Datenschutzerklärung – SchnarchFrei App
Stand: Februar 2026
Produkt: SchnarchFrei App (DiGA gemäß § 33a SGB V)
Hersteller: Snore Free GmbH
1. Verantwortlicher und Datenschutzbeauftragter
Verantwortliche Stelle im Sinne der DSGVO:
Snore Free GmbH
Josefstädterstrasse 82
1080 Vienna – Austria
office@snorefree.com
Datenschutzbeauftragter:
Kanzlei Stangl & Ferstl
Mag. Edwin Stangl
Allerheiligengasse 10
2700 Wiener Neustadt – Austria
anwaelte@stangl-ferstl.com
Bei Fragen zum Datenschutz wenden Sie sich bitte an unseren Datenschutzbeauftragten.
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die mobile Anwendung SchnarchFrei (im Folgenden „App“), die als zugelassene Digitale Gesundheitsanwendung (DiGA) gemäß § 33a SGB V betrieben wird. SchnarchFrei unterstützt Betroffene mit logopädischen Übungen zur Reduktion von Schnarchen und schlafbezogenen Atemproblemen. Sie beschreibt, welche personenbezogenen Daten wir erheben, zu welchem Zweck wir sie verarbeiten und welche Rechte Ihnen als betroffener Person zustehen.
Die App wird auf Android (Google Play Store) und iOS (Apple App Store) bereitgestellt und nutzt eine gemeinsame Backend-Infrastruktur auf Basis von Amazon Web Services (AWS), Region eu-central-1 (Frankfurt, Deutschland).
3. Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen:
| Grundlage | Anwendungsfall |
|---|---|
| Art. 6 Abs. 1 lit. b DSGVO | Vertragserfüllung (Bereitstellung der DiGA-Leistungen) |
| Art. 6 Abs. 1 lit. c DSGVO | Erfüllung rechtlicher Verpflichtungen (DiGAV, SGB V) |
| Art. 6 Abs. 1 lit. f DSGVO | Berechtigte Interessen (technischer Betrieb, Sicherheit, Support) |
| Art. 9 Abs. 2 lit. h DSGVO | Verarbeitung besonderer Kategorien für Gesundheitsversorgung |
| Art. 9 Abs. 2 lit. a DSGVO | Ausdrückliche Einwilligung (Gesundheitsdaten aus der Therapie, optional) |
4. Authentifizierung und Identitätsverwaltung
4a. Azuma DOA – Primärer Identitätsprovider
Für die Anmeldung und Registrierung nutzen wir den Dienst Azuma DOA (Digital Order Authentication) der Azuma Health GmbH (im Folgenden „Azuma“). Azuma fungiert als eigenständiger Identity Provider (IdP) und übernimmt:
- Benutzerregistrierung (E-Mail-Adresse, Passwort)
- Anmeldung per E-Mail/Passwort oder Passkey (biometrische Authentifizierung)
- Ausstellung und Verwaltung von Authentifizierungstoken (JWTs)
- Passwort-Reset-Prozesse
- Multi-Faktor-Authentifizierung
Verarbeitete Daten: E-Mail-Adresse, gehashtes Passwort (bei Azuma gespeichert), Gerätebindungsinformationen (bei Passkey-Nutzung), Authentifizierungstoken.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Auftragsverarbeiter: Azuma Health GmbH. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist geschlossen.
Datenschutzdokumentation Azuma: https://docs.azuma-health.tech/products/doa
Hinweis zu BSI TR-03161: Die Authentifizierung über Azuma DOA erfüllt die Anforderungen des BSI TR-03161 Kapitel 6 (Authentifizierung), insbesondere Mehrfaktor-Authentifizierung und sichere Gerätebindung.
4b. Passkey / Biometrische Authentifizierung
Auf unterstützten Geräten können Sie sich per Passkey (FIDO2/WebAuthn) anmelden. Dabei wird ein kryptographisches Schlüsselpaar erzeugt:
- Der private Schlüssel verbleibt ausschließlich auf Ihrem Gerät, gesichert durch das plattformeigene Sicherheitselement (Android Keystore / iOS Secure Enclave / Keychain).
- Der öffentliche Schlüssel wird bei Azuma DOA gespeichert.
Biometrische Daten (Fingerabdruck, Face ID) verlassen Ihr Gerät zu keinem Zeitpunkt. Sie werden ausschließlich lokal vom Betriebssystem zur Freigabe des privaten Schlüssels verwendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4c. GesundheitsID – Login via Azuma Mimoto
Alternativ können Sie sich mit Ihrer GesundheitsID (Ihrer elektronischen Gesundheitskarte, eGK) anmelden. Hierfür nutzen wir den Dienst Azuma Mimoto der Azuma Health GmbH.
Der Authentifizierungsablauf:
- Sie starten den GesundheitsID-Flow in der App (via Web View / Browser).
- Sie authentifizieren sich mit Ihrer elektronischen Gesundheitskarte (eGK) oder einem NFC-fähigen Gerät direkt gegenüber der GesundheitsID-Infrastruktur der Gematik.
- Azuma Mimoto stellt ein Authentifizierungstoken aus, das denselben Standard erfüllt wie das DOA-Token.
- Wir provisionieren Ihr Konto in unserem Backend anhand der Nutzerkennung (
sub-Claim im JWT).
Verarbeitete Daten: GesundheitsID-Kennung (pseudonymer Identifikator aus dem JWT), kein Zugriff auf Kartendaten oder Versichertenstammdaten durch uns.
Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) in Verbindung mit den DiGAV-Anforderungen zur Interoperabilität.
Auftragsverarbeiter: Azuma Health GmbH (AVV geschlossen).
Hinweis zu BSI TR-03161: Die GesundheitsID-Authentifizierung entspricht dem höchsten Sicherheitsniveau (qualifizierte elektronische Signatur) und erfüllt die Anforderungen von BSI TR-03161 Kapitel 6 sowie die DiGAV-Interoperabilitätsanforderungen.
4d. Token-Verwaltung und lokale Speicherung
Nach erfolgreicher Authentifizierung speichert die App Authentifizierungstoken ausschließlich lokal auf Ihrem Gerät:
- Android: Verschlüsselt via Android Keystore-gesicherte Encrypted SharedPreferences
- iOS: iOS Keychain mit dem Schutzniveau
kSecAttrAccessibleAfterFirstUnlock
Unser Backend speichert keine Authentifizierungstoken. Jede API-Anfrage wird anhand des mitgesendeten Token live validiert (stateless). Die Token-Erneuerung erfolgt direkt über Azuma, nicht über unser Backend.
5. Nutzerkonto und Provisionierung
Beim ersten Login wird in unserem Backend automatisch ein Nutzerkonto angelegt. Dabei wird gespeichert:
- Azuma-Nutzerkennung (
azumaUserId) – ein pseudonymer Identifikator aus dem JWT-sub-Claim - Zeitpunkt der Kontoerstellung
- Gerätebezogene Informationen (für Push-Benachrichtigungen, s. Abschnitt 8)
Eine Klartexterfassung von E-Mail-Adressen in unserem eigenen Backend findet nicht statt – die E-Mail wird ausschließlich bei Azuma verwaltet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6. DiGA-Freischaltcode (Rezept-Validierung)
Um die App als DiGA nutzen zu können, benötigen Sie einen Freischaltcode, den Sie von Ihrer Krankenkasse oder über ein ärztliches Rezept erhalten.
Die Validierung des Freischaltcodes erfolgt über einen Drittanbieter-Dienst. Hinweis: Wir befinden uns derzeit in einem Wechsel des Dienstleisters für die Freischaltcode-Validierung. Bis zum Abschluss dieses Wechsels kann es zu Anpassungen in diesem Prozess kommen. Diese Datenschutzerklärung wird entsprechend aktualisiert.
Verarbeitete Daten: Freischaltcode (wird nach erfolgreicher Validierung nicht dauerhaft gespeichert).
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung nach DiGAV § 4).
7. Therapiedaten (Gesundheitsdaten)
Im Rahmen der Schnarchfrei-Therapie verarbeiten wir Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO:
- Ergebnisse und Fortschritte aus den Therapieübungen
- Trainingsprotokolle und Sitzungsdaten
- Schlafzeiten und Schlafverhalten (soweit von Ihnen erfasst)
- Subjektive Bewertungen und Selbsteinschätzungen zum Therapieverlauf
- Von Ihnen eingegebene gesundheitsbezogene Informationen
Diese Daten werden ausschließlich zur Durchführung der DiGA-Therapie und zur Erstellung Ihrer persönlichen Auswertungen genutzt.
Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 lit. b BDSG sowie, soweit Sie zusätzlich eingewilligt haben, Art. 9 Abs. 2 lit. a DSGVO.
Speicherung: Auf Servern in Deutschland (AWS eu-central-1, Frankfurt), verschlüsselt at-rest.
7a. FHIR-Datenexport (ePA-Interoperabilität)
Auf Ihren Wunsch hin können Ihre Therapiedaten im standardisierten HL7 FHIR-Format exportiert werden, um diese z. B. in Ihre elektronische Patientenakte (ePA) zu übertragen. Die Übertragung in die ePA erfolgt nur auf Ihre ausdrückliche Veranlassung und mit Ihrer Einwilligung.
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) sowie DiGAV-Interoperabilitätspflichten.
8. Push-Benachrichtigungen
Sofern Sie Push-Benachrichtigungen aktivieren, nutzen wir:
- Android: Firebase Cloud Messaging (FCM) von Google LLC
- iOS: Apple Push Notification Service (APNs) von Apple Inc.
Dabei wird ein gerätespezifisches Push-Token (kein personenbezogenes Datum im engeren Sinne) an den jeweiligen Dienst übermittelt. Der Inhalt der Push-Benachrichtigungen enthält keine personenbezogenen oder gesundheitsbezogenen Daten – lediglich Hinweistexte (z. B. „Ihr Training für heute ist bereit“).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, durch Aktivierung der Benachrichtigungen).
Sie können Push-Benachrichtigungen jederzeit in den Geräteeinstellungen deaktivieren.
Firebase (Google LLC): Auftragsverarbeitungsvertrag geschlossen. Datenübertragung in die USA auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
9. E-Mail-Kommunikation
Für transaktionale E-Mails (z. B. Passwort-Reset, sofern über unser System ausgelöst) nutzen wir SendGrid (Twilio Inc.) oder SMTP. Die E-Mail-Adresse wird dabei ausschließlich für den jeweiligen Zustellungszweck verwendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Auftragsverarbeiter: Twilio Inc. / SendGrid (AVV geschlossen, EU-Standardvertragsklauseln für US-Übertragung).
10. Technische Infrastruktur (Cloud-Dienste)
Wir betreiben unsere Backend-Infrastruktur ausschließlich bei Amazon Web Services (AWS) in der Region eu-central-1 (Frankfurt, Deutschland). Damit unterliegt die Datenspeicherung dem deutschen und europäischen Datenschutzrecht.
Im Einzelnen nutzen wir folgende AWS-Dienste:
| AWS-Dienst | Zweck | Verschlüsselung |
|---|---|---|
| Amazon RDS (PostgreSQL) | Hauptdatenbank (Nutzerdaten, Therapiedaten) | Ja (at-rest + TLS in transit) |
| Amazon S3 | Dateispeicher (Medien, Berichte) | Ja (at-rest, SSE-S3) |
| Amazon CloudFront | Content Delivery Network (Bilder, Medien) | Ja (TLS, Signed URLs) |
| Amazon ECS Fargate | Container-Betrieb des Backends | Private Subnets, Security Groups |
| Amazon SQS | Asynchrone Aufgaben (PDF-Generierung, FHIR-Export) | Ja |
| Amazon Secrets Manager | Verwaltung kryptographischer Schlüssel und API-Credentials | Ja |
| Amazon CloudWatch | Technische Logs und Monitoring | Ja |
Auftragsverarbeiter: Amazon Web Services EMEA SARL (AVV geschlossen). Datenverarbeitung ausschließlich innerhalb der EU.
Netzwerksicherheit: Die gesamte Kommunikation zwischen App und Backend erfolgt ausschließlich über HTTPS mit TLS 1.2 oder höher. Verbindungen ohne TLS werden abgewiesen.
Hinweis zu BSI TR-03161: Die Netzwerkkonfiguration entspricht den Anforderungen von BSI TR-03161 Kapitel 9 (Netzwerkkommunikation). Die Datenbank und der Backend-Container befinden sich in privaten Subnetzen ohne direkten Internetzugang.
11. Server-Logs und technische Protokollierung
Unser Backend protokolliert technische Zugriffsdaten (Server-Log-Dateien) für den sicheren Betrieb und die Fehlerbehebung:
- IP-Adresse (anonymisiert oder pseudonymisiert)
- Zeitstempel
- Anfrage-Typ und aufgerufene API-Endpunkte
- HTTP-Statuscode
- Übertragenes Datenvolumen
Aufbewahrung:
- Anwendungslogs: 7 Tage (Amazon CloudWatch)
- Aggregierte Metriken: 15 Monate
Logs werden keiner Person zugeordnet, sofern dies nicht zur Abwehr konkreter Angriffe oder auf behördliche Anordnung erforderlich ist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: sicherer Betrieb, Angriffserkennung).
12. App Store / Plattformbetreiber
Der Download der App erfolgt über den Google Play Store (Google LLC) oder den Apple App Store (Apple Inc.). Im Zuge des Downloads können diese Plattformbetreiber technische Daten erheben. Auf diese Verarbeitung haben wir keinen Einfluss; es gelten die Datenschutzhinweise von Google bzw. Apple.
13. Cookies und App-Analytics
Die App verwendet keine Tracking-Cookies und kein verhaltensbasiertes Nutzungsanalyse-Tracking. Technisch notwendige Zustandsdaten werden ausschließlich lokal auf Ihrem Gerät gespeichert.
Sofern Sie der optionalen Erhebung anonymisierter Geräteinformationen zur Qualitätsverbesserung zugestimmt haben, werden ausschließlich anonymisierte, nicht rückführbare Daten (z. B. Gerätetyp, Betriebssystemversion, App-Version) erfasst. Eine Zuordnung zu Ihrer Person ist nicht möglich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
14. Speicherfristen und Datenlöschung
| Datenkategorie | Speicherdauer | Löschauslöser |
|---|---|---|
| Nutzerkonto (Backend) | Bis zur Kontolöschung + 30 Tage | Auf Anfrage / Vertragsende |
| Therapiedaten | Bis zur Kontolöschung + 30 Tage | Auf Anfrage / Vertragsende |
| Authentifizierungsdaten (Azuma) | Nach Azuma-Datenschutzbestimmungen | Kontolöschung bei Azuma |
| Server-Logs | 7 Tage | Automatisch |
| Push-Token | Bis zur Deaktivierung / Kontolöschung | Auf Anfrage / Deaktivierung |
| E-Mail-Versandprotokolle | 30 Tage | Automatisch |
| FHIR-Export-Dateien | Nach Zustellung sofortige Löschung | Technisch |
15. Empfänger und Weitergabe von Daten
Wir geben Ihre Daten nur in folgenden Fällen weiter:
| Empfänger | Zweck | Rechtsgrundlage |
|---|---|---|
| Azuma Health GmbH (IdP) | Authentifizierung, Identitätsverwaltung | Art. 6 Abs. 1 lit. b, Art. 28 DSGVO (AVV) |
| Amazon Web Services EMEA SARL | Cloud-Infrastruktur | Art. 28 DSGVO (AVV, EU-Hosting) |
| Google LLC (Firebase) | Push-Benachrichtigungen | Art. 6 Abs. 1 lit. a, Art. 46 DSGVO (SCC) |
| Twilio/SendGrid | E-Mail-Versand | Art. 6 Abs. 1 lit. b, Art. 46 DSGVO (SCC) |
| Dienstleister Freischaltcode | Rezeptvalidierung (DiGAV) | Art. 6 Abs. 1 lit. c DSGVO |
| Behörden | Bei gesetzlicher Verpflichtung | Art. 6 Abs. 1 lit. c DSGVO |
Eine Weitergabe zu Werbezwecken oder ein Verkauf Ihrer Daten findet nicht statt.
16. Internationale Datenübermittlungen
Daten werden grundsätzlich innerhalb der EU/EWR verarbeitet. Ausnahmen:
- Firebase (Google LLC, USA): Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO; zusätzliche technische Schutzmaßnahmen (keine Gesundheitsdaten im Payload).
- Twilio/SendGrid (USA): Standardvertragsklauseln (SCC).
17. Sicherheitsmaßnahmen (technisch-organisatorisch)
Wir setzen dem Stand der Technik entsprechende Sicherheitsmaßnahmen ein, die den Anforderungen der BSI TR-03161 (Teile 1 und 3) sowie der ISO/IEC 27001:2022 entsprechen:
- Verschlüsselung in der Übertragung: TLS 1.2+ für alle Verbindungen
- Verschlüsselung im Ruhezustand: Alle Datenbanken, Dateispeicher und Backups
- Sichere lokale Speicherung: Android Keystore / iOS Keychain für alle sensitiven App-Daten
- Zugriffskontrolle: Prinzip der minimalen Berechtigung (Least Privilege), rollenbasierte Autorisierung
- Netzwerksegmentierung: Backend und Datenbank in privaten Subnetzen ohne direkten Internetzugang
- Secrets-Management: Kryptographische Schlüssel und API-Credentials in AWS Secrets Manager
- Monitoring: Kontinuierliche Protokollierung und Überwachung auf Anomalien
- Regelmäßige Sicherheitsprüfungen: Interne und externe Audits nach BSI TR-03161
18. Ihre Rechte als betroffene Person
Sie haben gemäß DSGVO folgende Rechte:
| Recht | Grundlage | Beschreibung |
|---|---|---|
| Auskunft | Art. 15 DSGVO | Welche Daten wir über Sie verarbeiten |
| Berichtigung | Art. 16 DSGVO | Korrektur unrichtiger Daten |
| Löschung | Art. 17 DSGVO | Löschung Ihrer Daten („Recht auf Vergessenwerden“) |
| Einschränkung | Art. 18 DSGVO | Einschränkung der Verarbeitung |
| Datenportabilität | Art. 20 DSGVO | Erhalt Ihrer Daten in maschinenlesbarem Format (inkl. FHIR-Export) |
| Widerspruch | Art. 21 DSGVO | Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen |
| Widerruf | Art. 7 Abs. 3 DSGVO | Widerruf erteilter Einwilligungen jederzeit, ohne Angabe von Gründen |
Anfragen richten Sie bitte an: datenschutz@schnarchfrei.de
Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. In Österreich ist dies die Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, www.dsb.gv.at. In Deutschland können Sie sich an die zuständige Landesbehörde wenden.
19. Einwilligungen widerrufen und Konto löschen
Sie können Ihre erteilten Einwilligungen jederzeit und ohne Angabe von Gründen widerrufen:
- Push-Benachrichtigungen: Über die Geräteeinstellungen (iOS/Android)
- Anonyme Nutzungsstatistiken: In den App-Einstellungen
- Konto vollständig löschen: Über die App-Einstellungen oder per E-Mail an datenschutz@schnarchfrei.de
Nach Kontolöschung werden Ihre Daten innerhalb von 30 Tagen vollständig gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Ihre Authentifizierungsdaten bei Azuma sind separat über Azuma zu löschen (Azuma-Kontoeinstellungen oder Kontakt an Azuma).
20. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der App, der Infrastruktur oder der Rechtslage anzupassen. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden Sie in der App informiert. Die jeweils aktuelle Version ist unter https://schnarchfrei.de/datenschutzerklarung-schnarchfrei-app/ abrufbar.
Stand: Februar 2026
Changelog (intern)
| Version | Datum | Änderung |
|---|---|---|
| 2.1 | 2026-02-20 | Therapeutischen App-Zweck in Abschnitt 2 ergänzt; spezifische Gesundheitsdatenkategorien (Schlafzeiten, Schlafverhalten, subjektive Bewertungen) in Abschnitt 7 aufgenommen |
| 2.0 | 2026-02-18 | Azuma DOA & Mimoto (GesundheitsID) aufgenommen; Passkey-Authentifizierung; JWT-Token-Handling; AWS-Infrastruktur detailliert; FHIR-Export; Freischaltcode-Provider-Hinweis; BSI TR-03161 Compliance-Hinweise; Speicherfristen tabellarisch; vollständige Empfänger-Tabelle |
| 1.0 | 2023-12 | Initiale Version |
