Datenschutzerklärung
Personenbezogene Daten (nachfolgend zumeist nur „Daten“ genannt) werden von uns nur im Rahmen der Erforderlichkeit sowie zum Zwecke der Bereitstellung einer funktionsfähigen und nutzerfreundlichen App, inklusive ihrer Inhalte und der dort angebotenen Leistungen, verarbeitet.
Gemäß Art. 4 Ziffer 1. der Verordnung (EU) 2016/679, also der Datenschutz-Grundverordnung (nachfolgend nur „DSGVO“ genannt), gilt als „Verarbeitung“ jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Mit der nachfolgenden Datenschutzerklärung informieren wir Sie insbesondere über Art, Umfang, Zweck, Dauer und Rechtsgrundlage der Verarbeitung personenbezogener Daten, soweit wir entweder allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheiden. Zudem informieren wir Sie nachfolgend über die von uns zu Optimierungszwecken sowie zur Steigerung der Nutzungsqualität eingesetzten Fremdkomponenten, soweit hierdurch Dritte Daten in wiederum eigener Verantwortung verarbeiten.
Unsere Datenschutzerklärung ist wie folgt gegliedert:
- Informationen über uns als Verantwortliche
II. Rechte der Nutzer und Betroffenen
III. Informationen zur Datenverarbeitung
IV. Informationen zu notwendigen Berechtigungen
I. Informationen über uns als Verantwortliche
Verantwortlicher Anbieter dieses Internetauftritts im datenschutzrechtlichen Sinne ist:
Smart Health Heidelberg GmbH
Handschuhsheimer Landstr. 9/1
69120 Heidelberg
Deutschland
Telefon: 06221/3219304
E-Mail: info@smarthealth.de
Externer Datenschutzbeauftragter ist:
Name: IITR Datenschutz GmbH, Dr. Sebastian Kraska, Marienplatz 2, 80331 München; Kontakt: dsb@smarthealth.de
II. Rechte der Nutzer und Betroffenen
Mit Blick auf die nachfolgend noch näher beschriebene Datenverarbeitung haben die Nutzer und Betroffenen das Recht
- auf Bestätigung, ob sie betreffende Daten verarbeitet werden, auf Auskunft über die verarbeiteten Daten, auf weitere Informationen über die Datenverarbeitung sowie auf Kopien der Daten (vgl. auch Art. 15 DSGVO);
- auf Berichtigung oder Vervollständigung unrichtiger bzw. unvollständiger Daten (vgl. auch Art. 16 DSGVO);
- auf unverzügliche Löschung der sie betreffenden Daten (vgl. auch Art. 17 DSGVO), oder, alternativ, soweit eine weitere Verarbeitung gemäß Art. 17 Abs. 3 DSGVO erforderlich ist, auf Einschränkung der Verarbeitung nach Maßgabe von Art. 18 DSGVO;
- auf Erhalt der sie betreffenden und von ihnen bereitgestellten Daten und auf Übermittlung dieser Daten an andere Anbieter/Verantwortliche (vgl. auch Art. 20 DSGVO);
- auf Beschwerde gegenüber der Aufsichtsbehörde, sofern sie der Ansicht sind, dass die sie betreffenden Daten durch den Anbieter unter Verstoß gegen datenschutzrechtliche Bestimmungen verarbeitet werden (vgl. auch Art. 77 DSGVO).
Darüber hinaus ist der Anbieter dazu verpflichtet, alle Empfänger, denen gegenüber Daten durch den Anbieter offengelegt worden sind, über jedwede Berichtigung oder Löschung von Daten oder die Einschränkung der Verarbeitung, die aufgrund der Artikel 16, 17 Abs. 1, 18 DSGVO erfolgt, zu unterrichten. Diese Verpflichtung besteht jedoch nicht, soweit diese Mitteilung unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist. Unbeschadet dessen hat der Nutzer ein Recht auf Auskunft über diese Empfänger.
Ebenfalls haben die Nutzer und Betroffenen nach Art. 21 DSGVO das Recht auf Widerspruch gegen die künftige Verarbeitung der sie betreffenden Daten, sofern die Daten durch den Anbieter nach Maßgabe von Art. 6 Abs. 1 lit. f) DSGVO verarbeitet werden. Insbesondere ist ein Widerspruch gegen die Datenverarbeitung zum Zwecke der Direktwerbung statthaft.
III. Informationen zur Datenverarbeitung
Ihre bei Nutzung unseres Internetauftritts verarbeiteten Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt, der Löschung der Daten keine gesetzlichen Aufbewahrungspflichten entgegenstehen und nachfolgend keine anderslautenden Angaben zu einzelnen Verarbeitungsverfahren gemacht werden.
Cookies
a) Sitzungs-Cookies/Session-Cookies
Wir verwenden mit unserem Internetauftritt sog. Cookies. Cookies sind kleine Textdateien oder andere Speichertechnologien, die durch den von Ihnen eingesetzten Internet-Browser auf Ihrem Endgerät ablegt und gespeichert werden. Durch diese Cookies werden im individuellen Umfang bestimmte Informationen von Ihnen, wie beispielsweise Ihre Browser- oder Standortdaten oder Ihre IP-Adresse, verarbeitet.
Durch diese Verarbeitung wird unser Internetauftritt benutzerfreundlicher, effektiver und sicherer.
Rechtsgrundlage dieser Verarbeitung ist Art. 6 Abs. 1 lit b.) DSGVO, sofern diese Cookies Daten zur Vertragsanbahnung oder Vertragsabwicklung verarbeitet werden.
Falls die Verarbeitung nicht der Vertragsanbahnung oder Vertragsabwicklung dient, liegt unser berechtigtes Interesse in der Verbesserung der Funktionalität unseres Internetauftritts. Rechtsgrundlage ist in dann Art. 6 Abs. 1 lit. f) DSGVO.
Mit Schließen Ihres Internet-Browsers werden diese Session-Cookies gelöscht.
b) Drittanbieter-Cookies
Es werden keine Drittanbieter-Cookies platziert, bevor Sie dieser Datenschutzerklärung zugestimmt haben.
Der Zahlungsanbieter Stripe platziert Cookies, die zur Zahlungsabwicklung notwendig sind. Detaillierte Informationen hierzu finden Sie unter d) Zahlungsdienste.
Rechtsgrundlage dieser Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO, da wir eine möglichst kompatible Online-Zahlungsmöglichkeit zur Nutzung des Dienstes bereitstellen müssen.
Diese App informiert Sie mittels sogenannter Push-Nachrichten ob es eine Rückfrage zu Ihrem Fall gibt, bzw. ob dieser fertig bearbeitet wurde. Push-Nachrichten sind Meldungen, die ohne das Öffnen der jeweiligen App auf Ihrem Endgerät erscheinen. Für die Versendung der Push-Nachrichten nutzen wir die Technologie von Google Firebase. Dafür werden bei der App-Installation für iOS-Geräte und Android-Geräte individuelle Kennziffern für jedes Endgerät vergeben (sog. „Device token“ bzw. „Instance ID“). Weitere Daten wie IP-Adresse werden dabei nicht erhoben. Weitere Informationen zum Datenschutz von Google und Firebase finden Sie hier www.google.com/policies/privacy/ sowie firebase.google.com.
Beim Versand einer Push-Nachricht werden der Nachrichtentext sowie die jeweilige Kennziffer an den Apple- bzw. Google-Server übergeben, welche dann die Versendung der Nachricht an die Geräte der Nutzer übernimmt.
Sie können den Erhalt von Push-Nachrichten jederzeit wie folgt aktivieren bzw. deaktivieren: (1) Die APP ist nach der Installation auf Ihrem Endgerät unter dem Menüpunkt „Einstellungen > APPs“ zu finden. Dort können Sie jederzeit unter „App-Einstellungen > Benachrichtigungen“ den Erhalt von Nachrichten einstellen.
(2) Ebenso können Sie auf Ihrem Endgerät unter dem Menüpunkt „Einstellung“ Ihres Endgerätes und dort unter „Benachrichtigungen“ den Erhalt von Nachrichten einstellen.
Rechtsgrundlage dieser Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO, da wir als Unternehmer ein berechtigtes Interesse an der Versendung von Werbung für unser Produkt haben und Sie den Erhalt jederzeit abstellen können.
c) Beseitigungsmöglichkeit
Sie können die Installation der Cookies durch eine Einstellung Ihres Internet-Browsers verhindern oder einschränken. Ebenfalls können Sie bereits gespeicherte Cookies jederzeit löschen. Die hierfür erforderlichen Schritte und Maßnahmen hängen jedoch von Ihrem konkret genutzten Internet-Browser ab. Bei Fragen benutzen Sie daher bitte die Hilfefunktion oder Dokumentation Ihres Internet-Browsers oder wenden sich an dessen Hersteller bzw. Support. Bei sog. Flash-Cookies kann die Verarbeitung allerdings nicht über die Einstellungen des Browsers unterbunden werden. Stattdessen müssen Sie insoweit die Einstellung Ihres Flash-Players ändern. Auch die hierfür erforderlichen Schritte und Maßnahmen hängen von Ihrem konkret genutzten Flash-Player ab. Bei Fragen benutzen Sie daher bitte ebenso die Hilfefunktion oder Dokumentation Ihres Flash-Players oder wenden sich an den Hersteller bzw. Benutzer-Support.
Sollten Sie die Installation der Cookies verhindern oder einschränken, kann dies allerdings dazu führen, dass nicht sämtliche Funktionen unseres Internetauftritts vollumfänglich nutzbar sind.
d) Zahlungsdienste/Zahlungsangaben
d1) Zahlungsdienste: per Visa, Mastercard, American Express
Wenn Sie die Bezahlung mittels Kreditkarte ausführen, erfolgt die Zahlungsabwicklung über den Zahlungsanbieter „Stripe“. Die hierzu erforderlichen Daten (Kartennummer, Gültigkeit und Prüfnummer) werden verschlüsselt an den Zahlungsanbieter weitergeleitet und sind für die Smart Health Heidelberg GmbH nicht einsehbar. Stripe Payments Europe Ltd ist nach Industry Data Security Standard (PCI DSS) zertifiziert und unterliegt dem Safe Harbour Abkommen. Der Zahlungsanbieter transferiert, verarbeitet und speichert gegebenenfalls personenbezogene Daten außerhalb der EU, die zur Abwicklung der Zahlung erforderlich sind, jedoch nicht von diesem Zahlungsanbieter Ihrem Fall oder anderen in der App eingegebenen personenbezogenen Daten zugeordnet werden können (=Ihren Bildern, Ihrer E-Mail-Adresse oder angegebener Symptome). Für die Verarbeitung dieser Daten ist allein Stripe verantwortlich.
Stripe Payments Europe Ltd
Block 4, Harcourt Centre
Harcourt Road
Dublin 2
Ireland
Details zur Zahlung mit Stripe entnehmen Sie den AGB und den Datenschutzbestimmungen des Zahlungsanbieters unter: https://stripe.com/de/terms
Wir haben mit Stripe einen Vertrag abgeschlossen, in dem wir Stripe verpflichten, die Daten unserer Kunden zu schützen und sie nicht an Dritte weiterzugeben. Nähere Informationen hierzu finden Sie hier: https://stripe.com/dpa/legal
d2) SOFORT
Bei Auswahl der Zahlungsart „SOFORT“ erfolgt die Zahlungsabwicklung ebenfalls über Stripe (s. d1), jedoch in Kooperation mit dem Zahlungsdienstleister SOFORT GmbH, Theresienhöhe 12, 80339 München, Deutschland (im Folgenden „SOFORT“), an den wir selber direkt keine Informationen über Ihre Bestellung weitergeben. Die Informationsweitergabe erfolgt über Stripe, der Ihrem Fall eine ID (nicht Ihre Fall-ID) zuweist und bei erfolgreicher Zahlung uns automatisiert über diese ID informiert, sodass Ihr Fall automatisiert an einen Facharzt verschickt wird bzw. im verschlüsselten Ärzteportal eingestellt wird und von einem Facharzt bearbeitet werden kann. Die Sofort GmbH ist Teil der Klarna Group (Klarna Bank AB (publ), Sveavägen 46, 11134 Stockholm, Schweden). Die Weitergabe Ihrer Daten erfolgt ausschließlich zum Zweck der Zahlungsabwicklung mit dem Zahlungsdienstleister SOFORT und nur insoweit, als sie hierfür erforderlich ist. Unter der nachstehenden Internetadresse erhalten Sie weitere Informationen über die Datenschutzbestimmungen von SOFORT: https://www.klarna.com/sofort/datenschutz.
- e) Zusammensetzung der von Ihnen selber aktiv eingegebenen Daten (=Fall) & Ratschläge zur faktisch anonymen Nutzung des Dienstes
Die Nutzung dieses Dienstes ist faktisch anonym möglich (=weder der Betreiber, noch die Ärzte, noch die Drittanbieter / Zahlungsanbieter können Sie als individuelle Person in Zusammenhang mit Ihrem Fall bringen bzw. Ihre Gesundheitsdaten Ihrer Person zuordnen). Wir erfassen im Sinne der Datensparsamkeit so wenig Daten wie möglich von Ihnen. Zum Einreichen eines Falles und einer fachärztlichen Meinung dazu sind lediglich erforderlich: Drei Bilder des Problems/der Hautstelle, Angaben zu Symptomen (nicht individuell zuordbar), Ihr grobes Alter (Jahre, kein Geburtsdatum) und Ihr Geschlecht. In den Apps ist die Eingabe einer E-Mail-Adresse nicht erforderlich, da Sie über Push-Nachrichten benachrichtigt werden können. Wenn Sie den Dienst faktisch anonym nutzen möchten, empfehlen wir folgendes:
- Es wird an keiner Stelle von unserer Seite ein Name, ein Geburtsdatum oder ein Wohnort abgefragt. Diese Angaben sollten Sie auch in Ihrer Symptombeschreibung nicht machen.
- Sie sollten die Fotos, die Sie aufnehmen und hochladen auf Ihr Problem beschränken. Sie sollten nicht Bilder von Ihrem Gesicht, oder identifizierende Tattoos oder Ähnliches hochladen.
- Sie sollten in unserer App entweder keine, oder eine E-Mail-Adresse angeben, die Sie nicht individuell identifiziert (z.B. Sportfan2006Superman@web.de statt Jens-Simon-Hendrik-Maier-01-08-1956@web.de). Die behandelnden Ärzte sehen Ihre E-Mail-Adresse nicht, dennoch wird sie in einer gesicherten Datenbank in einem gesicherten Serverzentrum in Frankfurt (siehe Abschnitt f) gespeichert, damit Sie kontaktiert werden können, wenn Ihr Fall bearbeitet wurde und um Ihre Fallnummer mitzuteilen.
- Wir erfüllen moderne Sicherheitsstandards und haben viele Vorkehrungen getroffen, dass unsere Datenbank sicher vor Hackerangriffen und anderen Einflüssen ist. Dennoch empfehlen wir Ihnen im Sinne des Prinzips der Datensparsamkeit der EU-DSGVO keine individuell identifizierenden Informationen mit unserem Dienst hochzuladen.
- Rechtsgrundlage der vorgenannten Datenverarbeitung ist Art. 6 Abs. 1 f) DSGVO beruhend auf unserem berechtigten Interesse.
- f) Hosting Ihres Falles
Wir hosten Ihre Falldaten bei Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109, USA („AWS“) ein. Aus technischen Gründen kann es vorkommen, dass die Infrastruktur von den USA aus gewartet wird. AWS hat sich jedoch dem EU-US Privacy Shield unterworfen und wir haben ausschließlich gesicherte Serverstandorte in der europäischen Union, die Teil der Security Group von Amazon AWS sind, ausgewählt (Frankfurt & Irland, beide Teil der Security Group.
Rechtsgrundlage der vorgenannten Datenverarbeitung ist Art. 6 Abs. 1 f) DSGVO beruhend auf unserem berechtigten Interesse. Wir wollen Ihnen damit die technische Infrastruktur bereitstellen, um unsere Produkte und Dienstleistungen anbieten zu können.
Wir haben mit Amazon AWS einen Vertrag abgeschlossen, in dem wir Amazon AWS verpflichten, die Daten unserer Kunden zu schützen und sie nicht an Dritte weiterzugeben. Nähere Informationen hierzu finden Sie in der Datenschutzerklärung von AWS und hier: https://aws.amazon.com/blogs/security/aws-gdpr-data-processing-addendum/
- g) Automatisierter Versand von E-Mails
Diese App nutzt 1&1 IONOS Mailserver für die Weiterleitung von E-Mails von Amazon AWS. Anbieter ist die 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland. Der Mailserver-Weiterleitungs-Dienst wird genutzt, um Ihnen Ihre Fallnummer zuzumailen, bzw. Sie darüber zu informieren, wenn Ihr Fall durch einen Facharzt begutachtet wurde, oder eine Rückfrage gestellt wurde, sofern Sie eine E-Mail Adresse angegeben haben.
Rechtsgrundlage
Die Datenverarbeitung erfolgt auf Grundlage unserer berechtigten Interessen an einem zuverlässigen und sicheren E-Mail-Versand und Hosting (Art. 6 Abs. 1 lit. f DSGVO).
Näheres entnehmen Sie den Datenschutzbestimmungen von 1&1 IONOS unter: https://www.ionos.de/terms-gtc/terms-privacy/.
Abschluss eines Vertrags über Auftragsverarbeitung
Wir haben mit 1&1 IONOS einen Vertrag abgeschlossen, in dem wir 1&1 IONOS verpflichten, die Daten unserer Kunden zu schützen und sie nicht an Dritte weiterzugeben. Näheres dazu können Sie hier erfahren: https://www.ionos.de/hilfe/datenschutz/allgemeine-informationen-zur-datenschutz-grundverordnung-dsgvo/auftragsverarbeitung/.
- f) Archivierung/Löschung Ihres Falles
Sofern Sie die Löschung Ihres Falles wünschen, lässt sich diese Löschung über das Kontaktformular unter Mitteilung Ihrer Fallnummer beauftragen. Grundsätzlich speichern wir die Daten fünf Jahre. Aus Sicherheitsgründen kann Ihr Fall jedoch nur zwei Wochen nach Erstellung noch abgerufen werden. Sollten Sie den Fall aus berechtigtem Interesse danach noch aufrufen wollen, kontaktieren Sie unseren Support unter Angabe Ihrer Fallnummer über info@smarthealth.de. Wenn Sie nicht identifiziert werden wollen, nutzen Sie eine Ihnen nicht individuell zuordbare E-Mail-Adresse.
Kontaktanfragen / Kontaktmöglichkeit
Sofern Sie per Kontaktformular oder E-Mail mit uns in Kontakt treten, werden die dabei von Ihnen angegebenen Daten zur Bearbeitung Ihrer Anfrage genutzt. Die Angabe der Daten ist zur Bearbeitung und Beantwortung Ihre Anfrage erforderlich – ohne deren Bereitstellung können wir Ihre Anfrage nicht oder allenfalls eingeschränkt beantworten.
Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b) DSGVO.
Ihre Daten werden gelöscht, sofern Ihre Anfrage abschließend beantwortet worden ist und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen, wie bspw. bei einer sich etwaig anschließenden Vertragsabwicklung.
IV. Informationen zu notwendigen Berechtigungen
1) Benachrichtigungen per Push-Notification
Wir informieren Sie über Push-Nachrichten, wenn es eine Rückfrage zu Ihrem Fall gibt bzw. wenn dieser bearbeitet wurde.
Sie können den Erhalt von Push-Nachrichten jederzeit wie folgt aktivieren bzw. deaktivieren: (a) Die APP ist nach der Installation auf Ihrem Endgerät unter dem Menüpunkt „Einstellungen > APPs“ zu finden. Dort können Sie jederzeit unter „App-Einstellungen > Benachrichtigungen“ den Erhalt von Nachrichten einstellen.
(b) Ebenso können Sie auf Ihrem Endgerät unter dem Menüpunkt „Einstellung“ Ihres Endgerätes und dort unter „Benachrichtigungen“ den Erhalt von Nachrichten einstellen.
Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO, da ohne Push-Benachrichtigungen keine Benachrichtigung stattfinden kann, sofern der Nutzer (wie empfohlen) keine E-Mail-Adresse angibt.
2) Berechtigung zur Nutzung der Kamera / Galerie bei Fotoaufnahme/Auswahl
Wenn Sie drei Bilder hochladen möchten, um Ihren Fall zu komplettieren, ist es erforderlich, dass Sie entweder die Berechtigung Ihrer Smartphone-Kamera erteilen, ausschließlich zu diesem Zwecke, oder einen Zugriff auf Ihre Galerie gewähren, jedoch nur auf die von Ihnen ausgewählten Bilder.
Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO, da ohne Fotos der betroffenen Hautstelle keine gute Befundung durch einen Facharzt erfolgen kann.