Datenschutzerklärung
Datenschutzerklärung für die Clara Health Website
Einleitung
Der Schutz Ihrer persönlichen Daten und insbesondere die Vertraulichkeit im medizinischen Kontext haben für uns oberste Priorität. In dieser Datenschutzerklärung informieren wir Sie darüber, wie wir personenbezogene Daten erheben, wenn Sie unsere Website besuchen oder unsere Dienste nutzen. Wir erläutern Ihnen zudem, welche Rechte Ihnen zustehen und wie wir den Schutz Ihrer Daten technisch sicherstellen.
1. Übersicht und Hosting
Hosting-Anbieter: Microsoft Azure (Microsoft Corporation), One Microsoft Way, Redmond, WA 98052-6399, USA. Vertreten durch: Microsoft Ireland Operations Limited, Dublin, Irland.
Server-Standort: Europa (EU-Rechenzentren)
Diese Website wird über Microsoft Azure gehostet. Die personenbezogenen Daten, die auf dieser Website erfasst werden, werden auf den Servern von Azure gespeichert. Hierbei kann es sich v.a. um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Namen, Websitezugriffe und sonstige Daten, die über eine Website generiert werden, handeln.
Rechtsgrundlage: Der Einsatz von Azure erfolgt zum Zwecke der Vertragserfüllung gegenüber unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter (Art. 6 Abs. 1 lit. f DSGVO).
Datenverarbeitung: Microsoft Azure wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung seiner Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Alle Daten werden vorrangig in EU-Rechenzentren verarbeitet. Es wurde ein Vertrag über Auftragsverarbeitung (DPA) geschlossen.
Zertifizierungen: Microsoft Azure ist nach ISO 27001, ISO 27018, SOC 1/2/3 zertifiziert und erfüllt die Anforderungen der DSGVO. Weitere Informationen finden Sie in der Microsoft Datenschutzerklärung.
2. Allgemeine Hinweise und Pflichtinformationen
Hinweis zur Datenübermittlung in die USA und sonstige Drittstaaten
Wir verwenden Tools von Unternehmen mit Sitz in den USA oder sonstigen Drittstaaten. Wenn diese Tools aktiv sind, können personenbezogene Daten in diese Drittstaaten übertragen werden. Für die USA existiert ein Angemessenheitsbeschluss (EU-US Data Privacy Framework). Bei Dienstleistern in Drittstaaten ohne Angemessenheitsbeschluss (z.B. Singapur) nutzen wir Standardvertragsklauseln (SCC) und setzen zusätzliche technische Schutzmaßnahmen um, um ein angemessenes Datenschutzniveau zu gewährleisten.
SSL- bzw. TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an der Adresszeile „https://" und dem Schloss-Symbol in Ihrer Browserzeile.
3. Datenerfassung auf dieser Website
Server-Log-Dateien
Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:
- Browsertyp und Browserversion
- Verwendetes Betriebssystem
- Referrer URL
- Hostname des zugreifenden Rechners
- Uhrzeit der Serveranfrage
- IP-Adresse
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung der Website).
Die Server-Log-Dateien werden für die Dauer von maximal 14 Tagen gespeichert und anschließend automatisch gelöscht, es sei denn, eine weitere Aufbewahrung ist zu Beweiszwecken bei Angriffen auf die Serverinfrastruktur erforderlich.
4. Cookies und Consent Management (Cookiebot)
Unsere Website nutzt die Consent-Technologie von Cookiebot (Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark), um Ihre Einwilligung zur Speicherung bestimmter Cookies einzuholen und zu dokumentieren.
Rechtsgrundlage: Der Einsatz von Cookiebot erfolgt, um die gesetzlich vorgeschriebenen Einwilligungen für den Einsatz von Cookies einzuholen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO.
Einwilligung ändern: Sie können Ihre Einstellungen jederzeit anpassen oder Ihre Einwilligung widerrufen.
5. Webanalyse & Tracking
Google Tag Manager
Wir verwenden den Google Tag Manager. Google Tag Manager ist eine Lösung, mit der wir über eine Oberfläche sog. Website-Tags verwalten können und so z.B. Google Analytics sowie andere Google-Marketing-Dienste in unser Online-Angebot einbinden können.
Der Tag Manager selbst, welcher die Tags implementiert, verarbeitet keine personenbezogenen Daten der Nutzer. Im Hinblick auf die Verarbeitung der personenbezogenen Daten der Nutzer wird auf die folgenden Angaben zu den Google-Diensten verwiesen.
Google Analytics
Diese Website benutzt Google Analytics, einen Webanalysedienst der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA („Google"). Google Analytics verwendet sogenannte „Cookies", Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen.
Erhobene Daten:
- IP-Adresse (anonymisiert)
- Besuchte Seiten und Verweildauer
- Herkunft des Besuchers (Referrer)
- Verwendeter Browser und Gerät
- Standort (nur auf Länderebene)
IP-Anonymisierung: Wir haben auf dieser Website die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt.
Rechtsgrundlage: Die Speicherung von und der Zugriff auf Informationen im Endgerät des Nutzers erfolgt auf Grundlage von § 25 Abs. 1 TDDDG. Die nachgelagerte Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung ist jederzeit widerrufbar.
Datenübermittlung in die USA: Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert, wodurch die Einhaltung des europäischen Datenschutzniveaus gewährleistet wird.
Speicherdauer: Von Google Analytics gesetzte Cookies werden nach 14 Monaten automatisch gelöscht.
Widerspruchsmöglichkeit: Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: Google Analytics deaktivieren
Produktanalyse
Zur Analyse des Nutzerverhaltens, zur Fehlererkennung und zur Verbesserung unserer Website setzen wir PostHog (PostHog Inc., USA) als Produktanalyse-Dienst ein. PostHog wird nur aktiviert, wenn Sie über Cookiebot in die Kategorie „Statistik“ eingewilligt haben. Vor dieser Einwilligung initialisieren wir PostHog nicht und senden keine PostHog-Ereignisse.
Erhobene Daten: Es können insbesondere Seitenaufrufe, Klick- und Interaktionsereignisse, technische Browser- und Gerätedaten, gekürzte bzw. anonymisierte IP-Adressen sowie Referrer- und Seitenpfade verarbeitet werden. Vollständige URL-Query-Strings sowie individuelle Kampagnen- oder Empfängerkennungen werden für PostHog nicht übertragen. Inhalte aus Kontakt-, Login- oder Formularfeldern werden nicht gezielt erhoben; die Verarbeitung ist auf Website-Nutzungsdiagnostik und Conversion-Verständnis beschränkt.
Session Replay und Heatmaps: Session Replay ist derzeit deaktiviert. Falls Session Replay später aktiviert wird, erfolgt dies nur nach Einwilligung und mit aktivierter Maskierung von Eingaben und Textinhalten. Heatmap- und Autocapture-Daten werden nur nach Statistik-Einwilligung verarbeitet.
Serverstandort und IP-Anonymisierung: Die Verarbeitung erfolgt primär auf Servern in der EU, soweit der Dienst entsprechend konfiguriert ist. Für das PostHog-Projekt ist IP-Anonymisierung aktiviert.
Rechtsgrundlage: Die Speicherung von und der Zugriff auf Informationen im Endgerät des Nutzers erfolgt auf Grundlage von § 25 Abs. 1 TDDDG. Die nachgelagerte Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Drittlandtransfer: Der Anbieter ist unter dem EU-US Data Privacy Framework zertifiziert, was ein angemessenes Datenschutzniveau garantiert.
Widerruf: Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.
6. Kontaktformular & EmailJS
WICHTIGER HINWEIS ZU GESUNDHEITSDATEN
Bitte senden Sie uns über das Kontaktformular keine vertraulichen Gesundheitsdaten oder Patientendaten. Nutzen Sie das Formular nur für allgemeine Anfragen. Sollten Sie uns dennoch unaufgefordert Gesundheitsdaten zusenden, werden diese umgehend gelöscht, sobald wir Kenntnis davon erlangen.
Kontaktformular
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.
Verarbeitete Daten:
- Vor- und Nachname
- E-Mail-Adresse
- Telefonnummer (optional)
- Nachrichteninhalt
- Zeitstempel der Anfrage
EmailJS: Zur Versendung der Kontaktformular-Nachrichten nutzen wir den Dienst EmailJS (EmailJS Pte. Ltd., Singapur). Die Daten werden technisch über AWS-Server (USA) geleitet. EmailJS speichert diese Daten nicht dauerhaft und nutzt sie ausschließlich zur E-Mail-Zustellung.
Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Kontaktanfragen) sowie Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).
Drittlandübermittlung: Da Singapur kein EU-angemessenes Datenschutzniveau garantiert, haben wir Standardvertragsklauseln (SCC) abgeschlossen.
Speicherdauer: Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z.B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt. In der Regel werden Kontaktanfragen nach 3 Jahren gelöscht.
Ihre Rechte: Sie können jederzeit die Löschung Ihrer über das Kontaktformular übermittelten Daten verlangen. Kontaktieren Sie uns dazu bitte unter team@clarahealth.de.
7. Terminvereinbarung & Kalender (Calendly & Google Calendar)
Zur Terminbuchung und -verwaltung (z.B. für Demo-Sessions) nutzen wir Calendly (Calendly LLC, USA) sowie Google Calendar (Google Ireland Ltd.).
Funktionsweise: Wenn Sie einen Termin buchen, werden Ihre Angaben (Name, E-Mail, Anlass) über Calendly erfasst und zur Organisation automatisch in unseren Google Calendar synchronisiert.
Rechtsgrundlage: Die Verarbeitung dient der Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie unserem berechtigten Interesse an einer effizienten Büroorganisation (Art. 6 Abs. 1 lit. f DSGVO).
Drittlandtransfer: Beide Anbieter können Daten in die USA übertragen. Sowohl Calendly LLC als auch Google LLC sind unter dem EU-US Data Privacy Framework zertifiziert, was ein angemessenes Datenschutzniveau garantiert. Zusätzlich haben wir mit beiden Anbietern Auftragsverarbeitungsverträge (AVV) geschlossen.
8. Stripe Zahlungsabwicklung
Stripe Payments
Wir nutzen Stripe als Zahlungsdienstleister für die Abwicklung von Zahlungen auf unserer Website. Anbieter ist die Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (nachfolgend „Stripe").
Verarbeitete Zahlungsdaten:
- Kreditkartennummer (verschlüsselt)
- Gültigkeitsdatum und Prüfziffer (CVV)
- Name des Karteninhabers
- Rechnungsadresse
- Transaktionsbetrag und -datum
- E-Mail-Adresse für Zahlungsbestätigungen
Sicherheit: Stripe ist PCI DSS Level 1 zertifiziert (höchster Sicherheitsstandard für Zahlungsdienstleister). Alle Zahlungsdaten werden verschlüsselt übertragen (TLS 1.2+) und ausschließlich auf Stripe-Servern gespeichert. Wir selbst speichern keine vollständigen Kreditkartendaten.
Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Zahlungsabwicklung).
Datenübermittlung: Stripe kann Daten an Server in den USA übermitteln. Stripe Inc. (USA) ist unter dem EU-US Data Privacy Framework zertifiziert. Zusätzlich wurden Standardvertragsklauseln gemäß Art. 46 DSGVO vereinbart.
Auftragsverarbeitung: Wir haben einen Vertrag über Auftragsverarbeitung (AVV) mit Stripe abgeschlossen, der sicherstellt, dass Stripe Ihre Daten nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.
Speicherdauer: Transaktionsdaten werden für die Dauer der gesetzlichen Aufbewahrungspflichten gespeichert (in der Regel 10 Jahre für steuerrechtliche Zwecke).
Weitere Informationen: Stripe Datenschutzerklärung
9. Ihre Rechte nach DSGVO
Nach der Datenschutz-Grundverordnung (DSGVO) stehen Ihnen folgende Rechte zu:
Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.
Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten Daten zu verlangen.
Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
Einschränkung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Widerspruch (Art. 21 DSGVO): Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, soweit diese auf berechtigtem Interesse beruht.
Widerruf (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.
Beschwerde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten rechtswidrig ist.
Widerspruchsrecht (Art. 21 DSGVO): Erfolgt die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Widerspruch einzulegen. Bei Direktwerbung können Sie jederzeit widersprechen.
Ausübung Ihrer Rechte: Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@clarahealth.de
Zuständige Aufsichtsbehörde: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20 70173 Stuttgart Telefon: 0711/61 55 41-0 E-Mail: poststelle@lfdi.bwl.de
10. Hinweise zur Clara Desktop-Anwendung
Wichtiger Hinweis: Keine Gesundheitsdaten auf dieser Website
Auf dieser Informations-Website werden keine Gesundheitsdaten im Sinne von Art. 9 DSGVO verarbeitet. Die Verarbeitung von Gesundheitsdaten erfolgt ausschließlich in der Clara Desktop-Anwendung und unterliegt einer separaten Datenschutzerklärung.
Weitere Informationen: Die Datenschutzerklärung der Desktop-Anwendung finden Sie in der mitgelieferten Dokumentation. Bei Fragen zur Datenverarbeitung in der Desktop-Anwendung kontaktieren Sie uns bitte unter: datenschutz@clarahealth.de
11. Kontakt & Datenschutz-Ansprechpartner
Verantwortliche Stelle
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
Adjuva AI GmbH
Vertreten durch:
- Dr. Dominik Pelzer
- Philipp Steinmetz
Friedrichstraße 13 70174 Stuttgart Deutschland
E-Mail: team@clarahealth.de
Datenschutz-Ansprechpartner
Bei Fragen wenden Sie sich bitte an:
E-Mail: datenschutz@clarahealth.de
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen.