1. Geltungsbereich

Der Schutz personenbezogener Daten ist uns, der VIA HealthTech UG (haftungsbeschränkt),Bredtschneiderstraße 10, 14057 Berlin (im Folgenden „VIA HealthTech“oder “wir“), ein wichtiges Anliegen. Wir verarbeiten Ihre personenbezogenen Daten nur in Übereinstimmung mit den gesetzlichen Regelungen, insbesondere mit der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden „DSGVO“) und dem Bundesdatenschutzgesetz (im Folgenden „BDSG“).

Diese Datenschutzerklärung informiert Sie gemäß den Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten und Ihre Rechte als Betroffener bei der Nutzung unserer Webseite, im Falle von Direktwerbung sowie bei dem Aufsuchen unserer Präsenzen in Sozialen Medien.

Ferner informiert Sie diese Datenschutzerklärung über den Schutz Ihrer Privatsphäre auf der von Ihnen genutzten Endeinrichtung i.S.d. § 25 des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (im Folgenden „TDDDG“).

2. Verantwortlicher und Datenschutzbeauftragter

Verantwortlich für die in dieser Datenschutzerklärung beschriebenen Datenverarbeitungen ist:

VIA HealthTech UG (haftungsbeschränkt)
Bredtschneiderstraße 10
14057 Berlin
manuel@via-health.de

Unsere Datenschutzbeauftragte erreichen Sie unter der E-Mail-Adresse: m.martinsdealmeida@mhl.de

3. Datenverarbeitung bei Nutzung unserer Software

Die Software ermöglicht es unseren Kunden mittels Einsatzes modernster KI-Technologien automatisiert Sitzungsnotizen sowie patientenspezifische psychologische Berichte zu erstellen.

3.1. Datenverarbeitung bei allgemeiner Nutzung unserer Software

Bei der Nutzung der Software werden durch Ihren Internet-Browser automatisch Internetverbindungsdaten sowie bestimmte, im Internet-Browser Ihres Endgeräts gespeicherte Telemedien- und Nutzungsdaten an unsere Server gesendet und von uns verarbeitet.

3.1.1. Internetverbindungsdaten

Wenn Sie unsere Software nutzen, verarbeiten wir die Internetverbindungsdaten, die Ihr Internet-Browser automatisch an unseren Server übermittelt. Bei diesen Daten handelt es sich um Ihre IP-Adresse und weitere Nutzungsdaten (z.B. Datum und Uhrzeit des Aufrufs, Name der aufgerufenen Seite, übertragene Datenmenge und den anfragenden Provider). Wir benötigen diese Informationen, um Ihnen die Nutzung unserer Software zu ermöglichen, zum Beispiel durch Anpassung der Software auf die technischen Voraussetzungen Ihres Endgeräts.

Bei diesen Internetverbindungsdaten kann es sich auch um personenbezogene Daten handeln. Rechtsgrundlage für diese Datenverarbeitung ist unser berechtigtes Interesse, die Sicherheit und Nutzbarkeit unserer Software zu gewährleisten, Art. 6 Abs. 1 Buchst. f DSGVO. Wir speichern die betreffenden personenbezogenen Daten für eine Dauer von bis zu 365 Tagen.

3.1.2. Cookies

Bei der Nutzung unserer Software werden Cookies eingesetzt. Bei Cookies handelt es sich um kleine Textdateien, die dem von Ihnen verwendeten Browser zugeordnet und auf der Festplatte des von Ihnen genutzten Endgerätes gespeichert werden. Cookies können keine Programme ausführen oder Viren übertragen.

Bei der Nutzung unserer Software werden ausschließlich technisch notwendige Cookies eingesetzt. Sie dienen dazu, Ihnen die Nutzung unserer Software zu ermöglichen und die Sicherheit der Software zu gewährleisten. Ohne diese Cookies können bestimmte Services nicht bereitgestellt werden. Der Zugriff auf Ihr Endgerät erfolgt in diesen Fällen auf Grundlage von § 25 Abs. 2 Ziffer 2 TDDDG. Soweit diese Informationen einen Personenbezug aufweisen und von uns weiterverarbeitet werden, ist Rechtsgrundlage dieser Datenverarbeitung unser berechtigtes Interesse an der Bereitstellung unserer Software und der Gewährleistung von Datensicherheit, Art. 6 Abs. 1 Buchst. f DSGVO. Wenn die Datenverarbeitung der Erfüllung eines Vertrages dient, ist ihre Rechtsgrundlage Art. 6 Abs. 1 Buchst. b DSGVO.

3.2. Datenverarbeitung bei der Erstellung automatisierter Sitzungsnotizen

Wenn Sie die Software nutzen, um automatisierte Sitzungsnotizen zu erstellen, wird hierfür zunächst die Audiospur der Therapiesitzung aufgezeichnet und im Anschluss transkribiert. Das Transkript wird dann im nächsten Schritt zu einem Sitzungsprotokoll zusammengefasst.

Dabei werden personenbezogene Daten verarbeitet, die im Rahmen Ihrer Nutzung der Software generiert werden. Dazu zählen insbesondere sämtliche Gesprächsinhalte, die während der Therapiestunde besprochen werden.

Die Transkribierung der Audiospur als auch die Erstellung der Sitzungsprotokolle erfolgen mittels Einsatzes des Dienstes Azure OpenAI Service (SWE). Dieser wird von Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (im Folgenden: „Microsoft Ireland“) bereitgestellt. Microsoft Ireland verarbeitet Ihre Daten in unserem Auftrag, d.h. ausschließlich nach unseren Weisungen. Wir haben mit Microsoft Ireland eine entsprechende Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Weitere Informationen über die Einhaltung der Bestimmung der DSGVO durch Microsoft Ireland finden Sie hier: https://learn.microsoft.com/en-us/legal/cognitive-services/openai/data-privacy?tabs=azure-portal. 

Rechtsgrundlage der Datenverarbeitung ist der mit Ihnen geschlossene Vertrag über die Bereitstellung der Software, Art. 6 Abs. 1 Buchst. b DSGVO sowie unsere berechtigten Interessen an der Bereitstellung der Funktionalitäten der Software, Art. 6 Abs. 1 Buchst. f DSGVO.

3.3. Datenverarbeitung bei der Erstellung psychologischer Berichte

Wenn Sie die Software nutzen, um automatisiert patientenspezifische psychologische Berichte zu erstellen, müssen Sie zunächst relevante Patientendaten wie z.B. Sitzungsprotokolle auswählen. Falls die von Ihnen gewählten Sitzungsprotokolle nicht bereits anonymisiert sind, können diese zunächst optional anonymisiert werden. Die Software erstellt sodann aus den zur Verfügung gestellten Daten einen patientenspezifischen psychologischen Bericht, der im Anschluss gespeichert wird.

Dabei werden personenbezogenen Daten verarbeitet, die im Rahmen Ihrer Nutzung der Software generiert werden. Dazu zählen insbesondere Daten, die Sie bspw. anhand von Sitzungsprotokollen der Software zur Verfügung stellen, um daraus Berichte erstellen zu lassen.

Die Erstellung der patientenspezifischen psychologischen Berichte erfolgt mittels Einsatzes des Dienstes Azure OpenAI Service (SWE). Dieser wird von Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland bereitgestellt.  Microsoft Ireland verarbeitet Ihre Daten in unserem Auftrag, d.h. ausschließlich nach unseren Weisungen. Wir haben mit Microsoft Ireland eine entsprechende Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Weitere Informationen über die Einhaltung der Bestimmung der DSGVO durch Microsoft Ireland finden Sie hier: https://learn.microsoft.com/en-us/legal/cognitive-services/openai/data-privacy?tabs=azure-portal. 

Rechtsgrundlage der Datenverarbeitung ist der mit Ihnen geschlossene Vertrag über die Bereitstellung der Software, Art. 6 Abs. 1 Buchst. b DSGVO sowie unsere berechtigten Interessen an der Bereitstellung  der Funktionalitäten der Software, Art. 6 Abs. 1 Buchst. f DSGVO.

3.4. Webhosting

Wir betreiben unsere Software auf Servern des Dienstleisters Amazon Web Services EMEA-SARL, 38 Avenue John F. Kennedy, L-1855, Luxemburg. Amazon Web Services verarbeitet Ihre Daten in unserem Auftrag, d.h. ausschließlich nach unseren Weisungen. Wir haben mit Amazon Web Services eine entsprechende Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Weitere Informationen über die Einhaltung der Bestimmung der DSGVO durch Amazon Web Services finden Sie hier: https://aws.amazon.com/de/compliance/data-privacy/.

4. Datenverarbeitung zu Trainingszwecken

Sofern Sie und Ihre Patient:innen darin eingewilligt haben, verarbeiten wir die in Ziffer 3.2 und 3.3 genannten Daten sowie die personenbezogener Daten Ihrer Patient:innen, die im Rahmen der Therapiesitzung mitgeteilt wurden und für die Erstellung automatisierter Sitzungsnotizen und patientenspezifischer psychologischer Berichte verarbeitet wurden, für das Training, die Verbesserung und die Qualitätssicherung der Software oder für andere Zwecke, die mit der Weiterentwicklung und Optimierung der Software zusammenhängen.

Rechtsgrundlage der Datenverarbeitung ist Ihre Einwilligung bzw. die Einwilligung Ihrer Patient:innen, Art. 6 Abs. 1 Buchst. a DSGVO. Sofern personenbezogene Daten besonderer Kategorien betroffen sind, ist die Rechtsgrundlage Art. 6 Abs. 1 Buchst. a, Art. 9 Abs. 2 Buchst. a DSGVO.

5. Ihre Datenschutzrechte

Als betroffene Person der Datenverarbeitung unseres Unternehmens stehen Ihnen unter den jeweiligen gesetzlichen Voraussetzungen Datenschutzrechte zu.

Sie haben gemäß Art. 7 Abs. 3 S. 1 DSGVO das Recht, Einwilligungen, die Sie für die Verarbeitung Ihrer Daten erteilt haben, ohne Angabe von Gründen jederzeit mit Wirkung für die Zukunft zu widerrufen. 

Sie haben das Recht, nach Art. 15 Abs. 1 DSGVO auf Antrag Auskunft über die bei uns über Sie gespeicherten personenbezogenen Daten zu erhalten. 

Zusätzlich haben Sie ein Recht auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO) in Bezug auf Ihre personenbezogenen Daten. 

Für Datenverarbeitungen, die auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) beruhen, steht Ihnen nach Art. 21 DSGVO ein Widerspruchsrecht zu. Soweit Sie der Datenverarbeitung widersprechen, unterbleibt diese zukünftig; es sei denn, wir können zwingende schutzwürdige Gründe für die weitere Verarbeitung nachweisen, die Ihr Interesse am Widerspruch überwiegen. 

Sofern Sie selbst die verarbeiteten Daten zur Verfügung gestellt haben, steht Ihnen ein Recht auf Datenübertragung nach Art. 20 DSGVO zu. 

Zudem steht Ihnen das Recht zur Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde zu. 

Wir bitten Sie, sich in den zuvor genannten Fällen, bei offenen Fragen oder im Falle von Beschwerden per E-Mail an m.martinsdealmeida@mhl.de zu wenden.

6. Kriterien für die Festlegung der Dauer, für die die personenbezogenen Daten gespeichert werden

Wir löschen Ihre personenbezogenen Daten, sobald ihre Verarbeitung für die in dieser Datenschutzerklärung erläuterten Zwecke nicht mehr erforderlich ist, im Falle Ihres Widerspruchs nach Art. 21 Abs. 1 DSGVO der Löschung keine zwingenden schutzwürdigen Gründe unseres Unternehmens entgegenstehen oder im Falle eines Widerrufs einer Einwilligung keine sonstige Rechtsgrundlage für die Verarbeitung besteht.

7. Empfänger Ihrer Daten

Innerhalb unseres Unternehmens erhalten nur solche Personen Zugriff auf Ihre personenbezogenen Daten, die diesen zur Erfüllung unserer gesetzlichen Pflichten benötigen.

Wir lassen außerdem einzelne unternehmensinterne Prozesse und Serviceleistungen durch sorgfältig ausgewählte und datenschutzkonform beauftragte Dienstleister ausführen. Dies sind Unternehmen insbesondere aus den Bereichen IT-Dienstleistungen, die auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO Ihre Daten nach unseren Weisungen verarbeiten. Anderen Dritten legen wir Ihre Daten nur offen, wenn wir hierzu gesetzlich verpflichtet sind oder hierfür eine sonstige Rechtsgrundlage gegeben ist.

8. Datentransfers in Drittstaaten

Wir können Ihre personenbezogenen Daten an Empfänger in Staaten außerhalb der Europäischen Union (im Folgenden „EU“) und des Europäischen Wirtschaftsraumes übermitteln. Sofern das dortige Datenschutzniveau nicht dem Datenschutzniveau innerhalb der EU entspricht oder der Empfänger der Daten nicht in den Anwendungsbereich eines Angemessenheitsbeschlusses der EU-Kommission fällt, stellen wir geeignete Garantien im Sinne des Art. 46 DSGVO sicher. Hierzu können die Vereinbarung von Standardvertragsklauseln der EU-Kommission und gegebenenfalls zusätzlich erforderlicher Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus zählen. In Einzelfällen machen wir die Übermittlung in Drittstaaten davon abhängig, dass Sie in diesen Datentransfer gemäß Art. 49 Abs. 1 S. 1 Buchst. a DSGVO einwilligen.

9. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling statt (Art. 22 DSGVO).

10. Verpflichtung zur Bereitstellung von Daten und mögliche Folgen einer Nichtbereitstellung 

Um unsere Software und die spezifischen Funktionen unserer Software nutzen zu können, müssen Sie die in Ziffer 3 genannten Daten bereitstellen. Ohne diese Daten sind wir nicht in der Lage, Ihnen die Nutzung unserer Software und ihrer spezifischen Funktionen zu ermöglichen. 

11. Änderung der Datenschutzerklärung

Neue rechtliche Vorgaben, unternehmerische Entscheidungen oder die technische Entwicklung erfordern gegebenenfalls Änderungen in unserer Datenschutzerklärung. Die Datenschutzerklärung wird dann entsprechend angepasst. Die aktuelle Version finden Sie immer unter: https://www.via-health.de/datenschutz-software.