Datenschutzerklärung CorTes App

Wir, die Medway International GmbH („wir“ oder „uns“), sind bestrebt, die Sicherheit und Integrität Ihrer personenbezogenen Daten in Übereinstimmung mit dem anwendbarem Datenschutzrecht zu wahren.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Diese Datenschutzerklärung gilt für die von uns angebotenen digitalen Dienste, die wir in Kombination mit durch uns freigegebenen Tests anbieten. Diese Dienste werden durch Medway unter der Marke „CorTes“ angeboten (insgesamt „Dienste“).

  1. Verantwortlicher

    Der für die Verarbeitung personenbezogener Daten Verantwortliche ist:

    Medway International GmbH
    Schoppenstehl 15
    20095 Hamburg
    Deutschland
    Mail: info@medway-international.com

  2. Kontaktdaten des Datenschutzbeauftragten des Verantwortlichen

    Unseren Datenschutzbeauftragten erreichen Sie wie folgt:

    Tim Meyer-Schell

    Datenschutzbeauftragter
    Medway International GmbH
    Schopenstehl 15
    20095 Hamburg

    Mail: tms@medway-international.com

  3. Erhebung personenbezogener Daten

    An wen richtet sich die CorTes

    Mit der Entwicklung von CorTes verfolgen wir, die Medway International GmbH, zwei Ziele:

    1. Die Erhöhung der Qualität der durchgeführten Tests durch eine digitale Begleitung des Testvorgangs. Insbesondere die Einhaltung von Warte- und Ablesezeiträumen ist für die Aussagekraft von Antigentests ein entscheidender Faktor
    2. Die Möglichkeit ein Testergebnis freiwillig (dann aber verbindlich) und sicher innerhalb einer App auf einem Smartphone zu speichern und diese Daten durch Vorzeigen des Smartphones durch einen Dritten verifizierbar zu machen. Dies kann zum Beispiel der Eingang eines Schulgebäudes oder eines Konzerthauses sein. Die möglichen Einsatzgebiete sind vielfältig und reichen von Schulen und anderen öffentlichen Einrichtungen bis hin zu Privatfeiern und Sportveranstaltungen.

    Bestandteile von CorTes

    CorTes besteht aus zwei Teilen.

    1. Einem Backend-System der Firma UBIRCH für die Blockchain basierte Verwaltung der durch einen individuellen QR-Code bedruckten Testkassetten und der Bereitstellung der kryptografischen Dienste zur Verifikation von Testergebnissen (nachfolgend „Trust Service“ genannt“)
    2. Einer App für Android und iOS (nachfolgend „CorTes-App“ genannt)

    Welche Daten werden in CorTes verarbeitet

    1. Verarbeitung der Daten durch die Cortes-App

      Registrierung

      Nach der Eingabe Ihres Namens, Vornamens und Geburtstags wird Ihr Smartphone bei den Trust Services registriert.
      Die Registrierung erfolgt mit einem aus der Geräte-ID des Smartphones generierten Schlüssel bei den oben beschriebenen Trust Services.
      Die bei der Registrierung eingegebenen persönlichen Daten werden nur auf dem Smartphone gespeichert. Ein Austausch dieser Daten mit anderen Systemen durch die CorTes-App erfolgt nicht. Die im Rahmen der Registrierung eingegebenen persönlichen Daten werden nicht als solche in externen Systemen verarbeitet.

      Testdurchführung

      Bei der Testdurchführung werden die folgenden Daten verarbeitet.

      • Nummer der Testkassette durch Scannen des aufgedruckten QR-Codes
      • Ergebnis des Tests („positiv“ oder „negativ“). Die Eingabe des Testergebnisses erfolgt durch den Benutzer nach Aufforderung durch die App. Die Eingabe des Testergebnisses ist nicht verpflichtend, ein Test kann abgebrochen werden (Testergebnis „ungültig“).
      • Bild der Testkassette. Die Aufnahme erfolgt durch den Benutzer nach Aufforderung durch die App.

      Das jeweils letzte Testergebnis wird beim Starten der CorTes-App angezeigt, sofern es nicht älter als 24 Stunden ist. Nach 24 Stunden werden alle zum letzten Test gespeicherten Daten gelöscht. Die Registrierungsdaten bleiben aber lokal innerhalb der CorTes-App erhalten.

      Auf explizite Anforderung durch den Benutzer kann das Testergebnis in Form eines QR-Codes dargestellt werden. Dieser QR-Code kann von einer separaten App („Verification-19-App“) gelesen und verarbeitet werden.

      Verifikation

      Ein durch den Benutzer dokumentiertes Testergebnis kann Dritten durch Vorzeigen eines durch die CorTes-App erzeugten QR-Codes zur Überprüfung durch die „Verification-19-App“ lesbar gemacht werden. Die Verification-19-App kann die Authentizität der Daten unter Verwendung der Trust Services durch Kombination von QR-Code für die Identifizierung der Testkassette aus CorTes-App und den anonymisierten Registrierungsdaten, die während der Registrierungsphase von der CorTes App an die Trust Services gesandt worden, die Daten aus der Registrierung (Name, Vorname, Geburtsdatum) durch Anzeige in der CorTes App (keine Weitergabe der personenbezogenen Registrierungsdaten) sowie das Testergebnis verifizieren (Schlüssel/Schloss-Prinzip). Mit diesen Daten ist dann auch eine Verifizierung der Identität z.B. durch Vergleich mit den Daten eines Ausweises möglich. Der Nutzer entscheidet ob und wem er seine Daten preisgibt, sei es durch Vorzeigen des Testergebnisses oder des QR-Codes.

    2. Verarbeitung der Daten durch die Trust Services

      Registrierung bei den Trust Services

      Bei der Registrierung bei CorTes wird aus der Geräte-Id des verwendeten Smartphones zusammen mit statischen Informationen aus der CorTes-App ein eindeutiger Hash-Wert erzeugt unter dem das Gerät bei den Trust Services registriert wird. Alle für die Erstellung des eindeutigen Hash-Wertes verwendeten Daten lassen keinen Rückschluss auf den Benutzer (Betroffener im Sinne der DSGVO) zu. Der Benutzer bleibt anonym.

      Verankerung eines Testergebnisses

      Bei der Produktion der Testkassetten wird für jede Testkassette ein individueller Eintrag in den Trust Services angelegt. Wird ein Testergebnis durch einen Benutzer in die CorTes-App eingetragen (siehe unten), dann wird dieses Testergebnis mit der verwendeten Testkassette verknüpft. Dies geschieht ohne Einbeziehung personenbezogener Daten.

      Alle an die Trust Services übertragenen Daten werden in Form von Hashwerten gespeichert. Um eine größtmögliche Sicherheit der Daten zu erreichen, wird ein die kryptografisch starker SHA-256 Hashwert verwendet, der nach dem aktuellen Stand der Technik als nicht umkehrbar gilt und über eine hohe Kollisionssicherheit verfügt. SHA-256 gehört zu den kryptografischen Algorithmen, die das Bundesamtes für Sicherheit in der Informationstechnik (BSI) in der technischen Richtlinie BSI TR-02102-1 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“, Stand März 2020, empfiehlt.

      Verifikation

      Wie beschrieben, kann aus den Hashwerten nicht auf personenbezogene Daten geschlossen werden. Gleichwohl kann ein in den Trust Services hinterlegter Hash-Wert im Rahmen der Verifikation eines Testergebnisses dazu verwendet werden, die zur Identifikation einer Person mindestens notwendigen Daten (Name, Vorname, Geburtsdatum) sowie das Testergebnis (positiv / negativ) anzuzeigen. Diese Art der Verifikation erfordert die Verwendung einer speziellen App (Verification-19-App), die diesen Mechanismus DSGVO-konform bereitstellt.

      Der Ablauf der Verifikation zwischen Benutzer und Verifizierer ist wie folgt:

      • Der Benutzer öffnet die CorTes-App. Das letzte gültige Testergebnis wird angezeigt
      • Das in der CorTes-App angezeigte Testergebnis zeigt die folgenden Daten an:
        • Name
        • Vorname
        • Geburtsdatum
        • Testdatum und –zeit
        • Bild des Tests (durch den Benutzer im Rahmen des Testvorgangs aufgenommen, siehe unten)
        • Testergebnis (durch den Benutzer im Rahmen des Testvorgangs aufgenommen, siehe unten)
      • Der Benutzer wählt die Funktion zum Anzeigen des Testergebnisses als QR-Code und zeigt diese explizit dem Verifizierer
      • Der Verifizierer scannt den QR-Code mit der Verification-19-App, die die angezeigten Daten sowie einen Verweis zu den Trust Services enthält.
      • Die Verification-19-App kombiniert die Daten aus dem QR-Code mit den Daten aus den Trust Services zusammen mit weiteren nicht persönlichen Daten (umgangssprachlich: einem Geheimnis) um die Daten des Testergebnisses zu rekonstruieren. Die Verification-19-App speichert dieses Daten nur für die Zeit der Anzeige der Testdaten und überträgt diese nicht an andere Systeme. Näheres zur Verification-19-App ist in den dortigen Datenschutzbestimmungen zu finden.

    Wann und wie werden ihre Daten gelöscht

    Sie können ihre in der CorTes-App hinterlegten Daten jederzeit löschen. Sie haben dazu zwei Möglichkeiten:

    1. Durch Aufrufen der entsprechenden Funktion zum Löschen der Daten innerhalb der CorTes-App
    2. Durch Deinstallation der CorTes-App unter Verwendung der jeweiligen Betriebssystemfunktionen von Android oder iOS
  4. Art der verarbeiteten Daten

    Wir können die folgenden Daten über Sie verarbeiten, welche notwendig sind, um die von Ihnen erfassten Testergebnisse zu validieren:

    • Hash-Werte: Diese werden mit dem unter C. beschriebenen Verfahren aus den folgenden Daten erzeugt: Geräte-ID, Name, Vorname, Geburtsdatum, Testergebnis

    Andere Daten werden nicht durch unsere Systeme verarbeitet. Alle persönlichen Daten (Name Vorname, Geburtsdatum, Testergebnis, Test-Bilddokumentation) werden ausschließlich innerhalb der CorTes-App gespeichert. Es erfolgt kein Austausch personenbezogener Daten auf elektronischem Wege mit anderen Apps oder mit sonstigen DV-Systemen.

  5. Sensible Daten nach Art. 9 DSGVO (besondere Kategorien personenbezogener Daten)

    Sensible Daten (z. B. politische Meinungen, Religionszugehörigkeit, genetische oder biometrische Informationen) werden von uns grundsätzlich nicht verarbeitet. Die CorTes-App verwendet personenbezogene Daten ausschließlich zur Anzeige der Daten innerhalb der CorTes-App und zur Erzeugung von Hash-Werten zur Einbindung der Trust Services. Die Offenlegung der personenbezogenen Daten erfolgt nur durch den Benutzer selbst, wenn die Identifikationsdaten und der Hash-Wert für die Identifizierung der Testkassette und das Testergebnis für die Verifikation des durchgeführten Covid19-Test vorgezeigt werden (implizite Zustimmung).

  6. Zwecke der Verarbeitung | Rechtsgrundlage der Verarbeitung | Berechtigte Interessen

    Wir werden Ihre personenbezogenen Daten nur zweckgebunden entsprechend den aufgeführten Rechtsgrundlagen und als solche nur innerhalb der CorTes-App verarbeiten.

    Die folgende Übersicht beschreibt, zu welchen Zwecken und auf welcher Rechtsgrundlage wir Ihre personenbezogenen Daten verarbeiten und – sofern die Verarbeitung auf Art. 6 (1) 1 f) der Datenschutzgrundverordnung (DSGVO) beruht – die berechtigten Interessen für eine solche Verarbeitung:

    Ziff.Verarbeitung und ZweckRechtsgrundlageBerechtigte Interessen
    (2)Erhebung und Speicherung Ihrer Zusätzlichen Eingabedaten (Testergebnis) während Ihrer Nutzung der Applikation „CorTes“Art. 6 (1) 1 b) DSGVO: Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die Applikation „CorTes“n.a.
    (6)Übermittlung Ihrer Funktionalen Daten an Dritte, die Sie von von Ihrem Testergebnis in Kenntnis setzenArt. 6 (1) 1 b) DSGVO: Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die Applikation „CorTEs“n.a.
  7. Empfänger personenbezogener Daten | Dienste Dritter

    Persönliche Daten werden ausschließlich innerhalb der CorTes-App gespeichert. Insofern gibt es keine Empfänger personenbezogener Daten und keine Dienste Dritter.

    Ausnahme bildet hier der Austausch von Daten zwischen CorTes-App und Verification-19-App über einen von der CorTes-App generierten QR-Code. Dies stellt aber kein Austausch personenbezogener Daten zum Zwecke deren Verarbeitung im Sinne der DSGVO dar.

  8. Dauer der Speicherung personenbezogener Daten

    Wir speichern Ihre personenbezogenen Daten ausschließlich innerhalb der CorTes-App für die Dauer, die für die Zwecke, zu denen sie erhoben worden sind, erforderlich ist (hierzu siehe Teil D dieser Datenschutzerklärung).

    Bitte beachten Sie, dass wir Ihre personenbezogenen Daten grundsätzlich nicht in Form von Klardaten, sondern verschlüsselt verarbeiten und dies nur innerhalb der CorTes-App. Diese Daten können Ihnen nicht ohne Ihr Zutun zugeordnet werden.

    Ihre personenbezogenen Daten werden automatisch wie im Folgenden beschrieben gespeichert und anschließend gelöscht:

    1. Funktionale Daten: Bei Löschung der CorTes-App bzw. der Beendigung der zwischen Ihnen und uns geltenden Nutzungsbedingungen wird Ihr in der CorTes-App hinterlegtes Nutzergeheimnis gelöscht. Eine Nutzung der Verifikation ist dann nicht mehr möglich. Kontaktdaten werden nicht erfasst.
    2. Zusätzliche Eingabedaten: Das von ihnen in der App hinterlegte Testergebnis und alle Daten, die durch bzw. im Zusammenhang mit dem Testergebnis generiert werden, werden gemäß den Corona/COVID-19 Infektionsschutzverordnungen nach 1 Tag gelöscht.
  9. Rechte der betroffenen Person

    Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben Sie folgende in der DSGVO vorgesehenen Rechte:

    • Das Recht, eine Aussage darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden und, sofern dies der Fall ist, das Recht auf Auskunft über diese Daten. Diese Auskunft umfasst unter anderem die Verarbeitungszwecke, die Kategorien verarbeiteter personenbezogener Daten und die Empfänger oder Kategorien der Empfänger, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (Art. 15 DSGVO). Bitte beachten Sie, dass die Rechte und Freiheiten anderer Personen Ihr Recht auf Auskunft einschränken können. Wir speichern die Nutzerdaten verschlüsselt, während das Nutzergeheimnis in seiner unverschlüsselten Form grundsätzlich nur im Besitz des Nutzers verbleibt. Daher können wir im Regelfall nicht nachverfolgen, ob personenbezogene Daten einer bestimmten Person im CorTes -System verarbeitet werden. Bitte beachten Sie aber, dass wir alle Daten in einem regelmäßigen Zeitraum aus dem System löschen. Anders als wir selbst, können alle Nutzer der CorTes App in der eigenen Historie und den eigenen Kontaktdaten alle Verarbeitungsformen der erhobenen und verschlüsselt gespeicherten Daten einsehen.

    • Das Recht, die Berichtigung Ihrer personenbezogenen Daten zu verlangen, sofern diese unrichtig oder unvollständig sind (Art. 16 DSGVO). Grundsätzlich können Nutzer ausschließlich selbst ihre Daten in der CorTes App berichtigen oder löschen.

    • Das Recht, unter bestimmten Voraussetzungen zu verlangen, dass Ihre personenbezogenen Daten unverzüglich gelöscht werden (sog. „Recht auf Vergessenwerden“) (Art. 17 DSGVO). Wir speichern unter anderem Daten, die auf den von Ihnen innerhalb der CorTes App hinterlegten Informationen beruhen. Diese Daten werden durch die CorTes App mit Verschlüsselungstechniken gesichert, welche auf Schlüsseln basieren, die grundsätzlich ausschließlich durch die CorTes App auf Ihrem Endgerät gehalten werden. Ohne diese Schlüssel können wir die vorgenannten Daten Ihrer Person im Rahmen einer Verifikation nicht zuordnen und demgemäß nicht löschen. Sofern wir Daten über Sie gespeichert haben, die wir Ihnen zuordnen können oder die nicht auf den von Ihnen innerhalb der CorTes App hinterlegten Informationen beruhen, werden wir diese Daten entsprechend Ihrer Anfrage.

    • Das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen (Art. 18 DSGVO). Wobei ihre personenbezogenen Daten ausschließlich innerhalb der CorTes-App verarbeitet werden und der Umgang mit den Daten nur durch den Nutzer bestimmt

    • Das Recht, in bestimmten Situationen der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, sofern die Verarbeitung auf einem berechtigten Interesse von uns oder eines Dritten gemäß Art. 6 (1) 1 f) DSGVO beruht.

    • Das Recht, eine hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gegenüber uns erteilte Einwilligung jederzeit zu widerrufen. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die bis zu Ihrem Widerruf erfolgt ist. Da wir ihre persönlichen Daten nicht verarbeiten sondern diese nur lokal auf der CorTes-App gespeichert werden widerrufen Sie die Einwilligung der Verarbeitung Ihrer personenbezogenen Daten durch Deinstallation der CorTes-App.

    Bitte beachten Sie, dass wir Ihre personenbezogenen Daten grundsätzlich nur innerhalb der CorTes-App und nicht in Form von Klardaten, sondern verschlüsselt verarbeiten, und wir daher in bestimmten Fällen nicht in der Lage sein werden, einer entsprechenden Aufforderung durch Sie zur Gewährung der vorgenannten Rechte nachzukommen.

    Zur Ausübung dieser Rechte gegenüber uns können Sie sich auch an unseren Datenschutzbeauftragten unter den in Teil B dieser Datenschutzerklärung genannten Kontaktdaten wenden.

    Ungeachtet der vorstehenden Rechte haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde für Datenschutz und Informationsfreiheit, beispielsweise bei dem Hamburger Beauftragten für Datenschutz einzulegen:

    DER HAMBURGISCHE BEAUFTRAGTE FÜR DATENSCHUTZ UND INFORMATIONSFREIHEIT
    Ludwig-Erhard-Str 22, 7. OG
    20459 Hamburg
    E-Mail: mailbox@datenschutz.hamburg.de

  10. Version

    Dies ist die aktuelle Fassung unserer Datenschutzerklärung. Wir behalten uns vor, diese Datenschutzerklärung anzupassen (insbesondere im Falle von Änderungen der Rechtslage oder Änderungen unserer Dienste). Änderungen dieser Datenschutzerklärung werden Ihnen gesondert, ggf. vor Wirksamwerden einer Änderung unserer Dienste mitgeteilt. Es empfiehlt sich gleichwohl, diese Datenschutzerklärung in regelmäßigen Abständen abzurufen.