Datenschutzrichtlinie

Datenschutzerklärung (Website) von Oncare

Willkommen auf unserer Website und vielen Dank für Ihr Interesse an unserem Unternehmen. Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir verarbeiten Ihre Daten unter Beachtung der geltenden gesetzlichen Bestimmungen zum Schutz personenbezogener Daten, insbesondere der Datenschutz-Grundverordnung der EU (DSGVO) und der für uns geltenden länderspezifischen Gesetze. Mit Hilfe dieser Datenschutzerklärung informieren wir Sie umfassend über die Verarbeitung Ihrer personenbezogenen Daten durch die ONCARE GmbH (nachfolgend "Oncare" genannt) bei der Nutzung unserer Website und die Ihnen zustehenden Rechte.

Personenbezogene Daten sind alle Informationen, die es ermöglichen, eine natürliche Person zu identifizieren. Dazu gehören insbesondere Ihr Name, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse und IP-Adresse. Daten gelten als anonym, wenn kein persönlicher Bezug zur Person/zum Benutzer hergestellt werden kann.

Verantwortlicher für die Datenverarbeitung

Postanschrift: Balanstrasse 71a, 81541 München
E | service@myoncare.com

Kontaktdaten des Datenschutzbeauftragten
privacy@myoncare.com

Zuletzt aktualisiert am 25. April 2023.

Ihre Rechte als betroffene Person

Zunächst möchten wir Sie über Ihre Rechte als Betroffene informieren. Diese Rechte sind in den Artikeln 15 – 22 DSGVO festgelegt und umfassen:

  • Das Recht auf Auskunft (Art. 15 DSGVO),
  • Das Recht auf Berichtigung (Art. 16 DSGVO),
  • Das Recht auf Löschung / Recht auf Vergessen (Art. 17 DSGVO),
  • Das Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO),
  • Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  • Das Recht, der Datenverarbeitung zu widersprechen (Art. 21 DSGVO).

Um diese Rechte auszuüben, wenden Sie sich bitte an: privacy@myoncare.com. Gleiches gilt, wenn Sie Fragen zur Datenverarbeitung in unserem Unternehmen haben oder wenn Sie Ihre Einwilligung widerrufen. Sie haben auch das Recht, sich an die zuständige Datenschutzaufsichtsbehörde zu wenden.

Widerspruchsrecht

Bitte beachten Sie die folgenden Punkte in Bezug auf Ihr Widerspruchsrecht:
Wenn wir Ihre personenbezogenen Daten zum Zwecke des Direktmarketings verarbeiten, haben Sie das Recht, dieser Datenverarbeitung jederzeit ohne Angabe von Gründen zu widersprechen. Dies gilt auch für die Profilerstellung, soweit sie mit Direktmarketing verbunden ist.
Wenn Sie der Verarbeitung für das Direktmarketing widersprechen, werden wir Ihre personenbezogenen Daten für diese Zwecke nicht mehr verarbeiten. Der Widerspruch ist kostenlos und kann informell unter folgender Adresse erfolgen: privacy@myoncare.com.
Sollten wir Ihre Daten zum Schutz berechtigter Interessen verarbeiten, können Sie dieser Verarbeitung aus Gründen, die sich aus Ihrer spezifischen Situation ergeben, jederzeit widersprechen; dies gilt auch für die Profilerstellung auf der Grundlage dieser Bestimmungen.
Wir werden dann die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können zwingende legitime Gründe für die Verarbeitung solcher Daten nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Durchsetzung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zweck und Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt in Übereinstimmung mit den Bestimmungen der DSGVO und allen anderen geltenden Datenschutzbestimmungen. Rechtliche Grundlagen für die Datenverarbeitung ergeben sich insbesondere aus Art. 6 DSGVO.
Wir verwenden Ihre Daten zur Geschäftsanbahnung, zur Erfüllung vertraglicher und rechtlicher Verpflichtungen, zur Durchführung des Vertragsverhältnisses, zum Anbieten von Produkten und Dienstleistungen und zur Festigung von Kundenbeziehungen, einschließlich Marketing und Direktmarketing.
Ihre Zustimmung gilt auch als Erlaubnis zur Datenverarbeitung nach dem Datenschutzgesetz. In diesem Zusammenhang werden wir Sie über den Zweck der Datenverarbeitung und das Recht zum Widerruf Ihrer Einwilligung informieren. Betrifft die Einwilligung auch die Verarbeitung bestimmter Kategorien von personenbezogenen Daten, werden wir Sie im Rahmen des Einwilligungsverfahrens ausdrücklich darauf hinweisen.
Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 9 (1) DSGVO darf nur dann stattfinden, wenn dies aufgrund gesetzlicher Bestimmungen erforderlich ist, und kein Grund zu der Annahmen besteht, dass Ihre berechtigten Interessen überwiegen, so dass eine Verarbeitung dieser Daten ausgeschlossen ist, oder Sie Ihre Einwilligung zur Verarbeitung dieser Daten nach Art. 9 (2) DSGVO erteilt haben.
Google Dienste können im Rahmen der Verarbeitung zu den genannten Zwecken Daten in Länder außerhalb der EU/des EWR (Drittlanddatenübermittlung) übertragen, z.B. in die USA. Länder außerhalb des Europäischen Wirtschaftsraumes bieten ggf. nicht ein dem europäischen Datenschutz vergleichbares Schutzniveau. Solche Länder, für die die Kommission nicht ausdrücklich festgestellt hat, dass sie ein angemessenes Schutzniveau im Hinblick auf den Datenschutz bieten, werden als "unsichere Drittländer" bezeichnet. Es besteht daher ein erhöhtes Risiko, dass staatliche Behörden auf diese Daten zugreifen können. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss.

Datenübermittlung / Weitergabe an Dritte

Wir werden Ihre Daten nur im Rahmen der gesetzlichen Bestimmungen oder aufgrund einer Einwilligung an Dritte weitergeben. In allen anderen Fällen erfolgt keine Weitergabe an Dritte, es sei denn, wir sind aufgrund zwingender gesetzlicher Vorschriften dazu verpflichtet (Offenlegung an externe Stellen, einschließlich der Aufsichtsbehörden oder Strafverfolgungsbehörden).

Datenempfänger / Kategorien von Empfängern

In unserer Organisation stellen wir sicher, dass nur Personen, die zur Erfüllung ihrer vertraglichen und gesetzlichen Verpflichtungen zur Verarbeitung der relevanten Daten verpflichtet sind, zum Umgang mit personenbezogenen Daten befugt sind.
In vielen Fällen unterstützen Dienstleister unsere Fachabteilungen bei der Erfüllung ihrer Aufgaben. Mit allen Dienstleistern wurden die erforderlichen Datenschutzverträge abgeschlossen.

Drittlandübermittlung/ Drittlandübermittlungsabsicht

Eine Übermittlung von Daten in Drittländer (außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums) erfolgt nur, wenn dies gesetzlich vorgeschrieben ist oder wenn Sie Ihre Zustimmung zu einer solchen Übermittlung erteilt haben.
Wir übermitteln Ihre personenbezogenen Daten wie folgt an Dienstleister oder Konzernunternehmen außerhalb des Europäischen Wirtschaftsraums: Vereinigte Staaten von Amerika.
In solchen Fällen wird die Einhaltung des erforderlichen Datenschutzniveaus durch EU-Standardvertragsklauseln und die verbindlichen betrieblichen Datenschutzbestimmungen des Dienstleisters gemäß den festgelegten Datenschutzverträgen sichergestellt.

Zeitraum der Datenspeicherung

Wir speichern Ihre Daten so lange, wie es für die jeweilige Verarbeitung erforderlich ist. Bitte beachten Sie, dass zahlreiche Aufbewahrungsfristen die Aufbewahrung von Daten für einen bestimmten Zeitraum erfordern. Dies betrifft insbesondere Aufbewahrungspflichten für gewerbliche oder steuerliche Zwecke (z.B. Handelsgesetzbuch, Steuerkennzeichen, etc.). Die Daten werden nach der Nutzung routinemäßig gelöscht, es sei denn, es ist eine weitere Aufbewahrungsfrist erforderlich.
Wir können Daten auch speichern, wenn Sie uns Ihre Einwilligung dazu erteilt haben, oder im Falle von Rechtsstreitigkeiten und wir verwenden die Beweise innerhalb der gesetzlichen Verjährungsfrist, die bis zu 30 Jahre betragen kann; die übliche Verjährungsfrist beträgt 3 Jahre.

Sichere Übertagung von Daten

Wir setzen angemessene technische und organisatorische Sicherheitsmaßnahmen ein, um die bei uns gespeicherten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen optimal zu schützen. Die Sicherheitsstufen werden in Zusammenarbeit mit Sicherheitsexperten kontinuierlich überprüft und an neue Sicherheitsstandards angepasst.
Der Datenaustausch zu und von unserer Website erfolgt verschlüsselt. Wir stellen https als Übertragungsprotokoll für unsere Website zur Verfügung und verwenden immer die aktuellen Verschlüsselungsprotokolle. Wenn Sie das Kontaktformular auf unserer Website verwenden, um mit uns in Kontakt zu treten, wird der Inhalt über https an einen sicheren Server von Site Ground gesendet, wo die Daten des Formulars in einer verschlüsselten Datenbank gespeichert werden. Die Mitarbeiter von Site Ground haben keinen direkten Zugriff auf diese Daten. Generell ist es auch möglich, alternative Kommunikationskanäle zu nutzen.

Verpflichtung zur Datenübermittlung

Für die Begründung, Durchführung und Beendigung der Verpflichtung und die Erfüllung der jeweiligen vertraglichen und gesetzlichen Verpflichtungen ist eine Reihe von personenbezogenen Daten erforderlich. Gleiches gilt für die Nutzung unserer Website und die verschiedenen von uns angebotenen Funktionen.
Wir haben die relevanten Details im obigen Punkt zusammengefasst. In einigen Fällen verlangen die gesetzlichen Bestimmungen, dass Daten erhoben oder zur Verfügung gestellt werden. Bitte beachten Sie, dass es ohne diese Informationen nicht möglich sein wird, Ihre Anfrage zu bearbeiten oder die zugrunde liegende vertragliche Verpflichtung zu erfüllen.

Datenkategorien, Datenquellen und Herkunft der Daten

Die von uns verarbeiteten Daten sind durch den jeweiligen Kontext definiert: Sie hängen davon ab, ob Sie z.B. eine Anfrage in unser Kontaktformular eingeben oder ob Sie uns eine Bewerbung senden oder eine Beschwerde einreichen möchten.
Bitte beachten Sie, dass wir gegebenenfalls auch an bestimmten Stellen für bestimmte Verarbeitungssituationen gesondert Auskunft geben können, z.B. beim Herunterladen unseres Flyers oder bei einer Kontaktanfrage.

Wenn Sie unsere Website besuchen, erheben und verarbeiten wir die folgenden Daten:

  • Ihre IP-Adresse, die sofort gekürzt wird, indem die letzten zwei Ziffern entfernt werden.
  • Die URL und der Titel der Ihnen angezeigten Seite.
  • Der von Ihnen verwendete Browser (Name).
  • Ansichtsfenster oder Ansichtsbereich (die Größe des Browser-Fensters).
  • Ihre Bildschirmauflösung.
  • Ob Sie Java aktiviert haben oder nicht.
  • Die in Ihrem Browser aktivierte Sprache.

Aus Gründen der technischen Sicherheit (insbesondere zum Schutz vor Angriffen auf unseren Webserver) werden diese Daten gemäß § 6 Abs. 1 S. 1 lit. f DSGVO gespeichert. Die Anonymisierung erfolgt sofort durch Abkürzung der IP-Adresse, so dass kein Bezug zum Nutzer hergestellt wird.

Webflow

Anbieter ist die Webflow, Inc., 398 11th Street, 2nd Floor, San Francisco, CA 94103, USA (nachfolgend Webflow). Wenn Sie unsere Website besuchen, erfasst Webflow verschiedene Logfiles inklusive Ihrer IP-Adressen. Webflow ist ein Tool zum Erstellen und zum Hosten von Websites. Webflow speichert Cookies oder sonstige Wiedererkennungstechnologien, die für die Darstellung der Seite, zur Bereitstellung bestimmter Webseitenfunktionen und zur Gewährleistung der Sicherheit erforderlich sind (notwendige Cookies).
Details entnehmen Sie der Datenschutzerklärung von Webflow: https://webflow.com/legal/eu-privacy-policy.

Die Verwendung von Webflow erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unserer Website. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art.6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TTDSG umfasst. Die Einwilligung ist jederzeit widerrufbar.
Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt.
Details finden Sie hier: https://webflow.com/legal/eu-privacy-policy

SendGrid

Wir verwenden Sendgrid für den Versand von E-Mails. Der Anbieter ist Sendgrid Inc. mit Sitz in 1801 California Street Suite 500, Denver, CO 80202, USA. Sendgrid ist ein Dienst, mit dem der Versand von E-Mails organisiert werden kann. Sendgrid wird verwendet, um Bestätigungs-E-Mails, Transaktionsbestätigungen und E-Mails mit wichtigen Informationen in Bezug auf Anfragen zu versenden. Die Daten, die Sie zum Zweck des Empfangs von E-Mails eingeben, werden auf den Servern von Sendgrid gespeichert. Wenn wir in Ihrem Namen E-Mails über SendGrid versenden, verwenden wir eine SSL-gesicherte Verbindung. Bei allen Services, die E-Mail-Kommunikation erfordern, wird die Kommunikation direkt von SendGrid empfangen und anschließend werden die Inhalte an unsere Server weitergeleitet.
Zu Analysezwecken enthalten die mit SendGrid verschickten E-Mails ein sogenanntes „Tracking-Pixel“, das sich beim Öffnen der E-Mail mit den Servern von Sendgrid verbindet. Auf diese Weise kann festgestellt werden, ob eine E-Mail-Nachricht geöffnet worden ist.


Rechtsgrundlage
Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung können Sie jederzeit widerrufen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.


Speicherdauer
Die Daten, die Sie uns für den Empfang von E-Mails zur Verfügung stellen, werden von uns bis zur Abmeldung von unseren Diensten gespeichert und nach der Abmeldung sowohl von unseren Servern als auch von den Servern von Sendgrid gelöscht.
Bitte beachten Sie, dass Ihre Daten von uns in der Regel an einen SendGrid-Server in den USA übermittelt und dort gespeichert werden. Wir haben mit Sendgrid einen Vertrag abgeschlossen, der die EU-Standardvertragsklauseln enthält. Damit ist sichergestellt, dass ein mit der EU vergleichbares Schutzniveau besteht.
SendGrid (Privacy Policy): https://sendgrid.com/resource/general-data-protection-regulation-2/

Google Fonts

Auf unserer Website nutzen wir Google Fonts der Firma Google Inc. Für den europäischen Raum ist das Unternehmen Google Ireland Limited (Gordon House, Barrow Street Dublin 4, Irland) verantwortlich. Wir haben die Google-Schriftarten lokal, d.h. auf unserem Webserver – nicht auf den Servern von Google – eingebunden. Dadurch gibt es keine Verbindung zu Google-Servern und somit auch keine Datenübertragung oder Speicherung. Dabei handelt es sich um ein interaktives Verzeichnis mit über 800 Schriftarten, die Google kostenlos bereitstellt. Doch um diesbezüglich jede Informationsübertragung zu Google-Servern zu unterbinden, haben wir die Schriftarten auf unseren Server heruntergeladen. Auf diese Weise handeln wir datenschutzkonform und senden keine Daten an Google Fonts weiter.

Cookiebot

Wir nutzen der Zustimmungsverwaltungsdienst Cookiebot, der Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark (Usercentrics). Dies ermöglicht uns die Einwilligung der Websitenutzer zur Datenverarbeitung einzuholen und zu verwalten. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (Art. 7 Abs. 1 DSGVO), der wir unterliegen (Art. 6 Abs. 1 S. 1 lit. c DSGVO). Dafür werden mit Hilfe von Cookies folgende Daten verarbeitet:

  • Ihre IP-Adresse (die letzten drei Ziffern werden auf ‚0' gesetzt).
  • Datum und Uhrzeit der Zustimmung.
  • Browserinformationen.
  • URL, von der die Zustimmung gesendet wurde.
  • Ein anonymer, zufälliger und verschlüsselter Schlüssel.
  • Ihr Einwilligungsstatus des Endnutzers, als Nachweis der Zustimmung.

Der Schlüssel und Zustimmungsstatus werden für 12 Monate im Browser mit Hilfe des Cookies „CookieConsent“ gespeichert. Damit bleibt Ihre Cookie-Präferenz für nachfolgende Seitenanfragen erhalten. Mit Hilfe des Schlüssels kann ihre Zustimmung nachgewiesen und nachvollzogen werden.
Die Funktionsfähigkeit der Website ist ohne die Verarbeitung nicht gewährleistet.
Wenn Sie die Service-Funktion „Sammelzustimmung" aktivieren, um die Zustimmung für mehrere Webseiten durch eine einzige Endnutzerzustimmung zu aktivieren, speichert der Dienst zusätzlich eine separate, zufällige, eindeutige ID mit Ihrer Zustimmung. Wenn alle folgenden Kriterien erfüllt sind, wird dieser Schlüssel im Cookie des Drittanbieters „CookieConsentBulkTicket" in Ihrem Browser in verschlüsselter Form gespeichert: Sie aktivieren die Sammelzustimmungsfunktion in der Dienstkonfiguration. Sie lassen Cookies von Drittanbietern über Browsereinstellungen zu. Sie haben „Nicht verfolgen" über die Browsereinstellungen deaktiviert. Sie akzeptieren alle oder wenigstens bestimmte Arten von Cookies, wenn Sie die Zustimmung erteilen.
Usercentrics ist Empfänger Ihrer personenbezogenen Daten und als Auftragsverarbeiter für uns tätig.
Die Verarbeitung findet in der Europäischen Union statt. Weitere Informationen zu Widerspruchs- und Beseitigungsmöglichkeiten gegenüber Usercentrics finden Sie unter: https://www.cookiebot.com/de/privacy-policy/
Ihre personenbezogenen Daten werden fortlaufend nach 12 Monaten oder unmittelbar nach der Kündigung des Vertrages zwischen uns und Usercentrics gelöscht.
Bitte beachten Sie unsere generellen Ausführungen über die Löschung und Deaktivierung von Cookies oben.

Kontaktformular / Kontakt per E-Mail (Artikel 6 (1) S. 1 lit a, b DSGVO)

Im Rahmen einer Kontaktanfrage erheben und verarbeiten wir die folgenden Daten:

  • Name und Anrede
  • E-Mail-Adresse
  • Art Ihrer Anfrage
  • Informationen über Wünsche und Interessen (Ihre Nachricht)
  • Unternehmen / Organisation

Auf unserer Website steht Ihnen ein Kontaktformular zur Verfügung, mit dem Sie uns elektronisch kontaktieren können. Wenn Sie uns über das Kontaktformular schreiben, verarbeiten wir die von Ihnen im Kontaktformular angegebenen Daten, um Ihre Fragen und Wünsche zu beantworten.
Dabei respektieren wir den Grundsatz der Datenminimierung und -vermeidung, so dass Sie nur die Informationen angeben müssen, die wir für die Kontaktaufnahme mit Ihnen benötigen, nämlich Ihren Namen und Anrede, E-Mail-Adresse und die Art Ihrer Anfrage. Ihre IP-Adresse wird auch aus technischen Gründen und aus Gründen des Rechtsschutzes verarbeitet (und sofort gekürzt). Alle anderen Angaben sind freiwillig, und zusätzliche Felder sind optional (z.B. für eine ausführlichere Beantwortung Ihrer Fragen).
Wenn Sie uns per E-Mail kontaktieren, werden wir die in der E-Mail angegebenen personenbezogenen Daten ausschließlich zum Zwecke der Bearbeitung Ihrer Anfrage verarbeiten.

Bewerbungen

Im Rahmen von Bewerbungen erheben und verarbeiten wir folgende Daten:

  • Nachname, Vorname (eventuell: Titel)
  • Adresse
  • Kontaktdaten (Telefonnummer, E-Mail Adresse)
  • Ggf. Kontaktdaten in elektronischen Kommunikationslösungen (z.B. Skye, MS Teams), die Sie uns übermitteln
  • Qualifikationsdaten (Lebenslauf, berufliche Qualifikationen, Arbeitserfahrung)
  • Zudem nutzen wir Daten, die wir aus öffentlich zugänglichen Verzeichnissen (z.B. beruflichen Netzwerken) zulässigerweise gewonnen haben.

Wir freuen uns über Ihr Interesse an einer Tätigkeit bei der Oncare GmbH. Wir sind uns der Bedeutung Ihrer Daten bewusst und verarbeiten die von Ihnen im Rahmen der Bewerbung angegebenen personenbezogenen Daten nur zum Zwecke der effektiven und korrekten Abwicklung des Bewerbungsverfahrens und für die Kontaktaufnahmen im Rahmen des Bewerbungsprozesses. Es erfolgt keine Weitergabe der Daten an Dritte ohne Ihre Einwilligung.
Im Rahmen des Bewerbungsverfahrens werden Sie um die Angabe persönlicher Daten gebeten. Hierbei beachten wir den Grundsatz der Datensparsamkeit und Datenvermeidung, indem Sie uns nur die Daten angeben müssen, die wir zur vollständigen Prüfung Ihrer Bewerbungsunterlagen benötigen wie z.B. Ihren Lebenslauf oder zu deren Erhebung wir gesetzlich verpflichtet sind.
Um die Sicherheit und Vertraulichkeit Ihrer Daten bestmöglich zu schützen, setzen wir entsprechende Sicherheitsmaßnahmen um. Zusätzlich empfehlen wir Ihnen uns Ihre Bewerbungsunterlagen in „gezippter" Form (z.B. 7z oder .zip) mit Passwortschutz per E-Mail zuzuschicken. Bitte teilen Sie uns anschließend das Passwort telefonisch mit. Alternativ können Sie uns Ihre Bewerbungsunterlagen auch postalisch zukommen lassen. Wir speichern Ihre Daten zu den oben genannten Zwecken, bis das Bewerbungsverfahren abgeschlossen ist und diesbezügliche Fristen abgelaufen sind – spätestens sechs Monate nach Erhalt eines Entscheides.
Für den Fall, dass Ihre Bewerbung leider nicht erfolgreich war, werden Ihre Daten von uns im Einklang mit den gesetzlichen Vorschriften innerhalb von sechs Monaten nach erfolgter Absage gelöscht. Wenn Ihre Bewerbung erfolgreich war, werden Ihre Bewerbungsunterlagen in die Personalakte mit aufgenommen und erst nach Ihrem Ausscheiden aus dem Unternehmen und dem Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht.

Bei der Durchführung des Bewerbungsprozesses werden wir von unserem Dienstleister JOIN Solutions GmbH unterstützt. Hierzu verwenden wir ein Widget des Anbieters JOIN, Schönhauser Allee 36, 10435 Berlin, Deutschland (im Folgenden „Join"). Wenn Sie sich auf eine Stellenausschreibung bewerben, werden Ihre Bewerbungsdaten von Join in unserem Auftrag weisungsabhängig verarbeitet. Wir haben mit Join die erforderliche datenschutzrechtliche Vereinbarung zur Datenverarbeitung im Auftrag abgeschlossen, in welcher Join verpflichtet ist, die Daten im Einklang mit den Grundsätzen der DSGVO und ausschließlich weisungsabhängig zu verarbeiten.
Join-Widget: Zur Anzeige von aktuellen Stellenangeboten nutzen wir ein Widget von Join. Durch das Join-Widget werden Cookies gesetzt. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Automatisierte Entscheidungen im Einzelfall

Wir verwenden keine rein automatisierte Verarbeitung, um Entscheidungen zu treffen.

Cookies

Unsere Website verwendet an verschiedenen Stellen so genannte „Cookies", die dazu dienen, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert (lokal auf Ihrer Festplatte). Cookies ermöglichen es uns, die Nutzung unserer Websites durch die Nutzer zu analysieren und die Inhalte der Website entsprechend den Bedürfnissen der Besucher zu gestalten. Cookies ermöglichen es uns auch, die Wirksamkeit einer bestimmten Werbung zu messen und sie beispielsweise auf der Grundlage der Interessen des Benutzers zu platzieren.
Wenn Sie unsere Website zum ersten Mal besuchen, öffnet sich ein Pop-up (CookiePro), von dem aus Sie Ihre Zustimmung zur Verwendung von Kategorien von Cookies geben können, die im Folgenden sowie im CookiePro-Pop-up selbst beschrieben werden.
Die folgenden Kategorien von Cookies werden auf unserer Website verwendet:

  • Notwendige Cookies: Diese Cookies sind für das Funktionieren der Website notwendig und können in unseren Systemen nicht abgeschaltet werden. Zu diesen Cookies gehören z.B. diejenigen, die von CookiePro (OneTrust) verwendet werden, um Cookies in Abhängigkeit mit Ihrer Zustimmung zu verwalten. Sie können Ihren Browser so einstellen, dass er diese Cookies blockiert oder Sie vor diesen Cookies warnt, aber einige Teile der Website werden dann nicht funktionieren. Diese Cookies speichern keine persönlich identifizierbaren Informationen.
  • Leistungs-Cookies: Diese Cookies ermöglichen es uns, Besuche und Traffic-Quellen zu zählen, damit wir die Leistung unserer Website messen und verbessern können. Sie helfen uns zu wissen, welche Seiten am meisten und welche am wenigsten beliebt sind, und zu sehen, wie sich die Besucher auf der Website bewegen. Alle Informationen, die diese Cookies sammeln, sind aggregiert und daher anonym. Wenn Sie diese Cookies nicht zulassen, wissen wir nicht, wann Sie unsere Website besucht haben und können ihre Leistung nicht überwachen.
  • Targeting-Cookies: Diese Cookies können über unsere Website von unseren Werbepartnern gesetzt werden. Sie können von diesen Unternehmen verwendet werden, um ein Profil Ihrer Interessen zu erstellen und Ihnen relevante Werbung auf anderen Websites anzuzeigen. Sie speichern keine direkten persönlichen Informationen, sondern basieren auf der eindeutigen Identifizierung Ihres Browsers und Internetgeräts. Wenn Sie diese Cookies nicht zulassen, werden Sie weniger zielgerichtete Werbung erhalten.

Die meisten der von uns verwendeten Cookies sind „Session-Cookies", die nach Ihrem Besuch automatisch gelöscht werden. Persistente Cookies werden automatisch von Ihrem Computer gelöscht, wenn ihre Gültigkeitsdauer (maximal 14 Monate) abgelaufen ist oder Sie sie vor Ablauf selbst löschen.
Um Ihre Einwilligung zur Verwendung von Cookies zu widerrufen (mit Ausnahme von unbedingt notwendigen Cookies, die immer aktiviert sind), können Sie in der Fußzeile der Website navigieren und im CookiePro-Pop-up über den Link „Cookies Einstellungen" Kategorien von Cookies deaktivieren.
Cookies werden auf dem Computer des Benutzers gespeichert, der sie dann an uns übermittelt. Als Nutzer haben Sie daher die volle Kontrolle über die Verwendung von Cookies. Sie können die Einstellungen in Ihrem Internetbrowser so ändern, dass das Senden von Cookies deaktiviert oder eingeschränkt wird. Darüber hinaus können bereits auf Ihrem Computer gespeicherte Cookies jederzeit über einen Internetbrowser oder andere Softwareprogramme gelöscht werden. All dies ist in allen gängigen Internetbrowsern möglich.
Bitte beachten Sie: Wenn Sie das Setzen von Cookies auf Ihrem Gerät deaktivieren, können Sie unter Umständen nicht auf alle Funktionen unserer Website zugreifen.

Web-Tracking (Artikel 6 (1) S.1 lit. a DSGVO)


Matomo
Dabei handelt es sich um ein Open-Source-Web-Analyse-Tool. Matomo (bereitgestellt von InnoCraft Ltd., Neuseeland) überträgt keine Daten an Server außerhalb der Kontrolle von ONCARE. Matomo ist anfänglich deaktiviert, wenn Sie unsere Dienste nutzen. Nur wenn Sie zustimmen wird Ihr Nutzerverhalten anonymisiert aufgezeichnet. Bei Deaktivierung wird ein „permanenter Cookie" gespeichert, sofern Ihre Browsereinstellungen dies zulassen. Dieses Cookie signalisiert Matomo, dass Ihr Browser nicht erfasst werden soll.
Die durch den Cookie gesammelten Informationen über die Nutzung werden an unsere Server übertragen und dort gespeichert, damit wir das Nutzerverhalten analysieren können.
Die durch den Cookie erzeugten Informationen, werden nicht an Dritte weitergegeben. Sie können die Verwendung von Cookies ablehnen, indem Sie die entsprechenden Einstellungen in Ihrem Browser vornehmen. Bitte beachten Sie jedoch, dass Sie in diesem Fall möglicherweise nicht alle Funktionen nutzen können. Weitere Informationen finden Sie unter: https://matomo.org/privacy-policy/. Die Verarbeitung der personenbezogenen Daten der Nutzer ermöglicht es uns, das Nutzungsverhalten zu analysieren. Durch die Auswertung der gewonnenen Daten sind wir in der Lage, Informationen über die Nutzung der einzelnen Komponenten unserer Dienste zusammenzustellen. Das hilft uns, unsere Dienste und deren Benutzerfreundlichkeit kontinuierlich zu verbessern.
Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie dies für die Erfüllung des vorgesehenen Zwecks erforderlich ist.


Google Analytics
Aufgrund Ihrer Zustimmung (Art. 6 (1) S. 1 lit. a DSGVO) verwenden wir Google Analytics, einen Webanalysedienst der Google LLC („Google"). Google verwendet Cookies. Die durch das Cookie erzeugten Informationen über die Benutzung der Website durch den Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Google wird diese Informationen in unserem Auftrag nutzen, um die Nutzung unseres Online-Angebots durch die Nutzer auszuwerten, Berichte über die Aktivitäten innerhalb dieses Online-Angebots zu erstellen und um weitere mit der Nutzung dieses Online-Angebots und der Nutzung des Internets verbundene Dienstleistungen für uns zu erbringen. Die verarbeiteten Daten können zur Erstellung von pseudonymisierten Nutzungsprofilen der Nutzer verwendet werden.
Wir verwenden Google Analytics nur mit aktivierter IP-Anonymisierung. Das bedeutet, dass die IP-Adresse von Nutzern innerhalb der Mitgliedsstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum von Google gekürzt wird. Nur in Ausnahmefällen wird die vollständige IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.
Die vom Browser des Nutzers übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Nutzer können die Speicherung von Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern; ebenso kann der Nutzer die Erfassung der durch das Cookie erzeugten Daten, die im Zusammenhang mit seiner Nutzung des Online-Angebots an Google stehen, und die Verarbeitung dieser Daten durch Google, wie oben im Abschnitt ‚Cookies' beschrieben, verhindern.
Weitere Informationen zur Datennutzung durch Google, Einstellungs- und Widerspruchsoptionen, finden Sie in den Datenschutzbestimmungen von Google und in den Einstellungen für die Anzeige von Werbung durch Google.
Die persönlichen Daten der Nutzer werden nach 12 Monaten gelöscht oder anonymisiert.


YouTube-Plugin
Unsere Webseite nutzt Plugins der von Google betriebenen Seite YouTube. Betreiber der Seiten ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA. Wenn Sie eine unserer mit einem YouTube-Plugin ausgestatteten Seiten besuchen, wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei wird dem YouTube-Server mitgeteilt, welche unserer Seiten Sie besucht haben. Wenn Sie in Ihrem YouTube-Account eingeloggt sind ermöglichen Sie YouTube, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem YouTube-Account ausloggen. Weitere Informationen zum Umgang von Nutzerdaten finden Sie in der Datenschutzerklärung von YouTube unter: https://www.google.de/intl/de/policies/privacy.


LinkedIn Insight Tag
Unsere Website verwendet das Conversion Tool „LinkedIn Insight Tag" der LinkedIn Ireland Unlimited Company. Dieses Tool erstellt ein Cookie in Ihrem Webbrowser, welches die Erfassung u. a. folgender Daten ermöglicht: IP-Adresse, Geräte- und Browsereigenschaften und Seitenereignisse (z. B. Seitenabrufe). LinkedIn selbst erfasst außerdem sogenannte Logfiles (URL, Referrer-URL, IP-Adresse, Geräte- und Browsereigenschaften und Zeitpunkt des Zugriffs). Die IP-Adressen werden gekürzt oder (sofern sie genutzt werden, um LinkedIn-Mitglieder geräteübergreifend zu erreichen) pseudonymisiert. Die direkten Kennungen der LinkedIn-Mitglieder werden nach sieben Tagen von LinkedIn gelöscht. Die verbleibenden pseudonymisierten Daten werden dann innerhalb von 180 Tagen gelöscht. Die von LinkedIn erhobenen Daten können von uns als Websitebetreiber nicht bestimmten Einzelpersonen zugeordnet werden. LinkedIn wird die erfassten personenbezogenen Daten der Websitebesucher auf seinen Servern in den USA speichern und sie im Rahmen eigener Werbemaßnahmen nutzen. Nähere Informationen zum Datenschutz bei LinkedIn können Sie den LinkedIn Datenschutzhinweisen entnehmen.
Die Nutzung von LinkedIn Insight erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Datenschutzerklärung / Hinweise zum Datenschutz in den Sozialen Medien

Die Oncare GmbH unterhält Auftritte in den „Sozialen Medien", vorliegend bei Xing und LinkedIn. Soweit wir die Kontrolle über die Verarbeitung Ihrer Daten haben, stellen wir sicher, dass die geltenden Datenschutzbestimmungen eingehalten werden. Nachfolgend finden Sie in Bezug auf unsere Auftritte die wichtigsten Informationen zum Datenschutzrecht.

Name und Anschrift der für den Betrieb Verantwortlichen
Verantwortlich für die Unternehmensauftritte im Sinne der EU Datenschutz-Grundverordnung (EU-DS-GVO) sowie sonstiger datenschutzrechtlicher Bestimmungen ist neben der Oncare GmbH die
LinkedIn (LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland)
Xing (New Work SE, Dammtorstraße 30, 20354 Hamburg, Deutschland)
Diese Plattformen und ihre Funktionen nutzen Sie jedoch in eigener Verantwortung. Dies gilt insbesondere für die Nutzung der interaktiven Funktionen (z.B. Kommentieren, Teilen, Bewerten). Wir weisen Sie weiterhin darauf hin, dass dabei Ihre Daten außerhalb des Raumes der Europäischen Union verarbeitet werden können.

Zweck und Rechtsgrundlage
Wir selbst unterhalten die Social Media Seiten, um mit den Besuchern dieser Seiten zu kommunizieren und sie auf diesem Wege über unsere Angebote zu informieren. Zudem erheben wir Daten zu statistischen Zwecken, um die Inhalte weiterentwickeln und optimieren zu können und unser Angebot attraktiver zu gestalten. Die hierfür erforderlichen Daten (z.B. Gesamtzahl der Seitenaufrufe, Seitenaktivitäten und durch die Besucher bereitgestellte Daten, Interaktionen) werden seitens der Sozialen Netzwerke aufbereitet und uns zur Verfügung gestellt. Auf die Erzeugung und Darstellung haben wir keinen Einfluss.
Zudem werden Ihre personenbezogenen Daten durch die Anbieter der Sozialen Medien zu Marktforschungs- und Werbezwecken verarbeitet. So ist es möglich, dass z.B. aufgrund Ihres Nutzungsverhaltens und der sich daraus ergebenden Interessen Nutzungsprofile erstellt werden. Dadurch können unter anderem Werbeanzeigen innerhalb und außerhalb der Plattformen geschaltet werden, die Ihren Interessen entsprechen. Hierfür werden im Regelfall Cookies auf Ihrem Rechner gespeichert. Unabhängig davon können in Ihren Nutzungsprofilen auch Daten, die nicht direkt auf Ihren Endgeräten erhoben werden, gespeichert werden. Die Speicherung und Analyse erfolgt auch geräteübergreifend, dies gilt insbesondere, aber nicht ausschließlich, wenn Sie als Mitglied registriert und bei den jeweiligen Plattformen eingeloggt sind.
Darüber hinaus erheben und verarbeiten wir keine personenbezogenen Daten.
Die Verarbeitung Ihrer personenbezogenen Daten durch die Oncare GmbH erfolgt auf Grundlage unserer berechtigten Interessen an einer effektiven Information und Kommunikation gem. Art. 6 Abs. 1 S. 1 lit. f. DSGVO. Falls Sie um eine Einwilligung in die Datenverarbeitung gebeten werden, d.h. falls Sie Ihr Einverständnis durch Bestätigung einer Schaltfläche oder ähnliches (Opt-In) erklären, ist die Rechtsgrundlage der Verarbeitung Art. 6 Abs. 1 S. 1 lit. a., Art. 7 DSGVO.

Ihre Rechte / Widerspruchsmöglichkeit
Wenn Sie Mitglied eines Sozialen Netzwerks sind und nicht möchten, dass das Netzwerk über unseren Auftritt Daten über Sie sammelt und mit Ihren gespeicherten Mitgliedsdaten beim jeweiligen Netzwerk verknüpft, müssen Sie sich vor Ihrem Besuch unserer Social Media Seite beim jeweiligen Netzwerk ausloggen, die auf dem Gerät vorhandenen Cookies löschen und Ihren Browser beenden und neu starten. Nach einer erneuten Anmeldung sind Sie allerdings für das Netzwerk erneut als bestimmte/r Nutzerin/Nutzer erkennbar.
Für eine detaillierte Darstellung der jeweiligen Verarbeitungen und der Widerspruchsmöglichkeiten (Opt-Out), verweisen wir auf die nachfolgend verlinkten Angaben:

LinkedIn
Datenschutzerklärung: https://www.linkedin.com/legal/privacy-policy;
Opt-Out: https://www.linkedin.com/legal/cookie-policy und http://www.youronlinechoices.com;

Insgesamt stehen Ihnen folgende Rechte bezüglich der Verarbeitung Ihrer personenbezogenen Daten zu: Recht auf Auskunft; Recht auf Berichtigung; Recht auf Löschung; Recht auf Einschränkung der Verarbeitung; Recht auf Widerspruch; Recht auf Datenübertragbarkeit; Recht auf Beschwerde über rechtswidrige Verarbeitungen Ihrer personenbezogenen Daten bei der zuständigen Datenschutzbehörde.
Nachdem jedoch die Oncare keinen vollständigen Zugriff auf Ihre personenbezogenen Daten hat, sollten Sie sich bei der Geltendmachung direkt an die Anbieter der Sozialen Medien wenden, denn diese haben jeweils Zugriff auf die personenbezogenen Daten ihrer Nutzer und können entsprechende Maßnahmen ergreifen und Auskünfte geben. Sollten Sie dennoch Hilfe benötigen, versuchen wir Sie natürlich zu unterstützen. Wenden Sie sich bitte an privacy@myoncare.com.

Onlineangebote bei Kindern

Personen unter 16 Jahren dürfen ohne Zustimmung der Erziehungsberechtigten keine personenbezogenen Daten an uns übermitteln bzw. eine Einwilligungserklärung abgeben. Wir möchten Eltern und Erziehungsberechtigte dazu auffordern, an den Online-Aktivitäten und -Interessen ihrer Kinder aktiv teilzunehmen.

Links zu anderen Anbietern

Unsere Website enthält auch klar erkennbare Links zu Internetseiten anderer Unternehmen. Obwohl wir Links zu Webseiten anderer Anbieter anbieten, haben wir keinen Einfluss auf deren Inhalt, so dass dafür keine Garantie oder Haftung übernommen werden kann. Für die Inhalte dieser Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich.
Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße und erkennbare Rechtsverletzungen überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar und wird bei Kenntnis einer Rechtsverletzung umgehend entfernt.

MYONCARE-PLATTFORM – DATENSCHUTZERLÄRUNG LEISTUNGSERBRINGER

For older versions: Archive

---

STAND MÄRZ 2026  

Willkommen bei myoncare, der digitalen Gesundheitsplattform für eine effiziente und bedarfsgerechte Patientenversorgung der Oncare GmbH (im Folgenden "ONCARE" oder "wir", "Wir", "unser").

Für uns ist der Schutz Ihrer Privatsphäre und aller personenbezogenen Daten von großer Bedeutung und Wichtigkeit.

Wir sind uns der Verantwortung bewusst, die sich aus der Verarbeitung Ihrer personenbezogenen Daten im myoncare Careplan Manager (auch “myoncare-Plattform” oder “Plattform”) ergibt. Unsere Technologiesysteme, die für die myoncare-Dienste verwendet werden, sind daher nach höchsten Standards eingerichtet und die rechtmäßige Verarbeitung der Daten steht im Mittelpunkt unseres ethischen Verständnisses als Unternehmen.

Bitte beachten Sie, dass diese Datenschutzerklärung aus zwei Teilen besteht:

•        Der erste Teil enthält Datenschutzregelungen für die Nutzung des myoncare Careplan Manager innerhalb Europas auf Grundlage der Datenschutz-Grundverordnung (DSGVO).

•        Der zweite Teil enthält ergänzende Bestimmungen nach den Vorgaben des US-amerikanischen Datenschutzrechts (HIPAA). Diese gelten, wenn Gesundheitsdaten durch eine US-Covered Entity verarbeitet werden oder wenn Leistungserbringer im Rahmen des USGesundheitssystems tätig werden – unabhängig vom Wohnsitz der betroffenen Person.

Wir verarbeiten Ihre personenbezogenen Daten in Übereinstimmung mit den geltenden Rechtsvorschriften zum Schutz personenbezogener Daten, insbesondere der EU-Datenschutz-Grundverordnung ("DSGVO") und die für uns geltenden länderspezifischen Gesetze. In dieser

Datenschutzerklärung erfahren Sie, warum und wie ONCARE Ihre personenbezogenen Daten verarbeitet, die wir von Ihnen erfassen oder die Sie uns zur Verfügung stellen, wenn Sie sich für die Nutzung des myoncare Careplan Manager entscheiden. Insbesondere finden Sie eine Beschreibung der Art der personenbezogenen Daten, die wir erheben und verarbeiten, sowie den Zweck und die Grundlage, auf der wir die personenbezogenen Daten verarbeiten; darüber hinaus finden Sie hier die Rechte, die Ihnen zustehen.

Bitte lesen Sie die Datenschutzerklärung sorgfältig durch, um sicherzustellen, dass Sie jede Bestimmung verstehen. Nachdem Sie die Datenschutzerklärung gelesen haben, haben Sie die Möglichkeit, in die Verarbeitung Ihrer personenbezogenen Daten, wie in der Datenschutzerklärung beschrieben, einzuwilligen.

1. DEFINITIONEN

„App-Nutzer” ist jeder Benutzer der myoncare App (Ihr Patient).

"Careplan-Anbieter" bezeichnet Sie oder einen anderen Dienstleister oder Dritten (z. B. Hersteller von Medizinprodukten, Pharmaunternehmen), der Pflegepläne über den myon.clinic Store oder andere Mittel des Datenaustauschs anderen Nutzern der Plattform zur Verfügung stellt.

"Careplan-Nutzer" bezeichnet Sie oder einen anderen Dienstleister (Plattformnutzer), der einen Pflegeplan ("Pathway") für die Behandlung seiner registrierten Patienten verwendet.

„Caretasks“ sind spezifische Aufgaben oder Handlungen innerhalb eines Pathways, die von den beteiligten Leistungserbringern, dem Pflegepersonal oder dem Patienten selbst durchgeführt werden müssen.

"Datenschutzerklärung für Leistungserbringer" bezeichnet diese Erklärung, die Ihnen als Nutzer des myoncare Careplan Manager zur Verfügung gestellt wird und die beschreibt, wie wir personenbezogenen Daten sammeln, verwenden und speichern, und Sie über Ihre umfassenden Rechte informiert.

"Datenschutzerklärung für Patienten" bezeichnet die Datenschutzerklärung, die die Verarbeitung der persönlichen (Gesundheits-) Informationen von Patienten beschreibt, die die myoncare App verwenden. Unser Angebot richtet sich laut Nutzungsbedingungen nur an Personen ab 18 Jahren. Dementsprechend werden keine personenbezogenen Daten von Kindern und Jugendlichen unter 18 Jahren gespeichert und verarbeitet.

Leistungserbringer“ bezeichnet Sie oder einen anderen Arzt, eine Klinik, eine Gesundheitseinrichtung, einen Angehörigen der Gesundheitsberufe oder sonstige medizinische oder nicht-medizinische Anbieter von Gesundheits-, Präventions-, Beratungs- oder Betreuungsleistungen, die allein oder im Auftrag von Ihnen oder einem anderen solchen Anbieter handeln (beabsichtigter Benutzer).

"Nutzungsbedingungen" bezeichnet die Nutzungsbedingungen für die Nutzung des myoncare Careplan Manager.

myoncare App“ bezeichnet die mobile und die Web-App myoncare-Anwendung für Patienten, die die von ONCARE angebotenen Dienste über die App nutzen möchten.

myon.clinic Store“ ist der von der myon clinic GmbH betriebener Webshop, in dem digitale Versorgungskonzepte (“Pathways”) angeboten werden können.  

myoncare Tools“ meint die myoncare-App und das myoncare Careplan Manager zusammen.

"myoncare PWA" bezeichnet die browserbasierte myoncare Progressive Web App Anwendung für Patienten, die die von ONCARE angebotenen Dienste über die PWA und nicht über die myoncare Mobile-App nutzen möchten.

"myoncare-Plattform" ist der myoncare Careplan Manager, der für die professionelle Nutzung durch Plattformnutzer bestimmt ist und als Schnittstelle zwischen Plattformnutzern und App-Nutzer dient.

"myoncare Services" bezeichnet die Dienste, Funktionalitäten und sonstigen Angebote, die den Plattformnutzern über die Plattform und/oder den App-Nutzern über die myoncare App angeboten werden oder angeboten werden können.

"ONCARE" bezeichnet die ONCARE GmbH, Deutschland.

"Pathway" ist ein standardisierter Behandlungsplan, der bestehend aus mehreren, ggfs. zeitlich aneinander gereihten Caretasks, die Schritte für Diagnosen und Therapien festlegen kann

"Plattform-Benutzer" bezeichnet Sie oder einen anderen Dienstleister, der die webbasierte myoncare-Plattform nutzt.

2. ROLLEN UND VERANTWORTLICHKEITEN

Die Verarbeitung personenbezogener Gesundheitsdaten erfolgt ausschließlich im Auftrag des jeweiligen Leistungserbringers im Rahmen der medizinischen Versorgung.

Dies gilt nicht für Daten, die vollständig anonymisiert wurden, sodass kein Personenbezug mehr besteht und eine Re-Identifikation ausgeschlossen

ist.)

ONCARE ist berechtigt, solche anonymisierten und aggregierten Daten unabhängig vom jeweiligen Leistungserbringer zu Forschungs-, Statistik-, Qualitäts-, regulatorischen und kommerziellen Zwecken zu verwenden sowie an Dritte weiterzugeben oder zu veräußern.

3. VERARBEITUNG VON PERSONENBEZOGENEN DATEN

Die Oncare GmbH, eine beim Amtsgericht München unter der Registernummer HRB 219909 eingetragene Gesellschaft mit Sitz in der Balanstraße 71a, 81541 München, Deutschland, bietet und betreibt das interaktive Webportal (für medizinisches Fachpersonal), die “myoncare-Plattform”, die myoncare PWA und die mobile Anwendung myoncare App (für Patienten) als Zugang zu den myoncare-Dienstleistungen.

Diese Datenschutzerklärung gilt für alle personenbezogenen Daten, die von ONCARE im Zusammenhang mit der Nutzung des myoncare Careplan Manager durch den Leistungserbringer verarbeitet werden.

Der Datenschutz zwischen Ihnen, dem Leistungserbringer, und Ihrem Patienten muss von Ihnen geregelt werden. Für die Nutzung der myoncare App und PWA durch Patienten gilt eine separate Datenschutzerklärung: https://www.myoncare.com/privacy-policy

4. WAS SIND PERSONENBEZOGENE DATEN

"Personenbezogene Daten" bezeichnet alle Informationen, die es ermöglichen, eine natürliche Person zu identifizieren. Dazu gehören unter anderem Ihr Vorname, Ihr Nachname, Ihr Geburtstag, Ihre Adresse, Ihre Telefonnummer, Ihre E-Mail-Adresse und Ihre IP-Adresse.

"Gesundheitsdaten" sind personenbezogene Daten, die sich auf die physische und psychische Gesundheit einer natürlichen Person beziehen, einschließlich der Bereitstellung von Gesundheitsdiensten, die Informationen über ihren Gesundheitszustand offenbaren.

Daten sind als "anonym" anzusehen, wenn kein persönlicher Bezug zu der Person/dem Nutzer hergestellt werden kann.

Im Gegensatz dazu sind „pseudonymisierte“ Daten solche Daten, aus denen ein persönlicher Bezug oder persönlich identifizierbare Informationen durch einen oder mehrere künstliche Identifikatoren oder Pseudonyme ersetzt werden, die aber im Allgemeinen durch den Identifikatorschlüssel reidentifiziert werden können. (im Sinne von Art. 4 Nr. 5 DSGVO).

5. WELCHE PERSONENBEZOGENEN DATEN WERDEN BEI DER NUTZUNG DER MYONCARE-PLATTFORM VERWENDET?

Wir können die folgenden Datenkategorien über Sie bei der Nutzung der myoncare-Plattform verarbeiten:

Operative Daten: Personenbezogene Daten, die Sie uns bei der Registrierung in unserer myoncare-Plattform, bei der Kontaktaufnahme zu Problemen mit der Plattform oder bei sonstigen Interaktionen mit uns zum Zweck der Nutzung der Plattform zur Verfügung stellen.

Behandlungsdaten: Sie erheben personenbezogene Daten Ihrer Patienten, wie Vorname, Nachname, Alter, Größe, Gewicht, Indikation, Krankheitssymptome und andere Informationen im Zusammenhang mit der Behandlung Ihrer Patienten (z.B. in einem Careplan) auf der myoncarePlattform. Aktivitätsdaten Ihrer verbundenen Patienten werden Ihnen in Ihrer myoncare-Plattform verfügbar gemacht.

Kommerzielle Store-Daten: Personenbezogene Daten, die im Zusammenhang mit der Nutzung des myon.clinic Stores verarbeitet werden – insbesondere im Zusammenhang mit der Autorenschaft, Konfiguration oder dem Erwerb von digitalen Behandlungsplänen („Pathways“). Der Store wird von der myon.clinic GmbH betrieben, einer Tochtergesellschaft der Oncare GmbH. Die Nutzung des Stores erfordert die Verarbeitung Ihres Vornamens, Nachnamens, beruflicher Kontaktdaten sowie ggf. Zahlungsdaten (nur bei kostenpflichtigen Inhalten).

Aktivitätsdaten: Personenbezogene Daten, die von uns verarbeitet werden, wenn ein App-Nutzer die myoncare-App mit einer Gesundheitsanwendung (z. B. AppleHealth, GoogleFit, Withings) verbindet. Die Aktivitätsdaten Ihrer angeschlossenen Patienten werden Ihnen in Ihrer myoncare-Plattform verfügbar gemacht.

Analyse anonymisierter Nutzungsdaten zur Plattformverbesserung: Wir verarbeiten ausschließlich anonymisierte, nicht-personenbezogene technische Nutzungsdaten (z. B. aggregierte Informationen zur Nutzungshäufigkeit oder zur Systemleistung), um die Funktionalität und Benutzerfreundlichkeit der Plattform weiterzuentwickeln. Diese Daten enthalten keine identifizierenden Informationen und erlauben keinen Rückschluss auf einzelne Plattformnutzer. Eine Verarbeitung personenbezogener Daten von Leistungserbringern zu Forschungs- oder kommerziellen Zwecken findet nicht statt.

Daten von Geräteherstellern- oder Laboren: Zusätzlich können im Rahmen integrierter Versorgungsprozesse personenbezogene Daten durch angebundene medizinische Gerätehersteller oder Labordienstleister verarbeitet werden, sofern diese über die myoncare-Plattform durch den Leistungserbringer beauftragt oder genutzt werden.

Produktsicherheitsdaten: Personenbezogene Daten, die zur Erfüllung unserer gesetzlichen Verpflichtungen als Hersteller der myoncare-Plattform als Medizinprodukt verarbeitet werden. Darüber hinaus können Ihre personenbezogenen Daten verarbeitet werden, falls Sie einen Vorfall melden, um die Rechtssicherheit oder die Wachsamkeit von Medizinprodukte- oder Pharmaunternehmen zu gewährleisten.

Kostenerstattungsdaten: Personenbezogene Daten, die für den Erstattungsprozess erforderlich sind.

6. VERARBEITUNG VON OPERATIVEN DATEN

Falls Sie als Leistungserbringer eine Kontaktperson für den Betrieb der myoncare-Plattform an Ihrem Standort/Ihrer Praxis sind (z. B. ITAdministrator, ernannte medizinische Fachkraft), können Sie uns bei Kontaktaufnahme bestimmte personenbezogene Daten zur Verfügung stellen, um die Funktionen und die Nutzung der myoncare-Plattform zu verstehen oder zu besprechen, oder im Falle einer Serviceanfrage.  

Im Falle einer Serviceanfrage können auch folgende personenbezogene Daten von autorisierten ONCARE-Mitarbeitern eingesehen werden:

Ihre personenbezogenen Daten, die Sie uns für die Registrierung und/oder Anmeldung in unserer myoncare-Plattform zur Verfügung gestellt haben (z.B. Vorname, Nachname, Geburtsdatum, Profilbild, Kontaktdaten).

Autorisierte ONCARE-Mitarbeiter, die zum Zwecke der Bearbeitung einer Serviceanfrage auf Ihre Datenbank zugreifen dürfen, sind vertraglich verpflichtet, alle personenbezogenen Daten streng vertraulich zu behandeln.

Wichtige Erläuterungen zu Push-Benachrichtigungen und E-Mails

Im Rahmen Ihrer Unterstützung durch myoncare möchten wir Sie darüber informieren, wie wir mit Benachrichtigungen umgehen und mit wichtigen Informationen, die wir Ihnen zukommen lassen.

E-Mail-Benachrichtigungen:

•        Wir senden Ihnen wichtige Informationen und Erinnerungen per E-Mail.

•        So stellen Sie sicher, dass Sie keine wichtigen Benachrichtigungen verpassen und Ihr Support reibungslos läuft.

Warum wir das tun: Unser Ziel ist es, dass Sie stets über Ihre Aufgaben und wichtige Updates informiert sind, um Ihre Pflege optimal zu unterstützen. E-Mails sind ein zuverlässiger Weg, um sicherzustellen, dass wichtige Informationen Sie erreichen, auch wenn Push-Benachrichtigungen deaktiviert sind.

Ihre Handlungsoptionen:

•        Wenn Sie keine E-Mail-Benachrichtigungen erhalten möchten, können Sie diese in den Einstellungen der myoncare-Plattform deaktivieren.

•        Bitte stellen Sie sicher, dass Ihre E-Mail-Adresse korrekt und aktuell ist, um einen reibungslosen Empfang unserer Nachrichten zu gewährleisten.

•        Wenn Sie keine E-Mail-Erinnerungen erhalten möchten, können Sie diese in den Einstellungen der myoncare-Plattform deaktivieren.

Bei der Verarbeitung von operativen Daten fungiert ONCARE als Datenverantwortlicher, der für die rechtmäßige Verarbeitung Ihrer personenbezogenen Daten verantwortlich ist.

Arten von Daten: Name, E-Mail-Adresse, Datum der Registrierung, Ihre IP-Adresse, von der Plattform generierte Pseudoschlüssel.

Die myoncare-Plattform verwendet die Google Maps API, um geografische Informationen zu verwenden. Bei der Nutzung von Google Maps werden von Google auch Daten über die Nutzung der Kartenfunktionen erhoben, verarbeitet und genutzt. Nähere Informationen über den Umfang, die

Rechtsgrundlage und den Zweck der Datenverarbeitung durch Google sowie die Speicherdauer finden Sie in der Datenschutzerklärung von Google.

Zwecke der Verarbeitung von operativen Daten: Wir verwenden die Betriebsdaten, um die Funktionalitäten der myoncare-Plattform aufrechtzuerhalten und um bei Bedarf oder von Ihnen direkt initiiert mit Ihnen in Kontakt zu treten (z. B. bei Änderung der Allgemeinen Geschäftsbedingungen, notwendigem Support, technischen Problemen usw.). Darüber hinaus werden personenbezogene Daten (E-Mail-Adresse) im Rahmen der Zwei-Faktor-Authentifizierung jedes Mal verarbeitet, wenn Sie sich in die myoncare-Plattform einloggen.

Rechtfertigung der Verarbeitung: Die Verarbeitung von Betriebsdaten ist auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO für die Erfüllung des Vertrages, den Sie mit ONCARE zum Zwecke der Nutzung der myoncare-Plattform abschließen, gerechtfertigt.

7.  IP-GEOLOKALISIERUNG

Wir verwenden für unsere Dienste eine Geolokalisierungsanwendung. Hierzu setzen wir ipapi (bereitgestellt von apilayer Data Products GmbH, Elisabethstraße 15/5, 1010 Wien, Österreich) sowie Geoapify (zur Verfügung gestellt von Keptago Ltd., N. Nikolaidi und T. Kolokotroni ONISIFOROU CENTER, 8011 Paphos, Zypern) ein, um den Standort von Patientenbenutzern punktuell während des Log-In-Vorgangs zu identifizieren.

Die Geolokalisierung dient ausschließlich dem Schutz vor unberechtigtem Zugriff sowie dem Schutz der medizinischen Daten, indem sichergestellt wird, dass nur berechtigte Patienten Zugang zu den Diensten erhalten.

Verarbeitet werden hierbei ausschließlich die IP-Adresse sowie daraus abgeleitete grobe Standortinformationen (z. B. Land oder Region). Exakte Standortdaten (z. B. GPS-Daten), Bewegungsprofile oder eine dauerhafte Lokalisierung finden nicht statt. Eine Zusammenführung der Standortdaten mit weiteren personenbezogenen Daten oder eine Profilbildung erfolgt nicht.

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO.

Die genannten Dienstleister verarbeiten die Daten ausschließlich in unserem Auftrag, auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art.

28 DSGVO und ohne eigene Zweckverfolgung. Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union; eine Übermittlung in Drittländer findet nicht statt.

Die Standortdaten werden ausschließlich zur Prüfung der Nutzungsberechtigung verwendet und unmittelbar nach Abschluss dieser Prüfung gelöscht. Eine Speicherung der Daten erfolgt weder bei uns noch bei den eingesetzten Dienstleistern.

Weitere Informationen zu deren Datenschutzrichtlinien finden Sie unter https://ipapi.com/privacy/ und Datenschutzerklärung |Geoapify Standortplattform.

8. VERARBEITUNG VON GESUNDHEITSDATEN

ONCARE stellt Ihnen (als Leistungserbringer) und mittelbar Ihren Patienten technische Anwendungen (Mobile App und Progressive Web App) zur Verfügung, über die Patienten digital aufgenommen und versorgt werden können.  

Die im Rahmen des digitalen Onboardings dargestellten Datenschutzhinweise sowie die Einholung erforderlicher Einwilligungen erfolgen ausschließlich im Namen und in der Verantwortung des jeweiligen Leistungserbringers. ONCARE hat weder Einfluss auf den Inhalt der vom Leistungserbringer bereitgestellten Datenschutzerklärungen noch auf die Entscheidung über das Zustandekommen eines Behandlungsvertrags oder die Einholung von Einwilligungen.

ONCARE verarbeitet im Rahmen des digitalen Onboardings personenbezogene Daten ausschließlich als technischer Dienstleister und Auftragsverarbeiter gem. Art 28 DSGVO.

Auch im Rahmen der Nutzung der myoncare-Plattform werden auch besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1

DSGVO verarbeitet, insbesondere Gesundheitsdaten der Patienten (z. B. Bereitstellung eines individuellen Behandlungsplans, Erinnerung zur Medikamenteneinnahme usw.). Darüber hinaus können Sie und Ihre Patienten Dokumente und Dateien in die myoncare-Plattform hochladen und miteinander teilen (z. B. Diagnosen, Anamnesen, Behandlungspläne, Verlaufsdaten, Monitoringdaten).

Die Verarbeitung dieser Daten erfolgt ausschließlich zur Erfüllung der medizinischen Behandlung und Versorgung der Patienten und unsererseits ausschließlich auf Grundlage der Weisungen des jeweiligen Leistungserbringers.

Während der Nutzung der myoncare-Plattform geben Sie persönliche (gesundheitsbezogene) Daten Ihrer Patienten in die myoncare-Plattform ein (z. B. Bereitstellung eines individuellen Behandlungsplans, Erinnerung zur Medikamenteneinnahme usw.). Darüber hinaus können Sie und Ihre Patienten Dokumente und Dateien auf die myoncare-Plattform hochladen und miteinander teilen. Des Weiteren können Funktionen der Einrichtung generiert und implementiert werden:

•        Hinzufügen eines Standorts;

•        Hochladen des Logos der Website;

•        Hinzufügen der Details des Standorts;

•        Hochladen einer Datenschutzerklärung;

Es ist möglich, weitere Einwilligungsanforderungen für den Patienten zu erstellen, für die der Patient eine Einwilligung erteilen muss, um sich mit der Website zu verbinden. Eine hochgeladene Datenschutzerklärung wird jedem Patienten angezeigt, der sich mit der Website verbindet. Alle Einwilligungserklärungen müssen in der hochgeladenen Datenschutzerklärung dokumentiert werden. Sobald eine Datenschutzerklärung hochgeladen wurde, kann sie nur durch eine neue Version ersetzt, aber nicht gelöscht werden.

Die Dateien werden in einer Cloud-Datenbank in Deutschland gespeichert. Sie können die gemeinsame Nutzung solcher Dateien mit anderen Plattform-Benutzern innerhalb Ihrer Einrichtung zu medizinischen Zwecken erlauben. Andere Plattform-Benutzer haben keinen Zugriff auf diese Dateien.

Ferner können Sie einen Leistungserbringer außerhalb Ihrer Einrichtung (Konsiliararzt) im Rahmen der Behandlung Ihrer Patienten hinzuziehen, sofern Sie der Ansicht sind, eine weitere Fachmeinung dient der Behandlung.

Rechtfertigung der Verarbeitung: Wir verarbeiten diese personenbezogenen Daten, einschließlich der Gesundheitsdaten des Patienten, im Rahmen einer Vereinbarung mit Ihnen und in Übereinstimmung mit Ihren Anweisungen. Bitte verarbeiten Sie die Daten Ihrer Patienten nur, wenn Sie die erforderliche Dateneinwilligung von diesen Patienten eingeholt haben. ONCARE fungiert als Auftragsverarbeiter in Übereinstimmung mit der separaten Datenverarbeitungsvereinbarung, die wir mit Ihnen auf Grundlage von Art. 28 DSGVO abgeschlossen haben.

9. VERARBEITUNG VON NUTZUNGS- UND SYSTEMDATEN

Gilt nur, wenn Sie den myon.clinic Store als Careplan-Nutzer nutzen.

Der myon.clinic Store ist in die myoncare-Plattform integriert und bietet den Kauf von Behandlungsplänen (Careplan) an. Nach der Registrierung in der myoncare-Plattform können Sie sich mit Ihren Anmeldedaten mit dem myon.clinic Store verbinden. Sie können den myon.clinic Store nutzen, um Behandlungspläne als Nutzer zu erwerben.

Die Daten des Careplan-Nutzers: Daten des Careplan-Nutzers, die der myon.clinic Store während der Nutzung verarbeitet, werden zum Abschluss eines Lizenzvertrags mit dem Careplan-Anbieter – in diesem Fall ONCARE – und, falls eine Gebühr fällig ist, zur Abwicklung und Kontrolle des Zahlungsvorgangs zwischen dem Careplan-Anbieter – in diesem Fall ONCARE – und dem Careplan-Nutzer verarbeitet.  Arten von Daten: Vorname, Nachname, Kontaktdaten, Bankverbindung.

Rechtfertigung der Verarbeitung: Die Rechtsgrundlage für die Verarbeitung der Nutzungs- und Systemdaten, sowie der kommerzieller Store-Daten ist Art. 6 Abs. 1 lit. b DSGVO – die Verarbeitung der Daten dient der Erfüllung des Vertrages zwischen Careplan-Nutzer und Careplan-Anbieter – in diesem Fall ONCARE.

10. VERARBEITUNG VON AKTIVITÄTSDATEN

Nur zutreffend, wenn Ihre verbundenen App-Nutzer dem Datentransfer zustimmen und diesen aktivieren.

ONCARE bietet Ihnen die technischen Möglichkeiten, es App-Nutzern über myoncare Tools zu ermöglichen, die myoncare App mit bestimmten Gesundheits-Apps (z.B. AppleHealth, GoogleFit, Withings) („Gesundheits-App“) zu verbinden, sofern diese vom App-Nutzer verwendet werden und die Verbindung vom App-Nutzer hergestellt wird.

Wenn die Verbindung hergestellt ist und der App-Nutzer dem Datentransfer zugestimmt und ihn aktiviert hat werden die von der Gesundheits-App gesammelten Aktivitätsdaten Ihnen über die myoncare-Plattform zur Verfügung gestellt. Die Erhebung und Weiterleitung der Aktivitätsdaten liegen in der Verantwortung Ihrer Patienten.

Arten von Daten: Die Art sowie der Umfang von transferierten Daten hängen von der Entscheidung der App-Nutzer ab. Zu den Daten gehören unter anderem Gewicht, Größe, zurückgelegte Schritte, verbrannte Kalorien, Schlafstunden, Herzfrequenz und Blutdruck.

Zweck der Verarbeitung von Aktivitätsdaten: Die Aktivitätsdaten des App-Nutzers werden Ihnen zur Verfügung gestellt, um zusätzliche kontextuelle Informationen bezüglich der Aktivität des App-Nutzers bereitzustellen. Bitte beachten Sie, dass Aktivitätsdaten nicht von den myoncare Tools validiert werden und nicht für diagnostische Zwecke oder als Grundlage für medizinische Entscheidungen verwendet, werden sollten.

Begründung der Verarbeitung der Aktivitätsdaten: Der Datenverantwortliche für die Aktivitätsdaten des App-Nutzers, die Sie über die Plattform zur Verfügung gestellt bekommen, sind Sie als Leistungserbringer. Wir verarbeiten diese personenbezogenen Daten im Rahmen einer Vereinbarung mit Ihnen und in Übereinstimmung mit Ihren Anweisungen. Bitte verarbeiten Sie die Daten Ihrer Patienten nur, wenn Sie die erforderliche Dateneinwilligung von diesen Patienten eingeholt haben. ONCARE fungiert als Auftragsverarbeiter in Übereinstimmung mit der separaten Datenverarbeitungsvereinbarung, die wir mit Ihnen auf Grundlage von Art. 28 DSGVO abgeschlossen haben.

11. VERARBEITUNG VON PRODUKTSICHERHEITSDATEN

(Nur anwendbar, wenn Sie die Medizinproduktvariante der myoncare Tools verwenden)

Die myoncare-Plattform und die myoncare App werden als Medizinprodukt gemäß den europäischen Medizinproduktevorschriften klassifiziert und vermarktet. Als Hersteller der myoncare Tools müssen wir bestimmten gesetzlichen Verpflichtungen nachkommen (z. B. Überwachung der Funktionalität des Tools, Auswertung von Vorfallberichten, die im Zusammenhang mit der Nutzung des Tools stehen könnten, Nachverfolgung von Nutzern usw.). Zusätzlich ermöglichen die myoncare Tools Ihnen, personenbezogene Daten über bestimmte medizinische Geräte oder Medikamente zu erfassen, die bei der Behandlung Ihrer Patienten verwendet werden. Die Hersteller solcher Medizinprodukte oder Arzneimittel haben auch gesetzliche Verpflichtungen hinsichtlich der Marktüberwachung (z.B. Sammlung und Auswertung von Nebenwirkungsmeldungen).

ONCARE ist der Datenverantwortliche für die Verarbeitung von Produktsicherheitsdaten.

Arten von Daten: Fallberichte, personenbezogene Daten, die in einem Vorfallbericht angegeben wurden, und Ergebnisse der Bewertung, Angaben zum Meldenden.

Verarbeitung von Produktsicherheitsdaten: Wir speichern und bewerten alle personenbezogenen Daten im Zusammenhang mit unseren gesetzlichen Verpflichtungen als Hersteller eines Medizinprodukts und übermitteln diese personenbezogenen Daten (soweit möglich nach Pseudonymisierung) an zuständige Behörden, Benannte Stellen oder andere Datenverantwortliche mit Aufsichtspflichten. Darüber hinaus speichern und übertragen wir personenbezogene Daten im Zusammenhang mit medizinischen Geräten und/oder Medikamenten, wenn wir Mitteilungen von Ihnen als Meldender solcher Informationen, von Ihrem Patienten oder von Dritten (z. B. unseren Vertriebspartnern oder Importeuren der myoncare Tools in Ihrem Land) erhalten, die dem Hersteller des Produkts gemeldet werden müssen, damit dieser seinen gesetzlichen Verpflichtungen zur Produktsicherheit nachkommen kann.  

Begründung für die Verarbeitung von Produktsicherheitsdaten: Rechtsgrundlage für die Verarbeitung personenbezogener Daten zur Erfüllung rechtlicher Verpflichtungen als Hersteller von Medizinprodukten oder Arzneimitteln ist Art. 6 Abs.1 lit. c, Art. 9 Abs. 2 lit. i DSGVO in Verbindung mit den Pflichten zur Überwachung nach dem Inverkehrbringen nach dem Medizinproduktegesetz und der Medizinprodukterichtlinie (geregelt ab dem 26. Mai 2021 in Kapitel VII der neuen Medizinprodukteverordnung (EU) 2017/745) und/oder dem Arzneimittelgesetz.

Ergänzung zum Haftungsausschluss für Nebenwirkungen: ONCARE übernimmt keine medizinische Bewertung der übermittelten Inhalte und ist nicht verpflichtet, arzneimittelrechtlich relevante Informationen wie Nebenwirkungen, Anwendungsfehler oder Produktmängel an Behörden weiterzuleiten. Diese Verantwortung liegt ausschließlich bei den behandelnden Leistungserbringer oder – sofern betroffen – bei den jeweiligen Herstellern der eingesetzten Produkte.

12. VERARBEITUNG DURCH GERÄTEHERSTELLER UND LABORDIENSTLEISTER

Wenn Sie über die Plattform medizinische Zusatzfunktionen wie integrierte Diagnostik, Vitaldatenerfassung oder Labordienstleistungen nutzen, können personenbezogene Gesundheitsdaten durch externe Drittanbieter (z. B. medizinische Gerätehersteller oder Labordienstleister) erhoben und verarbeitet werden. Dies erfolgt zur Unterstützung der medizinischen Versorgung und stets auf Grundlage einer ausdrücklichen Einwilligung oder eines Behandlungsverhältnisses.

Die Verarbeitung erfolgt entweder im Rahmen einer Auftragsverarbeitung oder – je nach Anbieter – in eigener datenschutzrechtlicher Verantwortung. ONCARE stellt hierfür lediglich die technische Anbindung bereit, ohne Inhalte zu kontrollieren oder medizinisch zu bewerten. Weitere Informationen zur jeweiligen Datenverarbeitung erhalten Sie direkt bei dem behandelnden Leistungserbringer oder über die Datenschutzinformationen der eingebundenen Drittanbieter.

13. VERARBEITUNG VON KOMMERZIELLE STORE-DATEN UND PATHWAY-DATEN

Die myoncare-Plattform bietet registrierten Leistungserbringern (z. B. Ärzten) die Möglichkeit, digitale Versorgungspfade („Pathways“) über eine Webshop-Funktionalität (z. B. in Zusammenarbeit mit myon.clinic) anzubieten, zu konfigurieren und Patienten individuell zuzuweisen.

Im Rahmen der Nutzung dieser Funktionalität werden personenbezogene Daten – insbesondere Gesundheitsdaten – verarbeitet, etwa Angaben zur Indikation, empfohlenen Behandlungsdauer oder Pathway-Zuordnung. Diese Datenverarbeitung dient der Individualisierung und Zuweisung medizinischer Inhalte und erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b sowie Art. 9 Abs. 2 lit. h DSGVO.

ONCARE stellt die technische Infrastruktur bereit und verarbeitet die betroffenen Daten als datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, sofern die jeweilige Verarbeitung zur Bereitstellung der Plattformfunktionen erforderlich ist. Die inhaltliche Auswahl und medizinische Gestaltung der Pathways obliegt jedoch ausschließlich dem jeweiligen Leistungserbringer.

Soweit eine Abrechnung oder Datenübermittlung an Dritte (z. B. Abrechnungsstellen oder Plattformpartner wie myon.clinic) erfolgt, findet eine solche Verarbeitung nur auf Grundlage entsprechender Vereinbarungen oder gesetzlicher Vorschriften statt.

14. VERARBEITUNG VON ERSTATTUNGSDATEN BEI KOSTENTRÄGERÜBERMITTLUNG

(Nur anwendbar, wenn Sie myoncare Tools für Kostenerstattungen nutzen)

Die myoncare-Plattform unterstützt Sie bei der Einleitung Ihrer Standardverfahren zur Erstattung der Gesundheitsleistungen, die Sie Ihren Patienten über die myoncare App bereitgestellt haben. Um den Erstattungsprozess zu ermöglichen, unterstützt die myoncare-Plattform die Erfassung der persönlichen (gesundheitsbezogenen) Daten Ihrer Patienten aus der myoncare-Plattform, um die Übermittlung dieser Daten an die Kostenträger des Patienten im Rahmen der Standard-Erstattungsprozesse zu erleichtern (entweder Ihre Kassenärztliche Vereinigung und/oder die Krankenversicherung des Patienten). Sie sind der Datenverantwortliche für die Erstattungsdaten und verantwortlich für die Einhaltung der datenschutzrechtlichen Bestimmungen für die Verarbeitung der personenbezogenen Daten Ihrer Patienten im Erstattungsprozess. ONCARE agiert als Datenverarbeiter auf der Grundlage der Datenverarbeitungsvereinbarung mit dem Leistungserbringer.

Arten von Daten: Vorname und Nachname des Patienten, Diagnose, Indikationen, Behandlung, Behandlungsdauer, andere Daten, die für die Verwaltung der Erstattung erforderlich sind.

Verarbeitung von Erstattungsdaten: Sie als Verantwortlicher übermitteln die für die Erstattung erforderlichen Behandlungsdaten des Patienten an den Kostenträger (entweder Ihre Krankenkasse und/oder die Krankenkasse des Patienten) und der Kostenträger verarbeitet die Erstattungsdaten, um Ihnen die Erstattung zu erstatten.

Begründung für die Verarbeitung von Erstattungsdaten: Die Verarbeitung der Erstattungsdaten erfolgt auf Grundlage der §§ 295, 301 SGB V. Die Verarbeitung der Daten durch ONCARE für Sie erfolgt ebenfalls auf Grundlage von Art. 28 DSGVO (Auftragsverarbeitungsvertrag).

15. WELCHE TECHNOLOGIE WIRD VOM MYONCARE-PLATTFORM UND DER MYONCARE APP VERWENDET?

Die myoncare-Plattform funktioniert als webbasiertes Tool, für das Sie eine funktionierende Internetverbindung und eine aktuelle Version des Internetbrowsers Chrome, Firefox oder Safari benötigen.

Hosting und technische Infrastruktur

Die Bereitstellung, der Betrieb und die Wartung der myoncare-Plattform sowie der myoncare App erfolgen über cloudbasierte technische Infrastrukturen.

ONCARE setzt hierfür je nach Kunde, Vertragskonstellation, regulatorischem Umfeld und Land des Einsatzes unterschiedliche Hosting- und CloudDienstleister ein.

Sämtliche eingesetzten Anbieter werden vorab sorgfältig ausgewählt und vertraglich gemäß Art. 28 DSGVO als Auftragsverarbeiter verpflichtet. Die Auswahl erfolgt unter Berücksichtigung anerkannter technischer und organisatorischer Sicherheitsstandards (insbesondere Verschlüsselung, Zugriffskontrolle, Verfügbarkeit und Datensicherung).

Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Eine Verarbeitung in Drittländern findet nur statt, sofern hierfür geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen (z. B. Angemessenheitsbeschluss, EU-Standardvertragsklauseln).

Informationen zu den im konkreten Einzelfall eingesetzten Hosting- oder Cloud-Dienstleistern stellen wir Leistungserbringern auf Anfrage in geeigneter Form zur Verfügung.

Einsatz von Cloudflare (CDN und IT-Sicherheitsdienst)

Zur Gewährleistung der Sicherheit, Verfügbarkeit und Leistungsfähigkeit der myoncare-Plattform setzt ONCARE den Dienst Cloudflare ein. Anbieter ist: Cloudflare Germany GmbH, Rosental 7, 80331 München, Deutschland  (Muttergesellschaft: Cloudflare Inc., USA) Cloudflare fungiert als:

•                 Content Delivery Network (CDN)

•                 Schutzmechanismus gegen Cyberangriffe (z. B. DDoS-Schutz)

•                 Sicherheits- und Performance-Optimierungsdienst

Hierbei können insbesondere folgende technisch erforderliche Zugriffsdaten verarbeitet werden:

•                 IP-Adresse

•                 Zeitstempel

•                 aufgerufene Inhalte

•                 Browser- und Geräteinformationen

•                 sicherheitsrelevante Protokolldaten Die Verarbeitung erfolgt ausschließlich zur:

•                 Gewährleistung der IT-Sicherheit

•                 Abwehr unbefugter Zugriffe

•                 Sicherstellung der Systemstabilität

•                 Performance-Optimierung

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherung sensibler Gesundheitsdaten und der Plattforminfrastruktur). Cloudflare wird als Auftragsverarbeiter gemäß Art. 28 DSGVO eingesetzt.

Soweit personenbezogene Daten in die USA übermittelt werden, erfolgt dies auf Grundlage:

•                 des EU-US Data Privacy Framework (DPF),

•                 ergänzender EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.

Weitere Informationen finden Sie unter: https://www.cloudflare.com/privacypolic  

Die Nutzung von Cloudflare dient ausschließlich technischen Sicherheitszwecken. Eine inhaltliche Auswertung medizinischer Daten durch Cloudflare findet nicht statt.

E-Mail-Dienst

Wir verwenden Brevo (bereitgestellt von der Sendinblue GmbH, mit Sitz in der Köpenicker Straße 126, 10179 Berlin) und Sendgrid (bereitgestellt von Twilio Inc., 1801 California Street Suite 500, Denver, CO 80202, USA). Diese E-Mail-Dienste können verwendet werden, um den Versand von E-Mails zu organisieren.  Sendgrid wird verwendet, um Bestätigungs-E-Mails, Transaktionsbestätigungen und E-Mails mit wichtigen Informationen zu Anfragen zu senden. Die von Ihnen zum Zwecke des Empfangs von E-Mails eingegebenen Daten werden auf den Servern von Sendgrid gespeichert. Wenn wir in Ihrem Namen E-Mails über SendGrid versenden, verwenden wir eine SSL-gesicherte Verbindung.

Die E-Mail-Kommunikation wird für die folgenden Aufgaben verwendet:

•        Erstmaliges Einloggen in die Webanwendung;

•        Zurücksetzen des Passworts für die Webanwendung;

•        Erstellen eines Kontos für die Patientenanwendung;

•        Zurücksetzen des Passworts für die Patientenanwendung;

•        Erstellung und Versand eines Berichts;

Speicherdauer

Die Daten, die Sie uns zum Empfang von E-Mails zur Verfügung stellen, werden von uns gespeichert, bis Sie sich von unseren Diensten abmelden, und werden nach Ihrer Abmeldung sowohl von unseren Servern als auch von den Servern von Sendgrid gelöscht.

Brevo von Sendinblue GmbH (Datenschutzerklärung):

Datenschutzerklärung - Schutz personenbezogener Daten | Brevo

SendGrid von Twilio Inc.  https://sendgrid.com/resource/general-data-protection-regulation-2/

Matomo

Dabei handelt es sich um ein Open-Source-Web-Analyse-Tool. Es werden keine Daten an Server, die außerhalb der Kontrolle von ONCARE liegen übertragen. Matomo ist zunächst deaktiviert, wenn Sie unsere Dienste nutzen. Nur wenn Sie damit einverstanden sind, wird Ihr Nutzerverhalten anonymisiert erfasst. Wenn dieses deaktiviert ist, wird ein "dauerhaftes Cookie" gespeichert, sofern Ihre Browsereinstellungen dies zulassen. Dieses Cookie signalisiert Matomo, dass Sie nicht möchten, dass Ihr Browser aufgezeichnet wird.

Die durch das Cookie gesammelten Nutzungsinformationen werden an unsere Server übertragen und dort gespeichert, damit wir das Nutzerverhalten analysieren können.

Die vom Cookie erzeugten Informationen über Ihre Nutzung sind:

- Betriebssystem des Benutzers;

- Geolokalisierung des Benutzers;

-Browser;

-Rolle;

-IP-Adresse;

- Websites, die über das Web / PWA besucht werden (weitere Informationen finden Sie im Abschnitt über PWA in dieser Datenschutzrichtlinie);  - Schaltflächen, die der Benutzer auf der myoncare-Plattform, in der myoncare-App und in der myoncare-PWA anklickt. Die durch das Cookie erzeugten Informationen werden nicht an Dritte weitergegeben.

Sie können die Verwendung von Cookies ablehnen, indem Sie die entsprechenden Einstellungen in Ihrem Browser vornehmen. Bitte beachten Sie jedoch, dass Sie in diesem Fall möglicherweise nicht alle Funktionen nutzen können. Weitere Informationen finden Sie unter: https://matomo.org/privacy-policy/

Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer ist Art. 6 Abs. 1 Satz 1 lit. a DSGVO. Die Verarbeitung personenbezogener Daten der Nutzer ermöglicht uns eine Analyse des Nutzungsverhaltens. Durch die Auswertung der gewonnenen Daten sind wir in der Lage, Informationen über die Nutzung der einzelnen Komponenten unserer Dienste zusammenzustellen. Dies hilft uns, unsere Dienste und deren Usability kontinuierlich zu verbessern.

Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie es zur Erfüllung des beabsichtigten Zwecks erforderlich ist.

16. SICHERE ÜBERTRAGUNG PERSONENBEZOGENER DATEN

Wir setzen angemessene technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre bei uns gespeicherten personenbezogenen Daten optimal gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Die Sicherheitsstufen werden in Zusammenarbeit mit Sicherheitsexperten kontinuierlich überprüft und an neue Sicherheitsstandards angepasst.

Der Datenaustausch vom und zur Plattform sowie von und zur App erfolgt verschlüsselt. Wir bieten SSL als Verschlüsselungsprotokoll für eine sichere Datenübertragung an. Auch der Datenaustausch ist durchgehend verschlüsselt und erfolgt mit Pseudoschlüsseln.

17. DATENÜBERTRAGUNGEN / OFFENLEGUNG AN DRITTE

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur im Rahmen der gesetzlichen Bestimmungen oder auf Grundlage Ihrer Einwilligung. In allen anderen Fällen werden die Informationen nicht an Dritte weitergegeben, es sei denn, wir sind aufgrund zwingender gesetzlicher Vorschriften dazu verpflichtet (Weitergabe an externe Stellen, einschließlich Aufsichts- oder Strafverfolgungsbehörden).

Jede Übertragung personenbezogener Daten wird während der Übertragung verschlüsselt.

Die Informationen, wie wir mit den persönlichen (Gesundheits-) Daten Ihrer Patienten, die die myoncare App nutzen, umgehen, sind in einer separaten Datenschutzerklärung für die myoncare Patienten-App zusammengefasst. Sie finden die Datenschutzerklärung für Patienten hier.

Bitte lesen Sie auch diese Datenschutzerklärung für Patienten sorgfältig durch. Für einen Teil der Verarbeitung von Patientendaten sind Sie der Verantwortlicher für die Einhaltung des Datenschutzes.

18. ALLGEMEINE INFORMATIONEN ZUR EINWILLIGUNG IN DIE DATENVERARBEITUNG

18.1 Verarbeitung Ihrer eigenen personenbezogenen Daten

Die Datenschutzerklärung der ONCARE GmbH dient Ihrer Information gemäß Art. 13 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten als Nutzer der myoncare-Plattform (z. B. Kontakt-, Konto- und Nutzungsdaten).

Soweit für einzelne Verarbeitungen Ihrer eigenen Daten Ihre Einwilligung erforderlich ist, wird diese gesondert und ausdrücklich eingeholt. Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden; die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt. Die Verwaltung Ihrer Einwilligungen ist nach der Registrierung in den Kontoeinstellungen der myoncare-Plattform möglich.

18.2 Verarbeitung von Patientendaten über die Plattform

Soweit Sie über die myoncare-Plattform personenbezogene Daten Ihrer Patienten verarbeiten, handeln Sie als datenschutzrechtlich

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. ONCARE GmbH verarbeitet diese Daten ausschließlich in Ihrem Auftrag und nach Ihren Weisungen als Auftragsverarbeiter gemäß Art. 28 DSGVO. Grundlage hierfür ist der ggf. zwischen Ihnen und ONCARE GmbH abzuschließende Auftragsverarbeitungsvertrag.

19. DATENEMPFÄNGER / KATEGORIEN VON EMPFÄNGERN

In unserer Organisation stellen wir sicher, dass nur diejenigen Personen berechtigt sind, personenbezogene Daten zu verarbeiten, die zur Erfüllung ihrer vertraglichen und gesetzlichen Pflichten dazu verpflichtet sind.

In bestimmten Fällen unterstützen Dienstleister unsere Fachabteilungen bei der Erfüllung ihrer Aufgaben. Mit allen Dienstleistern, die Auftragsverarbeiter für personenbezogene Daten sind, wurden die erforderlichen Datenschutzvereinbarungen abgeschlossen. Bei diesen Dienstleistern handelt es sich um Anbieter von Cloud-Hosting-Services und Support-Dienstleistern.

Unsere Cloud-Hosting-Services stellen die isolierte Serverdomäne der myoncare-Plattform bereit, in der sowohl Ihre persönlichen Daten als auch die Ihrer Patienten gespeichert werden. Die Serverdomäne hostet auch den Video- und Dateiverwaltungsdienst von myoncare, der verschlüsselte Videokonferenzen und den Datenaustausch zwischen Ihnen und Ihrem Patienten ermöglicht. Der Zugriff auf Ihre persönlichen Daten durch Sie und Ihren Patienten wird durch das Versenden spezifischer Token gewährleistet. Diese personenbezogenen Daten werden während der Übertragung verschlüsselt und für ONCARE und seine Dienstleister während der Übertragung und im Ruhezustand pseudonymisiert. Die Leistungserbringer von ONCARE haben zu keinem Zeitpunkt Zugriff auf diese personenbezogenen Daten.

Des Weiteren setzen wir Dienstleister ein, um Serviceanfragen (Support-Dienstleister) bezüglich der Nutzung des Accounts zu bearbeiten, z.B. wenn Sie Ihr Passwort vergessen haben, Ihre gespeicherte E-Mail-Adresse ändern möchten etc. Mit diesen Dienstleistern wurden die erforderlichen Auftragsverarbeitungsverträge abgeschlossen; darüber hinaus wurden die mit der Bearbeitung von Serviceanfragen betrauten Mitarbeiter entsprechend geschult. Nach Erhalt Ihrer Serviceanfrage wird Ihnen eine Ticketnummer zugewiesen.

Handelt es sich um eine Serviceanfrage bezüglich Ihrer Account-Nutzung, werden die relevanten Informationen, die Sie uns bei der Kontaktaufnahme zur Verfügung gestellt haben, an einen der autorisierten Mitarbeiter des externen Dienstes weitergeleitet. Er wird sich dann mit Ihnen in Verbindung setzen. Andernfalls bleiben sie weiterhin von speziell zugelassenen ONCARE-Mitarbeitern verarbeitet, wie unter "VERARBEITUNG VON OPERATIVEN DATEN" beschrieben.

Über unsere Support-Dienstleister nutzen wir das Tool RepairCode, auch bekannt als Digital Twin Code. Dies ist eine Customer-Experience-Plattform zur Bearbeitung externer Rückmeldungen mit der Möglichkeit, Support-Tickets zu erstellen. Hier finden Sie die  Datenschutzrichtlinie: https://app.repaircode.de/?main=main-client – Rechtliches/privacy.

Schlussendlich zeigen wir Ihnen Inhalte von Instagram (Anbieter: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland) an (z. B. Bilder, Videos oder Beiträge). Wenn Sie auf einen verlinkten Instagram Beitrag klicken, werden Sie zu Instagram weitergeleitet. Dabei können von Instagram Cookies gesetzt und Nutzerdaten verarbeitet werden.

Wenn Sie eine Seite mit verlinktem Instagram Beitrag aufrufen, kann Ihr Browser automatisch eine Verbindung zu den Servern von Instagram herstellen. Instagram erhält dadurch die Information, dass Sie unsere Website besucht haben, selbst wenn Sie kein Instagram-Konto besitzen oder nicht eingeloggt sind. Falls Sie eingeloggt sind, kann Instagram den Besuch Ihrem Benutzerkonto zuordnen.

Datenschutzerklärung: https://privacycenter.instagram.com/policy

20. ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER

Zur Erbringung unserer Dienste können wir Dienstleister in Anspruch nehmen, die außerhalb der Europäischen Union ansässig sind. Wenn die Daten in ein Drittland übertragen werden, in welchem der Schutz für personenbezogene Daten als nicht angemessen beurteilt wurde, stellen wir sicher, dass angemessene Maßnahmen in Übereinstimmung mit nationalem und europäischem Recht getroffen werden und dass – falls erforderlich – entsprechende Standardvertragsklauseln zwischen den verarbeitenden Parteien vereinbart wurden.

Personenbezogene Daten, die von der myoncare-Plattform oder der myoncare-App erfasst werden, werden nicht in den App-Stores gespeichert. Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums) erfolgt nur, wenn dies zur Erfüllung der vertraglichen Verpflichtung erforderlich ist, gesetzlich vorgeschrieben ist oder Sie uns Ihre Einwilligung erteilt haben.

Zu Analysezwecken enthalten die mit Brevo oder SendGrid versendeten E-Mails ein sogenanntes "Zählpixel", das sich beim Öffnen der E-Mail mit den Servern von Brevo oder Sendgrid verbindet. Damit kann festgestellt werden, ob eine E-Mail-Nachricht geöffnet wurde.

Rechtsgrundlage: Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung können Sie jederzeit widerrufen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.

Bitte beachten Sie, dass Ihre E-Mails von uns an einen Server von Brevo in Deutschland oder an einen Server von SendGrid in den USA übermittelt und dort gespeichert werden. Wir haben mit Sendgrid einen Vertrag abgeschlossen, der die EU-Standardvertragsklauseln enthält. Dadurch wird sichergestellt, dass ein Schutzniveau besteht, das mit dem der EU vergleichbar ist.

Wir binden Inhalte von Instagram ein, die von der Meta Platforms Ireland Ltd. bereitgestellt werden. Wenn Sie einen verlinkten Instagram Beitrag anklicken, kann es sein, dass personenbezogene Daten (z. B. IP-Adresse, Browser-Informationen, Interaktionen) an Meta Platforms Inc. in die USA oder andere Drittländer übermittelt werden.

Meta ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert, wodurch für die Übermittlung in die USA ein angemessenes

Datenschutzniveau anerkannt ist. Dennoch können auch Daten in Länder übertragen werden, für die kein Angemessenheitsbeschluss der Europäischen Kommission besteht. In solchen Fällen können zusätzliche Schutzmaßnahmen erforderlich sein, deren Wirksamkeit jedoch nicht immer garantiert werden kann.

Zur Verarbeitung von Aktivitätsdaten werden auf dem mobilen Gerät des App-Nutzers Schnittstellen zu Google Cloud-Diensten (im Fall von GoogleFit) oder zu AppleHealth oder Withings verwendet. Die myoncare Tools nutzen diese Schnittstellen, die von Google, Apple und Withings bereitgestellt werden, um Aktivitätsdaten von den verbundenen Gesundheits-Apps anzufordern. Die von den myoncare Tools gesendete Anfrage enthält keine personenbezogenen Daten. Personenbezogene Daten werden den myoncare Tools über diese Schnittstellen zur Verfügung gestellt.

21. DAUER DER SPEICHERUNG PERSONENBEZOGENER DATEN

Wir bewahren Ihre personenbezogenen Daten so lange auf, wie sie für den Zweck, für den sie verarbeitet werden, erforderlich sind. Bitte beachten Sie, dass zahlreiche Aufbewahrungsfristen die weitere Speicherung personenbezogener Daten erfordern. Dies gilt insbesondere für handels- oder steuerrechtliche Aufbewahrungspflichten.

Bitte beachten Sie, dass ONCARE auch Aufbewahrungspflichten unterliegt, die aufgrund der gesetzlichen Bestimmungen vertraglich mit Ihnen vereinbart werden. Darüber hinaus gelten aufgrund der Klassifizierung und gegebenenfalls Ihrer Nutzung der myoncare-Plattform und der myoncare-App als Medizinprodukt bestimmte Aufbewahrungsfristen für die Plattform, die sich aus dem Medizinproduktegesetz ergeben. Sofern keine anderweitigen Aufbewahrungspflichten bestehen, werden die personenbezogenen Daten routinemäßig gelöscht, sobald der Zweck erreicht ist.

Darüber hinaus können wir personenbezogene Daten aufbewahren, wenn Sie uns Ihre Einwilligung dazu erteilt haben oder wenn es zu einem Rechtsstreit kommt und wir innerhalb der gesetzlichen Verjährungsfristen, die bis zu 30 Jahre betragen können, Beweismittel verwenden; Die regelmäßige Verjährungsfrist beträgt drei Jahre.

22. KEINE AUTOMATISIERTE ENTSCHEIDUNGEN IN EINZELFÄLLEN

Wir verwenden keine rein automatisierte Verarbeitung, um Entscheidungen zu treffen.

23. IHRE RECHTE ALS BETROFFENE PERSON

Für die Begründung, Durchführung und Beendigung des Vertragsverhältnisses und die Erfüllung der damit verbundenen vertraglichen und gesetzlichen Pflichten sind verschiedene personenbezogene Daten erforderlich. Gleiches gilt für die Nutzung unserer myoncare-Plattform und die verschiedenen Funktionen, die es bietet.

In bestimmten Fällen müssen personenbezogene Daten auch gemäß den gesetzlichen Bestimmungen erhoben oder zur Verfügung gestellt werden. Bitte beachten Sie, dass es ohne die Bereitstellung dieser personenbezogenen Daten nicht möglich ist, Ihre Anfrage zu bearbeiten oder die zugrundeliegende vertragliche Verpflichtung zu erfüllen.

24. IHRE RECHTE ALS BETROFFENE PERSON

Wir möchten Sie über Ihre Rechte als betroffene Person informieren. Diese Rechte sind in den Artikeln 15 bis 22 DSGVO festgelegt und umfassen:

Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft darüber zu verlangen, ob und wie Ihre personenbezogenen Daten verarbeitet werden, einschließlich Informationen über die Verarbeitungszwecke, Empfänger, Speicherdauer sowie Ihre Rechte auf Berichtigung, Löschung und Widerspruch. Sie haben auch das Recht, eine Kopie aller personenbezogenen Daten zu erhalten, die wir über Sie gespeichert haben.

Recht auf Löschung / Recht auf Vergessenwerden (Art. 17 DSGVO): Sie können von uns verlangen, dass Ihre von uns erhobenen und verarbeiteten personenbezogenen Daten unverzüglich gelöscht werden. In diesem Fall werden wir Sie bitten, die myoncare.Plattform von Ihrem Computer zu löschen. Bitte beachten Sie jedoch, dass wir Ihre personenbezogenen Daten erst nach Ablauf der gesetzlichen Aufbewahrungsfristen löschen können.  

Recht auf Berichtigung (Art. 16 DSGVO): Sie können von uns verlangen, dass wir unrichtige personenbezogene Daten, die Sie betreffen, aktualisieren oder korrigieren oder unvollständige personenbezogene Daten vervollständigen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Grundsätzlich können Sie von uns verlangen, dass wir Ihnen personenbezogene Daten, die Sie uns bereitgestellt haben und die aufgrund Ihrer Einwilligung oder der Durchführung eines Vertrages mit Ihnen automatisiert verarbeitet werden, in maschinenlesbarer Form zur Verfügung stellen, damit sie zu einem Ersatzdienstleister "portiert" werden können.

Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn die Richtigkeit der Daten bestritten wird, die Verarbeitung unrechtmäßig ist, die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden oder ein Widerspruch gegen die Verarbeitung geprüft wird.

Recht auf Widerspruch gegen die Datenverarbeitung (Art. 21 DSGVO): Sie haben das Recht, der Verwendung Ihrer personenbezogenen Daten durch uns zu widersprechen und Ihre Einwilligung jederzeit zu widerrufen, wenn wir Ihre personenbezogenen Daten auf der Grundlage Ihrer Einwilligung verarbeiten. Wir werden unsere Dienstleistungen auch dann weiterhin erbringen, wenn sie nicht von einer widerrufenen Einwilligung abhängig sind.

Um diese Rechte auszuüben, kontaktieren Sie uns bitte unter: privacy@myoncare.com. Widerspruch und Widerruf der Einwilligung sind in Textform gegenüber privacy@myoncare.com einzureichen.

Wir verlangen von Ihnen einen ausreichenden Nachweis Ihrer Identität, um sicherzustellen, dass Ihre Rechte geschützt sind und dass Ihre personenbezogenen Daten nur an Sie und nicht an Dritte weitergegeben werden.

Bitte kontaktieren Sie uns auch jederzeit unter privacy@myoncare.com , wenn Sie Fragen zur Datenverarbeitung in unserem Unternehmen haben oder wenn Sie Ihre Einwilligung widerrufen möchten. Sie haben auch das Recht, sich an die zuständige Datenschutzaufsichtsbehörde zu wenden.

25. EXTERNE LINKS

Die Plattform myoncare kann durch die Oncare GmbH selbst sowie durch den jeweiligen Leistungserbringer mit sogenannten Hyperlinks versehen werden. Hyperlinks ermöglichen es Nutzern, durch Anklicken zu externen Webseiten oder Inhalten von Drittanbietern zu gelangen (z. B. Podcasts, Videos, Informationsseiten).

Beim Anklicken eines solchen Hyperlinks verlässt der Nutzer die myoncare-Plattform. Der externe Charakter der Verlinkung soll für den Nutzer erkennbar gemacht werden, etwa durch Hinweise wie „externer Link“, „Weiterführender Inhalt (externer Anbieter)“ oder „Video auf einer externen Plattform“.

Für die Inhalte der verlinkten externen Webseiten sowie für die dortige Verarbeitung personenbezogener Daten ist ausschließlich der jeweilige Drittanbieter datenschutzrechtlich verantwortlich. Die Oncare GmbH hat keinen Einfluss auf die Gestaltung, Inhalte oder datenschutzrechtlichen Praktiken externer Webseiten und übernimmt hierfür keine Verantwortung.

Die in dieser Datenschutzerklärung beschriebenen Verarbeitungen personenbezogener Daten gelten ausschließlich für die Nutzung der Plattform myoncare. Für die Datenverarbeitung auf verlinkten externen Webseiten gelten die jeweiligen Datenschutzhinweise und Nutzungsbedingungen der Drittanbieter.

Soweit Leistungserbringer im Rahmen der Nutzung der Plattform eigenständig Hyperlinks zu externen Inhalten setzen, erfolgt dies in ihrer eigenen datenschutzrechtlichen Verantwortung.

26. EINBINDUNG VON ADOBE-DIENSTEN

Zur Anzeige von PDF-Dokumenten innerhalb unserer Anwendung nutzen wir einen Online-Dienst der Adobe Inc., 345 Park Avenue, San Jose, CA 95110-2704, USA („Adobe“).

Beim Aufruf eines PDF-Dokuments wird eine Verbindung zu Servern von Adobe hergestellt. Dabei können insbesondere technische Zugriffsdaten (z. B. IP-Adresse, Geräte- und Browserinformationen) verarbeitet werden. Die Verarbeitung erfolgt ausschließlich zum Zweck der technisch zuverlässigen Darstellung von PDF-Dateien.

Adobe verarbeitet personenbezogene Daten in eigener datenschutzrechtlicher Verantwortlichkeit. Wir haben keinen Einfluss auf Art, Umfang und weitere Verwendung der durch Adobe verarbeiteten Daten.

Es kann nicht ausgeschlossen werden, dass eine Verarbeitung von Daten in den USA erfolgt. Adobe ist nach dem EU-US Data Privacy Framework zertifiziert und verwendet ergänzend geeignete Garantien gemäß Art. 46 DSGVO.

Weitere Informationen zur Datenverarbeitung durchn Adobe finden Sie in der Datenschutzerklärung von Adobe unter: https://www.adobe.com/de/privacy/policy.htm

27. WEBFONTS UND DARSTELLUNGSTECHNOLOGIEN

Zur Darstellung von Schriftarten und zur konsistenten visuellen Gestaltung der Benutzeroberfläche können Webfonts eingesetzt werden.

Soweit externe Dienste zur Bereitstellung von Schriftarten eingesetzt werden (z. B. Google Fonts), erfolgt dies ausschließlich unter Einhaltung der gesetzlichen Vorgaben der Art. 44 ff. DSGVO.

Die Verarbeitung beschränkt sich auf technisch notwendige Zugriffsdaten (z. B. IP-Adresse, Browserinformationen, Gerätetyp, aufrufende URL) und dient ausschließlich der funktionalen und benutzerfreundlichen Darstellung der Plattform.

28. DATENSCHUTZBEAUFTRAGTER

Unseren Datenschutzbeauftragten für alle Fragen zum Datenschutz erreichen Sie unter privacy@myoncare.com.

29. VORBEHALT DER ÄNDERUNGEN DIESER DATENSCHUZTINFORMATION

Wir behalten uns ausdrücklich das Recht vor, diese Datenschutzerklärung in Zukunft nach eigenem Ermessen zu ändern. Änderungen oder Ergänzungen können beispielsweise notwendig sein, um gesetzlichen Anforderungen zu entsprechen, technische und wirtschaftliche Entwicklungen zu berücksichtigen oder den Interessen der App- oder Plattform-Nutzer gerecht zu werden. Änderungen sind jederzeit möglich und werden Ihnen in geeigneter Weise und innerhalb eines angemessenen Zeitrahmens vor ihrem Inkrafttreten mitgeteilt (z. B. durch Veröffentlichung einer überarbeiteten Datenschutzerklärung beim Login oder durch Vorankündigung wesentlicher Änderungen).

ONCARE GmbH Postanschrift: Balanstraße 71a, 81541 München, Deutschland

T | +49 (0) 89 4445 1156 E | privacy@myoncare.com

Kontaktdaten des Datenschutzbeauftragten privacy@myoncare.com

Sofern medizinische Inhalte oder Leistungen über den integrierten myon.clinic Store bezogen oder angeboten werden, erfolgt die inhaltliche und wirtschaftliche Verantwortung durch die myon.clinic GmbH, eine Tochtergesellschaft der Oncare GmbH. Die Oncare GmbH stellt in diesem Kontext ausschließlich die technische Plattform bereit. privacy@myon.clinic

Bei Auslegungsfragen oder Streitigkeiten ist ausschließlich die deutsche Fassung der Datenschutzerklärung verbindlich und maßgeblich.

STAND März 2026

* * *

Es folgen ergänzende Datenschutzregelungen für Leistungserbringer, die im Rahmen einer HIPAA-pflichtigen Tätigkeit als Covered Entity oder im Auftrag einer solchen in den Vereinigten Staaten von Amerika tätig werden:

Der Schutz personenbezogener Gesundheitsdaten (PHI) nach HIPAA greift ausschließlich, wenn diese Daten im Rahmen des US-

Gesundheitssystems durch eine sog. Covered Entity oder einen Business Associate verarbeitet werden – unabhängig von der Staatsangehörigkeit oder dem Wohnsitz der betroffenen Person. Entscheidend ist allein, dass die Verarbeitung unter den Anwendungsbereich des HIPAA fällt.

Haftungs- und Verantwortlichkeitszuordnung nach Einsatzland

Diese Datenschutzerklärung gilt einheitlich für alle Leistungserbringer, die die myoncare-Plattform nutzen.

Die datenschutzrechtliche Verantwortlichkeit sowie die haftungsrechtliche Zurechnung richten sich jedoch ausschließlich nach dem jeweiligen Einsatzland der Plattform und dem zugrunde liegenden Vertragsverhältnis.

•        Für Leistungserbringer mit Sitz oder Tätigkeit innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums ist ausschließlich die ONCARE GmbH

datenschutzrechtlich Verantwortliche im Sinne der DSGVO.

•        Für Leistungserbringer mit Sitz oder Tätigkeit in den Vereinigten Staaten von Amerika sowie bei jeder HIPAA-pflichtigen Nutzung ist ausschließlich die myoncare Inc.

datenschutzrechtlich Verantwortliche, haftende Stelle und – soweit anwendbar – Business Associate im Sinne von HIPAA.

Die jeweils andere Gesellschaft ist in diesen Fällen weder Verantwortlicher noch Auftragsverarbeiter noch haftende Partei.

Für Leistungserbringer in den USA bzw. bei HIPAA-pflichtiger Nutzung ist ausschließlich die myoncare Inc. (“MYONCARE INC.”) verantwortlich und haftend.

Die ONCARE GmbH übernimmt in diesen Fällen keine datenschutzrechtliche oder haftungsrechtliche Verantwortung.

🇺🇸 Ergänzende Datenschutzregelungen für Leistungserbringer in den Vereinigten Staaten von Amerika (HIPAA)

Vorbemerkung / Charakter dieser Anlage

Diese Anlage ist kein eigenständiger Datenschutzhinweis und begründet keine eigenständige datenschutzrechtliche oder haftungsrechtliche Verantwortlichkeit der ONCARE GmbH.

Sie ergänzt die vorstehende Datenschutzerklärung ausschließlich für den Sonderfall einer HIPAA-relevanten Nutzung und gilt nur im Rahmen eines jeweils bestehenden Vertragsverhältnisses mit der MYONCARE INC.

1. Geltungsbereich

Diese HIPAA-Ergänzung gilt für Leistungserbringer, die über die myoncare-Plattform Protected Health Information (PHI) verarbeiten, speichern oder übermitteln, sofern und soweit

•        ein HIPAA-regulierter Vertragspartner (Covered Entity) beteiligt ist und

•        die jeweilige Verarbeitung unter ein HIPAA-relevantes Vertragsverhältnis fällt, in dem MYONCARE INC. als Business Associate oder als Sub-Business Associate tätig wird.

Eine Anwendung dieser Anlage außerhalb eines solchen HIPAA-relevanten Vertragsverhältnisses ist ausgeschlossen.

2. Rollen und Verantwortlichkeiten

2.1 MYONCARE INC.

Soweit diese Anlage Anwendung findet, handelt MYONCARE INC. vertrags- und funktionsabhängig als

•        Business Associate oder

•        Sub-Business Associate im Sinne der HIPAA Privacy Rule (45 CFR § 160.103).

Die jeweilige Rolle ergibt sich ausschließlich aus dem konkret zugrunde liegenden HIPAA-konformen Vertragsverhältnis, insbesondere aus einem Business Associate Agreement (BAA).

2.2 ONCARE GmbH

Die ONCARE GmbH

•      ist nicht Covered Entity,

•      nicht Business Associate und

•      nicht Sub-Business Associate im Sinne der HIPAA,

und ist nicht Partei eines HIPAA-relevanten Vertragsverhältnisses.

Sie übernimmt keine Pflichten, Verantwortlichkeiten oder Haftung nach US-amerikanischem Datenschutz- oder Gesundheitsrecht, insbesondere nicht nach HIPAA.

2.3 Leistungserbringer

Der jeweilige Leistungserbringer handelt – abhängig von der vertraglichen Einbindung – entweder

•        als Workforce Member der Covered Entity oder

•        als externer Dienstleister der Covered Entity oder eines Business Associate im Sinne von 45 CFR § 160.103 ff.

Eine eigenständige Rolle als Business Associate wird durch diese Anlage nicht begründet.

3. Verarbeitungsrahmen

Die Nutzung der myoncare-Plattform durch Leistungserbringer über MYONCARE INC. erfolgt ausschließlich auf Grundlage bestehender HIPAA-konformer Vereinbarungen mit der jeweiligen Covered Entity.

Die Verarbeitung umfasst insbesondere:

•        die Dokumentation von Behandlungsverläufen und medizinischen Leistungen,

•        die Kommunikation mit Patienten über HIPAA-konforme Kommunikationskanäle (z. B. TLS-gesicherte Übertragung),

•        den Zugriff auf strukturierte Patientendaten zur medizinischen Versorgung oder Qualitätssicherung.

4. Vertraulichkeit und Zugriffskontrolle

Leistungserbringer verpflichten sich, sämtliche PHI vertraulich zu behandeln und den Zugriff auf PHI auf das erforderliche Maß gemäß dem Minimum Necessary Standard (45 CFR § 164.502(b)) zu beschränken.

Zugriffe erfolgen ausschließlich rollenbasiert und werden auditierbar protokolliert.

5. Technische und organisatorische Sicherheitsmaßnahmen

MYONCARE INC. implementiert technische und organisatorische Maßnahmen gemäß der HIPAA Security Rule (45 CFR Part 164, Subpart C), insbesondere:

•        Verschlüsselung gespeicherter Daten (z. B. AES-256),

•        verschlüsselte Datenübertragung (z. B. TLS),

•        Mehrfaktor-Authentifizierung,

•        regelmäßige Risikoanalysen gemäß 45 CFR § 164.308(a)(1)(ii)(A),

•        dokumentierte Incident-Response-Prozesse.

6. Datenverarbeitung außerhalb der USA

Ein Zugriff auf oder eine Verarbeitung von PHI außerhalb der Vereinigten Staaten (z. B. Hosting innerhalb der EU) erfolgt ausschließlich:

•       auf Grundlage einer HIPAA-konformen vertraglichen Absicherung (z. B. Sub-BAA),

•       mit dokumentierter Zustimmung der Covered Entity,

•        unter Einhaltung der HIPAA Security Rule sowie ergänzender internationaler Standards (z. B. ISO 27001),

•        mit durchgängiger Verschlüsselung und Zugriffskontrolle.

7. Meldung von Sicherheitsvorfällen

Leistungserbringer sind verpflichtet, MYONCARE INC. unverzüglich über jeden Vorfall zu informieren, der zu einem unautorisierten Zugriff auf PHI führen könnte (Security Incident oder Breach gemäß 45 CFR §§ 164.304, 164.402).

MYONCARE INC. koordiniert die gesetzlich erforderlichen Meldungen gegenüber der Covered Entity.

8. Audit- und Kontrollrechte der Covered Entity

Die Covered Entity ist berechtigt, im Rahmen eines Audits die Einhaltung der HIPAA-Anforderungen durch MYONCARE INC. und eingebundene Leistungserbringer zu überprüfen.

Leistungserbringer sichern hierfür ihre vollständige Mitwirkung zu.

9. Keine unautorisierte Weitergabe

Eine Weitergabe von PHI außerhalb der myoncare-Plattform ist nur zulässig, wenn

•        eine wirksame Authorization gemäß 45 CFR § 164.508 vorliegt oder

•        die Weitergabe ausdrücklich vertraglich vorgesehen ist.

10. Vorrangregelung

Im Falle eines Widerspruchs zwischen dieser HIPAA-Ergänzung und anderen Datenschutzregelungen gilt die strengere Regelung, sofern dies rechtlich zulässig ist.

11. Unterstützung bei Betroffenenrechten

Leistungserbringer unterstützen MYONCARE INC. und die Covered Entity bei der Erfüllung der Betroffenenrechte gemäß 45 CFR §§ 164.524–528, insbesondere bei:

•        Accounting of Disclosures,

•        Berichtigung fehlerhafter PHI,

•        Umsetzung von Nutzungseinschränkungen.

Die Koordination erfolgt über MYONCARE INC.

12. Datenschutzschulung

Leistungserbringer führen mindestens jährlich eine dokumentierte Schulung zu HIPAA- und – sofern anwendbar – DSGVO-Anforderungen durch. MYONCARE INC. kann hierfür Schulungsmaterialien oder E-Learning-Zugänge bereitstellen.

13. Sekundärnutzung und Forschung

Eine Nutzung von PHI zu Forschungs-, Analyse- oder Marketingzwecken ist unzulässig, es sei denn,

•        es liegt eine gültige Authorization gemäß 45 CFR § 164.508 vor oder

•        es besteht ein gesonderter HIPAA-konformer Forschungsdatennutzungsvertrag.

14. Koordination mit DSGVO

Bei gleichzeitiger Anwendbarkeit von DSGVO und HIPAA stellt MYONCARE INC. die Koordination der Pflichten sicher.

Leistungserbringer verpflichten sich insbesondere, keine Drittlandübermittlungen ohne geeignete Garantien vorzunehmen.

15. Ergänzende US-Bundesstaatenregelungen

Ergänzend zu HIPAA können einzelstaatliche Datenschutzgesetze (z. B. CCPA/CPRA, SHIELD Act, BIPA) Anwendung finden. MYONCARE INC. stellt auf Anfrage ergänzende Hinweise bereit.

16. Keine kommerzielle Nutzung von Nutzerdaten

Personenbezogene Daten von Plattformnutzern werden nicht zu Marketing- oder Forschungszwecken verarbeitet.

MYONCARE INC. nutzt ggf. ausschließlich vollständig anonymisierte (“de-identified” gem. 45 CFR §164.514(a)–(c)) technische Nutzungsdaten, die keine PHI darstellen.

***

Datenschutzerklärung für Patienten für die Nutzung der myoncare Mobile-App und der myoncare Progressive Web App/PWA

For older versions: Archive

---

STAND MÄRZ 2026  

Einleitung

Der Schutz Ihrer personenbezogenen Daten, insbesondere Ihrer Gesundheitsdaten, hat für uns höchste Priorität. In dieser Datenschutzerklärung informieren wir Sie transparent darüber, wie personenbezogene Daten bei der Nutzung der myoncare Mobile-App und der myoncare Progressive Web App/PWA (zusammen genommen myoncare „MOBILE“) verarbeitet werden.

1. Worum geht es in dieser Datenschutzerklärung?

Diese Datenschutzerklärung erläutert, wie personenbezogene Daten verarbeitet werden, wenn Sie die myoncare MobileApp oder myoncare PWA im Rahmen Ihrer Betreuung oder Leistungserbringung durch einen Leistungserbringer (z. B.

Arztpraxis, Klinik, Therapieeinrichtung oder sonstige medizinische oder nicht-medizinische Anbieter von Gesundheits-,

Präventions-, Beratungs- oder Betreuungsleistungen. Sie erhalten insbesondere Informationen darüber, wer für welche Verarbeitung verantwortlich ist, welche Daten betroffen sind, zu welchen Zwecken die Daten verarbeitet werden und welche Rechte Sie haben.

2. Wer ist wofür verantwortlich? (Rollen nach DSGVO)

Bei myoncare sind regelmäßig zwei Stellen beteiligt:

•        Ihr Leistungserbringer (z. B. Ihre Arztpraxis/Klinik/medizinische Einrichtung): Er entscheidet über Zwecke und Mittel der Verarbeitung Ihrer Behandlungs- und Gesundheitsdaten und ist dafür datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO).

•        ONCARE GmbH („ONCARE“): Sie stellt die technischen Anwendungen (Mobile-App/PWA) bereit und verarbeitet Behandlungs- und Gesundheitsdaten im Regelfall ausschließlich im Auftrag Ihres Leistungserbringers als Auftragsverarbeiter (Art. 28 DSGVO).

Wichtig: Die Datenschutzerklärungen, die Ihnen im Rahmen des digitalen Onboardings angezeigt werden, sowie die Einholung ggf. erforderlicher Einwilligungen (z. B. zu bestimmten Zusatzfunktionen) erfolgen ausschließlich im Namen und in der Verantwortung Ihres Leistungserbringers. ONCARE hat keinen Einfluss auf den Inhalt der

Datenschutzerklärungen Ihres Leistungserbringers oder darauf, ob und welche Einwilligungen eingeholt werden.

ONCARE trifft keine eigenständigen Entscheidungen über Zwecke und Mittel der Verarbeitung von Behandlungs- oder Gesundheitsdaten. Eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO besteht insoweit nicht.

In bestimmten Fällen verarbeitet ONCARE Daten auch in eigener Verantwortung, insbesondere wenn dies für den sicheren technischen Betrieb der App/Plattform erforderlich ist (z. B. IT-Sicherheit, Missbrauchsprävention, Bereitstellung grundlegender Plattformfunktionen). In solchen Fällen ist ONCARE Verantwortlicher im Sinne der DSGVO; hier ihre Kontaktdaten:

3. Verantwortliche Stellen und Kontakt

3.1 Ihr Leistungserbringer (Verantwortlicher für Behandlungs-/Gesundheitsdaten)

Die Kontaktdaten Ihres Leistungserbringers (einschließlich Datenschutzkontakt/Datenschutzbeauftragter, falls vorhanden) finden Sie in den Datenschutzhinweisen, die Ihnen Ihr Leistungserbringer zur Verfügung stellt (z. B. in der Praxis, auf der Website oder innerhalb des Onboardings).

3.2 ONCARE GmbH (Auftragsverarbeiter und teilweise Verantwortlicher)

ONCARE GmbH

Postanschrift: Balanstraße 71a, 81541 München, Deutschland

E-Mail: privacy@myoncare.com  

Telefon: +49 (0) 89 4445 1156

3.3 Datenschutzbeauftragter von ONCARE

Den Datenschutzbeauftragten von ONCARE erreichen Sie unter: privacy@myoncare.com

4. Grundsätze der Datenverarbeitung, Nutzung anonymisierter Daten

Medizinische personenbezogene Daten werden nicht zu kommerziellen oder werblichen Zwecken genutzt.

Davon unberührt bleibt gegebenenfalls die Nutzung vollständig anonymisierter Daten, bei denen kein Personenbezug mehr besteht und eine Re-Identifikation nach dem Stand der Technik ausgeschlossen ist. Solche anonymisierten Daten unterliegen nicht der DSGVO und können gegebenenfalls von ONCARE zu wissenschaftlichen, statistischen, regulatorischen, qualitätssichernden sowie kommerziellen Zwecken ausgewertet, kombiniert, an Dritte weitergegeben oder veräußert werden. Diese Daten enthalten keinerlei Informationen, die einen Rückschluss auf einzelne Personen ermöglichen.

5. Welche Daten werden verarbeitet?

Je nach Nutzung der App/Plattform können insbesondere folgende Daten verarbeitet werden – nach Kategorie:

•        Stammdaten und Kontaktdaten (z. B. Name, Geburtsdatum, Adresse, Krankenkasse, Versicherungsnummer, E‑MailAdresse, Telefonnummer).

•        Account- und Nutzungsdaten (z. B. Login-Informationen, IP-Adresse, Spracheinstellungen, Geräteinformationen, Protokolldaten).

•        Behandlungs- und Gesundheitsdaten (besondere Kategorien personenbezogener Daten, Art. 9 Abs. 1 DSGVO), z. B. Symptome, Fotos, Medikation, Fragebogenantworten, Diagnosen, Therapien, Behandlungspläne, Verlaufs- und Monitoringdaten sowie erledigte/geplante Aufgaben.

•        Kommunikationsinhalte (z. B. Nachrichten/Freigaben zwischen Ihnen und dem Leistungserbringer, soweit die Funktion genutzt wird).

6. Wofür und auf welcher Rechtsgrundlage werden Ihre Daten verarbeitet?

6.1 Bereitstellung der Behandlung über die App/Plattform (Verantwortung: Leistungserbringer)

Ihr Leistungserbringer nutzt myoncare, um Sie digital aufzunehmen, Ihre medizinische Behandlung und Versorgung durchführen zu können und mit Ihnen zu kommunizieren.

Dabei verarbeitet Ihr Leistungserbringer Ihre personenbezogenen Daten und – soweit erforderlich – Gesundheitsdaten, z.B. Angaben zu Symptomen, Diagnosen, Therapien, Medikationen, Behandlungspläne, Erinnerungen, Dokumenten/Dateiaustausch, Fragebögen, Monitoring. ONCARE verarbeitet diese Daten im Auftrag und nach Weisung des Leistungserbringers.

Rechtsgrundlagen liegen in der Verantwortung Ihres Leistungserbringers. Typischerweise kommen in Betracht:

•        Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Behandlungsvertrags bzw. vorvertragliche Maßnahmen), und

•        für Gesundheitsdaten Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung/Behandlung) i. V. m. den jeweils anwendbaren berufsrechtlichen und gesetzlichen Pflichten.

Sofern für einzelne Funktionen eine Einwilligung erforderlich ist (z. B. optionale Zusatzdienste), holt Ihr Leistungserbringer diese Einwilligung ein und verwaltet sie. Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen; Details dazu finden Sie in den Hinweisen Ihres Leistungserbringers.

Soweit über die Plattform Funktionen zur Unterstützung von Erstattungs- oder Abrechnungsprozessen genutzt werden, verarbeitet Ihr Leistungserbringer die hierfür erforderlichen Daten in eigener Verantwortung. ONCARE verarbeitet diese Daten ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO.

6.2 Technischer Betrieb, IT-Sicherheit und Missbrauchsprävention (Verantwortung: ONCARE)

ONCARE verarbeitet bestimmte Daten, um den sicheren technischen Betrieb der App/Plattform zu gewährleisten, Störungen zu erkennen und unberechtigte Zugriffe zu verhindern.

Dazu gehören insbesondere:

•        technische Protokolldaten (z. B. Zeitpunkte von Zugriffen, Geräte-/Browserinformationen),

•        Sicherheits- und Zugriffsdaten (z. B. zur Authentifizierung/Passwort-Reset),

•        eine IP-basierte Grob-Geolokalisierung zur Prüfung der Nutzungsberechtigung und zur Erkennung unberechtigter Zugriffe (nur Land/Region; keine GPS-Daten, keine Bewegungsprofile).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT‑Sicherheit und Schutz besonders sensibler Gesundheitsdaten). Die Standortdaten werden ausschließlich punktuell während des Log-In-Vorgangs verwendet.

Verarbeitet werden hierbei ausschließlich die IP-Adresse sowie daraus abgeleitete grobe Standortinformationen (z. B. Land oder Region). Exakte Standortdaten (z. B. GPS-Daten), Bewegungsprofile oder eine dauerhafte Lokalisierung finden nicht statt. Eine Zusammenführung der Standortdaten mit weiteren personenbezogenen Daten oder eine Profilbildung erfolgt nicht.

6.3 E-Mail-Kommunikation (Verantwortung: ONCARE bzw. Leistungserbringer je nach Inhalt)

Für bestimmte Funktionen (z. B. Kontoerstellung, Passwort zurücksetzen, wichtige Systeminformationen, Versand von Berichten) werden E-Mails versendet. Hierfür setzt ONCARE E‑Mail-Dienstleister ein. Inhalte, die medizinische Kommunikation Ihres Leistungserbringers betreffen, werden nur nach dessen Weisung verarbeitet.

6.4 Produktsicherheits- und Vigilanzdaten (Medizinprodukterecht)

Soweit die myoncare App/Plattform als Medizinprodukt im Sinne der anwendbaren europäischen

Medizinproduktevorschriften (z. B. Verordnung (EU) 2017/745 – MDR) betrieben wird, ist ONCARE gesetzlich verpflichtet, Maßnahmen zur Marktüberwachung, Produktsicherheit und zur Meldung schwerwiegender Vorkommnisse durchzuführen.

Hierfür kann ONCARE personenbezogene Daten, einschließlich Gesundheitsdaten, verarbeiten, soweit dies zur Erfüllung dieser gesetzlichen Verpflichtungen erforderlich ist.

Rechtsgrundlage ist

Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) in Verbindung mit Art. 9 Abs. 2 lit. i DSGVO (Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit).

In diesem Umfang handelt ONCARE eigenständig als Verantwortlicher.

6.5 Aktivitäts- und Wearable-Daten (optional)

Sofern Sie freiwillig eine Verbindung zu einem externen Gerät oder einer Gesundheitsplattform (z. B. Wearable, FitnessTracker, Blutdruckmessgerät) herstellen, können Aktivitäts- oder Vitaldaten an die Plattform übermittelt werden.

Dabei kann es sich insbesondere handeln um:

•        Schrittzahlen

•        Schlafdaten

•        Herzfrequenz

•        Blutdruckwerte •    sonstige vom jeweiligen System bereitgestellte Gesundheitsparameter.

Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer vorherigen ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie Art. 9 Abs. 2 lit. a DSGVO.

Die Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden. ONCARE verarbeitet diese Daten ausschließlich im Auftrag des jeweiligen Leistungserbringers.

7. An wen werden Daten weitergegeben?

Daten werden nur weitergegeben, wenn dies erforderlich ist (z. B. für den Betrieb der Dienste), gesetzlich erlaubt ist oder Sie/der Leistungserbringer zugestimmt haben. Empfänger können insbesondere sein:

•        Ihr Leistungserbringer und dessen berechtigte Mitarbeitende.

•        Technische Dienstleister von ONCARE (Unterauftragsverarbeiter) für Hosting, Wartung, Support, E-Mail-Versand – jeweils vertraglich nach Art. 28 DSGVO verpflichtet.

•        Dienstleister, die Daten in eigener Verantwortung verarbeiten, z. B. Adobe beim Öffnen von PDFs über einen OnlineService.

7.1.1 Hosting und Cloud-Infrastruktur

ONCARE nutzt je nach Kunde, Vertragskonstellation, regulatorischem Umfeld und Land des Einsatzes unterschiedliche Hosting- und Cloud-Dienstleister. Für jeden Leistungserbringer wird eine logisch getrennte Systemumgebung betrieben. Personenbezogene Daten werden in isolierten Serverbereichen gespeichert, sodass keine Vermischung mit Daten anderer Leistungserbringer erfolgt.

Die Verarbeitung erfolgt grundsätzlich innerhalb der EU/des EWR. Eine Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, sofern hierfür geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen (z. B. Data Privacy Framework (DPF) oder EU-Standardvertragsklauseln). Soweit erforderlich, werden ergänzende Schutzmaßnahmen umgesetzt.

7.1.2 Einsatz von Cloudflare (Content Delivery Network und IT-Sicherheit)

Zur sicheren und performanten Bereitstellung der myoncare Mobile-App sowie der Progressive Web App (PWA) setzt ONCARE den Dienst Cloudflare ein.

Anbieter ist: Cloudflare Germany GmbH, Rosental 7, 80331 München, Deutschland  (Muttergesellschaft: Cloudflare Inc., USA).

Cloudflare wird als sogenanntes Content Delivery Network (CDN) sowie zur Absicherung gegen Angriffe (z. B. DDoSAngriffe) eingesetzt. Dabei können insbesondere folgende technisch erforderliche Daten verarbeitet werden:

•        IP-Adresse

•        Datum und Uhrzeit des Zugriffs

•        aufgerufene Inhalte

•        Browser- und Geräteinformationen

•        Protokolldaten zur Angriffserkennung

Die Verarbeitung erfolgt ausschließlich zum Zweck der:

•        Gewährleistung der Systemsicherheit

•        Abwehr von Cyberangriffen

•        Sicherstellung der Verfügbarkeit

•        Optimierung der Ladegeschwindigkeit und Stabilität der Plattform

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Schutz besonders sensibler Gesundheitsdaten).

Cloudflare wird als Auftragsverarbeiter gemäß Art. 28 DSGVO eingesetzt. Es besteht ein entsprechender Auftragsverarbeitungsvertrag.

Eine Verarbeitung personenbezogener Daten kann auch in den USA erfolgen. Cloudflare ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich wurden geeignete Garantien gemäß Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln) abgeschlossen.

Die Speicherdauer der technisch erforderlichen Protokolldaten ist auf das notwendige Minimum beschränkt und beträgt regelmäßig weniger als 24 Stunden, sofern keine sicherheitsrelevante Auswertung erforderlich ist.

Weitere Informationen finden Sie unter:  https://www.cloudflare.com/privacypolicy.

Die Nutzung von Cloudflare dient ausschließlich technischen Sicherheitszwecken. Eine inhaltliche Auswertung medizinischer Daten durch Cloudflare findet nicht statt.

7.1.3 Einsatz von Google Firebase

Zur technischen Synchronisation zwischen der myoncare-App und der Plattform Ihres Leistungserbringers wird der Dienst Google Firebase (Google Ireland Ltd., Dublin, Irland) eingesetzt.

Dabei werden ausschließlich die zur Synchronisation erforderlichen Daten verarbeitet. Die Verarbeitung erfolgt pseudonymisiert und verschlüsselt. Eine direkte Zuordnung zu Ihrer Person ist für ONCARE und die eingesetzten technischen Dienstleister nicht möglich.

Google wird als Auftragsverarbeiter gemäß Art. 28 DSGVO eingesetzt.

7.2 E-Mail-Dienstleister (Brevo / SendGrid)

ONCARE verwendet Brevo (Sendinblue GmbH, Berlin) und SendGrid (Twilio Inc., USA) für den organisatorischen

Versand von E-Mails. Brevo bzw. SendGrid kann dabei für Transaktions-/Bestätigungs-E-Mails genutzt werden. Die Daten können auf Servern der jeweiligen Anbieter gespeichert werden; bei SendGrid ist eine Verarbeitung in den USA möglich. In diesen Fällen werden geeignete Garantien nach Art. 44 ff. DSGVO eingesetzt (z. B. EUStandardvertragsklauseln).

7.3 PDFs/Online-PDF-Anzeige (Adobe)

Wenn innerhalb der App/Plattform PDF-Dokumente über einen Adobe-Online-Service angezeigt werden, verarbeitet Adobe personenbezogene Daten in eigener datenschutzrechtlicher Verantwortlichkeit. Es kann nicht ausgeschlossen werden, dass dabei auch eine Verarbeitung in den USA erfolgt. Weitere Informationen finden Sie in der Datenschutzerklärung von Adobe.

7.4 Externe Links und Social-Media-Inhalte (z. B. Instagram)

Innerhalb der App/Plattform können Links zu externen Inhalten (z. B. Videos, Podcasts, Social-Media-Beiträge) enthalten sein. Beim Anklicken verlassen Sie die myoncare-Umgebung; für die Datenverarbeitung auf den verlinkten Seiten ist der jeweilige Anbieter verantwortlich. Beim Aufruf solcher Inhalte kann Ihr Browser eine direkte Verbindung zu Servern von Instagram herstellen. Dabei können personenbezogene Daten (z. B. IP-Adresse, Browserinformationen) verarbeitet und ggf. Cookies gesetzt werden und ggf. zu Drittlandübermittlungen kommen. Einzelne Dienste:

•       Es können Inhalte des Dienstes Instagram (Meta Platforms Ireland Ltd., Dublin, Irland) angezeigt oder verlinkt werden. Dies kann auch erfolgen, wenn Sie kein Instagram-Konto besitzen. Sofern Sie bei Instagram eingeloggt sind, kann der Besuch Ihrem Benutzerkonto zugeordnet werden. Weitere Informationen finden Sie in der Datenschutzrichtlinie von Instagram; https://privacycenter.instagram.com/policy/?entry_point=ig_help_center_data_policy_redirect

7.5 myon.clinic Store (optional)

Sofern medizinische Inhalte oder Leistungen über den integrierten myon.clinic Store bezogen oder angeboten werden, erfolgt die inhaltliche und wirtschaftliche Verantwortung durch die myon clinic GmbH (Tochtergesellschaft der ONCARE

GmbH). ONCARE stellt in diesem Kontext ausschließlich die technische Plattform bereit. Kontakt: privacy@myon.clinic .

7.6 Support- und Ticket-Systeme

Zur Bearbeitung technischer Serviceanfragen (z. B. Passwort-Reset, Änderung von Account-Daten) setzt ONCARE vertraglich gebundene Support-Dienstleister ein. Es werden ausschließlich die zur Bearbeitung erforderlichen AccountInformationen verarbeitet.

Mit allen Support-Dienstleistern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Die Mitarbeitenden sind entsprechend geschult und auf Vertraulichkeit verpflichtet.

7.7 Webfonts und Darstellungstechnologien

Zur einheitlichen und benutzerfreundlichen Darstellung der Inhalte der myoncare Mobile-App und der Progressive Web App (PWA) können Schriftarten („Webfonts“) eingesetzt werden.

Soweit externe Dienste zur Bereitstellung von Schriftarten genutzt werden (z. B. Google Fonts), kann es technisch erforderlich sein, dass Ihr Endgerät beim Aufruf der Plattform eine Verbindung zu Servern des jeweiligen Anbieters herstellt. Dabei können technisch notwendige Zugriffsdaten (z. B. IP-Adresse, Browsertyp, Gerätetyp, URL der aufrufenden Seite, Datum und Uhrzeit des Zugriffs) verarbeitet werden.

Eine solche Verarbeitung erfolgt ausschließlich zur funktionalen Darstellung der Benutzeroberfläche und nicht zu Analyse, Tracking- oder Marketingzwecken.

Soweit hierbei personenbezogene Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übermittelt werden, erfolgt dies ausschließlich unter Einhaltung der gesetzlichen Vorgaben der Art. 44 ff. DSGVO (z. B. auf Grundlage des Data Privacy Framework (DPF) oder von EU-Standardvertragsklauseln).

7.8 Nutzung von Matomo (optionale Nutzungsanalyse)

Zur Verbesserung der Funktionalität und Benutzerfreundlichkeit der myoncare Mobile App sowie der myoncare Progressive Web App PWA kann das Analysewerkzeug Matomo eingesetzt werden. Matomo ist eine Open Source Software zur statistischen Auswertung der Nutzung der Plattform.

Die Analyse erfolgt ausschließlich auf Servern unter der Kontrolle der ONCARE GmbH. Es findet keine Übermittlung der Daten an externe Analyseanbieter statt.

Die Nutzung von Matomo ist standardmäßig deaktiviert und wird nur aktiviert, wenn der Nutzer der anonymisierten Nutzungsanalyse ausdrücklich zustimmt.

Wenn Matomo aktiviert ist, können technische Nutzungsinformationen verarbeitet werden, insbesondere das verwendete Betriebssystem, der verwendete Browser der Gerätetyp, ungefähre Geolokalisierung, beispielsweise Land oder Region, technische Systeminformationen sowie Interaktionen innerhalb der App oder der PWA, wie beispielsweise aufgerufene Funktionen oder angeklickte Schaltflächen.

Die IP-Adresse wird vor der Verarbeitung gekürzt beziehungsweise anonymisiert, sodass kein unmittelbarer Personenbezug hergestellt werden kann.

Die Verarbeitung dient ausschließlich dazu die Nutzung der Plattform besser zu verstehen Funktionen und

Benutzerfreundlichkeit zu verbessern sowie technische Stabilität und Performance der myoncare Services zu optimieren.

Wenn der Nutzer der Nutzung von Matomo nicht zustimmt oder seine Einwilligung widerruft wird sein Nutzungsverhalten nicht erfasst.

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO Einwilligung.

Weitere Informationen sind unter https://matomo.org/privacy-policy verfügbar.

7.9 Optionale Nutzung einer KI gestützten Dokumentenerkennung OCR

Innerhalb bestimmter Caretasks der myoncare App kann Nutzern optional die Möglichkeit angeboten werden medizinische Dokumente beispielsweise Laborberichte oder Befunde hochzuladen um darin enthaltene Werte automatisiert auslesen zu lassen.

Diese Funktion basiert auf einer KI gestützten Dokumentenerkennung OCR Optical Character Recognition. Für die technische Verarbeitung kann eine KI-Technologie des Anbieters Google LLC insbesondere Gemini eingesetzt werden.

Die Nutzung dieser Funktion ist vollständig freiwillig. Nutzer werden innerhalb des jeweiligen Caretasks ausdrücklich gefragt, ob sie die automatische Erkennung nutzen möchten. Alternativ können alle Werte jederzeit manuell eingegeben werden.

Wenn ein Dokument zur automatisierten Auswertung hochgeladen wird, können insbesondere folgende Daten verarbeitet werden. Das hochgeladene Dokument (beispielsweise Laborberichte oder Befunde) darin enthaltene medizinische Informationen (beispielsweise Laborwerte, Referenzwerte oder Untersuchungsdaten) sowie technisch erforderliche Metadaten zur Verarbeitung des Dokuments.

Die Verarbeitung erfolgt ausschließlich zum Zweck der automatisierten Extraktion der im Dokument enthaltenen Informationen, um die Eingabe medizinischer Werte zu erleichtern. Die extrahierten Daten werden anschließend innerhalb der myoncare App angezeigt und können vom Nutzer überprüft und bestätigt werden.

Die eingesetzte KI dient ausschließlich der technischen Texterkennung und trifft keine medizinischen Entscheidungen.

Die Nutzung dieser Funktion erfolgt ausschließlich auf Grundlage einer ausdrücklichen Einwilligung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO Einwilligung sowie Art. 9 Abs. 2 lit. a DSGVO Einwilligung zur Verarbeitung von Gesundheitsdaten.

Soweit im Rahmen dieser Funktion eine Verarbeitung personenbezogener Daten durch externe technische Dienste erfolgt, kann eine Übermittlung in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums stattfinden. In diesem Fall erfolgt die Verarbeitung ausschließlich unter Einhaltung der Anforderungen der Art. 44 ff. DSGVO insbesondere auf Grundlage geeigneter Garantien wie EU-Standardvertragsklauseln oder des EU US Data Privacy Framework.

Die Nutzung dieser Funktion ist freiwillig und die Nutzung der übrigen Funktionen der myoncare App ist auch ohne Verwendung dieser OCR-Funktion möglich.

8. Wie lange werden Daten gespeichert?

ONCARE speichert personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist, und löscht sie danach, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Für Behandlungs- und Gesundheitsdaten gelten regelmäßig die Speicher- und Aufbewahrungspflichten Ihres Leistungserbringers; hierzu erhalten Sie Informationen direkt bei Ihrem Leistungserbringer. Gesetzliche Aufbewahrungs- und Dokumentationspflichten, insbesondere nach medizinprodukterechtlichen, handels- oder steuerrechtlichen Vorschriften, bleiben unberührt.

9. Ihre Rechte

Sie haben als betroffene Person die in den Art. 15 bis 22 DSGVO geregelten Rechte. Dazu gehören insbesondere:

Auskunft (Art. 15 DSGVO)

Sie haben das Recht, Auskunft darüber zu verlangen, ob personenbezogene Daten über Sie verarbeitet werden. Ist dies der Fall, haben Sie Anspruch auf Informationen über die Verarbeitungszwecke, Kategorien personenbezogener Daten, Empfänger, Speicherdauer sowie Ihre weiteren Rechte. Sie haben zudem Anspruch auf eine Kopie der personenbezogenen Daten. Berichtigung (Art. 16 DSGVO)

Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten verlangen.

Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Bitte beachten Sie, dass gesetzliche Aufbewahrungs- und Dokumentationspflichten – insbesondere im medizinischen Bereich – einer Löschung entgegenstehen können.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Unter den gesetzlichen Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.

Datenübertragbarkeit (Art. 20 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag beruht und automatisiert erfolgt, haben Sie das Recht, die von Ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen.

Widerspruch (Art. 21 DSGVO)

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung einlegen.

Widerruf von Einwilligungen

Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Zuständigkeit für die Wahrnehmung Ihrer Rechte

Für die Verarbeitung Ihrer Behandlungs- und Gesundheitsdaten ist Ihr Leistungserbringer datenschutzrechtlich verantwortlich. Bitte richten Sie entsprechende Anfragen grundsätzlich an Ihren Leistungserbringer.

ONCARE verarbeitet diese Daten in der Regel als Auftragsverarbeiter und unterstützt den Leistungserbringer bei der Erfüllung Ihrer Rechte im Rahmen des Auftragsverarbeitungsvertrags.

Soweit ONCARE personenbezogene Daten in eigener Verantwortung verarbeitet (z. B. zu Zwecken der IT-Sicherheit oder Produktsicherheit), können Sie Ihre Rechte unter privacy@myoncare.com geltend machen.

Sofern Ihre Daten im Rahmen einer HIPAA-regulierten Behandlung verarbeitet werden (siehe Ziff. 15), sind für die

Wahrnehmung Ihrer HIPAA-Rechte grundsätzlich die zuständige Covered Entity bzw. deren Privacy Office Ansprechpartner.

Identitätsnachweis

Zur Bearbeitung Ihrer Anfrage kann ein geeigneter Identitätsnachweis erforderlich sein, um sicherzustellen, dass personenbezogene Daten nicht unbefugt an Dritte herausgegeben werden.

Beschwerderecht

Sie haben außerdem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

10. Widerruf von Einwilligungen

Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt. Bitte beachten Sie: Einwilligungen, die Ihr Leistungserbringer einholt (z. B. im Onboarding), verwalten Sie regelmäßig über Ihren Leistungserbringer.

11. Besonderer Fall: Nutzung im betrieblichen Gesundheitsmanagement (BGM)

Wenn Sie die myoncare App im Rahmen eines betrieblichen Gesundheitsmanagements (z. B. Ihres Arbeitgebers) nutzen, können bestimmte Daten in aggregierter Form an das Unternehmen und ggf. beauftragte Datendienstleister weitergegeben werden, ohne dass diese Ihnen als Person zugeordnet können. In diesem Szenario ist regelmäßig das

Unternehmen (oder ein beauftragter Datenanbieter) Verantwortlicher; ONCARE verarbeitet die Daten als Auftragsverarbeiter nach deren Weisungen. Details erhalten Sie in den BGM-spezifischen Hinweisen Ihres Unternehmens.

Zur Verwaltung von Support-Anfragen kann das Tool „RepairCode“ (Digital Twin Code) eingesetzt werden. Hierbei handelt es sich um eine Plattform zur strukturierten Bearbeitung externer Anfragen. Weitere Informationen finden Sie unter: https://app.repaircode.de/?main=main-client - Rechtliches/privacy.

Soweit Daten über einen beauftragten Datendienstleister verarbeitet werden, erfolgt dies ausschließlich im Auftrag des jeweiligen Verantwortlichen.

12. Datensicherheit

ONCARE setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um Ihre Daten vor unbefugtem Zugriff, Verlust, Veränderung oder Offenlegung zu schützen. Hierzu zählen insbesondere:

•        Verschlüsselte Datenübertragung (TLS)

•        Verschlüsselte Speicherung sensibler Daten

•        Rollen- und berechtigungsbasierte Zugriffskonzepte

•        Protokollierung sicherheitsrelevanter Zugriffe

•        Hosting in gesicherten Rechenzentren innerhalb der EU/des EWR

•        Regelmäßige Sicherheitsprüfungen

•        Datenhaltung nur auf Servern mit physischer Zugangskontrolle und ISO 27001-Zertifizierung

Zur zusätzlichen Absicherung werden personenbezogene Identifikationsmerkmale im Rahmen technischer Prozesse durch pseudonyme Schlüssel ersetzt. Eine Re-Identifizierung ist ausschließlich innerhalb der gesicherten Systemumgebung Ihres Leistungserbringers möglich.

Der Zugriff erfolgt nur nach erfolgreicher Authentifizierung mittels gesicherter Token-Verfahren.

13. Änderungen dieser Datenschutzhinweise

ONCARE kann diese Datenschutzhinweise anpassen, z. B. bei rechtlichen Anforderungen oder technischen Weiterentwicklungen. Wesentliche Änderungen werden in geeigneter Weise vor Inkrafttreten mitgeteilt (z. B. in der App/Plattform).

14. Keine automatisierte Entscheidungsfindung

Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt. Medizinische Entscheidungen werden ausschließlich durch Ihren Leistungserbringer getroffen.

15. Ergänzender Hinweis für Nutzer in den USA (HIPAA)

Wenn Ihre Gesundheitsdaten im Rahmen einer Behandlung verarbeitet werden, die dem U.S. Health Insurance Portability and Accountability Act (HIPAA) unterliegt, gelten ergänzend die HIPAA-Vorgaben. HIPAA findet Anwendung, wenn eine sog. „Covered Entity“ (z. B. ein US-Krankenhaus/US-Leistungserbringer oder ein US-Krankenversicherer) beteiligt ist – unabhängig davon, in welchem Land Sie wohnen.

In solchen Fällen werden HIPAA-Informationspflichten (z. B. „Notice of Privacy Practices“) und HIPAA-Betroffenenrechte grundsätzlich durch die jeweils zuständige Covered Entity erfüllt.

Soweit die myoncare-Plattform in einer HIPAA-Konstellation genutzt wird, handelt die hierfür zuständige USKonzerngesellschaft myoncare Inc. als „Business Associate“ bzw. „Sub-Business Associate“ auf Grundlage eines Business Associate Agreement (BAA). Die ONCARE GmbH übernimmt in diesen Fällen keine Verantwortlichkeit nach HIPAA.

Für HIPAA-Anfragen (z. B. Auskunft in Form eines HIPAA-„Access Request“) wenden Sie sich bitte an die

Datenschutzstelle/Privacy Office der behandelnden Covered Entity; diese koordiniert die Bearbeitung ggf. mit myoncare Inc.

Soweit sowohl DSGVO als auch HIPAA anwendbar sind, werden die jeweils einschlägigen Pflichten koordiniert erfüllt; die Zuständigkeit für medizinische Datenverarbeitung verbleibt bei der behandelnden Stelle.

***