Datenschutzerklärung – CovSocial App

Die CovSocial App wurde im Rahmen der Studie CovSocial – Phase 2 der Forschungsgruppe Soziale Neurowissenschaften der Max-Plack-Gesellschaft unter der Leitung von Prof. Dr. Tania Singer und in Zusammenarbeit mit der Firma CosmoCode GmbH entwickelt. Die App ist durch ein Log-In gesichert, womit die Funktionen der App lediglich durch Studienteilnehmer*innen verwendet werden können. Diese haben bereits ein Nutzerkonto erstellt.

  1. Datenschutzgrundsätze

Die folgende Datenschutzerklärung lehnt sich an dem Datenschutzkonzept (DSK) der Studie an, welche Bezug auf das Rahmendatenschutzkonzept und der sonstigen zentralen datenschutzrechtlichen Vorgaben der Charité – Universitätsmedizin Berlin im Umgang mit Betroffenenrechten und Meldepflichten in der jeweils gültigen Fassung nimmt. Begriffe und Grundsätze werden gemäß den dort entsprechenden Definitionen verwendet.

  1. Organisation

Dieses DSK beschreibt die Organisation der App für das Forschungsprojekt „CovSocial“ und zeigt auf, welche Anforderungen zum Schutz von personenbezogenen Daten eingehalten werden. Verantwortlich für das Einhalten des Datenschutzes sind die im folgenden genannten projektverantwortliche Studienleiterin und der App-Entwickler:

Studienleiterin CovSocial Projekt

Prof. Dr. Tania Singer (Gastwissenschaftlerin Charité)

Social Neuroscience Lab

Max-Planck-Gesellschaft

Campus Nord, Haus5
Humboldt-Universität zu Berlin
Philippstrasse 13
10099 Berlin
Tel.: +49 30 209346184

E-Mail: singer@social.mpg.de

 

App-Entwickler

CosmoCode GmbH

Prenzlauer Allee 36G

10405 Berlin

Tel.: +4930 8145040 70

E-Mail: info@cosmocode.de

 

Die Regeln gelten für alle Mitarbeiter*innen des Projekts CovSocial der Forschungsgruppe Soziale Neurowissenschaften der Max-Planck-Gesellschaft und beim Digitaldienstleister CosmoCode.

 

 

  1. Datenschutzmaßnahmen

Für alle personenbezogenen Daten, die erhoben und pseudonymisiert gespeichert und abgelegt und mit den Kooperationspartnern geteilt werden, sind gemäß Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisteten. Darin sind Datenfluss, Speicherung und Sicherung der Daten sowie Prinzipien des internen und externen Zugriffs, der Einwilligung zur Studienteilnahme sowie des Datenschutzkonzeptes spezifiziert. Das Datenschutzkonzept erfolgt in Abstimmung mit der behördlichen Datenschutzbeauftragten der Charité – Universitätsmedizin Berlin.

Gemäß EU-DSGVO wird durch Bereiche mit unterschiedlicher Datensicherheitsstufe bzw. getrennter Datenspeicherung für Einwilligungserklärung und personenbezogene Daten einerseits und pseudonymisierte Forschungsdaten andererseits, die nur für jeweils berechtigte Personen zugänglich sind (Konzept definierter Rechte und Rollen) für ein gesetzeskonformes Datenschutzkonzept gesorgt. Das Projekt entspricht internationalen ethischen Standards, der Deklaration von Helsinki, den ICH-Guidelines für Good Clinical Practice sowie dem Memorandum für Gute Wissenschaftliche Praxis der Deutschen Forschungsgemeinschaft.

Die für die Studie geltenden gesetzlichen Bestimmungen des Datenschutzes nach EU-DSGVO sowie des Berliner Landesdatenschutzgesetz werden für alle personenbezogenen Daten erfüllt.

Zwischen der Max-Planck-Gesellschaft (MPG) als Eigentümerin der in diesem Projekt verwendeten WebApp bzw. mobilen App und dem Digitaldienstleister CosmoCode besteht ein Vertrag zur Auftragsvereinbarung (AVV) gemäß Art. 28 DSGVO, der die technischen und organisatorischen Maßnahmen des Dienstleisters im Sinne des Art. 32 DSGVO regelt.

Zwischen der MPG und den für die Studie eingestellten MBSR-TrainerInnen, die mit den TeilnehmerInnen ein telefonisches Screening im Einzelgespräch und wöchentliche Gruppen-Monitoring-Konferenzen in Gruppen (à 20-25 Personen) durchführen, besteht eine Vertraulichkeitsverpflichtung und ein Auftragsdatenverarbeitungsvertrag (AVV) gemäß Art. 28 DS-GVO.

Die App wird im Rahmen der Forschungsstudie CovSocial der Forschungsgruppe Soziale Neurowissenschaften der MPG verwendet. Die App war für die Phase 1 der Studie bereits als Webapp angelegt, bei dem die ProbandInnen sich darüber ein Benutzerkonto mit ihrer E-Mail-Adresse erstellt haben.

  1. Betriebskonzept

Bei der Studie handelt es sich um die Fortführung einer bereits laufenden Online-Studie über Vulnerabilität, Resilienz und sozialem Zusammenhalt während der SARS-CoV-2 Pandemie (www.covsocial.de). In der Phase 1 der Studie gab es in der Einwilligungserklärung eine Zusatzvereinbarung, in der die ProbandInnen ihr Einverständnis erteilt haben, für die Fortführung der Studie nochmals per Email kontaktiert zu werden. Außerdem wurden sie aufgeklärt, dass die zu dem Zeitpunkt erhobenen pseudonymisierten Daten mit den pseudonymisierten Daten der Phase 2 für statistische Analysen in Verbindung gebracht werden können.

Da es sich um eine Fortführung handelt existieren bereits erhobene personenidentifizierende Daten. Diese umfassen E-Mail-Adressen, Namen sowie Adressen der TeilnehmerInnen. In diesem geplanten Studienabschnitt werden zudem Telefonnummern erfasst. In dem ersten Studienabschnitt des Projekts wurde bereits für jede/n Teilnehmer/in eine pseudonyme Identifikationsnummer generiert, die keinen Rückschluss auf die Identität der StudienteilnehmerInnen zulässt. In der Folge sowie in der geplanten Studienphase 2 wird nur diese Probanden-ID für die Kennzeichnung sämtlicher erhobener Daten verwendet. Die Identifikationsnummer sowie personenidentifizierende Informationen sind auf einer Kodierliste auf einem zugriffsgesicherten Subserver des MPI für Infektionsbiologie (MPIIB) gespeichert (im Weiteren Subserver 1 genannt). Das MPIIB versorgt mit seinen Forschungsservern die Forschungsgruppe Soziale Neurowissenschaften der MPG.

Die TeilnehmerInnen werden in Phase 2 per E-Mail zum nächsten Studienabschnitt (Screening) eingeladen. Die TeilnehmerInnen hatten in Phase 1, der erneuten Kontaktaufnahme zur Einladung zum nächsten Studienabschnittes, eingewilligt. Durch einen in der E-Mail enthaltenen Link werden sie auf die Teilnahmeinformation und Einverständniserklärung dieses zweiten Studienabschnitts weitergeleitet, die auf der Web-App der CovSocial Studie (app.covsocial.de) programmiert sind.

Im Folgenden wird der Studienablauf kurz beschrieben. Das Screening besteht aus verschiedenen Fragebögen, einer online Informationsveranstaltung und telefonischen Einzelgesprächen mit ausgewählten TeilnehmerInnen. Anhand der Ergebnisse der psychometrischen Fragebögen werden einige Studieninteressierte von der Studie unter Bezugnahme auf die zuvor definierten Ein- und Ausschlusskriterien ausgeschlossen. Die TeilnehmerInnen werden anhand stratifizierter Randomisierung in drei Gruppen eingeteilt und erhalten eine erneute Teilnehmerinformation und Einwilligungserklärung, welche über die Webapp dargeboten wird und auf dem Subserver 1 des MPIIB gespeichert wird.  Nach einer online Informationsveranstaltung wird eine Auswahl dieser TeilnehmerInnen zur Interventionsphase eingeladen. Im Anschluss daran werden sie in einem telefonischen Einzelgespräch, welches von geschulten TrainerInnen achtsamkeitsbasierter Verfahren durchgeführt werden, in ihrer mentalen Verfassung eingeschätzt und über die Interventionsphase aufgeklärt. Die Interventionsphase besteht aus einem 10-wöchigen Zeitraum, indem tägliche 12-minütige Übungen, wöchentliche Coaching-Sitzungen und wöchentlichen kurzen Fragen durchgeführt werden. In der Interventionsphase wird ein Drittel der TeilnehmerInnen jeweils einer sozio-emotionalen mentalen Trainingsintervention, einer achtsamkeitsbasierten Intervention oder einer Retest-Kontrollgruppe zugeordnet, die die entsprechenden Übungen der Studie über die App durchführen. Zudem werden auch während der Intervention mit der App bestimmte Daten im Alltag der Probanden erhoben (EMA).

Alle Daten werden pseudonymisiert ausgewertet und 10 Jahre gespeichert. Die Speicherorte der verschiedenen Daten werden in den folgenden, die jeweiligen Daten betreffenden Abschnitten, näher spezifiziert. Nach diesem Zeitraum wird die Kodierliste, die es erlaubt, die erhobenen Daten mit den personenidentifizierenden Daten in Verbindung zu bringen, gelöscht. Alle biologischen Proben werden für 10 Jahre gelagert und danach vernichtet.

  1. Datenerhebung

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Im Folgenden wird die Art, der Umfang und Zweck der durch die App erhobenen Daten beschrieben.

1) Personenbezogene Daten

Für die Registrierung wird die E-Mail-Adresse und ein damit zusammenhängendes Passwort erfasst. Dieses dient zur Anmeldung in die App und zur Verifizierung der/des Teilnehmer/in. Die TeilnehmerInnen erklären ihr Einverständnis auf der Web-App. Die Einwilligungserklärung wird in elektronischer Form auf dem Subserver 1 des MPIIB aufbewahrt und verbleibt ausschließlich dort.

Für die Anmeldung zu Phase 2 werden ebenfalls ein Pseudonym, die Adresse und die Telefonnummer der TeilnehmerInnen erfasst. Die Telefonnummer wird für das Vorgespräch erfasst, welches von Meditationstrainer*innen durchgeführt werden. Die Telefonnummern werden an die MeditationstrainerInnen über eine verschlüsselte Datenübertragung in pseudonymisierter Form verschickt. Somit können die MeditationstrainerInnen die Teilnehmer für das Vorgespräch anrufen, aber sie kennen Ihre Identität nicht.

Die Adressen werden erfasst, um die Speichelproben-Kits den TeilnehmerInnen zuzusenden. Die Telefonnummern und Adressen werden ebenfalls im Subserver 1 der MPIIB gespeichert.

Die Web-App generiert eine pseudonyme ProbandInnen-Identifikationsnummer, die keinen Rückschluss auf die Identität der an der Studie teilnehmenden Person zulässt. In der Folge wird nur diese für die Kennzeichnung sämtlicher erhobener Daten verwendet. Die Identifikationsnummer sowie personenbezogene Informationen werden auf einem zugriffsgesicherten Subserver des MPIIB gespeichert. Das MPIIB versorgt mit seinen Forschungsservern die Forschungsgruppe Soziale Neurowissenschaften der MPG. Die Datenerhebung und -speicherung erfolgt auf einem hiervon getrennten Subserver des MPIIB, auf dem auch die Webanwendung installiert ist.

Die selbstgewählten Pseudonyme werden mit der Probanden-Identifikationsnummer verknüpft und werden im Subserver 2 gespeichert. Diese können im Rahmen der Übung, Dyade, von der zugeteilten Partnerperson gesehen werden.

2) Psychologische Fragebogendaten in Selbstauskunft

Alle psychologischen Fragebogendaten werden im Selbstbericht über eine Web-App/App erhoben (app.covsocial.de). Auf der Web-App melden sich die TeilnehmerInnen mit ihrem bereits bestehenden Benutzernamen (E-Mailadresse) und Passwort an. Bei den erhobenen Daten handelt es sich um validierte Standardfragebögen. Die identifizierenden Daten sind dabei (wie bei Phase 1 des CovSocial Projekts) auf dem Subserver 1 des MPIIB abgespeichert. Die Fragebogendaten werden in pseudonymisierter Form auf dem Subserver 2 des MPIIB abgespeichert.

Die Datenerhebung und -speicherung von Fragebogendaten durch die online Web-App/App „app.covsocial.de“ erfolgt auf einem getrennten Subserver des MPIIB, auf dem auch die Webanwendung installiert ist (im Weiteren Subserver 2 genannt). Der Zugriff auf und die Übertragung von ausschließlich pseudonymisierten studienbezogenen Daten von Subserver 2 zu den wissenschaftlichen MitarbeiterInnen des Projekts CovSocial an MPG-externen Einrichtungen erfolgt über eine verschlüsselte Verbindung in das Wissenschaftsnetz.

3) Ecological Momentary Assessment

Über die CovSocial App, die auf Smartphones installiert werden kann, werden zu mehreren Zeitpunkten im Alltag der ProbandInnen Daten erhoben. Hierbei handelt es sich ausschließlich um nicht-personenbezogene Daten. Die Daten werden in pseudonymisierter Form abgespeichert. Die Daten auf dem Smartphone werden mittels Kryptographie verschlüsselt. Es werden keine Daten lokal auf den Smartphones gespeichert, sondern die Daten werden direkt online an den Subserver 2 des MPIIB übermittelt. Die Datenerhebung erfolgt demnach nur mit einer bestehenden Internetverbindung. So wird sichergestellt, dass die erfassten Daten auch bei Verlust des Gerätes keiner unbefugten Person zugänglich sind.

4) Dyaden

In der 10-wöchigen Intervention führen die TeilnehmerInnen tägliche Dyaden durch. Das sind strukturierte Gespräche zwischen zwei TeilnehmerInnen, bei der die Verbindung über die WebApp bzw. App hergestellt wird. Für die Durchführung von Dyaden wird durch die Client-Anwendung eine Audio-Verbindung zwischen zwei StudienteilnehmerInnen hergestellt. Die Audioverbindung ist Ende-zu-Ende-verschlüsselt und kann nur von der Applikation ihrer jeweiligen Dyadenpartnerperson verwendet werden.

Für den Aufbau der Verbindung wird die WebRTC-Technologie verwendet. Dabei tauschen die TeilnehmerInnen zunächst technische Informationen über den Audiostream sowie ihre von außen sichtbaren IP-Adressen aus. Der Austausch geschieht über den Subserver 2 des MPIIB. Mit Hilfe dieser Informationen wird dann von der Client-Anwendung versucht, eine direkte Verbindung zu dem/der jeweils anderen TeilnehmerIn herzustellen. Um eine direkte Audioverbindung mit der Dyadenpartnerperson herzustellen, werden die nach außen sichtbaren IP-Adressen der DyadenteilnehmerIn durch einen STUN-Server der Max-Planck-Gesellschaft ermittelt und der Client-Anwendung der jeweils anderen Dyadenpartnerperson mitgeteilt. Die Ermittlung von IP-Adressen findet nur zum Zwecke des Verbindungsaufbaus statt. Eine Speicherung der IP-Adressen auf dem Server findet nicht statt.

In einigen Fällen kann es vorkommen, dass keine direkte Verbindung zu einer Dyadenpartnerperson hergestellt werden kann. Dies kann unter anderem der Fall sein, wenn sich ein/e TeilnehmerIn in einem Netzwerk befindet, dessen Firewall das Zustandekommen einer Verbindung verhindert. In diesem Fall wird der verschlüsselte Audiostream über einen TURN-Server der MPG geleitet. Der TURN-Server fungiert dabei ausschließlich als Relay und kann den Inhalt der Unterhaltung nicht lesen, da der Audiostream Ende-zu-Ende-verschlüsselt ist. Eine Auswertung oder Speicherung des Audiostreams auf dem Server findet nicht statt.

5) Push-Notifications

Die App versendet verschiedene Push-Notifications, um die TeilnehmerInnen an verschiedenen Momenten zu erinnern:

  • Ausfüllen der EMAs
  • Erinnerung zur Entnahme der Speichelprobe
  • DyadenpartnerIn hat seine Terminpräferenzen eingetragen
  • DyadenpartnerIn hat den Termin geändert
  • DyadenpartnerIn hat sich auf einen Termin geeinigt
  • Die Dyade beginnt in 5 Minuten
  • Dyade wurde nicht durchgeführt

6) Geräteangaben

Die App erfasst das Modell und die Version des Betriebssystems von den Geräten, die die App verwenden. Diese Information ist für die korrekte Funktionsweise der App notwendig.

Die App erfasst einen Gerätetoken, der das Gerät eindeutig identifiziert. Dieser Token ist notwendig um Push-Notifications an einzelne Geräte zuzustellen.

Im Falle eines Anwendungsfehlers wird eine Fehlerbeschreibung mit einer eindeutigen Geräteidentifikation zum Zwecke der dauerhaften Qualitätssicherung in einem Bugtracking System für 12 Monate abgelegt.

Die App erzeugt und speichert einen Auth Token. Dieser wird zur Identifikation des Nutzers nach dem erfolgten Login benötigt und wird solange aufbewahrt, wie die Nutzersession andauert.

7) IP-Adressen

Die Anwendung speichert IP Adressen für den Zeitraum von 14 Tagen in den Serverlogs. Im Falle eines Anwendungsfehlers wird eine Fehlerbeschreibung mit der IP Adresse zum Zwecke der dauerhaften Qualitätssicherung in einem Bugtracking System für 12 Monate abgelegt.

Für die Dauer einer Sprachverbindung ist es aus technischen Gründen notwendig, dass die Geräte der beiden TeilnehmerInnen Kenntnis der IP des jeweiligen Partners haben.

8) Cookies

Die Anwendung verwendet Cookies.

Der Session Cookie wird für den Login Mechanismus verwendet und für 14 Tage ab dem letzten Besuch gespeichert.

Der CSRF Cookie wird als Abwehrmechanismus gegen Cross Site Scripting Attacken eingesetzt und wird für ein 1 Jahr ab dem letzten Besuch gespeichert.

Der SENTRY-SID Cookie wird zur Qualitätssicherung verwendet, um im Falle eines Anwendungsfehlers technische Informationen zu dem Fehler bereitzustellen.

Der SENTRY CS Cookie wird als Abwehrmechanismus gegen Cross Site Scripting Attacken eingesetzt und wird für ein 1 Jahr ab dem letzten Besuch gespeichert.

 

  1. Verwendung von Informationen

Die personenbezogenen Daten werden lediglich zur Identifikation der/s TeilnehmerIn, zur Kontaktaufnahme oder zum Paketversand verwendet. Diese werden zu jedem Zeitpunkt getrennt von den anderen Daten gespeichert. Die Fragebogen-, EMA-, Dyaden- und Meditationsdaten werden mit einem Schlüssel versehen und können nur darüber dem/r TeilnehmerIn zugeordnet werden. Diese Daten werden getrennt von den personenbezogenen Daten gespeichert. Diese Daten sind studienrelevant und dienen der Beantwortung der forschungsbezogenen Fragestellungen. Alle Daten werden pseudonymisiert ausgewertet und 10 Jahre gespeichert. Nach diesem Zeitraum wird die Kodierliste, die es erlaubt, die erhobenen Daten mit den personenidentifizierenden Daten in Verbindung zu bringen, gelöscht.

 

  1. Weitergabe von Daten

Die pseudonymiserten Studiendaten werden lediglich an unsere KooperationspartnerInnen weitergegeben. Diese sind die Medizinische Psychologie der Charité – Universitätsmedizin Berin, Klinik für Psychiatrie und Psychotherapie der Max-Planck-Gesellschaft. Zwischen den Kooperationspartnern besteht ein Kooperationsvertrag und eine Auftragsdatenverarbeitungsvereinbarung, die die Sicherung des Datenschutzes wahren.

  1. Zugriffsrechte

Für die korrekte Funktionsweise der App müssen die NutzerInnen der App folgende Erlaubnisse erteilen:

  • Zugriff auf das Mikrofon
  • Zustellung von Pushnachrichten

 

Es wird kein Nutzungsverhalten durch Tracking Tools (bspw. Apptrace, Adeven, App Annie, Google Analytic für Apps ausgewertet.

  1. Rechte

Die TeilnehmerInnen haben das Recht auf Auskunft über alle ihre personenbezogenen Daten. Sie haben auch Anrecht auf Korrektur eventueller Ungenauigkeiten in ihren personenbezogenen Daten. Sie haben ein Recht auf Löschung der personenbezogenen Daten. Ein Recht auf Löschung pseudonymisierter Studiendaten liegt nur unter der Voraussetzung vor, dass bestimmte Gründe vorliegen. Dies ist insbesondere der Fall bei unrechtmäßiger Verarbeitung oder wenn die Daten zu dem Zweck, zu dem sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind, sie die Einwilligung widerrufen und eine anderweitige Rechtsgrundlage für die Datenverarbeitung nicht gegeben ist oder anstelle des vorbenannten Widerspruchs nach Art. 21 DS-GVO unter den dort genannten Voraussetzungen. Sofern die Löschung die Ziele eines im wissenschaftlichen Interesse durchgeführten Forschungsprojektes zunichtemachen oder wesentlich erschweren würde, besteht kein Recht auf Löschen, Art. 17 Absatz 3 DS-GVO. Zudem gilt das Recht auf Einschränkung der Verarbeitung der personenbezogenen Daten, insbesondere wenn die Verarbeitung unrechtmäßig ist und sie die Einschränkung anstelle des Löschens verlangen (siehe dort) oder solange streitig ist, ob die Verarbeitung personenbezogener Daten rechtmäßig erfolgt, Art. 18 DS-GVO.

Aus technischen Gründen ist es nicht möglich, die IP Adressen ad hoc aus Logfiles zu entfernen. Diese verbleiben solange in den Logfiles, bis diese gelöscht werden.  Aus technischen Gründen ist es nicht möglich, die IP Adresse oder Geräteidentifikation ad hoc aus Bugtrackern oder der Push-Notification Middleware (Firebase) zu entfernen.