Datenschutzhinweise für den geschützten Kundenbereich „Meine DAK“ (Meine DAK) einschließlich der Registrierung über das Identity Access Management (IAM)

Im Folgenden informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten bei Nutzung des geschützten Kundenbereichs „Meine DAK“. Mit Meine DAK können Versicherte der DAK-Gesundheit verschiedene Funktionen und Angebote, wie beispielsweise das Einreichen von Dokumenten nutzen. Zudem haben wir und Sie die Möglichkeit miteinander zu kommunizieren, so dass Sie insbesondere Post von der DAK-Gesundheit auf elektronischem Weg erhalten können.

Die Nutzung von Meine DAK setzt eine Digitale Identität (= Benutzerkonto) voraus, die durch das IAM in einem Registrierungsprozess erzeugt und dem Versicherten mit Hilfe der DAK App zur Verfügung gestellt wird.

1. Gemeinsame Datenschutzhinweise für Meine DAK und das IAM

1.1 Verantwortlicher und Datenschutzbeauftragte

Verantwortlicher im Sinne von Art. 4 Nr. 7 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, kurz „DSGVO“) für die Verarbeitung Ihrer personenbezogenen Daten in Meine DAK und IAM ist die:

DAK-Gesundheit
Nagelsweg 27 – 31
20097 Hamburg
Telefon: 040 23648550
E-Mail: service@dak.de

Die von der DAK-Gesundheit benannte Datenschutzbeauftragte erreichen Sie unter der vorgenannten Adresse mit dem Zusatz „Beauftragte für den Datenschutz“ oder unter datenschutz@dak.de.

1.2 Einbindung von Dritten

Wir geben Ihre Daten nicht an Dritte weiter.

Meine DAK und das dazugehörige Identity Access Management System („IAM“) werden von der DAK-Gesundheit in ihren Systemen sowie in den Systemen ihres technischen Dienstleisters, die BITMARCK Unternehmensgruppe, betrieben. Diese Dienstleister werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet die gesetzlichen Datenschutzbestimmungen einzuhalten und agieren wie ein „verlängerter Arm“ der DAK-Gesundheit und sind somit keine Dritte. Es handelt sich um folgende Auftragsverarbeiter:

BMT (BITMARCK Technik GmbH, Hammerbrookstraße 38, 20097 Hamburg)
BMVP (BITMARCK Vertriebs- und Projekt GmbH, Kruppstraße 64, 45145 Essen)
BMSW (BITMARCK Software GmbH, Kruppstraße 64, 45145 Essen)
BMS (BITMARCK Service GmbH, Kruppstraße 64, 45145 Essen)
BMB (BITMARCK Beratung GmbH, Putzbrunner Str. 93, D-81739 München)

1.3 Datenverarbeitung außerhalb der Europäischen Union

Eine Verarbeitung der Daten unserer Versicherten außerhalb der europäischen Union findet nicht statt.

1.4 Betroffenenrechte (Art. 15 ff DSGVO)

Unsere Versicherten haben das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Diesbezüglich können sich unsere Versicherten jederzeit an die DAK-Gesundheit wenden.
Unsere Versicherten haben das Recht auf Berichtigung oder Löschung, oder auf Einschränkung der Verarbeitung im Rahmen der gesetzlichen Vorgaben.
Unsere Versicherten haben ein Widerspruchsrecht gegen die Verarbeitung der personenbezogenen Daten im Rahmen der gesetzlichen Vorgaben.
Unsere Versicherten haben ein Recht auf Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.

1.5 Beschwerderecht bei einer Aufsichtsbehörde

Unsere Versicherten haben das Recht, sich über die Verarbeitung personenbezogener Daten bei einer der folgenden Aufsichtsbehörden zu beschweren.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorferstraße 153, 53117 Bonn
Telefon: +49 (0)228 997799-0
Fax: +49 (0)228 997799-5550
E-Mail: poststelle@bfdi.bund.de

Bundesamt für Soziale Sicherung
Friedrich-Ebert-Allee 38, 53113 Bonn
Telefon: +49 (0)228-619-0
Telefax +49 (0)228619-1870

2. Datenschutzhinweise für das IAM

2.1 Umfang der Datenverarbeitung des IAM

Bei der Erstellung und Nutzung der digitalen Identität werden personenbezogene Daten aus folgenden Datenkategorien unserer Versicherten verarbeitet:

Administrative Krankenversicherungsdaten (z.B. Versichertennummer, Versicherungszeit)
Allgemeine Personendaten (z.B. Name, Anschrift, Geburtsdatum)
Administrative Registrierungsdaten (z.B. Art und Nummer eines amtlichen Ausweisdokuments, Schutzklasse der Identifikation, Passwörter)
Nutzungsdaten (z.B. Zeitpunkt des Logins, Anzahl der Fehlversuche beim Login)
Gerätedaten (z.B. Gerätemodell, Betriebssystemversion)

2.2 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für den IAM Registrierungsprozess ist § 291 Abs. 8 SGB V in Verbindung mit der Richtlinie des GKV-Spitzenverbandes zu Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme nach § 217f Absatz 4b SGB V.

2.3 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten zur Erstellung und Nutzung seiner digitalen Identität.

2.4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.

Zur Löschung der Digitalen Identität (Benutzerkonto) muss ein separater Auftrag erfolgen. Sollte lediglich die Löschung einer digitalen Anwendung (z.B. Meine DAK oder DAK App) angestoßen werden, bleibt die digitale Identität erhalten.

Der Tod des Nutzers führt nicht zu einer automatischen Löschung seiner im IAM gespeicherten Daten. Die Löschung der IAM-Daten nach dem Tod des Nutzers kann nur durch die Bevollmächtigten oder Erben mittels schriftlicher Kündigung unter Nachweis der Erbenstellung bzw. der Bevollmächtigung erfolgen.

2.5 Recht auf Widerruf der Einwilligungserklärung

Die Einwilligungserklärung in die Nutzung der digitalen Identität (IAM) kann jederzeit im geschützten Kundenbereich widerrufen werden.
Bei Widerruf der Einwilligungserklärung zum IAM (digitalen Identität) wird der Zugang zu Meine DAK gesperrt.

2.6 Beschreibung der Services des IAM

2.6.1 Registrierung mittels Erstellung einer digitalen Identität

Zur Anlage einer digitalen Identität muss ein Registrierungsprozess in der DAK App durchschritten werden.

Es werden folgende Daten abgefragt:

Versichertennummer
die letzten 6 Ziffern der Kennnummer der elektronischen Gesundheitskarte (ICCSN)
Postleitzahl
E-Mail-Adresse
Eingabe eines individuellen Passworts (inkl. Wiederholung)

Zusätzlich müssen Sie, als versicherte Person, folgenden Dokumenten zustimmen:

Einwilligungserklärung zum IAM (Einwilligung in die Nutzung des IAM)
Nutzungsbedingungen des IAM

Im Folgenden ist die angegebene E-Mail-Adresse zu verifizieren und die versicherte Person legt den 2. Faktor (selbstständig gewählter App-Code) an, einschließlich der Verknüpfung zwischen App und Gerät (Gerätebindung). Abschließend muss der Prozess zur sicheren Identifizierung durchlaufen werden (Details dazu siehe nächster Abschnitt).

Damit sind die Voraussetzungen für die Nutzung von Meine DAK abgeschlossen. Dies gilt auch für den Registrierungsprozess anderer digitaler Anwendungen (z. B. der DAK App).

2.6.2 Identifizierung – Nachweis der Identität

Um sicherzustellen, dass hinter einer digitalen Identität ein echter, existierender Versicherter steht, muss sich die jeweilige Person identifizieren. Sie muss sich dazu mittels Ihres offiziellen Ausweisdokumentes entweder lokal (beispielsweise in der Geschäftsstelle) oder online als Person ausweisen.

Das IAM bietet für den Vorgang der Identifizierung folgende Verfahren an:

PostIdent
NFC eGK
Aktivierungscode (in der Geschäftsstelle)

Mehr Informationen zu den Identifizierungsverfahren finden Sie unter: www.dak.de/dak-id

2.6.3 Einloggen am Benutzerkonto

Um digitale Anwendungen und Services nutzen zu können, bedarf es einer Anmeldung am Benutzerkonto.

Es werden Daten folgender Kategorien erhoben und verarbeitet:

Administrative Krankenversicherungsdaten (z.B. Versichertennummer)
Administrative Registrierungsdaten (z.B. Passwörter)
Nutzungsdaten (z.B. Zeitpunkt des Logins, Anzahl der Fehlversuche beim Login)

Der Zweck der Verarbeitung dieser Daten ist:

Anmeldung am Nutzerkonto
die Verhinderung eines Missbrauchs unserer Dienste und
die Aufklärung von begangenen Straftaten im Bedarfsfall

Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO i.V. mit § 217f Abs 4b SGB V. In den Zwecken liegt auch unser berechtigtes Interesse an der Verarbeitung. Die Daten werden gelöscht, wenn Sie für die Verarbeitungszwecke nicht mehr erforderlich sind.

Mehr Informationen zur Anlage und Nutzung ihres Benutzerkontos und ihrer damit verbundenen digitalen Identität finden Sie unter: www.dak.de/iam-datenschutzbereich

2.6.4 Fehleranalyse durch einen Fehlerreport versenden

Zur Fehleranalyse und Fehlerbehebung im Rahmen des Registrierungsprozesses für die digitale Identität werden Daten von der DAK-Gesundheit und ihren Dienstleistern im IAM automatisiert und pseudonymisiert gespeichert.

Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.

Es handelt sich um Daten folgender Kategorien:

Gerätedaten (z.B. Gerätemodell, Version des Betriebssystems, Version der App)
Nutzungsdaten (z.B. technische Beschreibung des Fehlers, Zeitpunkt des Fehlers, Session-ID)

3. Datenschutzhinweise für unseren geschützten Kundenbereich Meine DAK

In Meine DAK bieten wir Leistungen und Inhalte ausschließlich für Mitglieder der DAK-Gesundheit an. Zudem haben wir und Sie die Möglichkeit miteinander zu kommunizieren, so dass Sie insbesondere Post von der DAK-Gesundheit auf elektronischem Weg erhalten können.

3.1 Rechtsgrundlagen und Zwecke der Verarbeitung

Der Zweck und die Rechtsgrundlagen für die in Meine DAK stattfindenden Verarbeitung Ihrer personenbezogenen Daten, sind abhängig davon, welchen Service und welche Leistungen Sie in nutzen.

Wenn Sie Services aus dem Bereich Leistungen der Kranken- oder Pflegekasse nutzen – wie z. B. den Antrag auf Hilfsmittel, den Auslandskrankenschein oder Krankengeldangelegenheiten – finden Sie die Informationen zur Verarbeitung Ihrer Daten hier:

Verarbeitung Ihrer Daten | DAK-Gesundheit

Informationen zur Verarbeitung Ihrer Daten, wenn Sie Services aus den Bereichen Mitgliedschaft oder Beitragsfragen nutzen – wie zum Beispiel Beitragserstattungen oder Angelegenheiten der Familienversicherung – finden Sie hier:

Verarbeitung Ihrer Daten gemäß Art. 13 EU-DSGVO | DAK-Gesundheit

Informationen zur Verarbeitung Ihrer Daten, wenn Sie an Werbe- oder Gewinnspielaktionen teilnehmen, finden Sie hier:

Verarbeitung Ihrer Daten gemäß Art. 13 EU-DSGVO | DAK-Gesundheit

2-Faktor-Authentifizierung für bestimmte Dienste

Die Nutzung der Services und Formulare von „Meine DAK“ (im Folgenden: „Gesicherte-Dienste“) ist in der Regel nur nach einer 2-Faktor-Authentifizierung möglich. Die 2-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene für die Gesicherten-Dienste. Mit ihr wird sichergestellt, dass nur Sie auf die Gesicherten-Dienste zugreifen können, auch wenn eine andere Person Ihr Passwort kennt.

Die 2-Faktor-Authentifizierung erfolgt über die DAK App und erhöht das Sicherheitsniveau für die Gesicherten-Dienste durch die Kombination zweier unterschiedlicher, unabhängiger Komponenten.

Eine genaue Beschreibung der 2-Faktor-Authentifizierung und viele weitere Informationen finden sie in den Nutzungsbedingungen für Meine DAK und die DAK App:

Meine DAK und DAK App: Nutzungsbedingungen | DAK-Gesundheit

3.2 Löschen der Daten

Ihre Daten werden so lange gespeichert wie Sie unseren geschützten Kundenbereich „Meine DAK“ nutzen. Wenn Sie Ihre Digitale Identität löschen, wird auch Ihr Kundenbereich Meine DAK mit kurzer Verzögerung nicht mehr funktionsfähig sein.

Ihre Mitgliedschaft bei der DAK-Gesundheit und Ihre von uns im Rahmen unserer gesetzlichen Aufgaben nach dem Sozialgesetzbuch verarbeiteten Sozialdaten sind von der Löschung nicht betroffen.

3.3 Aktualität und Änderung dieser Datenschutzhinweise

Diese Datenschutzhinweise sind aktuell gültig und haben den Stand 1.2.2023. Infolge der Weiterentwicklung dieser App und ihrer Inhalte, aufgrund geänderter gesetzlicher Bestimmungen oder aufsichtsbehördlicher Vorgaben kann es notwendig werden, diese Datenschutzhinweise zu ändern. Die jeweils aktuellen Datenschutzhinweise können jederzeit im Menü unter „Datenschutz“ von Ihnen abgerufen werden.

Aktualisiert am:

07.08.2024