Datenschutzerklärung der Ada Health GmbH

Zuletzt geändert am: 4. Dezember 2019

BITTE LESEN SIE DIESE DATENSCHUTZERKLÄRUNG SORGFÄLTIG DURCH, BEVOR SIE SERVICES DER ADA HEALTH GmbH NUTZEN.

Um die Services zu nutzen, müssen Sie mindestens 16 Jahre alt sein.

Der Schutz Ihrer Privatsphäre und Ihrer personenbezogenen Daten (wie in Artikel 4(1) der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“) definiert) ist der Ada Health GmbH („uns“, „unser“ oder „wir“) sehr wichtig. Es ist für uns äußerst wichtig, dass sich unsere Kunden („Nutzer“) bei der Nutzung unserer Services sicher fühlen.

Diese Datenschutzerklärung bildet (zusammen mit unseren Nutzungsbedingungen unter ada.com/de/terms-and-conditions, unserer Cookie-Policy unter ada.com/de/cookie-policy sowie anderen Unterlagen, auf die darin verwiesen wird) die Grundlage, auf der personenbezogene Daten, die wir von Ihnen erheben oder die Sie uns zur Verfügung stellen, verarbeitet werden. Bitte lesen Sie diese Datenschutzerklärung sorgfältig durch, um zu verstehen, welche Kategorien personenbezogener Daten wir von Ihnen erheben, unter welchen Umständen wir diese an Dritte weitergeben und welche Rechte Sie in Bezug auf die personenbezogenen Daten haben, die Sie uns zur Verfügung stellen.

Bei der Nutzung unserer App Ada (unsere „App“) oder unserer Website ada.com (die „Website“) (zusammen mit der App als die „Services“ bezeichnet) werden Sie aufgefordert zu bestätigen, dass Sie von den in dieser Datenschutzerklärung beschriebenen Informationen Kenntnis genommen haben.

Unsere Website enthält Links zu Websites von Drittanbietern. Wenn Sie Links zu Websites von Drittanbietern folgen, beachten Sie bitte, dass diese Drittanbieter ihre eigenen Datenschutzbestimmungen haben und wir keine Verantwortung oder Haftung für die Datenschutzbestimmungen dieser Drittanbieter oder für die Verarbeitung Ihrer personenbezogenen Daten durch diese übernehmen. Bitte prüfen Sie deren Datenschutzbestimmungen, bevor Sie personenbezogene Daten an Websites oder Apps von Drittanbietern übermitteln.

1. Wer wir sind

Diese Datenschutzerklärung gilt für die Datenverarbeitung durch die Ada Health GmbH (HRB 189710), Karl-Liebknecht-Straße 1, 10178 Berlin, Deutschland.

Fragen, Anmerkungen und Anfragen zu dieser Datenschutzerklärung sind willkommen und sollten an dpo@ada.com gerichtet werden. Unser Datenschutzbeauftragter ist Herr Jens Pahl.

2. Allgemeiner Überblick über unsere Datenverarbeitung im Zusammenhang mit den Services

Wir erheben und verarbeiten von Ihnen folgende Daten:

  • Informationen, die Sie uns zur Verfügung stellen. Sie werden gebeten, uns Informationen zur Verfügung zu stellen, wenn Sie:
    — auf unserer Website oder in unserer App Formulare ausfüllen oder mit uns per Telefon, E-Mail oder auf andere Weise kommunizieren;
    — sich für die Nutzung unserer Services anmelden, unseren Newsletter, Werbe-E-Mails oder sonstige Marketingmaterialien abonnieren;
    — die Services nutzen;
    — ein Problem in Bezug auf unsere Services melden oder
    — Fragebögen ausfüllen, um deren Beantwortung wir Sie bitten und die wir zu Forschungszwecken nutzen (wobei die Beantwortung dieser Fragebögen freiwillig ist).

Zu den Informationen, um deren Zurverfügungstellung wir Sie zu diesen Zwecken bitten, gehören Ihr Name, Geschlecht, Geburtsdatum, Ihre E-Mail-Adresse, Telefonnummer, Symptome Ihrer Krankheit, mögliche Ursachen für Ihre Krankheitssymptome, Krankenversicherung, Anamnese, Allergien, die Sie möglicherweise haben, und weitere, zur Bestätigung Ihrer Identität erforderliche Informationen.

  • Informationen, die wir über Sie erheben. Bei jedem Besuch unserer Website oder jeder Nutzung unserer App erheben wir die folgenden Informationen:
    Nutzungsdaten: technische Daten Ihres Endgeräts einschl. gerätespezifischer Informationen wie zum Beispiel das von Ihnen genutzte Hardware-Modell, die Betriebssystemversion, eindeutige Gerätekennungen und Informationen zu Mobilfunknetzen; Einzelheiten über Ihre Besuche auf unserer Website und Ihre Nutzung unserer App, einschließlich der vollständigen Uniform Resource Locators-Klick-Abfolge (URL-Klick-Abfolge) zu, durch und von unserer Website und App aus (einschließlich Datum und Uhrzeit);  Einzelheiten zu Erkrankungen und Symptomen, nach denen gesucht wurde.
    Analysedaten: Ihre IP-Adresse, Ihr Betriebssystem und Browser; Informationen, die uns zeigen, von welchem App-Store Sie unsere App heruntergeladen haben; Dauer Ihrer Besuche bestimmter Seiten und Informationen zur Seiteninteraktion (wie zum Beispiel Scrollen, Fingerbewegungen, Klicks und Maus-Bewegungen).

Wenn Sie unsere Services im Auftrag eines Dritten nutzen, müssen Sie eine eindeutige Einwilligung der Personen, deren Daten Sie uns zur Verfügung stellen, eingeholt haben, bevor Sie Daten an uns weitergeben. Um etwaigen Zweifeln vorzubeugen, weisen wir darauf hin, dass in dieser Datenschutzerklärung enthaltene Verweise auf „Ihre Daten“ die uns von Ihnen über andere Personen zur Verfügung gestellten Daten einschließen.

3. Konkrete Verarbeitungstätigkeiten und Art und Zweck der Datennutzung

3.1 Wenn Sie unsere Website nutzen

  • Kategorien personenbezogener Daten: IP-Adresse des anfordernden Geräts, Datum und Uhrzeit des Zugangs, Name und URL der angeforderten Datei, die Website, über die der Zugang erfolgt (Referrer-URL), verwendeter Browser und – soweit zutreffend – das Betriebssystem Ihres Geräts und die Identität Ihres Zugangsanbieters.
  • Zweck der Verarbeitung: Wir verwenden die oben genannten Daten, um Ihnen Zugang zu unserer Website zu gewähren, um sicherzustellen, dass die Website eine Verbindung reibungslos herstellen kann und unsere Website benutzerfreundlich ist, um die Systemsicherheit und -stabilität zu untersuchen sowie für weitere administrative Zwecke.
  • Rechtsgrundlage: Berechtigtes Interesse (Artikel 6 (1) (f) DSGVO). Unser berechtigtes Interesse beruht auf den vorstehend genannten Datenerhebungszwecken. Wir werden die erhobenen Daten in keinem Fall verwenden, um Ihre Identität festzustellen. Sie sind nicht zur Bereitstellung der oben genannten personenbezogenen Daten verpflichtet. Der Zugang zu unserer Website ist allerdings ohne Zurverfügungstellung dieser personenbezogenen Daten nicht möglich.
  • Speicherdauer: Ihre Daten werden nach 14 Tagen gelöscht, sofern nicht ein sicherheitsrelevantes Ereignis eintritt (zum Beispiel ein sogenannter Distributed-Denial-of-Service-Angriff). Bei Eintritt eines sicherheitsrelevanten Ereignisses werden Log-Dateien der Server bis zur vollständigen Beseitigung und Klärung des sicherheitsrelevanten Ereignisses gespeichert.

3.2 Wenn Sie in unserer App ein Nutzerkonto anlegen

  • Kategorien personenbezogener Daten: E-Mail-Adresse und Kennwort, Nutzer-ID, Profilname, Geschlecht, Geburtsdatum, Krankenversicherung (optional), allgemeine, Ihre Gesundheit betreffende Informationen (optional): Wie z.B. das Rauchen, erhöhter Blutdruck, Diabetes und der Schwangerschaftsstatus.
  • Zweck der Verarbeitung: Wir verwenden die oben genannten Daten, umIhnen ein Nutzerkonto und Zugang zu unseren Services anbieten zu können. Die allgemeinen Gesundheitsdaten verwenden wir für die Grundanamnese. Der Zugang zu unseren Services ist ohne Zurverfügungstellung der (nicht-optionalen) Daten nicht möglich.
  • Rechtsgrundlage: Vertragserfüllung (Artikel 6 (1) (b) DSGVO) / Einwilligung (Artikel 9 (2) (a) DSGVO).
  • Speicherdauer: Ihre Daten werden gelöscht oder unumkehrbar anonymisiert (sodass sie nicht mehr einer bestimmten natürlichen Person zugeordnet werden können), wenn Sie die Löschung Ihres Nutzerkontos verlangen oder Ihr Nutzerkonto in der App löschen. Wenn Ihr Nutzerkonto mehr als 24 Monate inaktiv ist, werden wir Sie kontaktieren, um zu prüfen, ob Sie unsere Services weiterhin nutzen möchten. Wenn Sie daraufhin Ihr Nutzerkonto weitere 12 Monate ungenutzt lassen, werden wir Ihr Nutzerkonto löschen und Ihre Daten anonymisieren (sodass sie nicht mehr einer bestimmten natürlichen Person zugeordnet werden können).

3.3 Facebook-Login

  • Kategorien personenbezogener Daten: Name, Geburtsdatum, Facebook-Nutzername, Facebook-Nutzerkennung, E-Mail-Adresse (falls in dem Facebook-Konto hinterlegt), Telefonnummer (falls in dem Facebook-Konto hinterlegt).
  • Zweck der Verarbeitung: Wenn Sie sich für die Nutzung und Anmeldung über Facebook entscheiden und gegenüber Facebook Ihre Zustimmung erteilt haben, erhalten wir die oben genannten Informationen von Facebook, um sie in die App zu übernehmen und Ihre Identität zu verifizieren. Bitte beachten Sie ferner, dass bei Verwendung Ihres Facebook-Logins auch Facebook Ihre Daten (Login) verarbeiten wird. Wir sind nicht für diese Datenverarbeitung verantwortlich. 
  • Rechtsgrundlage: Berechtigtes Interesse (Artikel 6 (1) (f) DSGVO). Unser berechtigtes Interesse besteht darin, auch Nutzern, die nicht über ein E-Mail-Konto verfügen oder sich anstatt ihres E-Mail-Kontos mit Ihrem Facebook-Account anmelden möchten, die Nutzung unserer Services zu ermöglichen.
  • Speicherdauer: Die Speicherdauer Ihrer Daten zu diesem Zweck entspricht dem Zeitraum der Verarbeitung nach Ziffer 3.2. Daten, die durch Facebook verarbeitet werden und für die Ada nicht verantwortlich ist, verbleiben auf den Servern von Facebook, wenn Sie sich entscheiden, den Facebook-Login zu nutzen. Sollten Sie sich entscheiden, Ihren Facebook-Account zu löschen und möchten die Ada App aber weiterhin verwenden, werden wir Sie bitten, sich mit Ihrer E-Mail-Adresse oder einer anderen Registrierungsmöglichkeit zu registrieren.

3.4 Erstellung eines Falls

  • Kategorien personenbezogener Daten: Name des Profils für das die Bewertung erstellt wird, damit verbundene persönliche Gesundheitsdaten, die für eine Bewertung erforderlich sind: Zum Beispiel Krankheitssymptome, mögliche Ursachen von Krankheitssymptomen, Allergien, Schwangerschaftsstatus und relevante und/oder damit zusammenhängende medizinische Aspekte. 
  • Zweck der Verarbeitung: Bereitstellung unseres Services für Sie, d.h. Auswertung Ihrer persönlichen Gesundheitsdaten und Nennung möglicher Ursachen für die genannten Symptome (Bewertung) durch unser medizinisches Bewertungssystem und Anzeige des Bewertungsergebnisses. 
  • Rechtsgrundlage: Einwilligung (Artikel 9 (2) (a) DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen. Ohne Ihre Zustimmung zur Verarbeitung der Daten im Rahmen eines Falls ist es jedoch nicht möglich, unsere Dienstleistungen zu erbringen.
  • Speicherdauer: Ihre Daten werden gelöscht oder unumkehrbar anonymisiert (sodass sie nicht einer bestimmten natürlichen Person zugeordnet werden können), wenn Sie die Löschung Ihres Nutzerkontos oder eines bestimmten Falls verlangen oder innerhalb der App selbst löschen.

3.5 Analyse von Fallinformationen zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards unseres medizinischen Bewertungssystems

  • Kategorien personenbezogener Daten: Fall-ID, Angaben zu einem Fall (siehe oben, Ziffer 3.4 mit Ausnahme des Namens des Profils, für das die Bewertung erstellt wird) und das Bewertungsergebnis.
  • Zweck der Verarbeitung: Um die hohen Qualitäts- und Sicherheitsstandards unserer App zu gewährleisten, ist es wichtig, die Qualität der Bewertungsergebnisse zu beurteilen. Daher verwenden wir ausschließlich pseudonymisierte und ggf. aggregierte Daten, auf deren Grundlage unser medizinisches Fachpersonal die Bewertungsergebnisse zu einzelnen Fällen bewerten kann, um zu erfahren, was verbessert werden muss, sodass unsere App in Ihrem Interesse den hohen Qualitäts- und Sicherheitsanforderungen an ein Medizinprodukt genügt. Für die Zeitreihenanalyse ist es in einigen Fällen notwendig, mehrere Fälle eines Benutzers zu sehen. Hierbei benötigen wir nur die Verbindung zwischen den Fällen, nicht aber die Nutzerkennung; es wird daher auch hier allein auf Basis pseudonymisierter Daten gearbeitet.
  • Rechtsgrundlage: Die Verarbeitung ist erforderlich, um hohe Qualitäts- und Sicherheitsstandards unserer App, die nach der EU-Medizinprodukte-Richtlinie als Medizinprodukt qualifiziert ist (§ 22 (1) Nr. 1 c) BDSG und Art. 9(2)(g),(i) DSGVO), auf der Grundlage der Anforderungen zur Überwachung nach Inverkehrbringen gemäß § 6 (1), (2) Medizinproduktegesetz i.V.m. § 7 (4) der deutschen Medizinprodukteverordnung i.V.m. den Anhängen  X, VII (4) der EU-Medizinprodukte-Richtlinie (93/42/EG) (bzw. spätestens ab dem 26.05.2020 unmittelbar geltend, aber bereits heute zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards unserer App im Sinne von Art. 83 ff. und Anhang III der EU-Medizinprodukte-Verordnung (2017/745/EU) durch uns zu beachten), zu erfüllen. 
  • Speicherdauer: Die Speicherdauer Ihrer Daten zu diesem Zweck entspricht dem Zeitraum der Verarbeitung nach Ziffer 3.2. Wenn Sie die Löschung eines bestimmten Falls verlangen oder innerhalb der App selbst löschen, werden Ihre Daten zu diesem Fall ebenfalls nicht mehr für diesen Zweck verwendet.

3.6 Beurteilung der Eignung für klinische Studien und Einladung zur Teilnahme

  • Kategorien personenbezogener Daten: E-Mail-Adresse, Profilname, Geburtsdatum, Krankheitssymptome, mögliche Ursachen für Krankheitssymptome, Anamnese, Allergien und andere Daten die Sie uns bereits zur Verfügung gestellt haben.
  • Zweck der Verarbeitung: Beurteilung, ob sich Ihr Fall für klinische Studien eignet, und Einladung zur Teilnahme an von einem unserer Partner für klinische Studien durchgeführten klinischen Studien, die möglicherweise für Sie interessant sind. Um etwaigen Zweifeln vorzubeugen, weisen wir darauf hin, dass wir ohne Ihre Einwilligung keinerlei personenbezogene Informationen an unsere Partner für klinische Studien weitergeben werden.
  • Rechtsgrundlage: Einwilligung (Artikel 9 (2) (a) DSGVO).
  • Speicherdauer: Die maximale Speicherdauer Ihrer Daten zu diesem Zweck entspricht dem Zeitraum der Verarbeitung nach Ziffer 3.2. Wenn Sie die Löschung eines bestimmten Falls verlangen oder innerhalb der App selbst löschen, werden Ihre Daten zu diesem Fall ebenfalls nicht mehr für diesen Zweck verwendet.

3.7 Nutzung von Gesundheitsdaten für anonymisierte statistische Zwecke

  • Kategorien personenbezogener Daten: Geburtsdatum, Geschlecht, Krankheitssymptome, Standort (Land), mögliche Ursachen für Krankheitssymptome, Anamnese, Allergien und andere Daten, die Sie uns bereits zur Verfügung gestellt haben.
  • Zweck der Verarbeitung: Wir verarbeiten und anonymisieren Ihre Gesundheitsdaten, um Gesamtstatistiken zur geographischen Verbreitung bestimmter Krankheitssymptome und Erkrankungen zu erstellen, und legen diese aggregierten Statistiken unseren Partnern in unumkehrbar anonymisierter Form vor.
  • Rechtsgrundlage: Die Verarbeitung ist für statistische Zwecke erforderlich und wir stellen unseren Partnern lediglich anonymisierte und aggregierte Statistiken bereit, aus welchen die Identifizierung einer bestimmten natürlichen Person unmöglich ist (Art. 9 (2)(j) DSGVO; § 27 (1) Bundesdatenschutzgesetz (BDSG)). Unser berechtigtes Interesse an einer Verarbeitung zu diesen Zwecken liegt darin, im Einklang mit unseren unternehmerischen Zielen Fortschritte in der medizinischen Forschung zu unterstützen, was auch im öffentlichen Interesse an der Verbesserung der Gesundheitsversorgung liegt. Sie können gegen eine solche Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch an dpo@ada.com einzulegen (weiter Informationen hierzu finden Sie unter Ziffer 8.).
  • Speicherdauer: Die maximale Speicherdauer Ihrer Daten, auf deren Basis die Auswertungen stattfinden, entspricht dem Zeitraum der Verarbeitung nach Ziffer 3.2. Wenn Sie die Löschung eines bestimmten Falls verlangen oder innerhalb der App selbst löschen, werden Ihre Daten zu diesem Fall ebenfalls nicht mehr für diesen Zweck verwendet. Die Auswertungsergebnisse sind anonym.

3.8 Direktmarketing unserer eigenen, ähnlichen Produkte und Services

  • Kategorien personenbezogener Daten: E-Mail-Adresse, Profilname.
  • Zweck der Verarbeitung: Für das Marketing von Produkten und Services, die unserer Ansicht nach für Sie von Interesse sind. Sie können Marketing-E-Mails jederzeit abbestellen, indem Sie beispielsweise den Link am Ende jeder Marketing-E-Mail verwenden. Alternativ können Sie Ihren Abmeldeantrag auch jederzeit per E-Mail an dpo@ada.com richten.
  • Rechtsgrundlage: Einwilligung (Artikel 6 (1) (a) DSGVO).
  • Speicherdauer: Die Speicherdauer Ihrer Daten zu diesem Zweck entspricht dem Zeitraum der Verarbeitung nach Ziffer 3.2. Eine Löschung Ihres Nutzerkontos gilt als Widerspruch im Sinne des Artikels 21 DSGVO.

3.9 Monitoring der App-Nutzung zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards

  • Kategorien personenbezogener Daten: Symptome Ihrer Krankheit, mögliche Ursachen für Ihre Krankheitssymptome, Nutzer ID, Alter, Geschlecht, Standort (Land), IP Adresse.
  • Zweck der Verarbeitung: Wir nutzen einige Nutzungsdaten (einschließlich persönlicher Gesundheitsdaten), um analysieren zu können, wie Sie unsere App nutzen, um die hohen Qualitäts- und Sicherheitsstandards unserer App für Zwecke der Medizinproduktesicherheit zu gewährleisten und um die allgemeine Funktionalität der App zu optimieren. Dafür verwenden wir ausschließlich pseudonymisierte Nutzungsdaten, die wir über unseren Auftragsverarbeiter Amplitude Inc., 501 2nd Street, Suite 100 San Francisco, CA 94107, USA, erheben. Die so erfassten Daten werden nicht dazu verwendet, Nutzungsprofile mit Ihren personenbezogenen Daten zu verknüpfen. Ihre personenbezogenen Daten werden an die Server von Amplitude Inc. in den USA übermittelt und dort gespeichert. Für die USA gibt es eine Angemessenheitsentscheidung der Europäischen Kommission (EU/US Privacy Shield), nach der Amplitude zertifiziert ist. Weitere Informationen finden Sie in der Datenschutzerklärung von Amplitude: https://amplitude.com/privacy.
  • Rechtsgrundlage: Einwilligung (Artikel 9 (2) (a) DSGVO). Sie können Ihre Tracking-Einstellungen jederzeit in den Datenschutzeinstellungen in der App anpassen.
  • Speicherdauer: Ihre Daten werden gespeichert, bis sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Die Speicherdauer Ihrer Daten zu diesem Zweck entspricht dem Zeitraum der Verarbeitung nach Ziffer 3.2. Wenn Sie die Löschung eines bestimmten Falls verlangen oder innerhalb der App selbst löschen, werden Ihre Daten zu diesem Fall ebenfalls nicht mehr für diesen Zweck verwendet.

3.10 Helfen Sie Menschen auf der ganzen Welt durch Attribution- und Performance-Messung

  • Kategorien personenbezogener Daten: Advertiser ID, Download und Installation der App auf Ihrem mobilen Endgerät, Information von wo Sie zu Ada gelangt sind (z.B. über ein Social Media Netzwerk oder einen Online-Artikel), ob der Registrierungsprozess und die Erstellung eines Falls erfolgreich abgeschlossen worden sind, sowie Ihre Bewertung der App in den App Stores.
  • Zweck der Verarbeitung: Wenn Sie unsere App nutzen,verwenden wir Informationen, die keine personenbezogenen Gesundheitsdaten enthalten, die uns helfen, unsere Marketinginitiativen zu optimieren, um Menschen auf der ganzen Welt den Zugang zu unserer App zu ermöglichen. Dafür verwenden wir ausschließlich pseudonymisierte Nutzungsdaten, die wir über unseren Auftragsverarbeiter adjust GmbH (Saarbrücker Str. 38a, 10405 Berlin) erheben, um uns Aufschluss darüber zu geben, wie wir sicherstellen können, dass wir Ada Menschen auf der ganzen Welt, die unsere Produkte noch nicht nutzen, zum richtigen Zeitpunkt mit der richtigen Sprache anbieten können. Wir werden Ihre persönlichen Gesundheitsdaten zu diesem Zweck niemals an Werbetreibende oder Dritte weitergeben, noch werden wir diese Daten verwenden, um Ihnen Werbung zu zeigen.
  • Rechtsgrundlage: Einwilligung (Artikel 9 (2) (a) DSGVO).
  • Speicherdauer: Ihre Daten werden gespeichert, bis sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Die Speicherdauer Ihrer Daten zu diesem Zweck entspricht dem Zeitraum der Verarbeitung nach Ziffer 3.2.

3.11 Monitoring der App-Nutzung zur Sicherstellung der Funktionsfähigkeit, Wartung und Verbesserung unserer App

  • Kategorien personenbezogener Daten: IP-Adresse, Betriebssystem und Browser, Dauer der Besuche bestimmter Seiten und Informationen zur Seiteninteraktion (wie zum Beispiel Scrollen, Fingerbewegungen, Klicks und Maus-Bewegungen).
  • Zweck der Verarbeitung: Wir verwenden diese Nutzungsdaten (die keine personenbezogenen Gesundheitsdaten enthalten), um das ordnungsgemäße Funktionieren, die Wartung und die Verbesserung der App für alle Nutzer sicherzustellen.
  • Rechtsgrundlage: Berechtigtes Interesse (Artikel 6 (1) (f) DSGVO). Unser berechtigtes Interesse beruht auf den vorstehend genannten Datenerhebungszwecken. Wir werden die erhobenen Daten in keinem Fall verwenden, um Ihre Identität festzustellen.
  • Speicherdauer: Ihre Daten werden nach 14 Tagen gelöscht, sofern nicht ein sicherheitsrelevantes Ereignis eintritt (zum Beispiel ein sogenannter Distributed-Denial-of-Service-Angriff). Bei Eintritt eines sicherheitsrelevanten Ereignisses werden Log-Dateien der Server bis zur vollständigen Beseitigung und Klärung des sicherheitsrelevanten Ereignisses gespeichert.

3.12 Berichte über die App Performance

  • Kategorien personenbezogener Daten: Fehler- und Absturzberichte, IP Adresse.
  • Zweck der Verarbeitung: Wir nutzen die oben genannten Daten, die keine persönlichen Gesundheitsdaten umfassen, zur Sicherstellung der Funktionsfähigkeit unserer App. Wir benötigen diese Informationen, um den ordnungsgemäßen Betrieb unserer App sicherzustellen. Dafür verwenden wir ausschließlich pseudonymisierte Nutzungsdaten, die wir über den Dienst „Sentry“ unseres Auftragsverarbeiters Functional Software Inc., 132 Hawthorne Street, San Francisco, California 94107 USA, erheben. Ihre personenbezogenen Daten werden an die Server von Functional Software Inc. in den USA übermittelt und dort gespeichert. Für die USA gibt es eine Angemessenheitsentscheidung der Europäischen Kommission (EU/US Privacy Shield), nach der Functional Software Inc. zertifiziert ist. Weitere Informationen finden Sie in der Datenschutzerklärung von Sentry: https://sentry.io/privacy/.
  • Rechtsgrundlage: Berechtigtes Interesse (Artikel 6 (1) (f) DSGVO). Unser berechtigtes Interesse beruht auf den vorstehend genannten Datenerhebungszwecken. Wir werden die erhobenen Daten in keinem Fall verwenden, um Ihre Identität festzustellen.
  • Speicherdauer: Ihre Daten werden nach 14 Tagen gelöscht, sofern nicht ein sicherheitsrelevantes Ereignis eintritt (zum Beispiel ein sogenannter Distributed-Denial-of-Service-Angriff). Bei Eintritt eines sicherheitsrelevanten Ereignisses werden Log-Dateien der Server bis zur vollständigen Beseitigung und Klärung des sicherheitsrelevanten Ereignisses gespeichert.

4. Cookies und Tracking auf unserer Website

Unsere Website verwendet sogenannte „Cookies“. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Endgerät (Computer, Tablet oder Smartphone) des Nutzers gespeichert werden. Wir nutzen den Begriff „Cookies“, um auf alle Tools zu verweisen, die Daten auf unserer Website erfassen. Hierbei werden Daten der Besucher unserer Website wie z.B. IP-Adressen, Ort und Zeit des Besuchs genutzt. Die auf diese Weise erhobenen Daten der Nutzer werden pseudonymisiert. Die Daten werden nicht gemeinsam mit sonstigen personenbezogenen Daten der Nutzer gespeichert.

Diese Verarbeitung erfolgt auf gesetzlicher Grundlage oder – wo dies gesetzlich vorgeschrieben ist – auf der Grundlage Ihrer Einwilligung. 

Nähere Informationen zu den von uns verwendeten Cookies und den Zwecken, zu denen wir diese verwenden, sowie zur Verwaltung Ihrer Cookie-Präferenzen, finden Sie in unserer Cookie-Policy.

5. Wo wir Ihre personenbezogenen Informationen speichern

Die von Ihnen erhobenen personenbezogenen Daten werden in der Europäischen Union auf Cloud-Servern von Amazon Web Services EMEA S.A.R.L. mit Sitz in Luxembourg verarbeitet. Diese Daten können allerdings von außerhalb des Europäischen Wirtschaftsraums (EWR) tätigen Auftragsverarbeitern auf der Grundlage von Datenverarbeitungsverträgen verarbeitet werden, wenn die zusätzlichen Bedingungen für eine Verarbeitung in Drittländern nach Art. 44 ff DSGVO erfüllt sind (angemessenes Schutzniveau in dem betreffenden Drittland, geeignete Garantien nach Art. 46 DSGVO). Eine vollständige Liste unserer als Auftragsverarbeiter tätigen Dienstleister und Einzelheiten zu deren Datenverarbeitung finden Sie hier.

Zwischen Ihrem Browser und unserer Website ausgetauschte sensible Informationen werden in verschlüsselter Form unter Verwendung der Transport Layer Security („TLS“) übermittelt. Bei der Übermittlung sensibler Informationen sollten Sie stets sicherstellen, dass Ihr Browser das Zertifikat der Ada Health GmbH bestätigen kann.

Bitte nehmen Sie mit uns Kontakt auf, wenn Sie nähere Informationen zu den spezifischen Sicherheitsmaßnahmen wünschen, die bei der Weitergabe Ihrer personenbezogenen Informationen in Länder außerhalb des EWR zur Anwendung kommen.

6. Empfänger Ihrer personenbezogenen Daten

6.1 Um unsere Services bereitzustellen und aufrechtzuerhalten, nehmen wir die Dienste technischer Dienstleister in Anspruch, die auf der Grundlage von Vereinbarungen über die Auftragsverarbeitung für uns tätig werden. Die in dieser Datenschutzerklärung und unserer Cookie-Policy benannten Anbieter von Tracking- und Analyse-Tools greifen in unserem Auftrag zum Zweck der Nutzeranalyse und der statistischen Verarbeitung auf personenbezogene Daten zu. Dienstleister, die in unserem Auftrag personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (in sogenannten Drittländern) verarbeiten, werden nur eingesetzt, wenn der Empfänger einen Angemessenheitsbeschluss der Europäischen Kommission oder geeignete oder angemessene Garantien für das betreffende Drittland erhalten hat. Darüber hinaus übermitteln wir Ihre personenbezogenen Daten nicht an Dritte, außer zu den nachstehend aufgeführten Zwecken.

  • Rechtfertigung der Nutzung: Die Rechtsgrundlage für die Weitergabe personenbezogener Daten an den Auftragsverarbeiter und die Verarbeitung durch diesen Auftragsverarbeiter richtet sich nach der Rechtsgrundlage, auf die wir uns als Verantwortliche stützen (siehe hierzu oben unter Ziffer 3.).

6.2 Wenn wir einen Geschäftsbereich oder Vermögensgegenstände erwerben oder veräußern, werden wir Ihre personenbezogenen Daten möglicherweise dem in Aussicht stehenden Verkäufer oder Erwerber des betreffenden Geschäftsbereichs oder der betreffenden Vermögensgegenstände offenlegen.

  • Rechtsgrundlage: berechtigtes Interesse, Artikel 6 (1) (f) DSGVO (unseren Geschäftsbereich oder unsere Vermögensgegenstände zu verkaufen) und – sofern nach geltendem Recht vorgeschrieben, Einwilligung, (Artikel 9 (2) (a) DSGVO (für personenbezogene Gesundheitsdaten).

6.3 Falls wir oder im Wesentlichen alle unsere Vermögensgegenstände von einem Dritten erworben werden, gehören personenbezogene Daten über unsere Nutzer zu den übertragenen Vermögensgegenständen.

  • Rechtsgrundlage: berechtigtes Interesse, Artikel 6 (1) (f) DSGVO (unser Unternehmen oder unsere Vermögensgegenstände zu verkaufen) und – sofern nach geltendem Recht vorgeschrieben – Einwilligung, Artikel 9 (2) (a) DSGVO (für persönliche Gesundheitsdaten).

6.4 Wenn wir von einer Behörde oder einem Gericht auf Grundlage des EU-Rechts oder des Rechts eines Mitgliedstaats zur Offenlegung oder Weitergabe Ihrer personenbezogenen Daten verpflichtet wurden. 

  • Rechtsgrundlage: Rechtliche Verpflichtung.

6.5 Wir werden möglicherweise bestimmte Daten gegenüber Organisationen offenlegen, die sich an klinischen Studien und sonstigen Forschungsprojekten beteiligten, wenn Sie hierzu ausdrücklich Ihre Einwilligung erteilt haben.

  • Rechtsgrundlage: Einwilligung (Artikel 9 (2) (a) DSGVO).

7. Wie lange wir Ihre personenbezogenen Daten speichern

Wir werden die oben genannten Informationen solange aufbewahren, wie dies erforderlich ist, um die Services für Sie bereitzustellen oder bestimmte, möglicherweise auftretende Probleme zu lösen oder wie anderweitig gesetzlich oder durch zuständige Aufsichtsorgane vorgeschrieben. Bestimmte Speicherfristen für die betreffenden Verarbeitungstätigkeiten sind oben unter 3. aufgeführt.

Nach Kündigung oder Löschung Ihres Kontos werden wir die Ihr Konto betreffenden personenbezogenen Daten binnen eines Monats löschen. 

Wenn Sie Nutzer des UK Doctor Chat-Services (der seit dem 23. März 2018 nicht mehr zur Verfügung steht) waren, werden die Einzelheiten Ihrer Konsultationen möglicherweise für einen Zeitraum von 10 Jahren gemäß des britischen Records Management Code of Practice Retention Schedule oder falls anderweitig von der britischen Gesundheitsaufsichtsbehörde Care Quality Commission verlangt aufbewahrt.

Wenn Ihre personenbezogenen Daten für zwei unterschiedliche Zwecke genutzt werden, werden wir diese Informationen aufbewahren, bis der Zweck mit der längeren Aufbewahrungsfrist nicht mehr besteht, sie aber nicht mehr für den Zweck mit der kürzeren Aufbewahrungsfrist nutzen, sobald diese abgelaufen ist.

Wir beschränken den Zugang zu Ihren personenbezogenen Daten auf diejenigen Personen, die diese Daten für den oder die einschlägigen Zwecke benötigen. Unsere Aufbewahrungsfristen beruhen auf vertretbaren geschäftlichen Erfordernissen, und Ihre personenbezogenen Daten, die nicht mehr benötigt werden, werden entweder unumkehrbar anonymisiert (und dann möglicherweise in anonymisierter Form aufbewahrt) oder auf sichere Art und Weise vernichtet.

8. Ihre Rechte

Nach der Datenschutz-Grundverordnung (EU) 2016/679 haben Sie in Bezug auf Ihre personenbezogenen Daten verschiedene Rechte. Diese Rechte können ausgeübt werden, indem Sie sich unter dpo@ada.com an uns wenden.

  • Recht, die Einwilligung zu widerrufen: Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen, indem Sie uns dies per E-Mail an dpo@ada.com mitteilen. Ein Widerruf Ihrer Einwilligung berührt nicht die Rechtmäßigkeit der auf Ihrer Einwilligung bis zum Zeitpunkt des Widerrufs beruhenden Verarbeitung. 
  • Widerspruchsrecht: Sie haben unter den Voraussetzungen von Artikel 21 DSGVO ein Recht auf Widerspruch. Im Folgenden erhalten Sie detailliertere Informationen hierzu:
    Recht auf Widerspruch bei Verarbeitung auf Grundlage berechtigter Interessen: Als betroffene Person haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 (1) (e) oder (f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Im Falle eines Widerspruchs aus Gründen, die sich aus Ihrer besonderen Situation ergeben, verarbeiten wir die betroffenen personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
    Recht auf Widerspruch bei Verarbeitung zu statistischen Zwecken: Wenn wir Ihre personenbezogenen Daten für statistische Zwecke nach Art. 9 (2)(j) DSGVO, § 27 (1) BDSG verarbeiten, haben Sie das Recht, gegen eine solche Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einzulegen. Im Falle eines solchen Widerspruchs verarbeiten wir die betroffenen personenbezogenen Daten nicht mehr zu diesem Zweck, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich oder das Einstellen der Verarbeitung macht voraussichtlich die Verwirklichung der Statistikzwecke unmöglich oder beeinträchtigt sie ernsthaft und die Fortführung der Verarbeitung ist für die Erfüllung der Statistikzwecke notwendig.
    Recht auf Widerspruch gegen Direktwerbung: Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Im Falle eines Widerspruchs gegen Verarbeitung für Zwecke der Direktwerbung verarbeiten wir die betroffenen personenbezogenen Daten nicht mehr für diese Zwecke.
    Zur Ausübung Ihrer Widerspruchsrechte können Sie sich jederzeit per E-Mail an dpo@ada.com an uns wenden.
  • Recht auf Auskunft: Als betroffene Person haben Sie unter den Voraussetzungen von Artikel 15 DSGVO ein Recht auf Auskunft. Das bedeutet insbesondere, dass Sie das Recht haben, von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, haben Sie außerdem ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Artikel 15 (1) DSGVO aufgeführten Informationen. Dazu gehören beispielsweise Informationen über die Verarbeitungszwecke, über die Kategorien personenbezogener Daten, die verarbeitet werden, sowie über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.
  • Recht auf Löschung/„Recht auf Vergessenwerden“: Als betroffene Person haben Sie unter den Voraussetzungen von Artikel 17 DSGVO ein Recht auf Löschung („Recht auf Vergessenwerden“). Das bedeutet, dass Sie grundsätzlich das Recht haben, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und wir verpflichtet sind, personenbezogene Daten unverzüglich zu löschen, sofern einer der in Artikel 17 (1) DSGVO aufgeführten Gründe zutrifft. Dies können Sie beispielsweise jederzeit durch Löschung Ihres Kontos tun. Soweit wir die personenbezogenen Daten öffentlich gemacht haben und wir zu deren Löschung verpflichtet sind, sind wir außerdem verpflichtet, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, zu treffen, um andere für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat (Artikel 17 (2) DSGVO). Das Recht auf Löschung („Recht auf Vergessenwerden“) gilt ausnahmsweise nicht, soweit die Verarbeitung aus den in Artikel 17 (3) DSGVO aufgeführten Gründen erforderlich ist. Das kann beispielsweise der Fall sein, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Artikel 17 (3) (a) und (e) DSGVO).
  • Recht zur Einschränkung der Bearbeitung: Als betroffene Person haben Sie unter den Voraussetzungen von Artikel 18 DSGVO ein Recht auf Einschränkung der Verarbeitung. Das bedeutet, dass Sie das Recht haben, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Artikel 18 (1) DSGVO aufgeführten Voraussetzungen gegeben ist. Das kann beispielsweise der Fall sein, wenn Sie die Richtigkeit der personenbezogenen Daten bestreiten. Die Einschränkung der Verarbeitung erfolgt in diesem Fall für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen (Artikel 18 (1) (a) DSGVO). Einschränkung bedeutet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken (Artikel 4 Nr. 3 DSGVO).
  • Recht auf Datenübertragbarkeit: Als betroffene Person haben Sie unter den Voraussetzungen von Artikel 20 DSGVO ein Recht auf Datenübertragbarkeit. Das bedeutet, dass Sie grundsätzlich das Recht haben, die Sie betreffenden personenbezogenen Daten, die sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie das Recht haben, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, sofern die Verarbeitung auf einer Einwilligung gemäß Artikel 6 (1) (a) oder Artikel 9 (2) (a) DSGVO oder auf einem Vertrag gemäß Artikel 6 (1) (b) DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt (Artikel 20 (1) DSGVO). Bei der Ausübung ihres Rechts auf Datenübertragbarkeit haben Sie außerdem grundsätzlich das Recht, zu erwirken, dass die personenbezogenen Daten direkt von uns einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist (Artikel 20 (2) DSGVO).
  • Recht auf Berichtigung: Als betroffene Person haben Sie unter den Voraussetzungen von Artikel 16 der DSGVO ein Recht auf Berichtigung. Das bedeutet insbesondere, dass Sie das Recht haben, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
  • Beschwerderecht: Als betroffene Person haben Sie unter den Voraussetzungen von Artikel 77 DSGVO das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Die für uns zuständige Aufsichtsbehörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit (Friedrichstr. 219, 10969 Berlin, Telefon: 030 13889-0; E-Mail: mailbox@datenschutz-berlin.de).

Wenn Sie uns auffordern, die Verarbeitung Ihrer personenbezogenen Daten einzustellen oder diese zu löschen, hat dies zur Folge, dass Sie unsere Services oder zumindest diejenigen Bestandteile der Services, welche die Verarbeitung der Arten von personenbezogenen Daten, um deren Löschung Sie uns gebeten haben, voraussetzen, nicht länger nutzen können, was dazu führen kann, dass Sie die Services insgesamt nicht mehr nutzen können.

9. Änderungen dieser Datenschutzerklärung

Änderungen, die wir zukünftig an unserer Datenschutzerklärung vornehmen, werden auf dieser Seite gepostet und – soweit angebracht – Ihnen per E-Mail oder durch Benachrichtigung über die App mitgeteilt. Deshalb empfehlen wir Ihnen, die App von Zeit zu Zeit zu prüfen, damit Sie auf dem Laufenden bleiben, wie wir Ihre Informationen verarbeiten.