1.0 Rechtliche Grundlagen

Die AOK RPS nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst. Wir möchten, dass Sie wissen, wann wir welche Daten speichern und wie wir diese verwenden.

Die AOK RPS berücksichtigt bei der Bereitstellung der Mitarbeitenden-App geltendes Datenschutzrecht auf der Grundlage der EU-Datenschutzgrundverordnung (DSGVO) sowie des Landesdatenschutzgesetzes Rheinland-Pfalz (LDSG RLP), hier insbesondere § 20. 

1.1 Verantwortliche Stelle und Kontaktdaten

Die Interne Unternehmenskommunikation der AOK Rheinland-Pfalz/Saarland gibt Auskunft bei Fragen zur App und deren Anwendung und bearbeitet interne Anfragen zu Funktionen der App.

Kevin Leiner 
Experte Interne Unternehmenskommunikation

Monic Albertie
Expertin Interne Unternehmenskommunikation

AOK Rheinland-Pfalz/Saarland - Die Gesundheitskasse
Vorstandsbereich 
Bahnhofstraße 28-30
66953 Pirmasens

Telefon 06331 802-300  

Kontakt: iuk@rps.aok.de

1.2 Kontaktdaten des Datenschutzbeauftragten

Sie können unseren Datenschutzbeauftragten Michael Eberle unter folgender E-Mailadresse erreichen:

michael.eberle@rps.aok.de

1.3 Kontakt der Beschwerdestelle
Sind Sie der Auffassung, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, haben Sie schließlich das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.  

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Prof. Dr. Dieter Kugelmann
Hintere Bleiche 34
55116 Mainz

Telefon: +49 (0) 6131 8920-0
Telefax: +49 (0) 6131 8920-299
Webseite: https://www.datenschutz.rlp.de/
E-Mail: poststelle(at)datenschutz.rlp.de

1.4 Einsatz von Cookies

Es werden keine Marketing-Cookies verwendet, die Daten erheben und mit anderen Diensten oder Firmen teilen. Es werden nur funktionale Cookies verwendet, die für den Betrieb des Angebots notwendig sind (bspw. damit Nutzende angemeldet bleiben). In den Apps wird das Firebase SDK von Google verwendet, um jedem App Nutzenden lokal eine randomisierte ID zu vergeben. Diese ID wird primär dafür vergeben und genutzt, um dem Nutzenden Push Benachrichtigungen zu senden. Dies ist technisch durch Apple bzw. Google zwingend vorgeschrieben und kann technisch für diesen Zweck nicht umgangen werden.

1.5 Ihre Rechte / Rechte des Betroffenen (Berichtigen, Löschen, Sperren)

Nach der EU-Datenschutz-Grundverordnung haben Sie als Betroffener folgende Rechte:

• Recht auf Auskunft über verarbeitete Daten (Art. 15 EU-DSGVO)
• Recht auf Berichtigung unrichtiger Daten (Art. 16 EU-DSGVO)
• Recht auf Löschung (Art. 17 EU-DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 EU-DSGVO)
• Widerspruchsrecht (Art. 21 EU-DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 EU-DSGVO)
• Bei Datenverarbeitung aufgrund einer Einwilligung besteht das Recht, diese mit Wirkung für die Zukunft jederzeit zu widerrufen.
   

2.0 Datenschutz

Die AOK RPS bietet die Mitarbeitenden App zur exklusiven Nutzung durch ihre Mitarbeitenden an. Die Hausagentur der AOK-Gemeinschaft, der KomPart-Verlag in Berlin, stellt die insideAOK-App im Auftrag der AOK RPS und in Kooperation mit dem technischen Dienstleister tchop zur Verfügung. Die KomPart unterstützt dabei in redaktionellen Prozessen, die Firma tchop leistet den technischen Support. Die AOK RPS bietet die Mitarbeitenden App für mobile – dienstliche wie private – Endgeräte ihrer Beschäftigten an. Darüber hinaus auch eine webbasierte Version, die im Intranet der AOK RPS abrufbar ist.

2.1 Datensicherheit

Alle Systeme, in denen Ihre personenbezogenen Daten (E-Mailadresse, Name, Funktion, Standort, Telefonnummer) gespeichert sind, sind kennwortgeschützt, verschlüsselt und nur einem bestimmten Personenkreis zugänglich. Diesem ist durch strenge Sicherheitsauflagen die Weitergabe der Daten an Dritte untersagt.

2.2 Personenkreis der App-Nutzenden

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien betroffener Personen:

Autorisierte Nutzende

• Nutzende, die von der AOK RPS speziell benannt und autorisiert werden, auf die App zuzugreifen (= AOK-Mitarbeitende)

Autorisierte Administratorinnen und Administratoren

• Nutzende, die von der AOK RPS speziell benannt und autorisiert werden, auf das tchop CMS (Redaktion, App-Management, Administration) und das Backend der App zuzugreifen, beispielsweise Redakteure und Grafiker bei KomPart oder Support bei tchop.

Da es sich um eine App für die interne Unternehmenskommunikation handelt, die ausschließlich über gesteuerte Kanäle für registrierte Nutzende entwickelt wurde, gibt es keine weiteren Nutzenden.

3.0 Datenkategorien

Die AOK RPS übermittelt personenbezogene Daten an tchop. Der Umfang der Daten wird von der AOK RPS bestimmt und kontrolliert. Um die ordnungsgemäße und sichere Nutzung der App zu ermöglichen, benötigt tchop Daten, die im Folgenden erläutert werden:

3.1 Kontakt- und Profilinformationen

• Die Nutzerinnen und Nutzer der App werden per Single Sign On für die webbasierte App freigeschaltet. Das heißt, die Mitarbeitenden melden sich in der webbasierten Variante mit ihrer persönlichen dienstlichen E-Mail-Adresse und ihrem persönlichen dienstlichen Passwort an. Bei diesem Prozess werden über das SSO folgende Informationen automatisch in die App übertragen. Name, E-Mail-Adresse, Standort, dienstliche Telefonnummer, Abteilung und die Position. Darüber hinaus können Nutzende freiwillig eine Biographie/Vita/ Selbstbeschreibung sowie weitere Informationen (Instagram, LinkedIn & Co.) hinterlegen. Diese kann jederzeit von den Nutzenden bearbeitet werden.
• In der mobilen Variante haben die Nutzenden nach Erhalt eines QR-Codes zum Download der App, der durch das Unternehmen AOK RPS an alle Mitarbeitenden verschickt oder auf anderem Wege zugänglich gemacht wird, die Möglichkeit, ein eigenes persönliches Kennwort zu vergeben und die mobile Variante zu nutzen.
• Werden weitere Profilinformationen durch die Nutzenden angelegt, werden diese Daten in keinem Datenverarbeitungsprozess weitergegeben oder genutzt, ohne dass zuvor eine ausdrückliche und individuelle Einwilligungserklärung des oder der Nutzenden durch die AOK RPS eingeholt wurde. Die AOK RPS hat die Kontrolle darüber, welche Daten übermittelt und auch welche angezeigt werden sollen.

3.2 Login-Daten

Die Anmeldung in mobiler App und WebApp erfolgt bei der AOK RPS durch die Authentifizierung gegen das AOK RPS SSO. Für den Login über das AOK RPS SSO werden folgende Daten benötigt:

• Nutzername (ist in der Anmeldemaske nicht gegendert)
• Passwort

Dies sind die gleichen Zugangsdaten, die auch bei dem System-Login am Arbeitsrechner verwendet werden.

3.3 Anmeldedaten (technische Information)

• User-ID
• Datum der Einladung (hinzufügen des/der Nutzenden im Backend)
• Datum der letzten Aktivität, Zeitstempel der letzten Aktivität des Nutzenden.

3.4 Standort

• Standortdaten werden grundsätzlich nicht erfasst oder benötigt. IP-Adressen, die auf Standortkoordinaten hinweisen könnten, werden von tchop nicht gespeichert.

3.5 Kennungen

• Bei der Erstellung eines Nutzendenkontos verknüpft tchop zu Authentifizierungszwecken im tchop CMS eine eindeutige „User-ID“ mit dem Konto. Es wird technisch auch eine „Push-ID“ erfasst, um sicherzustellen, dass Push-Benachrichtigungen an die Geräte der autorisierten Nutzenden gesendet werden. Im Zusammenhang mit der „User-ID“ wird nur die erstmalige und letztmalige Anmeldung gespeichert (siehe „Anmeldedaten“ oben). Weitere Daten werden in Bezug auf diese beiden IDs weder erfasst noch gespeichert.

3.6 Nutzungsdaten (Analytics)

• Das tchop Analytics-Dashboard zeigt nur aggregierte Daten und kann technisch keine Rückschlüsse auf einzelne Nutzende liefern. Für die technische Analyse werden nur randomisierte IDs verwendet.

3.7 Support und Fehlerdiagnose (App User)

• Nutzende können im Falle von technischen Problemen in der App eine E-Mail an den tchop Support schreiben. Mit dieser E-Mail können Daten zum Betriebssystem, der App-Version und dem technischen Endgerät übermittelt werden. Diese Daten dienen der Fehlerdiagnose. Nach der Beantwortung der Support-Anfrage werden diese Daten gelöscht. Die Übermittlung erfolgt freiwillig. 

Die eingesetzte Software erlaubt es unter keinen Umständen, Informationen zu sammeln oder zu verarbeiten, die sich auf den Endgeräten der Nutzenden befinden. Das gilt ausnahmslos für alle digitalen Funktionen oder genutzte Apps und Dienste. 

4.0 Sicherheit

Der technische Betreiber der insideAOK-App, die Firma tchop, hält die beschriebenen Sicherheitsmaßnahmen jederzeit und unbegrenzt aufrecht und kann zusätzliche oder alternative Sicherheitsmaßnahmen durchführen, wobei sichergestellt wird, dass das Sicherheitsniveau der definierten Maßnahmen nicht verringert wird.

tchop wird seine ISO/IEC 27001:2013-Zertifizierung aufrechterhalten. Nutzende können eine Kopie des aktuellen ISO-Zertifikats von tchop auf Anfrage zugeschickt bekommen.

4.1 Pseudonymisierung

tchop verwendet Pseudonyme zur Speicherung nutzer/-innenbezogener Interaktionen, wann immer dies nötig ist. Im tchop CMS wird jedem/r Nutzerin automatisiert eine randomisierte „User-ID“ vergeben. Dies ist eine zehnstellige Zahl, die an anderen Stellen des Systems der technischen Identifikation dient und die gleichzeitig sicherstellt, dass der bzw. die Nutzenden im System (bspw. in technisch notwendigen Protokollierungen hinsichtlich Registrierung und Anmeldung) über diese „User-ID“ repräsentiert wird. tchop erhebt grundsätzlich so wenige personenbezogene Daten wie möglich.

4.2 Nutzungsstatistik

Die AOK RPS stellt den Schutz der Privatsphäre der Nutzenden bei unseren Produkten, unseren Diensten und bei unserer internen Steuerung an oberste Stelle. Das gilt auch für Nutzungsstatistiken, die über ein eigenes Analytics-Dashboard ausgewählten Nutzer/-innen (in der Regel Administration und Redaktion) bereitgestellt werden.

Deswegen stellt der Auftragnehmer tchop Folgendes sicher:

4.2.1  Datenminimierung

Für die Bereitstellung von Statistiken verwendet tchop nur randomisierte Geräte-IDs, die keinen Rückschluss auf einzelne Nutzende ermöglichen, da dies technisch vollständig separiert ist. Eine Verbindung zwischen der „internen User-ID“ und der statistischen Auswertung kann an keiner Stelle hergestellt werden (siehe Punkt 2). tchop erhebt nur die für den einwandfreien Betrieb notwendigen Daten, werten nur die wichtigsten Teile der App-Nutzung aus.

4.2.2 Keine Rückschlüsse auf individuelle Nutzende

Es werden keine individuellen Profile von Nutzenden erstellt und keinerlei Daten erhoben, die einen Rückschluss auf die Aktivitäten einer/s individuellen Nutzenden zulassen. Alle Aktivitäten in der App werden zusammengefasst zu aussagekräftigen Berichten zur allgemeinen Nutzendeninteraktion. So lässt sich auf dem Analytics Dashboard bspw. sehen, wie viele die App wie lange benutzt haben. Es lässt sich aber nicht nachvollziehen, welche Nutzerin oder welcher Nutzer es konkret war.

4.2.3 Drittanbieterdienste für Analytics

Die App Nutzung erfolgt aus Basis eines anonymisierten Auswertungssystems. Dazu verwendet wird die sog. Firebase ID, die jedem App Nutzer mit dem Start der App von dem entsprechenden SDK (Software Development Kit) zugewiesen wird. Diese ID lässt sich zu keinem Zeitpunkt von irgendeinem Beteiligten mit einem echten Nutzer in Zusammenhang bringen. Primär wird diese ID verwendet, um Nutzern Push Benachrichtigungen zukommen zu lassen.

Nach erstmaliger Installation der App wird der Benutzer gefragt, ob er diese Push-Benachrichtigungen erhalten möchte. Dies kann somit vor Erstnutzung bereits abgelehnt werden. Sollte ein Benutzer jedoch zunächst zustimmen, kann diese Zustimmung im Nachgang über die Einstellungen des Mobiltelefons rückgängig gemacht werden. 

Die Rohdaten für die Nutzungsstatistik, die ausschließlich mit anonymisierten Daten arbeitet, werden von tchop selbst erfasst, die dafür notwendigen Auswertungen und Berechnungen wurden selbst entwickelt und bieten ein eigenes Analytics Dashboard, um wertvolle Einblicke in die Inhalte und deren Reichweite und den Erfolg der App zu liefern.

4.2.4 Technische Details zur Datenerfassung der Nutzungsstatistiken

Die Erfassung der Daten erfolgt auf Basis der oben beschriebenen Grundlagen in einer Art und Weise, die die Privatsphäre der Nutzenden umfassend schützt.

Technisch erfolgt dies folgendermaßen:

• In der App erfasst ein Software Development Kit (SDK) die notwendigen Nutzungsdaten; jedem Endgerät wird dazu in der App von dem SDK eine randomisierte, anonyme Geräte-ID vergeben; diese kann technisch nicht mit dem Nutzer bzw. der Nutzerin in Verbindung gebracht werden. Dem SDK sind die Daten der Nutzenden in der App nicht bekannt (auch keine IP-Adresse), es erfolgt kein Datenaustausch und keine Datenübermittlung personenbezogener Daten zwischen App und SDK.
• Das SDK übermittelt die Nutzungsdaten an ein eigenes, vom tchop CMS technisch getrenntes Backend, welches ausschließlich zur Auswertung dieser anonymisierten Nutzungsdaten zur Verfügung steht. Das System hat keinerlei Informationen über personenbezogene Nutzerdaten, sondern führt die Berechnungen nur auf Basis der anonymen Geräte-IDs durch.
• Das Backend mit den Nutzungsdaten stellt eine grafische Benutzeroberfläche zur Verfügung, die eine Auswertung und Analyse der Daten anhand von verschiedenen Werten und Zeitstempeln ermöglicht. Dabei ist kein Rückschluss auf einzelne Nutzende oder Gruppen möglich.

5.0 Details zu den Servern

In den Geschäftsräumen von tchop, KomPart oder der AOK RPS befinden sich keine Server oder andere Dokumentenspeicher, auf denen sich sensible Daten befinden können. Die Daten der Plattform werden auf der Cloud-Infrastruktur von Hetzner Online Gmbh gespeichert. Hetzner Online hat umfassende technische und organisatorische Maßnahmen umgesetzt, die ihre Einrichtungen vor unbefugtem physischem Zutritt schützen. 

Derzeit umfassen die Maßnahmen unter anderem:

• Die Rechenzentren, Server, Netzwerkausstattung und Host-Softwaresysteme (physische Bestandteile des Server Netzwerks) sind in unscheinbaren Gebäuden untergebracht.
• Die Gebäude sind durch physische Sicherheitsmaßnahmen geschützt, um den unberechtigten Zutritt sowohl weiträumig (z. B. Zaun, Wände) als auch in den Gebäuden selbst zu verhindern.
• Der Zutritt zu Server-Standorten wird durch elektronische Zugangskontrollen verwaltet und durch Alarmanlagen gesichert, die einen Alarm auslösen, sobald die Tür aufgebrochen oder aufgehalten wird.
• Die Zutrittsberechtigung wird von einer berechtigten Person genehmigt und innerhalb von 24 Stunden entzogen, nachdem ein Mitarbeiter*in- oder Lieferanten-Datensatz deaktiviert wurde.
• Alle Besucher müssen sich ausweisen und registrieren und werden stets von berechtigten Mitarbeitern*innen begleitet.
• Zutritt zu sensiblen Bereichen wird durch Videoüberwachung überwacht.
• Ausgebildete Sicherheitskräfte bewachen die Rechenzentren und die unmittelbare Umgebung davon 24 Stunden am Tag, 7 Tage die Woche.

6.0 Löschung von Daten/Löschkonzept

tchop bietet verschiedene Maßnahmen zum Abrufen, Korrigieren, Löschen oder Sperren von Daten. Autorisierte Nutzende, d.h. Redakteurinnen und Redakteure sowie Administratorinnen und Administratoren auf Seiten der AOK RPS und KomPart können jederzeit selbst Inhalte oder Nutzende aus dem System entfernen. In diesem Moment werden die personenbezogenen Daten des bzw. der Mitarbeitenden (Name, E-Mail-Adresse und Zeitstempel der letzten Aktivität) auf den entsprechenden Cloud-Services bzw. der Datenbank gelöscht, unleserlich oder unbrauchbar gemacht.

Mit der Löschung dieses Hauptdatensatzes werden auch etwaige Links zu den Daten und deren Kopien gelöscht. Ausgenommen sind verschlüsselte Daten-Backups. In diesen Backups kann der Datensatz für maximal weitere 14 Tage vorhanden sein, bis er auch hieraus durch das nächste automatisierte Backup überschrieben und gelöscht wird.

Eine Weiterverarbeitung dieser Kundendaten nach Löschung ist dann nicht mehr möglich. Werden die Nutzenden mit der gleichen E-Mail-Adresse nach der Löschung erneut hinzugefügt, werden sie von tchop wie neue Nutzende behandelt.

Alternativ kann die AOK RPS tchop bitten, bestimmte Daten in ihrem Auftrag zu löschen. Für diesen Fall verfährt tchop nach einer abgestimmten, allen Mitarbeitenden bekannten Löschroutine. Diese erfolgt in den folgenden drei Schritten und ist zwingend in schriftlicher Form mit dem Auftraggeber abzustimmen:

1. Definition der zu löschenden Daten (dies können einzelne Nutzende oder auch ganze Kanäle bzw. Rubriken sein)
2. Abstimmung des genauen Zeitraums der Löschung (sofort oder zu einem bestimmten Datum)
3. Prüfung der Aufbewahrungspflicht der jeweiligen Daten

In jedem Falle gelöscht werden alle von der AOK übermittelten, personenbezogenen Daten (E-Mail-Adressen, Namen, Funktion) sowie alle damit im Zusammenhang stehenden, erfassten Daten nach Ende des Auftrages innerhalb eines Zeitraums von 14 Tagen gelöscht.

Personenbezogene Daten werden bei tchop grundsätzlich nie gedruckt und liegen demnach in keinem Moment in Papierform vor. Nicht mehr benötigte Notebooks von Mitarbeitenden werden vor der Entsorgung in Zusammenarbeit mit der Metall-Innung Berlin (dem Vermieter von tchop) mechanisch durch eine Bohrung im relevanten Speichermedium des Rechners zerstört.