Datenschutzhinweise
health X
Mit diesen Datenschutzhinweisen informieren wir dich über die Verarbeitung deiner personenbezogenen Daten im Rahmen unseres Belohnungsprogramms health X sowie die dir nach dem Datenschutzrecht zustehenden Rechte.
1. Verantwortlicher und Datenschutzbeauftragter
Verantwortlich für die Verarbeitung deiner personenbezogenen Daten im Sinne von Art. 4 Nr. 7 EU-Datenschutzgrundverordnung („DS-GVO“) und deine Ansprechpartnerin für Fragen zum Datenschutz bei health X ist die
ottonova services GmbH
Ottostraße 4
80333 München
Geschäftsführer: Matthias Schreiber, Dr. Stefan Strobl, Christopher Koker
Registergericht: Amtsgericht München
Handelsregisternummer: 227447
USt.-ID: DE308357692
Telefon: +49 8926 2098 000
E-Mail: helpdesk@ottonova.de
nachfolgend auch „ottonova services“, „wir“, „uns“, „unser“.
Den Datenschutzbeauftragten von ottonova services erreichst du per E-Mail unter ottonova@iitr.de oder unter der angegebenen Postadresse mit dem Zusatz „Datenschutzbeauftragter“.
2. Arten der verarbeiteten Daten
Bei der Anmeldung und Durchführung unseres Belohnungsprogramms health X verarbeiten wir personenbezogene Daten von dir. Personenbezogene Daten sind alle Einzelangaben, die dich persönlich betreffen oder dir zugeordnet werden können.
2.1. Teilnehmerdaten
Teilnahmedaten sind die Informationen, die wir für deine Anmeldung bei health X benötigen. Hierzu gehören insbesondere dein Vor- und Nachname, deine E-Mail-Adresse, die Produktart des von dir abgeschlossenen ottonova Versicherungsschutzes, sowie das Beginn- und Enddatum dieses Versicherungsschutzes.
2.2. Umfragedaten
Umfragedaten sind Angaben, die wir bei Befragungen im Rahmen des health X-Programms von dir einholen. Hierzu gehören insbesondere Informationen zu deiner Zufriedenheit mit bestimmten Versicherungsprodukten, Feedback, Anregungen, Wünsche, Meinungen und Erfahrungsberichte. Zu den Umfragedaten gehören auch Angaben, die wir im Rahmen von Befragungen automatisch erstellen und dir zuweisen (z.B. Profil-ID; sog. Hash-Wert), die eine Zuordnung von Informationen zu deiner Person ermöglichen.
2.3. Abrechnungsdaten
Abrechnungsdaten sind sämtliche Informationen, die in Zusammenhang mit der Abrechnung und Auszahlung unserer Leistungen stehen. Hierzu gehören insbesondere Angaben zu deinem Guthaben, zu deiner Bankverbindung und zu Leistungs- und Rechnungsnachweisen.
2.4. Gesundheitsdaten
Gesundheitsdaten sind personenbezogene Daten, die sich auf deine körperliche oder geistige Gesundheit, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen zu deinem Gesundheitszustand hervorgehen. Solche Informationen können etwa in Angaben zu einem bestimmten Versicherungsschutz, versicherten oder ausgeschlossenen Risiken sowie individuellen Versicherungswünschen enthalten sein. Auch können deine Angaben im Rahmen von Befragungen Rückschlüsse auf deine Gesundheit zulassen.
3. Zwecke der Datenverarbeitung
Wir verarbeiten deine personenbezogenen Daten ausschließlich zu den nachfolgend beschriebenen Zwecken. Sollten wir deine Daten zu weiteren nicht genannten Zwecken verarbeiten, wirst du im Rahmen der gesetzlichen Bestimmungen zuvor hierüber informiert.
3.1. Anmeldung bei health X
Bei deiner Anmeldung zu health x erheben wir Teilnehmerdaten bei dir. Soweit du dem zustimmst, erheben wir deine Teilnehmerdaten bei der ottonova Krankenversicherung AG, welche diese Daten an uns übermittelt. Wir verwenden diese Informationen, um für dich ein Teilnehmerprofil anzulegen und dir die Leistungen unseres Belohnungsprogramms anbieten zu können. Wir speichern diese Daten in unserem Kundenmanagementsystem. Wir verwenden deine Teilnehmerdaten auch, um mit dir im Rahmen des health X-Programms zu kommunizieren, z.B. um deine Anfragen zu beantworten.
Rechtsgrundlage für die Datenverarbeitung ist die Vorbereitung und Durchführung des mit dir bei Anmeldung zu health X geschlossenen Teilnahmevertrages nach Art. 6 Abs. 1 lit. b DS-GVO. Stimmst du der Übermittlung deiner Teilnehmerdaten von der ottonova Krankenversicherung an uns zu, ist die Rechtsgrundlage für diese Übermittlung deine Einwilligung nach Art. 6 Abs. 1 lit. a, Art. 7 DS-GVO.
3.2. Durchführung von Befragungen, Auswertung und Veröffentlichung
Für die Durchführung von Befragungen verarbeiten wir deine Teilnehmerdaten, um Kontakt zu dir aufzunehmen und dich zu Befragungen einzuladen. Nimmst du an einer Befragung teil, erheben wir Umfragedaten bei dir. Zur technischen Abwicklung der Befragungen weisen wir dir automatisch erstellte Einzelangaben zu (z.B. Profil-ID, sog. Hash-Werte). Dies dient auch dem Zweck, deine personenbezogenen Daten zu pseudonymisieren und damit zu schützen. Pseudonymisieren bedeutet, dass deine personenbezogenen Daten so verarbeitet werden, dass dir die Umfragedaten nicht ohne Hinzuziehung zusätzlicher Informationen zugeordnet werden können, wobei diese zusätzlichen Informationen gesondert aufbewahrt und gesichert werden. Abhängig von der jeweiligen Befragung und deinen Angaben kann es sein, dass wir Informationen bei dir erheben, dir einen Rückschluss auf deine Gesundheit erlauben (Gesundheitsdaten).
Die Ergebnisse der Befragungen werten wir nach anerkannten statistischen Methoden aus. Hierfür anonymisieren wir deine personenbezogenen Daten. Anonymisieren bedeutet, dass wir deine Umfragedaten so verändern, dass sie dir endgültig nicht mehr zugeordnet werden können. Soweit das aus technischen oder anderen Gründen nicht möglich ist, werden deine Daten nur in pseudonymisierter Form ausgewertet. Eine weitere Zuordnung von Umfrageergebnissen zu deiner Person erfolgt nicht.
Wir veröffentlichen Umfrageergebnisse und teilen diese Ergebnisse mit Dritten. Soweit deine personenbezogene Daten Grundlage für diese Ergebnisse sind, erfolgt eine Veröffentlichung und Weitergabe ausschließlich in anonymisierter Form. Ein Rückschluss auf deine Person ist damit nicht mehr möglich.
Rechtsgrundlage für die Verarbeitung deiner personenbezogenen Daten zur Kontaktaufnahme und zur Bereitstellung sowie Auswertung der Befragungen ist die Vorbereitung und Durchführung des mit dir bei Anmeldung zu health X geschlossenen Teilnahmevertrages nach Art. 6 Abs. 1 lit. b DS-GVO. Die automatische Zuweisung von ergänzenden Einzelangaben, die Pseudonymisierung sowie Anonymisierung erfolgt auf Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DS-GVO. Das berechtigte Interesse ergibt sich aus den technischen Anforderungen für die Durchführung der jeweiligen Befragung sowie der Notwendigkeit, deine Daten zu schützen. Soweit wir Gesundheitsdaten im Rahmen von Befragungen erheben und auswerten, erfolgt dies nur auf Grundlage einer ausdrücklichen Einwilligung, die wir separat von dir vor Beginn einer Befragung einholen. Rechtsgrundlage ist insoweit Art. 6 Abs. 1 lit. a, Art. 7 DS-GVO.
3.3. Abrechnung
Erwirbst du durch die Teilnahme an Befragungen ein Guthaben, so speichern wir Angaben hierzu in deinem Teilnehmerprofil und stellen dir diese Informationen zur Verfügung. Für die administrative Abwicklung deines Guthabens, einschließlich der Überprüfung der von dir hochgeladenen Kostennachweise und Auskehrung der anrechenbaren Beträge auf dein Bankkonto verarbeiten wir Abrechnungsdaten von dir und speichern diese Informationen in unserem Kundenmanagementsystem. Die Verarbeitung zu den genannten Zwecken beinhaltet die Kommunikation mit dir zu sämtlichen Abrechnungsfragen.
Rechtsgrundlage für diese Verarbeitung deiner personenbezogenen Daten ist die Vorbereitung und Durchführung des mit dir bei Anmeldung zu health X geschlossenen Teilnahmevertrages nach Art. 6 Abs. 1 lit. b DS-GVO.
3.4. IT-Sicherheit, Verhinderung und Aufklärung von Missbrauch, Erfüllung gesetzlicher Verpflichtungen
Ferner verarbeiten wir deine personenbezogenen Daten zur Gewährleistung der IT-Sicherheit und des IT-Betriebs, zur Verhinderung und Aufklärung von Missbrauch und Straftaten und zur Erfüllung gesetzlicher Verpflichtungen, z.B. aufgrund aufsichtsrechtlicher Vorgaben oder handels- und steuerrechtlicher Aufbewahrungspflichten.
Rechtsgrundlage für die Verarbeitung ist ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DS-GVO. Das berechtigte Interesse ergibt sich aus der Notwenigkeit, das Funktionieren und die Sicherheit des IT-Betriebs zu gewährleisten und missbräuchliches Verhalten zu verhindern und zu verfolgen. Rechtsgrundlage für eine Datenverarbeitung zur Erfüllung gesetzlicher Pflichten ist Art. 6 Abs. 1 lit. c DS-GVO jeweils in Verbindung mit den gesetzlichen Regelungen.
4. Kategorien von Empfängern der personenbezogenen Daten
Wir bedienen uns zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten sowie für die im Rahmen von health X angebotenen Leistungen und Dienstleistungen zum Teil externer Dienstleister, die auch in die Verarbeitung personenbezogener Daten eingebunden sind. Bei der Durchführung der Befragungen werden wir durch die QuestionPro GmbH, Friedrichstraße 171, 10117 Berlin als technischer Dienstleister unterstützt. Für IT-Dienstleistungen, insbesondere die Zurverfügungstellung von Serverkapazitäten, nehmen wir die Leistungen der Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855, Luxembourg (die von AWS verwendeten Server befinden sich ausschließlich auf dem Gebiet der Bundesrepublik Deutschland) in Anspruch.
Darüber hinaus können deine personenbezogenen Daten an weitere Empfänger übermittelt werden, wie etwa an Behörden zur Erfüllung gesetzlicher Mitteilungspflichten (z.B. Finanzbehörden oder Strafverfolgungsbehörden).
5. Dauer der Datenspeicherung
Deine personenbezogenen Daten werden gelöscht bzw. die Verarbeitung dieser Daten wird eingeschränkt, sobald sie für die oben genannten Zwecke nicht mehr erforderlich sind. Dabei kann es vorkommen, dass personenbezogene Daten für die Zeit aufbewahrt werden, in der Ansprüche gegen uns geltend gemacht werden können (gesetzliche Verjährungsfrist von drei oder bis zu dreißig Jahren). Zudem speichern wir deine personenbezogenen Daten, soweit wir dazu gesetzlich verpflichtet sind. Entsprechende Nachweis- und Aufbewahrungspflichten ergeben sich unter anderem aus dem Handelsgesetzbuch, der Abgabenordnung und dem Geldwäschegesetz. Die Speicherfristen betragen danach bis zu zehn Jahre.
6. Betroffenenrechte
Du kannst unter den in Ziff. 1dieser Hinweise genannten Kontaktdaten Auskunft über die zu deiner Person von uns gespeicherten Daten verlangen (Art. 15 DS-GVO). Darüber hinaus kannst du unter bestimmten Voraussetzungen die Berichtigung oder die Löschung deiner Daten verlangen (Art. 16, 17 DS-GVO). Dir kann weiterhin ein Recht auf Einschränkung der Verarbeitung deiner Daten (Art. 18 DS-GVO) sowie ein Recht auf Herausgabe der von dir bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zustehen (Art. 20 DS-GVO). Für die Geltendmachung deiner Rechte wenden dich bitte an uns. Die Kontaktdaten findest du Sie Ziff. 1 dieser Hinweise.
7. Widerrufsrecht
Beruht eine Datenverarbeitung auf einer von dir erteilten Einwilligung, kannst du diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Bitte richte deinen Widerruf an uns. Die Kontaktdaten hierfür findest du in Ziff. 1 dieser Hinweise.
8. Widerspruchsrecht
Erfolgt eine Datenverarbeitung aufgrund überwiegender berechtigter Interessen von uns oder eines Dritten, kannst du dieser Datenverarbeitung widersprechen, wenn dies deine besondere Situation rechtfertigt. Im Fall des Widerspruchs haben wir jede weitere Verarbeitung deiner Daten zu unterlassen, soweit sie nicht aus überwiegenden, zwingenden sowie schutzwürdigen Gründen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Bitte richte deinen Widerspruch an uns. Die Kontaktdaten hierfür findest du in Ziff. 1 dieser Hinweise.
9. Beschwerderecht
Der Schutz deiner Daten ist uns sehr wichtig. Sollte etwas dennoch nicht zu deiner Zufriedenheit sein, wende dich bitte unseren Datenschutzbeauftragten. Die Kontaktdaten hierfür findest du unter Ziff. 1 dieser Hinweise. Sofern du der Auffassung bist, dass die Verarbeitung der dich betreffenden personenbezogenen Daten durch uns gegen datenschutzrechtliche Bestimmungen verstößt, steht dir auch das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Die für uns zuständige Aufsichtsbehörde ist das
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Postfach 1349
91504 Ansbach
Tel.: +49 (0) 981 180093-0
Fax: +49 (0) 981 180093-800
E-Mail: poststelle@lda.bayern.de
Stand: 18.12.2019