Im Folgenden findest du unsere aktuelle Datenschutzinformation, die ab 01. Oktober 2020 gültig ist. Einen Überblick über alle Änderungen findest du hier.

Präambel

Der Schutz von personenbezogenen Daten und deiner Privatsphäre wird von uns sehr ernst genommen. Wir möchten an dieser Stelle darstellen, wie wir deine Daten schützen und was es für dich bedeutet, wenn du unsere Dienste nutzen. Um einen größtmöglichen Schutz deiner Privatsphäre zu gewährleisten, ist es für uns selbstverständlich, dass wir alle gesetzlichen Bestimmungen zum Thema Datenschutz einhalten. Im Folgenden findest du dazu die einzelnen Punkte im Überblick.

Darüber hinaus möchten wir dich hinweisen, sollten in dieser Datenschutzinformation auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sein, beziehen sie sich auf Frauen und Männer in gleicher Weise. Bei der Anwendung der Bezeichnung auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden. Unter Kunden werden sowohl Konsumenten (Verbraucher), als auch Unternehmer verstanden.

1. Verarbeitungstätigkeit

Bereitstellung von Informationen über die Waren und Dienstleistungen des Verantwortlichen für Kunden und Interessenten Vertragserfüllung gegenüber Kunden

2. Verantwortlicher

hi.health GmbH
Mariahilfer Straße 117/2/23, 1060 Wien
Österreich

3. Kontaktdaten des Datenschutzbeauftragten

Wolfgang Renzl, Rechtsanwalt
pfletschinger.renzl Rechtsanwalts-Partnerschaft
Weihburggasse 26/4, 1010 Wien
privacy@hi.health

4. Zwecke der Datenverarbeitung

4.1. – der Vertragserfüllung oder –vorbereitung:

4.1.1. – Abrufbarhaltung von Informationen über die Services des Verantwortlichen für Kunden und Interessenten

4.1.2. – Bereitstellung von Kommunikationskanälen zur Verbreitung der Inhalte und Servicierung des Kundenverhältnisses

4.1.3. – Erfüllung der vertraglichen Verpflichtungen aus den Serviceverträgen

4.2. – des berechtigten Interesses:

4.2.1. – Verbreitung/Ausspielung von (auch werbenden) Informationen für Services und Veranstaltungen des Verantwortlichen im Wege der Direktwerbung („Marketingzwecke“), soweit gesetzlich zulässig

4.2.2. – Erhaltung und Erhöhung der Kundenzufriedenheit und der Kundenbindung durch Analyse des Nutzungsverhaltens mit dem Ziel der Verbesserung des Serviceangebotes, dies unter Einsatz von Google-Analytics und der Adjust-Technologie

4.2.3. – Bereitstellung von werbenden Informationen an Kunden auf der gesetzlichen Grundlage des § 107 Abs 3 TKG mit jederzeitiger Opt-out-Möglichkeit

4.2.4. – Übermittlung von elektronischen Identifikationsdaten des Nutzers an Drittanbieter, um Inhalte durch Beiträge in sozialen Netzwerken (z.B. YouTube) und anderen Applikationen (z.B. Google Maps) einzubinden.

4.2.5. – Verarbeitung der vom Gerät des Nutzers bei der Interaktion mit den Services oder der Werbeeinschaltung des Verantwortlichen abrufbar gehaltenen personenbezogenen Daten (wie IP-Adressen und Mobile Identifiers) zur Analyse der Wirksamkeit von Werbemaßnahmen, dies insbesondere unter Einsatz der Adjust-Technologie.

4.3. – der Einwilligung

4.3.1. – Bereitstellung eines Scout-Services zum Monitoring des Einsatzes von Gesundheitsprodukten und -dienstleistungen und zur Information über passende Produkte

4.3.2. – Auswertung der vom Verantwortlichen erhobenen Daten in anonymisierter und aggregierter Form (ohne Personenbezug)

4.3.3. – Bereitstellung von werbenden Informationen an Kunden aufgrund einer Einwilligung mit jederzeitiger Opt-out-Möglichkeit

5. Rechtsgrundlage der Datenverarbeitung

5.1. – Vertragserfüllung

5.1.1. – Online: Die Inanspruchnahme der Online-Services des Verantwortlichen basiert auf einem Vertrag iSd Art 6 Abs 1 lit b DS-GVO (Kühling/Buchner DS-GVO2, Art 6 Rz 59), durch eine Registrierung entsteht ein Registrierungsverhältnis.

5.1.2. – Abschluss von Verträgen: Im Falle des Erwerbs von Dienstleistungen beruht die Datenverarbeitung des Verantwortlichen auf dem jeweils abgeschlossenen Vertrag und dient diese der Vertragserfüllung.

5.2. – Zusatzservices

Einwilligung: Für einzelne Services (z.B. Newsletter) holt der Verantwortlich ausdrücklich Einwilligungen vom Kunden ein. Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

5.3. – Überwiegende berechtigte Interessen (siehe Punkt 6.): Der Kunde kann gegen die Verwendung seiner personenbezogenen Daten auf dieser Rechtsgrundlage jederzeit und ohne Angabe von Gründen Widerspruch einlegen.

6. Beschreibung der berechtigten Interessen zu Zwecken

6.1. – der IT-Sicherheit: Der Verantwortliche speichert die IP-Adressen von bloßen Besuchern der Website für die Dauer von 7 Tagen, um auf gezielte Angriffe in Form der Überlastung von Servern („Denial of service“-Angriffe) und andere Schädigungen der Systeme abwehren zu können. An dieser Datenverarbeitung zum Zwecke der Aufrechterhaltung der Funktionsfähigkeit seiner online bereitgestellten Dienste hat der Verantwortliche ein überwiegendes berechtigtes Interesse (Erwägungsgrund 49 der DSGVO).

6.2. – der Direktwerbung (Direktwerbung ist die unmittelbare Ansprache der betroffenen Person zu Werbezwecken, etwa zur Zusendung von Briefen oder Prospekten, durch Telefonanrufe oder elektronische Nachrichten): Der Verantwortliche verarbeitet die Kundendaten [nicht jedoch solche von Kindern oder besondere Kategorien von personenbezogenen Daten im Sinne des Art 9 DSGVO („sensible Daten“), Datenschutzgrundverordnung, abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679] auch, um diese zu Zwecken der Direktwerbung für (weitere) Angebote des Verantwortliches zu nutzen. Der Verantwortliche hat an der Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung ein berechtigtes Interesse (Erwägungsgrund 47, letzter Satz der DSGVO). Verarbeitet werden dabei ausschließlich jene Kundendaten, über die der Verantwortliche aus einem Vertragsverhältnis verfügt und für die noch die Speicherfrist läuft. Eine Verlängerung der Speicherfrist erfolgt dadurch nicht.

Vorrangiges Ziel der Datenverarbeitung ist die Kundengewinnung. Dabei stützt sich der Verantwortliche auf seine konventions- und verfassungsrechtlich geschützte Erwerbsfreiheit (Art. 6 StGG) und Kommunikationsfreiheit (ins. Art 10 EMRK, der auch Werbemaßnahmen schützt) und auf die Rechte

• zur Übermittlung von postalischer Werbung;
• zur Übermittlung von elektronischer Post nach Einwilligung und gemäß § 107 Abs 3 TKG.

Bei der Nutzung dieser Daten hält der Verantwortliche die kommunikationsrechtlichen Vorgaben, insbesondere § 107 TKG, ein.

6.3. – Analyse von Marketingkampagnen: Der Verantwortliche verwendet Analytics- und Attribution-Technologien, um die Wirksamkeit von Werbekampagnen verfolgen zu können. Für den Verantwortlichen ist von Interesse, welche Werbekampagne zu einer Nutzung seiner Services geführt hat. Dabei werden personenbezogene (IP-Adresse oder Mobile Identifiers) und Sach-Daten (wie die technischen Einstellungen am Gerät des Nutzers) bei Werbeschaltungen ausgelesen und für den Nutzer ein Wert errechnet, mit dem der Nutzer markiert wird. Kommt es in der Folge zu einer Nutzung der Services, so kann der Verantwortliche dies auf eine bestimmte Werbeschaltung zurückführen. Dem Verantwortlichen ist es so möglich, zwischen erfolgreichen und weniger erfolgreichen Werbeschaltungen zu unterscheiden, seine Werbeschaltungen zu optimieren und Streuverluste zu vermeiden. Von Interesse sind dabei aggregierte Werte, nicht aber die Handlung des einzelnen Users.

7. Zweckänderung

7.1. – Informationsverbreitung/Direktwerbung: Der Verantwortliche informiert, dass er die personenbezogenen Daten des Kunden auch zu Zwecken der Informationsverbreitung/Direktwerbung verarbeitet. Damit will der Verantwortliche über eigene Waren und Services informieren. Zu diesem Zweck werden diese Daten keinem Dritten unter dessen Verantwortung überlassen. Es besteht keine Unvereinbarkeit mit dem Zweck der ursprünglichen Datenerhebung.

7.2. – Erhebung von aggregierten und anonymisierten Daten: Der Verantwortliche informiert, dass er die personenbezogenen Daten anonymisiert – sohin ohne Personenbezug – und aggregiert auswertet.

7.3. – Analyse des Nutzungsverhaltens: Der Verantwortliche analysiert die Interaktionen des Nutzers mit den Services, um aus dem Nutzungsverhalten auf die Benutzerfreundlichkeit schließen und seine Services verbessern zu können.

7.4. – Matching zur Evaluierung der Wirksamkeit von Werbemaßnahmen: Der Verantwortliche verarbeitet vom Gerät des Nutzers bei der Interaktion mit den Services oder der Werbeeinschaltung des Verantwortlichen abrufbar gehaltene personenbezogene Daten (wie IP-Adressen und Mobile Identifiers), um den Nutzer zu markieren. Ziel ist es, die Wirksamkeit von Werbemaßnahmen aggregiert zu messen.

8. Bewertungen von persönlichen Aspekten des Kunden

Eine Bewertung von persönlichen Aspekten des Kunden findet nicht statt.

9. Pflicht zur Bereitstellung von Daten

Den Kunden trifft keine Pflicht zur Bereitstellung von Daten. Eine sinnvolle Nutzung der Services des Verantwortlichen setzt allerdings die wahrheitsgemäße Angabe der abgefragten Daten voraus.

10. Automatisierte Entscheidungsfindung

Der Kunde unterliegt keiner automatisierten Entscheidung, die ihm gegenüber rechtliche Wirkung entfaltet.

11. Verarbeitete Datenarten

11.1. – Von Kunden bekannt gegeben

• Name
• E-Mail-Adresse
• Anschrift
• Telefonnummer
• Geburtsdatum
• Daten zur Krankenversicherung
• Referenz-Bankverbindung
• Honorarnote der Rechnung vom Arzt (Dokument)
• Rezepte (Dokument)
• Andere Dokumente, die dem Krankenversicherungsträger vorzulegen sind
• Angaben aus durchgeführten Befragungen
• Bestätigte Angaben zum Gesundheitszustand
• Mobile Identifiers
• IP-Addresse

11.2. – Vom Verantwortlichen zusätzlich erhoben

• IMEI oder ID des Endgerätes (Einwilligung in Push-Nachrichten)
• Ausgelesene Inhalte aus den Dokumenten
• Persönliches Profil

12. Weitere Datenquellen (soweit nicht vom Kunden bekannt gegeben oder vom Verantwortlichen erhoben)

Quelle:
Google LLC, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA
https://policies.google.com/privacy
Datenarten: IMEI oder ID des Endgerätes für Pushnachrichten

Quelle:
Apple Inc. One Apple Park Way, Cupertino, California, USA,95014
https://www.apple.com/privacy/
Datenarten: IMEI oder ID des Endgerätes für Pushnachrichten

Quelle:
Response von Werbeschaltungen
Datenarten: IP-Adresse, Mobile Identifiers

13. Externe Empfänger von Daten

13.1. – Kategorien von unabhängigen Verantwortlichen

• Krankenversicherungsträger des Kunden
• Diverse Zulieferer von Gesundheitstechnologien und Dienstleistungen

13.2. – Auftragsdatenverarbeiter

• Hostprovider: Amazon Web Services EMEA SARL 38, avenue John F. Kennedy, L-1855, Luxembourg, Serverstandort Frankfurt
• Kundenbefragungen: SurveyMonkey Europe UC, 2nd Floor, Shelbbourne Building, 2 Shel-bourne Road, Dublin, Ireland, https://www.surveymonkey.com/mp/legal/privacy-policy/
• Cookie-Consent-Tool: Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark, https://www.cookiebot.com
• Google Analytics, Maps (mit “anonymize IP”) und GSuite: Google LLC, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA, https://policies.google.com/privacy?hl=en-US
• Customer Support: Zendesk, Inc., 1019 Market Street, San Francisco, CA 94103, United States, https://www.zendesk.com/company/customers-partners/privacy-policy/
• Mobile CRM: Braze, 77 Hatton Garden, Holborn, London EC1N 8JS, Vereinigtes Königreich, https://www.braze.com/legal, Serverstandort: Frankfurt
• Ticketing-System: Atlassian Pty Ltd, c/o Atlassian, Inc. 350 Bush Street
  San Francisco, CA 94104, https://www.atlassian.com/legal/privacy-policy
• Analytics: Mixpanel, Inc., 405 Howard St., 2nd Floor, San Francisco, CA 94105 https://mixpanel.com/legal/privacy-policy/
• adjust GmbH, Saarbrücker Str. 37A, 10405 Berlin, Deutschland https://www.hihealth.de/datenschutz/ und https://www.adjust.com/forget-device/
• Steuerberatung: ECOVIS Austria Wirtschaftsprüfungs- und Steuerberatungsgesellschaft m.b.H., Schmalzhofgasse 4, A-1060 Wien, Austria
• Zahlungsdienstleister: Cashdash, UK Limited, 1 St Katharine’s Way, St Katharine’s & Wapping, London, England, E1W 1UN
• Texterkennung (OCR/Optical Character Recognition): Gini GmbH, Ridlerstraße 57, 80339 München, Deutschland https://gini.net/de/datenschutz/

Der Verantwortliche behält sich den Einsatz weiterer Auftragsdatenverarbeiter ausdrücklich vor. Diese werden sodann in der auf den Einsatzbeginn folgenden Aktualisierung der Datenschutzinformation ausgewiesen. Diese Datenverarbeitungen der Auftragsdatenverarbeiter finden unter der Verantwortung des Verantwortlichen statt.

14. Interne Empfänger

• Systemadministrator
• Fachabteilung
• Geschäftsführung

15. Drittstaatstransfer

Folgende Daten werden im Zuge der Datenverarbeitung an Staaten außerhalb der EU übermittelt:

Land: USA
Anwendung: Google(EU-US- Privacy-Shield)
Datenarten: anonymisierte IP-Adresse, Websitetitel, browserspezifische Informationen, Informationen über die Websitenutzung

Land: USA
Anwendung: Mixpanel(EU-US-Privacy-Shield)
Datenarten: IP-Adresse, Websitetitel, browserspezifische Informationen, Informationen über die Websitenutzung, Deviceinformation, Eventtitel und Notwendige Parameter (nicht persönlich identifizierende Datenpunkte)

Land: USA
Anwendung: Atlassian(EU-US-Privacy-Shield)
Datenarten: Punktuell Email, NutzerID, Name für technische Support

16. Auftritte in Social Media Kanälen

Der Verantwortliche informiert, dass er zu Zwecken der Werbung und der Kommunikation mit den Kunden in Social-Media-Kanälen eigenständige Onlineauftritte abrufbar hält. Bei diesen Onlineauftritten können die Daten des Kunden außerhalb der Europäischen Union verarbeitet werden, wodurch ein erhöhtes Risiko auf Verletzung des Datenschutzes besteht. Die Betreiber der Social-Media-Kanäle haben sich, soweit sie in den USA ansässig sind, größtenteils dem EU-US-Privacy-Shield unterstellt.Diese Onlineauftritte werden in der technischen Umgebung des jeweiligen Social-Media-Betreibers abrufbar gehalten. Die Social-Media-Betreiber nutzen den Besuch des Onlineauftritts durch den Kunden sodann für eigene Zwecke, insbesondere um (interessensbasierte) Werbung auszuspielen. Die Social-Media-Betreiber nutzen den Besuch, um „Cookies“ am Endgerät des Kunden abzulegen, bereits vorhandene Cookies/Identifier auszulesen, aus dem Nutzungsverhalten auf Interessen des Kunden zu schließen und damit das zum Kunden oder Identifier angelegte Nutzungsprofil anzureichern. Ziel ist dabei die Ausspielung von interessensbasierter Werbung an den Kunden, die auch auf später besuchten Websites dritter Anbieter erfolgen kann.Die Verarbeitung der personenbezogenen Daten des Kunden erfolgt aufgrund der überwiegenden berechtigten Interessen des Verantwortlichen an den Werbemaßnahmen und der Kundenkommunikation, die durch die Erwerbsfreiheit (Art 6 StGG) und Kommunikationsfreiheit (ins. Art 10 EMRK, der auch Werbemaßnahmen schützt) konventions- und verfassungsrechtlich geschützt ist. Sind die Kunden Nutzer der Social-Media-Kanäle, so kann die Datenverarbeitung auch durch die Einwilligung des Kunden abgedeckt sein.Der Verantwortliche informiert, dass sie auf die Daten des Kunden keinerlei Zugriff hat. Der Verantwortliche empfiehlt daher dem Kunden, sich im Falle der Geltendmachung seiner Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit direkt an den jeweiligen Social-Media-Kanal zu wenden. Die Nutzer von Social-Media-Kanälen können auch selbst im Bereich ihrer Privacy-Einstellungen Änderungen vornehmen. Der Verantwortliche unterstützt den Kunden dabei, sollte das erforderlich sein.Weitergehende Informationen findet der Kunde unter:

• Facebook (Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland)
  Datenschutzerklärung: https://www.facebook.com/about/privacy/
  OptOut: https://www.facebook.com/settings?tab=ads und http://www.youronlinechoices.com
• Twitter (Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA)
  Datenschutzerklärung: https://twitter.com/de/privacy
  Opt-Out: https://twitter.com/personalization
• Google/YouTube (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA)
  Datenschutzerklärung: https://policies.google.com/privacy
  Opt-Out: https://adssettings.google.com/authenticated
• Instagram (Instagram Inc., 1601 Willow Road, Menlo Park, CA, 94025, USA)
  Datenschutzerklärung/Opt-Out: http://instagram.com/about/legal/privacy/
• Twitter (Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA)
  Datenschutzerklärung: https://twitter.com/de/privacy
  Opt-Out: https://twitter.com/personalization
• Pinterest (Pinterest Inc., 635 High Street, Palo Alto, CA, 94301, USA)
  Datenschutzerklärung/Opt-Out: https://about.pinterest.com/de/privacy-policy
• LinkedIn (LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland)
  Datenschutzerklärung: https://www.linkedin.com/legal/privacy-policy?trk=uno-reg-guest-home-privacy-policy

17. Speicherdauer

• Nicht registrierte Nutzer: Die personenbezogenen Daten (insb. IP-Adresse) von (nicht registrierten) Websitebesuchern werden zum Zweck der IT-Sicherheit 7 Tage gespeichert und danach gelöscht.
• Rechtsgrundlage Vertragsbeziehung: Der personenbezogenen Daten werden vom Verantwortlichen auf Grund der grundsätzlich bei Vertragsbeendigung, frühestens aber 40 Monate nach dem letzten Geschäftsfall verarbeitet und danach gelöscht. Das Ende des Vertragsverhältnisses wird nach 5 Jahren der Inaktivität vereinbart.
• Rechtsgrundlage Einwilligung: Der Verantwortliche verarbeitet die personenbezogenen Daten bis zum (jederzeit möglichen) Widerruf der Einwilligung, jedenfalls aber nach 5 Jahren der Inaktivität.
• Rechtsgrundlage gesetzliche Verpflichtung (insb. Rechnungsdaten): Soweit eine gesetzliche Verpflichtung zur Aufbewahrung von Daten, insbesondere gemäß § 132 Abs 1 BAO, besteht, erfolgt eine personenbezogene Datenverarbeitung von (abrechnungs)relevanten Daten jedenfalls noch bis zum Ende der gesetzlichen Aufbewahrungspflicht (derzeit grundsätzlich 7 Jahre nach dem Ende des Geschäftsjahres des Anfalls).

18. Rechte des Betroffenen

Art 15 DSGVO „Auskunft“: Der Kunde hat das Recht, Auskunft darüber zu verlangen, ob und in welchem Umfang personenbezogene Daten von ihm verarbeitet werden.

Art 16 DSGVO „Berichtigung“: Der Kunde hat das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten oder deren Vervollständigung zu verlangen.

Art 17 DSGVO „Löschung“: Der Kunde hat das Recht, zu verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden, sofern die in Art 17 Abs 1 DSGVO genannten Gründe erfüllt sind.

Art 18 DSGVO „Einschränkung“: Der Kunde hat das Recht, zu verlangen, dass die Verarbeitung der personenbezogenen Daten eingeschränkt wird, sofern die in Art 18 Abs 1 DSGVO genannten Gründe erfüllt sind.

Art 21 DSGVO „Widerspruch“: Der Kunde hat das Recht, gegen die Verarbeitung seiner personenbezogenen Daten auf der Grundlage des überwiegenden berechtigten Interesses Widerspruch einzulegen.

Art 20 DSGVO „Datenübertragbarkeit“: Der Kunde hat das Recht, seine bekannt gegebenen personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

19. Beschwerderecht

Art 77 DSGVO§ 24 DSG: Jeder Kunde hat das Recht auf Beschwerde bei der Aufsichtsbehörde, wenn er der Ansicht ist, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

20. Aufsichtsbehörde

Österreichische Datenschutzbehörde
Barichgasse 40-42
A-1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at

Änderung der Datenschutzerklärung

Diese Datenschutzerklärung kann im Laufe der Zeit Änderungen unterliegen. Wir empfehlen dir, die Datenschutzrichtlinie regelmäßig auf mögliche Änderungen zu überprüfen. Sollten wir allerdings wesentliche Änderungen vornehmen, werden wir dir eine entsprechende Mitteilung zukommen lassen. Dabei kann es sich auch um eine E-Mail-Benachrichtigung handeln. Diese Datenschutzerklärung wurde zuletzt am 01. Oktober 2020 aktualisiert.