1.0 Rechtliche Grundlagen

Die AOK PLUS nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst. Wir möchten, dass Sie wissen, wann wir welche Daten speichern und wie wir diese verwenden.
Die AOK PLUS berücksichtigt bei der Bereitstellung der Unternehmens-App geltendes Datenschutzrecht auf der Grundlage der EU-Datenschutzgrundverordnung (DSGVO) sowie des Sächsischen Datenschutzdurchführungsgesetzes vom 26. April 2018.

Siehe hierzu:

• https://dsgvo-gesetz.de; https://www.revosax.sachsen.de/vorschrift/17647-Saechsisches-Datenschutzdurchfuehrungsgesetz. Hier insbesondere Kapitel „2.3 Grundlage und Einwilligungen“ aus der Datenschutzdokumentation sowie
  § 11 Sächs. DSDG, Art. 6 Abs. 1 lit. a Eu-DSGVO.
• Die Auftragsdatenverarbeitung erfolgt auf Basis der folgenden Rechtsgrundlage:
  ●  Art. 6 Abs. 1 lt. a. DSGVO (Einwilligung)
  ●  Art. 6 Abs. 1 lt. f DSGVO (berechtigte Interessen)

1.1 Verantwortliche Stelle und Kontaktdaten:

Der Fachbereich Marketing gibt Auskunft bei Fragen zur App und deren Anwendung und bearbeitet interne Anfragen zu Funktionen der App.

FB Online-Marketing
AOK PLUS - Die Gesundheitskasse
für Sachsen und Thüringen.
Sternplatz 7
01067 Dresden
Kontakt: plusnews@plus.aok.de

1.2 Kontaktdaten des Datenschutzbeauftragten:

Sie können unseren Datenschutzbeauftragten unter folgender E-Mailadresse erreichen:
Datenschutz.AOK.PLUS@plus.aok.de

1.3 Kontakt der Beschwerdestelle

Sind Sie der Auffassung, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, haben Sie schließlich das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.  

Sächsische Datenschutz- und Transparenzbeauftragte
Devrientstraße 5
01067 Dresden
https://www.datenschutz.sachsen.de/beschwerde-einreichen.html

1.4 Einsatz von Cookies

Es werden keine Marketing-Cookies verwendet, die Daten erheben und mit anderen Diensten oder Firmen teilen. Es werden nur funktionale Cookies verwendet, die für den Betrieb des Angebots notwendig sind (bspw. damit Nutzer angemeldet bleiben). In den Apps wird die das Firebase SDK von Google verwendet, um jedem App Nutzer lokal eine randomisierte ID zu vergeben. Diese ID wird primär dafür vergeben und genutzt, um dem Nutzer Push Benachrichtigungen zu senden. Dies ist technisch durch Apple bzw. Google zwingend vorgeschrieben und kann technisch für diesen Zweck nicht umgangen werden.

1.5 Ihre Rechte / Rechte des Betroffenen (Berichtigen, Löschen, Sperren)

Nach der EU-Datenschutz-Grundverordnung haben Sie als Betroffener folgende Rechte:

• Recht auf Auskunft über verarbeitete Daten (Art. 15 EU-DSGVO)
• Recht auf Berichtigung unrichtiger Daten (Art. 16 EU-DSGVO)
• Recht auf Löschung (Art. 17 EU-DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 EU-DSGVO)
• Widerspruchsrecht (Art. 21 EU-DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 EU-DSGVO)
• Bei Datenverarbeitung aufgrund einer Einwilligung besteht das Recht, diese mit Wirkung für die Zukunft jederzeit zu widerrufen.
  datenschutz.aok.plus@plus.aok.de

2.0 Datenschutz

Die AOK PLUS bietet die Unternehmens-App zur exklusiven Nutzung durch ihre Mitarbeitenden an. Die Hausagentur der AOK-Gemeinschaft, der KomPart-Verlag in Berlin, stellt die PLUS News-App im Auftrag der AOK PLUS und in Kooperation mit dem technischen Dienstleister tchop zur Verfügung. Die KomPart unterstützt dabei in redaktionellen Prozessen, die Firma tchop leistet den technischen Support. Die AOK PLUS bietet die Unternehmens-App für mobile – dienstliche wie private – Endgeräte ihrer Beschäftigten an. Darüber hinaus auch eine webbasierte Version, die im Intranet der AOK PLUS abrufbar ist.

2.1 Datensicherheit

Alle Systeme, in denen Ihre personenbezogenen Daten (E-Mailadresse, Name, Funktion) gespeichert sind, sind kennwortgeschützt, KKS-verschlüsselt und nur einem bestimmten Personenkreis zugänglich. Diesem ist durch strenge Sicherheitsauflagen die Weitergabe der Daten an Dritte untersagt.

2.2 Personenkreis der App-Nutzer/-innen

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien betroffener Personen:

Autorisierte Nutzende

• Nutzende, die von der AOK PLUS speziell benannt und autorisiert werden, auf die App zuzugreifen (= AOK-Mitarbeitende)

Autorisierte Administratorinnen und Administratoren

• Nutzende, die von der AOK PLUS speziell benannt und autorisiert werden, auf das tchop CMS (Redaktion, App-Management, Administration) und das Backend der App zuzugreifen, beispielsweise Redakteure und Grafiker bei KomPart oder Support bei tchop.

Da es sich um eine App für die interne Unternehmenskommunikation handelt, die ausschließlich über gesteuerte Kanäle für registrierte Nutzende entwickelt wurde, gibt es keine weiteren Nutzenden.

3.0 Datenkategorien für den Datenschutz

Die AOK PLUS übermittelt personenbezogene Daten an tchop. Der Umfang der Daten wird von der AOK PLUS bestimmt und kontrolliert. Um die ordnungsgemäße und sichere Nutzung der App zu ermöglichen, benötigt tchop Daten, die im Folgenden erläutert werden:

3.1 Kontakt- und Profilinformationen

• Die Nutzerinnen und Nutzer der App werden per Single Sign On für die App freigeschaltet. Das heißt, die Mitarbeitenden melden sich in der webbasierten und auch in der mobilen Variante mit ihrer persönlichen dienstlichen E-Mail-Adresse und ihrem persönlichen dienstlichen Passwort an. Bei diesem Prozess werden über das SSO folgende Informationen automatisch in die App übertragen. Name, E-Mail-Adresse, dienstliche Telefonnummer, Abteilung und die Position. Darüber hinaus können Nutzende eine Biographie/ Vita/ Selbstbeschreibung hinterlegen. Diese kann jederzeit von den Nutzenden bearbeitet werden.
• Werden weitere Profilinformationen durch die Nutzenden angelegt, werden diese Daten in keinem Datenverarbeitungsprozess weitergegeben oder genutzt, ohne dass zuvor eine ausdrückliche und individuelle Einwilligungserklärung des oder der Nutzenden durch die AOK PLUS eingeholt wurde. Die AOK PLUS hat die Kontrolle darüber, welche Daten übermittelt und auch welche angezeigt werden sollen.

3.2 Login-Daten

• Die Anmeldung in mobiler App und WebApp erfolgt bei der PLUS durch die Authentifizierung gegen das AOK PLUS SSO. Für den Login über das AOK PLUS SSO werden folgende Daten benötigt:
  - Nutzername (ist in der Anmeldemaske nicht gegendert)
  - Passwort
  Dies sind die gleichen Zugangsdaten, die auch bei dem System-Login am Arbeitsrechner verwendet werden.

3.3 Anmeldedaten (technische Information)

• User-ID
• Datum der Einladung (hinzufügen des/der Nutzenden im Backend)
• Datum der letzten Aktivität, Zeitstempel der letzten Aktivität des Nutzenden.

3.4 Standort

• Standortdaten werden grundsätzlich nicht erfasst oder benötigt. IP-Adressen, die auf Standortkoordinaten hinweisen könnten, werden von tchop nicht gespeichert.

3.5 Kennungen

• Bei der Erstellung eines Nutzendenkontos verknüpft tchop zu Authentifizierungszwecken im tchop CMS eine eindeutige „User-ID“ mit dem Konto. Es wird technisch auch eine „Push-ID“ erfasst, um sicherzustellen, dass Push-Benachrichtigungen an die Geräte der autorisierten Nutzenden gesendet werden. Im Zusammenhang mit der „User-ID“ wird nur die erstmalige und letztmalige Anmeldung gespeichert (siehe „Anmeldedaten“ oben). Weitere Daten werden in Bezug auf diese beiden IDs weder erfasst noch gespeichert.

3.6 Nutzungsdaten (Analytics)

• Das tchop Analytics-Dashboard zeigt nur aggregierte Daten und kann technisch keine Rückschlüsse auf einzelne Nutzende liefern. Für die technische Analyse werden nur randomisierte IDs verwendet.

3.7 Support und Fehlerdiagnose (App User)

• Nutzende können im Falle von technischen Problemen in der App eine E-Mail an den tchop Support schreiben. Mit dieser E-Mail können Daten zum Betriebssystem, der App-Version und dem technischen Endgerät übermittelt werden. Diese Daten dienen der Fehlerdiagnose. Nach der Beantwortung der Support-Anfrage werden diese Daten gelöscht. Die Übermittlung erfolgt freiwillig.

Die eingesetzte Software erlaubt es unter keinen Umständen, Informationen zu sammeln oder zu verarbeiten, die sich auf den Endgeräten der Nutzenden befinden. Das gilt ausnahmslos für alle digitalen Funktionen oder genutzte Apps und Dienste.

4.0 Sicherheit

Der technische Betreiber der AOK PLUS News-App, die Firma tchop, hält die beschriebenen Sicherheitsmaßnahmen jederzeit und unbegrenzt aufrecht und kann zusätzliche oder alternative Sicherheitsmaßnahmen durchführen, wobei sichergestellt wird, dass das Sicherheitsniveau der definierten Maßnahmen nicht verringert wird.

tchop wird seine ISO/IEC 27001:2013-Zertifizierung aufrechterhalten. Nutzende können eine Kopie des aktuellen ISO-Zertifikats von tchop auf Anfrage zugeschickt bekommen.

4.1 Pseudonymisierung

tchop verwendet Pseudonyme zur Speicherung nutzer/-innenbezogener Interaktionen, wann immer dies nötig ist. Im tchop CMS wird jedem/r Nutzerin automatisiert eine randomisierte „User-ID“ vergeben. Dies ist eine zehnstellige Zahl, die an anderen Stellen des Systems der technischen Identifikation dient und die gleichzeitig sicherstellt, dass der bzw. die Nutzenden im System (bspw. in technisch notwendigen Protokollierungen hinsichtlich Registrierung und Anmeldung) über diese „User-ID“ repräsentiert wird. tchop erhebt grundsätzlich so wenige personenbezogene Daten wie möglich.

4.2 Nutzungsstatistik

Die AOK PLUS stellt den Schutz der Privatsphäre der Nutzenden bei unseren Produkten, unseren Diensten und bei unserer internen Steuerung an oberste Stelle. Das gilt auch für Nutzungsstatistiken, die über ein eigenes Analytics-Dashboard ausgewählten Nutzer/-innen (in der Regel Administration und Redaktion) bereitgestellt werden.

Deswegen stellt der Auftragnehmer tchop Folgendes sicher:

4.2.1  Datenminimierung:

Für die Bereitstellung von Statistiken verwendet tchop nur randomisierte Geräte-IDs, die keinen Rückschluss auf einzelne Nutzende ermöglichen, da dies technisch vollständig separiert ist. Eine Verbindung zwischen der „internen User-ID“ und der statistischen Auswertung kann an keiner Stelle hergestellt werden (siehe Punkt 2). tchop erhebt nur die für den einwandfreien Betrieb notwendigen Daten, werten nur die wichtigsten Teile der App-Nutzung aus.

4.2.2 Keine Rückschlüsse auf individuelle Nutzende:

Es werden keine individuellen Profile von Nutzenden erstellt und keinerlei Daten erhoben, die einen Rückschluss auf die Aktivitäten einer/s individuellen Nutzenden zulassen. Alle Aktivitäten in der App werden zusammengefasst zu aussagekräftigen Berichten zur allgemeinen Nutzendeninteraktion. So lässt sich auf dem Analytics Dashboard bspw. sehen, wie viele die App wie lange benutzt haben. Es lässt sich aber nicht nachvollziehen, welche Nutzerin oder welcher Nutzer es konkret war.

4.3.3 Keine Drittanbieterdienste für Analytics:

Die App Nutzung erfolgt aus Basis eines anonymisierten Auswertungssystems. Dazu verwendet wird die sog. Firebase ID, die jedem App Nutzer mit dem Start der App von dem entsprechenden SDK (Software Development Kit) zugewiesen wird. Diese ID lässt sich zu keinem Zeitpunkt von irgendeinem Beteiligten mit einem echten Nutzer in Zusammenhang bringen. Primär wird diese ID verwendet, um Nutzern Push Benachrichtungen zukommen zu lassen.

Die Rohdaten für die Nutzungsstatistik, die ausschließlich mit anonymisierten Daten arbeitet, werden von tchop selbst erfasst, die dafür notwendigen Auswertungen und Berechnungen wurden selbst entwickelt und bieten ein eigenes Analytics Dashboard, um wertvolle Einblicke in die Inhalte und deren Reichweite und den Erfolg der App zu liefern.

4.3.4 Technische Details zur Datenerfassung der Nutzungsstatistiken

Die Erfassung der Daten erfolgt auf Basis der oben beschriebenen Grundlagen in einer Art und Weise, die die Privatsphäre der Nutzenden umfassend schützt.

Technisch erfolgt dies folgendermaßen:

• In der App erfasst ein Software Development Kit (SDK) die notwendigen Nutzungsdaten; jedem Endgerät wird dazu von dem SDK eine randomisierte, anonyme Geräte-ID vergeben; diese kann technisch nicht mit dem Nutzer bzw. der Nutzerin in Verbindung gebracht werden. Dem SDK sind die Daten der Nutzenden in der App nicht bekannt (auch keine IP-Adresse), es erfolgt kein Datenaustausch und keine Datenübermittlung personenbezogener Daten zwischen App und SDK.
• Das SDK übermittelt die Nutzungsdaten an ein eigenes, vom tchop CMS technisch getrenntes Backend, welches ausschließlich zur Auswertung dieser anonymisierten Nutzungsdaten zur Verfügung steht. Das System hat keinerlei Informationen über personenbezogene Nutzerdaten, sondern führt die Berechnungen nur auf Basis der anonymen Geräte-IDs durch.
• Das Backend mit den Nutzungsdaten stellt eine grafische Benutzeroberfläche zur Verfügung, die eine Auswertung und Analyse der Daten anhand von verschiedenen Werten und Zeitstempeln ermöglicht. Dabei ist kein Rückschluss auf einzelne Nutzende oder Gruppen möglich.

5.0 Details zu den Servern

In den Geschäftsräumen von tchop, KomPart oder der AOK PLUS befinden sich keine Server oder andere Dokumentenspeicher, auf denen sich sensible Daten befinden können. Die Daten der Plattform werden auf der Cloud-Infrastruktur von Hetzner Online Gmbh gespeichert. Hetzner Online  hat umfassende technische und organisatorische Maßnahmen umgesetzt, die ihre Einrichtungen vor unbefugtem physischem Zutritt schützen.

Derzeit umfassen die Maßnahmen beider Anbieter unter anderem:

• Die Rechenzentren, Server, Netzwerkausstattung und Host-Softwaresysteme (physische Bestandteile des Server Netzwerks) sind in unscheinbaren Gebäuden untergebracht.
• Die Gebäude sind durch physische Sicherheitsmaßnahmen geschützt, um den unberechtigten Zutritt sowohl weiträumig (z. B. Zaun, Wände) als auch in den Gebäuden selbst zu verhindern.
• Der Zutritt zu Server-Standorten wird durch elektronische Zugangskontrollen verwaltet und durch Alarmanlagen gesichert, die einen Alarm auslösen, sobald die Tür aufgebrochen oder aufgehalten wird.
• Die Zutrittsberechtigung wird von einer berechtigten Person genehmigt und innerhalb von 24 Stunden entzogen, nachdem ein Mitarbeiter*in- oder Lieferanten-Datensatz deaktiviert wurde.
• Alle Besucher müssen sich ausweisen und registrieren und werden stets von berechtigten Mitarbeitern*innen begleitet.
• Zutritt zu sensiblen Bereichen wird durch Videoüberwachung überwacht.
• Ausgebildete Sicherheitskräfte bewachen die Rechenzentren und die unmittelbare Umgebung davon 24 Stunden am Tag, 7 Tage die Woche.

6.0 Löschung von Daten/Löschkonzept

tchop bietet verschiedene Maßnahmen zum Abrufen, Korrigieren, Löschen oder Sperren von Daten. Autorisierte Nutzende, d.h. Redakteurinnen und Redakteure sowie Administratorinnen und Administratoren auf Seiten der AOK PLUS und KomPart können jederzeit selbst Inhalte oder Nutzende aus dem System entfernen. In diesem Moment werden die personenbezogenen Daten des bzw. der Mitarbeitenden (Name, E-Mail-Adresse und Zeitstempel der letzten Aktivität) auf den entsprechenden Cloud-Services bzw. der Datenbank gelöscht, unleserlich oder unbrauchbar gemacht.

Mit der Löschung dieses Hauptdatensatzes werden auch etwaige Links zu den Daten und deren Kopien gelöscht. Ausgenommen sind verschlüsselte Daten-Backups. In diesen Backups kann der Datensatz für maximal weitere 14 Tage vorhanden sein, bis er auch hieraus durch das nächste automatisierte Backup überschrieben und gelöscht wird.

Eine Weiterverarbeitung dieser Kundendaten nach Löschung ist dann nicht mehr möglich. Werden die Nutzenden mit der gleichen E-Mail-Adresse nach der Löschung erneut hinzugefügt, werden sie von tchop wie neue Nutzende behandelt.

Alternativ kann die AOK PLUS tchop bitten, bestimmte Daten in ihrem Auftrag zu löschen. Für diesen Fall verfährt tchop nach einer abgestimmten, allen Mitarbeitenden bekannten Löschroutine. Diese erfolgt in den folgenden drei Schritten und ist zwingend in schriftlicher

Form mit dem Auftraggeber abzustimmen:

1. Definition der zu löschenden Daten (dies können einzelne Nutzende oder auch ganze Kanäle bzw. Rubriken sein)

2. Abstimmung des genauen Zeitraums der Löschung (sofort oder zu einem bestimmten Datum)

3. Prüfung der Aufbewahrungspflicht der jeweiligen Daten

In jedem Falle gelöscht werden alle von der AOK übermittelten, personenbezogenen Daten (E-Mail-Adressen, Namen, Funktion) sowie alle damit im Zusammenhang stehenden, erfassten Daten nach Ende des Auftrages innerhalb eines Zeitraums von 14 Tagen gelöscht.

Personenbezogene Daten werden bei tchop grundsätzlich nie gedruckt und liegen demnach in keinem Moment in Papierform vor. Nicht mehr benötigte Notebooks von Mitarbeitenden werden vor der Entsorgung in Zusammenarbeit mit der Metall-Innung Berlin (dem Vermieter von tchop) mechanisch durch eine Bohrung im relevanten Speichermedium des Rechners zerstört.