cosinuss° nimmt den Schutz Ihrer persönlichen Daten sehr ernst. Wir erheben und speichern nur Daten, die für den Zweck der hier beschriebenen Produkte und Dienstleistungen erforderlich sind. Wir behandeln die erhobenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften.
Diese Datenschutzerklärung gilt für die iPhone- und Android-Anwendungen cosinuss° Health App (im Folgenden „App“ oder „°Health App“), die in Verbindung mit dem Im-Ohr-Vitalparametermessgerät c-med° alpha verwendet werden können. Der c-med° alpha ist ein im Ohr getragenes medizinisches Gerät der Klasse IIa, das kontinuierlich Sauerstoffsättigung, Körpertemperatur und Pulsfrequenz im äußeren Gehörgang überwacht. Es sammelt menschliche Biosignale, berechnet Vitalwerte und übermittelt die Werte in Echtzeit an die °Health App. Diese Erklärung erläutert Art, Zweck und Umfang der Datenerhebung im Rahmen der App-Nutzung.
Welche Daten werden bei der Nutzung von c-med° alpha mit der °Health App erfasst?
Der c-med° alpha erzeugt und übermittelt über Bluetooth Low Energy Daten an die °Health App, speichert jedoch selbst keine Daten. Sollte für kurze Zeit keine Bluetooth-Verbindung bestehen, gehen die vom Sensor erfassten und berechneten Vitalparameterdaten zu diesem Zeitpunkt verloren.
Die °Health App widerum zeigt und speichert die empfangenen Daten und ermöglicht Ihnen den Export und die Weitergabe.
Eine Messung kann jederzeit durch Beenden der °Health-App oder Ausschalten des Sensors gestoppt werden.
Bei der Nutzung von c-med° alpha mit der °Health App werden folgende Daten generiert:
Von c-med° alpha und °Health App generierte Daten
| Daten | Beschreibung | Lagerung |
| Metadaten | ||
| c-med° alpha(mit zugehöriger Firmware) | ||
| MAC-Adresse | Media-Access-Control-Adresse | Speicherung in der Android-App und auf dem Server. |
| Eindeutige Geräteidentifizierung | Identifikationsnummer | Speicherung in der App und auf dem Server. |
| Firmware-Version | Versionsnummer der auf dem Sensor laufenden Software. | Speicherung in der App und auf dem Server. |
| Bluetooth-Gerätename | Bluetooth-Name des Sensors. | Kein Speicherplatz. |
| Sensorgröße | Größe des Sensorkopfes. | Speicherung in der App und auf dem Server. |
| °Health App | ||
| °Health App Version | Versionsnummer der App | Speicherung in der App. |
| UUID der °Health App | Eindeutige Kennung der °Health App im Format „xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx“ | Speicherung in der App. |
| Protokollierte Daten | ||
| °Health App | ||
| Gerätefehler | Gerätefehlermeldungen von c-med° alpha. | Speicherung in der App und auf dem Server. |
| Aufnahmebeginn | Startzeit einer Aufnahme. | Speicherung in der App. |
| Aufnahmeende | Ende der Aufnahme. | Speicherung in der App. |
| Begegnungs-ID | Eindeutige Kennung der °Health App im Format: „XXXXXX.XXXXXXXXX“ | Speicherung in der App und auf dem Server. |
| Beziehung | Beziehung zwischen Sensor und Patient:in. | Speicherung in der App. |
| Statuscode | In Bearbeitung, Fertiggestellt, Abgebrochen, Fehlerhaft eingegeben | Speicherung in der App. |
| Klassencode | EMER → Notfall | Speicherung in der App. |
| Besitzer | Zugehöriger Benutzername des °Health Web-Kontos. | Speicherung in der App. |
| Daten generiert | ||
| Qualitätsindikatoren | ||
| Qualitätsindex | Index zur Bewertung der Zuverlässigkeit der Pulsmessung und der Passgenauigkeit des Sensors. | Speicherung in der App. |
| Perfusionsindex | Ein Indikator für die Zuverlässigkeit der Sauerstoffsättigung. | Speicherung in der App. |
| Vitalparameter (berechnet mit c-med° alpha) | ||
| Körpertemperatur | Körpertemperatur (°C oder °F) | Speicherung in der App. |
| Pulsfrequenz | Schläge pro Minute (bpm) | Speicherung in der App. |
| SpO2 | Arterielle Sauerstoffsättigungdes Blutes (%) | Speicherung in der App. |
| Abgeleitete Parameter | ||
| PPG mit | Photoplethysmogramm gefiltert und neu abgetastet. | Speicher in der App. |
| Beschleunigungsabweichung | Indikator für Beschleunigungen. | Speicher in der App. |
| Batterie | Batteriestatus des Sensors. | Speicher in der App. |
| Batterie EKG | Batterieladestand des EKG-Geräts. | Speicherung in der App. |
| Perfusionsindex-Technik | Technischer Perfusionsindex. | Speicher in der App. |
| BLE-Paketzähler | Paketzähler zum korrekten Sortieren der Pakete. | Speicherung in der App. |
| Phi | Azimutwinkel (-180° bis 180°) | Speicherung in der App. |
| RSSI | Empfangssignalstärkeanzeige | Speicherung in der App. |
| Theta | Polwinkel (0° bis 180°) | Speicherung in der App. |
Die Geräteinformationen des c-med° alpha werden sowohl in der App als auch auf dem cosinuss°-Server in Deutschland gespeichert, um die Versionsnummern und den Update- und Fehlerverlauf der Geräte jederzeit nachverfolgen zu können (zu regulatorischen Zwecken) und um einen qualifizierten Support anbieten zu können. Mit Hilfe der gespeicherten Geräteinformationen wird eine bessere Benutzererfahrung gewährleistet, und diese Informationen sind auch notwendig, um den Benutzer über ein Update für sein c-med° alpha-Gerät informieren zu können. Die Dauer der Speicherung richtet sich nach den Anforderungen der geltenden Medizinproduktegesetze.
Die °Health App dient als erweiterte Anzeige des c-med° alpha Im-Ohr-Sensors. Die App speichert die berechneten und übertragenen Vitalparameterdaten des Benutzers auf dem mobilen Gerät, auf dem sie betrieben wird. cosinuss° hat keinen Zugriff auf die Daten. Es liegt allein in Ihrer Entscheidung, ob und wann diese Daten vom mobilen Gerät gelöscht werden. Wenn Sie auf die gespeicherten Daten zugreifen möchten, können Sie diese über die App als CSV-Datei exportieren.
Hinweis: Patienten-Sensor-Beziehungen sind in der Exportdatei nicht enthalten.
Optionale Benutzereingabe in der °Health-App
| Daten | Beschreibung | Lagerung |
| Optionale Benutzereingabe | ||
| °Health App | ||
| Vorname des Patienten | Vorname des Patienten | Nur Speicherung innerhalb der App. |
| Nachname des Patienten | Nachname des Patienten | Nur Speicherung innerhalb der App. |
| Geburtstag des Patienten | Geburtsdatum des Patienten | Nur Speicherung innerhalb der App. |
| Geschlecht | Geschlecht | Speicherung nur in der App. |
Optionale Benutzereingaben werden in der App gespeichert, um die Dateninterpretation zu verbessern. Diese Informationen werden jedoch nicht in die CSV-Datei exportiert.
Bitte beachten Sie! Die Cosinuss GmbH hat über die °Health App keinen Zugriff auf Ihre Vitaldaten und gibt ohne Ihre vorherige Zustimmung keine sonstigen Daten an Dritte weiter.
Bitte beachten Sie! Bitte schützen Sie als Nutzer in eigener Verantwortung die Anzeige Ihrer Daten auf Ihrem lokalen Empfangsgerät vor unbefugtem Zugriff. Bitte verwenden Sie nur vertrauenswürdige und abgesicherte Geräte und Dienste.
Verbindung mit der cosinuss° Health Webanwendung
Ab Version 1.3.209 der °Health-App hat der Benutzer zusätzlich die Möglichkeit, das cosinuss° Health Web-Konto zu verbinden und aufgezeichnete Daten an den zugrunde liegenden °Health-Server zu übertragen. Diese Funktion ermöglicht den Zugriff auf die Daten von überall und schafft neue Schnittstellenmöglichkeiten. Mit dieser Funktion werden die folgenden Daten aus der °Health-App an den °Health-Webserver übertragen.
Daten, die an den °Health-Webserver übertragen werden, wenn der Benutzer eine Verbindung zum °Health-Webkonto herstellt:
| Daten | Datentyp | Beschreibung |
| Sensorgerät | ||
| Serienmäßiger In-Ear-Sensor | Zeichenkette (6 Zeichen) | Eindeutige Sensorseriennummer |
| Metadaten | ||
| Begegnungs-ID | UUID-Zeichenkette (16 Zeichen) | Eindeutige Kennung der Aufnahme im Format: „XXXXXX.XXXXXXXXX“ |
| Aufnahmebeginn | Zeitstempel | Beginn der Aufnahme. |
| Aufnahmeende | Zeitstempel | Ende der Aufnahme. |
| Statuscode | Zeichenkette | In Bearbeitung, Abgeschlossen, Abgebrochen, Irrtümlich eingegeben |
| Klassencode | Zeichenkette | EMER → Notfall |
| UUID der °Health App | UUID-Zeichenkette (36 Zeichen) | Eindeutige Kennung der °Health App im Format „xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx“ |
| Eigentümer | Zeichenkette | Zugehöriger Benutzername des °Health Web-Kontos. |
| Generierte Daten | ||
| Qualitätsindikatoren | ||
| Perfusion IR | Float16 | Pulsstärke in Prozent. |
| Qualität | Uint8 | Passform des Sensors und Signalqualität. |
| Vitalfunktionen | ||
| Körpertemperatur | Float16 | Temperatur des Infrarotthermometers |
| Pulsfrequenz | Uint8 | Pulsfrequenz in Schlägen pro Minute (bpm). |
| SpO2 | Uint8 | Blutsauerstoffsättigung (SpO₂) |
| EKG-Kanal 1 | Binär (32 Bit), 200 Hz | Roh-Elektrokardiogramm von Kanal 1 |
| EKG-Kanal 2 | Binär (32 Bit), 200 Hz | Roh-Elektrokardiogramm von Kanal 2 |
| EKG-Kanal 3 | Binär (32 Bit), 200 Hz | Roh-Elektrokardiogramm von Kanal 3 |
| Abgeleitete Daten | ||
| PPG mit | Binär (32 Bit), 40 Hz | Photoplethysmogramm gefiltert und neu abgetastet. |
| ACC_Abweichung | Float32 | Indikator für Beschleunigungen. |
| Batterie | Uint8 | Batteriestatus des Sensors. |
| Batterie-EKG | Uint8 | Akkuladestand in Prozent |
| Perfusion IR-Technik | Float16 | Technischer Perfusionsindex. |
| BLE-Paketzähler | Uint32 | Paketzähler, um die Pakete richtig zu sortieren. |
| Phi | Float32 | Azimutwinkel (-180° bis 180°) |
| RSSI | You8 | Empfangssignalstärkeanzeige |
| Theta | Float32 | Polarwinkel (0° bis 180°) |
Verarbeitung innerhalb von °Health Web
cosinuss° generiert, verarbeitet und speichert die oben aufgeführten Daten, um den mit jedem Datenverantwortlichen individuell festgelegten Zweck zu erfüllen. Sofern nicht ausdrücklich anders vereinbart, gibt cosinuss° personenbezogene Daten zurück und löscht sie, wenn die Datenverarbeitung im Rahmen der Hauptvereinbarung mit dem Datenverantwortlichen endet oder auf schriftliche Anfrage des Datenverantwortlichen.
cosinuss° stellt sicher, dass nur Mitarbeiter, Unterauftragsverarbeiter, Geschäftspartner, externe Berater und Zeitarbeitskräfte usw., die davon Kenntnis haben müssen, Zugang zu den personenbezogenen Daten haben, die unter die Datenverarbeitungsvereinbarung fallen, und dass sie alle der beruflichen Schweigepflicht unterliegen oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.
Wenn cosinuss° am Verkauf oder der Übertragung einiger oder aller seiner Vermögenswerte beteiligt ist, können personenbezogene Daten an die übernehmende Organisation weitergegeben werden, jedoch nur in dem gesetzlich zulässigen Umfang. In diesem Prozess wird die übernehmende Organisation angewiesen, sich zu verpflichten, die Privatsphäre Ihrer personenbezogenen Daten in Übereinstimmung mit dieser Erklärung und den geltenden Gesetzen zu schützen.
Sicherheit °Health Web
cosinuss° verwendet wirtschaftlich angemessene und geeignete physische, elektronische und verwaltungstechnische Verfahren, um die erhobenen personenbezogenen Daten zu schützen und zu sichern. Bei jeder Übertragung von Gesundheitsdaten werden diese verschlüsselt. Selbst wenn Unbefugte Zugriff auf das Übertragungsprotokoll erhalten, können sie die übertragenen Informationen nicht verwenden. cosinuss° kann jedoch Sicherheits- und/oder Datenschutzrisiken im Zusammenhang mit personenbezogenen Daten, die über das Internet und Internet-Technologien erstellt, gespeichert oder übertragen werden, nicht vollständig ausschließen. cosinuss° haftet als Datenverarbeiter nicht für Verstöße, unbefugte Offenlegung oder unrechtmäßige Verwendung von personenbezogenen Daten oder Gesundheitsdaten, die zum Zeitpunkt des Verstoßes unter der Kontrolle des Datenverarbeiters standen.
Kryptografische Techniken
Authentifizierung
cosinuss° erhebt und verarbeitet nur Daten von pseudonymisierten betroffenen Personen und beschränkt den Zugriff auf diese Daten auf autorisierte Personen, die davon Kenntnis haben müssen und zur Vertraulichkeit verpflichtet sind.
Bluetooth
Die Bluetooth LE-Datenübertragung verwendet eine Verkehrsverschlüsselung. Zusätzlich bietet cosinuss° einen 1-1-Pairing-Modus mit Authentifizierung an.
Hypertext Transfer Protocol Secure (HTTPS)
Das Hypertext Transfer Protocol Secure verwendet die neuesten TLS-Zertifikate, um eine sichere Kommunikation im World Wide Web zu gewährleisten. Außerdem schützen der Advanced Encryption Standard (AES) und Blockchiffren die Datenübertragung gemäß der höchsten Klassifizierung. HTTPS wird sowohl in der Webschnittstelle als auch zwischen dem Kommunikationsgateway-Gerät/der Labor-App und dem Server verwendet
Serverstandort °Health Web
Die Server befinden sich in zwei unterschiedlichen Rechenzentren (Nürnberg & Falkenstein / Deutschland) der Hetzner Online GmbH.
Zertifizierung
- Die Hetzner Online GmbH hat ihren Geschäftssitz in der Industriestraße 25, 91710 Gunzenhausen, Deutschland, und ist nach DIN ISO/IEC 27001 zertifiziert.
- cosinuss° hat mit Hetzner einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.
Datenschutz
- Redundante Datenspeicherung in unterschiedlichen Rechenzentren
- Vollständige Verschlüsselung der Daten im Ruhezustand
- Videoüberwachter Hochsicherheitszaun um den gesamten Rechenzentrumspark
- Zutritt ausschließlich über Zugangskontrollterminals mit Transponder oder Zugangskarten
- Modernste Überwachungskameras zur 24/7-Überwachung von Zufahrtswegen, Eingängen, Sicherheitstoren und Serverräumen
- Moderne Brandfrüherkennungssysteme mit direkter Anbindung an die örtliche Feuerwehr
Verfügbarkeit der Dienste
- Redundante Webdienste, die in unterschiedlichen Rechenzentren betrieben werden
- Notstromversorgung
- Redundante USV-Systeme
- Batteriebetrieb: ca. 15 Minuten
- Temperaturüberwachung der Raumluft sowie in Server- und Verteilerschränken
- DDoS-Schutz
- Unterdrückung von Botnet-Kommunikation
Datenschutz-Folgenabschätzung (DSFA / DPIA)
Eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) ist gemäß DSGVO immer dann erforderlich, wenn ein neues Projekt begonnen wird, das voraussichtlich ein „hohes Risiko“ für die personenbezogenen Daten anderer Personen mit sich bringt. Beim Remote-Monitoring von Vitalparametern kann dies insbesondere dann der Fall sein, wenn die Art der Verarbeitung folgende Merkmale aufweist:
- Einsatz neuer Technologien
- Nachverfolgung des Verhaltens von Personen
- Verarbeitung von Gesundheitsdaten
- Verarbeitung für automatisierte Entscheidungen
- Verarbeitung von Daten von Kindern
cosinuss° empfiehlt, sich bereits vor Beginn jeglicher Datenverarbeitungstätigkeit auf eine Datenschutz-Folgenabschätzung vorzubereiten. Idealerweise sollte die DSFA vor und während der Planungsphase eines neuen Projekts durchgeführt werden. Wenn Sie einen Datenschutzbeauftragten haben, müssen Sie diesen sowie alle weiteren relevanten Stakeholder, die an dem Projekt beteiligt sind, während des gesamten DSFA-Prozesses einbeziehen. Die DSFA sollte folgende Elemente enthalten:
- Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, einschließlich – sofern zutreffend – des berechtigten Interesses, das vom Verantwortlichen verfolgt wird.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf die Zwecke.
- Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
Daten, die auf Grundlage gewährter Zugriffsrechte erhoben werden
Standortdaten und Bluetooth
Damit Sie Ihren c-med° alpha über Bluetooth Low Energy mit Ihrem Empfangsgerät verbinden können, ist durch Ihr Betriebssystem (in der Regel bei Android der Fall) der Zugriff auf Ihre Standortdaten erforderlich. Die °Health App und die Cosinuss GmbH haben auf diesen Zugriff keinen Einfluss und erhalten keinen Zugriff auf Ihre Standortdaten.
Die Cosinuss GmbH weist außerdem darauf hin, dass die Datenübertragung per Bluetooth Sicherheitsrisiken birgt. Ein vollständiger Schutz der Daten vor dem Zugriff Dritter ist nicht möglich.
Fehleranalyse
Mit Ihrer optionalen Einwilligung können Sie im Falle eines technischen Fehlers autorisieren, dass für ein bestimmtes Fehlerereignis ein technisches Ereignisprotokoll (Protokolldatei) an Firebase Crashlytics gesendet wird. Die Protokolldatei wird auch cosinuss° zur Verfügung gestellt und hilft dem Entwicklungsteam, über Fehler Bescheid zu wissen und deren Ursache zu finden und zu beheben. In der Protokolldatei werden Geräteinformationen des c-med° alpha und Ihres Mobilgeräts, °Health App-Versionsinformationen und Einstellungen Ihres Betriebssystems zum Zeitpunkt des Fehlers mitgesendet. Aufgezeichnete Vitalwerte werden ausdrücklich nicht mitgesendet. Firebase Crashlytics wird von Google betrieben. Die jeweiligen Datenschutzbestimmungen finden Sie unter https://privacy.google.com/ und https://firebase.google.com/support/privacy/. Übermittelte Daten können für einen längeren Zeitraum in den Verarbeitungssystemen von Firebase gespeichert werden.
Bei der Protokollierung von Fehlern nutzt cosinuss° ausdrücklich nur Crashlytics und keine anderen Firebase-Dienste.
Standort der cosinuss°-Server
Die Server von cosinuss° werden von der Hetzner Online GmbH mit Sitz in der Industriestraße 25, 91710 Gunzenhausen bereitgestellt und gehostet. Zwischen den Parteien besteht ein entsprechender Auftragsverarbeitungsvertrag. Die Server befinden sich in Nürnberg und Falkenstein (Vogtl.) in Deutschland. Hetzner Online GmbH ist DIN ISO/IEC 27001 zertifiziert und bietet somit den gesetzlich geforderten Schutz personenbezogener Daten.
Weitere Leistungen der Cosinuss GmbH
Neben der Nutzung des c-med° alpha und der °Health App kommen Sie mit externen Links und Webseiten in Kontakt, z.B. bei Käufen, Kundendienstanfragen oder sonstigen Leistungen der Cosinuss GmbH.
Für alle Seiten und Dienste der Cosinuss GmbH gilt die europäische Datenschutz-Grundverordnung („DSGVO“). Bitte beachten Sie die Datenschutzhinweise auf den jeweiligen Webseiten.
Auskunft, Löschung, Sperrung
Sie haben jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung sowie ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten.
Hierzu sowie zu weiteren Fragen zum Thema Daten können Sie sich jederzeit unter den angegebenen Kontaktdaten an die verantwortliche Stelle von cosinuss° wenden.
Beschwerderecht bei der zuständigen Aufsichtsbehörde
Wir weisen Sie darauf hin, dass Ihnen im Falle von Datenschutzverstößen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zusteht.
Sie erreichen uns unter:
dataprivacy@cosinuss.com
oder Sie wenden sich an unseren externen Datenschutzbeauftragten:
IITR Datenschutz GmbH
DR. Sebastian Kraska
Marienplatz 2
80331 München
Deutschland
Tel: +49 89 189 173 60
E-Mail: email@iitr.de
Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem cosinuss° seinen Sitz hat. Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten finden Sie unter folgendem Link: https://www.bfdi.bund.de/EN/Home/home_node.html
Änderung dieser Datenschutzrichtlinie
Wir behalten uns das Recht vor, diese Datenschutzerklärung unter Beachtung der gesetzlichen Vorschriften zu ändern und Ihre Einwilligung erneut einzuholen.
Verantwortliche Stelle
„Verantwortlicher“ ist die Stelle, die Ihre personenbezogenen Daten erhebt, verarbeitet oder nutzt. Verantwortliche Stelle für die Datenverarbeitung im Rahmen dieser App ist:
Cosinuss GmbH,
Kistlerhofstraße 60,
81379 München,
Deutschland,
Tel.: +49 (0)89 740 418 32
Email: dataprivacy@cosinuss.com
Anwendbares Recht
Es ist deutsches oder ähnliches, nationales Recht anwendbar.