Datenschutz App

Datenschutzerklärung für die App der ONVY HealthTech Group GmbH über die Verarbeitung von personenbezogenen Daten (einschließlich Gesundheitsdaten)

A. Vorwort

Wir, die ONVY HealthTech Group GmbH (nachfolgend: „ONVY“, „das Unternehmen“, „wir“ oder „uns“), nehmen den Schutz Ihrer personenbezogenen Daten ernst und möchten Sie an dieser Stelle über den Datenschutz in unserem Unternehmen informieren.

Im Rahmen unserer datenschutzrechtlichen Verantwortlichkeit unter der EU- Datenschutz-Grundverordnung (Verordnung (EU) 2016/679; nachfolgend: "DS- GVO") haben wir verschiedene Pflichten, um den Schutz personenbezogener Daten der von einer Verarbeitung betroffenen Person (wir sprechen Sie als betroffene Person nachfolgend auch mit "Nutzer", "Sie", "Ihnen" oder "Betroffener" an) sicherzustellen.

Dies umfasst vor allem die Pflicht, Sie transparent über Art, Umfang, Zweck, Dauer und Rechtsgrundlage der Verarbeitung zu informieren (vgl. Art. 13 und Art. 14 DS- GVO). Mit dieser Erklärung (nachfolgend: "Datenschutzerklärung") informieren wir Sie darüber, in welcher Weise Ihre personenbezogenen Daten von uns verarbeitet werden.

Bitte beachten Sie:
Bei der Nutzung der App werden teilweise Gesundheitsdaten verarbeitet.

B. Allgemeines

1. Verantwortlichkeit für Ihre Daten und Kontaktdaten

(1) Verantwortlicher

Die für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO ist die ONVY HealthTech Group GmbH, Schloßstraße 19, 82031 Grünwald.

(2) Kontaktdaten

Sie können uns unter E-Mail: contact@onvy.health erreichen.

(3) Unter diesen Kontaktdaten können Sie sich insbesondere an uns wenden, wenn Sie die Ihnen zustehenden Rechte uns gegenüber geltend machen wollen.

(4) Bei weiteren Fragen oder Anmerkungen zur Erhebung und Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich ebenfalls an die vorbenannten Kontakte.

2. Begriffsbestimmungen

Nach dem Vorbild des Art. 4 DS-GVO liegen dieser Datenschutzhinweise folgende Begriffsbestimmungen zugrunde:

– "Personenbezogene Daten" (Art. 4 Nr. 1 DS-GVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Betroffener") beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Online-Kennung, Standortdaten oder mithilfe von Informationen zu ihren physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitätsmerkmalen identifiziert werden kann. Die Identifizierbarkeit kann auch mittels einer Verknüpfung von derartigen Informationen oder anderem Zusatzwissen gegeben sein. Auf das Zustandekommen, die Form oder die Verkörperung der Informationen kommt es nicht an (auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten enthalten).

– "Verarbeiten" (Art. 4 Nr. 2 DS-GVO) ist jeder Vorgang, bei dem mit personenbezogenen Daten umgegangen wird, gleich ob mit oder ohne Hilfe automatisierter (d.h. technikgestützter) Verfahren. Dies umfasst insbesondere das Erheben (d.h. die Beschaffung), das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder sonstige Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten sowie die Änderung einer Ziel- oder Zweckbestimmung, die einer Datenverarbeitung ursprünglich zugrunde gelegt wurde.

– "Verantwortlicher" (Art. 4 Nr. 7 DS-GVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

– "Dritter" (Art. 4 Nr. 10 DS-GVO) ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer dem Betroffenen, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; dazu gehören auch andere konzernangehörige juristische Personen.

– "Auftragsverarbeiter" (Art. 4 Nr. 8 DS-GVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen, insbesondere gemäß dessen Weisungen, verarbeitet (z. B. IT-Dienstleister). Im datenschutzrechtlichen Sinne ist ein Auftragsverarbeiter insbesondere kein Dritter.

– "Einwilligung" (Art. 4 Nr. 11 DS-GVO) der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

3. Änderung der Datenschutzerklärung / Stand

(1) Im Rahmen der Fortentwicklung des Datenschutzrechts sowie technologischer oder organisatorischer Veränderungen werden unsere Datenschutzhinweise regelmäßig auf Anpassungs- oder Ergänzungsbedarf hin überprüft. Über Änderungen werden Sie unterrichtet.

(2) Diese Datenschutzhinweise haben den Stand 26.08.2022.

4. Keine Verpflichtung zur Bereitstellung personenbezogener Daten

Für Sie als Nutzer besteht grundsätzlich keine gesetzliche oder vertragliche Verpflichtung, uns Ihre personenbezogenen Daten zur Verfügung zu stellen. Die Nutzung der ONVY App ist jedoch nicht möglich, wenn Sie die dafür erforderlichen Daten nicht bereitstellen bzw. der Verarbeitung Ihrer personenbezogenen Daten nicht zustimmen.

C. Informationen über die Verarbeitung Ihrer Daten

1. Die Erhebung Sie betreffender personenbezogener Daten

(1) Bei der Nutzung unserer App werden von uns personenbezogene Daten über Sie erhoben.

(2) Personenbezogene Daten sind alle Daten, die sich auf Ihre Person beziehen (siehe oben unter Allgemeines). Beispielsweise handelt es sich bei Ihrem Namen, Ihrer Standortdaten, Ihrer IP-Adresse, die Gerätekennung, die SIM-Kartennummer, Ihrer Adresse sowie E-Mail-Adresse um personenbezogene Daten, Ihr Fingerabdruck, Bilder, Filme, Audioaufnahmen, aber auch Ihr Nutzerverhalten fällt in diese Kategorie.

2. Rechtsgrundlagen der Datenverarbeitung

(1) Von Gesetzes wegen ist im Grundsatz jede Verarbeitung personenbezogener Daten verboten und nur dann erlaubt, wenn die Datenverarbeitung unter einen der folgenden Rechtfertigungstatbestände fällt:

– Art. 6 Abs. 1 S. 1 lit. a DS-GVO – für Gesundheitsdaten in Verbindung mit Art. 9 Abs. 2 lit. a DS-GVO ("Einwilligung"): Wenn der Betroffene freiwillig, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung zu verstehen gegeben hat, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden ist;

– Art. 6 Abs. 1 S. 1 lit. b DS-GVO: Wenn die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei der Betroffene ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf die Anfrage des Betroffenen erfolgen;

– Art. 6 Abs. 1 S. 1 lit. c DS-GVO: Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (z.B. eine gesetzliche Aufbewahrungspflicht);

– Art. 6 Abs. 1 S. 1 lit. d DS-GVO: Wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen;

– Art. 6 Abs. 1 S. 1 lit. e DS-GVO: Wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde oder

– Art. 6 Abs. 1 S. 1 lit. f DS-GVO ("Berechtigte Interessen"): Wenn die Verarbeitung zur Wahrung berechtigter (insbesondere rechtlicher oder wirtschaftlicher) Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die gegenläufigen Interessen oder Rechte des Betroffenen überwiegen (insbesondere dann, wenn es sich dabei um einen Minderjährigen handelt).

(2) Für die von uns vorgenommenen Verarbeitungsvorgänge geben wir im Folgenden jeweils die anwendbare Rechtsgrundlage an. Eine Verarbeitung kann auch auf mehreren Rechtsgrundlagen beruhen.

3. Die beim Download erhobenen Daten

(1) Beim Download dieser App werden bestimmte dafür erforderlichen Daten zu Ihrer Person an den entsprechenden App Store (z.B. Apple App Store oder Google Play) übermittelt.

(2) Insbesondere werden beim Herunterladen die E-Mail-Adresse, der Nutzername, die Kundennummer des herunterladenden Accounts, die individuelle Gerätekennziffer, Zahlungsinformationen sowie der Zeitpunkt des Downloads an den App Store übertragen.

(3) Auf die Erhebung und Verarbeitung dieser Daten haben wir keinen Einfluss, sie erfolgt vielmehr ausschließlich durch den von Ihnen ausgewählten App Store. Dementsprechend sind wir für diese Erhebung und Verarbeitung nicht verantwortlich; die Verantwortung dafür liegt allein beim App Store.

4. Bei der Nutzung der App erhobenen Daten

(1) Die Vorzüge unserer App können wir ihnen zwangsläufig nur zur Verfügung stellen, wenn bei der Nutzung von uns bestimmte, für den App-Betrieb erforderliche Daten zu Ihrer Person erhoben und verarbeitet werden. Bei der Nutzung der App werden Ihre persönlichen Daten und teilweise Gesundheitsdaten verarbeitet.

(2) Wir erheben und verarbeiten folgende Daten von Ihnen:

– Geräteinformationen: Zu den Zugriffsdaten gehören die IP-Adresse, Geräte-ID, Geräteart, gerätespezifische Einstellungen und App-Einstellungen sowie App- Eigenschaften, das Datum und die Uhrzeit des Abrufs, Zeitzone, die übertragene Datenmenge und die Meldung, ob der Datenaustausch vollständig war, Absturz der App und Betriebssystem. Diese Zugriffsdaten werden verarbeitet, um den Betrieb der App technisch zu ermöglichen und zu verbessern.

- Zur Anlegung Ihres Profils bei ONVY ist Ihre E-Mail-Adresse erforderlich. Das Profil wird in der App angelegt. Alternativ können Sie den sogenannten Apple Log-In („Mit Apple anmelden“) oder den sogenannten Google Log-In (“Mit Google anmelden”) nutzen. Bitte konsultieren Sie zu den Details die Hinweise von Apple bzw. Google: „Mit Apple anmelden“ & Datenschutz“ bzw. “Mit „Über Google anmelden“ Daten geschützt weitergeben”

Sie können freiwillig weitere Daten in Ihrem Profil hinterlegen wie: Vorname, Nachname, Alter, Gewicht, Geschlecht, Größe. Dies verbessert die Funktion der App bzw. die errechneten Scores.

- Die Daten Ihrer Wearables werden wie unter D.5.c. dargestellt über Terra abgerufen und von ONVY mit Ihren Profilinformationen zusammengeführt.

- Die Daten aus den Wearables können Rückschlüsse über Ihren Gesundheitszustand zulassen und daher Gesundheitsdaten darstellen.

- Folgende Daten können nach Ihrer Freigabe für die jeweilige Datenkategorie (im HealthKit bzw. über die Drittanbieter wie Strava) über Terra an die ausschließlich in Deutschland betriebenen ONVY-Server gesendet und dort gespeichert und verarbeitet werden:

a. Die vom Wearable erfassten Aktivitäten, wie beispielsweise:
• Schritte
• Trainingsminuten

b. Die vom Wearable erfassten Vitaldaten, wie beispielsweise:
• Atemfrequenz
• Herzfrequenz
• Schlafdauer

c. Weitere Daten wie beispielsweise:
• Geburtstag
• Gewicht
• Größe
• Umgebungsgeräuschpegel

– Aus Ihren Daten wird ein zusätzlicher, anonymisierter Datensatz erzeugt. Das heißt, die Daten werden völlig von Ihrer Person entkoppelt, sodass es nicht mehr möglich ist, Ihnen die Daten zuzuordnen. Im Rahmen der Anonymisierung bleiben zwar bestimmte Daten (wie Altersgruppe bzw. Wohnort) erhalten, um eine sinnvolle Nutzung der Daten durch ONVY (z.B. für die Entwicklung von Algorithmen) zu ermöglichen. Diese Daten sind aber so allgemein, dass eine Rückführbarkeit auf Sie als einzelne Person nicht mehr möglich ist.

– Weiterhin erfassen wir anonymisierte Daten über die Nutzung der App. Dabei erfassen wir Click-Ereignisse, wie dem Aufruf einer bestimmten Seite oder Funktion. Eine Zuordnung zur Person ist hierbei nicht möglich. Diese Daten werden für die Bewertung bestimmter Funktionen und die Priorisierung der Weiterentwicklung verwendet.

(3) Die Verarbeitung Ihrer Daten erfolgt auf Grundlage Ihrer in einer separaten Checkbox in der App erteilten Einwilligung in die Verarbeitung Ihrer Daten einschließlich besonderer Kategorien personenbezogener Daten (Gesundheitsdaten) zu den genannten Zwecken (Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO).

5. Einsatz von Cookies

Beim Betrieb unserer App nutzen wir keine Cookies.

6. Datenerhebung bei der Kontaktaufnahme

(1) Wenn Sie mit uns per E-Mail oder über ein Kontaktformular mit uns Kontakt aufnehmen, dann werden Ihre E-Mail-Adresse, Ihr Name und alle weiteren personenbezogenen Daten, die Sie im Zuge der Kontaktaufnahme angegeben haben, von uns gespeichert, damit wir mit Ihnen zur Beantwortung der Frage Kontakt aufnehmen können.

(2) Diese Daten löschen wir, sobald die Speicherung nicht mehr erforderlich ist. Liegen gesetzliche Aufbewahrungsfristen vor, bleiben die Daten zwar gespeichert, aber wir schränken die Verarbeitung ein.

(3) Die Verarbeitung der in das Kontaktformular eingegebenen Daten oder sonst bei der Kontaktaufnahme übermittelten personenbezogenen Daten erfolgt auf der Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DS-GVO) an der ordnungsgemäßen Beantwortung der Anfrage.

7. Produktinformationen, Newsletter, Direktwerbung und Gutscheine

(1) Ihre bei einer Registrierung in der App eingegebene E-Mail-Adresse bzw. bei Nutzung des Apple oder Google Log-In die an uns von Apple bzw. Google übermittelte E-Mail-Adresse können wir verwenden, um Ihnen Informationen über das Produkt (z.B. neue Funktionalitäten) und über eigene ähnliche Waren und Dienstleistungen zu übersenden. Dieser Verwendung Ihrer E-Mailadresse können Sie jederzeit widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Für den Widerspruch genügt eine formlose Mitteilung per E- Mail. Alternativ können Sie sich über den entsprechenden, in jedem Newsletter enthaltenden Link vom Newsletter abmelden.

Rechtsgrundlage für die Verarbeitung Ihrer Daten im Rahmen dieses Absatzes 1 ist § 7 Abs. 3 UWG sowie Art. 6 Abs. 1 lit. f DS-GVO (unser berechtigtes Interesse, Sie über das Produkt bzw. über eigene ähnliche Waren und Dienstleistungen zu informieren).

(2) Soweit sie der Verwendung Ihrer E-Mail-Adresse nicht widersprochen haben, wir Ihnen ONVY ggf. Gutscheine an Ihre E-Mail-Adresse senden, z.B. um Ihnen eine verlängerte kostenfreie Nutzung der App zu ermöglichen oder um sich für Empfehlungen der App zu bedanken.

(3) Folgen der Abmeldung vom Newsletter bzw. Widerspruch

Sobald Sie sich von unserem Newsletter abgemeldet haben bzw. der weiteren Verwendung Ihrer E-Mailadresse zum Zwecke der Information über unsere eigenen ähnlichen Waren und Dienstleistungen widersprochen haben, wird Ihre E-Mail- Adresse von uns bzw. einem Dienstleister in einer sogenannten „Blacklist“ gespeichert, um zu verhindern, dass sie weitere Newsletter bzw. Informationen von uns erhalten. Dies erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der Einhaltung gesetzlicher Vorschriften beim Versand von Newslettern bzw. werblichen Informationen.

8. Zeitraum der Datenspeicherung

(1) Wir löschen Ihre personenbezogenen Daten, sobald sie für die Zwecke, für die wir sie erhoben oder verwendet haben, nicht mehr erforderlich sind. In der Regel speichern wir Ihre personenbezogenen Daten für die Dauer des Nutzungs- bzw. des Vertragsverhältnisses über die App. Eine Speicherung kann jedoch über die angegebene Zeit hinaus im Falle einer (drohenden) Rechtsstreitigkeit mit Ihnen oder eines sonstigen rechtlichen Verfahrens erfolgen.

(2) Von uns eingesetzte Dritte werden Ihre Daten auf deren System so lange speichern, wie es im Zusammenhang mit der Erbringung der Leistung für uns entsprechend dem Vertragsverhältnis erforderlich ist.

(3) Die wie oben unter C.4.2. beschrieben anonymisierten Daten werden nicht gelöscht, sondern von ONVY zeitlich unbeschränkt gespeichert und verarbeitet.

(4) Rechtliche Vorgaben zur Aufbewahrung und Löschung personenbezogener Daten bleiben von Vorstehendem unberührt (z.B. § 257 HGB oder § 147 AO). Wenn die durch die gesetzlichen Vorschriften vorgeschriebene Speicherfrist abläuft, erfolgt eine Sperrung oder Löschung der personenbezogenen Daten, es sei denn, dass eine weitere Speicherung durch uns erforderlich ist und dafür eine Rechtsgrundlage besteht.

9. Datensicherheit

(1) Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweise oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Natur, des Umfangs, des Kontextes

und des Zwecks der Verarbeitung sowie der bestehenden Risiken einer Datenpanne (inklusive von deren Wahrscheinlichkeit und Auswirkungen) für den Betroffenen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

(2) Wir beschränken den Zugriff auf an uns übermittelte Daten auf diejenigen Mitarbeiter, die den Zugriff benötigen. Diese sind vertraglich auf die Einhaltung der gesetzlichen Datenschutzbestimmungen verpflichtet.

(3) Um Ihre Daten zu schützen, wurden umfangreiche technische und organisatorische Maßnahmen umgesetzt (z.B. Firewalls, Verschlüsselungs- und Authentifizierungstechniken, Verfahrensanweisungen).

(4) Nähere Informationen hierzu erteilen wir Ihnen auf Anfrage gerne.

10. Keine automatisierte Entscheidungsfindung (einschließlich Profiling)

Wir haben nicht die Absicht, von Ihnen erhobene personenbezogene Daten für ein Verfahren zur automatisierten Entscheidungsfindung (einschließlich Profiling) zu verwenden.

11. Zweckänderung

(1) Verarbeitungen Ihrer personenbezogenen Daten zu anderen als den beschriebenen Zwecken erfolgen nur, soweit eine Rechtsvorschrift dies erlaubt oder Sie in den geänderten Zweck der Datenverarbeitung eingewilligt haben.

(2) Im Falle einer Weiterverarbeitung zu anderen Zwecken als denen, für den die Daten ursprünglich erhoben worden sind, informieren wir Sie vor der Weiterverarbeitung über diese anderen Zwecke und stellen Ihnen sämtliche weitere hierfür maßgeblichen Informationen zur Verfügung.

D. Datenverarbeitung durch Dritte / Auftragsverarbeitung

(1) Personenbezogene Daten werden von uns streng vertraulich behandelt und nicht an Dritte weitergegeben, soweit dies nicht in den folgenden Absätzen ausgeführt ist. Insbesondere werden keinerlei Daten an Analysedienste wie Google Analytics oder soziale Plattformen wie Facebook übermittelt.

(2) Wir geben personenbezogene Daten ggf. an staatliche Stellen/Behörden weiter, soweit dies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. c DS-GVO;

(3) Wir geben personenbezogene Daten ggf. an zur Durchführung unseres Geschäftsbetriebs eingesetzte Personen (z.B. Auditoren, Banken, Versicherungen, Rechtsberater, Aufsichtsbehörden, Beteiligte bei Unternehmenskäufen oder der Gründung von Gemeinschaftsunternehmen) weiter. Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. b oder lit. f DS-GVO.

(4) Darüber hinaus geben wir Ihre personenbezogenen Daten nur an Dritte weiter, wenn Sie nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO eine ausdrückliche Einwilligung dazu erteilt haben.

(5) Auftragsdatenverarbeitung

(a) Es kann vorkommen, dass für einzelne Funktionen unserer App auf beauftragte Dienstleister zurückgegriffen wird. Wir setzen zur Abwicklung unseres Geschäftsverkehrs externe Dienstleister ein (z. B. für die Bereiche IT, Logistik, Telekommunikation, Vertrieb und Marketing). Diese werden nur nach unserer Weisung tätig und wurden i.S.v. Art. 28 DS-GVO vertraglich dazu verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten.

(b) Derzeit setzen wir folgende Auftragsverarbeiter ein, die ggf. Zugriff auf Ihre personenbezogenen Daten erhalten:

• Amazon Web Services (IT-Infrastruktur)
• Terra (Terra Enabling Developers, Inc – s. Ziffer c)

(c) Ein wesentliches Element der App ist die Integration von Daten, die über sogenannte Wearables gesammelt werden. Zu diesem Zweck setzt ONVY als Dienstleister Terra ein, der als Auftragsdatenverarbeiter für ONVY tätig wird. Der Dienstleister übernimmt die Anbindung und den Import von Aktivitätsdaten aus unterschiedlichen Quellen wie Fitnessarmband, Fitnessring und Smartwatch (z.B. Strava, Garmin, Fitbit, Oura, Apple etc. - nachfolgend zusammen „Wearables“). Eventuell werden die Daten nicht vom Server des Anbieters (z.B. Strava) abgerufen, sondern aus dem „Healthkit“ (iOS) bzw. „Google Fit“ (Android). Apps die auf Ihrem Mobilgerät installiert sind (z.B. die Strava App), schreiben die Daten in das „Healthkit“ bzw. „Google Fit“.

ONVY erhält von Terra einen Schlüssel (sogenannter Token) zur eindeutigen Zuordnung der aus den unterschiedlichen Quellen abgerufenen Daten zu Ihrem Profil bei ONVY. Darüber hinaus erhält ONVY keine weiteren Profilinformationen zu den Quellen, aus denen die Daten stammen; zum Beispiel nicht die von Ihnen verwendete E-Mail-Adresse Ihres Benutzerkontos beim Hersteller Ihres Fitnesstrackers. Durch Terra werden die Daten aus den angebundenen (und von Ihnen freigegebenen) Quellen abgerufen, in ein einheitliches Datenformat übersetzt (harmonisiert) und an ONVY übermittelt.

ONVY verwendet die Daten zum Betrieb der App. Dazu werden die Daten auch mit den von Ihnen zur Verfügung gestellten Profildaten (Name, E-Mail-Adresse etc.) verknüpft, um sie im Dashboard sinnvoll darstellen zu können.

Aus den Daten wird der sogenannte ONVY Score ermittelt und im Dashboard dargestellt. Dabei werden Ihre Erholungswerte beim Schlafen, Ihre tägliche Bewegung, Ihre „Mindfulness“ und Ihr Stresszustand in einen aussagekräftigen Wert (Score) umgerechnet.

Teilweise übermittelt ONVY pseudonymisierte (s. nachfolgend zum Token) Profildaten (Gewicht, Alter, Geschlecht, Größe), damit diese zusammen mit

Wearables-Daten von Terra mit Hilfe von durch Terra entwickelten bzw. lizensierten Algorithmen interpretiert werden und Scores (z.B. „metabolic equivalent“) erstellt werden können. Diese Scores werden wiederum an ONVY übermittelt und ONVY nutzt sie zur Gestaltung des Dashboards.

Terra kann Ihre Daten nicht mit Ihrer Person in Verbindung bringen, da Terra nur den Schlüssel (Token) kennt, nicht aber Ihren Namen. Das heißt, Ihr Name und Ihre ONVY-Profildaten werden mit den Daten aus den Wearables nur von ONVY verknüpft, nicht von Terra.

E. Keine Weitergabe von personenbezogenen Daten an Drittländer

Eine Übermittlung Ihrer personenbezogenen Daten an Ländern außerhalb des Europäischen Wirtschaftsraums (EWR), also an Drittländer, findet nicht statt.

F. Ihre Rechte

1. Auskunftsrecht

(1) Sie haben gegenüber uns das Recht, im Umfang von Art. 15 DS-GVO, Auskunft über die Sie betreffenden personenbezogenen Daten zu erhalten.

(2) Hierfür ist ein Antrag von Ihnen erforderlich, der entweder per E-Mail oder postalisch an die oben angegebenen Adressen zu senden ist.

2. Recht auf Widerspruch gegen die Datenverarbeitung und Widerruf der Einwilligung

(1) Sie haben gemäß Art. 21 DS-GVO das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen. Wir werden die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

(2) Gemäß Art. 7 Abs. 3 DS-GVO haben Sie das Recht Ihre einmal erteilte Einwilligung – also Ihr freiwilliger, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung verständlich gemachter Willen, dass Sie mit der Verarbeitung der betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden sind – jederzeit uns gegenüber zu widerrufen, falls Sie eine solche erteilt haben. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen.

(3) Diesbezüglich wenden Sie sich bitte an die oben angegebenen Kontaktdaten.

3. Recht zur Berichtigung und Löschung

(1) Insoweit Sie betreffende personenbezogene Daten unrichtig sind, haben Sie gemäß Art. 16 DS-GVO das Recht, von uns die unverzügliche Berichtigung zu verlangen. Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebenen Kontaktdaten.

(2) Unter den in Art. 17 DS-GVO genannten Voraussetzungen steht Ihnen das Recht zu, die Löschung Sie betreffender personenbezogener Daten zu verlangen. Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebenen Kontaktdaten. Das Recht auf Löschung steht Ihnen insbesondere zu, wenn die fraglichen Daten für die Erhebungs- oder Verarbeitungszwecke nicht mehr notwendig sind, wenn der Datenspeicherungszeitraum verstrichen ist, ein Widerspruch vorliegt, oder eine unrechtmäßige Verarbeitung vorliegt.

4. Recht auf Einschränkung der Verarbeitung

(1) Nach Maßgabe des Art. 18 DS-GVO haben Sie das Recht, von uns die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

(2) Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebenen Kontaktdaten.

(3) Das Recht auf Einschränkung der Verarbeitung steht Ihnen insbesondere zu, wenn die Richtigkeit der personenbezogenen Daten zwischen Ihnen und uns umstritten ist; das Recht steht Ihnen in diesem Fall für eine Zeitspanne zu, die für die Überprüfung der Richtigkeit erfordert wird. Entsprechendes gilt, wenn die erfolgreiche Ausübung eines Widerspruchsrechts zwischen Ihnen und uns noch umstritten ist. Dieses Recht steht Ihnen außerdem insbesondere dann zu, wenn Ihnen ein Recht auf Löschung zusteht und Sie anstelle einer Löschung eine eingeschränkte Verarbeitung verlangen.

5. Recht auf Datenübertragbarkeit

(1) Nach Maßgabe des Art. 20 DS-GVO haben Sie das Recht, von uns die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen, maschinenlesbaren Format nach Maßgabe zu erhalten.

(2) Mit einem diesbezüglichen Antrag wenden Sie sich bitte an die oben angegebenen Kontaktdaten.

6. Recht auf Beschwerde bei der Aufsichtsbehörde

(1) Sie haben gemäß Art. 77 DS-GVO das Recht, sich über die Erhebung und Verarbeitung Ihrer personenbezogenen Daten bei der zuständigen Aufsichtsbehörde zu beschweren.

(2) Die für die ONVY HealthTech Group GmbH zuständige Datenschutzaufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht

Postanschrift:

Postfach 1349
91504 Ansbach
Telefon: +49 (0) 981 180093-0
Telefax: +49 (0) 981 180093-800
E-Mail: poststelle@lda.bayern.de