Erklärung zum Datenschutz der App „AOK NeWs“ der internen Kommunikation
Wir freuen uns, dass Sie unsere App nutzen. Hier finden Sie die wichtigsten Informationen rund um den Datenschutz und die Verantwortlichkeiten für die App "AOK NeWs".
Datenschutzerklärung
Datenschutz
Die AOK NordWest nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst. Wir möchten, dass Sie wissen, wann wir welche Daten speichern und wie wir diese verwenden.
Der KomPart-Verlag bietet im Auftrag der AOK NordWest und in Kooperation mit dem Dienstleister tchop diese App zur Information von Mitarbeiterinnen und Mitarbeitern an. Die AOK NordWest bietet diese für mobile (auch private) Endgeräte ihrer Beschäftigten an.
Datensicherheit
Alle Systeme, in denen Ihre personenbezogenen Daten (E-Mailadresse, Name, Funktion) gespeichert sind, sind kennwortgeschützt, KKS-verschlüsselt und nur einem bestimmten Personenkreis zugänglich. Diesem ist durch strenge Sicherheitsauflagen die Weitergabe der Daten an Dritte untersagt.
Personenkreis der App-Nutzer
Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien betroffener Personen:
- Autorisierte Nutzende
- Nutzende, die von der AOK NordWest speziell benannt und autorisiert werden, auf die App zuzugreifen (=AOK-Mitarbeitende)
- Autorisierte Administratorinnen und Administratoren
- Nutzende, die von der AOK NordWest speziell benannt und autorisiert werden, auf das tchop CMS (Redaktion, App Management, Administration) und die App zuzugreifen.
Da es sich um eine App für die interne Unternehmenskommunikation handelt, die ausschließlich über gesteuerte Kanäle an registrierte Nutzende verteilt wird, gibt es keine weiteren Nutzenden.
Datenkategorien für den Datenschutz
Die AOK NordWest übermittelt personenbezogene Daten an tchop. Der Umfang der Daten wird von der AOK NordWest bestimmt und kontrolliert. Um die ordnungsgemäße und sichere Nutzung der App zu ermöglichen, benötigt tchop eine Vielzahl von Daten, die im Folgenden erläutert werden:
- Kontakt- und Profilinformationen
- Erforderlich für den Betrieb der App AOK NeWs sind Name und E-Mail-Adresse. Alle weiteren Profilinformationen sind optional. Die AOK NordWest hat die Kontrolle darüber, welche Daten übermittelt und auch welche angezeigt werden sollen.
- Login-Daten
- E-Mail-Adresse und Passwort
- Anmeldedaten (technische Information)
- User-ID, Zeitstempel der erstmaligen Anmeldung des Nutzenden, Zeitstempel der letzten Aktivität des Nutzenden
- Standort
- Standortdaten werden grundsätzlich nicht erfasst oder benötigt. IP-Adressen, die auf Standortkoordinaten hinweisen könnten, werden von tchop nicht gespeichert.
- Kennungen
- Bei der Erstellung eines Nutzendenkontos verknüpft tchop zu Authentifizierungszwecken im tchop CMS eine eindeutige "User-ID" mit dem Konto. Es wird technisch auch eine "Push-ID" erfasst, um sicherzustellen, dass Push-Benachrichtigungen an die Geräte der autorisierten Nutzenden gesendet werden. Im Zusammenhang mit der “User-ID” wird nur die erstmalige und letztmalige Anmeldung gespeichert (siehe “Anmeldedaten” oben). Weitere Daten werden in Bezug auf diese beiden IDs weder erfasst noch gespeichert.
- Nutzungsdaten (Analytics)
- Das tchop Analytics-Dashboard zeigt nur aggregierte Daten und kann technisch keine Rückschlüsse auf einzelne Nutzende liefern. Für die technische Analyse werden nur randomisierte IDs verwendet.
- Support und Fehlerdiagnose (App User)
- Nutzende können im Falle von technischen Problemen in der App eine E-Mail an den tchop Support schreiben. Mit dieser E-Mail können Daten zum Betriebssystem, der App-Version und dem technischen Endgerät übermittelt werden. Diese Daten dienen der Fehlerdiagnose. Nach der Beantwortung der Support-Anfrage werden diese Daten gelöscht. Die Übermittlung erfolgt freiwillig. Diese Support-Funktion kann vom Kunden auch deaktiviert werden.
tchop erlaubt es nicht, Finanzinformationen (einschließlich Bankkonten- oder Zahlkartennummern) zu sammeln und zu verarbeiten. Gleiches gilt für Patienteninformationen, medizinische oder andere regulierte oder geschützte Gesundheitsdaten. Auch weitere personenbezogene Daten wie Kontakte des bzw. der Nutzenden, Suchverlauf oder Browser-Verlauf werden nicht erfasst und auch nicht benötigt.
Sicherheit
tchop wird die in dieser Anlage beschriebenen Sicherheitsmaßnahmen aufrechterhalten und kann zusätzliche oder alternative Sicherheitsmaßnahmen durchführen, wobei sichergestellt wird, dass das Sicherheitsniveau der definierten Maßnahmen nicht verringert wird.
tchop wird seine ISO/IEC 27001:2013-Zertifizierung aufrechterhalten. Nutzende können eine Kopie des aktuellen ISO-Zertifikats von tchop auf Anfrage zugeschickt bekommen.
Pseudonymisierung
tchop verwendet Pseudonyme zur Speicherung nutzendenbezogener Interaktionen, wann immer dies möglich ist. Im tchop CMS wird jedem/r Nutzerin automatisiert eine randomisierte “User-ID” vergeben. Dies ist eine zehnstellige Zahl, die an anderen Stellen des Systems der technischen Identifikation dient und die gleichzeitig sicherstellt, dass der bzw. die Nutzenden im System (bspw. in technisch notwendigen Protokollierungen hinsichtlich Registrierung und Anmeldung) über diese “User-ID” repräsentiert wird. tchop erhebt grundsätzlich so wenige personenbezogene Daten wie möglich.
Nutzungsstatistik
Wir stellen den Schutz der Privatsphäre der Nutzenden bei unseren Produkten, unseren Diensten und bei unserer internen Steuerung an oberste Stelle. Das gilt auch für Nutzungsstatistiken, die über ein eigenes Analytics-Dashboard ausgewählten Nutzenden (in der Regel Administration und Redaktion) bereitgestellt werden.
Deswegen stellen wir Folgendes sicher:
1. Datenminimierung:
Für die Bereitstellung von Statistiken verwendet tchop nur randomisierte Geräte-IDs, die keinen Rückschluss auf einzelne Nutzende ermöglichen, da dies technisch vollständig separiert ist. Eine Verbindung zwischen der „internen User-ID” und der statistischen Auswertung kann an keiner Stelle hergestellt werden (siehe Punkt 2). Wir erheben nur die notwendigsten Daten, werten nur die wichtigsten Teile der App Nutzung aus.
2. Keine Rückschlüsse auf individuelle Nutzende:
Es werden keine individuellen Profile von Nutzenden erstellt und keinerlei Daten erhoben, die Rückschluss auf die Aktivitäten eines individuellen Nutzenden zulassen. Alle Aktivitäten in der App werden zusammengefasst zu aussagekräftigen Berichten zur allgemeinen Nutzendeninteraktion. So lässt sich auf dem Analytics Dashboard bspw. sehen, wie viele Nutzende an einem Montagnachmittag einen Beitrag geöffnet haben oder wie viele die App wie lange benutzt haben. Es lässt sich aber nicht sehen, welche Nutzerin oder welcher Nutzer es konkret war.
3. Keine Drittanbieterdienste für Analytics:
Es werden keine Drittanbieterdienste wie z.B. Google Analytics genutzt. Die Rohdaten werden von tchop selbst erfasst, die dafür notwendigen Statistiken wurden selbst entwickelt und bieten ein eigenes Analytics Dashboard, um wertvolle Einblicke in die Inhalte und deren Reichweite und den Erfolg der App zu liefern.
Technische Details zur Datenerfassung der Nutzungsstatistiken
Die Erfassung der Daten erfolgt auf Basis der oben beschriebenen Grundlagen in einer Art und Weise, die die Privatsphäre der Nutzenden umfassend schützt.
Technisch erfolgt dies folgendermaßen:
- In der App erfasst ein Software Development Kit (SDK) die notwendigsten Nutzungsdaten; jedem Endgerät wird dazu von dem SDK eine randomisierte, anonyme Geräte-ID vergeben; diese kann technisch nicht mit dem Nutzer bzw. der Nutzerin verbunden werden, dem SDK sind die Daten der Nutzenden in der App nicht bekannt (auch keine IP-Adresse), es erfolgt kein Datenaustausch und keine Datenübermittlung jeglicher Personenbezogener Daten zwischen App und SDK
- Das SDK übermittelt die Nutzungsdaten an ein eigenes, von dem tchop CMS technisch getrennten Backend, welches ausschließlich zur Auswertung dieser anonymisierten Nutzungsdaten zur Verfügung steht. Das System hat keinerlei Informationen über personenbezogene Nutzerdaten, sondern führt die Berechnungen nur auf Basis der anonymen Geräte-IDs durch.
- Das Backend mit den Nutzungsdaten stellt eine graphische Benutzeroberfläche zur Verfügung, die eine Auswertung und Analyse der Daten anhand von verschiedenen Werten und Zeitstempeln ermöglicht. Dabei ist kein Rückschluss auf einzelne Nutzende oder Gruppen möglich.
Details zu den Servern
In den Geschäftsräumen von tchop, KomPart oder der AOK NordWest befinden sich keine Server oder andere Dokumentenspeicher, auf denen sich sensible Daten befinden können. Die Daten der Plattform werden auf der Cloud-Infrastruktur von Hetzner gespeichert. Hetzner hat umfassende technische und organisatorische Maßnahmen umgesetzt, die ihre Einrichtungen vor unbefugtem physischem Zutritt schützen.
Derzeit umfassen die Maßnahmen beider Anbieter unter anderem:
- Die Rechenzentren, Server, Netzwerkausstattung und Host-Softwaresysteme (physische Bestandteile des Server Netzwerks) sind in unscheinbaren Gebäuden untergebracht.
- Die Gebäude sind durch physische Sicherheitsmaßnahmen geschützt, um den unberechtigten Zutritt sowohl weiträumig (z. B. Zaun, Wände) als auch in den Gebäuden selbst zu verhindern.
- Der Zutritt zu Server Standorten wird durch elektronische Zugangskontrollen verwaltet und durch Alarmanlagen gesichert, die einen Alarm auslösen, sobald die Tür aufgebrochen oder aufgehalten wird.
- Die Zutrittsberechtigung wird von einer berechtigten Person genehmigt und innerhalb von 24 Stunden entzogen, nachdem ein Mitarbeiter*in- oder Lieferanten-Datensatz deaktiviert wurde.
- Alle Besucher müssen sich ausweisen und registrieren und werden stets von berechtigten Mitarbeitern*innen begleitet.
- Zutritt zu sensiblen Bereichen wird durch Videoüberwachung überwacht.
- Ausgebildete Sicherheitskräfte bewachen die Rechenzentren und die unmittelbare Umgebung davon 24 Stunden am Tag, 7 Tage die Woche.
Löschung von Daten
tchop bietet verschiedene Maßnahmen zum Abrufen, Korrigieren, Löschen oder Sperren von Daten. Autorisierte Nutzende, d.h. Redakteurinnen und Redakteure sowie Administratorinnen und Administratoren auf Seiten der AOK NordWest und KomPart können jederzeit selbst Inhalte oder Nutzende aus dem System entfernen. In diesem Moment werden die personenbezogenen Daten des bzw. der Mitarbeitenden (Name, E-Mail-Adresse und Zeitstempel der letzten Aktivität) auf den entsprechenden Cloud-Services bzw. der Datenbank gelöscht, unleserlich oder unbrauchbar gemacht.
Mit der Löschung dieses Hauptdatensatzes werden auch etwaige Links zu den Daten und deren Kopien gelöscht. Ausgenommen sind verschlüsselte Daten-Backups. In diesen Backups kann der Datensatz für maximal weitere 14 Tage vorhanden sein, bis er auch hieraus durch das nächste automatisierte Backup überschrieben und gelöscht wird.
Eine Weiterverarbeitung dieser Kundendaten nach Löschung ist dann nicht mehr möglich. Werden die Nutzenden mit der gleichen E-Mail-Adresse nach der Löschung erneut hinzugefügt, werden sie von tchop wie neue Nutzende behandelt.
Alternativ kann die AOK NordWest tchop bitten, bestimmte Daten in seinem Auftrag zu löschen. Für diesen Fall verfährt tchop nach einer abgestimmten, allen Mitarbeitenden bekannte Löschroutine. Diese erfolgt in den folgenden drei Schritten und ist zwingend in schriftlicher Form mit dem Auftraggeber abzustimmen:
1. Definition der zu löschenden Daten (dies können einzelne Nutzende oder auch ganze Kanäle bzw. Rubriken sein)
2. Abstimmung des genauen Zeitraums der Löschung (sofort oder zu einem bestimmten Datum)
3. Prüfung der Aufbewahrungspflicht der jeweiligen Daten
In jedem Falle gelöscht werden alle von der AOK übermittelten, personenbezogenen Daten (E-Mail-Adressen, Namen, Funktion) sowie alle damit im Zusammenhang stehenden, erfassten Daten gelöscht nach Ende des Auftrages innerhalb eines Zeitraums von 14 Tagen.
Personenbezogene Daten werden bei tchop grundsätzlich nie gedruckt und liegen demnach in keinem Moment in Papierform vor. Nicht mehr benötigte Notebooks von Mitarbeitern werden vor der Entsorgung in Zusammenarbeit mit der Metall-Innung Berlin (dem Vermieter von tchop) mechanisch durch eine Bohrung im relevanten Speichermedium des Rechners zerstört.
Impressum
Impressum
Verantwortlich für den Inhalt: AOK NeWs-App: Informationen für Mitarbeitende der AOK NordWest
Herausgeber
AOK NordWest - Die Gesundheitskasse
Tom Ackermann
Vorstandsvorsitzender
Dr. Christoph Vauth
Stellvertretender Vorstandsvorsitzender
Iris Kröner
Bevollmächtigte des Vorstands
Horst-Peter Hogrebe
Bevollmächtigter des Vorstands
Redaktion
AOK NordWest - Die Gesundheitskasse
Unternehmensbereich Kunde & Markt
Fachbereich Marketing, Vertrieb und Prävention
Edisonstr. 70
24145 Kiel
Postadresse: 58079 Hagen
Telefon: 0800 2655-505207
E-Mail: NeWsAppTeam@nw.aok.de
Konzept und technische Betreuung
KomPart Verlagsgesellschaft mbH & Co. KG
AG Berlin-Charlottenberg HRA 42140 B
Rosenthaler Str. 31
10178 Berlin
Telefon: 030 22011-103
E-Mail: intro@kompart.de
tchop GmbH
AG Berlin-Charlottenberg HRB 164795 B
Köpenicker Str. 148
10997 Berlin
Telefon: 030 61073148
E-Mail: privacy@tchop.io
Bedingungen zur Nutzung
Die AOK NordWest bietet ihren Mitarbeiterinnen und Mitarbeitern die Mitarbeitenden-App „AOK NeWs“ (nachfolgend auch „Mitarbeitenden-App“ oder „App“ genannt) zur Nutzung an.
Die Mitarbeitenden-App bietet eine integrierte Kommunikationsplattform, die allen Mitarbeitenden des Unternehmens gebündelt und unabhängig von einem Zugang zum firmeninternen Intranet Informationen zur Verfügung stellt. Mit der App ist ein zeit- und ortsunabhängiger Zugriff auf die dort zur Verfügung gestellten Informationen möglich. Dadurch soll die interne Kommunikation verbessert und der Informationsfluss innerhalb des Unternehmens optimiert werden. Die nachfolgend beschriebenen Funktionen werden sukzessive implementiert und stehen nicht alle zur Verfügung.
Nutzung der App
Die Nutzung der Mitarbeitenden-App ist freiwillig. Der passwortgeschützte Bereich der App darf nur von Mitarbeitenden der AOK NordWest genutzt werden. Mitarbeitende erhalten über einen sicheren Sign-Up-Prozess einen personalisierten Zugang. Für den Registrierungsprozess notwendige Informationen werden den Mitarbeitenden der AOK NordWest zur Verfügung gestellt. Die App-Nutzenden dürfen zu keinem Zeitpunkt das Konto oder die Zugangsdaten eines anderen Nutzenden verwenden. Der Zugriff auf die App darf Dritten nicht gestattet oder ermöglicht werden. Die Nutzenden müssen die Redaktion (NeWsAppTeam@nw.aok.de) sofort informieren, wenn der Verdacht einer unberechtigten Nutzung des eigenen Kontos oder eines unberechtigten Zugriffs des eignen Passworts besteht.
Die App kann über das betriebliche oder private Smartphone sowie über die Browser-Version genutzt werden. Es wird empfohlen, das verwendete Smartphone über einen Zugriffscode, Fingerabdruckscan bzw. Face-ID zu schützen. Die Nutzenden sind bei einer Nutzung auf dem privaten Mobiltelefon dafür verantwortlich, dass im eigenen Bereich die technischen Voraussetzungen für den Zugang zur App geschaffen und aufrechterhalten werden, insbesondere hinsichtlich der eingesetzten Hardware, Betriebssystemsoftware sowie der Verbindung zum Internet. Im Falle der Weiterentwicklung der App obliegt es den Nutzenden, nach Information durch den Anbieter die notwendigen Anpassungsmaßnahmen bei dem von ihm eingesetzten privaten Mobiltelefon vorzunehmen. Eine Nutzung der App ist ausschließlich aufgrund dieser Bedingungen zulässig. Diese Nutzungsbedingungen können im Einzelfall durch weitere Bedingungen ergänzt, modifiziert oder ersetzt werden. Durch Aufnahme der Nutzung wird die Geltung dieser Nutzungsbedingungen in ihrer jeweiligen Fassung akzeptiert.
Kennwort und Passwort
Der Nutzername entspricht der dienstlichen E-Mail-Adresse der Mitarbeiterin oder des Mitarbeiters. Die Nutzenden erhalten ein vordefiniertes Passwort. Das Passwort muss beim ersten Login vom Nutzenden geändert werden. Um die Sicherheit des Unternehmensnetzwerkes nicht zu gefährden, darf das Passwort nicht dem Windows-Kennwort entsprechen. Das Kennwort muss mindestens aus 8 Zeichen und zwei Zeichentypen bestehen. Mit Abschluss der Registrierung werden die angegebenen Daten (Name, Vorname und die dienstliche E-Mail-Adresse) in das persönliche Nutzerprofil der App geladen. AOK NordWest erhebt, speichert und nutzt Daten ausschließlich zum Zwecke der Bereitstellung des Angebots. Weitere Information zum Datenschutz, insbesondere Ihre Rechte, finden Sie in der Datenschutzerklärung der App.
Nutzung der App / Vertraulichkeit
Bei den Inhalten im passwortgeschützten Bereich der App handelt es sich um interne Unternehmensinformationen. Die Weitergabe dieser Informationen an Außenstehende ist nicht gestattet. Es gelten die adäquaten Vereinbarungen der Mitarbeitenden der AOK NordWest. Eine Leistungs- und Verhaltenskontrolle durch die AOK NordWest aufgrund der von Nutzenden eingetragenen bzw. nicht eingetragenen Informationen sowie der individuellen App-Nutzung erfolgt nicht.
Pflichten und Verantwortlichkeit
Mit dem Download und der Nutzung der Mitarbeitenden-App verpflichten sich die Mitarbeitenden, dass sie:
- alle Maßnahmen unterlassen, die die Sicherheit und Stabilität der Mitarbeitenden-App gefährden könnten, insbesondere nicht unbefugt Informationen oder Daten abrufen, in die Software der Mitarbeitenden-App eingreifen, in Datennetze des Anbieters eindringen und keine Viren, Trojaner oder sonstigen Schadprogramme übermitteln.
- die Mitarbeitenden-App nur zu den oben beschriebenen Zwecken einsetzen
- im Rahmen der Nutzung der Mitarbeitenden-App nicht gegen Gesetze, Verordnungen oder sonstige Rechtsnormen verstoßen, insbesondere durch Übermittlung oder durch Verlinkung entsprechender Inhalte, die Urheberrechte, Kennzeichenrechte, Persönlichkeitsrechte oder andere Rechte Dritter verletzen oder gegen sonstiges Recht verstoßen,
- Benutzer-IDs und Passwörter sowie sonstige Zugangsdaten geheim zu halten und nicht an unberechtigte Dritte weitergeben,
- durch geeignete und den aktuellen Anforderungen entsprechende Maßnahmen vor dem Zugriff durch Dritte schützen und den internen Ansprechpersonen (die AOK NeWs-App-Redaktion) unverzüglich unterrichten, wenn der Verdacht besteht, dass Benutzernamen oder Passwörter oder sonstige Zugangsdaten nicht berechtigten Personen bekannt geworden sein könnten.
- bei der Einstellung von Informationen durch Nutzende sind die bestehenden dienstlichen Regelungen, insbesondere zur arbeitsrechtlichen Vertraulichkeit, zum Geheimnisschutz und zum Datenschutz zu beachten.
Aktive Teilnahme an der App
Es gibt die Möglichkeit, zu chatten. Im eigenen Profil können Mitarbeitende unter anderem ein aktuelles Profilbild hinterlegen. Stellen Mitarbeitende ein Profilfoto ein, so muss es sich um ein (weitestgehend) aktuelles Profilfoto der jeweiligen Person handeln, auf dem das Gesicht gut zu erkennen ist. Kinderfotos, Comicbilder, Landschaftsaufnahmen ohne eine Person oder ähnliches sind nicht zulässig. Alle Nutzenden müssen das Recht auf die Verwendung des Fotos haben. Für die von Einzelpersonen selbsterstellten Inhalte ist allein und umfassend die Person verantwortlich. Nutzende verpflichten sich, AOK NordWest von sämtlichen Ansprüchen Dritter freizustellen, die aufgrund des hochgeladenen Inhalts gestellt werden. Eine inhaltliche Prüfung der selbsterstellten Inhalte auf ihren Wahrheitsgehalt wird von der AOK NordWest nicht vorgenommen.
Netiquette und Respekt
Alle Nutzenden erklären sich damit einverstanden, andere Meinungen und Ansichten zu respektieren. Beleidigungen, Diffamierungen, üble Nachrede und Ähnliches gegen andere Nutzende oder andere natürliche oder juristische Personen oder Institutionen sind strikt untersagt. Es dürfen keine Inhalte, die beleidigend, belästigend, verleumderisch, hasserregend, gewaltverherrlichend, obszön, in jeglicher Form jugendgefährdend, vulgär, rassistisch, menschenverachtend, diskriminierend, bedrohlich sind oder sonst gegen geltendes Recht in der Bundesrepublik Deutschland oder die guten Sitten verstoßen, veröffentlichen werden. Jegliche gegen vorstehende Verhaltensregeln verstoßende Nutzung stellt einen schweren Verstoß gegen die Nutzungsbedingungen dar. Die AOK NordWest behält sich für diese Fälle das Recht vor, Inhalte, die gegen die Nutzungsbedingungen verstoßen, zu entfernen.
Push-Benachrichtigung
Nutzende der App können über die Push-Funktion über neue Beiträge und Chatmitteilungen informiert werden. Alle Nutzenden können über die Einstellungen (Zahnrad) in der App auswählen, ob die App Push-Nachrichten versenden soll oder nicht.
Abmeldung/ Deaktivierung des Nutzerkontos
Besteht kein Arbeitsverhältnis mehr, so erlischt das Zugangsrecht. Der Zugang zur App wird nach Beendigung des Arbeitsverhältnisses automatisch deaktiviert. Nach Abschluss des Prozesses erhält die Person eine Bestätigung über die erfolgte Abmeldung.
Rechte der AOK NordWest
Die AOK NordWest behält sich das Recht vor, Einträge, die gegen die Nutzungsbedingungen verstoßen, ohne weitere Begründung zu löschen.
Ansprechpersonen
Bei Fragen steht Ihnen die Redaktion (NeWsAppTeam@nw.aok.de) gern zur Verfügung.