Datenschutzerklärung Invirto App

Datenschutzerklärung Invirto App

Hinweis: Diese Datenschutzerklärung gilt ausschließlich für die App von Invirto. Die Datenschutzerklärung der Invirto Webseite finden Sie unter folgendem Link: invirto.de/datenschutz

Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten innerhalb unserer App und der mit ihr verbundenen Funktionen und Inhalte (nachfolgend gemeinsam bezeichnet als „App“) auf. Die Datenschutzerklärung gilt unabhängig von den verwendeten Systemen, Plattformen und Geräten (z.B. iOS oder Android), auf denen die App ausgeführt wird. 

1.      Name und Kontaktdaten des Verantwortlichen

Sympatient GmbH

Koppel 34-36

20099 Hamburg, Deutschland

Tel.: +49 40 309 24 713

E-Mail: dataprotection@sympatient.com

2.      Kontaktdaten des Datenschutzbeauftragten

Benedikt Reinke

Koppel 34-36

20099 Hamburg, Deutschland

Tel.: +49 40 309 24 713

E-Mail: dataprotection@sympatient.com

3.      Welche Daten erheben wir?

Personenbezogene Daten sind nach der DS-GVO (Art. 4 Nr. 1 DS-GVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Hierzu gehören allgemeine Bestandsdaten der Nutzer (z. B. Name, Adresse, E-Mail-Adresse, Mobilrufnummer).

Besonders schützenswerte Daten werden als besondere Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO besonders geschützt. Hierzu zählen insbesondere biometrische Daten und Gesundheitsdaten. Bei biometrischen Daten handelt es sich um Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die mit speziellen technischen Verfahren gewonnen wurden und die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten (z.B. Personalausweisfotos). Bei Gesundheitsdaten handelt es sich um personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (z.B. Beschwerden, Diagnosen, Medikationspläne).

Der Begriff der Verarbeitung ist weit gefasst, er bezeichnet gemäß Art. 4 Nr. 2 DS-GVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Der Begriff des Nutzers fasst alle Kategorien der von der Datenverarbeitung betroffenen Personen zusammen.

3.1       Bei der Nutzung der Invirto App erhobene Daten

Es werden folgende Daten werden bei der Nutzung der App erhoben:

Nr.

Datenkategorie

Konkrete Datenpunkte

1

Authentifizierungsdaten

E-Mail, Passwort, Zeitpunkt der Anmeldung

2

Gerätedaten

Handymodell, Betriebssystem, Installationsspezifische Device-ID

3

Fortschrittsdaten

Angezeigte und absolvierte Inhalte, Fragebogenantworten

4

Einstellungen

Einwilligungen (AGB, Datenschutz, In-App Benachrichtigungen, Kamera, Mikrofon), Nutzerspezifische Kurszusammenstellung (Inhalt der App), Version der installierten App

5

Serverkommunikation

IP-Adressen, Abgerufene Inhalte, Pseudonymisierte ID, Timestamp

6

Server Log Files

Timestamp, anonymisierte IP, URLs

Für die Bearbeitung der Kontaktanfrage nutzen wir den Anbieter Strato AG, Pascalstraße 10, 10587 Berlin als Auftragsverarbeiter. Strato wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit Strato geschlossen.

Für den Zweck der sicheren Registrierung und Anmeldung bei der App setzen wir einen Service der intension GmbH, Zeppelinstraße 10, 73760 Ostfildern, ein. intension wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit intension geschlossen.

Für die Versendung der Erinnerungen, die für eine Gewährleistung einer erfolgreichen Therapie erforderlichen sind, nutzen wir den Anbieter Mailjet GmbH, c/o Workrepublic, Berliner Allee 26, 40212 Düsseldorf als Auftragsverarbeiter. Mailjet wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit Mailjet geschlossen.

4.      Abrechnung

Sofern Sie die App auf Grundlage des mit Ihrer Krankenversicherung bestehenden Selektivvertrages nach § 140a SGB V nutzen, leiten wir Ihre Abrechnungsdaten (ICD-Diagnose, Diagnosedatum, Diagnosesicherheit, Vor- und Nachname, erbrachte Module, Arzt-Nr. des behandelnden Arztes, Versicherten-Nr.) an die Deutsches Medizinrechenzentrum (DMRZ) GmbH, Wiesenstraße 21, 40549 Düsseldorf weiter.

Die DMRZ wird Ihre Daten nur zum Zwecke der Abrechnung, d.h. nur insoweit verarbeiten, wie dies zur Erfüllung ihrer Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit der DMRZ geschlossen.

5.      Hosting

5.1       Invirto App

Die App wird von dem externen Dienstleister Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park Leopardstown, Dublin 18, Ireland, gehostet (Hoster). Die personenbezogenen Daten, die die App erfasst, werden auf Servern des Hosters in den Niederlanden gespeichert. Die verarbeiteten personenbezogenen Daten liegen dem Hoster ausschließlich in pseudonymisierter Form vor. Nur Sympatient kann diese Daten wieder einer konkreten Person zuordnen. Dem Hoster ist eine Re-Identifizierung der jeweiligen Nutzer nicht möglich. Auf diese Weise werden die personenbezogenen Daten auch für den Fall einer im Einzelfall zulässigen Übermittlung von Daten in die USA (z.B. im Rahmen des CLOUD Acts) bestmöglich geschützt.

Unser Hoster wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung seiner Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit unserem Hoster geschlossen.

Die Datenschutzerklärung von Microsoft finden Sie unter folgendem Link: https://privacy.microsoft.com/de-de/privacystatement

5.2       Mailjet

Die personenbezogenen Daten, die Mailjet im Auftrag der Sympatient verarbeitet, werden auf Server in Frankfurt (Deutschland) und Saint-Ghislain (Belgien) gespeichert. Die verarbeiteten personenbezogenen Daten liegen Mailjet ausschließlich in pseudonymisierter Form vor. Nur Sympatient kann diese Daten wieder einer konkreten Person zuordnen. Mailjet ist eine Re-Identifizierung der Nutzer nicht möglich. Auf diese Weise werden die personenbezogenen Daten auch für den Fall einer im Einzelfall zulässigen Übermittlung von Daten in die USA (z.B. im Rahmen des CLOUD Acts) bestmöglich geschützt.

Die Datenschutzerklärung von Mailjet finden Sie unter folgendem Link: https://www.mailjet.de/privacy-policy/

6.      Wie lange bewahren wir Ihre personenbezogenen Daten auf?

Soweit sich aus den übrigen Regelungen dieser Datenschutzhinweise keine kürzere Speicherdauer ergibt, speichern wir Ihre personenbezogenen Daten nur solange als dies notwendig ist, um die jeweiligen Zwecke zu erfüllen, danach nur in dem Umfang und soweit wir dazu aufgrund zwingender gesetzlicher Aufbewahrungspflichten verpflichtet sind. Soweit wir Ihre Daten nicht mehr für die in diesen Datenschutzhinweisen beschriebenen Zwecke benötigen, werden sie während der jeweiligen gesetzlichen Aufbewahrungsfrist lediglich gespeichert und nicht für andere Zwecke verarbeitet, es sei denn, hierfür liegen die gesetzlichen Voraussetzungen vor und wir informieren Sie zuvor entsprechend.

7.      Rechtsgrundlagen

Die Verarbeitung Ihrer personenbezogenen Daten (Ziffer 3.1 Nr. 1 bis 6 und Ziffer 3.2) erfolgt auf Grundlage Ihrer Einwilligung, um den bestimmungsgemäßen Gebrauch der App sicherzustellen, § 4 Abs. 2 Satz 1 Nr. 1 DiGAV. Für einen bestimmungsgemäßen Gebrauch der App ist es auch erforderlich, dass wir an vordefinierten Punkten mit den begleitenden Therapeuten sprechen. Sofern die bei der Nutzung der App erhobenen Daten auf eventuelle Gefahren für den Nutzer hinweisen, wird der Therapeut benachrichtigt, um die Nutzer proaktiv zu kontaktieren.

Soweit Ihre personenbezogenen Daten (Ziffer 3.1 Nr. 5 und 6) zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der App verarbeitet werden, erfolgt dies auf Grundlage Ihrer getrennt zu diesem Zweck eingeholten Einwilligung, § 4 Abs. 2 Satz 1 Nr. 4 DiGAV.

Die für die Abrechnung erforderliche Verarbeitung personenbezogener Daten (Ziffer 3.1 Nr. 6 und Ziffer 3.2) erfolgt auf Grundlage des § 302 Abs. 1 SGB V.

8.      Findet eine Weitergabe Ihrer Daten an Dritte statt?

Für einen bestimmungsgemäßen Gebrauch der App ist es auch erforderlich, dass wir an vordefinierten Punkten mit den begleitenden Therapeuten sprechen. Sofern die bei der Nutzung der App erhobenen Daten auf eventuelle Gefahren für den Nutzer hinweisen, wird der Therapeut benachrichtigt, um die Nutzer proaktiv zu kontaktieren.

Rechtsgrundlage für die Kontaktierung der begleitenden Therapeuten ist ihre Einwilligung entsprechend Ziffer 7.

9.      Ihre Rechte

Sie haben gegenüber Sympatient folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

9.1       Recht auf Auskunft, Art. 15 DS-GVO

Mit dem Recht auf Auskunft erhält der Betroffene eine umfassende Einsicht in die ihn angehenden Daten und einige andere wichtige Kriterien, wie beispielsweise die Verarbeitungszwecke oder die Dauer der Speicherung. Es gelten die in § 34 BDSG geregelten Ausnahmen von diesem Recht.

9.2       Recht auf Berichtigung, Art. 16 DS-GVO

Das Recht auf Berichtigung beinhaltet die Möglichkeit für den Betroffenen, unrichtige ihn angehende personenbezogene Daten korrigieren zu lassen.

9.3       Recht auf Löschung, Art. 17 DS-GVO

Das Recht auf Löschung beinhaltet die Möglichkeit für den Betroffenen, Daten beim Verantwortlichen löschen zu lassen. Dies ist allerdings nur dann möglich, wenn die ihn angehenden personenbezogenen Daten nicht mehr notwendig sind, rechtswidrig verarbeitet werden oder eine diesbezügliche Einwilligung widerrufen wurde. Es gelten die in § 35 BDSG geregelten Ausnahmen von diesem Recht.

9.4       Recht auf Widerspruch gegen die Erhebung, Verarbeitung und / oder Nutzung, Art. 21 DS-GVO

Das Recht auf Widerspruch beinhaltet die Möglichkeit für den Betroffenen, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihn betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DS-GVO erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten des Betroffenen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

9.5       Recht auf Datenübertragbarkeit, Art. 20 DS-GVO

Das Recht auf Datenübertragbarkeit beinhaltet die Möglichkeit für den Betroffenen, die ihn angehenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format vom Verantwortlichen zu erhalten, um sie gegebenenfalls an einen anderen Verantwortlichen zu übermitteln oder weiterleiten zu lassen.

9.6       Recht auf Widerruf der Einwilligung, Art. 7 DS-GVO

Soweit die Verarbeitung der personenbezogenen Daten auf Grundlage einer Einwilligung erfolgt, kann der Betroffene sie jederzeit für den entsprechenden Zweck widerrufen. Die Rechtmäßigkeit der Verarbeitung aufgrund der getätigten Einwilligung bleibt bis zum Eingang des Widerrufs unberührt.

Die vorgenannten Rechte können Sie gegenüber den unter Ziffer 1 genannten Adressaten schriftlich oder elektronisch geltend machen.

Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs gemäß Art. 77 DS-GVO das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt.