Datenschutz
DATENSCHUTZERKLÄRUNG
Informationserteilung für die medizinische Online-Plattform www.avimedo.at ("Website" oder "Plattform") gemäß Art 13 Datenschutz-Grundverordnung (EU) 2016/679 ("DSGVO") betreffend Datenverarbeitungsvorgänge im Rahmen des Zugriffs auf die Plattform und ihrer Nutzung, insb auch der Inanspruchnahme der angebotenen Leistungen.
Vielen Dank für Ihr Interesse an unserer Website. Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten daher ausschließlich auf Grundlage der gesetzlichen Vorgaben der DSGVO in Verbindung mit dem österreichischen Datenschutzgesetz ("DSG"), dem Gesundheitstelematikgesetz 2012 (GTelG) sowie sonstigen einschlägigen Gesetzesbestimmungen.
Datenschutzrechtliche Vorschriften stellen bis auf gewisse Ausnahmen auf die Verarbeitung personenbezogener Daten ab. Für den Umfang dieser Datenschutzerklärung wird dabei auf das Begriffsverständnis der DSGVO zurückgegriffen. Damit umfasst die "Verarbeitung" von personenbezogenen Daten im Wesentlichen jeglichen Umgang mit denselben. Soweit von uns verarbeitete Daten menschenbeziehbar sind und Sie als Person identifizierbar machen, handelt es sich grundsätzlich um personenbezogene Daten, wodurch Sie als von einer Datenverarbeitung betroffene Person im Sinne von Art 4 Z 1 DSGVO anzusehen sind.
Sie sind nicht zur Bereitstellung von Daten verpflichtet. Aus dem Umstand des Zugriffs auf die Website automatisch verarbeitete Daten sind nicht personenbezogen bzw werden nur für sehr kurze Zeiträume gespeichert (siehe insb Punkt 2.1). Möchten Sie allerdings über die Plattform angebotene Leistungen (als Patient oder kooperierender Arzt) in Anspruch nehmen, müssen sie uns bestimmte Ihrer personenbezogenen Daten preisgeben, die insb über die jeweiligen Eingabeformulare und Auswahlmöglichkeiten ersichtlich sind. Im Hinblick auf (potentielle) Patienten kommt es dabei notwendigerweise zur Verarbeitung von Gesundheitsdaten, die eine besondere Kategorie personenbezogener Daten im Sinne von Art 9 DSGVO darstellen.
Inhalt
1. Informationen zum für die Datenverarbeitung Verantwortlichen
1.1 Verantwortlicher für die Verarbeitung von Nutzer- sowie Patientendaten und Kontakt
1.2 Gemeinsame Verantwortlichkeit
2.1 Websitenutzer als betroffene Personen
2.1.1 Verarbeitung von Zugriffsdaten beim Websiteaufruf
2.1.2 Kontaktaufnahme; Kontaktformular
2.2 Patienten als betroffene Personen
2.2.2 Online-Beratung bzw -Behandlung
2.3 Ärzte als betroffene Personen
2.3.1 Unverbindliche Informationen für Ärzte
2.3.2 Aufnahmeverfahren als Kooperationspartner und Weiterverarbeitung der Ärztedaten
2.4 Gesetzliche Aufbewahrungs- und Dokumentationspflichten
3. Speicher- und Trackingtechnologien
3.2 Local Storage; Session Storage
4.1 Allgemeiner Plattformbetrieb
4.2.4 Google Ads Conversion-Tracking
5. Übermittlung Ihrer Daten; Empfänger
6. Rechte der betroffenen Person
1. Informationen zum für die Datenverarbeitung Verantwortlichen
1.1 Verantwortlicher für die Verarbeitung von Nutzer- sowie Patientendaten und Kontakt
Verantwortlich im Sinne von Art 4 Z 7 DSGVO: | Kontakt: |
Für den Betrieb der Website sowie sämtliche dadurch bedingten Verarbeitungstätigkeiten: | |
AVIMEDO GmbH Oberer Mühlweg 6 6424 Silz (nachfolgend "AVIMEDO" oder "wir") | Tel: +43 677 63778221 E-Mail: info@avimedo.com |
Für die Verarbeitung von Patientendaten im Falle der Inanspruchnahme einer Beratung bzw Behandlung: | |
Der für Ihre Beratung bzw Behandlung | Die Kontaktdaten des für Sie zuständigen Arztes werden Ihnen im Rahmen der Buchung einer Beratung bzw Behandlung über die Plattform entsprechend bereitgestellt. |
1.2 Gemeinsame Verantwortlichkeit
In Bezug auf die Verarbeitung Ihrer Patientendaten ist AVIMEDO im Sinne von Art 26 DSGVO gemeinsam mit dem jeweils über unsere Plattform beratenden Arzt für die Verarbeitung Ihrer Daten verantwortlich (siehe Punkt 2.2).
Dies betrifft insb folgende Verarbeitungstätigkeiten:
- Datenverarbeitungen bei der Durchführung einer Online-Beratung bzw -Behandlung;
- Dokumentation und anschließende Speicherung der Patientendaten in der digitalen Krankenakte;
- jedwede sonstige Datenverarbeitung im Rahmen der telemedizinischen Beratung bzw Behandlung auf Grundlage des mit dem Arzt abgeschlossenen Beratungs- bzw Behandlungsvertrages.
Bei den gemeinsam verarbeiteten Daten handelt es sich um folgende Kategorien:
- Patientenstammdaten (zB Vorname, Nachname, Geburtsdatum, Adressdaten, Geschlecht);
- Basisgesundheitsdaten zur Person (zB Größe, Gewicht, Medikamenteneinnahme, Vorerkrankungen);
- Behandlungsdaten, welche vom Patient durch die Upload-Möglichkeiten auf unserer Website bereitgestellt werden (zB Patientenbefunde, zuvor ausgestellte Arztbriefe etc);
- vom beratenden Arzt in die digitale Krankenakte einbezogene Inhalte (zB Arztbriefe).
Für folgende Verarbeitungstätigkeiten ist AVIMEDO eigenständig verantwortlich:
- allgemeiner Betrieb der Website und generelle Verarbeitung von Nutzerdaten, zB in Server-Logfiles (siehe Punkt 2.1.1), Cookies und ähnliche Technologien (siehe Punkt 3); insb auch Beantwortung von Kontaktanfragen (siehe Punkt 2.1.2), bei denen es zu keiner Verarbeitung von Gesundheitsdaten kommt bzw die keinen Bezug zu einer konkreten Behandlung aufweisen und grundsätzlich durch AVIMEDO selbstständig beantwortet werden können (zB allgemeine Fragen zu unserer Website und unseren Angeboten), sowie der Newsletter-Service (siehe Punkt 2.1.3);
- Erhebung und Weiterverarbeitung der Daten von Ärzten im Rahmen des Zugriffs auf und der Inanspruchnahme unseres Kooperationsangebots (siehe Punkt 2.3); insb auch Bereitstellung von unverbindlichen Informationen an interessierte Ärzte auf Anfrage (siehe Punkt 2.3.1);
- Zusammenarbeit mit Auftragsverarbeitern und Verantwortlichen, welche Leistungen im Rahmen der Plattform erbringen (siehe Punkt 4 und 5).
AVIMEDO und der beratende Arzt haben in Bezug auf die gemeinsame Verantwortlichkeit eine Vereinbarung gemäß Art 26 DSGVO abgeschlossen, die diese Datenverarbeitungen und die jeweiligen diesbezüglichen Pflichten der Parteien regelt:
Grundsätzlich übernimmt AVIMEDO als Betreiber der Website vorrangig die Erfüllung der datenschutzrechtlichen Pflichten bei den gemeinsamen Verarbeitungstätigkeiten und fungiert für Sie als zentrale Anlaufstelle für die Wahrnehmung Ihrer Betroffenenrechte (siehe Punkt 6).
Wir bitten Sie daher, Ihre Anliegen als betroffene Person vorrangig an AVIMEDO (Kontakt siehe Punkt 1.1) heranzutragen. Wir leiten etwaige Anträge an Ihren beratenden Arzt weiter, soweit dies konkret erforderlich ist oder stimmen uns entsprechend mit diesem ab. Es steht Ihnen allerdings jederzeit frei, Ihre Rechte aus der Verarbeitung Ihrer Daten bei jedem Verantwortlichen auszuüben.
2. Datenverarbeitungsvorgänge
2.1 Websitenutzer als betroffene Personen
2.1.1 Verarbeitung von Zugriffsdaten beim Websiteaufruf
(a) Art und Umfang der Datenverarbeitung: Sie können unsere Website besuchen, ohne dass Sie Angaben zu Ihrer Person machen müssen. Beim Aufruf werden lediglich allgemeine Zugriffsdaten automationsunterstützt in sogenannten Server-Logfiles gespeichert. Dabei werden insb folgende Daten verarbeitet: (i) Name der besuchten Website; (ii) verwendete(r) Browsertyp/Browserversion; (iii) vom Nutzer verwendetes Betriebssystem; (iv) zuvor besuchte Website (Referrer-URL); (v) Uhrzeit der Serveranfrage; (vi) übertragene Datenmenge; (vii) Hostname des zugreifenden Rechners (verwendete IP-Adresse in gekürzter Form). Diese Informationen ermöglichen uns selbst keine Rückschlüsse auf Ihre Person; IP-Adressen gelten jedoch als personenbezogene Daten im Sinne der DSGVO.
(b) Rechtsgrundlage und Zweck: Der Zweck dieser Datenverarbeitung ist es, die technische Sicherheit unserer Website herzustellen und zu bewahren, deren Qualität zu verbessern sowie statistische Informationen zu generieren. Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses (Art 6 Abs 1 lit f DSGVO), welches darin besteht, die genannten Zwecke zu erreichen.
(c) Speicherdauer: Die Server-Logfiles werden grundsätzlich automatisiert nach sieben (7) Tagen gelöscht, sofern sie im Einzelfall für den Zweck ihrer Erhebung nicht länger benötigt werden.
2.1.2 Kontaktaufnahme; Kontaktformular
(a) Art und Umfang der Datenverarbeitung: Im Rahmen der Kontaktaufnahme mit uns über das auf der Website bereitgestellte Kontaktformular werden die von Ihnen bereitgestellten Angaben zur Bearbeitung der Kontaktanfrage und der Abwicklung Ihres Anliegens verarbeitet. Die Verarbeitung Ihrer Daten ist zur Bearbeitung und Beantwortung Ihrer Anfrage erforderlich, da wir ansonsten keine Möglichkeit hätten, Sie zu kontaktieren (optionale Angaben können Sie freiwillig machen). Das Gleiche gilt sinngemäß für eine Kontaktaufnahme über eine der innerhalb dieser Datenschutzerklärung oder auf unserer Website im Impressum angeführten Kontaktmöglichkeiten. Über das Kontaktformular steht Ihnen zusätzlich die Möglichkeit offen, Dateien im Zuge der Kontaktaufnahme an uns zu übermitteln. Bei der Behandlung Ihrer Anfragen kann es ggf zu einer Übertragung Ihrer Daten an einen Arzt kommen, worüber Sie entsprechend informiert werden.
(b) Rechtsgrundlage und Zweck: Der Zweck dieser Datenverarbeitung ist es, uns mit Nutzern der Website sowie (potentiellen) Patienten austauschen zu können. Wir beantworten Ihre Anfragen auf Basis Ihrer Einwilligung (Art 6 Abs 1 lit a DSGVO). Sollten Sie die von uns bereitgestellte Möglichkeit zum Datei-Upload für die Übermittlung einer besonderen Kategorie von personenbezogenen Daten (insb Gesundheitsdaten, welche Rückschlüsse auf Ihren Gesundheitszustand zulassen) nutzen (oder solche Informationen in den Inhalt Ihrer Kontaktnachricht aufnehmen), stützen wir die Datenverarbeitung auf Ihre ausdrückliche Einwilligung (Art 9 Abs 2 lit a iVm Art 6 Abs 1 lit a DSGVO). Die Einwilligungen werden jeweils von Ihnen einholen, indem Sie im Rahmen des Kontaktformulars die entsprechende Checkbox ankreuzen. Bitte achten Sie in solchen allerdings darauf, dass in einem Datei-Upload keine besonderen Kategorien personenbezogener Daten enthalten sind, welche sich auf Dritte beziehen.
(c) Speicherdauer: Wir löschen Ihre Anfrage(n) und Ihre Kontaktdaten, sofern Ihre Anfrage abschließend beantwortet wurde und Sie uns keine Anschlussanfragen übermitteln oder wir die Daten zu anderen Zwecken weiterverarbeiten müssen innerhalb von vierzehn (14) Tagen. Insb löschen wir sämtliche von Ihnen übermittelten Daten, welche einer besonderen Datenkategorie angehören unmittelbar nach Beantwortung Ihrer Anfrage, spätestens aber innerhalb von vierzehn (14) Tagen, sofern keine anschließende Behandlung erfolgt bzw gewünscht ist. Im Falle des Datei-Uploads besonderer Kategorien von personenbezogenen Daten, welche sich auf Dritte beziehen, erfolgt unsererseits mangels Verarbeitungsgrundlage grundsätzlich eine unverzügliche Löschung.
2.1.3 Newsletter
(a) Art und Umfang der Datenverarbeitung: Auf unserer Website haben Sie die Möglichkeit, sich für unseren Newsletter anzumelden. Dazu ist lediglich die Angabe Ihrer E-Mail-Adresse erforderlich. Die Angabe Ihres Vor- sowie Nachnamens erfolgt auf freiwilliger Basis. Mit dem Newsletter bleiben Sie bei Neuigkeiten über interessante Angebote immer auf dem neuesten Stand; er wird ausschließlich an von Interessenten selbst zur Verfügung gestellte E-Mail-Adressen, unter Durchführung eines Double-Opt-in-Verfahrens, verschickt. Für den Fall, dass der Empfang des Newsletters nicht mehr gewünscht wird, können Sie den Newsletter jederzeit abbestellen (Ihre Einwilligung widerrufen), indem Sie eine Nachricht an die unter Punkt 1.1 angeführte Kontaktadresse schicken oder auf den Link zum Abmelden am Ende jedes Newsletters klicken.
Wir nutzen den Newsletter auch für statistische Auswertungen in Zusammenhang mit Ihren personenbezogenen Daten und messen die Performance des Newsletters, indem wir das Öffnungs- und Klickverhalten sowie Informationen über seine technische Zustellbarkeit verarbeiten.
Für die Zustellung des Newsletters nutzen wir den Newsletter-Dienst "Mailchimp", welcher von der The Rocket Science Group LLC d/b/a Mailchimp, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA betrieben wird. Dazu werden Ihre freiwillig bekannt gegebenen personenbezogenen Daten auf den Servern des Anbieters gespeichert, welcher als unser weisungsgebundener Auftragsverarbeiter im Sinne von Art 28 DSGVO tätig wird.
(b) Rechtsgrundlage und Zweck: Die obengenannten Daten werden zum Zweck der Direktwerbung in Form eines Newsletters verarbeitet und sind erforderlich, um den Newsletter versenden zu können. Ein Newsletter oder sonstige elektronische Werbung wird keinesfalls ohne Ihre vorherige Einwilligung versendet, die wir im Einklang mit Art 6 Abs 1 lit a DSGVO durch die entsprechenden Checkboxen auf unserer Website einholen.
(c) Speicherdauer: Die für die Zusendung des Newsletters erhobenen Daten werden – soweit die Daten nicht zulässigerweise auch zu anderen Zwecken verarbeitet werden – nach einer etwaigen Abmeldung – innerhalb von vierzehn (14) Tagen gelöscht.
2.2 Patienten als betroffene Personen
2.2.1 Benutzerkonto
(a) Art und Umfang der Datenverarbeitung: Zur vollständigen Nutzung unseres Angebotes müssen Sie ein Benutzerkonto auf unserer Plattform erstellen. Hierbei ist lediglich erforderlich, dass sie uns Ihre E-Mail-Adresse bekanntgeben. Allfällige weitere Datenerhebungen werden erst im Zuge einer später durchgeführten Online-Beratung bzw -Behandlung vorgenommen. Dementsprechend kann Ihr Benutzerkonto in weiterer Folge mit Ihren Gesundheitsdaten angereichert werden, welche wir im Zuge einer etwaigen Inanspruchnahme unseres Leistungsangebotes auf gesonderter Basis erheben. Damit wir sicherstellen können, dass die angeführte E-Mail-Adresse auch tatsächlich Ihnen gehört, müssen Sie diese im Rahmen eines sogenannten Double-Opt-in-Verfahrens ausdrücklich bestätigen.
(b) Rechtsgrundlage und Zweck: Wir verarbeiten Ihre Anmeldedaten und verwalten Ihr Benutzerkonto zum Zweck der Bereitstellung eines sicheren und persönlichen Kontos, welches als Sammelbecken von über die Plattform bezogenen Leistungen für beratende Ärzte fungiert. Die Verarbeitung basiert auf unserem berechtigten Interesse an einer sicheren und bedarfsgerechten Abwicklung des Leistungsangebots sowie auf dem berechtigten Interesse der beratenden Ärzte an einer sicheren Komplettlösung zur einfachen Erbringung Ihrer medizinischen Leistungen und gleichzeitigen Erfüllung ihrer ärztlichen Pflichten (Art 6 Abs 1 lit f DSGVO).
(c) Speicherdauer: Wir speichern Ihre Daten grundsätzlich für die Bestandsdauer Ihres Benutzerkontos. Wenn Sie sich dazu entschließen, Ihr Benutzerkonto bei uns zu löschen, was jederzeit verlangt werden kann, werden Ihre Anmeldedaten innerhalb von vierzehn (14) Tagen gelöscht.
Sollte Ihr Benutzerkonto nach Inanspruchnahme unseres Leistungsangebotes mit Ihren Gesundheitsdaten angereichert worden sein, speichern wir Ihre entsprechende Patientendokumentation hinsichtlich einer konkreten in Anspruch genommenen Beratung bzw Behandlung für die Dauer von einem (1) Jahr. Im Anschluss hat der beratende Arzt die Möglichkeit innerhalb von vierzehn (14) Tagen die entsprechende Dokumentation mit Arztbrief lokal für sich zu speichern, damit dieser selbstständig seinen gesetzlichen Aufbewahrungsfristen (siehe Punkt 2.4) nachkommen kann. Längere Speicherfristen können sich außerdem aufgrund von im Raum stehender Rechtsansprüche ergeben.
Wurde Ihr Benutzerkonto bereits mit Gesundheitsdaten angereichert, erachten wir eine Anfrage auf Löschung Ihres Benutzerkontos als Widerruf Ihrer Einwilligung in die Verarbeitung von Gesundheitsdaten (siehe insb Punkt 2.2.2 sowie Punkt 6) und übermitteln Ihre digitale Krankenakte vor der vollständigen Löschung gleichfalls an die jeweils beratenden Ärzte, damit diese weiterhin Ihren ärztlichen Aufbewahrungs- und Dokumentationspflichten nachkommen können. Gleiches gilt sinngemäß im Falle einer Löschung des Benutzerkontos durch AVIMEDO gemäß den Bestimmungen der Allgemeinen Geschäfts- und Nutzungsbedingungen der Plattform.
2.2.2 Online-Beratung bzw -Behandlung
(a) Art und Umfang der Datenverarbeitung: Im Rahmen der medizinischen Online-Beratung bzw
-Behandlung können Sie durch Klicken auf ein Erkrankungsbild im Reiter "Behandlungen" oder durch Eingabe desselben im bereitgestellten Suchfeld über "Beratungstermin vereinbaren" mit einem nach Ihren speziellen Bedürfnissen ausgewählten Arzt sprechen. Hierfür ist es zunächst erforderlich, dass Sie einen vorgefertigten Fragebogen zu Ihrem gesundheitlichen Befinden ausfüllen und dem beratenden Arzt somit eine Ersteinschätzung Ihres Zustandes ermöglichen (zB ob eine telemedizinische Behandlung überhaupt möglich ist).
Wir benötigen hierfür folgende Ihrer Daten:
- allgemeine Daten (Vorname, Nachname, Geburtsdatum, Adressdaten, Geschlecht);
- Basisgesundheitsdaten (zB Größe, Gewicht, Medikamenteneinnahme, Vorerkrankungen);
- eine Beschreibung Ihres Anliegens (zB bisheriger Krankheitsverlauf);
- zusätzlich haben Sie die Möglichkeit uns Patientenbefunde (zB Arztbriefe, Röntgenaufnahmen etc) während dieses Prozesses durch ein Upload-Tool zur Verfügung zu stellen.
Im Anschluss an diese erste Datenerhebung setzen Sie sich mit dem für Sie zuständigen Arzt im Wege eines Videogesprächs nach entsprechender Terminvereinbarung über AVIMEDO in Verbindung. Diesbezüglich folgt eine Identifizierung des Nutzers durch den zuständigen Arzt. Anschließend schätzt der Arzt in den ersten Minuten des Videogesprächs zunächst Ihre persönliche Lage anhand der bereitgestellten Informationen sowie durch spezifische Fragestellungen ein. Soweit er zu dem Schluss gelangt, dass eine physische Beratung bzw Behandlung in der Ordination oder Krankenanstalt des Arztes oder bei einem anderen Facharzt erforderlich ist bzw das dargelegte Krankheitsbild aus medizinischer Sicht telemedizinisch nicht zugänglich ist, teilt er Ihnen dies entsprechend mit und ist für eine etwaige dadurch bedingte Verarbeitung Ihrer Daten abseits der Plattform selbstständig verantwortlich. Kommt er hingegen zu dem Schluss, dass eine Online-Behandlung für Ihr Anliegen geeignet ist, wird diese im Rahmen des Videogesprächs durchgeführt. Hierbei kann es abgestimmt auf Ihre persönlichen Bedürfnisse zur Erhebung weiterer Daten über Ihren Gesundheitszustand durch Ihren beratenden Arzt kommen, damit dieser eine kompetente Behandlung vornehmen und Ihnen einen auf Ihre Bedürfnisse zugeschnittenen Befund Ausstellen kann.
Nach Beendigung des Videogesprächs kann der genaue Leistungsumfang je nach dem von Ihnen gewählten Tarif (Basic, Premium) variieren. Grundsätzlich wird die Durchführung der Online-Beratung bzw -Behandlung samt Datum vom beratenden Arzt in Ihrem Benutzerkonto vermerkt. Bei dem Tarif "Premium" erhalten Sie in Ihrer digitalen Krankenakte im Benutzerkonto zusätzlich noch einen Arztbrief durch den Sie beratenden Arzt. Die digitale Krankenakte unterliegt strengster Geheimhaltung und wird nur von Ihnen und Ihrem beratenden Arzt eingesehen; AVIMEDO hat lediglich im Rahmen der Verwaltung der Plattform als Administrator eine theoretische Zugriffsmöglichkeit.
(b) Rechtsgrundlage und Zweck: Die Verarbeitung Ihrer (Gesundheits-)Daten durch den beratenden Arzt ist notwendig, damit dieser die Online-Beratung bzw -Behandlung durchführen kann und ist daher für die Erfüllung des mit ihm abgeschlossenen Beratungs- bzw Behandlungsvertrages erforderlich (Art 9 Abs 2 lit h DSGVO iVm Art 6 Abs 1 lit b DSGVO). Für die Verarbeitung Ihrer (Gesundheits-) Daten durch AVIMEDO und Übertragung in Ihre digitale Krankenakte im Benutzerkonto benötigen wir allerdings (zusätzlich) Ihre ausdrückliche Einwilligung (Art 9 Abs 2 lit a DSGVO iVm Art 6 Abs 1 lit a DSGVO), welche wir bereits vor Erhebung Ihrer Daten mittels einer entsprechenden Checkbox einholen.
(c) Speicherdauer: Daten, welche im Rahmen der Durchführung unseres Online-Beratungs- bzw
-Behandlungsangebots verarbeitet werden, speichern wir im Rahmen unserer Patientendokumentation in Ihrer digitalen Krankenakte entsprechend Punkt 2.2.1 (c) sowie insb Ihre Abrechnungsdaten gemäß Punkt 2.4. Sollten Sie Ihre Einwilligung in die Datenverarbeitung widerrufen (siehe Punkt 6), gilt das unter Punkt 2.2.1 (c) Gesagte sinngemäß.
2.3 Ärzte als betroffene Personen
2.3.1 Unverbindliche Informationen für Ärzte
(a) Art und Umfang der Datenverarbeitung: Auf unserer Website bieten wir Ärzten die Möglichkeit, sich im Reiter "Für Ärzte" unverbindlich über unser Angebot zu informieren. Hierzu ist die Angabe des Bundeslandes, in welchem der Arzt ansässig ist, seiner Fachrichtung, seines Vor- und Nachnamens, seiner E-Mail-Adresse, seiner Telefonnummer sowie einer von ihm verfassten Nachricht erforderlich.
(b) Rechtsgrundlage und Zweck: Wir stützen die Datenverarbeitung auf Ihre vorhergehende Einwilligung (Art 6 Abs 1 lit a DSGVO), welche wir durch Ihr Klicken auf die Schaltfläche "Unverbindlich informieren" einholen. In keinem Fall senden wir Ihnen Informationen über unsere Angebote ohne Ihre vorherige Einwilligung zu.
(c) Speicherdauer: Die diesbezüglich erhobenen Daten werden von uns gespeichert und nach einer Beantwortung Ihrer Anfrage innerhalb von sechs (6) Monaten wieder gelöscht. Im Falle eines Widerrufs Ihrer Einwilligung (siehe Punkt 6) werden die Daten innerhalb von vierzehn (14) Tagen gelöscht.
2.3.2 Aufnahmeverfahren als Kooperationspartner und Weiterverarbeitung der Ärztedaten
(a) Art und Umfang der Datenverarbeitung: Die gemäß Punkt 2.3.1 erhobenen Daten im Rahmen von unverbindlichen Anfragen werden neben der Zusendung allgemeiner Informationen auch dazu genutzt, um dem anfragenden Arzt ein Angebot zur Bewerbung für eine Kooperation und Aufnahme als Facharzt/Allgemeinmediziner für die Plattform zu unterbreiten. Entschließt sich der Arzt mithilfe des beiliegenden Formulars um eine solche Kooperation anzusuchen, prüft AVIMEDO die Bewerbung und teilt dem Arzt die Entscheidung über eine Aufnahme über die bereitgestellten Kontaktdaten mit. Im Anschluss wird dem Arzt der Nutzungsvertrag zwischen AVIMEDO und Ärzten zur Unterfertigung übermittelt und es erfolgt eine Aufnahme in die AVIMEDO-Ärzteliste sowie eine Weiterverarbeitung der Daten im Rahmen der Plattform. In weiterer Folge legen wir für Sie ein Ärztekonto an, welches für die Aufnahme und Durchführung Ihrer Tätigkeit als Kooperationspartner erforderlich ist und in welchem Sie ua Ihre Kontaktzeiten, an denen Sie für die Durchführung einer Online-Beratung bzw -Behandlung zur Verfügung stehen, bekanntgeben können. Falls Sie Online-Beratungen bzw -Behandlungen durchführen, wird Ihr Ärztekonto mit Daten über Ihre Verdienste angereichert, welche Sie durch die Beratungen bzw Behandlungen aggregiert haben.
(b) Rechtsgrundlage und Zweck: Die Verarbeitung erfolgt zum Zweck der Unterbreitung von Bewerbungsangeboten und Durchführung von Aufnahmeverfahren auf Anfrage der betroffenen Person; dazu erfolgt eine Weiterverarbeitung der gemäß Punkt 2.3.1 zum Zweck der Zusendung unverbindlicher Informationen erhobenen Daten und damit eine Zweckänderung durch Hinzutreten eines neuen, kompatiblen Zwecks. Wir stützen die Datenverarbeitung auf Art 6 Abs 1 lit b DSGVO (Setzen vorvertraglicher Maßnahmen auf Anfrage sowie im Weiteren Vertragserfüllung). Die Anreicherung Ihres Ärztekontos mit Daten über Ihre aggregierten Verdienste stützen wir auf unsere überwiegenden berechtigten Interessen (Art 6 Abs 1 lit f DSGVO) Ihnen die Plattformnutzung bestmöglich durch ein dem Stand der Technik entsprechendes Service zu erleichtern; dies verfolgt den Zweck, Sie bei der Ausübung der Kooperationspartnerschaft durch eine transparente Darstellung von für Sie möglicherweise relevanten Daten zu unterstützen.
(c) Speicherdauer: Die diesbezüglich erhobenen Daten werden von uns für die Dauer der Kooperation gespeichert und nach einer etwaigen Beendigung innerhalb von sechs (6) Monaten gelöscht. Soweit eine Kooperation nicht realisiert wird, werden Ihre Daten im Einklang mit Punkt 2.3.1 gelöscht.
2.4 Gesetzliche Aufbewahrungs- und Dokumentationspflichten
(a) Art und Umfang der Datenverarbeitung: Grundsätzlich versuchen wir, Ihre personenbezogenen Daten nicht länger als unbedingt erforderlich zu speichern. Dennoch können wir bestimmte von Ihnen verarbeitete Daten aufgrund gesetzlicher Vorgaben nicht unverzüglich löschen. Betroffen sind Daten bezüglich der Abrechnung von über die Plattform erbrachten Leistungen, welche von uns – sowie ggf vom beratenden Arzt – ua auf Basis steuerrechtlicher und unternehmensrechtlicher Aufbewahrungs- und Dokumentationsfristen aufbewahrt werden müssen.
Im Falle der Inanspruchnahme einer Online-Beratung bzw -Behandlung, die vom beratenden Arzt gemäß Punkt 2.2.2 durchgeführt wird, werden Ihre Daten in die im Benutzerkonto (siehe Punkt 2.2.1) abrufbare digitale Krankenakte eingetragen. Nach Ablauf der unter Punkt 2.2.1 (c) dargestellten Speicherdauer, werden Ihre Daten vom jeweils beratenden Arzt aufgrund der ärztlichen Dokumentations- und Auskunftspflicht selbstständig für den entsprechenden Zeitraum gespeichert.
(b) Rechtsgrundlage und Zweck: Wir bzw der beratende Arzt verarbeiten Ihre Abrechnungsdaten in diesem Zusammenhang auf Basis von Art 6 Abs 1 lit c DSGVO (rechtliche Verpflichtung). Die Verarbeitung Ihrer Daten auf dieser Grundlage dient dem Zweck, einschlägigen gesetzlichen Pflichten nachzukommen.
Die selbstständige Speicherung Ihrer Patientendokumentation durch den beratenden Arzt nach der Löschung aus Ihrem Benutzerkonto gemäß Punkt 2.2.1 (c) erfolgt zum Zweck der Gesundheitsvorsorge gemäß Art 9 Abs 2 lit h DSGVO (Vertrag mit Angehörigen eines Gesundheitsberufes) iVm Art 6 Abs 1 lit c DSGVO (rechtliche Verpflichtung) iVm § 51 Abs 3 Ärztegesetz.
(c) Speicherdauer: Ihre Abrechnungsdaten werden aufgrund steuerrechtlicher und unternehmensrechtlicher Aufbewahrungs- und Dokumentationsfristen grundsätzlich für einen Zeitraum von sieben (7) Jahren gespeichert. Sollten die Daten für ein anhängiges (Abgaben-)Verfahren von Bedeutung sein, werden sie ggf für einen darüberhinausgehenden Zeitraum aufbewahrt.
Ihre Gesundheitsdaten werden nach Ausscheiden aus Ihrem Benutzerkonto vom jeweils beratenden Arzt aufgrund der ärzterechtlichen Aufbewahrungs- und Dokumentationspflichten weiterverarbeitet und gespeichert. Ihre Daten werden diesbezüglich insgesamt grundsätzlich für einen Zeitraum von zehn (10) Jahren aufbewahrt, wobei die Dauer der Speicherung im Benutzerkonto in diese Frist entsprechend einzurechnen ist.
Davon abweichende Speicherfristen für bestimmte Daten können sich aus anderweitigen gesetzlichen Vorgaben ergeben.
3. Speicher- und Trackingtechnologien
3.1 Cookies
Auf unserer Website kommen sogenannte "Cookies" zum Einsatz, sofern Sie uns Ihre Einwilligung im Sinne von Art 6 Abs 1 lit a DSGVO erteilen (Ihre einmal abgegebene Einwilligung in den Einsatz von Cookies könne Sie jederzeit widerrufen [siehe dazu "Recht auf Widerruf" unter Punkt 6]; lehnen Sie eine solche Einwilligung ab, beschränken wir die Cookie-Setzung auf technisch notwendige Cookies, die wir zur Aufrechterhaltung der Funktionalität unserer Website benötigen (siehe dazu unten) und auf Basis unseres diesbezüglichen berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) einsetzen, soweit es in diesem Zusammenhang zur Verarbeitung personenbezogener Daten kommt.
Cookies sind kleine Datensätze, die auf Ihrem Endgerät grundsätzlich von Ihrem Browser verwaltet und dort gespeichert werden. Sie werden zunächst von einem Webserver platziert und an diesen zurückgesendet, sobald eine neue Verbindung aufgebaut wird, um den Nutzer und seine Einstellungen wiederzuerkennen. Ihrem Endgerät wird dabei eine spezifische Identität aus Nummern und Buchstaben zugeordnet.
Cookies können diverse Zwecke erfüllen und bspw dabei helfen, die Funktionalität einer Website hinsichtlich Funktionen und Nutzererfahrung dem Stand der Technik entsprechend aufrechtzuerhalten. Der tatsächliche Inhalt eines spezifischen Cookies wird immer von der Website bestimmt, die es erstellt hat.
Cookies enthalten jedenfalls immer folgende Informationen:
- Bezeichnung des Cookies;
- Bezeichnung des Servers, von dem das Cookie stammt;
- ID-Nummer des Cookies;
- ein Enddatum, nach dessen Ablauf das Cookie automatisch gelöscht wird.
Nach Art und Zweck lassen sich Cookies folgendermaßen unterscheiden:
- Technisch notwendige Cookies: Technisch notwendige (auch: essentielle) Cookies helfen dabei, eine Website nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Website ermöglichen. Eine Website kann ohne diese Cookies vielfach nicht richtig funktionieren. Bei technisch notwendigen Cookies handelt es sich immer um First-Party-Cookies. Diese Cookies können in den Einstellungen Ihres Browsers nur deaktiviert werden, indem ausnahmslos alle Cookies abgelehnt werden (siehe dazu unten) und werden auch auf unserer Website rechtlich zulässig ohne Einholung von Einwilligungen eingesetzt.
- Präferenz-Cookies: Präferenz-Cookies ermöglichen einer Website sich an Informationen zu erinnern, die die Art beeinflussen, wie sich eine Website verhält oder aussieht, wie zB Ihre bevorzugte Sprache oder die Region in der Sie sich befinden.
- Statistik-Cookies: Statistik-Cookies helfen Websitebetreibern zu verstehen, wie Besucher mit Websites interagieren, indem Informationen anonym gesammelt und ausgewertet werden. Solche Cookies werden folglich eingesetzt, um Informationen über das Nutzerverhalten zu sammeln. Dabei können etwa folgende Informationen gespeichert werden: aufgerufene Subseiten (Dauer und Häufigkeit); Reihenfolge besuchter Seiten; verwendete Suchbegriffe, die zum Besuch unserer Website geführt haben; Bewegungen der Maus (Scrollen und Klicks); Land und Region des erfolgten Zugriffs. Die Cookies ermöglichen es uns zu bestimmen, woran der Nutzer interessiert ist und die Inhalte und Funktionalität unserer Website dadurch an die individuellen Nutzerbedürfnisse anzupassen.
- Tracking-Cookies: Tracking-Cookies werden verwendet, um Besucher auf Websites zu verfolgen. Die Absicht ist, Anzeigen zu schalten, die relevant und ansprechend für den einzelnen Benutzer sind und daher wertvoller für Publisher und werbetreibende Drittanbieter. Dies wird durch eine Analyse Ihres Nutzungsverhaltens ermöglicht, das auf Basis der dadurch ermittelten Interessen eine entsprechende Personalisierung von Werbung zulässt.
Nach der Speicherdauer unterscheidet man außerdem zwischen:
- Session-Cookies: Diese Cookies werden ohne Ihr Zutun gelöscht, sobald Sie Ihre aktuelle Browser-Sitzung beenden
- Persistente Cookies: Diese Cookies (bspw zur Speicherung Ihrer Spracheinstellung) bleiben bis zu einem im Vorhinein definierten Ablaufdatum oder bis zu einer etwaigen manuellen Entfernung durch Sie auf Ihrem Endgerät gespeichert.
Nach dem Zurechnungssubjekt lässt sich weiters folgendermaßen differenzieren:
- First-Party-Cookies: Solche Cookies werden von uns selbst verwendet und direkt von unserer Website gesetzt. Sie werden von Browsern grundsätzlich nicht domainübergreifend zugänglich gemacht, weshalb der Nutzer nur von der Seite wiedererkannt werden kann, von der das Cookie stammt.
- Third-Party-Cookies: Solche Cookies (auch Drittanbieter-Cookies) werden nicht von uns selbst, sondern von Dritten insb zu Werbezwecken (etwa zur Verfolgung des Surfverhaltens) beim Aufruf unserer Website gesetzt. Die betrifft bspw Informationen über verschiedene Seitenaufrufe sowie die Häufigkeit derselben.
Die meisten Browser akzeptieren Cookies automatisch. Sie haben jedoch die Möglichkeit, Ihre Browser-Einstellungen anzupassen, sodass Cookies entweder generell abgelehnt oder nur bestimmte Arten zugelassen werden (zB Beschränkung der Verweigerung auf Third-Party-Cookies). Sollten Sie die Cookie-Einstellungen Ihres Browsers ändern, kann unsere Website allerdings ggf nicht mehr in vollem Umfang genutzt werden. Über die Browser-Einstellungen haben Sie ebenfalls die Möglichkeit, sämtliche bereits in Ihrem Endgerät gespeicherte Cookies zu löschen. Dies entspricht ebenso einem Widerruf Ihrer Einwilligung.
3.2 Local Storage; Session Storage
Sofern Sie uns Ihre Einwilligung im Sinne von Art 6 Abs 1 lit a DSGVO erteilen, nutzen wir die Speicherkapazität Ihrer Browser-Software, bspw um die Bedienbarkeit unserer Website, ihre Benutzerfreundlichkeit sowie unser Angebot im Allgemeinen zu verbessern (zB zur Sicherung Ihrer Spracheinstellung). Zu diesem Zweck benutzen wir den sogenannten Local Storage bzw Session Storage, um bestimmte Daten auf Ihrem Endgerät zu speichern, wobei Ihr Browser den Local Storage bzw Session Storage für verschiedene Domains jeweils separat anlegt. Neben Ihnen selbst können ausschließlich wir auf die Daten zugreifen, die in diesem Zusammenhang verarbeitet werden. Soweit dies zur Aufrechterhaltung der Funktionalität unserer Website technisch unbedingt erforderlich ist, werden bestimmte Informationen ggf auch ohne Ihre Einwilligung im Local Storage bzw Session Storage Ihres Browsers abgelegt. Unbeteiligte Dritte haben in keinem Fall die Möglichkeit, auf diese Informationen zuzugreifen; sie können allerdings in unserem Auftrag zu bestimmten Zwecken von unseren Partnern (Drittanbieter) auf Ihrem Endgerät gespeichert werden. Im Gegensatz zu Cookies ist diese Methode schneller und sicherer, da Daten nicht automatisch bei jeder HTTP-Anfrage zum jeweiligen Server transferiert, sondern lediglich von Ihrer Browser-Software gespeichert werden; außerdem bietet der Local Storage bzw Session Storage jeweils bis zu 5 Megabyte Speichervolumen, während ein einzelnes Cookie maximal 4096 Bytes betragen kann.
Da die Funktionalitäten Ähnlichkeiten zu Cookies aufweisen, gilt das unter Punkt 3.1 Gesagte sinngemäß. Bitte beachten Sie, dass Informationen im Local Storage kein Ablaufdatum haben (sie sind vergleichbar mit persistenten Cookies). Informationen im Session Storage bleiben dagegen nur für die Dauer der jeweiligen Browser-Sitzung gespeichert (sie sind vergleichbar mit Session-Cookies).
Daten manuell aus dem Local Storage bzw Session Storage zu entfernen, funktioniert im Rahmen der Einstellungen der meisten Browser genau wie bei der manuellen Entfernung von Cookies, da Cookies innerhalb dieser Option zumeist mit anderen Websitedaten zusammengefasst werden (zB "Cookies und andere Websitedaten"); es wird insofern auf die Ausführungen unter Punkt 3.1 verwiesen. Soweit die von Ihnen eingesetzte Browser-Software Cookies und andere Websitedaten in diesem Sinn zusammenfasst, wird durch das Blockieren von Cookies gleichermaßen auch der Zugriff auf den Local Storage bzw Session Storage blockiert (was gleichfalls zu Nutzungseinschränkungen unserer Website führen kann). Sollten Sie JavaScript deaktivieren, kann der Local Storage bzw Session Storage ebenfalls nicht mehr von uns genutzt werden, dies kann allerdings generell zu erheblichen Nutzungseinschränkungen führen.
3.3 Tracking-Pixel
Eine weitere Möglichkeit abseits von Cookies, bestimmte Nutzerdaten zu erheben, besteht durch sogenannte Tracking-Pixel (auch: Zählpixel, Pixel-Tags oder Web-Beacons). Dabei handelt es sich um transparente Bilder, die praktisch unsichtbar sind, da sie lediglich aus einem einzigen Pixel bestehen. Das Tracking-Pixel liegt dabei auf einem Server und wird geladen, sobald eine dafür vorgesehene Sub-Seite unseres Webauftritts aufgerufen wird. Sie ermöglichen es uns, den Umstand des Aufrufs einer Webseite sowie daran anschließende Benutzeraktivitäten zu verfolgen, um zielgerichtetes Marketing schalten zu können. Mithilfe des Tracking-Pixels können grundsätzlich folgende Informationen abgerufen werden: (i) verwendetes Betriebssystem; (ii) verwendete Browser-Software; (iii) Zeitpunkt des Aufrufs einer Webseite; (iv) Nutzerverhalten auf der besuchten Webseite; (v) IP-Adresse und ungefährer Standort des Benutzers.
Tracking-Pixel kommen auf unserer Website auf Basis unseres berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO an einer dem Stand der Technik entsprechenden Analyse von Zugriffen zum Einsatz. Da es sich lediglich um ein von einem Server geladenes Bild handelt, kann die Lebensdauer eines Tracking-Pixels nicht über eine einzelne Browser-Sitzung hinausreichen. Allerdings können durch Tracking-Pixel generierte Informationen im Anschluss ggf in Cookies (siehe Punkt 3.1) gespeichert werden.
4. Drittanbieter-Dienste
4.1 Allgemeiner Plattformbetrieb
4.1.1 Stripe
Für die Zahlungsabwicklung auf der Plattform setzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland ("Stripe") ein. Bei der Verwendung von Stripe geben wir zum Zweck der Zahlungsabwicklung folgende von Ihnen im Rahmen des Kaufs von Beratungspaketen mitgeteilten Informationen an Stripe weiter:
- Transaktionsdaten: ua Daten über die Zahlungsmethode, Bankleitzahl, Höhe des Betrages, Transaktionsdatum;
- Daten zur Authentifizierung: ua Name, E-Mail-Adresse, Adressdaten und ggf auch der Transaktionsverlauf;
- zusätzliche Datenerhebungen durch Stripe können im Rahmen der Betrugsabwehr oder Finanzberichterstattung erhoben werden, wie etwa die technischen Daten Ihres Geräts.
Folgende Daten werden von Stripe an uns gemeldet: Name, Adresse, E-Mail-Adresse, Rechnungsbetrag und Daten zum Zahlungsstatus. Die Weitergabe Ihrer Daten erfolgt ausschließlich zum Zweck der Zahlungsabwicklung des gewählten Beratungspakets und nur insoweit, als diese hierfür erforderlich ist. Die diesbezügliche Verarbeitung Ihrer Daten basiert auf der Erfüllung des mit uns abgeschlossenen Vertrags sowie des separaten Beratungs- bzw Behandlungsvertrags mit dem jeweiligen Arzt bzw auf der Setzung vorvertraglicher Maßnahmen auf Ihre Anfrage in diesem Zusammenhang (Art 6 Abs 1 lit b DSGVO).
Stripe wird diesbezüglich als unser Auftragsverarbeiter im Sinne von Art 28 DSGVO tätig. Ggf erfolgt eine Übermittlung Ihrer Daten an mit Stripe verbundene Unternehmen, insb dem in den USA liegenden Sitz des Mutterunternehmens, der Stripe Inc, 354 Oyster Point Blvd, South San Francisco, CA-94080, USA; eine etwaige Übermittlung Ihrer Daten durch Stripe an solche Unterauftragsverarbeiter in Drittländern basiert auf Standarddatenschutzklauseln der EU-Kommission im Sinne von Art 46 Abs 2 lit c DSGVO.
Stripe schützt die Nutzerdaten durch Sicherheitsvorkehrungen und Datenschutz-Compliance-Maßnahmen. Diese sind hier nachlesbar: https://stripe.com/de/guides/general-data-protection-regulation. Die Datenschutzrichtlinie von Stripe finden Sie hier: https://stripe.com/de/privacy.
4.1.2 Daily
Zur Durchführung der Online-Beratung bzw -Behandlung durch den Arzt (siehe Punkt 2.2.2) verwenden wir den Video-Call-Anbieter Daily Co, 548 Market St, Suite 39113, San Francisco, CA-94104, USA ("Daily").
Folgende personenbezogene Daten werden von Daily gespeichert:
- die IP-Adresse des Kunden in den HTTPS-Zugriffs- und Fehlerprotokollen des Front-End-Servers;
- der Benutzername sowie die "client user_id" des Patienten jeweils nur, soweit ein Entwickler diesen über die "daily-js"-Front-End-Bibliothek angibt;
- die Protokolle werden in der Amazon-Web-Services-Cloud (AWS) gespeichert, einer Cloud-Serviceleistung welche durch einen von Daily eingesetzten Unterauftragsverarbeiter angeboten wird.
Protokolldaten werden nur so lange gespeichert, wie dies für Analysen zur Verbesserung der Daily-Servicequalität notwendig ist. Daten werden nur in der Daily-Produktionsumgebung gespeichert. Jeder Zugriff erfordert eine 2-Faktor-Authentifizierung und wird mithilfe des AWS Identity and Access Managements (IAM) protokolliert.
Wir setzten Daily im Rahmen von Punkt 2.2.2 als unseren Auftragsverarbeiter gemäß Art 28 DSGVO ein.
4.2 Webanalyse, Tracking
4.2.1 Google Analytics
Wir nutzen auf unserer Website ein Webanalyse- und Onlinemarketingtool der Google Ireland Limited, Gordon House, 4 Barrow Street, Dublin, Irland ("Google Ireland"), nämlich "Google Analytics", wodurch uns eine Analyse der Benutzung der Website ermöglicht wird. Das Tool erfasst etwa die Zeit, welche Nutzer auf Sub-Seiten unserer Website verbracht haben oder auf welche Links von den Nutzern geklickt wurde. Das Tracking erfolgt mithilfe von Google Ireland bereitgestellter JavaScript-Bibliotheken. Google Analytics arbeitet mit Cookies (bzw vergleichbaren Speichertechnologien), die nach Ihrer Einwilligung auf Ihrem Endgerät gespeichert werden können. Google Ireland agiert im Hinblick auf Google Analytics als unsere Auftragsverarbeiterin im Sinne von Art 28 DSGVO. Die diesbezügliche Datenverarbeitung stütz sich auf Ihre vorhergehende Einwilligung (Art 6 Abs 1 lit a DSGVO; zur Widerruflichkeit von Einwilligungen siehe "Recht auf Widerruf" unter Punkt 6).
Im Rahmen des Einsatzes von Google Analytics werden Ihre IP-Adresse und sonstige Client-Daten, nämlich Informationen über die Benutzung unserer Website wie Browser-Typ/-Version, verwendetes Betriebssystem, die zuvor besuchte Seite oder die Uhrzeit der Serveranfrage an Google-Server übertragen und dort gespeichert. In unserem Auftrag wird Google Ireland die erhobenen Informationen benutzen, um die Nutzung unserer Website auszuwerten, Reports über Website-Aktivitäten zu erstellen und weitere mit der Nutzung unserer Website und der Internetnutzung verbundene Dienstleistungen uns gegenüber zu erbringen. Die Daten über die Nutzung unserer Website werden nach Ende der von uns für Google Analytics eingestellten Aufbewahrungsdauer von vierzehn (14) Monaten automatisch gelöscht.
Die von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google Ireland zusammengeführt. Um Sie bestmöglich zu schützen, verwenden wir die IP-Anonymisierung, indem wir den Code unserer Website um "anonymizeIP" erweitern. Dies führt zu einer Kürzung Ihrer IP-Adresse. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Google-Server übertragen und dort gekürzt.
Google Ireland versucht Daten von Nutzern aus dem EWR-Raum möglichst in europäischen Rechenzentren zu verarbeiten, ggf erfolgt allerdings eine Übermittlung Ihrer Daten an mit Google Ireland verbundene Unternehmen, insb dem in den USA ansässigen Mutterunternehmen, der Google LLC, 1600 Amphitheatre Parkway, Mountain View, Kalifornien 94043, USA; eine etwaige Übermittlung Ihrer Daten durch Google Ireland an solche Unterauftragsverarbeiter in Drittländern basiert auf Standarddatenschutzklauseln der EU-Kommission im Sinne von Art 46 Abs 2 lit c DSGVO. Eine Übersicht aller Standorte von Google-Rechenzentren finden Sie hier: https://www.google.com/about/datacenters/inside/locations/?hl=de.
Zu Dispositionsmöglichkeiten in Zusammenhang mit Cookies siehe schon Punkt 3.1. Sie können die Erfassung der mittels Cookies (bzw vergleichbarer Speichertechnologien) erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl Ihrer IP-Adresse) durch Google Ireland sowie die Verarbeitung dieser Daten verhindern, indem Sie ein entsprechendes Browser-Add-on ("Browser-Add-on zur Deaktivierung von Google Analytics" – verfügbar für Microsoft Internet Explorer 11, Google Chrome, Mozilla Firefox, Apple Safari und Opera) herunterladen und installieren.
Weitere Informationen zur Datennutzung durch Google Ireland und verbundene Unternehmen sowie zu Einstellungs- und Widerspruchsmöglichkeiten entnehmen Sie bitte der Google-Datenschutzerklärung unter https://policies.google.com/privacy?hl=de.
4.2.2 Facebook Pixel
Innerhalb unseres Angebots setzen wir das "Facebook-Pixel" ein. Es handelt sich um ein Facebook Business Tool, das im EWR-Raum datenschutzrechtlich von der Meta Platforms Ireland Ltd, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland ("Meta Ireland") verantwortet wird. Das Facebook-Pixel ist als JavaScript-Code-Ausschnitt in unsere Website eingebunden und ermöglicht es uns, die Aktivitäten von Websitenutzern nachzuverfolgen. Bestimmte Handlungen, die ein Nutzer vornimmt, sind als sogenannte Events definiert und werden mithilfe des Pixels analysiert (insb Aufruf einer spezifischen Sub-Seite unserer Website, sogenannte Button-Klick-Daten); dies lässt uns etwa die Effektivität des Aufbaus unserer Website sowie die Wirksamkeit unserer Werbeanzeigen messen (Conversion Tracking). Das Facebook-Pixel wird folglich für statistische Zwecke und Marktforschungszwecke verwendet, um eine Optimierung unseres Angebots zu erreichen.
Das Tracking erfolgt mittels Tracking-Pixel und Cookies (bzw vergleichbarer Speichertechnologien), wobei es sich auch um First-Party-Cookies handeln kann. Zu Dispositionsmöglichkeiten in Zusammenhang mit Cookies siehe schon Punkt 3.1. Meta Ireland agiert dabei als unsere Auftragsverarbeiterin im Sinne von Art 28 DSGVO. Die diesbezügliche Datenverarbeitung stütz sich auf Ihre vorhergehende Einwilligung (Art 6 Abs 1 lit a DSGVO; zur Widerruflichkeit von Einwilligungen siehe "Recht auf Widerruf" unter Punkt 6).
Ggf erfolgt auch eine Übermittlung Ihrer Daten an mit Meta Ireland verbundene Unternehmen, insb die Meta Platforms Inc, 1601 Willow Road, Menlo Park, Kalifornien 94025, USA; eine etwaige Übermittlung Ihrer Daten durch Meta Ireland an solche verbundenen Unternehmen basiert auf Standarddatenschutzklauseln der EU-Kommission im Sinne von Art 46 Abs 2 lit c DSGVO.
Das Facebook-Pixel erfasst neben den definierten Event-Daten sämtliche Informationen aus HTTP-Headern (IP-Adresse, Browserinformationen, Seitenstandort, Dokument, Referrer, Besuch der Website) sowie eine Pixel-ID und Cookie-Informationen. Diese Daten werden mit Meta Ireland ausgetauscht. Die Verarbeitung Ihrer IP-Adresse ist notwendig, damit die gewünschten Inhalte überhaupt an Ihren Browser gesendet werden können. Durch Aktivierung der Funktion "Erweiterter Abgleich", beschränkt sich unser Einsatz des Facebook-Pixels und dementsprechend auch der Datenaustausch mit Meta Ireland allerdings nicht ausschließlich auf Event-Daten; vielmehr erfolgt eine Anreicherung mit Daten, welche insb aus Eingaben in Textfelder beim Aufenthalt auf unserer Website ausgelesen und gehasht (pseudonymisiert) gemeinsam mit den zugehörigen Event-Daten an Meta Ireland übermittelt werden.
Die Daten werden von Meta Ireland in unserem Auftrag gespeichert und verarbeitet; eine Eigennutzung von Daten insb zur Personalisierung von Funktionen und Inhalten (auch Werbeanzeigen und Empfehlungen) durch Meta erfolgt ausschließlich, nachdem die Daten mit Daten von anderen Werbetreibenden bzw von anderen Meta-Produkten aggregiert wurden. Die Anreicherung von Event-Daten mit Daten aus dem erweiterten Abgleich ermöglicht es, die mithilfe des Facebook-Pixels durchgeführte Konversionsmessung zu verbessern und eine bessere Zuordnung zu Facebook-Nutzern zu treffen, um Werbung für Nutzer interessanter zu gestalten und gleichzeitig die Effektivität unserer Werbekampagnen zu verbessern. Die gehashten (pseudonymisierten) Daten aus dem erweiterten Abgleich werden nach entsprechender Verknüpfung in ihrer personenbezogenen Form von Meta Ireland umgehend gelöscht. Insgesamt bilden sich nicht-personenbezogene Cluster, die längerfristig gespeichert werden.
Wenn Sie ein Facebook-Konto erstellt haben und eingeloggt sind, können Sie Ihre Einstellungen zur Personalisierung von Werbung durch Facebook hier verwalten: www.facebook.com/settings?tab=ads. Weitere Informationen zur Datennutzung durch Meta Ireland und verbundene Unternehmen entnehmen Sie bitte der Facebook Datenrichtlinie unter https://www.facebook.com/policy.php.
4.2.3 Hotjar
Sofern Sie uns eine entsprechende Einwilligung im Sinne von Art 6 Abs 1 lit a DSGVO erteilen, nutzen wir auf unserer Website Webanalysetools der Hotjar Ltd., Level 2, St Julian's Business Centre, 3, Elia Zammit Street, St Julian's STJ 1000, Malta ("Hotjar"), wodurch uns eine Analyse der Benutzung der Website ermöglicht wird. Dazu binden wir den entsprechenden Tracking-Code auf unserer Website ein, woraufhin Hotjar als unsere Auftragsverarbeiterin im Sinne von Art 28 DSGVO über ein Skript spezifische Daten sammelt und auswertet.
Hotjar erlaubt es uns, Ihre Interaktionen mit unserer Website zu beobachten und sohin eine Verhaltensanalyse durchzuführen, indem es uns bspw Heatmaps zur Verfügung stellt. Dies erlaubt es uns, unser Angebot und Ihre Nutzererfahrung zu verbessern. Letzteres können wir mithilfe von Hotjar auch über eine verbesserte Sammlung von Feedback erreichen. Hierbei erfasst Hotjar Ihre IP-Adresse, Daten über Ihr Endgerät (Bildschirmgröße, Informationen über den verwendeten Browser, Spracheinstellungen), Ihren Standort, zuvor von Ihnen besuchte Websites sowie allgemeine Zugangsdaten (Datum und Uhrzeit des Zugriffs).
Die gesammelten Daten werden an Hotjar-Server in Irland übertragen und grundsätzlich nach einer Speicherdauer von einem (1) Jahr automatisiert gelöscht. Über Ihren Browser werden Ihre IP-Adresse (in gekürzter Form), Ihre Bildschirmgröße, Browsertyp und Browserversion, das Land aus dem Sie zugreifen, Ihre bevorzugte Spracheinstellung, besuchte Sub-Seiten sowie das Datum und die Uhrzeit des Zugriffs an Hotjar übertragen. In manchen Fällen kann es erforderlich sein, dass Hotjar Ihre Daten an andere Unternehmen überträgt, wie etwa im Zuge der Nutzung der AWS.
Hotjar setzt verschiedene Cookies ein; nähere Informationen (auf Englisch) dazu finden Sie unter https://help.hotjar.com/hc/en-us/articles/115011789248-Hotjar-Cookies (bitte Link in den Browser kopieren und auf diese Weise abrufen). Sie können die Erfassung Ihrer Daten durch Hotjar auch unterbinden, indem Sie die unter https://www.hotjar.com/de/legal/policies/do-not-track/ dargestellten Schritte durchführen. Bitte beachten Sie auch die Datenschutzerklärung von Hotjar: https://www.hotjar.com/legal/policies/privacy/de/.
4.2.4 Google Ads Conversion-Tracking
Um unser Angebot auf möglichst effektive Weise zu bewerben, bedienen wir uns dem Service von Google Ireland (siehe Punkt 4.2.1) "Google Ads". Google Ads ermöglicht es uns, die enorme Reichweite von Google Ireland zur Bewerbung unseres Angebotes zu nutzen und potentiell Interessierte Nutzer auf dieses Aufmerksam zu machen.
Sofern Sie uns eine entsprechende Einwilligung im Sinne von Art 6 Abs 1 lit a DSGVO erteilen, nutzen wir weiters das Tracking-Tool "Google Ads Conversion-Tracking" oder "Conversion-Tracking" von Google Ireland, um Feedback zu unseren Werbemaßnahmen über Google zu gewinnen. Google Ireland agiert im Hinblick auf diesen Dienst als unsere Auftragsverarbeiterin im Sinne von Art 28 DSGVO. Conversion-Tracking ermöglicht es uns, Informationen über die Rezeption unseres Werbeangebotes über die Erfassung sogenannter "Conversions" zu generieren. Eine Conversion bezeichnet die Umwandlung von einem Websitenutzer, welcher sich für unser Angebot interessiert, zu jemanden, der aktiv mit unserem Angebot interagiert. Dies ist etwa dann konkret der Fall, wenn Sie auf eine unserer Werbeanzeigen klicken und daraufhin auf unsere Website weitergeleitet werden. Die Auswertung der Conversions erlaubt es uns, nützliche Informationen über die Aufnahme unseres Angebotes einzuholen und dieses besser Ihren Bedürfnissen anzupassen.
Das Conversion-Tracking sammelt Ihre Daten über einen auf unserer Website eingebundenen Tag. Sollte es nun zu einer Conversion kommen (etwa wenn Sie auf unsere Werbeanzeigen klicken), verwendet das Conversion-Tracking Cookies oder ähnliche Speichertechnologien (siehe Punkt 3), um in weiterer Folge Daten über Ihr Nutzerverhalten zu speichern. Hierbei wird etwa Ihr Klick- und Interaktionsverhalten betreffend unsere Angebote aufgezeichnet. Weitere durch das Conversion-Tracking erfasste Daten sind allgemeine Zugriffsdaten (Zeitpunkt und Dauer des Zugriffes), Ihre IP-Adresse sowie allgemeine Gerätedaten. Ggf können diese Aufzeichnungen durch Google Analytics (siehe Punkt 4.2.1) weiter verfeinert werden.
Für die weitere Datenverarbeitung durch Google Ireland sowie eventuelle Datenübermittlungen an mit Google Ireland verbundene Unternehmen gelten unsere Ausführungen zu Punkt 4.2.1 sinngemäß. Insb stützen wir eine Übermittlung von Daten an derartige Unternehmen auf die Standarddatenschutzklauseln der EU-Kommission im Sinne von Art 46 Abs 2 lit c DSGVO.
5. Übermittlung Ihrer Daten; Empfänger
Um den in dieser Datenschutzerklärung angeführten Verarbeitungstätigkeiten nachkommen zu können, werden Ihre personenbezogenen Daten an die folgenden Empfänger übertragen oder diesen offengelegt:
Innerhalb unserer Organisation haben nur jene Mitarbeiter Zugriff auf Ihre Daten, welche diese Zugriffmöglichkeit zur Erfüllung Ihrer bzw unserer entsprechenden Pflichten unbedingt benötigen.
Im Weiteren erhalten von uns beauftragte (externe) Auftragsverarbeiter Ihre Daten, sofern diese die Daten zur Erbringung ihrer jeweiligen Leistung benötigen (wobei schon eine Zugriffsmöglichkeit auf personenbezogene Daten ausreicht). Sämtliche Auftragsverarbeiter sind vertraglich entsprechend dazu verpflichtet, Ihre Daten unter strikter Einhaltung der Anforderungen der DSGVO und ausschließlich nach unseren Weisungen zu verarbeiten.
Im Rahmen unserer Website können folgende von uns eingesetzte Auftragsverarbeiter Zugriff auf Ihre Daten erhalten:
- unser Cloud-Service-Anbieter und Hosting-Provider, die Hetzner Online GmbH, Industriestraße 25, DE-91710 Gunzenhausen (als Managed-Server-Lösung zur sicheren Datenspeicherung);
- unser Video-Call-Anbieter, die Daily Co, 548 Market St, Suite 39113, San Francisco, CA-94104, USA (zur technischen Durchführung von Online-Beratungen bzw. -Behandlungen; siehe Punkt 4.1.2);
- unser Zahlungsdienstleister, die Stripe Payments Europe Ltd, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (zur Ermöglichung der Entgegennahme und Abwicklung von Kredit- sowie Debitkartenzahlungen; siehe Punkt 4.1.1);
- zur Webanalyse und für das Nutzertracking eingesetzte Dienstleister (siehe insb Punkt 4.2);
- unser Newsletter-Service-Dienstleister, The Rocket Science Group LLC d/b/a Mailchimp, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA (zur technischen Umsetzung unseres Newsletter-Service, siehe Punkt 2.1.3).
Alle von uns eingesetzten Auftragsverarbeiter verarbeiten Ihre Daten unter strikter Einhaltung der Anforderungen der DSGVO und ausschließlich nach unseren Anweisungen. Bitte beachten Sie, dass manche der oben genannten Empfänger sich außerhalb der EU befinden oder dort Ihre (personenbezogenen) Daten verarbeiten. Soweit für die betroffenen Drittländer kein Angemessenheitsbeschluss der EU-Kommission vorliegt, setzten wir für die Übertragung auf Standartvertragsklauseln oder andere geeignete Garantien im Sinne von Art 46 DSGVO, die wir mit den einzelnen Anbietern vereinbart haben.
Darüber hinaus übermitteln wir Ihre Daten an eigenständige Verantwortliche, soweit dies unbedingt erforderlich ist oder wir rechtlich dazu verpflichtet sind. Dabei kann es sich insb um die unter den Punkten 4.1 und 4.2 genannten Anbieter, mit Zahlungen betraute Banken, unsere Steuerberatung, die OS Consult Steuerberatung GmbH & Co KG, Untermarktstr. 48/ 4. Stock, 6410 Telfs, Finanzämter sowie Gerichte oder Behörden im Rahmen ihrer gesetzlichen Zuständigkeit handeln.
6. Rechte der betroffenen Person
Sie haben jederzeit folgende Rechte hinsichtlich Ihrer von uns als Alleinverantwortliche und gemeinsam mit dem Arzt Verantwortliche verarbeiteten personenbezogenen Daten, welche kostenfrei durch Mitteilung an eine unter Punkt 1.1 angeführte Kontaktmöglichkeit ausgeübt werden können und ehestmöglich, jedenfalls aber innerhalb eines (1) Monats beantwortet werden (Einschränkungen sind in gewissen Ausnahmefällen, etwa bei drohender Beeinträchtigung der Rechte Dritter möglich):
- Zugang zu und weiterführende Informationen über konkret verarbeitete personenbezogene Daten (Auskunftsrecht, Art 15 DSGVO);
- Berichtigung unvollständiger oder unrichtig aufgenommener oder gewordener Daten (Recht auf Berichtigung, Art 16 DSGVO);
- Löschung von Daten, die (i) für die angeführten Zwecke nicht notwendig sind, (ii) unrechtmäßig verarbeitet werden, (iii) aufgrund einer rechtlichen Pflicht oder eines Widerspruchs gelöscht werden müssen (Recht auf Löschung, Art 17 DSGVO);
- vorübergehende Einschränkung der Verarbeitung unter gewissen Bedingungen (Recht auf Einschränkung, Art 18 DSGVO);
- jederzeitiger Widerruf einer einmal erteilten Einwilligung in die Verarbeitung Ihrer Daten; bitte beachten Sie allerdings, dass ein Widerruf vergangene Verarbeitungsaktivitäten auf Basis der betroffenen Einwilligung nicht rückwirkend unzulässig werden lässt – er hat ausschließlich Wirkung für die Zukunft (Recht auf Widerruf, Art 7 Abs 3 DSGVO);
- Widerspruch gegen eine Verarbeitung Ihrer Daten aufgrund unseres berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) aus Gründen, die sich aus Ihrer besonderen Situation ergeben, sowie jederzeitiger Widerspruch gegen eine Verarbeitung Ihrer Daten zu Zwecken der Direktwerbung (Recht auf Widerspruch; Art 21 Abs 1–2 DSGVO);
- Übermittlung Ihrer personenbezogenen Daten, welche wir zur Erfüllung eines Vertrages mit Ihnen, zur Setzung vorvertraglicher Maßnahmen auf Ihre Anfrage oder auf Basis Ihrer Einwilligung verarbeiten, in einem gängigen maschinenlesbaren Format an Sie oder direkt an einen anderen Verantwortlichen (Recht auf Datenübertragbarkeit, Art 20 DSGVO);
- Beschwerderecht über die Verarbeitung Ihrer personenbezogenen Daten durch uns bei einer nationalen Aufsichtsbehörde; eine Beschwerde in Österreich hat den Anforderungen von § 24 Datenschutzgesetz zu folgen uns ist an die österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien, (E-Mail) dsb@dsb.gv.at, (Telefon) +43 1 52 152-0, zu richten (zur Vereinfachung der Abläufe stellt die österreichische Datenschutzbehörde Formulare zur Verfügung: https://www.dsb.gv.at/dokumente).
Zuletzt aktualisiert: Februar 2022