI übermittelt. Ihre bis dahin freigegebenen Daten bleiben von der Rücknahme der Freigabe unberührt.

4. Abruf und Speicherung von personenbezogenen Daten

• Die individuelle Nutzung der App basiert auf einem pseudonymen Token.

• Bei Apple Health, Samsung Health, Garmin, Fitbit, Oura, Polar und Withings werden keine Profildaten übertragen. Bei der Freigabe der Daten über Google Fit wird das Profilbild, falls im Google Account hinterlegt, übermittelt. Bei der Freigabe der Daten über Amazfit wird das Geburtsdatum übermittelt. Diese Daten werden zusammen mit den anderen Daten im Arbeitsspeicher verarbeitet und bei der Speicherung der Daten verworfen. Die Freigabe der Daten über Polar und Amazfit erlaubt aus technischen Gründen auch den Zugriff auf Profildaten (Name, Vorname, Geburtsdatum, Größe, Gewicht, Geschlecht). Die Freigabe der Daten über Samsung erlaubt aus technischen Gründen auch den Zugriff auf eine Geräte-ID des Smartphones und des Fitnessarmbands. Diese Daten werden allerdings bei keinem der Anbieter abgerufen und somit nicht durch das RKI verarbeitet. Entsprechend der Einwilligung wurden vor dem 08.05.2020 Alter, Geschlecht, Größe und Gewicht bei allen Fitnessarmband-Herstellern sofern hinterlegt, abgerufen, übertragen und gerundet gespeichert. Bei Nutzern von Fitbit, Polar und Google Fit, die sich vor diesem Datum registriert haben, wurden Profilinformationen (Name, Vorname) bis zu diesem Datum übertragen, jedoch nicht gespeichert.

• Folgende personenbezogene Gesundheitsdaten können nach Ihrer Freigabe durch den Anbieter Ihres Fitnessarmbands automatisch an den RKI Server gesendet und dort gespeichert werden:

• Automatisch und manuell erfasste Aktivitäten Ihres Fitnessarmbands , wie bspw.:

  • Sport (bspw. Fahrradfahren, Laufen)
  • Schlafen und Schlafphasen
  • Aktivsein (bspw. Gehen, Aktivität)
  • Ruhezeiten

• Automatisch und manuell erfasste Vitaldaten Ihres Fitnessarmbands, wie bspw.:

  • Puls
  • Herzratenvariabilität
  • Stress
  • Temperatur
  • Blutdruck

Die konkrete Ausprägung der o.g. Variablen für Ihr Fitnessarmband ist in den FAQ unter der Frage „Welche Daten werden abgerufen?“ abrufbar.

5. Speicherung der Postleitzahl

Für die Nutzung der App ist die Eingabe der Postleitzahl notwendig, in deren Bereich Sie sich überwiegend aufhalten. Damit wird für den oben genannten Zweck die Anzahl wahrscheinlicher Erkrankungen pro Landkreis zusammengefasst.

6. Speicherung von Alter, Größe, Geschlecht und Gewicht

Für die Nutzung der App ist die Eingabe von Alter (gerundet auf 5 Jahre), Größe (gerundet auf 5 cm), Geschlecht und Gewicht (gerundet auf 5 kg) notwendig, da diese in den Algorithmus einfließen, mit dem verschiedene Symptome erkannt werden können, die unter anderem mit einer SARS-CoV-2-Infektion in Verbindung gebracht werden.

7. Datenweitergabe an Dritte

• Personenbezogene Daten werden von uns streng vertraulich behandelt und nicht an Dritte weitergegeben.
• Bei der Corona-Datenspende werden keinerlei Daten an Analysedienste wie Google Analytics oder soziale Plattformen wie Facebook übermittelt.

8. Datensicherheit

• Wir beschränken den Zugriff auf an uns übermittelte Daten auf diejenigen Mitarbeiter, die den Zugriff für die Dienstleistungserbringung benötigen. Diese sind vertraglich auf die Einhaltung der gesetzlichen Datenschutzbestimmungen verpflichtet.
• Die App wurde von der mHealth Pioneers GmbH, Körtestraße 10, 10967 Berlin, Sie betreibt die App im Auftrag und auf Weisung des RKI (Auftragsverarbeitung).
• Um Ihre Daten zu schützen, wurden umfangreiche technische und organisatorische Maßnahmen umgesetzt (z.B. Firewalls, Verschlüsselungs- und Authentifizierungstechniken, Verfahrensanweisungen).

Sie haben folgende Datenschutzrechte nach Art. 15-20 und 77 Abs. 1 DSGVO:

• Das Recht, Auskunft zu verlangen, welche Daten über Sie gespeichert wurden, und diese bei Unrichtigkeit berichtigen bzw. vervollständigen zu lassen, das Recht, die Sie betreffenden personenbezogenen Daten löschen oder für die Verarbeitung beschränken zu lassen sowie das Recht, die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen maschinenlesbaren Format zu erhalten.

Diese Rechte können Sie solange geltend machen, wie die Daten Ihrer Person zugeordnet werden können.

• Das Recht, Ihre Einwilligung jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft zu widerrufen und die Benutzung der App zu beenden, ohne dass dadurch nachteilige Folgen für Sie entstehen. Dies kann z.B. erfolgen, indem Sie die Verbindung zu Ihrem Fitnessarmband-Anbieter in der App trennen, indem Sie die Datenfreigabe in Ihrem Konto Ihres Fitnessarmband-Anbieters zurücknehmen, oder im Falle von Apple Health und Samsung Health, indem Sie die Rücknahme in Apple Health Samsung Health vornehmen.
• Das Recht, sich beim Datenschutzbeauftragten der Verantwortlichen (s.o.) oder bei der jeweiligen Aufsichtsbehörde (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Str. 153 – 53117 Bonn, +49 (0)228-997799-0) zu beschweren.

Ich willige darin ein,

1. dass meine für den Zweck der Nutzung der Corona-Datenspende erforderlichen, oben beschriebenen personenbezogenen Daten, insbesondere meine Gesundheitsdaten, erhoben, gespeichert, in der oben beschriebenen Form verarbeitet und mit den Daten der anderen App-Nutzer zusammen ausgewertet werden,
2. dass für den Zweck der Nutzung der Corona-Datenspende meine personenbezogenen Daten meines Fitnessarmbands (bereitgestellt durch meinen Fitnessarmband-Hersteller) in pseudonymisierter Form an das Robert Koch-Institut übermittelt werden,
   • Sonderfall Google Fit: Sofern ich ein Profilbild im Google Account hinterlegt habe, willige ich darin ein, dass zusätzlich zu den personenbezogenen Daten meines Fitnessarmbands auch mein Profilbild an das Robert Koch-Institut übermittelt werden darf. Dieses wird zusammen mit den anderen Daten im Arbeitsspeicher verarbeitet und bei der Speicherung der Daten verworfen. Die übrig bleibenden Daten werden pseudonymisiert gespeichert.
   • Sonderfall Amazfit: Ich willige darin ein, dass zusätzlich zu den personenbezogenen Daten meines Fitnessarmbands auch mein Geburtsdatum (Monat/ Jahr) an das Robert Koch-Institut übermittelt werden darf. Dieses wird zusammen mit den anderen Daten im Arbeitsspeicher verarbeitet und bei der Speicherung der Daten verworfen. Die übrig bleibenden Daten werden pseudonymisiert gespeichert.
3. dass die Auswertungsergebnisse in anonymer Form, die keinen Rückschluss auf meine Person zulässt, veröffentlicht und dauerhaft in einer wissenschaftlichen Forschungsdatenbank des Robert Koch-Instituts gespeichert werden.

Frühere Datenschutzhinweise der Corona-Datenspende-App:

• Datenschutzhinweise der „Corona-Datenspende-App“ vom 04.06.2020
• Datenschutzhinweise der „Corona-Datenspende-App“ vom 07.04.2020