Datenschutzerklärung Invirto App

Datenschutzerklärung Invirto App

Hinweis: Diese Datenschutzerklärung gilt ausschließlich für die App von Invirto. Die Datenschutzerklärung der Invirto Webseite finden Sie unter folgendem Link: invirto.de/datenschutz

Verantwortlicher
UnternehmenSympatient GmbH
Straße, HausnummerKoppel 34-36
PLZ, Ort, Land:20099 Hamburg, Deutschland
Gerichtsstand:Hamburg, Amtsgericht Hamburg
Handelsregister/Nr.:HRB: 149197
Geschäftsführer:Christian Angern, Julian Angern, Benedikt Reinke
Telefonnummer:+(49) 40 309 24 713
E-Mailadresse:[email protected]
Datenschutzbeauftragter
NameBenedikt Reinke
Straße, HausnummerKoppel 34-36
PLZ, Ort, Land:20099 Hamburg, Deutschland
Telefonnummer:+(49) 40 309 24 713
E-Mailadresse:[email protected]
Stand: 22.07.2020
1. Grundsätzliche Angaben zur Datenverarbeitung und Rechtsgrundlagen

1.1. Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten innerhalb unserer App und der mit ihr verbundenen, Funktionen und Inhalte (nachfolgend gemeinsam bezeichnet als „App“) auf. Die Datenschutzerklärung gilt unabhängig von den verwendeten Systemen, Plattformen und Geräten (z.B. iOS oder Android) auf denen die App ausgeführt wird.

1.2. Die verwendeten Begrifflichkeiten, wie z.B. „personenbezogene Daten“ oder deren „Verarbeitung“ verweisen wir auf die Definitionen im Art. 4 der Datenschutzgrundverordnung (DSGVO).
Der Begriff „Nutzer“ umfasst alle Kategorien von der Datenverarbeitung betroffener Personen. Zu ihnen gehören unsere Geschäftspartner, Kunden, Interessenten und sonstige Besucher unserer App. Die verwendeten Begrifflichkeiten, wie z.B. „Nutzer“ sind geschlechtsneutral zu verstehen.

1.3. Zu den im Rahmen dieser App verarbeiteten personenbezogenen Daten der Nutzer gehören:
– Nutzungsdaten (z.B., die aufgerufenen Inhalte der App, der Programmfortschritt)
– Inhaltsdaten (z.B., Eingaben im Fragebögen, Texteinträge)
– Bestands- und Kontaktdaten (z.B.: E-Mail)
– Meta-/Kommunikationsdaten (z.B. Geräteinformationen, IP Adressen).

1.4. Besonders schutzbedürftige personenbezogene Daten die verarbeitet werden sind:
– Gesundheitsdaten: Verarbeitung basierend auf Zustimmung (Art. 9 (2) (a) DSGVO)

1.5. Zweck der Verarbeitung aller Daten ist:
– Erstellung eines Accounts
– Bereitstellung und Betrieb der App und der Therapie (Inklusive aller Funktionalitäten, Inhalte, Therapeutenbegleitung, etc.)
– Bearbeitung von Anfragen, Supportanfragen bzw. generelle Kommunikation mit Nutzern
– Anonyme aggregierte Auswertung von Verhalten innerhalb der App
– Sicherheitsmaßnahmen
– Abrechnung der Leistung mit Kostenträgern (z.B. Krankenkassen)

1.6. Wir verarbeiten personenbezogene Daten der Nutzer nur bei Vorliegen einer gesetzlichen Erlaubnis (Rechtsgrundlage). Dies Rechtsgrundlage der Einwilligungen finden Sie unter Art. 6 Abs. 1 lit. a. und Art. 7 DSGVO, die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer Leistungen und Durchführung vertraglicher Maßnahmen unter Art. 6 Abs. 1 lit. b. DSGVO, die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer rechtlichen Verpflichtungen unter Art. 6 Abs. 1 lit. c. DSGVO, und die Rechtsgrundlage für die Verarbeitung zur Wahrung unserer berechtigten Interessen unter Art. 6 Abs. 1 lit. f. DSGVO ist.

2. Besonders schützenswerte personenbezogene Daten

2.1. Wir erheben, sammeln oder verarbeiten keine besonders schützenswerte personenbezogenen Daten, außer wenn:
– Die Verarbeitung gesetzlich verpflichtend oder erlaubt ist.
– Die Verarbeitung unumgänglich ist um Straftaten, Betrug, Geldwäsche und Terrorismusfinanzierung zu vermeiden oder aufzudecken.
– Wir vorher, im Einklang mit gesetzlichen Vorschriften, Ihre Einwilligung eingeholt haben. Zur Klarstellung: Diese Einwilligung wird ausschließlich eingeholt, falls die Verarbeitung uneingeschränkt freiwillig geschieht und weder verpflichtend noch notwendig ist oder keine andere Rechtsgrundlage besteht.

2.2. Alle besonders schützenswerten Daten werden auf unseren eigenen Servern in Europa gespeichert (Siehe “Hosting”).

2.3. Konkret verarbeiten wir in der App folgende besonders schützenswerten personenbezogene Daten:
– Den Fortschritt der Behandlung und den Umfang der Nutzung um Nutzern Erinnerungen zu schicken, die richtigen Inhalte zur Verfügung zu stellen, zum richtigen Zeitpunkt Termine mit den Nutzern zu vereinbaren, die Behandlung zu verbessern und zu individualisieren.
– Besonders schützenswerte personenbezogene Daten werden ausschließlich sicher versandt. Entweder postalisch per Einschreiben oder über sichere Datenräume (siehe “Datenübertragung”).
– Die Daten liegen in der Datenbank immer pseudonymisiert vor und können nur durch autorisierte Personen zweckgebunden mit dem selbst gewählten Anmeldenamen der Nutzer oder dem Klarnamen zugeordnet werden. Zu diesen Personen gehören:

PersonengruppenOrganisationAufhebung der Pseudonymisierung durch:ZweckRechtsgrundlage
Behandelnde TherapeutenZuständiges BehandlungszentrumKlarname, E-MailLeistungserbringungVertragserfüllung
Vertretende TherapeutenZuständiges BehandlungszentrumKlarname, E-MailLeistungserbringungVertragserfüllung
Zuständige PsychologenSympatient GmbHE-MailLeistungserbringungVertragserfüllung
Reporting AbteilungSympatient GmbHKlarnameAbrechnungVertragserfüllung
3. Sicherheitsmaßnahmen

3.1. Wir treffen organisatorische, vertragliche und technische Sicherheitsmaßnahmen entsprechend dem Stand der Technik, um sicherzustellen, dass die Vorschriften der Datenschutzgesetze eingehalten werden und um damit die durch uns verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen.

3.2. Unsere Maßnahmen umfassen insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen Zugangs zu den Daten, als auch des sie betreffenden Zugriffs, der Eingabe, Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Ebenso haben wir Verfahren implementiert, die die Wahrnehmung von Betroffenenrechten, Löschung von Daten und Reaktion auf Gefährdung der Daten gewährleisten. Weiter berücksichtigen wir den Schutz Ihrer personenbezogenen Daten bereits bei der Entwicklung, bzw. Auswahl unserer Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSG-VO).

4. Datenverarbeitung durch die Sympatient GmbH

4.1. Innerhalb unseres Angebotes analysieren wir auf der Grundlage unserer berechtigten Interessen (d.h. Interesse an der Analyse, Optimierung und wirtschaftlichem Betrieb unseres Angebots im Sinne des Art. 6 Abs. 1 lit. f. DSG-VO) anonymisierte Daten. Diese Daten werden an niemanden weitergegeben.

4.2. Behandelnde Therapeuten leiten der Sympatient GmbH Daten zur Abrechnung weiter (ICD-Diagnose, Diagnosesicherheit, Diagnosedatum, Name, Module), die gem. Art. 6 Abs. 1 lit. b) DSGVO verarbeitet und entsprechend der gesetzlichen Löschfristen gespeichert werden.

5. Versand

5.1. Für den Versand des Starterpakets, verarbeiten wir die Versandadresse der Nutzer gem. Art. 6 Abs. 1 lit. b) DSGVO und geben diese an DHL Express Germany GmbH, Heinrich-Brüning-Str. 5, 53113 Bonn weiter. Die Datenschutzerklärung des Anbieters finden Sie unter https://www.dhl.de/de/toolbar/footer/datenschutz-express.html

6. Weitergabe von Daten an Dritte und Drittanbieter

6.1. Eine Weitergabe von Daten an Dritte erfolgt nur im Rahmen der gesetzlichen Vorgaben.

6.2. Sofern wir Subunternehmer einsetzen, um unsere Leistungen bereitzustellen, ergreifen wir geeignete rechtliche Vorkehrungen sowie entsprechende technische und organisatorische Maßnahmen, um für den Schutz der personenbezogenen Daten gemäß den einschlägigen gesetzlichen Vorschriften zu sorgen.

6.3. Sofern im Rahmen dieser Datenschutzerklärung Inhalte, Werkzeuge oder sonstige Mittel von anderen Anbietern (nachfolgend gemeinsam bezeichnet als „Drittanbieter“) eingesetzt werden und deren genannter Sitz sich in einem Drittland befindet, ist davon auszugehen, dass ein Datentransfer in die Sitzstaaten der Drittanbieter stattfindet. Als Drittstaaten sind Länder zu verstehen, in denen die DSGVO kein unmittelbar geltendes Recht ist, d.h. grundsätzlich Länder außerhalb der EU, bzw. des Europäischen Wirtschaftsraums. Die Übermittlung von Daten in Drittstaaten erfolgt entweder, wenn ein angemessenes Datenschutzniveau, eine Einwilligung der Nutzer oder sonst eine gesetzliche Erlaubnis vorliegt.

7. Erbringung vertraglicher Leistungen

7.1. Wir verarbeiten Bestandsdaten (E-Mail) zwecks Erfüllung unserer vertraglichen Verpflichtungen und Serviceleistungen gem. Art. 6 Abs. 1 lit b. DSGVO.

7.2. Im Rahmen der Inanspruchnahme unserer Onlinedienste, speichern wird die IP-Adresse und den Zeitpunkt der jeweiligen Nutzerhandlung. Die Speicherung erfolgt auf Grundlage unserer berechtigten Interessen, als auch der Nutzer an Schutz vor Missbrauch und sonstiger unbefugter Nutzung. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, außer sie ist zur Verfolgung unserer Ansprüche erforderlich oder es besteht hierzu besteht eine gesetzliche Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO.

7.3. Wir verarbeiten Nutzungsdaten (z.B., die aufgerufenen Inhalte der App, der Programmfortschritt) und Inhaltsdaten (z.B., Eingaben im Fragebögen, Texteinträge) unter anderem zwecks Erfüllung unserer vertraglichen Verpflichtungen zur Bereitstellung der App

8. E-Mail Benachrichtigungen (Mailjet)

8.1. Wir verarbeiten E-Mail Adressen und Kursfortschritt zwecks Erfüllung unserer vertraglichen Verpflichtungen und Serviceleistungen gem. Art. 6 Abs. 1 lit b. DSGVO. Zur Durchführung der Therapie ist es unerlässlich zu vordefinierten Punkten Erinnerungen zu bekommen, die wir per E-Mail versenden.

8.2. Wir versenden diese E-Mails mit Hilfe des Anbieters Mailjet GmbH, c/o Workrepublic, Berliner Allee 26, 40212 Düsseldorf, Germany

8.3. Die Server der Mailjet GmbH befinden sich Frankfurt (Deutschland) und Saint-Ghislain (Belgien). Die Datenschutzerklärung finden Sie unter folgendem Link: https://www.mailjet.de/sicherheit-datenschutz/

9. Abrechnung (DMRZ)

9.1. Zwecks der Abrechnung leiten wir Ihre Abrechnungsdaten (ICD-Diagnose, Diagnosedatum, Diagnosesicherheit, Vor- und Nachname, erbrachte Module, Arzt-Nr. des behandelnden Arztes, Versicherten-Nr.) an das Deutsches Medizinrechenzentrum GmbH, Wiesenstr. 21, D-40549 Düsseldorf, Deutschland weiter. Wir haben mit dem DMRZ einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen, der die Datenverarbeitung strikt an den Zweck der Abrechnung bindet.

9.2. Die Abrechnung mit dem DMRZ erfolgt basierend auf unserem berechtigten Interesse (sichere und effiziente Abrechnung) gem. Art. 6 Abs. 1 lit f. DSGVO.

10. Partnerkliniken und behandelnde Therapeuten und Therapeutinnen

10.1. Wir teilen Daten mit den behandelnden Therapeuten und deren Vertretern an unseren Partnerkliniken zwecks Erfüllung unserer vertraglichen Verpflichtungen gem. Art. 6 Abs. 1 lit b. DSGVO. Zur Durchführung der Therapie sprechen Nutzer an vordefinierten Punkten mit den begleitenden Therapeuten. Außerdem werden Therapeuten benachrichtigt falls Nutzungsdaten eventuelle Gefahren aufweisen um die Nutzer proaktiv zu kontaktieren.

10.2. Zu diesen Daten gehört insbesondere der Umfang der App-Nutzung (Kursfortschritt, absolvierte Übungen, Dauer der Sitzungen, Anzahl der Sitzungen, etc.)

10.3. Die Daten werden mit Hilfe des versiegelten Cloud-Anbieters “idgard” erbracht, ein Produkt der Uniscon universal identity control GmbH, Ridlerstrasse 57 (Newton), 80339 München, Germany. Die Datenschutzerklärung des Anbieters können finden Sie unter folgendem Link: https://www.idgard.de/datenschutzerklaerung/

11. Kontaktaufnahme (CRM)

11.1. Bei der Kontaktaufnahme mit uns (per Kontaktformular oder E-Mail) werden die Angaben des Nutzers zur Bearbeitung der Kontaktanfrage und deren Abwicklung gem. Art. 6 Abs. 1 lit. b) DSGVO verarbeitet.

11.2. Die Angaben der Nutzer können in unserem Customer-Relationship-Management System („CRM System“) oder vergleichbarer Anfragenorganisation gespeichert werden.

Auf Grundlage unserer berechtigten Interessen (effiziente und schnelle Bearbeitung der Nutzeranfragen) setzen wir hierfür die Systeme “ZOHO CRM“ und “ZOHO Desk”, des Anbieters Zoho Corporation B.V., Beneluxlaan 4B, 3527 HT Utrecht, Netherlands ein. Alle Daten werden ausschließlich auf europäischen Servern gespeichert werden.

12. Hosting, Server, Erhebung von Zugriffsdaten und Logfiles (Microsoft Azure)

12.1. Bei der Nutzung unserer App werden einige Angaben der Nutzer zur Bereitstellung unserer Leistung gem. Art. 6 Abs. 1 lit. b) DSGVO auf unseren Servern verarbeitet.

12.2. Unsere Server hosten wir mit Hilfe des Internet-Service-Providers: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park Leopardstown, Dublin 18, Ireland, dessen Datenschutzbestimmungen Sie hier einsehen können: https://azure.microsoft.com/de-de/support/legal/privacy-statement/germany/

12.3. Unsere Server werden von Microsoft Ireland in “Europa West” betrieben und stehen in den Niederlanden (https://azure.microsoft.com/de-de/global-infrastructure/locations/).

12.4. Wir erheben auf Grundlage unserer berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO Daten über jeden Zugriff auf den Server, auf dem sich dieser Dienst befindet (sogenannte Serverlogfiles). Zu den Zugriffsdaten gehören Name der abgerufenen Webseite, Dateiname, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider.

12.5. Logfile-Informationen werden aus Sicherheitsgründen (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für die Dauer von maximal sieben Tagen gespeichert und danach gelöscht. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.

13. Anmeldung (Google Firebase)

13.1. Für den Zweck der sicheren Registrierung und Anmeldung bei unserer App wird die E-Mail Adresse von Nutzern bei dem Service Google Firebase Authentication gem. Art. 6 Abs. 1 lit. b) DSGVO verarbeitet.

13.2. Die Technologie wird von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“) zur Verfügung gestellt. Google Inc. ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active). Subunternehmer, die Google einsetzen kann, können Sie folgendem Link entnehmen: https://firebase.google.com/terms/subprocessors. Addendum (22.07.2020): Laut neuester Rechtssprechung ist eine datenschutzkonforme Verarbeitung im Rahmen des Privacy-Shield-Abkommens nicht mehr gewährleistet. Die Verarbeitung der Authentifizierungsdaten durch Google Inc. werden fortan durch eine Standardvertragsklausel für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates gewährleistet.

14. Rechte der Nutzer

14.1. Nutzer haben das Recht, auf Antrag unentgeltlich Auskunft zu erhalten über die personenbezogenen Daten, die von uns über sie gespeichert wurden. Hierfür schicken Nutzer eine entsprechende Anfrage an [email protected]. Die Sympatient GmbH liefert innerhalb von 10 Werktagen eine initiale Rückmeldung. Gegebenenfalls muss aus Sicherheitsgründen zunächst die eindeutige Identität des Nutzers festgestellt werden.

14.2. Zusätzlich haben die Nutzer das Recht auf Berichtigung unrichtiger Daten, Einschränkung der Verarbeitung und Löschung ihrer personenbezogenen Daten, sofern zutreffend, Ihre Rechte auf Datenportabilität geltend zu machen und im Fall der Annahme einer unrechtmäßigen Datenverarbeitung, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.

14.3. Ebenso können Nutzer Einwilligungen, grundsätzlich mit Auswirkung für die Zukunft, widerrufen.

15. Löschung von Daten

15.1. Die bei uns gespeicherten Daten werden gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten der Nutzer nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten der Nutzer, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.

15.2. Nach gesetzlichen Vorgaben erfolgt die Aufbewahrung für 6 Jahre gemäß § 257 Abs. 1 HGB (Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Handelsbriefe, Buchungsbelege, etc.) sowie für 10 Jahre gemäß § 147 Abs. 1 AO (Bücher, Aufzeichnungen, Lageberichte, Buchungsbelege, Handels- und Geschäftsbriefe, Für Besteuerung relevante Unterlagen, etc.).

16. Datenportabilität

Nutzer haben das Recht ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Anbieter ohne Behinderung zu übermitteln. Hierfür schicken Nutzer eine entsprechende Anfrage an [email protected] Die Sympatient GmbH liefert innerhalb von 10 Werktagen eine initiale Rückmeldung. Gegebenenfalls muss aus Sicherheitsgründen zunächst die eindeutige Identität des Nutzers festgestellt werden.

17. Widerspruchsrecht

Nutzer können der künftigen Verarbeitung ihrer personenbezogenen Daten entsprechend den gesetzlichen Vorgaben jederzeit widersprechen. Der Widerspruch kann insbesondere gegen die Verarbeitung für Zwecke der Direktwerbung erfolgen.

18. Änderungen der Datenschutzerklärung

18.1. Wir behalten uns vor, die Datenschutzerklärung zu ändern, um sie an geänderte Rechtslagen, oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Dies gilt jedoch nur im Hinblick auf Erklärungen zur Datenverarbeitung. Sofern Einwilligungen der Nutzer erforderlich sind oder Bestandteile der Datenschutzerklärung Regelungen des Vertragsverhältnisses mit den Nutzern enthalten, erfolgen die Änderungen nur mit Zustimmung der Nutzer.

18.2. Die Nutzer werden gebeten sich regelmäßig über den Inhalt der Datenschutzerklärung zu informieren.