Datenschutzerklärung: Mein Laborergebnis

Datenschutzerklärung zur Software „Mein Laborergebnis“ (Web/Android/iOS) – im Folgenden: APP

Letztes Speicherdatum der Datenschutzerklärung: 29.03.2022

Herausgeber/Anbieter und Hersteller der Software

itech Laborlösungen GmbH
Masenheimer Weg 5
33165 Lichtenau– im Folgenden: ITECH

Datenschutzbeauftragter ITECH

Michael Bock, LL.M.
Daseco GmbH
Werkmeisterstr. 41
47877 Willich

Sie erreichen unseren Datenschutzbeauftragten über unseren Kundenservice oder, wenn eine vertrauliche Kommunikation gewünscht ist, auf postalischem Wege.

Erklärung

Diese APP wird von ITECH kostenfrei zur Verfügung gestellt, um Testergebnisse, darunter auch COVID-19 Testergebnisse, von medizinischen Laboren, Testzentren, oder sonstigen Untersuchungsstellen schnell und einfach an Getestete zu übermitteln. ITECH handelt stets im Auftrag desjenigen, der die Untersuchung durchführt und ist streng an dessen Weisungen im Umgang mit den Daten gebunden. Ab Empfang Ihres Untersuchungsauftrags ist die Untersuchungsstelle für die Verarbeitung Ihrer Daten verantwortlich. Mit Abgabe Ihrer Probe entsteht ein Vertragsverhältnis zwischen Ihnen und der Untersuchungsstelle, auf dessen Grundlage Ihre Daten verarbeitet werden. Die Bereitstellung Ihres Testergebnisses über unseren Dienst ist i. d. R. Teil der beauftragten Durchführung oder bedarf einer expliziten Einwilligung Ihrerseits vor der Probenabgabe. Deshalb ist ITECH nicht „Dritter“ im Sinne der DSGVO. Die ITECH darf Inhalte von Berichten nicht ändern. Deshalb können falsch erfasste Daten nur von der Untersuchungsstelle korrigiert werden. Grundsätzlich werden keine Daten an „Dritte“ weitergegeben, ohne dass Sie als Anwender dies explizit auslösen. ITECH weist ausdrücklich darauf hin, dass die APP unter iOS bzw. Android nicht verwendet werden muss. Sie soll Ihnen nur das Eintippen des QR-Codes ersparen, indem die Kamera Ihres Smartphones als Scanner genutzt wird. Alle Funktionen werden durch den Webdienst realisiert und die APP arbeitet wie ein Browser.

1. Grundfunktion der APP

Die Grundfunktionalität der APP sowie des zugehörigen Internetdienstes kommt gänzlich ohne personenbezogene Daten aus. Sie besteht darin, Ihnen nur den Status bzw. das Ergebnis Ihrer Probe anzuzeigen. Es werden nur weltweit eindeutige Codes und die zugehörigen Ergebnisse gespeichert. Die APP erfasst diese Codes und liefert das zugehörige Ergebnis zurück.

2. Zusatzfunktion der APP

Als Zusatzfunktion kann für Sie ein personalisiertes Testergebnis in Form einer PDF-Datei bereitgestellt werden, mit dem Sie Dritten gegenüber Ihren Teststatus nachweisen können. Dazu kann entweder eine von der Untersuchungsstelle erzeugte PDF-Datei übermittelt werden oder aber eine PDF-Datei nach den Vorgaben der Untersuchungsstelle erzeugt werden, sobald Sie diese in der APP anfordern. Die PDF-Datei wird in beiden Fällen lediglich temporär in der APP gespeichert.Die (PDF-Dateien mit) personenbezogenen Daten werden ausschließlich verschlüsselt und über eine abgesicherte Leitung auf den Internetdienst übertragen und dort verschlüsselt gespeichert. Die Geheimnisse, die zur Verschlüsselung verwendet werden, werden zwischen der Untersuchungsstelle und den jeweiligen Getesteten abgesprochen und nicht an den Internetdienst übertragen. Nutzeranfragen werden lediglich über eine gesicherte Verbindung zugelassen. Innerhalb einer solchen Nutzersitzung werden die Nutzer dann nach den Geheimnissen gefragt. Nur, wenn diese Geheimnisse eine erfolgreiche Entschlüsselung ermöglichen, wird die PDF dem Nutzer innerhalb der geschützten Sitzung der APP bereitgestellt.

2.1 Optionale Dienste

Um weitere, optionale Funktionalitäten der APP zu gewährleisten, verwenden wir bestimmte Dienste. Im Einzelnen geht es um folgende Funktionen und Services:

2.1.1 Übertragung an die Corona-Warn-App

Falls Ihre Untersuchungsstelle diese Funktion unterstützt, können Sie Ihr Testergebnis in Ihre persönliche Corona-Warn-App (im folgenden „CWA“) übermitteln, um dieses u.a. Dritten gegenüber per CWA nachzuweisen oder andere zu warnen.Eine Übermittlung erfolgt nur nach ausdrücklicher Einwilligung in der APP.An die Server des Robert Koch Instituts (im folgenden „RKI“) wird in jedem Fall lediglich das Testergebnis sowie ein pseudonymer Code übertragen.Die Übertragung erfolgt über die offizielle REST – Schnittstelle des RKIs und wurde am 02.06.2021 erfolgreich durch T-Systems abgenommen.Sobald die Übertragung an das RKI erfolgt ist, wird Ihnen innerhalb der geschützten Sitzung des Webdienstes eine PDF mit Applink und QR-Code bereitgestellt, mit welcher Sie Ihr Testergebnis in Ihre persönliche CWA übertragen können. Hierbei haben Sie die Auswahl zwischen einer pseudonymisierten oder einer personalisierten Übermittlung. Bei der personalisierten Übermittlung enthält der QR-Code Ihren Vor- und Nachnamen sowie Ihr Geburtsdatum.Details zum Datenschutz der CWA finden Sie unter https://www.coronawarn.app/de/#privacy.

2.1.2 Übertragung an die luca App

Falls Ihre Untersuchungsstelle diese Funktion unterstützt, können Sie Ihr Testergebnis in Ihre persönliche luca App übermitteln, um dieses Dritten gegenüber per luca App nachzuweisen.Eine Übermittlung erfolgt nur nach ausdrücklicher Einwilligung in der APP.Es werden hierbei keine Daten an Server der luca App übertragen. Stattdessen wird Ihnen innerhalb der geschützten Sitzung des Webdienstes eine PDF mit Applink und QR-Code bereitgestellt, mit welcher Sie Ihr Testergebnis in Ihre persönliche luca App übertragen können. Der Inhalt des QR-Codes ist hier spezifiziert. Für die Funktionalität der luca Integration benötigen wir den personenbezogenen Inhalt, der separat verschlüsselt ist, nicht. Stattdessen enthält der QR-Code lediglich einen Hash des Vor- und Nachnamen, der beim Import mit den in Ihrer luca App hinterlegten Daten abgeglichen wird. Bitte beachten Sie, dass eine Übermittlung nur bei Übereinstimmung der hinterlegten Namen möglich ist!Details zum Datenschutz der luca App finden Sie unter https://www.luca-app.de/app-privacy-policy/.

2.1.3 Attest

Falls Ihre Untersuchungsstelle diese Funktion unterstützt, bieten wir Ihnen einen erweiterten Kopierschutz Ihres Testergebnisses mit der Möglichkeit der externen Validierung an. Hierbei werden die von Ihrer Untersuchungsstelle erfassten Daten validiert, dies kann enthalten: Vorname, Nachname, Geburtsdatum, Abnahmedatum, Abnahmezeit, Geschlecht, Personalausweisnummer, Testart, Testergebnis, Auftragsnummer. Die Daten werden dazu niemals unverschlüsselt auf dem Server abgelegt. Bei dem ersten Zugriff auf Ihr Attest wird serverseitig ein Hash (SHA512) über die vorhandenen Daten erzeugt und gespeichert. Ein Zurückrechnen der Daten aus dem Hash ist nicht möglich. Ihr Attest erhalten Sie innerhalb der geschützten Sitzung der APP in Form einer PDF-Datei mit QR-Code. Dieser QR-Code enthält die Daten im Klartext und kann externen Personen zur Validierung vorgelegt werden. Beim Scannen des QR-Codes wird wiederum aus den Daten der entsprechende Hashwert gebildet und gegen den Server validiert.

2.1.4 Push-Benachrichtigungen (nur bei Android / iOS)

Wenn Sie in der APP einen QR-Code scannen, fragen wir Sie, ob Sie Push-Benachrichtigungen zu dieser Probe erhalten möchten. Sie können diese ablehnen oder erlauben. Die Push-Benachrichtigungen dienen lediglich dazu, Sie zu informieren, sobald sich der Status Ihrer Probe ändert. Diese Funktion ist optional und wird nur mit Ihrer Erlaubnis eingeschaltet. Wir verwenden dafür Google Firebase.Firebase generiert einen berechneten Schlüssel, der sich aus der Kennung der APP und ihrer Geräte-Kennung zusammensetzt. Falls Sie Push-Benachrichtigungen für einen Test aktivieren, wird der Schlüssel serverseitig hinterlegt und mit Ihrem Test verknüpft. Sie können diese Verknüpfung jederzeit durch Entfernen des Tests aus der APP aufheben. Die Firebase-Server können keinerlei Rückschluss auf die Anfragen von Nutzenden ziehen oder sonstige Daten ermitteln, die mit einer Person im Zusammenhang stehen. Firebase dient ausschließlich als Übermittler. Sonstige Dienste von Google Firebase, insbesondere Google Firebase Analytics, sind deaktiviert. Nähere Informationen hierzu sowie zum Datenschutz bei Google-Produkten finden Sie hier und bei Google.

2.1.5 Absturzberichte (nur bei Android / iOS)

Um unsere APP stetig zu verbessern, verwenden wir die Dienste Microsoft Visual Studio App Center Analytics (bis Version 1.3.5) sowie Microsoft Visual Studio App Center Crashes.App Center Analytics unterstützt uns zu verstehen, wie Sie die APP verwenden, so dass wir die APP verbessern können. Dabei werden Angaben wie Anzahl der Sitzungen, Geräteeigenschaften wie Modell, Version des Betriebssystems, usw. erfasst.App Center Crashes hingegen generiert bei jedem erkannten Fehler in der APP automatisch einen anonymen Fehlerbericht.Seit Version 1.3.6 verzichten wir vollständig auf den Einsatz von App Center Analytics und geben Ihnen die volle Kontrolle über die von App Center Crashes generierten Fehlerberichte: So können Sie entscheiden, ob Sie einen anonymen Fehlerbericht an uns senden möchten oder nicht. Ausführliche Angaben finden Sie unter https://docs.microsoft.com/de-de/appcenter/sdk/data-collected#diagnostics.

3. Daten, die auf Ihrem Gerät gespeichert werden

Es werden folgende Daten temporär auf dem Gerät gespeichert:

  • Ein oder mehrere weltweit eindeutige(r) Code(s) (sogenannte UUIDs)
  • Ein Statuscode, der das Testergebnis bzw. den Probenstatus repräsentiert

Bei diesen auf dem Gerät gespeicherten Daten handelt es sich nicht um personenbezogene Daten i. S. d. Art. 4 Abs. 1 DSGVO, da eine natürliche Person daraus nicht identifizierbar ist.Lediglich bei der oben beschriebenen Bereitstellung einer personalisierten PDF-Datei werden aus eben diesem Grund personenbezogene Daten temporär gespeichert. Der Zeitraum der Speicherung erstreckt sich maximal auf die Dauer der Sitzung.Die erhobenen Daten werden ausschließlich für die Funktionalität der APP verwendet und nicht an Dritte weitergegeben oder für Werbezwecke o. Ä. eingesetzt. Das Nutzungsverhalten des Anwenders wird nicht protokolliert.Die oben genannten erhobenen Daten werden spätestens beim Entfernen der APP vom Gerät gelöscht, können jedoch auch vom Nutzer manuell gelöscht werden.Die Datenerhebung im Rahmen der APP erfolgt unter Einhaltung der rechtlichen Vorgaben gemäß Datenschutz-Grundverordnung (DSGVO), Telemediengesetz (TMG) sowie des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG).Die APP kann nur genutzt werden, wenn der Anwender über einen Beleg verfügt, der ihm bei der Probenabnahme ausgehändigt wurde und auf dem der eindeutige Code als QR-Code aufgedruckt ist.

4. Daten, die wir speichern, wenn Sie uns kontaktieren

Wenn Sie Kontakt zu uns aufnehmen, geben Sie bestimmte Daten von sich bekannt, wie z. B. Ihre E-Mail-Adresse oder Ihre Telefonnummer. In manchen Fällen ist es erforderlich, dass wir Sie nach weiteren persönlichen Daten wie Ihrem Namen oder Geburtsdatum fragen, damit wir Ihr Anliegen bearbeiten können. Dabei benutzen wir das Ticket-System „Zammad“. Die von Ihnen angegebenen Daten werden, sofern diese für die Bearbeitung Ihres Anliegens erforderlich sind, von uns erfasst und nur in der Dokumentation Ihres Anliegens hinterlegt. Diese Daten werden nur solange aufbewahrt, wie die Aufbewahrungs- und Nachweispflichten es erfordern. Falls es für die Erledigung Ihres Anliegens nötig ist, geben wir Ihre Daten weiter an die Untersuchungsstelle. Niemals geben wir Ihre Daten für Werbezwecke o. ä. weiter.

5. Löschung der Daten

In der Regel werden alle Daten zu einem QR-Code 21 Tage nach Ergebniseingang aus dem Internetdienst gelöscht und stehen dann auch nicht mehr in der APP zur Verfügung. Vorrangig gelten aber die Vorgaben zur Löschfrist der Untersuchungsstelle, falls dieses eine anderslautende Vereinbarung mit den Getesteten getroffen hat.

6. Ihre Betroffenenrechte

Gemäß Kapitel 3 Datenschutz-Grundverordnung (DSGVO) haben Sie das Recht, der Bereitstellung Ihres Testergebnisses über unseren Dienst zu widersprechen. Wenn wir Ihre Daten aufgrund von berechtigten Interessen oder im berechtigten öffentlichen Interesse verarbeiten dürfen, haben Sie in bestimmten Fällen das Recht, der Verarbeitung Ihrer Daten zu widersprechen. Dieses Recht haben Sie immer, wenn wir Ihre Daten für Zwecke der Direktwerbung nutzen sollten. Darüber hinaus haben Sie das Recht, unter den oben genannten Kontaktdaten Auskunft über die durch die Untersuchungsstelle erfassten Daten sowie ggf. eine Berichtigung unrichtiger personenbezogener Daten oder, bei Vorliegen der gesetzlichen Voraussetzungen, die Berichtigung, Einschränkung oder Löschung Ihrer Daten zu verlangen. Bitte beachten Sie hierbei, dass eine Auskunft oder Berichtigung Ihrer Daten lediglich durch die Untersuchungsstelle erfolgen kann und wir an uns gerichtete Anfragen entsprechend weiterleiten müssen. Sie haben das Recht, sich jederzeit bei Beschwerden zum Datenschutz unter den oben genannten Kontaktdaten an unseren Datenschutzbeauftragten zu wenden. Ebenso können Sie sich bei der zuständigen Datenschutzaufsichtsbehörde beschweren. Diese finden Sie unter https://www.bfdi.bund.de/DE/.