Hinweise zum Datenschutz der MyoCura-App

3. Welche Daten werden verarbeitet? 

Je nach Nutzung von MyoCura können insbesondere folgende Daten verarbeitet werden: 

• Kontodaten: E-Mail-Adresse, technische Kontoinformationen, Verifikationsstatus und Informationen zur Kontoverwaltung. 

• Anmeldedaten und Sicherheitsdaten: Passwort-Hash, Sitzungsinformationen, Access-/Refresh-Token-Bezug, technische Sicherheitsereignisse, Informationen zur Anmeldung, Logout, Token-Erneuerung und Passwort-Zurücksetzung. 

• Gerätebindungsdaten: technische Informationen zur Gerätebindung, insbesondere Gerätekennung bzw. gerätebezogene Zuordnung, Geräte-Challenge, öffentlicher Geräteschlüssel, Signaturprüfung, Status der Gerätebindung, Zeitpunkt der Registrierung bzw. Nutzung eines gebundenen Geräts und technische Fehlversuche. Der private Geräteschlüssel verbleibt nach technischem Konzept auf dem Endgerät und wird nicht an das Backend übertragen.

• Ihre Eingaben in der App: Tagebuch- und Verlaufsdaten, Aktivitäten, Antworten auf strukturierte Fragen, gesundheitsbezogene Selbsteinschätzungen und sonstige von Ihnen eingegebene Inhalte. 

• Kontaktinformationen: von Ihnen gespeicherte persönliche Ansprechpartner, zum Beispiel Name, Telefonnummer oder sonstige Kontaktangaben, sofern Sie solche Angaben in der App hinterlegen. 

• Technische Nutzungs- und Betriebsdaten: Zeitpunkte von Anmeldungen, technische Fehler, sicherheitsrelevante Ereignisse, Healthcheck-/Betriebsdaten, Logdaten, Statusinformationen und technische Diagnoseinformationen. 

• Benachrichtigungsdaten: technische Informationen zur Zustellung von Push-Benachrichtigungen, insbesondere Geräte- bzw. Push-Token, soweit Benachrichtigungen im Release under Test aktiviert sind. 

• Crash- und Fehlerdaten: technische Fehler- und Stabilitätsinformationen, soweit Crash Reporting im Release under Test aktiviert ist. Gesundheitsdaten, Passwörter, Tokens, Gerätebindungs-Challenges, Signaturen und fachliche Freitextinhalte dürfen nicht an Crash-Reporting-Dienste übermittelt werden. 

• Exportdaten: Daten, die Sie selbst über eine Exportfunktion bereitstellen, insbesondere PDF-Exporte.

• Lokal gespeicherte Daten auf dem Endgerät: Die App kann bestimmte technische Daten lokal auf Ihrem Endgerät speichern. Nach aktuellem technischem Stand werden Benutzerpasswörter nicht lokal in der App gespeichert. Für den Session-Betrieb können Authentisierungs- und Session-Artefakte wie Access Token, Refresh Token, Nutzerkennung und E-Mail-Adresse im sicheren Speichermechanismus des Betriebssystems gespeichert werden. App-Einstellungen und technische Steuerungsinformationen können in lokalen App-Einstellungen gespeichert werden. Exportierte Dateien, zum Beispiel PDF-Exporte, sowie Cache- oder Medienartefakte können je nach Nutzung lokal auf dem Endgerät oder an einem von Ihnen gewählten Speicherort abgelegt werden. 

4. Welche Daten müssen Sie bei Registrierung und Anmeldung angeben? 

Für die Nutzung von MyoCura ist ein Nutzerkonto erforderlich. 

Nach aktuellem Stand erfolgt die Registrierung mit: 

•  E-Mail-Adresse und Passwort.

Die zusätzliche kryptographische Gerätebindung ist Bestandteil des Anmelde- und Sitzungsschutzes. Sie wird im Rahmen der Anmeldung bzw. der erstmaligen Nutzung eines Geräts eingerichtet und geprüft.

Nach der Registrierung erhalten Sie eine E-Mail mit einem Bestätigungslink. Erst nach der Verifizierung Ihrer E-Mail-Adresse wird Ihr Konto freigeschaltet. 

Die Anmeldung erfolgt über E-Mail-Adresse und Passwort sowie eine zusätzliche kryptographische Gerätebindung. Nach erfolgreicher Prüfung von E-Mail-Adresse und Passwort wird die Sitzung erst abgeschlossen, wenn auch die Gerätebindung erfolgreich geprüft wurde. Dazu wird technisch eine Challenge erzeugt und durch das gebundene Gerät kryptographisch signiert. Beim erstmaligen Einsatz eines Geräts wird ein öffentlicher Geräteschlüssel registriert; bei späteren Anmeldungen wird die Gerätebindung über die Signatur mit dem bereits gespeicherten Schlüssel nachgewiesen. 

Die App kann lokale Plattformfunktionen wie Face ID oder Fingerabdruck nutzen, um den Zugriff auf lokal gespeicherte sessionbezogene Daten bzw. App-Funktionen auf dem Gerät zu erleichtern, soweit Sie dies aktivieren und Ihr Gerät dies unterstützt. Diese lokale Biometrie ersetzt nicht die serverseitige Anmeldung und Gerätebindung.

5. Zu welchen Zwecken verarbeiten wir Ihre Daten? 
Wir verarbeiten Ihre Daten insbesondere: 

• zur Einrichtung und Verwaltung Ihres Nutzerkontos, 
• zur sicheren Anmeldung und Nutzung der App, 
• zur Bereitstellung der Dokumentations-, Verlaufs- und Exportfunktionen, 
• zur technischen Stabilität, Sicherheit und Fehlerbehebung, 
• zur Zustellung erforderlicher System-E-Mails, zum Beispiel für E-Mail-Verifizierung und Passwort-Zurücksetzen, 
• zur Durchführung der zusätzlichen Gerätebindung und Absicherung des Nutzerkontos gegen unbefugte Anmeldung, 
• zur Bereitstellung allgemeiner Informationen, Support- und Rechtetexte innerhalb oder außerhalb der App. 

6. Datenverarbeitung beim Besuch der Website

(www.telemedallianz.de/myocura)

6.1 Verbindungsdaten

Beim Aufruf unserer Website werden automatisch sogenannte Server-Logfiles erfasst, darunter:

• IP-Adresse des anfragenden Endgeräts,
• Datum und Uhrzeit des Zugriffs,
• aufgerufene Seiten/Dateien,
• Browsertyp und Version,
• Betriebssystem.
  
  

Zweck:

• Sicherstellung der technischen Bereitstellung, Stabilität und Sicherheit (z. B. Erkennung von Angriffen und Fehlfunktionen).
  
  

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Webseitenbetrieb).

Die IP-Adressen werden spätestens nach 7 Tagen anonymisiert oder gelöscht; verbleibende Protokolldaten werden nur noch in anonymisierter Form zu statistischen Zwecken genutzt.

6.2 Cookies

Wir verwenden technisch notwendige Cookies, z. B. zur Sitzungssteuerung.

• Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der nutzerfreundlichen und sicheren Bereitstellung der Website) bzw. Art. 6 Abs. 1 lit. b DSGVO (soweit für die Bereitstellung angeforderter Dienste erforderlich).

Soweit optionale oder funktionale Cookies eingesetzt werden, holen wir zuvor Ihre Einwilligung über ein Cookie-Banner ein (Art. 6 Abs. 1 lit. a DSGVO).

Besonderheit bei Aufruf aus der MyoCura-App:
Wird diese Datenschutzerklärung innerhalb der App aufgerufen, werden ausschließlich technisch notwendige Funktionen zur Darstellung der Seite verwendet.
Es erfolgt kein Einsatz von Analyse-, Tracking- oder Marketing-Cookies.

7. Auf welcher Rechtsgrundlage erfolgt die Verarbeitung? 

Die Verarbeitung personenbezogener Daten erfolgt – je nach Zweck – auf folgenden Rechtsgrundlagen: 

Art. 6 Abs. 1 lit. b DSGVO: soweit die Verarbeitung für die Bereitstellung und Nutzung der App, die Verwaltung des Nutzerkontos, die Anmeldung, die Bereitstellung der Funktionen und die Erfüllung der Nutzungsvereinbarung erforderlich ist. 

Art. 6 Abs. 1 lit. a DSGVO: soweit eine Einwilligung eingeholt wird, insbesondere für Verarbeitungsvorgänge, die eine gesonderte Zustimmung erfordern. 

Art. 6 Abs. 1 lit. f DSGVO: soweit die Verarbeitung zur IT-Sicherheit, Missbrauchsvermeidung, Fehleranalyse, Stabilität, Protokollierung sicherheitsrelevanter Ereignisse oder zum Schutz der Systeme erforderlich ist. Unser berechtigtes Interesse liegt in der sicheren, stabilen und missbrauchsresistenten Bereitstellung von MyoCura. 

Art. 6 Abs. 1 lit. c DSGVO: soweit gesetzliche Aufbewahrungs-, Nachweis- oder Mitwirkungspflichten bestehen. 

Gesundheitsbezogene Angaben und andere besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO werden nur verarbeitet, wenn hierfür eine geeignete Rechtsgrundlage nach Art. 9 DSGVO vorliegt. Die konkrete Rechtsgrundlage wird vor produktiver Bereitstellung der App abschließend rechtlich festgelegt und in dieser Datenschutzinformation ausgewiesen.

8. Einwilligung und Widerruf 

Soweit MyoCura Verarbeitungsvorgänge auf eine Einwilligung stützt, wird diese vor Beginn der jeweiligen Verarbeitung aktiv und eindeutig eingeholt. Dies betrifft insbesondere solche Verarbeitungsvorgänge, die gesundheitsbezogene Angaben oder optionale Funktionen betreffen können. 

Eine erteilte Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die vor dem Widerruf auf Grundlage der Einwilligung erfolgt ist. 

Die konkreten Widerrufsmöglichkeiten und die Folgen eines Widerrufs für die Nutzung von MyoCura werden in der App bzw. in den zugehörigen Nutzerinformationen dargestellt.

9. Wer erhält Ihre Daten? 

Innerhalb der Bayerische TelemedAllianz GmbH erhalten nur diejenigen Personen oder Stellen Zugriff auf personenbezogene Daten, die diesen Zugriff für Betrieb, Support, Sicherheit, Wartung, Datenschutz oder gesetzliche Pflichten benötigen. 

Darüber hinaus können technische Dienstleister eingesetzt werden, insbesondere für: 

• Hosting und Backend-Betrieb, 
• technische Infrastruktur und Wartung, 
• E-Mail-Versand, 
• Push-Benachrichtigungen, soweit diese im Release under Test aktiviert sind, 
• Crash Reporting und technische Fehleranalyse, soweit diese im Release under Test aktiviert sind. 

Nach aktuellem technischen Stand sind insbesondere Brevo bzw. SMTP für System-E-Mails sowie Firebase-Dienste für Benachrichtigungen und Crash Reporting vorgesehen. Diese Dienste dürfen keine Gesundheitsdaten, Passwörter, Tokens, Gerätebindungs-Challenges, Signaturen, privaten Geräteschlüssel oder fachlichen Freitextinhalte erhalten. 

Eine Weitergabe Ihrer Daten zu Werbezwecken erfolgt nicht. 

Eine automatische Übermittlung Ihrer Verlaufsdaten an Ärztinnen, Ärzte, Therapeutinnen, Therapeuten, Krankenkassen, persönliche Kontakte oder sonstige Dritte erfolgt nicht allein durch die Nutzung der App. Eine Weitergabe von Exporten erfolgt nur, wenn Sie selbst einen Export erstellen und diesen eigenverantwortlich weitergeben. 

Soweit Dienstleister personenbezogene Daten im Auftrag verarbeiten, werden hierfür die erforderlichen Vereinbarungen zur Auftragsverarbeitung abgeschlossen.

10. Drittlandübermittlung 

Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums findet nur statt, wenn hierfür eine datenschutzrechtliche Grundlage besteht und geeignete Schutzmaßnahmen vorgesehen sind. 

Ob und in welchem Umfang durch eingesetzte Dienstleister, insbesondere Hosting-Anbieter, Brevo/SMTP, Firebase Cloud Messaging oder Firebase Crashlytics, eine Drittlandübermittlung oder ein Drittlandzugriff stattfinden kann, wird vor produktiver Veröffentlichung final geprüft und in dieser Datenschutzinformation konkret angegeben.

11. Wie lange werden Ihre Daten gespeichert? 

Ihre Daten werden grundsätzlich nur so lange gespeichert, wie dies für die Nutzung von MyoCura, die Sicherheit des Betriebs, die Erfüllung gesetzlicher Pflichten oder die Bearbeitung Ihrer Anliegen erforderlich ist. 

Nach aktuellem Stand gilt: 

• Nicht abgeschlossene oder nicht aktivierte Registrierungen werden nach einer Frist gelöscht. 

• Kontodaten und App-Inhalte werden grundsätzlich bis zur Kontolöschung oder bis zu einem berechtigten Löschbegehren gespeichert, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe entgegenstehen. 

• Gesundheitsbezogene Eingaben und Verlaufsdaten werden grundsätzlich solange gespeichert, wie Ihr Nutzerkonto besteht oder bis Sie eine Löschung verlangen, sofern keine gesetzlichen Pflichten entgegenstehen. 

• Gerätebindungsdaten werden solange gespeichert, wie sie für die sichere Anmeldung und Nutzung des jeweiligen gebundenen Geräts erforderlich sind. Bei Entfernung eines Geräts, Kontolöschung oder Wegfall der Erforderlichkeit sind diese Daten nach Maßgabe des finalen Löschkonzepts zu löschen oder unzugänglich zu machen. 

• Technische Protokolldaten werden nur so lange gespeichert, wie dies für Sicherheit, Fehleranalyse, Missbrauchsvermeidung und Nachvollziehbarkeit erforderlich ist. 

• Backup-Daten werden nach dem finalen Backup- und Löschkonzept aufbewahrt und gelöscht. Löschungen können in Backups technisch verzögert umgesetzt werden, soweit dies für Sicherheit, Integrität und Wiederherstellbarkeit erforderlich ist. 

• Exportierte Dateien, die Sie selbst auf Ihrem Endgerät speichern oder weitergeben, liegen nach dem Export außerhalb des unmittelbaren Kontrollbereichs von MyoCura. Für deren sichere Aufbewahrung und Weitergabe sind Sie selbst verantwortlich. 

• Benutzerpasswörter werden nicht lokal in der App gespeichert. Sessionbezogene lokale Daten werden nach dem technischen Löschkonzept bei Logout oder Kontolöschung entfernt. Lokal exportierte Dateien oder Dateien, die Sie selbst außerhalb der App speichern oder weitergeben, werden durch die App nicht automatisch an externen Speicherorten gelöscht. 

12. Was gilt für Exportfunktionen? 
MyoCura kann Ihnen ermöglichen, dokumentierte Inhalte als PDF bereitzustellen. Weitere strukturierte Exportformate, zum Beispiel FHIR-basierte Formate, sind nur relevant, wenn sie im Release under Test aktiviert sind. 

Dabei gilt: 

• Ein Export erfolgt nur auf Ihre eigene Initiative. 

• Eine automatische Weitergabe an Dritte findet nicht statt. 

• Wenn Sie exportierte Inhalte selbst speichern, versenden oder anderweitig weitergeben, liegt diese Weitergabe in Ihrer eigenen Verantwortung. 

• Exportierte Dateien können Gesundheitsdaten enthalten. Bitte speichern und versenden Sie solche Dateien nur über sichere Wege und nur an Personen oder Stellen, denen Sie die Inhalte bewusst zugänglich machen möchten. 

13. Was gilt für Benachrichtigungen? 
MyoCura kann Erinnerungsbenachrichtigungen verwenden, damit Sie an anstehende Einträge erinnert werden, soweit diese Funktion im Release under Test aktiviert ist. 

Dabei gilt: 

• Benachrichtigungen dürfen nur allgemeine Hinweise enthalten. 

• Es dürfen keine Gesundheitsdaten, Diagnosen, Beschwerdeinhalte, Tagebuchinhalte, Kontaktinformationen oder sonstige sensiblen Inhalte auf dem Sperrbildschirm angezeigt werden. 

• Die Aktivierung und Anzeige von Benachrichtigungen erfolgt im Zusammenspiel mit den Einstellungen Ihres Geräts. 

• Für die technische Zustellung können Push-Token und technische Geräteinformationen verarbeitet werden.
  

14. Was gilt für browser- oder onlinebasierte Inhalte? 
Bestimmte Informationen, zum Beispiel Datenschutz- oder Nutzungshinweise oder weitere unterstützende Inhalte, können innerhalb der App angezeigt oder aus der App heraus in einem Browser geöffnet werden. 

Dabei dürfen keine Gesundheitsdaten, Passwörter, Tokens, Gerätebindungs-Challenges, Signaturen, Session-Informationen oder Nutzer-IDs unzulässig in URLs, Referrern, Redirects oder externe Browser-Kontexte übertragen werden.

Wenn Sie einen externen Link aktiv öffnen, gelten für das jeweilige externe Angebot die Datenschutz- und Nutzungsbedingungen des jeweiligen Anbieters. 

15. Wie schützen wir Ihre Daten? 
Zum Schutz Ihrer Daten werden technische und organisatorische Maßnahmen eingesetzt. 

Nach aktuellem technischen Stand gehören dazu insbesondere: 

• verschlüsselte Übertragung zwischen App und Backend über TLS, 
  
• reguläre Zertifikatsprüfung im produktiven Mobile Release, 
  
• serverseitig geführte Anmeldung und Sitzungsverwaltung, 
  
• serverseitig gehashte Passwörter, 
  
• zusätzliche kryptographische Gerätebindung mit Challenge und Signatur, 
  
• Ausgabe von Access- und Refresh-Tokens erst nach erfolgreichem Abschluss der Gerätebindung, 
  
• gehashte Speicherung von Refresh-Tokens und Refresh-Token-Rotation, 
  
• zeitlich begrenzte technische Statushaltung für Verifizierungs-, Reset- und Gerätebindungsprozesse, 
  
• Zugriffsbeschränkungen auf API-Routen, 
  
• technische und organisatorische Maßnahmen zum Schutz von Logs, Tokens, Gesundheitsdaten und Systemzugriffen, 
  
• Betrieb des Hintergrundsystems mit dokumentierter Infrastruktur, Secrets-Management und technischen Sicherheitsmechanismen. 

Benutzerpasswörter werden nach aktuellem technischem Stand nicht lokal in der App gespeichert. Sessionbezogene Artefakte werden im sicheren Speichermechanismus des Betriebssystems verwaltet. Bei Logout oder Kontolöschung werden sessionrelevante lokale Daten nach dem technischen Löschkonzept entfernt. Exportierte Dateien, die Sie selbst außerhalb der App speichern oder weitergeben, liegen außerhalb der appseitigen Löschkontrolle.

16. Was sind Ihre Rechte?

Sie haben im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten nach der DSGVO insbesondere folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO),
• Recht auf Berichtigung (Art. 16 DSGVO),
• Recht auf Löschung (Art. 17 DSGVO),
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
• Recht auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruhen (Art. 21 DSGVO),
• Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
  
  

Sie haben außerdem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere bei:

Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach

17. An wen können Sie sich wenden? 

Bei Fragen zum Datenschutz oder zur Wahrnehmung Ihrer Rechte können Sie sich an uns wenden: 

Bayerische TelemedAllianz GmbH 

Brückenstraße 13 a 

85107 Baar-Ebenhausen 

E-Mail: info@telemedallianz.de 

Datenschutzkontakt:  datenschutz@telemedallianz.de

18. Minderjährige

Die MyoCura-App richtet sich in erster Linie an erwachsene Nutzer. Eine Nutzung durch Minderjährige sollte nur mit Einwilligung der Erziehungsberechtigten erfolgen.

19. Aktualisierung dieser Datenschutzhinweise

Wir können diese Datenschutzhinweise anpassen, wenn sich technische, organisatorische oder rechtliche Änderungen ergeben. Die jeweils aktuelle Fassung wird in geeigneter Weise innerhalb oder im Zusammenhang mit MyoCura bereitgestellt, insbesondere über die Website bzw. über einen Link aus der App. 

Stand: Baar-Ebenhausen, den 08.05.2026