Datenschutzrichtlinie
zur UNDO-App

Hosted in Germany DSGVO konform Made in Germany

Die Verarbeitung personenbezogener Daten erfolgt im Einklang mit der Datenschutz-Grundverordnung und in Übereinstimmung mit den geltenden landesspezifischen Datenschutzbestimmungen. Mittels dieser Datenschutzrichtlinie erfüllen wir unsere Informationspflichten nach den Vorschriften der Datenschutzgrundverordnung (DSGVO).

Wir haben zahlreiche technische und organisatorische Maßnahmen umgesetzt, um einen möglichst lückenlosen Schutz der bei Nutzung der Webanwendung verarbeiteten personenbezogenen Daten sicherzustellen. Dennoch können internetbasierte Datenübertragungen grundsätzlich Sicherheitslücken aufweisen, sodass ein absoluter Schutz nicht gewährleistet werden kann. Aus diesem Grund steht es jeder betroffenen Person frei, personenbezogene Daten auch auf alternativen Wegen zu übermitteln.

Im Hinblick auf die verwendeten Begrifflichkeiten, wie z.B. „personenbezogene Daten“ oder auch „Verarbeitung“ von Daten verweisen wir auf die Definitionen in Art. 4 der DSGVO.

1. Name und Anschrift des Verantwortlichen

  1. Im Rahmen der Registrierung und Kontaktketten-Nachverfolgung beim Anwender der Anwendung

    Scopevisio AG
    Rheinwerkallee 3
    53227 Bonn
    Tel.: +49 (0) 800 800 2
    E-Mail: info@scopevisio.com
    (im Folgenden „Verantwortlicher unter 1a)“ genannt)

    Kontaktdaten des Datenschutzbeauftragten beim Verantwortlichen:
    Günter Hilgers
    EcoVisio GmbH, Rheinwerkallee 3, 53227 Bonn
    E-Mail: datenschutz@scopevisio.com

    Auftragsverarbeiter (Subunternehmer) bei Scopevisio AG:
    T-Systems International GmbH
    Hahnstraße 43d
    D-60528 Frankfurt am Main
    Tel.: +49 (0) 69 20060-0
    E-Mail: info@t-systems.com

    Scopevisio nutzt die Dienste der ISO 270011 zertifizierten Twin-Core-Rechenzentren der T-Systems in Magdeburg und Biere (Salzlandkreis) sowie den Open-Telekom-Cloud (OTC) Service. Scopevisio hat mit dem Subunternehmer eine Vereinbarung nach Art. 28 DSGVO zur Auftragsverarbeitung abgeschlossen.

  2. Im Rahmen der Kontaktdatenerfassung beim Besuch einer Einrichtung

    Verantwortlicher ist der jeweilige Betreiber der Einrichtung. Die Angaben zum Verantwortlichen und zu seinem Datenschutzbeauftragen können Sie Ihrer persönlichen Besuchshistorie entnehmen (im Folgenden „Verantwortlicher unter 1b)“ genannt)

    Kontaktdaten des Datenschutzbeauftragten beim Verantwortlichen:
    Die Angaben zum Datenschutzbeauftragten des Verantwortlichen unter 1b) können Sie Ihrer persönlichen Besuchshistorie entnehmen.

2. Webanwendung

2.1 Beschreibung

Mit der vom Verantwortlichen unter 1a entwickelten digitalen Kontaktnachverfolgung wurde eine demografisch-pandemische Anwendung (App / Webanwendung) mit dem Ziel der Entdeckung und Sprengung von Infektionsketten entwickelt. Dazu wird der einrichtungszentrierte Ansatz aus den länderbezogenen Corona-Schutzverordnungen mit dem personenzentrierten Ansatz einer allgemeinen verschlüsselten Kontaktrückverfolgungsdatenbank kombiniert. Wir weisen ausdrücklich darauf hin, dass die Anwendung ausschließlich der zeitlich begrenzten Erfassung von Kontaktdaten – und daraus ableitend einer persönlichen Besuchshistorie dient. Es werden keine medizinischen Daten erfasst oder verarbeitet. Die Daten können auf Anfrage berechtigten Behörden (z.B. Gesundheitsämtern) zur Verfolgung von Infektionsketten zur Verfügung gestellt werden. Die Verfolgung der Infektionsketten liegt aber allein in der Verantwortung dieser Behörden und erfolgt außerhalb unserer Anwendung.

Bei einer einrichtungszentrierten Lösung werden Personen, die eine Einrichtung besuchen, mit Aufenthaltszeit und -ort registriert. Umso genauer der Ort mit Raum, Tisch, Stuhl, Bank, Platz, … spezifiziert ist, umso besser können Kontaktpersonen wie Verkäufer, Kellner, Servicekräfte, Platznachbarn definiert sind, umso genauer sind Kontakte nachzuverfolgen. Die Kontaktdaten werden für jede Einrichtung separat gespeichert und können von dazu berechtigten Behörden (dies sind in der Regel die Gesundheitsämter) abgefragt werden. Dies entspricht den gesetzlichen Vorgaben aus den jeweiligen landesspezifischen Corona-Schutzverordnungen.

Bei der personenzentrierten Lösung werden Einrichtungen, die eine Person besucht, mit Aufenthaltszeit in einer persönlichen Besuchshistorie erfasst. Wenn eine Person viele unterschiedliche Einrichtungen besucht und sich jeweils registriert, so baut die Anwendung eine persönliche Besuchshistorie auf, welche die Aufenthaltsorte- und -zeiten des Besuchers (Privatperson) dokumentiert. Die Kontaktdaten-Rückverfolgung in der Besuchshistorie steht Ihnen vertraglich zur Verfügung. Sie allein entscheiden aber, ob Sie diese Daten vorhalten wollen oder nicht. Sie haben jederzeit die Möglichkeit die Daten in der Besuchshistorie zu löschen.

2.2 Datenerhebung beim Herunterladen und Installieren der App

Um die Anwendung des Verantwortlichen unter 1a) aus einem App-Store (zum Beispiel Google Play, Apple App Store) herunterladen und installieren zu können, müssen Sie sich zunächst bei dem Anbieter des jeweiligen App-Stores für ein Nutzerkonto registrieren und mit diesem einen entsprechenden Nutzungsvertrag abschließen. Hierauf haben wir als Verantwortliche (sieh unter 1) keinen Einfluss, insbesondere sind wir nicht Partei eines solchen Nutzungsvertrags. Beim Herunterladen und Installieren der App werden die dafür notwendigen Informationen an den jeweiligen App-Store übertragen (z.B. Ihr Nutzername, Ihre E-Mail-Adresse und die Kundennummer Ihres Accounts, der Zeitpunkt des Downloads, Zahlungsinformationen und die individuelle Gerätekennziffer). Auf diese Datenerhebung haben die Verantwortlichen keinen Einfluss und sind nicht dafür verantwortlich.

Wir haben keinen direkten Zugriff auf die Registrierungsdaten im Store und verarbeiten diese auch nicht zu eigenen Zwecken. Der Verantwortliche unter 1a) erhält vom jeweiligen App-Store ausschließlich anonymisierte Daten, die nur allgemeine Aussagen über alle Anwender und ihr Nutzungsverhalten der App zulassen.

Die Datenverarbeitung dieser anonymisierten Daten beim Verantwortlichen unter 1a) erfolgt auf Grundlage des berechtigten Interesses an einer effizienten und sicheren Zurverfügungstellung der App gemäß Artikel 6 Absatz 1 lit. f DS-GVO. Darüber hinaus werden keine Daten gespeichert.

2.3 Registrierung im Rahmen der Nutzung

Bevor Sie sich an der Anwendung registrieren können, bestätigen Sie uns, dass Sie die Datenschutzrichtlinie der Anwendung gelesen haben und sich mit der elektronischen Verarbeitung Ihrer Daten einverstanden erklären. Die entsprechende Erklärung/Einwilligung wird über eine Checkbox erteilt. Es handelt sich um eine Pflichterklärung/-einwilligung ohne die Sie sich nicht an der Anwendung registrieren können. Danach können Sie sich in zwei Schritten wie folgt registrieren:

  1. Zunächst melden Sie sich unter Angabe von Vorname, Nachname, E-Mail-Adresse und Mobilfunknummer an.
  2. Nach Anmeldung zur Registrierung erhalten Sie eine TAN zur Bestätigung Ihrer Anmeldung an die von Ihnen angegebene Mobilfunknummer. Damit wollen wir sicherstellen, dass die Registrierung auch von Ihnen stammt. Wir protokollieren die Verifizierung Ihrer Registrierung unter Angabe von Geräte ID, Datum und Uhrzeit. Hierzu sind wir gesetzlich verpflichtet. Die Erfassung dieser Einwilligung erfolgt auf Grundlage von Art. 6 Abs. 1 Satz 1 lit. c DSGVO.

    Durch Verifizierung Ihrer Registrierung mittels der übersandten TAN erhalten Sie die Möglichkeit weitere Daten zu hinterlegen. Dabei handelt es sich ausschließlich um Daten, die im Rahmen der Corona-Schutzverordnungen zur landesspezifischen Erfassung Ihrer Kontaktdaten erforderlich sind wie Straße, Hausnummer, Postleitzahl, Stadt und Land. Die Erfassung dieser erweiterten Registrierungsdaten erfolgt zur Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO, damit Sie die Anwendung im Rahmen der digitalen Kontaktdatenerfassung nutzen können.

2.4 Technisch notwendige Zugriffsberechtigungen

Damit die Anwendung funktionieren kann, sind bestimmte Zugriffsberechtigungen technisch notwendig:

Speicherzugriff: Die von Ihnen erfassten Kontaktdaten im Rahmen der Registrierung werden auch im LocalStorage Ihres Gerätes hinterlegt.

Netzwerkzugriff: Internetdaten erhalten; Netzwerkverbindungen abrufen; voller Netzwerkzugriff; WLAN-Verbindungen abrufen; um den Abruf der Informationen durch die App zu ermöglichen.

Gerätespezifischer Zugriff: Ruhezustand deaktivieren

Kamera: Zum scannen des QR Codes für die Kopplung der Anwendung mit der einrichtungsspezifischen Kontakterfassung des Betreibers der besuchten Einrichtung/Veranstaltung.

Standortbestimmung/GPS: Zur Sicherung des Missbrauchs von einrichtungsspezifischen QR-Codes haben wir die Anwendung mit einer Geofencing-Funktion versehen. Geofencing definiert eine Begrenzung/Entfernung um einen festgelegten Ort (im Fall der Anwendung ist dies der QR-Code einer Einrichtung). Diese Funktion stellt zum einen sicher, dass Sie sich über den einrichtungsspezifischen QR-Code nur innerhalb eines geolokalisierten Bereichs um die Einrichtung einchecken können und zum anderen, dass Sie beim Verlassen der Einrichtung und des geolokalisierten Bereichs automatisch ausgecheckt werden. Um diese Funktion zur Verfügung zu stellen, ist es erforderlich, dass Sie die Erfassung der Standortdaten in Ihrem Endgerät aktiviert haben.

3. Verarbeitung von personenbezogenen Daten durch die Anwendung

Die Verantwortlichen unter 1a und 1b dieser Datenschutzrichtlinie verarbeiten personenbezogene Daten der betroffenen Person für die nachfolgend genannten Zwecke und auf Grundlage der folgenden Rechtsvorschriften

3.1 Vertrags- und Registrierungsdaten beim Nutzer der Anwendung (Art. 6 Abs. 1 lit. b DS-GVO)

  • Name
  • Vorname
  • E-Mail-Adresse
  • Mobilfunknummer
  • Straße
  • Hausnummer
  • Postleitzahl
  • Stadt
  • Land

Bei der Kopplung der Anwendung mit dem zentralen Server werden folgenden Daten aus dem QR Code der Einrichtung in LocalStorage Ihres Endgerätes gespeichert:

  • Betreiber ID je teilnehmende Einrichtung an der digitalen Kontaktdatenerfassung

3.2 Erfassung von Kontaktdaten zwecks Nachverfolgung von Infektionsketten im Zusammenhang mit dem Coronavirus SARS-CoV-2

Sämtliche Daten im Zusammenhang mit der Erfassung von Kontaktdaten werden durch den Verantwortlichen unter 1b) dieser Datenschutzrichtlinie erhoben. Die Daten dienen ausschließlich dazu, auf Anfrage den zuständigen Behörden (i. d. R. sind dies die zuständigen Gesundheitsämter) zur Verfolgung der Kontaktketten vorgelegt zu werden. Dabei handelt es sich um die von Ihnen im Rahmen der elektronischen Erfassung übertragenen Daten wie:

  • Name
  • Vorname
  • Private Adresse
  • Telefonnummer
  • E-Mail

Zusätzlich ist die Einrichtung unter Umständen zur Erfassung von Anwesenheitszeiten verpflichtet

  • Datum des Besuches
  • Uhrzeit (von – bis)

Optional und zur besseren Nachverfolgung, Überprüfung der Vollständigkeit der Erfassung und Einschränkung aller Kontakte und zur erweiterten Benachrichtigung möglicher Betroffener kann der Verantwortliche unter 1b) zusätzlich

  • die Tischnummer / den Aufenthaltsbereich (z.B. Raum, Konferenzraum etc.) erfassen.

Die Erfassung der Kontaktdaten und der Umgang mit diesen Daten beim Verantwortlichen unter 1b) stützt sich auf Art. 6 Absatz 1 lit. c DSGVO in Verbindung mit den Vorschriften aus den landesspezifischen Corona-Schutzverordnungen.

Das System wird beim Verantwortlichen unter 1b) so eingestellt, dass nur die Daten aus der o.a. Auflistung übertragen werden, die in dem Bundesland, in dem die Einrichtung die Sie besucht haben belegen ist, nach der geltenden Corona-Schutzverordnung erlaubt sind.

3.3 Daten zum technischen Betrieb (Art. 6 Abs. 1 lit. b DSVO)

Verschlüsselung der Kommunikation zwischen Ihrem Endgerät und dem Server Alle Netzwerkverbindungen für den Datenverkehr finden über TLS gesicherte Verbindungen statt. Authentifizierung des Endgerätes an der Anwendung Die Anwendung speichert einen Zugriffscode (einen sogenannten Token) im lokalen Speicher Ihres Endgerätes. Dieser Code erlaubt die Authentifizierung für die Funktionen, die im Rahmen der Anwendung benutzt werden. Die Daten sind so auf Ihrem Endgerät isoliert, dass keine anderen Webseiten oder Apps diese Daten auslesen können. Diesen Vorgang nennt man „Application-Sandboxing“. Verschlüsselung des Besucher-Stammdatensatzes Die Besucherstammdaten werden verschlüsselt. Die Verschlüsselung betrifft sämtliche Felder die Sie im Rahmen der Registrierung angegeben haben. Die Felder werden pro Datensatz mit einem zufälligen symmetrischen Schlüssel mit AES256 verschlüsselt. Verschlüsselung von Besuchsdaten Jeder Datensatz, der von Ihnen im Rahmen eines Besuches einer Einrichtung vor Ort an den zur Kontaktdatenerfassung Verantwortlichen übergeben wird, wird verschlüsselt. Die Verschlüsselung betrifft sämtliche Felder die im Rahmen der Kontaktdatenerfassung an den Verantwortlichen mittels der Anwendung übertragen werden. Die Felder werden pro Datensatz mit einem zufälligen symmetrischen Schlüssel mit AES256 verschlüsselt. Entschlüsselung von Daten Der symmetrische Schlüssel gilt nur für den aktuellen Datensatz und wird mit zwei öffentlichen Schlüsseln (einem des Besuchers – zur Freigabe seiner Besuchshistorie und einem der Einrichtung – zur Freigabe der Daten an das Gesundheitsamt) verschlüsselt.

4. Dauer der Speicherung.

4.1 Ihre Registrierungsdaten

Ihre Registrierungsdaten bleiben so lange beim Verantwortlichen unter 1a) gespeichert bis Sie Ihr Konto löschen (die entsprechende Funktion steht Ihnen unter „Come-In Daten löschen“ zur Verfügung) oder einer weiteren elektronischen Datenerfassung und Datenverarbeitung widersprechen. Hierzu können Sie sich per E-Mail oder Post an den Verantwortlichen unter 1a) wenden. Die entsprechenden Kontaktdaten stehen Ihnen dort ebenfalls zur Verfügung. In einem solchen Fall werden Ihre Registrierungsdaten sowie Ihre persönliche Besuchshistorie gelöscht. Eine weitere Nutzung der Anwendung ist dann nicht mehr möglich.

Vom Widerspruch in die Datenerfassung und Datenverarbeitung sind die von Ihnen im Rahmen der gesetzlich vorgeschriebenen Kontaktdatenerfassung beim Verantwortlichen unter 1b) abgegebenen Daten nicht betroffen. Diese bleiben bis zum Ablauf der gesetzliche vorgeschriebenen Aufbewahrungsfristen gespeichert und werden dann automatisch gelöscht.

4.2 Daten zur persönlichen Besuchshistorie

Sämtliche Daten die in Ihrer persönlichen Besuchshistorie hinterlegt sind werden nach Ablauf von 14 Tagen automatisch gelöscht. Sie können Ihre Besuchshistorie aber auch selbst jederzeit ganz oder teilweise über das Dashboard der Anwendung löschen!

4.3 Daten zur Kontaktdatenerfassung

Daten, die Sie im Rahmen der Kontaktdatenerfassung beim Verantwortlichen unter 1b) abgegeben haben, können nicht vor Ablauf der gesetzlichen Aufbewahrungsfristen entsprechend der jeweils geltenden landesspezifischen Corona-Schutzverordnung gelöscht werden. Nach Ablauf dieser Aufbewahrungsfristen werden die Daten automatisch vom System gelöscht.

5. Werden Cookies gesetzt

Es werden keine Cookies gesetzt. Auch wird auf jede Form von Tracking verzichtet.

6. Wer erhält Ihre Daten?

6.1 Daten zur persönlichen Besuchshistorie

Sämtliche Daten, die in Ihrer persönlichen Besuchshistorie hinterlegt sind, stehen allein in Ihrer Verfügungsgewalt. Physisch werden die personenbezogenen Besuchsdaten ausschließlich lokal im Speicher Ihres Endgerätes für die Dauer der letzten 14 Tage persistent gespeichert. Die Ansicht auf die Besuchshistorie kann optional über eine PIN gesperrt werden. So stellen wir sicher, dass unberechtigte Dritte ohne physischen Besitz des Endgerätes oder durch kriminelle Handlungen wie z.B. „hacking“ des Endgerätes nicht in der Lage sind ein Bewegungsprofil erstellen zu können. Insbesondere die Erstellung von breit gefächerten Bewegungsprofilen vieler Personen ist unmöglich. Soweit das Gesundheitsamt bei Ihnen die Besuchshistorie anfragt, können Sie autonom entscheiden, ob Sie diese Besuchsdaten dem Gesundheitsamt übermitteln oder einzelne Einträge vor der Übermittlung löschen möchten. Sie allein entscheiden wer, wann und in welchem Umfang Zugriff auf Ihre persönliche Besuchshistorie Zugriff nehmen kann (Art. 6 Abs. 1 lit. a DSGVO). Auch das Gesundheitsamt erhält nur Zugriff auf diese Daten soweit Sie diese freigeben. Eine gesetzliche Pflicht zur digitalen Übermittlung der Besuchshistorie besteht nicht. Denken Sie aber daran, dass es im Rahmen der Pandemiebekämpfung wichtig ist, dass Sie Ihre Besuchshistorie so vollständig wie möglich angeben können. Sie haben bei Anfragen des Gesundheitsamtes eine Mitwirkungspflicht.

Auf einen systemseitigen Schlüssel wird in der Anwendung verzichtet. Damit sind weder personenbezogene noch einrichtungsbezogene noch Bewegungs-Daten von unberechtigten Dritten, auch nicht vom Hersteller Scopevisio AG, zu entschlüsseln.

6.2 Daten im Rahmen der gesetzlich vorgeschriebenen Kontaktdatenerfassung

Die Daten dienen ausschließlich dazu, auf Anfrage den zuständigen Behörden (in der Regel sind das die Gesundheitsämter) zur Verfolgung von Kontaktketten vorgelegt zu werden. Hierzu besteht eine gesetzliche Verpflichtung. Eine solche Weitergabe stützt sich auf Art. 6 Abs. 1 lit. c DSGVO. Sämtliche Recherchen des Gesundheitsamtes bedürfen der Freigabe durch den Verantwortlichen nach 1b) dieser Datenschutzrichtlinie.

Verschlüsselte Eigenschaften eines Besuchs sind die Start- und Endzeiten, der Aufenthaltsort in der Einrichtung sowie eine Einwegs-ID von Person & Einrichtung. Der symmetrische Schlüssel wird nicht gespeichert. Eine anonyme Historie von Besuchen, bei der nur Einweg-IDs sichtbar sind, ist für Betreiber einer Einrichtung benutzerübergreifend möglich.

Auf Anfrage des Gesundheitsamtes wird eine Anwesenheitsliste für einen angefragten Zeitraum generiert und dem Gesundheitsamt und übermittelt.

7. Werden vom Verantwortlichen Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Weder vom Verantwortlichen unter 1a) noch vom Verantwortlichen unter 1b) werden Daten in ein Drittland oder an eine internationale Organisation übertragen.

8. Welche weiteren Datenschutzrechte haben Sie als betroffene Person nach der DSGVO

Nach der DSGVO stehen Ihnen folgende Rechte zu: Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO). Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO). Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO). Wenn Sie in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO). Beim Recht auf Auskunft und auf Löschung gelten die Einschränkungen nach §§ 34 und 35 BDSG (Bundesdatenschutzgesetz).

Soweit Sie Ihre Rechte gegenüber dem Verantwortlichen nach Nr. 1a) dieser Datenschutzrichtlinie geltend machen wollen, nutzen Sie dazu bitte die oben angegebenen Kontaktdaten.

Bei datenschutzrechtlichen Beschwerden gegen den Verantwortlichen unter 1a) können Sie sich an die für diesen zuständige Aufsichtsbehörde wenden:

Landesbeauftragte für Datenschutz und
Informationsfreiheit
Nordrhein-Westfalen
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: +49 211 38424 0
Telefax: +49 211 38424 10
e-Mail: poststelle@ldi.nrw.de

Soweit Sie Ihre Rechte gegenüber dem Verantwortlichen nach Nr. 1b) dieser Datenschutzrichtlinie geltend machen wollen, nutzen Sie dazu bitte die Angaben zum Verantwortlichen und der zuständigen Aufsichtsbehörde, die Sie zu Ihrem jeweiligen Besuch in Ihrer Besuchshistorie finden.