covidoo & Datenschutz

Testzentren sicher und komfortabel betreiben

Datenschutz stand schon bei der Konzeption von covidoo an erster Stelle. Wir tun alles, damit Sie Ihr Testzentrum sicher und komfortabel betreiben können.
Alle Informationen auf dieser Seite ersetzen keine Rechtsberatung und haben nicht den Anspruch auf Vollständigkeit!

Deine Daten & die Daten Deiner Gäste in guten Händen:

  • Server in Deutschland
  • Vertrag zur Auftragsdatenverarbeitung nach DSGVO
  • Iso 27001 zertifiziertes Rechenzentrum
  • technische & organisatorische Maßnahmen

Generelles zu covidoo und Datenschutz

Hier ein paar generelle aber für den Bereich wichtige Informationen zum Corona-Testzentren und Datenschutz.

  • Das Erheben und Verarbeiten von personenbezogene Daten, bedarf es einer gesetzlichen Erlaubnis oder Einwilligung des Betroffenen.
  • Jedes Testzentrum ist für Datenerhebung vollumfänglich verantwortlich. Die Code Piraten GmbH tritt nur als Auftragsdatenverarbeiter auf.
  • Bei Zusammenarbeit mit Subunternehmen, welche mit der Verarbeitung von personenbezogenen Daten beauftragt werden, ist ein sogenannter Vertrag zur Auftragsverarbeitung notwendig.
    Wie Du diesen für covidoo abschließen kannst erfährst Du weiter unten auf dieser Seite.
  • Für das Sammeln von Gast-Daten benötigst Du von den Adressaten eine ausdrückliche Einwilligung oder eine gesetzliche Erlaubnis.
  • Die zu erfassenden Daten müssen dem Zweck dienlich sein. Es dürfen nicht mehr Daten gesammelt werden, als zur Zweckerfüllung notwendig sind.
    Bei covidoo kannst Du festlegen, wie lange die Daten  gespeichert werden sollen.
  • Der Datenverarbeiter muss eine umfassende, dem Art. 13 der DSGVO entsprechende Datenschutzerklärung formulieren und Adressaten über die Datenverarbeitungsvorgänge informieren.
    Bei covidoo hast Du die Möglichkeit Datenschutzbestimmungen, Bedingungen/AGB und ein Impressum zu hinterlegen, welches der Gast bei der Anmeldung akzeptieren muss und in der DoubleOptIn Mail mitgesendet bekommt.
  • Deine Daten gehören Dir. Wir bieten Excel-Exporte und eine API, so hast Du jederzeit die Möglichkeit die Daten auch ausserhalb von covidoo zu nutzen (Einwilligung der Gäste oder gesetzliche Erlaubnis vorausgesetzt)
  • Die Testergebnisse werden gesondert verschlüsselt in der Datenbank gespeichert
  • Die Übermittlung der Testergebnisse kann per SMS und/oder Download-Seite mit PIN + Nachname + Test erfolgen
  • Die Checkin-/Test-Manager können nur die im Test-Workflow angezeigten Daten sehen. Sie können weder exportieren noch Zertifikate downloaden. Hierfür gibt es extra Rechte, die nur bestimmte Personen haben sollten.
  • Der Download der Positiven Tests und der dazugehörigen Kontaktdaten erfolgt als Excel-Datei. Der Download ist passwort geschützt. Über eine per oauth2 gesicherte API können Daten auch direkt in Systeme des Gesundheitsamtes übergeben weden.

So schützen wir Ihre Daten

Ihre Daten sind Ihr Eigentum

Die von Ihnen in unseren (Code Piraten GmbH) Tools (guestoo, persoo, clientoo, jodoos, covidoo) gespeicherten Daten sind Ihr Eigentum und so werden diese von uns auch behandelt. So lange Sie Nutzer dieser Tools sind, sind auch Ihre Daten in vollem Umfang darin gespeichert und für Sie zugänglich.
Als Kunde sind Sie die verantwortliche Stelle im Sinne der DSGVO. Das bedeutet, dass Sie für die Wahrung der Betroffenenrechte verantwortlich sind. Die Code Piraten GmbH ist Auftragsverarbeiter und verarbeitet Ihre Daten damit ausschließlich im Rahmen der Softwarebereitstellung, auf Ihre Weisung und zu den im Rahmen des Vertrages zur Auftragsverarbeitung geregelten Zwecke. Ihre Daten werden für keine anderen Zwecke genutzt und insbesondere nicht an Dritte weitergegeben.

Zugriffskontrolle durch Rollen & Berechtigungen

Der Datenschutz beginnt bereits beim Softwaredesign. Ein integriertes Rollen- und Berechtigungskonzept regelt im Detail, welcher Mitarbeiter in Ihremm Testzentrum auf welche Datensätze zugreifen kann.

Zugriff auf Ihre Daten

Nur im Support-Fall greifen wir auf Ihre Daten zu. Um Einblick in Ihren Account zu haben, können Sie unsere Support-Mitarbeiter entsprechend dem oben genannten Rechte und Rollen Prinzip hinzufügen.
Zusätzlich liegen sensible Daten wie Login-Daten oder Test-Ergebnisse und Zertifikate verschlüsselt in unserer Datenbank, auf die nur wenige Ausgewählte Mitarbeiter Zugriff haben.


Login und Zwei-Faktor-Authentifizierung

Der Login erfolgt via OAuth2-Authentifizierung mit Bearer Token.
Mit der optionalen Zwei-Faktor-Authentifizierung können Sie Ihren Account zusätzlich vor unbefugten Zugriffen schützen. Bei dieser Bestätigung in zwei Schritten ist neben dem persönlichen Passwort des Nutzers ein zusätzlicher, zweiter Faktor zur Authentifizierung notwendig. Der zweite Faktor zur Anmeldung erfolgt über eine entsprechende App.

Tägliche Datensicherung

Keine Angst vor Datenverlust, denn mit uns sind Sie auf der sicheren Seite. Die Datensicherung erfolgt mindestens einmal pro Tag (die Datenbank wird sogar öfter gesichert) und wird verschlüsselt auf einem extra Server gespeichert.

Serverstandort innerhalb der EU bei einem deutschen Anbieter

Unsere Server stehen in einem Server-Zentrum innerhalb der EU in einem ISO 27001-Zertifizierten Rechenzentrum der deutschen Hetzner Online GmbH. Details: https://www.hetzner.de/unternehmen/rechenzentrum/

Verschlüsselung der Daten

Sichere Übertragung
Für die Übertragung der Daten vom Server zum User nutzen wir das aktuelle Verschlüsselungsverfahren (SSL Verschlüsselung). Wie beim Onlinebanking können unsere Tools so auf Basis des Sicherheitsprotokolls Secure Sockets Layer (SSL) unter maximalen Sicherheitsbedingungen verwenden.

Zusätzliche Sicherung von Passwörtern, Downloads & Dateien, Testergebnissen
Um Passwörter zusätzlich zu sichern, werden diese als Hashwert gespeichert. Der Hashwert ist selbst im Falle eines Diebstahls sicher, da aus einem Hashwert keine Passwörter errechnet werden können. Die Sicherheit beim Hashen der Passwörter wird darüber hinaus durch den Einsatz von sogenannten "Salts" verstärkt.
Die erzeugten Downloads (z.B. von Excellisten der Besucher)sowie alle hochgeladenen Dateien werden per AES/CBC/PKCS5Padding verschlüsselt.

Löschung der Daten

Sie können jederzeit die Daten Ihrer Gäste löschen. Sowohl die Testbezogenen Informationen, als auch die Stammdaten. Die Löschung kann auch automatisiert erfolgen.
Backups werden rollierend gelöscht, so dass nach spätestens 3 Monaten die Daten auch physikalisch gelöscht werden.

Beendigung der Zusammenarbeit

Sie haben jederzeit die Möglichkeit, Ihre Daten selbst als Excel-Datei oder über unsere API zu exportieren. Das gilt selbstverständlich auch im Falle einer Kündigung. Durch diverse Exportfunktionen, wie zum Beispiel dem Export der Kontakte oder der Testpersonen eines Tages, ist die Sicherung und die Möglichkeit der "Mitnahme" Ihrer Daten gewährleistet. Zum Ende der Geschäftsbeziehung erfolgt die logische Löschung Ihres Zugangs und der im Account enthaltenen Daten. Backups werden rollierend gelöscht, so dass nach spätestens 3 Monaten die Daten auch physikalisch gelöscht werden.

Bereinigung von nicht notwendigen Daten (automatisch oder manuell)

Datensparsamkeit in covidoo

In covidoo haben Sie die Möglichkeit die Daten Ihre Gäste manuell oder automatisch zu löschen.

Manuelles löschen

Sie können die nicht benötigten Daten Ihrer Gäste ganz einfach mit Hilfe der Bereinigungsfunktion im Adressbuch löschen. Hier werden Dir alle Gastdaten angezeigt, die keinem aktiven Testtag mehr zugeordnet sind. Ein Klick und die Daten werden restlos gelöscht. Das einzige was bleibt ist ein kleiner Datensatz am Testtag, der für den Nachweis beim dient. 

Löschen Sie den Testtag, sind auch alle Daten die im Tag gespeichert sind aus covidoo gelöscht.

Automatisches löschen

Sie können automatische Jobs einstellen, die Testtage und nicht benötigte Gastdaten nach einer von Ihnen festgelegten Anzahl an Tagen gelöscht werden. Der Job läuft jede Nacht und funktioniert analog zur manuellen löschung. Richten Sie hier die von Ihrem Datenschutzbeautragten geforderte Frequenz ein und covidoo erledigt den Rest.

 

Cookies die covidoo speichert

Nur notwendige Cookies

Wir nutzen auf covidoo Cookies, welche auf dem Rechner der Gäste gespeichert werden um die Funktion von covidoo zu gewährleisten.

Cookies sind Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.

Wir setzen auf unserer Webseite lediglich für den Betrieb unserer Webseite technisch notwendige Cookies auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. b DSGVO zur Durchführung erforderlicher vorvertraglicher Maßnahmen, welche auf Ihre Anfrage erfolgen, ein, um Ihnen die Nutzung der von Ihnen abgerufenen Internetseiten und Funktionen überhaupt zu ermöglichen und/oder den von Ihnen gewünschten Vertrag mit Ihnen zu schließen. Nachfolgend finden Sie eine Liste der Cookies, welche auf unserer Seite eingesetzt werden:

JESSSIONID (Session-ID)
Name: JSESSIONID oder PHPSESSION
Anbieter: Code Piraten UG
Gültigkeit: 7 Tage
Funktion: Dieser Cookie speichert die aktuelle Sitzung mit Bezug auf die Anwendungen und gewährleistet so, dass alle Funktionen der Seite vollständig angezeigt werden können.

XRSF-TOKEN (XRSF-Sicherheitstoken)
Name: XRSF-TOKEN
Anbieter: Code Piraten UG
Gültigkeit: Bis die Sitzung beendet wird
Funktion: Dieses Cookie speichert den XRSF-Token. Ein geheimer Schlüssel der genutzt wird um Cross-Site-Request-Forgery (Website-übergreifende Anfragenfälschung) zu verhindern.

CPCookieInfo (Cookie-Hinweis)
Name: CPCookieInfo
Anbieter: Code Piraten UG
Gültigkeit: 12 Monate
Funktion: Dieser Cookie speichert, ob der Cookiebanner weggeklickt wurde.

Daten die covidoo über die Gäste speichert / Einsicht der Gäste in die Daten

Was kann wie gelöscht werden?

Die Daten die im Rahmen Ihrer covidoo-Nutzung entstehen gehören Ihnen. Wir (die Code Piraten GmbH) treten nur als Auftragsdatenverarbeiter auf.

covidoo speichert die Stammdaten der Gäste im Ihrem Account-Adressbuch und die Testtagbezogenen Daten am Testtag mit der Verknüpfung ins Adressbuch zu den Gast-Stammdaten.

Löschen Sie einen Testtag, werden alle Testtag bezogenen Daten des Gastes mit gelöscht.

Löschen Sie die Stammdaten eines Gastes aus dem Account-Adressbuch, werden alle Daten des Gastes gelöscht mit Ausnahme von:

  • Protokollierte Einverständnisserklärungen die durch den Gast erteilt wurden
  • Einem Datensnippet an dem Testtag zu denen der Gast erschienen ist für z.B. den Nachweis bei der Kassenärztlichen Vereinigung. Gespeicehrt wird der Name und die Adresse des Gastes + der Name der Begleitperson (löschen Sie den Testtag, werden diese Daten auch gelöscht). 
  • Zertifikate, die an dem Tag erstellt wurden (löschen Sie den Testtag, werden diese Daten auch gelöscht)

Auftragsdatenverarbeitungsvertrag

Wie schließe ich einen neuen Vertrag zur Auftragsdatenverarbeitung nach Art. 28 EU-DSGVO für guestoo ab?

Um der DSGVO zu entsprechen ist es zwingend notwendig, dass Sie einen Vertrag zur Auftragsverarbeitung nach Art. 28 EU-DSGVO mit uns als Auftragsdatenverarbeiter abschließen. So gehts:

  1. Laden Sie den Vertrag herunter: ADV-Vertrag (PDF)
  2. Folgen Sie den Anweisungen im Dokument
  3. Info: Der Vertrag gilt für alle unsere Tools (persoo, guestoo, jodoos, clientoo, covidoo)