1. ALLGEMEINE HINWEISE
Die AXA Krankenversicherung AG, Colonia-Allee 10-20, 51067 (folgend: „AXA“) freut sich über Ihr
Interesse am Online-Service SYMPTOM-CHECK powered by AXA. Hersteller des Symptom-Checks ist
unser Kooperationspartner Teckel Medical S.L.
Dabei ist der Schutz Ihrer personenbezogenen Daten (folgend: „Daten“) während Ihrer Nutzung für uns
ein wichtiges Anliegen und wir möchten, dass Sie sich dabei wohl und sicher fühlen.
Die Beachtung der gesetzlichen Datenschutzbestimmungen ist für uns eine Selbstverständlichkeit.
Diese nachfolgenden Datenschutzhinweise gelten ergänzend zu unseren Datenschutzhinweisen,
abrufbar unter https://www.axa.de/datenschutz.
Im Folgenden erläutern wir, welche Informationen bei Ihrer Nutzung unseres Online-Services erfasst,
verarbeitet und genutzt werden.
2. IDENTITÄT DES VERANTWORTLICHEN
Verantwortlicher für die Datenverarbeitung ist „AXA“ – AXA Krankenversicherung AG, Colonia-Allee 10-20, 51067 Köln.
3. KONTAKTDATEN DES DATENSCHUTZBEAUFTRAGTEN
Zur Wahrnehmung Ihrer gesetzlichen Rechte können Sie uns auf dem für Sie angenehmsten Weg kontaktieren.
E-Mail-Adresse: datenschutz@axa.de (unverschlüsselte E-Mail)
Telefonnummer: 0221 148-24349
Schriftlich an: AXA Krankenversicherung AG, Datenschutzbeauftragte, Colonia Allee 10-20, 51067 Köln
4. PERSONENBEZOGENE DATEN (DEFINITION)
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare
natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine
natürliche Person (Mensch) angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu
einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung
oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der
physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen
Identität dieser natürlichen Person sind. Also grundsätzlich alle direkten oder indirekten Informationen,
die zu Ihrer Identität führen.
5. VERARBEITUNGSZWECKE UND RECHTSGRUNDLAGEN
Wir verarbeiten Ihre Daten für mehrere Zwecke.
5.1 Bei der Anmeldung über axa.de mittels Identity Providern (Google, Microsoft) oder über den Gastzugang
Damit Sie im Symptom-Check persönlich angesprochen werden können, verarbeiten wir den Namen, den
Sie bei Ihrem Identity Provider (Google, Microsoft) oder über den Gastzugang angegeben haben.
Rechtsgrundlage hierfür ist unser überwiegendes Interesse daran, Ihnen eine angenehme Kundenerfahrung
zu bieten. Sofern Sie dies nicht wünschen, steht es Ihnen frei, die Anmeldung als Gast statt der
Anmeldung über einen Identity Provider zu wählen und einen erfundenen Namen in dem Feld anzugeben.
Der Name taucht nicht in Ihrem Ergebnisbericht auf und wird 48 Stunden nach der Nutzung des Symptom-Checks
nicht weiter gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Die Angabe Ihrer E-Mail-Adresse ist obligatorisch. Diese benötigen wir für den unwahrscheinlichen Fall,
dass der Service Fehler in der Verarbeitung aufweist und wir Sie kontaktieren müssen. Für diesen Zweck
bewahrt unser Auftragsverarbeiter Unternehmen.Online GmbH & Co. KG getrennt von AXA Ihre E-Mail-Adresse
für 14 Tage nach der Nutzung des Services auf. Rechtsgrundlage ist hierfür Art. 6 Abs. 1 lit. c DSGVO
in Verbindung mit den gesetzlichen Vorgaben zur Medizinproduktehaftung.
Die von Ihnen im Rahmen des Symptom-Checks gemachten Angaben zu Ihrer Gesundheit werden nach der
Nutzung des Symptom-Checks anonym gespeichert, sodass kein Bezug mehr zu Ihrer Person hergestellt werden kann.
Nur falls Sie über die Identity Provider oder beim Gastzugangs Ihren Klarnamen verwendet haben und nur
für 48 Stunden nachdem Sie den Service genutzt haben, liegen Name und Gesundheitsdaten für diese Dauer
bei unserem Dienstleister Teckel Medical S.L. gemeinsam vor. Die Angabe Ihres echten Namens ist Ihre
ausdrückliche Einwilligung hierzu. Die Rechtsgrundlage für die Verarbeitung Ihres Namens zeitgleich
zu Ihren Gesundheitsdaten ist Art. 6 Abs. 1 lit. a, Art. 7, Art. 9 Abs. 2 lit. a DSGVO.
5.2 Bei der Anmeldung über axa.de mittels des „Meine Gesundheit“-Kontos oder direkt über das ePortal
„Meine Gesundheit“ (Web und App)
Neben den Identity-Providern und dem Gastzugang können Sie sich – falls vorhanden – auch über Ihr
„Meine Gesundheit“-Konto anmelden, um den Symptom-Check zu nutzen. Wenn Sie sich hierzu entscheiden,
steht es Ihnen frei, Ihre Einwilligung zur Speicherung Ihrer Daten zu erteilen.
Erteilen Sie Ihre Einwilligung nicht, werden Ihre Daten anonym verarbeitet, sodass ein
Rückschluss auf Sie nicht möglich ist.
Sofern Sie uns Ihre Einwilligung zur Datenverarbeitung erteilen,
- werden Sie auf der Startseite des Symptom-Checks persönlich angesprochen und Alter sowie
Geschlecht werden automatisch an den Symptom-Check übertragen, um Ihre Nutzererfahrung zu verbessern.
Der Symptom-Check wird beim Absprung von „Meine Gesundheit“ auf einer Umgebung von Healthanea gehostet,
einer Marke der DHP SAS. Ihr Name wird ausschließlich für die Dauer der Symptom-Check-Nutzung
verarbeitet und im Anschluss nach 48 Stunden gelöscht. Rechtsgrundlage dieser Verarbeitung
ist Ihre Einwilligung, Art. 6 Abs. 1 lit. a, Art. 7 DSGVO.
- überträgt „Meine Gesundheit“ die Benutzerkennung Ihres „Meine-Gesundheit“-Kontos (ProducedUserID)
an unseren Partner Healthanea. Sofern Sie zu einem späteren Zeitpunkt den Online-Arzt-Service aus
„Meine Gesundheit“ heraus in Anspruch nehmen möchten, ermöglicht Ihnen die Übertragung dieser Kennung,
dass der Online-Arzt Ihren pseudonymisierten Symptom-Check-Ergebnisbericht identifizieren,
datenschutzsicher abrufen und vertraulich einsehen kann. Auf diese Weise müssen Sie die Fragen zu
Ihrem Gesundheitszustand bei der Konsultation des Online-Arztes nicht in vollem Umfang erneut
beantworten und profitieren von einer vernetzten Kundenreise. Healthanea speichert Ihre Kennung
zu diesem Zweck für die Dauer von einem Jahr seit Ihrer letzten Service-Nutzung
(d.h. Symptom-Check oder Online-Arzt). Nach Ablauf dieser Frist wird Ihr Ergebnisbericht einschließlich
der darin enthaltenen Angaben zur Gesundheit anonymisiert. Rechtsgrundlage für diese
Verarbeitungen ist Ihre Einwilligung, Art. 6 Abs. 1 lit. a, Art. 7, Art. 9 Abs. 2 lit. a DSGVO.
Sie können Ihre Einwilligung jederzeit über Kontakt zu den in Ziff. 3 angegebenen Stellen widerrufen
6. DATEN ODER -KATEGORIEN SOWIE QUELLE
Folgende Daten erhalten wir von den o.g. Identity-Providern (Google, Microsoft) oder werden von
Ihnen direkt im Zuge der Anmeldung für diesen Online-Service eingegeben und gemäß den Zwecken in Ziff. 5 verarbeitet:
- Vorname, Nachname, E-Mail-Adresse
- Zeitstempel, wann diese Daten an uns übertragen wurden, bzw. wann Sie sich eingeloggt haben
- Ihre angegebenen Gesundheitsdaten werden zur Nutzung des Services verarbeitet.
Sie werden erst dann anonym von unserem Dienstleister Teckel Medical S.L. verarbeitet, wenn 48
Stunden nach Ihrer Nutzung des Services Ihr Klarname von uns gelöscht wird. Wenn Sie bei
Anmeldung mittels Identity Provider oder über den Gastzugang keinen oder einen falschen Namen
angegeben haben, sind Ihre Gesundheitsdaten von Beginn an anonym.
- Falls Sie sich über Ihr „Meine Gesundheit“-Konto angemeldet und zur Datenverarbeitung
eingewilligt haben, wird zusätzlich zum Namen auch Ihr Alter, Ihr Geschlecht und Ihre
„Meine Gesundheit“-Kennung (ProducedUserID) verarbeitet. In diesem Falle werden auch Ihre
Angaben im Symptom-Check in pseudonymer Form gespeichert, insbesondere Ihre Gesundheitsdaten.
7. EMPFÄNGER ODER EMPFÄNGERKATEGORIEN
Der Symptom-Check wird durch den Hersteller, das Unternehmen Teckel Medical S.L., im Auftrag der
AXA Krankenversicherung AG betrieben. Teckel Medical S.L. erhält bei allen Anmeldemöglichkeiten für
die Dauer der Nutzung die von Ihnen angegebenen Daten. 48 Stunden nach Abschluss des Symptom-Checks
oder nach Schließen des Browserfensters kann kein Bezug mehr von Teckel Medical S.L. zu Ihnen
hergestellt werden, da der von Ihnen angegebene Name nur zur Begrüßung verwendet und
darüber hinaus weder gespeichert wird noch im Ergebnisbericht auftaucht.
7.1 Bei der Anmeldung über axa.de mittels Identity Providern (Google, Microsoft) oder über den Gastzugang
Unsere Anmeldung zum Online-Service wird ausschließlich in Rechenzentren in der EU / im EWR
(Europäischen Wirtschaftsraum) von unserem Auftragsverarbeiter Unternehmen.Online GmbH & Co. KG gehostet.
Eine Weitergabe oder sonstige Übermittlung Ihrer Daten an Dritte erfolgt nicht, es sei denn, dies
wäre zum Zwecke der Durchführung der Leistung oder aufgrund rechtlicher Vorschriften zulässig und
erforderlich oder Sie haben ausdrücklich darin eingewilligt, indem Sie die Identity Provider wählen.
Im Übrigen werden personenbezogene Daten in unserem Auftrag auf Basis von Verträgen nach
Art. 28 DS-GVO (Auftragsverarbeitung) verarbeitet, bspw. für IT-Dienstleistungen für uns.
Sofern Sie sich für einen Login über die zur Verfügung stehenden Identity Provider über Ihr Google- oder
Ihr Microsoft-Nutzerkonto entschieden haben, erhalten Google bzw. Microsoft die Information, über den
Login-Vorgang und melden uns Ihre E-Mail-Adresse und den von Ihnen angegebenen Namen zurück.
Es werden keine weiteren Daten ausgetauscht, insbesondere keine Gesundheitsdaten, die Sie im Symptom-Check
angeben. Beide Unternehmensgruppen sind weltweit tätig. Ihre Daten könnten daher auch in einem
Server außerhalb der EU/ dem EWR verarbeitet werden. Google verarbeitet die Daten europäischer
Kunden in erster Linie in den Rechenzentren in Frankfurt und Eemshaven (Niederlande). Microsoft
verarbeitet die Daten europäischer Kunden in erster Linie in den Rechenzentren in Berlin und Frankfurt.
7.2 Bei der Anmeldung über axa.de mittels des „Meine Gesundheit“-Kontos oder direkt,
über das ePortal „Meine Gesundheit“ oder über die „Meine Gesundheit“-App (Web und App)
Bei der Nutzung des Symptom-Checks über Ihr „Meine Gesundheit“-Konto wird der Symptom-Check
über unseren Partner Healthanea, eine Marke der DHP SAS, gehostet. Die Microsoft-Rechenzentren
hierfür befinden sich in den Niederlanden. Die Nutzung Ihres „Meine Gesundheit“-Kontos zum Login
erfolgt über unseren Partner MGS Meine-Gesundheit-Services GmbH.
Die Datenschutzhinweise hierzu finden Sie
auf https://www.mgs-eportal.de/datenschutz.
8. DATENWEITERGABE IN DRITTLÄNDER
Eine Weitergabe / Übermittlung Ihrer Daten an sogenannte „Drittländer“ (Länder außerhalb der EU / des EWR)
erfolgt nicht. Es erfolgt auch keine Weitergabe oder Übermittlung Ihrer Daten auf unsere Veranlassung
an die Identity Provider (Google, Microsoft).
9. AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG / PROFILING / SCORING
Eine automatisierte Entscheidungsfindung n. Art. 22 DS-GVO mit rechtlicher Bindungswirkung für Sie,
ein Profiling oder Scoring findet nicht statt.
10. KRITERIEN ZUR SPEICHERDAUER / LÖSCHUNG
Die Speicherdauer Ihrer Daten richtet sich nach den Verarbeitungszwecken (vgl. Ziff. 5) bzw.
den gesetzlichen Aufbewahrungs- / Verjährungs- und Löschfristen. Regelmäßig werden sie für die
Dauer der Nutzung des Online-Services gespeichert. Eine längere (zugriffsgeschützte) Speicherung
erfolgt nur gemäß den einschlägigen gesetzlichen Aufbewahrungspflichten (z.B. zu steuerlichen
Zwecken oder aus dem Medizinprodukte-Recht) oder zur Ausübung / Verteidigung von Rechtsansprüchen.
Soweit Ihre Daten nicht mehr für die vorgenannten Zwecke benötigt werden, erfolgt die Löschung.
11. IHRE RECHTE ALS BETROFFENE PERSON
Sofern wir Daten zu Ihrer Person verarbeitet haben, haben Sie im jeweiligen gesetzlichen Umfang ein Recht auf:
- Auskunft, insbesondere über beim Verantwortlichen gespeicherte Daten und deren Verarbeitungszwecke (Art. 15 DSGVO)
- Berichtigung unrichtiger bzw. Vervollständigung unvollständiger Daten (Art. 16 DSGVO)
- Löschung, etwa unrechtmäßig verarbeiteter oder nicht mehr erforderlicher Daten (Art. 17 DSG-VO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragung, sofern die Verarbeitung auf einer Einwilligung beruht oder zur Durchführung eines
Vertrages oder mithilfe automatisierter Verfahren erfolgt (Art. 20 DSGVO) und
- Widerspruch gegen die Verarbeitung, insbesondere wenn diese zur Wahrung berechtigter
Interessen des Verantwortlichen erfolgt (Art. 21 DSGVO)
Ferner haben Sie die Möglichkeit, Beschwerden
- an unsere Datenschutzbeauftragte, AXA Konzern AG, Colonia-Allee 10-20, 51067 Köln oder
- an die zuständigen Aufsichtsbehörden zu richten.
12. WEITERE INFORMATIONEN
Wenn Sie weitere Informationen wünschen, die Ihnen diese Datenschutz-Information nicht geben kann
oder wenn Sie zu einem bestimmten Punkt weitere Auskünfte wünschen, konsultieren Sie bitte unsere
Datenschutzerklärung der Hauptseite www.axa.de
oder wenden Sie sich bitte direkt an unseren Datenschutzbeauftragten (s.o. Ziff. 3).