PZN: 20081213 support@hitoco.de

Familien für Studie zu hiToco® gesucht! Mehr erfahren

Datenschutzerklärung hiToco® App

Letzte Aktualisierung der Datenschutzerklärung: 27.11.2025 

Orientierungshilfe 

Der Schutz Ihrer personenbezogenen Daten und der Daten Ihres Kindes ist uns ein großes Anliegen. Mit dieser Datenschutzerklärung möchten wir Sie über Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren. 

Eine Übersicht der einzelnen Kapitel zur besseren Orientierung finden Sie hier: 

  1. Präambel – Hier finden Sie eine kurze Übersicht zum Inhalt der Applikation und den Datenschutzthemen. 

  2. Kontakt – Wie können Sie einfach und schnell mit uns Kontakt aufnehmen? 

  3. Datenverarbeitung und -speicherung – Welche Ihrer Daten und der Daten Ihres Kindes werden wie, wozu, wo, durch wen und wie lange gespeichert und verarbeitet? 

  4. Rechtsgrundlage – Auf welcher Rechtsgrundlage verarbeiten wir Ihre Daten und die Daten Ihres Kindes? 

  5. Datenübermittlung – An welche Auftragsverarbeiter und andere Dritte werden Ihre Daten und die Daten Ihres Kindes, zu welchen Zwecken und auf welcher Rechtsgrundlage übermittelt? 

  6. Datensicherheit – Was tun wir, um Ihre Daten und die Daten Ihres Kindes größtmöglich zu schützen? 

  7. Ihre Rechte – Hier finden Sie einen Überblick zu all Ihren Rechten als Betroffene. 

1. Präambel 
Die Applikation hiToco® ist ein angeleitetes, digitales Selbsthilfeprogramm für Eltern und Erziehungsberechtigte von Kindern mit ADHS und/oder OPP im Alter von 4 bis 11 Jahren. Hierbei fungieren die Kinder als Patienten und die Eltern als Nutzer (User) der Anwendung.  

Die Medizinproduktesoftware hiToco® unterstützt Familien mit Kindern mit einer Aufmerksamkeits-Defizit/Hyperaktivitätsstörung (ADHS) und/oder einer Störung des Sozialverhaltens mit oppositionellem Trotzverhalten (OPP) im Umgang mit diesen Störungsbildern im Alltag. Durch die Nutzung von hiToco® lernen Eltern und andere Sorgeberechtigte, ihr Erziehungsverhalten gemeinsam mit ihrem Kind auf interaktive Weise anzupassen. Dies führt zu einer Linderung des externalisierenden Problemverhaltens des Kindes, einschließlich der Symptome von ADHS und/oder OPP sowie der damit verbundenen psychosozialen Beeinträchtigungen. 

Auf der Grundlage spezifischer Benutzereingaben während der Nutzerkontoerstellung wird von der Anwendung ein individueller Trainingsplan erstellt. Spezifische Features wie Erinnerungen, Feedbackschleifen und andere Funktionalitäten ermöglichen dem Nutzer eine interaktive Auseinandersetzung mit dieser Software. 

hiToco® basiert auf dem evidenzbasierten Therapiemanual THOP (Therapieprogramm für Kinder mit hyperkinetischem und oppositionellem Problemverhalten). 

Im Rahmen der App-Anmeldung und -Nutzung werden verschiedene personenbezogene Daten von Ihnen und Ihrem Kind erhoben. Bei diesen Daten handelt es sich u.a. um Gesundheitsdaten im Sinne des Art. 9 Abs. 1 der Datenschutzgrundverordnung, die gesetzlich besonders geschützt sind.  In dieser Datenschutzerklärung legen wir dar, zu welchen Zwecken und wie wir diese Daten verarbeiten, wie wir diese Daten schützen und wie Sie Ihre in der DSGVO festgeschriebenen Rechte wahrnehmen können.  

2. Kontakt 
Sie erreichen uns über den Hilfe-Feedback-Button in der hiToco-App oder direkt über die Service-E-Mail-Adresse support@hitoco.de. Unsere Kernzeiten sind von Mo-Fr (außer an Feiertagen) von 8:00 bis 18:00 Uhr. Sie erreichen uns auch außerhalb unserer Kernzeiten über den Hilfe-Feedback-Button oder direkt über die Service-E-Mail-Adresse support@hitoco.de. 

Spätestens innerhalb von 24 Stunden erhalten Sie von uns eine Rückmeldung zu Ihrer Anfrage. 

Verantwortlicher i.S.d. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (nachfolgend „DSGVO“), des Bundesdatenschutzgesetzes (nachfolgend „BDSG“) sowie sonstiger datenschutzrechtlicher Bestimmungen ist die: 
 
Medigital GmbH 
Medice-Allee 1 
58638 Iserlohn 
E-Mail: support@hitoco.de 

Vertretungsberechtigte Person 
Dr. Felix Lambrecht  

Interne Datenschutzbeauftragte: 
Sollten Sie Fragen zu unseren Datenschutzmaßnahmen, zur Verarbeitung Ihrer Daten oder bezüglich der Wahrung Ihrer Betroffenenrechte haben, erreichen Sie unserDatenschutzteam wie folgt: 

MedigitalGmbH 
Datenschutz 
Medice-Allee 1 
58638 Iserlohn 

Telefon: +49 (0)2371 937 0  
E-Mail: privacy-medigital@medice.de 

Bei vertraulichen Anliegen in Bezug auf den Datenschutz können Sie sich direkt an unsere Datenschutzbeauftragte wenden unter: dsb@medice.de 

3. Datenverarbeitung und -speicherung 
Der datenschutzrechtliche Begriff "personenbezogene Daten" bezeichnet dabei alle Informationen, die sich auf einen identifizierten oder identifizierbaren Menschen beziehen, wie z.B. Kontaktdaten, Alter oder Geschlecht. Auch eine IP-Adresse kann so ein personenbezogenes Datum sein. 

Es werden folgende personenbezogene Daten von Ihnen und Ihrem Kind erhoben und verarbeitet:  

Nutzer (Eltern/Erziehungsberechtigte):  

  • Profil- und Kontaktdaten (Profilname (optional), E-Mail-Adresse) 

  • Daten zur sicheren Authentifizierung und Verkehrsdaten zu Ihrer Korrespondenz mit uns (Nachrichten über die Feedback-Funktion) 

  • Online-Identifikatoren (User-IDs, IP-Adresse, gekürzte IP-Adresse, Device Push Token, Zugriffszeitpunkte, Informationen zum genutzten Endgerät) 

  • Gesundheitsdaten (Stresslevel anhand von visuellen Stimmungsmarkern) 

  • Demografische Daten (Familienstand)  

  • Subjektive Feedbackdaten 

  • Krankenversicherungsnummer -> im Falle einer Anmeldung über die GesundheitsID 

  • Push-Token (für Push-Benachrichtigungen, sofern aktiviert) 

  • Gerätedaten im Falle einer Support-Anfrage (App Versionsnummer, Modelltyp, Betriebssystemversion) 

  • optional: biometrische Daten (Fingerabdruck, Gesichtsmerkmale) 

  • optional: Trackingdaten nach gesonderter Einwilligung (Anzahl Logins, Session Dauer, Gesamtnutzungszeit in Stunden/Tagen, Bearbeitungsstand Trainingsplan/Inhalte/Programm, Bearbeitungsstand Therapie-Hausaufgaben, durchschnittliche Dauer bis zum Abschluss eines Moduls, eingesetzte Tools, Antworten zum Einstiegsfragebogen, Auswertung Verhaltenstagebuch über Zeit) 

Patient (Kind): 

  • Verhaltensdaten (Evaluation des Situationsverhaltens / Verhaltens in Problemsituation anhand von Nutzer-Eingaben) 

Die personenbezogenen Daten werden für folgende Zwecke verarbeitet: 

verpflichtend: 

  • zur bestimmungsgemäßen Nutzung der Applikation 

  • optional: zur Bereitstellung des Schnell-Login über Fingerabdruck-/Gesichtserkennung 

  • zur Erfüllung der rechtlichen Anforderungen im Rahmen der Vorgaben der DiGAV (bei Nutzung des Dienstes als DiGA) 

  • zur Erfüllung anderer gesetzlicher Verpflichtungen 

  • zu Abrechnungszwecken (bei Nutzung des Dienstes im Rahmen der DiGA-Zulassung) 

  • zur Sicherstellung eines sicheren Betriebs, insb. durch Aufrechterhaltung von Datenschutz und Datensicherheit, z.B. durch die Protokollierung und Auswertung von Zugriffsversuchen.  

  • zur optionalen App-Anmeldung über GesundheitsID (bei Nutzung des Dienstes im Rahmen der DiGA-Zulassung) 

  • bei Bedarf zur Übermittlung von Gesundheitsdaten an die elektronische Patientenakte (bei Nutzung des Dienstes im Rahmen der DiGA-Zulassung) 

  • zum Nachweis positiver Versorgungseffekte im Rahmen von Erprobungen nach §139a Abs. 4 SGB V 

optional - bei gesonderter Einwilligung: 

  • zur Qualitätssicherung, Verbesserung und Weiterentwicklung der Applikation zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit und Nutzerfreundlichkeit der App 

  • zur Versendung der vom Nutzer selbst festgelegten Erinnerungen 

  • zur automatisierten Versendung von Hinweisen/Erinnerungen basierend auf dem Lese-/Bearbeitungsfortschritt innerhalb der App 

 
Verarbeitung personenbezogener Daten bei Nutzung der App 

Sie haben die Möglichkeit, sich in unserer App unter Angabe von personenbezogenen Daten zu registrieren. 

Ihre Registrierung dient uns dazu, Ihnen Inhalte oder Leistungen anzubieten, die aufgrund der Natur der Sache nur registrierten Benutzern angeboten werden können. Registrierten Personen steht die Möglichkeit frei, die bei der Registrierung angegebenen personenbezogenen Daten jederzeit abzuändern/ändern zu lassen. 

Weiterhin benötigen wir Ihre Gerätemodell-Bezeichnung Ihre Betriebssystemversion und Ihre App-Versionsnummer um eine Fehleridentifikation im Falle einer Störung der App vornehmen zu können. 

Gesonderte/optionale Einwilligung (gemäß §4 Abs. 2 Satz 1 Nr. 4 DiGAV) 

Während der Nutzung der hiToco App gesammelte Nutzungs- und Verkehrsdaten (Navigationswege durch die App, Nutzungshäufigkeit bestimmter Features, genutztes Endsystem (Produkt, Betriebssystemversion), etc.) helfen uns, die App und das Nutzererlebnis zu verbessern und im Fall von Fehlern die Ursachen besser analysieren und verstehen zu können. Die Verarbeitung dieser Daten findet ausschließlich durch uns statt und soweit möglich werden diese Daten zu diesen Zwecken anonym – d.h. ohne Bezug zur Ihrer Identität – verarbeitet. 

Gemäß § 4 Absatz 2 Satz 1 Ziffer 4 DiGAV dürfen wir diese Daten auf der Grundlage Ihrer freiwilligen Einwilligung gem. Art. 6 Abs. 1 li. a) DSGVO zu den oben aufgeführten Zwecken der dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit, sowie der Verbesserung und Weiterentwicklung der App verarbeiten. Wir bitten Sie im Rahmen der Registrierung um diese Einwilligung, da wir zur Verbesserung der hiToco App auf Daten aus realen Nutzungsszenarien im Versorgungsalltag angewiesen sind. Diese Einwilligung ist optional und Sie können die hiToco App ohne Einschränkungen nutzen, wenn Sie diese Einwilligung nicht geben. Sie können diese Einwilligung jederzeit unter „Einstellungen“ widerrufen. 

Nutzeranfragen und Kontaktaufnahme  

Im Rahmen der Kontaktaufnahme mit uns (per E-Mail, Kontaktformular, Telefon) werden personenbezogene Daten wie Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer, sowie Gerätedaten (App Versionsnummer, Modelltyp, Betriebssystemversion) zum Zwecke der Beantwortung Ihres Anliegens bzw. für die Kontaktaufnahme und die damit verbundene technische Administration gespeichert und verarbeitet. Diese Datenverarbeitung erfolgt auf Basis eines berechtigten Interesses zur Bearbeitung Ihres Anliegens gemäß Art. 6 Abs. 1 lit. f) DSGVO. 

Die Bereitstellung des Kundensupports für die hiToco-App übernimmt die MEDICE Arzneimittel Pütter GmbH & Co. KG, als Mutterkonzern der Medigital GmbH.  Hierzu besteht eine entsprechende vertragliche Vereinbarung zur Datenverarbeitung in gemeinsamer Verantwortlichkeit gem. Art. 26 DSGVO zwischen der MEDICE Arzneimittel Pütter GmbH & Co. KG und der Medigital GmbH.   

Informations-E-Mails an registrierte Nutzer 

Nach erfolgreicher Registrierung senden wir Ihnen regelmäßig Informationen zum Programmfortschritt innerhalb der App zu.  

In der kostenpflichtigen Version der Applikation werden im Gegensatz zu der DiGA-Version zudem weitere Informationen per E-Mail versendet, dies können z. B. die Willkommensemail, Vorstellung der Vorteile der App, Informationen zum Abonnement und Erinnerungsmails sein. Diese Datenverarbeitung erfolgt auf Basis eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f) DSGVO. Sie können der Nutzung Ihrer E-Mailadresse zu dem vorbezeichneten Zwecken jederzeit mit Wirkung für die Zukunft widersprechen. Nach Eingang Ihres Widerspruchs wird die Nutzung Ihrer E-Mailadresse zu Informationszwecken unverzüglich eingestellt. 

Ort der Verarbeitung 

Die in der App eingegebenen personenbezogenen Daten (einschließlich Gesundheitsdaten) werden auf zugriffsgesicherten Servern der Telekom Healthcare Cloud in Deutschland verarbeitet. 

Zugriff- und Bearbeitungsrechte zu den zu verarbeitenden Dateien haben ausschließlich festgelegte, berechtigte Mitarbeiter der MEDICE Arzneimittel Pütter GmbH (als Mutterkonzern der Medigital GmbH), der Medigital GmbH und die unter dem Punkt „eingesetzte Dienste“ aufgeführten, den Weisungen der Medigital GmbH unterliegenden, Auftragsverarbeiter (gem. Art. 28 DSGVO).  

Die bei einer gesonderten Einwilligung zum Tracking erhobenen personenbezogenen Daten werden auf zugriffsgesicherten Servern der Telekom Healthcare Cloud in Deutschland verarbeitet. 

Zugriff- und Bearbeitungsrechte zu den Daten haben ausschließlich festgelegte, berechtigte Mitarbeiter der MEDICE Arzneimittel Pütter GmbH (als Mutterkonzern der Medigital GmbH), der Medigital GmbH und die unter dem Punkt „eingesetzte Dienste“ aufgeführten, den Weisungen der Medigital GmbH unterliegenden, Auftragsverarbeiter (gem. Art. 28 DSGVO). 

Die Daten, die im Rahmen der Kontaktaufnahme an uns übermittelt werden, werden im CRM-System der MEDICE Arzneimittel Pütter GmbH & Co. KG, auf den Servern der salesforce.com Germany GmbH in Frankfurt a.M. verarbeitet und gespeichert. 

Zugriff- und Bearbeitungsrechte zu den zu verarbeitenden Dateien haben ausschließlich festgelegte, berechtigte Mitarbeiter der MEDICE Arzneimittel Pütter GmbH (als Mutterkonzern der Medigital GmbH), der Medigital GmbH und die unter dem Punkt „eingesetzte Dienste“ aufgeführten Auftragsverarbeiter (gem. Art. 28 DSGVO). 

Speicher- und Löschfristen 

Wir verarbeiten und speichern Ihre personenbezogenen Daten und die Daten Ihres Kindes nur für den Zeitraum, der zur Erreichung des Zwecks der Anwendung hiToco erforderlich ist. 

Im Falle der Nutzung der App als Selbstzahler werden Ihre Daten nach Ablauf der vertraglich vereinbarten Nutzungsdauer (90 Tage nach Aktivierung Ihres Kontos) für eine Übergangsfrist von 90 Tagen weiter gespeichert.  

Bei einer Kontoinaktivität von 10 Wochen am Stück innerhalb der Übergangsfrist erhalten Sie 14 Tage vor Ablauf der Übergangsfrist eine Benachrichtigung zu Ihrem Kontostatus und der automatischen Löschung und Deaktivierung Ihres Nutzerkontos mit Ende der Übergangsfrist.  

Während dieses Zeitraums können Sie die Nutzungsdauer um weitere 90 Tage verlängern, indem Sie die App erneut kaufen. Sie haben erst nach Aktivierung der zusätzlichen Nutzungsdauer wieder Zugriff auf die Funktionen der App.  

Ein Verlängerung der Nutzungsdauer durch erneuten Kauf der App ist innerhalb der Übergangsfrist unbegrenzt möglich. Nach Ablauf der Übergangsfrist muss ein neues Nutzerkonto erstellt werden.  

Im Falle der Nutzung App als DiGA werden die Daten nach Ablauf der Verordnung durch die Medigital GmbH gelöscht und Ihr Nutzerkonto deaktiviert. 2 Wochen, sowie 2 Tage und 1 Tag vor Ablauf der Verordnung senden wir Ihnen zur Erinnerung entsprechende Benachrichtigungen mit Informationen zur Kontolöschung bei Verordnungsende und Hinweis zu Ihrem Recht auf Datenübertragbarkeit zu.  

Sie können für die Überbrückungszeit bis zur Folgeverordnung die Speicherdauer der Daten, mit Ihrer gesonderten Einwilligung zum Zwecke der „Nutzerfreundlichkeit“ gem. §4 Abs. 2 Satz 1 Nr. 4 DiGAV, um 4 Wochen (für ein Drittel der Verordnungsdauer) über den Verordnungszeitraum hinaus verlängern lassen. Während dieses Überbrückungszeitraums sind die Daten gesperrt und können nicht bearbeitet/genutzt werden.  

Die im Rahmen der Kontaktaufnahme mit uns erhobenen Daten werden nach abschließender Bearbeitung Ihrer Anfrage gelöscht. Dies ist der Fall, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist.  

 

4. Rechtsgrundlage 

Die Rechtsgrundlagen für die Verarbeitung Ihrer personenbezogenen Daten und der Daten Ihres Kindes bilden Ihre informierte, freiwillige Einwilligung nach Art. 6 Abs. 1 lit. a) i.V.m. Art. 9 Abs. 2 lit. a) DSGVO - und im Falle der Nutzung des Dienstes als DiGA gemäß §33a SGB V – die Vorgaben des §4 Abs. 2 Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), sowie die Bereitstellung des mit Ihnen vertraglich vereinbarten digitalen Dienstes gem. Art. 6 Abs. 1 lit. b) DSGVO. 

 

5. Datenübermittlung 

An folgende dritte Parteien können die personenbezogenen Daten übermittelt werden: 

  • Zuständige Behörden: Unter gewissen Umständen könnten betreffende Daten bei einem Angriff auf unsere Systeme, zur Erfüllung von Anforderungen der nationalen Sicherheit oder zur Strafverfolgung an die Strafverfolgungsbehörden weitergegeben werden. 

  • Auftragsverarbeiter der Medigital GmbH (Deutsche Telekom Healthcare and Security Solutions GmbH; MEDKONNEKT GmbH, azuma healthtech GmbH;  Sendinblue GmbH; RevenueCat à nur im Falle der Nutzung als Selbstzahler 

  • Auftragsverarbeiter der MEDICE Arzneimittel Pütter GmbH & Co. KG (salesforce.com Germany GmbH) 

  • die Unternehmen der MEDICE Health Family (MEDICE Arzneimittel Pütter GmbH & Co. KG), die an der Erbringung und Bereitstellung der mit Ihnen vereinbarten Dienstleistungen beteiligt sind 

  • Leistungserbringer (Ärzte, Psychologen) bei einer, vom Nutzer veranlassten Übermittlung der Gesundheitsdaten in die elektronische Patientenakte  

Hierzu wurde eine entsprechende vertragliche Vereinbarung zur Datenverarbeitung in gemeinsamer Verantwortung gem. Art. 26 DSGVO zwischen Medigital und MEDICE als Unternehmen der MEDICE Health Family Holding GmbH, mit MEDICE als Muttergesellschaft, abgeschlossen. Darüber hinaus wurden entsprechende Vereinbarungen zur Datenverarbeitung im Auftrag gem. Art. 28 DSGVO mit allen eingesetzten Dienstleistern abgeschlossen. 

Alle Auftragsverarbeiter und Unterauftragsverarbeiter unterliegen schriftlichen Vereinbarungen, die sicherstellen, dass personenbezogene Daten nur gemäß den Anweisungen des Verantwortlichen und unter angemessenen technischen und organisatorischen Sicherheitsvorkehrungen verarbeitet werden. 

Die Medigital GmbH versichert Ihre Daten nur an Stellen weiterzugeben, die ein geeignetes Datenschutzkonzept entsprechend den geltenden Verordnungen und Gesetzen vorweisen können und mit denen, wenn erforderlich, entsprechende vertragliche Vereinbarungen gem. Art. 26 oder Art. 28 DSGVO bestehen.  

Folgende Dienste kommen in der App zum Einsatz: 

Deutsche Telekom Healthcare Cloud 

Die Deutsche Telekom Healthcare and Security Solutions GmbH, Friedrich-Ebert-Allee 140, 53113 Bonn (Betreiber der Telekom Healthcare Cloud) übernimmt das Hosting der Anwendung. Unsere App verwendet die Telecom Health Cloud zur Verwaltung des Backends und zur sicheren Datenspeicherung. Die Telecom Health Cloud bietet eine speziell für Gesundheitsdaten entwickelte Infrastruktur, die höchsten Sicherheitsstandards entspricht. Alle gespeicherten Daten werden verschlüsselt und unterliegen strengen Datenschutzrichtlinien gemäß der EU-Datenschutz-Grundverordnung (DSGVO). Die Datenverarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union, um die Einhaltung der Datenschutzvorgaben zu gewährleisten. Hierzu wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO mit dem Dienstleister abgeschlossen. 

Weitere Informationen zur Telekom Healthcare Cloud finden Sie unter: https://www.telekom-healthcare.com/cloud-und-sicherheit/cloud-plattform-gesundheitswesen/healthcare-cloud  

salesforce 
Unser für den First-Level-Support der App zuständiger Mutterkonzern die MEDICE Arzneimittel Pütter GmbH & Co. KG nutzt die CRM-Lösungen des Anbieters salesforce.com Germany GmbH, Erica-Mann-Str. 31-37, 80636 München, Deutschland. Die CRM-Plattform (Customer-Relationship-Management-Plattform) wird für das Management von Kunden- und Einwilligungsdaten, das Vertriebs- und Marketingmanagement, sowie zur Bereitstellung des Kundensupport eingesetzt. 

Im Rahmen der Kontaktaufnahme mit dem Kundensupport (per E-Mail, Kontaktformular, Telefon) können dabei folgende personenbezogene Daten von Ihnen erhoben und verarbeitet werden: 

  • Kontaktdaten (Vor- und Nachname, E-Mail-Adresse, Telefonnummer) 

  • Kommunikationsdaten (Inhalte der Anfrage/Korrespondenz) 

Alle gespeicherten Daten werden verschlüsselt und unterliegen strengen Datenschutzrichtlinien gemäß der EU-Datenschutz-Grundverordnung (DSGVO). Die Datenverarbeitung erfolgt ausschließlich auf Servern innerhalb von Deutschland. 

Der Mutterkonzern der salesforce.com Germany GmbH, die salesforce.com Inc., ist als US-Unternehmen unter dem EU-US Privacy Framework zertifiziert, womit der Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO greift und somit ein angemessenes Datenschutzniveau bestätigt. Es wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO auf Grundlage der Standardvertragsklauseln der Europäischen Kommission mit dem Dienstleister abgeschlossen. 

Nähere Informationen zu den Datenschutzbestimmungen von salesforce finden Sie unter: https://www.salesforce.com/de/company/privacy/

Sendinblue 

Wir setzen in dieser App die Lösung Brevo für den Versand von E-Mails ein. Anbieter ist die Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland. 

Brevo ermöglicht es uns, transaktionale E-Mails wie Registrierungsbestätigungen, zweistufige Authentifizierung (2FA), Passwort-Reset-Mails, Status-Updates aus der App (Modulfortschritt im Trainingsplan), Benachrichtigung bei Inaktivität des Accounts und andere Benachrichtigungen sicher und zuverlässig zu versenden. Dabei werden die E-Mail-Adressen unserer Nutzer verarbeitet. Brevo speichert und verarbeitet diese Daten auf Servern in Deutschland und entspricht den Anforderungen der DSGVO. 

Die Verwendung des Versanddienstleisters erfolgt auf Grundlage eines Auftragsverarbeitungsvertrages gem. Art. 28 DSGVO. 

Nähere Informationen zu den Datenschutzbestimmungen von Brevo finden Sie unter: https://www.brevo.com/de/datenschutz-uebersicht/. 

MEDKONNEKT - elektronische Patientenakte (ePA) 

Zur Erfüllung der DiGA-Anforderungen zur Bereitstellung einer TI-Anbindung (Telematikinfrastruktur), sowie zur Anbindung der App an die ePA (elektronische Patientenakte) setzen wir die Produktlösungen der MEDKONNEKT GmbH, Schleißheimer Straße 91A, 85748 Garching b. München, ein. Der Betrieb und die Bereitstellung des KIM-Fachdienstes erfolgt durch die Arvato Systems Perdata GmbH, Martin-Luther-Ring 7-9, 04109 Leipzig, als Unterauftragnehmer der MEDKONNEKT GmbH. Die übrigen Verarbeitungstätigkeiten werden von der Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojektberatung GmbH, Concorde Business Park F, AT-2320 Schwechat, als Mutterkonzern der MEDKONNEKT GmbH erbracht. Hierzu wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO mit dem Dienstleister abgeschlossen. 

Sie können, sobald technisch möglich, selbstständig die in der App von Ihnen eingegebenen Gesundheitsdaten Ihres Kindes (Verhaltensdaten- Evaluation des Situationsverhaltens / Verhaltens in Problemsituation anhand von Nutzer-Eingaben) an die ePA Ihres Kindes übermitteln.  

Hierbei erfolgt die Übermittlung der personenbezogenen Daten Ihres Kindes nur mit Ihrer Zustimmung und verschlüsselt.  

Falls Sie Fragen zu den personenbezogenen Daten in der ePA Ihres Kindes und den Betroffenenrechten Ihres Kindes in diesem Zusammenhang haben, wenden Sie sich bitte an Ihre zuständige Krankenkasse. 

Nähere Informationen zu RISE und MEDKONNEKT finden Sie unter: RISE DIGA (rise-diga.de) 

Azuma - GesundheitsID 

Zur Erfüllung der DiGA-Anforderungen zur Implementierung einer Schnittstelle zur Nutzung der GesundheitsID innerhalb der App setzen wir die Produktlösungen der azuma healthtech GmbH,  Lindenstraße 4g, 81545 München ein.  

So können, sobald technisch möglich, sich mit Ihrer GesundheitsID in der App anmelden. Hierbei werden Ihre personenbezogenen Daten (Personenstammdaten, E-Mail-Adresse, Krankenversicherungsnummer) nur in einem Web Token zum Zwecke der Identifizierung von der Medigital GmbH kurzzeitig gespeichert und nach erfolgreicher Anmeldung sofort gelöscht. Die Medigital GmbH und azuma healthtech GmbH haben dabei keinen Zugriff auf Ihre personenbezogenen Daten. Hierzu wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO mit dem Dienstleister abgeschlossen. 

Nähere Informationen zu den Datenschutzbestimmungen von Azuma finden Sie unter:
https://legal.azuma-health.tech/privacy_policies/pp_apps_de  

Abrechnung  

(1) Im Falle der Nutzung des Dienstes als DiGA: 

Noventi 

Für die Abrechnung im Rahmen der Nutzung der App als digitale Gesundheitsanwendung setzen wir den Dienstleister NOVENTI HealthCare GmbH (Geschäftsbereich Division Sonstige Leistungserbringer), Berg-am-Laim-Str. 105, 81673 München, ein. Diese Abrechnungsstelle unterliegt wie wir selbst und unser Personal den Bestimmungen der Schweigepflicht und des Datenschutzes. Noventi wird Ihre Daten nur in dem Maße verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten zur Abrechnung mit Ihrer Krankenkasse erforderlich ist. Hierzu wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO mit dem Dienstleister abgeschlossen. 

(2) Im Falle der Nutzung des Dienstes als Selbstzahler: 

RevenueCat 

Die kostenpflichtige App kann über den App-Store des jeweiligen Gerätes (Google für Android-Geräte und Apple für iOS-Geräte) erworben werden. Die App nutzt für die Verwaltung und Analyse bei Produktkauf RevenueCat von Revenue Cat, Inc. (folgend “RevenueCat”) mit Sitz in 633 Tarava St. Suite 101, San Francisco, CA 94116 USA. 

Dafür nutzt die App die von uns bereitgestellte technische Schnittstelle, um zu ermitteln, ob ein Kauf getätigt wurde. Dabei findet eine Kommunikation mit dem App-Store statt. Es wurden entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO mit dem Dienstleister abgeschlossen. Die dabei übertragenen personenbezogenen Daten werden gemäß unseren Datenschutzbestimmungen verarbeitet und sind der Medigital GmbH nicht zugänglich. 

Die allgemeinen Geschäftsbedingungen zu RevenueCat finden Sie unter: https://www.revenuecat.com/terms 

Die Datenschutzbestimmungen zu RevenueCat finden Sie unter: https://www.revenuecat.com/privacy 

Die Daten, die von RevenueCat gespeichert und zur Analyse aufbereitet werden, können unter folgendem Link eingesehen werden: https://www.revenuecat.com/dpa 

6. Datensicherheit

Die Sicherheit Ihrer persönlichen Daten und der Daten Ihres Kindes ist uns sehr wichtig.  Wir verarbeiten daher die von Ihnen angegebenen Daten und die Daten Ihres Kindes nur mit Ihrer ausdrücklichen Einwilligung.  

Bei jeder Erhebung, Speicherung, Nutzung und Übermittlung von Daten bestehen Vertraulichkeitsrisiken (z.B. die Möglichkeit, die betreffende Person zu identifizieren). Diese Risiken lassen sich nicht völlig ausschließen und steigen, je mehr Daten miteinander verknüpft werden können. Die Medigital GmbH versichert Ihnen, alles nach dem Stand der Technik Mögliche zum Schutz Ihrer Daten zu tun. 

Hierfür ergreifen wir unter anderem folgende technischen und organisatorischen Maßnahmen: 

  • Zweifaktor-Authentifizierung über Gesundheits-ID (DiGA-Nutzung): Um Ihre Daten vor unbefugtem Zugriff zu schützen und somit deren Vertraulichkeit sowie Integrität gewährleisten zu können, setzen wir eine Zwei-Faktor-Authentisierung ein, indem Sie sich über ihre Gesundheits-ID in der App anmelden. Dies stellt sicher, dass nur Sie Zugriff auf Ihr Nutzerkonto haben.  

  • Zweifaktor-Authentifizierung ohne Gesundheits-ID (DiGA-Nutzung): Um Ihre Daten vor unbefugtem Zugriff zu schützen und somit deren Vertraulichkeit sowie Integrität gewährleisten zu können, bieten wir Ihnen alternativ eine Zwei-Faktor-Authentisierung ohne Geusndheits-ID an. Hierbei melden Sie sich per Login-Verfahren unter Verwendung von Benutzername, Passwort und TOTP (zeitbasiertem Einmalpasswort) in der App an. Dies stellt sicher, dass nur Sie Zugriff auf Ihr Nutzerkonto haben. 

  • Zweifaktor-Authentifizierung per E-Mail (Selbstzahler): Um Ihre Daten und die Daten Ihres Kindes vor unbefugtem Zugriff zu schützen und somit deren Vertraulichkeit sowie Integrität gewährleisten zu können, bieten wir Ihnen die Möglichkeit einer Zwei-Faktor-Authentisierung per Mail, bei App-Anmeldung an. In diesem Fall müssen Sie Ihre E-Mail-Adresse durch Eingabe eines sechsstelligen Codes bestätigen. So wird sichergestellt, dass nur Sie Zugriff auf Ihr Benutzerkonto haben. 

  • SSL/TLS-Verschlüsselung: Die personenbezogenen Daten werden nur über, nach dem aktuellen Stand der Technik verschlüsselte Verbindungen übertragen. Wir setzen hierbei die geltenden Vorgaben des Bundesamts für Sicherheit in der Informationstechnik um und setzen diese Technologie ein, um die Übermittlung Ihrer Daten zu schützen.  

  • Strikte Trennung der Speicherung und Verarbeitung der Gesundheits- und Kontaktdaten mit Zugriffsberechtigung nur für autorisierte Mitarbeiter der Medigital GmbH.  

  • Anonymisierung der Daten, die im Rahmen der Qualitätssicherung, Weiterentwicklung und kontinuierlichen Verbesserung der Applikation gesammelt werden. Dies bedeutet, dass eine Identifizierung Ihrer Person nicht möglich ist. 

  • unterschiedliche Passwörter für alle intern eingesetzten Software-Tools 

  • Viren-Schutz für die gesamte verwendete IT-Hardware 

  • Firewall für unser internes Firmennetzwerk 

  • regelmäßige Schulungen zu Datensicherheit und -schutz für alle Mitarbeiter 

  • regelmäßige Updates aller Software-Komponenten 

  • regelmäßige Datensicherung, um die Verfügbarkeit zu gewährleisten 

  • regelmäßige Risikoanalysen zu den entsprechenden IT-Systemen 

7. Ihre Rechte 

Im Rahmen der Verarbeitung Ihrer personenbezogenen Daten und der Daten Ihres Kindes ist es unser Ziel Ihre Datenschutzrechte zu jedem Zeitpunkt zu gewährleisten. Unsere Servicezeiten, sowie alle Kontaktmöglichkeiten finden Sie unter Punkt 2 „Kontakt“ dieser Datenschutzerklärung. 

Folgenden Rechte können Sie in Bezug auf Ihre personenbezogenen Daten und die Daten Ihres Kindes wahrnehmen:  

  • Sie können über das In-App Kontaktformular oder die Service-E-Mail-Adresse support@hitoco.de Auskunft über die Verarbeitung der Daten verlangen.   

  • Sie können über das In-App Kontaktformular oder die Service-E-Mail-Adresse support@hitoco.de die Anpassung der personenbezogenen Daten fordern, sofern diese fehlerhaft oder unvollständig sind.  

  • Sie können über das In-App Kontaktformular oder die Service-E-Mail-Adresse support@hitoco.de die Einschränkung der Verarbeitung der personenbezogenen Daten fordern. (1) Für die Dauer der Überprüfung der Richtigkeit der Daten. (2) Wenn die Verarbeitung unrechtmäßig ist und Sie eine Löschung ablehnen. (3) Wenn die Daten vom Verantwortlichen für die Verarbeitungszwecke nicht länger benötigt werden, Sie diese jedoch zu Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen. (4) Im Falle eines Widerspruchs gegen die Datenverarbeitung, solange die entsprechende Interessensabwägung nicht geklärt ist. 

  • Sie können über das In-App Kontaktformular, die Servicehotline 0800 7240452 oder die Service-E-Mail-Adresse support@hitoco.de eine Datenübertragung der zu Ihrer Person und Ihrem Kind erhobenen Daten an Sie oder eine von Ihnen bestimmte Stelle verlangen. 

  • Sie können die Löschung der zu Ihrer Person und zu Ihrem Kind erhobenen Daten verlangen.  

  • Sie können der Verarbeitung der personenbezogenen Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit formlos, ohne Angaben von Gründen widersprechen. Wenn die Verarbeitung aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt. 

  • Sie können Ihre erteilte Einwilligung zur Datenverarbeitung über die App selbst im Bereich Konto à Datenschutz à Einwilligung „Nutzungsdaten bearbeiten“, über das In-App Kontaktformular oder die Service-E-Mail-Adresse support@hitoco.dejederzeit formlos, ohne Angabe von Gründen widerrufen.  

Bei einem Widerruf/Widerspruch entstehen Ihnen und Ihrem Kind keine Nachteile. Der Widerruf gilt dabei mit Wirkung für die Zukunft; die bisherigen Datenweitergaben bleiben rechtmäßig.  

Bei Nutzung des Dienstes als DiGA wird bei Widerruf zur Einwilligung nach § 4 Abs. 2 Satz 1 Nr. 1-3 DiGAV die Nutzung der Anwendung beendet; alle Daten werden gelöscht und Ihr Benutzerkonto deaktiviert. Bei Widerruf zur Einwilligung nach § 4 Abs. 2 Satz 1 Nr. 4 DiGAV wird die Verarbeitung zu Zwecken des Herstellers beendet, hiermit gehen keine Einschränkungen der nutzbaren Funktionalität einher.  

Falls Sie weitere Fragen zum Umgang mit Ihren personenbezogenen Daten und den Daten Ihres Kindes haben oder von Ihren Rechten Gebrauch machen möchten, können Sie dies über das In-App Kontaktformular oder die Service-E-Mail-Adresse support@hitoco.de. Oder Sie wenden Sie sich an unser Datenschutzteam unter:  

Medigital GmbH 
Datenschutz 
Medice-Allee 1 
58638 Iserlohn 
Telefon: +49 (0)2371 937 0  
E-Mail:privacy-medigital@medice.de 

Bei vertraulichen Anliegen in Bezug auf den Datenschutz können Sie sich direkt an unsere Datenschutzbeauftragte wenden unter dsb@medice.de. 

  • Sie können, bei Vorliegen einer Beschwerdegrundlage, eine Beschwerde bei der zuständigen Datenschutzbehörde einreichen unter: 

Landesbeauftragte für Datenschutz und Informationsfreiheit 
Nordrhein-Westfalen 
Kavalleriestraße 2 - 4 
40213 Düsseldorf 
Telefon: 0211 38424-999 
E-Mail: poststelle@ldi.nrw.de 

Die Kontaktdaten der Datenschutzaufsichtsbehörden aller Bundesländer finden Sie unter folgender Internetadresse:  

https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html