Datenschutzerklärung der Stay Informed Lösung

Stand: 29.11.2024

Wir freuen uns, dass Sie („EndnutzerInnen, „NutzerInnen“ oder „Beschäftigter“) die Stay Informed Lösung („Lösung“) nutzen. Wir, die Stay Informed GmbH, Basler Straße 67, D-79100 Freiburg („wir“ oder „Stay Informed“) haben die Lösung entwickelt. Im Auftrag der Einrichtungen („Einrichtung“ oder „Auftraggeber“) sind wir für den Betrieb der IT-Systeme der Lösung verantwortlich. Wenn Sie als NutzerIn über die Lösung kommunizieren, werden dabei personenbezogene Daten verarbeitet.

 

1. Wozu dient unsere Lösung?

EndnutzerInnen und Beschäftigte der Einrichtung können über die Lösung miteinander kommunizieren, nachdem Sie sich registriert haben. Die Lösung bietet optionale, durch Sie konfigurierbare Funktionen wie eine Benachrichtigung zu neuen Mitteilungen oder das Abspeichern von Terminen in Ihrem Smartphone. 

 

Das optionale Modul „Teamplanung“ ermöglicht es den angegliederten Einrichtungen/Organisationen des Vertragspartners im ersten Schritt die Zeiterfassung, später den Dienstplan und die Abwesenheiten für Mitarbeitenden zu erfassen und für die Organisation zu nutzen. 



 

2. Wer ist für die Verarbeitung personenbezogener Daten der Lösung datenschutzrechtlich verantwortlich?

„Verantwortlicher“ im Sinne des Datenschutzrechts ist der Auftraggeber. Stay Informed als Auftragnehmer betreibt die Lösung und stellt die damit verbundenen Dienste im Auftrag bereit. Da Stay Informed dabei auch personenbezogene Daten verarbeitet, hat Stay Informed  mit dem Auftraggeber eine AVV bzw. Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates nebst Anhängen vereinbart. Stay Informed hat sich zu bestimmten technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten und zum weisungsgemäßen Umgang dieser verpflichtet. 

 

Als Auftragsverarbeiter ist die Stay Informed nicht befugt, konkrete Auskünfte zu den über Sie gespeicherten Daten zu erteilen oder Daten auf Ihre Anweisung hin zu löschen oder zu sperren.  
 

Wenn Sie die Plattform-Lösung (Mobile-App) über einen App-Store installieren, werden beim Herunterladen personenbezogene Daten erhoben. Dies liegt jedoch weder in der Hand der Stay Informed noch in der Ihrer Einrichtung/Ihres Trägers. Für den Datenschutz im App-Store ist allein dessen Betreiber verantwortlich. Hinweise dazu finden Sie in der jeweiligen Datenschutzerklärung: Apple App Store, Google Play Store. 

 

Wenn Sie sich über die Mobile-App registrieren und über die Plattform-Lösung mit Ihrer Einrichtung kommunizieren, erhebt und verarbeitet der Träger (Auftraggeber/Verantwortlicher) Ihrer Einrichtung personenbezogene Daten und ist dafür verantwortlich. Der Träger bzw. Ihre Einrichtung im Namen des Trägers, muss Sie über diese Verarbeitung informieren und ggf. nötige Einwilligungen einholen. Hinweise dazu finden Sie in der Datenschutzerklärung Ihrer Einrichtung. 


 

3. Welche personenbezogenen Daten werden erhoben?

Technische Parameter, die durch die Nutzung der Mobile-App automatisch erfasst werden: 

  • Stay Informed-interne Benutzerkennung (damit Sie Ihre E-Mail-Adresse ändern können) 
  • Datum, Zeit, Login-Name, Mobile-App-Typ und -Version (zur Sicherstellung des Betriebs) 

 

Diagnosedaten, die in der Mobile-App optional freiwillig erhoben werden: 

  • Gerätetyp, App-Version, Spracheinstellung, ungefährer Standort, Netzwerk, 
    Akkustand, freier RAM-Speicher, Bildschirmauflösung, wie oft die App aufgerufen wird 

 

Administration: Beschäftigte des Auftraggebers 

  • Stammdaten 
  • optional: Profilfoto 
  • Login: Stay Informed-interne Benutzerkennung, Passwort 
  • EndnutzerInnen: Vor- und Nachname, E-Mail-Adresse, Gruppenzugehörigkeiten 

 

  • Protokolldaten 
  • Anmeldungen: Datum, Zeit, Login-Name 
  • Kommunikation 
  • Nachrichteninhalte, Dateianlagen 

 

Bei Nutzung der optionalen Funktionalität Teamplanung, (MitarbeiterInnen des Trägers, MitarbeiterInnen der Einrichtungen) 

 

  • Team-Planung 
  • Vertraglich vereinbarte Arbeitszeiten incl. Pausen 
  • Erfasste Abwesenheiten (evtl. Gruppeneinsicht)  
  • Einstempeln/Ausstempeln 
  • Manuelle Korrekturen 
  • Kommentar 

Kommunikation über die Lösung: EndnutzerInnen (z.B. Sorgeberechtigte, ggf. Beschäftigte des Auftraggebers) 

  • Stammdaten 
  • optional: Profilfoto 
  • Login: Stay Informed-interne Benutzerkennung, Passwort 
  • EndnutzerInnen: Vor- und Nachname, E-Mail-Adresse, Gruppenzugehörigkeiten 

 

  • Protokolldaten 
  • Anmeldungen: Datum, Zeit, Login-Name, App-Typ und -Version 

 

  • Kommunikation 
  • Nachrichteninhalte, Dateianlagen, Lese-Status 
  • Rückmeldungen, optional: Unterschrift 

 

Verwaltete Personen (z.B. Kinder, die keinen eigenen Zugang haben) 

  • Stammdaten 
  • Vor- und Nachname, Gruppenzugehörigkeiten 

 

  • optional 
  • Profilfoto 
  • Geburtsdatum 
  • Teilnahme am Mittagessen, Bring- und Abholzeiten inkl. Zeitstempel 
  • Abwesenheitsmeldungen 

Zusätzlich einpflegbare Personen (z.B. Abholberechtigte / Notfallkontakte, die keinen eigenen Zugang haben) 

  • Stammdaten 
  • Vor- und Nachname 
  • Notfallkontakte: Telefonnummer 
  • Abholberechtigte: optional Profilfoto 

 

Außer dem Passwort sind alle vorgenannten Daten für Verwaltungsberechtigte der Einrichtung sichtbar. Die Einrichtung kann den Zugriff einschränken, sodass nur die Beschäftigten, die mit Ihnen (bzw. der betreuten Person) zu tun haben, Ihre Daten und die Daten der betreuten Person sehen (Need-to-know-Prinzip). Ihre E-Mail-Adresse ist für andere EndnutzerInnen nicht sichtbar.

 

Alle Daten zur betreuten Person und alle Kommunikationsdaten liegen zentral auf geschützten Servern in einem deutschen Rechenzentrum. Auf Ihren Geräten werden nur die Anmeldedaten (falls Sie „Anmeldung merken“ verwenden) und Einstellungen der Mobile-Apps gespeichert. 
 



 

4. Zu welchen Zwecken und wie lange werden diese Daten genutzt? Wie kann ich sie ändern und löschen?

Die Anmeldedaten werden für den Zugang benötigt. Automatisch erhobene Daten gewährleisten den stabilen Betrieb der Plattform-Lösung. Alle anderen Daten dienen nur der Kommunikation zwischen Endnutzern und Einrichtung. 

 

Selbst eingegebene Stammdaten können Sie jederzeit ändern. Von der Einrichtung eingepflegte Daten kann nur diese ändern. Sollten Daten falsch eingepflegt sein, wenden Sie sich bitte an Ihre Einrichtung. 

 

Wenn Sie unsere Mobile-App von Ihrem Smartphone löschen, werden alle dort gespeicherten Daten der Mobile-App (Anmeldedaten und Einstellungen) gelöscht. Durch das Löschen der Mobile-App werden keine Daten auf den Servern der Plattform-Lösung gelöscht. Falls Sie Ihre Daten dort löschen möchten, wenden Sie sich bitte an Ihre Einrichtung. Klicken Sie hierfür in der Mobile-App auf „Konto-Einstellungen“, anschließend auf „Mein Konto löschen”. 

 

Falls der Träger (Vertragspartner) Ihrer Einrichtung den Vertrag mit uns kündigt, werden alle Daten der Einrichtung in der Plattform-Lösung nach 30 Tagen gelöscht. Nach der Löschung Ihrer Daten sind diese noch in Datensicherungen (Backups) enthalten. 

 

Zur Wiederherstellbarkeit bei einem Systemausfall oder zur Rekonstruktion von Bugs, die evtl. einen Impact verursacht haben könnten, werden zwei voneinander unabhängige Backups verschiedener Standorte erstellt. Auf einem dieser Server werden alle erstellten Backups älter 14 Tage gelöscht, das zweite Backup (Notfallkonzept), das eine Archiv-Funktion aufweist, wird ortsunabhängig auf einem Server im EWR verschlüsselt nachgehalten und längstens 24 Monate zu oben genannten Zwecken gespeichert um sodann fortlaufend gelöscht zu werden.


 

5. Werden personenbezogene Daten an Dritte weitergegeben?

Der Hauptteil unserer Lösung (Anwendung und Datenbank) wird auf von Stay Informed betriebenen Servern in einem deutschen Rechenzentrum verarbeitet. Das ISO 27001-zertifizierte Rechenzentrum hat technische und organisatorische Maßnahmen zum Schutz Ihrer Daten umgesetzt. 

 

Um Sie zu benachrichtigen, wenn Ihre Einrichtung eine neue Nachricht geschickt hat, setzen wir die auf Smartphones übliche und energiesparendste Technologie „Push-Benachrichtigungen“ ein. Wir versenden diese über den Dienst Firebase Cloud Messaging aus einem Google-Rechenzentrum in Europa – mit minimalen Daten (nur Betreff) und der Einstellung „keine Nutzung durch Google für die Verbesserung anderer Google-Dienste“. 

 

Falls Sie darum bitten, werden Benachrichtigungen stattdessen per E-Mail versendet. Dazu verwenden wir ein SMTP-Relay des deutschen Anbieters Inxmail. 

 

Um nicht deutschsprechenden Personen die Nutzung der Stay Informed Lösung (App) zu erleichtern, haben wir einen Übersetzungsdienst integriert. Mit dessen Hilfe können Sie Nachrichten und Dokumente auf Abruf übersetzen lassen. Dann sendet unser Server die die Anforderung an OpenAI-API. Stay-Informed betreibt bei OpenAI https://trust.openai.com/ ein eigenes nur für Stay Informed betriebenes KI-System, OpenAI-API. Dies ist ein geschlossenes System. Nur autorisierte Personen haben Zugriff auf diese Anwendung. Personenbezogene Daten, die in dieser Anwendung evtl. verarbeitet werden, werden nicht zum Anlernen von KI-Datenbanken genutzt. Zur Übersetzung der Inhalte der Anforderung nutzt OpenAI ein LLM (Large-Language-Modell). In diesem System werden aufgrund der technischen Bearbeitung (Tokenisierung) keine personenbezogenen Daten verarbeitet. Einzig der Input und der Output beinhalten personenbezogene Daten. 

 

Bei der Übersetzungsfunktion kommt es zu einem Datentransfer in die USA. Hierfür sind entsprechende technische und organisatorische Maßnahmen (wie Standardvertragsklauseln, Verschlüsselungen) umgesetzt worden. 

 

Im Übrigen werden personenbezogene Daten nicht an Dritte weitergegeben oder durch Dritte verarbeitet, es sei denn, wir sind dazu aufgrund gesetzlicher Bestimmungen und/oder behördlicher oder gerichtlicher Anordnungen verpflichtet. 



 

6. Wie sicher ist die Kommunikation über die Lösung? Wer kann Daten einsehen?

Die Plattform-Lösung kann nur über verschlüsselte Verbindungen erreicht werden. Unsere Mobile-Apps verwenden den höchsten Sicherheitsstandard für HTTPS, derzeit TLS 1.3. Damit Sie auch mit etwas älteren Browsern auf die Lösung zugreifen können, verlangen unsere Server mindestens TLS 1.2.

 

Die Lösung ist als geschlossenes System ausgelegt. Nachrichteninhalte können z.B. nicht per E-Mail versendet werden. Durch getrennte Datenbanken sind Einrichtungen voneinander getrennt. 

 

Durch ein Rechtekonzept kann die Einrichtung festlegen, welche ihrer Beschäftigten, welche Daten sehen dürfen. Nur autorisierte Personen (weisungsberechtigte Personen) können uns bei technischen Problemen anweisen, auf Ihre Daten zuzugreifen. Unser Support ist hierzu speziell geschult und zur Geheimhaltung verpflichtet. 


 

7. An wen können Sie sich mit Fragen oder Beschwerden zum Datenschutz wenden?

Wenn Sie Fragen haben, können Sie sich an die jeweils Verantwortlichen wenden: den App-Store-Betreiber oder die Einrichtung. Ansprechpartner finden Sie in deren Datenschutzhinweisen.

 

Sie haben ferner das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Bei kommunalen und privaten Einrichtungen sind das die Landesdatenschutzbeauftragten Ihres Bundeslandes. Bei kirchlichen Einrichtungen die Aufsichtsbehörde der Kirche Ihrer Einrichtung.

 

Schließlich stehen auch wir mit unserem Datenschutzteam (bestehend aus einem externen Datenschutzbeauftragten sowie mehreren MitarbeiterInnen bei Stay Informed) bei Fragen oder Kritik gerne zur Verfügung. Sie erreichen uns per E-Mail unter datenschutz-anfrage@stayinformed.de.


 

8. Fortentwicklung der Lösung und Änderung der Datenschutz­erklärung

Wir entwickeln die Lösung kontinuierlich weiter. Wenn dies Auswirkungen auf die Erhebung und Nutzung personenbezogener Daten hat, passen wir diese Datenschutzerklärung an. Bitte sehen Sie die Hinweise also ab und zu durch, damit Sie stets auf dem neusten Stand sind.

 

 

9. Ihre Rechte

Ihre Rechte als „Betroffene/r“  

  • das Recht auf Auskunft Art. 15 DSGVO 
  • das Recht auf Berichtigung Art. 16 DSGVO 
  • das Recht auf Löschung Art. 17 DSGVO 
  • das Recht auf Einschränkung der Verarbeitung Art. 18 DSGVO 
  • das Recht auf Datenübertragbarkeit Art. 20 
  • das Recht auf Widerspruch gemäß Art. 21 
  • das Recht auf Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DSGVO 

Die vollständigen Betroffenenrechte finden Sie in der Europ. Datenschutzgrundverordnung (DSGVO): https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE  

 

Die zuständige Aufsichtsbehörde ist: Unterscheidet sich je nach Bundesland und ist im Internet abrufbar für Ihr jeweiliges Bundesland. 

Lothar Ganter

Sie haben Fragen rund um Datenschutz und IT-Sicherheit?

Unser Datenschutz-Team ist für Sie da. Schreiben Sie uns oder rufen Sie uns an – Wir beraten Sie gerne.
+49 761 6108990
datenschutz-anfrage@stayinformed.de

Unser Datenschutz- & Sicherheitsteam

Externer Datenschutzbeauftragter

Herr Olav Seyfarth von "Datenschutz individuell"


Seit Januar 2021 berät Olav Seyfarth als externer Datenschutzbeauftragter die Stay Informed GmbH und sorgt dafür, dass die DSGVO-konformen Prinzipien Privacy by Design und Privacy by Default erfüllt werden.

Externer IT-Sicherheitsberater

Firma aramido, Leitung: Herr Armin Harbrecht


Armin Harbrecht von der aramido GmbH unterstützt Stay Informed als externer Informationssicherheitsbeauftragter und prüft die Stay Informed Lösung regelmäßig durch Pentests nach BSI- und OWASP-Standards.

Internes Datenschutz-Team

Herr Lothar Ganter und Herr Dietmar Redetzky

 

Unser internes Datenschutz-Team stellt täglich die Einhaltung der höchsten Datenschutzstandards sicher und steht Ihnen bei Fragen zur Verfügung.

Datensicherung

Hosting

in Deutschland

Verschluesselung

Verschlüsselte

Datenübertragung

Datenschutz

Sicherer & DSGVO-konformer

Umgang mit Daten

Ausgezeichent

Ausgezeichnete

Lösung