Datenschutzhinweise für die DAK App einschließlich der Registrierung über das Identity Access Management (IAM)

1 Verantwortliche und Datenschutzbeauftragte

Verantwortliche im Sinne von Art. 4 Nr. 7 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, kurz „DSGVO“) für die Verarbeitung Ihrer personenbezogenen Daten in der DAK App ist:

2 Begriffsbestimmungen

2.1 Personenbezogene Daten

Sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). 

2.2 Sozialdaten

Sind personenbezogene Daten (Art. 4 Nr. 1 DSGVO), die von einer in § 35 Sozialgesetzbuch (SGB) I genannten Stelle im Hinblick auf ihre Aufgaben nach dem SGB verarbeitet werden (§ 67 Abs. 2 S. 1 SGB X). 

2.3 Gesundheitsdaten

Sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art. 4 Nr. 15 DSGVO).

3 Verarbeitung Ihrer personenbezogenen Daten in der DAK App

3.1 Download der DAK App

Beim Herunterladen der mobilen App werden die erforderlichen Informationen an den Betreiber des jeweiligen App-Stores übertragen, also insbesondere Benutzername, E-Mail-Adresse, Kundennummer beim App Store und die individuelle Gerätekennung. Auf diese Datenerhebung haben wir keinen Einfluss und sind nicht verantwortlich. Wir verarbeiten die Daten nur, soweit es für das Herunterladen der mobilen App auf Ihr Endgerät notwendig ist.

3.2 Aufruf und Nutzung der DAK App

Bei jedem Aufruf der DAK App werden automatisch Daten und Informationen an den Server unserer App gesendet. Folgende Daten werden hierbei erhoben: 

• Die Client ID erlaubt es den Gerätetyp und dessen Version zu identifizieren. Typen können hierbei iOS App, Android App und Browsername sein.
• Einen Zeitstempel, welcher festhält, wann dieser Eintrag erstellt wurde.
• Einen Log-Level, welcher dazu dient, die Art des Logeintrages zu identifizieren.
• Eine Nachricht, welche eine allgemeine Fehlerbeschreibung oder ein konkretes Fehlerprotokoll enthalten kann.
• Öffentliche IP-Adresse der benutzenden Person, um schädliche Angriffe abzuwehren.
• EKVNR, bei Fehleingaben, um den möglichen Fehler in den Logeinträgen zu identifizieren.

Diese Daten werden auch in sogenannten Logfiles in unserem System temporär gespeichert. Eine dauerhafte Speicherung dieser Daten zusammen mit anderen Ihrer personenbezogenen Daten findet nicht statt. Die dauerhafte Speicherung einer AppID durch das System ist erforderlich, um Ihnen die App zur Verfügung zu stellen. Hierfür muss die AppID für die Dauer der Bereitstellung und Nutzung der App gespeichert bleiben.

Die Speicherung der genannten Daten in Logfiles erfolgt zu den folgenden Zwecken:

• Analyse und Abstellung eventueller technischer Probleme
• Auswertung der Systemsicherheit und -stabilität
• Rückverfolgbarkeit gegen schädliche Angriffe auf das System.

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. b) DSGVO, soweit die Datenverarbeitung für die Zurverfügungstellung der App erforderlich ist. Soweit die Datenverarbeitung für die Auswertung der Systemsicherheit und -stabilität notwendig ist, ist Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Das berechtigte Interesse zur Datenverarbeitung folgt aus dem oben aufgelisteten Zweck der Systemsicherheit und -stabilität. In keinem Fall verwenden wir die erhobenen Daten zu dem Zweck, Rückschlüsse auf Ihre Person zu ziehen.

Die Logfiles werden spätestens nach 30 Tagen gelöscht.

Die vorstehend beschriebene Verarbeitung der Daten und die Speicherung der Daten in Logfiles ist für den Betrieb der App zwingend erforderlich. 

3.3 Funktionen und Angebote in der DAK App: Geschützter Kundenbereich

Im geschützten Kundenbereich verarbeitet die DAK-Gesundheit Sie betreffende personenbezogene Daten einschließlich Gesundheitsdaten (zu den Begriffen Nr. 2).

Mit der DAK App können Versicherte der DAK-Gesundheit verschiedene Funktionen und Angebote, wie beispielsweise das Einreichen von Dokumenten, mobil auf ihrem Smartphone nutzen. Die DAK App kann nur von Versicherten genutzt werden, welche eine Digitale Identität (= Benutzerkonto) besitzen. Fehlt diese, wird diese über das IAM erstellt (siehe ab 3.3.1) und der versicherten Person zur Verfügung gestellt.
Mit der Digitalen Identität können die unterschiedlichen Funktionen und Angebote in der DAK App genutzt werden. Im Rahmen der Anmeldung wird die Digitale Identität der nutzenden Person abgefragt.

3.3.1 Registrierung | Erstellung einer Digitalen Identität

Umfang der Datenverarbeitung des IAM

Bei der Erstellung und Nutzung der digitalen Identität werden personenbezogene Daten aus folgenden Datenkategorien unserer Versicherten verarbeitet:

• Administrative Krankenversicherungsdaten (z.B. Versichertennummer, Versicherungszeit)
• Allgemeine Personendaten (z.B. Name, Anschrift, Geburtsdatum)
• Administrative Registrierungsdaten (z.B. Art und Nummer eines amtlichen Ausweisdokuments, Schutzklasse der Identifikation, selbstgewählter App-Code und Passwörter)
• Nutzungsdaten (z.B. Zeitpunkt des Logins, Anzahl der Fehlversuche beim Login)
• Gerätedaten (z.B. Gerätemodell, Betriebssystemversion)

Rechtsgrundlage für die Datenverarbeitung 

Rechtsgrundlage für den IAM Registrierungsprozess ist § 291 Abs. 8 SGB V in Verbindung mit der Richtlinie des GKV-Spitzenverbandes zu Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme nach § 217f Absatz 4b SGB V. 

Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten zur Erstellung und Nutzung seiner digitalen Identität.

Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. 

Zur Löschung der Digitalen Identität (Benutzerkonto) muss ein separater Auftrag erfolgen. Sollte lediglich die Löschung einer digitalen Anwendung (z.B. DAK ePA App oder DAK App) angestoßen werden, bleibt die digitale Identität erhalten.

Der Tod der nutzenden Person führt nicht zu einer automatischen Löschung ihrer im IAM gespeicherten Daten. Die Löschung der IAM-Daten nach Tod der nutzenden Person kann nur durch die Bevollmächtigten oder Erben mittels schriftlicher Kündigung unter Nachweis der Erbenstellung bzw. der Bevollmächtigung erfolgen. 

Beschreibung der Services des IAM

Registrierung mittels Erstellung einer digitalen Identität

Zur Anlage einer digitalen Identität muss ein Registrierungsprozess in der DAK App durchschritten werden. 

Es werden folgende Daten abgefragt

• Versichertennummer
• die letzten 6 Ziffern der Kennnummer der elektronischen Gesundheitskarte (ICCSN)
• Postleitzahl
• E-Mail-Adresse
• Eingabe eines individuellen Passworts (inkl. Wiederholung)

Zusätzlich müssen Sie, als versicherte Person, folgenden Dokumenten zustimmen:

• Einwilligungserklärung zum IAM (Einwilligung in die Nutzung des IAM)
• Nutzungsbedingungen des IAM

Im Folgenden ist die angegebene E-Mail-Adresse zu verifizieren und die versicherte Person legt den 2. Faktor (selbstständig gewählter App-Code) an, einschließlich der Verknüpfung zwischen App und Gerät (Gerätebindung). Abschließend muss der Prozess zur sicheren Identifizierung durchlaufen werden (Details dazu siehe nächster Abschnitt „Identifizierung – Nachweis der Identität“).

Damit sind die Voraussetzungen für die Nutzung der DAK App, inkl. weiterer digitaler Anwendungen der DAK-Gesundheit abgeschlossen.

Identifizierung – Nachweis der Identität

Um sicherzustellen, dass hinter einer digitalen Identität eine echte, existierende versicherte Person steht, muss sich die jeweilige Person identifizieren. Sie muss sich dazu mittels ihres offiziellen Ausweisdokumentes entweder lokal (beispielsweise in der Geschäftsstelle) oder online als Person ausweisen.

Das IAM bietet für den Vorgang der Identifizierung folgende Verfahren an:

• PostIdent
• NFC eGK
• Aktivierungscode (in der Geschäftsstelle)

Einloggen am Benutzerkonto

Um die digitalen Anwendungen und Services nutzen zu können, bedarf es einer Anmeldung über dem Benutzerkonto. 

Hierzu werden die Krankenversichertennummer und ein selbstgewähltes Passwort benötigt. Um eine sichere Anmeldung zu gewährleisten, wird zum Entsperren der DAK App ein zusätzlicher, selbstgewählter App Code abgefragt.

Fehleranalyse durch einen Fehlerreport versenden

Zur Fehleranalyse und Fehlerbehebung im Rahmen des Registrierungsprozesses für die digitale Identität werden Daten von der DAK-Gesundheit und ihren Dienstleistern im IAM automatisiert und pseudonymisiert gespeichert.

Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.

Es handelt sich um Daten folgender Kategorien:

• Gerätedaten (z.B. Gerätemodell, Version des Betriebssystems, Version der App)
• Nutzungsdaten (z.B. technische Beschreibung des Fehlers, Zeitpunkt des Fehlers, Session-ID)

3.3.2 Nutzung unseres geschützten Kundenbereichs durch Einloggen am Benutzerkonto

In unserer zugangsgeschützten DAK App bieten wir Leistungen und Inhalte ausschließlich für Mitglieder der DAK-Gesundheit an. Zudem haben wir und Sie die Möglichkeit miteinander zu kommunizieren, so dass Sie insbesondere Post von der DAK-Gesundheit auf elektronischem Weg erhalten können.

Im Rahmen der Anmeldung werden Daten folgender Kategorien erhoben und verarbeitet:

• Administrative Krankenversicherungsdaten (z.B. Versichertennummer)
• Administrative Registrierungsdaten (z.B. App-Code und Passwörter)
• Nutzungsdaten (z.B. Zeitpunkt des Logins, Anzahl der Fehlversuche beim Login)

Der Zweck der Verarbeitung dieser Daten ist:

• Anmeldung am Nutzerkonto
• die Verhinderung eines Missbrauchs unserer Dienste und
• die Aufklärung von begangenen Straftaten im Bedarfsfall.

Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO i.V. mit § 217f Abs 4b SGB V. In den Zwecken liegt auch unser berechtigtes Interesse an der Verarbeitung. Die Daten werden gelöscht, wenn Sie für die Verarbeitungszwecke nicht mehr erforderlich sind.

3.3.3 Erforderliche Berechtigungen

Für die Nutzung der DAK App ist es notwendig, dass Sie den Zugriff auf bestimmte Smartphone-Funktionen gewähren, die lokal auf dem Gerät gespeichert werden. Einmalig zu Beginn oder auch erst bei Nutzung der jeweiligen Funktion werden Sie aufgefordert, die entsprechende Zugriffsberechtigung zu erteilen.

Netzwerkzugriff & Netzwerkverbindungen

Die DAK App kann nur mit einer bestehenden Internetverbindung genutzt werden. Dafür ist der Netzwerk-Zugriff erforderlich.

Kamera

Um Dokumente digital und mobil bei der DAK einzureichen, ist der Zugriff auf Ihre systemseitige Kamera notwendig.

Telefonberechtigungen

Bei älteren Android Betriebssystemen (geringer als Version 10) muss der Zugriff auf den Telefonstatus gewährleistet werden. Erklärung: Der Sicherheitsanbieter der DAK-Gesundheit nutzt zur eindeutigen Identifikation die Geräte-ID (IMEI) des Betriebssystems. In der deutschen Übersetzung des Betriebssystems Android wird die entsprechende Berechtigung zum Übertragen dieser Geräte-ID als "Telefonstatus" abgefragt.

Fingerprint / Gesichtserkennung / Geräte-Code

Um den unbefugten Zugriff auf die DAK App zu unterbinden, muss das mobile Endgerät durch ein biometrisches Merkmal (Fingerprint, Gesichtserkennung) oder einen Geräte-Code gesperrt sein.

Push-Benachrichtigungen

Beim iOS Betriebssystem kann die nutzende Person optional den Push-Benachrichtigungen zustimmen. Beim Aufruf von geschützten Daten auf www.dak.de wird eine Freigabe an die DAK App gesendet. Mit der Zustimmung zu den Push-Benachrichtigungen kann dieses Wechselspiel komfortabler genutzt werden, indem eine Benachrichtigung zur Bestätigung an das mobile Endgerät geschickt wird.

Anzeige und Widerruf der erteilten Berechtigungen

Im Menü der DAK App unter "Einstellungen" können Sie jederzeit einsehen, welche Berechtigungen Sie vergeben haben und diese widerrufen. Um die DAK App jedoch vollumfänglich nutzen zu können, müssen Sie den Zugriff auf die oben genannten Smartphone-Funktionen erlauben.

3.3.4 Speicherung von Nutzungsdaten

3.3.4.1 Was sind Nutzungsdaten

Nutzungsdaten sind personenbezogene Daten, deren Verarbeitung erforderlich ist, um die Inanspruchnahme von Funktionen innerhalb der DAK App zu ermöglichen. Nutzungsdaten speichern in der Regel die Inanspruchnahme oder auch den Fortschritt in einzelnen Funktionen und verbessern die Funktionalität für den Nutzer.  Zu den Nutzungsdaten gehören:

• Merkmale zur Identifikation des Nutzers,
• Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
• Angaben über die vom Nutzer in Anspruch genommenen Funktionen.

Rechtsgrundlage für die Verarbeitung Ihrer Nutzungsdaten ist Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Die Daten werden gelöscht, sobald Sie für unsere Aufzeichnungszwecke nicht mehr erforderlich sind.

3.3.4.2 Erhobene Nutzungsdaten

Herzleitfaden

Bei der Nutzung des Herzleitfadens werden die bereits gelesenen Inhaltsseiten gespeichert. Außerdem wird die zuletzt gelesene Inhaltsseite des Nutzers gespeichert.

3.3.5 Einreichen von Formularen und Dokumenten

Sie können uns über die DAK App Formulare und Dokumente mit abrechnungsrelevanten Daten schicken. Es dürfen keine medizinischen Daten an uns gesendet werden. Wir benötigen für die Zurverfügungstellung einiger unserer Services personenbezogene Daten, um diese Services anbieten zu können. Für den Zweck, dass Sie eines dieser Angebote nutzen möchten, verarbeiten wir die für die Zurverfügungstellung des jeweiligen Service notwendigen Daten. Diese gespeicherten Daten werden nur für den jeweiligen Zweck des Service genutzt. 

Zu den Services gehören:

Stammdaten anzeigen und ändern

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• §284 Abs. 1 Satz 1 Nr. 1 SGB V
• i.V. mit § 288 SGB V, 
• für die Adressänderung: § 3 SGB IV und
• für die Bankverbindung § 284 Abs. 1 Satz 1 Nr. 3 und 4 SGB V.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Mitgliedsbescheinigung anfordern

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• Art. § 284 Abs. 1 Satz 1 Nr. 1 SGB V
• i.V. mit Art. § 175 Abs. 1, 3 SGB V
• i.V. mit Abschnitt 12 der Grundsätzlichen Hinweise zum Krankenkassenwahlrecht vom 20.11.2020.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Änderung im Versicherungsverhältnis mitteilen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Satz 1 Nr. 1 SGB V
• i.V. mit § 206 Abs. 1 Nr. 2 SGB V.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Familienversicherung beantragen und beenden

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• Art. § 284 Abs. 1 Satz 1 Nr. 1 SGB V
• i.V. mit § 10 SGB V
• § 94 Abs. 1 Nr. 1
• § 25 SGB XI
• § 2 der Fami-Meldegrundsätze.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

SEPA-Mandat erteilen

Die Daten werden zur Erfüllung unserer Aufgaben nach § 284 Abs. 1 Satz 1 Nr. 3 SGB V und § 94 Abs. 1 Nr. 2 SGB XI zum Zwecke des Beitragseinzugs nach den §§ 20 ff. SGB IV erhoben und verarbeitet, i.V.m. § 252 SGB V, § 11 BVSzGs.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

BAföG-Bescheinigung anfordern

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• §13a BAföG
• i.V.m. § 5 Abs. 1 Nr. 9 oder 10 SGB V
• i.V.m. Art. §284 Abs. 1 Nr. 1 SGB V.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Versicherungsnachweis für Studierende anfordern

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 199a Abs. 2 SGB V
• i.V.m. Grundsätzliche Hinweise Kranken- und Pflegeversicherung der Studenten, Praktikanten und Auszubildenden ohne Arbeitsentgelt sowie Auszubildenden des Zweiten Bildungswegs 
• Tit. 6.2 RdSchr. vom 20.03.2020 – Meldung der Studieninteressierten / Versicherungsnachweis Anlage 1 
• i.V.m. Art. §284 Abs. 1 Satz 1 Nr. 1 SGB V. 

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Neue elektronische Gesundheitskarte anfordern und Foto für die Gesundheitskarte hochladen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• §284 Abs. 1 Nr. 2 SGB V
• i.V.m. § 291 SGB V,
• §291a SGB V.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Patientenquittung anfordern

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Satz 2 SGB V
• i.V.m. § 305 Abs. 1 Satz 1 SG V.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Sozialversicherungsausweis beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 18h Abs. 1 SGB IV sowie die Grundsätze für die Gestaltung und des Verfahrens des Sozialversicherungsausweises nach § 18h Abs. 1 SGB IV,
• Gemeinsames Rundschreiben „Meldeverfahren zur Sozialversicherung“ der Spitzenverbände der Sozialversicherung, 
• § 284 Abs. 1 Nr.1 SGB V. 

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Auslandskrankenschein beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• §284 Abs.1 Nr. 4 und Nr. 10 SGB V
• i.V. mit den bilateralen Sozialversicherungsabkommen sowie den EU-Verordnungen:
• VO (EG) 883/04 und VO (EG) 987/09
• Deutsch-jugoslawisches Abkommen über Soziale Sicherheit (Bosnien-Herzegowina)
• Deutsch-türkisches Abkommen über Soziale Sicherheit (Türkei)
• Deutsch-tunesisches Abkommen über Soziale Sicherheit (Tunesien).

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Leistungen der Pflegeversicherung beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 94 Abs. 1 Nr. 3, 4 SGB XI
• i.V.m. §§ 28 ff. SGB XI.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Krankmeldung einreichen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 4 SGB V
• i.V. mit § 44 SGB V.

Die eingereichten Dokumente werden im Postfach der App angezeigt und unverzüglich gelöscht, sobald die nutzende Person ihren Meine DAK-Account löscht, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Kinderkrankengeld beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 4 SGB V
• i.V. mit § 45 SGB V.

Die eingereichten Dokumente werden im Postfach der App angezeigt und unverzüglich gelöscht, sobald die nutzende Person ihren Meine DAK-Account löscht, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Unfall melden

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 11 SGB V
• i.V.m. Durchsetzung von Ersatzansprüchen nach § 116 SGB X bzw. Erstattungsansprüchen nach §§ 102 ff SGB X.

Die eingereichten Dokumente werden im Postfach der App angezeigt und unverzüglich gelöscht, sobald die nutzende Person ihren Meine DAK-Account löscht, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Von Zuzahlungen befreien lassen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 4 SGB V
• i.V. mit § 62 Abs. 1 SGB V.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Kostenübernahme für MamaPLUS beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• die Satzung der DAK § 19a,
• § 284 Abs. 1 Nr. 4 SGB V,
• i.V. mit § 11 Abs. 6 SGB V,
• § 23 SGB V, § 13 SGB V.

Die eingereichten Dokumente werden im Postfach der App angezeigt und unverzüglich gelöscht, sobald die nutzende Person ihren Meine DAK-Account löscht, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Kostenübernahme für eine Professionelle Zahnreinigung beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 4 SGB V
• i.V. mit § 11 Abs. 6 SGB V
• i.V. mit Satzung der DAK § 19a,
• § 23 SGB V, § 13 SGB V.

Die eingereichten Dokumente werden im Postfach der App angezeigt und unverzüglich gelöscht, sobald die nutzende Person ihren Meine DAK-Account löscht, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Kostenübernahme für Zahnersatz beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 4 SGB V,
• § 13 Abs. 3a SGB V,
• i.V. mit §§ 22, 23 Satzung der DAK-Gesundheit,
• § 27 Abs. 1 Nr. 2 SGB V,
• § 28 SGB V,
• §§ 55,56 SGB V,
• § 57 SGB V,
• § 12 SGB V,
• § 87 Abs. 1a i.V.m. BMV-Z,
• § 91 SGB V,
• § 275 Abs. 2 S. 5 SGB V. 

Kostenübernahme für ein Hautkrebs-Screening beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 4 SGB V
• i.V. mit § 11 Abs. 6 SGB V
• i.V. mit Satzung der DAK § 19a,
• § 23 SGB V, § 13 SGB V. 

Die eingereichten Dokumente werden im Postfach der App angezeigt und unverzüglich gelöscht, sobald die nutzende Person ihren Meine DAK-Account löscht, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Kostenübernahme für Präventionskurse und Online-Coachings beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 4 SGB V
• i.V. mit §§ 11, 13, 20 ff. SGB V
• i.V. mit § 65 a Abs. 1, 1 a, 2 SGB V
• i.V. mit Satzung der DAK § 19a,

Die eingereichten Dokumente werden im Postfach der App angezeigt und unverzüglich gelöscht, sobald die nutzende Person ihren Meine DAK-Account löscht, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Kostenübernahme für eine Osteopathie-Behandlung beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 4 SGB V
• i.V. mit § 11 Abs. 6 SGB V
• i.V. mit Satzung der DAK § 19a,
• § 23 SGB V, § 13 SGB V. 

Die eingereichten Dokumente werden im Postfach der App angezeigt und unverzüglich gelöscht, sobald die nutzende Person ihren Meine DAK-Account löscht, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Kostenübernahme für Kinesiotape und Naturarzneimittel beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• die Satzung der DAK § 19,
• § 284 Abs. 1 Nr. 4 SGB V
• i.V. mit § 11 Abs. 6 SGB V,
• § 23 SGB V, § 13 SGB V.

Die eingereichten Dokumente werden im Postfach der App angezeigt und unverzüglich gelöscht, sobald die nutzende Person ihren Meine DAK-Account löscht, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Fahrkosten erstatten lassen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 4 SGB V 
• i.V. mit § 60 SGB V, § 13 SGB V.

Die eingereichten Dokumente werden im Postfach der App angezeigt und unverzüglich gelöscht, sobald die nutzende Person ihren Meine DAK-Account löscht, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Kieferorthopädische Behandlung: Antrag auf Erstattung der Eigenanteile

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 4 SGB V
• i.V. mit § 28-29 SBG V, § 13 SGB V.

Die eingereichten Dokumente werden im Postfach der App angezeigt und unverzüglich gelöscht, sobald die nutzende Person ihren Meine DAK-Account löscht, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Hilfsmittel beantragen

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 4 SGB V
• i.V. mit §33 SGB V,
• § 11 Abs. 6 SGB V
• i.V.m. §§ 19 f, d der Satzung DAK
• i.V.m. § 13 SGB V.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Teilnahme Bonusprogramm

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 284 Abs. 1 Nr. 1, 4, 13 SGB V
• i.V.m. § 65a Abs. 1, 1a, 2 SGB V
• § 11 Abs. 6 SGB V
• i.V.m. § 25, 26 Satzung der DAK-G
• § 1629 BGB

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Familien-Service

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• §284 SGB V i.V.m. § 67a SGB X (Pflegeversicherung: 94 SGB XI i.V.m. §50 SGB XI)
• §206 SGB V, § 60 SGB I
• §13 i.V.m. §25 i.V.m. §83 SGB X
• §36 SGB I i.V.m. §§ 104, 106, 107 BGB

Für Versicherte mit familienversicherten Kindern, die das 15. Lebensjahr noch nicht vollendet haben, werden (sofern nicht anderweitig hinterlegt) die familienversicherten Kinder automatisch angezeigt. Die hierzu benötigten Informationen werden vom Server der App übermittelt und sind für die Dauer der aktuellen Sitzung in der App verfügbar.

Die Daten sowie der Zugang zum Familien-Service werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind oder sobald das mitversicherte Familienmitglied das 16. Lebensjahr erreicht. Es sei denn, der Löschung stehen gesetzliche Aufbewahrungsfristen entgegen.

Daten, die nicht in den Zuständigkeitsbereich der DAK-Gesundheit fallen oder den Datenschutz Versicherter oder Dritter verletzen, werden im Rahmen der Verarbeitung gelöscht und nicht weiter verarbeitet.

Online-Widerspruch

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 36a Abs. 2 SGB I
• i.V.m. § 84 Abs 1 SGG

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

3.3.6 Kommunikation mit der DAK-Gesundheit

Postfach-Nachrichten der DAK-Gesundheit

Postfach-Nachrichten der DAK-Gesundheit, im Folgenden "DAK-Nachrichten" genannt, sowie deren Anhänge, werden revisionssicher und datenschutzkonform ausschließlich für Sie zugänglich in Ihrem persönlichen Postfach gespeichert. Revisionssicher bedeutet für Sie: Wir als DAK können diese Nachrichten und Anhänge nachträglich nicht mehr ändern oder löschen. Das Löschen obliegt nur Ihnen als Nutzerin oder Nutzer.

Wenn Sie Ihre Mitgliedschaft bei der DAK-Gesundheit kündigen, sorgen jedoch wir für die datenschutzkonforme Löschung Ihres Postfachs.

Für den Betrieb des Nachrichteneingangs werden folgende personenbezogene Daten verarbeitet:

• technische ID des oder der Versicherten
• technische ID einer Nachricht
• Verfasst-Datum einer Nachricht
• Übermittelt-Datum einer Nachricht
• Gelesen-Datum einer Nachricht
• Nachrichtenbetreff und -inhalt
• technische ID eines Nachrichten-Anhangs
• Metadaten eines Nachrichten-Anhangs (Größe, Typ, Bezeichnung)

Die Daten werden verarbeitet, um Ihnen die DAK-Nachrichten inklusive Metadaten in einer übersichtlichen Form im Posteingang bereitzustellen.

Rechtsgrundlage für die Verarbeitung dieser Daten ist:

• Art. §13-15 SGB I
• i V. mit Art. §67 SGB V
• i.V. mit  Art. 6 Abs. 1 S. 1 lit. a) DSGVO
• i.V. mit § 36a SGB I 
• i.V. mit Art. §37 Absatz 2a SGB X

Postfach-Nachrichten an die DAK-Gesundheit, Kontaktformular, Chat und Rückrufservice (durch angemeldete Nutzerinnen und Nutzer)

Wenn Sie durch das Senden einer Postfach-Nachricht mit uns Kontakt aufnehmen, erheben wir folgende Daten:

• Betreffzeile
• Ihre Mitteilung (Freifeld)
• Ihre mit der Nachricht hochgeladenen Anhänge im PDF-Format
• Vorname (automatisch)
• Name (automatisch)
• PLZ (automatisch)
• Versichertennummer (automatisch)
• Technische Informationen (automatisch):
  Gerätetyp
  Betriebssystem
  App Version

Die von Ihnen mitgeteilten Daten werden von uns verarbeitet, um Ihr Anliegen an das zuständige Servicezentrum der DAK-Gesundheit weiterleiten zu können, zu bearbeiten oder Ihre Fragen per Postfach-Nachricht oder per E-Mail zu beantworten.

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist:

• § 13-15 SGB I
• i V. mit § 67 SGB V
• i.V. mit 6 Abs. 1 S. 1 lit. a) DSGVO.

Die dabei angefallenen Daten löschen wir, sobald Ihre Anliegen bearbeitet oder Ihre Fragen beantwortet wurden, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungsfristen bestehen.

Wenn Sie im Menü unter „Kontakt“ über unser Kontaktformular mit uns Kontakt aufnehmen, erheben wir folgende Daten:

• Betreffzeile
• Ihre Mitteilung (Freifeld)
• E-Mail-Adresse
• Vorname (automatisch) 
• Name (automatisch)
• PLZ (automatisch)
• Versichertennummer (automatisch)
• Technische Informationen (automatisch):
  Gerätetyp
  Betriebssystem
  App Version

Die von Ihnen mitgeteilten Daten werden von uns verarbeitet, um Ihr Anliegen an das zuständige Servicezentrum der DAK-Gesundheit weiterleiten zu können, zu bearbeiten oder Ihre Fragen per E-Mail zu beantworten.

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 13-15 SGB I
• i V. mit § 67 SGB V
• i.V. mit 6 Abs. 1 S. 1 lit. a) DSGVO.

Die dabei angefallenen Daten löschen wir, sobald Ihre Anliegen bearbeitet oder Ihre Fragen beantwortet wurden, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungsfristen bestehen.

Kontaktformular, Chat und Rückrufservice (nicht angemeldete Nutzerinnen und Nutzer)

Wenn Sie im Menü unter „Kontakt“ über unser Kontaktformular mit uns Kontakt aufnehmen, erheben wir folgende Daten:

• Betreffzeile
• Ihre Mitteilung (Freifeld)
• Versichertennummer
• E-Mail-Adresse
• Vorname
• Name
• Geburtsdatum
• PLZ
• Technische Informationen (automatisch):
  Gerätetyp
  Betriebssystem
  App Version

Die von Ihnen mitgeteilten Daten werden von uns verarbeitet, um Ihr Anliegen an das zuständige Servicezentrum der DAK-Gesundheit weiterleiten zu können, zu bearbeiten oder Ihre Fragen per E-Mail zu beantworten.

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 13-15 SGB I
• i V. mit § 67 SGB V
• i.V. mit 6 Abs. 1 S. 1 lit. a) DSGVO.

Die dabei angefallenen Daten löschen wir, sobald Ihre Anliegen bearbeitet oder Ihre Fragen beantwortet wurden, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungsfristen bestehen.

3.3.7 Verwendung von Profildaten

Vorsorge

Für die Vorfilterung der Vorsorgeangebote der DAK werden Ihre Profildaten verwendet. Sie können diese Vorfilterung entfernen und jederzeit Widerspruch gegen den Erhalt individueller Angebote einlegen.

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist: 

• § 68b SGB V
• i.V.m. § 284 Abs. 1 S. 1 Nr. 19 SGB V.

Arztsuche

Für die Ausgabe von Ärztinnen und Ärzten in der näheren Umgebung werden Ihre Adressdaten verwendet. Die Rechtsgrundlage für die Verarbeitung dieser Daten ist

• § 305 Abs. 3 SGB V.

3.3.8 Nutzung des Gesundheitscockpits (GeCo)

Mit dem Gesundheitscockpit können Sie Gesundheitsdaten wie z.B. erfolgte Impfungen oder den ermittelten Entbindungstermin manuell in der DAK App eingeben. Auf Grundlage dieser Daten kann die Auftragsverarbeiterin der DAK-Gesundheit, die BITMARCK, Ihnen individuelle Informationen über die DAK App zur Verfügung stellen. Weitere Informationen finden Sie in den Nutzungsbedingungen im Abschnitt „Zusammenarbeit mit Partnern: BITMARCK“ unter „Rechtliches & Zustimmungen“ im Profil der DAK-App.

Wichtig: Die BITMARCK verarbeitet Ihre Daten als Auftragsverarbeiterin der DAK-Gesundheit. Die DAK-Gesundheit hat aber keine Kenntnis von und keinen Zugriff auf Ihre eingegebenen Gesundheitsdaten.

Krankmeldungen

In der DAK App können von Ihnen eingereichte Krankmeldungen und elektronisch von Ihrer Ärztin oder Ihrem Arzt übermittelte Krankmeldungen (eAU) angezeigt werden.

Zur Anzeige von Krankmeldungen in der App werden persönliche Daten inkl. Gesundheitsdaten (Diagnosen) verarbeitet. Die Rechtsgrundlage für die Verarbeitung dieser Daten ist:

• Art. 6 und 9 EU-DSGVO
• § 284 Abs. 1 Nr. 4 SGB V
• i.V.m. § 295 Abs. 1 Nr. 1 SGB V,
• § 109 Abs. 1, 3a, 3b SGB IV,
• § 69 Abs. 4 SGB X

Die Anzeige der Krankmeldungen inklusive Diagnosen und Übermittlungsstatus in der DAK App erfolgt nur nach Ihrer ausdrücklichen Zustimmung.

Ihr Arbeitgeber erhält keine Diagnosedaten von der DAK. Beim Abruf einer elektronischen Krankmeldung (eAU) werden lediglich folgende Daten an den Arbeitgeber übermittelt:

• Ihr Name
• Beginn und Ende Ihrer Arbeitsunfähigkeit
• Datum, an dem die Arbeitsunfähigkeit festgestellt wurde
• Kennzeichen, ob es sich um eine Erst- oder Folgemeldung handelt
• Information, ob es Hinweise darauf gibt, dass es sich bei der Erkrankung um einen Arbeitsunfall handelt oder die Erkrankung die Folge eines (Arbeits-)Unfalls ist.

Anmerkung: Diese Daten entsprechen den Daten, die Ihr Arbeitgeber früher über die Papier-Version in der Ausfertigung zur Vorlage beim Arbeitgeber erhalten hat. Selbstverständlich melden wir Ihrem Arbeitgeber keine Diagnosen und keinerlei Angaben zu Ihrem Arzt oder Ihrer Ärztin.

Die Daten werden gelöscht, wenn sie für die Verarbeitungszwecke nicht mehr erforderlich sind, es sei denn der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen.

Schwangerschaftsbegleitung

Mit der Schwangerschaftsbegleitung unterstützen wir Versicherte bei einer gesunden Schwangerschaft und Geburt. In dem Zusammenhang klären wir Versicherte über die Leistungen und Angebote der Krankenkasse auf. Rechtsgrundlagen für die Schwangerschaftsbegleitung sind:

• §13, §14 und § 15 SGB I
• §284 Abs. 1 Nr. 4 SGB V

Rechtsgrundlage für die Verarbeitung des Entbindungstermins ist die Einwilligung nach Art. 9 Abs. 2 lit. a, Art. 7 DSGVO. Bei dieser Information handelt es sich um Gesundheitsdaten.

Die Verarbeitung des Entbindungstermins erfolgt durch unseren Auftragsverarbeiter BITMARCK. Die DAK hat weder Kenntnis von oder Zugriff auf diese Information. Die Einwilligung ist freiwillig und kann jederzeit in der App unter „Rechtliches & Zustimmungen“ widerrufen werden. Zudem können Versicherte den hinterlegten mutmaßlichen Entbindungstermin innerhalb der App jederzeit selbstständig ändern oder löschen. 30 Tage nach Überschreitung des METs wird dieser automatisiert gelöscht. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt. Wenn Versicherte ihre Einwilligung nicht erteilen, können sie die Schwangerschaftsbegleitung nicht individualisiert nutzen. Sonstige Leistungen der Kranken- und Pflegeversicherung bleiben davon unberührt.

Impfcheck

Im Rahmen des Impfchecks in der DAK App verarbeitet die BITMARCK im Auftrag der DAK-Gesundheit Ihre Sozialdaten (Alter, Geschlecht, PLZ und Bundesland) sowie die selbsteingetragenen Informationen über bereits erfolgte Impfungen (Gesundheitsdaten).

Zweck ist, die Information über fällige Schutzimpfungen und Impfempfehlungen. Die Verarbeitung Ihrer Sozialdaten (Alter, Geschlecht, PLZ und Bundesland) erfolgt hierbei gemäß § 284 Abs. 3 Satz 1 SGB V in Verbindung mit § 20 i Abs. 4 Satz 2 SGB V.

Rechtsgrundlage für die Abfrage Ihres letzten Impftermins ist Ihre freiwillige und ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a), 7,6 Abs. 1 lit. a) DSGVO, § 67 b Abs. 2 SGB X. Sollten Sie Ihre Einwilligung nicht erteilen, können Sie das Angebot des Impfchecks nicht nutzen. Auswirkungen auf sonstige Leistungen Ihrer Kranken- und Pflegeversicherung hat dies jedoch nicht.

Widerruf Impfcheck

Um Ihnen den Widerruf so einfach wie möglich machen zu können, ist Ihre freiwillige Einwilligung für den Impfcheck jederzeit mit Wirkung für die Zukunft formlos im Profil unter "Rechtliches & Zustimmungen" („Profil“ → “Rechtliches“ → „Impfcheck“) widerrufbar. Weitere Widerrufsmöglichkeiten sind unter 4.3. beschrieben.

Speicherdauer und Löschung:

Sie haben jederzeit die Möglichkeit Ihre selbsteingetragenen Gesundheitsdaten innerhalb des Impfchecks zu löschen. Des Weiteren werden Ihre selbsteingetragenen Gesundheitsdaten gelöscht, wenn Sie Ihre Einwilligungserklärung zur Datenverarbeitung widerrufen („Profil“ → “Rechtliches“ → „Impfcheck“). Diese Löschung kann bis zu 36 Stunden dauern. Sollte ein Zugriff auf das Profil in der DAK App nicht mehr möglich sein, so kann der Widerruf Ihrer Einwilligung auch in schriftlicher oder mündlicher Form (zu den Modalitäten Ziffer. 4.3) erfolgen.

Bei Beendigung der Mitgliedschaft werden Ihre Daten spätestens nach Ablauf von 6 Monaten automatisch gelöscht. Eine Deinstallation der DAK App geht nicht mit einer Löschung Ihrer selbsteingetragenen Gesundheitsdaten einher. Informationen zu Ihren Betroffenenrechten, insbesondere Ihres Widerrufrechts, entnehmen Sie bitte Ziffer 4.
 

3.3.9 Individuell geeignete Produktangebote

In der DAK App können Produktangebote erscheinen, die eine individuell geeignete Versorgungsleistung darstellen. Die Berechnung des jeweiligen individuellen Angebots geschieht auf der Basis der rechtmäßig erhobenen versichertenbezogenen Daten über den Versicherten.

Die Rechtsgrundlage für die Verarbeitung dieser Daten ist:

• § 68b SGB V
• i. V. mit § 284, Abs. 1 SGB V

Nutzer/innen haben jederzeit die Möglichkeit, über das Nutzerprofil dem Erhalt von individuell geeigneten Produktangeboten zu widersprechen.

3.4 Analyse des Nutzungsverhaltens

Um die DAK App weiterzuentwickeln, analysieren wir das Nutzungsverhalten mit Hilfe von anonymisierten Daten.

Folgende Daten werden erhoben:

• Besuchte Screens
• Angetippte Buttons
• Betriebssystem
• Geräte-Modell
• Geräte-Hersteller
• Geographie (Land, Region, Stadt)
• Internet-Anbieter
• Systemsprache
• IP-Adresse

Die IP Adresse wird in anonymisierter Form gespeichert, indem das letzte Oktett gelöscht wird. Mit Hilfe der anonymisierten Daten können Nutzerprofile erstellt werden, die uns Aufschluss darüber geben, welche Inhalte in unserer App in welchem Umfang genutzt werden und für Sie besonders interessant sind. Mit den Technologien der MAPP Digital c/o Webtrekk GmbH, Robert-Koch-Platz 4, 10115 Berlin, verarbeiten wir personenbezogene Daten zu Marketing- und Optimierungszwecken. 

Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Das berechtigte Interesse an der Datenverarbeitung ergibt sich aus benannten Marketing- und Optimierungszwecken. Die Daten werden gelöscht, sobald Sie für unsere Aufzeichnungszwecke nicht mehr erforderlich sind. 

Im Menü der DAK App unter "Datenschutz" können Sie der Datenerhebung und -speicherung jederzeit mit Wirkung für die Zukunft widersprechen.

3.5 Einsatz von Cookies (technisch notwendige und technisch nicht notwendige)

3.5.1 Was sind Cookies?

Wir verweisen in der App zum Teil auf Webinhalte von dak.de, die in so genannten WebViews, also systemspezifischen Browsern, angezeigt werden. Diese Webinhalte verwenden (technisch notwendige und technisch nicht notwendige) Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf Ihrem Computersystem gespeichert werden. Rufen Sie eine WebView auf, so kann ein Cookie auf dem Betriebssystem des Nutzers gespeichert werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung beim erneuten Aufrufen der WebView ermöglicht. Man unterscheidet dabei zwischen Session Cookies, die Informationen nur einmal für die Dauer des Besuchs speichern und permanenten Cookies, die eine längere Lebenszeit haben.

3.5.2 Technisch notwendige Cookies

Wir verwenden Cookies, um die WebViews nutzerfreundlicher zu gestalten. Diese Cookies sind technisch notwendige Cookies. Siehe auch unsere Übersicht aller Cookies.

In diesen Cookies werden dabei folgende Daten verarbeitet:

• Geräte Informationen,
• Browser-Information,
• Anonymisierte IP-Adresse,
• Opt-in- und Opt-out-Daten,
• Datum und Uhrzeit des Besuchs,
• Fordern Sie URLs der Webseite an,
• Seitenpfad der Webseite,
• Geografischer Standort.

Da die Datenverarbeitung für die zur Verfügung Stellung der WebViews erforderlich ist, ist die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung technisch notweniger Cookies Art. 6 Abs. 1 lit. b. DSGVO.

Die meisten Browser sind so konfiguriert, dass sie Cookies automatisch akzeptieren. Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere dak.de deaktiviert, können möglicherweise nicht mehr alle Funktionen der WebView vollumfänglich genutzt werden. Diese gespeicherten Informationen werden getrennt von eventuell weiter bei uns angegeben Daten gespeichert. Insbesondere werden die Daten der Cookies nicht mit Ihren weiteren Daten verknüpft.

3.5.3 Optionale Funktionen, Statistik, Personalisierung und Marketing

Wir verwenden in unseren WebViews darüber hinaus Cookies, die eine Analyse Ihres Surfverhaltens innerhalb der in den WebViews gezeigten Unterseiten von dak.de ermöglichen. Wir verwenden auf unserer Website darüber hinaus Cookies, die eine Analyse Ihres Surfverhaltens ermöglichen, sogenannte Analysedienste. Wir setzen Dienste für digitale Werbetechnologien, Werbeanalysen oder Statistikdienste ein. Die Dienste sind auf dak.de unter den DAK-Datenschutz-Einstellungen aufgelistet.

Cookie-Einstellungen

Wenn wir mehr als technisch notwendige Cookies laden wollen, erfolgt dies ausschließlich auf Grundlage Ihrer Einwilligung. 

Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Das berechtigte Interesse an der Datenverarbeitung ergibt sich aus benannten Marketing- und Optimierungszwecken.

Die Daten werden gelöscht, sobald Sie für unsere Aufzeichnungszwecke nicht mehr erforderlich sind. 

4 Ihre Rechte gegenüber der DAK-Gesundheit

Werden in dieser App personenbezogene Daten von Ihnen verarbeitet, sind Sie betroffene Person gem. Art. 4 Nr. 1 DSGVO. Ihnen stehen folgende Rechte gegenüber uns als dem Verantwortlichen zu:

4.1 Recht auf Auskunft, Berichtigung, Löschung und Einschränkung und Datenübertragbarkeit

Sie haben ein Recht auf Auskunft, also eine Bestätigung darüber, ob personenbezogene Daten, die Sie betreffen, verarbeitet werden und wenn ja, Auskunft darüber, sowie ein Recht auf Berichtigung, Einschränkung oder Löschung dieser Daten. Sie sind unter bestimmten Voraussetzungen berechtigt, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen. 

Gegebenenfalls werden diese Rechte allerdings durch andere Rechtsvorschriften, denen der Verantwortliche unterliegt (z.B. gesetzliche Aufbewahrungspflichten) eingeschränkt. 

4.2 Recht auf Widerspruch

4.3 Recht auf Widerruf Ihrer Einwilligung

Die Einwilligungserklärungen in die Nutzung der digitalen Identität (IAM) und in die Einrichtung und Datenspeicherung der DAK App können jederzeit separat widerrufen werden.

Dabei bleibt bei Widerruf der DAK App die digitale Identität bestehen. Die DAK App kann nicht mehr genutzt werden, bis den Nutzungsbedingungen erneut zugestimmt wird.

Auch bei Widerruf der digitalen Identität kann die DAK App nicht mehr genutzt werden, bis den Nutzungsbedingungen erneut zugestimmt wird. 

In allen Fällen kann der Widerruf gegenüber der DAK-Gesundheit schriftlich, mündlich oder auf elektronischem Weg über die DAK App ohne Angabe von Gründen erklärt werden.

Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt.

4.4 Recht auf Übertragbarkeit Ihrer Daten

Sie sind unter bestimmten Voraussetzungen berechtigt, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen. 

4.5 Beschwerde bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen das Datenschutzrecht verstößt, können Sie sich auch an die Datenschutz-Aufsichtsbehörde wenden

Bundesbeauftragte/r für Datenschutz und die Informationsfreiheit

Graurheindorfer Straße 153

53117 Bonn 

Bundesamt für Soziale Sicherung (BAS)

Friedrich-Ebert-Allee 3853113 Bonn

5 Datensicherheit

Wir verwenden das SSL-Verfahren (Secure Socket Layer) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe. 

Wir unterhalten aktuelle technische und organisatorische Sicherheitsmaßnahmen zur Gewährleistung der Sicherheit der Verarbeitung, um Ihre Daten insbesondere gegen Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden, zu schützen. Diese Sicherheitsmaßnahmen werden dem aktuellen Stand der Technik, dem Schutzbedarf der personenbezogenen Daten und den Risiken für Ihre Rechte und Freiheiten angepasst.

6 Einbindung von Dritten

Wir geben Daten unserer Versicherten grundsätzlich nicht an Dritte weiter. 

Die DAK App und das dazugehörige Identity Access Management System („IAM“) werden von der DAK-Gesundheit in ihren Systemen sowie in den Systemen ihres technischen Dienstleisters betrieben. Empfänger der Daten ist daher ausschließlich unser Dienstleister, die BITMARCK Unternehmensgruppe. Diese Dienstleister werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet die gesetzlichen Datenschutzbestimmungen einzuhalten und agieren wie ein „verlängerter Arm“ der DAK-Gesundheit und sind somit keine Dritte. Es handelt sich um die nachfolgenden Empfänger:

• BMT (BITMARCK Technik GmbH, Hammerbrookstraße 38, 20097 Hamburg)
• BMVP (BITMARCK Vertriebs- und Projekt GmbH, Kruppstraße 64, 45145 Essen)
• BMSW (BITMARCK Software GmbH, Kruppstraße 64, 45145 Essen)
• BMS (BITMARCK Service GmbH, Kruppstraße 64, 45145 Essen)
• BMB (BITMARCK Beratung GmbH, Putzbrunner Str. 93, D-81739 München)

7 Datenverarbeitung außerhalb der Europäischen Union

Eine Verarbeitung der Daten unserer Versicherten außerhalb der europäischen Union findet nicht statt.

8 Aktualität und Änderungen dieser Datenschutzhinweise

Diese Datenschutzhinweise sind aktuell gültig und haben den Stand 19. Februar 2024. Infolge der Weiterentwicklung dieser App und ihrer Inhalte, aufgrund geänderter gesetzlicher Bestimmungen oder aufsichtsbehördlicher Vorgaben kann es notwendig werden, diese Datenschutzhinweise zu ändern. Die jeweils aktuellen Datenschutzhinweise können jederzeit im Menü unter „Datenschutz“ von Ihnen abgerufen werden.

English Version

Privacy Notice for the DAK app, including registration via the Identity Access Management (IAM)

1 Controllers and Data Protection Officers

The controller within the meaning of Art. 4 (7) of Regulation (EU) 2016/679 (General Data Protection Regulation, shortly “GDPR”) for the processing of your personal data in the DAK app is

2 Personal data and social data

2.1 Personal data

Personal data means all information relating to an identified or identifiable natural person (Art. 4, No. 1 of GDPR).

2.2 Social data

means personal data (Art. 4, No. 1 of GDPR) which are processed by a body referred to in Sec. 35 of the Sozialgesetzbuch (German Social Security Code – SGB) [volume] I with regard to its tasks under the SGB (Sec. 67 (2), sentence 1 of the SGB X).

3 Processing of your personal data in the DAK app

3.1 Download of the DAK app

When downloading the mobile app, the required information will be transmitted to the operator of the respective app store, i.e. in particular the user name, e-mail address, customer number at the App Store and the individual device identifier. We have no influence on and are not responsible for such data collection. We only process the data insofar as it is necessary for downloading the mobile app to your terminal device.

3.2 Access to and use of the DAK app

Every time the DAK app is called, data and information will be automatically sent to the server of our app. The following data is collected in this process:

• A client ID. The client ID allows for the identification of the device type and its version. Types can be iOS app, Android app and browser name.
• A time stamp recording when this entry was created.
• A log level used to identify the type of log entry.
• A message which might contain a general error description or a specific error log.
• Public IP address of the user to defend against malicious attacks.
• EKVNR, in case of incorrect inputs, to identify the possible error in the log entries.

This data will also be temporarily stored in so-called log files in our system. Such data will not be stored permanently together with any of your other personal data. The permanent storage of an AppID by the system is required in order to make the app available to you. To do this, the AppID must remain stored for the period in which the app is provided and used.

The aforementioned data is stored in log files for the following purposes:

• Analyzing and resolving any technical issues
• Evaluating system security and stability
• Traceability against malicious attacks on the system.

The legal basis for the data processing is point b of Art. 6 (1), sentence 1 of GDPR, insofar as the data processing is necessary for providing the app. Insofar as data processing is necessary for the evaluation of system security and stability, the legal basis is point f of Art. 6 (1), sentence 1 of GDPR. The legitimate interest for data processing arises from the purpose of system security and stability as listed above. Under no circumstances do we use collected data to draw conclusions regarding your person.

The log files will be erased after 30 days.

The above-described processing and storage of the data in log files is absolutely necessary for the operation of the app.

3.3 Functions and offers in the DAK app: Protected Customer Area

Insured persons of DAK-Gesundheit may use the DAK app for various functions and offers, such as for submitting documents online via their smartphone. 

In the protected customer area, DAK–Gesundheit processes personal data concerning you, including your health data (see Terms, No. 2).

The DAK app can only be used by insured persons who have a Digital Identity (= user account). If such a Digital Identity is not available, it can be created via the IAM (see from 3.3.1) and will be made available to the insured person. The various functions and offers available in the DAK app can be used through the Digital Identity. The Digital Identity of the user will be queried during the registration process.

3.3.1 Registration | Creating a Digital Identity

Scope of IAM data processing

When creating and using the Digital Identity, personal data from the following data categories of our insured persons will be processed:

• Administrative health insurance data (e.g. insurance number, insurance period)
• General personal data (e.g. name, address, date of birth)
• Administrative registration data (e.g. type and number of an official ID document, identification protection class, self-created app code and passwords)
• Usage data (e.g. time of login, number of failed attempts during login)
• Device data (e.g. device model, operating system version)

Legal basis for data processing

The legal basis for the IAM registration process is Sec. 291 (8) of the SGB V in conjunction with the Directive of the GKV-Spitzenverband [German National Association of Statutory Health Insurance Funds] on measures for the protection of social data of insured persons against unauthorized disclosure in accordance with Sec. 217f (4b) of the SGB V.

Purpose of data processing

The purpose of the data processing is the legally secure identification of the insured person for the creation and use of their Digital Identity.

Duration of the storage

The data will be erased as soon as they are no longer required for achieving the purpose of its original collection and there are no longer any retention obligations.

A separate order must be given to erase the Digital Identity (user account). If only the erasure of a digital application (e.g. DAK ePA app or DAK app) is initiated, the Digital Identity will remain intact.

The death of the user will not result in the automatic erasure of their data stored in the IAM. The erasure of the IAM data after the death of the user can only be carried out by the authorized representatives or heirs by written termination with proof of their status of heir or the authorized representative.

Description of the IAM services

Registration through creation of a Digital Identity

A registration process must be completed in the DAK app in order to create a Digital Identity.

The following data will be requested

• Insurance number
• The last 6 digits of the identification number of the electronic health card (ICCSN)
• Post code
• E-mail address
• Entering an individual password (including its repetition)

In addition, you, as an insured person, must give your consent to the following documents:

• Declaration of consent to the IAM (consent to the use of the IAM)
• Terms of Use of the IAM

Subsequently, the e-mail address provided must be verified and the insured person will create the 2nd Factor (self-selected app code), including the link between app and device (device link). Finally, the process of a secure identification must be completed (for details, see the next section “Identification – proof of identity”).

Then, the preconditions for using the DAK app, including other digital applications of DAK-Gesundheit, will be met.

Identification – proof of identity

To ensure that a Digital Identity is backed by a real, existing insured person, the person must identify themselves. To do so, they must identify themselves as a person either locally (for example in the office of the health insurance) or online by means of their national ID card.

The IAM offers the following procedures for such identification process:

1. PostIdent
2. NFC eGK
3. Activation Code (in the office of the health insurance)

Login to the user account

In order to use the digital applications and services, you need to login to your user account.

For this purpose, you need the health insurance number and a self-selected password. In order to ensure a secure login, an additional, self-selected app code is queried to unlock the DAK app.

Sending an error analysis through an error report

For the purpose of error analysis and troubleshooting in the context of the registration process for the Digital Identity, data from DAK-Gesundheit and its service providers will be stored in the IAM in an automated and pseudonymized manner.

These transmitted data will be analyzed exclusively for troubleshooting purposes.

The data in question belong to the following categories:

• Device data (e.g. device model, version of the operating system, version of the app)
• Usage data (e.g. technical description of the error, time of the error, session ID)

3.3.2. Use of our protected customer area by logging in to the user account

In our access-protected DAK app, we offer services and content exclusively for members of DAK-Gesundheit. In addition, we and you are given the option to communicate with each other so that you can receive mail from DAK-Gesundheit, in particular, by electronic means.

Within the framework of the registration, data of the following categories will be collected and processed:

• Administrative health insurance data (e.g. insurance number)
• Administrative registration data (e.g. app code and passwords)
• Usage data (e.g. time of login, number of failed attempts during login)

The purpose of the processing of these data is:

• Login to the user account
• Preventing any abuse of our services; and
• Investigating any criminal offenses committed, in case of need.

The legal basis for the processing of this data is point f of Art. 6 (1), sentence 1 of GDPR in conjunction with Sec. 217f (4b) of the SGB V. Our legitimate interest in the processing is also connected with these purposes. The data will be erased if such is no longer necessary for the purposes of the processing.

3.3.3 Required permissions

To use the DAK app, it is necessary that you grant access to certain smartphone functions that are stored locally on the device. You will be asked to grant the appropriate access authorization once at the beginning or only when using the respective function.

• Network access and network connections: The DAK app can only be used with an internet connection. This requires network access.
• Camera: Access to your system-side camera is necessary to submit documents digitally and mobile to the DAK.
• Phone permissions: Access to the phone status must be guaranteed for older Android operating systems (lower than version 10). Declaration: The DAK-Gesundheit Security Provider uses the Device ID (IMEI) of the operating system for unique identification. In the German translation of the Android operating system, the corresponding authorization to transmit this device ID is requested as “phone status”.
• Fingerprint / facial recognition / device code: In order to prevent any unauthorized access to the DAK app, the mobile device must be blocked by a biometric feature (fingerprint, facial recognition) or a device code.
• Push notifications: For the iOS operating system, the user can optionally agree to push notifications. When accessing protected data on www.dak.de, an approval is sent to the DAK app. This interplay can be used more conveniently if users give their consent to push notifications, so that a notification will be sent to the mobile terminal for confirmation.

Display and withdrawal of granted authorizations

You can see, at any time, which permissions you have assigned and withdrawn in the menu of the DAK app under “Settings”. However, in order to be able to use the DAK app to its full extent, you must allow access to the abovementioned smartphone functions.

3.3.4 Storage of usage data

3.3.4.1 What are usage data

Usage data are personal data that must be processed to enable the use of functions within the DAK app. Usage data generally stores the use or progress in individual functions and improves the functionality for the user.

Usage data includes:

• Characteristics to identify the user;
• The start and end dates and the scope of the respective use; and
• Information on the functions used by the user.

The legal basis for processing your usage data is point a of Art. 6 (1), sentence 1 of GDPR. The data will be erased as soon as it is no longer necessary for our recording purposes.

3.3.4.2 Usage data collected

Cardiac companion

When using the cardiac companion, any of the contents of pages you have already read will be stored. In addition, the contents of the last page read by the user will be stored.

3.3.5 Submitting forms and documents

You can send us forms and documents with billing-relevant data via the DAK app. No medical data must be sent to us. In order to provide some of our services, we need personal information. For the purpose of you wanting to use one of these offers, we process the data necessary for the provision of the respective service. This stored data will only be used for the respective purpose of the service.

The services include:

Displaying and changing master data

The legal basis for processing this data is

• Sec. 284 (1), sentence 1, No. 1 of the SGB V
• in conjunction with Sec. 288 of the SGB V;
• for the change of address: Sec. 3 of the SGB IV; and
• for the bank account Sec. 284 (1), sentence 1, No. 3 and 4 of the SGB V.

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Requesting the membership certificate

The legal basis for processing this data is

• Sec. 284 (1), sentence 1, No. 1 of the SGB V
• in conjunction with Sec. 175 (1), (3) of the SGB V
• in conjunction with Section 12 of the Grundsätzliche Hinweise zum Krankenkassenwahlrecht (Basic Notes on the Right to Freely Choose a Health Insurance) of 20/11/2020.

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Reporting changes in the insurance relationship

The legal basis for processing this data is

• Sec. 284 (1), sentence 1, No. 1, of the SGB V
• in conjunction with Sec. 206 (1), No. 2 of the SGB V.

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Applying for and terminating a family co-insurance

The legal basis for processing this data is

• Sec. 284 (1), sentence 1, No. 1 of the SGB V
• in conjunction with Sec. 10 of the SGB V
• Sec. 94 (1), No. 1
• Sec. 25 of the SGB XI
• Sec. 2 of the Fami-Meldegrundsätze (Family Reporting Principles).

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Granting a SEPA mandate

The data are collected and processed for the purpose of fulfilling our tasks under Sec. 284 (1), sentence 1, No. 3 of the SGB V and Sec. 94 (1), No. 2 of the SGB XI, for the purpose of collecting premiums in accordance with Sections 20 et seq. of the SGB IV, in conjunction with Sec. 252 of the SGB V, Sec. 11 of the BVSzGs [Principles for assessing premiums of voluntarily insured persons].

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Requesting a BAföG (student grant) certification

The legal basis for processing this data is

• Sec. 13a of the BAföG (German Act on individually supporting students)
• in conjunction with Sec. 5 (1), No. 9 or 10 of the SGB V
• in conjunction with Sec. 284 (1), No. 1 of the SGB V.

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Requesting proof of insurance for students

The legal basis for processing this data is

• Sec. 199a (2) of the SGB V
• in conjunction with the Grundsätzliche Hinweise Kranken- und Pflegeversicherung der Studenten, Praktikanten und Auszubildenden ohne Arbeitsentgelt sowie Auszubildenden des Zweiten Bildungswegs [General information on health and care insurance for students, trainees and apprentices not receiving pay as well as apprentices in second-chance education]
• Tit. 6.2 of the circular letter of 20/03/2020 – Meldung der Studieninteressierten / Versicherungsnachweis Anlage 1 [Notification of those interested in studying/proof of insurance Appendix 1]
• in conjunction with Sec. 284 (1), sentence 1, No. 1 of the SGB V.

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Requesting a new electronic health card and uploading a photo for such health card

The legal basis for processing this data is

• Sec. 284 (1), No. 2 of the SGB V
• in conjunction with Sec. 291 of the SGB V,
• Sec. 291a of the SGB V.

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Requesting a patient receipt

The legal basis for processing this data is

• Sec. 284 (1), sentence 2 of the SGB V
• in conjunction with Sec. 305 (1), sentence 1 of the SGB V.

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Applying for a social security card

The legal basis for processing this data is

• Sec. 18h (1) of the SGB IV and the principles governing the design and procedure of the social security card pursuant to Sec. 18h (1) of the SGB IV,
• Joint circular letter “Meldeverfahren zur Sozialversicherung” [Reporting procedure on social security] of the German National Association of Social Security Organizations,
• Sec. 284 (1), No. (1) of the SGB V.

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Applying for a European Health Insurance Card

The legal basis for processing this data is

• Sec. 284 (1), No. 4 and No. 10 of the SGB V
• in conjunction with the Bilateral Social Security Agreements and the EU Regulations:
• Regulation (EC) No. 883/04 and Regulation (EC) No. 987/09
• German-Yugoslav Social Security Agreement (Bosnia-Herzegovina)
• German-Turkish Social Security Agreement (Turkey)
• German-Tunisian Social Security Agreement (Tunisia).

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Requesting nursing care insurance benefits

The legal basis for processing this data is

• Sec. 94 (1), No. (3) and (4) of the SGB XI
• In conjunction with Sections 28 et seq. of the SGB XI.

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Submiting sick notes

The legal basis for processing this data is

• Sec. 284 (1), No. (4) of the SGB V
• in conjunction with Sec. 44 of the SGB V.

The submitted documents will be displayed in the app’s mailbox and erased immediately as soon as the user erases their My DAK account, unless erasure is opposed by statutory retention obligations.

Applying for child sickness benefit

The legal basis for processing this data is

• Sec. 284 (1), No. (4) of the SGB V
• in conjunction with Sec. 45 of the SGB V.

The submitted documents will be displayed in the app’s mailbox and erased immediately as soon as the user erases their My DAK account, unless erasure is opposed by statutory retention obligations.

Reporting accidents

The legal basis for processing this data is

• Sec. 284 (1), No. (11) of the SGB V
• in conjunction with the enforcement of claims for compensation under Sec. 116 of the SGB X or claims for reimbursement under Sections 102 et seq. of the SGB X.

The submitted documents will be displayed in the app’s mailbox and erased immediately as soon as the user erases their My DAK account, unless erasure is opposed by statutory retention obligations.

Applying for an exemption from co-payments

The legal basis for processing this data is

• Sec. 284 (1), No. (4) of the SGB V
• in conjunction with Sec. 62 (1) of the SGB V.

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Requesting cost assumption for MamaPLUS

The legal basis for processing this data is

• Art. 19a of the Statutes of the DAK;
• Sec. 284 (1), No. 4 of the SGB V,
• in conjunction with Sec. 11 (6) of the SGB V;
• Sec. 23 of the SGB V, Sec. 13 of the SGB V.

The submitted documents will be displayed in the app’s mailbox and erased immediately as soon as the user erases their My DAK account, unless erasure is opposed by statutory retention obligations.

Requesting cost assumption for a professional dental cleaning

The legal basis for processing this data is

• Sec. 284 (1), No. (4) of the SGB V
• in conjunction with Sec. 11 (6) of the SGB V,
• in conjunction with Art. 19a of the Statutes of the DAK;
• Sec. 23 of the SGB V, Sec. 13 of the SGB V.

The submitted documents will be displayed in the app’s mailbox and erased immediately as soon as the user erases their My DAK account, unless erasure is opposed by statutory retention obligations.

Requesting cost assumption for dentures

The legal basis for processing this data is

• Sec. 284 (1), No. 4 of the SGB V,
• Sec. 13 (3a) of the SGB V,
• in conjunction with Articles 22, 23 of the Statutes of DAK-Gesundheit,
• Sec. 27 (1), No. (2) of the SGB V,
• Sec. 28 of the SGB V,
• Sections 55, 56 of the SGB V,
• Sec. 57 of the SGB V,
• Sec. 12 of the SGB V,
• Sec. 87 (1a) in conjunction with the BMV-Z [German Federal Master Treaty for Dentists],
• Sec. 91 of the SGB V,
• Sec. 275 (2), sentence 5 of the SGB V.

Requesting cost assumption for a skin cancer screening

The legal basis for processing this data is

• Sec. 284 (1), No. (4) of the SGB V
• in conjunction with Sec. 11 (6) of the SGB V,
• in conjunction with Art. 19a of the Statutes of the DAK,
• Sec. 23 of the SGB V, Sec. 13 of the SGB V.

The submitted documents will be displayed in the app’s mailbox and erased immediately as soon as the user erases their My DAK account, unless erasure is opposed by statutory retention obligations.

Requesting cost assumption for prevention courses and online coaching

The legal basis for processing this data is

• Sec. 284 (1), No. (4) of the SGB V
• in conjunction with Sections 11, 13, 20 et seq. of the SGB V,
• in conjunction with Sec. 65a (1), (1a), (2) of the SGB V,
• in conjunction with Art. 19a of the Statutes of the DAK;

The submitted documents will be displayed in the app’s mailbox and erased immediately as soon as the user erases their My DAK account, unless erasure is opposed by statutory retention obligations.

Requesting cost assumption for an osteopathy treatment

The legal basis for processing this data is

• Sec. 284 (1), No. (4) of the SGB V
• in conjunction with Sec. 11 (6) of the SGB V,
• in conjunction with Art. 19a of the Statutes of the DAK;
• Sec. 23 of the SGB V, Sec. 13 of the SGB V.

The submitted documents will be displayed in the app’s mailbox and erased immediately as soon as the user erases their My DAK account, unless erasure is opposed by statutory retention obligations.

Requesting a reimbursement of travel expenses

The legal basis for processing this data is

• Sec. 284 (1), No. (4) of the SGB V
• in conjunction with Sec. 60 of the SGB V; Sec. 13 of the SGB V.

The submitted documents will be displayed in the app’s mailbox and erased immediately as soon as the user erases their My DAK account, unless erasure is opposed by statutory retention obligations.

Orthodontic treatment: application for refund of co-payment

The legal basis for processing this data is

• Sec. 284 (1), No. (4) of the SGB V
• in conjunction with Sec. 28-29 of the SBG V; Sec. 13 of the SGB V.

The submitted documents will be displayed in the app’s mailbox and erased immediately as soon as the user erases their My DAK account, unless erasure is opposed by statutory retention obligations.

Requesting medical aids

The legal basis for processing this data is

• Sec. 284 (1), No. (4) of the SGB V
• in conjunction with Sec. 33 of the SGB V;
• Sec. 11 (6) of the SGB V,
• in conjunction with Art. 19 f, d of the Statutes of DAK,
• in conjunction with Sec. 13 of the SGB V.

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Participating in the bonus programme

The legal basis for processing this data is

• Sec. 284 (1), No. 1, 4, 13 of the SGB V,
• in conjunction with Sec. 65a (1), (1a), (2) of the SGB V;
• Sec. 11 (6) of the SGB V,
• in conjunction with Articles 25, 26 of the Statutes of DAK-G;
• Sec. 1629 of the BGB [German Civil Code]

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

Family service

The legal basis for processing this data is

• Sec. 284 of the SGB V, in conjunction with Sec. 67a of the SGB X (care insurance: Sec. 94 SGB XI, in conjunction with Sec. 50 of the SGB XI);
• Sec. 206 of the SGB V; Sec. 60 of the SGB I;
• Sec. 13, in conjunction with Sec. 25 in conjunction with Sec. 83 of the SGB X;
• Sec. 36 of the SGB I in conjunction with Sections 104, 106, 107 of the BGB.

For insured persons with co-insured children who have not yet completed their 15th birthday, any children included in the family insurance will automatically be displayed (unless otherwise specified). The information required for this is transmitted from the server of the app and will be available in the app for the duration of the current session.

The data and access to the family service will be erased as soon as they are no longer required for processing purposes or as soon as the co-insured family member celebrates their 16th birthday. Unless statutory retention periods are opposed to the erasure.

Data that do not fall within the scope of DAK-Gesundheit’s responsibility or violate the data protection of insured persons or third parties will be erased during processing and will not be further processed.

Online objection

The legal basis for processing this data is

• Sec. 36a (2) of the SGB I,
• in conjunction with Sec. 84 (1) SGG [German Social Courts Act].

The data will be erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by statutory retention obligations.

3.3.6 Contacting DAK-Gesundheit

Mailbox messages, contact form, chat and callback service (logged in user)

If you contact us using the “Mailbox” in the menu by sending a mailbox message, we will collect the following data:

• Subject line
• Your message (free field)
• Your attachments uploaded with the message in PDF format
• First name (automatic)
• Name (automatic)
• Post Code (automatic)
• Insurance number (automatic)
• Technical information (automatic):
• Device type
• Operating system
• App version

The data you provide will be processed by us to allow us to forward your request to the relevant service center of DAK-Gesundheit, to process it or to answer your questions by mailbox message or e-mail.

The legal basis for processing this data is

• Sec. 13-15 of the SGB I,
• in conjunction with Sec. 67 of the SGB V,
• in conjunction with point a of Art. 6 (1), sentence 1 of the GDPR.

We will erase the resulting data as soon as your requests have been processed or your questions have been answered, or we will restrict the processing if statutory retention periods apply.

If you contact us via our contact form at “Contact Us” in the menu, we will collect the following data:

• Subject line
• Your message (free field)
• E-mail address
• First name (automatic)
• Name (automatic)
• Post Code (automatic)
• Insurance number (automatic)
• Technical information (automatic):
• Device type
• Operating system
• App version

We will process the data you provide us in order to be able to forward your request to the relevant service center of DAK-Gesundheit, to process it or to answer your questions by e-mail.

The legal basis for processing this data is

• Sec. 13-15 of the SGB I,
• in conjunction with Sec. 67 of the SGB V,
• in conjunction with point a of Art. 6 (1), sentence 1 of the GDPR.

We will erase the resulting data as soon as your requests have been processed or your questions have been answered, or we will restrict the processing if statutory retention periods apply.

Contact form, chat and callback service (unlogged user)

If you contact us via our contact form at “Contact Us” in the menu, we will collect the following data:

• Subject line
• Your message (free field)
• Insurance number
• E-mail address
• First name
• Name
• Date of birth
• Post code
• Technical information (automatic): Device type
• Operating system
• App version

We will process the data you provide us in order to be able to forward your request to the relevant service center of DAK-Gesundheit, to process it or to answer your questions by e-mail.

The legal basis for processing this data is

• Sec. 13-15 of the SGB I,
• in conjunction with Sec. 67 of the SGB V,
• in conjunction with point a of Art. 6 (1), sentence 1 of the GDPR.

We will erase the resulting data as soon as your requests have been processed or your questions have been answered, or we will restrict the processing if statutory retention periods apply.

3.3.7 Use of profile data

Preventive measures

Your profile data will be used to pre-filter DAK’s preventive measures. You may remove this pre-filtering. The legal basis for the processing of this data is:

• Sec. 68b of the SGB V,
• in conjunction with Sec. 284 (1), sentence 1, No. 19 of the SGB V.

Searching for a doctor

Your address data will be used to search for doctors in the vicinity. The legal basis for processing this data is

• Sec. 305 (3) of the SGB V.

3.3.8 Using the Health Cockpit

The health cockpit allows you to manually enter health data, such as vaccinations or your calculated due date in the DAK App. BITMARCK, data processor of DAK–Gesundheit, uses this data to provide you with personalised information about the DAK App. Further information can be found in the terms of use in the section “Cooperation with partners: BITMARCK” under “Legal & Consents” in the DAK app profile.

Important: BITMARCK processes your data as the data processor of DAK–Gesundheit. However, DAK–Gesundheit has no knowledge of or any access to the health data you have entered.

Sick Notes

Both sick notes submitted by you and any sick notes electronically transmitted by your physician can be displayed in the DAK app.

Personal data incl. data concerning health (diagnoses) is processed to displays sick notes in the app. The legal bases for the processing of this data are

• Art. 6 and Art. 9 EU GDPR,
• Sec. 284(1)(4.) SGB V (Book V of the German Social Security Code)
• icw Sec. 295(1)(1.) SGB V,
• Sec. 109(1), (3a) and (3b) SGB IV (Book IV of the German Social Security Code) and
• Sec. 69(4) SGB X (Book X of the German Social Security Code)

The sick notes including diagnoses and status of transfer is displayed in the DAK app only after you have given your explicit consent.

Your employer does not receive any diagnosis data from the DAK. Every time an electronic sick note is consulted, only the following data is transferred to your employer:

• your name
• start and end of your incapacity for work
• date on which the incapacity for work had been established
• tag indicating whether it is an initial or a follow-up note
• information on whether there is evidence that the illness is an accident at work or the illness is the result of an (occupational) accident

Note: this data is consistent to the data received by your employer in the past in form of the paper version of the copy destined for presentation to the employer. We do not report, of course, either any diagnoses to your employer or any statements to your physician.

The data is erased if it is no longer necessary for the processing purposes, unless the erasure is opposed by any statutory duties of safekeeping.

Pregnancy support

Our pregnancy support program helps policyholders enjoy a healthy pregnancy and delivery. To achieve this aim, we explain the services and benefits offered by the health insurance company. The legal bases for pregnancy support are as follows:

• Sections 13, 14 and 15 of the SGB I
• Section 284, para. 1, no. 4 of the SGB V

The legal basis for processing the due date is the policyholder's consent in accordance with Art. 9, para. 2 lit. a, Art. 7 of the GDPR. This information concerns health data.

The due date is processed by our service provider BITMARCK. DAK has neither knowledge of nor access to this information. Consent is voluntary and can be revoked at any time in the App under ”Legal & Consents”. In addition, policyholders can modify or delete the stored estimated due date within the App at any time. The date will be automatically deleted 30 days after the EDD. This does not impact the legality of processing the due date based on the consent until such time it is withdrawn. If policyholders opt not to give their consent, they cannot use the pregnancy support program in a way that is personalized for them. Other health and long-term care insurance benefits remain unaffected.

Vaccination check

As part of the vaccination check in the DAK App, BITMARCK processes your social data (age, gender, postcode and federal state) on behalf of DAK–Gesundheit, as well as the self-entered information about vaccinations you have already received (health data).

The purpose is to provide information about vaccinations that are due as well as recommended vaccinations. Your social data (age, gender, postcode and federal state) is processed in accordance with section 284 (3) (1) German Social Code Book Five (SGB V) in conjunction with section 20 i (4) (2) SGB V.

The legal basis for requesting your last vaccination date is your voluntary and express consent in accordance with Articles 9 (2) (a), 7, 6 (1) (a) GDPR, section 67 b (2) German Social Code Book Ten (SGB X). If you do not give your consent, you will not be able to use the vaccination check service. However, this has no effect on other services provided by your health and long-term care insurance.

Vaccination check revocation

To make it as easy as possible for you to withdraw your consent, you can revoke your voluntary consent for the vaccination check at any time with effect for the future informally in your profile under ‘Legal & Consents’ (‘Profile’ → ‘Legal’ → ‘Vaccination check’). Further withdrawal options are described under 4.3.

Storage period and deletion:

You have the option to delete your self-entered health data in the vaccination check at any time. Furthermore, your self-entered health data will be deleted if you revoke your declaration of consent to data processing (‘Profile’ → ‘Legal’ → ‘Vaccination check’). This deletion can take up to 36 hours. If you can no longer access the profile in the DAK App, you can also revoke your consent in written or oral form (see the modalities in section 4.3).
Upon termination of membership, your data will be automatically deleted after six months at the latest. Uninstalling the DAK App does not delete your self-entered health data. For information on your rights as a data subject, in particular your right of revocation, please refer to section 4.

3.3.9 Individually suitable product offers

The DAK app may contain product offers that represent an individually suitable care service. The calculation of the respective individual offer is based on the lawfully collected insured-related data about the insured.
The legal basis for the processing of this data is:

• § 68b SGB V
• § 284, para. 1 SGB V

Users have the option of objecting to receiving individual product offerings at any time via the user's profile

3.4 Analysis of usage behavior

In order to further develop the DAK app, we analyze usage behavior using anonymized data.

The following data will be collected:

• Screens visited
• Buttons tapped
• Operating system
• Device model
• Device manufacturer
• Geography (country, region, city)
• Internet service provider
• System language
• IP address

The IP address is stored in anonymized form by erasing the last octet. Anonymized data will be used to create user profiles that give us information about what contents are used in our app to what extent and which are of particular interest to you. We process personal data for marketing and optimization purposes using the technologies of the company MAPP Digital c/o Webtrekk GmbH, Robert-Koch-Platz 4, 10115 Berlin.

The legal basis for processing your personal data is point f of Art. 6 (1), sentence 1 of GDPR. The legitimate interest in data processing results from the above-mentioned marketing and optimization purposes. The data will be erased as soon as it is no longer necessary for our recording purposes.

You may object to data collection and storage, at any time with effect for the future in the DAK app menu at “Data protection”.

3.5 Use of cookies (technically necessary and technically not necessary)

3.5.1 What are cookies?

In the app, we refer, in part, to web contents of dak.de, which is displayed in so-called WebViews, i.e. systemspecific browsers. This web contents use (technically necessary and technically not necessary) cookies. Cookies are text files that are stored within or by the browser on your computer system. When you call a WebView, a cookie can be stored on the user’s operating system. This cookie contains a distinctive string that allows unique identification the next time the WebView is accessed. A distinction is made between session cookies, which store information only once for the duration of the visit, and permanent cookies, which have a longer lifetime.

3.5.2 Technically necessary cookies

We use cookies to make WebViews more user-friendly. These cookies are technically necessary cookies. See also our overview of all cookies.

These cookies process the following data:

• Device information,
• Browser information,
• Anonymized IP address,
• Opt-in and opt-out data,
• Date and time of the visit,
• Requesting URLs of the website,
• Page path of the website,
• Geographical location.

Since the data processing is necessary for providing the WebViews, the legal basis for the processing of personal data using technically necessary cookies is point b of Art. 6 (1) of GDPR.

Most browsers are configured to automatically accept cookies. By changing the settings in your Internet browser, you can deactivate or restrict the transmission of cookies. Cookies existing on your computer can be erased at any time. This can also be done automatically. If cookies are deactivated for our dak.de, you may not have full access to all of the WebView functions. This stored information is held separately from any other data that might have been made available to us. In particular, the data of the cookies are not linked to your other data.

3.5.3 Optional functions, statistics, personalization and marketing

In addition, we use cookies in our WebViews that enable an analysis of your surfing behavior within the subpages of dak.de that are shown in the WebViews. We also use cookies on our website that enable an analysis of your surfing behavior, so-called analysis services. We use services for digital advertising technologies, advertising analyzes or statistics services. The services are listed in dak.de at DAK Privacy Settings.

Cookie settings

If we want to load more than technically necessary cookies, this will be done exclusively on the basis of your consent.

The legal basis of processing your personal data is point f of Art. 6 (1), sentence 1 of GDPR. The legitimate interest in data processing results from above-mentioned marketing and optimization purposes.

4 Your rights toward DAK-Gesundheit

If your personal data is processed in this app, you are the data subject in accordance with Art. 4, No. 1 of GDPR. You have the following rights to us as the controller:

4.1 Right of access, rectification, erasure and restriction of processing as well as data portability

You have a right of access, i.e. to receive a confirmation as to whether personal data concerning you are processed and if so, a right to receive information about it, as well as a right to rectification, restriction of processing or erasure of this data. Under certain preconditions, you have the right to receive your personal data which you have provided to us in a structured, commonly used and machine-readable format, or to request its forwarding to another data controller.

However, these rights might be restricted by other legal provisions governing the controller (e.g. legal retention obligations).

4.2 Right to object

4.3 Right to withdraw your consent

You may, at any time, separately withdraw your consent to the use of the Digital Identity (IAM) and to the setup and data storage of the DAK app.

The Digital Identity remains in place when the DAK app is withdrawn. The DAK app can no longer be used until the consent is given again to the Terms of Use.

Even if the Digital Identity is withdrawn, the DAK app can no longer be used until you give your consent again to the Terms of Use.

In all cases, the withdrawal can be made to DAK-Gesundheit, in writing, orally or electronically via the DAK app without stating reasons.

The withdrawal of consent does not affect the legality of the processing which has been carried out on the basis of the consent before it was withdrawn.

4.4 Right to the data portability

Under certain preconditions, you have the right to receive your personal data which you have provided to us in a structured, commonly used and machine-readable format, or to request its forwarding to another data controller.

4.5 Complaint to the supervisory authority

If you believe that the processing of your personal data violates data protection laws, you may also contact the Data Protection Supervisory Authority

5 Data security

We use the SSL (Secure Socket Layer) method in conjunction with the highest encryption level.

We maintain up-to-date technical and organizational security measures to ensure the security of the processing in order to protect your data, in particular, against destruction, loss, alteration or unauthorized disclosure of or unauthorized access to personal data that has been transmitted, stored or otherwise processed. These security measures are adapted to the state of the art, the need for protection of personal data and the risks to your rights and freedoms.

6 Involvement of third parties

As a rule, we do not disclose to third parties any data of our insured persons.

The DAK app and the corresponding Identity Access Management System (“IAM”) are operated by DAK-Gesundheit in its systems as well as in the systems of its technical service provider. The recipient of the data is therefore exclusively our service provider, the BITMARCK Group. These service providers are obliged to comply with the statutory data protection regulations under a Processing Agreement (AV) and act like an “extended arm” of DAK-Gesundheit and are therefore not considered to be third parties. These are the following recipients:

1. BMT (BITMARCK Technik GmbH, Hammerbrookstrasse 38, 20097 Hamburg)
2. BMVP (BITMARCK Vertriebs- und Projekt GmbH, Kruppstrasse 64, 45145 Essen)
3. BMSW (BITMARCK Software GmbH, Kruppstrasse 64, 45145 Essen)
4. BMS (BITMARCK Service GmbH, Kruppstrasse 64, 45145 Essen)
5. BMB (BITMARCK Beratung GmbH, Putzbrunner Str. 93, D-81739 Munich)

7 Data processing outside the European Union

Data of our insured persons will not be processed outside the European Union.

8 Updates and changes to this Privacy Notice

This Privacy Notice is currently in effect in the version of 31 August 2023. As a result of the further development of this app and its contents, based on changed legal provisions or regulatory requirements, it may be necessary to change this Privacy Notice. You may access the currently effective Privacy Notice, at any time, in the menu at “Data Protection”.