Datenschutzerklärung für die Elara Health App

Verantwortlicher für die Datenverarbeitung

MS Nucleus GmbH
Gundelfinger Straße 5
10318 Berlin
Amtsgericht: Berlin (Charlottenburg)
Registernummer: HRB 243388
Vertretungsberechtigter Geschäftsführer, Datenschutzbeauftragter: Frederik Marquart
E-Mail-Adresse: frederik@elara-health.de

Arten der verarbeiteten Daten

Im Rahmen der Nutzung der Elara Health App verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

• Kontaktinformationen: z. B. E-Mail-Adresse
• Nutzerkonto- und Profildaten: z. B. Nutzer-ID, Angaben im Profil, Einstellungen
• Gesundheits- und Symptomdaten (sensible Daten gemäß Art. 9 DSGVO):
  z. B. Angaben zu Energie, Schlaf, Symptomen, Medikamenteneinnahme, Menstruationsverlauf, Laborwerten, Notizen
• Messdaten von verbundenen Geräten und Diensten (optional):
  z. B. Herzfrequenz, Schritte, Schlafdaten, Gewicht, Blutdruck (z. B. über Apple Health, Google Fit, Garmin)
• Standortdaten (optional): z. B. Wetterdienste
• Technische Daten und Gerätedaten: z. B. IP-Adresse, Gerätetyp, Betriebssystemversion, App-Version
• Inhalte aus hochgeladenen Dateien: z. B. PDF- oder Bilddateien mit Laborberichten

Diese Daten werden entweder direkt durch Ihre Eingabe, durch Synchronisation mit Drittanbieterdiensten oder automatisiert beim App-Zugriff erhoben.

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt unter Einhaltung der DSGVO auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  Für freiwillige Angaben (z. B. Gesundheitsdaten, Nutzung von Wearables, Standortdaten) sowie für Direktmarketing, App-Integrationen (z. B. Apple Health, Garmin) und Analysefunktionen.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  Zur Bereitstellung und Nutzung der Elara Health App, einschließlich der Benutzerverwaltung, Dokumentation von Symptomen, Anzeige von Auswertungen etc.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
  Soweit gesetzliche Aufbewahrungs- oder Mitteilungspflichten bestehen.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  Zur Sicherstellung des App-Betriebs, Fehleranalyse, IT-Sicherheit und Verbesserung der App-Funktionalität. Unser berechtigtes Interesse besteht in einer sicheren und nutzerfreundlichen Bereitstellung unserer Dienste. Dabei wurden Ihre Interessen, Grundrechte und Grundfreiheiten angemessen berücksichtigt.
• Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)
  Für die Verarbeitung besonderer Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten (z. B. Symptome, Laborwerte, Medikationsdaten, Zyklusinformationen).

Zwecke der Verarbeitung

Ihre personenbezogenen Daten werden zu folgenden Zwecken verarbeitet:

Bereitstellung und Betrieb der App

• Registrierung und Verwaltung Ihres Nutzerkontos
• Nutzung der Hauptfunktionen (z. B. Tagebuch, Auswertungen, Symptomeingabe)
• Erstellung von Verlaufs- und Zusammenhangsgrafiken (z. B. Energieverlauf, Crash Score)

Analyse und Weiterentwicklung

• Personalisierte Darstellung und Analyse Ihrer Daten
• Erkennung individueller Muster und Trends
• Technische Fehlerdiagnose und Verbesserung der App-Performance

App-Integrationen und Datenimport

• Synchronisation mit Diensten wie Apple HealthKit, Google Health Connect oder Garmin
• Verarbeitung der übertragenen Daten zur Anzeige und Analyse innerhalb der App

Kundenservice und Kommunikation

• Beantwortung Ihrer Anfragen
• Zusendung technischer Informationen und Änderungen
• In-App-Benachrichtigungen und Erinnerungen

Marketing und Information (nur mit Einwilligung)

• Versand von Newslettern oder Produktinformationen
• Nutzerumfragen und Feedbackformulare

Erfüllung rechtlicher Verpflichtungen

z. B. Aufbewahrungspflichten, steuer- oder gesundheitsrechtliche Anforderungen

Automatisierte Auswertungen

Die Elara Health App nutzt automatisierte Verfahren zur Auswertung Ihrer Daten, z. B. zur Darstellung möglicher Zusammenhänge zwischen Symptomen, Energie, Schlaf, Aktivität, Stimmung oder Laborwerten. Diese Auswertungen dienen ausschließlich der individuellen Information und Reflexion.

Hierzu können auch algorithmische Bewertungen (z. B. „Crash Score") eingesetzt werden, die auf vordefinierten Regeln oder Modellen basieren. Es erfolgt jedoch keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder ähnlich erheblicher Auswirkung im Sinne von Art. 22 DSGVO.

Nutzerinnen und Nutzer erhalten jederzeit die Möglichkeit, ihre Daten selbstständig zu überprüfen, zu exportieren oder zu löschen.

Minderjährigenschutz

Die Elara Health App richtet sich ausschließlich an Personen ab 16 Jahren. Eine Nutzung durch Minderjährige unter 16 Jahren ist nur zulässig, wenn eine ausdrückliche Zustimmung der sorgeberechtigten Person vorliegt (Art. 8 DSGVO).

Empfänger der Daten

Innerhalb unseres Unternehmens erhalten nur diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung ihrer Aufgaben benötigen (z. B. Kundenservice, IT, Produktentwicklung).

Darüber hinaus setzen wir sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Diese verarbeiten Ihre Daten ausschließlich in unserem Auftrag und nach unseren Weisungen:

• Mistral OCR – KI-gestützte Verarbeitung hochgeladener Dokumente
• Google Fonts – Visuelle Darstellung
• Sentry – Erfassung und Auswertung von Fehlermeldungen und technischen Störungen

Alle Auftragsverarbeiter wurden von uns datenschutzrechtlich geprüft und sind durch Auftragsverarbeitungsverträge sowie geeignete Schutzmaßnahmen (z. B. Standardvertragsklauseln bei Drittlandverarbeitung) abgesichert.

Eine Weitergabe an Dritte, die keine Auftragsverarbeiter sind, erfolgt nur, wenn:

• Sie ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO), oder
• eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO).

App-Stores (Google/Apple)

Die Elara Health App wird über externe Plattformen wie den Apple App Store und Google Play Store bereitgestellt. Dabei erfolgt die Verarbeitung personenbezogener Daten (z. B. Gerätekennungen, Zahlungsinformationen, Download-Zeitpunkt) durch die jeweiligen Plattformbetreiber in eigener datenschutzrechtlicher Verantwortung.

Wir haben keinen Einfluss auf die Datenverarbeitung dieser Plattformen. Bitte beachten Sie die Datenschutzhinweise der jeweiligen Anbieter:

• Apple Datenschutzerklärung
• Google Datenschutzerklärung

Drittanbietertastaturen

Bei Verwendung von Drittanbietertastaturen (z. B. alternative Tastatur-Apps unter iOS oder Android) besteht grundsätzlich das Risiko, dass Eingaben – auch sensible Daten – durch die jeweilige Tastatur-Anwendung mitgelesen oder gespeichert werden.

Die Elara Health App hat keinen Einfluss auf die Datenverarbeitung dieser Tastaturen, da diese außerhalb unserer App-Umgebung agieren. Bitte prüfen Sie sorgfältig, welchen Tastaturanbietern Sie Zugriff auf Ihre Eingaben gewähren.

Wir empfehlen die Verwendung der standardmäßig vorinstallierten Systemtastatur Ihres Geräts, um das Risiko ungewollter Datenverarbeitung zu minimieren.

Speicherort und Übermittlung in Drittländer

Ein Teil der Datenverarbeitung erfolgt durch unsere Dienstleister in Drittländern außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA und Singapur. Dies betrifft z. B. Hosting-Dienste (Supabase), Authentifizierungsdienste und OCR-Analysen.

Bei der Übermittlung Ihrer Daten in Drittländer stellen wir sicher, dass ein angemessenes Datenschutzniveau gemäß Art. 44 ff. DSGVO gewährleistet ist. Dies erfolgt durch:

• den Abschluss von Standardvertragsklauseln der EU-Kommission mit den jeweiligen Anbietern,
• technisch-organisatorische Schutzmaßnahmen,
• sowie – falls verfügbar – die Zertifizierung nach dem EU-U.S. Data Privacy Framework (bei US-Anbietern).

Sie können eine Kopie der jeweils verwendeten Schutzmaßnahmen auf Anfrage unter frederik@elara-health.de erhalten.

Speicherdauer

Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie dies für die Erfüllung der jeweiligen Zwecke erforderlich ist, für die sie erhoben wurden.

Im Einzelnen gelten folgende Regelungen:

• Tagebuchdaten: bleiben gespeichert, solange Ihr Nutzerkonto aktiv ist. Bei Löschung Ihres Kontos werden diese Daten endgültig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Technische Daten (z. B. Logfiles): werden in der Regel nach spätestens 90 Tagen automatisiert gelöscht oder anonymisiert.
• Vertrags- und Kommunikationsdaten (z. B. bei Supportanfragen): können zur Erfüllung gesetzlicher Aufbewahrungsfristen (z. B. nach Handels- und Steuerrecht) bis zu 10 Jahre gespeichert bleiben.

Sie haben jederzeit das Recht, eine vorzeitige Löschung oder Einschränkung der Verarbeitung zu verlangen, sofern keine gesetzliche Pflicht zur weiteren Aufbewahrung besteht.

Ihre Rechte

Sie haben gemäß Art. 15 bis 21 DSGVO folgende Rechte hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten:

• Auskunft über die von uns verarbeiteten Daten (Art. 15 DSGVO)
• Berichtigung unzutreffender oder unvollständiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten („Recht auf Vergessenwerden") unter bestimmten Voraussetzungen (Art. 17 DSGVO)
• Einschränkung der Verarbeitung Ihrer Daten (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung, insbesondere bei Direktwerbung oder berechtigtem Interesse (Art. 21 DSGVO)
• Widerruf Ihrer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Sie können diese Rechte jederzeit ausüben – ohne Nachteile – indem Sie sich per E-Mail an frederik@elara-health.de wenden. Wir beantworten Anfragen innerhalb von einem Monat.

Darüber hinaus steht Ihnen das Recht zu, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des mutmaßlichen Verstoßes.

Datenschutz für Nutzerinnen und Nutzer aus der Schweiz

Für Personen mit Wohnsitz in der Schweiz erfolgt die Verarbeitung personenbezogener Daten zusätzlich nach den Bestimmungen des revidierten Schweizer Datenschutzgesetzes (revDSG).

Betroffene Personen haben insbesondere das Recht auf Auskunft, Berichtigung, Löschung sowie auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten im Rahmen des geltenden Schweizer Datenschutzrechts.

Beschwerden können beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingereicht werden.

Datenschutz für Nutzerinnen und Nutzer aus dem Vereinigten Königreich

Für Personen mit Wohnsitz im Vereinigten Königreich erfolgt die Verarbeitung personenbezogener Daten gemäß der UK General Data Protection Regulation (UK GDPR) sowie dem Data Protection Act 2018.

Nutzerinnen und Nutzer haben die gleichen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie Widerruf erteilter Einwilligungen.

Beschwerden können bei der zuständigen Aufsichtsbehörde, dem Information Commissioner’s Office (ICO), eingereicht werden.

Hinweise für Nutzerinnen und Nutzer aus den Vereinigten Staaten von Amerika (USA)

Elara Health ist keine „Covered Entity“ und kein „Business Associate“ im Sinne des U.S. Health Insurance Portability and Accountability Act (HIPAA). Die Elara Health App ist eine Wellness- und Selbstmanagement-Anwendung und ersetzt keine medizinische Beratung, Diagnose oder Behandlung.

Für Nutzerinnen und Nutzer mit Wohnsitz im Bundesstaat Kalifornien gelten zusätzlich die Rechte gemäß dem California Consumer Privacy Act (CCPA) sowie dem California Privacy Rights Act (CPRA). Dazu zählen insbesondere das Recht auf Auskunft über die verarbeiteten personenbezogenen Daten, das Recht auf Berichtigung oder Löschung sowie das Recht, der Weitergabe personenbezogener Daten zu widersprechen.

Elara Health verkauft, vermietet oder teilt keine personenbezogenen Daten im Sinne des CCPA/CPRA zu kommerziellen Zwecken.

Anfragen zur Ausübung dieser Rechte können jederzeit per E-Mail an frederik@elara-health.de gerichtet werden.

Hinweise für Nutzerinnen und Nutzer aus Kanada

Die Verarbeitung personenbezogener Daten von Nutzerinnen und Nutzern mit Wohnsitz in Kanada erfolgt gemäß dem Personal Information Protection and Electronic Documents Act (PIPEDA).

Personenbezogene Daten werden ausschließlich für die in dieser Datenschutzerklärung beschriebenen Zwecke verarbeitet und grundsätzlich nur auf Grundlage Ihrer Einwilligung oder einer sonst zulässigen Rechtsgrundlage.

Nutzerinnen und Nutzer haben das Recht, Auskunft über ihre personenbezogenen Daten zu erhalten sowie die Berichtigung oder Löschung unzutreffender Daten zu verlangen. Beschwerden können an die zuständige Datenschutzaufsichtsbehörde oder an uns als verantwortliche Stelle gerichtet werden.

Hinweise für Nutzerinnen und Nutzer aus Australien

Die Verarbeitung personenbezogener Daten von Nutzerinnen und Nutzern mit Wohnsitz in Australien erfolgt gemäß dem australischen Privacy Act 1988 und den Australian Privacy Principles (APPs).

Nutzerinnen und Nutzer haben das Recht, Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten sowie die Berichtigung unzutreffender Informationen zu verlangen. Beschwerden können an uns als verantwortliche Stelle oder an die zuständige australische Datenschutzaufsichtsbehörde gerichtet werden.

Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, z. B. bei neuen Funktionen. Bei wesentlichen Änderungen holen wir, soweit erforderlich, eine neue Einwilligung ein.