Sana Kliniken AG
Datenschutzerklärung zum Online-Self-Assessment
Der Schutz Deiner Daten ist uns wichtig. Infolgedessen und um selbstverständlich allen uns obliegenden gesetzlichen Informations- und Aufklärungspflichten nachzukommen, informieren wir Dich nachfolgend darüber wie wir, die Sana Kliniken AG, Deine Daten verarbeiten und welche Rechte Dir hinsichtlich der Datenverarbeitung zustehen.
Unser Online-Self-Assessment wurde von der CYQUEST GmbH, Heußweg 25, 20255 Hamburg, entwickelt und wird von der CYQUEST GmbH in unserem Auftrag betrieben. Infolgedessen klären wir Dich hier im Folgenden darüber auf, welche Daten wir über die CYQUEST GmbH erheben und wie wir, beziehungsweise die CYQUEST GmbH, diese Daten verarbeiten.
1. Gegenstand des Datenschutzes
Gegenstand des Datenschutzes sind personenbezogene Daten. Diese sind nach Art. 4 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Hierunter fallen z.B. Angaben wie Namen, Post-Adressen, E-Mail-Adressen und Telefonnummern oder Inhaltsdaten wie die von Dir abgegebenen Antworten und daraus resultierenden Testergebnisse, aber auch Nutzungsdaten wie Deine IP-Adresse.
2. Umfang sowie Zwecke der Datenerhebung, Datenspeicherung und Datennutzung
Im Folgenden klären wir Dich über den Umfang der Datenerhebung und -speicherung sowie deren Nutzung und über den Zweck der jeweiligen Datenerhebung im Rahmen des Online-Assessments auf. (Im Folgenden „Datenverarbeitung“, verwendet im Sinne von Art. 4 Abs. 2 DSGVO)
Die CYQUEST GmbH verarbeitet für uns keine personenbezogenen und personenbeziehbaren Daten in Rahmen des Online-Self-Assessments mit Ausnahme der IP-Adresse, die wir aus technischen Gründen von Dir kurzzeitig benötigen (lies dazu bitte Ziffer 2.1). Infolgedessen verarbeiten wir auch die Inhaltsdaten aus Online-Self-Assessments ohne jeden Personenbezug.
Daneben setzen wir Google Analytics ein, um erkennen zu können, welche Stellen des Online-Self-Assessments für Dich als Zielgruppe am interessantesten sind und um das Online-Self-Assessments gegebenenfalls für Dich optimieren zu können (lies dazu bitte Ziffer 3).
2.1 IP-Adressen
Ohne Internet-Protokoll-Adressen, kurz „IP-Adressen“, würde – sehr vereinfacht ausgedrückt – das Internet nicht funktionieren. Eine IP-Adresse stellt nämlich in Computernetzen eine Adresse dar, damit darüber Webserver und/oder einzelne Endgeräte angesprochen und erreicht werden können. Ohne IP-Adresse können der Webserver und die Endgeräte nicht kommunizieren – und somit nichts anzeigen. Der Webserver, auf dem das Online-Self-Assessment gehostet wird, wird also mit einer Datenanfrage – von Dir, Du willst das Online-Self-Assessment schließlich nutzen – angepingt. Um Dir die Daten zu liefern, muss der Webserver Deine IP-Adresse kennen. Folglich muss der Webserver in diesem Moment der Datenabfrage Deine IP-Adresse verarbeiten. Dazu erhält der Webserver die Information, welche Webseite bzw. Datei abgerufen, welcher Browser und welches Betriebssystem dazu genutzt wurde. Normalerweise werden diese Daten in den sog. Webserver-Logfiles langfristig gespeichert. Normalerweise. Die CYQUEST GmbH speichert die IP-Adressen außer zum Zeitpunkt der hier geschilderten notwendigen Verarbeitung nicht weiter in den Logfiles. Vielmehr wird bei allen zugreifenden IPv4 Adressen der letzte Block auf „0“ geändert und bei allen zugreifenden IPv6 Adressen nur die ersten beiden Blöcke gespeichert sowie die letzten sechs Blöcke auf „::“ geändert.
Falls Du Dich nun fragst, warum wir Dir das hier alles überhaupt erläutern: Die IP-Adresse gilt als personenbezogenes Datum. Und wenn die IP-Adresse als personenbezogenes Datum qualifiziert wird, dann müssen wir Dich darüber aufklären, dass wir diese zu dem Zweck, dass Du das Online-Assessment überhaupt nutzen kannst, kurzfristig verarbeiten.
3. Google Analytics
Wie bereits gesagt, haben wir Google Analytics in die Applikation eingebunden. Über die konkrete Art der Einbindung, Nutzung und Funktionsweise dieses Dienstes klären wir im Folgenden auf.
Google Analytics ist ein Webanalysedienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (künftig: Google). Google ermittelt als Dienstleister das Nutzungsverhalten von Besuchern einer Webseite und ermöglicht es zu erkennen, ob und wie die Webseite und deren Nutzerführung verbessert werden kann, welche Teile besonders relevant sind, welche weniger. Somit können Inhalte und Funktionen der Webseite für dich – und uns – optimiert werden. Hierzu werden von Google Cookies gesetzt.
Es werden bei deinem Besuch über Google Analytics die folgenden Daten verarbeitet:
- IP-Adresse (gekürzt)
- Browser-Typ,
- Aufenthaltsdauer auf der Seite
- verwendetes Betriebssystem,
- aufgerufene Seiten des Webangebots
- Klick- und Scrollverhalten auf den Seiten
- Herkunftsquelle des Besuchs (andere Website, Werbemittel)
- Uhrzeit der Serveranfrage
- deinen groben Standort (basierend auf der IP-Adresse), etwa auf Stadt/Landkreis-Ebene genau
In unserem Auftrag wird Google die oben genannten Informationen benutzen, um die Nutzung der Webseite auszuwerten und um uns Reports über die Webseitenaktivitäten zusammenzustellen.
Dabei wird keine User-ID aktiviert und genutzt. Ein Cross-Device-Tracking über eine User-ID ist damit nicht möglich.
Darüber hinaus wurde Google untersagt, die im Rahmen der Auftragsverarbeitung gewonnenen Daten zu einer eigenen Analyse zu nutzen. Google kann unsere Daten nicht zur Analyse und Auswertung des Online-Verhaltens zur Produktverbesserung oder zum Benchmarking (Branchen-Analyse) nutzen. Ebenso wurde dem technischen Support und den Key-Accountern der Zugriff auf unsere Daten untersagt.
Diese Form der Datenverarbeitung erfolgt auf Grundlage des berechtigten Interesses im Sinne von Art. 6 I f) DSGVO. Wir haben ein berechtigtes Interesse daran, das grundsätzliche Nutzungsverhalten auf der Applikation nachvollziehen zu können. Dazu zählt, erkennen zu können, welche Angebote von Nutzern besonders stark oder weniger stark frequentiert werden oder von woher Nutzer zur Applikation gelangen. Diese Erkenntnisse werden benötigt, um die Applikation dem Nutzungsverhalten entsprechend zu optimieren. Da wir – anders als etwa Dienstleister mit einem Messestand – keine optische Beobachtung der Besucherströme vornehmen und so erkennen können, welche Bereiche des Angebots besonders interessant sind, greifen wir auf Google Analytics zurück, um diese Beobachtung und Auswertung der Besucherströme (nicht: des einzelnen, identifizierbaren Besuchers) vornehmen zu können. Ein entgegenstehendes berechtigtes, überwiegendes Interesse der Nutzer daran, dass ihr nicht personenbezogenes Nutzungsverhalten auf der Website analysiert wird, ist nicht ersichtlich. Die Cookies werden auf Basis von § 25 Abs. 2 TTDSG gesetzt.
Die im Rahmen von Google Analytics verarbeiteten Daten werden für zwei Monate gespeichert und dann gelöscht, sofern du in diesem Zeitraum unsere Webseite nicht noch einmal besuchst; dann nämlich beginnt der Zwei-Monats-Zeitraum erneut.
Die verwendeten Cookies werden spätestens nach 13 Monaten gelöscht.
Widerspruch
Wenn du dieser Datenverarbeitung widersprechen möchtest, kannst du das ganz konkret auf sehr einfachem Wege tun:
Du kannst mit Klick auf diesen Link widersprechen. Durch das Klicken des Links wird eine Opt-Out-Information in deinem Browser hinterlegt. Dein Wunsch, nicht bei an der Webseiten-/Reichweitenanalyse teilzunehmen, ist nur erkennbar, solange diese Information in deinem Browser gespeichert ist. Dein Widerspruch gilt jeweils nur für den Browser, mit dem du auf den Link geklickt hast. Wenn du mehrere Geräte und/oder Browser hast, musst du deinen Widerspruch mit jedem Gerät einzeln zum Ausdruck bringen.
Du kannst auch ein Browser-Plugin installieren, das die Datenverarbeitung mit Google Analytics verhindert.
Daneben kannst du die Speicherung der Cookies von Google Analytics (wie auch von anderen Cookies) durch eine entsprechende grundsätzliche Einstellung der Browser-Software verhindern (unter „Einstellungen“ bei den meisten Browsern zu finden).
4. Dauer der Verarbeitung der personenbezogenen Daten
Die Einhaltung des Grundsatzes der Datensparsamkeit bzw. der Datenminimierung ist uns selbstverständlich.
Wie wir Dir oben auch schon mitteilten, verarbeiten wir keine personenbezogenen Daten mit Ausnahme der IP-Adresse. Diese anonymisieren wir aber umgehend, wie vorliegend beschrieben. Damit verarbeiten wir keine personenbezogenen Daten von Dauer.
5. Zweckgebundene Datenverwendung, Weitergabe der Daten
Der Grundsatz der zweckgebundenen Datenverwendung wird strikt beachtet. Sämtliche vorgenannten Daten werden nur zu den hier in dieser Datenschutzerklärung genannten Zwecken verarbeitet.
6. Betroffenenrechte (u.a. Auskunfts-, Widerrufs- und Löschungsrechte)
Unabhängig von den vorstehenden Ausführungen müssen wir darüber aufklären, dass Du gemäß Art 21. DSGVO jederzeit der Verwendung Deiner Daten widersprechen und eine etwaige daneben erteilte Einwilligung zur Verwendung Deiner Daten gemäß Art 7 (3) DSGVO jederzeit widerrufen kannst. Weiter kannst Du jederzeit die von uns erhobenen und gespeicherten Daten berichtigen, sperren oder löschen lassen (gemäß Art. 16, 17 DSGVO).
Weiter müssen wir Dich darüber aufklären, dass Dir daneben auch das Recht auf Datenübertragbarkeit nach Art. 20 DGVO sowie das Recht zur Beschwerde bei einer Aufsichtsbehörde im Sinne von Art. 77 DSGVO zu stehen.
Richtest Du Dein Auskunfts-, Widerrufs- und/oder Löschungsverlangen unmittelbar an die CYQUEST GmbH, so ist diese verpflichtet, dieses Verlangen der Sana Kliniken AG mitzuteilen und umgekehrt.
Allerdings liegen uns – wie gesagt – keine personenbezogenen Daten vor und Du hast weder Einwilligungen erteilt, die Du widerrufen könntest noch liegen Datenverwendungen vor, denen Du sinnvollerweise widersprechen könntest.
Dennoch kannst Du Dich natürlich jederzeit an uns wenden und wir helfen Dir in Bezug auf Deine datenschutzrechtlichen Fragen gerne weiter. Wende Dich dazu und zur Ausübung der vorgenannten Rechte bitte an support@cyquest.net oder an datenschutz@sana.de.