1. Begriffsbestimmungen
Im Rahmen unserer Dienstleistungen stellen wir die Heidi-Plattform (nachfolgend „Heidi“) qualifizierten Ärztinnen und Ärzten (einschließlich ihrer jeweiligen medizinischen Einrichtung) sowie anderen Angehörigen der Gesundheitsberufe (nachfolgend „Fachkräfte“) zur Verfügung. Heidi unterstützt die Erbringung von Gesundheitsdienstleistungen.
In diesen Datenschutzhinweisen gelten folgende Begriffsbestimmungen:
- „Wir“, „uns“ oder „unser“ – bezeichnet Heidi Health Ireland Limited (CRO 807346), eingetragen in Irland.
- „Unsere Dienste“ – bezeichnet die Bereitstellung von Heidi an Sie als Fachkraft sowie damit verbundene Dienstleistungen.
- „Sie“ – bezeichnet Sie als Leserin oder Leser dieser Datenschutzhinweise.
- „Ihre Daten“ – bezeichnet Ihre personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO.
- „Datenschutzgesetze“ – bezeichnet alle anwendbaren Datenschutz- und Datensicherheitsvorschriften, insbesondere die DSGVO, das BDSG sowie anwendbare Gesundheitsdatenschutzvorschriften.
2. Welche Daten erheben wir?
Wir erheben und verarbeiten personenbezogene Daten, Gesundheitsdaten, Zahlungsdaten, Gerätedaten und allgemeine Nutzungsdaten zur Erbringung und Verbesserung unserer Dienste.
Wenn Sie auf unsere Website, Plattform oder andere Dienste zugreifen, erheben und speichern wir die nachfolgend dargestellten Datenkategorien. Die Erhebung dieser Daten dient der Verbesserung der Nutzererfahrung, der Optimierung der Dienstleistungsfunktionalität und der Gewährleistung angemessener Sicherheitsmaßnahmen. Die Verarbeitung erfolgt auf Grundlage berechtigter Interessen sowie gegebenenfalls auf Grundlage Ihrer ausdrücklichen Einwilligung, die zum Zeitpunkt der Datenerhebung transparent eingeholt wird.
Soweit Sie die erbetenen Angaben nicht bereitstellen, kann dies dazu führen, dass wir unsere Dienste Ihnen gegenüber nicht oder nicht vollständig erbringen können.
| Kategorie | Erläuterung |
|---|---|
| Allgemeine personenbezogene Daten | Hierzu zählen Angaben, die Sie als Person identifizierbar machen, etwa Ihr Name, Ihre Anschrift, Ihr Geburtsdatum, Ihr Geschlecht, Ihre Telefonnummer und Ihre E-Mail-Adresse. Bei Fachkräften können wir zusätzlich Angaben zu Qualifikationen, Approbationen sowie Aus- und Weiterbildung erheben. |
| Zahlungs- und Abrechnungsdaten | Wir können Daten erheben, die zur Abwicklung von Zahlungen oder zur Geltendmachung von Ansprüchen in Ihrem Namen erforderlich sind. Dies kann Kreditkartendaten, Bankverbindungsdaten sowie Versicherungs- oder Abrechnungsangaben umfassen. |
| Sensible Gesundheitsdaten | Hierzu zählen sämtliche Gesundheitsdaten, die Fachkräfte bei der Nutzung von Heidi bereitstellen. Wir können Gesundheitsdaten von Patientinnen und Patienten erheben, die sich aus der Nutzung von Heidi ergeben, darunter Krankengeschichte, klinische Notizen, Befunde, Krankheitsstatus und Medikation. Sämtliche sensiblen Gesundheitsdaten durchlaufen einen Pseudonymisierungsprozess gemäß Art. 4 Nr. 5 DSGVO, bei dem alle personenbezogenen Identifikatoren entfernt werden, sodass eine Re-Identifizierung nach allgemeinem Ermessen ausgeschlossen ist. Gesundheitsdaten werden nur für die von der Fachkraft festgelegte Dauer aufbewahrt. Klarstellung: Es werden keine Patientendaten zum Trainieren, Entwickeln oder Verbessern unserer KI-Modelle verwendet. |
| Gerätedaten | Hierzu zählen Geräte-ID, Gerätetyp, Standortdaten, Computer- und Verbindungsinformationen, Seitenaufrufstatistiken, Datenverkehr, IP-Adresse und Standard-Webprotokollinformationen. |
| Zusätzlich bereitgestellte Daten | Hierzu zählen Angaben, die Sie uns über Kundenumfragen, direkt über unsere Website oder indirekt durch Ihre Nutzung von Heidi oder Online-Präsenz bereitstellen. |
| Daten zur Geschäftsverbesserung | Wir können Ihre allgemeinen personenbezogenen Daten de-identifizieren und in aggregierter Form auswerten, um die Nutzung unserer Dienste zu analysieren und unsere Angebote zu verbessern. „De-identifiziert“ bedeutet, dass alle personenbezogenen Identifikatoren entfernt wurden, sodass eine Re-Identifizierung nach allgemeinem Ermessen ausgeschlossen ist. Die Nutzung dieser Daten zur Geschäftsverbesserung erfolgt ausnahmslos in de-identifizierter Form. |
| Cookie-Daten |
3. Wie erheben wir Ihre Daten?
Wir erheben Ihre personenbezogenen Daten bei der Interaktion mit uns oder von Dritten.
In den meisten Fällen erheben wir personenbezogene Daten unmittelbar von Ihnen. Die wichtigsten Erhebungswege sind:
| Erhebungsweg | Erläuterung |
|---|---|
| Registrierung | Bei der Registrierung auf unserer Website oder Heidi. |
| Kommunikation | Bei der Kommunikation mit uns per E-Mail, Chat, Fragebogen oder über Heidi. |
| Nutzung | Bei der Interaktion mit unserer Website, Heidi, unseren Diensten und Inhalten. |
Darüber hinaus können wir Daten über Sie von verbundenen Unternehmen, Dienstleistern oder Kooperationspartnern erhalten, z. B.:
- bei einer Bewerbung: von Personalberatern, früheren Arbeitgebern oder Referenzgebern;
- bei Fachkräften: Angaben zu Qualifikationen, Approbationen und Ausbildung von Drittquellen, u. a. zur Verifizierung Ihres Status als zugelassene Fachkraft.
4. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten, um unsere Produkte und Dienstleistungen bereitzustellen und weiterzuentwickeln.
Wir verfolgen den Grundsatz Privacy by Design und integrieren den Datenschutz von Beginn an in die Gestaltung unserer Systeme und Geschäftsprozesse. Unsere Maßnahmen umfassen Verschlüsselung, strenge Zugriffskontrollen und kontinuierliche Bedrohungsüberwachung. Datenschutz-Folgenabschätzungen werden regelmäßig durchgeführt.
Wir setzen De-Identifizierungsverfahren ein, um sicherzustellen, dass personenbezogene Daten und Gesundheitsdaten pseudonymisiert werden und identifizierbare Merkmale entfernt werden, bevor sie für bestimmte Verarbeitungszwecke herangezogen werden.
Sollten wir bereits erhobene personenbezogene Daten zu einem anderen als dem in diesen Datenschutzhinweisen genannten Zweck verwenden wollen, werden wir Sie vorab durch eine aktualisierte Informationsmitteilung benachrichtigen und Ihnen Wahlmöglichkeiten einräumen.
| Zweck | Beschreibung | Rechtsgrundlage |
|---|---|---|
| Bereitstellung | Ermöglichung des Zugangs zu und der Nutzung unserer Website, Heidi und anderer Dienste. | Art. 6 Abs. 1 lit. b DSGVO |
| Verbesserung | Gestaltung, Bereitstellung, Verbesserung und Verwaltung unserer Website, Heidi und anderer Dienste, z. B. für Analysen und Marketing. | Art. 6 Abs. 1 lit. f DSGVO |
| Gesundheitsversorgung | Unterstützung der Gesundheitsversorgung. Daten zur Krankengeschichte, zu Symptomen oder Beschwerden können von Heidi erfasst werden, damit Fachkräfte Behandlungsentscheidungen treffen können. | Art. 6 Abs. 1 lit. b DSGVO; bei Ansprechpartnern des Vertragspartners: Art. 6 Abs. 1 lit. f DSGVO |
| De-identifizierte Daten für Heidi-funktionen | Wir können Ihre personenbezogenen Daten de-identifizieren und/oder aggregieren, um bestimmte Funktionen bereitzustellen und Heidi weiterzuentwickeln. Klarstellung: Dieser Zweck umfasst nicht die Verwendung sensibler Gesundheitsdaten. Es werden keine Patientendaten zum Trainieren, Entwickeln oder Verbessern von KI-Modellen verwendet. | Art. 6 Abs. 1 lit. f DSGVO |
| Support | Versand von Service-, Support- und Verwaltungsnachrichten, technischen Hinweisen, Updates, Sicherheitswarnungen und von Ihnen angeforderter Informationen. | Art. 6 Abs. 1 lit. b DSGVO |
| Kontaktaufnahme | Benachrichtigung über wichtige Angelegenheiten betreffend Heidi, unsere Dienste oder Ihre Daten. | Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO |
| Marketing |
Sofern nicht gesetzlich zulässig oder vorgeschrieben, verarbeiten wir Ihre Gesundheitsdaten nicht ohne Ihre Einwilligung.
5. Marketing und Abmeldemöglichkeiten
Sie können sich jederzeit von unserer Marketingkommunikation abmelden.
Wir können Ihnen Direktmarketing-Mitteilungen über unsere Dienstleistungen und Produkte zusenden, etwa per E-Mail oder auf anderem Wege. Die Verarbeitung Ihrer Daten für Marketingzwecke erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit widerrufen, über die Abmeldefunktion in der jeweiligen Nachricht oder durch Kontaktaufnahme gemäß Abschnitt 12.
Wir können unsere Dienste auch allgemein bewerben, etwa über soziale Medien, Werbung auf unserer Website oder andere digitale und analoge Plattformen. Dies geschieht stets im Einklang mit den gesetzlichen Anforderungen.
Ohne Ihre Einwilligung werden wir weder:
- Ihre Gesundheitsdaten für Marketingzwecke verwenden; noch
- Ihre Daten an Dritte zu deren Marketingzwecken weitergeben.
6. Datenspeicherung und internationale Datenübermittlung
Ihre personenbezogenen Daten werden grundsätzlich in Ihrem lokalen Rechtsgebiet gespeichert.
Wir haben Lösungen zur Datenlokalisierung für Kunden in der EU, in Australien, Kanada, den USA und dem Vereinigten Königreich implementiert. Einige Funktionen von Heidi sind auf Drittanbieterdienste angewiesen, deren Server sich außerhalb der EU befinden können. In diesen Fällen stellen wir sicher, dass Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen werden und, soweit erforderlich, geeignete Garantien gemäß Art. 44–49 DSGVO vorliegen.
Die aktuelle Liste unserer Unterauftragsverarbeiter finden Sie unter trust.heidihealth.com/subprocessors.
6.1 Heidi Comms – Datenverarbeitung und Speicherung
Heidi Comms ist ein Kommunikationstool innerhalb Heidi, das Telefon- und Echtzeit-Sprachinteraktionen ermöglicht.
Über Heidi Comms erhobene Daten können durch vertrauenswürdige Auftragsverarbeiter außerhalb Ihres Landes verarbeitet werden. Diese Unterauftragsverarbeiter unterliegen denselben vertraglichen Anforderungen wie in Abschnitt 6 beschrieben.
Durch Heidi Comms erstellte Transkripte können vorübergehend unter der Kontrolle der Fachkraft gespeichert werden, ausschließlich zur Qualitätssicherung (z. B. zur Prüfung der Ergebnisgenauigkeit). Eine Weitergabe an Dritte erfolgt nicht.
7. Empfänger Ihrer Daten
Wir können Ihre personenbezogenen Daten an die nachfolgend genannten Empfänger weitergeben, soweit dies für die in diesen Datenschutzhinweisen genannten Zwecke erforderlich ist.
Ihre personenbezogenen Daten können weitergegeben werden an:
- unsere Beschäftigten und verbundenen Unternehmen;
- externe Dienstleister und Auftragsverarbeiter (einschließlich Hosting-Anbieter für Heidi’s Betrieb);
- fachliche Berater, Vertreter und Bevollmächtigte;
- Zahlungsdienstleister (z. B. Händler, die Kartenzahlungen entgegennehmen);
- Erwerber im Falle einer Unternehmensübertragung, sofern der Empfänger sich zur Einhaltung vergleichbarer Datenschutzstandards verpflichtet;
- von Ihnen ausdrücklich autorisierte Dritte sowie weitere an der Erbringung von Gesundheitsdiensten beteiligte Stellen;
- staatliche Stellen, Aufsichtsbehörden und Strafverfolgungsbehörden, soweit gesetzlich vorgeschrieben oder zulässig.
8. Cookies und Webseiten-Nutzung
Wir setzen auf unserer Website Cookies ein, um die Nutzung auszuwerten und Ihre Präferenzen zu speichern.
Sie haben das Recht, auf die personenbezogenen Daten, die wir über Sie erheben, zuzugreifen, diese berichtigen, aktualisieren oder löschen zu lassen. Sie können bestimmten Verarbeitungsformen widersprechen und Ihre Einwilligung jederzeit widerrufen.
| Cookie-Art | Beschreibung |
|---|---|
| Technisch notwendige Cookies | Ermöglichen grundlegende Funktionen wie Seitennavigation und Zugang zu gesicherten Bereichen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TDDDG. |
| Analyse-Cookies | Helfen uns, das Nutzungsverhalten auf unserer Website zu verstehen und diese zu verbessern. |
| Personalisierungs-Cookies | Passen Ihre Nutzererfahrung anhand Ihrer Nutzungsmuster an. |
| Werbe-Cookies | Werden eingesetzt, um über Dienste wie Google personalisierte Werbung auszuliefern. |
Die Verarbeitung nicht technisch notwendiger Cookies beruht auf Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit über Ihre Browsereinstellungen widerrufen. Ohne Ihre ausdrückliche Einwilligung werden keine personenbezogenen Daten zu Werbe- oder Analysezwecken erhoben.
Für weitere Informationen oder zur Ausübung Ihrer Rechte kontaktieren Sie bitte compliance@heidihealth.com.
9. Technische und organisatorische Maßnahmen
Wir ergreifen umfangreiche Maßnahmen zum Schutz Ihrer Daten.
Personenbezogene Daten werden grundsätzlich in unseren elektronischen Datenbanken gespeichert. Unsere Website, Heidi und Arbeitsumgebung verfügen über integrierte physische, elektronische und organisatorische Maßnahmen zum Schutz vor Missbrauch, Manipulation, Verlust und unbefugtem Zugriff.
| Maßnahme | Erläuterung |
|---|---|
| Mitarbeiterschulungen | Regelmäßige Schulungen zum sicheren Umgang mit personenbezogenen Daten. |
| Verschlüsselung | Verschlüsselung aller Daten im Ruhezustand (at rest) und bei der Übertragung (in transit) nach Industriestandard. |
| De-Identifizierung | Einsatz spezialisierter Tools zur De-Identifizierung Ihrer Daten vor der Verarbeitung für bestimmte Zwecke. |
| Sichere Speicherung | Kombinierte technische und organisatorische Maßnahmen zur Gewährleistung der Plattformsicherheit und zum Schutz Ihres Kontos. |
| Datenminimierung und Löschung | Ihre Daten werden nur so lange aufbewahrt, wie von Ihnen gewünscht oder wie gesetzlich vorgeschrieben. Anschließend erfolgt die sichere Löschung. |
10. Ihre Rechte als betroffene Person
Sie haben umfassende Rechte in Bezug auf Ihre personenbezogenen Daten. Kontaktieren Sie uns, um diese auszuüben.
Im Rahmen der DSGVO stehen Ihnen die folgenden Rechte zu:
| Recht | Erläuterung |
|---|---|
| Auskunft (Art. 15) | Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen. |
| Berichtigung (Art. 16) | Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen. |
| Löschung (Art. 17) | Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die gesetzlichen Voraussetzungen vorliegen. |
| Einschränkung (Art. 18) | Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen. |
| Datenübertragbarkeit (Art. 20) | Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln. |
| Beschwerde (Art. 77) | Sie haben das Recht auf Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde. |
Zur Ausübung Ihrer Rechte teilen Sie uns bitte Ihren Namen und Ihre Kontaktdaten mit und beschreiben Sie Ihr Anliegen. Wir bestätigen den Eingang Ihrer Anfrage umgehend und streben eine Beantwortung innerhalb von 30 Tagen an. Soweit wir Ihrer Anfrage nicht entsprechen können, werden wir Ihnen die Gründe erläutern. Eine Identitätsprüfung kann zum Schutz Ihrer Daten erforderlich sein.
Widerspruchsrecht gemäß Art. 21 DSGVO
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf dieser Bestimmung beruhendes Profiling. Legen Sie Widerspruch ein, verarbeiten wir Ihre Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Bei Fragen oder Bedenken zum Datenschutz wenden Sie sich bitte an unser Compliance-Team unter compliance@heidihealth.com.
11. Beschäftigtendatenschutz
| Kategorie | Erläuterung |
|---|---|
| Allgemeine personenbezogene Daten | Name, Anschrift, Geburtsdatum, Kontaktnummer, E-Mail-Adresse und Foto. |
| Bildungs- und Sozialdaten | Angaben zur Ausbildung, Referenzen, Interessen und außerberufliche Aktivitäten sowie Lebensereignisse (z. B. Heirat, Geburt von Kindern). |
| Besondere Kategorien personenbezogener Daten | Angaben zum Gesundheitszustand, bestimmte strafrechtliche Verurteilungen, rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, sexuelle Orientierung. |
| Finanzdaten | Bankverbindung, Steueridentifikationsnummer, Wohnsitzstatus und ggf. Bonitätsprüfungen. |
| Arbeitsbezogene Daten | Beruflicher Werdegang, fachliche Aktivitäten, Mitgliedschaft in Berufsverbänden und personenbezogene Daten in Arbeitsergebnissen. |
Aktuelle und ehemalige Beschäftigte mit Fragen zum Umgang mit ihren personenbezogenen Daten wenden sich bitte an hello@heidihealth.com.
12. Verantwortlicher und Kontakt
Angaben zum Verantwortlichen, zum Datenschutzbeauftragten und zu Ihren Kontaktmöglichkeiten gemäß Art. 13 Abs. 1 DSGVO.
Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO:
Heidi Health Ireland Limited
CRO: 807346
Floor 3, Block 3, Miesian Plaza, Dublin 2, D02 Y754, Ireland
Datenschutzbeauftragter gemäß Art. 37 DSGVO:
Yassin Omar
E-Mail: yassin@heidihealth.com
Für alle datenschutzrechtlichen Anfragen, insbesondere zur Ausübung Ihrer Betroffenenrechte, wenden Sie sich bitte an support@heidihealth.com oder an den Datenschutzbeauftragten.
Geltendes Recht und Gerichtsstand:
Für sämtliche Vertragsverhältnisse gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist das zuständige Gericht in Deutschland.
Gültig ab : Oktober 2024