PIA - Prospektive Monitoring und Management-App

Datenschutzerklärung

Die Applikation PIA (Prospektive Monitoring und Management-App) wurde vom Helmholtz-Zentrum für Infektionsforschung (HZI) entwickelt und steht anderen Institutionen als Open-Source-Software (Lizenz AGPL 3.0) zur Durchführung von Studien zur Verfügung. Dabei ist grundsätzlich die jeweilige Institution, welche die Studie durchführt und dafür eine PIA-Instanz installiert, für die Verarbeitung der personenbezogenen Daten auf ihren Servern allein verantwortlich.

Die mobile Applikation (Frontend) wird vom HZI in den Stores von Apple und Google bereitgestellt. Über den Benutzernamen, mit dem sich Teilnehmende in PIA einloggen bzw. der URL (s.u.) wird das jeweils spezifische Backend (PIA-Instanz) angesprochen. Im Code von PIA ist hinterlegt, welche Elemente des Benutzernames von welchem Server verwendet werden; hierüber erfolgt eine eindeutige Zuordnung im Frontend. 

PIA Logo - Animierte Person im Laborkittel
© HZI / PIA
Ansicht des Nutzerprofils von PIA
© HZI / PIA

Derzeit verwendet auch die NAKO Gesundheitsstudie PIA mit einer eigenen Instanz (spezifisches Backend). Falls Sie an einer Studie der NAKO Gesundheitsstudie teilnehmen, finden Sie mehr zum Datenschutz hier: https://nako.de/wp-content/uploads/NAKO-Datenschutz-IT-Sicherheitskonzept.pdf (in Überarbeitung). Die Daten der Studien der NAKO Gesundheitsstudie werden nicht am HZI verarbeitet und umgekehrt. Es handelt sich um vollständig getrennte Server. Eine Ausnahme stellen Zusatzstudien des Studienzentrums Hannover dar (ZIFCO, MuSPAD). Diese laufen über den Server des HZI, da für diese das Studienzentrum Hannover verantwortlich ist.

Derzeit verwendet auch die Ludwig-Maximilians-Universität (LMU) München PIA mit einer eigenen Instanz (spezifisches Backend). Falls Sie an einer Studie der LMU teilnehmen, finden Sie mehr zum Datenschutz hier: https://cdn.lmu-klinikum.de/74292097c4e7ef2f/d5c1c57d8dec/PIA-Datenschutzerkla-rung.pdf. Die Daten der Studien der LMU werden nicht am HZI verarbeitet und umgekehrt. Es handelt sich um vollständig getrennte Server. 

Darüber hinaus kann die App von weiteren Institutionen oder Servern verwendet werden, die dem HZI nicht bekannt sind. Dies erkennen Sie als App-Nutzer:in daran, dass Sie nicht nur Ihren Benutzernamen und ein Passwort, sondern in der App auch noch eine Internetadresse (URL, Link) eingeben müssen. In Studien des HZI, der NAKO oder der LMU müssen Sie nie eine Internetadresse in die App eingeben (siehe Abbildung unter URL eingeben). 

Nachfolgend informieren wir darüber, wie Daten im Rahmen der Verwendung von PIA über das Helmholtz-Zentrum für Infektionsforschung (HZI) verarbeitet werden, wenn Sie an einer unserer Studien, welche PIA verwendet, teilnehmen und dabei die App verwenden. 

Soweit eine andere Institution die Studie durchführt, bitten wir Sie, sich für Informationen zum Datenschutz bei der Verwendung der App und der Teilnahme an der Studie an diese Institution zu wenden.

1. Für Studien, die über das Helmholtz- Zentrum für Infektionsforschung (HZI) laufen, gelten die folgenden Hinweise.

Das HZI unterliegt dem Bundesdatenschutzgesetz (BDSG) sowie der Datenschutz-Grundverordnung (DSGVO). 

Die Datenschutzkonzepte von PIA (Prospektive Monitoring und Management-App) und den jeweiligen Studien wurden gemeinsam mit dem Datenschutzbeauftragten des HZI entwickelt und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorgelegt. Eine Ethikkommission prüft vor Beginn einer Studie / eines Projektes u.a. die Teilnahmeinformation und Einwilligungserklärung. 

1.1 Name und Anschrift des Verantwortlichen

Die Verantwortliche im Sinne der DSGVO und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutz-rechtlicher Bestimmungen ist die:

Helmholtz-Zentrum für Infektionsforschung GmbH
Inhoffenstraße 7
38124 Braunschweig
Deutschland

Tel.: +49 (0)531 6181 0
E-Mail: info(at)helmholtz-hzi.de
Website: www.helmholtz-hzi.de

vertreten durch:
Christian Scherf (Administrativer Geschäftsführer)

1.2 Kontaktdaten des Datenschutzbeauftragten des HZI

Datenschutzbeauftragter
Helmholtz-Zentrum für Infektionsforschung GmbH
Inhoffenstraße 7
38124 Braunschweig
Deutschland

Tel.: +49 (0)531 6181 2050
E-Mail: datenschutzbeauftragter(at)helmholtz-hzi.de

Das vorliegende Datenschutzkonzept für das HZI wurde mit dem Datenschutzbeauftragten des HZI abgestimmt. 

Themenüberblick

2. Beschreibung der Datenverarbeitung

Die mit PIA durchgeführten Studien dienen z.B. der Erfassung von Symptomen von Infektionskrankheiten, ihren Risikofaktoren und Folgen, der wissenschaftlichen Auswertung gewonnener Daten und deren anonymer Veröffentlichung. Dazu beantworten die Teilnehmenden Fragebögen und können, sofern in der jeweiligen Studie möglich, Bioproben selbst entnehmen, diese in der App dokumentieren und zur Untersuchung versenden. Die Beantwortung der Fragen ist freiwillig. Die Entscheidung, wie lange die App genutzt wird, obliegt den Teilnehmenden.

2.1 Ursprung der Daten und Datenkategorien

Wir verarbeiten personenbezogene Daten, die wir während der Nutzung der App aufnehmen. Die verarbeiteten Kategorien personenbezogener Daten können sich zwischen den Studien unterscheiden. Die Erhebung und Verarbeitung inkl. Umfang und Art der Kategorien personenbezogener Daten wird jeweils in der studienspezifischen Information beschrieben.

Mögliche relevante Kategorien von personenbezogenen Daten:

  • Personenstammdaten / Kontaktdaten
  • Pseudonyme
  • Kommunikationsdaten (z. B. IP-Adressen, Telefon, eMail)
  • Planungs- und Steuerungsdaten
  • Besondere Kategorien von personenbezogenen Daten
    • Daten über die Gesundheit
    • Daten aus Fragebögen
    • Daten aus Testungen
    • Bilddaten
    • Audiodaten über Ton- / Stimmenaufnahmen
    • Videodaten über Ton- und Bildaufnahmen
    • Daten über das Sexualleben
    • Daten über die sexuelle Orientierung
    • Daten über die rassische oder ethnische Herkunft
    • Daten über die religiöse Überzeugung
    • Daten über die weltanschauliche Überzeugung
    • Daten über die politische Meinung
    • Daten über die Gewerkschaftszugehörigkeit

2.2 Zweck und Rechtsgrundlage der Datenverarbeitung

Verarbeitung zu Studien- und Forschungszwecken:

Eine Verarbeitung von personenbezogenen Daten zu Studien- und Forschungszwecken erfolgt nicht ohne die ausdrücklich an gesonderter Stelle (schriftlich oder in-App) erteilte informierte Einwilligung durch die Teilnehmenden. Über die mit der Studie im Zusammenhang stehenden Datenverarbeitungen werden Teilnehmende daher an anderer Stelle ausführlich informiert. Die Rechtsgrundlage für die Verarbeitungen ist Art. 6 Abs. 1 lit. a) DSGVO (und ggf. Art. 6 Abs. 1 lit. e) DSGVO, da die Forschung regelmäßig im öffentlichen Interesse erfolgt) sowie Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten). 

PIA verfügt über ein Rechte-Rollen-Konzept, d.h. dass Forschende nur Forschungsdaten (z.B. Fragebogenantworten) verarbeiten, während das Teilnahmemanagement personenidentifizierende Daten verarbeitet (z.B. Versand von Kits zur Selbstentnahme von Bioproben). Durch das Rechte-Rollen-Konzept findet eine strikte Trennung von personenidentifizierenden und Forschungsdaten statt. Der Zugriff ist nur Mitarbeitenden der jeweiligen Studie und dem Rollenkonzept entsprechend frei geschaltet.

Verarbeitung bei der Nutzung der App:

Sicherheitsrelevante automatisierte Erfassung: Bei jedem Aufruf unseres Systems werden automatisiert die IP-Adresse des aufrufenden Gerätes mit Datum und Uhrzeit erfasst. Diese Daten sind keine Forschungsdaten und werden nicht von Wissenschaftler:innen eingesehen. Sie werden nur in Ausnahmen von IT-Kräften eingesehen, wenn ein Sicherheitsproblem vorliegt. Das heißt, sie dienen der Sicherstellung der Sicherheit der informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken oder eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt. 

Bei fehlgeschlagenen Loginversuchen werden u.a. der Nutzername, die IP-Adresse und das letzte Datum des Fehlschlags gespeichert. Diese Daten werden standardmäßig nicht dauerhaft in der Datenbank, sondern nur im flüchtigen Arbeitsspeicher der Keycloak Docker-Instanz gespeichert. Diese Daten sind notwendig, um effektiv Brute-Force Angriffe abzuwehren und die Verarbeitung dient dem berechtigten Interesse zur Gewährleistung der Sicherheit der Anwendung. 

Die Erfassung und die Speicherung dieser sicherheitsrelevanten Daten ist für die Sicherheit des Systems erforderlich. Es besteht folglich seitens der Nutzenden keine Widerspruchsmöglichkeit. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO.

Wartungsrelevante automatisierte Erfassung: Das Verhalten der Applikation zur Laufzeit wird in Form von Log-Daten erfasst. Der Personenbezug der gespeicherten Meta-Daten entsteht durch das Logging des Pseudonyms. Die Log-Daten werden separat gespeichert. Es werden keine Fragebogenantworten gespeichert. Die erfassten Daten werden im Regelfall nicht eingesehen. Sie werden nur in Ausnahmen von IT-Kräften eingesehen, wenn ein Software-Problem auftritt. Die Fehlerbehebung ist ein berechtigtes Interesse, zu dessen Wahrung die Verarbeitung erfolgt. Zugriff auf die Log-Dateien zur Laufzeit ist nur Systemadministrator:innen mit administrativem Zugriff auf Betriebssystemebene möglich. Durch Forscher:innen erfolgt keine Einsicht in diese Daten. Es besteht seitens der Nutzenden keine Widerspruchsmöglichkeit. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO.

PIA erfasst automatisiert keine Daten außerhalb der Anwendung, die sich auf dem Smartphone oder Computer befinden.

2.3 Empfänger der personenbezogenen Daten

Die Daten werden auf Servern bzw. Geräten des HZI verarbeitet. Falls externe Dienstleister zur Datenverarbeitung hinzugezogen werden, wird die Zusammenarbeit mittels entsprechender Verträge geregelt, sodass durchgängig ein angemessenes Datenschutzniveau erreicht wird. PIA besitzt eine Schnittstelle zu dem Dienst Google Firebase der Google Ireland Ltd., Google Building Gordon House, 4 Barrow St, Grand Canal Dock, Dublin 4, D04 V4X7, Irland, worüber Push-Nachrichten versendet werden. Durch eine aufwendige Kommunikationsstruktur lassen die Push-Nachrichten keinen Bezug oder Rückschlüsse auf personenbezogene Daten zu. 

2.4 Übermittlung an ein Drittland

Eine Weitergabe von pseudonymen Daten an Forschungsinstitutionen und Kooperationspartner innerhalb der europäischen Union bzw. an Länder mit Angemessenheitsbeschluss oder Garantie ist möglich. Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) kann in bestimmten Studien nicht ausgeschlossen werden (siehe studienspezifische Datenschutzerklärung und Einwilligungserklärung). 

2.5 Dauer der Speicherung der Daten

Die Studiendaten werden am Helmholtz-Zentrum für Infektionsforschung (HZI) für 10 Jahre gemäß Guter Wissenschaftlicher Praxis nach Studienende gespeichert und danach gelöscht. In bestimmten Studien werden Daten außerhalb des HZI für längere Zeit gespeichert; dies geht aus der jeweiligen studienspezifischen Einwilligung hervor.

Personenidentifizierende Daten (wie z.B. Namen, Adressen) werden für 3 Jahre nach Studienende gespeichert und danach gelöscht. Ggf. können Studiendaten auch an beteiligten Forschungszentren/ Forschungsinstitutionen gespeichert werden. Wenn eine Abweichung in einer bestimmten Studie stattfindet, wird dies in den Informationen der jeweiligen Studie beschreiben.

Die Speicherung der sicherheitsrelevanten Daten erfolgt über 12 Monate. Die Speicherung der wartungsrelevanten Daten erfolgt bis zum nächsten PIA-Update. Bei jedem PIA-Update werden alle Logs gelöscht. In der Regel werden am HZI mindestens 2 PIA-Updates pro Jahr durchgeführt.

Daten der Teilnehmenden (z.B. Antworten in Fragebögen) werden z.B. während des Ausfüllens eines Fragebogens im Arbeitsspeicher des verwendeten Endgerätes vorübergehend vorgehalten, eine permanente Speicherung auf dem Endgerät erfolgt nicht. 

Empfehlung: Damit Ihre Daten sicher vor dem Zugriff von Dritten sind, empfehlen wir Ihnen, die Nutzung des offiziellen Betriebssystems und der Installation der jeweils aktuellsten Version und aller Sicherheitsupdates. Installieren Sie keine Software von Drittanbietern unsicherer Herkunft oder welche das Umgehen von Sicherheitsfunktionen erfordern. Nehmen Sie keine Modifikationen am Betriebsystems oder Endgerät vor, welche nicht vom jeweiligen Soft- und/oder Hardwareanbieter vorgesehen sind oder die Sicherheit reduzieren. Dies umfasst auch das „Rooting“ oder „Jailbreaking“ des Gerätes. Benutzen Sie zur Installation von Software den offiziellen App-Store des Betriebssystems. Lassen Sie alle empfohlenen Sicherheitsfunktionen des Betriebssystems aktiviert. Wenn Ihr Betriebssystem zusätzliche, integrierte Sicherheitsfunktionen anbietet (z.B. getrennte Benutzer-konten, Firewall, Virenschutz, Festplattenverschlüsselung etc.), empfehlen wir Ihnen diese Funktionen gemäß der Anleitung und Hinweise des Herstellers zu aktivieren und einzurichten.

3. Ihre Betroffenenrechte

Teilnehmende haben – soweit jeweils die gesetzlichen Voraussetzungen vorliegen – ein Auskunftsrecht und Recht auf Kopie nach Art. 15 DSGVO, ein Recht auf Berichtigung nach Art. 16 DSGVO, ein Recht auf Löschung nach Art. 17 DSGVO, ein Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, ein Recht auf Datenübertragbarkeit nach Art. 20 DSGVO, ein Widerspruchsrecht nach Art. 21 DSGVO, ein Recht, keiner automatisierten Entscheidung im Einzelfall nach Art. 22 DSGVO unterworfen zu werden, und das Recht, die erteilte Einwilligung jederzeit zu widerrufen (Art. 7 DSGVO).

Für diese Betroffenenrechte gilt speziell mit Bezug zu PIA Folgendes:

3.1 Widerruf und Löschung von Daten

Die Einwilligung zur jeweiligen Studie kann jederzeit, ohne Angabe von Gründen widerrufen werden. Dabei ist die Nutzung von PIA an die Teilnahme an einer Studie gebunden; eine Nutzung der App ohne Studienteilnahme ist nicht möglich. 

Der Widerruf kann per Mail, Telefon, postalisch oder in-App durchgeführt werden.  

Es wird zwischen einem vollständigen oder einem teilweisen Widerruf sowie einer Sperre der erneuten Kontaktaufnahme unterschieden. 

Falls die Teilnahme an einer Studie vollständig widerrufen wird: 

Sämtliche Daten und Bioproben, falls vorhanden, der entsprechenden Studie werden gemäß Art. 17 DSGVO gelöscht beziehungsweise vernichtet. Der Vorgang wird protokolliert. Daten ohne Personenbezug werden nicht gelöscht. 

Falls die Teilnehmenden nur der Teilnahme an bestimmten Elementen einer Studie widersprechen: 

Einzelne Daten (z.B. alle Antworten eines bestimmten Fragebogens) werden gelöscht. 

Wenn Teilnehmende nicht mehr kontaktiert werden möchten: 

Das automatische oder manuelle Versenden von E-Mails oder Push-Nachrichten sowie Briefen ist durch die Sperrung nicht mehr möglich. Damit können Teilnehmende nicht mehr an der Studie teilnehmen. 

Die studienspezifischen Kontaktdaten für den Widerruf sind in der jeweiligen Studieninformation bzw. Einwilligung zu finden.

3.2 Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung oder Datenübertragbarkeit

Um Auskunft über die erhobenen Daten, eine Berichtigung, Einschränkungen oder eine Datenübertragbarkeit anzufordern, können sich die Teilnehmenden an den oben genannten Datenschutzbeauftragten wenden. Die studienspezifischen Kontaktdaten sind zusätzlich in der jeweiligen Studieninformation bzw. Einwilligung zu finden.

4. Schutz vor unbefugten Zugriff auf PIA

Die Verwendung von PIA ist passwortgeschützt. Die Teilnehmenden erhalten während des Registrierungsprozesses ein Erstpasswort - in Abhängigkeit von der jeweiligen Studie vor Ort, postalisch oder über PIA bei einer Studie mit Selbstregistrierung. Bei der Erstanmeldung werden die Teilnehmenden aufgefordert, ein neues, eigenes Passwort einzurichten.  Wenn das Passwort vergessen wurde, kann über das System automatisch ein neues angefordert werden (sofern eine gültige E-Mail-Adresse in PIA hinterlegt ist). Dies wird an die hinterlegte Emailadresse im Klartext gesendet. Teilnehmende haben außerdem die Möglichkeit sich eine Zwei-Faktor Authentifizierung einzurichten, um ihren Account noch sicherer zu machen. Diese Einrichtung ist für Teilnehmende freiwillig. Als teilnehmende Person gehen Sie dazu in der App auf Einstellungen, dann auf „Passwort und Kontozugriff verwalten“ → „Passwort und Authentifizierung“ und klicken auf den untersten grünen Button „Authenticator-Anwendung einrichten“.

5. Pflicht zur Bereitstellung der Daten

Teilnehmende sind nicht verpflichtet per mobiler App, personenbezogene Daten zur Verfügung zu stellen. Jedoch entfällt dann die Möglichkeit der Nutzung von PIA, das heißt die Teilnahme an der Studie über die mobile App. Alternativ besteht die Möglichkeit die funktionsgleiche Version von PIA als Browser-Applikation mittels Smartphone, Tablet oder Desktop-Computer zu verwenden. 

6. Bestehen einer automatisierten Entscheidungsfindung

Wir nehmen keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 Abs. 1 und Abs. 4 DSGVO vor. 

7. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

Die Teilnehmenden haben das Recht sich an die zuständige Aufsichtsbehörde zu wenden:

Der/Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Graurheindorferstr. 153,  53117 Bonn, 

poststelle(at)bfdi.bund.de 

Versionierung V2.1 / 18.11.2024