Datenschutzinformation  Stopp Corona App

Dieser Dienst (nachfolgend „App“) wird vom Österreichischen Roten Kreuz (Generalsekretariat und Blutspendezentrale für Wien, Niederösterreich und Burgendland, Wiedner Hauptstrasse 32, 1040 Wien, ZVR-Zahl: 432857691, E-Mail:  service@roteskreuz.at, nachfolgend „wir“ oder „uns“) als Verantwortlicher im Sinne des jeweils geltenden Datenschutzrechts zur Verfügung gestellt. Das Österreichische Rote Kreuz legt großen Wert auf den Schutz Ihrer personenbezogenen Daten und hat entsprechend den gesetzlichen Vorgaben technische und organisatorische Maßnahmen getroffen, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Manipulationen oder Verlust zu schützen. Sie können diese Datenschutzinformation jederzeit unter dem Menüeintrag „Datenschutz“ innerhalb der App aufrufen.

Beschreibung der Funktionen der App und Zwecke der Verarbeitung:

Die App ermöglicht Ihnen den Abruf und Darstellungen folgender Informationen:

Wir stellen dem Nutzer

Informationen zum COVID19-Virus („Content“);

Services zur Beurteilung von Symptomen („Content“);

Services zur Dokumentation seiner menschlichen Kontakte („Kontaktpersonen“) in Zeiten der COVID19-Epidemie („Log-Buch“) mit den Zielen

der raschen Benachrichtigung der Kontaktpersonen sowie

Meldung der Erkrankung an den Provider als Gesundheitsdienstleister zur Erlangung von konkreten Informationen und zur Vermittlung einer konkreten qualifizierten Beratungsmöglichkeit

im Falle einer fundierten Selbstdiagnose oder einer ärztlichen Diagnose einer COVID19-Erkrankung („Kommunikationstool“) im Falle einer Erkrankung zur Verfügung.

Die Content-Services ermöglichen es dem Nutzer, Informationen zu einer möglichen COVID19-Erkrankung zu bekommen; die Content-Services sollen die Bewusstseinsbildung beim Nutzer fördern. Die Auswertung der Informationen obliegt dem Nutzer selbst. Ausdrücklich weisen wir darauf hin, dass die Services nicht die Konsultation eines Arztes zu ersetzen vermögen. Für Fragen zur Krankheit und Therapie empfehlen wir jedenfalls die Kontaktaufnahme mit einem Arzt. Wir ziehen aus der Anwendung der Content-Services keine Schlüsse und geben keine Therapieempfehlungen ab.

Die „Log-Buch“-Funktion ermöglicht es Ihnen, im Einvernehmen mit der Kontaktperson die laufenden menschlichen Kontakte auf Ihrem Endgerät zu dokumentieren. Das Einvernehmen wird durch den wechselseitigen Datenaustausch zwischen den Endgeräten der Kontaktpersonen bestätigt.

Für die Betätigung des „Kommunikationstools“ und dem damit verbundenen Auslösen des Kommunikationsvorgangs an die Kontaktpersonen ist der Nutzer verantwortlich, der Provider führt die Benachrichtigung als technischer Verbreiter durch. Verständigt werden ausschließlich jene Kontaktpersonen, mit denen der Nutzer in den vergangenen 3 Kalendertagenin Kontakt war.

Qualifikation als personenbezogene Daten:

Bei der Nutzung der App werden von uns personenbezogene Daten über Sie verarbeitet. Unter personenbezogenen Daten sind sämtliche Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei kommt es in der Regel - zur Zweckerfüllung der App - auch zur Verarbeitung Ihrer dafür erforderlichen Gesundheitsdaten; Daten über Infektionen sowie über Verdachtsfälle zählen zu jenen sensiblen Daten (“besondere Kategorien personenbezogener Daten”), für die das Datenschutzrecht einen besonderen Schutz vorsieht.  Nachfolgend informieren wir Sie darüber, welche personenbezogenen Daten wir verarbeiten, wenn Sie die App nutzen und wie wir mit diesen Daten umgehen. Darüber hinaus unterrichten wir Sie über die Rechtsgrundlage für die Verarbeitung Ihrer Daten.

Informationen zur Verarbeitung Ihrer Daten und den Rechtsgrundlagen

Bestimmte Informationen werden bereits automatisch verarbeitet, sobald Sie die App verwenden. Welche personenbezogenen Daten genau verarbeitet werden, haben wir im Folgenden für Sie aufgeführt:

Daten die beim Download der App erhoben werden

Beim Download der App werden bestimmte erforderliche Informationen an den von Ihnen ausgewählten App Store (z.B. Google Play oder Apple App Store) übermittelt, insbesondere können dabei der Nutzername, die E-Mail-Adresse, die Kundennummer Ihres Accounts, der Zeitpunkt des Downloads sowie die individuelle Gerätekennziffer verarbeitet werden. Die Verarbeitung dieser Daten erfolgt ausschließlich durch den jeweiligen App Store und liegt außerhalb unseres Einflussbereiches.

Erstellung eines einfachen Nutzeraccounts ohne Registrierung

Für die Nutzung der Services ist grundsätzlich keine Registrierung erforderlich. Durch die Inanspruchnahme der Services entsteht mit dem bloßen Nutzen der Services ein einfacher Nutzungsvertrag, der mit dem Aufruf der Services beginnt und mit dem Schließen endet („einfacher Nutzungsvertrag“). Diese Datenverarbeitung ist dadurch gerechtfertigt, dass wir Ihre Einwilligung einholen (Art. 6 Abs. 1 lit. a und Art 9 Abs. 2 lit a DSGVO) zur Nutzung der App erforderlich ist.

Mit der Installation dieser Anwendung geben Sie zunächst keine Daten von sich bekannt. Es wird nur eine eindeutige, zufällig generierte Kennnummer („Unique ID“) Ihres Endgerätes an unseren Server übermittelt. Diese wird benötigt, um Ihnen den Service der Kontaktaufzeichnung mit anderen Personen bieten zu können. Die IDs der Personen, mit denen Sie einen sogenannten „Handshake“ vorgenommen haben, werden ausschließlich auf Ihrem Endgerät gespeichert und nicht an uns bzw. an den Server übertragen.

Die „Unique ID“ ist als personenbezogenes Datum anzusehen, vergleichbar mit einer dynamischen IP-Adresse. Zwar beseht kein direkter Personenbezug. Es ist aber auch nicht vollkommen auszuschließen, dass App-Nutzer durch die “ „Unique ID” in Verbindung mit anderen Informationen auf legalem Weg identifizierbar sind. Daher werden die Daten als personenbezogen behandelt – wobei es sich um eine pseudonymisierte Verarbeitung mit einer sehr starken Verschlüsselung handelt und nur aus rechtlicher Vorsicht von einem indirekten Personenbezug auszugehen ist.

Solange sie keine Krankmeldung übermittelt haben, können Sie diese Daten jederzeit durch Deinstallation der App löschen. Ansonsten werden diese Daten für die Dauer gemäß Punkt 6. (Zeitraum der Datenspeicherung) verarbeitet.

Registrierte Nutzung der App im Falle einer Krankmeldung

Erst wenn Sie sich krankmelden –  aufgrund eines von Ihnen eingeholten ärztlichen Attests – werden Sie aufgefordert, Ihre Mobiltelefonnummer bekannt zu geben. Diese Meldung lässt uns auf Ihren Gesundheitsstatus und damit auf sensible personenbezogene Daten von Ihnen (= Daten besonderer Kategorie nach Art 9 DSGVO) schließen. Die Verarbeitung dieser Daten erfolgt auf der Rechtsgrundlage der Einwilligung (Art 6 Abs. 1 lit a sowie Art 9 Abs. 2 lit a DSGVO). Wenn Sie die Übermittlung Ihrer Gesundheitsdaten nicht zulassen, kann dieser Service nicht genutzt werden und Ihr Umfeld erhält keine Benachrichtigung über die Gefährdung.

Unmittelbar nach Ihrer Krankmeldung werden Ihre Kontakte der letzten 3 Tage darüber informiert, dass einer Ihrer „Handshake“-Kontakte als infiziert gilt, sowie wann der Kontakt stattgefunden hat. Dies gibt Ihren Kontakten die Möglichkeit, weitere Personen im Umfeld, zu denen sie nach diesem Zeitpunkt Kontakt hatten, zu warnen. Ihre Telefonnummer wird Ihren Kontakten dabei zu keinem Zeitpunkt preisgegeben.

Die Erfassung Ihres Namens, Ihrer Kontaktdaten sowie weiterer personenbezogener Daten, die Sie im Fall der Krankmeldung an uns übermitteln, dient zwei Zwecken:

kann das Rote Kreuz Sie dadurch für allfällig notwendige Hilfeleistungen kontaktieren. Die Verarbeitung von Nutzungsdaten erfolgt zur Bereitstellung des Dienstes. Diese Datenverarbeitung ist durch Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO sowie Art 9 Abs. 2 lit a DSGVO) gerechtfertigt.

Wenn es zur Aufklärung einer rechtswidrigen bzw. missbräuchlichen Nutzung der App oder für die Rechtsverfolgung erforderlich ist. Dies geschieht jedoch nur, wenn Anhaltspunkte für ein gesetzwidriges bzw. missbräuchliches Verhalten vorliegen. Diese Datenverarbeitung ist dadurch gerechtfertigt, dass die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art 6 Abs. 1 lit f sowie 9 Abs. 2 lit f DSGVO).

Weitergabe und Übertragung von Daten

Eine Weitergabe Ihrer personenbezogenen Daten ohne Ihre ausdrückliche vorherige Einwilligung erfolgt neben den explizit in dieser Datenschutzinformation genannten Fällen nicht. Die Daten, die bei der Registrierung von Ihnen angegeben werden, werden innerhalb des österreichischen Roten Kreuzes für interne Verwaltungszwecke im Rahmen des Erforderlichen weitergeben. In folgenden Fällen kann es zu einer Übermittlung Ihrer personenbezogenen Daten kommen:

Missbrauch und Strafverfolgung

Wenn es zur Aufklärung einer rechtswidrigen bzw. missbräuchlichen Nutzung der App oder für die Rechtsverfolgung erforderlich ist, werden personenbezogene Daten an die Strafverfolgungsbehörden oder andere Behörden sowie ggf. an geschädigte Dritte oder Rechtsberater weitergeleitet. Dies geschieht jedoch nur, wenn Anhaltspunkte für ein gesetzwidriges bzw. missbräuchliches Verhalten vorliegen; in der Abwehr eines solchen Verhaltens liegt auch unser berechtigtes Interesse. Wir stützen uns hierfür auf Art 6 Abs 1 lit f DSGVO  iVm Art 9 Abs 2 lit f DSGVO.

Epidemiegesetz

Für die Übermittlung von Informationen über konkrete Infektionsfälle an die Gesundheitsbehörden normiert Art. 9 Abs. 2 lit. i DSGVO iVm § 10 Abs. 2 DSG eine entsprechende Rechtsgrundlage. Die aktuelle Epidemie kann als Katastrophenfall gemäß § 10 Abs. 1 DSG angesehen werden. Darüber hinaus kann auf Verlangen der Bezirksverwaltungsbehörden eine Pflicht des Verantwortlichen zur Auskunftserteilung über Verdachtsfälle und Infektionen nach § 5 Abs. 3 Epidemiegesetz 1950 bestehen.

Bitte wenden Sie sich bei Fragen, wem festgestellte Infektionen oder Verdachtsfälle zu melden sind, an die Gesundheitsbehörden.

 

Datenübermittlung zur Auftragsverarbeitung

Wir sind für die Erbringung unseres Dienstes auf die nachfolgend ausgewiesenen externen Dienstleister als Auftragsverarbeiter angewiesen. Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir unsere externen Dienstleister im Rahmen von Art. 28 Abs. 1 DSGVO als Auftragsverarbeiter sorgfältig ausgewählt, regelmäßig überprüft und vertraglich verpflichtet haben, sämtliche personenbezogenen Daten ausschließlich entsprechend unserer Weisungen zu verarbeiten.

Folgende Dienste sind dies konkret:

Betrieb und Wartung der Stopp Corona App (einschl. Backend)

Die Entwicklung, den Betrieb und die Wartung der Software haben wir an einen zuverlässigen Partner ausgelagert: Accenture GmbH, Börsegebäude, Schottenring 16, 1010 Wien.

Accenture besorgt unter Heranziehung weiterer, einzeln genehmigter Dienstleister das Hosting und den technischen Betrieb der App und des Servers (“Backend”) sowie die Wartung im Störungsfall und die technische Datensicherheit.

Hosting der Dienste: Microsoft Azure Cloud

Microsoft Österreich GmbH
Am Euro Platz 3/Eingang B
A-1120 Wien

Die jeweils gültigen Datenschutzbestimmungen für die Microsoft Azure Cloud-Computing-Plattform sind abrufbar unter:

https://azure.microsoft.com/de-de/overview/trusted-cloud/privacy/

Push-Benachrichtigungen: Google „Firebase Cloud Messaging“

Um den Versand von Push-Benachrichtigungen zu ermöglichen, wird beim Erst-Start der App ein „Firebase Cloud Messaging Registration-Token” erstellt, welches die App-Installation auf Ihrem Gerät eindeutig identifiziert. Der Token dient zum Erkennen des Nachrichtenziels. Der Versand der Nachrichten läuft über den Dienst Google Firebase Cloud Messaging, welcher von Google, Inc. Mountain View, USA angeboten wird sodass ein Teil der entsprechenden von Google in unseren Auftrag vorgenommenen Datenverarbeitung in den USA stattfindet. Weitere Informationen zu Google Firebase Cloud Messaging finden Sie unter https://firebase.google.com/products/cloud-messaging/ und in der Datenschutzerklärung von Google unter http://www.google.de/intl/de/policies/privacy.

 

Datenübermittlungen in Drittländer

Wir verarbeiten Daten auch in Staaten außerhalb des Europäischen Wirtschaftsraumes („EWR“). Dies betrifft die oben genannten Auftragsverarbeiter Google und Microsoft.

Für die USA hat die Europäische Kommission mit Beschluss vom 12.7.2016 die Entscheidung getroffen, dass unter den Regelungen des EU-U.S.-Privacy Shields ein angemessenes Datenschutzniveau existiert (Angemessenheitsbeschluss, Art. 45 Abs 3 DSGVO). Bei den genannten Auftragsverarbeitern  handelt es sich um  nach dem EU-U.S.-Privacy Shield zertifizierte Unternehmen.

In diesem Zusammenhang möchten wir darauf hinweisen, dass aufgrund der vorgenommenen Verschlüsselung der Daten eine Identifizierung von betroffenen Personen durch die Auftragsverarbeiter nicht vorgenommen werden kann. Solche Informationen sind auch nicht aus dem Verarbeitungskontext ableitbar. Insbesondere wird die Krankmeldung eines Nutzers (einer ID) immer an alle Endgeräte mit einer installierten App ausgesendet, wobei die ID des Infizierten verschlüsselt ist und nur von solchen Teilnehmer_innen entschlüsselt werden kann, die einen digitalen Handshake durchgeführt haben. Der digitale Handshake bewirkt den Austausch des jeweils privaten Schlüssels.

 

Zeitraum der Datenspeicherung

Wir löschen oder anonymisieren Ihre personenbezogenen Daten, sobald sie für die Zwecke, für die wir sie nach den vorstehenden Ziffern erhoben oder verwendet haben, nicht mehr erforderlich sind. In der Regel speichern wir Ihre personenbezogenen Daten für die Dauer des Nutzungs- bzw. des Vertragsverhältnisses nur in der App. Sie können die Löschung dieser Daten jederzeit auf Ihrem Endgerät selbst durchführen.

Sobald eine Krankmeldung übermittelt wurde, werden Ihre Daten für 30 Tage nach dem Absetzen dieser Meldung gespeichert. Wenn es zur Aufklärung einer rechtswidrigen bzw. missbräuchlichen Nutzung der App oder für die Rechtsverfolgung erforderlich ist und konkrete Anhaltspunkte für ein gesetzwidriges bzw. missbräuchliches Verhalten vorliegen, werden Ihre Daten für einen Zeitraum von bis zu drei Jahren nach dem Absetzen der Krankmeldung gespeichert. Wir achten auch in der Corona-Krise das Prinzip der Speicherbegrenzung. Wir löschen Ihre bekannt gegebenen privaten Kontaktdaten nach Ende der Epidemie. Da ein Ende derzeit nicht absehbar ist, kann kein konkreter Zeitpunkt der Löschung bekannt gegeben werden. Das Rote Kreuz ist Teil des österreichischen Krisenstabs und wird daher in enger Abstimmung mit den Behörden eine sachgerechte und transparente Entscheidung treffen und bekannt geben, wann der Zweck der Anwendung erfüllt ist. Wir hoffen alle, dass dies möglichst bald eintritt.

 

Ihre Rechte als Betroffener

Auskunftsrecht

Sie haben das Recht, von uns jederzeit auf Antrag eine Auskunft über die von uns verarbeiteten, Sie betreffenden personenbezogenen Daten im Umfang des Art. 15 DSGVO zu erhalten. Hierzu können Sie einen Antrag postalisch oder per E-Mail an die unten angegebene Adresse stellen.

Recht zur Berichtigung unrichtiger Daten

Sie haben das Recht, von uns die unverzügliche Berichtigung der Sie betreffenden personenbezogenen Daten zu verlangen, sofern diese unrichtig sein sollten. Wenden Sie sich hierfür bitte an die unten angegebenen Kontaktadressen.

Recht auf Löschung

Sie haben das Recht, unter den in Art. 17 DSGVO beschriebenen Voraussetzungen von uns die Löschung der Sie betreffenden personenbezogenen Daten zu verlangen. Diese Voraussetzungen sehen insbesondere ein Löschungsrecht vor, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, sowie in Fällen der unrechtmäßigen Verarbeitung. Um Ihr Recht auf Löschung geltend zu machen, wenden Sie sich bitte an die unten angegebenen Kontaktadressen.

Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, von uns die Einschränkung der Verarbeitung nach Maßgabe des Art. 18 DSGVO zu verlangen. Dieses Recht besteht insbesondere, wenn die Richtigkeit der personenbezogenen Daten zwischen dem Nutzer und uns umstritten ist, für die Dauer, welche die Überprüfung der Richtigkeit erfordert, sowie im Fall, dass der Nutzer bei einem bestehenden Recht auf Löschung anstelle der Löschung eine eingeschränkte Verarbeitung verlangt; ferner für den Fall, dass die Daten für die von uns verfolgten Zwecke nicht länger erforderlich sind, der Nutzer sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt. Um Ihr Recht auf Einschränkung der Verarbeitung geltend zu machen, wenden Sie sich bitte an die unten angegebenen Kontaktadressen.

Recht auf Datenübertragbarkeit

Sie haben das Recht, von uns die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen, maschinenlesbaren Format nach Maßgabe des Art. 20 DSGVO zu erhalten. Um Ihr Recht auf Datenübertragbarkeit geltend zu machen, wenden Sie sich bitte an die unten angegebenen Kontaktadressen.

Recht auf Widerspruch

Wir verarbeiten Ihre privaten Kontaktdaten auf Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt einerseits in der Reduzierung von Ihren Gesundheitsrisiken am Arbeitsplatz (berechtigtes Interesse von ArbeitnehmerInnen) und andererseits allgemein in der Eindämmung der Infektionsverbreitung (berechtigtes

Interesse der Allgemeinheit). Die Bereitstellung Ihrer privaten Kontaktdaten erfolgt auf freiwilliger Basis. Es bestehen für Sie keine Konsequenzen für den Fall, dass Sie diese nicht bereitstellen wollen. Allerdings können Sie diesfalls unter Umständen nicht zeitnah über Verdachtsfälle oder Infektionen am Arbeitsplatz sowie über behördlich angeordnete Maßnahmen informiert werden.

Nachdem Sie die privaten Kontaktdaten bekannt gegeben haben, kommt Ihnen ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DSGVO zu, was bedeutet, dass Sie der Datenverarbeitung unter Angabe einer Begründung widersprechen können. Ein Widerspruch führt jedoch nur dann zur Unterlassung der Verarbeitung, wenn der Widerspruch durch besondere Gründe gerechtfertigt ist. Der Widerspruch kann gerichtet werden an die unten angeführten Kontaktdaten.

Beschwerderecht

Sie haben ferner das Recht, sich bei Beschwerden an die zuständige Aufsichtsbehörde zu wenden. Die zuständige Aufsichtsbehörde ist:

Österreichische Datenschutzbehörde (DSB)

Barichgasse 40-42, A-1030 Wien

Telefon: +43 1 52 152-0, E-Mail: dsb(at)dsb.gv.at, Web: https://www.dsb.gv.at

 

Kontakt Datenschutzbeauftragte(r)

Sollten Sie Fragen oder Anmerkungen zu unserem Umgang mit Ihren personenbezogenen Daten haben oder möchten Sie die genannten Rechte als betroffene Person ausüben, wenden Sie sich bitte an unser(e) Datenschutzbeauftragte(r):

Datenschutzbeauftragter

c/o Österreichisches Rotes Kreuz, Generalsekretariat

Wiedner Hauptstrasse 32, 1040 Wien

Telefon: +43 1 58900-955, E-Mail: datenschutz(at)roteskreuz.at

 

Änderungen dieser Datenschutzinformation

Wir halten diese Datenschutzerklärung immer auf dem neuesten Stand. Deshalb behalten wir uns vor, sie von Zeit zu Zeit zu ändern und Änderungen bei der Erhebung, Verarbeitung oder Nutzung Ihrer Daten nachzupflegen. Die aktuelle Fassung der Datenschutzinformation  ist stets unter https://www.roteskreuz.at/datenschutz/ innerhalb der App abrufbar.

Stand: 24.03.2020