Du und deine Daten – die Datenschutzerklärung von Moodpath

Wir, die MindDoc Health GmbH, Leopoldstraße 159, 80804 München (im Folgenden auch „Moodpath“) erheben und verarbeiten deine personenbezogenen Daten im Zusammenhang mit der Moodpath-App (im Folgenden auch „App“) und sind „Verantwortliche“ im Sinne der Datenschutz-Grundverordnung (DSGVO).

Für uns ist der Schutz und die Vertraulichkeit deiner Daten sehr wichtig. Wir verarbeiten deine Daten daher nur, soweit

• dies zur Erbringung der von dir angeforderten Moodpath-Leistungen erforderlich ist,
• du in die Verarbeitung eingewilligt hast oder
• wir sonst aufgrund der Datenschutzgesetze dazu befugt sind.

Für die Verarbeitung deiner Gesundheitsdaten holen wir immer gesondert eine Einwilligung von dir ein. In die Verarbeitung dieser Daten kannst du z.B. durch Klicken einwilligen. Deine Einwilligung wird von uns protokolliert.

Falls du Fragen, Anregungen oder Kommentare hast, kannst du dich gerne an unseren Datenschutzbeauftragten wenden:  Martin Kuhr. Datenschutzbeauftragter der MindDoc Health GmbH, Leopoldstraße 159, München, E-Mail: datenschutz[at]schoen-kliniken.de 

Personenbezogene Daten sind gesetzlich besonders geschützt. Unter solchen Daten versteht man Informationen, die sich auf einen identifizierten oder identifizierbaren Menschen beziehen.

Wir erheben grundsätzlich keine Daten, die eine direkte Zuordnung zu deiner Person erlauben.  Für die Nutzung unserer App musst du insbesondere keine Klardaten von dir eingeben (z. B. Deinen Namen, deine E-Mail-Adresse oder deine Wohnanschrift). Wir gehen davon aus, dass wir in aller Regel keine personenbezogenen Daten von dir verarbeiten. Trotzdem ist ein streng vertraulicher Umgang mit all deinen Daten für uns sehr wichtig. Daher behandeln wir alle Daten nach denselben Regeln, die auch für personenbezogene Daten gelten.

Gesundheitsdaten

Innerhalb der App kannst du ein 14-tägiges Screening durchlaufen, um eine Einschätzung zu erhalten, ob du an einer Depression leidest. Im Rahmen dieses Screenings beantwortest du verschiedene Fragen und teilst der App mit, wie es dir geht. Zudem kannst du weitere Leistungen, z.B. Bezahlangebote, nutzen, die in Ziff. 2 unser AGB näher beschrieben werden. Die folgenden Gesundheitsdaten erheben, verarbeiten und nutzen wir, um für dich die Leistungen gemäß Ziff. 2 unserer AGB erbringen zu können:

• Daten aus der Moodpath-Befragung:
  • Depressionsfragen
  • Fragen zu anderen Beschwerden und Symptomen
  • Fragen zu deinen Lebensbedingungen, Freizeitaktivitäten und deiner Biografie
  • Auswertungen der oben genannten Daten bzgl. Schwere und Art der angegebenen Symptome, sowie psychologischen Zusammenhängen der Antworten.
• Trackingdaten
  • Deine Angaben auf einer Skala aus Smileys, mit der du regelmäßig deine Stimmung dokumentieren kannst
  • Von dir erstellte textbasierte Notizeingaben, welche verschlüsselt übertragen und bei uns gespeichert werden.
  • Wenn du innerhalb der App explizit dazu einwilligst, speichern wir Daten aus deiner Apple Health (iOS) oder Google Fit (Android) Anwendung. Das sind primär die Anzahl Schritte pro Tag und andere Indikationen deiner körperlichen Aktivität. Wir nutzen diese Daten zur Erbringung unserer Dienste innerhalb von Moodpath, insbesondere um dir Zusammenhänge zwischen psychologischen Faktoren und deiner physischen Aktivität rückzumelden. Moodpath sendet keine Daten an Apple Health oder Google Fit.
• Daten aus den psychologischen Übungen
  • Textbasierte Eingaben bei den Übungen
  • Die von dir im Zuge der Übungen hochgeladenen Fotos

Technische Daten

Das sind Daten, die uns darüber informieren, welche Hard- und Software du für den Zugriff auf unsere App verwendest:

• Daten über die Mobil-Plattform (iOS/Android)
• Version der App
• Gerätemodell
• Systemversion
• Sogenannten „Identifier for Advertising in Apple“ für iOS Geräte
• Die sog. „Advertising ID“ für Android Geräte
• Überprüfung des Zahlungsbelegs bei Apple und Google (die Belege enthalten weder deinen Namen noch deine Adressen)

Daten zur App-Nutzung

Das sind Daten, die uns darüber informieren, wie und wie oft du unsere App benutzt:

• Wie oft wurde die App geöffnet?
• Welche Bereiche wurden in der App angeklickt?
• Verwendete App-Einstellungen (Spracheinstellungen, Notifikationen)
• Feedback-Daten (inkl. E-Mail-Dienst).

Deine Gesundheitsdaten, technischen Daten und Daten zur App-Nutzung erheben und speichern wir, während du unsere App nutzt. Wenn du dein Einverständnis erteilst, übermitteln wir deine Gesundheitsdaten auch an teilnehmende Ärzte und Therapeuten (nachfolgend auch „Behandler“) auf der AURORA-Plattform (siehe dazu Ziff. 6). Darüber hinaus übermitteln wir deine Gesundheitsdaten in vollständig anonymisierter Form an die Universitäten, mit denen Moodpath eine Forschungskooperation unterhält. Eine aktuelle Darstellung dieser Universitäten findest du hier: https://www.mymoodpath.com/de/wissenschaft/.

Moodpath erhebt, verarbeitet und nutzt die unter Ziff. 2 genannten Daten, um die in Ziff. 2 unserer AGB genannten Leistungen zu erbringen (Art. 1 Abs. 1 S.1 lit. b) DSGVO). Dadurch, dass du uns deine Daten zur Verfügung stellst, können wir die versprochenen Dienste erbringen.

Du bist nicht dazu verpflichtet, deine personenbezogenen Daten bereitzustellen Art. 13 Abs. 2 lit. e) DSGVO). Ebenso ist die Nutzung unserer App und der damit verbundenen Dienstleistungen freiwillig. Falls du uns die erforderlichen Daten jedoch nicht bereitstellen möchtest, können wir die unter Ziff. 2 der AGB genannten Leistungen nicht für dich erbringen.

Sofern du die Kommunikation mit einem Behandler, beispielsweise einem Arzt oder Therapeuten, freigibst, können alle für die medizinische Begleitung notwendigen Gesundheitsinformationen über die AURORA-Plattform (www.aurora-health.de) ausgetauscht werden.

Moodpath übermittelt darüber hinaus deine Gesundheitsdaten in vollständig anonymisierter Form zu Forschungszwecken an die oben (Ziff. 3) genannten Universitäten.

Für die Zahlungsabwicklung werden ausschließlich die zahlungsrelevanten Daten an Apple-iTunes und Google Play Store übermittelt.

Deine Daten gemäß Ziff. 2 dieser Datenschutzerklärung werden bei uns gespeichert, solange dies für die Nutzung unserer App und der damit verbundenen Dienste erforderlich ist. Die anonymisierten Daten können für Forschungszwecke auch zeitlich unbegrenzt gespeichert werden. Bitte beachte, dass die an der AURORA-Plattform teilnehmenden Behandler, mit denen du dich ausgetauscht hast, aufgrund gesetzlicher Vorschriften dazu verpflichtet sein können, deine Gesundheitsdaten ggfs. für einen längeren Zeitraum zu speichern als Moodpath. Für die Einhaltung etwaiger gesetzlicher Speicherpflichten sind allein die Behandler verantwortlich.

Wir geben deine Daten grundsätzlich nicht an Dritte weiter, es sei denn, wir sind hierzu gesetzlich berechtigt oder verpflichtet, oder du hast uns hierzu die Einwilligung erteilt.

Nach entsprechender Freigabe und mit deinem Einverständnis übermitteln wir deine Daten über die AURORA-Plattform an teilnehmende Behandler. Moodpath fungiert in diesem Fall als Auftragsverarbeiter gemäß Art. 28 DSGVO. Moodpath verpflichtet sich zur Einhaltung der gesetzlichen Bestimmungen über den Datenschutz und zur Datensicherheit.

Zudem übermitteln wir deine Gesundheitsdaten im Rahmen von Forschungskooperationen in vollständig anonymisierter Form an oben genannten Universitäten (Ziff. 3).

Im Rahmen der Nutzung der nachfolgend unter Nummer 8 beschriebenen Tools von Drittanbietern können deine personenbezogenen Daten in die USA an diese Anbieter übermittelt werden. In diesen Fällen werden wir stets geeignete Maßnahmen treffen, um deine Daten angemessen zu sichern. Die Übertragung in die USA findet auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission statt (Art. 45 DSGVO), da die Empfänger am EU-US-Privacy-Shield teilnehmen. Weitere Informationen hierzu findest du unter www.privacy shield.gov.

Auf der AURORA-Plattform kannst du deine Gesundheitsdaten mit dem von dir ausgewählten Behandler teilen und dich mit diesem austauschen. AURORA ist eine Plattform für Behandler wie Ärzte und Psychotherapeuten, welche eine gesicherte Verwaltung von Patientendaten ermöglicht und mit der App integriert ist. Die AURORA-Plattform optimiert die ärztliche Begleitung und richtet eine Onlinekommunikation zwischen dir und deinem behandelnden Arzt bzw. Therapeuten ein. Darüber hinaus kannst du auch einen Arzt oder Therapeuten auf der AURORA-Plattform zur Kommunikation einladen.

Nach Abschluss des 14-tägigen Screenings erstellt die App einen technischen Befundbericht, der zur weiteren Behandlung durch einen Arzt oder Therapeuten verwendet werden kann.

Du kannst den technischen Befundbericht entweder mit einem Freischaltcode oder per E-Mail und SMS mit einem Arzt oder Therapeuten teilen.

Du kannst den Befund auch ohne Verwendung der AURORA-Plattform mit deinem behandelnden Arzt oder Therapeuten teilen, z. B. durch Download und Email, oder Ausdrucken.

Wir speichern deine Daten nicht auf deinem Gerät, um eine größtmögliche Sicherheit zu gewährleisten und um ein reibungsloses Funktionieren der App zu ermöglichen. Deine Daten speichern wir auf Servern unserer IT Dienstleister in Frankfurt am Main, die deine Daten in unserem Auftrag und auf der Rechtsgrundlage des Art. 28 DSGVO verarbeiten und zur Einhaltung der gesetzlichen Bestimmungen über den Datenschutz und zur Datensicherheit verpflichtet sind. Zudem legen wir für den Fall, dass du dein Telefon verlierst oder Moodpath parallel auf mehreren Geräten nutzen möchtest eine verschlüsselte ID auf den Servern von Apple und Google ab, mit der nur unsere App kommunizieren kann.

Wir treffen Vorkehrungen zum Schutz deiner Daten und um Missbrauch zu verhindern.

Die App kommuniziert mit dem Server über verschlüsselte Verbindungen mittels SSL (Secure Socket Layer), wodurch verhindert wird, dass Dritte deine Daten unberechtigterweise auslesen können. Sowohl Server als auch Datenbanken befinden sich hinter Firewalls, um den Zugriff zu beschränken. Unser Provider, Google Cloud, ist ein ISO 27001, ISO 27017 und ISO 27018 zertifizierter Hosting-Provider, der von der international anerkannten Wirtschaftsprüfungsgesellschaft Ernst & Young geprüft und zertifiziert ist. Die europäische ISO 27001 Zertifizierung entspricht den Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die europäische ISO 27017 Zertifizierung ist ein internationaler Standard zur Absicherung von Cloud Services (Cloud Security), der durch die ISO 27018 insbesondere im Hinblick auf den Schutz personenbezogener Daten (Cloud Privacy) ergänzt wird.

Bitte beachte, dass es in einigen Arbeitsverhältnissen nicht erlaubt ist, während der Arbeitszeiten oder von deinem Arbeitsplatz aus das Internet zu privaten Zwecken zu nutzen. Einige Arbeitgeber überwachen unerlaubte Internetaktivitäten am Arbeitsplatz gezielt. Auch, wenn du sonst in multipler Netzwerkumgebung angeschlossen bist, musst du dir dessen bewusst sein, dass dann stets das Risiko ungewollter Zugriffe besteht.

Moodpath beauftragt teilweise Fremdanbieter mit der Erbringung von Dienstleistungen zur Analyse und Auswertung von Nutzerverhaltensweisen. Wir tun dies, um Moodpath stetig verbessern und weiterentwickeln zu können. Die hierzu übermittelten Informationen sind pseudonymisiert.

Im Einzelnen nutzen wir folgende Tools:

a. Google Firebase

• In der Mobile App verwenden wir Firebase (https://www.firebase.com/), ein Framework der Google-Tochter Firebase mit Sitz in San Francisco, CA, USA, über das wir die folgenden Echtzeitfunktionen verfolgen und verwalten—
  1. 1. Protokollierung von grundlegenden Benutzerereignissen für Firebase;
     2. Verfolgung von App-Crashes und deren Ursachen durch Firebase Crashlytics;
     3. Konfiguration der App-Einstellungen über Firebase Remote Config; und

  Bei allen genannten Firebase Diensten werden nur anonymisierte oder pseudonymisierte Benutzerdaten an Firebase (Google) übermittelt. Die Datenschutzerklärung von Firebase ist unter https://www.firebase.com/terms/privacy-policy.html verfügbar.

• Wir verwenden Firebase Crashlytics, um App-Abstürze zu verfolgen, sobald sie auftreten, und um zukünftige zu verhindern. Im Falle eines App-Absturzes wird ein Bericht erstellt, der den Typ und das Betriebssystem des Geräts, die letzten Aktivitäten in der App und die Geolokalisierung in pseudonymer Form enthält und an Google gesendet wird. Informationen zur Funktionalität von Crashlytics finden Sie unter https://firebase.google.com/products/crashlytics/
• Die Mobile App verwendet Firebase Remote Config, um es uns zu ermöglichen, die App auf den Geräten zu ändern, auf denen sie installiert ist, ohne dass die App im jeweiligen App Store komplett neu installiert werden muss. Dazu werden die Geräteinformationen, die Sprache, das Land und die regionalen Einstellungen an Google in den USA übertragen und dort verarbeitet. Informationen zur Funktionalität der Remote Config finden Sie unter https://firebase.google.com/products/remote-config/
• Die Rechtsgrundlage für die Nutzung von Firebase ist unser berechtigtes Interesse daran, Moodpath dauerhaft instand zu halten und seine Leistungsfähigkeit nach Artikel 6 Abs. 1 DSGVO zu bewerten.

b. Branch Metrics

Unsere App verwendet Branch Metrics deren Betreiber die Branch Metrics Inc., 2443 Ash Street, Palo Alto, CA 94306, USA ist. Dieser Dienst ist eine Open-Source Lösung, welche es ermöglicht mit entsprechender Software Development Kits (SDKs) für Web, iOS und Android Betriebssyteme zielgerichtete Smartlinks zu Inhalten innerhalb einer App zu generieren. Im Rahmen der Bereitstellung des Dienstes und seiner Funktionen werden seitens Branch Metrics Daten erhoben. Es handelt sich hierbei um verschlüsselte, pseudonymisierte Geräte-IDs.

Du kannst deine Daten löschen, indem du in den Einstellungen der App unter „Deine Daten verwalten“ auf „Alle gespeicherten Daten löschen“ klickst. Damit werden unwiderruflich alle deine Daten aus unseren Datenbanken gelöscht. Bitte beachte, dass die an der AURORA-Plattform teilnehmenden Behandler, aufgrund gesetzlicher Vorschriften dazu verpflichtet sein können, deine Gesundheitsdaten ggfs. für einen längeren Zeitraum zu speichern als Moodpath.

Als Nutzer unserer App hast du, je nach den Gegebenheiten des konkreten Falls, folgende Datenschutzrechte:

1. Auskunft
   Auskunft über deine bei uns verarbeiteten personenbezogenen Daten zu erhalten sowie Zugang zu deinen personenbezogenen Daten und/oder Kopien dieser Daten zu verlangen. Dies schließt Auskünfte über den Zweck der Nutzung, die Kategorie der genutzten Daten, deren Empfänger und Zugriffsberechtigte sowie, falls möglich, die geplante Dauer der Datenspeicherung oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, ein;
2. Berichtigung, Löschung oder Einschränkung der Verarbeitung
   Die Berichtigung, Löschung oder Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen, bspw. wenn (i) die Daten unvollständig oder unrichtig sind, (ii) sie für die Zwecke, für die sie erhoben wurden nicht mehr notwendig sind, (iii) die Einwilligung, auf die sich die Verarbeitung stützte, widerrufen wurde, oder (iv) du erfolgreich von einem Widerspruchsrecht zur Datenverarbeitung Gebrauch gemacht hast; in Fällen, in denen die Daten von dritten Parteien verarbeitet werden, werden wir deine Anträge auf Berichtigung, Löschung oder Einschränkung der Verarbeitung an diese dritten Parteien weiterleiten, es sei denn dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;
3. Widerspruch gegen die Verarbeitung
   Aus Gründen, die sich aus deiner besonderen Situation ergeben, der Verarbeitung zu widersprechen;
4. Übertragbarkeit von Daten
   Die dich betreffenden personenbezogenen Daten, die du uns bereitgestellt hast, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln; du hast gegebenenfalls auch das Recht zu verlangen, dass wir die personenbezogenen Daten direkt einem anderen Verantwortlichen übermitteln, soweit dies technisch machbar ist;
5. Verweigerung und Widerruf der Einwilligung
   Die Einwilligung zu verweigern oder – ohne Auswirkung auf die Rechtmäßigkeit der vor dem Widerruf erfolgten Datenverarbeitungen – deine Einwilligung zur Verarbeitung deiner personenbezogenen Daten jederzeit zu widerrufen;
6. Automatische Entscheidungen
   Zu verlangen, nur in den gesetzlichen Ausnahmefällen einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, wenn diese Entscheidung dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt; sollte eine solche automatisierte Entscheidung ausnahmsweise stattfinden, hast du das Recht, Informationen zur involvierten Logik sowie zur Tragweite der angestrebten Auswirkungen zu erhalten;
7. Beschwerderecht
   Mit der Datenschutzaufsichtsbehörde zu kommunizieren und sich ggf. bei dieser zu beschweren.

Wir behalten uns das Recht vor, diese Datenschutzerklärung unter Beachtung der datenschutzrechtlichen Vorgaben zu ändern. Die jeweils aktuelle Fassung findest du jeweils an dieser Stelle oder einer anderen entsprechenden, leicht auffindbaren Stelle unserer App.

Falls du Fragen, Anregungen oder Kommentare hast, kannst du dich gerne an unseren Datenschutzbeauftragten wenden:  Martin Kuhr. Datenschutzbeauftragter der MindDoc Health GmbH, Leopoldstraße 159, München, E-Mail: datenschutz[at]schoen-kliniken.de