Datenschutzerklärung

Personenbezogene Daten (nachfolgend zumeist nur „Daten“ genannt) werden von uns nur im Rahmen der Erforderlichkeit sowie zum Zwecke der Bereitstellung eines funktionsfähigen und nutzerfreundlichen Internetauftritts, inklusive seiner Inhalte und der dort angebotenen Leistungen, verarbeitet.

Gemäß Art. 4 Ziffer 1. der Verordnung (EU) 2016/679, also der Datenschutz-Grundverordnung (nachfolgend nur „DSGVO“ genannt), gilt als „Verarbeitung“ jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Mit der nachfolgenden Datenschutzerklärung informieren wir Sie insbesondere über Art, Umfang, Zweck, Dauer und Rechtsgrundlage der Verarbeitung personenbezogener Daten, soweit wir entweder allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheiden. Zudem informieren wir Sie nachfolgend über die von uns zu Optimierungszwecken sowie zur Steigerung der Nutzungsqualität eingesetzten Fremdkomponenten, soweit hierdurch Dritte Daten in wiederum eigener Verantwortung verarbeiten.

Unsere Datenschutzerklärung ist wie folgt gegliedert:

I. Informationen über uns als Verantwortliche
II. Rechte der Nutzer und Betroffenen
III. Informationen zur Datenverarbeitung
IV. Informationen über erforderliche Berechtigungen zum Einsenden eines Falles

I. Informationen über uns als Verantwortliche

Verantwortlicher Anbieter dieses Internetauftritts im datenschutzrechtlichen Sinne ist:

Smart Health Heidelberg GmbH
Handschuhsheimer Landstr. 9/1
69120 Heidelberg
Deutschland

Telefon: 06221/3219304
E-Mail: info@smarthealth.de

Externer Datenschutzbeauftragter:

Kontakt: dsb@smarthealth.de

II. Rechte der Nutzer und Betroffenen

Mit Blick auf die nachfolgend noch näher beschriebene Datenverarbeitung haben die Nutzer und Betroffenen das Recht

  • auf Bestätigung, ob sie betreffende Daten verarbeitet werden, auf Auskunft über die verarbeiteten Daten, auf weitere Informationen über die Datenverarbeitung sowie auf Kopien der Daten (vgl. auch Art. 15 DSGVO);
  • auf Berichtigung oder Vervollständigung unrichtiger bzw. unvollständiger Daten (vgl. auch Art. 16 DSGVO);
  • auf unverzügliche Löschung der sie betreffenden Daten (vgl. auch Art. 17 DSGVO), oder, alternativ, soweit eine weitere Verarbeitung gemäß Art. 17 Abs. 3 DSGVO erforderlich ist, auf Einschränkung der Verarbeitung nach Maßgabe von Art. 18 DSGVO;
  • auf Erhalt der sie betreffenden und von ihnen bereitgestellten Daten und auf Übermittlung dieser Daten an andere Anbieter/Verantwortliche (vgl. auch Art. 20 DSGVO);
  • auf Beschwerde gegenüber der Aufsichtsbehörde, sofern sie der Ansicht sind, dass die sie betreffenden Daten durch den Anbieter unter Verstoß gegen datenschutzrechtliche Bestimmungen verarbeitet werden (vgl. auch Art. 77 DSGVO).

Darüber hinaus ist der Anbieter dazu verpflichtet, alle Empfänger, denen gegenüber Daten durch den Anbieter offengelegt worden sind, über jedwede Berichtigung oder Löschung von Daten oder die Einschränkung der Verarbeitung, die aufgrund der Artikel 16, 17 Abs. 1, 18 DSGVO erfolgt, zu unterrichten. Diese Verpflichtung besteht jedoch nicht, soweit diese Mitteilung unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist. Unbeschadet dessen hat der Nutzer ein Recht auf Auskunft über diese Empfänger.

Ebenfalls haben die Nutzer und Betroffenen nach Art. 21 DSGVO das Recht auf Widerspruch gegen die künftige Verarbeitung der sie betreffenden Daten, sofern die Daten durch den Anbieter nach Maßgabe von Art. 6 Abs. 1 lit. f) DSGVO verarbeitet werden. Insbesondere ist ein Widerspruch gegen die Datenverarbeitung zum Zwecke der Direktwerbung statthaft.

III. Informationen zur Datenverarbeitung

Ihre bei Nutzung unseres Internetauftritts verarbeiteten Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt, der Löschung der Daten keine gesetzlichen Aufbewahrungspflichten entgegenstehen und nachfolgend keine anderslautenden Angaben zu einzelnen Verarbeitungsverfahren gemacht werden.

Cookies

a) Sitzungs-Cookies/Session-Cookies

Wir verwenden mit unserem Internetauftritt sog. Cookies. Cookies sind kleine Textdateien oder andere Speichertechnologien, die durch den von Ihnen eingesetzten Internet-Browser auf Ihrem Endgerät ablegt und gespeichert werden. Durch diese Cookies werden im individuellen Umfang bestimmte Informationen von Ihnen, wie beispielsweise Ihre Browser- oder Standortdaten oder Ihre IP-Adresse, verarbeitet.

Durch diese Verarbeitung wird unser Internetauftritt benutzerfreundlicher, effektiver und sicherer.

Rechtsgrundlage dieser Verarbeitung ist Art. 6 Abs. 1 lit b.) DSGVO, sofern diese Cookies Daten zur Vertragsanbahnung oder Vertragsabwicklung verarbeitet werden.

Falls die Verarbeitung nicht der Vertragsanbahnung oder Vertragsabwicklung dient, liegt unser berechtigtes Interesse in der Verbesserung der Funktionalität unseres Internetauftritts. Rechtsgrundlage ist in dann Art. 6 Abs. 1 lit. f) DSGVO.

Mit Schließen Ihres Internet-Browsers werden diese Session-Cookies gelöscht.

b) Drittanbieter-Cookies

Unser Zahlungsanbieter Stripe platziert als externer Anbieter Cookies (nähere Informationen zu Stripe unter Abschnitt d)), um eine sichere Online-Zahlungsmöglichkeit über unsere Webseite zu gewährleisen. Stripe platziert nur auf der Seite „Fall einsenden“ Cookies. 

c) Beseitigungsmöglichkeit

Sie können die Installation der Cookies durch eine Einstellung Ihres Internet-Browsers verhindern oder einschränken. Ebenfalls können Sie bereits gespeicherte Cookies jederzeit löschen. Die hierfür erforderlichen Schritte und Maßnahmen hängen jedoch von Ihrem konkret genutzten Internet-Browser ab. Bei Fragen benutzen Sie daher bitte die Hilfefunktion oder Dokumentation Ihres Internet-Browsers oder wenden sich an dessen Hersteller bzw. Support. Bei sog. Flash-Cookies kann die Verarbeitung allerdings nicht über die Einstellungen des Browsers unterbunden werden. Stattdessen müssen Sie insoweit die Einstellung Ihres Flash-Players ändern. Auch die hierfür erforderlichen Schritte und Maßnahmen hängen von Ihrem konkret genutzten Flash-Player ab. Bei Fragen benutzen Sie daher bitte ebenso die Hilfefunktion oder Dokumentation Ihres Flash-Players oder wenden sich an den Hersteller bzw. Benutzer-Support.

Sollten Sie die Installation der Cookies verhindern oder einschränken, kann dies allerdings dazu führen, dass nicht sämtliche Funktionen unseres Internetauftritts vollumfänglich nutzbar sind.

d) Zahlungsdienste 

d1) Zahlungsdienste: per Visa, Mastercard, American Express

Wenn  Sie die Bezahlung mittels Kreditkarte ausführen, erfolgt die  Zahlungsabwicklung über den Zahlungsanbieter „Stripe“. Die hierzu  erforderlichen Daten (Kartennummer, Gültigkeit und Prüfnummer) werden  verschlüsselt an den Zahlungsanbieter weitergeleitet und sind für den  Webseitenbetreiber nicht einsehbar. Stripe Payments Europe Ltd ist nach  Industry Data Security Standard (PCI DSS) zertifiziert und unterliegt  dem Safe Harbour Abkommen. Der Zahlungsanbieter transferiert,  verarbeitet und speichert gegebenenfalls personenbezogene Daten  außerhalb der EU, die zur Abwicklung der Zahlung erforderlich sind, jedoch nicht von diesem Zahlungsanbieter Ihrem Fall oder anderen in der App eingegebenen personenbezogenen Daten zugeordnet werden können (=Ihren Bildern, Ihrer E-Mail-Adresse oder angegebener Symptome). Für  die Verarbeitung dieser Daten ist allein Stripe verantwortlich.

Stripe Payments Europe Ltd

Block 4, Harcourt Centre
Harcourt Road
Dublin 2
Ireland

Details zur Zahlung mit Stripe entnehmen Sie den AGB und den Datenschutzbestimmungen des Zahlungsanbieters unter: https://stripe.com/de/terms

Wir haben mit Stripe einen Vertrag abgeschlossen, in dem wir Stripe verpflichten, die Daten unserer Kunden zu schützen und sie nicht an Dritte weiterzugeben. Nähere Informationen hierzu finden Sie hier: https://stripe.com/dpa/legal

d2) SOFORT
Bei Auswahl der Zahlungsart „SOFORT“ erfolgt die Zahlungsabwicklung ebenfalls über Stripe (s. d1), jedoch in Kooperation mit dem Zahlungsdienstleister SOFORT GmbH, Theresienhöhe 12, 80339 München, Deutschland (im Folgenden „SOFORT“), an den wir selber direkt keine Informationen über Ihre Bestellung weitergeben. Die Informationsweitergabe erfolgt über Stripe, der Ihrem Fall eine ID (nicht Ihre Fall-ID) zuweist und bei erfolgreicher Zahlung uns automatisiert über diese ID informiert, sodass Ihr Fall automatisiert an einen Facharzt verschickt wird bzw. im verschlüsselten Ärzteportal eingestellt wird und von einem Facharzt bearbeitet werden kann. Die Sofort GmbH ist Teil der Klarna Group (Klarna Bank AB (publ), Sveavägen 46, 11134 Stockholm, Schweden). Die Weitergabe Ihrer Daten erfolgt ausschließlich zum Zweck der Zahlungsabwicklung mit dem Zahlungsdienstleister SOFORT und nur insoweit, als sie hierfür erforderlich ist. Unter der nachstehenden Internetadresse erhalten Sie weitere Informationen über die Datenschutzbestimmungen von SOFORT: https://www.klarna.com/sofort/datenschutz.

 e) Zusammensetzung der von Ihnen selber aktiv eingegebenen Daten (=Fall) & Ratschläge zur faktisch anonymen Nutzung des Dienstes

Die Nutzung dieses Dienstes ist faktisch anonym möglich (=weder der Betreiber, noch die Ärzte, noch die Drittanbieter / Zahlungsanbieter können Sie als individuelle Person in Zusammenhang mit Ihrem Fall bringen bzw. Ihre Gesundheitsdaten Ihrer Person zuordnen). Wir erfassen im Sinne der Datensparsamkeit so wenig Daten wie möglich von Ihnen. Zum Einreichen eines Falles und einer fachärztlichen Meinung dazu sind lediglich erforderlich: Drei Bilder des Problems/der Hautstelle, Angaben zu Symptomen (nicht individuell zuordbar), Ihr grobes Alter (Jahre, kein Geburtsdatum) und Ihr Geschlecht. Auf der Webseite ist ebenfalls die Eingabe einer E-Mail-Adresse erforderlich, damit Sie benachrichtigt werden können, wenn Ihr Fall bearbeitet wurde. Wenn Sie den Dienst faktisch anonym nutzen möchten, empfehlen wir folgendes:

  • Es wird an keiner Stelle von unserer Seite ein Name, ein Geburtsdatum oder ein Wohnort abgefragt. Diese Angaben sollten Sie auch in Ihrer Symptombeschreibung nicht machen.
  • Sie sollten die Fotos, die Sie aufnehmen und hochladen auf Ihr Problem beschränken. Sie sollten nicht Bilder von Ihrem Gesicht, oder identifizierende Tattoos oder Ähnliches hochladen.
  • Sie sollten auf unserer Webseite (in unseren gleichnamigen Apps ist keine E-Mail Adresse erforderlich, diese können Sie alternativ nutzen) eine E-Mail-Adresse angeben, die Sie nicht individuell identifiziert (z.B. Sportfan2006Superman@web.de statt Jens-Simon-Hendrik-Maier-01-08-1956@web.de). Die behandelnden Ärzte sehen Ihre E-Mail-Adresse nicht, dennoch wird sie in einer gesicherten Datenbank in einem gesicherten Serverzentrum in Frankfurt (siehe Abschnitt f) gespeichert, damit Sie kontaktiert werden können, wenn Ihr Fall bearbeitet wurde und um Ihre Fallnummer mitzuteilen. Wir erfüllen moderne Sicherheitsstandards und haben viele Vorkehrungen getroffen, dass unsere Datenbank sicher vor Hackerangriffen und anderen Einflüssen ist. Dennoch empfehlen wir Ihnen im Sinne der Datensparsamkeit der EU-DSGVO keine individuell identifizierenden Informationen mit unserem Dienst hochzuladen.

f) Hosting Ihres Falles

Wir hosten Ihre Falldaten bei Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109, USA („AWS“) ein. Aus technischen Gründen kann es vorkommen, dass die Infrastruktur von den USA aus gewartet wird. AWS hat sich jedoch dem EU-US Privacy Shield unterworfen und wir haben ausschließlich gesicherte Serverstandorte in der europäischen Union, die Teil der Security Group von Amazon AWS sind, ausgewählt (Frankfurt & Irland, beide Teil der Security Group).

Rechtsgrundlage der vorgenannten Datenverarbeitung ist Art. 6 Abs. 1 f) DSGVO beruhend auf unserem berechtigten Interesse. Wir wollen Ihnen damit die technische Infrastruktur bereitstellen, um unsere Produkte und Dienstleistungen anbieten zu können.

Wir haben mit Amazon AWS einen Vertrag abgeschlossen, in dem wir Amazon AWS verpflichten, die Daten unserer Kunden zu schützen und sie nicht an Dritte weiterzugeben. Nähere Informationen hierzu finden Sie in der Datenschutzerklärung von AWS und hier: https://aws.amazon.com/blogs/security/aws-gdpr-data-processing-addendum/

 g) Hosting dieser Webseite und automatisierter Versand von E-Mails

Diese Website nutzt 1&1 IONOS Mailserver für die Weiterleitung von E-Mails von Amazon AWS und einen 1&1 IONOS Hosting-Server zum Hosting dieser Webseite. Anbieter ist die 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland. Der Mailserver-Weiterleitungs-Dienst wird genutzt, um Ihnen Ihre Fallnummer zuzumailen, bzw. Sie darüber zu informieren, wenn Ihr Fall durch einen Facharzt begutachtet wurde, oder eine Rückfrage gestellt wurde. Der Hosting-Dienst wird genutzt, um diese Webseite zu hosten.

Rechtsgrundlage

Die Datenverarbeitung erfolgt auf Grundlage unserer berechtigten Interessen an einem zuverlässigen und sicheren E-Mail-Versand und Hosting (Art. 6 Abs. 1 lit. f DSGVO).

Näheres entnehmen Sie den Datenschutzbestimmungen von 1&1 IONOS unter: https://www.ionos.de/terms-gtc/terms-privacy/.

Abschluss eines Vertrags über Auftragsverarbeitung

Wir haben mit 1&1 IONOS einen Vertrag abgeschlossen, in dem wir 1&1 IONOS verpflichten, die Daten unserer Kunden zu schützen und sie nicht an Dritte weiterzugeben. Näheres dazu können Sie hier erfahren: https://www.ionos.de/hilfe/datenschutz/allgemeine-informationen-zur-datenschutz-grundverordnung-dsgvo/auftragsverarbeitung/.

 

 h) Archivierung/Löschung Ihres Falles

Sofern Sie die Löschung Ihres Falles wünschen, lässt sich diese Löschung über das Kontaktformular unter Mitteilung Ihrer Fallnummer beauftragen. Grundsätzlich speichern wir die Daten fünf Jahre. Aus Sicherheitsgründen kann Ihr Fall jedoch nur zwei Wochen nach Erstellung noch abgerufen werden. Sollten Sie den Fall aus berechtigtem Interesse danach noch aufrufen wollen, kontaktieren Sie unseren Support unter Angabe Ihrer Fallnummer über das Kontaktformular. Wenn Sie nicht identifiziert werden wollen, nutzen Sie eine Ihnen nicht individuell zuordbare E-Mail-Adresse.

Kontaktanfragen / Kontaktmöglichkeit

Sofern Sie per Kontaktformular oder E-Mail mit uns in Kontakt treten, werden die dabei von Ihnen angegebenen Daten zur Bearbeitung Ihrer Anfrage genutzt. Die Angabe der Daten ist zur Bearbeitung und Beantwortung Ihre Anfrage erforderlich – ohne deren Bereitstellung können wir Ihre Anfrage nicht oder allenfalls eingeschränkt beantworten.

Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b) DSGVO.

Ihre Daten werden gelöscht, sofern Ihre Anfrage abschließend beantwortet worden ist und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen, wie bspw. bei einer sich etwaig anschließenden Vertragsabwicklung.

Facebook

Zur Bewerbung unserer Produkte und Leistungen sowie zur Kommunikation mit Interessenten oder Kunden betreiben wir eine Firmenpräsenz auf der Plattform Facebook.

Auf dieser Social-Media-Plattform sind wir gemeinsam mit der Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 Ireland, verantwortlich.

Der Datenschutzbeauftragte von Facebook kann über ein Kontaktformular erreicht werden:

https://www.facebook.com/help/contact/540977946302970

Die gemeinsame Verantwortlichkeit haben wir in einer Vereinbarung bezüglich der jeweiligen Verpflichtungen im Sinne der DSGVO geregelt. Diese Vereinbarung, aus der sich die gegenseitigen Verpflichtungen ergeben, ist unter dem folgenden Link abrufbar:

https://www.facebook.com/legal/terms/page_controller_addendum

Rechtsgrundlage für die dadurch erfolgende und nachfolgend wiedergegebene Verarbeitung von personenbezogenen Daten ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht an der Analyse, der Kommunikation sowie dem Absatz und der Bewerbung unserer Produkte und Leistungen.

Rechtsgrundlage kann auch eine Einwilligung des Nutzers gemäß Art. 6 Abs. 1 lit. a DSGVO gegenüber dem Plattformbetreiber sein. Die Einwilligung hierzu kann der Nutzer nach Art. 7 Abs. 3 DSGVO jederzeit durch eine Mitteilung an den Plattformbetreiber für die Zukunft widerrufen.

Bei dem Aufruf unseres Onlineauftritts auf der Plattform Facebook werden von der Facebook Ireland Ltd. als Betreiberin der Plattform in der EU Daten des Nutzers (z.B. persönliche Informationen, IP-Adresse etc.) verarbeitet.

Diese Daten des Nutzers dienen zu statistischen Informationen über die Inanspruchnahme unserer Firmenpräsenz auf Facebook. Die Facebook Ireland Ltd. nutzt diese Daten zu Marktforschungs- und Werbezwecken sowie zur Erstellung von Profilen der Nutzer. Anhand dieser Profile ist es der Facebook Ireland Ltd. beispielsweise möglich, die Nutzer innerhalb und außerhalb von Facebook interessenbezogen zu bewerben. Ist der Nutzer zum Zeitpunkt des Aufrufes in seinem Account auf Facebook eingeloggt, kann die Facebook Ireland Ltd. zudem die Daten mit dem jeweiligen Nutzerkonto verknüpfen.

Im Falle einer Kontaktaufnahme des Nutzers über Facebook werden die bei dieser Gelegenheit eingegebenen personenbezogenen Daten des Nutzers zur Bearbeitung der Anfrage genutzt. Die Daten des Nutzers werden bei uns gelöscht, sofern die Anfrage des Nutzers abschließend beantwortet wurde und keine gesetzlichen Aufbewahrungspflichten, wie z.B. bei einer anschließenden Vertragsabwicklung, entgegenstehen.

Zur Verarbeitung der Daten werden von der Facebook Ireland Ltd. ggf. auch Cookies gesetzt.

Sollte der Nutzer mit dieser Verarbeitung nicht einverstanden sein, so besteht die Möglichkeit, die Installation der Cookies durch eine entsprechende Einstellung des Browsers zu verhindern. Bereits gespeicherte Cookies können ebenfalls jederzeit gelöscht werden. Die Einstellungen hierzu sind vom jeweiligen Browser abhängig. Bei Flash-Cookies lässt sich die Verarbeitung nicht über die Einstellungen des Browsers unterbinden, sondern durch die entsprechende Einstellung des Flash-Players. Sollte der Nutzer die Installation der Cookies verhindern oder einschränken, kann dies dazu führen, dass nicht sämtliche Funktionen von Facebook vollumfänglich nutzbar sind.

Näheres zu den Verarbeitungstätigkeiten, deren Unterbindung und zur Löschung der von Facebook verarbeiteten Daten finden sich in der Datenrichtlinie von Facebook:

https://www.facebook.com/privacy/explanation

Es ist nicht ausgeschlossen, dass die Verarbeitung durch die Facebook Ireland Ltd. auch über die Facebook Inc., 1601 Willow Road, Menlo Park, California 94025 in den USA erfolgt.

Die Facebook Inc. hat sich dem „EU-US Privacy Shield“ unterworfen und erklärt dadurch die Einhaltung der Datenschutzvorgaben der EU bei der Verarbeitung der Daten in den USA.

https://www.privacyshield.gov/participant?id=a2zt0000000GnywAAC&status=Active

 

IV. Informationen zu notwendigen Berechtigungen

Berechtigung zur Nutzung der Kamera / Dateien bei Fotoaufnahme/Auswahl

Wenn Sie drei Bilder hochladen möchten, um Ihren Fall zu komplettieren, ist es erforderlich, dass Sie entweder die Berechtigung Ihrer Web-Kamera erteilen, ausschließlich zu diesem Zwecke, oder einen Zugriff auf Ihre Bilder auf Ihrem Computer gewähren, jedoch nur auf die von Ihnen ausgewählten Hautbilder zum Komplettieren Ihres Falles.

Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO, da ohne Fotos der betroffenen Hautstelle keine gute Befundung durch einen Facharzt erfolgen kann.