Datenschutz

Allgemeine Informationen

Mit der "Testformular" Softwarelösung bieten wir Ihnen in puncto Datenschutz volle Kontrolle, Sicherheit und Transparenz. Ihre personenbezogenen Daten werden bei der Nutzung ganz im Sinne der Datenschutz-Grundverordnung (DSGVO) verarbeitet sowie im Einklang mit dem Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG).

Der Begriff der Datenverarbeitung wird in Art. 4 Ziffer 1. der Datenschutz-Grundverordnung (Verordnung EU 2016/679, nachfolgend nur "DSGVO" genannt) wie folgt definiert:

"Verarbeitung" bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;"

Die "Testformular" Software (nachfolgend auch als "Produkt", "Software", "Softwarelösung" oder "System" bezeichnet) gibt Ihnen als Testcenterbetrieb die Möglichkeit den Corona-Schnelltest-Ablauf Ihrer Kundenschaft digital zu erfassen und Testberichte digital und standardisiert zu übermitteln. Die Software wird von der Felix Kueppers UG (haftungsbeschränkt) vertrieben und durch Sie als Testcenter-Inhaber genutzt.

Mit der hier vorliegenden Datenschutzerklärung informieren wir Sie nun über Art, Umfang, Zweck, Dauer und Rechtsgrundlage der Verarbeitung Ihrer personenbezogenen Daten, soweit wir entweder allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheiden. Zudem informieren wir Sie nachfolgend über die von uns zu Optimierungszwecken sowie zur Steigerung der Nutzungsqualität eingesetzten Fremdkomponenten, soweit hierdurch Dritte Daten in wiederum eigener Verantwortung verarbeiten.

Informationen über uns als Verantwortliche

Verantwortliche Stelle:
Baltic Medical Services UG (haftungsbeschränkt)
c/o Andre Lohmann
Alte Gärtnerei 20a
24232 Schönkirchen
E-Mail: info@cbox.sh

Datenschutzbeauftragter:
Herr Peter Schnalke, Alsterbyte IT Solutions GmbH
Weingarten 22, 21481 Lauenburg, Deutschland
E-Mail: datenschutzbeauftragter@testformular.de


Allgemeine Datenverarbeitung im Zuge unseres Internetangebots

Besuchen Sie die Domain cbox.sh oder eine unserer Subdomains, so erheben wir vorübergehend Daten ("Server-Logfiles"), die Ihr Browser an uns übermittelt. Dies geschieht auch, wenn Sie sich zum Zwecke der reinen Informationsbeschaffung (also ohne Anmeldung eines Nutzerkontos oder Formulareingabe von Daten) unsere Domains besuchen.

Die Erhebung der Daten dient insbesondere der Gewährleistung eines sicheren und stabilen Internetauftritts. Sie umfasst u.a. Browsertyp und -version, Betriebssystemtyp und -version, die Website, von der aus Sie zu unserem Internetauftritt gewechselt sind ("Referrer URL"), Ihre IP-Adresse, die bei uns besuchten Unterseiten, inkl. Datum und Uhrzeit des jeweiligen Zugriffs.

Diese Speicherung erfolgt auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. f) der DSGVO und die Zweckmäßigkeit liegt in unserem berechtigten Interesse nach Verbesserung, Stabilität, Funktionalität und Sicherheit unseres Internetauftritts begründet.

Die Kontaktaufnahme über das Kontaktformular unserer Website erfolgt auf freiwilliger Basis. Die dort notwendigen Angaben (E-Mail, Name, Nachricht) sind zur Beantwortung der Anfrage bzw. des Rückrufes erforderlich, ohne die Bereitstellung der Daten ist eine Beantwortung nicht bzw. nur eingeschränkt möglich. Rechtsgrundlage für die Verarbeitung dieser Daten ist daher unser berechtigtes Interesse an der Beantwortung Ihres Anliegens gemäß Art. 6 Abs. 1 Satz 1 lit. f. DSGVO. Zielt Ihre Kontaktierung auf den Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO. Ihre Daten werden nach abschließender Bearbeitung Ihrer Anfrage gelöscht.

Die so erhobenen Daten werden vorübergehend gespeichert und spätestens nach sieben Tage wieder gelöscht, soweit keine weitere Aufbewahrung zu Beweiszwecken erforderlich ist. Andernfalls sind die Daten bis zur endgültigen Klärung eines Vorfalls ganz oder teilweise von der Löschung ausgenommen.

Datenverarbeitung im Zuge des Testprozesses

Es werden bei Anmeldung zum Schnelltest bzw. im Zuge der Testdurchführung vor Ort folgende persönliche Daten erhoben.

Vor- und Nachname
Geburtsdatum
Ausweisnummer (optional)
Testgrund nach §§ 2 bis 4b TestV
Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes
Telefonische Erreichbarkeit
E-Mail-Adresse
Datum und Uhrzeit
Testergebnis
Testdatum und Uhrzeit
Testnummer
Mitteilungsweg des Ergebnisse

Rechtsgrundlage der Datenverarbeitung ist Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 9 Abs. 1 IfSG. Um die unverzügliche Kontaktaufnahme des Gesundheitsamtes mit Ihnen zu gewährleisten, erheben wir die Rufnummer und (sofern angegeben) E-Mail-Adresse nach Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 9 Abs. 1 IfSG.

Die oben genannten Daten werden nach Absenden des Anmeldeformulars zur Aufbewahrung in unserer Datenbank gespeichert und dadurch dem Betreiber des besuchten Testzentrums zur Verfügung gestellt. Zum Zwecke der Identitätsprüfung werden Ihre Kundendaten vor der Abstrichnahme von einem Mitarbeiter des Testbetriebs verifiziert. Anschließend werden die Daten zur Zertifikationserstellung und Ergebnisübertragung genutzt. Bei der Angabe des E-Mail-Kontakts handelt es sich um eine freiwillig erteilte Einwilligung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO, zum Zwecke der Übertragung der Testergebnisse per E-Mail. Im Zuge der E-Mail-Übermittlung wird ein anonymisierter zufallsgenerierter Link erstellt, über den das Ergebnis abgerufen werden kann.

im Falle eines positiven Testergebnisses sind wir dazu verpflichtet, das zuständige Gesundheitsamt darüber zu informieren und diesem ihre persönlichen Daten nach § 8 Abs. 1 Nr. 5 IfSG weiterzugeben.

Die genannten Daten werden nicht zu Abrechnungszwecken an die zuständige Kassenärztliche Vereinigung übermittelt, können aber im Rahmen einer eventuellen Abrechnungsprüfung verwendet werden. Rechtsgrundlage ist Artikel 9 Abs. 2 lit. b DSGVO i.V.m. § 7 Abs. 5 und 6, § 7a TestV.

Datenschutzhinweise für Nutzer der Corona-Warn-App

Als Kunde können Sie die Corona-Warn-App ("App") des Robert Koch-Instituts ("RKI") zum Abruf Ihres Testergebnisses eines Antigentests verwenden. Um Ihr Testergebnis über die App abrufen zu können ist es notwendig, dass Ihr Testergebnis von der Teststelle an das Serversystem des RKI übermittelt wird. Verkürzt dargestellt erfolgt dies, indem die Teststelle Ihr Testergebnis, verknüpft mit einem maschinenlesbaren Code, auf einem hierfür bestimmten Server des RKI ablegt. Der Code ist Ihr Pseudonym, weitere Angaben zu Ihrer Person sind für die Anzeige des Testergebnisses in der App nicht erforderlich. Sie können die Anzeige des Testergebnisses jedoch für sich durch Angabe Ihres Namens, Vornamens und Geburtsdatums personalisieren lassen.

Der Code wird aus dem vorgesehenen Zeitpunkt des Tests und einer Zufallszahl gebildet. Die Bildung des Codes erfolgt, indem die vorgenannten Daten so miteinander verrechnet werden, dass ein Zurückrechnen der Daten aus dem Code nicht mehr möglich ist.

Sie erhalten eine Kopie des Codes in der Darstellung eines QR-Codes, der durch die Kamerafunktion Ihres Smartphones in die App eingelesen werden kann. Alternativ können Sie den pseudonymen Code auch als Internetverweis erhalten ("App Link"), der von der App geöffnet und verarbeitet werden kann. Nur hierdurch ist eine Verknüpfung des Testergebnisses mit Ihrer App möglich. Mit Ihrer Einwilligung können Sie dann Ihr Testergebnis mit Hilfe der App abrufen. Ihr Testergebnis wird automatisch nach 21 Tagen auf dem Server gelöscht. Wenn Sie mit der Übermittlung Ihres pseudonymen Testergebnisses mittels des Codes an die App-Infrastruktur zum Zweck des Testabrufs einverstanden sind, bestätigen Sie dies bitte gegenüber den Mitarbeitern der Teststelle. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie jedoch, dass aufgrund der vorhandenen Pseudonymisierung eine Zuordnung zu Ihrer Person nicht erfolgen kann und daher eine Löschung Ihrer Daten erst mit Ablauf der 21-tägigen Speicherfrist automatisiert erfolgt. Einzelheiten hierzu finden Sie zudem in den »Datenschutzhinweisen« der Corona-Warn-App des RKI.

Wenn Sie jünger als 16 Jahre alt sind, besprechen Sie die Nutzung der App bitte mit Ihren Eltern oder Ihrer sorgeberechtigten Person.

Speicherdauer der Daten

Die bei Nutzung unseres Internetauftritts oder unserer Testformular-Software verarbeiteten Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt, der Löschung der Daten keine gesetzlichen Aufbewahrungspflichten entgegenstehen und nachfolgend keine anderslautenden Angaben zu einzelnen Verarbeitungsverfahren gemacht werden.

Im Kontext der behördlichen Abrechnung ist der Testbetrieb dazu gesetzlich verpflichtet, alle erforderlichen Unterlagen zur Einsichtnahme bereitzuhalten und die notwendigen Auskünfte zu erteilen. Zu diesem Zweck muss der Testbetrieb die der Abrechnung zugrunde liegenden Angaben und Datengrundlagen unter Beachtung der Vorgaben des Datenschutzes und ungeachtet anderer oder weitergehender Aufbewahrungspflichten bis zum 31. Dezember 2024 unverändert speichern und aufbewahren. Eine Löschung Ihrer Daten erfolgt gemäß § 7 Abs. 5 Satz 1 TestV nach dem 31. Dezember 2024.

Im Zuge der Anmeldung zum Coronatest werden die Formulardaten lokal auf dem Endgerät (Handy) der Nutzers gespeichert. Diese werden beim nächsten Besuch dann dazu genutzt, um das Anmeldeformular vorauszufüllen und so den Anmeldeprozess zu beschleunigen. Des weiteren dienen die Daten dazu, um zu validieren, ob der Test bereits durchgeführt und bestätigt wurde. Die Formulardaten können jederzeit eigenhändig gelöscht werden, indem der Kunde die temporären Daten des eigenen Browser-Caches löscht.

Datensicherheit

Die Übertragung sämtlicher Daten zwischen Ihrem Internetbrowser und unseren Servern ist SSL-Verschlüsselt. Alle bei uns hinterlegten Passwörter sind zudem nur in verschlüsselter Form gespeichert.

Sämtliche von uns gespeicherte Daten, insbesondere alle personenbezogenen Daten, werden auf unseren Servern ausschließlich verschlüsselt gespeichert ("Encryption at rest").

Die DSGVO-konforme Verarbeitung personenbezogener Daten durch unsere Webhosting- und Backend-Dienste erfolgt über die Dienste "Google Cloud Platform", "Google Cloud Storage", "Firebase Authentication", "Google Firebase Realtime Database" und "Google Firebase Hosting", betrieben durch die Firma Google LLC. Verantwortlich für sämtliche Google-Dienste im europäischen Raum ist das Unternehmen Google Ireland Limited (Gordon House, Barrow Street Dublin 4, Irland). Mutterunternehmen ist die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Die Grundlage für die DSGVO-konforme Verarbeitung personenbezogener Daten ist durch unsere vertragliche Vereinbarung mit Google gewährleistet, in der die Datenverarbeitungs- und Sicherheitsbestimmungen inklusive der EU-Standardvertragsklauseln enthalten sind. Gegenstand der EU-Standardvertragsklauseln ist die Aufrechterhaltung des Datenschutzniveaus nach DSGVO bei der Verarbeitung in Drittländern. Die entsprechenden EU-Standardvertragsklauseln sind ebenfalls in den Datenschutzrichtlinien der zuvor genannten "Google Firebase"-Services enthalten, auf die wir uns aufgrund unseres Vertragsverhältnisses berufen können.

Hierbei ist zu erwähnen, dass die Verarbeitung von personenbezogenen Daten mittels der genannten Google-Dienste ausschließlich auf Servern ("Compute Engine-Ressources") innerhalb der EU erfolgt. Die Kontrolle über die Festlegung der EU-Serverstandorte wird dabei durch uns über die Regionen- und Zonenverwaltung der Google-Cloud-Plattform ausgeübt . Die Datenverarbeitung findet primär in Frankfurt statt ("europe-west3").

Weiterführende Informationen zu den umfassenden Compliance-Maßnahmen zur Gewährleistung der Sicherheit und des Schutzes personenbezogener Kundendaten im Kontext von Google Cloud und der DSGVO finden Sie hier.

Um die Privatsphäre unserer Kunden zu schützen, verzichten wir selbstverständlich auf den Einsatz jeglicher Google-Analytics-Dienste bei der Datenverarbeitung im Zusammenhang mit der Schnelltestabwicklung.
E-Mail-Versand

Für den Versand von E-Mails setzen wir den Dienst "Sendgrid" des Unternehmens Twilio Inc., 375 Beale St #300 San Francisco CA 94105 United States, ein. Sendgrid wird verwendet, um Terminbuchungen, Testresultate und sonstige "transaktionale" E-Mails zu verschicken. Der Versand über einen spezialisierten Dienstleister wie Sendgrid ist erforderlich, um eine hohe Zustellungsquote zu gewährleisten. Dabei helfen uns insbesondere die ausgereiften Funktionalitäten, die von Sendgrid zur Verfügung gesteltt werden, die Wahrscheinlich dafür zu senken, dass E-Mails durch die Mail-Provider der Empfängerseite als "Spam" eingestuft werden. Insofern berufen wir uns beim Einsatz von Sendgrid auf unser berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f) DSGVO. Der Einsatz von Sendgrid dient letztendlich primär der Erfüllung unseres vertraglichen Auftrags der Ergebnisübermittlung in Berufung auf Art. 6 Abs. 1 lit. b) DSGVO.

Wir haben mit SendGrid eine vertragliche Vereinbarung zur Verarbeitung der Daten im Sinne des Art. 28 DSGVO abgeschlossen. Das angemessene Datenschutzniveau ist durch die Verwendung der in dem Vetrag zu tragen kommenden EU-Standardvertragsklauseln ("Standard Contractual Clauses", siehe Data Protection Addendum) gewährleistet. Sendgrid hat bereits auf die neuen Standarddatenschutzklauseln der EU-Kommission umgestellt, die ab dem 27.09.2021 wirksam werden.

Weitere Informationen dazu, wie Sendgrid die strengen Datenschutz- und Sicherheitsprinzipien der DSGVO umsetzt, finden Sie hier.

Informationen zum Datenschutz von Twilio Inc. können Sie der Datenschutzerklärung entnehmen.
Fehlerbehebung

Um Fehlerquellen in unserer Software frühzeitig zu identifizieren und so unsere Produktqualität und -stabilität zu gewährleisten nutzen wir das Crash-Reporting Tool "Sentry" (Functional Software, Inc. dba Sentry, 132 Hawthorne Street, San Francisco, CA 94107). Es besteht ein berechtigtes Interesse unsererseits an der Stabilität, Analyse, Optimierung, Vermeidung von Hackingangriffen und dem wirtschaftlichem Betrieb unseres Onlineangebotes in Berufung auf Art. 6 Abs. 1 Satz 1 lit. f. DSGVO.

Mittels Sentry registrieren wir im Falle von System-Crashes, Laufzeitfehlern oder systemkritischen Vorgängen relevante Meta-Daten, die uns dabei Helfen, den Vorgang zu verstehen und Fehlerquellen zu beseitigen. Es werden stets nur solche Daten erfasst, die uns dabei helfen den Fehler selbständig und schnellstmöglich zu beheben (Browsertyp und -version, Betriebssystemtyp und -version, Zustand der Software, aufgerufene URLs, anonymisierte Nutzerdaten, Vorgangszeitstempel, Gerätetyp). Sämtliche an Sentry übermittelte Daten werden strikt getrennt von den Daten der Testformular-Software gespeichert.

Die Nutzung der Daten erfolgt nur zum Erfüllen der oben genannten Ziele und eine weiterverarbeitung der Daten zu Werbezwecken oder weiteren Analysen findet nicht statt. Sobald ein Update für den Fehler eingespielt wurde, um den Fehler zu beheben, werden die Daten zur Kontrolle des Fehlerauftritts für weitere 30 Tage vorbehalten und anschließend gelöscht.

Als Grundlage der Datenverarbeitung bei Empfängern mit Sitz in Drittstaaten (außerhalb der Europäischen Union, Island, Liechtenstein, Norwegen, also insbesondere in den USA) oder einer Datenweitergabe dorthin verwendet Sentry sogenannte Standardvertragsklauseln (Art. 46 Abs. 2 und 3 DSGVO). Durch diese Klauseln verpflichtet sich Sentry, bei der Verarbeitung von Daten, das europäische Datenschutzniveau einzuhalten, selbst wenn die Daten in den USA gespeichert, verarbeitet und verwaltet werden. Diese Klauseln basieren auf einem Durchführungsbeschluss der EU-Kommission.

Die Datenverarbeitungsbedingungen (Data Processing Addendum), welche den Standardvertragsklauseln entsprechen, finden Sie unter https://sentry.io/legal/dpa/.

Für weitere Informationen verweisen wir auf die Datenschutzerklärung von Sentry: https://sentry.io/privacy/.
Profiling-Maßnahmen

Es finden keine automatisierten Entscheidungsfindungen nach Art. 22 DSGVO oder andere Profiling-Maßnahmen nach Art 4 DSGVO statt.
Ihre Rechte als Betroffener

Ihnen stehen als Nutzer und Betroffener nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 23 DSGVO ergeben.

Sie als Nutzer und Betroffener das Recht

Auskunft zu erhalten über die von uns verarbeiteten Daten und ihre Verarbeitungszwecke (Art. 15 DSGVO)

auf Berichtigung oder Vervollständigung unrichtiger bzw. unvollständiger Daten (Art. 16 DSGVO)

auf Löschung der sie betreffenden Daten – "Recht auf Vergessenwerden". (Art. 17 DSGVO).

auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)

auf Erhalt der Daten in einem strukturierten, gängigen, maschinenlesbaren Format ("Datenübertragbarkeit") sowie Recht auf Weiterübermittlung der Daten an einen anderen Verantwortlichen, wenn die Voraussetzung des Art. 20 Abs. 1 lit. a, b DSGVO vorliegen (Art. 20 DSGVO) und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

auf Widerspruch gegen die Verarbeitung der sie betreffenden Daten (nach Art. 21 DSGVO), sofern die Daten durch den Anbieter nach Maßgabe von Art. 6 Abs. 1 Satz 1 lit. f.) DSGVO verarbeitet werden. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Insbesondere ist ein Widerspruch gegen die Datenverarbeitung zum Zwecke der Direktwerbung statthaft.

bei der Aufsichtsbehörde Beschwerde einzureichen, sofern sie der Ansicht sind, dass die sie betreffenden Daten durch uns nicht DSGVO-konform verarbeitet wurden..

CBOX

CBox.sh ist eine Dienstleistung der Baltic Medical Services UG

  • Unternehmen:
  • Baltic Medical Services UG
  • HRB 23998 KI
  • Email: info@cbox.sh 
  • Geschäftsführer:
  • Andrea Lohmann
  • Seref Yilmaz 
  • Adresse:
  • Alte Gärtnerei 20a
  • 24232 Schönkirchen
  • Telefon: 0157 8660 2771

mobirise.com software