Datenschutzerklärung
Geltungsbereich dieser Datenschutzerklärung
Diese Datenschutzerklärung gibt Auskunft über die Verarbeitung von personenbezogenen Daten nach EU-DSGVO im Zusammenhang mit der Nutzung dieser Website und der Gesundheitsanwendung edupression.com® (Anwendung). In der Anwendung selbst stellen wir unter Profil / Datenschutz eine spezielle Datenschutzerklärung ausschließlich für die Nutzung der Gesundheitsanwendung allein zur Verfügung. Diese Datenschutzerklärung gibt Auskunft über die Verarbeitung von personenbezogenen Daten nach EU-DSGVO im Zusammenhang mit der Nutzung dieser Website und der Gesundheitsanwendung edupression.com® (Anwendung). In der Anwendung selbst stellen wir unter Profil / Datenschutz eine spezielle Datenschutzerklärung ausschließlich für die Nutzung der Gesundheitsanwendung allein zur Verfügung.
Einleitung
Wir von SOFY GmbH, Am Renninger 8, 3400 Klosterneuburg, Österreich, info@sofy.group, (nachfolgend bezeichnet als „SOFY“, „wir“ oder „uns“) haben uns zum Ziel gesetzt, edupression.com® ausschließlich auf dem Fundament von evidenzbasierter Medizin aufzubauen. Menschen in einer für sie schweren Zeit, sollen die Möglichkeit erhalten, online Selbsthilfe zu erfahren und Kompetenz aufzubauen, begleitend zu den bestehenden Therapieformen Psychotherapie und Psychopharmaka. Unser Anspruch ist die Wissenschaftlichkeit und Nutzung des höchsten technischen Niveaus. Daher ist uns auch in dem sensiblen Bereich der Schutz der persönlichen Daten unserer Kunden (Nutzer) und Interessenten ein besonderes Anliegen. Wir verarbeiten diese Daten ausschließlich auf Grundlage der geltenden, strengen gesetzlichen Bestimmungen in der Europäischen Union und Österreich (EU-DSGVO, öDSG 2021, TKG 2021).
Registrierung und Nutzung von edupression.com® Gesundheitsanwendung
Um edupression.com® als online Plattform und Medizinprodukt nutzen zu können, somit auf Basis von Art 6 Abs 1 lit b DSGVO, müssen die Nutzer sich registrieren (Name, Passwort, gültige E-Mail-Adresse). Im verpflichtenden Onboarding-Prozess (mit online Gebrauchsanweisung) muss auch vom Nutzer bestätigt werden, dass keine drängenden Suizidgedanken oder -pläne bestehen.
Bei der Registrierung müssen sie auch in die Verarbeitung der personenbezogenen Daten, insbesondere auch in die Verarbeitung ihrer Gesundheitsdaten gemäß Art 9 Abs 2 lit a DSGVO ausdrücklich einwilligen. Die Registrierung ist Nutzern erst ab dem vollendeten 18. Lebensjahr gestattet.
Bei der Nutzung von edupression.com® werden die folgenden Daten verarbeitet:
a) Daten, die Nutzer aktiv eingeben: Kontaktdaten, Formulareingaben zum Status von Wissen, Selbsttests, Befinden, Foren, etc.
b) Daten, die passiv über die (mobilen) Endgeräte erfasst werden können (Aktivitäten und Nutzungsverhalten des Benutzers, Gamification Daten).
Diese Daten sind Grundlage für die technisch korrekte Anwendung und Wirkungsentfaltung der Produkte von edupression.com® als Medizinprodukte.
Kommunikation in der Applikation
Für Benachrichtigungen von Nutzern oder der optionale Chat-Funktion zwischen verbundenem Nutzer und Depressionsspezialist (nicht für DiGA Nutzer) ist das Service pusher.com von Messagebird aus den Niederlanden integriert. Die Inhalte und Daten werden dabei sicher verschlüsselt übertragen.
Gesundheitsdaten – Nutzung der Medizinprodukte
Zum Zweck der Nutzung als Medizinprodukte verarbeiten wir die nachfolgend angeführten Gesundheitsdaten. Dies ist notwendig, um die Wirkung des Produktes gewährleisten zu können.
edupression.com® Psychoedukation (Therapieeinheiten)
Daten im Rahmen der Abwicklung der Kurse (Anfangs-/Endzeitpunkte der Kursmodule und deren Teile, Zeitverlauf, Lerndauer, Wiederholungen, etc.)
Daten aus dem Selbsttest zur Depressivität (Abfragen zu Beschwerden bzgl. verschiedener Gemütszustände, biologischer Funktionen, Gefühlen und Gedanken)
Daten aus dem Gehirntraining zu Reaktionszeit, Konzentration und Aufmerksamkeit
Daten aus interaktiven Feldern in den Kursmodulen (z.B. Begriffsassoziationen, WordRap, persönliche positive Aktivitätenliste, Antworten aus Fragebögen, etc.)
Daten aus den vom Nutzer gegebenen Quiz-Antworten
edupression.com® Stimmungsdiagramm
Daten aus der täglichen Gemütsstimmung zur Bildung eines Depressionswertes, affektive Episoden, Beeinträchtigungen, generelle Faktoren wie Schlaf, Menstruation, Alkohol/Drogen, stressreiche Ereignisse, spezielle Faktoren, wie positive Aktivitäten, Sport, Therapie.
Nutzung als Depressionsspezialist
Im Zuge der Registrierung als Depressionsspezialist werden personenbezogene Daten für die Nutzung des Benutzerkontos erhoben, insbesondere Name, Kontaktdaten, Profession und Ausbildung. Weiters werden, nachdem SOFY dem Abschluss des Vertrages mit dem Depressionsspezialisten zustimmt, die Aktivitäten des Depressionsspezialisten auf der Plattform, wie Einladungen, sowie Zugriffe aus berechtigtem Interesse und zum Schutz der anderen Nutzer verarbeitet.
Der Nutzer kann sich freiwillig mit einem Depressionsspezialisten verknüpfen.
Zur Verknüpfung von Nutzer und Depressionsspezialisten müssen beide explizit einwilligen (Einladung und Einwilligung). Sind die beiden verbunden, dann hat der Depressionsspezialist über seinen eigenen Account Einblick auf Daten aus dem Cockpit des Nutzers, z.B. Kursverlauf, Aktivitäten, Stimmungsdiagramm. Dies dient der Information des Depressionsspezialisten für den Zeitraum und den Verlauf zwischen den persönlichen Behandlungen. Weitere Daten, die im Rahmen der Verknüpfung eines Nutzers mit einem Depressionsspezialisten verarbeitet werden, sind Kontaktdaten des Nutzers, sowie Daten aus der Kommunikation zwischen Depressionsspezialisten und Nutzern. Der Nutzer kann seine Einwilligung jederzeit ohne Angaben von Gründen widerrufen, allerdings ist eine Verknüpfung von Nutzer und Depressionsspezialist dann nicht möglich.
Nutzung im Rahmen einer Krankenversicherung
Sollte ein Nutzung über eine Versicherung erfolgen, werden Daten vorwiegend zur Verrechnung an die Versicherungen übermittelt (Namen, Versicherungsnummer, Geburtsdatum, Zeitraum der Nutzung von edupression.com, gewähltes Produkt).
Die zuvor genannten Datenverarbeitungen erfolgen grundsätzlich auf Basis von Art 6 Abs 1 lit b DSGVO, soweit es sich jedoch um Gesundheitsdaten handelt, erfolgen die Datenverarbeitungen auf Basis von Art 9 Abs 2 lit a DSGVO.
Der Nutzer kann seine Einwilligung jederzeit ohne Angabe von Gründen widerrufen, allerdings werden dann alle personenbezogenen Daten vorbehaltlich anderer Rechtsgrundlagen gelöscht.
Registrierung mittels GesundheitsID (IDP) und das Schreiben in die elektronische Patientenakte (ePA) in Deutschland
In Deutschland ist es gesetzlich möglich, nachdem alle Teilnehmer der Telematik-Infrastruktur (TI) sämtliche Maßnahmen getroffen haben, bei edupression® als DiGA sich mittels GesundheitsID als alleinige Authentifikation zur registrieren bzw. sich damit einzuloggen. Hierzu müssen Benutzer bei ihrer gesetzlichen Krankenkasse die Gesundheits-ID beantragen. Über eine Schnittstelle der TI erhalten wir bei der Registrierung oder dem Login die Freischaltung der Krankenkasse für die Nutzung von edupression®. Für die Nutzung von edupression® ist weiterhin die Angabe und Prüfung einer Email-Adresse durch den Benutzer notwendig, da über diesen Kanal wichtige Informationen an die Benutzer übermittelt werden.
Sollte der GesundheitsID auch eine Krankenversicherungsnummer (KVNr) durch die gesetzliche Krankenversicherung hinterlegt sein, können Benutzer von edupression® auch das Schreiben in die ePA einmalig oder regelmäßig im Programm selbsttätig über „Datenexport“ abrufen. Dabei wird ein maschinenlesbares File gemäß MIO DiGA Toolkit 1.1.0 in die ePA des Benutzers geschrieben. Folgende Daten werden dabei übermittelt: Angaben zur DiGA inklusive Datum und Laufzeit, Name der Benutzer (soweit freiwillig angegeben, mindestens jedoch die Email-Adresse), Angaben zur Medikation (Wirkstoff und Dosis, soweit vom Benutzer eingetragen), diverse Antworten der Benutzer auf Fragebögen bzw. Umfragen (insbesondere PHQ9 oder Stimmungsdiagramm). Eine Spezifikation des exportierten Files im Sinne der Interoperabilität finden Sie hier (Link pdf).
Zusammenarbeit mit Wissenschafts-Partnern und Weitergabe von anonymen Daten – Gesundheitsanwendung
Die Nutzer können optional die Einwilligung zur Anonymisierung der Daten für die Weiterentwicklung, der Gewährleistung technischer Funktionsfähigkeit sowie Nutzerfreundlichkeit geben (gemäß deutscher DiGAV). Diese Einwilligung kann jederzeit ohne Angabe von Gründen widerrufen werden. In der Entwicklung und Weiterentwicklung arbeiten wir mit anerkannten medizinisch-wissenschaftlichen Forschungsinstitutionen zusammen. Für die Wissenschaft benötigte Daten werden ausschließlich in anonymisierter Form übermittelt, sodass die Forscher keine Rückschlüsse auf die einzelne Person des Nutzers machen können.
Unser gemeinsames Ziel ist es, damit edupression.com® so entsprechend weiterzuentwickeln, dass unsere Nutzer die bestmögliche Unterstützung und Begleitung in ihrer Krankheit erhalten.
Spam und Bot-Schutz Website und Gesundheitsanwendung
Zu Schutz der Website und Gesundheitsanwendung arbeiten wir mit dem Dienst captcha.eu aus Österreich zusammen. Damit gewähren wir die Aufrechterhaltung des Betriebes (DSGVO Art. 6 lit. c) und verarbeiten dazu technische Daten inklusive IP, Sessionzeiten usw. Siehe auch Datenschutzerklärung captcha.eu: https://www.captcha.eu/de/datenschutz/
WhatIsMyBrowser zur Überprüfung der aktuellen Browserversion (Gesundheitsanwendung)
Da wir aus rechtlichen Vorgaben als DiGA verpflichtet sind, dass Benutzer immer die aktuellste Version des Browsers benutzen, nutzen wir den Dienst WhatIsMyBrowser der australischen Firma Long Way Research Corporation Pty Ltd. Über eine Schnittstelle werden die technischen Daten, die beim Öffnen einer Website vom jeweiligen Browser an den Websitebetreiber zurückgegeben werden, verarbeitet (IP, http Header mit Browser-Angaben (User Agent), Cookie-Einstellungen, Java und/oder Flash Unterstützung…). Dabei wird die IP-Adresse nicht vollständig verarbeitet, dh. pseudonymisiert, durch Weglassen der letzten beiden Stellen. Dadurch kann der Dienst WhatIsMyBrowser für uns pseudonymisiert rückmelden, ob der Benutzer der Webapplikation gerade eine aktuelle Browserversion nutzt. Zur Aktualisierung und permanenten Weiterentwicklung der Datenbank nutzt WhatIsMyBrowser die Browserdaten des Besuchers, die IP-Adresse wird dafür vorher komplett abgetrennt, sodass keine Rückschlüsse auf den Besucher gemacht werden können. Weitere Informationen zur Datenschutzerklärung von WhatIsMyBrowser: https://www.whatismybrowser.com/about/legal/
Ausspielen von Videos mit Vimeo auf Website und Gesundheitsanwendung
Wir verwenden zum Ausspielen von Videos in unserer Applikation und der Website das Videoportal Vimeo der Vimeo.com, Inc. Die Videos sind dabei eingebettet und nutzen nur die technisch notwendigen Daten zum Abspielen und Steuern des jeweiligen Videos. Dies ist gewährleistet durch die Einstellung „hide from Vimeo“ für alle ausgespielten Videos. Vimeo.com, Inc. tritt dabei als Verarbeiter auf, wir haben hierfür Standardvertragsklauseln mit Vimeo.com, Inc. abgeschlossen. Die Datenschutzinformation zu Vimeo finden Sie hier: https://vimeo.com/privacy.
Kontaktaufnahme über die Website oder allgemein
Wenn Sie mit uns Kontakt aufnehmen möchten, können Sie dies z.B. über das Web-Formular machen oder durch eine E-Mail an info@sofy.group oder per Telefon. Wir verarbeiten Ihre E-Mail Adresse, Telefonnummer und den Inhalt Ihrer Mitteilung und Kommunikation zum Zweck der Bearbeitung Ihrer Anfrage und für den Fall von Anschlussfragen und speichern diese auf Basis von Art 6 Abs 1 lit b DSGVO bis zu sechs Monate.
Soweit es sich um Gesundheitsdaten handelt werden diese ausschließlich nach Ihrer ausdrücklichen Einwilligung gemäß Art 9 Abs 2 lit a DSGVO verarbeitet.
Für die Kommunikation in der Gesundheitsanwendung mit uns stellen wir im Menü Feedback/Anfrage eine Möglichkeit direkt über die Anwendung zur Verfügung. Bei Löschanfragen werden diese Daten ebenso gelöscht.
Nutzung des Rezeptservices
Um den kostenlosen und freiwilligen Rezeptservice über unsere Website nutzen zu können, müssen die Nutzer der Verarbeitung der personenbezogenen Daten im Zuge des Services informiert zustimmen. Die Verarbeitung umfasst folgende Daten, auch der besonderen Kategorie (Gesundheitsdaten) nach Art. 9 Abs. 1 DSGVO: Name, E-Mail, Telefonnummer, Rezept, Daten zur Verschreibung und Arzt/Ärztin/TherapeutIn. Die Daten werden an SOFY GmbH übermittelt, gespeichert und auf Vollständigkeit geprüft. Dann werden sie im Namen des Nutzers an die jeweilige Krankenkasse des Nutzers weitergeleitet.
Für statistische Zwecke werden die Daten anonymisiert ohne, dass irgendein Rückschluss auf den Nutzer jemals möglich ist. Die Einwilligung kann vom Nutzer jederzeit ohne Angabe von Gründen für die Zukunft widerrufen werden (E-Mail: datenschutz@edupression.com).
Online Zahlungsverkehr
Dieser Abschnitt gilt nicht für DiGA-Nutzer aus Deutschland, da diese direkt über die Krankenkassen abgerechnet werden.
Zur Abwicklung des online-Zahlungsverkehrs, somit auf Basis von Art 6 Abs 1 lit b DSGVO, übergeben wir nur die notwendigsten personenbezogenen Daten an den Zahlungsdienstleister (Stripe Inc. oder PayPal (Europe) S.à r.l. et Cie, S.C.A.): Name, Auftragszweck, Betrag. Diese Daten werden verschlüsselt weitergegeben und nur zur Abwicklung der Zahlung verwendet. Datenschutzerklärung stripe.com https://stripe.com/en-at/privacy
Wenn die Nutzer PayPal verwenden, haben sie bereits den Bedingungen von PayPal zugestimmt (https://www.paypal.com/at/webapps/mpp/ua/privacy-full?locale.x=de_AT)
Website – Cookies
Unsere Website verwendet so genannte Cookies. Dabei handelt es sich um kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden. Sie richten keinen Schaden an.
Wir nutzen Cookies dazu, unser Angebot nutzerfreundlich zu gestalten und damit unser Web-Service technisch funktioniert. Einige Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Sie ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen und z.B. unser Web-Service schneller verfügbar zu machen. Bevor wir Cookies setzen, die für die Bereitstellung des Dienstes nicht technisch zwingend erforderlich sind, holen wir vom Besucher die Einwilligung mittels Cookies-Popups ein (opt-in). Sollte der Besucher die Einwilligung nicht geben, kann die Funktionalität unserer Website und unseres Web-Shops eingeschränkt sein.
Gesundheitsanwendung – Cookies
Die Gesundheitsanwendung edupression.com® selbst läuft nur mit technisch notwendigen Cookies von unserem eigenen Server ab.
Website – Feedback
Damit unsere Website-Besucher uns einfach von der Seite weg ein Feedback übermitteln können, nutzen wir den europäischen Dienst hotjar. Die dabei eingegebenen Daten werden uns geschützt zur Verfügung gestellt.
Nutzer des Programms edupression.com® können direkt in der Applikation Feedback in unserem System geben.
Vielen Dank für Ihre Rückmeldungen, dies hilft uns das Angebot für alle noch besser zu machen!
E-Mail-Newsletter und Transaktionsmails
Wir versenden E-Mail-Newsletter an Interessenten und unsere Nutzer (Kunden) und informieren dabei über psychische Erkrankungen und unsere Dienstleistungen. Die Versendung erfolgt auf Basis der Einwilligung des Interessenten gemäß Art 6 Abs 1 lit a DSGVO und aus dem Vertragsverhältnis als Kunde. DiGA-Patienten müssen sich gesondert über die Website zu diesem Dienst anmelden. Die Anmeldung erfolgt in einem sogenannten Double-Opt-In Verfahren (der Interessent erhält nach der Anmeldung eine E-Mail, in der er um die Bestätigung seiner Anmeldung gebeten wird, erst nach Bestätigung erfolgt eine Zusendung der E-Mail-Newsletter). Eine Abmeldung ist jederzeit einfach über den Abmelde-Link im Newsletter möglich. Zur Durchführung des Versandes nutzen wir Mailjet, einen E-Mail-Marketing-Dienst in Frankreich, als Auftragsverarbeiter. Zu dem Zwecke werden nur folgende Daten übertragen: Name, Anrede und E-Mail-Adresse. Beim Versand werden weiters Nutzungsdaten (Reportings) erhoben, diese dienen ausschließlich zum Zweck der Verbesserung unseres Newsletter-Services und somit zur Wahrung unserer berechtigten Interessen nach Art 6 Abs 1 lit f DSGVO. Sofern Sie Ihre Einwilligung gemäß Art 6 Abs 1 lit a DSGVO zum Erhalt von E-Mail-Newslettern erteilt haben, speichern wir Ihre Daten bis zu Ihrem Widerruf Ihrer Einwilligung.
Transaktionsmails: Anders als die Newsletter, ist begleitende, personalisierte Kommunikation mittels Mails (Erinnerungen, Informationen, Gratulation…) ein wichtiger Bestandteil unserer angebotenen therapeutischen Dienstleistung für unsere Nutzer, daher vertraglicher Bestandteil unserer Dienstleistung (Art. 6 Abs. 1b).
Empfänger der personenbezogenen Daten
Die Übermittlung und Verarbeitung der personenbezogenen Daten erfolgt grundsätzlich nur soweit das zur Erfüllung des Vertragsverhältnisses oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist (auf Basis von Art 6 Abs 1 lit b DSGVO), zur Erfüllung einer rechtlichen Verpflichtung (Art 6 Abs 1 lit c DSGVO), zur Wahrung berechtigter Interessen (Art 6 Abs 1 lit f DSGVO) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art 9 Abs 2 lit f DSGVO) oder wenn der Nutzer bzw. Interessent seine ausdrückliche Einwilligung (Art 6 Abs 1 lit a oder Art 9 Abs 2 lit a DSGVO) erteilt hat.
Neben den oben angeführten Auftragsverarbeitern werden die personenbezogenen Daten der Nutzer bzw. Interessenten insbesondere an Rechenzentren, IT-Dienstleister und Buchhaltungsdienstleister übermittelt.
Weiters kann eine Übermittlung u.a. im Zusammenhang mit behördlichen Anfragen oder Gerichtsbeschlüssen erforderlich sein.
Insbesondere durch die Verpflichtung nach dem geltenden Medizinprodukterecht unterliegen wir als Hersteller bzw. Vertreiber besonderen Anforderungen hinsichtlich Überwachung der Funktionsfähigkeit der Produkte. Auf Grundlage dieses regulatorisch geforderten Beobachtungs- und Meldesystems kann es ebenfalls zur Verarbeitung von personenbezogenen Daten kommen. Rechtsgrundlage ist hier Art 9 (2) i DSGVO.
Speicherdauer
Die Speicherung Ihrer personenbezogenen Daten erfolgt grundsätzlich solange, wie dies zur Erfüllung vertraglicher Pflichten und für ihre Zweckbestimmung erforderlich ist. Danach werden die Daten gelöscht. Ausnahmen bestehen bei gesetzlichen Aufbewahrungs- oder Speicherpflichten.
Aufgrund der DiGAV-Auslegung (§4 Abs.2) durch die Behörde BfArM wird für BenutzerInnen der DiGA in Deutschland das Konto samt aller personenbezogener Daten automatisch nach Ablauf (3 Monate) gelöscht. Diese BenutzerInnen können aber freiwillig zustimmen, das Konto mit allen Daten weiter vorzuhalten, damit Zeit bleibt einen neuen DiGA-Code vom Arzt/Therapeuten bzw. der Krankenkasse einzuholen (Folgeverordnung PZN 18458308). Nach Eingabe des neuen DiGA-Codes kann die Anwendung weitergeführt werden.
Rechte der Betroffenen
Wir weisen darauf hin, dass Sie jederzeit Ihr Recht geltend machen können bzgl. Auskunft, Datenübertragbarkeit, Berichtigung, Einschränkung, Widerruf, Widerspruch und Löschung von Ihren personenbezogenen Daten. So nicht andere Rechtsgrundlagen dagegen sprechen, werden wir fristgerecht Ihrem Anliegen Folge leisten. Gemäß EU-DSGVO wir informieren alle Empfänger, denen personenbezogene Daten offengelegt wurden über die Berichtigung oder Löschung bzw. Einschränkung der Verarbeitung und so dies verlangt wurde auch den Betroffenen. Es werden keine automatisierten Entscheidungen einschließlich Profiling mit Ihren Daten durchgeführt. Sie haben zudem das Recht sich bei der zuständigen Behörde: Österreichische Datenschutzbehörde (https://www.dsb.gv.at/, Barichgasse 40-42, 1030 Wien) zu beschweren.
Kontakt uns und zu unserem Datenschutzbeauftragten:
SOFY GmbH c/o Datenschutzbeauftragter
Am Renninger 8, 3400 Klosterneuburg, Österreich
E-Mail: datenschutz@edupression.com
Datensicherheit
Wir treffen angemessene technische und organisatorische Sicherheitsmaßnahmen im Sinne des Art 32 DSGVO, um Ihre personenbezogenen Daten gegen unbeabsichtigte oder unrechtmäßige Löschung, Veränderung oder gegen Verlust und gegen unberechtigte Weitergabe oder unberechtigten Zugriff zu schützen.
Zu Ihrer Sicherheit treffen Sie bitte alle möglichen Maßnahmen zur IT Sicherheit – siehe Sicherheitshinweise.
Änderung der Datenschutzerklärung
Wir behalten uns vor, die Datenschutzerklärung zu ändern, um sie an geänderte Rechtslagen, oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Dies gilt jedoch nur im Hinblick auf Erklärungen zur Datenverarbeitung. Sofern Einwilligungen der Nutzer erforderlich sind oder Bestandteile der Datenschutzerklärung Regelungen des Vertragsverhältnisses mit den Nutzern enthalten, erfolgen die Änderungen nur mit Zustimmung der Nutzer.
Die Nutzer werden gebeten sich regelmäßig über den Inhalt der Datenschutzerklärung zu informieren.