Datenschutzerklärung der MindDoc App

Wir, die MindDoc Health GmbH, Leopoldstraße 159, 80804 München (im Folgenden auch „MindDoc“) erheben und verarbeiten deine personenbezogenen Daten im Zusammenhang mit der MindDoc -App (im Folgenden auch „App“) und sind „Verantwortliche“ im Sinne der Datenschutz-Grundverordnung (DS-GVO).
Für uns ist der Schutz und die Vertraulichkeit deiner Daten sehr wichtig. Wir verarbeiten deine Daten daher nur, soweit

1. 1. dies zur Erbringung der von dir angeforderten MindDoc-Leistungen erforderlich ist,
   2. du in die Verarbeitung eingewilligt hast oder
   3. wir sonst aufgrund der Datenschutzgesetze dazu befugt sind.

Für die Verarbeitung deiner Gesundheitsdaten holen wir immer gesondert eine Einwilligung von dir ein. In die Verarbeitung dieser Daten kannst du z.B. durch Klicken einwilligen. Deine Einwilligung wird von uns protokolliert.
Falls du Fragen, Anregungen oder Kommentare hast, kannst du dich gerne an unseren Datenschutzbeauftragten wenden:  Datenschutzbeauftragter der MindDoc Health GmbH, Leopoldstraße 159, München, E-Mail: datenschutz[at]schoen-klinik.de 

Personenbezogene Daten sind gesetzlich besonders geschützt. Unter solchen Daten versteht man Informationen, die sich auf einen identifizierten oder identifizierbaren Menschen beziehen.

Grundsätzlich ist es möglich, die Anwendung zu verwenden, ohne dass dafür Daten, die eine direkte Zuordnung zu deiner Person erlauben, erhoben werden.  Für die Nutzung unserer App im Rahmen einer Online-Therapie (nur in Deutschland und unter Zustimmung zu weiteren AGB und Datenschutzbestimmungen siehe https://www.minddoc.de) oder zur Erstellung eines optionalen, persönlichen Accounts, um bspw. bei einem Wechsel deines Smartphones wieder auf deine alten Daten zurückzugreifen, ist die Verwendung personenbezogener Daten vor dir allerdings erforderlich. Unabhängig davon, wie du die Anwendung nutzt und welche Daten du mit uns teilst, ist ein streng vertraulicher Umgang mit all deinen Daten für uns sehr wichtig. Daher behandeln wir alle Daten nach denselben Regeln und der Sorgfalt, die auch für personenbezogene und vor allem gesundheitsbezogene Daten gelten.

Personenbezogene Daten für die Erstellung eines persönlichen Accounts

Zur Erstellung eines optionalen, persönlichen Accounts, mit dem du auch beim Wechsel deines Smartphones einfach auf deine Historie zurückgreifen kannst, erheben und verarbeiten wir folgende personenbezogenen Daten, in der Art und Weise, wie du sie uns angibst:

1. Name
2. Vorname
3. Profilfoto (optional)
4. e-Mail Adresse

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. I lit. b DS-GVO.

Erweiterte personenbezogene Daten bei gleichzeitiger Nutzung des MindDoc Online-Therapieangebotes in Deutschland 

1. Postalische Adresse 
2. Versicherungsanbieter 
3. Versichertennummer 
4. Telefonnummer 

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. I lit. b DS-GVO.

Gesundheitsdaten

Innerhalb der App kannst du ein 14-tägiges Screening durchlaufen, um eine Einschätzung zu deiner mentalen Verfassung zu erhalten. Im Rahmen dieses Screenings beantwortest du verschiedene Fragen und teilst der App mit, wie es dir geht. Zudem kannst du weitere Leistungen, z.B. Bezahlangebote, nutzen, die in Ziff. 2 unser AGB näher beschrieben werden. Die folgenden Gesundheitsdaten erheben, verarbeiten und nutzen wir, um für dich die Leistungen gemäß Ziff. 2 unserer AGB erbringen zu können:

1. 1. Daten aus der MindDoc -Befragung (Monitoring und Screening):
      • Fragen zu deiner allgemeinen mentalen Verfassung
      • Fragen zu anderen Beschwerden und Symptomen
      • Fragen zu deinen Lebensbedingungen, Freizeitaktivitäten und deiner Biografie
      • Auswertungen der oben genannten Daten bzgl. Schwere und Art der angegebenen Symptome, sowie psychologischen Zusammenhängen der Antworten.
      • Deine Angaben auf einer Skala aus Smileys, mit der du regelmäßig deine Stimmung dokumentieren kannst
      • Von dir erstellte textbasierte Notizeingaben, welche verschlüsselt übertragen und bei uns gespeichert werden.
      • Wenn du innerhalb der App explizit dazu einwilligst, speichern wir Daten aus deiner Apple Health (iOS) oder Google Fit (Android) Anwendung. Das sind primär die Anzahl Schritte pro Tag und andere Indikationen deiner körperlichen Aktivität oder Schlaf. Wir nutzen diese Daten zur Erbringung unserer Dienste innerhalb von MindDoc, insbesondere um dir Zusammenhänge zwischen psychologischen Faktoren und deiner physischen Aktivität rückzumelden. MindDoc sendet keine Daten an Apple Health oder Google Fit.
   2. Daten aus den psychologischen Übungen:

• • • Textbasierte Eingaben bei den Übungen
    • Die von dir im Zuge der Übungen hochgeladenen Fotos

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 9 Abs. II lit. h DS-GVO.

Technische Daten
Das sind Daten, die uns darüber informieren, welche Hard- und Software du für den Zugriff auf unsere App verwendest:

1. • Daten über die Mobil-Plattform (iOS/Android)
   • Version der App
   • Gerätemodell
   • Systemversion
   • Sogenannten „Identifier for Advertising in Apple“ für iOS Geräte
   • Die sog. „Advertising ID“ für Android Geräte
   • Überprüfung des Zahlungsbelegs bei Apple und Google (die Belege enthalten weder deinen Namen noch deine Adressen)

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. I lit. f DS-GVO.

Daten zur App-Nutzung
Das sind Daten, die uns darüber informieren, wie und wie oft du unsere App benutzt:

1. • Wie oft wurde die App geöffnet?
   • Welche Bereiche wurden in der App angeklickt?
   • Verwendete App-Einstellungen (Spracheinstellungen, Notifikationen)
   • Feedback-Daten (inkl. E-Mail-Dienst).

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. I lit. f DS-GVO bzw. Art. 6 Abs. I lit. a DS-GVO für die Feedback-Daten.

Deine o.g. personenbezogenen Daten, Gesundheitsdaten, technischen Daten und Daten zur App-Nutzung erheben und speichern wir, während du unsere App nutzt. Wenn du dein Einverständnis erteilst, übermitteln wir deine Gesundheitsdaten auch an teilnehmende Ärzte und Therapeuten (nachfolgend auch „Behandler“) auf der AURORA-Plattform (siehe dazu Ziff. 6). Darüber hinaus übermitteln wir deine Gesundheitsdaten in vollständig anonymisierter Form an die Universitäten, mit denen MindDoc eine Forschungskooperation unterhält. Eine aktuelle Darstellung dieser Universitäten findest du hier: https://www.mymoodpath.com/de/wissenschaft/.

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 9 Abs. II lit. a DS-GVO.

MindDoc erhebt, verarbeitet und nutzt die unter Ziff. 2 genannten Daten, um die in Ziff. 2 unserer AGB genannten Leistungen zu erbringen (Art. 1 Abs. 1 S.1 lit. b) DS-GVO). Dadurch, dass du uns deine Daten zur Verfügung stellst, können wir die versprochenen Dienste erbringen.

Du bist nicht dazu verpflichtet, deine personenbezogenen Daten bereitzustellen Art. 13 Abs. 2 lit. e) DS-GVO). Ebenso ist die Nutzung unserer App und der damit verbundenen Dienstleistungen freiwillig. Falls du uns die erforderlichen Daten jedoch nicht bereitstellen möchtest, können wir die unter Ziff. 2 der AGB genannten Leistungen nicht für dich erbringen.
Sofern du die Kommunikation mit einem Behandler, beispielsweise einem Arzt oder Therapeuten, freigibst, können alle für die medizinische Begleitung notwendigen Gesundheitsinformationen über die AURORA-Plattform (www.aurora-health.de) ausgetauscht werden.

MindDoc übermittelt darüber hinaus deine Gesundheitsdaten in vollständig anonymisierter Form zu Forschungszwecken an die oben (Ziff. 3) genannten Universitäten.

Für die Zahlungsabwicklung werden ausschließlich die zahlungsrelevanten Daten an Apple-iTunes und Google Play Store übermittelt.

Deine Daten gemäß Ziff. 2 dieser Datenschutzerklärung werden bei uns gespeichert, solange dies für die Nutzung unserer App und der damit verbundenen Dienste erforderlich ist. Die anonymisierten Daten können für Forschungszwecke auch zeitlich unbegrenzt gespeichert werden. Bitte beachte, dass die an der AURORA-Plattform teilnehmenden Behandler, mit denen du dich ausgetauscht hast, aufgrund gesetzlicher Vorschriften dazu verpflichtet sein können, deine Gesundheitsdaten ggfs. für einen längeren Zeitraum zu speichern als MindDoc. Für die Einhaltung etwaiger gesetzlicher Speicherpflichten sind allein die Behandler verantwortlich.

Wir geben deine Daten grundsätzlich nicht an Dritte weiter, es sei denn, wir sind hierzu gesetzlich berechtigt oder verpflichtet, oder du hast uns hierzu die Einwilligung erteilt.

Nach entsprechender Freigabe und mit deinem Einverständnis übermitteln wir deine Daten über die AURORA-Plattform an teilnehmende Behandler. Zudem übermitteln wir deine Gesundheitsdaten im Rahmen von Forschungskooperationen in vollständig anonymisierter Form an unsere Universitätspartner.

In dem Fall, dass wir personenbezogene Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder verarbeiten lassen (siehe auch die Tools von Drittanbietern wie in Nummer 7 beschrieben), so erfolgt dies unter Beachtung der jeweiligen rechtlichen Besonderheiten. In diesen Fällen werden wir stets geeignete Maßnahmen treffen, um deine Daten angemessen zu sichern (bspw. über Standardvertragsklauseln). 

Wir speichern deine Daten nicht auf deinem Gerät, um eine größtmögliche Sicherheit zu gewährleisten und um ein reibungsloses Funktionieren der App zu ermöglichen. Deine Daten speichern wir auf Servern unserer IT Dienstleister innerhalb der europäischen Union, die deine Daten in unserem Auftrag und auf der Rechtsgrundlage des Art. 28 DS-GVO verarbeiten und zur Einhaltung der gesetzlichen Bestimmungen über den Datenschutz und zur Datensicherheit verpflichtet sind.

Wir treffen Vorkehrungen zum Schutz deiner Daten und um Missbrauch zu verhindern. Die App kommuniziert mit dem Server über verschlüsselte Verbindungen mittels SSL (Secure Socket Layer), wodurch verhindert wird, dass Dritte deine Daten unberechtigterweise auslesen können. Sowohl Server als auch Datenbanken befinden sich hinter Firewalls, um den Zugriff zu beschränken. 

Bitte beachte, dass es in einigen Arbeitsverhältnissen nicht erlaubt ist, während der Arbeitszeiten oder von deinem Arbeitsplatz aus das Internet zu privaten Zwecken zu nutzen. Einige Arbeitgeber überwachen unerlaubte Internetaktivitäten am Arbeitsplatz gezielt. Auch, wenn du sonst in multipler Netzwerkumgebung angeschlossen bist, musst du dir dessen bewusst sein, dass dann stets das Risiko ungewollter Zugriffe besteht. Bitte beachte zudem, dass durch die Anwendung der App in einer potenziell unsicheren Umgebung (z.B. öffentliche, unverschlüsselte WLAN-Netzwerke) Sicherheitsrisiken entstehen, die wir nicht vollständig adressieren können.

MindDoc beauftragt teilweise Fremdanbieter mit der Erbringung von Dienstleistungen zur Analyse und Auswertung von Nutzerverhaltensweisen. Wir tun dies, um MindDoc stetig verbessern und weiterentwickeln zu können. Die hierzu übermittelten Informationen sind i.d.R. pseudonymisiert. Falls diese Dienstleister personenbezogene Daten verarbeiten, schließen wir mit diesen eine Vereinbarung zur Auftragsverarbeitung nach Artikel 28 DS-GVO ab, welche diese Dienstleister zur Einhaltung gesetzlicher Standards im Hinblick auf Datenschutz und Datensicherheit verpflichtet. Dadurch sind die Auftragsverarbeiter an unsere Weisungen gebunden und werden von uns regelmäßig kontrolliert. Die Auftragsverarbeiter, deren Dienste in Anspruch genommen werden, werden diese Daten nicht an Dritte weitergeben, sondern sie nach Vertragserfüllung und dem Abschluss gesetzlicher Speicherfristen löschen, soweit Sie nicht in eine darüber hinausgehende Speicherung eingewilligt haben. 

Im Einzelnen nutzen wir folgende Tools und Anbieter

a. Google Firebase

In der Mobile App verwenden wir Firebase (https://www.firebase.com/), ein Framework der Google-Tochter Firebase mit Sitz in San Francisco, CA, USA, über das wir die folgenden Echtzeitfunktionen verfolgen und verwalten:

• Wir verwenden Firebase Crashlytics, um App-Abstürze zu verfolgen, sobald sie auftreten, und um zukünftige zu verhindern. Im Falle eines App-Absturzes wird ein Bericht erstellt, der den Typ und das Betriebssystem des Geräts, die letzten Aktivitäten in der App und die Geolokalisierung in pseudonymer Form enthält und an Google gesendet wird. Informationen zur Funktionalität von Crashlytics finden Sie unter https://firebase.google.com/products/crashlytics/
• Die Mobile App verwendet Firebase Remote Config, um es uns zu ermöglichen, die App auf den Geräten zu ändern, auf denen sie installiert ist, ohne dass die App im jeweiligen App Store komplett neu installiert werden muss. Dazu werden die Geräteinformationen, die Sprache, das Land und die regionalen Einstellungen an Google in den USA übertragen und dort verarbeitet. Informationen zur Funktionalität der Remote Config finden Sie unter https://firebase.google.com/products/remote-config/

Bei allen genannten Firebase Diensten werden nur anonymisierte oder pseudonymisierte Benutzerdaten an Firebase (Google) übermittelt. Die Datenschutzerklärung von Firebase ist unter https://www.firebase.com/terms/privacy-policy.html verfügbar und Informationen über die spezifischen Daten, die in den genannten Diensten verwendet werden, findest du unter https://firebase.google.com/support/privacy

Die Rechtsgrundlage für die Nutzung von Firebase ist unser berechtigtes Interesse daran, MindDoc dauerhaft instand zu halten und seine Leistungsfähigkeit nach Artikel 6 Abs. 1 DSGVO zu bewerten.

b. Branch Metrics (nur für Nutzer der MindDoc-App in den Vereinigten Staaten von Amerika/USA)

Unsere App verwendet Branch Metrics deren Betreiber die Branch Metrics Inc., 2443 Ash Street, Palo Alto, CA 94306, USA ist. Dieser Dienst ist eine Open-Source Lösung, welche es ermöglicht mit entsprechender Software Development Kits (SDKs) für Web, iOS und Android Betriebssyteme zielgerichtete Smartlinks zu Inhalten innerhalb einer App zu generieren als auch für statistische Analysen und für Marketingmaßnahmen Marketing- und Attributionsdaten zu erheben (letzteres nur in den USA). Im Rahmen der Bereitstellung des Dienstes und seiner Funktionen werden seitens Branch Metrics Daten erhoben wie bspw. Betriebssystem und -version, Zeitstempel, API-Schlüssel (Identifikationsschlüssel der Anwendung), Anwendungsversion, Gerätemodell, -hersteller und -identifikationsnummer, iOS Identifikationsschlüssel für Advertising, iOS Identifikationsschlüssel für Vendoren, Android Identifikationsschlüssel für Advertising, IP-Adresse und Netzwerkstatus erhoben. Die genannten Daten, werden dabei ausschließlich für diesen Zweck erhoben und verschlüsselt.

Rechtsgrundlage hierfür ist Artikel 6 Abs. 1 lit. a DS-GVO.

Wie kann ich das verhindern?

Du kannst diese Erhebung für Dein Gerät jederzeit über diesen Link deaktivieren https://branch.app.link/device-opt-out oder generell in Deinem Android oder iOS Gerät die Nutzung bestimmter Daten einschränken.

c. Zum Versand von e-Mails im Rahmen der Erstellung, Verifizierung, und Verwaltung deines persönlichen, optionalen MindDoc Accounts nutzen wir den Anbieter Mailgun (535 Mission St., 14th Floor San Francisco, CA 94105, USA). Dieser verarbeitet und speichert die e-Mail Adresse, deren Inhalt, den Betreff und andere Metadaten in einem Hochsicherheitsrechenzentrum in Frankfurt am Main und löscht sie nach maximal 5 Tagen wieder. 

d. Für das Hosting der Daten als auch unserer Anwendungen, Datenbanken und Server nutzen wir die Cloud Services von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Ireland), die für uns als Auftragsverarbeiter tätig ist und Daten in einem Hochsicherheitsrechenzentrum in Frankfurt am Main und Irland speichert.

e. Für den Versand von Push-Benachrichtigungen nutzen wir die Dienste von OneSignal, einem US-amerikanischen Unternehmen mit Sitz in 2850 S Delaware St Suite 201, San Mateo, CA 94403, das Daten deines Geräts verarbeitet, um dieses für den Versand von Push-Benachrichtigungen zu identifizieren. Unter https://documentation.onesignal.com/docs/data-collected-by-the-onesignal-sdk kannst du sehen, welche Daten von OneSignal verarbeitet werden (Hinweis: OneSignal sammelt keine IP-Adressen EU Nutzern).

Rechtsgrundlage hierfür ist Artikel 6 Abs. 1 lit. f DS-GVO.

Als Nutzer unserer App hast du, je nach den Gegebenheiten des konkreten Falls, folgende Datenschutzrechte:

1. 1. Auskunft (Art. 15 DS-GVO): Auskunft über deine von uns verarbeiteten personenbezogenen Daten zu erhalten;
   2. Berichtigung (Art. 16 DS-GVO): Unverzügliche Berichtigung unrichtiger dich betreffende personenbezogene Daten;
   3. Löschung (Art. 17 DS-GVO): Die Löschung deiner personenbezogenen Daten unter den dort genannten Voraussetzungen;
   4. Einschränkung der Verarbeitung (Art. 18 DS-GVO): Die Einschränkung der Verarbeitung deiner personenbezogenen Daten unter den dort genannten Voraussetzungen zu verlangen;
   5. Übertragbarkeit von Daten (Art. 20 DS-GVO): Die dich betreffenden personenbezogenen Daten, die du uns bereitgestellt hast, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln; du hast gegebenenfalls auch das Recht zu verlangen, dass wir die personenbezogenen Daten direkt einem anderen Verantwortlichen übermitteln, soweit dies technisch machbar ist;
   6. Widerspruch gegen die unzumutbare Datenverarbeitung (Art. 21 DS-GVO): Verarbeiten wir deine Daten auf der Grundlage eines berechtigten Interesses, so kannst Du gegen diese Datenverarbeitung jederzeit Widerspruch einlegen; dies würde auch für ein auf diese Bestimmungen gestütztes Profiling gelten. Wir verarbeiten deine Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Deine Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Der Verarbeitung Deiner Daten zum Zweck der Direktwerbung kannst Du jederzeit ohne Angabe von Gründen widersprechen;
   7. Verweigerung und Widerruf der Einwilligung:
      Die Einwilligung zu verweigern oder – ohne Auswirkung auf die Rechtmäßigkeit der vor dem Widerruf erfolgten Datenverarbeitungen – deine Einwilligung zur Verarbeitung deiner personenbezogenen Daten jederzeit zu widerrufen;
   8. Beschwerderecht: Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten durch uns zu beschweren.

Die Verarbeitung deiner Daten ist zum Abschluss bzw. zur Erfüllung deines mit uns eingegangenen Vertrages zur Nutzung der MindDoc-App und im Falle der Anlage des optionalen Accounts erforderlich. Zusätzlich ist dies bei der Nutzung des optionalen Angebotes des hiervon unabhängigen Services der MindDoc Onlinetherapie (https://www.minddoc.de) erforderlich. Wenn Du uns diese Daten nicht zur Verfügung stellst, können wir die Dienstleistung nicht erbringen.

Falls du von einem dieser Rechte Gebrauch machen willst, kannst du deine Daten direkt in der App im Bereich “Einstellungen → Daten & Sicherheit” löschen. Natürlich kannst du vorher mittels einer automatischen Export-Funktion übertragen. Alternativ kannst du uns per e-Mail von der bei uns registrierten Adresse an feedback@MindDoc.de oder unter Nennung deiner persönlichen Identifikationsnummer (UID – diese findest Du im Bereich Einstellungen ganz unten) dein Anliegen schreiben. Wir werden dies dann unverzüglich prüfen und mit dir Kontakt aufnehmen. 

Wir behalten uns das Recht vor, diese Datenschutzerklärung unter Beachtung der datenschutzrechtlichen Vorgaben zu ändern. Die jeweils aktuelle Fassung findest du jeweils an dieser Stelle oder einer anderen entsprechenden, leicht auffindbaren Stelle unserer App.
Falls du Fragen, Anregungen oder Kommentare hast, kannst du dich gerne an unseren Datenschutzbeauftragten wenden: Datenschutzbeauftragter der MindDoc Health GmbH, Leopoldstraße 159, München, E-Mail: datenschutz[at]schoen-klinik.de