Datenschutzinformation zur Durchführung des Projektes “NELA Sound” durch die Carepath Technologies GmbH Stand 01/2022

1. Zweck der Datenverarbeitung

Die Datenerhebung und -verarbeitung erfolgt unter Einsatz des NELA Sound Systems, bestehend aus den NELA Sound Geräten und der NELA Sound App, zur Erfassung von Atemwegsgeräuschen (unter anderem Husten) sowie Alltagsgeräuschen und Sprache, im Rahmen der Weiterentwicklung der Hustenerkennungs-Algorithmen. Das Verifizieren der Daten sowie das Trainieren, Optimieren, Verifizieren und Validieren der Algorithmen dient als Grundlage für den Einsatz in der Diagnostik und Therapie von respiratorischen Erkrankungen durch Anlernen mit authentischen Atemwegsgeräuschen und entsprechender Kategorisierung. Die NELA Sound Geräte können in den Installationsräumen neben Atemwegsgeräuschen auch Alltagsgeräusche und Sprache erfassen. Die Algorithmen sind für das Projekt “NELA Sound” so eingestellt, dass neben Husten und anderen Atemwegsgeräuschen auch Alltagsgeräusche und Sprache aufgenommen werden. Das Trainingsprojekt dient mit der Kategorisierung durch geschultes Personal der Verbesserung der Löschautomatismen von nicht relevanten Geräuschen, wie Alltagsgeräuschen und Sprache beim späteren Einsatz der Algorithmen in der Anamnese und Therapie von Atemwegserkrankungen.

2. Verantwortliche Stelle und Datenschutzbeauftragter

Verantwortlich für die Datenverarbeitung gemäß Art. 4 Nr. 7 DS-GVO ist die:
Carepath Technologies GmbH
Chausseestr. 1, 10115 Berlin
Telefon: +49 (0)30 403 610 500
Mail: privacy@nela.care


Datenschutzbeauftragter ist die:
ePrivacy GmbH
repräsentiert durch Prof. Dr. Christoph Bauer
Große Bleichen 21, 20354 Hamburg

Für alle Anfragen bezüglich der Sicherheit Ihrer Daten können Sie sich an unser Datenschutzteam und den Datenschutzbeauftragten wenden unter privacy@nela.care sowie auf dem Postweg an die Postadresse von Carepath Technologies GmbH (adressiert an “Der Datenschutzbeauftragte”). Bitte berücksichtigen Sie, dass wir zur Bearbeitung Ihres Datenschutzanliegens geeignete Maßnahmen ergreifen, um Sie als datenschutzrechtliche Betroffene zu identifizieren und Ihre Daten ggf. zu authentifizieren.

3. Rechtsgrundlage für die Datenverarbeitung, Einwilligung, Widerruf

3.1. Rechtsgrundlagen für die Datenverarbeitung sind:

a) der Teilnehmervertrag (Art. 6 Abs. 1 b) DS-GVO) hinsichtlich Ihrer Kontakt- und Bankdaten in Verbindung mit der Entbindung von der Schweigepflicht gegenüber den Sie zur Teilnahme am Projekt empfehlenden Ärzten, sowie Ihre Registrierung und Aktivierung in der NELA Sound App mit technisch erforderlichen Daten (Betriebssystem; Geräte ID; App-Version). Diese Daten werden bei Ihnen direkt oder bei Ihrem Projektarzt erhoben.

b) Ihre freiwillige Einwilligung (Art. 6 Abs. 1 a), Art. 9 Abs. 2 a) DS-GVO) hinsichtlich der weiteren personenbezogenen Daten und der gesundheitsbezogenen Daten bei der Angabe der Hauptdiagnose im Teilnehmerbogen, der Angabe in der NELA Sound App zum Land, in dem Sie wohnen, Ihrer Körpergröße und Gewicht, zum Geburtsdatum sowie die Angabe, ob Sie rauchen oder nicht, und außerdem die Erhebung, Kategorisierung und Verarbeitung der Atemwegsgeräusche und Alltagsgeräusche sowie Sprache. Die Daten werden also nur dann erhoben, gespeichert, ausgewertet und weitergegeben, wenn Sie dazu Ihre Einwilligung erklären. Auch wenn Sie Ihre Einwilligung zunächst erteilen, können Sie sie ohne Angabe von Gründen hinsichtlich einer weiteren zukünftigen Verarbeitung widerrufen (siehe 3.2).

c) Zwecke der Gesundheitsvorsorge (Art. 9 Abs. 2 h) DS-GVO) bei zukünftigem Einsatz der telemedizinischen Plattform und Lösungen der Carepath.

d) Zwecke der wissenschaftlichen Forschung (Art. 9 Abs. 2 j) DS-GVO), soweit das Projekt biomedizinischen Zwecken unter Aufsicht der Ethikkommission der Berliner Ärztekommission dient.

3.2. Widerruf Ihrer Einwilligung

Sie können Ihre Einwilligung zur Verarbeitung von personenbezogenen Daten und Ihren Gesundheitsdaten grundsätzlich für die Zukunft widerrufen. Datenverarbeitungen, welche bereits erfolgt sind, sind nach Zugang des Widerrufs nicht zu löschen. Dies gilt insbesondere für die mit den NELA Sound Geräten erfassten Geräusche in den Installationsräumen für die Dauer des Trainingsprojektes von 72 Stunden nach Aktivierung. Sinn und Zweck von Trainingsdaten für Algorithmen ist, dass diese eine möglichst breite Datenquelle bieten und für spätere Anwendungen zur Transparenz der Funktionsweise und Zuverlässigkeit der Algorithmen-basierten Entscheidungen und Prozesse zur Verfügung stehen. Die Verarbeitung ist mit der Erfassung der Geräusche abgeschlossen. Ihren Widerruf richten Sie bitte an unser Datenschutzteam und den Datenschutzbeauftragten unter privacy@nela.care sowie auf dem Postweg an die Postadresse von Carepath Technologies GmbH (adressiert an “Der Datenschutzbeauftragte”). Bitte berücksichtigen Sie, dass wir zur Bearbeitung Ihres Datenschutzanliegens geeignete Maßnahmen ergreifen, um Sie als datenschutzrechtliche Betroffene zu identifizieren und Ihre Daten ggf. zu authentifizieren. Bei Vorliegen anderer datenschutzrechtlicher Rechtfertigungsgründe zur weiteren Verarbeitung trotz Widerruf informieren wir Sie zu den Rechtsgrundlagen und zur voraussichtlichen Dauer der weiteren Verarbeitung für die anderen rechtmäßigen Zwecke.

4. Erhebung von Gesundheitsdaten und ärztliche Schweigepflicht

Im Trainingsdatenprojekt werden die Anforderungen der ärztlichen Schweigepflicht und des Datenschutzes eingehalten. Ihren Projektarzt haben Sie für den Zweck des Projektes uns gegenüber von der Schweigepflicht entbunden. Ihr Projektarzt übermittelt uns Ihre personenbezogenen Daten sowie die Diagnose ihrer respiratorischen Erkrankung. Sie erhalten unseren Teilnehmervertrag einschließlich dieses Datenschutzhinweises sowie die Einwilligungserklärung zur Teilnahme am Trainingsdatenprojekt und zur Verarbeitung der gesundheitsbezogenen Daten für die beschriebenen Zwecke. Bei der Aktivierung der NELA Sound App auf Ihrem eigenen Smartphone erheben wir weitere Daten entsprechend diesem Datenschutzhinweis. Diese umfassen das Land, in dem Sie wohnen, Ihre Körpergröße und Gewicht, das Geburtsdatum sowie die Angabe, ob Sie rauchen oder nicht. Während der Dauer der Aufzeichnung der Trainingsdaten (auch Geräusche aller Personen, die sich in den Räumen mit der NELA-Sound-Installation aufhalten oder mit denen Sie über Lautsprecher anderer Kommunikationsgeräte sprechen) erheben wir gesundheitsbezogene Daten.  In der NELA Sound App können Sie die aufgenommenen Audio-Dateien im Verlauf nach ihrer persönlichen Zuordnung kategorisieren, wobei Sie hier unterscheiden, ob es sich bei der Audio-Aufnahme um Husten oder ein anderes Geräusch handelt. Außerdem können Sie auch die Atemwegsgeräusche, die nicht von Ihnen stammen, kennzeichnen. Die von Ihnen kategorisierten Daten werden von uns nochmals technisch analysiert und mit Merkmalen versehen zum Anlernen des Algorithmus sowie unter anderem zum Verifizieren, Optimieren, Validieren, Auditieren und Zertifizieren seiner Funktionsfähigkeit und Zuverlässigkeit. Für mit Ihnen in häuslicher Gemeinschaft lebende Personen wird eine separate datenschutzrechtliche Einwilligungserklärung eingeholt. Wir empfehlen Ihnen, Gäste über Ihre Teilnahme zu informieren, da sich nicht vermeiden lässt, dass auch deren Atemwegsgeräusche, sowie Alltags- und Sprachgeräusche mit aufgezeichnet werden.

5. Pseudonymisierung, Anonymisierung, Verschlüsselung

Soweit die Verarbeitung in irreversibler, anonymisierter Form oder pseudonymisiert (im Regelfall bei der Verarbeitung gesundheitsbezogener Daten) möglich ist, setzen wir dies um. Die Datenablage und die -übermittlung erfolgt verschlüsselt. Pseudonymisieren bedeutet, dass die erhobenen Daten ohne Hinzuziehung einer Zuordnungsliste nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Die personenbezogenen Daten, wie z. B. der Name und das Geburtsdatum, werden durch einen Nummern- oder Buchstabencode ersetzt. Wir hinterlegen eine Liste, auf welcher die Namen den Nummern- und/oder Buchstabencodes zugeordnet sind. Diese Liste wird getrennt von der laufenden Verarbeitung gesondert aufbewahrt und unterliegt dort technischen und organisatorischen Maßnahmen, die gewährleisten, dass die von Ihnen erhobenen Daten durch unbefugte Personen nicht zugeordnet werden können. Eine Auflösung der Pseudonymisierung erfolgt nur aus wissenschaftlichen Gründen und zum Zwecke der Gesundheitsvorsorge und bedarf der Zustimmung einer Ethikkommission. Eine Maßnahme des Datenschutzes und zur Pseudonymisierung ist die Auflösung des zeitlichen Zusammenhangs der aufgezeichneten Geräusche. Durch die dann zufällige Aufeinanderfolge der Geräusche wird im Trainingsschritt der Kategorisierung verhindert, dass Sinnzusammenhänge von Dialogen und Rückschlüsse auf die Betroffenen möglich werden.

6. Speicherdauer, Aufbewahrungspflichten, Löschung

Ihre Kontakt- und Bankdaten werden gelöscht, sobald nach Ende des Teilnehmervertrages unsere Aufbewahrungspflichten im Rahmen der steuerlichen und handelsrechtlichen Aufbewahrungspflichten enden. Soweit Sie uns eine Einwilligung erteilt haben, Sie mit Informationen zu neuen Projekten, zu unseren Produkten etc. zu informieren, speichern wir Ihre Kontaktdaten über den Zeitraum der Aufbewahrungspflichten hinaus, es sei denn Sie widerrufen Ihre Einwilligung. Ihre gesundheitsbezogenen Daten und Audio-Dateien werden, soweit als möglich, anonymisiert oder mindestens pseudonymisiert, solange gespeichert bis die Produkthaftungs- und/oder Transparenzverpflichtungen nach Ende des Produktlebenszyklus des Produktes und / oder des trainierten Algorithmus enden. Widerrufen Sie Ihre Einwilligung zur Teilnahme am Projekt bevor Sie die NELA Sound App aktiviert haben, löschen wir Ihre Daten unverzüglich. Machen Sie von Ihrem Widerrufsrecht Gebrauch bevor eine Verarbeitung der erhobenen Audio-Dateien zu den Projektzwecken stattgefunden hat, löschen wir Ihre Daten ebenfalls unverzüglich, es sei denn Ihr Recht auf Löschung ist gemäß Art. 17 Abs. 3 c) und d) DS-GVO sowie Art. 9 Abs. 2 i) DS-GVO aus forschungsbezogenen Gründen eingeschränkt.

7. Maßnahmen zum Schutz Ihrer Daten, Datenschutzgarantien hinsichtlich Drittstaaten

Bei jeder Erhebung, Speicherung, Nutzung und Übermittlung von Daten (Verarbeitung) bestehen Vertraulichkeitsrisiken (z. B. die Möglichkeit, die betreffende Person zu identifizieren). Diese Risiken lassen sich nicht völlig ausschließen und steigen, je mehr Daten, Datenquellen und Datenverarbeiter miteinander verknüpft werden können. Medizinische Risiken sind mit der Datenverarbeitung nicht verbunden. Wir schützen Ihre Daten nach dem Stand der Technik und prüfen regelmäßig im Rahmen unseres Datenschutzkonzeptes die Erforderlichkeit von Datenschutzfolgenabschätzungen. Unsere Mitarbeiter und Subunternehmer werden auf den Datenschutz verpflichtet. Wir wählen die Dienstleister, welche wir in die Verarbeitung der Daten einbeziehen, sorgfältig aus und haben ein Risikomanagementsystem eingeführt. Die Daten können auch in Länder außerhalb des EU-Binnenraumes weitergegeben werden, z. B. in die USA, Großbritannien, Indien oder Ukraine. In diesen Ländern kann generell ein geringeres Datenschutzniveau bestehen. Wir beziehen Dienstleister zur Verarbeitung von personenbezogenen Daten nur soweit als nötig und wegen deren besonderer Expertise ein. Und ebenfalls nur sofern diese Dienstleister Garantien im Sinne des Artikels 46 der DS-GVO, z. B. unterzeichnete EU-Standardvertragsklauseln und Maßnahmen zur Wahrung Ihrer Betroffenenrechte sowie technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit und des Datenschutzes, erbringen, oder aber ein Angemessenheitsbeschluss der EU-Kommission vorliegt, wie z. B. für Großbritannien. Bei der Einbeziehung von Dienstleistern aus Drittstaaten können Sie Informationen zu den vereinbarten Datenschutzgarantien bei unserem Datenschutzbeauftragten anfordern.

8. Betroffenenrechte

Sie haben das Recht, Auskunft über die von Ihnen gespeicherten personenbezogenen Daten (einschließlich einer kostenlosen Überlassung einer Kopie der Daten) zu verlangen. Ebenfalls können Sie die Berichtigung unzutreffender Daten und die Einschränkung ihrer Verarbeitung verlangen. Hierfür stehen Ihnen hinsichtlich der Trainingsdaten die Funktionen in der App zur Kategorisierung der Daten sowie der Kundenservice hinsichtlich des Verlangens der Löschung oder Einschränkung der Verarbeitung zur Verfügung. Soweit Ihre Daten pseudonymisiert verarbeitet werden, bedarf dies einer Verwendung der Zuordnungsliste, um die verarbeiteten Daten zur Erfüllung Ihrer Betroffenenrechte personenbeziehbar zu machen. Soweit wir Ihre Daten nach Art. 6 Abs. 1 f) DS-GVO wegen eines berechtigten Interesses verarbeiten, haben Sie das Recht zum Widerspruch. Ferner haben Sie das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Die für Carepath zuständige Aufsichtsbehörde ist der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstraße 219, 10969 Berlin; Telefon: +49 (0)30 13889-0; Telefax: +49 (0) 2155050; E-Mail: mailbox@datenschutz-berlin.de.