Head of Legal and Regulatory Affairs•3. Oktober 2023
1. Begriffsbestimmungen
Im Rahmen unserer Dienstleistungen stellen wir die Heidi-Plattform (nachfolgend „Heidi“) qualifizierten Ärztinnen und Ärzten (einschließlich ihrer jeweiligen medizinischen Einrichtung) sowie anderen Angehörigen der Gesundheitsberufe (nachfolgend „Fachkräfte“) zur Verfügung. Heidi unterstützt die Erbringung von Gesundheitsdienstleistungen.
In diesen Datenschutzhinweisen gelten folgende Begriffsbestimmungen:
„Wir“, „uns“ oder „unser“ – bezeichnet Heidi Health Ireland Limited (CRO 807346), eingetragen in Irland.
„Unsere Dienste“ – bezeichnet die Bereitstellung von Heidi an Sie als Fachkraft sowie damit verbundene Dienstleistungen.
„Sie“ – bezeichnet Sie als Leserin oder Leser dieser Datenschutzhinweise.
„Ihre Daten“ – bezeichnet Ihre personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO.
„Datenschutzgesetze“ – bezeichnet alle anwendbaren Datenschutz- und Datensicherheitsvorschriften, insbesondere die DSGVO, das BDSG sowie anwendbare Gesundheitsdatenschutzvorschriften. Für Schweizer Nutzer:innen: zusätzlich das nDSG (revidiertes Datenschutzgesetz, in Kraft seit 1. September 2023).
Heidi Scribe - ein KI-gestütztes Tool zur klinischen Dokumentation, das Fachkräfte bei der Transkription und Notizenerstellung während und nach Konsultationen unterstützt.
Heidi Evidence - ein klinisches Recherche- und Wissenswerkzeug, das relevante medizinische Fachliteratur, Leitlinien und evidenzbasierte Ressourcen zur Unterstützung der klinischen Entscheidungsfindung bereitstellt. Evidence ist in der EU ausschließlich außerhalb aktiver Konsultationssitzungen (out-of-session) verfügbar und ist nicht dazu bestimmt, das klinische Urteil oder direkte Versorgungsentscheidungen zu ersetzen.
2. Welche Daten erheben wir?
Wir erheben und verarbeiten personenbezogene Daten, Gesundheitsdaten, Zahlungsdaten, Gerätedaten und allgemeine Nutzungsdaten zur Erbringung und Verbesserung unserer Dienste.
Wenn Sie auf unsere Website, Plattform oder andere Dienste zugreifen, erheben und speichern wir die nachfolgend dargestellten Datenkategorien. Die Erhebung dieser Daten dient der Verbesserung der Nutzererfahrung, der Optimierung der Dienstleistungsfunktionalität und der Gewährleistung angemessener eeSicherheitsmaßnahmen. Die Verarbeitung erfolgt auf Grundlage berechtigter Interessen sowie gegebenenfalls auf Grundlage Ihrer ausdrücklichen Einwilligung, die zum Zeitpunkt der Datenerhebung transparent eingeholt wird.
Soweit Sie die erbetenen Angaben nicht bereitstellen, kann dies dazu führen, dass wir unsere Dienste Ihnen gegenüber nicht oder nicht vollständig erbringen können.
Kategorie
Erläuterung
Betroffene Produkte
Allgemeine personenbezogene Daten
Angaben, die Sie als Person identifizierbar machen: Name, Anschrift, Geburtsdatum, Geschlecht, Telefonnummer, E-Mail-Adresse. Bei Fachkräften zusätzlich Qualifikationen, Approbationen sowie Aus- und Weiterbildung.
Heidi Scribe, Heidi Evidence, Heidi Comms
Zahlungs- und Abrechnungsdaten
Daten zur Abwicklung von Zahlungen: Kreditkartendaten, Bankverbindungsdaten, Versicherungs- oder Abrechnungsangaben.
Heidi Scribe, Heidi Comms
Sensible Gesundheitsdaten
Gesundheitsdaten, die Fachkräfte bei der Nutzung von Heidi Scribe oder Heidi Comms bereitstellen. Sämtliche sensiblen Gesundheitsdaten durchlaufen einen Pseudonymisierungsprozess gem. Art. 4 Nr. 5 DSGVO. Gesundheitsdaten werden nur für die von der Fachkraft festgelegte Dauer aufbewahrt. Klarstellung: Es werden keine Patientendaten zum Trainieren, Entwickeln oder Verbessern von KI-Modellen verwendet
Heidi Scribe, Heidi Comms
Suchanfragen und Ergebnisdaten (Heidi Evidence)
Heidi Evidence speichert Ihre Suchanfragen und die generierten Ergebnisse in einem chronologischen Gesprächsformat. Diese Daten sind nicht mit einem Patientendatensatz verknüpft. Heidi Evidence ist nicht für die Verarbeitung personenbezogener Gesundheitsdaten (PGD) ausgelegt. Fachkräfte sollten keine patientenidentifizierenden Informationen in ihre Anfragen eingeben. Falls PGD versehentlich eingegeben werden, werden diese gemäß den anwendbaren Datenschutzgesetzen behandelt. Anfragen können in de-identifizierter Form zur Verbesserung der Plattform verwendet werden, PGD jedoch nicht für das Modelltraining.
Heidi Evidence
Gerätedaten
Hierzu zählen Geräte-ID, Gerätetyp, Standortdaten, Computer- und Verbindungsinformationen, Seitenaufrufstatistiken, Datenverkehr, IP-Adresse und Standard-Webprotokollinformationen.
Heidi Scribe, Heidi Evidence, Heidi Comms
Zusätzlich bereitgestellte Daten
Angaben, die Sie uns über Kundenumfragen, direkt über unsere Website oder indirekt durch Ihre Nutzung von Heidi bereitstellen
Heidi Scribe, Heidi Evidence, Heidi Comms
Daten zur Geschäftsverbesserung
De-identifizierte und aggregierte Daten zur Analyse der Dienstenutzung. Ausnahmslos in de-identifizierter Form verwendet, ohne Möglichkeit der Re-Identifizierung.
Heidi Scribe, Heidi Evidence, Heidi Comms
Cookie-Daten
De-identifizierte Daten über Cookies: Browsertyp, Betriebssystem, besuchte Websites. Personenbezogene Daten können erhoben werden, wenn ein Cookie mit Ihrem Konto verknüpft ist. Siehe Abschnitt 8.
Heidi Scribe, Heidi Evidence, Heidi Comms
Bewerberdaten
Name, Kontaktdaten, beruflicher Werdegang und einschlägige Überprüfungen bei Bewerbungen.
Heidi Scribe, Heidi Evidence, Heidi Comms
3. Wie erheben wir Ihre Daten?
Wir erheben Ihre personenbezogenen Daten bei der Interaktion mit uns oder von Dritten.
In den meisten Fällen erheben wir personenbezogene Daten unmittelbar von Ihnen. Die wichtigsten Erhebungswege sind:
Erhebungsweg
Erläuterung
Registrierung
Bei der Registrierung auf unserer Website oder Heidi.
Kommunikation
Bei der Kommunikation mit uns per E-Mail, Chat, Fragebogen oder über Heidi.
Nutzung
Bei der Interaktion mit unserer Website, Heidi, unseren Diensten und Inhalten.
Darüber hinaus können wir Daten über Sie von verbundenen Unternehmen, Dienstleistern oder Kooperationspartnern erhalten, z. B.:
bei einer Bewerbung: von Personalberatern, früheren Arbeitgebern oder Referenzgebern;
bei Fachkräften: Angaben zu Qualifikationen, Approbationen und Ausbildung von Drittquellen, u. a. zur Verifizierung Ihres Status als zugelassene Fachkraft.
für Heidi Evidence: von Partnern als Quellen für klinische Nachweise und Inhaltslizenzgebern, deren medizinische Literaturdatenbanken und APIs in die Plattform integriert sind (z. B. Anbieter klinischer Leitlinien und Zeitschriftendatenbanken).
4. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten, um unsere Produkte und Dienstleistungen bereitzustellen und weiterzuentwickeln.
Wir verfolgen den Grundsatz Privacy by Design und integrieren den Datenschutz von Beginn an in die Gestaltung unserer Systeme und Geschäftsprozesse. Unsere Maßnahmen umfassen Verschlüsselung, strenge Zugriffskontrollen und kontinuierliche Bedrohungsüberwachung. Datenschutz-Folgenabschätzungen werden regelmäßig durchgeführt.
Wir setzen De-Identifizierungsverfahren ein, um sicherzustellen, dass personenbezogene Daten und Gesundheitsdaten pseudonymisiert werden und identifizierbare Merkmale entfernt werden, bevor sie für bestimmte Verarbeitungszwecke herangezogen werden.
Sollten wir bereits erhobene personenbezogene Daten zu einem anderen als dem in diesen Datenschutzhinweisen genannten Zweck verwenden wollen, werden wir Sie vorab durch eine aktualisierte Informationsmitteilung benachrichtigen und Ihnen Wahlmöglichkeiten einräumen.
Zweck
Beschreibung
Produkte
Rechtsgrundlage
Bereitstellung
Ermöglichung des Zugangs zu und der Nutzung unserer Website, Heidi und anderer Dienste.
Scribe, Evidence, Comms
Art. 6 Abs. 1 lit. b DSGVO
Verbesserung
Gestaltung, Bereitstellung, Verbesserung und Verwaltung unserer Website, Heidi und anderer Dienste, z. B. für Analysen und Marketing.
Scribe, Evidence, Comms
Art. 6 Abs. 1 lit. f DSGVO
Gesundheitsversorgung
Unterstützung der Gesundheitsversorgung. Daten zur Krankengeschichte, zu Symptomen oder Beschwerden können von Heidi erfasst werden, damit Fachkräfte Behandlungsentscheidungen treffen können.
Heidi Scribe, Heidi Comms
Art. 6 Abs. 1 lit. b DSGVO; bei Ansprechpartnern des Vertragspartners: Art. 6 Abs. 1 lit. f DSGVO
Forschung und klinische Wissensunterstützung
Zugang zu kuratierter medizinischer Literatur, klinischen Leitlinien und evidenzbasierten Ressourcen. Heidi Evidence unterstützt Recherche und Wissensvermittlung und ist nicht für die direkte Patientenversorgung konzipiert
Heidi Evidence
De-identifizierte Daten für Heidi-funktionen
Wir können Ihre personenbezogenen Daten de-identifizieren und/oder aggregieren, um bestimmte Funktionen bereitzustellen und Heidi weiterzuentwickeln.
Klarstellung: Dieser Zweck umfasst nicht die Verwendung sensibler Gesundheitsdaten. Es werden keine Patientendaten zum Trainieren, Entwickeln oder Verbessern von KI-Modellen verwendet.
Scribe, Evidence, Comms
Art. 6 Abs. 1 lit. f DSGVO
Support
Versand von Service-, Support- und Verwaltungsnachrichten, technischen Hinweisen, Updates, Sicherheitswarnungen und von Ihnen angeforderter Informationen.
Scribe, Evidence, Comms
Art. 6 Abs. 1 lit. b DSGVO
Kontaktaufnahme
Benachrichtigung über wichtige Angelegenheiten betreffend Heidi, unsere Dienste oder Ihre Daten.
Scribe, Evidence, Comms
Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO
Marketing
Versand von Marketing- und Werbemitteilungen
Scribe, Evidence, Comms
Art. 6 Abs. 1 lit. a DSGVO
Rechtliche Pflichten
Erfüllung gesetzlicher Verpflichtungen und Unterstützung von Behörden, soweit gesetzlich vorgeschrieben oder zulässig.
Scribe, Evidence, Comms
Art. 6 Abs. 1 lit. c DSGVO
Bewerbungsverfahren
Prüfung und Bearbeitung Ihrer Bewerbung.
Scribe, Evidence, Comms
Art. 6 Abs. 1 lit. b DSGVO; § 26 BDSG
Sofern nicht gesetzlich zulässig oder vorgeschrieben, verarbeiten wir Ihre Gesundheitsdaten nicht ohne Ihre Einwilligung.
5. Marketing und Abmeldemöglichkeiten
Sie können sich jederzeit von unserer Marketingkommunikation abmelden.
Wir können Ihnen Direktmarketing-Mitteilungen über unsere Dienstleistungen und Produkte zusenden, etwa per E-Mail oder auf anderem Wege. Die Verarbeitung Ihrer Daten für Marketingzwecke erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit widerrufen, über die Abmeldefunktion in der jeweiligen Nachricht oder durch Kontaktaufnahme gemäß Abschnitt 12.
Wir können unsere Dienste auch allgemein bewerben, etwa über soziale Medien, Werbung auf unserer Website oder andere digitale und analoge Plattformen. Dies geschieht stets im Einklang mit den gesetzlichen Anforderungen.
Ohne Ihre Einwilligung werden wir weder:
Ihre Gesundheitsdaten für Marketingzwecke verwenden; noch
Ihre Daten an Dritte zu deren Marketingzwecken weitergeben.
6. Datenspeicherung und internationale Datenübermittlung
Ihre personenbezogenen Daten werden grundsätzlich in Ihrem lokalen Rechtsgebiet gespeichert.
Wir haben Lösungen zur Datenlokalisierung für Kunden in der EU, in Australien, Kanada, den USA und dem Vereinigten Königreich implementiert. Einige Funktionen von Heidi sind auf Drittanbieterdienste angewiesen, deren Server sich außerhalb der EU befinden können. In diesen Fällen stellen wir sicher, dass Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen werden und, soweit erforderlich, geeignete Garantien gemäß Art. 44–49 DSGVO vorliegen.
6.1 Heidi Comms – Datenverarbeitung und Speicherung
Heidi Comms ist ein Kommunikationstool innerhalb der Heidi-Plattform, das Telefon- und Echtzeit-Sprachinteraktionen ermöglicht. Über Heidi Comms erhobene Daten können durch vertrauenswürdige Auftragsverarbeiter außerhalb der EU verarbeitet werden. Diese Unterauftragsverarbeiter unterliegen denselben vertraglichen Anforderungen wie in Abschnitt 6 beschrieben. Durch Heidi Comms erstellte Transkripte können vorübergehend unter der Kontrolle der Fachkraft gespeichert werden, ausschließlich zur Qualitätssicherung. Eine Weitergabe an Dritte erfolgt nicht.
6.2 Heidi Evidence - Datenverarbeitung und Speicherung
Heidi Evidence ist ein klinisches Recherche- und Wissenswerkzeug, das Fachkräften ermöglicht, medizinische Fachliteratur, Leitlinien und evidenzbasierte Ressourcen zu durchsuchen und abzurufen.
Über Heidi Evidence erhobene Daten können durch vertrauenswürdige Auftragsverarbeiter außerhalb Ihres Rechtsgebiets verarbeitet werden, einschließlich Evidenzquellen- und API-Partnern, deren Inhalte in die Plattform integriert sind.
Für EU-Nutzer:innen arbeitet Heidi Evidence ausschließlich außerhalb aktiver Konsultationssitzungen (out-of-session). Abfrage- und Ergebnisdaten für EU-Nutzer:innen werden innerhalb der EU/des EWR gespeichert. Jede Verarbeitung außerhalb der EU/des EWR unterliegt geeigneten Garantien einschließlich Auftragsverarbeitungsverträgen mit den jeweiligen Unterauftragsverarbeitern.
7. Empfänger Ihrer Daten
Wir können Ihre personenbezogenen Daten an die nachfolgend genannten Empfänger weitergeben, soweit dies für die in diesen Datenschutzhinweisen genannten Zwecke erforderlich ist.
Ihre personenbezogenen Daten können weitergegeben werden an:
unsere Beschäftigten und verbundenen Unternehmen;
externe Dienstleister und Auftragsverarbeiter (einschließlich Hosting-Anbieter für Heidi’s Betrieb);
fachliche Berater, Vertreter und Bevollmächtigte;
Zahlungsdienstleister (z. B. Händler, die Kartenzahlungen entgegennehmen);
Erwerber im Falle einer Unternehmensübertragung, sofern der Empfänger sich zur Einhaltung vergleichbarer Datenschutzstandards verpflichtet;
von Ihnen ausdrücklich autorisierte Dritte sowie weitere an der Erbringung von Gesundheitsdiensten beteiligte Stellen;
staatliche Stellen, Aufsichtsbehörden und Strafverfolgungsbehörden, soweit gesetzlich vorgeschrieben oder zulässig.
8. Cookies und Webseiten-Nutzung
Wir setzen auf unserer Website Cookies ein, um die Nutzung auszuwerten und Ihre Präferenzen zu speichern.
Sie haben das Recht, auf die personenbezogenen Daten, die wir über Sie erheben, zuzugreifen, diese berichtigen, aktualisieren oder löschen zu lassen. Sie können bestimmten Verarbeitungsformen widersprechen und Ihre Einwilligung jederzeit widerrufen.
Cookie-Art
Beschreibung
Technisch notwendige Cookies
Ermöglichen grundlegende Funktionen wie Seitennavigation und Zugang zu gesicherten Bereichen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TDDDG.
Analyse-Cookies
Helfen uns, das Nutzungsverhalten auf unserer Website zu verstehen und diese zu verbessern.
Personalisierungs-Cookies
Passen Ihre Nutzererfahrung anhand Ihrer Nutzungsmuster an.
Werbe-Cookies
Werden eingesetzt, um über Dienste wie Google personalisierte Werbung auszuliefern.
Die Verarbeitung nicht technisch notwendiger Cookies beruht auf Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit über Ihre Browsereinstellungen widerrufen. Ohne Ihre ausdrückliche Einwilligung werden keine personenbezogenen Daten zu Werbe- oder Analysezwecken erhoben.
Für weitere Informationen oder zur Ausübung Ihrer Rechte kontaktieren Sie bitte compliance@heidihealth.com.
9. Technische und organisatorische Maßnahmen
Wir ergreifen umfangreiche Maßnahmen zum Schutz Ihrer Daten.
Personenbezogene Daten werden grundsätzlich in unseren elektronischen Datenbanken gespeichert. Unsere Website, Heidi und Arbeitsumgebung verfügen über integrierte physische, elektronische und organisatorische Maßnahmen zum Schutz vor Missbrauch, Manipulation, Verlust und unbefugtem Zugriff.
Maßnahme
Erläuterung
Mitarbeiterschulungen
Regelmäßige Schulungen zum sicheren Umgang mit personenbezogenen Daten.
Verschlüsselung
Verschlüsselung aller Daten im Ruhezustand (at rest) und bei der Übertragung (in transit) nach Industriestandard.
De-Identifizierung
Einsatz spezialisierter Tools zur De-Identifizierung Ihrer Daten vor der Verarbeitung für bestimmte Zwecke.
Sichere Speicherung
Kombinierte technische und organisatorische Maßnahmen zur Gewährleistung der Plattformsicherheit und zum Schutz Ihres Kontos.
Datenminimierung und Löschung
Ihre Daten werden nur so lange aufbewahrt, wie von Ihnen gewünscht oder wie gesetzlich vorgeschrieben. Anschließend erfolgt die sichere Löschung.
10. Ihre Rechte als betroffene Person
Sie haben umfassende Rechte in Bezug auf Ihre personenbezogenen Daten. Kontaktieren Sie uns, um diese auszuüben.
Im Rahmen der DSGVO stehen Ihnen die folgenden Rechte zu:
Recht
Erläuterung
Auskunft (Art. 15)
Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
Berichtigung (Art. 16)
Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Löschung (Art. 17)
Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die gesetzlichen Voraussetzungen vorliegen.
Einschränkung (Art. 18)
Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
Datenübertragbarkeit (Art. 20)
Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln.
Beschwerde (Art. 77)
Sie haben das Recht auf Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde.
Zur Ausübung Ihrer Rechte teilen Sie uns bitte Ihren Namen und Ihre Kontaktdaten mit und beschreiben Sie Ihr Anliegen. Wir bestätigen den Eingang Ihrer Anfrage umgehend und streben eine Beantwortung innerhalb von 30 Tagen an. Soweit wir Ihrer Anfrage nicht entsprechen können, werden wir Ihnen die Gründe erläutern. Eine Identitätsprüfung kann zum Schutz Ihrer Daten erforderlich sein.
Widerspruchsrecht gemäß Art. 21 DSGVO
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf dieser Bestimmung beruhendes Profiling. Legen Sie Widerspruch ein, verarbeiten wir Ihre Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Bei Fragen oder Bedenken zum Datenschutz wenden Sie sich bitte an unser Compliance-Team unter compliance@heidihealth.com.
11. Beschäftigtendatenschutz
Kategorie
Erläuterung
Allgemeine personenbezogene Daten
Name, Anschrift, Geburtsdatum, Kontaktnummer, E-Mail-Adresse und Foto.
Bildungs- und Sozialdaten
Angaben zur Ausbildung, Referenzen, Interessen und außerberufliche Aktivitäten sowie Lebensereignisse (z. B. Heirat, Geburt von Kindern).
Besondere Kategorien personenbezogener Daten
Angaben zum Gesundheitszustand, bestimmte strafrechtliche Verurteilungen, rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, sexuelle Orientierung.
Finanzdaten
Bankverbindung, Steueridentifikationsnummer, Wohnsitzstatus und ggf. Bonitätsprüfungen.
Arbeitsbezogene Daten
Beruflicher Werdegang, fachliche Aktivitäten, Mitgliedschaft in Berufsverbänden und personenbezogene Daten in Arbeitsergebnissen.
Aktuelle und ehemalige Beschäftigte mit Fragen zum Umgang mit ihren personenbezogenen Daten wenden sich bitte an hello@heidihealth.com.
12. Verantwortlicher und Kontakt
Angaben zum Verantwortlichen, zum Datenschutzbeauftragten und zu Ihren Kontaktmöglichkeiten gemäß Art. 13 Abs. 1 DSGVO.
Für alle datenschutzrechtlichen Anfragen, insbesondere zur Ausübung Ihrer Betroffenenrechte, wenden Sie sich bitte an support@heidihealth.com oder an den Datenschutzbeauftragten.
