Kontakt per E-Mail

Patient*innen Betreuung

8:00 Uhr – 18:00 Uhr (Mo-Fr) 

Caspar Clinic Hotline

Datenschutzerklärung

(Stand: 04.03.2024)

1. Anwendungsbereich

Diese Datenschutzerklärung klärt Sie über die Verarbeitung personenbezogener Daten auf der Internetpräsenz www.caspar-health.com (im Folgenden „Website“) sowie auf der Caspar App (im Folgenden “Caspar Software”) auf. Die App kann sowohl mittels der installierten Caspar App genutzt werden als auch direkt über den Webbrowser. Auf der App wird das Therapieportal (im Folgenden “Caspar”) betrieben.

2. Verantwortlicher

Die GOREHA GmbH, Neue Schönhauser Str. 20, 10178 Berlin (im Folgenden „wir“ oder „uns“) ist Verantwortlicher gem. Art. 4 Abs. 7 Datenschutz-Grundverordnung (DS-GVO) für sämtliche personenbezogenen Daten, die auf der Plattform erhoben werden, es sei denn, diese Datenschutzerklärung enthält abweichende Angaben.

3. Personenbezogenen Daten

Personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten. Zu besonderen Kategorien personenbezogener Daten gehören z.B. Daten, die sich auf Ihre körperliche Gesundheit beziehen, sogenannte Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DS-GVO.

4. Verarbeitung beim Besuch der Website

Unsere Website verwendet keine Cookies.

Beim Besuch unserer Website erheben wir personenbezogene Daten, die Ihr Browser an unseren Server übermittelt. Wir erheben folgende Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten.
Diese sind:

  • Die IP-Adresse des Nutzers (nur für 24 Stunden)
  • Name der abgerufenen Website bzw. Datei
  • Datum und Uhrzeit des Zugriffs
  • Übertragene Datenmenge
  • Meldung über erfolgreichen Abruf
  • Browser-Typ und Version
  • Betriebssystem des Nutzers
  • verwendetes Endgerät des Nutzers, inklusive MAC-Adresse
  • Referrer-URL (die zuvor besuchte Seite) (24 Stunden)
  • Betriebssystem und dessen Oberfläche
  • Sprache und Version der Browsersoftware

Diese Daten werden nicht mit anderen personenbezogenen Daten, die Sie aktiv im Rahmen der Website angeben, zusammengeführt.
Die Server-Logfiles mit den oben genannten Daten werden automatisch nach sieben Tagen gelöscht. Wir behalten uns vor, die Server-Logfiles länger zu speichern, wenn Tatsachen vorliegen, welche die Annahme eines unzulässigen Zugriffs (wie etwa der Versuch eines Hackings oder einer sogenannten DOS-Attacke) nahelegen. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Das berechtigte Interesse besteht in der Bereitstellung der Website und deren ordnungsgemäßem Betrieb.

5. Was ist eine IP-­Adresse?

Jedem Gerät (z.B. Smartphone, Tablet, PC), das mit dem Internet verbunden ist, wird eine IP-Adresse zugewiesen. Welche IP-Adresse dies ist, hängt davon ab, über welchen Internetzugang Ihr Endgerät aktuell mit dem Internet verbunden ist. Es kann sich dabei um die IP-Adresse handeln, die Ihnen Ihr Internetprovider zugeteilt hat, etwa wenn Sie zu Hause über Ihr W-LAN mit dem Internet verbunden sind. Es kann sich aber auch um eine IP-Adresse handeln, die Ihnen Ihr Mobilfunkprovider zugeteilt hat oder um die IP-Adresse eines Anbieters eines öffentlichen oder privaten W-LANs oder anderen Internetzugangs. In ihrer derzeit geläufigsten Form (IPv4) besteht die IP-Adresse aus vier durch Punkte getrennte Ziffernblöcke. Zumeist werden Sie als privater Nutzer keine gleichbleibende IP-Adresse benutzen, da Ihnen diese von Ihrem Provider nur vorübergehend zugewiesen wird (so genannte „dynamische IP-Adresse“). Bei einer dauerhaft zugeordneten IP-Adresse (so genannte „statische IP-Adresse“) ist eine eindeutige Zuordnung der Nutzerdaten über dieses Merkmal im Prinzip möglich. Außer zum Zwecke der Verfolgung unzulässiger Zugriffe auf unser Internetangebot verwenden wir diese Daten grundsätzlich nicht personenbezogen, sondern werten lediglich auf anonymisierter Basis aus, welche unserer Websites favorisiert werden, wie viele Zugriffe täglich erfolgen und ähnliches.

6. Kontaktformular der Website

Sie haben die Möglichkeit, sich mit uns über unser Kontaktformular in Verbindung zu setzen. Zur Nutzung unseres Kontaktformulars benötigen wir von Ihnen zunächst die als Pflichtfelder markierten Daten.
Diese Daten verwenden wir auf Grundlage von Art. 6 Abs. 1 S. 1 lit. a) und b) bzw. Art. 9 Abs. 2 DS-GVO, um Ihre Anfrage zu beantworten.
Darüber hinaus können Sie selbst entscheiden, ob Sie uns weitere Angaben mitteilen möchten. Diese Angaben erfolgen freiwillig und sind für die Kontaktaufnahme nicht zwingend erforderlich. Ihre freiwilligen Angaben verarbeiten wir auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO.
Ihre Daten werden nur zur Beantwortung Ihrer Anfrage verarbeitet. Wir löschen Ihre Daten, sofern diese nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Newsletter

Unsere Kunden sowie Personen, die Ihr Interesse an Caspar bekundet haben, informieren wir durch unseren E-Mail-Newsletter über Weiterentwicklungen und neue Produkte sowie Angebote. Hierbei handelt es sich um eine freiwillige Anmeldung zum Newsletter. Rechtsgrundlage für den Newsletterversand an unsere Kunden ist Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Unser berechtigtes Interesse ergibt sich aus unserem Interesse an Direktwerbung. Andere interessierte Personen erhalten den Newsletter aufgrund ihrer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO.
Der Verwendung Ihrer E-Mail-Adresse zum Versand des Newsletters können Sie jederzeit über einen Link im jeweiligen Newsletter widersprechen bzw. auf diesem Wege Ihre Einwilligung widerrufen. Sie können auch eine E-Mail an Datenschutz@goreha.com schreiben.

 

8. Nutzung des Therapieportals Caspar

Medizinische Einrichtungen und Patienten können zur Nutzung des Therapieportals Caspar Accounts einrichten. Im Rahmen der Erstellung eines Benutzerkontos für unsere Caspar Software werden Sie aufgefordert, eine Reihe an personenbezogenen Daten einzugeben (insbesondere Anrede, Vorname, Name, Straße, Postleitzahl, Stadt, Aufenthaltsland, Telefon, E-Mail-Adresse und möglicherweise weitere Daten, die wir im Rahmen der Anmeldung erfragen). Verpflichtend ist jedoch nur die Angabe des Aufenthaltslands. Sie können die Daten stets unter der Rubrik „Patienten-Account“ einsehen und ändern. Sofern Sie eine E-Mail Adresse angegeben haben, erhalten Sie in regelmäßigen Abständen eine Übersicht über Ihre aktuellen Aktivitäten im Rahmen der Therapie. Hiervon können Sie sich jederzeit mittels Abmelde-Link abmelden. Wir erheben, speichern und verarbeiten Ihre, in diesem Abschnitt genannten, Daten für die gesamte Abwicklung Ihrer Nutzung von Caspar, einschließlich eventuell späterer Gewährleistungen. Die Einzelheiten hierzu sind in den jeweiligen Verträgen und AGB geregelt, die mit den betreffenden Personen geschlossen werden. Bei der Nutzung von Caspar werden personenbezogene Gesundheitsdaten über Patienten ausschließlich nach deren vorheriger Einwilligung verarbeitet. Diese Daten werden von der medizinischen Einrichtung oder von den Patienten selbst in Caspar übertragen. Ein Austausch der Daten erfolgt nur zwischen den Patienten und der betreuenden medizinischen Einrichtung sowie den dort beschäftigten Ärzten. Sie werden nicht an Dritte weitergegeben.
Die Daten werden gespeichert, solange sie zur Nutzung von Caspar erforderlich sind. Anschließend werden die Daten gelöscht, sofern keine anderslautenden gesetzlichen Rechte oder Pflichten bestehen. Von einer andauernden Nutzung von Caspar wird bis zum Ende der jeweiligen Vertragslaufzeit ausgegangen.
Rechtsgrundlage für die Verarbeitung ist eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO i.V.m. Art. 9 Abs. 2 lit. a) DS-GVO.
Die Einwilligungserklärungen können im jeweiligen Account unter der Rubrik “Rechtliches” jederzeit abgerufen werden. Personenbezogene Daten der Therapeuten und nicht-gesundheitsbezogene Daten der Patienten werden zum Zweck der Vertragsdurchführung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b) DS-GVO verarbeitet.
Die personenbezogenen Daten werden ausschließlich auf Servern in Deutschland gespeichert und verarbeitet. Alle Ärzte und Therapeuten unterstehen der beruflichen Schweigepflicht. Wir verpflichten unsere Mitarbeiter auf Vertraulichkeit im Sinne der DS-GVO. Datenübermittlungen werden durch Verschlüsselungen nach dem anerkannten Stand der Technik gegen den Zugriff durch Dritte geschützt.

9. Webinare, Umfragen

Während der Nutzung des Therapieportals Caspar besteht die Möglichkeit an Webinaren teilzunehmen. Diese werden synchron zum Therapieangebot der Nachsorge angeboten und stellen eine Live-Erweiterung im Bereich Wissen und Wohlbefinden dar und sind somit ebenfalls Bestandteil der Therapie. Hierüber werden Sie via E-Mail informiert. Die Teilnahme ist freiwillig und keine Voraussetzung für die Nutzung von Caspar oder für einen erfolgreichen Therapieabschluss. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 S. 1 lit. a) und b) bzw. Art. 9 Abs. 2 lit. a) ) DS-GVO. Jede E-Mail enthält einen Abmelde-Link.

Es besteht die Möglichkeit, während der Nutzung von Caspar an Umfragen zur Verbesserung der digitalen Therapie mit Caspar sowie des Therapieportals selbst teilzunehmen. Die Teilnahme ist freiwillig und keine Voraussetzung für die Nutzung von Caspar oder für einen erfolgreichen Therapieabschluss. Sofern eine Befragung mittels pseudonymisierten Daten erfolgt, ist Rechtsgrundlage hierfür Art. 6 Abs. 1 S. 1 lit. a) bzw. Art. 9 Abs. 2 lit. a) DS-GVO. Die Übermittlung erfolgt auf Basis von Art. 45 Abs. 3 DS-GVO.

 

10. Datenübertragbarkeit Art. 20 DS-GVO

Wir ermöglichen Patienten die freiwillige Anbindung und den Import Ihrer Aktivitäts- und Gesundheitsdaten aus unterschiedlichen Quellen (wie Mobiltelefone, Smartwatches, Fitnesstracker und anderen digitalen Gesundheitsservices wie z.B. Apple Health Kit oder Google Fit). Indem Sie Ihr Konto eines anderen Anbieters mit Caspar verbinden, beauftragen Sie uns explizit damit, Ihre Daten von diesem Anbieter zu Ihrem Caspar Account zu transferieren (rechtliche Grundlage für diesen Anspruch ist Art. 20 Abs. 1 DS-GVO). Die Erfassung dieser Informationen ist freiwillig und für die Nutzung von Caspar nicht erforderlich. Caspar überträgt keine Daten an diese Anbieter. Wir integrieren hierfür im Rahmen eines Auftragsverarbeitungvertrags das Thryve Health SDK, das von der mHealth Pioneers GmbH, Bismarckstraße 10-12, 10625 Berlin bereitgestellt wird. mHealth Pioneers GmbH hat keinen Zugriff auf andere, bei Caspar hinterlegte, Daten.

11. Datenverarbeitung im Ausland

Jede Übermittlung von Daten an ein Drittland erfolgt unter Beachtung des anwendbaren Datenschutzrechts. Ausschließlich in Drittländer, für die ein Angemessenheitsbeschluss der Europäischen Kommission besteht bzw. im Falle der USA bei Vorliegen eines wirksamen Data Privacy Frameworks und der Listung des Anbieters unter dieses Abkommen.
Die Goreha GmbH ist ISO 27001 zertifiziert.

12. Einsatz von Tracking- und Analysetools

Auf unserer Caspar Software sind die Funktionen eines Monitoringsystem eingebunden. Das System benachrichtigt unser Entwicklungsteam über mögliche Fehler in der Applikation. Hierzu werden Log Daten an den Dienst übertragen. Sofern an den so übermittelten Informationen auch personenbezogene Daten teilhaben, erfolgt die Verarbeitung gemäß Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an einer effizienten Fehlerursachenanalyse zur Verbesserung der Zuverlässigkeit und Funktionalität der Caspar Software. Für den Fall, dass an den übermittelten Informationen auch sensible personenbezogene Daten teilhaben, erfolgt die Übermittlung auf Grundlage von Art. 9 Abs. 2 lit. a) DS-GVO in Form von pseudonymisierten Metadaten.
Die Übermittlung der Daten an den Service kann sich auf den Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO berufen.

Die Übermittlung der Daten an Datadog kann sich auf den Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO berufen.  

 

13. Push-Nachrichten

Wir bieten Ihnen die Möglichkeit Push-Nachrichten oder sogenannte In-App-Messages auf Ihr Endgerät zu übermitteln. Wenn Sie unsere App über ein Push-fähiges Endgerät nutzen, können Sie in den Empfang von „Push-Benachrichtigen“ einwilligen. Dabei wird Ihrem Endgerät eine pseudonymisierte Device Token ID zugeteilt, eine aus der Geräte-ID erzeugte, eindeutige Verbindungsnummer, mittels derer wir die Push-Nachrichten bzw. In-App-Messages an Sie adressieren können.

14. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO),
  • Recht auf Berichtigung (Art. 16 DSGVO),
  • Recht auf Löschung (Art. 17 DSGVO),
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Recht auf Datenübertrag-barkeit (Art. 20 DSGVO),
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21. DSGVO).

Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO). Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Ein Widerruf einer Einwilligungserklärung beeinflusst die Zulässigkeit der zukünftigen Verarbeitung Ihrer personenbezogenen Daten. Eine Nutzung der entsprechenden Dienste ist nach Widerruf nicht mehr möglich.
Wenn Sie Ihre vorgenannten Rechte wahrnehmen wollen, können Sie sich jederzeit hierzu an Datenschutz@goreha.com wenden.
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

15. Dauer der Aufbewahrung und Löschung von Daten (Löschkonzept)

Erteilt der Patient seine Einwilligung, werden seine (sensiblen) personenbezogenen Daten solange verarbeitet, bis er die Einwilligung mit Wirkung für die Zukunft widerruft und die gesetzlichen Aufbewahrungsfristen abgelaufen sind oder die Therapie beendet wurde und die gesetzlichen Aufbewahrungsfristen abgelaufen sind. Es gelten die gesetzlichen Aufbewahrungs- und Löschfristen. Relevant sind in der Regel die Folgenden:
§ 238 Abs. 2 Handelsgesetzbuch (HGB) bis zu 10 Jahre im Hinblick auf Abrechnungsdokumente der Goreha GmbH ggü. der medizinischen Einrichtung; isb. Modulübersichten und KTL-Reports der einzelnen Nutzer*innen in archivierter und pseudonymisierter Form.
§ 147 Abs. 1 Nr. 2, Abs. 2 Abgabenordnung (AO) bis zu 6 Jahre im Hinblick auf Abrechnungsdokumente der Goreha GmbH ggü. der medizinischen Einrichtung; isb. Modulübersichten und KTL-Reports der einzelnen Nutzer*innen in archivierter und pseudonymisierter Form.
§ 14 Umsatzsteuergesetz (UStG) bis zu 6 Jahre im Hinblick auf Abrechnungsdokumente der Goreha GmbH ggü. der medizinischen Einrichtung; isb. Modulübersichten und KTL-Reports der einzelnen Nutzer*innen in archivierter und pseudonymisierter Form.
Art. 17 Abs. 3 lit. e) DS-GVO i.V.m. Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen der Goreha GmbH gegenüber der medizinischen Einrichtung und Patient*innen bis zu 5 Jahren, ebenfalls in archivierter und pseudonymisierter Form.
§ 10 Abs. 3 Musterberufsordnung für Ärzte (MBO-Ä) 10 Jahre zum Zweck der eigenen Behandlungsdokumentation der Ärzt*innen und Therapeut*innen der Goreha GmbH in archivierter Form.
Der Fristbeginn richtet sich nach den Vorschriften der jeweils geltenden Aufbewahrungsfristen. Sofern Daten im Rahmen der regulären Löschung nach Ablauf der Aufbewahrungsfristen gelöscht werden, geschieht dies nach einem festgelegten Prozess. Bei der Goreha GmbH existieren entsprechende Anweisungen, aus denen sich der zuständige Mitarbeiter für die regelmäßige Überprüfung und die technische Umsetzung der Löschung, die Datenkategorien, die betroffenen Auftragsverarbeiter, die betroffenen Datenbanken und Tabellen, die Schutzklasse sowie der Speicherort ergeben (sogenanntes Löschkonzept). Im Rahmen der regulären Löschung erfolgt eine Anweisung der jeweiligen Auftragsverarbeiter zur Löschung der markierten Daten. Diese sichern eine Löschung innerhalb von 90-180 Tagen zu. Alternativ zur Löschung seiner Daten kann der Patient in der Caspar App seine Einwilligung zur Anonymisierung seiner Daten zum Zweck der Löschung erteilen (Primärzweck). Rechtsgrundlage hierfür ist Art. 9 Abs. 2 lit. a) DS-GVO bzw. Art. 6 Abs. 1 S. 1 a) oder f) DS-GVO. Die Anonymisierung richtet sich derzeit nach dem Praxisleitfaden und den Grundsatzregeln zum Anonymisieren personenbezogener Daten der Stiftung Datenschutz. Der Patient wird darauf hingewiesen, dass die dann anonymisierten Daten möglicherweise von der Goreha GmbH eingesetzt werden zur Verbesserung der digitalen Nachsorge mit Caspar Health (Sekundärzweck). Sofern der Patient seine Einwilligung zur Verarbeitung seiner Daten mit Wirkung für die Zukunft widerruft, mit der Konsequenz, dass dann ggf. eine weitere Nutzung der Caspar App für die digitale Nachsorge nicht mehr möglich ist, wird er innerhalb einer angemessenen Frist hierauf hingewiesen. Seine Daten werden dann entsprechend dem oben beschriebenen Löschkonzept überprüft und, sofern keine anderen Aufbewahrungsfristen entgegenstehen (insbesondere Abrechnung gegenüber der medizinischen Einrichtung), gelöscht. Im Falle einer Deinstallation muss zunächst geklärt werden, ob gleichzeitig hiermit auch die digitale Nachsorge mit Caspar Health beendet werden soll. Ohne eine Beantragung der Löschung des Benutzerkontos führt die Deinstallation der App per se nicht zur Löschung der Daten. Der Patient wird informiert und ausführlich darauf hingewiesen, dass er in die Verarbeitung seiner personenbezogenen Daten einwilligen muss, um Caspar Health nutzen zu können. Er wird darüber informiert, dass er seine Einwilligung jederzeit widerrufen kann, ggf. ohne Weiternutzungsmöglichkeit von Caspar Health, und dass er die Verarbeitung seiner Daten einschränken kann. Der Patient kann in seinem Nutzerkonto sein Konto selbstständig löschen. Dies führt zu einer Sperrung des Kontos, jedoch werden die zu dem Konto gehörenden Daten so lange aufbewahrt, wie es die gesetzlichen Aufbewahrungsfristen vorgeben. Ebenfalls wird der Patient im Fall einer Löschung des Nutzerkontos auf die Möglichkeit eines Datentransfers hingewiesen. Personenbezogene Daten, die bei der medizinischen Einrichtung selbst gespeichert sind, unterliegen ausschließlich deren Löschkonzept. Ansprüche auf Widerruf, Löschung oder Einschränkung der Datenverarbeitung sind, sofern die Caspar App keine Funktion anbietet, geltend zu machen an: datenschutz@caspar-health.com

16. Verschlüsselte Datenübertragung

Ihre personenbezogenen Daten werden in verschlüsselter Form übertragen, um einem Missbrauch durch Dritte entgegenzuwirken, wobei wir hierfür eine Verschlüsselung nach dem anerkannten Stand der Technik (Datenübertragung über Transport Layer Security 1.2.) verwenden. Es handelt sich dabei um eine gängige Sicherheitstechnologie, die Ihre persönlichen Daten, inkl. der Login-Daten und Ihrer sensiblen personenbezogenen Daten während des Transports verschlüsselt. Bitte beachten Sie, dass bei einem Datentransfer über das Internet keine hundertprozentige Sicherheit garantiert werden kann.

17. Onlinepräsenz

Wir unterhalten Onlinepräsenzen innerhalb sozialer Netzwerke und auf unserer Website, um mit den dort aktiven Kunden, Interessenten und Nutzern kommunizieren und sie dort über unsere Leistungen informieren zu können. Beim Aufruf der jeweiligen Netzwerke und Website gelten die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien der jeweiligen Betreiber. Soweit nicht anders im Rahmen unserer Datenschutzerklärung angegeben, verarbeiten wir die Daten der Nutzer, sofern diese mit uns innerhalb der sozialen Netzwerke und Website kommunizieren, uns z.B. Nachrichten zusenden. Von uns genutzte soziale Netzwerke / Plattformen: Instagram, LinkedIn, Facebook.
Verantwortlicher für die Datenverarbeitung bei Instagram und Facebook ist die Meta Platforms Ireland Limited. Verantwortlicher für die Datenverarbeitung bei LinkedIn ist, sofern Nutzer ihren Sitz in der EU oder dem EWR haben, LinkedIn Ireland, ansonsten LinkedIn Corporation (USA).

18. Fragen an den Datenschutzbeauftragten

Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an unseren Datenschutzbeauftragten

Kontaktdaten:
datenschutz@goreha.com