Datenschutzerklärung der MindDoc Health GmbH und der Schön Klinik MVZ GmbH für gemeinsame und einzeln verantwortliche Datenverarbeitung (gültig ab 01.02.2021)

Auf dieser Seite informieren wir über die Verantwortlichkeiten bei der Verarbeitung personenbezogener Daten (Kapitel 1), die rechtlichen Grundlagen, die Kategorien und Einzelheiten zu verarbeiteten Daten (Kapitel 2-4), persönliche Rechte (Kapitel 5) und weitere Informationen (Kapitel 6-9) im Zusammenhang mit den folgenden Produkten:

Kapitel 1
Allgemeine Informationen zu Datenverantwortung und -haltung online-therapy

Die Webseite dient der Information über unsere Angebote, welche wir im Rahmen einer Online-Psychotherapie als auch der unbegleiteten Nutzung der MindDoc App für Menschen mit psychischen Problemen anbieten. Zudem leiten Sie den Nutzer in ein passendes Behandlungsangebot und ermöglichen mittels eines Selbsttests eine erste Einschätzung zu möglichen Problemfeldern.

1.1 Informationen zu den Verantwortlichen für die Datenverarbeitung und dem Datenschutzbeauftragten

Für eine möglichst niederschwellige und friktionslose Versorgung von Patienten und Nutzern und zur Bereitstellung verschiedener Services für die Erkennung, Überwachung, das Selbstmanagement sowie die leitliniengerechte Behandlung psychischer Erkrankungen bieten die im folgenden genannten Unternehmen (jeweils 100% Tochterunternehmen der Schön Klinik SE) Dienstleistungen und Produkte an.

Hierfür haben die Unternehmen einen Vertrag zur gemeinschaftlichen Verantwortung bei der gemeinsamen Verarbeitung personenbezogener Daten gemäß Art. 26 DS-GVO geschlossen. Für die Bereiche, bei denen keine gemeinsame Festlegung der Zwecke und Mittel der Datenverarbeitung esteht, ist die jeweils genannte Partei eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO.

Diese Datenschutzerklärung gilt für die Datenverarbeitung durch folgende Unternehmen:

MindDoc Health GmbH, Leopoldstraße 159, 80804 Münchens feedback@minddoc.de (“MindDoc Health”)

Schön Klinik MVZ GmbH, Seestraße 5a, 83209 Prien am Chiemsee, service@minddoc.de (““Schön Klinik MVZ””)

Die folgende Übersicht stellt die wesentlichen Vereinbarungen über die gemeinschaftliche Verantwortung bei der gemeinsamen Verantwortlichkeit zwischen den gemeinsam Verantwortlichen dar.

Alleinige Verantwortung gem. Art. 4 Nr. 7 DS-GVO: MindDoc Health GmbH

'Webseite und darin enthaltene Informationen und Dienste.

MindDoc App als unbegleitetes Monitoring und Selbtmanagementangebot wie unter beschrieben und, aufrufbar über die Appstores:

iOS:
Link zum Apple Appstore
Android:
Link zu Google Play '

Gemeinschaftliche Verantwortung gem. Art. 26 DS-GVO: MindDoc Health und Schön Klinik MVZ

' MindDoc Online-Psychotherapie aufrufbar unter folgenden URLs:

Login und Therapieplattform

Buchung diagnostisches Erstgespräch'

Konkretisierung der Verarbeitungen bei der Online-Psychotherapie MindDoc gem. Art. 26 DS-GVO

Anlaufstelle für Betroffenenrechte nach Art. 26(1) Satz 3 DS-GVO

Die Verantwortlichen haben dabei eine Anlaufstelle für betroffene Individuen festgelegt, welche den Nutzern und den Verantwortlichen die Erfüllung der Betroffenenrechte nach Art. 26 (1) Satz 3 DS-GVO erleichtert. Diese gemeinsame Anlaufstelle ist die o.g. MindDoc Health GmbH

Bezeichnung der Verarbeitung

Erhebung, Speicherung, Veränderung, Ansicht, Löschung, und Nutzung von personenbezogenen Daten im Rahmen der Online-Psychotherapie und dazugehöriger Anbahnungsaktivitäten (z.B. Erstgespräch, Katamnesen)

Zweck der Verarbeitung

'Für die Schön Klinik MVZ ist der Zweck der Verarbeitung die Erfüllung und Durchführung der Vertragsverhältnisse mit (zukünftigen) Patienten der Online-Psychotherapie.

Die MindDoc Health GmbH verarbeitet personenbezogene Daten

- zum Zweck des Betriebs der Applikationen zur Durchführung der Online-Psychotherapie der Datensicherung,

- zu internen Verwaltungszwecken, bspw. um durch einen Abgleich der Daten mit bereits vorhandenen Daten Dopplungen zu vermeiden und so dem Grundsatz der Datensparsamkeit Rechnung zu tragen, und zur Gewährleistung eines zentralen Patientenmanagements und einer optimalen Versorgung über verschiedene Behandlungsintensitäten hinweg'

'Der Datenschutzbeauftragte der Schön Klinik SE, Martin Kuhr, wurde von beiden Unternehmen zum gemeinsamen Datenschutzbeauftragten bestellt und ist erreichbar unter:'
Tel.: 08051/695252

Adresse: Schön Klinik SE, Martin Kuhr, Datenschutzbeauftragter, Seestraße 5a, 83209 Prien am Chiemsee

Kapitel 2
MindDoc Website online-therapy

2.1 Übersicht

Die Webseite dient der Information über unsere Angebote, welche wir im Rahmen einer Online-Psychotherapie als auch der unbegleiteten Nutzung der MindDoc App für Menschen mit psychischen Problemen anbieten. Zudem leiten Sie den Nutzer in ein passendes Behandlungsangebot und ermöglichen mittels eines Selbsttests eine erste Einschätzung zu möglichen Problemfeldern.

2.1.1 Informatorische Nutzung

'Bei der bloß informatorischen Nutzung der Website, also wenn keine Anmeldung bei einem unserer Dienste, keine Kontaktaufnahme oder sonstige Form von Anmeldung erfolgt bzw. sonst Informationen übermittelt werden, erheben wir keine personenbezogenen Daten mit Ausnahme der Daten, die ein Browser übermittelt um den Besuch der Website zu ermöglichen. Diese sind:'

  • IP-Adresse
  • Datum und Uhreit der Anfrage
  • Zeitzonendifferenz zur Greenwich Mean Time (GMT)
  • Inhalt der Anforderung (konkrete Seite)
  • Zugriffsstatus/HTTP-Statuscode
  • jeweils übertragene Datenmenge
  • Website, von der die Anforderung kommt
  • Browser
  • Betriebssystem und dessen Oberfläche
  • Sprache und Version der Browsersoftware

Rechtsgrundlage ist das berechtigte Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO

2.1.2 Datenerhebung und Dienste bei der Kommunikation durch MindDoc und zu MindDoc

Anfrage beim MindDoc Patientenmanagement mittels Kontaktformular

Bei einer Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular werden die mitgeteilten Daten (i.d.R. die e-Mail-Adresse, Name, ggf. Telefonnummer) von uns gespeichert, um Fragen zu beantworten.

Zur Absicherung unserer Kontaktformulare verwenden wir den Captcha Service MTCaptcha. Dieser Service ist konform mit der DS-GVO und speichert keine personenbezogenen Daten. IP-Adressen werden anonymisiert. MTCaptcha verwendet Cookies ausschließlich um unerlaubte Formularzugriffe durch sogenannte Bots zu eliminieren.

Mehr Informationen zum MTCaptcha-Service:https://www.mtcaptcha.com/gdpr-captcha

Rechtsgrundlage ist das berechtigte Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO

Kontaktaufnahme und Terminvereinbarung zum Personalteam

'Die Website benutzt Acuity Scheduling für die Terminvereinbarung (bspw. für Informationsgespräche mit unserem Personal-Team). Der Dienst Acuity Scheduling wird zur vereinfachten Terminvereinbarung verwendet, um die Buchung von Terminen über die Webseite zu ermöglichen (nur auf ausgewählten Seiten - die Buchung von Terminen für ein Erstgespräch der Online-Therapie ist explizit nicht davon betroffen. Durch das Benutzen dieses Dienstes werden Daten an Acuity Scheduling in die USA übertragen. Dies geschieht auf der Basis der EU-Standardvertragsklauseln. Wir weisen darauf hin, dass wir als Seitenbetreiber keine detaillierte Kenntnis vom Inhalt der übermittelten Daten sowie deren Nutzung durch Acuity Scheduling haben, anonymisieren allerdings in jedem Fall die IP. Die Rechtsgrundlage für diese Verarbeitung ist gem. Art. 6 Abs. 1 S. 1 lit. b DS-GVO die Durchführung vorvertraglicher Maßnahmen in Form der Terminvereinbarung.

Informationen zur Datenschutzerklärung von Acuity Scheduling: https://acuityscheduling.com/privacy.php

Detaillierte Informationen über Acuity Scheduling und die im Zusammenhang mit dem Service erhobenen Daten: https://de.squarespace.com/privacy/

Squarespace’s Ergänzung zur Datenverarbeitung im Zusammenhang mit der DS-GVO: https://de.squarespace.com/dpa/ Diese Funktionen werden angeboten durch die Acuity Scheduling Inc., NY, USA.

Alternativ bieten wir eine Kontaktmöglichkeiten zur Terminvereinbarung via e-Mail (bspw. das Kontaktformular) an.

Rechtsgrundlage ist die Durchführung vorvertraglicher Maßnahmen gem. Art. 6 Abs. 1 S. 1 lit. b DS-GVO'

Nutzung des Newsletters und Verwendung von MailChimp

'Auf manchen Bereichen der Webseite bieten wir die Registrierung zu einem Newsletter für Interessenten an. Dieser erfolgt freiwillig und ist an keinerlei Incentivierungsprogramm o.ä. gebunden - auch ist die Webseite ohne diesen Service ohne Einschränkungen nutzbar. Da es sich bei diesem Service jedoch um einen externen Dienstleister handelt, bitten wir um Beachtung folgender Hinweise:

Der Versand der Newsletter (Ratgeber) und die Verarbeitung der personenbezogenen Daten (e-Mail Adresse) erfolgt mittels des Versanddienstleisters „MailChimp“, einer Newsletterversandplattform des US-Anbieters Rocket Science Group, LLC, 675 Ponce De Leon Ave NE 5000, Atlanta, GA 30308, USA.
Datenschutzbestimmungen des Versanddienstleisters: https://mailchimp.com/legal/privacy/. Rechtsgrundlage für die Beauftragung des Versanddienstleisters ist die Einwilligung des Nutzers gem. Art. 6 Abs. 1 lit. a DS-GVO.

Der Versanddienstleister kann die Daten der Empfänger in pseudonymer Form, d.h. ohne Zuordnung zu einem Nutzer, zur Optimierung oder Verbesserung der eigenen Services nutzen, z.B. zur technischen Optimierung des Versandes und der Darstellung der Newsletter oder für statistische Zwecke verwenden. Der Versanddienstleister nutzt die Daten unserer Newsletterempfänger jedoch nicht, um diese selbst anzuschreiben oder um die Daten an Dritte weiterzugeben.

Die Newsletter enthalten einen sog. „web-beacon“, d.h. eine pixelgroße Datei, die beim Öffnen des Newsletters von unserem Server, bzw. sofern wir einen Versanddienstleister einsetzen, von dessen Server abgerufen wird. Im Rahmen dieses Abrufs werden zunächst technische Informationen, wie Informationen zum Browser dem System, als auch Ihre IP-Adresse und Zeitpunkt des Abrufs erhoben.

Diese Informationen werden zur technischen Verbesserung der Services anhand der technischen Daten oder der Zielgruppen und ihre Leseverhaltens anhand derer Abruforte (die mit Hilfe der IP-Adresse bestimmbar sind) oder der Zugriffszeiten genutzt. Zu den statistischen Erhebungen gehört ebenfalls die Feststellung, ob die Newsletter geöffnet werden, wann sie geöffnet werden und welche Links geklickt werden. Diese Informationen können aus technischen Gründen zwar den einzelnen Newsletterempfängern zugeordnet werden. Es ist jedoch weder unser Bestreben, noch, sofern eingesetzt, das des Versanddienstleisters, einzelne Nutzer zu beobachten. Die Auswertungen dienen uns viel mehr dazu, die Lesegewohnheiten unserer Nutzer zu erkennen und unsere Inhalte auf sie anzupassen oder unterschiedliche Inhalte entsprechend den Interessen unserer Nutzer zu versenden.

Rechtsgrundlage ist die Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO.'

2.1.3 technische Services zur Darstellung, Anzeige und optimierten Nutzung der Webseite

Font Awesome

'Unsere Webseite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Fonticons, Inc. bereitgestellt werden. Beim Aufruf einer Seite lädt der Browser die benötigten Web Fonts in den Browsercache, um Texte und Schriftarten korrekt anzuzeigen. Zu diesem Zweck muss de von verwendete Browser Verbindung zu den Servern von Fonticons, Inc. aufnehmen. Hierdurch erlangt Fonticons, Inc. Kenntnis darüber, dass über die verwendete IP-Adresse unsere Website aufgerufen wurde.

Die Nutzung von Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit. f DS-GVO dar.

Wenn der genutzte Browser Web Fonts nicht unterstützt, wird eine Standardschrift vom genutzten Endgerät genutzt. Datenschutzerklärung von Fonticons, Inc.: https://fontawesome.com/privacy.'

Skriptbibliotheken (Google Webfonts)

'Um unsere Inhalte browserübergreifend korrekt und grafisch ansprechend darzustellen, verwenden wir auf unserer Website Scriptbibliotheken und Schriftbibliotheken wie z. B. Google Webfonts (https://www.google.com/webfonts). Google Webfonts werden zur Vermeidung mehrfachen Ladens in den Cache Ihres Browsers übertragen. Falls der Browser die Google Webfonts nicht unterstützt oder den Zugriff unterbindet, werden Inhalte in einer Standardschrift angezeigt. Der Aufruf von Scriptbibliotheken oder Schriftbibliotheken löst automatisch eine Verbindung zum Betreiber der Bibliothek aus. Dabei ist es theoretisch möglich – aktuell allerdings auch unklar ob und ggf. zu welchen Zwecken – dass Betreiber entsprechender Bibliotheken Daten erheben. Datenschutzrichtlinie des Bibliothekbetreibers Google: https://www.google.com/policies/privacy . Rechtsgrundlage ist unser berechtigtes Interesse bzgl. Suchmaschinenoptimierung, verbesserte Ladezeiten, geringer administrativer Aufwand und geräteübergreifende einheitliche Darstellung, Art. 6 Abs. 1 S. 1 lit. f DS-GVO.


Informationen zur Datenschutzerklärung von Acuity Scheduling: https://acuityscheduling.com/privacy.php

Detaillierte Informationen über Acuity Scheduling und die im Zusammenhang mit dem Service erhobenen Daten: https://de.squarespace.com/privacy/

Squarespace’s Ergänzung zur Datenverarbeitung im Zusammenhang mit der DS-GVO:
https://de.squarespace.com/dpa/ Diese Funktionen werden angeboten durch die Acuity Scheduling Inc., NY, USA.

Alternativ bieten wir eine Kontaktmöglichkeiten zur Terminvereinbarung via e-Mail (bspw. das Kontaktformular) an.

Rechtsgrundlage ist die Durchführung vorvertraglicher Maßnahmen gem. Art. 6 Abs. 1 S. 1 lit. b DS-GVO'

Google Maps

'Diese Webseite verwendet Google Maps API, um geographische Informationen visuell darzustellen (z.B. die Karte an Standorten für diagnostische Erstgespräche unter https://booking.minddoc.de. Wir verwenden Google Maps (API) von Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland (“Google”). Google Maps ist ein Webdienst zur Darstellung von interaktiven (Land-)Karten, um geographische Informationen visuell darzustellen. Schon im Zeitpunkt des Aufrufs derjenigen Unterseiten, in die die Karte von Google Maps eingebunden ist, werden Informationen über Ihre Nutzung unserer Website (wie z.B. Ihre IP-Adresse) an Server von Google übertragen und dort gespeichert. Dabei kann es auch zu einer Übermittlung an die Server der Google LLC. in den USA kommen. Dies unabhängig davon, ob Sie ein Nutzerkonto besitzen oder dort eingeloggt sind. Wenn Sie bei Google eingeloggt sind, dann werden Ihre Daten direkt Ihrem Konto zugeordnet. Dies können Sie dadurch verhindern, dass Sie sich vor der Aktivierung des Buttons ausloggen. Google speichert Ihre Daten (selbst für nicht eingeloggte Nutzer) als Nutzungsprofile und wertet diese aus. Die Erhebung, Speicherung und die Auswertung erfolgen gemäß Art. 6 Abs. 1 S. 1 lit. a DS-GVO auf Basis ihrer Einwilligung. Ihnen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei Sie sich für dessen Ausübung an Google wenden müssen. Wenn Sie mit der künftigen Übermittlung Ihrer Daten an Google im Rahmen der Nutzung von Google Maps nicht einverstanden sind, besteht auch die Möglichkeit, den Webdienst von Google Maps vollständig zu deaktivieren, indem Sie die Anwendung JavaScript in Ihrem Browser ausschalten. Google Maps und damit auch die Kartenanzeige auf dieser Internetseite kann dann nicht genutzt werden. Die Nutzungsbedingungen von Google können Sie unter https://www.google.de/intl/de/policies/terms/regional.html einsehen, die zusätzlichen Nutzungsbedingungen für Google Maps finden Sie unter https://www.google.com/intl/de_US/help/terms_maps.html


Nähere Informationen über die Datenverarbeitung durch Google kann den Google-Datenschutzhinweisen entnommen werden. Dort können ebenso im Datenschutzcenter persönlichen Datenschutz-Einstellungen verändert werden: https://policies.google.com/privacy?hl=de

Ausführliche Anleitungen zur Verwaltung der eigenen Daten im Zusammenhang mit Google-Produkten: https://support.google.com/accounts/answer/3024190'

2.1.4 Services zum Tracking von Nutzerverhalten und Marketingzwecken

Zur Analyse des Nutzerverhaltens auf unserer Webseite, zur Messung und Attribution von Marketingaktivitäten sowie für die Optimierung und Sicherstellung eines reibungslosen Ablaufs der Buchung von diagnostischen Erstgesprächen werden auf der Webseite https://www.minddoc.de und der Seite zur Buchung von diagnostischen Erstgesprächen https://booking.minddoc.de verschiedene Services eingesetzt, welche nur dann aktiv sind, wenn ein Nutzer dieser Verarbeitung von Daten aktiv zugestimmt hat.

Google Ads und Conversion Messung

'Wir nutzen das Onlinemarketingverfahren "Google Ads", um Anzeigen im Google-Werbe-Netzwerk zu platzieren (z.B. in Suchergebnissen, in Videos, auf Webseiten, etc.), damit sie Nutzern angezeigt werden, die ein mutmaßliches Interesse an den Anzeigen haben. Ferner messen wir die Konversion der Anzeigen. Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über Benutzung des Onlineangebotes durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen in unserem Auftrag benutzen, um die Nutzung unseres Onlineangebotes durch die Nutzer auszuwerten, um Reports über die Aktivitäten innerhalb dieses Onlineangebotes zusammenzustellen und um weitere, mit der Nutzung dieses Onlineangebotes und der Internetnutzung verbundene Dienstleistungen, uns gegenüber zu erbringen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt und in die USA transferiert werden. Wir erfahren jedoch nur die anonyme Gesamtanzahl der Nutzer, die auf unsere Anzeige geklickt haben und zu einer mit einem sog "Conversion-Tracking-Tag" versehenen Seite weitergeleitet wurden. Wir selbst erhalten jedoch keine Informationen, mit denen sich Nutzer identifizieren lassen. Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern; die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung des Onlineangebotes bezogenen Daten an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter folgendem Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.
Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland, parent company: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website:
https://marketingplatform.google.com
Datenschutzerklärung:
https://policies.google.com/privacy. Rechtsgrundlage ist die Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO.'

Microsoft Advertising

'Wir verwenden Conversion Tracking der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA. Dabei wird von Microsoft Advertising ein Cookie auf Ihrem Computer gespeichert, sofern ein Nutzer über eine Microsoft Advertising Anzeige auf unsere Website gelangt ist. Microsoft Advertising und wir können auf diese Weise erkennen, dass jemand auf eine Anzeige geklickt hat, zu unserer Website weitergeleitet wurde und eine vorher bestimmte Zielseite (Conversion Seite) erreicht hat. Wir erfahren dabei nur die Gesamtzahl der Nutzer, die auf eine Microsoft Advertising Anzeige geklickt haben und dann zur Conversion Seite weitergeleitet wurden. Es werden keine persönlichen Informationen zur Identität des Nutzers mitgeteilt. Falls ein Nutzer nicht möchte, dass Informationen zum Verhalten von Microsoft wie oben erläutert verwendet werden, kann das hierfür erforderliche Setzen eines Cookies abgelehnt werden – etwa per Browser-Einstellung, die das automatische Setzen von Cookies generell deaktiviert. Ebenfalls kann darüber hinaus die Erfassung der durch das Cookie erzeugten und auf die Nutzung der Website durch den Nutzer bezogenen Daten sowie die Verarbeitung dieser Daten durch Microsoft verhindern, indem unter dem folgenden Link Widerspruch erklärt wird:
https://account.microsoft.com/privacy/ad-settings/signedout?lang=de-DE

Weitere Informationen zum Datenschutz und zu den eingesetzten Cookies bei Microsoft und Microsoft Ads: https://privacy.microsoft.com/de-de/privacystatement

Rechtsgrundlage ist die Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO.'

Google Tag Manager

'Google Tag Manager ist eine Lösung, mit der wir sog. Website-Tags über eine Oberfläche verwalten und so andere Dienste in unser Onlineangebot einbinden können. Der Tag Manager selbst (welches die Tags implementiert) verarbeitet keine personenbezogenen Daten der Nutzer. Im Hinblick auf die Verarbeitung der personenbezogenen Daten der Nutzer wird auf die folgenden Angaben zu den Google-Diensten verwiesen. Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA;
Website: https://marketingplatform.google.com;
Datenschutzerklärung: https://policies.google.com/privacy.
Rechtsgrundlage ist die Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO.'

Google Analytics

'Wir setzen Google Analytics, einen Webanalysedienst der Google LLC („Google“) ein. Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über Benutzung des Onlineangebotes durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen in unserem Auftrag benutzen, um die Nutzung unseres Onlineangebotes durch die Nutzer auszuwerten, um Reports über die Aktivitäten innerhalb dieses Onlineangebotes zusammenzustellen und um weitere, mit der Nutzung dieses Onlineangebotes und der Internetnutzung verbundene Dienstleistungen, uns gegenüber zu erbringen. Dabei können aus den verarbeiteten Daten pseudonyme Nutzungsprofile der Nutzer erstellt und in die USA transferiert werden. Wir setzen Google Analytics nur mit aktivierter IP-Anonymisierung ein. Das bedeutet, die IP-Adresse der Nutzer wird von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Wir weisen aber darauf hin, dass in Ausnahmefällen die volle IP-Adresse an einen Server von Google in den USA übertragen und erst dort gekürzt wird. Die von dem Browser des Nutzers übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern; die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung des Onlineangebotes bezogenen Daten an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter folgendem Link verfügbare Browser-Plugin herunterladen und installieren:
http://tools.google.com/dlpage/gaoptout?hl=de. Weitere Informationen zur Datennutzung durch Google, Einstellungs- und Widerspruchsmöglichkeiten erfahren Sie auf den Webseiten von Google: https://www.google.com/intl/de/policies/privacy/partners („Datennutzung durch Google bei Ihrer Nutzung von Websites oder Apps unserer Partner“), http://www.google.com/policies/technologies/ads („Datennutzung zu Werbezwecken“), http://www.google.de/settings/ads („Informationen verwalten, die Google verwendet, um Ihnen Werbung einzublenden“).

Wir nutzen Google Analytics, um unsere Website analysieren und verbessern zu können. Rechtsgrundlage für die Nutzung von Google Analytics ist die Einwilligung gem. Art 6 Abs. 1 Satz 1 lit. a DS-GVO.'

Microsoft Universal Event Tracking (UET)

Auf unserer Webseite werden mit Technologien der Microsoft Ads Daten erhoben und gespeichert, aus denen unter Verwendung von Pseudonymen Nutzungsprofile erstellt werden. Hierbei handelt es sich um einen Dienst der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA. Dieser Dienst ermöglicht es uns, die Aktivitäten von Nutzern auf unserer Website nachzuverfolgen, wenn diese über Anzeigen von Microsoft Ads auf unsere Website gelangt sind. Gelangen Nutzer über eine solche Anzeige auf unsere Website, wird auf ihren Computer ein Cookie gesetzt. Auf unserer Website ist ein Microsoft Ads UET-Tag integriert. Hierbei handelt es sich um einen Code, über den in Verbindung mit dem Cookie einige nicht-personenbezogene Daten über die Nutzung der Website gespeichert werden. Dazu gehören unter anderem die Verweildauer auf der Website, welche Bereiche der Website abgerufen wurden und über welche Anzeige die Nutzer auf die Website gelangt sind. Informationen zur Identität werden nicht erfasst. Die erfassten Informationen werden an Server von Microsoft in den USA übertragen und dort für grundsätzlich maximal 180 Tage gespeichert. Der Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten sowie die Verarbeitung dieser Daten kann verhindern werden, indem Nutzer das Setzen von Cookies deaktivieren. Dadurch kann unter seltenen Umständen die Funktionalität der Website eingeschränkt werden. Außerdem kann Microsoft unter Umständen durch so genanntes Cross-Device-Tracking das Nutzungsverhalten über mehrere Ihrer elektronischen Geräte hinweg verfolgen und ist dadurch in der Lage personalisierte Werbung auf bzw. in Microsoft-Webseiten und –Apps einzublenden. Dieses Verhalten kann unter http://choice.microsoft.com/de-de/opt-out deaktiviert werden. Nähere Informationen zu den Analysediensten von Microsoft Ads:
https://help.bingads.microsoft.com/#apex/3/de/53056/2

Nähere Informationen zum Datenschutz bei Microsoft und Microsoft Ads:
https://privacy.microsoft.com/de-de/privacystatement

Rechtsgrundlage ist die Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO.

Speicherdauer von eingesetzten Cookies

'Die von uns eingesetzten Cookies im Rahmen für Werbe und Trackingzwecke (also nicht-essentielle Cookies) haben folgenden Zweck und Ablauffristen:'

_pin_unauth

Geltungsbereich

https://www.minddoc.de https://www.booking.minddoc.de

Zweck

Google Tag Manager Cookie zur Aussteuerung und Einbindung von Cookies. Diese Cookies stammen aber von Google Analytics und nicht vom Google Tag Manager selbst

Dauer

1 Jahr

_gid

Geltungsbereich

https://www.minddoc.de https://www.booking.minddoc.de

Zweck

Google Tag Manager Cookie zur Aussteuerung und Einbindung von Cookies. Diese Cookies stammen aber von Google Analytics und nicht vom Google Tag Manager selbst

Dauer

24 Stunden

_gcl

Geltungsbereich

https://www.minddoc.de https://www.booking.minddoc.de

Zweck

Dieses Cookie wird gesetzt, wenn ein User über einen Klick auf eine Google Werbeanzeige auf die Website gelangt. Es enthält Informationen darüber, welche Werbeanzeige geklickt wurde, sodass erzielte Erfolge wie z.B. Bestellungen oder Kontaktanfragen der Anzeige zugewiesen werden können.

Dauer

90 Tage

et_bloom

Geltungsbereich

https://www.minddoc.de

Zweck

Newsletter Plugin

Dauer

90 Tage

_ga

Geltungsbereich

https://www.minddoc.de https://www.booking.minddoc.de

Zweck

Enthält eine zufallsgenerierte User-ID. Anhand dieser ID kann Google Analytics wiederkehrende User auf dieser Website wiedererkennen und die Daten von früheren Besuchen zusammenführen.

Dauer

2 Jahre

_gat

Geltungsbereich

https://www.minddoc.de https://www.booking.minddoc.de

Zweck

Bestimmte Daten werden nur maximal einmal pro Minute an Google Analytics gesendet. Das Cookie hat eine Lebensdauer von einer Minute. Solange es gesetzt ist, werden bestimmte Datenübertragungen unterbunden.

Dauer

1 Minute

complianz_conent_[status, policyId], viewed_cookie_policy, CookielawInfoConsent, Cookieladinwo_checkbox-nonnecessary

Geltungsbereich

https://www.minddoc.de/magazin

Zweck

Cookie Consent Form auf unseren Wordpress Seiten (bspw. Karriere)

Dauer

1 Jahr

missing

Geltungsbereich

cookies.list.missing.scope

Zweck

cookies.list.missing.purpose

Dauer

cookies.list.missing.duration

Kapitel 3
MindDoc Online-Psychotherapie online-therapy

'Im Rahmen der Online-Psychotherapie werden Daten über die Person sowie die für die Behandlung notwendigen medizinischen Daten erhoben, erfasst, gespeichert, verarbeitet, abgefragt, genutzt oder übermittelt.</br></br> Zur Realisierung der Online-Psychotherapie erheben und verarbeiten wir sowohl allgemeine personenbezogene Daten als auch Daten mit Bezug auf die Gesundheit. Gesundheitsdaten sind dabei alle Daten, die sich auf den körperlichen oder geistigen Gesundheitszustand eines Patienten beziehen. Dies beinhaltet bspw. Daten, bei denen ein eindeutiger Bezug zur Gesundheit vorliegt, als auch Daten, welche Schlüsse auf den Gesundheitszustand zulassen oder bei denen Schlüsse über den Gesundheitszustand bereits gezogen wurden, unabhängig davon, ob diese richtig oder falsch sind. Diese verarbeiten Daten können sowohl einzeln für sich genommen und zum anderen in einer Gesamtschau Gesundheitsdaten darstellen.</br></br> <b>Wichtiger Hinweis:</b> Eine Speicherung bzw. Aufnahme der Videogespräche findet ausdrücklich nicht ohne vorherige, separate Zustimmung statt.'

3.1 Zwecke, für die personenbezogene Daten verarbeitet werden

'MindDoc darf Patientendaten nur dann verarbeiten, wenn eine gesetzliche Grundlage dies vorschreibt bzw. erlaubt oder der Patient hierzu eine Einwilligung erteilt:'

  • Zunächst sind Daten erforderlich für die Anlage als Patienten zur Einrichtung eines Nutzerkontos. In diesem Zusammenhang wird ein Abgleich mit bestehenden Nutzerdaten aus der MindDoc App (MindDoc Health GmbH) durch, um den Zielen der Datensicherheit und –sparsamkeit Rechnung zu tragen und um eine Doppelung von Accounts zu vermeiden. Dies erfolgt zur Wahrung der Interessen der betroffenen Nutzer auf Grundlage des berechtigten Interesses gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO und als Teil der Vereinbarung zur gemeinsamen Verantwortung gem. Artikel 26 DS-GVO.
  • Für die Behandlung (Online-Psychotherapie) notwendig sind dabei insbesondere Verarbeitungen der Patientendaten aus präventiven, diagnostischen, therapeutischen, kurativen und auch nachsorgenden Gründen
  • Außerdem erfolgen Verarbeitungen der Daten im Hinblick auf interdisziplinäre Konferenzen zur Analyse und Erörterung von Diagnostik und Therapie, zur Vor-, Mit-, Weiterversorgung bzgl. Diagnostik, Therapie, Befunden sowie Krankheits- / Vitalstatus. Alle diese Verarbeitungen erfolgen, um eine bestmögliche Behandlung zu gewährleisten
  • Neben diesen patientenbezogenen Verarbeitungen bedarf es auch einer verwaltungsmäßigen und unterstützenden Abwicklung. Dies bedingt im Wesentlichen die Verarbeitung der Daten zur Abrechnung der Behandlung, aus Gründen des Controllings bzw. der Rechnungsprüfung, zur Geltendmachung, Ausübung sowie Verteidigung von Rechtsansprüchen, usw.
  • Datenverarbeitungen erfolgen zudem zu Zwecken der Ausbildung, der Fort- und Weiterbildung von Ärzten und von Angehörigen anderer Berufe des Gesundheitswesen sowie aus Gründen der Betreuung und Wartung von IT-Systemen und Anwendungen sowie bei der Behebung technischer Fehler oder Fragen von einzelnen Patienten
  • Die Daten können auch verwendet werden für Qualitäts- und Analysezwecke zur Verbesserung der Therapieabläufe, -inhalte, als auch zur Verbesserung des Nutzungserlebnisses während der Online-Psychotherapie
  • Patientendaten können erforderlich sein im Rahmen der Messung der Effektstärke der Online-Therapie für interne Qualitätssicherungszwecke und zur Messung der Stabilität des Behandlungsangebots über standardisierte Fragebögen, welche 3, 6, und 12 Monate nach Beendigung der regulären Therapie an die Patienten gesendet werden.

3.1.1 Details zu den verarbeiteten personenbezogenen Daten

'Folgende personenbezogenen Daten können von MindDoc im Rahmen der Online-Psychotherapie erhoben werden:'

Von Patienten und therapeutischen Nutzern (Psychotherapeuten, Psychiater) erhobene Daten

'- Vorname(n)
- Nachname(n)
- Titel (z.B. Dr., Prof.)
- E-Mail Adresse
- Geburtsdatum
- Telefonnummer
- Postalische Adresse
- Geschlecht
- IP Adresse
- Profilfoto

Sowie Details zu gebuchten Terminen für diagnostische Erstgespräche und (reguläre) Onlinetherapietermine:

- Uhrzeit (Beginn, Ende)
- Notizen
- Gründe für Absagen und/oder Verschiebungen
- Zeitpunkt von Terminabsagen für die Erhebung eines Ausfallhonorars'

Nur von therapeutischen Nutzern (Psychotherapeuten, Psychiater) erhobene Daten

- Spezialisierungsgebiete, Fokussierung und Vorstellungstexte

Nur von Patienten erhobene Daten

'- Kontaktdaten von Dritten im Rahmen eines angegebenen Notfallkontaktes (E-Mail Adresse, Vorname, Nachname)'

'Folgende Daten mit Bezug gem. Art. 9 Abs. 2 lit. h DS-GVO, können von MindDoc im Rahmen der Online-Psychotherapie von Patienten erhoben werden:'

  • Behandlungsgrund (d.h. Besuchsgrund wie bspw. Depression, Essstörung, Burnout, Tinnitus, Angststörung, Zwangsstörung
  • Kostenträger/Krankenversicherung
  • Versicherungsnummer
  • Behandlungsweg (d.h. reguläre Onlinetherapie, Nachsorge, Erstgesprächsdiagnostik)
  • Qualitative Antworten und Notizen, die in Therapielektionen, Fragebögen oder innerhalb des elektronischen Chats schriftlich eingegeben werden (bspw. Antworten über Medikamenteneingabe, Beruf, Familienverhältnisse, Gedanken und Gefühle)
  • Quantitative Werte aus therapeutischen Fragebögen (z.B. PHQ 9 Werte) und damit Symptomverläufe
  • Anzahl und Art der ausgewählten und verordneten Therapielektionen sowie deren Bearbeitungsstatus (z.B. offen, in Bearbeitung, Feedback ausstehend, abgeschlossen)
  • Datum, Uhrzeit, Dauer und Art von Aktivitäten zwischen Patient und Therapeut oder Patientenmanagement (z.B. Videotherapie, Chatnachricht, Therapielektion zugeordnet)
  • Angaben zur Suizidalität durch den Patienten
  • Wichtige Hinweis und Notizen aus dem diagnostischen Erstgespräch (z.B. Hinweise zur Suizidalität)

3.1.2 Rechtsgrundlagen

'Bei der Nutzung der MindDoc Online-Psychotherapie, also mit Abschluss der Registrierung sowie der Nutzung der Plattform, erheben wir personenbezogene Daten, um die Nutzung von MindDoc und einen erfolgreichen Verlauf der Online-Psychotherapie zu ermöglichen. Die Registrierung kann dabei auf folgenden zwei Wegen erfolgen:'

  • Buchung eines initialen diagnostischen Erstgesprächs bei einem unserer Erstgesprächsstandorte inklusive Erstellung eines Nutzeraccounts unter https://www.booking.minddoc.de
  • Durch die Einladung zur Registrierung und abschließender selbständiger Vervollständigung des Nutzeraccounts auf https://therapie.minddoc.de/

'Die Grundlage dafür, dass MindDoc Daten datenschutzrechtlich verarbeiten darf, ergibt sich hauptsächlich daraus, dass MindDoc für die Behandlung von Patienten zuständig ist. Für eine ordnungsgemäße administrative Abwicklung der Behandlung und damit verbundener Aufgaben ist also die Aufnahme von Personalien und Gesundheitsdaten unabdingbar. Es gibt zahlreiche Gesetze und Verordnungen, die MindDoc eine Verarbeitung der Daten erlauben, wie z. B. die EU Datenschutz-Grundverordnung (DS-GVO) in den Art. 6 und 9 DS-GVO. Daneben finden sich Grundlagen im deutschen Recht, etwa in dem Bundesdatenschutzgesetz (BDSG), insbesondere § 22 BDSG und im Bürgerlichen Gesetzbuch (BGB) in den §§ 630 ff. BGB, die eine Verarbeitung der o.g. Daten voraussetzen.

Die Rechtsgrundlage für die Erhebung und Verarbeitung der personenbezogenen Daten im Rahmen der Behandlung ist Art. 9 Abs. 2 lit. h, Abs. 3 DS-GVO.

Als Rechtsgrundlagen für einzelne Verarbeitungen seien hier beispielhaft genannt:'

  • Datenverarbeitungen zum Zwecke der Durchführung sowie Dokumentation des Behandlungsgeschehens einschließlich des innerärztlichen und interprofessionellen Austauschs innerhalb von MindDoc über den Patienten für die Behandlung (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i.V.m. §§ 630a ff, 630f BGB),
  • Datenübermittlung an „Externe“ im Sinne einer gemeinsamen Behandlung (im Team), Zuziehung externer Konsiliarärzte, z.B. Labor, Telemedizin, sowie Zuziehung externer Therapeuten (Art. 9 Abs. 2h, Abs. 3, Abs.4 DS-GVO),
  • Datenübermittlung an die gesetzlichen Krankenkassen zum Zwecke der Abrechnung (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO),
  • Daneben sind Verarbeitungen auch in Fällen zulässig, in denen der Patient sowie der Therapeut die Einwilligung erklärt haben, wie z. B. Speicherung bzw. Aufnahme der Videogespräche Nachbefragung per Online-Fragebögen an. Dies erfolgt jedoch nur im Fall der Einwilligung durch den Patienten, Art. 9 Abs. 2 lit a DS-GVO.

3.1.3 Quellen von Daten im Rahmen der Online-Psychotherapie MindDoc

MindDoc erhebt die erforderlichen Daten grundsätzlich bei den Nutzern (d.h. Patienten, Therapeuten, Administratoren) selbst. Teilweise kann es jedoch vorkommen, dass wir von anderen Therapeuten, Krankenhäusern, die etwa die Erst- / Vor-Behandlung durchgeführt haben, von niedergelassenen Ärzten, Fachärzten, Medizinischen Versorgungszentren (sog. MVZ), usw. betreffende personenbezogene Daten erhalten. Diese werden bei MindDoc im Sinne einer einheitlichen Dokumentation mit den übrigen Daten eines Patienten zusammengeführt.

3.1.4 Zugriffsberechtigung auf Daten der Online-Psychotherapie

Die an der Behandlung beteiligten Personen (d.h. insb. Therapeuten, Psychiater, Ärzte) haben Zugriff auf Patientendaten. Diese werden von Fachpersonal oder unter dessen Verantwortung verarbeitet. Dieses Fachpersonal unterliegt entweder dem sog. Berufsgeheimnis oder einer Geheimhaltungspflicht.

Wenn dies für administrative Zwecke erforderlich ist, kann auch ein administrativer Mitarbeiter (z.B. Patientenmanagement, technischer Support) auf Patientendaten (personenbezogen als auch gesundheitsbezogene Daten) zugreifen. Der vertrauliche Umgang mit Ihren Daten wird auch hier gewährleistet durch entsprechende Geheimhaltungspflichten.

3.1.5 Mögliche Empfänger von Daten

'Sämtliche Daten werden im Rahmen der Zweckbestimmung unter Beachtung der jeweiligen datenschutzrechtlichen Regelungen bzw. etwaiger vorliegender Einwilligungserklärungen erhoben und ggf. an Dritte übermittelt. Als derartige Dritte kommen insbesondere in Betracht:'

    '
  • gesetzliche Krankenkassen sofern ein Patient gesetzlich versichert ist,
  • private Krankenversicherungen sofern ein Patient privat versichert ist,
  • Medizinische Gutachter des Medizinischen Dienstes der Krankenkassen (MDK) für die Beurteilung von erbrachten Leistungen, zur Einleitung von Leistungen zur Teilhabe oder bei Arbeitsunfähigkeit,
  • Medizinische Gutachter der Versicherungen zur Beurteilung von Verlängerungsanträgen,
  • Unfallversicherungsträger,
  • Hausärzte,
  • weiter-, nach- bzw. mit behandelnde Ärzte und/oder Therapeuten,
  • andere Einrichtungen der Gesundheitsversorgung oder Behandlung,
  • Rehabilitationseinrichtungen,
  • Pflegeeinrichtungen,
  • externe Datenverarbeiter (sog. Auftragsverarbeiter) unter Berücksichtigung der Pflichten, die sich aus Art. 28 DS-GVO ergeben: Diese verpflichten solche Dienstleister zur Einhaltung gesetzlicher Standards im Hinblick auf Datenschutz und Datensicherheit. Dadurch sind die Auftragsverarbeiter an unsere Weisungen gebunden und werden von uns regelmäßig kontrolliert. Innerhalb der folgenden Kategorien verwenden wir derartige Auftragsverarbeiter gemäß Art. 28 DS-GVO, die für die Entwicklung und Bereitstellung der Online-Therapie und damit verbundener Services notwendig sind: Hosting der Daten und Anwendungen (z.B. Google Cloud Hosting), E-Mail Versand, Kundensupport, Bereitstellung und Einbindung von Kursinhalten
  • '

Die Rechtsgrundlage für die Nutzung dieser Drittanbietern auf Basis ist unser berechtigtes Interesse daran, MindDoc dauerhaft instand zu halten und seine Leistungsfähigkeit nach Artikel 6 Abs. 1 S. 1 lit. f DSGVO zu bewerten.

3.1.6 Besondere Hinweise zur Speicherdauer der Daten der Online-Psychotherapie

Die Schön Klinik MVZ GmbH ist gem. § 630f BGB dazu verpflichtet, eine Dokumentation über Ihre Behandlung zu führen. Diese Patientenakte muss von uns mindestens 10 Jahre lang und kann aus Gründen der Beweissicherung im Einzelfall bis zu 30 Jahre lang aufbewahrt werden.

Kapitel 4
MindDoc Monitoring und Selbstmanagement App online-therapy

'Im Rahmen der unbegleiteten Nutzung der MindDoc-App für Monitoring und Selbstmanagement psychischer Störungen werden personenbezogene Daten erhoben, soweit:'

  • dies zur Erbringung der angeforderten Leistungen erforderlich ist,
  • Ein Nutzer in die Verarbeitung eingewilligt hat oder
  • wir sonst aufgrund einer anderweitigen Rechtsgrundlage dazu befugt sind.

4.1 Details zu den verarbeiteten personenbezogenen Daten und zugehörige Rechtsgrundlagen

4.1.1 Personenbezogene Daten für die Erstellung eines persönlichen Accounts

Zur Erstellung eines persönlichen Accounts, mit man auch beim Wechsel des Smartphones einfach auf die Historie zurückgreifen kann, erheben und verarbeiten wir folgende personenbezogenen Daten, in der Art und Weise, wie der Nutzer sie uns angibt:

  • Name
  • Vorname
  • Profilfoto (optional)
  • e-Mail Adresse

Die Rechtsgrundlage für die Datenverarbeitung ist die Erfüllung des Nutzungsvertrages gem. Art. 6 Abs. 1 S. 1 lit. b DS-GVO.

4.1.2 Erweiterte personenbezogene Daten bei gleichzeitiger Nutzung des MindDoc Online-Psychotherapieangebotes in Deutschland

  • Postalische Adresse
  • Versicherungsanbieter
  • Versichertennummer
  • Telefonnummer

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 9 Abs. 2 lit. h DS-GVO.

4.1.3 Gesundheitsdaten

'Innerhalb der App kannst der Nutzer 14-tägiges Monitoring durchlaufen, um eine Einschätzung zur mentalen Verfassung zu erhalten. Im Rahmen dieses Monitorings werden verschiedene Fragen beantwortet. Zudem kannst können weitere Leistungen, z.B. Bezahlangebote genutzt werden, die in Ziff. 2 unser AGB näher beschrieben werden. Die folgenden Gesundheitsdaten erheben, verarbeiten und nutzen wir, um diese Leistungen gemäß Ziff. 2 unserer AGB erbringen zu können.

Daten aus der MindDoc -Befragung (Monitoring und Screening):'

  • Fragen zur allgemeinen mentalen Verfassung
  • Fragen zu anderen Beschwerden und Symptomen
  • Fragen zu Lebensbedingungen, Freizeitaktivitäten und der Biografie
  • Auswertungen der oben genannten Daten bzgl. Schwere und Art der angegebenen Symptome, sowie psychologischen Zusammenhängen der Antworten.
  • Angaben auf einer Skala aus Smileys, mit der regelmäßig Stimmungen dokumentiert werden
  • Von Nutzern erstellte textbasierte Notizeingaben
  • Falls innerhalb der App explizit dazu eingewilligt wird, speichern wir Daten aus Apple Health (iOS) oder Google Fit (Android). Das sind primär die Anzahl Schritte pro Tag und andere Indikationen der körperlichen Aktivität oder Schlaf. Wir nutzen diese Daten zur Erbringung unserer Dienste innerhalb von MindDoc, insbesondere um Zusammenhänge zwischen psychologischen Faktoren und der physischen Aktivität rückzumelden. MindDoc sendet keine Daten an Apple Health oder Google Fit.

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 9 Abs. 2 lit. h DS-GVO

Daten aus den psychologischen Übungen

  • Textbasierte Eingaben bei den Übungen
  • Die vom Nutzer im Zuge der Übungen hochgeladenen Fotos

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 9 Abs. 2 lit. h DS-GVO

4.1.4 Technische Daten

Das sind Daten, die uns darüber informieren, welche Hard- und Software für den Zugriff auf unsere App verwendet werden:

  • Daten über die Mobil-Plattform (iOS/Android) und Version
  • Apple Identifier for Vendor (IDVA) bzw. Android ID
  • Version der App
  • Gerätemodell
  • Überprüfung des Zahlungsbelegs bei Apple und Google (die Belege enthalten weder Namen noch Adressen)

Die Rechtsgrundlage für die Datenverarbeitung ist das berechtigte Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO

4.1.5 Daten zur App Nutzung

Das sind Daten, die uns darüber informieren, wie und wie oft die App benutzt wird:

  • Wie oft wurde die App geöffnet?
  • Welche Bereiche wurden in der App angeklickt?
  • Verwendete App-Einstellungen (Spracheinstellungen, Notifikationen)
  • Feedback-Daten (inkl. E-Mail-Dienst).

Die Rechtsgrundlage für die Datenverarbeitung ist das berechtigte Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO bzw. die Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO für die Feedback-Daten.

4.2 Mögliche Empfänger von Daten

In dem Fall, dass wir personenbezogene Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder verarbeiten lassen (siehe auch die Tools von Drittanbietern beschrieben), so erfolgt dies unter Beachtung der jeweiligen rechtlichen Besonderheiten. In diesen Fällen werden wir stets geeignete Maßnahmen treffen, um deine Daten angemessen zu sichern.

4.3 Tools von Drittanbietern

MindDoc beauftragt im Rahmen der mobilen App teilweise Fremdanbieter mit der Erbringung von Dienstleistungen zur Analyse und Auswertung von Nutzerverhaltensweisen (z.B. Crash Reportings, Analytics) oder zur Erbringung wichtiger technischer Grundleistungen (z.B. Push Benachrichtigungen, Hosting, e-Mailversand). Falls diese Dienstleister personenbezogene Daten verarbeiten, schließen wir mit diesen eine Vereinbarung zur Auftragsverarbeitung nach Artikel 28 DS-GVO ab, welche diese Dienstleister zur Einhaltung gesetzlicher Standards im Hinblick auf Datenschutz und Datensicherheit verpflichtet. Dadurch sind die Auftragsverarbeiter an unsere Weisungen gebunden und werden von uns regelmäßig kontrolliert.

4.3.1 Google Firebase

'Wir erwenden wir Firebase (https://www.firebase.com/), ein Framework der Google-Tochter Firebase mit Sitz in San Francisco, CA, USA, über das wir die folgenden Echtzeitfunktionen verfolgen und verwalten. Wir nutzen dabei alle Möglichkeiten, um die Erhebung personenbezogener Daten wie bspw. die Werbe oder Vendor ID zu deaktivieren oder vorab zu anonymisieren (IP Adresse), so dass außer einer pseudonymisierten FireBase Instance ID (FireBase Token) keine personenbezogenen Daten durch FireBase verarbeitet werden:'

    '
  • Wir verwenden Firebase Crashlytics, um App-Abstürze zu verfolgen, sobald sie auftreten, und um zukünftige zu verhindern.
    Die Rechtsgrundlage für die Nutzung von Crashlytics ist eine explizite Einwilligung des Nutzers Artikel 6 Abs. 1 S. 1 lit. a DSGVO.
  • Wir verwenden Firebase Remote Config, um es uns zu ermöglichen, die App auf den Geräten zu ändern, auf denen sie installiert ist, ohne dass die App im jeweiligen App Store komplett neu installiert werden muss.
    Die Rechtsgrundlage für die Nutzung von RemoteConfig ist unser berechtigtes Interesse daran, die MindDoc-App dauerhaft instand zu halten nach Artikel 6 Abs. 1 S. 1 lit. f DSGVO.
  • Wir verwenden FireBase Cloud Messaging als Service zum sicheren und zuverlässigen Versand von mobilen Benachrichtigungen (sog. Push Notifications), die den Nutzer über ein neues Ereignis (z.B. ein neuer Frageblock, ein neuer Einblick) informiert.
    Die Rechtsgrundlage für die Nutzung von Cloud Messaging ist eine explizite Einwilligung des Nutzers Artikel 6 Abs. 1 S. 1 lit. a DSGVO.
  • Wir verwenden FireBase Analytics, um allgemeine Daten über die Nutzung der App zu erheben.
    Die Rechtsgrundlage für die Nutzung von FireBase Analytics so wie in der App eingesetzt ist unser berechtigtes Interesse daran, die MindDoc-App dauerhaft instand zu halten nach Artikel 6 Abs. 1 S. 1 lit. f DSGVO.
  • '

'Die Datenschutzerklärung von Firebase ist unter https://www.firebase.com/terms/privacy-policy.html verfügbar und Informationen über die spezifischen Daten, die in den genannten Diensten verwendet werden, können hier eingesehen werden: https://firebase.google.com/support/privacy#data_processing_information

'

branchMetrics.title

branchMetrics.intro

branchMetrics.optOut

4.3.3 Weitere Kategorien von Empfängern personenbezogener Daten

'Neben den oben genannten Anbietern nutzen wir innerhalb der folgenden Bereiche Drittanbieter von Dienstleistungen und Infrastruktur auf Grundlage einer Auftragsverarbeitung nach Artikel 28 DS-GVO, die für die Entwicklung und Bereitstellung der mobilen App und damit verbundener Services notwendig sind:'

  • Hosting der Daten und Anwendungen
  • E-Mail Versand
  • Kundensupport

Die Rechtsgrundlage für die Nutzung dieser Drittanbietern auf Basis ist unser berechtigtes Interesse daran, die MindDoc-App dauerhaft instand zu halten und seine Leistungsfähigkeit nach Artikel 6 Abs. 1 S. 1 lit. f DSGVO zu bewerten.

4.4 Dauer der Speicherung von Daten

'Die Verarbeitung von Daten ist zum Abschluss bzw. zur Erfüllung des mit uns eingegangenen Vertrages zur Nutzung der MindDoc-App und im Falle der Anlage des optionalen Accounts erforderlich. Zusätzlich ist dies bei der Nutzung des optionalen Angebotes des hiervon unabhängigen Services der MindDoc Online-psychotherapie (https://www.minddoc.de) erforderlich. Wenn Du uns diese Daten nicht zur Verfügung stellst, können wir die Dienstleistung nicht erbringen. Es besteht ebenso keine Verpflichtung, personenbezogenen Daten bereitzustellen. Ebenso ist die Nutzung unserer App und der damit verbundenen Dienstleistungen freiwillig. Falls die erforderlichen Daten jedoch nicht bereitgestellt werden, können wir die unter Ziff. 2 der AGB genannten Leistungen ggf. nicht erbringen.

Die o.g. angegebenen Daten werden bei uns gespeichert, solange dies für die Nutzung unserer App und der damit verbundenen Dienste im Rahmen des unbegleiteten Monitoring und Selbstmanagements erforderlich ist. '

4.5 Löschung von Daten

Unabhängig vom Recht auf Datenlöschung gem. Art. 17 DS-GVO (siehe dazu auch die Rechte von Betroffenen), können die Daten direkt in der App im Bereich “Einstellungen → Daten & Sicherheit” jederzeit gelöscht werden. Vorher können diese mittels einer automatischen Export-Funktion übertragen oder gesichert werden. Alternativ kann jeder Nutzer per e-Mail von der bei uns registrierten Adresse an feedback@MindDoc.de oder unter Nennung der persönlichen Identifikationsnummer (diese befindet sich im Bereich Profil ganz unten) dieses Anliegen schreiben. Wir werden dies dann unverzüglich prüfen und Kontakt aufnehmen.

Kapitel 5
Rechte von Betroffenen online-therapy

'Die Webseite dient der Information über unsere Angebote, welche wir im Rahmen einer Online-Psychotherapie als auch der unbegleiteten Nutzung der MindDoc App für Menschen mit psychischen Problemen anbieten. Zudem leiten Sie den Nutzer in ein passendes Behandlungsangebot und ermöglichen mittels eines Selbsttests eine erste Einschätzung zu möglichen Problemfeldern.'

Recht auf Auskunft, Art. 15 DS-GVO

Recht auf Auskunft über die von uns verarbeiteten personenbezogenen Daten.

Recht auf Einschränkung der Verarbeitung, Art. 18 DS-GVO

'Die Einschränkung der Verarbeitung von personenbezogenen Daten, wenn bestimmte Gründe gegeben sind. Dies bedeutet, dass die Daten zwar nicht gelöscht, aber gekennzeichnet werden, um ihre weitere Verarbeitung oder Nutzung einzuschränken.'

Recht auf Widerspruch gegen die unzumutbare Datenverarbeitung, Art. 21 DS-GVO

Verarbeiten wir Daten auf der Grundlage eines berechtigten Interesses, so kannst gegen diese Datenverarbeitung jederzeit Widerspruch eingelegt werden; dies würde auch für ein auf diese Bestimmungen gestütztes Profiling gelten. Wir verarbeiten Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten unserer Nutzer überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Der Verarbeitung von Nutzerdaten zum Zweck der Direktwerbung kann jederzeit ohne Angabe von Gründen widersprochen werden.

Recht auf Löschung, Art. 17 DS-GVO

Die Löschung von personenbezogenen Daten unter den im Artikel genannten Voraussetzungen; Dies ist insbesondere dann der Fall, wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind.

Recht auf Berichtigung, Art. 16 DS-GVO

Unverzügliche Berichtigung unrichtiger, den Nutzer betreffende personenbezogene Daten.

Recht auf Übertragbarkeit, Art. 20 DS-GVO

Nutzer der Dienste haben grundsätzlich das Recht, die sie betreffenden personenbezogenen Daten, die sie bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln; ebenfalls hat der Nutzer das Recht, zu verlangen, dass wir die personenbezogenen Daten direkt einem anderen Verantwortlichen übermitteln, soweit dies technisch machbar ist; sofern die Verarbeitung auf einer Einwilligung beruhte oder auf einem Vertrag mit uns beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Kapitel 6
Weitere Rechte online-therapy

Neben den o.g. Rechten stehen all unseren Nutzern weitere Rechte zu

6.1. Verweigerung und Widerruf von Einwilligungen

<b><i>Wenn die Verarbeitung von Daten auf einer Einwilligung beruht, die uns gegenüber wurde, dann steht jedem Nutzer das Recht zu, diese Einwilligung jederzeit zu widerrufen. Diese Erklärung kann formlos z.B. schriftlich, per E-Mail oder Fax an die Verantwortlichen gerichtet werden. Einer Angabe von Gründen bedarf es dafür nicht. Der Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem er ausgesprochen wird. Er hat keine Rückwirkung. Die Verarbeitung von Daten bis zu diesem Zeitpunkt bleibt rechtmäßig.</b></i>

6.2. Beschwerderecht

Unabhängig davon, dass es unseren Nutzern auch freisteht, gerichtliche Hilfe in Anspruch zu nehmen, haben diese das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten datenschutzrechtlich nicht zulässig ist. Dies ergibt sich aus Art. 77 DS-GVO. Die Beschwerde bei der Aufsichtsbehörde kann formlos erfolgen.

Kapitel 7
Wahrnehmung berechtigter Interessen der Verantwortlichen online-therapy

Sofern einer der Verantwortlichen zur Durchsetzung eigener Ansprüche gegen einen Nutzer selbst oder dessen Krankenkasse gezwungen ist, anwaltliche oder gerichtliche Hilfe in Anspruch zu nehmen, da die eine gestellte Rechnung nicht beglichen wird, müssen die Verantwortlichen (zu Zwecken der Rechteverfolgung) die dafür notwendigen Daten zur Person und der Behandlung offenbaren.

Kapitel 8
Allgemeine Hinweise zur Datensicherheit online-therapy

8.1. Technische Sicherheitsvorkehrungen

Wir speichern keine Daten auf dem Endgerät unserer Nutzer (weder mobile App noch web App), um eine größtmögliche Sicherheit zu gewährleisten und um ein reibungsloses Funktionieren zu ermöglichen. Die personenbezogenen Daten unserer Nutzer, die in der Web und Mobile Applikation im Rahmen einer Online-Psychotherapie oder bei der unbegleiteten Nutzung der App verarbeitet werden, speichern wir auf Servern unserer IT Dienstleister innerhalb der europäischen Union, die diese Daten in unserem Auftrag und auf der Rechtsgrundlage des Art. 28 DS-GVO verarbeiten und zur Einhaltung der gesetzlichen Bestimmungen über den Datenschutz und zur Datensicherheit verpflichtet sind. Das von uns genutzte Rechenzentrum ist ein nach ISO 27001, ISO 27017 und ISO 27018 zertifizierter Hosting Provider. Die europäische ISO 27001 Zertifizierung stimmt überein mit den Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die europäische ISO Zertifizierung 27017 ist eine internationale Norm zur Absicherung von Cloud Services (Cloud Security), welche durch die ISO 27018 insbesondere im Hinblick auf den Schutz personenbezogener Daten (Cloud Privacy) ergänzt wird. Sämtliche Kommunikation zwischen dem Benutzer und der technischen Plattform erfolgt ausschließlich auf Basis der jeweils aktuellsten Verschlüsselungstechnologie. Die Verschlüsselung erfolgt automatisch und erfordert keinen Eingriff durch den Nutzer. Ein oder mehrere Verschlüsselungsmechanismen werden dabei verwendet. Beispielsweise werden alle neu auf nicht flüchtigem Speicher gespeicherten Daten gemäß dem Standard AES-256 verschlüsselt, wobei jeder Verschlüsselungsschlüssel wiederum mit einem Satz von Masterschlüsseln verschlüsselt wird, die regelmäßig durchgewechselt werden. Der Zugriff auf das individuelle Nutzerprofil und die darin durch den User hinterlegten Daten erfolgt ausschließlich durch eine individuelle Usernamen-Passwort-Kombination, die ausschließlich dem Benutzer bekannt ist. Die Benutzer bestimmen ihre Passwörter selbst. Hierbei werden bestimmte Zwangsanforderungen an das gewählte Passwort gestellt, so dass jedes Passwort ein Mindestmaß an Sicherheit erreichen muss. Ein Algorithmus überprüft beim Erstellen des Passwortes, wie sicher dieses ist und informiert den Nutzer in Echtzeit darüber. Vergessene Passwörter können nicht wiederhergestellt werden, da diese ausschließlich in verschlüsselter Form auf dem Server gespeichert werden. Stattdessen wird dem Benutzer ein Link per E-Mail gesendet, mit welchem er sich ein neues Passwort vergeben kann. Wir treffen zudem eine Vielzahl von Vorkehrungen zum Schutz persönlicher Daten und um Missbrauch zu verhindern. Alle unsere Anwendungen kommunizieren mit unseren Server über verschlüsselte Verbindungen mittels TLS (Transport Layer Security) bzw. HTTPS, wodurch verhindert wird, dass Dritte die Daten während dem Senden (d.h. “In transit”) unberechtigterweise auslesen können. Sowohl Server als auch Datenbanken befinden sich hinter Firewalls, um den Zugriff auf Daten während der Speicherung (d.h. “at-rest”) bzw. Während einer Verarbeitung (d.h. “in process”) zu verhindern. Zur unabhängigen Überprüfung der Systemsicherheit, werden zudem mindestens einmal jährlich durch ein extern beauftragtes IT-Sicherheits-Unternehmen Testangriffe (sog. Penetrationstests) auf die bereitgestellten Server ausgeführt und versucht, testweise unerlaubten Zugriff auf diese zu erlangen.

8.2. Sonstige Hinweise und Empfehlungen zur Datensicherheit

Auch bei Ausschöpfung möglichst vieler technischer und organisatorischer Sicherheitsvorkehrungen kann eine 100% Sicherheit auch von uns nicht garantiert werden - darum empfehlen wir dir als Nutzer, folgende Hinweise genau zu beachten und möglichst umzusetzen:

Basisschutz

Prüfe in den Einstellungen deines Geräts (Smartphone, Laptop, Tablet), welche angebotenen Sicherheitsfunktionen vorhanden sind und aktiviere diese (bspw. Zugangsbeschränkung per Fingerabdruck/Gesichtserkennung, Gerät finden, Zwei-Faktor Authentifizierung).

Kontrolliere den Einblick auf dein Display

Achte darauf, dass du vertrauliche Inhalte auf deinem Smartphone (bspw. die Eingabe persönlicher Daten oder Angaben zu deiner (mentalen) Gesundheit) nur dann eingibst/liest/änderst, wenn sichergestellt ist, dass niemand dir dabei zusieht, der es nicht soll.

Zugriff absichern

telle sicher, dass du eine Zugriffsbeschränkung (z.B. Passcode, Fingerprint, Gesichtserkennung, Passwort) für das Entsperren deines Geräts und für Apps mit sensiblen Inhalten aktivierst. Die Bildschirmsperre mit einem Muster ist i.d.R. leicht zu umgehen und daher nicht sicher.

Behalte deinen Fokus

Nutze dein Smartphone nur, wenn du dich voll darauf konzentrieren kannst und parallel keine Aktivitäten ausführst, die deine Aufmerksamkeit erfordern (bspw. Steuern eines Fahrzeugs, Überqueren einer Straße).

Vorsicht bei öffentlichen und firmeninternen Netzwerken

Nutze keine unsicheren Netzwerke oder öffentliche WLAN Hotspots ohne Passwort bzw. nutze dann Apps, die ein virtuelles privates Netzwerk (VPN) aufbauen. In firmeninternen Netzwerken kann der Zugriff auf bestimmte Inhalte ggf. beschränkt bzw. gesperrt sein oder es können Aktivitäten aufgezeichnet werden.

Bleibe auf dem neuesten Stand

Installiere regelmäßig die neuesten Updates für dein Betriebssystem und Apps, da die Hersteller damit neben neuen Features oft neue Sicherheitsmaßnahmen einführen und -lücken schließen.

Kapitel 9
Änderungen der Datenschutzerklärung online-therapy

Wir behalten uns das Recht vor, diese Datenschutzerklärung unter Beachtung der datenschutzrechtlichen Vorgaben zu ändern. Die jeweils aktuelle Fassung ist jeweils an dieser Stelle oder einer anderen, leicht erreichbaren Stelle unserer Angebote (z.B. Web Applikation der Online-Psychotherapie, innerhalb Mobile App) auffindbar. Bei Fragen, Anregungen oder Kommentare können Nutzer sich gerne direkt an die Verantwortlichen Unternehmen dieser Datenschutzerklärung oder den Datenschutzbeauftragten wenden. Letzte Änderungen:

  • 25.02.2021: Kapitel 1: Ergänzung Name Datenschutzbeauftragter, Kapitel 4:Konkretisierung der Rechtsgrundlagen
  • 01.02.2021: Grundsätzliche Überarbeitung und neue Verantwortlichkeiten