Letztes Update: 26. Februar 2026

Das Medizinprodukt NeuroNation MED entspricht den Anforderungen des Medizinproduktegesetzes, der DSGVO und des BDSG. In dieser Datenschutzerklärung beschreiben wir den Umgang mit Ihren Daten. Bei den Daten kann es sich um Personen- oder Gesundheitsdaten handeln. Wir behandeln Ihre Daten stets streng vertraulich.

Datenschutzrichtlinie – Web

Die Website https://www.neuronation-med.de ist eine Vertriebswebsite für die NeuroNation MED-App. Daher sind die Datenschutzbestimmungen der Website als Erweiterung der Datenschutzbestimmungen der App zu verstehen. Grundsätzlich gelten die gleichen allgemeinen Bestimmungen.

A. Ausschließlich für diese Website wird ein für die Zwecke der folgenden Abschnitte relevanter Dienstleister eingesetzt:

• Serverprotokolldateien

• Hosting- und Content-Delivery-Netzwerke (CDN)
  Der Serveranbieter dieser Website ist Tilda Publishing Ltd, Pembroke House, 28-32 Pembroke Street Upper, Dublin, Irland, D02 EK84. Die Datenschutzerklärung von Tilda finden Sie hier:https://tilda.cc/privacy

Der Provider erhebt und speichert automatisch Informationen in sogenannten Server-Log Files, die Ihr Browser automatisch an uns übermittelt. Diese sind:

• verwendetes Betriebssystem

• Hostname des zugreifenden Rechners

• Uhrzeit der Serveranfrage

• IP Adresse

• Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Die Daten der Nutzer der NeuroNation MED App werden von diesem Dienstleister in keinem Fall verarbeitet.

Die Datenerhebung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Betreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website – hierzu müssen die Server-Log-Files erfasst werden.
Cookies werden nur dann gesetzt, wenn sie für den technischen Betrieb oder zur Gewährleistung der Sicherheit der Website erforderlich sind.

B. Eingebettete Inhalte von anderen Websites und Weiterleitungen zu anderen Websites

Beiträge auf dieser Website können eingebettete Inhalte beinhalten (z. B. Videos, Bilder, Beiträge etc.). Eingebettete Inhalte von anderen Websites verhalten sich exakt so, als ob der Besucher die andere Website besucht hätte.
Diese Websites können Daten über Sie sammeln, Cookies benutzen, zusätzliche Tracking-Dienste von Dritten einbetten und Ihre Interaktion mit diesem eingebetteten Inhalt aufzeichnen, inklusive Ihrer Interaktion mit dem eingebetteten Inhalt, falls Sie ein Konto haben und auf dieser Website angemeldet sind.

Zu den genutzten Anbietern gehören unter anderem:

Perspective Software GmbH
Müggelstraße 22
D-10247 Berlin
Datenschutzerklärung der Perspective Software GmbH

LimeSurvey GmbH
Papenreye 63
22453 Hamburg / Deutschland
Datenschutzerklärung der LimeSurvey GmbH

Die Nutzung dieser Dienste und der übermittelten Daten ist freiwillig. Die Verarbeitung der angegebenen Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die erteilte Einwilligung zur Speicherung der Daten, der Kontaktdaten sowie deren Nutzung können Sie jederzeit widerrufen, weitere Details dazu finden Sie in den Datenschutzerklärungen der Anbieter. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. ‍Die personenbezogenen Daten werden solange aufbewahrt, wie sie zur Erfüllung des Verarbeitungszwecks erforderlich sind. Die Daten werden gelöscht, sobald sie für die Zweckerreichung nicht mehr erforderlich sind.

C. Newsletterdaten (Iterable)

Wenn Sie den angebotenen Newsletter beziehen möchten, benötigen wir Ihre Kontaktdaten (E-Mail-Adresse) sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen Kontaktdaten sind und mit dem Empfang des Newsletters einverstanden sind.
Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Diese Daten verwenden wir ausschließlich für den Versand der angeforderten Informationen.
Die Verarbeitung der angegebenen Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die erteilte Einwilligung zur Speicherung der Daten, der Kontaktdaten sowie deren Nutzung zum Versand des Newsletters können Sie jederzeit widerrufen, etwa über den „Austragen“-Link im Newsletter im Falle von E-Mails oder über Ihre Profileinstellungen im Allgemeinen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.
Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt.
Nach Ihrer Austragung aus der Newsletterverteilerliste werden Ihre Kontaktdaten bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, um künftigen Newsletterversand zu verhindern. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen.
Für den Versand unseres Newsletters verwenden wir “Iterable”, Iterable Inc. 71 Stevenson St, #300 San Francisco, CA 94105, USA.
Iterable ist ein Dienst, der Versand von Newslettern organisiert und Analysen bereitstellt.

Mit Hilfe von Iterable können wir den Versand von Newslettern analysieren. So kann festgestellt werden, ob eine Nachricht geöffnet und welche Links ggf. angeklickt wurden. Außerdem werden technische Informationen erfasst (z.B. Zeitpunkt des Abrufs, IP-Adresse, Browsertyp und Betriebssystem). Sie dienen ausschließlich der statistischen Analyse von Nachrichten. Die Ergebnisse dieser Analysen können genutzt werden, um Probleme bei der Zustellung besser festzustellen.
Wir haben mit Iterable einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen und setzen die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung vollständig um.
Näheres entnehmen Sie den Datenschutzbestimmungen:https://iterable.com/trust/privacy-policy

D. Rezeptservice

Im Rahmen unseres Rezeptservices unterstützen wir Sie bei der Einreichung Ihres Rezepts bei Ihrer Krankenkasse, um den Freischaltcode zu erhalten. Sie willigen durch Absenden des Rezeptservice-Formulars an uns ein, dass wir Ihre personenbezogenen Daten, einschließlich von besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO, für die Durchführung des Rezeptservices verarbeiten dürfen. Dies umfasst:

• die Übermittlung Ihrer Daten an uns (Name, E-Mail, Rezept)

• die Speicherung der o.g. Daten durch uns,

• die Prüfung der o.g. Daten auf Vollständigkeit durch uns, einschließlich der elektronischen und telefonischen Kontaktaufnahme für etwaige Rückfragen dazu an Sie, Ihre verschreibende Arztpraxis (inkl. Arzt / Ärztin und Praxispersonal) und Ihrer Krankenkasse,

• die Weiterleitung des Rezepts an die Krankenkasse,

• die Anonymisierung der Daten zur statistischen Auswertung.
  Wir weisen Sie hiermit darauf hin, dass es zu unverschlüsselter Kommunikation (beispielsweise bei der Übersendung per E-Mail an die Krankenkassen) kommen kann. Die Nutzung des Rezeptservices ist freiwillig und kann jederzeit und ohne Angaben von Gründen für die Zukunft widerrufen werden.

Folgerezept bei Ihrem Arzt oder Ihrer Ärztin anfragen lassen

Im Rahmen unseres Services zur Anforderung von Folgerezepten bieten wir Ihnen an, in Ihrem Namen und mit Ihrer ausdrücklichen Einwilligung eine Anfrage an Ihre behandelnde Arztpraxis per Fax oder E-Mail zu senden. Dies dient dem Zweck, ein für die Fortsetzung der Behandlung mit NeuroNation MED und die Verlängerung der Kostenübernahme durch Ihre Krankenkasse notwendiges Kurzattest anzufordern. Dieser Dienst ist nur zu nutzen, wenn die fortgesetzte Behandlung mit NeuroNation MED medizinisch notwendig ist und der zuvor ärztlich getroffenen Diagnose entspricht, worüber Ihr Arzt oder Ihre Ärztin entscheidet.

Die Verarbeitung Ihrer personenbezogenen Daten bzw. Gesundheitsdaten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 a DSGVO sowie Art. 9 Abs. 2 a DSGVO. Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Für den Versand der Anfrage werden folgende Daten verarbeitet:

• Ihr Name und Ihr Geburtsdatum werden zu Ihrer eindeutigen Identifikation gegenüber Ihrem Arzt oder Ihrer Ärztin verwendet.

• Ihre E-Mail-Adresse wird für die Kommunikation während des Prozesses verwendet.

• Optional können Sie uns Ihre Telefonnummer für Rückfragen hinterlassen, die nur zur Verifizierung Ihrer Angaben und zur Durchführung des Prozesses, wo notwendig, verwendet wird.
  Falls wir das erhaltene Rezept danach an Ihre Krankenkasse weiterleiten sollen, damit Sie den Freischaltcode zu NeuroNation MED einfacher erhalten, dann benötigen wir von Ihnen noch die Angabe der Krankenkasse.

Ihre Daten werden über den Dienstleister Alohi SA, mit Sitz in der Schweiz, per Fax an Ihre Arztpraxis übermittelt. Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission, der ein angemessenes Datenschutzniveau bestätigt.
Der E-Mail-Weg kann alternativ zum Fax verwendet werden (nicht über Alohi SA, sondern über unseren E-Mail-Server, s. oben).

Adresse von Alohi SA: Alohi SA Rue du Cendrier 15 1201 Genf Schweiz

Weitere Informationen zu den Datenverarbeitungspraktiken von Alohi finden Sie in deren Datenschutzerklärung: https://www.alohi.com/de/trust/compliance/gdpr

Die für den Fax-Versand genutzten Daten werden von uns für die Dauer der Bearbeitung Ihrer Anfrage verarbeitet. Für die Speicherung von Übertragungsprotokollen durch Alohi gelten deren Aufbewahrungsfristen, die im Auftragsverarbeitungsvertrag (AVV) geregelt sind. Das empfangene Fax wird von Ihrer Arztpraxis im Rahmen der gesetzlichen Aufbewahrungspflichten für Patientenakten gespeichert.

E. Posthog

Unsere Website verwendet den Dienst PostHog, ein Open-Source-Produktanalyse-Tool, das uns hilft, das Nutzerverhalten besser zu verstehen und unsere Website sowie Dienste kontinuierlich zu verbessern. Anbieter ist die PostHog, Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA.

Die Datenschutzerklärung von PostHog finden Sein hier: https://posthog.com/privacy

PostHog ist ein Analysetool, das wir nutzen, um das Nutzungsverhalten auf unserer Website oder in unserer Anwendung besser zu verstehen und zu optimieren. Dabei werden die folgenden Daten verarbeitet:

• IP-Adresse (ggf. anonymisiert)

• Browsertyp und -version

• Betriebssystem

• Referrer-URL

• Besuchte Seiten und Interaktionen

• Zeitpunkt und Dauer des Besuchs

Zweck der Datenverarbeitung

Die Verarbeitung dieser Daten erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, um unsere Website oder Anwendung zu verbessern, technische Probleme zu analysieren und das Nutzererlebnis zu optimieren.

Dies geschieht nur durch Ihr Einverständnis (Art. 6 Abs. 1 lit a DSGVO).

Einsatz von Cookies und Tracking-Technologien

PostHog verwendet Cookies und ähnliche Technologien, um die Nutzung unserer Dienste zu analysieren. Sie haben die Möglichkeit, dem Setzen von Cookies in den Einstellungen Ihres Browsers oder über unser Cookie-Consent-Tool zu widersprechen.

Speicherdauer

Die gesammelten Daten werden nur so lange gespeichert, wie es für die oben genannten Zwecke erforderlich ist. Sobald die Daten nicht mehr benötigt werden, werden sie gelöscht oder anonymisiert.

Weitergabe an Dritte

PostHog kann als Auftragsverarbeiter fungieren. Eine Übermittlung der Daten an Dritte findet nur statt, wenn dies zur Bereitstellung der Analysefunktionen notwendig ist oder wir gesetzlich dazu verpflichtet sind.

Datenverarbeitung außerhalb der EU

PostHog kann Daten außerhalb der EU verarbeiten. In diesem Fall stellen wir sicher, dass angemessene Schutzmaßnahmen, wie z. B. Standardvertragsklauseln der EU-Kommission, getroffen werden. PostHog ist gelistet im Data Privacy Framework.

F. Google Analytics

Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics ermöglicht es dem Websitebetreiber, das Verhalten der Websitebesucher zu analysieren. Hierbei erhält der Websitebetreiber verschiedene Nutzungsdaten, wie z. B. Seitenaufrufe, Verweildauer, verwendete Betriebssysteme und Herkunft des Nutzers. Diese Daten werden dem jeweiligen Endgerät des Users zugeordnet. Eine Zuordnung zu einer User-ID erfolgt nicht. Des Weiteren können wir mit Google Analytics u. a. Ihre Maus- und Scrollbewegungen und Klicks aufzeichnen. Ferner verwendet Google Analytics verschiedene Modellierungsansätze, um die erfassten Datensätze zu ergänzen und setzt Machine-Learning-Technologien bei der Datenanalyse ein.

Google Analytics verwendet Technologien, die die Wiedererkennung des Nutzers zum Zwecke der Analyse des Nutzerverhaltens ermöglichen (z. B. Cookies oder Device-Fingerprinting). Die von Google erfassten Informationen über die Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Die Nutzung dieses Dienstes erfolgt auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Die Einwilligung ist jederzeit widerrufbar. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt.

Details finden Sie hier:

https://privacy.google.com/businesses/controllerterms/mccs/.

Das Unternehmen verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Weitere Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link:

https://www.dataprivacyframework.gov/participant/5780 .

IP Anonymisierung

Die Google Analytics IP-Anonymisierung ist aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Browser Plugin

Sie können die Erfassung und Verarbeitung Ihrer Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de. Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google:

https://support.google.com/analytics/answer/6004245?hl=de .

Auftragsverarbeitung

Wir haben mit Google einen Vertrag zur Auftragsverarbeitung abgeschlossen und setzen die strengen 12 / 17Vorgaben der deutschen Datenschutzbehörden bei der Nutzung von Google Analytics vollständig um.

G. Google Ads

Der Websitebetreiber verwendet Google Ads. Google Ads ist ein Online-Werbeprogramm der Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland. Google Ads ermöglicht es uns Werbeanzeigen in der Google-Suchmaschine oder auf Drittwebseiten auszuspielen, wenn der Nutzer bestimmte Suchbegriffe bei Google eingibt (Keyword-Targeting). Ferner können zielgerichtete Werbeanzeigen anhand der bei Google vorhandenen Nutzerdaten (z. B. Standortdaten und Interessen) ausgespielt werden (Zielgruppen-Targeting). Wir als Websitebetreiber können diese Daten quantitativ auswerten, indem wir beispielsweise analysieren, welche Suchbegriffe zur Ausspielung unserer Werbeanzeigen geführt haben und wie viele Anzeigen zu entsprechenden Klicks geführt haben.

Die Nutzung dieses Dienstes erfolgt auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Die Einwilligung ist jederzeit widerrufbar. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt.

Details finden Sie hier:

https://policies.google.com/privacy/frameworks und

https://business.safety.google/controllerterms/ .

Das Unternehmen verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten.

Weitere Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link:

https://www.dataprivacyframework.gov/participant/5780 .

H. Iterable

1. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir nutzen Iterable zur Personalisierung und Automatisierung von Marketing- und Kommunikationsprozessen. Dabei werden personenbezogene Daten verarbeitet, um Ihnen relevante Informationen bereitzustellen und die Benutzererfahrung zu verbessern.

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage Ihrer Einwilligung gemäß:

• Art. 6 Abs. 1 lit. b DSGVO (Erfüllung vertraglicher bzw. vorvertraglicher Maßnahmen, z. B. im Zusammenhang mit der Nutzung von NeuroNation MED),

• Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen),

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer strukturierten, nachweisbaren und sicheren E‑Mail‑Kommunikation),

• sowie – soweit besondere Kategorien personenbezogener Daten betroffen sind – Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit den einschlägigen nationalen Regelungen.

Sofern eine Einwilligung erforderlich ist (insbesondere bei einzelnen Informations‑/Service‑E‑Mails oder – falls vorgesehen – bei Marketing‑Kommunikation), erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 9 Abs. 2 lit. a DSGVO.

Die Verarbeitung erfolgt außerdem gemäß dem EU-U.S. Data Privacy Framework, das als rechtliche Grundlage für die Übermittlung personenbezogener Daten in die USA dient.

Der Einsatz von Iterable erfolgt ausschließlich zum Zweck der

• strukturierten und zuverlässigen Versendung von E‑Mails an Patient:innen,

• technischen Verwaltung des E‑Mail‑Versands (z. B. Versand, Zustellbarkeit),

• sowie – sofern vorgesehen – der Dokumentation des Versands (z. B. Versandzeitpunkt).

Eine Nutzung zu Werbe‑, Marketing‑ oder Trackingzwecken findet nicht statt, sofern nicht ausdrücklich darauf hingewiesen und eine entsprechende Einwilligung eingeholt wurde.

2. Art der verarbeiteten Daten

Im Rahmen der Nutzung von Iterable können insbesondere folgende personenbezogene Daten verarbeitet werden:

• E‑Mail‑Adresse

• ggf. Name oder Pseudonym

• Inhalte der versendeten E‑Mails

• technische Metadaten zum E‑Mail‑Versand (z. B. Versandstatus, Versandzeitpunkt)

3. Verarbeitung von Gesundheitsdaten

Im Zusammenhang mit der Nutzung von Iterable können auch Gesundheitsdaten verarbeitet werden. Diese besonderen Kategorien personenbezogener Daten unterliegen einem besonders hohen Schutz und werden nur mit Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO verarbeitet.

4. Empfänger der Daten und Übermittlung in Drittländer

Ihre personenbezogenen Daten werden unter Verwendung der Dienste von Iterable, Inc. verarbeitet, das seinen Sitz in den USA hat. Iterable ist nach dem EU-U.S. Data Privacy Framework zertifiziert und verpflichtet sich zur Einhaltung eines angemessenen Datenschutzniveaus. Dennoch weisen wir darauf hin, dass Datenübertragungen in die USA mit Risiken verbunden sein können, insbesondere hinsichtlich des Zugriffs durch US- Behörden.

Adresse von Iterable, Inc.:

Iterable, Inc.

71 Stevenson St, Floor 3

San Francisco, CA 94105

USA

Weitere Informationen zu den Datenverarbeitungspraktiken von Iterable finden Sie in deren Datenschutzerklärung: https://iterable.com/trust/privacy-policy/

5. Auftragsverarbeitung

Iterable wird als Auftragsverarbeiter gemäß Art. 28 DSGVO eingesetzt. Es wurde ein entsprechender Vertrag zur Auftragsverarbeitung abgeschlossen, der insbesondere Regelungen zu Vertraulichkeit, Datensicherheit sowie zu technischen und organisatorischen Maßnahmen enthält.

6. Speicherdauer der Daten

Ihre Daten werden so lange gespeichert, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder bis Sie Ihre Einwilligung widerrufen. Gesetzliche Aufbewahrungsfristen bleiben unberührt.

I. Chargebee

Mithilfe von Chargebee können wir die Zahlungen unserer Kunden besser verwalten. Der Anbieter dieses Abonnementverwaltungsdienstes innerhalb der EU ist CHARGEBEE B.V., Piet Heinkade 55, 1019GM Amsterdam, Niederlande (im Folgenden "Chargebee").

Wenn Sie über einen unserer Zahlungsanbieter bezahlen, werden die Informationen von Chargebee zusammengefasst und Ihre Zahlungsdaten werden an Chargebee übermittelt, um die Zahlung zu verarbeiten. Einzelheiten hierzu finden Sie in der Datenschutzrichtlinie von Chargebee unter folgendem Link: https://www.chargebee.com/privacy/ .

Die Übermittlung Ihrer Daten an Chargebee erfolgt auf der Grundlage von Artikel 6 Absatz 1 Buchstabe a) DSGVO (Einwilligung) und Artikel 6 Absatz 1 Buchstabe b) DSGVO (Verarbeitung zum Zwecke der Vertragserfüllung). Sie haben die Möglichkeit, Ihre Zustimmung zur Datenverarbeitung jederzeit zu widerrufen. Ein Widerruf hat keinen Einfluss auf die Wirksamkeit von Datenverarbeitungsvorgängen, die in der Vergangenheit durchgeführt wurden.

J. Stripe

Wir bieten u.a. die Bezahlung mit den Diensten von Stripe an. Anbieter für Kunden innerhalb der EU ist die Stripe Payments Europe, Ltd.,1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (im Folgenden „Stripe“).

Bei einer Zahlung via Stripe werden Ihre Zahlungsdaten über eine Schnittstelle auf unserer Seite an Stripe weitergeleitet, um die Bezahlung durchzuführen. Details hierzu können Sie in der Datenschutzerklärung von Stripe unter folgendem Link nachlesen: https://stripe.com/de/privacy .

Die Übermittlung Ihrer Daten an Stripe erfolgt auf Grundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie auf Grundlage unseres berechtigten Interesses am Einsatz von verlässlichen und sicheren Zahlungsprozessen (Art. 6 Abs. 1 lit. f DSGVO).

K. Paypal

Wir bieten u.a. die Bezahlung via PayPal an. Anbieter dieses Zahlungsdienstes ist die PayPal (Europe) S.à.r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg (im Folgenden „PayPal“).

Wenn Sie die Bezahlung via PayPal auswählen, werden die von Ihnen eingegebenen Zahlungsdaten an PayPal übermittelt.

Die Übermittlung Ihrer Daten an PayPal erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Erfüllung eines Vertrags). Sie haben die Möglichkeit, Ihre Einwilligung zur Datenverarbeitung jederzeit zu widerrufen. Ein Widerruf wirkt sich auf die Wirksamkeit von in der Vergangenheit liegenden Datenverarbeitungsvorgängen nicht aus.

L. Taboola

Wir verwenden Technologien der Firma Taboola Inc., 28 West 23rd St. 5th Fl, New York, NY 10010 („Taboola“). Taboola setzt Cookies ein, die ermitteln, auf welche Inhalte Sie geklickt haben, um unsere Website zu entdecken, und welche unserer Seiten Sie besucht haben.
Zur Optimierung unserer Marketingmaßnahmen übermitteln wir – sofern nicht durch die Nutzerin oder den Nutzer in den Geräteeinstellungen deaktiviert – die Mobile Advertising ID, IP-Adresse, Browser- sowie Geräteinformationen an Taboola.
Jede Nutzerin und jeder Nutzer kann diesen Prozess für Apple- und Android-Geräte deaktivieren.

Das Taboola-Cookie ermöglicht es uns, pseudonyme Nutzungsprofile zu erstellen, indem gerätebezogene Daten sowie Logdaten gesammelt werden, um Inhalte zu empfehlen, die Ihren persönlichen Interessen entsprechen. Dadurch können wir unser Angebot individuell für Sie gestalten. Diese Nutzungsprofile lassen keine Rückschlüsse auf Ihre Person zu.

Weitere Informationen zu Taboola sowie zur Möglichkeit, das Taboola-Cookie zu deaktivieren, finden Sie in der Datenschutzerklärung von Taboola (Informationen zum Opt-out befinden sich unter „Site Visitor Choices“).

Wir haben mit Taboola einen sogenannten „Data Processing Agreement“ (Auftragsverarbeitungsvertrag) abgeschlossen, in dem wir Taboola verpflichten, die Daten unserer Nutzerinnen und Nutzer zu schützen, nicht an Dritte weiterzugeben und im Falle einer Übermittlung personenbezogener Daten in die USA die Standardvertragsklauseln gemäß Art. 46 DSGVO einzuhalten.

Die Speicherung von „Conversion-Cookies“ und die damit verbundene Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Die Nutzung dieser Dienste erfolgt auf Basis Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG.
Ihre Einwilligung können Sie jederzeit widerrufen.

M. Qunomedical

Patientenbetreuung

Um die Therapietreue zu unterstützen und die Einhaltung der Empfehlungen von Gesundheitsdienstleistern (HCP) sicherzustellen, nutzen wir den Dienst von Qunomedical (Qunomedical GmbH, Chausseestraße 8, 10115 Berlin), um Patienten zu kontaktieren und sie daran zu erinnern, den von ihrer Krankenkasse bereitgestellten digitalen Code zu aktivieren, der für die Einleitung der verschriebenen Behandlung erforderlich ist. Zu diesem Zweck können folgende personenbezogene Daten verarbeitet werden: Name des Patienten, Telefonnummer, E-Mail-Adresse und Verschreibungsdatum.

Zweck und Rechtsgrundlage:

Die Verarbeitung dieser Daten ist erforderlich, um die Patientenansprache, Erinnerungen und die Unterstützung bei der Einleitung der Therapie zu ermöglichen, und erfolgt zur Erfüllung unserer vertraglichen Verpflichtungen (Art. 6 Abs. 1 lit. b DSGVO) sowie gegebenenfalls zur Einhaltung gesetzlicher Vorschriften (Art. 6 Abs. 1 lit. c DSGVO).

Datenverarbeitung und Empfänger:

Die Qunomedical GmbH fungiert in unserem Auftrag als Auftragsverarbeiter gemäß Art. 28 DSGVO. Qunomedical kann Unterauftragsverarbeiter wie Amazon Web Services (EU) und Salesforce (EU) für die sichere Datenspeicherung und -kommunikation einsetzen. Alle Unterauftragsverarbeiter sind vertraglich an strenge Datenschutzstandards gebunden. Bei einer Datenverarbeitung außerhalb der EU werden angemessene Garantien gemäß Art. 44 ff. DSGVO umgesetzt.

Datensicherheit, Aufbewahrung und Löschung:

Qunomedical ergreift angemessene technische und organisatorische Maßnahmen, um Ihre Daten gemäß den Branchenstandards zu schützen. Die für diesen Dienst verarbeiteten personenbezogenen Daten werden nur so lange aufbewahrt, wie es für die angegebenen Zwecke erforderlich oder gesetzlich vorgeschrieben ist, und werden gelöscht oder anonymisiert, wenn sie nicht mehr benötigt werden.

Ihre Rechte:

Sie haben das Recht, auf Ihre personenbezogenen Daten zuzugreifen, sie zu berichtigen oder zu löschen sowie deren Verarbeitung einzuschränken oder zu widersprechen. Anfragen können an unseren Datenschutzbeauftragten gerichtet werden; Qunomedical leitet alle Anfragen zur Bearbeitung an uns weiter.

Wir haben mit Qunomedical einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen. Um mehr über den Datenschutz bei Qunomedical zu erfahren, klicken Sie bitte hier: Datenschutzerklärung

N. Facebook Pixel

Zur weiteren Analyse und Optimierung und zum wirtschaftlichen Betrieb unseres Angebots setzen wir außerdem „Facebook Pixel“ des sozialen Netzwerkes Facebook ein, welches von Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland betrieben wird (im Folgenden „Facebook“).

Facebook übermittelt ggf. personenbezogene Daten in Länder außerhalb der EU und des EWR ohne Angemessenheitsbeschluss, insbesondere an die Muttergesellschaft oder sonstige Gruppengesellschaften in den USA. Facebook stützt sich dabei auf die Standardvertragsklauseln, die die Europäische Kommission als Mittel zur Gewährleistung eines angemessenen Schutzes genehmigt hat. Die EU-Standardvertragsklauseln finden Sie unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=de. Für weitere Details hierzu können Sie uns gerne kontaktieren.

Facebook Pixel ist unmittelbar durch Facebook auf unserer Website eingebunden und kann auf Ihrem Gerät einen Cookie speichern, sofern Sie hierfür Ihre ausdrückliche Einwilligung erteilt haben (Art. 6 Abs. 1 a), Art. 9 Abs. 2 a) DSGVO), indem Sie im Cookie-Consent-Tool dem Service “Facebook Pixel” zugestimmt haben. Wenn Sie sich anschließend bei Facebook einloggen oder im eingeloggten Zustand Facebook besuchen, wird der Besuch unseres Onlineangebotes in Ihrem Profil vermerkt. Die über Sie erhobenen Daten sind für uns anonym, bieten uns also keine Rückschlüsse auf die Identität der Nutzer. Allerdings werden die Daten von Facebook gespeichert und verarbeitet, sodass eine Verbindung zum jeweiligen Nutzerprofil möglich ist und von Facebook sowie zu eigenen Marktforschungs- und Werbezwecken verwendet werden kann. Sofern wir Daten zu Abgleichzwecken an Facebook übermitteln sollten, werden diese lokal auf dem Browser verschlüsselt und erst dann an Facebook über eine gesicherte https-Verbindung gesendet. Dies erfolgt alleine mit dem Zweck, einen Abgleich mit den gleichermaßen durch Facebook verschlüsselten Daten herzustellen.

Mit Hilfe des Facebook-Pixels ist es Facebook außerdem möglich, die Besucher unserer Website als Zielgruppe für die Darstellung von Anzeigen (sog. „Facebook-Ads“) zu bestimmen. Dementsprechend setzen wir das Facebook-Pixel ein, um die durch uns geschalteten Facebook-Ads nur solchen Facebook-Nutzern anzuzeigen, die auch ein Interesse an unserem Onlineangebot gezeigt haben oder die bestimmte Merkmale (z.B. Interesse an bestimmten Themen oder Produkten, die anhand der besuchten Websites bestimmt werden) aufweisen, die wir an Facebook übermitteln (sog. „Custom Audiences“). Mit Hilfe des Facebook-Pixels möchten wir auch sicherstellen, dass unsere Facebook-Ads dem potentiellen Interesse der Nutzer entsprechen und nicht belästigend wirken. Mit Hilfe des Facebook-Pixels können wir ferner die Wirksamkeit der Facebook-Werbeanzeigen für statistische und Marktforschungszwecke nachvollziehen, indem wir sehen, ob Nutzer nach dem Klick auf eine Facebook-Werbeanzeige auf unsere Website weitergeleitet wurden (sog. „Conversion“).

Des Weiteren nutzen wir beim Einsatz des Facebook-Pixels die Zusatzfunktion „erweiterter Abgleich“. Hierbei werden Daten zur Bildung von Zielgruppen („Custom Audiences“ oder „Look Alike Audiences“) verschlüsselt an Facebook übermittelt.

Facebook Pixel setzen wir auf unserer Website nur dann ein, wenn Sie in diese Verarbeitung Ihrer personenbezogenen Daten einwilligen (Art. 6 Abs. 1 a), Art. 9 Abs. 2 a) DSGVO). Eine erteilte Einwilligung können Sie selbstverständlich jederzeit für die Zukunft widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der Verarbeitung (bis zum Widerruf) nicht berührt.

Nähere Informationen zur Erhebung und Nutzung der Daten durch Facebook sowie über Ihre diesbezüglichen Rechte und Möglichkeiten zum Schutz Ihrer Privatsphäre finden Sie in den Datenschutzhinweisen von Facebook unter https://www.facebook.com/about/privacy/ .

Alternativ können Sie die Remarketing-Funktion „Custom Audiences“ unter https://www.facebook.com/settings/?tab=ads#_=_ deaktivieren. Hierfür müssen Sie bei Facebook angemeldet sein.

Um einzustellen, welche Arten von Werbeanzeigen Ihnen innerhalb von Facebook angezeigt werden, können Sie die von Facebook eingerichtete Seite aufrufen und dort die Hinweise zu den Einstellungen nutzungsbasierter Werbung befolgen. Die Einstellungen erfolgen plattformunabhängig, d.h. sie werden für alle Geräte wie Desktopcomputer oder mobile Geräte übernommen. Sie können dem Einsatz von Cookies, die der Reichweitenmessung und Werbezwecken dienen, ferner über die Deaktivierungsseite der Netzwerkwerbeinitiative und zusätzlich die US-amerikanische Website aboutads.info oder die europäische Website youronlinechoices.com widersprechen.

O. Alohi Fax.Plus

Wenn Sie uns ausdrücklich damit beauftragen, Ihre Verordnung oder eine entsprechende Anfrage an Ihre behandelnde Arztpraxis zu übermitteln, nutzen wir für diesen Zweck den Dienst Alohi Fax.Plus (Alohi SA, Schweiz). Dabei verarbeiten wir die von Ihnen bereitgestellten Daten (insbesondere Name, Kontaktdaten, Angaben zur Arztpraxis sowie Inhalte der Verordnung bzw. Anfrage), um ein Fax an die von Ihnen benannte Arztpraxis zu senden.

In der Praxis kommt es vor, dass Arztpraxen auf unsere Faxe direkt per Fax antworten z. B. durch Übersendung einer ausgestellten Verordnung. In diesen Fällen werden die Fax‑Antworten ebenfalls über Alohi übermittelt und können personenbezogene Daten und Gesundheitsdaten von Patient:innen enthalten.

Alohi Fax.Plus handelt dabei als unser Auftragsverarbeiter und erhält ausschließlich die für die technische Durchführung des Faxversands und ‑empfangs erforderlichen Informationen. Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU‑Kommission. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a sowie Art. 9 Abs. 2 lit. a DSGVO; ohne Ihren ausdrücklichen Auftrag findet kein Versand über Alohi Fax.Plus statt.

P. Telnyx

Für die Kommunikation mit Arztpraxen über NeuroNation MED (zum Beispiel Einladungen zu Fortbildungsveranstaltungen) nutzen wir den Faxdienstleister Telnyx LLC, 311 South Wacker Drive, Suite 4300, Chicago, IL 60606, USA, siehe:
https://telnyx.com/privacy-policy

Die offizielle Faxnummer für Rezepte und patientenbezogene Unterlagen bleibt die über Alohi betriebene Faxnummer (siehe Abschnitt N. Alohi Fax.Plus). Es kann jedoch nicht vollständig ausgeschlossen werden, dass eine Arztpraxis ausnahmsweise patientenbezogene Dokumente (z. B. ein Rezept oder eine kurze ärztliche Bescheinigung) an eine Telnyx‑Faxnummer sendet, etwa indem direkt auf ein Fortbildungs‑Fax geantwortet wird.

In solchen Ausnahmefällen verarbeitet Telnyx den Faxinhalt sowie die hierfür erforderlichen Metadaten als unser Auftragsverarbeiter gemäß Art. 28 DSGVO. Telnyx verarbeitet Daten vorrangig auf Infrastruktur in der EU (konfigurierter Standort Deutschland); ein Zugriff aus den USA (z. B. zu Support‑Zwecken) kann jedoch nicht vollständig ausgeschlossen werden. Telnyx ist nach dem EU‑U.S. Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss nach Art. 45 DSGVO) und hat zusätzliche technische und organisatorische Maßnahmen umgesetzt (Verschlüsselung, Zugriffsbeschränkungen, Zertifizierungen wie SOC 2 und ISO 27001).

Die Rechtsgrundlagen für die Verarbeitung Ihrer personenbezogenen Daten und Gesundheitsdaten in diesen Ausnahmefällen entsprechen den Rechtsgrundlagen des in dieser Datenschutzerklärung beschriebenen Rezept‑Workflows (insbesondere Ihre Einwilligung nach Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO sowie – soweit einschlägig – Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO).

Faxdokumente, die in dieser Weise eingehen, speichern wir in unseren internen Systemen nur so lange, wie es für die jeweiligen medizinischen und abrechnungsbezogenen Zwecke sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist; anschließend werden die Daten gelöscht oder anonymisiert. Telnyx selbst speichert Faxinhalte und zugehörige Metadaten nur für einen kurzen, konfigurationsabhängigen Zeitraum (zur Übermittlung, Protokollierung und Fehlerbehebung) und löscht oder anonymisiert sie anschließend gemäß dem zugrunde liegenden Auftragsverarbeitungsvertrag.

Q. Loom (Video‑Interviews mit Nutzer:innen von NeuroNation MED)

Für ausgewählte User‑Research‑Projekte und Testimonial‑Aufnahmen zu NeuroNation MED nutzen wir das Video‑Tool Loom (Atlassian), um freiwillige Video‑Interviews mit Nutzer:innen durchzuführen und aufzuzeichnen. Dabei werden Video‑ und Audiodaten des Gesprächs sowie dessen Inhalt (der auch gesundheitsbezogene Informationen enthalten kann) verarbeitet. Die Teilnahme ist freiwillig und unabhängig von der regulären Nutzung der App. Vor jedem Interview wird zusätzlich ein gesonderter Kooperationsvertrag mit Ihnen abgeschlossen, in dem auch Ihre Einwilligung dokumentiert wird. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und – soweit Gesundheitsdaten betroffen sind – Art. 9 Abs. 2 lit. a DSGVO. Loom wird ausschließlich als technischer Dienstleister (Auftragsverarbeiter) für Aufzeichnung und Transkription eingesetzt. Die Daten werden nur so lange aufbewahrt, wie dies für den vereinbarten Zweck (z. B. Auswertung des Interviews oder Erstellung des ausdrücklich vereinbarten Testimonial‑Materials) erforderlich ist, und anschließend gelöscht oder anonymisiert. Anbieter: Atlassian Pty Ltd, Datenschutzhinweise und Informationen zur DSGVO unter https://www.atlassian.com/trust/privacy/country/europe-and-gdpr, allgemeine Informationen unter https://www.atlassian.com.

Datenschutzrichtlinie – NeuroNation MED App

1. Allgemeines

1.1. Einführung

Die NeuroNation MED-Anwendung ist eine mobile Anwendung computergestützten kognitiven Trainings, das auf spielerischen Übungen verschiedener kognitiver Funktionen basiert (Multi-Domain Cognitive Training). Für das Training dieser Fähigkeiten stehen innerhalb der Anwendung zahlreiche individuelle Aufgaben und Fortschrittskontrollfunktionen zur Verfügung. Die Anwendung soll die Symptome von Patienten mit leichten kognitiven Störungen lindern. Die NeuroNation MED-Anwendung ist ein Medizinprodukt der Klasse I gemäß der Medizinprodukteverordnung 2017/745 und dem Medizinprodukte-Durchführungsgesetz.

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst und behandeln diese vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Diese Datenschutzrichtlinie gilt für die NeuroNation MED iOS- und Android-Apps (im Folgenden „ANWENDUNG“).
Dieses Dokument erläutert Art, Zweck und Umfang der Datenerhebung im Rahmen der Nutzung unserer Produkte.

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere ANWENDUNG besuchen oder nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz finden Sie in unserer unter diesem Text aufgeführten Datenschutzerklärung. Gesundheitsdaten sind alle Daten, die sich auf die körperliche oder geistige Gesundheit einer Person, einschließlich der Bereitstellung von Gesundheitsdienstleistungen, beziehen und Aufschluss über deren Gesundheitszustand geben.

Wir weisen darauf hin, dass die Datenübertragung im Internet Sicherheitslücken aufweisen kann. Ein vollständiger Schutz der Daten vor dem Zugriff Dritter ist nicht möglich. Bitte stellen Sie außerdem sicher, dass Sie allein Zugriff auf Ihr Endgerät haben und vertrauenswürdige Netzwerke nutzen. Sicherheitsprobleme, die andernfalls auftreten könnten, können von uns nicht vollständig behoben werden.

1.2. Verantwortliche Stelle

Verantwortliche Stelle für die Datenverarbeitung im Rahmen dieser ANWENDUNG ist:
Synaptikon GmbH
Friedrichstraße 68
10117 Berlin, Deutschland
E-Mail: info@neuronation-med.de

„Verantwortliche Stelle“ ist die Stelle, die personenbezogene Daten (z. B. Namen, E-Mail-Adressen etc.) erhebt und verarbeitet. oder Verwendungen.

1.3. Datenschutzbeauftragter

Bei allgemeinen Fragen zum Datenschutz können Sie sich unter folgender E-Mail-Adresse an unseren Datenschutzbeauftragten Mike Peter wenden:
E-Mail: dpo@neuronation.de

1.4. Allgemeine Speicherdauer von personenbezogenen Daten und Gesundheitsdaten

Vorbehaltlich abweichender oder konkreterer Angaben innerhalb dieser Datenschutzerklärung werden die im Rahmen dieser ANWENDUNG erhobenen personenbezogenen Daten gespeichert, bis Sie uns zur Löschung auffordern (siehe 6. Löschung der Daten (Löschkonzept)), Ihre Einwilligung zur Speicherung widerrufen oder die Der Zweck der Datenspeicherung entfällt. Sofern eine gesetzliche Aufbewahrungspflicht oder ein anderer gesetzlich anerkannter Grund für die Datenspeicherung (z.B. berechtigtes Interesse) besteht, werden die betreffenden personenbezogenen Daten und Gesundheitsdaten nicht gelöscht, bevor der jeweilige Zweck der Speicherung entfällt.

1.5. Rechtliche Grundlagen für die Speicherung personenbezogener Daten und Gesundheitsdaten

Die Verarbeitung personenbezogener Daten und Gesundheitsdaten ist nur dann zulässig, wenn für die Verarbeitung dieser Daten eine wirksame Rechtsgrundlage vorliegt. Sofern wir Ihre Daten verarbeiten, erfolgt dies regelmäßig auf Grundlage Ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2, zum Zwecke der Erfüllung eines Vertrages gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO (z. B. bei der Nutzung aktivierter Funktionen der ANWENDUNG) oder auf Grundlage berechtigter Interessen gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO, die stets einer Abwägung unterliegen deine Interessen. Die jeweiligen Rechtsgrundlagen werden in dieser Datenschutzerklärung ggf. an gesonderter Stelle genannt.

1.6. Verschlüsselung

Diese ANWENDUNG nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Anfragen, die Sie an uns als Betreiber senden, oder der Kommunikation zwischen Nutzern, eine SSL-bzw. TLS-Verschlüsselung. Durch diese Verschlüsselung wird verhindert, dass die von Ihnen übermittelten Daten von unbefugten Dritten mitgelesen werden können.

1.7. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit unter Beachtung der gesetzlichen Vorgaben zu ändern.

2. Ihnen stehen die folgenden gesetzlichen Datenschutzrechte zu:

2.1. Allgemein

Die DSGVO gewährt betroffenen Personen, deren Personen- und Gesundheitsdaten wir verarbeiten, bestimmte Rechte, über die wir Sie an dieser Stelle informieren möchten:

• Auskunftsrecht (Art. 15 DSGVO, § 34 BDSG)

• Recht auf Löschung (Art. 17 DSGVO, § 35 BDSG)

• Recht auf Berichtigung (Art. 16 DSGVO, § 34 BDSG)

• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

• Recht auf Mitteilung und Benachrichtigung im Rahmen der Berichtigung, Löschung oder Einschränkung gegenüber Empfängern (Art. 19 DSGVO)

• Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)

• Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

• Widerspruchsrecht (Art. 21 DSGVO)

• Recht, keiner automatisierten Entscheidungsfindung im Einzelfall oder Profiling zu unterliegen (Artikel 22 DSGVO)

Zur Geltendmachung Ihrer hier beschriebenen Rechte können Sie sich jederzeit an uns wenden. Unsere Kontaktdaten finden Sie unter Punkt 1 „Verantwortliche Stelle“ bzw. „Datenschutzbeauftragter“. Sie haben außerdem das Recht, sich bei der für uns zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. In Berlin – unserem Sitz – ist dies der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin. Alternativ können Sie sich auch an die Datenschutzbehörde Ihres Wohnortes wenden, die Ihr Anliegen dann an die zuständige Behörde weiterleitet.

Datenverarbeitungsvorgänge im Rahmen der ANWENDUNG sind nur mit Ihrer Einwilligung möglich. Vor Beginn der Datenverarbeitung holen wir ausdrücklich Ihre Einwilligung ein. Sie können diese Einwilligung jederzeit über die App-Einstellungen oder per E-Mail widerrufen. Eine formlose Mitteilung an info@neuronation-med.de genügt. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.

2.2. Information über Ihr Widerspruchsrecht gemäß Art. 21 DSGVO

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten und Gesundheitsdaten aufgrund von Art. 6 Abs. 1 Abs. 1 lit) zur Einlegung eines Widerspruchs erfolgt; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling.
Die jeweiligen Rechtsgrundlagen, auf denen die Verarbeitung beruht, finden Sie in dieser Datenschutzerklärung.
Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten und Gesundheitsdaten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

2.3. Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen

Im Falle von Verstößen gegen die DSGVO steht dem Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Das Recht auf Beschwerde besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs. Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

2.4. Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Sie können uns jederzeit per E-Mail kontaktieren. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:

• Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung haben Sie das Recht, eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

• Wenn die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig geschah/geschieht, können Sie statt der Löschung die Einschränkung der Datenverarbeitung verlangen.

• Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie diese jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, statt der Löschung die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

• Sofern Sie Widerspruch gemäß Art. Gemäß Art. 21 Abs. 1 DSGVO einlegen, ist eine Abwägung zwischen Ihren und unseren Interessen vorzunehmen. Solange noch unklar ist, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

• Wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen der Rechtsverletzung verarbeitet werden Es werden wichtige öffentliche Interessen der Europäischen Union oder eines Mitgliedstaats verarbeitet.

2.5. Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

2.6. Auskunft, Löschung und Berichtigung

Sie haben jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten und Gesundheitsdaten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung sowie ein Recht auf Berichtigung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten und Gesundheitsdaten können Sie sich jederzeit per E-Mail an uns wenden.

3. Zugriffsrechte für die Anwendung

Um unsere Dienste über die ANWENDUNG bereitstellen zu können, benötigen wir die unten aufgeführten Zugriffsrechte, die uns den Zugriff auf bestimmte Funktionen Ihres Geräts ermöglichen.

• WiFi-Verbindungen

• Empfangen von Daten aus dem Internet

• Netzwerkzugang

• Batteriesparmodus (verhindert, dass das Gerät in den „Schlafmodus“ wechselt)

• Vibrationskontrolle

Zur Gewährleistung der Funktionalitäten der ANWENDUNG ist der Zugriff auf die Gerätefunktionen erforderlich. Rechtsgrundlage für diese Datenverarbeitung ist unser berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO. 6 Abs. 1 lit. f DSGVO, Ihre Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO und/oder – sofern ein Vertrag zustande gekommen ist – die Erfüllung unserer vertraglichen Pflichten (Art. 6 Abs. 1 lit. b DSGVO).
Die so erhobenen Daten werden in der Regel nicht länger gespeichert, als es für die Nutzung der jeweiligen Funktionen erforderlich ist, längstens jedoch 24 Stunden nach der Deinstallation der App.

4. Erhebung und Verarbeitung personenbezogener Daten und Gesundheitsdaten im Rahmen der Nutzung der ANWENDUNG

Nachfolgend beschreiben wir, welche personenbezogenen Daten wir erheben, zu welchen Zwecken wir sie verarbeiten und auf welcher Rechtsgrundlage wir dies tun.

4.1. Herunterladen der App

Sie können die App im Google Play Store oder im Apple App Store herunterladen. Beim Herunterladen von Apps aus dem Google Play Store oder dem Apple App Store werden die hierfür erforderlichen Informationen an Google Ireland Limited bzw. Apple Distribution International in Irland übermittelt, also insbesondere der Nutzername, die E-Mail-Adresse und die Kundennummer Ihres Google bzw Apple-Konten, Zeitpunkt des Downloads und eindeutige Geräte-ID. Auf diese Datenerhebung haben wir keinen Einfluss und sind dafür nicht verantwortlich.
Weitere Informationen finden Sie in den jeweiligen Datenschutzhinweisen von Google (https://policies.google.com/privacy ) und Apple (https://www.apple.com/legal/privacy/de-ww/ ).

4.2. Allgemein

Wenn Sie unsere ANWENDUNG nutzen, erheben wir je nach Verfügbarkeit folgende personenbezogene und Gesundheitsdaten von Ihnen:

• Nutzungsdaten

• Metadaten

• IP Adresse

• Gerätekennung

• E-Mail-Adresse

• Zeitzone

• Sprache

• Altersgruppe

• Mobile IDs (IDFA, IDFV, Android ID usw.)

• Ergebnisse aus Fragebögen und Auswertungen

Die Verarbeitung dieser personenbezogenen Daten und Gesundheitsdaten ist erforderlich, um die Funktionalität der ANWENDUNG sicherzustellen. Rechtsgrundlage für diese Datenverarbeitung ist unser berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f DSGVO, Ihre Einwilligung im Sinne des Art. 6 Abs. 1 S. 1 lit. a DSGVO und/oder – sofern es sich um einen Vertrag handelt, abgeschlossen ist – die Erfüllung unserer vertraglichen Pflichten (Art. 6 Abs. 1 lit. b DSGVO).

4.3. Serverprotokolldateien

Der Serveranbieter ist Exoscale SA, Avenue du Tribunal-Fédéral 34, 1005 Lausanne, Schweiz. Die Datenschutzerklärung von Exoscale finden Sie hier:
https://www.exoscale.com/privacy/

Der Serverprovider erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser bzw. die ANWENDUNG automatisch an uns übermittelt. Diese sind:

• verwendetes Betriebssystem

• Hostname des zugreifenden Rechners

• Uhrzeit der Serveranfrage

• IP Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.
Die Datenerhebung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. f DSGVO. Der Betreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner ANWENDUNG – hierzu müssen die Server-Logfiles erfasst werden.

Für unsere Medizinproduktversionen bis einschließlich Version 2.9.9 wurde in Deutschland der folgende Dienstleister für Datenverarbeitung und Verschlüsselung eingesetzt:
IONOS SE, Elgendorfer Str. 57, 56410 Montabaur.
Die Datenschutzerklärung der IONOS SE finden Sie hier:
https://www.ionos.de/terms-gtc/terms-privacy

Ab unserer Medizinproduktversion 3.0.0 entfällt dieser Dienstleister.

Im Falle unserer Medizinprodukteversion 1.2.2 oder niedriger wurde in der ANWENDUNG bisher folgender Dienstleister mit Datenverarbeitung und Verschlüsselung in Deutschland anstelle von IONOS SE eingesetzt:
AWS Europe (Amazon Web Services EMEA SARL), 38 avenue John F. Kennedy, L-1855 Luxemburg
Die Datenschutzerklärung von AWS Europe finden Sie hier:
https://aws.amazon.com/de/compliance/data-privacy
Ab unserer Medizinproduktversion 1.2.3 entfällt dieser Dienstleister.

4.4. Registrierung in der ANWENDUNG

Sie können sich in unserer ANWENDUNG registrieren oder einen Zugang erstellen. Für die Registrierung benötigen Sie folgende Daten:

• Ihre E-Mail-Adresse

• Ihr frei gewähltes Passwort

Nach erfolgreicher Registrierung und Bestätigung Ihrer E-Mail-Adresse können Sie sich mit Ihrer E-Mail-Adresse und Ihrem Passwort anmelden. Wir verarbeiten die oben genannten Daten, damit Sie die ANWENDUNG nutzen und Ihr Profil verwalten können.
Für wichtige Änderungen, etwa beim Angebotsumfang oder bei technisch notwendigen Änderungen, nutzen wir die bei der Registrierung angegebene E-Mail-Adresse, um Sie auf diesem Wege zu informieren. Die bei der Registrierung erfassten Daten (E-Mail-Adresse und Passwort) werden von uns gespeichert, solange Sie in dieser ANWENDUNG registriert sind. Gesetzliche Aufbewahrungsfristen und das Löschkonzept gemäß Ziffer 6.ff. bleibt unberührt.

Mit dem Abschluss der Registrierung in der ANWENDUNG erklären Sie sich mit der Verarbeitung personenbezogener Daten und Gesundheitsdaten zum Zweck der Nutzung der ANWENDUNG und zu Beweiszwecken gemäß § 134 Abs. 1 Satz 3 SGB V einverstanden.

4.5. Einlösen eines Freischaltcodes

Wenn Sie von Ihrer Krankenkasse einen DiGA-Aktivierungscode („Digitale Gesundheitsanwendung“) zur Freischaltung der Trainingsfunktionen der ANWENDUNG haben, wird dieser von uns bei der Krankenkasse verifiziert und zur Abrechnung der DiGA verwendet. Dies erfolgt auf Grundlage der DiGAV (Digitale Gesundheitsanwendungsverordnung) §4 (2) zur Überprüfung von Vereinbarungen § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch.

4.6. Nutzung des Inhalts der ANWENDUNG

Wenn Sie die Inhalte der ANWENDUNG nutzen, verarbeiten wir Daten, die für die Bereitstellung der Trainings- und Trainingsbewertungsfunktionen erforderlich sind (z. B. Altersgruppe, Antworten auf Fragen zu Ihren Fortschritten, Fortschrittsdaten in den Übungen, Einwilligung in die Trainingserinnerung, Training). Einstellungen).
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. 6 Abs. 1b DSGVO zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen sowie Art. 6 Abs. f DSGVO zur Wahrung unserer berechtigten Interessen.

4.7. Anfragen per E-Mail

Wenn Sie uns per E-Mail kontaktieren, erhalten Sie immer innerhalb von 24 Stunden eine erste Antwort. Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (z.B. E-Mail-Adresse, Anfrage) wird zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Die Datenverarbeitung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage mit der Erfüllung eines Vertrages zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und/oder auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), da wir ein berechtigtes Interesse haben an der effektiven Bearbeitung der an uns gerichteten Anfragen. Die von Ihnen an uns per Kontaktanfrage übersandten Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere gesetzliche Aufbewahrungsfristen – bleiben unberührt. Wir geben Ihre Daten nicht ohne Ihre Einwilligung weiter.
Zur Datenverarbeitung von E-Mails nutzen wir die Dienste vonhttps://mailbox.org der Heinlein Support GmbH und Zammad der Zammad GmbH. Diese Dienste ermöglichen den Empfang, die Bearbeitung und den Versand von Kundenanfragen sowie die Auswertung der Anfragen und deren Bearbeitung.

Die Datenschutzerklärung von http://mailbox.org finden Sie hier:https://mailbox.org/de/datenschutz

Die Datenschutzerklärung von Zammad finden Sie hier:https://zammad.org/gdpr

4.8. Newsletter-Daten

Wenn Sie den im Rahmen unserer ANWENDUNG angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse sind und mit dem Empfang des Newsletters einverstanden sind Newsletter. Weitere Daten werden nicht erhoben. Diese Daten verwenden wir ausschließlich für den Versand der angeforderten Informationen und geben sie nicht an Dritte weiter.

Der Versand des Newsletters erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) zum Zwecke der bestimmungsgemäßen Nutzung, Benutzerfreundlichkeit und Weiterentwicklung der ANWENDUNG gemäß § 4 Abs. 1 lit. a DSGVO. 2 DiGAV. Sie können diese Einwilligung jederzeit widerrufen.
Für den Versand des Newsletters nutzen wir folgende Dienstleister:
Heinlein Hosting GmbH, Schwedter Straße 8/9A, 10119 Berlin
Die Datenschutzerklärung des Diensteanbieters und seines Produktshttp://mailbox.org finden Sie hier:https://mailbox.org/de/datenschutz

Wir bedienen uns in diesem Zusammenhang auch folgender Dienstleister:
Exoscale SA, Avenue du Tribunal-Fédéral 34, 1005 Lausanne, Schweiz, als Hosting-Provider für die zugrunde liegende Infrastruktur.
Die einschlägigen Nutzungsbedingungen und Datenschutzinformationen von Exoscale finden Sie hier:

https://www.exoscale.com/privacy/

Für unsere Medizinproduktversionen bis einschließlich Version 2.9.9 wurde in Deutschland der folgende Dienstleister für Datenverarbeitung und Verschlüsselung eingesetzt:
IONOS SE, Elgendorfer Str. 57, 56410 Montabaur.
Die Datenschutzerklärung der IONOS SE finden Sie hier:
https://www.ionos.de/terms-gtc/terms-privacy

Ab unserer Medizinproduktversion 3.0.0 entfällt dieser Dienstleister.

Mit unserem Medizinprodukt Version 1.2.2 oder niedriger wird in Deutschland folgender Dienstleister mit Datenverarbeitung und Verschlüsselung eingesetzt:
AWS Europe (Amazon Web Services EMEA SARL), 38 Avenue John F. Kennedy, L-1855 Luxemburg
Die Datenschutzrichtlinie von AWS Europe finden Sie hier:
https://aws.amazon.com/de/compliance/data-privacy

Ab unserer Medizingeräteversion 1.2.3 und den Apple App Store bzw. Google Play Store App-Versionen 1.2.28 oder höher nutzen wir folgenden Dienst: Brevo (Sendinblue, eine vereinfachte Aktiengesellschaft, eingetragen im Pariser Handels- und Gesellschaftsregister unter der Nummer 498 019 298 mit eingetragenem Sitz in 106 boulevard Haussmann 75008 Paris (im Folgenden „Brevo“).
Die Datenschutzrichtlinie von Brevo finden Sie hier:
https://www.brevo.com/legal/privacypolicy/

4.9. Hosting- und Content-Delivery-Netzwerke (CDN)

Die mit dieser ANWENDUNG verbundenen Webdienste werden von einem externen Dienstleister (Hoster) gehostet. Die in dieser ANWENDUNG erfassten personenbezogenen Daten werden auf den Servern des Hosters gespeichert.
Der Einsatz des Hosters erfolgt zum Zweck der Vertragserfüllung mit unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter ( Art. 6 Abs. 1 lit. f DSGVO).
Unser Hoster wird Ihre Daten nur verarbeiten, soweit dies zur Erfüllung seiner Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen.
Um eine datenschutzkonforme Verarbeitung sicherzustellen, haben wir mit unserem Hoster einen Auftragsverarbeitungsvertrag abgeschlossen.
Als Hoster nutzen wir Exoscale SA, Avenue du Tribunal-Fédéral 34, 1005 Lausanne, Schweiz
Die einschlägigen Nutzungsbedingungen und Datenschutzinformationen von Exoscale finden Sie hier:

https://www.exoscale.com/privacy/
Personenbezogene Daten werden verschlüsselt übertragen und in Deutschland gespeichert.

Für unsere Medizinproduktversionen bis einschließlich Version 2.9.9 wurde in Deutschland der folgende Dienstleister für Datenverarbeitung und Verschlüsselung eingesetzt:
IONOS SE, Elgendorfer Str. 57, 56410 Montabaur.
Die Datenschutzerklärung der IONOS SE finden Sie hier:
https://www.ionos.de/terms-gtc/terms-privacy

Ab unserer Medizinproduktversion 3.0.0 entfällt dieser Dienstleister.

Mit unserer Medizingeräteversion 1.2.2 oder niedriger wurde in der ANWENDUNG bisher folgender Anbieter anstelle von IONOS SE verwendet:
AWS Europe (Amazon Web Services EMEA SARL), 38 avenue John F. Kennedy, L-1855 Luxemburg
Die Datenschutzerklärung von AWS Europe finden Sie hier:
https://aws.amazon.com/de/compliance/data-privacy

4.10. Verarbeitung von Daten im Rahmen der Verordnung über digitale Gesundheitsanwendungen (DiGAV)

Wie oben beschrieben, kann im ANTRAG der DiGA-Aktivierungscode eingegeben werden, der im Rahmen einer Verschreibung eines behandelnden Arztes, eines Therapeuten oder einer Genehmigung Ihrer gesetzlichen Krankenkasse erhältlich ist. Wenn Sie die ANWENDUNG auf diesem Weg erhalten, konkretisiert und ergänzt die Verordnung über digitale Gesundheitsanwendungen, kurz DiGAV, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Anforderungen für das Unternehmen des Herstellers und für die DiGA selbst. Die personenbezogenen Daten und Gesundheitsdaten werden ausschließlich zu folgenden Zwecken verarbeitet:
(1) für die bestimmungsgemäße Nutzung der digitalen Gesundheitsanwendung durch den Nutzer,
(2) zum Nachweis positiver Versorgungseffekte im Rahmen einer Prüfung nach § 139e Absatz 4 des Fünften Buches Sozialgesetzbuch,
(3) zum Nachweis von Vereinbarungen nach § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch und
(4) zur dauerhaften Gewährleistung der technischen Funktionalität, Benutzerfreundlichkeit und Weiterentwicklung der digitalen Gesundheitsanwendung.

Der Nachweis von Vereinbarungen nach § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch dient in erster Linie der Abrechnung mit Ihrer Krankenkasse. Zu diesem Zweck wird Ihr Aktivierungscode erfasst und verarbeitet.
Die dauerhafte Gewährleistung der technischen Funktionalität, der Benutzerfreundlichkeit und der Weiterentwicklung der DiGA umfasst die Verarbeitung Ihres Feedbacks zur Verbesserung der App.
Voraussetzung für die rechtmäßige Datenverarbeitung gemäß § 4 Abs. 2 DiGAV ist, dass Sie in die Datenverarbeitung zu den oben genannten Zwecken einwilligen. Die Einwilligung wird bei der Registrierung in der ANWENDUNG erteilt und kann wie oben unter Punkt 2 beschrieben widerrufen werden.

4.11. Angaben zum verschreibenden Arzt und/oder zur Krankenkasse

Abhängig davon, ob Sie über ein Rezept und einen Aktivierungscode verfügen, verarbeiten wir Ihre Daten, zu denen auch Gesundheitsdaten gehören können, auf zwei Arten. Sie werden gebeten, Informationen zum Thema „Wer hat Ihnen NeuroNation MED verschrieben?“ anzugeben. Die im Folgenden beschriebenen Datenverarbeitungen können in Abhängigkeit von Ihrer uns erteilten Einwilligung kombiniert werden. In beiden Fällen sind die Angaben optional. Bitte überspringen Sie diese Angaben, wenn Sie diese Angaben nicht machen möchten.

4.11.1. Angaben zur Krankenkasse im Rahmen der bestimmungsgemäßen Nutzung der NeuroNation MED App

Um Sie dabei zu unterstützen, die App vollständig bestimmungsgemäß und korrekt nutzen zu können (dies dient der Sicherstellung der bestimmungsgemäßen Nutzung der App), fragen wir Sie nach dem Namen des Arztes, der Ihnen NeuroNation MED verschrieben hat. Wir tun dies, weil wir sicherstellen möchten, dass Sie unsere DiGA unter folgenden Voraussetzungen bestimmungsgemäß nutzen können:

• Ihr Arzt hat Ihnen die NeuroNation MED-App verschrieben, d. h. Sie verfügen über ein gültiges Rezept

• Sie haben die App heruntergeladen

• Sie haben ein Benutzerkonto eingerichtet und registriert

Indem Sie auf den Button „Senden“ klicken, erklären Sie sich außerdem damit einverstanden, dass wir Sie per E-Mail darüber informieren, wie Sie mit Ihrer Krankenkasse bezüglich der Aktivierung von NeuroNation MED am besten interagieren. Da Bearbeitungsgeschwindigkeit und -weg je nach Krankenkasse variieren können, unterstützen wir Sie dabei, schnellstmöglich einen Freischaltcode zu erhalten und die App bestimmungsgemäß nutzen zu können. Darüber hinaus erklären Sie sich durch Anklicken des Buttons „Senden“ damit einverstanden, dass NeuroNation MED Sie per E-Mail und Telefon kontaktiert, um Ihnen anzubieten, Sie bei der Aktivierung zu unterstützen. Rechtsgrundlage ist Ihre Einwilligung (Art. 9 Abs. 2 a), 6 Abs. 1 lit. a DSGVO. 1 a) DSGVO, §4, Abs. 2, Nr. 1 DiGAV).

4.11.2. Verbesserung der Benutzerfreundlichkeit: Informationen zu Krankenkasse und Arzt

Zur Weiterentwicklung unserer DiGA fragen wir Sie nach dem verschreibenden Arzt (Vor- und Nachname, PLZ, Ort) und dem Namen Ihrer Krankenkasse. Wir tun dies, weil wir damit etwaige Prozesslücken bei der Aktivierung bereits verordneter DiGAs erkennen und gezielte Maßnahmen ergreifen können, um die Benutzerfreundlichkeit kontinuierlich zu verbessern. Rechtsgrundlage hierfür ist Ihre Einwilligung (Art. 9 Abs. 2 a), 6 Abs. 1 lit. a DSGVO. 1 a) DSGVO, §4, Abs. 2, Nr. 4 DiGAV).

4.12 Anfragen per Telefon

Wenn Sie uns telefonisch kontaktieren, wird Ihr Anliegen inklusive aller daraus hervorgehenden personenbezogenen Daten (z.B. Telefonnummer, Anfragedaten) zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Die Datenverarbeitung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage mit der Erfüllung eines Vertrages zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und/oder auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), da wir ein berechtigtes Interesse haben an der effektiven Bearbeitung der an uns gerichteten Anfragen. Die von Ihnen an uns per Kontaktanfrage übersandten Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere gesetzliche Aufbewahrungsfristen – bleiben unberührt. Wir geben Ihre Daten nicht ohne Ihre Einwilligung weiter.
Zur Datenverarbeitung telefonischer Anfragen nutzen wir die Dienste von sipgate. Dieser Dienst ermöglicht Voice-over-IP-Kommunikation.
Die Datenschutzerklärung von sipgate finden Sie hier:
https://www.sipgate.de/datenschutz

4.13 Nutzung von RED Medical im Rahmen des Rezept‑Workflows

Für bestimmte Funktionen im Zusammenhang mit der Einlösung von Verordnungen und der Kommunikation mit behandelnden Ärzt:innen nutzen wir den Dienst RED Medical (RED Medical Systems GmbH, Marienplatz 3, 80331 München, Deutschland).

Im Rahmen dieses Workflows können folgende personenbezogene Daten und Gesundheitsdaten verarbeitet werden:

• Identifikationsdaten der Patient:innen (z. B. Name, Geburtsdatum, Kontaktdaten),

• Angaben zur verordnenden Arztpraxis (z. B. Name der Praxis, Name der behandelnden Ärztin/des behandelnden Arztes, Kontaktdaten),

• Informationen zur Verordnung von NeuroNation MED (z. B. Datum der Verordnung, ggf. Verordnungskennzeichen),

• technische Metadaten zur Übermittlung (z. B. Zeitpunkt, Status).

Der Dienst RED Medical wird erst ab unserer Medizinproduktversion 3.0.0 genutzt.

Zweck der Verarbeitung
Die Verarbeitung dieser Daten erfolgt ausschließlich zum Zweck der Abwicklung des Rezept‑ und Aktivierungsprozesses sowie zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten im Zusammenhang mit der Nutzung von NeuroNation MED (insbesondere nach § 134 Abs. 1 Satz 3 SGB V und § 4 Abs. 2 DiGAV).

Rechtsgrundlagen
Rechtsgrundlagen sind:

• Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Behandlungs‑/Nutzungsvertrags im Rahmen der DiGA),

• Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Pflichten, insbesondere aus SGB V und DiGAV),

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und nachvollziehbaren Rezept‑Workflow),

• sowie – soweit Gesundheitsdaten betroffen sind – Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit den einschlägigen nationalen Vorschriften bzw. Art. 9 Abs. 2 lit. a DSGVO (Ihre ausdrückliche Einwilligung, soweit erforderlich).

RED Medical wird als Auftragsverarbeiter gemäß Art. 28 DSGVO eingesetzt. Es besteht ein entsprechender Auftragsverarbeitungsvertrag, der insbesondere technische und organisatorische Maßnahmen zum Schutz Ihrer Daten vorsieht.

Weitere Informationen zum Datenschutz bei RED Medical finden Sie unter: https://redmedical.de/zertifiziert-sicher/

4.14 Schnittstellen zu Krankenkassen (Health Insurance Provider API)

Zur Überprüfung und Abrechnung von digitalen Gesundheitsanwendungen (DiGA) sowie zur Unterstützung beim Einlösen von Aktivierungscodes kommunizieren wir mit Krankenkassen über technische Schnittstellen („Health Insurance Provider API“).

Im Rahmen dieser Kommunikation können insbesondere folgende personenbezogene Daten und Gesundheitsdaten verarbeitet und übermittelt werden:

• Identifikationsdaten der Versicherten (z. B. Name, Geburtsdatum, Krankenversicherungsnummer),

• Angaben zur Krankenkasse (z. B. Name der Kasse, Status der Kostenübernahme),

• Angaben zur Verordnung von NeuroNation MED (z. B. Datum und Art der Verordnung, Aktivierungscode),

• Statusinformationen zur Nutzung der DiGA im Rahmen der gesetzlichen Vorgaben (z. B. Beginn/Ende des Nutzungszeitraums).

Zweck der Verarbeitung
Die Verarbeitung dieser Daten ist erforderlich, um:

• die Anspruchsberechtigung und Kostenübernahme der DiGA durch die zuständige Krankenkasse zu prüfen,

• die Abrechnung gemäß § 134 Abs. 1 Satz 3 SGB V vorzunehmen,

• die bestimmungsgemäße Nutzung von NeuroNation MED sicherzustellen.

Rechtsgrundlagen
Rechtsgrundlagen sind insbesondere:

• § 134 Abs. 1 Satz 3 SGB V i. V. m. § 4 Abs. 2 Nr. 1 und Nr. 3 DiGAV,

• Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Vertrages über die Nutzung der DiGA),

• Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Pflichten aus dem Sozialrecht),

• Art. 9 Abs. 2 lit. h DSGVO i. V. m. den einschlägigen sozialrechtlichen Vorschriften (Behandlung, Versorgung, Abrechnung).

Die Kommunikation mit den Krankenkassen erfolgt über technisch und organisatorisch abgesicherte Schnittstellen. Sofern hierfür externe technische Dienstleister (z. B. Hosting‑ oder Integrationsdienstleister) eingesetzt werden, agieren diese ausschließlich als Auftragsverarbeiter nach Art. 28 DSGVO und sind vertraglich streng an unsere Weisungen und an die geltenden Datenschutzanforderungen gebunden.

4.15 Nutzung des Dienstes „Azuma“

Für die technische Umsetzung bestimmter Prozesse im Zusammenhang mit der Nutzung von NeuroNation MED (z. B. Verwaltung von Verordnungen, Aktivierungscodes oder Kommunikationsabläufen) setzen wir den Dienst Azuma als technischen Dienstleister/Auftragsverarbeiter ein.

Je nach Funktionalität können dabei insbesondere folgende Datenkategorien verarbeitet werden:

• Identifikationsdaten der Nutzer:innen (z. B. pseudonymisierte Nutzer‑IDs, E‑Mail‑Adresse),

• Informationen zu Verordnungen und Aktivierungscodes (z. B. Status, Gültigkeitszeitraum),

• technische Metadaten (z. B. Zeitstempel, Protokollinformationen zur Fehleranalyse).

Der Dienst Azuma wird erst ab unserer Medizinproduktversion 3.0.0 genutzt.

Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zur Bereitstellung und Sicherstellung der Funktionalität von NeuroNation MED, insbesondere:

• zur ordnungsgemäßen Verwaltung von Verordnungen und Aktivierungscodes,

• zur technischen Absicherung und Stabilität der Prozesse,

• zur Erfüllung der Anforderungen aus DiGAV und SGB V.

Rechtsgrundlagen
Rechtsgrundlagen sind:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen der DiGA‑Nutzung),

• Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Pflichten),

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und nachvollziehbaren Verordnungs‑ und Aktivierungsprozess),

• sowie – soweit Gesundheitsdaten betroffen sind – Art. 9 Abs. 2 lit. h bzw. lit. a DSGVO.

Azuma wird als Auftragsverarbeiter gemäß Art. 28 DSGVO eingesetzt. Die Verarbeitung erfolgt ausschließlich auf Grundlage unserer Weisungen und im Einklang mit den vereinbarten technischen und organisatorischen Maßnahmen.

4.16 Technische Sicherheitsprüfungen (Google API Integrity Check)

Zur Gewährleistung der Sicherheit und Integrität der NeuroNation MED App setzen wir Sicherheitsfunktionen von Google ein (z. B. Google Play Integrity API oder vergleichbare Dienste). Diese Funktionen helfen uns zu prüfen, ob die App auf einem unveränderten, nicht kompromittierten Gerät läuft und ob die App nicht manipuliert wurde.

Dabei können insbesondere folgende technisch bedingten Daten verarbeitet werden:

• Geräteinformationen (z. B. Betriebssystemversion, Gerätemodell),

• Integritäts‑Token und Prüfsummen,

• IP‑Adresse und technische Metadaten zur Anfrage.

Diese Daten werden ausschließlich zum Zweck der Abwehr von Missbrauch, zur Sicherung der technischen Funktionsfähigkeit und zum Schutz der Vertraulichkeit Ihrer Gesundheitsdaten verarbeitet.

Die beschriebenen Sicherheitsfunktionen von Google (z. B. Google Play Integrity API) werden erst ab unserer Medizinproduktversion 3.0.0 eingesetzt.

Rechtsgrundlagen sind:

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherung und Integrität der DiGA),

• Art. 6 Abs. 1 lit. c DSGVO i. V. m. DiGAV/SGB V, soweit Sicherheitsmaßnahmen gesetzlich gefordert sind.

Eine Nutzung zu Werbe‑ oder Marketingzwecken findet nicht statt. Soweit Google als technischer Dienstleister Zugang zu diesen Daten erhält, erfolgt dies auf der Grundlage eines Auftragsverarbeitungsvertrages bzw. geeigneter Garantien für Datenübermittlungen in Drittländer (z. B. EU‑Standardvertragsklauseln oder EU‑U.S. Data Privacy Framework), wie in der Datenschutzerklärung von Google beschrieben:
https://policies.google.com/privacy

5. Datenanalyse

Wenn Sie unsere ANWENDUNG aufrufen, kann Ihr Nutzungsverhalten zum Nachweis positiver Versorgungseffekte im Rahmen einer Prüfung nach § 139e Abs. 4 SGB V, zum Nachweis von Vereinbarungen nach § 134 Abs. 1 Satz 3 SGB V und zum Nachweis von Vereinbarungen nach § 134 Abs. 1 Satz 3 SGB V herangezogen werden Zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit, Benutzerfreundlichkeit und Weiterentwicklung der DiGA können statistische Auswertungen vorgenommen werden. Beim Einsatz externer Dienstleister (Auftragsverarbeiter) stellen wir durch entsprechende Verträge mit den Dienstleistern sicher, dass die Datenverarbeitung im Einklang mit deutschen und europäischen Datenschutzstandards erfolgt.

5.1 Anwedung von Business Intelligence and ETL services (AWS)

Für die Auswertung und Aufbereitung dieser Daten setzen wir Business‑Intelligence‑ und ETL‑Dienste ein, die auf Infrastruktur von Amazon Web Services (AWS) in der Europäischen Union betrieben werden. Dabei werden die für die jeweiligen Zwecke erforderlichen Nutzungs‑ und Leistungsdaten der DiGA in pseudonymisierter Form verarbeitet (z. B. Nutzer‑IDs ohne Klarnamen, Trainingsfortschritte, Nutzungsdauer, Fragebogenergebnisse).

Zweck der Verarbeitung ist insbesondere:

• der Nachweis positiver Versorgungseffekte nach § 139e Abs. 4 SGB V,

• der Nachweis von Vereinbarungen nach § 134 Abs. 1 Satz 3 SGB V,

• die dauerhafte Sicherstellung der technischen Funktionsfähigkeit, Benutzerfreundlichkeit und Weiterentwicklung der DiGA (§ 4 Abs. 2 Nr. 2 und Nr. 4 DiGAV).

Rechtsgrundlagen sind:

• Art. 6 Abs. 1 lit. b DSGVO (bestimmungsgemäße Nutzung der DiGA),

• Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Anforderungen),

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Qualitätssicherung und Weiterentwicklung),

• sowie – soweit Gesundheitsdaten betroffen sind – Art. 9 Abs. 2 lit. h DSGVO i. V. m. den einschlägigen sozialrechtlichen Vorschriften.

AWS wird ausschließlich als Auftragsverarbeiter nach Art. 28 DSGVO eingesetzt. Es bestehen entsprechende Vereinbarungen, die insbesondere eine Verarbeitung innerhalb der EU, Verschlüsselung, Zugriffsbeschränkungen und weitere technische und organisatorische Maßnahmen vorsehen. Die Datenschutzinformationen von AWS finden Sie unter:
https://aws.amazon.com/de/compliance/data-privacy

6. Löschung von Daten (Löschkonzept)

Die Verarbeitung Ihrer Personen- und Gesundheitsdaten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung bei der Anmeldung zur ANWENDUNG.

Sie können Ihre Einwilligung jederzeit in den App-Einstellungen widerrufen. Wenn Sie Ihre Einwilligung widerrufen, können Sie die Anwendung nicht nutzen. Die Einwilligung behält ihre Rechtsgültigkeit bis auf Widerruf.

Darüber hinaus haben Sie im Rahmen des Rechts auf Löschung und des Rechts auf Vergessenwerden die Möglichkeit, die Löschung Ihrer Daten zu verlangen. Neben dem Bundesdatenschutzgesetz und der Datenschutz-Grundverordnung sowie weiteren Gesetzen (insbesondere der Abgabenordnung (AO), dem Handelsgesetzbuch (HGB) und dem Sozialgesetzbuch (SGB) bestehen für die Synaptikon GmbH Aufbewahrungspflichten verschiedene Arten von Daten und Dokumenten. Grundsätzlich speichern wir alle Daten nur so lange, wie es zur Erfüllung gesetzlicher und vertraglicher Pflichten erforderlich ist. Wir werden die Daten dann umgehend löschen. Konkrete Löschfristen finden Sie in den folgenden Abschnitten.

6.1. Löschung von Benutzerdaten

Die Synaptikon GmbH erhebt und verarbeitet bestimmte Nutzerdaten. Dabei handelt es sich um personenbezogene Daten und Gesundheitsdaten gemäß Art. 6 Abs. 1 lit. f DSGVO. 9 Abs. 1 DSGVO (z.B. E-Mail-Adresse, Ergebnisse von Befragungen, IP-Adresse). Um Ihr Recht auf Löschung und Vergessenwerden auszuüben, melden Sie sich einfach in der ANWENDUNG an. Anschließend können Sie die Löschung Ihres Kontos und Ihrer Daten in Ihrem Profil beantragen. Wenn Sie die Löschung beantragt haben, werden alle personenbezogenen Daten und Gesundheitsdaten, die keiner gesetzlichen Aufbewahrungspflicht unterliegen, unverzüglich gelöscht.

Wenn Sie die Löschung Ihrer Daten nicht proaktiv beantragen, werden alle personenbezogenen Daten, einschließlich Gesundheitsdaten, nach Ablauf Ihres Zugriffs gelöscht. Zu Ihrer Bequemlichkeit können Sie bei der Registrierung eine optionale Einwilligung zum Zugriff auf Ihre Daten für weitere 30 Tage nach dem Ablaufdatum erteilen, um Zeit zu haben, einen neuen Aktivierungscode für Ihr bestehendes Konto einzugeben. Sie können diese optionale Einwilligung jederzeit über die App-Einstellungen widerrufen. Ohne einen neuen Aktivierungscode werden Ihre Daten nach Ablauf dieser verlängerten Frist gelöscht.

6.2. Löschung der Abrechnungsdaten

Aus buchhalterischen Gründen müssen Abrechnungsdaten auch nach Ihrem Löschungsantrag bis zu zehn Jahre aufbewahrt werden. Hierzu sind wir durch das Handelsgesetzbuch, die Abgabenordnung, das Geldwäschegesetz und das Medizinproduktegesetz gesetzlich verpflichtet. Um Ihrem Löschwunsch vollständig nachkommen zu können, werden wir zudem solche Daten, die einer gesetzlichen Aufbewahrungspflicht unterliegen, unmittelbar nach Ihrem Wunsch durch technische Vorkehrungen einschränken und pseudonymisieren, sodass eine Zuordnung der Daten zu Ihrem Nutzerprofil dann nicht mehr möglich ist. Auf diese Weise werden Ihre pseudonymisierten Daten nur für gesetzliche Aufbewahrungszwecke sicher gespeichert.

6.3. App löschen – Deinstallieren

Durch die Deinstallation unserer mobilen Anwendung auf Ihrem Mobiltelefon wird nur die Anwendung selbst gelöscht, nicht jedoch die bis zu diesem Zeitpunkt gespeicherten Daten. Um Ihre Daten zu löschen, gehen Sie bitte wie in Abschnitt 6 beschrieben vor.