Datenschutzerklärung

Stand: 22.09.2024

Anwendungsbereich

Diese Datenschutzerklärung klärt Sie über die Verarbeitung personenbezogener Daten auf der Internetpräsenz www.caspar-health.com (im Folgenden „Website“) sowie auf der Caspar-Health App (im Folgenden “Caspar Software”) auf. Die App kann sowohl mittels der installierten Caspar-Health App genutzt werden als auch direkt über den Webbrowser. Auf der App wird das Therapieportal (im Folgenden “CASPAR”) betrieben.

Verantwortlicher

Die GOREHA GmbH, Neue Schönhauser Str. 20, 10178 Berlin (im Folgenden „wir“ oder „uns“) ist Verantwortlicher gem. Art. 4 Abs. 7 Datenschutz-Grundverordnung (DS-GVO) für sämtliche personenbezogenen Daten, die auf der Plattform erhoben werden, es sei denn, diese Datenschutzerklärung enthält abweichende Angaben.

Personenbezogene Daten

Personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten. Zu besonderen Kategorien personenbezogener Daten gehören z.B. Daten, die sich auf Ihre körperliche Gesundheit beziehen, sogenannte Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DS-GVO.

Verarbeitung beim Besuch der Website

Unsere Website verwendet keine Cookies. 

Beim Besuch unserer Website erheben wir personenbezogene Daten, die Ihr Browser an unseren Server übermittelt. Wir erheben folgende Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten.

Diese sind: 

  • Die IP-Adresse des Nutzers (nur für 24 Stunden)
  • Name der abgerufenen Website bzw. Datei 
  • Datum und Uhrzeit des Zugriffs
  • Übertragene Datenmenge
  • Meldung über erfolgreichen Abruf
  • Browser-Typ und Version
  • Betriebssystem des Nutzers
  • verwendetes Endgerät des Nutzers, inklusive MAC-Adresse
  • Referrer-URL (die zuvor besuchte Seite) (24 Stunden)
  • Betriebssystem und dessen Oberfläche
  • Sprache und Version der Browsersoftware

Diese Daten werden nicht mit anderen personenbezogenen Daten, die Sie aktiv im Rahmen der Website angeben, zusammengeführt.

Die Server-Logfiles mit den oben genannten Daten werden automatisch nach sieben Tagen gelöscht. Wir behalten uns vor, die Server-Logfiles länger zu speichern, wenn Tatsachen vorliegen, welche die Annahme eines unzulässigen Zugriffs (wie etwa der Versuch eines Hackings oder einer sogenannten DDOS-Attacke) nahelegen. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Das berechtigte Interesse besteht in der Bereitstellung der Website und deren ordnungsgemäßem Betrieb. Nutzerdaten werden nicht an Dritte verkauft.


Was ist eine IP-Adresse?

Jedem Gerät (z.B. Smartphone, Tablet, PC), das mit dem Internet verbunden ist, wird eine IP-Adresse zugewiesen. Welche IP-Adresse dies ist, hängt davon ab, über welchen Internetzugang Ihr Endgerät aktuell mit dem Internet verbunden ist. Es kann sich dabei um die IP-Adresse handeln, die Ihnen Ihr Internetprovider zugeteilt hat, etwa wenn Sie zu Hause über Ihr W-LAN mit dem Internet verbunden sind. Es kann sich aber auch um eine IP-Adresse handeln, die Ihnen Ihr Mobilfunkprovider zugeteilt hat, oder um die IP-Adresse eines Anbieters eines öffentlichen oder privaten WLANs oder anderen Internetzugangs. In ihrer derzeit geläufigsten Form (IPv4) besteht die IP-Adresse aus vier durch Punkte getrennte Ziffernblöcke. Zumeist werden Sie als privater Nutzer keine gleichbleibende IP-Adresse benutzen, da Ihnen diese von Ihrem Provider nur vorübergehend zugewiesen wird (so genannte „dynamische IP-Adresse“). Bei einer dauerhaft zugeordneten IP-Adresse (so genannte „statische IP-Adresse“) ist eine eindeutige Zuordnung der Nutzerdaten über dieses Merkmal im Prinzip möglich. Außer zum Zwecke der Verfolgung unzulässiger Zugriffe auf unser Internetangebot verwenden wir diese Daten grundsätzlich nicht personenbezogen, sondern werten lediglich auf anonymisierter Basis aus, welche unserer Websites favorisiert werden, wie viele Zugriffe täglich erfolgen und ähnliches.


Kontaktformular der Website 

Sie haben die Möglichkeit, sich mit uns über unser Kontaktformular in Verbindung zu setzen. Zur Nutzung unseres Kontaktformulars benötigen wir von Ihnen zunächst die als Pflichtfelder markierten Daten.

Diese Daten verwenden wir auf Grundlage von Art. 6 Abs. 1 S. 1 lit. a) und b) bzw. Art. 9 Abs. 2 DS-GVO, um Ihre Anfrage zu beantworten.

Darüber hinaus können Sie selbst entscheiden, ob Sie uns weitere Angaben mitteilen möchten. Diese Angaben erfolgen freiwillig und sind für die Kontaktaufnahme nicht zwingend erforderlich. Ihre freiwilligen Angaben verarbeiten wir auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Ihre Daten werden nur zur Beantwortung Ihrer Anfrage verarbeitet. Wir löschen Ihre Daten, sofern diese nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.


Newsletter

Unsere Kunden sowie Personen, die Ihr Interesse an CASPAR bekundet haben, informieren wir durch unseren E-Mail-Newsletter über Weiterentwicklungen und neue Produkte sowie Angebote. Hierbei handelt es sich um eine freiwillige Anmeldung zum Newsletter. Rechtsgrundlage für den Newsletterversand an unsere Kunden ist Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Unser berechtigtes Interesse ergibt sich aus unserem Interesse an Direktwerbung. Andere interessierte Personen erhalten den Newsletter aufgrund ihrer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO.

Der Verwendung Ihrer E-Mail-Adresse zum Versand des Newsletters können Sie jederzeit über einen Link im jeweiligen Newsletter widersprechen bzw. auf diesem Wege Ihre Einwilligung widerrufen. Sie können auch eine E-Mail an datenschutz@caspar-health.com schreiben.


Nutzung des Therapieportals Caspar

Medizinische Einrichtungen und Patienten können zur Nutzung des Therapieportals CASPAR Accounts einrichten. Im Rahmen der Erstellung eines Benutzerkontos für unsere Caspar Software werden Sie aufgefordert, eine Reihe an personenbezogenen Daten einzugeben (insbesondere Anrede, Vorname, Name, Straße, Postleitzahl, Stadt, Aufenthaltsland, Telefon, E-Mail-Adresse und möglicherweise weitere Daten, die wir im Rahmen der Anmeldung erfragen). Verpflichtend ist jedoch nur die Angabe des Aufenthaltslands. Sie können die Daten stets unter der Rubrik „Patienten-Account“ einsehen und ändern. Sofern Sie eine E-Mail Adresse angegeben haben, erhalten Sie in regelmäßigen Abständen eine Übersicht über Ihre aktuellen Aktivitäten im Rahmen der Therapie. Hiervon können Sie sich jederzeit mittels Abmelde-Link abmelden. Wir erheben, speichern und verarbeiten Ihre, in diesem Abschnitt genannten, Daten für die gesamte Abwicklung Ihrer Nutzung von CASPAR, einschließlich eventuell späterer Gewährleistungen. Die Einzelheiten hierzu sind in den jeweiligen Verträgen und AGB geregelt, die mit den betreffenden Personen geschlossen werden. Bei der Nutzung von CASPAR werden personenbezogene Gesundheitsdaten über Patienten ausschließlich nach deren vorheriger Einwilligung verarbeitet. Diese Daten werden von der medizinischen Einrichtung oder von den Patienten selbst in CASPAR übertragen.

Ein Austausch der Daten erfolgt nur zwischen den Patienten und der betreuenden medizinischen Einrichtung sowie den dort beschäftigten Ärzten. Sie werden nicht an Dritte weitergegeben.

Die Daten werden gespeichert, solange sie zur Nutzung von CASPAR erforderlich sind. Anschließend werden die Daten gelöscht, sofern keine anderslautenden gesetzlichen Rechte oder Pflichten bestehen. Von einer andauernden Nutzung von CASPAR wird bis zum Ende der jeweiligen Vertragslaufzeit ausgegangen.

Rechtsgrundlage für die Verarbeitung ist eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO i.V.m. Art. 9 Abs. 2 lit. a) DS-GVO.

Die Einwilligungserklärungen können im jeweiligen Account unter der Rubrik “Rechtliches” jederzeit abgerufen werden. Personenbezogene Daten der Therapeuten und nicht-gesundheitsbezogene Daten der Patienten werden zum Zweck der Vertragsdurchführung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b) DS-GVO verarbeitet.

Die personenbezogenen Daten werden ausschließlich auf Servern in Deutschland gespeichert und verarbeitet. Alle Ärzte und Therapeuten unterstehen der beruflichen Schweigepflicht. Wir verpflichten unsere Mitarbeiter auf Vertraulichkeit im Sinne der DS-GVO. Datenübermittlungen werden durch Verschlüsselungen nach dem anerkannten Stand der Technik gegen den Zugriff durch Dritte geschützt.

Webinare, Umfragen

Während der Nutzung des Therapieportals CASPAR besteht die Möglichkeit an Webinaren teilzunehmen. Diese werden synchron zum Therapieangebot der Nachsorge angeboten und stellen eine Live-Erweiterung im Bereich Wissen und Wohlbefinden dar und sind somit ebenfalls Bestandteil der Therapie. Hierüber werden Sie via E-Mail informiert. Die Teilnahme ist freiwillig und keine Voraussetzung für die Nutzung von CASPAR oder für einen erfolgreichen Therapie- abschluss. Die Anmeldung erfordert einmalig die Eingabe einer E-Mail-Adresse, die Teilnahme am Webinar erfordert keine Klarnamen. Jede E-Mail enthält einen Abmelde-Link. 

Durchgeführt werden diese mit Zoom, Zoom Video Communications Inc., 55 Almaden Boulevard, 6th Floor, San Jose, California 95113, USA. Rechenzentrumsregion ist Europa, so dass die Daten deutscher Nutzer ausschließlich über Europa geleitet werden. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 S. 1 lit. a) und b) bzw. Art. 9 Abs. 2 lit. a) ) DS-GVO. Die Übermittlung der Daten an Zoom findet auf Grundlage des Angemessenheitsbeschlusses  i.S.d. Art. 45 DSGVO statt. KI-Funktionen sind abgeschaltet. Weitere Informationen unter: https://explore.zoom.us/en/privacy/ 


Es besteht die Möglichkeit, während der Nutzung von CASPAR an Umfragen zur Verbesserung der Tele-Therapie mit CASPAR sowie des Therapieportals selbst teilzunehmen. Die Teilnahme ist freiwillig und keine Voraussetzung für die Nutzung von CASPAR oder für einen erfolgreichen Therapieabschluss. Hierfür nutzen wir SmartSurvey, SmartSurvey Ltd, Basepoint Business Center, Oakfield Close, Tewkesbury, Gloucestershire, GL20 8SD, United Kingdom. Ein Großteil dieser Umfragen erfolgt anonym, so dass keine personenbezogenen Daten verarbeitet werden. Sofern eine Befragung mittels pseudonymisierten Daten erfolgt, ist Rechtsgrundlage hierfür Art. 6 Abs. 1 S. 1 lit. a) bzw. Art. 9 Abs. 2 lit. a) DS-GVO. Die Übermittlung erfolgt auf Basis von Art. 45 Abs. 3 DS-GVO. Die EU-Kommission hat im Rahmen eines Angemessenheitsbeschluss vom 28.6.2021 United Kingdom zu einem sicheren Drittland erklärt. Weitere Information unter SmartSurvey Privacy Policiy.

Datenübertragbarkeit Art. 20 DS-GVO

Wir ermöglichen Patienten die freiwillige Anbindung und den Import Ihrer Aktivitäts- und Gesundheitsdaten aus unterschiedlichen Quellen (wie Mobiltelefone, Smartwatches, Fitnesstracker und anderen digitalen Gesundheitsservices wie z.B. Apple Health Kit oder Google Fit). Indem Sie Ihr Konto eines anderen Anbieters mit CASPAR verbinden, beauftragen Sie uns explizit damit, Ihre Daten von diesem Anbieter zu Ihrem CASPAR

Account zu transferieren (rechtliche Grundlage für diesen Anspruch ist Art. 20 Abs. 1 DS-GVO). Die Erfassung dieser Informationen ist freiwillig und für die Nutzung von CASPAR nicht erforderlich. CASPAR überträgt keine Daten an diese Anbieter. Wir integrieren hierfür im Rahmen eines Auftragsverarbeitungvertrags das Thryve Health SDK, das von der mHealth Pioneers GmbH, Bismarckstraße 10-12, 10625 Berlin bereitgestellt wird. mHealth Pioneers GmbH hat keinen Zugriff auf andere, bei CASPAR hinterlegte, Daten.

Datenverarbeitung im Ausland

Jede Übermittlung von Daten an ein Drittland erfolgt unter Beachtung des anwendbaren Datenschutzrechts. Die Übermittlung erfolgt ausschließlich in Drittländer, für die ein Angemessenheitsbeschluss der Europäischen Kommission besteht. Sofern noch vereinzelt Daten in die Vereinigten Staaten von Amerika übermittelt werden sollten, basiert das derzeit auf dem wirksamen Data Privacy Framework und der Listung des Anbieters unter diesem Abkommen (https://www.dataprivacyframework.gov/list). Bei allen Anbietern mit Sitz des Mutterkonzerns in den Vereinigten Staaten wurde als Serverstandort bzw. Datenregion Deutschland eingestellt und vertraglich zugesichert, dass die Daten diesen Raum nicht ohne Zustimmung verlassen. 

Die Goreha GmbH ist ISO 27001 zertifiziert. 

Einsatz von Tracking- und Analysetools

Im Bereich der Kommunikation nutzen wir Zava Sprechstunde Online GmbH, Im Teelbruch 118, 45219 Essen. Dies geschieht auf Grundlage von Art. 6 Abs. 1 lit. b), Art 9 Abs. 2 lit. a) DS-GVO. Serverstandort ist Deutschland. Weitere Informationen zum Umgang mit Nutzerdaten bei Zava Sprechstunde Online finden Sie außerdem unter: https://sprechstunde.online/datenschutzerklaerung-app/


Zu Kommunikationszwecken nutzen wir außerdem TalkJS der Firma Klets B.V., Bogert 1, 5612 LX Eindhoven, Niederlande. Dies geschieht auf Grundlage von Art. 6 Abs. 1 lit.a) und b), Art 9 Abs. 2 lit. a) DS-GVO. Serverstandort in der EU. Weitere Informationen zum Umgang mit Nutzerdaten bei TalkJS finden Sie außerdem unter https://talkjs.com/privacy/

Beim Hosting unserer Software setzen wir auf die Dienste der Amazon Web Services Inc. (AWS), 410 Terry Avenue North Seattle, WA 98109-52-10, USA. Die von uns genutzten AWS-Server stehen in einem Rechenzentrum in Frankfurt: Globale Infrastrukturregionen und AZ.

Dies geschieht auf Grundlage von Art. 6 Abs. 1 lit. a) und b), Art. 9 Abs. 2 lit. a) DS-GVO ausschließlich in pseudonymisierter Form.

Die genutzten Rechenzentren sind ISO/IEC 27001 zertifiziert und erfüllen somit unsere hohen Anforderungen an die physische Sicherheit der Daten unserer Kunden. Weitere Informationen zum Thema Sicherheit und Datenschutz bei AWS finden Sie hier:  AWS Data Protection und hier: DSGVO – Amazon Web Services (AWS).

Die aktuelle Datenschutzerklärung von Amazon Web Services finden Sie unter: Datenschutzhinweis

Die Übermittlung der Daten an Amazon Web Services kann sich auf den Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO berufen.  

Unsere App nutzt den Fehleranalysedienst Rollbar Inc., 51 Federal Street, San Francisco, CA 94107, USA.  Dieser Dienst meldet auftretende, technische Fehler in der App, um uns eine umgehende Behebung dieser Fehler zu ermöglichen. Die Übertragung der Daten erfolgt, nachdem ein Fehler festgestellt wurde. Zweck der Verarbeitung ist die technische Überwachung unserer App und das Dokumentieren von Fehlermeldungen, um die technische Stabilität der App zu gewährleisten und zu optimieren, um unseren Besuchern eine möglichst fehlerfreie Nutzung unserer App zu ermöglichen. Die Datenübertragung erfolgt lediglich zur Fehlerbehebung. Für den Fall, dass sensible personenbezogene Daten betroffen sind, stützt sich die Übermittlung auf Art. 9 Abs. 2 lit. a) DS-GVO. Die Übermittlung erfolgt in Form von pseudonymisierten Metadaten. Weitere datenschutzrechtliche Informationen von Rollbar finden Sie unter: Privacy Policy sowie unter: Data Processing Addendum.

Die Übermittlung der Daten an Rollbar kann sich auf den Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO berufen. Rollbar ist zudem unter dem Data Privacy Framework gelistet. 

Unsere Caspar Software nutzt Snowflake, Snowflake Computing Netherlands B.V., Gustav Mahlerlaan 300-314, Foz Building, 1082 ME, Netherlands (Muttergesellschaft Snowflake Inc. Delaware, USA), zur Aufbereitung und Bereitstellung von Daten für unsere Servicedienste. Die Daten werden in pseudonymisierter Form bereitgestellt. Dies geschieht auf Grundlage von Art. 6 Abs. 1 lit. a) und Art. 9 Abs. 2 lit. a) DS-GVO. Weitere Informationen unter Privacy Notice | Snowflake. Snowflake wird bei Amazon Web Services (“AWS”) gehostet; AWS unterliegt entsprechend der Datenschutz Zertifizierung gemäß dem Angemessenheit Beschluss vom 10.07.2023, siehe Punkt 13. 

Unsere Caspar Software setzt zudem SimplifyU, SimplifyU GmbH, Ehrwalder Straße 4, 82467 Garmisch-Partenkirchen, Deutschland, zu Zwecken des Qualitätsmanagements  und der Dokumentenbereitstellung ein. Dies geschieht auf Grundlage von Art. 9 Abs. 2 lit. a) DS-GVO. Weitere Informationen: Datenschutzerklärung SimplifyU

Wir nutzen Rapidmail, Rapidmail GmbH, Wentzingerstr. 21, 79106 Freiburg im Breisgau, Deutschland, zu Zwecken der effektiven Behandlung und regelmäßigen, individuellen Statusübersicht für die Patienten. Grundlage hierfür ist Art. 9 Abs. 2 lit. a) bzw. Art. 6 Abs. 1 lit. a) DS-GVO. Weitere Informationen: https://www.rapidmail.de/datenschutz.


Wir verwenden Tableau und Salesforce, Salesforce.com Germany GmbH, Erika-Mann-Straße 31-37, 80636 München, Deutschland (Muttergesellschaft Salesforce Inc., USA) für den Bereich Vertrieb, Customer Relations und Marketing. Eine Verarbeitung von personenbezogenen Daten beruht auf Art. 6 Abs. 1 lit. b) DS-GVO sowie Art. 6 Abs. 1 lit. f) DS-GVO. Außerdem erfolgt die Verarbeitung von Art. 9 Abs. 2 lit. a) DS-GVO Daten pseudonymisiert.

Die Übermittlung der Daten an Tableau kann sich auf den Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO berufen.  

Wir verwenden Google, Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland

zum Informationsaustausch per E-Mail sowie zu Abrechnungszwecken. Die Data Region ist Europa, d.h. Text, Inhalt, Antworten, Entwürfe, Betreff, Sender, Absender etc. werden ausschließlich in Europa gespeichert. Die Verarbeitung personenbezogener Daten beruht auf Art.  6 Abs. 1 lit. b), ggf. Art. 9 Abs. 2 lit. a) DS-GVO. Die KI-Funktion wird nicht genutzt. FurtWeitere Informationen unter: https://policies.google.com/privacy?hl=en-US und für Datenregionen https://support.google.com/a/answer/7630496?hl=en .


Um mit den Patienten telefonisch in Kontakt zu treten, nutzen wir Aircall, Aircall.io, Inc., 381 Park Ave S, Suite 16, New York,USA. 

Gewählter Serverstandort für die Speicherung ist Frankfurt, Deutschland. Die Verarbeitung personenbezogener Daten beruht auf Art.  6 Abs. 1 lit. b), ggf. Art. 9 Abs. 2 lit. a) DS-GVO. Die Übermittlung der Daten an Aircall findet auf Grundlage des Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO statt. Inhalte der Gespräche werden nicht gespeichert. Die KI-Funktion wird nicht genutzt. Weitere Informationen unter https://aircall.io/privacy-faqs/ 

Zur Durchführung von Patientenbefragungen nutzen wir Smart Survey, Smart Survey Ltd., Basepoint Business Centre, Oakfield Close, Tewkesbury, Gloucestershire, GL20 8SD, United Kingdom. Ein Großteil dieser Befragungen erfolgt anonym, so dass keine personenbezogenen Daten verarbeitet werden. Sofern eine Befragung mittels pseudonymisierter Daten erfolgt, ist die Rechtsgrundlage hierfür Art.  6 Abs. 1 lit. a) bzw. Art. 9 Abs. 2 lit. a) DS-GVO. Die Teilnahme an den Umfragen ist freiwillig, es besteht keine Verpflichtung. Weitere Informationen: Privacy Policy - SmartSurvey

Die Übermittlung der Daten an SmartSurvey kann sich auf den Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO berufen. 

Um Patienten neurokognitive Trainingsinhalte zur Verfügung zu stellen, nutzen wir Hasomed, HASOMED GmbH, Paul-Ecke-Straße 1, 39114 Magdeburg. Dies geschieht auf Grundlage von Art. 6 Abs. 1 lit. b), Art 9 Abs. 2 lit. a) DS-GVO. Serverstandort ist Deutschland. Weitere Informationen zum Umgang mit Nutzerdaten bei: https://hasomed.de/datenschutz/

Push-Nachrichten

Wir nutzen den Dienst TalkJS ebenfalls, um Ihnen Push-Nachrichten oder sogenannte In-App-Messages auf Ihr Endgerät zu übermitteln. Wenn Sie unsere App über ein Push-fähiges Endgerät nutzen, können Sie in den Empfang von „Push-Benachrichtigen“ einwilligen. Die Verarbeitung möglicher personenbezogener Daten erfolgt gemäß Art. 6 Abs. 1 lit. a) DS-GVO. Die Einwilligung in die Benachrichtigung durch Push-Nachrichten können Sie jederzeit in den Einstellungen in der App ändern. Weitere Informationen https://talkjs.com/privacy/

Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO),
  • Recht auf Berichtigung (Art. 16 DSGVO),
  • Recht auf Löschung (Art. 17 DSGVO),
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Recht auf Datenübertrag-barkeit (Art. 20 DSGVO),
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21. DSGVO).

Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO).  Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Ein Widerruf einer Einwilligungserklärung beeinflusst die Zulässigkeit der zukünftigen Verarbeitung Ihrer personenbezogenen Daten. Eine Nutzung der entsprechenden Dienste ist nach Widerruf nicht mehr möglich.

Wenn Sie Ihre vorgenannten Rechte wahrnehmen wollen, können Sie sich jederzeit hierzu an Datenschutz@goreha.com wenden.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Dauer der Aufbewahrung und Löschung von Daten (Löschkonzept)

Erteilt der Patient seine Einwilligung, werden seine (sensiblen) personenbezogenen Daten solange verarbeitet, bis er die Einwilligung mit Wirkung für die Zukunft widerruft und die gesetzlichen Aufbewahrungsfristen abgelaufen sind oder die Therapie beendet wurde und die gesetzlichen Aufbewahrungsfristen abgelaufen sind. Es gelten die gesetzlichen Aufbewahrungs- und Löschfristen. Relevant sind in der Regel die Folgenden:

  • § 238 Abs. 2 Handelsgesetzbuch (HGB) bis zu 10 Jahre im Hinblick auf Abrechnungsdokumente der Goreha GmbH ggü. der medizinischen Einrichtung; isb. Modulübersichten und KTL-Reports der einzelnen Nutzer*innen in archivierter und pseudonymisierter Form.
  • § 147 Abs. 1 Nr. 2, Abs. 2 Abgabenordnung (AO) bis zu 6 Jahre im Hinblick auf Abrechnungsdokumente der Goreha GmbH ggü. der medizinischen Einrichtung; isb. Modulübersichten und KTL-Reports der einzelnen Nutzer*innen in archivierter und pseudonymisierter Form.
  • § 14 Umsatzsteuergesetz (UStG) bis zu 6 Jahre im Hinblick auf Abrechnungsdokumente der Goreha GmbH ggü. der medizinischen Einrichtung; isb. Modulübersichten und KTL-Reports der einzelnen Nutzer*innen in archivierter und pseudonymisierter Form.
  • Art. 17 Abs. 3 lit. e) DS-GVO i.V.m. Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen der Goreha GmbH gegenüber der medizinischen Einrichtung und Patient*innen bis zu 5 Jahren, ebenfalls in archivierter und pseudonymisierter Form.
  • § 10 Abs. 3 Musterberufsordnung für Ärzte (MBO-Ä) 10 Jahre zum Zweck der eigenen Behandlungsdokumentation der Ärzt*innen und Therapeut*innen der Goreha GmbH in archivierter Form.

Der Fristbeginn richtet sich nach den Vorschriften der jeweils geltenden Aufbewahrungsfristen. Sofern Daten im Rahmen der regulären Löschung nach Ablauf der Aufbewahrungsfristen gelöscht werden, geschieht dies nach einem festgelegten Prozess. Bei der Goreha GmbH existieren entsprechende Anweisungen, aus denen sich der zuständige Mitarbeiter für die regelmäßige Überprüfung und die technische Umsetzung der Löschung, die Datenkategorien, die betroffenen Auftragsverarbeiter, die betroffenen Datenbanken und Tabellen, die Schutzklasse sowie der  Speicherort ergeben (sogenanntes Löschkonzept). Im Rahmen der regulären Löschung erfolgt eine Anweisung der jeweiligen Auftragsverarbeiter zur Löschung der markierten Daten. Diese sichern eine Löschung innerhalb von 90-180 Tagen zu. Alternativ zur Löschung seiner Daten kann der Patient in der Caspar Health App seine Einwilligung zur Anonymisierung seiner Daten zum Zweck der Löschung erteilen (Primärzweck). Rechtsgrundlage hierfür ist Art. 9 Abs. 2 lit. a) DS-GVO bzw. Art. 6 Abs. 1 S. 1 a) oder f) DS-GVO. Die Anonymisierung richtet sich derzeit nach dem Praxisleitfaden und den Grundsatzregeln zum Anonymisieren personenbezogener Daten der Stiftung Datenschutz. Der Patient wird darauf hingewiesen, dass die dann anonymisierten Daten möglicherweise von der Goreha GmbH eingesetzt werden zur Verbesserung der Tele-Reha-Nachsorge mit Caspar Health (Sekundärzweck). Sofern der Patient seine Einwilligung zur Verarbeitung seiner Daten mit Wirkung für die Zukunft widerruft, mit der Konsequenz, dass dann ggf. eine weitere Nutzung der Caspar Health App für die Tele-Reha-Nachsorge nicht mehr möglich ist, wird er innerhalb einer angemessenen Frist hierauf hingewiesen. Seine Daten werden dann entsprechend dem oben beschriebenen Löschkonzept überprüft und, sofern keine anderen Aufbewahrungsfristen entgegenstehen (insbesondere Abrechnung gegenüber der medizinischen Einrichtung), gelöscht. Im Falle einer Deinstallation muss zunächst geklärt werden, ob gleichzeitig hiermit auch die Tele-Reha-Nachsorge mit Caspar Health beendet werden soll. Ohne eine Beantragung der Löschung des Benutzerkontos führt die Deinstallation der App per se nicht zur Löschung der Daten. Der Patient wird informiert und ausführlich darauf hingewiesen, dass er in die Verarbeitung seiner personenbezogenen Daten einwilligen muss, um Caspar Health nutzen zu können. Er wird darüber informiert, dass er seine Einwilligung jederzeit widerrufen kann, ggf. ohne Weiternutzungsmöglichkeit von Caspar Health, und dass er die Verarbeitung seiner Daten einschränken kann. Der Patient kann in seinem Nutzerkonto sein Konto selbstständig löschen. Dies führt zu einer Sperrung des Kontos, jedoch werden die zu dem Konto gehörenden Daten so lange aufbewahrt, wie es die gesetzlichen Aufbewahrungsfristen vorgeben. Ebenfalls wird der Patient im Fall einer Löschung des Benutzerkontos auf die Möglichkeit eines Datentransfers hingewiesen. Personenbezogene Daten, die bei der medizinischen Einrichtung selbst gespeichert sind, unterliegen ausschließlich deren Löschkonzept. Ansprüche auf Widerruf, Löschung oder Einschränkung der Datenverarbeitung sind, sofern die Caspar Health App keine Funktion anbietet, geltend zu machen an: datenschutz@caspar-health.com

Verschlüsselte Datenübertragung

Ihre personenbezogenen Daten werden in verschlüsselter Form übertragen, um einem Missbrauch durch Dritte entgegenzuwirken, wobei wir hierfür eine Verschlüsselung nach dem anerkannten Stand der Technik (Datenübertragung über Transport Layer Security 1.2.) verwenden. Es handelt sich dabei um eine gängige Sicherheitstechnologie, die Ihre persönlichen Daten, inkl. der Login-Daten und Ihrer sensiblen personenbezogenen Daten während des Transports verschlüsselt. Bitte beachten Sie, dass bei einem Datentransfer über das Internet keine hundertprozentige Sicherheit garantiert werden kann.

Onlinepräsenz

Wir unterhalten Onlinepräsenzen innerhalb sozialer Netzwerke und auf unserer Website, um mit den dort aktiven Kunden, Interessenten und Nutzern kommunizieren und sie dort über unsere Leistungen informieren zu können. Beim Aufruf der jeweiligen Netzwerke und Website gelten die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien der jeweiligen Betreiber. Soweit nicht anders im Rahmen unserer Datenschutzerklärung angegeben, verarbeiten wir die Daten der Nutzer, sofern diese mit uns innerhalb der sozialen Netzwerke und Website kommunizieren, uns z.B. Nachrichten zusenden. Von uns genutzte soziale Netzwerke / Plattformen: Instagram, LinkedIn, Facebook.

Verantwortlicher für die Datenverarbeitung bei Instagram und Facebook ist die Meta Platforms Ireland Limited. Verantwortlicher für die Datenverarbeitung bei LinkedIn ist, sofern Nutzer ihren Sitz in der EU oder dem EWR haben, LinkedIn Ireland, ansonsten LinkedIn Corporation (USA).

Fragen an den Datenschutzbeauftragten

Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an unseren Datenschutzbeauftragten.

Kontaktdaten:
datenschutz@caspar-health.com


Ihre Ansprechpartnerin:
Elisabeth Hegele, Office Management, steht Ihnen gern zur Verfügung.

+ 49 (0) 30 12 08 2919

office@caspar-health.com

Caspar Health ist ein Unternehmen der GOREHA GmbH

Partner-Kliniken

Übersicht
Service
Studien
Kontakt

Patient*innen

Übersicht
LogIn
App Download
Kontakt

Unternehmen

Über uns
Blog
Presse
Stellenangebote

DSGVO

Impressum
Datenschutz
AGBs für Patient*innen
Hinweisgeberschutzgesetz

Dieses Projekt wird kofinanziert durch den Europäischen Fonds für regionale Entwicklung [EFRE].

Europa Flagge

EUROPÄISCHE UNION Europäischer Fonds für regionale Entwicklung

Unser innovativer Ansatz wird vom Europäischen Fonds für regionale Entwicklung (EFRE) unterstützt. Ziel des Projektes ist es eine digitale Rehabilitationsplattform zu entwickeln, mit der die sog. "Patient Compliance" (Therapietreue) gemessen und optimiert werden kann.

Geprüfte Informationssicherheit und höchste Datenschutzstandards für Partner-Kliniken und Patient*innen

Siegel für das zertifizierte Informationssicherheits-Managementsystem

Caspar Health arbeitet mit einem Informationssicherheits-Managementsystem (ISMS), dessen Konformität mit den Anforderungen der weltweit führenden Norm für Informationssicherheit ISO 27001 durch eine unabhängige Zertifizierung geprüft und bestätigt worden ist.