Datenschutzerklärung für die App der ONVY HealthTech Group GmbH über die Verarbeitung von personenbezogenen Daten (einschließlich Gesundheitsdaten) 

 

A. Vorwort

Wir, die ONVY HealthTech Group GmbH (nachfolgend: „ONVY“, „das Unternehmen“, „wir“ oder „uns“), nehmen den Schutz Ihrer personenbezogenen Daten ernst und möchten Sie an dieser Stelle über den Datenschutz in unserem Unternehmen informieren.

Im Rahmen unserer datenschutzrechtlichen Verantwortlichkeit unter der EU- Datenschutz-Grundverordnung (Verordnung (EU) 2016/679; nachfolgend: "DS- GVO") haben wir verschiedene Pflichten, um den Schutz personenbezogener Daten der von einer Verarbeitung betroffenen Person (wir sprechen Sie als betroffene Person nachfolgend auch mit "Nutzer", "Sie", "Ihnen" oder "Betroffener" an) sicherzustellen.

Dies umfasst vor allem die Pflicht, Sie transparent über Art, Umfang, Zweck, Dauer und Rechtsgrundlage der Verarbeitung zu informieren (vgl. Art. 13 und Art. 14 DS- GVO). Mit dieser Erklärung (nachfolgend: "Datenschutzerklärung") informieren wir Sie darüber, in welcher Weise Ihre personenbezogenen Daten von uns verarbeitet werden.

Bitte beachten Sie:
Bei der Nutzung der App werden teilweise Gesundheitsdaten verarbeitet.

 

B. Allgemeines

1. Verantwortlichkeit für Ihre Daten und Kontaktdaten

(1) Verantwortlicher

Die für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO ist die ONVY HealthTech Group GmbH, Schloßstraße 19, 82031 Grünwald.

(2) Kontaktdaten

Sie können uns unter E-Mail: contact@onvy.health erreichen.

(3) Unter diesen Kontaktdaten können Sie sich insbesondere an uns wenden, wenn Sie die Ihnen zustehenden Rechte uns gegenüber geltend machen wollen.

(4) Bei weiteren Fragen oder Anmerkungen zur Erhebung und Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich ebenfalls an die vorbenannten Kontakte.

2. Begriffsbestimmungen

Nach dem Vorbild des Art. 4 DS-GVO liegen dieser Datenschutzhinweise folgende Begriffsbestimmungen zugrunde:

– "Personenbezogene Daten" (Art. 4 Nr. 1 DS-GVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Betroffener") beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Online-Kennung, Standortdaten oder mithilfe von Informationen zu ihren physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitätsmerkmalen identifiziert werden kann. Die Identifizierbarkeit kann auch mittels einer Verknüpfung von derartigen Informationen oder anderem Zusatzwissen gegeben sein. Auf das Zustandekommen, die Form oder die Verkörperung der Informationen kommt es nicht an (auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten enthalten).

– "Verarbeiten" (Art. 4 Nr. 2 DS-GVO) ist jeder Vorgang, bei dem mit personenbezogenen Daten umgegangen wird, gleich ob mit oder ohne Hilfe automatisierter (d.h. technikgestützter) Verfahren. Dies umfasst insbesondere das Erheben (d.h. die Beschaffung), das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder sonstige Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten sowie die Änderung einer Ziel- oder Zweckbestimmung, die einer Datenverarbeitung ursprünglich zugrunde gelegt wurde.

– "Verantwortlicher" (Art. 4 Nr. 7 DS-GVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

– "Dritter" (Art. 4 Nr. 10 DS-GVO) ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer dem Betroffenen, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; dazu gehören auch andere konzernangehörige juristische Personen.

– "Auftragsverarbeiter" (Art. 4 Nr. 8 DS-GVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen, insbesondere gemäß dessen Weisungen, verarbeitet (z. B. IT-Dienstleister). Im datenschutzrechtlichen Sinne ist ein Auftragsverarbeiter insbesondere kein Dritter.

– "Einwilligung" (Art. 4 Nr. 11 DS-GVO) der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

3. Änderung der Datenschutzerklärung / Stand

(1) Im Rahmen der Fortentwicklung des Datenschutzrechts sowie technologischer oder organisatorischer Veränderungen werden unsere Datenschutzhinweise regelmäßig auf Anpassungs- oder Ergänzungsbedarf hin überprüft. Über Änderungen werden Sie unterrichtet.

(2) Diese Datenschutzhinweise haben den Stand 26.08.2022.

4. Keine Verpflichtung zur Bereitstellung personenbezogener Daten

Für Sie als Nutzer besteht grundsätzlich keine gesetzliche oder vertragliche Verpflichtung, uns Ihre personenbezogenen Daten zur Verfügung zu stellen. Die Nutzung der ONVY App ist jedoch nicht möglich, wenn Sie die dafür erforderlichen Daten nicht bereitstellen bzw. der Verarbeitung Ihrer personenbezogenen Daten nicht zustimmen.

 

C. Informationen über die Verarbeitung Ihrer Daten

1. Die Erhebung Sie betreffender personenbezogener Daten

(1) Bei der Nutzung unserer App werden von uns personenbezogene Daten über Sie erhoben.

(2) Personenbezogene Daten sind alle Daten, die sich auf Ihre Person beziehen (siehe oben unter Allgemeines). Beispielsweise handelt es sich bei Ihrem Namen, Ihrer Standortdaten, Ihrer IP-Adresse, die Gerätekennung, die SIM-Kartennummer, Ihrer Adresse sowie E-Mail-Adresse um personenbezogene Daten, Ihr Fingerabdruck, Bilder, Filme, Audioaufnahmen, aber auch Ihr Nutzerverhalten fällt in diese Kategorie.

2. Rechtsgrundlagen der Datenverarbeitung

(1) Von Gesetzes wegen ist im Grundsatz jede Verarbeitung personenbezogener Daten verboten und nur dann erlaubt, wenn die Datenverarbeitung unter einen der folgenden Rechtfertigungstatbestände fällt:

– Art. 6 Abs. 1 S. 1 lit. a DS-GVO – für Gesundheitsdaten in Verbindung mit Art. 9 Abs. 2 lit. a DS-GVO ("Einwilligung"): Wenn der Betroffene freiwillig, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung zu verstehen gegeben hat, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden ist;

– Art. 6 Abs. 1 S. 1 lit. b DS-GVO: Wenn die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei der Betroffene ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf die Anfrage des Betroffenen erfolgen;

– Art. 6 Abs. 1 S. 1 lit. c DS-GVO: Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (z.B. eine gesetzliche Aufbewahrungspflicht);

– Art. 6 Abs. 1 S. 1 lit. d DS-GVO: Wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen;

– Art. 6 Abs. 1 S. 1 lit. e DS-GVO: Wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde oder

– Art. 6 Abs. 1 S. 1 lit. f DS-GVO ("Berechtigte Interessen"): Wenn die Verarbeitung zur Wahrung berechtigter (insbesondere rechtlicher oder wirtschaftlicher) Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die gegenläufigen Interessen oder Rechte des Betroffenen überwiegen (insbesondere dann, wenn es sich dabei um einen Minderjährigen handelt).

(2) Für die von uns vorgenommenen Verarbeitungsvorgänge geben wir im Folgenden jeweils die anwendbare Rechtsgrundlage an. Eine Verarbeitung kann auch auf mehreren Rechtsgrundlagen beruhen.

3. Die beim Download erhobenen Daten

(1) Beim Download dieser App werden bestimmte dafür erforderlichen Daten zu Ihrer Person an den entsprechenden App Store (z.B. Apple App Store oder Google Play) übermittelt.

(2) Insbesondere werden beim Herunterladen die E-Mail-Adresse, der Nutzername, die Kundennummer des herunterladenden Accounts, die individuelle Gerätekennziffer, Zahlungsinformationen sowie der Zeitpunkt des Downloads an den App Store übertragen.

(3) Auf die Erhebung und Verarbeitung dieser Daten haben wir keinen Einfluss, sie erfolgt vielmehr ausschließlich durch den von Ihnen ausgewählten App Store. Dementsprechend sind wir für diese Erhebung und Verarbeitung nicht verantwortlich; die Verantwortung dafür liegt allein beim App Store.

4. Bei der Nutzung der App erhobenen Daten

(1) Die Vorzüge unserer App können wir ihnen zwangsläufig nur zur Verfügung stellen, wenn bei der Nutzung von uns bestimmte, für den App-Betrieb erforderliche Daten zu Ihrer Person erhoben und verarbeitet werden. Bei der Nutzung der App werden Ihre persönlichen Daten und teilweise Gesundheitsdaten verarbeitet.

(2) Wir erheben und verarbeiten folgende Daten von Ihnen:

– Geräteinformationen: Zu den Zugriffsdaten gehören die IP-Adresse, Geräte-ID, Geräteart, gerätespezifische Einstellungen und App-Einstellungen sowie App- Eigenschaften, das Datum und die Uhrzeit des Abrufs, Zeitzone, die übertragene Datenmenge und die Meldung, ob der Datenaustausch vollständig war, Absturz der App und Betriebssystem. Diese Zugriffsdaten werden verarbeitet, um den Betrieb der App technisch zu ermöglichen und zu verbessern.

- Zur Anlegung Ihres Profils bei ONVY ist Ihre E-Mail-Adresse erforderlich. Das Profil wird in der App angelegt. Alternativ können Sie den sogenannten Apple Log-In („Mit Apple anmelden“) oder den sogenannten Google Log-In (“Mit Google anmelden”) nutzen. Bitte konsultieren Sie zu den Details die Hinweise von Apple bzw. Google: „Mit Apple anmelden“ & Datenschutz“ bzw. “Mit „Über Google anmelden“ Daten geschützt weitergeben

Sie können freiwillig weitere Daten in Ihrem Profil hinterlegen wie: Vorname, Nachname, Alter, Gewicht, Geschlecht, Größe. Dies verbessert die Funktion der App bzw. die errechneten Scores.

- Die Daten Ihrer Wearables werden wie unter D.5.c. dargestellt über Terra abgerufen und von ONVY mit Ihren Profilinformationen zusammengeführt.

- Die Daten aus den Wearables können Rückschlüsse über Ihren Gesundheitszustand zulassen und daher Gesundheitsdaten darstellen.

- Folgende Daten können nach Ihrer Freigabe für die jeweilige Datenkategorie (im HealthKit bzw. über die Drittanbieter wie Strava) über Terra an die ausschließlich in Deutschland betriebenen ONVY-Server gesendet und dort gespeichert und verarbeitet werden:

a. Die vom Wearable erfassten Aktivitäten, wie beispielsweise:
• Schritte
• Trainingsminuten

b. Die vom Wearable erfassten Vitaldaten, wie beispielsweise:
• Atemfrequenz
• Herzfrequenz
• Schlafdauer

c. Weitere Daten wie beispielsweise:
• Geburtstag
• Gewicht
• Größe
• Umgebungsgeräuschpegel

– Aus Ihren Daten wird ein zusätzlicher, anonymisierter Datensatz erzeugt. Das heißt, die Daten werden völlig von Ihrer Person entkoppelt, sodass es nicht mehr möglich ist, Ihnen die Daten zuzuordnen. Im Rahmen der Anonymisierung bleiben zwar bestimmte Daten (wie Altersgruppe bzw. Wohnort) erhalten, um eine sinnvolle Nutzung der Daten durch ONVY (z.B. für die Entwicklung von Algorithmen) zu ermöglichen. Diese Daten sind aber so allgemein, dass eine Rückführbarkeit auf Sie als einzelne Person nicht mehr möglich ist.

– Weiterhin erfassen wir anonymisierte Daten über die Nutzung der App. Dabei erfassen wir Click-Ereignisse, wie dem Aufruf einer bestimmten Seite oder Funktion. Eine Zuordnung zur Person ist hierbei nicht möglich. Diese Daten werden für die Bewertung bestimmter Funktionen und die Priorisierung der Weiterentwicklung verwendet.

(3) Die Verarbeitung Ihrer Daten erfolgt auf Grundlage Ihrer in einer separaten Checkbox in der App erteilten Einwilligung in die Verarbeitung Ihrer Daten einschließlich besonderer Kategorien personenbezogener Daten (Gesundheitsdaten) zu den genannten Zwecken (Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO).

5. Einsatz von Cookies

Beim Betrieb unserer App nutzen wir keine Cookies. 

6. Datenerhebung bei der Kontaktaufnahme 

(1) Wenn Sie mit uns per E-Mail oder über ein Kontaktformular mit uns Kontakt aufnehmen, dann werden Ihre E-Mail-Adresse, Ihr Name und alle weiteren personenbezogenen Daten, die Sie im Zuge der Kontaktaufnahme angegeben haben, von uns gespeichert, damit wir mit Ihnen zur Beantwortung der Frage Kontakt aufnehmen können.

(2) Diese Daten löschen wir, sobald die Speicherung nicht mehr erforderlich ist. Liegen gesetzliche Aufbewahrungsfristen vor, bleiben die Daten zwar gespeichert, aber wir schränken die Verarbeitung ein.

(3) Die Verarbeitung der in das Kontaktformular eingegebenen Daten oder sonst bei der Kontaktaufnahme übermittelten personenbezogenen Daten erfolgt auf der Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DS-GVO) an der ordnungsgemäßen Beantwortung der Anfrage.

7. Produktinformationen, Newsletter, Direktwerbung und Gutscheine

(1) Ihre bei einer Registrierung in der App eingegebene E-Mail-Adresse bzw. bei Nutzung des Apple oder Google Log-In die an uns von Apple bzw. Google übermittelte E-Mail-Adresse können wir verwenden, um Ihnen Informationen über das Produkt (z.B. neue Funktionalitäten) und über eigene ähnliche Waren und Dienstleistungen zu übersenden. Dieser Verwendung Ihrer E-Mailadresse können Sie jederzeit widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Für den Widerspruch genügt eine formlose Mitteilung per E- Mail. Alternativ können Sie sich über den entsprechenden, in jedem Newsletter enthaltenden Link vom Newsletter abmelden.

Rechtsgrundlage für die Verarbeitung Ihrer Daten im Rahmen dieses Absatzes 1 ist § 7 Abs. 3 UWG sowie Art. 6 Abs. 1 lit. f DS-GVO (unser berechtigtes Interesse, Sie über das Produkt bzw. über eigene ähnliche Waren und Dienstleistungen zu informieren).

(2) Soweit sie der Verwendung Ihrer E-Mail-Adresse nicht widersprochen haben, wir Ihnen ONVY ggf. Gutscheine an Ihre E-Mail-Adresse senden, z.B. um Ihnen eine verlängerte kostenfreie Nutzung der App zu ermöglichen oder um sich für Empfehlungen der App zu bedanken.

(3) Folgen der Abmeldung vom Newsletter bzw. Widerspruch

Sobald Sie sich von unserem Newsletter abgemeldet haben bzw. der weiteren Verwendung Ihrer E-Mailadresse zum Zwecke der Information über unsere eigenen ähnlichen Waren und Dienstleistungen widersprochen haben, wird Ihre E-Mail- Adresse von uns bzw. einem Dienstleister in einer sogenannten „Blacklist“ gespeichert, um zu verhindern, dass sie weitere Newsletter bzw. Informationen von uns erhalten. Dies erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der Einhaltung gesetzlicher Vorschriften beim Versand von Newslettern bzw. werblichen Informationen.

8. Zeitraum der Datenspeicherung

(1) Wir löschen Ihre personenbezogenen Daten, sobald sie für die Zwecke, für die wir sie erhoben oder verwendet haben, nicht mehr erforderlich sind. In der Regel speichern wir Ihre personenbezogenen Daten für die Dauer des Nutzungs- bzw. des Vertragsverhältnisses über die App. Eine Speicherung kann jedoch über die angegebene Zeit hinaus im Falle einer (drohenden) Rechtsstreitigkeit mit Ihnen oder eines sonstigen rechtlichen Verfahrens erfolgen.

(2) Von uns eingesetzte Dritte werden Ihre Daten auf deren System so lange speichern, wie es im Zusammenhang mit der Erbringung der Leistung für uns entsprechend dem Vertragsverhältnis erforderlich ist.

(3) Die wie oben unter C.4.2. beschrieben anonymisierten Daten werden nicht gelöscht, sondern von ONVY zeitlich unbeschränkt gespeichert und verarbeitet.

(4) Rechtliche Vorgaben zur Aufbewahrung und Löschung personenbezogener Daten bleiben von Vorstehendem unberührt (z.B. § 257 HGB oder § 147 AO). Wenn die durch die gesetzlichen Vorschriften vorgeschriebene Speicherfrist abläuft, erfolgt eine Sperrung oder Löschung der personenbezogenen Daten, es sei denn, dass eine weitere Speicherung durch uns erforderlich ist und dafür eine Rechtsgrundlage besteht.

9. Datensicherheit

(1) Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweise oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Natur, des Umfangs, des Kontextes

und des Zwecks der Verarbeitung sowie der bestehenden Risiken einer Datenpanne (inklusive von deren Wahrscheinlichkeit und Auswirkungen) für den Betroffenen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

(2) Wir beschränken den Zugriff auf an uns übermittelte Daten auf diejenigen Mitarbeiter, die den Zugriff benötigen. Diese sind vertraglich auf die Einhaltung der gesetzlichen Datenschutzbestimmungen verpflichtet.

(3) Um Ihre Daten zu schützen, wurden umfangreiche technische und organisatorische Maßnahmen umgesetzt (z.B. Firewalls, Verschlüsselungs- und Authentifizierungstechniken, Verfahrensanweisungen).

(4) Nähere Informationen hierzu erteilen wir Ihnen auf Anfrage gerne.

10. Keine automatisierte Entscheidungsfindung (einschließlich Profiling)

Wir haben nicht die Absicht, von Ihnen erhobene personenbezogene Daten für ein Verfahren zur automatisierten Entscheidungsfindung (einschließlich Profiling) zu verwenden.

11. Zweckänderung

(1) Verarbeitungen Ihrer personenbezogenen Daten zu anderen als den beschriebenen Zwecken erfolgen nur, soweit eine Rechtsvorschrift dies erlaubt oder Sie in den geänderten Zweck der Datenverarbeitung eingewilligt haben.

(2) Im Falle einer Weiterverarbeitung zu anderen Zwecken als denen, für den die Daten ursprünglich erhoben worden sind, informieren wir Sie vor der Weiterverarbeitung über diese anderen Zwecke und stellen Ihnen sämtliche weitere hierfür maßgeblichen Informationen zur Verfügung.

 

D. Datenverarbeitung durch Dritte / Auftragsverarbeitung

(1) Personenbezogene Daten werden von uns streng vertraulich behandelt und nicht an Dritte weitergegeben, soweit dies nicht in den folgenden Absätzen ausgeführt ist. Insbesondere werden keinerlei Daten an Analysedienste wie Google Analytics oder soziale Plattformen wie Facebook übermittelt.

(2) Wir geben personenbezogene Daten ggf. an staatliche Stellen/Behörden weiter, soweit dies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. c DS-GVO;

(3) Wir geben personenbezogene Daten ggf. an zur Durchführung unseres Geschäftsbetriebs eingesetzte Personen (z.B. Auditoren, Banken, Versicherungen, Rechtsberater, Aufsichtsbehörden, Beteiligte bei Unternehmenskäufen oder der Gründung von Gemeinschaftsunternehmen) weiter. Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. b oder lit. f DS-GVO.

(4) Darüber hinaus geben wir Ihre personenbezogenen Daten nur an Dritte weiter, wenn Sie nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO eine ausdrückliche Einwilligung dazu erteilt haben.

(5) Auftragsdatenverarbeitung

(a) Es kann vorkommen, dass für einzelne Funktionen unserer App auf beauftragte Dienstleister zurückgegriffen wird. Wir setzen zur Abwicklung unseres Geschäftsverkehrs externe Dienstleister ein (z. B. für die Bereiche IT, Logistik, Telekommunikation, Vertrieb und Marketing). Diese werden nur nach unserer Weisung tätig und wurden i.S.v. Art. 28 DS-GVO vertraglich dazu verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten.

(b) Derzeit setzen wir folgende Auftragsverarbeiter ein, die ggf. Zugriff auf Ihre personenbezogenen Daten erhalten:

• Amazon Web Services (IT-Infrastruktur)
• Terra (Terra Enabling Developers, Inc – s. Ziffer c)

(c) Ein wesentliches Element der App ist die Integration von Daten, die über sogenannte Wearables gesammelt werden. Zu diesem Zweck setzt ONVY als Dienstleister Terra ein, der als Auftragsdatenverarbeiter für ONVY tätig wird. Der Dienstleister übernimmt die Anbindung und den Import von Aktivitätsdaten aus unterschiedlichen Quellen wie Fitnessarmband, Fitnessring und Smartwatch (z.B. Strava, Garmin, Fitbit, Oura, Apple etc. - nachfolgend zusammen „Wearables“). Eventuell werden die Daten nicht vom Server des Anbieters (z.B. Strava) abgerufen, sondern aus dem „Healthkit“ (iOS) bzw. „Google Fit“ (Android). Apps die auf Ihrem Mobilgerät installiert sind (z.B. die Strava App), schreiben die Daten in das „Healthkit“ bzw. „Google Fit“.

ONVY erhält von Terra einen Schlüssel (sogenannter Token) zur eindeutigen Zuordnung der aus den unterschiedlichen Quellen abgerufenen Daten zu Ihrem Profil bei ONVY. Darüber hinaus erhält ONVY keine weiteren Profilinformationen zu den Quellen, aus denen die Daten stammen; zum Beispiel nicht die von Ihnen verwendete E-Mail-Adresse Ihres Benutzerkontos beim Hersteller Ihres Fitnesstrackers. Durch Terra werden die Daten aus den angebundenen (und von Ihnen freigegebenen) Quellen abgerufen, in ein einheitliches Datenformat übersetzt (harmonisiert) und an ONVY übermittelt.

ONVY verwendet die Daten zum Betrieb der App. Dazu werden die Daten auch mit den von Ihnen zur Verfügung gestellten Profildaten (Name, E-Mail-Adresse etc.) verknüpft, um sie im Dashboard sinnvoll darstellen zu können.

Aus den Daten wird der sogenannte ONVY Score ermittelt und im Dashboard dargestellt. Dabei werden Ihre Erholungswerte beim Schlafen, Ihre tägliche Bewegung, Ihre „Mindfulness“ und Ihr Stresszustand in einen aussagekräftigen Wert (Score) umgerechnet.

Teilweise übermittelt ONVY pseudonymisierte (s. nachfolgend zum Token) Profildaten (Gewicht, Alter, Geschlecht, Größe), damit diese zusammen mit

Wearables-Daten von Terra mit Hilfe von durch Terra entwickelten bzw. lizensierten Algorithmen interpretiert werden und Scores (z.B. „metabolic equivalent“) erstellt werden können. Diese Scores werden wiederum an ONVY übermittelt und ONVY nutzt sie zur Gestaltung des Dashboards.

Terra kann Ihre Daten nicht mit Ihrer Person in Verbindung bringen, da Terra nur den Schlüssel (Token) kennt, nicht aber Ihren Namen. Das heißt, Ihr Name und Ihre ONVY-Profildaten werden mit den Daten aus den Wearables nur von ONVY verknüpft, nicht von Terra.

 

E. Keine Weitergabe von personenbezogenen Daten an Drittländer

Eine Übermittlung Ihrer personenbezogenen Daten an Ländern außerhalb des Europäischen Wirtschaftsraums (EWR), also an Drittländer, findet nicht statt.

 

F. Ihre Rechte

1. Auskunftsrecht

(1) Sie haben gegenüber uns das Recht, im Umfang von Art. 15 DS-GVO, Auskunft über die Sie betreffenden personenbezogenen Daten zu erhalten.

(2) Hierfür ist ein Antrag von Ihnen erforderlich, der entweder per E-Mail oder postalisch an die oben angegebenen Adressen zu senden ist.

2. Recht auf Widerspruch gegen die Datenverarbeitung und Widerruf der Einwilligung

(1) Sie haben gemäß Art. 21 DS-GVO das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen. Wir werden die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

(2) Gemäß Art. 7 Abs. 3 DS-GVO haben Sie das Recht Ihre einmal erteilte Einwilligung – also Ihr freiwilliger, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung verständlich gemachter Willen, dass Sie mit der Verarbeitung der betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden sind – jederzeit uns gegenüber zu widerrufen, falls Sie eine solche erteilt haben. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen.

(3) Diesbezüglich wenden Sie sich bitte an die oben angegebenen Kontaktdaten.

3. Recht zur Berichtigung und Löschung

(1) Insoweit Sie betreffende personenbezogene Daten unrichtig sind, haben Sie gemäß Art. 16 DS-GVO das Recht, von uns die unverzügliche Berichtigung zu verlangen. Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebenen Kontaktdaten.

(2) Unter den in Art. 17 DS-GVO genannten Voraussetzungen steht Ihnen das Recht zu, die Löschung Sie betreffender personenbezogener Daten zu verlangen. Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebenen Kontaktdaten. Das Recht auf Löschung steht Ihnen insbesondere zu, wenn die fraglichen Daten für die Erhebungs- oder Verarbeitungszwecke nicht mehr notwendig sind, wenn der Datenspeicherungszeitraum verstrichen ist, ein Widerspruch vorliegt, oder eine unrechtmäßige Verarbeitung vorliegt.

4. Recht auf Einschränkung der Verarbeitung

(1) Nach Maßgabe des Art. 18 DS-GVO haben Sie das Recht, von uns die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

(2) Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebenen Kontaktdaten.

(3) Das Recht auf Einschränkung der Verarbeitung steht Ihnen insbesondere zu, wenn die Richtigkeit der personenbezogenen Daten zwischen Ihnen und uns umstritten ist; das Recht steht Ihnen in diesem Fall für eine Zeitspanne zu, die für die Überprüfung der Richtigkeit erfordert wird. Entsprechendes gilt, wenn die erfolgreiche Ausübung eines Widerspruchsrechts zwischen Ihnen und uns noch umstritten ist. Dieses Recht steht Ihnen außerdem insbesondere dann zu, wenn Ihnen ein Recht auf Löschung zusteht und Sie anstelle einer Löschung eine eingeschränkte Verarbeitung verlangen.

5. Recht auf Datenübertragbarkeit 

(1) Nach Maßgabe des Art. 20 DS-GVO haben Sie das Recht, von uns die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen, maschinenlesbaren Format nach Maßgabe zu erhalten.

(2) Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebenen Kontaktdaten.

6. Recht auf Beschwerde bei der Aufsichtsbehörde

(1) Sie haben gemäß Art. 77 DS-GVO das Recht, sich über die Erhebung und Verarbeitung Ihrer personenbezogenen Daten bei der zuständigen Aufsichtsbehörde zu beschweren.

(2) Die für die ONVY HealthTech Group GmbH zuständige Datenschutzaufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht

Postanschrift:

Postfach 1349
91504 Ansbach
Telefon: +49 (0) 981 180093-0
Telefax: +49 (0) 981 180093-800
E-Mail: poststelle@lda.bayern.de