Das Helmholtz- Zentrum für Infektionsforschung (HZI) unterliegt dem Bundesdatenschutzgesetz sowie
der Datenschutz-Grundverordnung (DS-GVO).

Die Datenschutzkonzepte von PIA (Prospektive Monitoring und Management-App) und den jeweiligen Studien wurden gemeinsam mit dem Datenschutzbeauftragten des Helmholtz- Zentrums für Infektionsforschung entwickelt und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorgelegt. Die zuständigen Ethikkommissionen prüfen vor Beginn einer Studie/ eines Projektes u.a. die Teilnahmeinformation und Einwilligungserklärung.

 

Administrative Geschäftsführung
Christian Scherf
Inhoffenstraße 7 | 38124 Braunschweig
Tel.: +49 531 6181-2000 | E-Mail: Silke.Tannapfel@helmholtz-hzi.de 

 

Datenschutzbeauftragter
Harald Ohrdorf
Inhoffenstraße 7 | 38124 Braunschweig
Tel.: +49 531 6181-2050 | E-Mail: datenschutzbeauftragter@helmholtz-hzi.de

 

Die PIA-Studien dienen der Erfassung von Infektionskrankheiten, ihren Risikofaktoren und Folgen, der
wissenschaftlichen Auswertung gewonnener Daten und deren anonymer Veröffentlichung. Dazu
beantworten die Teilnehmenden Fragebögen (und können, sofern in der Studie vorhanden, Bioproben
entnehmen und zur virologischen Untersuchung versenden). Die Beantwortung der Fragen ist
freiwillig. Die Entscheidung, wie lange die App genutzt wird, obliegt den Teilnehmenden.
Wünschenswert ist die Teilnahme über eine längere Zeitspanne (z.B. über Jahre), um auch
Informationen über saisonale Charakteristika von Infektionskrankheiten zu erhalten, da diese
Krankheiten von Jahr zu Jahr anders verlaufen. (Für die Symptomnachverfolgung im Rahmen der
COVID-19-Pandemie in Deutschland mit dem Symptomtagebuch „SORMAS-SB“ gilt, dass die Nutzung
von PIA freiwillig ist. Wird PIA nicht genutzt, erfolgt die Erfassung der Symptome jedoch auf anderem
Weg.)

 

Rechtsgrundlage für die Datenverarbeitung
Erst nach Ausfüllen der Einwilligungserklärung (schriftlich oder in-App) durch die Teilnehmenden,
dürfen personenidentifizierende Daten zu Forschungszwecken erhoben werden. Rechtsgrundlage
hierfür ist Art. 9 Abs. 2 lit. a) DSGVO. Bei bestimmten Infektionskrankheiten (z.B. Influenza oder SARSCoV-2) besteht eine namentliche Labormeldepflicht an das Gesundheitsamt (Infektionsschutzgesetz
(IfSG) §7 und 25). Dies kann bedeuten, dass der Namen eines oder einer Teilnehmer:in an das
Gesundheitsamt weitergeben werden müssen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c) DSGVO
(rechtliche Verpflichtung).

 

PIA erfasst keine Daten außerhalb der Anwendung, die sich auf Ihrem Smartphone oder Computer
befinden. Die Daten werden nicht an Dritte weitergegeben.

 

Verschlüsselung und Pseudonymisierung
Jegliche Datenübermittlung von und zu den Studienteilnehmenden erfolgt verschlüsselt. Alle
Studiendaten der Teilnehmenden werden pseudonymisiert erfasst. Dafür werden Pseudonyme
generiert (ebenso für Studienproben, sofern diese Bestandteil des Projektes sind).

Im System PIA werden die personenidentifizierenden Daten wie Name und die Gesundheitsdaten wie
Antworten in Fragebögen strikt getrennt. Der Zugriff auf die verschiedenen Funktionen des PIA
Systems ist durch Rollenzuweisungen geregelt, d.h. bestimmte Personen können nur die
personenidentifizierenden Daten (z.B. Name, Adresse) sehen, dafür nicht die Studiendaten (z.B.
Antworten in Fragebögen), und umgekehrt. Dies gewährleistet den Datenschutz des Systems.

 

Grundsätzlich gilt:
Die Einwilligung zu jeglichen Studien/ Projekten mit PIA ist freiwillig. Die Verwendung von PIA kann
jederzeit vorrübergehend unterbrochen oder beendet werden. Durch eine Studienteilnahme
entstehen keinerlei Kosten.

 

Datenspeicherung und Löschfristen
Die Studiendaten werden am Helmholtz-Zentrum für Infektionsforschung für die Studiendauer
gespeichert und danach vernichtet. Ggf. können Studiendaten auch an beteiligten Forschungszentren/
Forschungsinstitutionen gespeichert werden sowie von Gesundheitsämtern. Die weitere Speicherung
der Daten findet entsprechend der Bestimmungen der einzelnen Studien statt.

 

Teilnehmende haben gemäß Art. 21 DS-GVO jederzeit die Möglichkeit, ihre Einwilligung zu
widerrufen. Es wird zwischen einem vollständigen oder einem teilweisen Widerruf sowie einer
Sperre der erneuten Kontaktaufnahme unterschieden.

 

Sämtliche Daten (und Bioproben) der entsprechenden Studie werden gemäß Art. 17 DS-GVO
gelöscht beziehungsweise vernichtet. Der Vorgang wird protokolliert. Daten ohne
Personenbezug werden nicht gelöscht. Auf Wunsch erhalten Sie vor der Löschung Einsicht in
alle erhobenen Daten.

 

Einzelne Daten (z.B. alle Antworten eines bestimmten Fragebogens) oder sofern im Projekt
enthalten, nur die Bioproben, werden gelöscht oder vernichtet. In Studien mit Bioproben
kann außerdem ausschließlich der weiteren Verwendung von Bioproben widersprochen wird,
dann ist eine weitere Teilnahme an der Studie unter Verzicht auf die Selbstabnahme von
Nasenabstriche möglich.

 

Das automatische oder manuelle Versenden von E-Mails oder Push-Nachrichten sowie
Briefen ist durch die Sperrung nicht mehr möglich. Damit können Teilnehmende nicht mehr
an der Studie teilnehmen.

 

Im Falle eines Widerrufs wird die Widerrufserklärung schriftlich oder elektronisch an das Studienteam
der entsprechenden Studie geschickt. Die Adresse/ E-Mail ist in der Teilnehmerinformation zu finden.

 

Schutz vor unbefugten Zugriff auf PIA
PIA ist passwortgeschützt. Die Teilnehmenden erhalten während des Registrierungsprozesses ein
Erstpasswort (abhängig von der Studie vor Ort, bspw. im Studienzentrum, oder postalisch). Bei der
Erstanmeldung werden die Teilnehmenden aufgefordert, ein neues, eigenes Passwort einzurichten.
Die Verwendung eines Passwortes kann auf eigene Verantwortung abgewählt werden.

Sollte ein Passwort 3-mal falsch eingegeben werden, erfolgt eine Komplettsperrung für 5 Minuten.
Danach ist das Konto mit dem aktuell gültigen Passwort wieder zugänglich.

Wenn das Passwort vergessen wurde, kann über das System automatisch ein neues angefordert
werden. Dies wird an die hinterlegte Emailadresse im Klartext gesendet. Es handelt sich dabei um die
E-Mailadresse, die während der Registrierung hinterlegt wurde.

 

Datenverarbeitung
Die Datenverarbeitung erfolgt primär am HZI. Falls externe Dienstleister zur Datenverarbeitung
hinzugezogen werden, wird die Zusammenarbeit mittels Verträgen geregelt, sodass durchgängig ein
angemessenes Datenschutzniveau erreicht wird.

 

Die Software PIA wird regelmäßig gewartet.

 

Sicherheitsrelevante automatisierte Erfassung
Bei jedem Aufruf unseres Systems werden automatisiert die IP-Adresse des aufrufenden Gerätes mit
Datum und Uhrzeit erfasst. Diese Daten sind keine Forschungsdaten und werden nicht von
Wissenschaftler:innen eingesehen. Sie werden nur in Ausnahmen von IT-Kräften eingesehen, wenn ein
Sicherheitsproblem vorliegt. Das heißt, sie dienen der Sicherstellung der Sicherheit der
informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken oder eine
Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht
statt. Die Speicherung der genannten Daten erfolgt über 12 Monate. Die Erfassung und die
Speicherung dieser Daten ist für die Sicherheit des Systems erforderlich. Es besteht folglich seitens der
Nutzenden keine Widerspruchsmöglichkeit. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. e) DSGVO.