Datenschutzerklärung der MindDoc App

Wir, die MindDoc Health GmbH, Leopoldstraße 159, 80804 München (im Folgenden auch „MindDoc“) erheben und verarbeiten deine personenbezogenen Daten im Zusammenhang mit der MindDoc -App (im Folgenden auch „App“) und sind „Verantwortliche“ im Sinne der Datenschutz-Grundverordnung (DS-GVO).
Wir verarbeiten deine Daten nur, soweit

1. 1. dies zur Erbringung der von dir angeforderten MindDoc-Leistungen erforderlich ist,
   2. du in die Verarbeitung eingewilligt hast oder
   3. wir sonst aufgrund der Datenschutzgesetze dazu befugt sind.

Für die Verarbeitung deiner Gesundheitsdaten holen wir gem. Art. 9 Abs. 2 lit. h DS-GVO immer gesondert eine Einwilligung von dir ein. In die Verarbeitung dieser Daten kannst du z.B. durch Klicken einwilligen. Deine Einwilligung wird von uns protokolliert.

Falls du Fragen, Anregungen oder Kommentare hast, kannst du dich gerne an unseren Datenschutzbeauftragten Dr. Klaus-Georg Baier wenden:  Datenschutzbeauftragter der MindDoc Health GmbH, Leopoldstraße 159, München, E-Mail: datenschutz[at]schoen-klinik.de 

Personenbezogene Daten sind gesetzlich besonders geschützt. Unter solchen Daten versteht man Informationen, die sich auf einen identifizierten oder identifizierbaren Menschen beziehen.

Grundsätzlich ist es möglich, die Anwendung zu verwenden, ohne dass dafür Daten, die eine direkte Zuordnung zu deiner Person erlauben, erhoben werden. Für die Nutzung unserer App im Rahmen einer Online-Therapie (nur in Deutschland und unter Zustimmung zu weiteren AGB und Datenschutzbestimmungen siehe https://www.minddoc.de) oder zur Erstellung eines optionalen, persönlichen Accounts, um bspw. bei einem Wechsel deines Smartphones wieder auf deine alten Daten zurückzugreifen, ist die Verwendung personenbezogener Daten (z.B. e-Mail Adresse) von dir allerdings erforderlich. Unabhängig davon, wie du die Anwendung nutzt und welche Daten du mit uns teilst, ist ein streng vertraulicher Umgang mit all deinen Daten für uns sehr wichtig. Daher behandeln wir alle Daten nach denselben Regeln und der Sorgfalt, die auch für personenbezogene und vor allem gesundheitsbezogene Daten gelten.

Personenbezogene Daten für die Erstellung eines persönlichen Accounts

Zur Erstellung eines optionalen, persönlichen Accounts, mit dem du auch beim Wechsel deines Smartphones einfach auf deine Historie zurückgreifen kannst, erheben und verarbeiten wir folgende personenbezogenen Daten, in der Art und Weise, wie du sie uns angibst (d.h., du kannst hier auch Daten eingeben, die nicht auf dich direkt zurückzuführen sind):

1. Name
2. Vorname
3. Profilfoto (optional)
4. e-Mail Adresse

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. I lit. b DS-GVO.

Erweiterte personenbezogene Daten bei gleichzeitiger Nutzung des MindDoc Online-Therapieangebotes in Deutschland 

1. Postalische Adresse 
2. Versicherungsanbieter 
3. Versichertennummer 
4. Telefonnummer 

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. I lit. h DS-GVO.

Gesundheitsdaten

Innerhalb der App kannst du ein 14-tägiges Screening durchlaufen, um eine Einschätzung zu deiner mentalen Verfassung zu erhalten. Im Rahmen dieses Screenings beantwortest du verschiedene Fragen und teilst der App mit, wie es dir geht. Zudem kannst du weitere Leistungen, z.B. Bezahlangebote, nutzen, die in Ziff. 2 unser AGB näher beschrieben werden. Die folgenden Gesundheitsdaten erheben, verarbeiten und nutzen wir, um für dich die Leistungen gemäß Ziff. 2 unserer AGB erbringen zu können:

1. 1. Daten aus der MindDoc -Befragung (Monitoring und Screening):
      • Fragen zu deiner allgemeinen mentalen Verfassung
      • Fragen zu anderen Beschwerden und Symptomen
      • Fragen zu deinen Lebensbedingungen, Freizeitaktivitäten und deiner Biografie
      • Auswertungen der oben genannten Daten bzgl. Schwere und Art der angegebenen Symptome, sowie psychologischen Zusammenhängen der Antworten.
      • Deine Angaben auf einer Skala aus Smileys, mit der du regelmäßig deine Stimmung dokumentieren kannst
      • Von dir erstellte textbasierte Notizeingaben, welche verschlüsselt übertragen und bei uns gespeichert werden.
      • Wenn du innerhalb der App explizit dazu einwilligst, speichern wir Daten aus deiner Apple Health (iOS) oder Google Fit (Android) Anwendung. Das sind primär die Anzahl Schritte pro Tag und andere Indikationen deiner körperlichen Aktivität oder Schlaf. Wir nutzen diese Daten zur Erbringung unserer Dienste innerhalb von MindDoc, insbesondere um dir Zusammenhänge zwischen psychologischen Faktoren und deiner physischen Aktivität rückzumelden. MindDoc sendet keine Daten an Apple Health oder Google Fit.
   2. Daten aus den psychologischen Übungen:

• • • Textbasierte Eingaben bei den Übungen
    • Die von dir im Zuge der Übungen hochgeladenen Fotos

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 9 Abs. II lit. h DS-GVO.

Technische Daten
Das sind Daten, die uns darüber informieren, welche Hard- und Software du für den Zugriff auf unsere App verwendest:

1. • Daten über die Mobil-Plattform (iOS/Android) und Version des Betriebssystems (z.B. iOS 14.0.0)
   • Version der App (z.B. 4.1.0)
   • Gerätemodell (z.B. iPhone X)
   • Apple Identifier for Vendor (IDVA) bzw. Android ID
   • Überprüfung des Zahlungsbelegs bei Apple und Google (die Belege enthalten weder deinen Namen noch deine Adressen)

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. I S. 1 lit. f DS-GVO.

Daten zur App-Nutzung
Das sind Daten, die uns darüber informieren, wie und wie oft du unsere App benutzt:

1. • Wie oft wurde die App geöffnet?
   • Welche Bereiche wurden in der App angeklickt?
   • Verwendete App-Einstellungen (Spracheinstellungen, Notifikationen)
   • Feedback-Daten (inkl. E-Mail-Dienst).

Die Rechtsgrundlage für die Datenverarbeitung ist das berechtigte Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO bzw. die Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO für die Feedback-Daten.

Deine o.g. personenbezogenen Daten, Gesundheitsdaten, technischen Daten und Daten zur App-Nutzung erheben und speichern wir, während du unsere App nutzt. Darüber hinaus übermitteln wir deine Gesundheitsdaten in vollständig anonymisierter Form an die Universitäten, mit denen MindDoc eine Forschungskooperation unterhält. Eine aktuelle Darstellung dieser Universitäten findest du hier: https://www.mymoodpath.com/de/wissenschaft/.

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 9 Abs. II lit. a DS-GVO.

MindDoc erhebt, verarbeitet und nutzt die unter Ziff. 2 genannten Daten, um die in Ziff. 2 unserer AGB genannten Leistungen zu erbringen (Art. 1 Abs. 1 S.1 lit. b) DS-GVO). Dadurch, dass du uns deine Daten zur Verfügung stellst, können wir die versprochenen Dienste erbringen.

Du bist nicht dazu verpflichtet, deine personenbezogenen Daten bereitzustellen Art. 13 Abs. 2 lit. e) DS-GVO). Ebenso ist die Nutzung unserer App und der damit verbundenen Dienstleistungen freiwillig. Falls du uns die erforderlichen Daten jedoch nicht bereitstellen möchtest, können wir die unter Ziff. 2 der AGB genannten Leistungen ggf. nicht für dich erbringen.

MindDoc übermittelt darüber hinaus deine Gesundheitsdaten in vollständig anonymisierter Form zu Forschungszwecken an die oben (Ziff. 3) genannten Universitäten.

Für die Zahlungsabwicklung werden ausschließlich die zahlungsrelevanten Daten an Apple-iTunes und Google Play Store übermittelt.

Deine Daten gemäß Ziff. 2 dieser Datenschutzerklärung werden bei uns gespeichert, solange dies für die Nutzung unserer App und der damit verbundenen Dienste erforderlich ist. Die anonymisierten Daten können für Forschungszwecke auch zeitlich unbegrenzt gespeichert werden. 

Wir geben deine Daten grundsätzlich nicht an Dritte weiter, es sei denn, wir sind hierzu gesetzlich berechtigt oder verpflichtet, oder du hast uns hierzu die Einwilligung erteilt.

Zudem übermitteln wir deine Gesundheitsdaten im Rahmen von Forschungskooperationen in vollständig anonymisierter Form an unsere Universitätspartner.

In dem Fall, dass wir personenbezogene Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder verarbeiten lassen, so erfolgt dies unter Beachtung der jeweiligen rechtlichen Besonderheiten. In diesen Fällen werden wir stets geeignete Maßnahmen treffen, um deine Daten angemessen zu sichern (bspw. über vollständige Anonymisierung oder Verschlüsselung mit eigenem Key Management). 

Wir speichern deine Daten nicht auf deinem Gerät, um eine größtmögliche Sicherheit zu gewährleisten und um ein reibungsloses Funktionieren der App zu ermöglichen. Deine Daten speichern wir auf Servern unserer IT Dienstleister innerhalb der europäischen Union, die deine Daten in unserem Auftrag und auf der Rechtsgrundlage des Art. 28 DS-GVO verarbeiten und zur Einhaltung der gesetzlichen Bestimmungen über den Datenschutz und zur Datensicherheit verpflichtet sind. Wir setzen zu dem auf ein eigenes Schlüsselmanagement wodurch sichergestellt ist, dass auch für den von uns beauftragten Hostingprovider kein Zugriff auf die Daten möglich ist.   

Wir treffen Vorkehrungen zum Schutz deiner Daten und um Missbrauch zu verhindern. Die App kommuniziert mit dem Server über verschlüsselte Verbindungen mittels TLS (Transport Layer Security) bzw. HTTPS, wodurch verhindert wird, dass Dritte deine Daten unberechtigterweise auslesen können. Sowohl Server als auch Datenbanken befinden sich hinter Firewalls, um den Zugriff zu beschränken. 

Bitte beachte, dass es in einigen Arbeitsverhältnissen nicht erlaubt ist, während der Arbeitszeiten oder von deinem Arbeitsplatz aus das Internet zu privaten Zwecken zu nutzen. Einige Arbeitgeber überwachen unerlaubte Internetaktivitäten am Arbeitsplatz gezielt. Auch, wenn du sonst in multipler Netzwerkumgebung angeschlossen bist, musst du dir dessen bewusst sein, dass dann stets das Risiko ungewollter Zugriffe besteht. Bitte beachte zudem, dass durch die Anwendung der App in einer potenziell unsicheren Umgebung (z.B. öffentliche, unverschlüsselte WLAN-Netzwerke) Sicherheitsrisiken entstehen, die wir nicht vollständig adressieren können.

MindDoc beauftragt im Rahmen der mobilen App teilweise Fremdanbieter mit der Erbringung von Dienstleistungen zur Analyse und Auswertung von Nutzerverhaltensweisen (z.B. Crash Reportings) oder zur Erbringung wichtiger technischer Grundleistungen (z.B. Push Notifications). Falls diese Dienstleister personenbezogene Daten verarbeiten, schließen wir mit diesen eine Vereinbarung zur Auftragsverarbeitung nach Artikel 28 DS-GVO ab, welche diese Dienstleister zur Einhaltung gesetzlicher Standards im Hinblick auf Datenschutz und Datensicherheit verpflichtet. Dadurch sind die Auftragsverarbeiter an unsere Weisungen gebunden und werden von uns regelmäßig kontrolliert.

Im Einzelnen nutzen wir folgende Tools und Anbieter

a. Google Firebase

Wir erwenden wir Firebase (https://www.firebase.com/), ein Framework der Google-Tochter Firebase mit Sitz in San Francisco, CA, USA, über das wir die folgenden Echtzeitfunktionen verfolgen und verwalten. Wir nutzen dabei alle Möglichkeiten, um die Erhebung personenbezogener Daten wie bspw. die Werbe oder Vendor ID zu deaktivieren oder vorab zu anonymisieren (IP Adresse), so dass außer einer pseudonymisierten FireBase Instance ID (FireBase Token), welche verschlüsselt abgelegt wird, keine personenbezogenen Daten durch FireBase verarbeitet werden:

• Wir verwenden Firebase Crashlytics, um App-Abstürze zu verfolgen, sobald sie auftreten, und um zukünftige zu verhindern. Informationen zur Funktionalität von Crashlytics und den gesammelten Gerätedaten: https://firebase.google.com/support/privacy#crash-stored-info
• Wir verwenden Firebase Remote Config, um es uns zu ermöglichen, die App auf den Geräten zu ändern, auf denen sie installiert ist, ohne dass die App im jeweiligen App Store komplett neu installiert werden muss.
• Wir verwenden FireBase Cloud Messaging als Service zum sicheren und zuverlässigen Versand von mobilen Benachrichtigungen (sog. Push Notifications), die den Nutzer über ein neues Ereignis (z.B. ein neuer Frageblock, ein neuer Einblick) informiert.
• Wir verwenden FireBase Analytics, um allgemeine Daten über die Nutzung der App zu erheben.

Die Datenschutzerklärung von Firebase ist unter https://www.firebase.com/terms/privacy-policy.html verfügbar und Informationen über die spezifischen Daten, die in den genannten Diensten verwendet werden, können hier eingesehen werden: https://firebase.google.com/support/privacy#data_processing_information

Die Rechtsgrundlage für die Nutzung von Firebase ist unser berechtigtes Interesse daran, die MindDoc-App dauerhaft instand zu halten und seine Leistungsfähigkeit nach Artikel 6 Abs. 1 S. 1 lit, f DSGVO zu bewerten.

b. Branch Metrics (nur für Nutzer der MindDoc App in den Vereinigten Staaten von Amerika/USA)

Unsere App verwendet Branch Metrics deren Betreiber die Branch Metrics Inc., 2443 Ash Street, Palo Alto, CA 94306, USA ist. Dieser Dienst ist eine Open-Source Lösung, welche es ermöglicht mit entsprechender Software Development Kits (SDKs) für Web, iOS und Android Betriebssysteme zielgerichtete Smartlinks zu Inhalten innerhalb einer App zu generieren als auch für statistische Analysen und für Marketingmaßnahmen Marketing- und Attributionsdaten zu erheben. Im Rahmen der Bereitstellung des Dienstes und seiner Funktionen werden seitens Branch Metrics personenbezogene Daten erhoben (IP-Adresse und abgeleitete Standortdaten, lokale IP-Adresse des Geräts bei Android, Vendor-ID). Die genannten Daten, werden dabei ausschließlich für diesen Zweck erhoben und verschlüsselt. Eine Aktivierung des Dienstes erfolgt erst nach aktiver Zustimmung durch den Nutzer und kann wieder zurückgenommen werden.

Rechtsgrundlage hierfür ist die Einwilligung gem. Artikel 6 Abs. 1 S. 1 lit. a DS-GVO.

Wie kann ich das verhindern?

Die Erhebung kann jederzeit über diesen Link deaktiviert werden https://branch.app.link/device-opt-out oder generell in im Betriebssystem von Android oder iOS die Nutzung bestimmter Daten eingeschränkt werden. Auch in der App kann die Erhebung wieder deaktiviert werden.

Als Nutzer unserer App hast du, je nach den Gegebenheiten des konkreten Falls, folgende Datenschutzrechte:

1. 1. Auskunft (Art. 15 DS-GVO): Auskunft über deine von uns verarbeiteten personenbezogenen Daten zu erhalten;
   2. Berichtigung (Art. 16 DS-GVO): Unverzügliche Berichtigung unrichtiger dich betreffende personenbezogene Daten;
   3. Löschung (Art. 17 DS-GVO): Die Löschung deiner personenbezogenen Daten unter den dort genannten Voraussetzungen;
   4. Einschränkung der Verarbeitung (Art. 18 DS-GVO): Die Einschränkung der Verarbeitung deiner personenbezogenen Daten unter den dort genannten Voraussetzungen zu verlangen;
   5. Übertragbarkeit von Daten (Art. 20 DS-GVO): Die dich betreffenden personenbezogenen Daten, die du uns bereitgestellt hast, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln; du hast gegebenenfalls auch das Recht zu verlangen, dass wir die personenbezogenen Daten direkt einem anderen Verantwortlichen übermitteln, soweit dies technisch machbar ist;
   6. Widerspruch gegen die unzumutbare Datenverarbeitung (Art. 21 DS-GVO): Verarbeiten wir deine Daten auf der Grundlage eines berechtigten Interesses, so kannst Du gegen diese Datenverarbeitung jederzeit Widerspruch einlegen; dies würde auch für ein auf diese Bestimmungen gestütztes Profiling gelten. Wir verarbeiten deine Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Deine Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Der Verarbeitung Deiner Daten zum Zweck der Direktwerbung kannst Du jederzeit ohne Angabe von Gründen widersprechen;
   7. Verweigerung und Widerruf der Einwilligung:
      Die Einwilligung zu verweigern oder – ohne Auswirkung auf die Rechtmäßigkeit der vor dem Widerruf erfolgten Datenverarbeitungen – deine Einwilligung zur Verarbeitung deiner personenbezogenen Daten jederzeit zu widerrufen;
   8. Beschwerderecht: Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten durch uns zu beschweren.

Die Verarbeitung deiner Daten ist zum Abschluss bzw. zur Erfüllung deines mit uns eingegangenen Vertrages zur Nutzung der MindDoc App und im Falle der Anlage des optionalen Accounts erforderlich. Zusätzlich ist dies bei der Nutzung des optionalen Angebotes des hiervon unabhängigen Services der MindDoc Onlinetherapie (https://www.minddoc.de) erforderlich. Wenn Du uns diese Daten nicht zur Verfügung stellst, können wir die Dienstleistung nicht erbringen.

Falls du von einem dieser Rechte Gebrauch machen willst, kannst du deine Daten direkt in der App im Bereich “Einstellungen → Daten & Sicherheit” löschen. Natürlich kannst du vorher mittels einer automatischen Export-Funktion übertragen. Alternativ kannst du uns per e-Mail von der bei uns registrierten Adresse an feedback@MindDoc.de oder unter Nennung deiner persönlichen Identifikationsnummer (UID – diese findest Du im Bereich Einstellungen ganz unten) dein Anliegen schreiben. Wir werden dies dann unverzüglich prüfen und mit dir Kontakt aufnehmen. 

Wir behalten uns das Recht vor, diese Datenschutzerklärung unter Beachtung der datenschutzrechtlichen Vorgaben zu ändern. Die jeweils aktuelle Fassung findest du jeweils an dieser Stelle oder einer anderen entsprechenden, leicht auffindbaren Stelle unserer App.
Falls du Fragen, Anregungen oder Kommentare hast, kannst du dich gerne an unseren Datenschutzbeauftragten wenden: Datenschutzbeauftragter der MindDoc Health GmbH, Leopoldstraße 159, München, E-Mail: datenschutz[at]schoen-klinik.de