DatenschutzinformationIm Folgenden findest du unsere aktuelle Datenschutzinformation, die seit dem 03. August, 2023 gültig ist. Einen Überblick über alle Änderungen im Vergleich zur vorherigen Version findest du
hier.
0. PräambelDer Schutz von personenbezogenen Daten und deiner Privatsphäre wird von uns sehr ernst genommen. Wir möchten an dieser Stelle darstellen, wie wir deine Daten schützen und was es für dich bedeutet, wenn du unsere Dienste nutzt. Um einen größtmöglichen Schutz deiner Privatsphäre zu gewährleisten, ist es für uns selbstverständlich, dass wir alle gesetzlichen Bestimmungen zum Thema Datenschutz einhalten. Im Folgenden findest du dazu die einzelnen Punkte im Überblick.Darüber hinaus möchten wir darauf hinweisen, dass in dieser Datenschutzinformation auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sind, diese sich jedoch auf Frauen und Männer in gleicher Weise beziehen. Bei der Anwendung der Bezeichnung auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden. Unter Kunden werden sowohl Konsumenten (Verbraucher), als auch Unternehmer verstanden.
1. VerarbeitungstätigkeitBereitstellung von Informationen über die Waren und Dienstleistungen des Verantwortlichen für Kunden und InteressentenVertragserfüllung gegenüber Kunden
2. Verantwortlicherhi.health GmbH
Mariahilfer Straße 117 / 23, 1060 Wien
Österreich
3. Kontaktdaten des DatenschutzbeauftragtenWolfgang Renzl, Rechtsanwalt
PARLAW Rechtsanwalts-Partnerschaft
Hegelgasse 19/5+6 (1. Etage), 1010 Wien
privacy@hi.health
4. Zwecke der Datenverarbeitung4.1. – der Vertragserfüllung oder –vorbereitung:
4.1.1. – Abrufbarhaltung von Informationen über die Services des Verantwortlichen für Kunden und Interessenten
4.1.2. – Bereitstellung von Kommunikationskanälen zur Verbreitung der Inhalte und Servicierung des Kundenverhältnisses
4.1.3. – Erfüllung der vertraglichen Verpflichtungen aus den Serviceverträgen
4.2. – des berechtigten Interesses:4.2.1. – Verbreitung/Ausspielung von (auch werbenden) Informationen für Services und Veranstaltungen des Verantwortlichen im Wege der Direktwerbung („Marketingzwecke“), soweit gesetzlich zulässig
4.2.2. – Erhaltung und Erhöhung der Kundenzufriedenheit und der Kundenbindung durch Analyse des Nutzungsverhaltens mit dem Ziel der Verbesserung des Serviceangebotes, dies unter Einsatz der Adjust-Technologie
4.2.3. – Bereitstellung von werbenden Informationen an Kunden auf der gesetzlichen Grundlage des § 107 Abs 3 TKG mit jederzeitiger Opt-out-Möglichkeit
4.2.4. – Übermittlung von elektronischen Identifikationsdaten des Nutzers an Drittanbieter, um Inhalte durch Beiträge in sozialen Netzwerken (z.B. YouTube) und anderen Applikationen (z.B. Google Maps) einzubinden.
4.2.5. – Verarbeitung der vom Gerät des Nutzers bei der Interaktion mit den Services oder der Werbeeinschaltung des Verantwortlichen abrufbar gehaltenen personenbezogenen Daten (wie IP-Adressen und Mobile Identifiers) zur Analyse der Wirksamkeit von Werbemaßnahmen, dies insbesondere unter Einsatz der Adjust-Technologie.
4.3. – der Einwilligung4.3.2. – Auswertung der vom Verantwortlichen erhobenen Daten in anonymisierter und aggregierter Form (ohne Personenbezug)
4.3.3. – Bereitstellung von werbenden Informationen an Kunden aufgrund einer Einwilligung mit jederzeitiger Opt-out-Möglichkeit
4.3.4. Übermittlung von Kundendaten an Drittanbieter (Online-Plattformen und Gesundheitsdiensteanbieter) und Zahlungsdiensteanbieter zur Abwicklung der Bezahlung
5. Rechtsgrundlage der Datenverarbeitung5.1. – Vertragserfüllung5.1.1. –
Online: Die Inanspruchnahme der Online-Services des Verantwortlichen basiert auf einem Vertrag iSd Art 6 Abs 1 lit b DS-GVO (Kühling/Buchner DS-GVO2, Art 6 Rz 59), durch eine Registrierung entsteht ein Registrierungsverhältnis.
5.1.2. –
Abschluss von Verträgen: Im Falle des Erwerbs von Dienstleistungen beruht die Datenverarbeitung des Verantwortlichen auf dem jeweils abgeschlossenen Vertrag und dient diese der Vertragserfüllung.
5.2. – ZusatzservicesEinwilligung: Für einzelne Services (z.B. Newsletter) holt der Verantwortliche ausdrücklich Einwilligungen vom Kunden ein.
Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
5.3. – Überwiegende berechtigte Interessen (siehe Punkt 6.): Der Kunde kann gegen die Verwendung seiner personenbezogenen Daten auf dieser Rechtsgrundlage jederzeit und ohne Angabe von Gründen Widerspruch einlegen.
6. Beschreibung der berechtigten Interessen zu Zwecken6.1. – der IT-Sicherheit: Der Verantwortliche speichert die IP-Adressen von bloßen Besuchern der Website für die Dauer von 7 Tagen, um auf gezielte Angriffe in Form der Überlastung von Servern („Denial of service“-Angriffe) und andere Schädigungen der Systeme abwehren zu können. An dieser Datenverarbeitung zum Zwecke der Aufrechterhaltung der Funktionsfähigkeit seiner online bereitgestellten Dienste hat der Verantwortliche ein überwiegendes berechtigtes Interesse (Erwägungsgrund 49 der DSGVO).
6.2. – der Direktwerbung (Direktwerbung ist die unmittelbare Ansprache der betroffenen Person zu Werbezwecken, etwa zur Zusendung von Briefen oder Prospekten, durch Telefonanrufe oder elektronische Nachrichten): Der Verantwortliche verarbeitet die Kundendaten [nicht jedoch solche von Kindern oder besondere Kategorien von personenbezogenen Daten im Sinne des Art 9 DSGVO („sensible Daten“), Datenschutzgrundverordnung, abrufbarunter
http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679] auch, um diese zu Zwecken der Direktwerbung für (weitere) Angebote des Verantwortliches zu nutzen. Der Verantwortliche hat an der Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung ein berechtigtes Interesse (Erwägungsgrund 47, letzter Satz der DSGVO). Verarbeitet werden dabei ausschließlich jene Kundendaten, über die der Verantwortliche aus einem Vertragsverhältnis verfügt und für die noch die Speicherfrist läuft. Eine Verlängerung der Speicherfrist erfolgt dadurch nicht.Vorrangiges Ziel der Datenverarbeitung ist die Kundengewinnung. Dabei stützt sich der Verantwortliche auf seine konventions- und verfassungsrechtlich geschützte Erwerbsfreiheit (Art. 6 StGG) und Kommunikationsfreiheit (ins. Art 10 EMRK, der auch Werbemaßnahmen schützt) und auf die Rechtezur Übermittlung von postalischer Werbung;zur Übermittlung von elektronischer Post nach Einwilligung und gemäß § 107 Abs 3 TKG.
Bei der Nutzung dieser Daten hält der Verantwortliche die kommunikationsrechtlichen Vorgaben, insbesondere § 107 TKG, ein.
6.3. – Analyse von Marketingkampagnen: Der Verantwortliche verwendet Analytics- und Attribution-Technologien, um die Wirksamkeit von Werbekampagnen verfolgen zu können. Für den Verantwortlichen ist von Interesse, welche Werbekampagne zu einer Nutzung seiner Services geführt hat. Dabei werden personenbezogene (IP-Adresse oder Mobile Identifiers) und Sachdaten (wie die technischen Einstellungen am Gerät des Nutzers) bei Werbeschaltungen ausgelesen und für den Nutzer ein Wert errechnet, mit dem der Nutzer markiert wird. Kommt es in der Folge zu einer Nutzung der Services, so kann der Verantwortliche dies auf eine bestimmte Werbeschaltung zurückführen. Dem Verantwortlichen ist es so möglich, zwischen erfolgreichen und weniger erfolgreichen Werbeschaltungen zu unterscheiden, seine Werbeschaltungen zu optimieren und Streuverluste zu vermeiden. Von Interesse sind dabei aggregierte Werte, nicht aber die Handlung des einzelnen Users.
7. Zweckänderung7.1. – Informationsverbreitung/Direktwerbung: Der Verantwortliche informiert, dass er die personenbezogenen Daten des Kunden auch zu Zwecken der Informationsverbreitung/Direktwerbung verarbeitet. Damit will der Verantwortliche über eigene Waren und Services informieren. Zu diesem Zweck werden diese Daten keinem Dritten unter dessen Verantwortung überlassen. Es besteht keine Unvereinbarkeit mit dem Zweck der ursprünglichen Datenerhebung.
7.2. – Erhebung von aggregierten und anonymisierten Daten: Der Verantwortliche informiert, dass er die personenbezogenen Daten anonymisiert – sohin ohne Personenbezug – und aggregiert auswertet.
7.3. – Analyse des Nutzungsverhaltens: Der Verantwortliche analysiert die Interaktionen des Nutzers mit den Services, um aus dem Nutzungsverhalten auf die Benutzerfreundlichkeit schließen und seine Services verbessern zu können.
7.4. – Matching zur Evaluierung der Wirksamkeit von Werbemaßnahmen: Der Verantwortliche verarbeitet vom Gerät des Nutzers bei der Interaktion mit den Services oder der Werbeeinschaltung des Verantwortlichen abrufbar gehaltene personenbezogene Daten (wie IP-Adressen und Mobile Identifiers), um den Nutzer zu markieren. Ziel ist es, die Wirksamkeit von Werbemaßnahmen aggregiert zu messen.
8. Bewertungen von persönlichen Aspekten des KundenEine Bewertung von persönlichen Aspekten des Kunden findet nicht statt.
9. Pflicht zur Bereitstellung von DatenDen Kunden trifft keine Pflicht zur Bereitstellung von Daten. Eine sinnvolle Nutzung der Services des Verantwortlichen setzt allerdings die wahrheitsgemäße Angabe der abgefragten Daten voraus.
10. Automatisierte EntscheidungsfindungDer Kunde unterliegt keiner automatisierten Entscheidung, die ihm gegenüber rechtliche Wirkung entfaltet.
11. Verarbeitete Datenarten11.1. – Von Kunden bekannt gegeben- Name
- E-Mail-Adresse
- Anschrift
- Telefonnummer
- Geburtsdatum
- Daten zur Krankenversicherung
- Referenz-Bankverbindung
- Honorarnote der Rechnung vom Arzt (Dokument)
- Rezepte (Dokument)
- Andere Dokumente, die dem Krankenversicherungsträger vorzulegen sind
- Angaben aus durchgeführten Befragungen
- Bestätigte Angaben zum Gesundheitszustand
- Mobile Identifiers
- IP-Addresse
11.2. – Vom Verantwortlichen zusätzlich erhoben- IMEI oder ID des Endgerätes (Einwilligung in Push-Nachrichten)
- Ausgelesene Inhalte aus den Dokumenten
- Persönliches Profil
12. Weitere Datenquellen (soweit nicht vom Kunden bekannt gegeben oder vom Verantwortlichen erhoben)
Quelle (nach Einwilligung des Nutzers):Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.
https://policies.google.com/privacyDatenarten: IMEI oder ID des Endgerätes für Pushnachrichten
Quelle (nach Einwilligung des Nutzers):Apple Inc. One Apple Park Way, Cupertino, California, USA,95014
https://www.apple.com/privacy/Datenarten: IMEI oder ID des Endgerätes für Pushnachrichten
13. Externe Empfänger von Daten13.1. – Unabhängige VerantwortlicheKrankenversicherungsträger des Kunden
Diverse Zulieferer von Gesundheitstechnologien und Dienstleistungen
Bei Nutzung der Zahlungsabwicklung (siehe dazu Punkt 4.3.4):Drittanbieter (Online-Plattformen und Gesundheitsdiensteanbieter)Zahlungsdienstleister: Stripe Payments Europe, Ltd., Ireland https://stripe.com/at/connect/legal
13.2. – Auftragsdatenverarbeiter- Hostprovider: Amazon Web Services EMEA SARL 38, avenue John F. Kennedy, L-1855, Luxembourg, Serverstandort Frankfurt
- Kundenbefragungen: SurveyMonkey Europe UC, 2nd Floor, Shelbbourne Building, 2 Shel-bourne Road, Dublin, Ireland,
https://www.surveymonkey.com/mp/legal/privacy-policy/
- Cookie-Consent-Tool: Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark,
https://www.cookiebot.com- Customer Support: Zendesk, Inc., 1019 Market Street, San Francisco, CA 94103, United States,
https://www.zendesk.com/company/customers-partners/privacy-policy/
- Mobile CRM: Braze, 77 Hatton Garden, Holborn, London EC1N 8JS, Vereinigtes Königreich,
https://www.braze.com/legal,
- Serverstandort: Frankfurt
- Ticketing-System: Atlassian Pty Ltd, c/o Atlassian, Inc. 350 Bush Street
San Francisco, CA 94104,
https://www.atlassian.com/legal/privacy-policy
- Analytics: Mixpanel, Inc., 405 Howard St., 2nd Floor, San Francisco, CA 94105
https://mixpanel.com/legal/privacy-policy/- Analytics: adjust GmbH, Saarbrücker Str. 37A, 10405 Berlin, Deutschland
https://www.hihealth.de/datenschutz/ und
https://www.adjust.com/forget-device/- Steuerberatung: ECOVIS Austria Wirtschaftsprüfungs- und Steuerberatungsgesellschaft m.b.H., Schmalzhofgasse 4, A-1060 Wien, Austria
- Texterkennung (OCR/Optical Character Recognition): Gini GmbH, Ridlerstraße 57, 80339 München, Deutschland
https://gini.net/de/datenschutz/- Applicant Tracking System: Teamtailor AB, Östgötagatan 16, 116 25 Stockholm, Schweden https://career.teamtailor.com/privacy-policy
Der Verantwortliche behält sich den Einsatz weiterer Auftragsdatenverarbeiter ausdrücklich vor. Diese werden sodann in der auf den Einsatzbeginn folgenden Aktualisierung der Datenschutzinformation ausgewiesen. Diese Datenverarbeitungen der Auftragsdatenverarbeiter finden unter der Verantwortung des Verantwortlichen statt.
14. Interne Empfänger- Systemadministrator
- Fachabteilung
- Geschäftsführung
15. DrittstaatstransferFolgende Daten werden im Zuge der Datenverarbeitung an Staaten außerhalb der EU übermittelt:
Land: USA
Anwendung: Braze (Serverstandort Frankfurt)
Datenarten: Name, Email, PhoneID, Land, Sprache
Rechtsgrundlage Übermittlung: Angemessenheitbeschluss vom 10.07.2023, “EU-US Data privacy framework”
Land: USA
Anwendung: Google (Serverstandort EU)
Datenarten: anonymisierte IP-Adresse, Websitetitel, browserspezifische Informationen, Informationen über die Websitenutzung, Rechnungsdaten
Rechtsgrundlage Übermittlung: Angemessenheitbeschluss vom 10.07.2023, “EU-US Data privacy framework”
Land: USA
Anwendung: Mixpanel (Serverstandort EU)
Datenarten: IP-Adresse, Websitetitel, browserspezifische Informationen, Informationen über die Websitenutzung, Deviceinformation, Eventtitel und Notwendige Parameter (nicht persönlich identifizierende Datenpunkte)
Rechtsgrundlage Übermittlung: Angemessenheitbeschluss vom 10.07.2023, “EU-US Data privacy framework”
Land: USA
Anwendung: Atlassian (Serverstandort EU)
Datenarten: Punktuell Email, NutzerID, Name für technische Support
Rechtsgrundlage Übermittlung: Angemessenheitbeschluss vom 10.07.2023, “EU-US Data privacy framework”
16. Auftritte in Social Media KanälenDer Verantwortliche informiert, dass er zu Zwecken der Werbung und der Kommunikation mit den Kunden in Social-Media-Kanälen eigenständige Onlineauftritte abrufbar hält. Bei diesen Onlineauftritten können die Daten des Kunden außerhalb der Europäischen Union verarbeitet werden, wodurch ein erhöhtes Risiko auf Verletzung des Datenschutzes besteht. Diese Onlineauftritte werden in der technischen Umgebung des jeweiligen Social-Media-Betreibers abrufbar gehalten. Die Social-Media-Betreiber nutzen den Besuch des Onlineauftritts durch den Kunden sodann für eigene Zwecke, insbesondere um (interessensbasierte) Werbung auszuspielen. Die Social-Media-Betreiber nutzen den Besuch, um „Cookies“ am Endgerät des Kunden abzulegen, bereits vorhandene Cookies/Identifier auszulesen, aus dem Nutzungsverhalten auf Interessen des Kunden zu schließen und damit das zum Kunden oder Identifier angelegte Nutzungsprofil anzureichern. Ziel ist dabei die Ausspielung von interessensbasierter Werbung an den Kunden, die auch auf später besuchten Websites dritter Anbieter erfolgen kann. Die Verarbeitung der personenbezogenen Daten des Kunden erfolgt aufgrund der überwiegenden berechtigten Interessen des Verantwortlichen an den Werbemaßnahmen und der Kundenkommunikation, die durch die Erwerbsfreiheit (Art 6 StGG) und Kommunikationsfreiheit (ins. Art 10 EMRK, der auch Werbemaßnahmen schützt) konventions- und verfassungsrechtlich geschützt ist. Sind die Kunden Nutzer der Social-Media-Kanäle, so kann die Datenverarbeitung auch durch die Einwilligung des Kunden abgedeckt sein. Der Verantwortliche informiert, dass sie auf die Daten des Kunden keinerlei Zugriff hat. Der Verantwortliche empfiehlt daher dem Kunden, sich im Falle der Geltendmachung seiner Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit direkt an den jeweiligen Social-Media-Kanal zu wenden. Die Nutzer von Social-Media-Kanälen können auch selbst im Bereich ihrer Privacy-Einstellungen Änderungen vornehmen. Der Verantwortliche unterstützt den Kunden dabei, sollte das erforderlich sein. Weitergehende Informationen findet der Kunde unter:
-
Facebook (Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland)
Datenschutzerklärung:
https://www.facebook.com/about/privacy/OptOut:
https://www.facebook.com/settings?tab=ads und
http://www.youronlinechoices.com
-
Twitter (Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA)
Datenschutzerklärung:
https://twitter.com/de/privacyOpt-Out:
https://twitter.com/personalization-
Google/YouTube (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA)
Datenschutzerklärung:
https://policies.google.com/privacyOpt-Out:
https://adssettings.google.com/authenticated-
Instagram (Instagram Inc., 1601 Willow Road, Menlo Park, CA, 94025, USA)
Datenschutzerklärung/Opt-Out:
http://instagram.com/about/legal/privacy/Twitter (Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA)
Datenschutzerklärung:
https://twitter.com/de/privacyOpt-Out:
https://twitter.com/personalization-
Pinterest (Pinterest Inc., 635 High Street, Palo Alto, CA, 94301, USA)
Datenschutzerklärung/Opt-Out:
https://about.pinterest.com/de/privacy-policyLinkedIn (LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland)
Datenschutzerklärung:
https://www.linkedin.com/legal/privacy-policy?trk=uno-reg-guest-home-privacy-policy
17. SpeicherdauerNicht registrierte Nutzer: Die personenbezogenen Daten (insb. IP-Adresse) von (nicht registrierten) Websitebesuchern werden zum Zweck der IT-Sicherheit 7 Tage gespeichert und danach gelöscht.
Rechtsgrundlage Vertragsbeziehung: Die personenbezogenen Daten werden vom Verantwortlichen grundsätzlich bis
40 Monate nach dem letzten Geschäftsfall (=Vertragserfüllung oder Beendigung) verarbeitet und danach gelöscht. Das Ende des Vertragsverhältnisses wird nach 5 Jahren der Inaktivität vereinbart.
Rechtsgrundlage Einwilligung: Der Verantwortliche verarbeitet die personenbezogenen Daten bis zum (jederzeit möglichen) Widerruf der Einwilligung, jedenfalls aber nach 5 Jahren der Inaktivität.
Rechtsgrundlage gesetzliche Verpflichtung (insb. Rechnungsdaten): Soweit eine
gesetzliche Verpflichtung zur Aufbewahrung von Daten, insbesondere gemäß § 132 Abs 1 BAO, besteht, erfolgt eine personenbezogene Datenverarbeitung von (abrechnungs-)relevanten Daten jedenfalls noch bis zum Ende der gesetzlichen Aufbewahrungspflicht (derzeit grundsätzlich
7 Jahre nach dem Ende des Geschäftsjahres des Anfalls).
18. Rechte des BetroffenenArt 15 DSGVO „Auskunft“: Der Kunde hat das Recht, Auskunft darüber zu verlangen, ob und in welchem Umfang personenbezogene Daten von ihm verarbeitet werden.Art 16 DSGVO „Berichtigung“: Der Kunde hat das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten oder deren Vervollständigung zu verlangen.Art 17 DSGVO „Löschung“: Der Kunde hat das Recht, zu verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden, sofern die in Art 17 Abs 1 DSGVO genannten Gründe erfüllt sind.Art 18 DSGVO „Einschränkung“: Der Kunde hat das Recht, zu verlangen, dass die Verarbeitung der personenbezogenen Daten eingeschränkt wird, sofern die in Art 18 Abs 1 DSGVO genannten Gründe erfüllt sind.Art 21 DSGVO „Widerspruch“: Der Kunde hat das Recht, gegen die Verarbeitung seiner personenbezogenen Daten auf der Grundlage des überwiegenden berechtigten Interesses Widerspruch einzulegen.Art 20 DSGVO „Datenübertragbarkeit“: Der Kunde hat das Recht, seine bekannt gegebenen personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
19. BeschwerderechtArt 77 DSGVO§ 24 DSG: Jeder Kunde hat das Recht auf Beschwerde bei der Aufsichtsbehörde, wenn er der Ansicht ist, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
20. AufsichtsbehördeÖsterreichische Datenschutzbehörde
Barichgasse 40-42
A-1030 Wien
Telefon: +43 1 52 152-0
E-Mail:
dsb@dsb.gv.at
Änderung der DatenschutzerklärungDiese Datenschutzerklärung kann im Laufe der Zeit Änderungen unterliegen. Wir empfehlen dir, die Datenschutzrichtlinie regelmäßig auf mögliche Änderungen zu überprüfen.