Datenschutzerklärung
Stand: Januar 2025
1. Einleitung und Verantwortlicher
Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten bei der Nutzung der mobilen Anwendung „PandaCura” (nachfolgend „App”).
Verantwortlicher im Sinne der DSGVO:
Alexander Löfflad
Im Speicher 18
79353 Bahlingen
Deutschland
E-Mail: admin@allolabs.de
Telefon: +49 171 4766752
2. Besondere Hinweise zur Verarbeitung von Gesundheitsdaten
PandaCura verarbeitet Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO. Gesundheitsdaten sind eine besondere Kategorie personenbezogener Daten, für die besonders strenge Schutzanforderungen gelten.
Zu den von der App verarbeiteten Gesundheitsdaten gehören insbesondere:
- Informationen zu Vorsorgeuntersuchungen (U-Untersuchungen)
- Impfstatus und Impftermine
- Medikamenteneinnahme und -dosierung
- Informationen zu Arztbesuchen
- Allergien und Unverträglichkeiten (Notfall-Karte)
- Chronische Erkrankungen (sofern vom Nutzer eingegeben)
Rechtsgrundlage: Die Verarbeitung dieser Gesundheitsdaten erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO.
3. Unsere Zero-Knowledge-Verschlüsselung – Ihr Datenschutz durch Technik
Wir haben technisch sichergestellt, dass wir Ihre Gesundheitsdaten nicht lesen können. PandaCura verwendet eine sogenannte Zero-Knowledge Ende-zu-Ende-Verschlüsselung.
So funktioniert es:
- Alle Ihre Gesundheitsdaten werden auf Ihrem Gerät verschlüsselt, bevor sie unsere Server erreichen
- Die Verschlüsselung erfolgt mit dem aktuellen Industriestandard XChaCha20-Poly1305
- Der Schlüssel wird aus Ihrem persönlichen Passwort mit dem Algorithmus Argon2id abgeleitet
- Nur Sie besitzen den Schlüssel zur Entschlüsselung
- Selbst wir als Anbieter können Ihre Gesundheitsdaten zu keinem Zeitpunkt entschlüsseln oder einsehen
Was das für Sie bedeutet:
- Maximaler Schutz Ihrer sensiblen Familien-Gesundheitsdaten
- Selbst bei einem hypothetischen Servereinbruch wären Ihre Daten für Angreifer unlesbar
- Wichtiger Hinweis: Da nur Sie den Schlüssel besitzen, können wir Ihr Passwort nicht zurücksetzen und Ihre Daten nicht wiederherstellen, falls Sie Ihr Passwort vergessen. Bitte nutzen Sie die Export-Funktion für regelmäßige Sicherheitskopien.
Was wir trotz Verschlüsselung sehen können:
- Ihre E-Mail-Adresse und Kontodaten (zur Kommunikation und Kontoverwaltung)
- Technische Metadaten (Geräteinformationen, App-Version)
- Abrechnungsinformationen für kostenpflichtige Tarife (über App-Store-Anbieter)
4. Verarbeitung von Kinderdaten – Besonderer Schutz für Ihre Familie
Altersgrenze gemäß Art. 8 DSGVO in Verbindung mit § 8 BDSG: In Deutschland gilt eine Altersgrenze von 16 Jahren für die eigenständige Einwilligung in die Datenverarbeitung durch Dienste der Informationsgesellschaft.
Wenn Sie Daten Ihrer Kinder in PandaCura eingeben:
- Bei Kindern unter 16 Jahren ist die Einwilligung eines Trägers der elterlichen Verantwortung erforderlich
- Als registrierter Nutzer und Elternteil/Sorgeberechtigter erteilen Sie diese Einwilligung für Ihre Kinder
- Bei der Registrierung bestätigen Sie, dass Sie sorgeberechtigt sind oder über die Zustimmung aller Sorgeberechtigten verfügen
Besondere Rechte für Kinderdaten:
- Kinder haben nach Art. 17 Abs. 1 lit. f DSGVO ein verstärktes Recht auf Löschung ihrer Daten
- Wenn Ihr Kind 16 Jahre alt wird, kann es eigenständig über seine Daten entscheiden
5. Datenverarbeitung im Detail
5.1 Registrierung und Nutzerkonto
| Datenkategorie | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| E-Mail-Adresse | Kontoverwaltung | Art. 6 Abs. 1 lit. b DSGVO | Bis Kontolöschung |
| Passwort (als Hash) | Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO | Bis Kontolöschung |
| Registrierungsdatum | Vertragsdokumentation | Art. 6 Abs. 1 lit. b, f DSGVO | Bis Kontolöschung + 3 Jahre |
5.2 Gesundheitsdaten (Verschlüsselt)
Hinweis: Alle Gesundheitsdaten werden auf Ihrem Gerät verschlüsselt und sind für uns nicht lesbar. Sie bestimmen selbst, wie lange diese Daten gespeichert werden.
5.3 Technische Daten
| Datenkategorie | Zweck | Speicherdauer |
|---|---|---|
| Gerätetyp, Betriebssystem | App-Kompatibilität, Support | 90 Tage |
| App-Version | Updates, Fehleranalyse | 90 Tage |
| IP-Adresse | Sicherheit, Missbrauchsprävention | 7 Tage |
| Absturzberichte | Fehlerbehebung | 90 Tage |
6. Auftragsverarbeiter und externe Dienste
Wir setzen sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Dienstleistern haben wir Auftragsverarbeitungsverträge abgeschlossen.
6.1 Hetzner Online GmbH (Hosting)
Standort: Deutschland (EU)
Drittlandübermittlung: Nein (Daten verbleiben in der EU)
Weitere Informationen: hetzner.com/de/rechtliches/datenschutz
6.2 Apple Inc. und Google LLC (App-Stores)
Wenn Sie die App über den Apple App Store oder Google Play Store herunterladen und In-App-Käufe tätigen, verarbeiten Apple bzw. Google als eigenständige Verantwortliche Ihre Daten nach deren eigenen Datenschutzbestimmungen:
- Apple: apple.com/de/privacy
- Google: policies.google.com/privacy
7. Ihre Rechte als betroffene Person
Sie haben nach der DSGVO folgende Rechte. Da Ihre Gesundheitsdaten aufgrund unserer Zero-Knowledge-Verschlüsselung für uns nicht lesbar sind, können einige Rechte nur durch Ihre aktive Mitwirkung oder über die Self-Service-Funktionen in der App ausgeübt werden:
7.1 Auskunftsrecht (Art. 15 DSGVO)
Sie haben das Recht zu erfahren, welche personenbezogenen Daten wir über Sie verarbeiten.
7.2 Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, unrichtige Daten berichtigen zu lassen. Verschlüsselte Daten können nur von Ihnen selbst in der App berichtigt werden.
7.3 Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht, die Löschung Ihrer Daten zu verlangen. Bei verschlüsselten Daten führt die Löschung des Verschlüsselungsschlüssels zur unwiderruflichen Unlesbarkeit der Daten.
7.4 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Nutzen Sie die Export-Funktion in der App, um Ihre Gesundheitsdaten im JSON-Format zu exportieren.
7.5 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Sie können Ihre erteilte Einwilligung zur Verarbeitung von Gesundheitsdaten jederzeit mit Wirkung für die Zukunft widerrufen per E-Mail an admin@allolabs.de.
7.6 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de
8. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein:
Technische Maßnahmen:
- Zero-Knowledge Ende-zu-Ende-Verschlüsselung (XChaCha20-Poly1305)
- Sichere Schlüsselableitung mit Argon2id
- TLS 1.2+ für alle Datenübertragungen
- Hosting in deutschen Rechenzentren mit ISO 27001-Zertifizierung
- Regelmäßige Sicherheitsupdates und Penetrationstests
9. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Datenverarbeitung anzupassen. Bei wesentlichen Änderungen werden wir Sie per E-Mail oder In-App-Benachrichtigung informieren.
Die aktuelle Version ist stets in der App und auf unserer Website verfügbar.