Datenschutzerklärung für die Elara Health App

Verantwortlicher für die Datenverarbeitung

MS Nucleus GmbH
Gundelfinger Straße 5
10318 Berlin
Amtsgericht: Berlin (Charlottenburg)
Registernummer: HRB 243388
Vertretungsberechtigter Geschäftsführer, Datenschutzbeauftragter: Frederik Marquart
E-Mail-Adresse: frederik@elara-health.de

Arten der verarbeiteten Daten

Im Rahmen der Nutzung der Elara Health App verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

• Kontaktinformationen: z. B. E-Mail-Adresse
• Nutzerkonto- und Profildaten: z. B. Nutzer-ID, Angaben im Profil, Einstellungen
• Gesundheits- und Symptomdaten (sensible Daten gemäß Art. 9 DSGVO):
  z. B. Angaben zu Energie, Schlaf, Symptomen, Medikamenteneinnahme, Menstruationsverlauf, Laborwerten, Notizen
• Messdaten von verbundenen Geräten und Diensten (optional):
  z. B. Herzfrequenz, Schritte, Schlafdaten, Gewicht, Blutdruck (z. B. über Apple Health, Google Fit, Garmin)
• Standortdaten (optional): z. B. Wetterdienste
• Technische Daten und Gerätedaten: z. B. IP-Adresse, Gerätetyp, Betriebssystemversion, App-Version
• Inhalte aus hochgeladenen Dateien: z. B. PDF- oder Bilddateien mit Laborberichten

Diese Daten werden entweder direkt durch Ihre Eingabe, durch Synchronisation mit Drittanbieterdiensten oder automatisiert beim App-Zugriff erhoben.

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt unter Einhaltung der DSGVO auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  Für freiwillige Angaben (z. B. Gesundheitsdaten, Nutzung von Wearables, Standortdaten) sowie für Direktmarketing, App-Integrationen (z. B. Apple Health, Garmin) und Analysefunktionen.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  Zur Bereitstellung und Nutzung der Elara Health App, einschließlich der Benutzerverwaltung, Dokumentation von Symptomen, Anzeige von Auswertungen etc.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
  Soweit gesetzliche Aufbewahrungs- oder Mitteilungspflichten bestehen.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  Zur Sicherstellung des App-Betriebs, Fehleranalyse, IT-Sicherheit und Verbesserung der App-Funktionalität. Unser berechtigtes Interesse besteht in einer sicheren und nutzerfreundlichen Bereitstellung unserer Dienste.
• Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)
  Für die Verarbeitung besonderer Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten (z. B. Symptome, Laborwerte, Medikationsdaten, Zyklusinformationen).

Zwecke der Verarbeitung

Ihre personenbezogenen Daten werden zu folgenden Zwecken verarbeitet:

Bereitstellung und Betrieb der App

• Registrierung und Verwaltung Ihres Nutzerkontos
• Nutzung der Hauptfunktionen (z. B. Tagebuch, Auswertungen, Symptomeingabe)
• Erstellung von Verlaufs- und Zusammenhangsgrafiken (z. B. Energieverlauf, Crash Score)

Analyse und Weiterentwicklung

• Personalisierte Darstellung und Analyse Ihrer Daten
• Erkennung individueller Muster und Trends
• Technische Fehlerdiagnose und Verbesserung der App-Performance

App-Integrationen und Datenimport

• Synchronisation mit Diensten wie Apple HealthKit, Google Health Connect oder Garmin
• Verarbeitung der übertragenen Daten zur Anzeige und Analyse innerhalb der App

Kundenservice und Kommunikation

• Beantwortung Ihrer Anfragen
• Zusendung technischer Informationen und Änderungen
• In-App-Benachrichtigungen und Erinnerungen

Marketing und Information (nur mit Einwilligung)

• Versand von Newslettern oder Produktinformationen
• Nutzerumfragen und Feedbackformulare

Erfüllung rechtlicher Verpflichtungen

z. B. Aufbewahrungspflichten, steuer- oder gesundheitsrechtliche Anforderungen

Automatisierte Auswertungen

Die Elara Health App nutzt automatisierte Verfahren zur Auswertung Ihrer Daten, z. B. zur Darstellung möglicher Zusammenhänge zwischen Symptomen, Energie, Schlaf, Aktivität, Stimmung oder Laborwerten. Diese Auswertungen dienen ausschließlich der individuellen Information und Reflexion.

Hierzu können auch algorithmische Bewertungen (z. B. „Crash Score") eingesetzt werden, die auf vordefinierten Regeln oder Modellen basieren. Es erfolgt jedoch keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder ähnlich erheblicher Auswirkung im Sinne von Art. 22 DSGVO.

Nutzerinnen und Nutzer erhalten jederzeit die Möglichkeit, ihre Daten selbstständig zu überprüfen, zu exportieren oder zu löschen.

Minderjährigenschutz

Die Elara Health App richtet sich ausschließlich an Personen ab 16 Jahren. Eine Nutzung durch Minderjährige unter 16 Jahren ist nur zulässig, wenn eine ausdrückliche Zustimmung der sorgeberechtigten Person vorliegt (Art. 8 DSGVO).

Empfänger der Daten

Innerhalb unseres Unternehmens erhalten nur diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung ihrer Aufgaben benötigen (z. B. Kundenservice, IT, Produktentwicklung).

Darüber hinaus setzen wir sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Diese verarbeiten Ihre Daten ausschließlich in unserem Auftrag und nach unseren Weisungen:

• Supabase Inc. – Hosting, Datenbankmanagement, Authentifizierung
• Mistral OCR – KI-gestützte Verarbeitung hochgeladener medizinischer Dokumente
• Google Fonts – visuelle Darstellung

Alle Auftragsverarbeiter wurden von uns datenschutzrechtlich geprüft und sind durch Auftragsverarbeitungsverträge sowie geeignete Schutzmaßnahmen (z. B. Standardvertragsklauseln bei Drittlandverarbeitung) abgesichert.

Eine Weitergabe an Dritte, die keine Auftragsverarbeiter sind, erfolgt nur, wenn:

• Sie ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO), oder
• eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO).

App-Stores (Google/Apple)

Die Elara Health App wird über externe Plattformen wie den Apple App Store und Google Play Store bereitgestellt. Dabei erfolgt die Verarbeitung personenbezogener Daten (z. B. Gerätekennungen, Zahlungsinformationen, Download-Zeitpunkt) durch die jeweiligen Plattformbetreiber in eigener datenschutzrechtlicher Verantwortung.

Wir haben keinen Einfluss auf die Datenverarbeitung dieser Plattformen. Bitte beachten Sie die Datenschutzhinweise der jeweiligen Anbieter:

• Apple Datenschutzerklärung
• Google Datenschutzerklärung

Drittanbietertastaturen

Bei Verwendung von Drittanbietertastaturen (z. B. alternative Tastatur-Apps unter iOS oder Android) besteht grundsätzlich das Risiko, dass Eingaben – auch sensible Daten – durch die jeweilige Tastatur-Anwendung mitgelesen oder gespeichert werden.

Die Elara Health App hat keinen Einfluss auf die Datenverarbeitung dieser Tastaturen, da diese außerhalb unserer App-Umgebung agieren. Bitte prüfen Sie sorgfältig, welchen Tastaturanbietern Sie Zugriff auf Ihre Eingaben gewähren.

Wir empfehlen die Verwendung der standardmäßig vorinstallierten Systemtastatur Ihres Geräts, um das Risiko ungewollter Datenverarbeitung zu minimieren.

Speicherort und Übermittlung in Drittländer

Ein Teil der Datenverarbeitung erfolgt durch unsere Dienstleister in Drittländern außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA und Singapur. Dies betrifft z. B. Hosting-Dienste (Supabase), Authentifizierungsdienste und OCR-Analysen.

Bei der Übermittlung Ihrer Daten in Drittländer stellen wir sicher, dass ein angemessenes Datenschutzniveau gemäß Art. 44 ff. DSGVO gewährleistet ist. Dies erfolgt durch:

• den Abschluss von Standardvertragsklauseln der EU-Kommission mit den jeweiligen Anbietern,
• technisch-organisatorische Schutzmaßnahmen,
• sowie – falls verfügbar – die Zertifizierung nach dem EU-U.S. Data Privacy Framework (bei US-Anbietern).

Sie können eine Kopie der jeweils verwendeten Schutzmaßnahmen auf Anfrage unter frederik@elara-health.de erhalten.

Speicherdauer

Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie dies für die Erfüllung der jeweiligen Zwecke erforderlich ist, für die sie erhoben wurden.

Im Einzelnen gelten folgende Regelungen:

• Tagebuchdaten: bleiben gespeichert, solange Ihr Nutzerkonto aktiv ist. Bei Löschung Ihres Kontos werden diese Daten endgültig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Technische Daten (z. B. Logfiles): werden in der Regel nach spätestens 90 Tagen automatisiert gelöscht oder anonymisiert.
• Vertrags- und Kommunikationsdaten (z. B. bei Supportanfragen): können zur Erfüllung gesetzlicher Aufbewahrungsfristen (z. B. nach Handels- und Steuerrecht) bis zu 10 Jahre gespeichert bleiben.

Sie haben jederzeit das Recht, eine vorzeitige Löschung oder Einschränkung der Verarbeitung zu verlangen, sofern keine gesetzliche Pflicht zur weiteren Aufbewahrung besteht.

Ihre Rechte

Sie haben gemäß Art. 15 bis 21 DSGVO folgende Rechte hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten:

• Auskunft über die von uns verarbeiteten Daten (Art. 15 DSGVO)
• Berichtigung unzutreffender oder unvollständiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten („Recht auf Vergessenwerden") unter bestimmten Voraussetzungen (Art. 17 DSGVO)
• Einschränkung der Verarbeitung Ihrer Daten (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung, insbesondere bei Direktwerbung oder berechtigtem Interesse (Art. 21 DSGVO)
• Widerruf Ihrer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Sie können diese Rechte jederzeit ausüben – ohne Nachteile – indem Sie sich per E-Mail an frederik@elara-health.de wenden. Wir beantworten Anfragen innerhalb von einem Monat.

Darüber hinaus steht Ihnen das Recht zu, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des mutmaßlichen Verstoßes.

Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, z. B. bei neuen Funktionen. Bei wesentlichen Änderungen holen wir, soweit erforderlich, eine neue Einwilligung ein.