support@hitoco.de

Datenschutzerklärung hiToco® App

Letzte Aktualisierung der Datenschutzerklärung: 17.07.2025 

Die Applikation hiToco® ist ein angeleitetes, digitales Selbsthilfeprogramm für Eltern und Erziehungsberechtigte von Kindern mit ADHS und/oder OPP im Alter von 4 bis 11 Jahren. Hierbei fungieren die Kinder als Patienten und die Eltern als Nutzer (User) der Anwendung.  Im Rahmen der App-Anmeldung und -Nutzung werden verschiedene personenbezogene Daten von Ihnen und Ihrem Kind erhoben. Bei diesen Daten handelt es sich u.a. um Gesundheitsdaten im Sinne des Art. 9 Abs. 1 der Datenschutzgrundverordnung (DSGVO), die gesetzlich besonders geschützt sind.

Datenverarbeitungen der hiToco® App

Orientierungshilfe 

Der Schutz Ihrer personenbezogenen Daten ist uns ein großes Anliegen. Mit dieser Datenschutzerklärung möchten wir Sie über Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren. 

Eine Übersicht der einzelnen Kapitel zur besseren Orientierung finden Sie hier: 

  1. Präambel – Hier finden Sie eine kurze Übersicht zum Inhalt der Applikation und den Datenschutzthemen. 

  2. Kontakt – Wie können Sie einfach und schnell mit uns Kontakt aufnehmen? 

  3. Datenverarbeitung und -speicherung – Welche Ihrer Daten werden wie, wozu, wo, durch wen und wie lange gespeichert und verarbeitet? 

  4. Rechtsgrundlage – Auf welcher Rechtsgrundlage verarbeiten wir Ihre Daten? 

  5. Datenübermittlung – An welche Auftragsverarbeiter und andere Dritte werden Ihre Daten, zu welchen Zwecken und auf welcher Rechtsgrundlage übermittelt? 

  6. Datensicherheit – Was tun wir, um Ihre Daten größtmöglich zu schützen? 

  7. Ihre Rechte – Hier finden Sie einen Überblick zu all Ihren Rechten als Betroffene. 

1. Präambel 
Die Applikation hiToco® ist ein angeleitetes, digitales Selbsthilfeprogramm für Eltern und Erziehungsberechtigte von Kindern mit ADHS und/oder OPP im Alter von 4 bis 11 Jahren. Hierbei fungieren die Kinder als Patienten und die Eltern als Nutzer (User) der Anwendung.  

Die Medizinproduktesoftware hiToco® unterstützt Familien mit Kindern mit einer Aufmerksamkeits-Defizit/Hyperaktivitätsstörung (ADHS) und/oder einer Störung des Sozialverhaltens mit oppositionellem Trotzverhalten (OPP) im Umgang mit diesen Störungsbildern im Alltag. Durch die Nutzung von hiToco® lernen Eltern und andere Sorgeberechtigte, ihr Erziehungsverhalten gemeinsam mit ihrem Kind auf interaktive Weise anzupassen. Dies führt zu einer Linderung des externalisierenden Problemverhaltens des Kindes, einschließlich der Symptome von ADHS und/oder OPP sowie der damit verbundenen psychosozialen Beeinträchtigungen. 

Auf der Grundlage spezifischer Benutzereingaben während der Nutzerkontoerstellung wird von der Anwendung ein individueller Trainingsplan erstellt. Spezifische Features wie Erinnerungen, Feedbackschleifen und andere Funktionalitäten ermöglichen dem Nutzer eine interaktive Auseinandersetzung mit dieser Software. 

hiToco® basiert auf dem evidenzbasierten Therapiemanual THOP (Therapieprogramm für Kinder mit hyperkinetischem und oppositionellem Problemverhalten). 

Im Rahmen der App-Anmeldung und -Nutzung werden verschiedene personenbezogene Daten von Ihnen und Ihrem Kind erhoben. Bei diesen Daten handelt es sich u.a. um Gesundheitsdaten im Sinne des Art. 9 Abs. 1 der Datenschutzgrundverordnung, die gesetzlich besonders geschützt sind.  In dieser Datenschutzerklärung legen wir dar, zu welchen Zwecken und wie wir diese Daten verarbeiten, wie wir diese Daten schützen und wie Sie Ihre in der DSGVO festgeschriebenen Rechte wahrnehmen können.  

2. Kontakt 
Sie erreichen uns über den Hilfe-Feedback-Button in der hiToco-App oder direkt über die Service-E-Mail-Adresse support@hitoco.de. Unsere Kernzeiten sind von Mo-Fr (außer an Feiertagen) von 8:00 bis 18:00 Uhr. Sie erreichen uns auch außerhalb unserer Kernzeiten über den Hilfe-Feedback-Button oder direkt über die Service-E-Mail-Adresse support@hitoco.de. 

Spätestens innerhalb von 24 Stunden erhalten Sie von uns eine Rückmeldung zu Ihrer Anfrage. 

Verantwortlicher i.S.d. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (nachfolgend „DSGVO“), des Bundesdatenschutzgesetzes (nachfolgend „BDSG“) sowie sonstiger datenschutzrechtlicher Bestimmungen ist die: 

Medigital GmbH 
Medice-Allee 1 
58638 Iserlohn 
E-Mail: support@hitoco.de 

Vertretungsberechtigte Person 
Dr. Felix Lambrecht 

Interne Datenschutzbeauftragte: 
Sollten Sie Fragen zu unseren Datenschutzmaßnahmen, zur Verarbeitung Ihrer Daten oder bezüglich der Wahrung Ihrer Betroffenenrechte haben, erreichen Sie unserDatenschutzteam wie folgt: 

Medigital GmbH 
Datenschutz 
Medice-Allee 1 
58638 Iserlohn 
Telefon: +49 (0)2371 937 0  
E-Mail: privacy-medigital@medice.de 

Bei vertraulichen Anliegen in Bezug auf den Datenschutz können Sie sich direkt an unsere Datenschutzbeauftragte wenden unter: dsb@medice.de 

3. Datenverarbeitung und -speicherung 

Es werden folgende personenbezogene Daten von Ihnen und Ihrem Kind erhoben und verarbeitet:  

Nutzer (Eltern/Erziehungsberechtigte):  

  • Profil- und Kontaktdaten (Profilname (optional), E-Mail-Adresse) 

  • Daten zur sicheren Authentifizierung und Verkehrsdaten zu Ihrer Korrespondenz mit uns (Nachrichten über die Feedback-Funktion) 

  • Online-Identifikatoren (User-IDs, IP-Adresse, gekürzte IP-Adresse, Device Push Token, Zugriffszeitpunkte, Informationen zum genutzten Endgerät) 

  • Gesundheitsdaten (Stresslevel anhand von visuellen Stimmungsmarkern) 

  • Demografische Daten (Familienstand)  

  • Trackingdaten (nach gesonderter Einwilligung) 

  • Subjektive Feedbackdaten 

  • Krankenversicherungsnummer -> im Falle einer Anmeldung über die GesundheitsID 

  • Push-Token (für Push-Benachrichtigungen, sofern aktiviert) 

Patient (Kind): 

  • Verhaltensdaten (Evaluation des Situationsverhaltens / Verhaltens in Problemsituation anhand von Nutzer-Eingaben) 

Die personenbezogenen Daten werden für folgende Zwecke verarbeitet: 

verpflichtend: 

  • zur bestimmungsgemäßen Nutzung der Applikation 

  • Zur Erfüllung der rechtlichen Anforderungen im Rahmen der Vorgaben der DiGAV (bei Nutzung des Dienstes als DiGA) 

  • Zur Erfüllung anderer gesetzlicher Verpflichtungen 

  • Zu Abrechnungszwecken (bei Nutzung des Dienstes im Rahmen der DiGA-Zulassung) 

  • zur Sicherstellung eines sicheren Betriebs, insb. durch Aufrechterhaltung von Datenschutz und Datensicherheit, z.B. durch die Protokollierung und Auswertung von Zugriffsversuchen.  

  • Zur optionalen App-Anmeldung über GesundheitsID (bei Nutzung des Dienstes im Rahmen der DiGA-Zulassung) 

  • Bei Bedarf zur Übermittlung von Gesundheitsdaten an die elektronische Patientenakte (bei Nutzung des Dienstes im Rahmen der DiGA-Zulassung) 

  • zum Nachweis positiver Versorgungseffekte im Rahmen von Erprobungen nach §139a Abs. 4 SGB V 

optional - bei gesonderter Einwilligung: 

  • Zur Qualitätssicherung, Verbesserung und Weiterentwicklung der Applikation zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit und Nutzerfreundlichkeit der App 

  • zur Versendung der vom Nutzer selbst festgelegten Erinnerungen 

  • zur automatisierten Versendung von Hinweisen/Erinnerungen basierend auf dem Lese-/Bearbeitungsfortschritt innerhalb der App 

Verarbeitung personenbezogener Daten bei Nutzung der App 

Sie haben die Möglichkeit, sich in unserer App unter Angabe von personenbezogenen Daten zu registrieren. 

Ihre Registrierung dient uns dazu, Ihnen Inhalte oder Leistungen anzubieten, die aufgrund der Natur der Sache nur registrierten Benutzern angeboten werden können. Registrierten Personen steht die Möglichkeit frei, die bei der Registrierung angegebenen personenbezogenen Daten jederzeit abzuändern/ändern zu lassen.. 

Weiterhin benötigen wir zur Bereitstellung der App Ihre Gerätemodell-Bezeichnung, um eine Fehleridentifikation vornehmen zu können. 

Gesonderte/optionale Einwilligung (gemäß §4 Abs. 2 Satz 1 Nr. 4 DiGAV) 

Während der Nutzung der hiToco App gesammelte Nutzungs- und Verkehrsdaten (Navigationswege durch die App, Nutzungshäufigkeit bestimmter Features, genutztes Endsystem (Produkt, Betriebssystemversion), etc.) helfen uns, die App und das Nutzererlebnis zu verbessern und im Fall von Fehlern die Ursachen besser analysieren und verstehen zu können. Die Verarbeitung dieser Daten findet ausschließlich durch uns statt und soweit möglich werden diese Daten zu diesen Zwecken anonym – d.h. ohne Bezug zur Ihrer Identität – verarbeitet. 

Gemäß § 4 Absatz 2 Satz 1 Ziffer 4 DiGAV dürfen wird diese Daten auf der Basis einer von Ihnen freiwillig gegebenen Einwilligung zu den oben ausgeführten Zwecken der dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit verarbeiten. Wir bitten Sie im Rahmen der Registrierung um diese Einwilligung, da wir zur Verbesserung der hiToco App auf Daten aus realen Nutzungsszenarien im Versorgungsalltag angewiesen sind. Diese Einwilligung ist optional und Sie können die hiToco App ohne Einschränkungen nutzen, wenn Sie diese Einwilligung nicht geben. Sie können diese Einwilligung jederzeit unter „Einstellungen“ widerrufen. 

Nutzeranfragen und Kontaktaufnahme  
Im Rahmen der Kontaktaufnahme mit uns (per E-Mail, Kontaktformular, Telefon) werden personenbezogene Daten wie Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer, zum Zwecke der Beantwortung Ihres Anliegens bzw. für die Kontaktaufnahme und die damit verbundene technische Administration gespeichert und verarbeitet. Diese Datenverarbeitung erfolgt auf Basis eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f) DSGVO. 

Die Bereitstellung des Kundensupports für die App übernimmt die Selfapy GmbH, Kastanienallee 29/30, 10435 Berlin im Auftrag der Medigital GmbH.  Hierzu wurde eine entsprechende vertragliche Vereinbarung gem. Art. 28 DSGVO zwischen der MEDICE Arzneimittel Pütter GmbH & Co. KG, als Mutterkonzern der Medigital GmbH, und der Selfapy GmbH abgeschlossen.  

Informations-E-Mails an registrierte Nutzer 
Nach erfolgreicher Registrierung senden wir Ihnen regelmäßig Informationen zum Programmfortschritt innerhalb der App zu.  

In der kostenpflichtigen Version der Applikation werden im Gegensatz zu der DiGA-Version zudem weitere Informationen per E-Mail versendet, dies können z. B. die Willkommensemail, Vorstellung der Vorteile der App, Informationen zum Abonnement und Erinnerungsmails sein. Diese Datenverarbeitung erfolgt auf Basis eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f) DSGVO. Sie können der Nutzung Ihrer E-Mailadresse zu dem vorbezeichneten Zwecken jederzeit mit Wirkung für die Zukunft widersprechen. Nach Eingang Ihres Widerspruchs wird die Nutzung Ihrer E-Mailadresse zu Informationszwecken unverzüglich eingestellt. 

Ort der Verarbeitung 
Die in der App eingegebenen personenbezogenen Daten (einschließlich Gesundheitsdaten) werden auf zugriffsgesicherten Servern der Telekom Healthcare Cloud in Deutschland verarbeitet. 

Zugriff- und Bearbeitungsrechte zu den zu verarbeitenden Dateien haben ausschließlich festgelegte, berechtigte Mitarbeiter der MEDICE Arzneimittel Pütter GmbH (als Mutterkonzern der Medigital GmbH), der Medigital GmbH und die unter dem Punkt „eingesetzte Dienste“ aufgeführten, den Weisungen der Medigital GmbH unterliegenden, Auftragsverarbeiter (gem. Art. 28 DSGVO). 

Die im Rahmen der Kontaktaufnahme mit uns erhobenen Daten werden auf den Servern der HubSpot Germany GmbH in Europa verarbeitet.  

Zugriff- und Bearbeitungsrechte zu den zu verarbeitenden Dateien haben ausschließlich die für den Support der App zuständigen, berechtigten Mitarbeiter der Selfpay GmbH und der unter dem Punkt „eingesetzte Dienste“ aufgeführte, den Weisungen der Selfapy GmbH unterliegende, Auftragsverarbeiter (gem. Art. 28 DSGVO). 

Speicher- und Löschfristen 

Im Falle der Nutzung der App als Selbstzahler wird Ihnen bei einer dreimonatigen Inaktivität Ihres Nutzerkontos eine Benachrichtigung, zu Ihrem Kontostatus und der automatischen Löschung nach Ablauf von weiteren 3 Monaten ohne Kontoaktivität, gesendet. Sie können die Speicherdauer Ihrer Daten, auch bei Kontoinaktivität, mit Ihrer gesonderten Einwilligung, auf insgesamt 24 Monate (ab Kontoaktivierung) verlängern lassen. Während dieses Zeitraums können Sie alle Funktionen der Anwendung normal weiter nutzen.  

Sollte 3 Monate nach der Benachrichtig kein weiterer Kontakt mit Ihnen erfolgt sein/Sie der Löschung Ihrer Daten zugestimmt haben, werden diese durch die Medigital GmbH gelöscht und Ihr Nutzerkonto deaktiviert.  

Sollten Sie einer Verlängerung der Speicherdauer Ihrer Daten zustimmen, speichern wir Ihre Daten für insgesamt 24 Monate ab Kontoaktivierung. Sollte nach Ablauf dieser Frist kein weiterer Kontakt durch Sie erfolgen/keine Kontoaktivität vorliegen/Sie der Löschung zustimmen, werden Ihre Daten durch die Medigital GmbH gelöscht und Ihr Nutzerkonto deaktiviert. 

Speicher- und Löschfristen

Im Falle der Nutzung App als DiGA werden Ihre Daten nach Ablauf der Verordnung durch die Medigital GmbH gelöscht und Ihr Nutzerkonto deaktiviert. 2 Wochen, sowie 2 Tage und 1 Tag vor Ablauf der Verordnung senden wir Ihnen zur Erinnerung entsprechende Benachrichtigungen mit Informationen zur Kontolöschung bei Verordnungsende und Hinweis zu Ihrem Recht auf Datenübertragbarkeit zu.  

Sie können für die Überbrückungszeit bis zur Folgeverordnung die Speicherdauer Ihrer Daten, mit Ihrer gesonderten Einwilligung zum Zwecke der „Nutzerfreundlichkeit“ gem. §4 Abs. 2 Satz 1 Nr. 4 DiGAV, um 4 Wochen (für ein Drittel der Verordnungsdauer) über den Verordnungszeitraum hinaus verlängern lassen. Während dieses Überbrückungszeitraums sind Ihre Daten gesperrt und können nicht bearbeitet/genutzt werden. 

Die im Rahmen der Kontaktaufnahme mit uns erhobenen Daten werden nach abschließender Bearbeitung Ihrer Anfrage gelöscht. Dies ist der Fall, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist.  

4. Rechtsgrundlage 
Die Rechtsgrundlagen für die Verarbeitung Ihrer personenbezogenen Daten bilden Ihre informierte, freiwillige Einwilligung nach Art. 6 Abs. 1 lit. a) i.V.m. Art. 9 Abs. 2 lit. a) DSGVO - und im Falle der Nutzung des Dienstes als DiGA gemäß §33a SGB V – die Vorgaben des §4 Abs. 2 Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), sowie die Bereitstellung des mit Ihnen vertraglich vereinbarten digitalen Dienstes gem. Art. 6 Abs. 1 lit. b) DSGVO. 

5. Datenübermittlung 
An folgende dritte Parteien können die personenbezogenen Daten übermittelt werden: 

  • Zuständige Behörden: Unter gewissen Umständen könnten betreffende Daten bei einem Angriff auf unsere Systeme, zur Erfüllung von Anforderungen der nationalen Sicherheit oder zur Strafverfolgung an die Strafverfolgungsbehörden weitergegeben werden. 

  • Auftragsverarbeiter der Medigital GmbH (Deutsche Telekom Healthcare and Security Solutions GmbH; MEDKONNEKT GmbH, azuma healthtech GmbH;  Sendinblue GmbH; RevenueCat à nur im Falle der Nutzung als Selbstzahler 

  • Auftragsverarbeiter der Medigital GmbH (Selfapy GmbH: Unterauftragnehmer – HubSpot Germany GmbH) 

  • Leistungserbringer (Ärzte, Psychologen) bei einer, vom Nutzer veranlassten Übermittlung der Gesundheitsdaten in die elektronische Patientenakte  

Die Medigital GmbH versichert Ihre Daten nur an Stellen weiterzugeben, die ein geeignetes Datenschutzkonzept entsprechend den geltenden Verordnungen und Gesetzen vorweisen können und mit denen, wenn erforderlich, entsprechende vertragliche Vereinbarungen gem. Art. 26 oder Art. 28 DSGVO bestehen.  

Folgende Dienste kommen in der App zum Einsatz: 

Deutsche Telekom Healthcare Cloud 
Die Deutsche Telekom Healthcare and Security Solutions GmbH, Friedrich-Ebert-Allee 140, 53113 Bonn (Betreiber der Telekom Healthcare Cloud) übernimmt das Hosting der Anwendung. Unsere App verwendet die Telecom Health Cloud zur Verwaltung des Backends und zur sicheren Datenspeicherung. Die Telecom Health Cloud bietet eine speziell für Gesundheitsdaten entwickelte Infrastruktur, die höchsten Sicherheitsstandards entspricht. Alle gespeicherten Daten werden verschlüsselt und unterliegen strengen Datenschutzrichtlinien gemäß der EU-Datenschutz-Grundverordnung (DSGVO). Die Datenverarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union, um die Einhaltung der Datenschutzvorgaben zu gewährleisten. Hierzu wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO mit dem Dienstleister abgeschlossen. 

Weitere Informationen zur Telekom Healthcare Cloud finden Sie unter: https://www.telekom-healthcare.com/cloud-und-sicherheit/cloud-plattform-gesundheitswesen/healthcare-cloud  

 

HubSpot 
Unser für den Support der App zuständiger Auftragsverarbeiter Selfapy GmbH nutzt die CRM-Lösungen des anbieters HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlin, Deutschland. Die CRM-Plattform (Customer-Relationship-Management-Plattform) wird für das Management von Kunden- und Einwilligungsdaten, das Vertriebs- und Marketingmanagement, sowie zur Bereitstellung des Kundensupport eingesetzt. 

Im Rahmen der Kontaktaufnahme mit dem Kundensupport (per E-Mail, Kontaktformular, Telefon) können dabei folgende personenbezogene Daten von Ihnen erhoben und verarbeitet werden: 

  • Kontaktdaten (Vor- und Nachname, E-Mail-Adresse, Telefonnummer) 

  • Kommunikationsdaten (Inhalte der Anfrage/Korrespondenz) 

Alle gespeicherten Daten werden verschlüsselt und unterliegen strengen Datenschutzrichtlinien gemäß der EU-Datenschutz-Grundverordnung (DSGVO). Die Datenverarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union. 

Der Mutterkonzern HubSpot Inc. der HubSpot Germnay GmbH ist als US-Unternehmen unter dem EU-US Privacy Framework zertifiziert, womit der Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO greift und somit ein angemessenes Datenschutzniveau bestätigt. Es wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO auf Grundlage der Standardvertragsklauseln der Europäischen Kommission mit dem Dienstleister abgeschlossen. 

Nähere Informationen zu den Datenschutzbestimmungen von HubSpot finden Sie unter: HubSpot-Datenschutzrichtlinie  

Sendinblue 
Wir setzen in dieser App die Lösung Brevo für den Versand von E-Mails ein. Anbieter ist die Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland. 

Brevo ermöglicht es uns, transaktionale E-Mails wie Registrierungsbestätigungen, zweistufige Authentifizierung (2FA), Passwort-Reset-Mails, Status-Updates aus der App (Modulfortschritt im Trainingsplan), Benachrichtigung bei Inaktivität des Accounts und andere Benachrichtigungen sicher und zuverlässig zu versenden. Dabei werden die E-Mail-Adressen unserer Nutzer verarbeitet. Brevo speichert und verarbeitet diese Daten auf Servern in Deutschland und entspricht den Anforderungen der DSGVO. 

Die Verwendung des Versanddienstleisters erfolgt auf Grundlage eines Auftragsverarbeitungsvertrages gem. Art. 28 DSGVO. 

Nähere Informationen zu den Datenschutzbestimmungen von Brevo finden Sie unter: https://www.brevo.com/de/datenschutz-uebersicht/. 

MEDKONNEKT - elektronische Patientenakte (ePA) 
Zur Erfüllung der DiGA-Anforderungen zur Bereitstellung einer TI-Anbindung (Telematikinfrastruktur), sowie zur Anbindung der App an die ePA (elektronische Patientenakte) setzen wir die Produktlösungen der MEDKONNEKT GmbH, Schleißheimer Straße 91A, 85748 Garching b. München, ein. Der Betrieb und die Bereitstellung des KIM-Fachdienstes erfolgt durch die Arvato Systems Perdata GmbH, Martin-Luther-Ring 7-9, 04109 Leipzig, als Unterauftragnehmer der MEDKONNEKT GmbH. Die übrigen Verarbeitungstätigkeiten werden von der Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojektberatung GmbH, Concorde Business Park F, AT-2320 Schwechat, als Mutterkonzern der MEDKONNEKT GmbH erbracht. Hierzu wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO mit dem Dienstleister abgeschlossen. 

Sie können, sobald technisch möglich, selbstständig die in der App von Ihnen eingegebenen Gesundheitsdaten Ihres Kindes (Verhaltensdaten- Evaluation des Situationsverhaltens / Verhaltens in Problemsituation anhand von Nutzer-Eingaben) an die ePA Ihres Kindes übermitteln.  

Hierbei erfolgt die Übermittlung der personenbezogenen Daten Ihres Kindes nur mit Ihrer Zustimmung und verschlüsselt.  

Falls Sie Fragen zu den personenbezogenen Daten in der ePA Ihres Kindes und den Betroffenenrechten Ihres Kindes in diesem Zusammenhang haben, wenden Sie sich bitte an Ihre zuständige Krankenkasse. 

Nähere Informationen zu RISE und MEDKONNEKT finden Sie unter: RISE DIGA (rise-diga.de) 

 

Azuma - GesundheitsID 
Zur Erfüllung der DiGA-Anforderungen zur Implementierung einer Schnittstelle zur Nutzung der GesundheitsID innerhalb der App setzen wir die Produktlösungen der azuma healthtech GmbH,  

Lindenstraße 4g, 81545 München ein.  

So können, sobald technisch möglich, sich mit Ihrer GesundheitsID in der App anmelden. Hierbei werden Ihre personenbezogenen Daten (Personenstammdaten, E-Mail-Adresse, Krankenversicherungsnummer) nur in einem Web Token zum Zwecke der Identifizierung von der Medigital GmbH kurzzeitig gespeichert und nach erfolgreicher Anmeldung sofort gelöscht. Die Medigital GmbH und azuma healthtech GmbH haben dabei keinen Zugriff auf Ihre personenbezogenen Daten. Hierzu wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO mit dem Dienstleister abgeschlossen. 

Nähere Informationen zu den Datenschutzbestimmungen von Azuma finden Sie unter: https://legal.azuma-health.tech/privacy_policies/pp_apps_de  

Abrechnung  
(1) Im Falle der Nutzung des Dienstes als DiGA: 

Noventi 
Für die Abrechnung im Rahmen der Nutzung der App als digitale Gesundheitsanwendung setzen wir den Dienstleister NOVENTI HealthCare GmbH (Geschäftsbereich Division Sonstige Leistungserbringer), Berg-am-Laim-Str. 105, 81673 München, ein. Diese Abrechnungsstelle unterliegt wie wir selbst und unser Personal den Bestimmungen der Schweigepflicht und des Datenschutzes. Noventi wird Ihre Daten nur in dem Maße verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten zur Abrechnung mit Ihrer Krankenkasse erforderlich ist. Hierzu wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO mit dem Dienstleister abgeschlossen. 

 

(2) Im Falle der Nutzung des Dienstes als Selbstzahler: 

RevenueCat 
Die kostenpflichtige App kann über den App-Store des jeweiligen Gerätes (Google für Android-Geräte und Apple für iOS-Geräte) erworben werden. Die App nutzt für die Verwaltung und Analyse bei Produktkauf RevenueCat von Revenue Cat, Inc. (folgend “RevenueCat”) mit Sitz in 633 Tarava St. Suite 101, San Francisco, CA 94116 USA. 

Dafür nutzt die App die von uns bereitgestellte technische Schnittstelle, um zu ermitteln, ob ein Kauf getätigt wurde. Dabei findet eine Kommunikation mit dem App-Store statt. Es wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO mit dem Dienstleister abgeschlossen. Die dabei übertragenen personenbezogenen Daten werden gemäß unseren Datenschutzbestimmungen verarbeitet und sind der Medigital GmbH nicht zugänglich. 

Die allgemeinen Geschäftsbedingungen zu RevenueCat finden Sie unter: https://www.revenuecat.com/terms 

Die Datenschutzbestimmungen zu RevenueCat finden Sie unter: https://www.revenuecat.com/privacy 

Die Daten, die von RevenueCat gespeichert und zur Analyse aufbereitet werden, können unter folgendem Link eingesehen werden: https://www.revenuecat.com/dpa 

 

6. Datensicherheit 
Die Sicherheit Ihrer persönlichen Informationen und der Ihres Kindes ist uns sehr wichtig.  Wir verarbeiten daher die von Ihnen angegebenen Daten und die Ihres Kindes nur mit Ihrer ausdrücklichen Einwilligung. 

Bei jeder Erhebung, Speicherung, Nutzung und Übermittlung von Daten bestehen Vertraulichkeitsrisiken (z.B. die Möglichkeit, die betreffende Person zu identifizieren). Diese Risiken lassen sich nicht völlig ausschließen und steigen, je mehr Daten miteinander verknüpft werden können. Die Medigital GmbH versichert Ihnen, alles nach dem Stand der Technik Mögliche zum Schutz Ihrer Daten zu tun. 

Hierfür ergreifen wir unter anderem folgende technischen und organisatorischen Maßnahmen: 

  • Zweifaktor-Authentifizierung über Gesundheits-ID: Um Ihre Daten vor unbefugtem Zugriff zu schützen und somit deren Vertraulichkeit sowie Integrität gewährleisten zu können, setzen wir eine Zwei-Faktor-Authentisierung ein, indem Sie sich über ihre Gesundheits-ID in der App anmelden. Dies stellt sicher, dass nur Sie Zugriff auf Ihr Nutzerkonto haben. 

  • Zweifaktor-Authentifizierung ohne Gesundheits-ID: Um Ihre Daten vor unbefugtem Zugriff zu schützen und somit deren Vertraulichkeit sowie Integrität gewährleisten zu können, bieten wir Ihnen alternativ eine Zwei-Faktor-Authentisierung ohne Geusndheits-ID an. Hierbei melden Sie sich per Login-Verfahren unter Verwendung von Benutzername, Passwort und TOTP (zeitbasiertem Einmalpasswort) in der App an. Dies stellt sicher, dass nur Sie Zugriff auf Ihr Nutzerkonto haben. 

     

  • SSL/TLS-Verschlüsselung: Die personenbezogenen Daten werden nur über, nach dem aktuellen Stand der Technik verschlüsselte Verbindungen übertragen. Wir setzen hierbei die geltenden Vorgaben des Bundesamts für Sicherheit in der Informationstechnik um und setzen diese Technologie ein, um die Übermittlung Ihrer Daten zu schützen. 

     

  • Strikte Trennung der Speicherung und Verarbeitung der Gesundheits- und Kontaktdaten mit Zugriffsberechtigung nur für autorisierte Mitarbeiter der Medigital GmbH. 

  • Anonymisierung der Daten, die im Rahmen der Qualitätssicherung, Weiterentwicklung und kontinuierlichen Verbesserung der Applikation gesammelt werden. Dies bedeutet, dass eine Identifizierung Ihrer Person nicht möglich ist. 

  • unterschiedliche Passwörter für alle intern eingesetzten Software-Tools 

  • Viren-Schutz für die gesamte verwendete IT-Hardware 

  • Firewall für unser internes Firmennetzwerk 

  • regelmäßige Schulungen zu Datensicherheit und -schutz für alle Mitarbeiter 

  • regelmäßige Updates aller Software-Komponenten 

  • regelmäßige Datensicherung, um die Verfügbarkeit zu gewährleisten 

  • regelmäßige Risikoanalysen zu den entsprechenden IT-Systemen 

7. Ihre Rechte 
Im Rahmen der Verarbeitung Ihrer personenbezogenen Daten ist es unser Ziel Ihre Datenschutzrechte zu jedem Zeitpunkt zu gewährleisten. Unsere Servicezeiten, sowie alle Kontaktmöglichkeiten finden Sie unter Punkt 2 „Kontakt“ der ausführlichen Datenschutzerklärung. 

Folgenden Rechte können Sie in Bezug auf Ihre personenbezogenen Daten wahrnehmen:  

  • Sie können über das In-App Kontaktformular oder die Service-E-Mail-Adresse support@hitoco.de Auskunft über die Verarbeitung Ihrer Daten verlangen.   

  • Sie können über das In-App Kontaktformular oder die Service-E-Mail-Adresse support@hitoco.de die Anpassung Ihrer personenbezogenen Daten fordern, sofern diese fehlerhaft oder unvollständig sind.  

  • Sie können über das In-App Kontaktformular oder die Service-E-Mail-Adresse support@hitoco.de die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten fordern. (1) Für die Dauer der Überprüfung der Richtigkeit der Daten. (2) Wenn die Verarbeitung unrechtmäßig ist und Sie eine Löschung ablehnen. (3) Wenn die Daten vom Verantwortlichen für die Verarbeitungszwecke nicht länger benötigt werden, Sie diese jedoch zu Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen. (4) Im Falle eines Widerspruchs gegen die Datenverarbeitung, solange die entsprechende Interessensabwägung nicht geklärt ist. 

  • Sie können über das In-App Kontaktformular, die Servicehotline 0800 7240452 oder die Service-E-Mail-Adresse support@hitoco.de eine Datenübertragung der zu Ihrer Person erhobenen Daten an Sie oder eine von Ihnen bestimmte Stelle verlangen. 

  • Sie können die Löschung der zu Ihrer Person erhobenen Daten verlangen.  

  • Sie können der Verarbeitung Ihrer personenbezogenen Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit formlos, ohne Angaben von Gründen widersprechen. Wenn die Verarbeitung aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt. 

  • Sie können Ihre erteilte Einwilligung zur Datenverarbeitung über die App selbst im Bereich Konto à Datenschutz à Einwilligung „Nutzungsdaten bearbeiten“, über das In-App Kontaktformular oder die Service-E-Mail-Adresse support@hitoco.dejederzeit formlos, ohne Angabe von Gründen widerrufen.  

Bei einem Widerruf/Widerspruch entstehen Ihnen keine Nachteile. Der Widerruf gilt dabei mit Wirkung für die Zukunft; die bisherigen Datenweitergaben bleiben rechtmäßig.  

Bei Nutzung des Dienstes als DiGA wird bei Widerruf zur Einwilligung nach § 4 Abs. 2 Satz 1 Nr. 1-3 DiGAV die Nutzung der Anwendung beendet; alle Daten werden gelöscht und Ihr Benutzerkonto deaktiviert. Bei Widerruf zur Einwilligung nach § 4 Abs. 2 Satz 1 Nr. 4 DiGAV wird die Verarbeitung zu Zwecken des Herstellers beendet, hiermit gehen keine Einschränkungen der nutzbaren Funktionalität einher.  

Falls Sie weitere Fragen zum Umgang mit Ihren personenbezogenen Daten haben oder von Ihren Rechten Gebrauch machen möchten, können Sie dies über das In-App Kontaktformular oder die Service-E-Mail-Adresse support@hitoco.de. Oder Sie wenden Sie sich an unser Datenschutzteam unter:  

Medigital GmbH 
Datenschutz 
Medice-Allee 1 
58638 Iserlohn 

Telefon: +49 (0)2371 937 0  
E-Mail:privacy-medigital@medice.de 

Bei vertraulichen Anliegen in Bezug auf den Datenschutz können Sie sich direkt an unsere Datenschutzbeauftragte wenden unter dsb@medice.de. 

  • Sie können, bei Vorliegen einer Beschwerdegrundlage, eine Beschwerde bei der zuständigen Datenschutzbehörde einreichen unter:  

Landesbeauftragte für Datenschutz und Informationsfreiheit 
Nordrhein-Westfalen 
Kavalleriestraße 2 - 4 
40213 Düsseldorf 

Telefon: 0211 38424-999 
E-Mail: poststelle@ldi.nrw.de 

Die Kontaktdaten der Datenschutzaufsichtsbehörden aller Bundesländer finden Sie unter folgender Internetadresse:  
https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html