cosinuss° Health Web: Datenschutz
Zweck dieses Dokuments ist es, Nutzer, Kunden und andere Beteiligte des cosinuss° Health Web über die bestehenden Datenschutzmaßnahmen, die Rechtsgrundlage für die Datenverarbeitung und die Rechte der betroffenen Personen in Übereinstimmung mit den geltenden Vorschriften, insbesondere der Allgemeinen Datenschutzverordnung (GDPR), zu informieren.
| Kontakt |  Cosinuss GmbH Kistlerhofstraße 60, 81379 München, Deutschland +49 89 740 418 32 dataprivacy@cosinuss.com | ——————————————————- |
|---|---|---|
| Version: | 2.0 | |
| Letzte Aktualisierung: | März 2025 | |
| Website: | https://www.cosinuss.com | |
| Health° Platform: | https://health.cosinuss.com |
Der Schutz Ihrer Privatsphäre ist der Cosinuss GmbH (im Folgenden „cosinuss°“ oder „Unternehmen“ genannt) wichtig. Dieses Datenschutzdokument beschreibt, wie cosinuss° Daten im Rahmen seiner Vitaldaten-Fernüberwachungslösung verwendet. cosinuss° betreibt eine Webanwendung (°Health Web: https://health.cosinuss.com) mit seinen Servern, in Kombination mit seinen Gateway-Geräten und Apps sowie seinen In-Ear-Sensoren. Mit diesen Komponenten zusammen ermöglicht cosinuss° die Überwachung, Verarbeitung und Übermittlung von Vitaldaten aus der Ferne (im Folgenden „Remote Vital Signs Monitoring Solution“ genannt). cosinuss° stellt damit eine End-to-End-Lösung zur Verfügung, die es Personen/Institutionen ermöglicht, Vitaldaten einer ausgewählten Gruppe von Personen (im Folgenden „Datensubjekte“ genannt) aus der Ferne zu überwachen. cosinuss° hat nicht die Absicht und Motivation, personenbezogene Daten oder Gesundheitsdaten an Dritte zu verkaufen oder zu übermitteln.
cosinuss° verkauft sein System zur Fernüberwachung von Vitalparametern und die damit verbundene Dienstleistung an Gewerbetreibende/Unternehmen/Organisationen (im Folgenden „Data Controller“ genannt).
cosinuss° verarbeitet personenbezogene Daten beim Betrieb des Vitalparameter-Fernüberwachungssystems nur nach dokumentierten Weisungen des Auftraggebers und nur in dem Umfang, der zur Erfüllung der Verpflichtungen aus einem zuvor abgeschlossenen Hauptvertrag und einer Datenverarbeitungsvereinbarung erforderlich ist, es sei denn, die Verarbeitung ist nach dem Recht der EU oder eines Mitgliedstaates, dem cosinuss° unterliegt, erforderlich. In diesem Fall muss cosinuss° den Auftraggeber vor der Verarbeitung über diese gesetzliche Vorschrift informieren, es sei denn, das Gesetz verbietet diese Benachrichtigung aus wichtigen Gründen des öffentlichen Interesses (siehe Allgemeine Datenschutzverordnung Artikel 28, Abschnitt 3, Absatz a).
Die Datenverarbeitungsvereinbarung ist Teil der Weisungen des Auftraggebers an cosinuss°. cosinuss° verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen und darf die personenbezogenen Daten nur dann für eigene Zwecke, insbesondere zur Verbesserung des Angebots, verwenden, wenn hierzu die vorherige schriftliche Einwilligung des Verantwortlichen vorliegt.
Vom Auftraggeber gesammelte, personenbezogene Daten
Der Auftraggeber ist allein für die Erhebung solcher personenbezogenen Daten verantwortlich, die eine direkte Identifizierung der Datensubjekte ermöglichen (z.B. Name, Adresse, E-Mail). Der Auftraggeber ist somit auch stets für die Lieferung der Komponenten (Sensoren, Gateways) des Vitalparameter-Fernüberwachungssystems an die betroffenen Personen verantwortlich. Zu keinem Zeitpunkt verfügt cosinuss° über direkt identifizierende personenbezogene Daten der betroffenen Personen.
Der für die Verarbeitung Verantwortliche hat zusätzlich den Zugriff auf die von cosinuss° erhobenen und verarbeiteten Gesundheitsdaten über die °Gesundheits-Webanwendung oder eine Anwendungsprogrammierschnittstelle (API) gestattet.
Von cosinuss° erhobene Daten
cosinuss° erhebt im Rahmen seiner Fernüberwachungslösung Gesundheitsdaten und andere nachfolgend beschriebene Metadaten von pseudonymisierten Personen.
Pseudonymisierungsverfahren
Um den Datenschutz und die Datensicherheit zu erhöhen, setzt cosinuss° Health Web für jedes neu in das System aufgenommene Subjekt ein Pseudonymisierungsverfahren ein. Dieses Verfahren stellt sicher, dass personenbezogene Daten anonymisiert werden und dennoch für Analyse- und Verwaltungszwecke nutzbar bleiben. Die Schritte des Pseudonymisierungsprozesses sind wie folgt:
- Erzeugung eines eindeutigen Pseudonyms: Für jeden neuen Probanden wird ein eindeutiges Pseudonym im Format „XXXX.XXXX“ erstellt, wobei jedes „XXXX“ aus vier zufälligen alphanumerischen Zeichen (A-Z, 0-9) besteht.
- Alphanumerische Zeichen: Das Pseudonym besteht aus einer Kombination von Buchstaben (A-Z) und Ziffern (0-9), um die Eindeutigkeit zu gewährleisten und gleichzeitig die Einfachheit und Skalierbarkeit zu erhalten.
- Datenverknüpfung: Alle persönlichen und gesundheitsbezogenen Daten, die mit dem Probanden in Verbindung stehen, werden mit diesem Pseudonym verknüpft und nicht mit der tatsächlichen Identität des Probanden.
- Schutz der Privatsphäre: Durch die Verwendung des Pseudonyms anstelle von persönlichen Identifikatoren minimiert das System das Risiko der Preisgabe sensibler Informationen und ermöglicht gleichzeitig eine effiziente Verwaltung und Nutzung der Daten.
- Zugangskontrolle: Nur autorisiertes Personal mit den erforderlichen Zugriffsrechten kann das Pseudonym mit den ursprünglichen persönlichen Informationen verknüpfen, was den Datenschutz weiter verbessert.
Mit diesem Verfahren können wir die Datenschutzbestimmungen einhalten und gleichzeitig sicherstellen, dass die Daten bei allen Interaktionen innerhalb der Plattform geschützt und sicher bleiben.
Details zum Datentyp
| Subjekt | Datentyp | Beschreibung |
|---|---|---|
| Pseudonym | Zeichenfolge (9 Zeichen) | eindeutige Kennung für jedes Thema im Format „XXXX.XXXX“, wobei XXXX eine Kombination aus 4 Buchstaben oder Zahlen (A-Z, 0-9) ist |
| Zeitpunkt der Erstellung | Zeitstempel | Zeitstempel, der angibt, wann der Betreff erstellt wurde |
| Label | Zeichenfolge (bis zu 64 Zeichen) | Freies Textfeld, das für externe Datenbank-IDs oder andere Referenzen verwendet werden kann |
| Sensor Device | Datentyp | Beschreibung |
| MAC Adresse | Zeichenfolge (17 Zeichen) | Eindeutige Bluetooth-MAC-Adresse des Sensorgeräts |
| Unique Device Identification (UDI) | Zeichenfolge (50 Zeichen) | Standardisierte Kennung für das Sensorgerät, einschließlich Seriennummer, GTIN, LOT, Sensortyp |
| Firmware Version | Zeichenfolge (z.B. “1.2.3”) | Versionsnummer der Firmware des Sensors |
| Bluetooth-Gerätename | Zeichenfolge (bis zu 64 Zeichen) | Name des Sensors, wie er in den Bluetooth-Einstellungen erscheint |
| Sensorkopfgröße | Zeichenfolge (z.B., “S”, “M”, “L”) | Größe der Sensorspitze (benutzerdefinierter Begriff) |
| Akkuladestand | Ganze Zahl (0-100%) | Prozentsatz der Akkuladung (aktualisiert mit ~0,1 Hz) |
| Gateway-Gerät | Datentyp | Beschreibung |
| MAC Adresse | Zeichenfolge (17 Zeichen) | Eindeutige MAC-Adresse des Gateway-Geräts |
| Unique Device Identification (UDI) | Zeichenfolge (variable Länge) | Standardisierter Bezeichner für das Gateway-Gerät |
| Software Version | Zeichenfolge (z.B., “1.2.3”) | Versionsnummer der Software des Gateways |
| Datenaufzeichnung | Datentyp | Beschreibung |
| Datensatz-ID | Zeichenfolge (13 Zeichen) | Eindeutige Kennung für die aufgezeichnete Datendatei im Format „XXXXXX.XXXXXX“, wobei XXXXXX eine Kombination aus 6 Buchstaben oder Zahlen ist (A-Z, 0-9) |
| Beginn der Zeitaufzeichnung | Zeitstempel | Startzeit der Aufnahme |
| Ende der Zeitaufzeichnung | Zeitstempel | Endzeit der Aufnahme |
| Zeit-Upload auf den Server | Zeitstempel | Zeitpunkt, zu dem die aufgezeichneten Daten hochgeladen wurden |
| Aufzeichnungsdauer | Fließkommazahl (Sekunden) | Gesamtdauer der Aufnahme |
| Zeitzone aufzeichnen | Zeichenfolge (z.B. „UTC“, „Europa/Berlin“) | Zeitzone des Aufnahmeortes |
| Sensor-Rohdaten | Datentyp | Beschreibung |
| PPG Grün | Binär (24-Bit), 200 Hz | Rohdaten Photoplethysmogramm von grüner LED |
| PPG Infrarot | Binär (24-Bit), 200 Hz | Rohdaten Photoplethysmogramm von Infrarot-LED |
| PPG Rot | Binär (24-Bit), 200 Hz | Rohdaten Photoplethysmogramm von Red LED |
| PPG Ambient | Binär (24-Bit), 200 Hz | Rohdaten Photoplethysmogramm mit ausgeschalteter LED (Basislinie) |
| EKG-Kanal 1-6 | Binär (32-Bit), 512 Hz | Rohdaten Elektrokardiogramm von 6 Kanälen |
| Beschleunigung / Position | Binär (16-Bit), 100 Hz | 3-Achsen-Beschleunigungsmesser (X, Y, Z) |
| Temperatur-KT | Float, 1 Hz | Kontaktthermometertemperatur (nicht medizinisch) |
| Sensor Vitaldaten | Datentyp | Beschreibung |
| Arterielle Sauerstoffsättigung | Ganze Zahl (%), 1 Hz | Blutsauerstoffsättigung (SpO₂) |
| Pulsfrequenz | Ganze Zahl, 1 Hz | Herzfrequenz in Schlägen pro Minute (bpm) |
| Körpertemperatur | Fließkommazahl, 0,1 Hz | Temperatur des Infrarot-Thermometers |
| Atemfrequenz | Fließkommazahl, 1 Hz | Atemfrequenz in Atemzügen pro Minute |
| Vom Sensor abgeleitete Parameter | Datentyp | Beschreibung |
| Qualitätsindex | Ganze Zahl, 1 Hz | Sensorsitz und Signalqualität |
| Perfusionsindex | Fließkommazahl, 1 Hz | Pulsstärke in Prozent |
| RR-Intervall | Ganze Zahl (ms), 1 Hz | Zeit zwischen Herzschlägen (Millisekunden) |
| Server-Scores | Datentyp | Beschreibung |
| Abweichungswert / Deviation Score (DS) | Ganzzahl, 1 Hz | Abweichungsschwellenwerte für Vitalfunktionen |
| Vom Datenverantwortlichen zu definieren | Kombinierte Vitalparameterbewertung | |
| Serveranalyse | Datentyp | Beschreibung |
| Vom Datenverantwortlichen zu definieren | Kombinierte Frequenzanalyse | |
Die Erfassung von Metadaten ist notwendig, um ein Pseudonym mit einem Datenstrom verbinden zu können und um mögliche Probleme durch Kenntnis der jeweiligen Firmware-Version der einzelnen Komponenten beheben zu können. Informationen über den Batteriestand werden benötigt, um der betroffenen Person und dem Auftraggeber die Notwendigkeit des Aufladens des Sensorgeräts zu signalisieren und damit das laufende Angebot zu gewährleisten. Informationen über die Qualität werden benötigt, um dem Verantwortlichem anzeigen zu können, welche Gesundheitsdaten zuverlässig sind und welche hinterfragt werden sollten.
Die gesammelten Rohdaten sind die Daten, die zur Berechnung der Vitalparameter (Herzfrequenz, Blutsauerstoffsättigung, Körperkerntemperatur und Atmungsrate) benötigt werden. Zusätzlich werden sie verwendet, um weitere Parameter wie RR-Intervalle, Perfusion und Herzfrequenzvariabilität abzuleiten. Diese werden dem Auftraggeber, wenn benötigt, zusätzlich berechnet und zur Verfügung gestellt.
Wenn es im Datenverarbeitungsvertrag vereinbart ist, können weitere Verarbeitungen von abgeleiteten Parametern auf dem Server durchgeführt werden, um den Hauptzweck zu erfüllen. Ein Beispiel für eine solche Verarbeitung ist die Berechnung des Deviation Score (DS).
Besonderer Hinweis zu Bluetooth und Android
Wenn die Lösung zur Fernüberwachung von Vitaldaten eine mobile App beinhaltet, die auf einem Android-Mobilgerät läuft, kann cosinuss° auf den groben Standort der Person zugreifen. Dies ist auf die Bluetooth-Verbindung auf dem Android-System zurückzuführen: Wenn der Benutzer Bluetooth aktiviert, um sich mit dem In-Ear-Sensor zu verbinden, zwingt Android den Benutzer dazu, auch „Standorte“ zu aktivieren. Diese Verpflichtung kommt von Android, nicht von der App. cosinuss° sammelt oder verwendet diese Daten nicht, und wichtig ist, dass die Standortinformationen lokal auf dem mobilen Gerät bleiben. Sie werden nicht an den cosinuss° Health Server übermittelt.
Speicherung und Weitergabe von personenbezogenen Daten
cosinuss° erhebt, verarbeitet und speichert die oben aufgeführten Daten zur Erfüllung des mit dem jeweiligen Verantwortlichen festgelegten Zwecks. Die erhobenen und verarbeiteten Daten werden auf Servern mit Sitz in Nürnberg bei der Hetzner Online GmbH gespeichert. Die Hetzner Online GmbH ist ein Unterauftragsverarbeiter von cosinuss° und ein TÜV-geprüfter und DSGVO-konformer Serverprovider. cosinuss° hat mit Hetzner einen Datenverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.
Soweit nicht ausdrücklich anders vereinbart, werden cosinuss° personenbezogene Daten bei Beendigung der Datenverarbeitung im Rahmen des Hauptvertrages mit dem Auftraggeber oder nach schriftlicher Aufforderung dieser zurückgegeben und/oder gelöscht.
cosinuss° stellt sicher, dass nur Mitarbeiter, Unterauftragsverarbeiter, Geschäftspartner, externe Berater und Leiharbeitnehmer etc., die Gegenstand des Datenverarbeitungsvertrages sind, Zugang zu den personenbezogenen Daten haben, und dass sie alle zur beruflichen Verschwiegenheit verpflichtet sind oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterstehen.
Wenn cosinuss° in den Verkauf oder die Übertragung einiger oder aller seiner Vermögenswerte involviert ist, können personenbezogene Daten an die erwerbende Organisation weitergegeben werden, jedoch nur in einem gesetzlich zulässigen Umfang. In diesem Prozess wird die erwerbende Organisation angewiesen, sich zu verpflichten, den Schutz der persönlichen Daten in einer Weise zu gewährleisten, die mit dieser Erklärung und dem geltenden Recht übereinstimmt.
Sicherheit
cosinuss° setzt wirtschaftlich angemessene und geeignete physische, elektronische und verwaltungstechnische Verfahren ein, um die erhobenen personenbezogenen Daten zu schützen und zu sichern. Wann immer Gesundheitsdaten übertragen werden, werden sie verschlüsselt. Selbst wenn das Übertragungsprotokoll von unbefugten Dritten eingesehen wird, können diese die übermittelten Informationen nicht nutzen. Dennoch kann cosinuss° Sicherheits- und/oder Datenschutzrisiken im Zusammenhang mit personenbezogenen Daten, die unter Verwendung des Internets und von Internet-Technologien erstellt, gespeichert oder übertragen werden, nicht vollständig ausschließen. cosinuss° haftet als Datenverarbeiter nicht für eine Verletzung, unbefugte Offenlegung oder unrechtmäßige Verwendung von personenbezogenen Daten oder Gesundheitsdaten, die sich zum Zeitpunkt der Verletzung unter der Kontrolle des Auftraggebers befanden.
Kryptographische Techniken
Authentifizierung
cosinuss° erhebt und verarbeitet nur Daten von pseudonymisierten Betroffenen und beschränkt den Zugriff auf diese Daten auf die berechtigten Personen, die davon Kenntnis haben müssen und zur Vertraulichkeit verpflichtet sind.
Bluetooth
Bei der Datenübertragung über Bluetooth LE wird eine Verkehrsverschlüsselung eingesetzt. Zusätzlich bietet cosinuss° einen 1-1 Pairing-Modus inklusive Authentifizierung an.
Hypertext Transfer Protocol Secure (HTTPS)
Das Hypertext Transfer Protocol Secure nutzt die neuesten TLS-Zertifikate, um eine sichere Kommunikation im World Wide Web zu gewährleisten. Außerdem schützen der Advanced Encryption Standard (AES) und Blockchiffren die Datenübertragung gemäß der höchsten Klassifizierung. HTTPS wird sowohl in der Web-Applikation als auch zwischen Gateway und Server verwendet.
Server-Standort
Die Server befinden sich in zwei verschiedenen Rechenzentren (Nürnberg & Falkenstein / Deutschland) der Hetzner Online GmbH.
Zertifizierung
- Die Hetzner Online GmbH hat ihre Geschäftsadresse in der Industriestraße 25, 91710 Gunzenhausen und ist zertifiziert nach DIN ISO/IEC 27001 .
- cosinuss° hat einen Datenverarbeitungsvertrag mit Hetzner, gemäß der Art. 28 GDPR
Schutz der Daten
- Redundante Datenspeicherung in verschiedenen Rechenzentren.
- Videoüberwachter Hochsicherheitszaun um den gesamten Rechenzentrumspark.
- Vollständige Verschlüsselung ruhender Daten (Encryption at Rest)
- Zugang nur über Zutrittskontrollterminals mit Transponder oder Zugangskarten.
- Modernste Überwachungskameras zur 24/7-Überwachung von Zufahrten, Eingängen, Sicherheitsschleusen und Serverräumen.
- Modernes Brandfrüherkennungssystem mit direkter Anbindung an die örtliche Feuerwehr.
Verfügbarkeit der Dienste
- Redundante Web-Dienste, die in verschiedenen Rechenzentren laufen.
- Notstromversorgung.
- Redundante USV-Systeme.
- Batteriebetrieb: ca. 15 Minuten.
- Temperaturüberwachung von Raumluft und in Server-/Verteilerschränken.
- DDOS-Schutz.
- Unterdrückung von Botnet-Kommunikation.
Datenschutz-Folgenabschätzung (DPIA)
Eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) ist nach der DSGVO immer dann erforderlich, wenn Sie ein neues Projekt beginnen, das wahrscheinlich ein “hohes Risiko” für die personenbezogenen Daten anderer Personen beinhaltet. Bei der Fernüberwachung von Vitalparametern kann dies der Fall sein, wenn die Art der Verarbeitung im Besonderen ist:
- Verwendung neuer Technologien
- Verfolgung des Verhaltens von Personen
- Verarbeitung von Daten über die Gesundheit
- Verarbeitung für automatische Entscheidungen
- Verarbeitung von Daten von Kindern
cosinuss° empfiehlt, vor Beginn jeglicher Datenverarbeitungsaktivitäten eine DPIA vorzubereiten. Idealerweise sollte die Datenschutzfolgenabschätzung vor und während der Planungsphase eines neuen Projektes durchgeführt werden. Wenn Sie einen Datenschutzbeauftragten haben, müssen Sie sich während des gesamten Verlaufs der Datenschutzfolgenabschätzung mit dieser Person und allen anderen wichtigen am Projekt beteiligten Personen beraten.
Die DPIA sollte die folgenden Elemente enthalten:
- Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, einschließlich, falls zutreffend, des berechtigten Interesses des Verantwortlichen.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf die Zwecke.
- Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
Zugang, Kommentare und Fragen
Um die Lösung zur Fernüberwachung von Vitaldaten optimal nutzen zu können, halten alle Verantwortlichen ihre Informationen korrekt, aktuell und vollständig, indem sie sich regelmäßig gegenseitig aktualisieren. Wenn Sie Fragen, Kommentare oder Bedenken zu dieser Datenschutzrichtlinie haben, wenden Sie sich bitte an unseren Datenschutzbeauftragten:
Cosinuss GmbH, Kistlerhofstraße 60, 81379 München, Deutschland, Tel.: +49 89 740 418 32, E-Mail: dataprivacy@cosinuss.com