Datenschutzerklärung für Medu Health


Letzte Aktualisierung: 18. November 2020

Präambel

Wir freuen uns über Ihren Besuch auf unserer Website. Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Daher möchten wir Sie im Folgenden über die Verarbeitung von personenbezogenen Daten im Rahmen der Nutzung unserer Website informieren und Sie über die Ihnen zustehenden Rechte aufklären.

Die 8Health-Management UG (haftungsbeschränkt) - kurz “8Health“ - bietet mit der Internet-Software über die Internetplattform www.medu-app.de (einschließlich aller dazugehörigen Top-Level-, Länder- und Sub-Domains sowie Apps im Apple App-Store oder Google Play Store) eine Web-Software zur eigenen Datenverarbeitung an, die über den Web-Browser sowie native Apps für Mobiltelefone zu erreichen ist.

Eine Nutzung der Websites der 8Health ist grundsätzlich ohne jede Angabe personenbezogener Daten möglich. Sofern Sie besondere Services von 8Health in Anspruch nehmen möchten, könnte jedoch eine Verarbeitung personenbezogener Daten erforderlich werden. Ist die Verarbeitung personenbezogener Daten erforderlich und besteht für eine solche Verarbeitung keine sonstige gesetzliche Grundlage, verarbeiten wir die Daten nur auf Basis einer durch Sie erteilten Einwilligung.


Zusammenfassung

Medu Health wird von 8Health als Software-as-a-Service angeboten und dient der Erfassung und Dokumentation von medizinischen Fragebögen, insbesondere für die Erhebung der Anamnese, der Lebensqualität sowie der Unterstützung der Arzt-Patienten-Kommunikation.

Die 8Health bietet dem Kunden (Medizinische Einrichtung) mit Medu Health eine sichere Cloud-Infrastruktur zur Speicherung der Patientendaten. Dadurch wird dem Kunden ein möglichst geringes Ausfall-/Verlustrisiko und gleichzeitig eine standortunabhängige Verfügbarkeit geboten. Für Kunden in der europäischen Union wird Medu Health auf Rechenzentren innerhalb der EU betrieben. 

Medu Health wahrt die ärztliche Schweigepflicht und stellt sicher, dass ausschließlich der Kunde die von seinen Patienten übermittelten Daten lesen kann. Dies realisiert, indem die Datensätze und Antworten des Patienten über hybride Verschlüsselungsverfahren noch vor der Übertragung nach Medu Health verschlüsselt werden. Ausschließlich der Kunde verfügt über den für die Entschlüsselung benötigten Schlüssel - in Form eines User Logins, der zu keinem Zeitpunkt übertragen wird. Es werden somit ausschließlich verschlüsselte Patientendaten nach Medu Health übertragen und von ihr abgerufen.

Auf den Servern der 8Health bestehen keine unverschlüsselten Patientendaten. Weder die 8Health noch deren Serverbetreiber (Betreiber der Rechenzentren) können verschlüsselte Patientendaten lesbar machen. Der 8Health erlangt weder Kenntnis vom Inhalt verschlüsselter Datenpakete noch allgemein Personenbezogene Daten eines Patienten, dem sie zugeordnet sind. Damit ist gewährleistet, dass die 8Health keinen Zugriff auf personenbezogene Patientendaten besitzt. Die verschlüsselten Patientendaten sind daher für jeden bis auf den Kunden selbst als anonymisierte Daten gespeichert. Die 8Health tritt nicht als Auftragsdatenverarbeiter auf, da betreffende Daten nicht an Dritte weitergeleitet werden. Vertragsgegenstand ist das zur Verfügung stellen des Portals an sich. Der Inhalt betreffender Daten liegt im Verantwortungsbereich der Patienten bzw. Medizinischen Einrichtung.

Die verschlüsselten Patientendaten in Medu Health werden über verschiedene Sicherheitssysteme geschützt. So können sie erst nach erfolgreicher Authentifizierung durch den Endkunden im System mit Benutzer-E-Mail und Benutzerpasswort abgerufen werden. Die Daten werden serverseitig verschlüsselt und es werden automatisch anonymisierte Sicherheitskopien erstellt.

Die 8Health speichert und verarbeitet personenbezogene Daten über den Kunden. Dies beinhaltet die Registrierungsdaten und Zahlungsdaten. Nutzungsdaten werden aus Sicherheitsgründen bei der Registrierung und dem Login gespeichert (IP-Adresse, Zeitpunkt) sowie bei dem Start einer neuen Befragung (Zeitpunkt, ausgewählte Fragebögen). Nutzungsdaten der Patienten werden durch Medu Health nicht gespeichert.

Jegliche Internet Kommunikation zwischen Nutzern, Medu Health Servern und E-Mail-Diensten findet ausschließlich über verschlüsselte HTTPS-Kanäle statt und bietet somit Abhörschutz.

1. Begriffsbestimmungen

Die datenschutzrechtlichen Begriffe, die im Folgenden verwandt werden, werden in Art. 4 DSGVO definiert. Der vollständige Text der DSGVO ist unter folgendem Link verfügbar: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679


2. Informationen zu Verantwortlichem

Dienstanbieter gem. § 13 Telemediengesetz (TMG) und verantwortliche Stelle gem. § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) und Verantwortlicher im Sinne der Datenschutz-Grundverordnung („DSGVO“) ist die:

8Health GmbH vertreten durch die Geschäftsführer Alexander Zuber

Connollystr. 15

80809 München

Deutschland

Telefon: +49 178 133 62 71

E-Mail: info@8health.de

Website: www.8ehalth.de

Die zuständige Datenschutzbeauftragte der 8Health ist:

Alexander Zuber, Schmellerstraße 21, 80337 München, Kontakt: info@8health.de

3. Technische Bereitstellung der Website

3.1. Server-Logfiles

Die Website von 8Health erfasst mit jedem Aufruf der Website eine Reihe von allgemeinen Daten und Informationen. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert. Erfasst werden können:

  1. die verwendeten Browsertypen und Versionen,
  2. das vom zugreifenden System verwendete Betriebssystem,
  3. die Website, von welcher ein zugreifendes System auf unsere Website gelangt (sogenannte Referrer),
  4. die Unterwebseiten, welche über ein zugreifendes System auf unserer Website angesteuert werden,
  5. das Datum und die Uhrzeit eines Zugriffs auf die Website,
  6. eine Internet-Protokoll-Adresse (IP-Adresse),
  7. der Internet-Service-Provider des zugreifenden Systems und
  8. sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere informationstechnologischen Systeme dienen.

Bei der Nutzung dieser allgemeinen Daten und Informationen zieht die 8Health keine Rückschlüsse auf die betroffene Person. Diese Informationen werden vielmehr benötigt, um

  1. die Inhalte unserer Website korrekt auszuliefern,
  2. die Inhalte unserer Website sowie die Werbung für diese zu optimieren,
  3. die dauerhafte Funktionsfähigkeit unserer informationstechnologischen Systeme und der Technik unserer Website zu gewährleisten sowie
  4. um Strafverfolgungsbehörden im Falle eines Cyberangriffes die zur Strafverfolgung notwendigen Informationen bereitzustellen.

Diese anonym erhobenen Daten und Informationen werden durch die 8Health daher einerseits statistisch und ferner mit dem Ziel ausgewertet, den Datenschutz und die Datensicherheit in unserem Unternehmen zu erhöhen, um letztlich ein optimales Schutzniveau für die von uns verarbeiteten personenbezogenen Daten sicherzustellen. Die anonymen Daten der Server-Logfiles werden getrennt von allen durch eine betroffene Person angegebenen personenbezogenen Daten gespeichert.

3.2. Cookies

Die Webseiten von 8Health verwenden Cookies. Cookies sind Textdateien, welche über einen Internetbrowser auf einem Computersystem abgelegt und gespeichert werden. Wir nutzen Cookies dazu, unser Angebot nutzerfreundlich zu gestalten. Die Cookies bleiben auf Ihrem Endgerät gespeichert, bis ihre Laufzeit beendet ist oder Sie diese löschen. Ein Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht.

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung technisch notwendiger Cookies ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO, wobei das berechtigte Interesse darin liegt, die Nutzung von Websites für Nutzer zu ermöglichen bzw. zu vereinfachen.

Wenn Sie dies nicht wünschen, so können Sie Ihren Browser so einrichten, dass er Sie über das Setzen von Cookies informiert und Sie dies nur im Einzelfall erlauben. Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein.

Recht auf Widerspruch gegen die Verarbeitung

Nach Art. 21 Abs. 1 DSGVO haben Sie das Recht, jederzeit gegen die Verarbeitung Sie betreffender Daten, die aufgrund von Art. 6 Abs. 1 S. 1 lit. f DSGVO erfolgt (Datenverarbeitung zur Wahrung berechtigter Interessen), Widerspruch einzulegen.

Näheres zur Ausübung dieses Rechts siehe unten, unter „Ihre Rechte“.

3.3. Web-Analyse und Marketing

Zum Zweck der Analyse der Nutzung unserer Website setzen wir Cookies ein, die eine Analyse Ihres Surfverhaltens ermöglichen. Dadurch können wir die Qualität unserer Website und ihrer Inhalte verbessern. Wir erfahren, wie die Webseite genutzt wird und können so unser Angebot stetig optimieren. Wir verarbeiten Ihre personenbezogenen Daten zur Analyse der Nutzung unserer Website auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Recht auf Widerruf

Eine erteilte Einwilligung kann jederzeit widerrufen werden. Der Widerruf der Einwilligung erfolgt für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung. Der Widerruf kann formfrei erfolgen, z.B. per E-Mail an info@8health.de oder durch eine Nachricht an die oben unter Ziffer 2 und 3 angegebenen Kontaktdaten. Ergänzend zu Ihrem Recht als Betroffener siehe unter Ziffer 11.

3.4. Google Analytics

Konkret verwenden wir zur Web-Analyse Google Analytics, einen Webanalysedienst der Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) („Google“). Die durch die Cookies von Google Analytics erzeugten Informationen über Ihre Benutzung unserer Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf unserer Webseite wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. In unserem Auftrag wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Website Aktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Auf unserer Website verwenden wir Google Analytics mit der Erweiterung „_anonymizeIp()“. Dadurch werden IP-Adressen gekürzt weiterverarbeitet, eine direkte Personenbeziehbarkeit kann damit ausgeschlossen werden. Wir setzen die Google Analytics ausschließlich mit Ihrer Einwilligung ein (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Sie können eine einmal erteilte Einwilligung widerrufen, indem Sie

  • die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen unserer Website vollumfänglich nutzen können werden,
  • das unter dem folgenden http://tools.google.com/dlpage/gaoptout?hl=de verfügbare Browser-Plugin herunterladen und installieren, oder
  • diesen javascript:gaOptout() klicken, um die Erfassung durch Google Analytics auf unser Website zukünftig zu verhindern. Dabei wird ein Opt-Out-Cookie in Ihrem Browser abgelegt. Beachten Sie bitte, dass Sie den Opt-Out Cookie in jedem von Ihnen genutzten Browser auf allen Ihren Endgeräten aktivieren müssen und auch ggf. wieder neu aktivieren müssen, wenn Sie einmal alle Cookies in einem Browser löschen.

Nähere Informationen zu Nutzungsbedingungen und Datenschutz von bzw. bei Google Analytics finden Sie unter https://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies/. Nähere Informationen zu Google und Datenschutz finden Sie unter google.com . Google verarbeitet Ihre personenbezogenen Daten auch in den USA und hat sich dem EU-US Privacy Shield unterworfen.

4. Registrierung auf unserer Website und Nutzung der vertraglichen Leistungen

a) personenbezogene Daten

Sie haben die Möglichkeit, sich auf der Website von 8Health unter Angabe von personenbezogenen Daten zu registrieren und Leistungen von 8Health in Anspruch zu nehmen. Welche personenbezogenen Daten dabei an 8Health übermittelt werden, ergibt sich aus der jeweiligen Eingabemaske, die für die Registrierung und im Rahmen der Leistungserbringung verwendet wird.

Die von der betroffenen Person eingegebenen personenbezogenen Daten werden ausschließlich für die Erbringung der vertraglichen Leistungen gemäß Art. 6 Abs. 1 b DSGVO bzw. im Rahmen der von Ihnen erteilten Einwilligung gemäß Art. 6 Abs. 1 a DSGVO. Soweit sich die Verarbeitung auf besondere Kategorien von personenbezogenen Daten im Sinne von Art. 9 DSGVO bezieht (z.B. Gesundheitsdaten) erfolgt die Verarbeitung ausschließlich auf Basis Ihrer gemäß Art. 9 DSGVO erteilten Einwilligung (siehe Ziffer 6 b).

Durch eine Registrierung auf der Website von 8Health wird ferner

Die Speicherung dieser Daten erfolgt vor dem Hintergrund, dass nur so der Missbrauch unserer Dienste verhindert werden kann, und diese Daten im Bedarfsfall ermöglichen, begangene Straftaten aufzuklären (Art. 6 Abs. 1 f) DSGVO). Insofern ist die Speicherung dieser Daten zur Absicherung von 8Health erforderlich. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, sofern keine gesetzliche Pflicht zur Weitergabe besteht oder die Weitergabe der Strafverfolgung dient.

Die Registrierung der betroffenen Person unter freiwilliger Angabe personenbezogener Daten dient 8Health dazu, der betroffenen Person Inhalte oder Leistungen anzubieten, die aufgrund der Natur der Sache nur registrierten Benutzern angeboten werden können. Registrierten Personen steht die Möglichkeit frei, die bei der Registrierung angegebenen personenbezogenen Daten jederzeit abzuändern oder vollständig aus dem Datenbestand von 8Health löschen zu lassen.

Die Registrierung eines Benutzerkontos in Medu Health ist erforderlich, um Medu Health als Software-as-a-Service gemäß der aktuellen Leistungsbeschreibung bereitzustellen sowie Unterstützung bei Fehlfunktionen (Service und Support) zu bieten. Bei der Registrierung werden folgende Daten über den Nutzer erhoben und von der 8Health verarbeitet:

E-Mail-Adresse, Geschlecht, Titel, Vor- und Nachname, Bezeichnung der Medizinischen Einrichtung, Adresse, Telefonnummer, Datum und Uhrzeit der Registrierung.

Rechtsgrundlage für die Verarbeitung der Daten ist die Einwilligung des Nutzers gemäß Art. 6 Abs. 1 lit. a DSGVO. Zusätzliche Rechtsgrundlage für die Verarbeitung der Daten ist die Erfüllung eines Vertrages, dessen Vertragspartei der Nutzer ist, gemäß Art. 6 Abs. 1 lit. b DSGVO.

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Dies ist für die Registrierungsdaten dann der Fall, wenn der Nutzer seinen Benutzeraccount gekündigt und sechs Monate lang nicht mehr reaktiviert hat. Auch danach kann eine Erforderlichkeit bestehen, gewisse personenbezogene Daten des Vertragspartners zu speichern, bestehen, um vertraglichen oder gesetzlichen Verpflichtungen nachzukommen, z.B. in der Buchhaltung. Als Nutzer haben sie jederzeit die Möglichkeit, Ihre Registrierung aufzulösen. Die über Sie gespeicherten Daten können Sie jederzeit abändern lassen. Beides können Sie per E-Mail an info@8health.de veranlassen.

b) Patientendaten(sog. Gesundheitsdaten iSd.Art.9 DSGVO)

Bei der ersten Anmeldung wird ausdrücklich darauf hingewiesen, dass es sich – neben der allg. personenbezogenen Datenerhebung – um Gesundheitsdaten im Sinne des Art. 9 DSGVO handelt. Dass neben der Zustimmung zur Datenverarbeitung von personenbezogenen eine weitere Zustimmung zur Nutzung von Gesundheitsdaten wird gesondert hingewiesen und eine explizite Zustimmung erteilt. Betreffende Daten werden nach Eingabe kodiert und anonymisiert gespeichert und dann an die Server versendet. Diese Daten sind ausschließlich durch den Patienten oder der medizinischen Einrichtung dekodierbar und auch nur durch diese einsehbar zu der der Patient einen Behandlungsvertrag unterhält. Eine weitere Verarbeitung der Daten, insbesondere eine Weitergabe an Dritte findet nicht statt. Sofern eine medizinische Einrichtung, neben der bereits behandelnden, auf die Daten zugreifen möchte, geschieht dies nur mit ausdrücklich und jeweils erteilter Entbindung der Schweigepflicht durch den Patienten.

In Medu Health eingegebene Patientendaten werden so verschlüsselt, dass sie nur mit Hilfe eines Passwortgeschützten Benutzerkonto der zugeordneten Einrichtung – nach expliziter Freigabe durch den Patienten – eingesehen werden können. Diese Benutzerkonten der behandelnden Einrichtung sind im Kreis der Personen zu verbleiben, die autorisiert sind, mit Patientendaten zu arbeiten.

Weder die 8Health noch Betreiber der von ihr beauftragten Rechenzentren verfügen über einen Zugriff auf verschlüsselte Patientendaten. Die verschlüsselten Patientendaten sind daher als anonymisierte Daten zu werten.

Die verschlüsselten Daten werden an die 8Health übermittelt, um sie zu anonymisiert zu speichern und dem Kunden jederzeit und standortunabhängig zum Abruf zur Verfügung zu stellen. Entschlüsselbar sind diese Daten nur durch den Kunden. Der Kunde kann die Daten jederzeit durch sein Benutzerkonto löschen und bestimmen wem diese Daten sichtbar sind.

Weder die 8Health noch Betreiber des Rechenzentrums können auf unverschlüsselte Patientendaten zugreifen. Es findet daher keine Übertragung von Gesundheitsdaten statt. Die 8Health führt daher insbesondere keine Auftragsdatenverarbeitung von Patientendaten durch.

Eine nähere technische Beschreibung über die Umsetzung des Datenschutzes und den technisch- organisatorischen Maßnahmen der 8Health zum Schutz der Patientendaten kann von Kunden jederzeit über info@8health.de angefordert werden.

c) Besondere Kategorien personenbezogener Daten

Ihnen wird die Möglichkeit eingeräumt, Gesundheitsdaten im Sinne von Art. 9 DSGVO für festgelegte Zwecke zu übermitteln, wie insbesondere eine ärztliche Diagnose, Behandlung Zeitpunkte, Verständnis über die Erkrankung, Angstlevel, Lebensqualität und Patientenzufriedenheit. Daneben werden auch Informationen wie Krankenkassenzugehörigkeit, Zufriedenheit mit der Auskunft usw. durch die behandelnde medizinische Einrichtung verarbeitet werden. Welche Daten genau an 8Health übermittelt werden, ergibt sich aus der jeweiligen Eingabemaske, die für die Registrierung und im Rahmen der Leistungserbringung verwendet wird. Eine Verarbeitung von besonderen Daten erfolgt erst nach und lediglich im Rahmen Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 a DSGVO.

d) Verschlüsselung der Daten

Die von medizinischen Einrichtungen in dessen persönlichen Benutzerkonten hinterlegten personenbezogenen und besonderen personenbezogenen Daten seiner Patienten, insbesondere Patienten- und Gesundheitsdaten werden nach Eingabe verschlüsselt und werden nur lokal auf den Endgeräten der jeweiligen medizinischen Einrichtung bzw. Patienten entschlüsselt. Damit können nur die behandelnden medizinischen Einrichtungen lokal diese besonders schützenswerten Daten einsehen. 8Health hält die personenbezogenen Daten nicht im Klartext, sondern nur als kryptographische Daten („Kryptodaten“ = verschlüsselt & anonymisiert) auf den 8Health Servern vor. Im Gegensatz zu pseudonymisierten Daten enthalten die Kryptodaten von 8Health keine Einzelangaben zu persönlichen oder sachlichen Verhältnissen und weisen einen faktisch leeren Informationsgehalt auf. Dieser Ansatz ist konform zu den Vorgaben der Datenschutzbeauftragten des Bundes und der Länder - „Datenschutz und T elemedizin – Anforderungen an Medizinnetze 2002“ (vgl. https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/dsb_oh_telemedizin.pdf , Stand Mai 2018) – da sichergestellt werden kann, dass 8Health oder Dritte keine personenbezogenen medizinischen Daten zur Kenntnis nehmen kann. Damit ist ein Verstoß gegen die ärztliche Schweigepflicht nach § 203 StGB ausgeschlossen.

d) Zahlungsdaten für den Erwerb einer kostenpflichtigen Lizenz

Für die Nutzung von Medu Health ist der Erwerb einer kostenpflichtigen Lizenz notwendig, um Leon Health als Software-as-a-Service gemäß der aktuellen Leistungsbeschreibung bereitzustellen. Hierbei werden zusätzlich folgende Daten erhoben:

Zahlungsinformationen (Zahlungsadresse, Bankverbindung, Kreditkartennummer und sonstige für die Abrechnung relevante Informationen) Datum und Uhrzeit des Erwerbs der kostenpflichtigen Lizenz.

Rechtsgrundlage für die Verarbeitung der Daten ist die Erfüllung eines Vertrags, dessen Vertragspartei der Nutzer ist, gemäß Art. 6 Abs. 1 lit. a,b DSGVO.

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Dies ist für die Zahlungsdaten dann der Fall, wenn die kostenpflichtige Version gekündigt wird. Auch danach kann jedoch eine Erforderlichkeit, gewisse personenbezogene Daten des Vertragspartners zu speichern, bestehen, um vertraglichen oder gesetzlichen Verpflichtungen nachzukommen, z.B. in der Buchhaltung.

Als Nutzer haben sie jederzeit die Möglichkeit, Ihre kostenpflichtige Lizenz zu kündigen. Dies ist in der App von Medu Health unter „Einstellungen“ möglich. Die über Sie gespeicherten Daten können Sie jederzeit abändern lassen. Letzteres können Sie per E-Mail an info@8health.de veranlassen.

Eine vorzeitige Löschung der Daten nur möglich, soweit nicht vertragliche oder gesetzliche Verpflichtungen einer Löschung entgegenstehen.

e) Nutzungsdaten

Bei der Nutzung von Medu Health werden die folgenden Nutzungsdaten zu Sicherheits-, Abrechnungs- und Evaluationszwecken erhoben:

Bei der Registrierung und beim Login: Zeitpunkt, IP-Adresse, Programmversion bei der Erstellung einer neuen Erhebung: Zeitpunkt, ausgewählte Fragebögen Rechtsgrundlage für die Verarbeitung der Daten ist die Erfüllung eines Vertrags, dessen Vertragspartei der Nutzer ist, gemäß Art. 6 Abs. 1 lit. c DSGVO.

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Dies ist dann der Fall, wenn der Account gekündigt wird. Auch danach kann jedoch eine Erforderlichkeit, gewisse personenbezogene Daten des Vertragspartners zu speichern, bestehen, um vertraglichen oder gesetzlichen Verpflichtungen nachzukommen.

Die Mobile-App von Medu Health für Patienten übermittelt personenbezogenen Daten und Nutzungsdaten nur in verschlüsselter anonymisierter Form.

g) Grundsätzlich keine Weitergabe

Es werden keine besonderen personenbezogenen Daten durch 8Health weitergegeben, wenn der Kunde nicht ausdrücklich seine Einwilligung gemäß Art. 9 Abs. 1 a DSGVO erteilt hat oder 8Health zur Herausgabe verpflichtet ist, beispielsweise aufgrund einer gerichtlichen oder behördlichen Anordnung oder sonstige besondere Voraussetzungen nach Art. 9 Abs. 2 DSGVO vorliegen.

5. Kundeninformationen und Newsletter

Auf der Website und im Benutzerkonto von 8Health wird den Benutzern die Möglichkeit eingeräumt, den Newsletter unseres Unternehmens sowie weitergehende Kundeninformationen mittels E-Mail-Nachrichten zu abonnieren. Welche personenbezogenen Daten bei der Bestellung der Dienste an den für die Verarbeitung Verantwortlichen übermittelt werden, ergibt sich aus der hierzu verwendeten Eingabemaske.

Für die Verarbeitung der Daten wird im Rahmen des Anmeldevorgangs die Einwilligung des Nutzers eingeholt und auf diese Datenschutzerklärung verwiesen. Die 8Health informiert ihre Kunden und Geschäftspartner in regelmäßigen Abständen über Angebote des Unternehmens, die E-Health-Entwicklung, vertragliche Änderungen oder technische Neuerungen. Der Newsletter unseres Unternehmens kann von der betroffenen Person grundsätzlich nur dann empfangen werden, wenn (1) die betroffene Person über eine gültige E-Mail-Adresse verfügt und (2) die betroffene Person sich für den Versand registriert ist. An die von einer betroffenen Person erstmalig für den Versand eingetragene E-Mail-Adresse wird aus rechtlichen Gründen eine Bestätigungsmail im Double-Opt-In-Verfahren versendet. Diese Bestätigungsmail dient der Überprüfung, ob der Inhaber der E-Mail-Adresse als betroffene Person den Empfang des Newsletters autorisiert hat.

Die Einholung einer gesonderten Einwilligung ist lediglich dann entbehrlich, wenn wir unwidersprochen bei uns registrierte Kunden mittels elektronischer Post über unsere eigenen Waren und Dienstleistungen informieren. Bei der Anmeldung für die genannten Dienste speichern wir ferner

  1. die vom Internet-Service-Provider (ISP) vergebene IP-Adresse des von der betroffenen Person zum Zeitpunkt der Anmeldung verwendeten Computersystems sowie
  2. das Datum und
  3. die Uhrzeit der Anmeldung.

Die Erhebung dieser Daten ist erforderlich, um den (möglichen) Missbrauch der E-Mail-Adresse einer betroffenen Person zu einem späteren Zeitpunkt nachvollziehen zu können und dient deshalb der rechtlichen Absicherung von 8Health.

Die im Rahmen einer Anmeldung erhobenen personenbezogenen Daten werden ausschließlich zum Versand unseres Newsletters und der Kundeninformationen verwendet. Ferner könnten Abonnenten per E-Mail informiert werden, sofern dies für den Betrieb der Dienste oder eine diesbezügliche Registrierung erforderlich ist, wie dies im Falle von Änderungen am Newsletter Angebot oder bei der Veränderung der technischen Gegebenheiten der Fall sein könnte. Es erfolgt keine Weitergabe der erhobenen personenbezogenen Daten an Dritte. Das Abonnement unserer Newsletter kann durch die betroffene Person jederzeit gekündigt werden. Die Einwilligung in die Speicherung personenbezogener Daten, die die betroffene Person uns für den Newsletterversand erteilt hat, kann jederzeit widerrufen werden. Zum Zwecke des Widerrufs der Einwilligung findet sich in jedem Newsletter ein entsprechender Link. Ferner besteht die Möglichkeit, sich jederzeit auch direkt im Benutzerkonto des Kunden vom Newsletter Versand abzumelden oder dies 8Health auf andere Weise mitzuteilen.

6. Blog

Im Rahmen unseres Blogs können registrierte Nutzer Kommentare oder sonstige Beiträge hinterlassen. Hierbei werden ihre IP-Adressen für sieben Tage gespeichert. Das erfolgt zu unserer Sicherheit, falls jemand in Kommentaren und Beiträgen widerrechtliche Inhalte hinterlässt und es einer weiteren ggfs. strafrechtlichen Verfolgung bedarf, wobei diese Daten an die Ermittlungsbehörden weitergegeben werden könnten. (Bspw. Bei Beleidigungen, verbotene politische Propaganda, etc.).

Die Nachfolge Kommentare können durch die Nutzer mit deren Einwilligung abonniert werden. Die Nutzer erhalten eine Bestätigungsemail, um zu überprüfen, ob sie der Inhaber der eingegebenen Emailadresse sind. Nutzer können laufende Kommentar Abonnements jederzeit abbestellen. Die Bestätigungsemail wird Hinweise zu den Widerrufsmöglichkeiten enthalten.

7. Kontaktmöglichkeit über die Website

Die Website der 8Health enthält aufgrund von gesetzlichen Vorschriften Angaben, die eine schnelle elektronische Kontaktaufnahme zu unserem Unternehmen sowie eine unmittelbare Kommunikation mit uns ermöglichen. Sofern eine betroffene Person per E-Mail oder über ein Kontaktformular den Kontakt mit 8Health aufnimmt, werden die von der betroffenen Person übermittelten personenbezogenen Daten automatisch gespeichert. Solche, auf freiwilliger Basis, von einer betroffenen Person an den für die Verarbeitung Verantwortlichen übermittelten personenbezogenen Daten, werden für Zwecke der Bearbeitung oder der Kontaktaufnahme zur betroffenen Person gespeichert (Art. 6 Abs. 1 a, b und f DSGVO). Es erfolgt keine Weitergabe dieser personenbezogenen Daten an Dritte.

8. Routinemäßige Löschung und Sperrung von personenbezogenen Daten

8Health verarbeitet und speichert personenbezogene Daten der betroffenen Person nur für den Zeitraum, der zur Erreichung des Sicherungszwecks erforderlich ist oder sofern dies durch den Europäischen Richtlinien- und Verordnungsgeber oder einen anderen Gesetzgeber in Gesetzen oder Vorschriften, welchen 8Health unterliegt, vorgesehen wurde. Entfällt der Sicherungszweck oder läuft eine vom Europäischen Richtlinien- und Verordnungsgeber oder einem anderen zuständigen Gesetzgeber vorgeschriebene Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

Bei einer Kündigung des Vertragsverhältnisses zwischen dem Kunden und 8Health löscht 8Health binnen zwölf Monaten die im Nutzerkonto gespeicherten Daten endgültig, sofern der Kunde nicht ausdrücklich einer Löschung der Daten widersprochen hat.

9. Ihre Rechte

a) Recht auf Bestätigung

Sie haben das Recht, von 8Health eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Möchte eine betroffene Person dieses Bestätigung Recht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter von 8Health wenden.

b) Recht auf Auskunft

Sie haben das Recht gemäß Art. 15 DSGVO, jederzeit von 8Health unentgeltliche Auskunft über die zu Ihrer Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Ferner haben Sie das Recht, Auskunft über folgende Informationen zu erhalten:

  • die Verarbeitungszwecke
  • die Kategorien personenbezogener Daten, die verarbeitet werden
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden: Alle verfügbaren Informationen über die Herkunft der Daten
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Abs.1 und 4 DS-GVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Ferner steht Ihnen ein Auskunftsrecht darüber zu, ob personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden. Sofern dies der Fall ist, so steht Ihnen im Übrigen das Recht zu, Auskunft über die geeigneten Garantien im Zusammenhang mit der Übermittlung zu erhalten.

c) Recht auf Berichtigung

Sie haben das Recht gemäß Art. 16 DSGVO, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

d) Recht auf Löschung (Recht auf Vergessen werden)

Sie haben das Recht gemäß Art. 17 DSGVO, von dem Verantwortlichen zu verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:

  • Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind.
  • Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 Buchstabe a DSGVO oder Art. 9 Abs. 2 Buchstabe a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • Sie legen gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gemäß Art. 21 Abs. 2 DS-GVO Widerspruch gegen die Verarbeitung ein.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich.
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

  1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
  4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit eine Löschung voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
  5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

e) Recht auf Einschränkung der Verarbeitung

Sie haben das Recht gemäß Art. 18 DSGVO, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Die Richtigkeit der personenbezogenen Daten wird von Ihnen bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
  • Die Verarbeitung ist unrechtmäßig, Sie lehnen die Löschung der personenbezogenen Daten ab und verlangen stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.
  • Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, Sie benötigen sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  • Sie haben Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DSGVO eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren überwiegen.


f) Recht auf Datenübertragbarkeit

Sie haben das Recht gemäß Art. 20 DSGVO, die Sie betreffenden personenbezogenen Daten, welche Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 a DSGVO oder Art. 9 Abs. 2 a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 b DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde. Oben genanntes findet nur auf personenbezogene Daten statt. Bzgl. Gesundheitsdaten ist entsprechende Vorgehensweise aufgrund der anonymisierten Verschlüsselung nicht möglich.

Ferner haben Sie bei der Ausübung ihres Rechts auf Datenübertragbarkeit das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

g) Recht auf Widerspruch

Recht auf Widerspruch gegen die Verarbeitung

Nach Art. 21 Abs. 1 DSGVO haben Sie das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO erfolgt (Datenverarbeitung zur Wahrung berechtigter Interessen), Widerspruch einzulegen.

Soweit Sie Widerspruch einlegen, werden wir Ihre personenbezogenen Daten nicht mehr zu den vom Widerspruch umfassten Zwecken verarbeiten, es sei denn

  • wir können zwingende schutzwürdige Gründe nachweisen, welche Ihre Interessen, Rechte und Freiheiten überwiegen, oder
  • die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Der Widerspruch kann formfrei erfolgen, z.B. per E-Mail an datenschutz@leon-health.de oder durch eine Nachricht an die oben angegebenen Kontaktdaten.


h) Recht auf Widerruf einer datenschutzrechtlichen Einwilligung

Sie haben das Recht gemäß Art. 7 Abs. 3 DSGVO, Ihre ggf. erteilte Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen. Näheres zur Ausübung des Widerspruchsrecht siehe Ziffer 5.


i) Recht auf Beschwerde bei einer Aufsichtsbehörde

Ihnen steht gemäß Art. 77 DSGVO i. V. m. § 19 BDSG das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der betreffenden personenbezogenen Daten gegen die DSGVO verstößt.


10. Verpflichtung zur Bereitstellung personenbezogener Daten

Eine Verpflichtung zur Bereitstellung von personenbezogenen Daten im Rahmen Ihres Websitebesuchs besteht grundsätzlich nicht. Etwas Anderes kann sich aus vertraglichen Regelungen ergeben. Werden die genannten personenbezogenen Daten nicht zur Verfügung gestellt, können gegebenenfalls die einzelnen beschriebenen Zwecke nicht erreicht werden.


11. Drittlandtransfer

Eine Datenübermittlung in Drittstaaten findet nur statt, soweit dies in dieser Datenschutzerklärung aufgeführt, zur Ausführung von Aufträgen erforderlich, gesetzlich vorgeschrieben ist oder Sie uns eine Einwilligung erteilt haben.


12. Keine automatisierte Entscheidungsfindung

Wir nutzen keine vollautomatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO.


13. Änderungen dieser Datenschutzhinweise

Im Zuge der kontinuierlichen Weiterentwicklung des Internets ist eine Anpassung dieser Datenschutzhinweise in Abständen erforderlich. Soweit nicht ein anderes bestimmt ist, werden solche Änderungen sofort wirksam. Bitte prüfen Sie daher diese regelmäßig, um die jeweils aktuelle Version einzusehen.

14. Technische und Organisatorische Maßnahmen zur sicheren Datenverarbeitung

hochsensible Transaktionen im Internet verwendet, wie beispielsweise im Online-Banking und bei 8Health hat als für die Verarbeitung Verantwortliche zahlreiche technische und organisatorische Maßnahmen umgesetzt, um einen möglichst lückenlosen Schutz der verarbeiteten personenbezogenen Daten sicherzustellen. Hierzu gehört insbesondere, dass der Transfer der Daten vom Computer des Betroffenen zu den 8Health Servern wie auch umgekehrt das Herunterladen von Daten von den 8Health Servern auf den Computer des Nutzers verschlüsselt erfolgt. 8Health benutzt hierfür den aktuellen Verschlüsselungsstandard TLS (Transport Layer Security, Version 1.2). Dieses bewährte kryptographische Verfahren wird weltweit als Standard für sensiblen Internet-Anwendungen im Gesundheitsbereich. Es kombiniert aktuell einen 4096 Bit langen öffentlichen Schlüssel mit einem zufälligen symmetrischen Schlüssel in der Länge von 256 Bit. Am Schlosssymbol im Browser-Fenster ist erkennbar, ob die Informationen geschützt übermittelt werden und welche Verschlüsselungslänge im Browser unterstützt wird. Die Authentizität des Verschlüsselungscodes von 8Health wird durch das SSL/TLS-Zertifikat bestätigt (derzeit von Network Solutions L.L.C.). Über einen Doppelklick auf das Schlosssymbol am oberen Bildrand erfährt der Nutzer mehr über das Zertifikat.

Zur sicheren, physischen Verwahrung der Nutzer/Kunden-Daten arbeitet 8Health mit einem externen Internet-Provider (derzeit: GoodBarber,CampusPlex, 12 rue Général Fiorella, 20000 Ajaccio, Korsika, Frankreich) zusammen. Die von diesem Provider bereitgestellten Server befinden sich in Deutschland. Nur besonders autorisierte Personen (etwa von Service-Unternehmen zu Wartungsarbeiten) haben Zugang zu den gesicherten Räumen. Aufgrund der verschlüsselten Datenspeicherung können diese Personen nicht auf die Kundendaten zugreifen. Der Provider gewährleistet den Einsatz moderner Firewall-Technologie und physikalisch gesicherter Einrichtungen. Der Aufgabenbereich des Providers beinhaltet lediglich die Sicherstellung der Verfügbarkeit der Infrastruktur des Rechenzentrums (Strom, Internet, Routing) sowie der gemieteten Hardware (z.B. Austausch defekter Komponenten). Auf die Server selbst haben nur Administratoren von 8Health Zugriff.

15. Dauer, für die die personenbezogenen Daten gespeichert werden

Das Kriterium für die Dauer der Speicherung von personenbezogenen Daten ist die jeweilige gesetzliche Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind.

16. Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche Folgen der Nichtbereitstellung

Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben zum Vertragspartner) ergeben kann. Mitunter kann es zu einem Vertragsschluss erforderlich sein, dass eine betroffene Person uns personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen. Die betroffene Person ist beispielsweise verpflichtet uns personenbezogene Daten bereitzustellen, wenn unser Unternehmen mit ihr einen Vertrag abschließt. Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit dem Betroffenen nicht geschlossen werden könnte. Vor einer Bereitstellung personenbezogener Daten durch den Betroffenen kann sich der Betroffene an unseren Datenschutzbeauftragten wenden. Unser Datenschutzbeauftragter klärt den Betroffenen einzelfallbezogen darüber auf, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsabschluss erforderlich ist, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung der personenbezogenen Daten hätte.



Betreiber und Kontakt:

8Health-Management UG (haftungsbeschränkt)

Connollystr. 15

80809 München

Deutschland

Telefon: +49 178 133 62 71

E-Mail: info@8health.de

Website: www.8health.de 

Vertretungsberechtigt: Alexander Zuber

Handelsregister: Amtsgericht München HRB 254644 

USt-IdNr: DE328555615