Datenschutzinformation Notfallpass ("Wallet-Pass")

1. Geltungsbereich und Definitionen

Diese Datenschutzinformation gilt für die Nutzung des Notfallpasses ("Wallet-Pass") und darin enthaltene Dienste und Angebote des ADAC e.V.

Zusätzlich zu dieser Datenschutzinformation gilt die Datenschutzinformation Online-Plattformen. Sind Sie ADAC Mitglied, gilt zusätzlich die Datenschutzinformation für Mitglieder. Haben Sie beim ADAC eine Versicherung, gilt zusätzlich die Datenschutzinformation für Versicherungsnehmer der ADAC Versicherung AG. Außerdem haben unsere Apps z.B. für Smartphones eigene Datenschutzinformationen. Widersprechen die Bedingungen dieser Datenschutzinformation der Datenschutzinformation Online-Plattformen, gehen diese Bedingungen vor. Im Fall eines Widerspruchs mit den anderen besonderen Datenschutzinformationen, insbesondere die für Mitglieder bzw. Versicherungsnehmer, gelten diese besondere Datenschutzinformationen jeweils vor.

Wenn in dieser Datenschutzinformation "wir" oder "uns" genutzt wird, ist der jeweils Verantwortliche nach Ziffer 2 gemeint.

2. Name und Anschrift des Verantwortlichen

Der Verantwortliche im Sinne der Datenschutzgrundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist der ADAC e.V. Impressum

Möchten Sie mit uns Kontakt aufnehmen, können Sie neben den Angaben im Impressum auch folgende Möglichkeiten nutzen:
Tel.: 089 76 76 0
E-Mail: adac(at)adac.de

3. Anschrift des Datenschutzbeauftragten

Den Datenschutzbeauftragten erreichen Sie wie folgt:

ADAC e.V.
Datenschutzbeauftragter (DSB)
Hansastraße 19
80686 München
E-Mail: dsb-mail(at)adac.de

Die Kontaktdaten des Datenschutzbeauftragten des jeweiligen ADAC Regionalclubs finden Sie auf der Online-Plattform dieses ADAC Regionalclubs.

4. Erstellung und Nutzung des Notfallpasses

Als ADAC Mitglied haben Sie die Möglichkeit, sich auf der Website adac.de über Ihren persönlichen Bereich "Mein ADAC" einen Notfallpass anzulegen und in digitaler Form auf Ihr Mobiltelefon (oder ein anderes mobiles Gerät) herunterzuladen, um im Notfall - soweit Sie dies möchten - den Rettungskräften wichtige persönliche und medizinische Informationen (z.B Medikamente, Vorerkrankungen oder Allergien) in strukturierter Form zur Verfügung stellen können. Bei dem Notfallpass handelt es sich um einen sog. Wallet-Pass, der entweder in der vorinstallierten Wallet-App Ihres Mobiltelefons (wenn Sie ein iOS-Gerät von Apple nutzen) oder in der Wallet-App "YourWallet" des Drittanbieters YOURPASS, s.r.o., die von unserem Dienstleister Fobi AI Germany GmbH an den Dienst "Passcreator" angebunden wurde (wenn Sie ein Android-Gerät nutzen) gespeichert wurde. Ein Wallet-Pass ist eine kleine Datei, die alle Informationen enthalten, die zur Anzeige des Passes benötigt werden, z. B. Texte oder Bilder.

Anlage und Pflege des Notfallpasses über "Mein ADAC"

Sie legen den Notfallpass in Ihrem persönlichen Bereich "Mein ADAC" an. Sie entscheiden, welche medizinischen Daten ("Notfalldaten") Ihr Notfallpass enthalten soll. Eine Änderung Ihrer Daten, das heißt Ergänzung oder Löschung von Daten, ist jederzeit möglich. Der Zugriff auf Ihre Notfalldaten wird hierbei durch Zwei-Faktor-Authentifizierung gesichert, das heißt für die Eingabe oder die spätere Ergänzung oder Löschung Ihrer Daten müssen Sie im Rahmen einer Abfrage stets Ihre Telefonnummer angeben, an die wir per SMS oder Anruf einen Authentifizierungs-Code senden oder über die wir Sie zur Identifizierungsprüfung per Anruf erreichen können. Rechtsgrundlage der Verarbeitung Ihrer Telefonnummer sind Art. 6 Abs. 1 lt. b DSVGO (Erforderlichkeit der Verarbeitung für die Erbringung der Dienstleistung) und/oder Art. 6 Abs. 1 lit. f DSVGO, da die Verarbeitung zur Wahrung unserer Interessen in Bezug auf die Integrität und Vertraulichkeit der Verarbeitung, insbesondere die Verhinderung eines unbefugten Zugangs zu Ihren Notfalldaten, erforderlich ist und Ihren Interessen entspricht bzw. Ihre Interessen jedenfalls nicht überwiegen.

Sichere Speicherung Ihrer Notfalldaten 

Die von Ihnen zur Verfügung gestellten Notfalldaten werden zur Sicherstellung einer Trennung zu anderen Daten auf einer separaten Microsoft Azure Datenbank gespeichert und sind so von anderen Mitglieder-Daten getrennt. Die Daten werden bei Microsoft innerhalb der Europäischen Union gespeichert und verarbeitet. Die Speicherung bei Microsoft Azure ist verschlüsselt und erfüllt höchste Sicherheitsstandards. Der ADAC legt höchsten Wert darauf, dass die besonders schützenswerten Daten des Notfallpasses sicher und entsprechend der Datenschutzgrundverordnung gespeichert sind. Außer dem Mitglied selbst ist niemand berechtigt, die Notfalldaten einzusehen. Auch ADAC Mitarbeiter sind generell nicht berechtigt die Daten einzusehen. Im Falle eines Zugriffs auf die Datenbank erfolgt ebenfalls eine Entschlüsselung und anschließend erneute Verschlüsselung der Notfalldaten. 

Integration der Notfalldaten in verschlüsselter Form in einen QR-Code

Im Rahmen der Erstellung Ihres Notfallpasses werden die von Ihnen zur Verfügung gestellten Notfalldaten in verschlüsselter Form (asynchrone AES-256- Verschlüsselung) in einen QR-Code integriert, der Bestandteil des herunterzuladenden Wallet-Passes ist. Soweit Sie über „Mein ADAC“ später Änderungen an Ihren Notfalldaten vornehmen, wird der QR-Code auf Ihrem Wallet-Pass automatisch angepasst, so dass dort stets die aktuellen Daten hinterlegt sind. 
 

Herunterladen des Notfallpasses in Ihre Wallet-App 

Ihren Notfallpass können Sie sich in die von Ihnen verwendete Wallet-App herunterladen und dort speichern. Sie haben jederzeit die Möglichkeit, den Notfallpass in Ihrer Wallet-App zu löschen. Hiervon unberührt bleiben in Ihrem persönlichen Bereich unter “Mein ADAC” gespeicherten Notfalldaten, die gesondert gelöscht werden können.

Abruf der Notfalldaten durch Rettungskräfte 

Im Notfall können Sie entscheiden, ob Sie den Rettungskräften den Zugriff auf die in Ihrem Notfallpass hinterlegten Notfalldaten ermöglichen möchten. In diesem Fall öffnen Sie Ihre Wallet-App (entweder via Schnellaufruf aus dem Sperrbildschirm oder durch Auswahl der Wallet App) und wählen den Notfallpass aus. Auf der Vorderseite des Notfallpasses werden Ihr Name, das Datum der letzten Aktualisierung des Passes sowie ein QR-Code abgebildet, in dem Ihre Notfalldaten verschlüsselt gespeichert sind. Auf der Rückseite wird ein Link angezeigt, über den Sie Ihre Notfalldaten – nach Eingabe Ihrer Zugangsdaten – in Ihrem persönlichen Bereich unter „Mein ADAC“ aufrufen können. Für das Auslesen Ihrer Notfalldaten aus dem QR-Code, für das keine Internetverbindung erforderlich ist (das heißt, der Notfallpass kann auch offline genutzt werden), scannen die Rettungskräfte den QR-Code mit einer speziellen Geräten (beispielsweise einem NidaPAD,), mit dessen Hilfe die in dem QR-Code enthaltenen Notfalldaten entschlüsselt und den Rettungskräften angezeigt werden. Ohne die von den Rettungskräften genutzten Geräte – sowie der darauf installierten Software – ist eine Entschlüsselung und damit ein Auslesen der Notfalldaten nicht möglich.

Aktualisierung Ihres Notfallpasses in der Wallet-App 

Sobald der Notfallpass in der von Ihnen verwendeten Wallet-App gespeichert wird, sendet Ihr Mobiltelefon automatisch eine Nachricht an den sog. Push Notification Service des jeweiligen Betriebssystem-Anbieters Ihres Mobiltelefons (Apple/Google). Dieser wiederum generiert eine zufällige ID (sog. Device Library Identifier), die an unseren Dienstleister Fobi AI Germany GmbH/Passcreator (siehe unten) geschickt wird. Die ID dient dazu, Ihren Wallet-Pass zu aktualisieren, lässt jedoch keine Rückschlüsse auf Ihre Person zu. Sobald Sie den Notfallpass aus Ihrer Wallet-App löschen, wird Fobi AI Germany GmbH/Passcreator von dem jeweiligen Push Notification Service benachrichtigt, sodass ab diesem Zeitpunkt keine Aktualisierungen Ihres Notfallpasses mehr erfolgen. Um eine regelmäßige Aktualisierung des Notfallpasses zu ermöglichen, erhalten Sie - sofern Sie dies wünschen - in regelmäßigen Abständen eine Nachricht mit der Bitte, Ihre Notfalldaten zu überprüfen und falls erforderlich, zu aktualisieren. 

Arten verarbeiteter personenbezogener Daten, Verarbeitungszwecke und Rechtsgrundlagen

Im Rahmen des Notfallpasses verarbeiten wir lediglich personenbezogene Daten, die im Zusammenhang mit Ihrer Mitgliedschaft stehen und von Ihnen mitgeteilt werden. Dazu gehören folgende Datenkategorien:

  • Persönliche Daten (z.B. Name, Geburtsdatum, Mitgliedsnummer, Geschlecht sowie weitere persönliche Angaben, die Sie für die Erstellung des Notfallpasses – freiwillig – angeben wie Notfallkontakte, abhängige Personen usw.)   
  • Medizinische Daten (z.B. Medikamente, Vorerkrankungen, Allergien, Angaben zu Schwangerschaft, Informationen zu Herzschrittmachern)
  • Willenserklärungen (z.B. Vorhandensein einer Patientenverfügung oder eines Organspendeausweises)

Sollten Sie uns für den Notfallpass Kontaktdaten von Dritten (z.B. Name und Telefonnummer) mitteilen, die Sie als Kontaktperson oder anhängige Personen hinterlegen möchten, werden Sie aufgefordert zu bestätigen, dass sich die Dritten mit der Weitergabe und Verarbeitung ihrer Daten durch uns einverstanden erklärt haben.

Wir weisen darauf hin, dass wir im Rahmen des Notfallpasses damit auch besondere Kategorien personenbezogener Daten i. S. d. Art. 9 DSGVO, namentlich Gesundheitsdaten, verarbeiten, die besonders schutzbedürftig sind.

Zweck der Verarbeitung personenbezogener Daten im Rahmen der Einrichtung und Nutzung des Notfallpasses ist die Organisation und Erbringung der Leistung „Notfallpass“ und ggf. damit verbundener nachgelagerter Leistungen (siehe oben). Rechtsgrundlage der Verarbeitung ist insofern Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) und/oder Art. 6 Abs. 1 lit. b DSGVO (Erforderlichkeit der Verarbeitung für die Erbringung der Dienstleistung).

 

Einsatz von Auftragsverarbeitern

Um die in Ziffer 4 beschriebenen Zwecke zu erfüllen, übermitteln wir Ihre Daten an folgende Empfänger:

  • Im Rahmen der Erbringung der Dienstleistung eines Notfallpasses arbeitet der ADAC mit dem Dienstleister Fobi AI Germany GmbH, Walter-Gropius-Str. 15, 80807 München als Anbieter des Dienstes „Passcreator“ zusammen, der Ihre personenbezogenen Daten weisungsgebunden und im Auftrag des ADAC i. S. d. Art. 28 DSGVO verarbeitet.
  • Dienstleister (z.B. Callcenter, IT-Unternehmen, Mobilitätspartner, Gesellschaften unter der Marke "ADAC" sowie für sie zuständige Regionalclubs). Diese verarbeiten Ihre personenbezogenen Daten weisungsgebunden im Auftrag des ADAC als unsere Auftragsverarbeiter nach Art. 28 DSGVO.
  • Behörden (z.B. Strafverfolgungsbehörden), Rechtsanwälte, Wirtschaftsprüfer, Gerichte, Gutachter. 

 

Nutzung von Wallet-Apps von Apple/Google oder Drittanbietern

Im Rahmen der Nutzung einer Wallet-App ist nicht ausgeschlossen, dass auch der Anbieter der Wallet-App und/oder Apple (falls Sie die App auf einem iOS-Gerät nutzen) bzw. Google (falls Sie die App auf einem Android-Gerät nutzen) personenbezogene Daten von Ihnen verarbeiten. Dies gilt beispielsweise für Nutzer der Wallet-App „Yourwallet“ des Anbieters YOUR PASS, s.r.o., die von unserem Dienstleister Fobi AI Germany GmbH/Passcreator an den Dienst „Passcreator“ angebunden wurde. Auf die Datenverarbeitung durch derartige Anbieter von Wallet-Apps und/oder Apple/Google haben wir keinen Einfluss und sind nicht dafür verantwortlich. Informieren Sie sich bitte in den Datenschutzbestimmungen des jeweiligen App-Anbieters oder den Datenschutzerklärungen von Apple (https://www.apple.com/de/privacy/privacy-policy/) bzw. Google (https://policies.google.com/privacy?hl=de) .

Passcreator / Open Telekom Cloud

Zur Erbringung der oben beschrieben Leistungen im Zusammenhang mit dem Notfallpass, insbesondere der Zusendung von Wallet Push Notifications (für die Erinnerungsfunktion), nutzen wir den Dienst „Passcreator“ unseres Auftragsverarbeiters Fobi AI Germany GmbH/Passcreator (siehe oben). Unser Auftragsverarbeiter nutzt zur Erbringung seiner Dienste wiederum die Open Telekom Cloud. Vertragspartner ist T-Systems International GmbH, Hahnstraße 43d, 60528 Frankfurt am Main. Personenbezogene Daten, die von Fobi AI Germany GmbH/Passcreator verarbeitet werden, werden auf den Servern von T-Systems International nach aktuellen Sicherheitsstandards und innerhalb der Europäischen Union gespeichert und verarbeitet. Eine Übermittlung von personenbezogenen Daten an T-Systems International erfolgt auf Grundlage eines zwischen Fobi AI Germany/Passcreator und T-Systems International abgeschlossenen Auftragsverarbeitungsvertrages gemäß Art. 28 Abs. 3 Satz 1 DSGVO. Die Datenschutzbestimmungen für die Open Telekom Cloud können im Übrigen unter https://open-telekom-cloud.com/de/datenschutz abgerufen werden.

5. Dauer der Datenspeicherung

Ihre personenbezogenen Daten werden gelöscht, sobald sie für die genannten Zwecke nicht mehr erforderlich sind oder Sie die Einwilligung in ihre Verarbeitung widerrufen. Unabhängig davon können Sie selbst sowohl Ihre Notfalldaten in Ihrem persönlichen Bereich auf unter “Mein ADAC” als auch den Notfallpass aus der Wallet-App jederzeit  löschen (bitte beachten Sie jedoch, dass eine Löschung des Notfallpasses aus der Wallet-App die in Ihrem persönlich Bereich unter „Mein ADAC“ gespeicherten Notfalldaten unberührt lässt, das heißt die dort gespeicherten Daten müssen in diesem Fall separat gelöscht werden. Dabei kann es vorkommen, dass personenbezogene Daten für die Zeit aufbewahrt werden, in der Ansprüche gegen den ADAC geltend gemacht werden können (gesetzliche Verjährungsfrist von drei bis zu dreißig Jahren). Zudem werden die personenbezogenen Daten gespeichert, soweit und solange der ADAC dazu gesetzlich verpflichtet ist. Entsprechende Nachweis- und Aufbewahrungspflichten ergeben sich unter anderem aus dem Handelsgesetzbuch, der Abgabenordnung und dem Geldwäschegesetz. Die Speicherfristen betragen danach bis zu zehn Jahre.
 

6. Empfängerkategorien

Über die unter Ziffer 4 ausdrücklich genannten Dritten hinaus übermitteln wir Ihre personenbezogenen Daten nur an Dritte, wenn Sie dem vorher ausdrücklich zustimmen, es der Vorbereitung oder Erfüllung eines Vertrages, den Sie mit dem Dritten oder uns haben, dient oder wenn wir gesetzlich dazu verpflichtet sind. 

7. Übermittlung in Drittstaaten

Sollten wir personenbezogene Daten an weisungsgebundene Dienstleister außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) übermitteln, erfolgt eine Verarbeitung Ihrer Daten in Drittstaaten nur auf Grundlage sogenannter Standarddatenschutzklauseln der EU-Kommission, soweit durch bestimmte Maßnahmen sichergestellt ist, dass hierfür ein angemessenes Datenschutzniveau besteht (z. B. Angemessenheitsbeschluss der EU-Kommission oder sog. geeignete Garantien, Art. 44 ff. DSGVO) und/oder, soweit eine Verarbeitung Ihrer Daten in den Vereinigten Staaten stattfindet, auf Grundlage des EU-U.S. Data Privacy Framework.

8. Ihre Rechte nach der DSVGO

Sie können bei Vorliegen der jeweiligen gesetzlichen Voraussetzung folgende Rechte im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten ausüben:

  • Recht auf Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten (Art. 15 DSGVO). Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, die Kategorien von Empfängern, die geplante Speicherdauer und die Herkunft Ihrer nicht direkt bei Ihnen erhobenen Daten verlangen;
  • Recht auf Berichtigung unrichtiger oder auf Vervollständigung unvollständiger Daten (Art. 16 DSGVO);
  • Recht auf Löschung Ihrer bei uns gespeicherten Daten (Art. 17 DSGVO), soweit keine gesetzlichen oder vertraglichen Aufbewahrungsfristen oder anderen gesetzlichen Pflichten oder Rechte zur weiteren Speicherung einzuhalten sind;
  • Recht auf Einschränkung der Verarbeitung Ihrer Daten (Art. 18 DSGVO);
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO), d. h. das Recht, von Ihnen zur Verfügung gestellte und bei uns über Sie gespeicherte Daten in einem gängigen, maschinenlesbaren Format übertragen zu bekommen oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
  • Recht auf Widerruf Ihrer Einwilligung (Art. 7 DSGVO), den Sie jederzeit mit Wirkung für die Zukunft erklären können. Im Falle der Erteilung der Einwilligung über die Privatsphäre-Einstellungen können Sie Ihren Widerruf über die Privatsphäre-Einstellungen bzw. Cookie-Einstellungen erklären;
  • Recht auf Widerspruch hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten (Art. 21 DSGVO).

Soweit die Daten in gemeinsamer Verantwortlichkeit verarbeitet werden, können Sie Ihre Betroffenenrechte gegenüber jedem Verantwortlichen geltend machen; Ihre Anfrage wird an die zuständige Stelle weitergeleitet und gemeinsam bearbeitet. Zur Vereinfachung der Beantwortung von Datenschutzanfragen bitten wir Sie jedoch, sich an den ADAC e.V. als erste Anlaufstelle für Datenschutzanfragen zu wenden.

Ihre Datenschutzanfrage zur Umsetzung Ihrer Rechte kann formlos erfolgen. Wenden Sie sich (idealerweise unter Angabe Ihrer Kunden- oder Mitgliedsnummer) einfach per E-Mail an: gesundheit(at)adac.de.
 
Sie haben zudem jederzeit das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die für den ADAC e.V. zuständige Datenschutzaufsichtsbehörde ist: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Tel.: 0981 18 00 93 0, Fax: 0981 18 00 93 800.

Stand: März 2024