Datenschutzhinweise für den geschützten Kundenbereich „Meine DAK“ (Meine DAK) einschließlich der Registrierung über das Identity Access Management (IAM)
Im Folgenden informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten bei Nutzung des geschützten Kundenbereichs „Meine DAK“. Mit Meine DAK können Versicherte der DAK-Gesundheit verschiedene Funktionen und Angebote, wie beispielsweise das Einreichen von Dokumenten nutzen. Zudem haben wir und Sie die Möglichkeit miteinander zu kommunizieren, so dass Sie insbesondere Post von der DAK-Gesundheit auf elektronischem Weg erhalten können.
Die Nutzung von Meine DAK setzt eine Digitale Identität (= Benutzerkonto) voraus, die durch das IAM in einem Registrierungsprozess erzeugt und dem Versicherten mit Hilfe der DAK App zur Verfügung gestellt wird.
1. Gemeinsame Datenschutzhinweise für Meine DAK und das IAM
1.1 Verantwortlicher und Datenschutzbeauftragte
Verantwortlicher im Sinne von Art. 4 Nr. 7 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, kurz „DSGVO“) für die Verarbeitung Ihrer personenbezogenen Daten in Meine DAK und IAM ist die:
1.2 Einbindung von Dritten
Wir geben Ihre Daten nicht an Dritte weiter.
Meine DAK und das dazugehörige Identity Access Management System („IAM“) werden von der DAK-Gesundheit in ihren Systemen sowie in den Systemen ihres technischen Dienstleisters, die BITMARCK Unternehmensgruppe, betrieben. Diese Dienstleister werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet die gesetzlichen Datenschutzbestimmungen einzuhalten und agieren wie ein „verlängerter Arm“ der DAK-Gesundheit und sind somit keine Dritte. Es handelt sich um folgende Auftragsverarbeiter:
- BMT (BITMARCK Technik GmbH, Hammerbrookstraße 38, 20097 Hamburg)
- BMVP (BITMARCK Vertriebs- und Projekt GmbH, Kruppstraße 64, 45145 Essen)
- BMSW (BITMARCK Software GmbH, Kruppstraße 64, 45145 Essen)
- BMS (BITMARCK Service GmbH, Kruppstraße 64, 45145 Essen)
- BMB (BITMARCK Beratung GmbH, Putzbrunner Str. 93, D-81739 München)
1.3 Datenverarbeitung außerhalb der Europäischen Union
Eine Verarbeitung der Daten unserer Versicherten außerhalb der europäischen Union findet nicht statt.
1.4 Betroffenenrechte (Art. 15 ff DSGVO)
- Unsere Versicherten haben das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Diesbezüglich können sich unsere Versicherten jederzeit an die DAK-Gesundheit wenden.
- Unsere Versicherten haben das Recht auf Berichtigung oder Löschung, oder auf Einschränkung der Verarbeitung im Rahmen der gesetzlichen Vorgaben.
- Unsere Versicherten haben ein Widerspruchsrecht gegen die Verarbeitung der personenbezogenen Daten im Rahmen der gesetzlichen Vorgaben.
- Unsere Versicherten haben ein Recht auf Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.
1.5 Beschwerderecht bei einer Aufsichtsbehörde
Unsere Versicherten haben das Recht, sich über die Verarbeitung personenbezogener Daten bei einer der folgenden Aufsichtsbehörden zu beschweren.
Graurheindorferstraße 153, 53117 Bonn
Telefon: +49 (0)228 997799-0
Fax: +49 (0)228 997799-5550
E-Mail: poststelle@bfdi.bund.de
Bundesamt für Soziale Sicherung
Friedrich-Ebert-Allee 38, 53113 Bonn
Telefon: +49 (0)228-619-0
Telefax +49 (0)228619-1870
2. Datenschutzhinweise für das IAM
2.1 Umfang der Datenverarbeitung des IAM
Bei der Erstellung und Nutzung der digitalen Identität werden personenbezogene Daten aus folgenden Datenkategorien unserer Versicherten verarbeitet:
- Administrative Krankenversicherungsdaten (z.B. Versichertennummer, Versicherungszeit)
- Allgemeine Personendaten (z.B. Name, Anschrift, Geburtsdatum)
- Administrative Registrierungsdaten (z.B. Art und Nummer eines amtlichen Ausweisdokuments, Schutzklasse der Identifikation, Passwörter)
- Nutzungsdaten (z.B. Zeitpunkt des Logins, Anzahl der Fehlversuche beim Login)
- Gerätedaten (z.B. Gerätemodell, Betriebssystemversion)
2.2 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für den IAM Registrierungsprozess ist § 291 Abs. 8 SGB V in Verbindung mit der Richtlinie des GKV-Spitzenverbandes zu Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme nach § 217f Absatz 4b SGB V.
2.3 Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten zur Erstellung und Nutzung seiner digitalen Identität.
2.4 Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.
Zur Löschung der Digitalen Identität (Benutzerkonto) muss ein separater Auftrag erfolgen. Sollte lediglich die Löschung einer digitalen Anwendung (z.B. Meine DAK oder DAK App) angestoßen werden, bleibt die digitale Identität erhalten.
Der Tod des Nutzers führt nicht zu einer automatischen Löschung seiner im IAM gespeicherten Daten. Die Löschung der IAM-Daten nach dem Tod des Nutzers kann nur durch die Bevollmächtigten oder Erben mittels schriftlicher Kündigung unter Nachweis der Erbenstellung bzw. der Bevollmächtigung erfolgen.
2.5 Recht auf Widerruf der Einwilligungserklärung
Die Einwilligungserklärung in die Nutzung der digitalen Identität (IAM) kann jederzeit im geschützten Kundenbereich widerrufen werden.
Bei Widerruf der Einwilligungserklärung zum IAM (digitalen Identität) wird der Zugang zu Meine DAK gesperrt.
2.6 Beschreibung der Services des IAM
2.6.1 Registrierung mittels Erstellung einer digitalen Identität
Zur Anlage einer digitalen Identität muss ein Registrierungsprozess in der DAK App durchschritten werden.
Es werden folgende Daten abgefragt:
- Versichertennummer
- die letzten 6 Ziffern der Kennnummer der elektronischen Gesundheitskarte (ICCSN)
- Postleitzahl
- E-Mail-Adresse
- Eingabe eines individuellen Passworts (inkl. Wiederholung)
Zusätzlich müssen Sie, als versicherte Person, folgenden Dokumenten zustimmen:
- Einwilligungserklärung zum IAM (Einwilligung in die Nutzung des IAM)
- Nutzungsbedingungen des IAM
Im Folgenden ist die angegebene E-Mail-Adresse zu verifizieren und die versicherte Person legt den 2. Faktor (selbstständig gewählter App-Code) an, einschließlich der Verknüpfung zwischen App und Gerät (Gerätebindung). Abschließend muss der Prozess zur sicheren Identifizierung durchlaufen werden (Details dazu siehe nächster Abschnitt).
Damit sind die Voraussetzungen für die Nutzung von Meine DAK abgeschlossen. Dies gilt auch für den Registrierungsprozess anderer digitaler Anwendungen (z. B. der DAK App).
2.6.2 Identifizierung – Nachweis der Identität
Um sicherzustellen, dass hinter einer digitalen Identität ein echter, existierender Versicherter steht, muss sich die jeweilige Person identifizieren. Sie muss sich dazu mittels Ihres offiziellen Ausweisdokumentes entweder lokal (beispielsweise in der Geschäftsstelle) oder online als Person ausweisen.
Das IAM bietet für den Vorgang der Identifizierung folgende Verfahren an:
- PostIdent
- NFC eGK
- Aktivierungscode (in der Geschäftsstelle)
2.6.3 Einloggen am Benutzerkonto
Um digitale Anwendungen und Services nutzen zu können, bedarf es einer Anmeldung am Benutzerkonto.
Es werden Daten folgender Kategorien erhoben und verarbeitet:
- Administrative Krankenversicherungsdaten (z.B. Versichertennummer)
- Administrative Registrierungsdaten (z.B. Passwörter)
- Nutzungsdaten (z.B. Zeitpunkt des Logins, Anzahl der Fehlversuche beim Login)
Der Zweck der Verarbeitung dieser Daten ist:
- Anmeldung am Nutzerkonto
- die Verhinderung eines Missbrauchs unserer Dienste und
- die Aufklärung von begangenen Straftaten im Bedarfsfall
Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO i.V. mit § 217f Abs 4b SGB V. In den Zwecken liegt auch unser berechtigtes Interesse an der Verarbeitung. Die Daten werden gelöscht, wenn Sie für die Verarbeitungszwecke nicht mehr erforderlich sind.
2.6.4 Fehleranalyse durch einen Fehlerreport versenden
Zur Fehleranalyse und Fehlerbehebung im Rahmen des Registrierungsprozesses für die digitale Identität werden Daten von der DAK-Gesundheit und ihren Dienstleistern im IAM automatisiert und pseudonymisiert gespeichert.
Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.
Es handelt sich um Daten folgender Kategorien:
- Gerätedaten (z.B. Gerätemodell, Version des Betriebssystems, Version der App)
- Nutzungsdaten (z.B. technische Beschreibung des Fehlers, Zeitpunkt des Fehlers, Session-ID)
3. Datenschutzhinweise für unseren geschützten Kundenbereich Meine DAK
In Meine DAK bieten wir Leistungen und Inhalte ausschließlich für Mitglieder der DAK-Gesundheit an. Zudem haben wir und Sie die Möglichkeit miteinander zu kommunizieren, so dass Sie insbesondere Post von der DAK-Gesundheit auf elektronischem Weg erhalten können.
3.1 Rechtsgrundlagen und Zwecke der Verarbeitung
Der Zweck und die Rechtsgrundlagen für die in Meine DAK stattfindenden Verarbeitung Ihrer personenbezogenen Daten, sind abhängig davon, welchen Service und welche Leistungen Sie in nutzen.
Wenn Sie Services aus dem Bereich Leistungen der Kranken- oder Pflegekasse nutzen – wie z. B. den Antrag auf Hilfsmittel, den Auslandskrankenschein oder Krankengeldangelegenheiten – finden Sie die Informationen zur Verarbeitung Ihrer Daten hier:
Informationen zur Verarbeitung Ihrer Daten, wenn Sie Services aus den Bereichen Mitgliedschaft oder Beitragsfragen nutzen – wie zum Beispiel Beitragserstattungen oder Angelegenheiten der Familienversicherung – finden Sie hier:
Informationen zur Verarbeitung Ihrer Daten, wenn Sie an Werbe- oder Gewinnspielaktionen teilnehmen, finden Sie hier:
2-Faktor-Authentifizierung für bestimmte Dienste
Die Nutzung der Services und Formulare von „Meine DAK“ (im Folgenden: „Gesicherte-Dienste“) ist in der Regel nur nach einer 2-Faktor-Authentifizierung möglich. Die 2-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene für die Gesicherten-Dienste. Mit ihr wird sichergestellt, dass nur Sie auf die Gesicherten-Dienste zugreifen können, auch wenn eine andere Person Ihr Passwort kennt.
Die 2-Faktor-Authentifizierung erfolgt über die DAK App und erhöht das Sicherheitsniveau für die Gesicherten-Dienste durch die Kombination zweier unterschiedlicher, unabhängiger Komponenten.
Eine genaue Beschreibung der 2-Faktor-Authentifizierung und viele weitere Informationen finden sie in den Nutzungsbedingungen für Meine DAK und die DAK App:
3.2 Löschen der Daten
Ihre Daten werden so lange gespeichert wie Sie unseren geschützten Kundenbereich „Meine DAK“ nutzen. Wenn Sie Ihre Digitale Identität löschen, wird auch Ihr Kundenbereich Meine DAK mit kurzer Verzögerung nicht mehr funktionsfähig sein.
Ihre Mitgliedschaft bei der DAK-Gesundheit und Ihre von uns im Rahmen unserer gesetzlichen Aufgaben nach dem Sozialgesetzbuch verarbeiteten Sozialdaten sind von der Löschung nicht betroffen.
3.3 Aktualität und Änderung dieser Datenschutzhinweise
Diese Datenschutzhinweise sind aktuell gültig und haben den Stand 1.2.2023. Infolge der Weiterentwicklung dieser App und ihrer Inhalte, aufgrund geänderter gesetzlicher Bestimmungen oder aufsichtsbehördlicher Vorgaben kann es notwendig werden, diese Datenschutzhinweise zu ändern. Die jeweils aktuellen Datenschutzhinweise können jederzeit im Menü unter „Datenschutz“ von Ihnen abgerufen werden.