Datenschutzerklärung SkinScreener-API

Stand 03/2023

Datenschutzerklärung SkinScreener-API (Stand 03/2023)

Der medaia GmbH (“medaia”, “wir”, “uns”) ist es ein wichtiges Anliegen, Ihre personenbezogenen Daten ausreichend zu schützen. Bei der Verarbeitung von personenbezogenen Daten beachtet medaia daher die anwendbaren Rechtsvorschriften zum Schutz, rechtmäßigen Umgang und zur Geheimhaltung personenbezogener Daten, sowie zur Datensicherheit, insbesondere die EU Datenschutzgrundverordnung (“DSGVO”) das österreichische Datenschutzgesetz Telekommunikationsgesetz (“TKG”). (“DSG”) und das Diese Datenschutzerklärung informiert Sie über die Art, den Umfang und die Zwecke der Verarbeitung Ihrer personenbezogenen Daten, wenn Sie unsere SkinScreener-API (“SkinScreener”) nutzen, um anhand übermittelter Bilder Ihrer Muttermale, Hautläsionen udgl eine Risikoanalyse im Hinblick auf Ihr individuelles Hautkrebsrisiko zu erhalten.

1. NAME UND ANSCHRIFT DES VERANTWORTLICHEN

Der Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten nach den datenschutzrechtlichen Bestimmungen ist:

medaia GmbH

Am Eisernen Tor 5

8010 Graz

Die Kontaktdaten des Datenschutzbeauftragten, Herrn Bernhard Stadlhofer, MSc lauten: datenschutz@skinscreener.at.

2. WIE WERDEN IHRE PERSONENBEZOGENEN DATEN VERARBEITET?

2.1 Nutzung von SkinScreener

Wenn Sie SkinScreener nutzen, verarbeiten wir Ihre personenbezogenen Daten. Wir verarbeiten dabei nur jene Daten, die Sie uns im Zuge Ihrer Berechtigungserteilung und Auswertungsanfrage übermitteln. Dabei handelt es sich insbesondere um folgende Daten:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Geburtsjahr
  • Geschlecht
  • Von Ihnen bereitgestellte Bilddokumentation der Hautläsionen (Gesundheitsdaten)
  • Ergebnis der automatisiert getroffenen Risikoeinschätzung
  • Geräte-ID
  • Passwort

Die Verarbeitung Ihrer personenbezogenen Daten dient dem Zweck, Ihren Zugang zu SkinScreener zu authentifizieren, Ihnen die übermittelten Bilder Ihrer Hautläsionen korrekt zuzuweisen und auszuwerten und Ihnen Zugriff auf Ihre Archivbilder in SkinScreener zu gewähren. Die ausgewerteten Bilder ermöglichen eine Risikoeinschätzung im Hinblick auf ein allenfalls bestehendes Hautkrebsrisiko. Die Daten für die Authentifizierung in der App werden durch Merkur bereitgestellt und bei der Nutzung des SkinScreener Services direkt von medaia für eigene Zwecke verarbeitet. Darüber hinaus dient die Verarbeitung Ihres Geburtsdatums und Ihres Geschlechts, um den Anforderungen der Post-Market-Surveillance (ISO 13485:2016) gerecht zu werden, eine noch bessere und genauere Einschätzung der Korrektheit der Risikobewertung treffen zu können. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt (i) hinsichtlich nicht-sensibler Daten zur Vertragserfüllung nach Art 6 Abs 1 lit b DSGVO und (ii) in Bezug auf Ihre Gesundheitsdaten auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art 6 Abs 1 lit a DSGVO und Art 9 Abs 2 lit a DSGVO. Sie haben das Recht, Ihre Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Ohne Ihre Einwilligung dürfen wir Ihre sensiblen Gesundheitsdaten jedoch nicht verarbeiten– damit ist aber auch eine Bereitstellung von SkinScreener nicht möglich. Wir bitten hierfür um Verständnis.

2.2. Post-Market-Surveillance

Um unsere gesetzlichen Verpflichtungen der Post-Market-Surveillance für Medizinprodukte erfüllen und um die künstliche Intelligenz von SkinScreener weiterentwickeln zu können, verarbeiten wir einen Teil Ihrer personenbezogenen Daten aus der Nutzung von SkinScreener in anonymisierter Form, ohne dass Rückschlüsse auf Ihre Person möglich sind. Dafür wird der Personenbezug gelöscht und durch eine interne, nicht mehr zuordenbare ID ersetzt. Konkret werden dafür die aufgenommenen Bilder samt Risikobewertung und Analysen zu Alter und Geschlecht in einem Archiv von medaia gespeichert und über eine verschlüsselte Verbindung in ein Rechenzentrum in Deutschland übertragen und dort lokal gespeichert.

3. MÖGLICHE EMPFÄNGER

SkinScreener ist innerhalb der Merkur App werbefrei und teilt keinerlei Daten mit Werbedienstleistern. Auch sonst verkaufen, vermieten oder verleihen wir Ihre personenbezogenen Daten nicht an Dritte. Wir überlassen Ihre personenbezogenen Daten lediglich im erforderlichen Umfang an folgende externe Dienstleister (Auftragsverarbeiter), die uns bei der Erbringung unserer Dienste unterstützen:

  • IT-Dienstleister und/oder Anbieter von Datenhosting-Lösungen oder ähnlichen Diensten;
  • Andere Dienstanbieter, Anbieter von Tools und Softwarelösungen, die uns ebenfalls bei der Erbringung unserer Dienste unterstützen und in unserem Namen tätig sind (zB Anbieter von Kommunikationsdiensten).

Unsere Auftragsverarbeiter verarbeiten Ihre Daten nur in unserem Auftrag und auf Grundlage unserer Weisungen, damit wir Ihnen unsere Dienste zur Verfügung stellen können. Bitte beachten Sie, dass manche unserer Auftragsverarbeiter in den USA oder anderen Drittstaaten außerhalb des EWR angesiedelt sind, für die nach der Judikatur des Europäischen Gerichtshofes derzeit kein angemessenes Datenschutzniveau besteht. Es besteht daher das Risiko, dass Ihre Daten von US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden können, ohne wirksame Rechtsmöglichkeiten in Anspruch nehmen zu können. Mit Ihrer ausdrücklichen Einwilligung erklären Sie sich gemäß Art 49 Abs 1 lit a DSGVO auch damit einverstanden, dass Ihre Daten von Drittanbietern (teilweise auch mit Sitz in den USA) verarbeitet werden dürfen.

Darüber hinaus übermitteln wir Ihre personenbezogenen Daten im erforderlichen Umfang an die folgenden Empfänger (Verantwortliche):

  • Externe Dritte aufgrund unserer berechtigten Interessen im erforderlichen Ausmaß (zB Wirtschaftsprüfer und Steuerberater, Versicherungen bei Versicherungsfällen, Rechtsvertreter im Anlassfall);
  • Forschungsinstitutionen (nur auf Basis Ihrer ausdrücklichen Einwilligung);
  • Behörden, Gerichte und andere öffentliche Stellen im gesetzlich erforderlichen Ausmaß (zB Finanz- oder Datenschutzbehörden).

Im Rahmen einer Fusion, einer Übernahme oder einem Verkauf aller oder eines Teils unserer Vermögenswerte, werden Sie per E-Mail und/oder durch einen auffälligen Hinweis auf unserer Website über jede Änderung der Eigentumsverhältnisse oder der Verwendung persönlicher Daten sowie über Ihre Wahlmöglichkeiten in Bezug auf persönliche Daten informiert.

4. SPEICHERFRISTEN UND LÖSCHUNG

Wir werden personenbezogene Daten nur so lange aufbewahren, wie es für die Erfüllung der jeweiligen Verarbeitungszwecke einschließlich der Erfüllung gesetzlicher, behördlicher, steuerlicher, Berichterstattungsanforderungen erforderlich ist. Wir können Ihre personenbezogenen Daten für einen längeren Zeitraum aufbewahren, wenn eine Beschwerde vorliegt, oder wenn wir vernünftigerweise davon ausgehen, dass ein Rechtsstreit in Bezug auf unsere Beziehung zu Ihnen droht. Unsere Aufbewahrungspflichten können somit auch noch dann bestehen, wenn Sie den SkinScreener Service nicht mehr nutzen. Bei der Festlegung der angemessenen Speicherfrist für personenbezogene Daten berücksichtigen wir die Menge, die Art und die Sensibilität der personenbezogenen Daten. Weiters berücksichtigen wir das potenzielle Risiko eines Schadens durch die unbefugte Nutzung oder Offenlegung und die Frage, ob wir diese Zwecke mit anderen Mitteln erreichen können. Wenn die Daten für die verfolgten Zwecke oder berechtigten Interessen nicht mehr erforderlich sind und keine andere Rechtsgrundlage eingreift, werden wir die Daten löschen, sobald die andere Rechtsgrundlage nicht mehr gilt. Ihre Wenn Sie Ihre freiwillig erteilte Einwilligung widerrufen oder Sie Ihr Recht auf Löschung geltend machen, werden wir alle personenbezogenen Daten sowie Gesundheitsdaten, die unter keine gesetzlichen Aufbewahrungspflichten fallen, innerhalb von 30 Tagen löschen bzw anonymisieren. Wenn sie keine proaktive Löschung Ihrer personenbezogenen Daten beantragen, dann werden alle personenbezogenen Daten inklusive Ihrer Gesundheitsdaten nach drei Jahren Inaktivität automatisch gelöscht bzw anonymisiert. Dafür bedarf es keine weitere Handlung Ihrerseits. Alle mit Hilfe von SkinScreener aufgenommenen und als grün, gelb oder rot bewerteten Bilder sowie die Analysen und Empfehlungen werden auf Ihrem Endgerät gespeichert. Wird die Merkur App von Ihrem Endgerät deinstalliert, werden damit auch alle aufgenommenen Bilder gelöscht. Achtung: Die Deinstallation der Merkur-App löscht nicht die bis zu diesem Zeitpunkt bei uns verarbeiteten Daten. Für eine Löschung der Daten gehen Sie bitte wie oben beschrieben vor.

5. WAHRUNG DER BETROFFENENRECHTE

Sie haben ein Recht auf Auskunft, Berichtigung, Löschung sowie Einschränkung der Verarbeitung personenbezogener Daten durch medaia. Sie können außerdem Ihre Einwilligung zur Verarbeitung personenbezogener Daten mit Wirkung für die Zukunft widerrufen, wenn die Verarbeitung auf Ihrer Zustimmung basiert. Ihnen kann das Recht auf Herausgabe der von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zustehen (“Datenübertragbarkeit”). Sie haben das Recht der Datenverarbeitung zu widersprechen, wenn sich aus Ihrer besonderen Situation Gründe dafür ergeben. Sie haben außerdem die Möglichkeit, sich mit einer Beschwerde an die Datenschutzaufsichtsbehörde zu wenden. Die für uns zuständige Aufsichtsbehörde ist die Österreichische Datenschutzbehörde Barichgasse 40-42. 1030 Wien, E-Mail: dsb@dsb.gv.at; Tel: + 43 1 52 1 52-0 (www.dsb.gv.at) eingebracht werden. Sollten Sie Fran bezüglich Ihrer personenbezogenen Daten haben, kontaktieren Sie uns bitte unter datenschutz@skinscreener.at.

6. DATENSICHERHEIT

Datensicherheit ist uns ein großes Anliegen. medaia setzt angemessene technische und organisatorische Maßnahmen ein, um die Sicherheit der Datenverarbeitung bestmöglich zu gewährleisten. Das betrifft nach Art 32 DSGVO insbesondere den Schutz der personenbezogenen Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, welche übermittelt, gespeichert oder auf andere Weise verarbeitet werden (insb verschlüsselte Übertragung und Speicherung Ihrer personenbezogenen Daten). Sämtliche Mitarbeiter:innen von medaia wurden der Verschwiegenheit über die ihnen im Rahmen ihrer Tätigkeit anvertrauten oder bekannt gewordenen Informationen verpflichtet.