Datenschutzinformationen für die ServiceApp der Heimat Krankenkasse
I. Allgemeines
1. Verantwortlicher
Die Heimat Krankenkasse nimmt den Schutz Ihrer personenbezogenen Daten und die diesem Schutz dienenden gesetzlichen Verpflichtungen sehr ernst. Die gesetzlichen Vorgaben verlangen umfassende Transparenz über die Verarbeitung personenbezogener Daten. Nur wenn Sie ausreichend über Zweck, Art und Umfang der Verarbeitung informiert sind, ist die Verarbeitung für Sie als betroffene Person nachvollziehbar.
Unsere Datenschutzinformationen erklären Ihnen deshalb ausführlich, welche personenbezogenen Daten von uns bei der Nutzung unserer ServiceApp und den damit verbundenen Softwarelösungen, Diensten und Funktionen (im Folgenden gemeinsam „Dienste“) verarbeitet werden.
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie sonstiger datenschutzrechtlicher Vorgaben ist die
Heimat Krankenkasse
Herforder Straße 23
33602 Bielefeld
Telefon: +49 521 92395-0
E-Mail: info@ heimat-krankenkasse.de
Im Folgenden „Verantwortlicher" oder „wir“ genannt.
Sie erreichen den Datenschutzbeauftragten unter:
Heimat Krankenkasse
Herforder Straße 23
33602 Bielefeld
E-Mail: datenschutz@heimat-krankenkasse.de
Für die vollumfängliche Nutzung der Dienste ist ein Verknüpfung mit Ihrem Nutzerkonto bei d.velop postbox (früher: foxdox) der d.velop business services GmbH, Schildarpstraße 6-8, 48712 Gescher („d.velop“) erforderlich. Für Verarbeitungen, die Sie über die Dienste in d.velop postbox (früher: foxdox) auslösen, ist d.velop der Verantwortliche i.S. der DSGVO, des BDSG sowie sonstiger datenschutzrechtlicher Vorgaben.
Informationen über die Verarbeitung Ihrer personenbezogenen Daten durch d.velop erhalten Sie unter https://www.d-velop.de/datenschutz und https://mein.foxdox.de/legal/privacypolicy.
Beachten Sie bitte, dass wir nicht für die Datenverarbeitung der App Stores (iTunes Store® oder Google Play®) verantwortlich sind, in denen Sie unsere ServiceApp herunterladen können. Bitte informieren Sie sich hierüber in den jeweiligen Datenschutzerklärungen der Betreiber der App Stores.
Bitte beachten Sie, dass Sie über Links in den Diensten zu anderen Websites und Plattformen gelangen können, die nicht von uns, sondern von Dritten betrieben werden. Solche Links werden von uns entweder eindeutig gekennzeichnet oder sind durch einen Wechsel der Apps oder in der Adresszeile Ihres Browsers erkennbar. Für die Einhaltung der datenschutzrechtlichen Bestimmungen und einen sicheren Umgang mit Ihren personenbezogenen Daten auf diesen von Dritten betriebenen Websites oder Apps sind wir nicht verantwortlich.
2. Definitionen
Aus der DSGVO
Diese Datenschutzerklärung verwendet die Begriffe des Gesetzestextes der DSGVO. Die Begriffsbestimmungen (Art. 4 DSGVO) können Sie z.B. hier einsehen.
Zusätzliche Begriffsbestimmungen:
Cookies und ähnliche Technologien
Cookies sind Textdateien, die von einer Website oder anderen Diensten auf Ihrem Endgerät abgelegt bzw. dort ausgelesen werden. Sie enthalten Buchstaben- und Zahlenkombinationen, um z.B. bei einer erneuten Verbindung zur Cookie-setzenden Website bzw. dem entsprechenden Dienst den Nutzer und seine Einstellungen wiederzuerkennen, das Eingeloggt-Bleiben in einem Kundenkonto zu ermöglichen oder ein bestimmtes Nutzungsverhalten statistisch zu analysieren.
Die WebStorage Technik ermöglicht es, Variablen und Werte lokal im Browser-Cache des Nutzers zu speichern. Die Technik umfasst sowohl den sog. "sessionStorage", der bis zum Beenden des Browser-Tabs gespeichert bleibt, wie auch den "localStorage", der so lange im Cache des Browsers gespeichert wird, bis der Cache vom Nutzer geleert wird. Die localStorage Technik ermöglicht es u.a., den Nutzer und seine Einstellungen bei dem Aufruf unserer Website wiederzuerkennen.
Datenkategorien
Wenn wir die verarbeiteten Datenkategorien angeben, sind darunter insbesondere die folgenden Daten gemeint: Stammdaten (z.B. Namen, Anschrift, Geburtsdaten), Kontaktdaten (z.B. E-Mail-Adressen, Telefonnummer, Messengerdienste), Inhaltsdaten (z.B. Texteingaben, Fotografien, Videos, Inhalte von Dokumenten/Dateien), Vertragsdaten (z.B. Vertragsgegenstand, Laufzeiten, Kundenkategorie), Zahlungsdaten (z.B. Bankverbindungen, Zahlungshistorie, Verwendung sonstiger Zahlungsdienstleister), Nutzungsdaten (z.B. Verlauf der Nutzung unserer Dienste, Nutzung bestimmter Inhalte, Zugriffszeiten, Kontakt- oder Bestellhistorie), Verbindungsdaten (z.B. Geräte-Informationen, IP-Adressen, URL-Referrer), Standortdaten (z.B. GPS-Daten, IP-Geolokalisierung, Zugriffspunkte).
3. Informationen zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies gesetzlich zulässig ist. Eine Weitergabe personenbezogener Daten findet ausschließlich in den unten beschriebenen Fällen statt. Die personenbezogenen Daten werden durch angemessene technische und organisatorische Maßnahmen (z.B. Pseudonymisierung, Verschlüsselung) geschützt.
Sofern wir nicht gesetzlich zu einer Speicherung oder einer Weitergabe an Dritte (insbesondere Strafverfolgungsbehörden) verpflichtet sind, hängt die Entscheidung, welche personenbezogenen Daten von uns wie lange verarbeitet werden und in welchem Umfang wir sie ggf. offenlegen, davon ab, welche Funktionen der Dienste Sie im Einzelfall nutzen.
4. Speicherdauer
Die personenbezogenen Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt oder eine vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der personenbezogenen Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.
Die von uns auf Ihrem Endgerät (Smartphone, Tablet) gespeicherten personenbezogenen Daten werden gelöscht, wenn Sie die App löschen. Eine Löschung der personenbezogenen Daten unmittelbar durch uns auf Ihrem Endgerät ist nicht möglich.
5. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling zur Herbeiführung einer solchen Entscheidung gemäß Art. 22 Abs. 1, 4 DSGVO erfolgen nicht.
6. Rechte betroffener Personen
Sie haben als betroffene Person das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sowie das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Beschränkungen aus §§ 34, 35 BDSG, §§ 83, 84 SGB X. Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO in Verbindung mit § 19 BDSG, § 81 SGB X).
Die für uns zuständige Datenschutzaufsichtsbehörde ist:
Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
Husarenstraße 30
53117 Bonn
Telefon: 0228 997799-0
Fax: 0228 997799-550
E-Mail: poststelle@ bfdi.bund.de
7. Mitteilungspflichten des Verantwortlichen
Wir teilen allen Empfängern, denen Ihre personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung Ihrer personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Art. 16, Art. 17 Abs. 1 und Art. 18 DSGVO mit, es sei denn, die Mitteilung ist unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden. Wir unterrichten Sie über die Empfänger, wenn Sie dies verlangen.
8. Pflicht zur Bereitstellung
Soweit nachfolgend bei den Angaben zu den Rechtsgrundlagen nichts anderes erläutert wird, sind Sie zur Bereitstellung personenbezogener Daten nicht verpflichtet. In den Fällen des Art. 6 Abs. 1 Buchst. b DSGVO sind die personenbezogenen Daten jedoch zu einer Vertragserfüllung oder zu einem Vertragsabschluss erforderlich. Stellen Sie die betroffenen personenbezogenen Daten nicht zur Verfügung, ist die Vertragserfüllung oder der Vertragsabschluss nicht möglich. Stellen Sie die Daten in den Fällen des Art. 6 Abs. 1 Buchst. a, f DSGVO nicht zur Verfügung, ist eine Nutzung der betroffenen Teile unserer Dienste nicht möglich.
Um von den hier erläuterten Diensten auf Ihrem Endgerät (Smartphone, Tablet) Gebrauch zu machen, sind unter Umständen auch Zugriffsrechte auf folgende Schnittstellen, Gerätefunktionen und Gerätedaten Ihres Endgeräts erforderlich: Systemfunktionen (z.B. Kamera oder Mikrofon), gespeicherte Inhalte (z.B. Dokumente oder Fotos). Sie sind nicht dazu verpflichtet, die erläuterten Berechtigungen einzuräumen. Eine Nutzung der Dienste und Funktionen ist dann jedoch nicht bzw. nur eingeschränkt möglich.
9. Widerspruchsrecht und Widerruf der Einwilligung
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 Buchst. f DSGVO erfolgt, Widerspruch einzulegen. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen.
Sie haben gemäß Art. 7 Abs. 3 S. 1 DSGVO das Recht, Ihre Einwilligung jederzeit mit Wirkung für die Zukunft formlos per Post oder E-Mail zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hiervon nicht berührt. Auf Ihren Widerruf werden wir die auf Grundlage der Einwilligung verarbeiteten personenbezogenen Daten löschen, wenn es keine andere Rechtsgrundlage für deren Verarbeitung gibt.
Widerspruch und Widerruf können formfrei erfolgen und sollten gerichtet werden an die oben genannten Kontaktdaten.
Sie können bestimmte Einwilligung(en) auch in den Einstellungen der ServiceApp oder ihres Endgeräts (Smartphone, Tablet) durch Deaktivierung der entsprechenden Funktionen widerrufen.
II. Datenverarbeitung im Zusammenhang mit der Nutzung unserer Dienste
Die Nutzung der Dienste und ihrer Funktionen erfordert regelmäßig die Verarbeitung bestimmter personenbezogener Daten.
Betrieb der Dienste
Zweck der Verarbeitung: Funktionsfähigkeit und Optimierung der Dienste; Verknüpfung mit Ihrem Account bei d.velop postbox (früher: foxdox) und Einbindung der Funktionen; Gewährleistung der Sicherheit unserer informationstechnischen Systeme. Dies ist zugleich unser berechtigtes Interesse gemäß Art. 6 Abs. 1 Buchst. f DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 Buchst. b, f DSGVO
Datenkategorien: Kontaktdaten, Verbindungsdaten, ggf. Nutzungsdaten und Inhaltsdaten. Wir haben keinen Zugriff auf Ihre bei der d.velop in d.velop postbox (früher: foxdox) gespeicherten Daten.
Empfänger der Daten: IT-Dienstleister; d.velop business services GmbH, Schildarpstraße 6-8, 48712 Gescher; d.velop AG, Schildarpstraße 6-8, 48712 Gescher
Beabsichtigte Drittlandübermittlung: Keine
Speichern wir auf Ihrem Endgerät aufgrund Ihrer Einwilligung personenbezogene Daten oder lesen solche aus? Nein
Registrierung, Benutzerzugang und Authentifizierung (Credentials)
Zweck der Verarbeitung: Registrierung über zugesandte Registrierungsdaten oder selbstständige Registrierung und Authentifizierung über d.velop postbox (früher: foxdox) als Voraussetzung für die Nutzung der Dienste; Gewährleistung der Sicherheit unserer informationstechnischen Systeme. Dies ist auch unser berechtigtes Interesse gemäß Art. 6 Abs. 1 Buchst. f DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 Buchst. b, f DSGVO
Datenkategorien: Stammdaten, Kontaktdaten, ggf. Nutzungsdaten, Verbindungsdaten
Empfänger der Daten: d.velop business services GmbH, Schildarpstraße 6-8, 48712 Gescher; ; d.velop AG, Schildarpstraße 6-8, 48712 Gescher (als gemeinsam Verantwortliche, Art. 26 DSGVO – das Wesentliche der Vereinbarung kann am Ende dieser Datenschutzinformationen abgerufen werden)
Beabsichtigte Drittlandübermittlung: Keine
Speichern wir auf Ihrem Endgerät aufgrund Ihrer Einwilligung personenbezogene Daten oder lesen solche aus? Nein
Abruf von Dokumenten (Postfach des Nutzers)
Zweck der Verarbeitung: Einbindung eines elektronischen Postfachs des Nutzers zum Empfangen und Abrufen von Dokumenten aus d.velop postbox (früher: foxdox), die wir an den Nutzer versenden (als Alternative zum Versand von Postdokumenten); Gewährleistung der Sicherheit unserer informationstechnischen Systeme. Dies ist auch unser berechtigtes Interesse gemäß Art. 6 Abs. 1 Buchst. f DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 Buchst. b, f DSGVO
Datenkategorien: ggf. Stammdaten, ggf. Kontaktdaten, ggf. Inhaltsdaten; ggf. Nutzungsdaten, Verbindungsdaten (je nach Art der Inhalte)
Empfänger der Daten: d.velop business services GmbH, Schildarpstraße 6-8, 48712 Gescher; d.velop AG, Schildarpstraße 6-8, 48712 Gescher
Beabsichtigte Drittlandübermittlung: Keine
Speichern wir auf Ihrem Endgerät aufgrund Ihrer Einwilligung personenbezogene Daten oder lesen solche aus? Nein
Übermittlung von Nutzer-Dokumenten und Speicherung
Zweck der Verarbeitung: Übermittlung von Daten und Dokumenten der Nutzer über die Dienste aus ihrem Postfach bei d.velop postbox (früher: foxdox) an uns (als Alternative zum Versand von Postdokumenten); Speicherung der von den Nutzern übermittelten Dokumente in unserem Postfach bei d.velop post (früher: foxdox); Gewährleistung der Sicherheit unserer informationstechnischen Systeme. Dies ist auch unser berechtigtes Interesse gemäß Art. 6 Abs. 1 Buchst. f DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 Buchst. b, f DSGVO
Datenkategorien: ggf. Stammdaten, ggf. Kontaktdaten, ggf. Inhaltsdaten; ggf. Nutzungsdaten, Verbindungsdaten (je nach Art der Inhalte)
Empfänger der Daten: d.velop business services GmbH, Schildarpstraße 6-8, 48712 Gescher; d.velop AG, Schildarpstraße 6-8, 48712 Gescher
Beabsichtigte Drittlandübermittlung: Keine
Speichern wir auf Ihrem Endgerät aufgrund Ihrer Einwilligung personenbezogene Daten oder lesen solche aus? Nein
Push-Mitteilungen (Status und Service-Informationen zu Ihrem Postfach)
Zweck der Verarbeitung: Einblendung und Übersendung von Push-Benachrichtigungen zum Bearbeitungsstatus von Dokumenten und Anträgen sowie über neue Dokumente in Ihrem elektronischen Postfach (z.B. Statusinformationen zu Leistungsanträgen oder Serviceaufträgen); Speicherung der Benachrichtigung im Falle der Erbringung von persönlichen Beratungsleistungen; Protokollierung des Versands der Mitteilung in sonstigen Fällen ohne Speicherung des Inhalts; Gewährleistung der Sicherheit unserer informationstechnischen Systeme.
Rechtsgrundlage: Art. 6 Abs. 1 Buchst. a DSGVO
Datenkategorien: ggf. Stammdaten, ggf. Kontaktdaten, ggf. Inhaltsdaten; ggf. Nutzungsdaten, Verbindungsdaten (je nach Art der Benachrichtigung)
Empfänger der Daten: d.velop business services GmbH, Schildarpstraße 6-8, 48712 Gescher; d.velop AG, Schildarpstraße 6-8, 48712 Gescher
Beabsichtigte Drittlandübermittlung: Keine
Speichern wir auf Ihrem Endgerät aufgrund Ihrer Einwilligung personenbezogene Daten oder lesen solche aus? Nein
Push-Mitteilungen (Kundeninformationen, Angebote und Neuigkeiten)
Zweck der Verarbeitung: Einblendung und Übersendung von Push-Benachrichtigungen zu Angeboten und Neuigkeiten der Heimat Krankenkasse und ausgewählter Partner (z.B. Tipps zu den Funktionen der ServiceApp oder neuen Angeboten).
Rechtsgrundlage: Art. 6 Abs. 1 Buchst. a DSGVO
Datenkategorien: ggf. Stammdaten, ggf. Kontaktdaten, ggf. Inhaltsdaten (Ihre Einwilligung), ggf. Verbindungsdaten
Empfänger der Daten: IT-Dienstleister; IT-Dienstleister; d.velop business services GmbH, Schildarpstraße 6-8, 48712 Gescher; d.velop AG, Schildarpstraße 6-8, 48712 Gescher
Beabsichtigte Drittlandübermittlung: Keine
Speichern wir auf Ihrem Endgerät aufgrund Ihrer Einwilligung personenbezogene Daten oder lesen solche aus? Nein
III. Informationen für gemeinsam Verantwortliche
1. Liste der gemeinsam Verantwortlichen
An den oben unter „Registrierung, Benutzerzugang und Authentifizierung (Credentials)“ beschriebenen Datenerarbeitungen sind die folgenden Verantwortlichen als gemeinsam Verantwortliche beteiligt:
Der Verantwortliche gemäß Ziff. I.1
d.velop business services GmbH, Schildarpstraße 6-8, 48712 Gescher
d.velop AG, Schildarpstraße 6-8, 48712 Gescher
2. Rollen und Pflichten der gemeinsam Verantwortlichen
Die in unter III.1 genannten gemeinsam Verantwortlichen haben gemeinsam die Zwecke der bzw. die Mittel zur Verarbeitung festgelegt. Hierbei handelt es sich um die unter II. und der Überschrift „Registrierung, Benutzerzugang und Authentifizierung (Credentials)“ beschrieben Verarbeitung. Für die nach der Registrierung und Authentifizierung erfolgende weitere Datenverarbeitung ist allein der Verantwortliche gemäß Ziff. I.1 verantwortlich. Die Unternehmen der d.velop-Gruppe werden hier als Auftragsverarbeiter tätig.
Die Erfüllung der Datenschutzpflichten haben die gemeinsam Verantwortlichen wie folgt aufgeteilt: Jeder der gemeinsam Verantwortlichen erfüllt die ihm obliegenden Datenschutzpflichten selbst. Die gemeinsam Verantwortlichen unterstützten sich jedoch gegenseitig bei deren jeweiliger Erfüllung.
3. Anlaufstelle für betroffene Personen
Für die Information betroffener Personen über die Verarbeitung gemäß Artt. 13, 14 DSGVO und die Bearbeitung von Anfragen betroffener Personen gemäß Artt. 15 ff. DSGVO ist der in seinem Einflussbereich handelnde gemeinsam Verantwortliche zuständig. Ihnen steht es jedoch frei, sich auch unmittelbar an jeden anderen der gemeinsam Verantwortlichen mit Ihrer Anfrage zu wenden.