Du und deine Daten – die Datenschutzerklärung von Moodpath

Wir, die Aurora Health GmbH, Friedelstraße 27, 12047 Berlin (im Folgenden auch „Moodpath“) erheben und verarbeiten deine personenbezogenen Daten im Zusammenhang mit der Moodpath-App (im Folgenden auch „App“) und sind „Verantwortliche“ im Sinne der Datenschutz-Grundverordnung (DSGVO).

Für uns ist der Schutz und die Vertraulichkeit deiner Daten sehr wichtig. Wir verarbeiten deine Daten daher nur, soweit

• dies zur Erbringung der von dir angeforderten Moodpath-Leistungen erforderlich ist,
• du in die Verarbeitung eingewilligt hast oder
• wir sonst aufgrund der Datenschutzgesetze dazu befugt sind.

Für die Verarbeitung deiner Gesundheitsdaten holen wir immer gesondert eine Einwilligung von dir ein. In die Verarbeitung dieser Daten kannst du z.B. durch Klicken einwilligen. Deine Einwilligung wird von uns protokolliert.

Falls du Fragen, Anregungen oder Kommentare hast, kannst du dich gerne an unseren Datenschutzbeauftragten wenden:  Mike Peter, MpP Group. Datenschutzbeauftragter der Aurora Health GmbH, Friedelstraße 27, 12047 Berlin, Telefon 06341-6731696, E-Mail: m.peter@mpp-group.de

Personenbezogene Daten sind gesetzlich besonders geschützt. Unter solchen Daten versteht man Informationen, die sich auf einen identifizierten oder identifizierbaren Menschen beziehen.

Wir erheben grundsätzlich keine Daten, die eine direkte Zuordnung zu deiner Person erlauben.  Für die Nutzung unserer App musst du insbesondere keine Klardaten von dir eingeben (z. B. Deinen Namen, deine E-Mail-Adresse oder deine Wohnanschrift). Wir gehen davon aus, dass wir in aller Regel keine personenbezogenen Daten von dir verarbeiten. Trotzdem ist ein streng vertraulicher Umgang mit all deinen Daten für uns sehr wichtig. Daher behandeln wir alle Daten nach denselben Regeln, die auch für personenbezogene Daten gelten.

Gesundheitsdaten

Innerhalb der App kannst du ein 14-tägiges Screening durchlaufen, um eine Einschätzung zu erhalten, ob du an einer Depression leidest. Im Rahmen dieses Screenings beantwortest du verschiedene Fragen und teilst der App mit, wie es dir geht. Zudem kannst du weitere Leistungen, z.B. Bezahlangebote, nutzen, die in Ziff. 2 unser AGB näher beschrieben werden. Die folgenden Gesundheitsdaten erheben, verarbeiten und nutzen wir, um für dich die Leistungen gemäß Ziff. 2 unserer AGB erbringen zu können:

• Daten aus der Moodpath-Befragung:
  • Depressionsfragen
  • Fragen zu anderen Beschwerden und Symptomen
  • Auswertungen der oben genannten Daten bzgl. Schwere und Art der angegebenen Symptome.
• Stimmungsdaten
  • Deine Angaben auf einer Skala aus Smileys, mit der du regelmäßig deine Stimmung dokumentieren kannst.
  • Von dir erstellte textbasierte Notizeingaben, welche verschlüsselt übertragen und bei uns gespeichert werden.
• Daten aus dem Bereich „mein Plan“
  • Deine angestrebten Ziele aus einer von uns vorgeschlagenen Liste
  • Textbasierte Eingaben bei den Übungen
  • Überprüfung des Zahlungsbelegs bei Apple und Google (die Belege enthalten weder deinen Namen noch deine Adressen)
  • Optional: Die von dir im Zuge der Übungen hochgeladenen Fotos
  • Wenn die Lokalisierungsfunktion Deines Kartendienstes des Smartphone aktiviert ist: Lokalisationsdaten, um dir ortsgebundene Übungen vorschlagen zu können (z. B. einen Spaziergang zu machen in einem Park in deiner Nähe)

Technische Daten

Das sind Daten, die uns darüber informieren, welche Hard- und Software du für den Zugriff auf unsere App verwendest:

• Daten über die Mobil-Plattform (iOS/Android)
• Version der App
• Gerätemodell
• Systemversion
• Sogenannten „Identifier for Advertising in Apple“ für iOS Geräte
• Die sog. „Advertising ID“ für Android Geräte

Daten zur App-Nutzung

Das sind Daten, die uns darüber informieren, wie und wie oft du unsere App benutzt:

• Wie oft wurde die App geöffnet?
• Welche Bereiche wurden in der App angeklickt?
• Verwendete App-Einstellungen (Spracheinstellungen, Notifikationen)
• Feedback-Daten (inkl. E-Mail-Dienst).

Deine Gesundheitsdaten, technischen Daten und Daten zur App-Nutzung erheben und speichern wir, während du unsere App nutzt. Wenn du dein Einverständnis erteilst, übermitteln wir deine Gesundheitsdaten auch an teilnehmende Ärzte und Therapeuten (nachfolgend auch „Behandler“) auf der AURORA-Plattform (siehe dazu Ziff. 6). Darüber hinaus übermitteln wir deine Gesundheitsdaten in vollständig anonymisierter Form an die Universitäten, mit denen Moodpath eine Forschungskooperation unterhält. Eine aktuelle Darstellung dieser Universitäten findest du hier: https://www.mymoodpath.com/de/wissenschaft/.

Moodpath erhebt, verarbeitet und nutzt die unter Ziff. 2 genannten Daten, um die in Ziff. 2 unserer AGB genannten Leistungen zu erbringen (Art. 1 Abs. 1 S.1 lit. b) DSGVO). Dadurch, dass du uns deine Daten zur Verfügung stellst, können wir die versprochenen Dienste erbringen.

Du bist nicht dazu verpflichtet, deine personenbezogenen Daten bereitzustellen Art. 13 Abs. 2 lit. e) DSGVO). Ebenso ist die Nutzung unserer App und der damit verbundenen Dienstleistungen freiwillig. Falls du uns die erforderlichen Daten jedoch nicht bereitstellen möchtest, können wir die unter Ziff. 2 der AGB genannten Leistungen nicht für dich erbringen.

Sofern du die Kommunikation mit einem Behandler, beispielsweise einem Arzt oder Therapeuten, freigibst, können alle für die medizinische Begleitung notwendigen Gesundheitsinformationen über die AURORA-Plattform (www.aurora-health.de) ausgetauscht werden.

Moodpath übermittelt darüber hinaus deine Gesundheitsdaten in vollständig anonymisierter Form zu Forschungszwecken an die oben (Ziff. 3) genannten Universitäten.

Für die Zahlungsabwicklung werden ausschließlich die zahlungsrelevanten Daten an Apple-iTunes und Google Play Store übermittelt.

Deine Daten gemäß Ziff. 2 dieser Datenschutzerklärung werden bei uns gespeichert, solange dies für die Nutzung unserer App und der damit verbundenen Dienste erforderlich ist. Die anonymisierten Daten können für Forschungszwecke auch zeitlich unbegrenzt gespeichert werden. Bitte beachte, dass die an der AURORA-Plattform teilnehmenden Behandler, mit denen du dich ausgetauscht hast, aufgrund gesetzlicher Vorschriften dazu verpflichtet sein können, deine Gesundheitsdaten ggfs. für einen längeren Zeitraum zu speichern als Moodpath. Für die Einhaltung etwaiger gesetzlicher Speicherpflichten sind allein die Behandler verantwortlich.

Wir geben deine Daten grundsätzlich nicht an Dritte weiter, es sei denn, wir sind hierzu gesetzlich berechtigt oder verpflichtet, oder du hast uns hierzu die Einwilligung erteilt.

Nach entsprechender Freigabe und mit deinem Einverständnis übermitteln wir deine Daten über die AURORA-Plattform an teilnehmende Behandler. Moodpath fungiert in diesem Fall als Auftragsverarbeiter gemäß Art. 28 DSGVO. Moodpath verpflichtet sich zur Einhaltung der gesetzlichen Bestimmungen über den Datenschutz und zur Datensicherheit.

Zudem übermitteln wir deine Gesundheitsdaten Im Rahmen von Forschungskooperationen in vollständig anonymisierter Form an oben genannten Universitäten (Ziff. 3).

Im Rahmen der Nutzung der nachfolgend unter Nummer 8 beschriebenen Tools von Drittanbietern können deine personenbezogenen Daten in die USA an diese Anbieter übermittelt werden. In diesen Fällen werden wir stets geeignete Maßnahmen treffen, um deine Daten angemessen zu sichern. Die Übertragung in die USA findet auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission statt (Art. 45 DSGVO), da die Empfänger am EU-US-Privacy-Shield teilnehmen. Weitere Informationen hierzu findest du unter www.privacy shield.gov.

Auf der AURORA-Plattform kannst du deine Gesundheitsdaten mit dem von dir ausgewählten Behandler teilen und dich mit diesem austauschen. AURORA ist eine Plattform für Behandler wie Ärzte und Psychotherapeuten, welche eine gesicherte Verwaltung von Patientendaten ermöglicht und mit der App integriert ist. Die AURORA-Plattform optimiert die ärztliche Begleitung und richtet eine Onlinekommunikation zwischen dir und deinem behandelnden Arzt bzw. Therapeuten ein. Darüber hinaus kannst du auch einen Arzt oder Therapeuten auf der AURORA-Plattform zur Kommunikation einladen.

Nach Abschluss des 14-tägigen Screenings erstellt die App einen technischen Befundbericht, der zur weiteren Behandlung durch einen Arzt oder Therapeuten verwendet werden kann.

Du kannst den technischen Befundbericht entweder mit einem Freischaltcode oder per E-Mail und SMS mit einem Arzt oder Therapeuten teilen.

Du kannst den Befund auch ohne Verwendung der AURORA-Plattform mit deinem behandelnden Arzt oder Therapeuten teilen, z. B. durch Download und Email, oder Ausdrucken.

Wir speichern deine Daten nicht auf deinem Gerät, um eine größtmögliche Sicherheit zu gewährleisten und um ein reibungsloses Funktionieren der App zu ermöglichen. Deine Daten speichern wir auf Servern unserer IT Dienstleister in Frankfurt am Main, die deine Daten in unserem Auftrag und auf der Rechtsgrundlage des Art. 28 DSGVO verarbeiten und zur Einhaltung der gesetzlichen Bestimmungen über den Datenschutz und zur Datensicherheit verpflichtet sind. Zudem legen wir für den Fall, dass du dein Telefon verlierst oder Moodpath parallel auf mehreren Geräten nutzen möchtest eine verschlüsselte ID auf den Servern von Apple ab, mit der nur unsere App kommunizieren kann.

Wir treffen Vorkehrungen zum Schutz deiner Daten und um Missbrauch zu verhindern.

Die App kommuniziert mit dem Server über verschlüsselte Verbindungen mittels SSL (Secure Socket Layer), wodurch verhindert wird, dass Dritte deine Daten unberechtigterweise auslesen können. Sowohl Server als auch Datenbanken befinden sich hinter Firewalls, um den Zugriff zu beschränken. Unser Anbieter AWS orientiert sich an der ISO 27018, einem Verhaltenskodex, der sich auf den Schutz personenbezogener Daten in der Cloud konzentriert. Bitte beachte, dass es in einigen Arbeitsverhältnissen nicht erlaubt ist, während der Arbeitszeiten oder von deinem Arbeitsplatz aus das Internet zu privaten Zwecken zu nutzen. Einige Arbeitgeber überwachen unerlaubte Internetaktivitäten am Arbeitsplatz gezielt. Auch, wenn du sonst in multipler Netzwerkumgebung angeschlossen bist, musst du dir dessen bewusst sein, dass dann stets das Risiko ungewollter Zugriffe besteht.

Moodpath beauftragt teilweise Fremdanbieter mit der Erbringung von Dienstleistungen zur Analyse und Auswertung von Nutzerverhaltensweisen. Wir tun dies, um Moodpath stetig verbessern und weiterentwickeln zu können. Die hierzu übermittelten Informationen sind pseudonymisiert.

Im Einzelnen nutzen wir folgende Tools:

a. Facebook SDK

Wir haben das so genannte Facebook Software Development Kit (SDK) integriert. Das Facebook SDK wird von der Facebook Inc., Palo Alto, USA (Facebook) betrieben. Es unterstützt dabei den Erfolg von Facebook Werbekampagnen zu steigern, indem beispielsweise keine Werbung auf solchen Endgeräten angezeigt wird, auf denen diese bereits installiert ist. Außerdem lässt das Facebook SDK verschiedene Auswertungen zur Installation der App und zum Erfolg der Werbekampagne zu. Zusätzlich können auch einzelne Aktivitäten (Events) des Users innerhalb der App analysiert werden, um so beispielweise die Zielgruppe für Werbekampagnen genauer und besser definieren zu können. Zu diesem Zweck übersenden wir an Facebook pseudonymisierte Daten, wie z.B. die App-ID, und die Information, dass die App gestartet wurde. Als Pseudonym dient dabei die vom Betriebssystem des Endgeräts bereitgestellte Advertising ID.

c. Google Firebase

Wir nutzen den Service Google Firebase zur Ausspielung von Push-Mitteilungen.
Dazu wird ein Device-Token von Apple oder eine Registration-ID von Google zugeteilt. Zweck deren Verwendung durch uns ist allein die Erbringung der Push-Services. Es handelt sich hierbei um verschlüsselte, anonymisierte Geräte-IDs.

d. Crashlytics

Wir arbeiten mit Crashlytics Inc. (“Crashlytics”), einem Dienst das sogenannte Events speichert, wenn Nutzer Moodpath verwenden. Crashlytics sammelt Daten zur App-Verwendung speziell in Bezug auf Systemabstürze und Fehler. Dabei werden Informationen zum Gerät, zu der App-Version, die installiert ist, sowie andere Informationen verwendet, die helfen können, Fehler zu beheben, vor allem in Bezug auf die Soft- und Hardware des Nutzers. Crashlytics wird von Google LLC mit Sitz in den USA betrieben.

e. Tenjin

Moodpath verwendet die Nutzungsauswertungs- und Analysetechnologie Tenjin Inc. Tenjin sammelt Installierungs- und Event-Daten, wie beispielsweise „App geöffnet“. Wir nutzen diese anonymisierten Informationen um zu verstehen, wie unsere Nutzer mit der App interagieren und um Kampagnen zu analysieren. Für eine solche Analyse verwendet Tenjin deine pseudonymisierte IDFA oder Android ID.

f. Branch Metrics

Unsere App verwendet Branch Metrics deren Betreiber die Branch Metrics Inc., 2443 Ash Street, Palo Alto, CA 94306, USA ist. Dieser Dienst ist eine Open-Source Lösung, welche es ermöglicht mit entsprechender Software Development Kits (SDKs) für Web, iOS und Android Betriebssyteme zielgerichtete Smartlinks zu Inhalten innerhalb einer App zu generieren. Im Rahmen der Bereitstellung des Dienstes und seiner Funktionen werden seitens Branch Metrics erhoben. Es handelt sich hierbei um verschlüsselte, pseudonymisierte Geräte-IDs.

Du kannst deine Daten löschen, indem du in den Einstellungen der App unter „Deine Daten verwalten“ auf „Alle gespeicherten Daten löschen“ klickst. Damit werden unwiderruflich alle deine Daten aus unseren Datenbanken gelöscht. Bitte beachte, dass die an der AURORA-Plattform teilnehmenden Behandler, aufgrund gesetzlicher Vorschriften dazu verpflichtet sein können, deine Gesundheitsdaten ggfs. für einen längeren Zeitraum zu speichern als Moodpath.

Als Nutzer unserer App hast du, je nach den Gegebenheiten des konkreten Falls, folgende Datenschutzrechte:

1. Auskunft
   Auskunft über deine bei uns verarbeiteten personenbezogenen Daten zu erhalten sowie Zugang zu deinen personenbezogenen Daten und/oder Kopien dieser Daten zu verlangen. Dies schließt Auskünfte über den Zweck der Nutzung, die Kategorie der genutzten Daten, deren Empfänger und Zugriffsberechtigte sowie, falls möglich, die geplante Dauer der Datenspeicherung oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, ein;
2. Berichtigung, Löschung oder Einschränkung der Verarbeitung
   Die Berichtigung, Löschung oder Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen, bspw. wenn (i) die Daten unvollständig oder unrichtig sind, (ii) sie für die Zwecke, für die sie erhoben wurden nicht mehr notwendig sind, (iii) die Einwilligung, auf die sich die Verarbeitung stützte, widerrufen wurde, oder (iv) du erfolgreich von einem Widerspruchsrecht zur Datenverarbeitung Gebrauch gemacht hast; in Fällen, in denen die Daten von dritten Parteien verarbeitet werden, werden wir deine Anträge auf Berichtigung, Löschung oder Einschränkung der Verarbeitung an diese dritten Parteien weiterleiten, es sei denn dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;
3. Widerspruch gegen die Verarbeitung
   Aus Gründen, die sich aus deiner besonderen Situation ergeben, der Verarbeitung zu widersprechen;
4. Übertragbarkeit von Daten
   Die dich betreffenden personenbezogenen Daten, die du uns bereitgestellt hast, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln; du hast gegebenenfalls auch das Recht zu verlangen, dass wir die personenbezogenen Daten direkt einem anderen Verantwortlichen übermitteln, soweit dies technisch machbar ist;
5. Verweigerung und Widerruf der Einwilligung
   Die Einwilligung zu verweigern oder – ohne Auswirkung auf die Rechtmäßigkeit der vor dem Widerruf erfolgten Datenverarbeitungen – deine Einwilligung zur Verarbeitung deiner personenbezogenen Daten jederzeit zu widerrufen;
6. Automatische Entscheidungen
   Zu verlangen, nur in den gesetzlichen Ausnahmefällen einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, wenn diese Entscheidung dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt; sollte eine solche automatisierte Entscheidung ausnahmsweise stattfinden, hast du das Recht, Informationen zur involvierten Logik sowie zur Tragweite der angestrebten Auswirkungen zu erhalten;
7. Beschwerderecht
   Mit der Datenschutzaufsichtsbehörde zu kommunizieren und sich ggf. bei dieser zu beschweren.

Wir behalten uns das Recht vor, diese Datenschutzerklärung unter Beachtung der datenschutzrechtlichen Vorgaben zu ändern. Die jeweils aktuelle Fassung findest du jeweils an dieser Stelle oder einer anderen entsprechenden, leicht auffindbaren Stelle unserer App.

Bei Fragen, Anregungen oder Kommentaren zum Thema Datenschutz kannst du dich gerne an unseren Datenschutzbeauftragten wenden. Kontaktinformationen: Mike Peter, MpP Group. Datenschutzbeauftragter der Aurora Health GmbH, Friedelstraße 27, 12047 Berlin, Telefon 06341-6731696, E-Mail: m.peter@mpp-group.de