1. Allgemeine Hinweise und Pflichtinformationen
    Die nachstehende Datenschutzerklärung klärt Sie über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten durch die Zora Germany GmbH (nachfolgend
    „Verantwortliche“, „wir“, „uns“ oder „unser“) als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO auf.
    Die Verarbeitung personenbezogener Daten erfolgt stets im Einklang mit der Datenschutz- Grundverordnung (DSGVO) und den für die Zora Germany GmbH geltenden landesspezifischen Datenschutzbestimmungen, insbesondere dem Bundesdatenschutzgesetz (BDSG), dem
    Telemediengesetz (TMG) sowie weiteren einschlägigen datenschutzrechtlichen Vorschriften.
  2. Name und Anschrift des Verantwortlichen
    Verantwortliche im Sinne der Datenschutz-Grundverordnung, sonstiger in den Mitgliedstaaten der Europäischen Union geltenden Datenschutzgesetze und anderer Bestimmungen mit datenschutzrechtlichem Charakter ist:
    Zora Germany GmbH
    Vertretungsberechtigte Geschäftsführung: [Name wird ergänzt] [Vollständige Geschäftsanschrift wird ergänzt]
    Deutschland
    Telefon: [Telefonnummer wird ergänzt] E-Mail: legal@zora.health
    Handelsregister: [Amtsgericht und HRB-Nummer werden ergänzt] Umsatzsteuer-Identifikationsnummer: [USt-IdNr. wird ergänzt]
    2.1 Name und Anschrift der/des Datenschutzbeauftragten
    Die/Der Datenschutzbeauftragte der Verantwortlichen ist:
    [Name der/des Datenschutzbeauftragten wird ergänzt] E-Mail: dpo@zora.health
    Telefon: [Telefonnummer wird ergänzt]
  3. Gegenstand des Datenschutzes
    3.1 Kategorien der verarbeiteten personenbezogenen Daten
    Die Verantwortliche verarbeitet folgende Kategorien personenbezogener Daten gemäß Art. 4 Nr. 1 DSGVO:
    Bestandsdaten: Vor- und Nachname, E-Mail-Adresse, Geburtsdatum, Wohnsitzland, Kundennummer
    Kontaktdaten: E-Mail-Adresse, Telefonnummer (soweit angegeben) Vertrags- und Abrechnungsdaten: Vertragsgegenstand, Laufzeit, Entgelt,
    Zahlungsmodalitäten, Rechnungsadresse, Zahlungshistorie
    Gesundheitsdaten i.S.d. Art. 9 Abs. 1 DSGVO: Symptomatik der Menopause, subjektiver Gesundheitszustand, körperliche Leistungsfähigkeit, Ernährungsgewohnheiten,
    medizinische Anamnese bezüglich klimakterischer Beschwerden
    Nutzungs- und Verhaltensdaten: Inanspruchnahme von Programmmodulen, Fortschrittsverläufe, Aktivitätsprotokolle, Verweilzeiten, Klickverhalten
    Kommunikationsdaten: Korrespondenz mit Fachexperten, Beiträge in geschlossenen Nutzergruppen, Bewertungen und Feedback
    Technische Verbindungsdaten: IP-Adresse, Endgerätekennungen, Browser-Typ und – version, Betriebssystem, Referrer-URL

3.2 Verarbeitung besonderer Kategorien personenbezogener Daten
Rechtlicher Hinweis gemäß Art. 9 DSGVO: Die Verantwortliche verarbeitet besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO, namentlich Gesundheitsdaten betreffend klimakterische Beschwerden und deren therapeutische Begleitung. Die Verarbeitung erfolgt ausschließlich nach Maßgabe des Art. 9 Abs. 2 lit. a DSGVO auf
Grundlage einer ausdrücklichen Einwilligung der betroffenen Person sowie zu den nachstehend spezifizierten Zwecken.
Die Verarbeitung von Gesundheitsdaten umfasst folgende Verarbeitungstätigkeiten:
Erfassung und Auswertung menopausaler Symptomatik mittels digitaler Assessmentverfahren
Algorithmusbasierte Erstellung individualisierter Therapie- und Präventionsempfehlungen
Anpassung nutritiver und bewegungstherapeutischer Interventionen
Bereitstellung fachärztlicher Beratungsleistungen und medizinischer Aufklärung
Longitudinale Verlaufsdokumentation und Effektivitätsmessung therapeutischer Maßnahmen

  1. Zwecke der Verarbeitung und Rechtsgrundlagen

Zweck der Verarbeitung Rechtsgrundlage nach DSGVO Kategorien betroffener Daten
Vertragsdurchführung und Leistungserbringung Art. 6 Abs. 1 lit. b DSGVO Bestandsdaten, Nutzungsdaten, Vertragsdaten
Individualisierte Gesundheitsförderung Art. 9 Abs. 2 lit. a DSGVO Gesundheitsdaten, Präferenzdaten
Algorithmische Personalisierung und Profiling Art. 9 Abs. 2 lit. a i.V.m. Art. 22 DSGVO Gesundheitsdaten, Verhaltensdaten
Fachärztliche Beratung und
telemedizinische Unterstützung Art. 9 Abs. 2 lit. a DSGVO Gesundheitsdaten, Kommunikationsdaten
Betrieb geschlossener Nutzergemeinschaften Art. 6 Abs. 1 lit. a DSGVO Kommunikationsdaten, Profildaten
Entgeltabrechnung und Forderungsmanagement Art. 6 Abs. 1 lit. b DSGVO Vertrags- und Abrechnungsdaten
IT-Sicherheit und Systemstabilität Art. 6 Abs. 1 lit. f DSGVO Technische Verbindungsdaten, Protokolldaten
Erfüllung handels- und steuerrechtlicher Aufbewahrungsvorschriften Art. 6 Abs. 1 lit. c DSGVO Vertrags-, Rechnungs- und Buchführungsdaten
4.1 Automatisierte Entscheidungsfindung und Profiling
Die Verantwortliche setzt Verfahren der automatisierten Einzelfallentscheidung einschließlich Profiling im Sinne des Art. 22 DSGVO ein. Die algorithmische Verarbeitung umfasst:
Analyse und Bewertung von Gesundheitsdaten sowie Symptomkonstellationen
Auswertung individueller Nutzungsverläufe und Therapieadhärenz

 Berücksichtigung nutzerseitiger Präferenzen und Feedback-Parameter
 Einbeziehung anonymisierter Vergleichsdaten zur Wirksamkeitsoptimierung

Diese automatisierte Verarbeitung dient ausschließlich der Optimierung individueller Gesundheitsförderung und erfolgt auf Grundlage der ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO sowie unter Beachtung der Schutzmaßnahmen des Art. 22 Abs. 3 DSGVO.

  1. Datenquellen und Erhebungsmodalitäten
    5.1 Unmittelbare Erhebung bei der betroffenen Person
    Die Erhebung personenbezogener Daten erfolgt unmittelbar bei der betroffenen Person in folgenden Situationen:
    Nutzerregistrierung und Erstellung des Benutzerprofils
    Durchführung standardisierter Gesundheitsassessments und anamneserelevanter Befragungen
    Aktive Nutzung der Anwendungsfunktionalitäten (Selbstmonitoring, digitale Tagebuchführung)
    Interaktion mit Fachexperten und Teilnahme an moderierten Nutzergruppen
    Abgabe von Bewertungen, Feedback und sonstigen Meinungsäußerungen
    Inanspruchnahme von Kundensupport- und Beratungsleistungen
    5.2 Automatisierte Datenerfassung
    Folgende Daten werden durch automatisierte Verfahren ohne aktives Zutun der betroffenen Person erfasst:
    Nutzungsstatistiken und Verhaltensmuster bei der Anwendungsnutzung
    Technische Endgeräteinformationen und Systemkonfigurationen
    Server-Protokolldateien und Fehlerdiagnostik
    Performance-Indikatoren und Systemauslastungsmetriken
  2. Empfänger oder Kategorien von Empfängern personenbezogener Daten
    6.1 Interne Zugriffsberechtigungen
    Der Zugriff auf personenbezogene Daten ist innerhalb der Zora Germany GmbH ausschließlich solchen Mitarbeitern gestattet, die zur ordnungsgemäßen Erfüllung ihrer Aufgaben einer
    Kenntnisnahme bedürfen und entsprechend § 5 BDSG zur Verschwiegenheit verpflichtet wurden.
    6.2 Auftragsverarbeiter im Sinne des Art. 28 DSGVO
    Die Verantwortliche bedient sich zur Erfüllung ihrer vertraglichen und gesetzlichen Verpflichtungen folgender Kategorien von Auftragsverarbeitern:
    IT-Dienstleister und Cloud-Computing-Anbieter: Bereitstellung technischer Infrastruktur und Hosting-Services
    Payment-Service-Provider: Abwicklung elektronischer Zahlungsvorgänge
    E-Mail- und Kommunikationsdienstleister: Versendung transaktionaler und werblicher Kommunikation
    Webanalysedienste: Auswertung von Nutzungsverhalten zu Optimierungszwecken
    Customer-Relationship-Management-Systeme: Verwaltung von Kundenbeziehungen und Support-Anfragen

6.3 Konzernverbundene Unternehmen

Eine Übermittlung personenbezogener Daten an die Muttergesellschaft in der Republik Zypern
erfolgt ausschließlich zu nachstehenden Zwecken und unter Beachtung der Beschränkungen des Art. 44 ff. DSGVO:
Verwaltung und Lizenzierung von Immaterialgüterrechten
Konzern-interne Berichterstattung auf Basis anonymisierter oder pseudonymisierter Daten
Strategische Produktentwicklung mittels aggregierter, nicht-personenbezogener Datensätze

6.4 Externe Fachexperten und Kooperationspartner
Zur Gewährleistung fachlich qualifizierter Beratungsleistungen kooperiert die Verantwortliche mit nachstehenden Kategorien externer Experten:
Fachärzte für Gynäkologie und Geburtshilfe mit Spezialisierung auf Klimakterium
Staatlich anerkannte Diätassistenten und Ernährungswissenschaftler
Lizenzierte Physiotherapeuten und sportwissenschaftliche Fachkräfte
Approbierte Psychotherapeuten und zertifizierte Achtsamkeitstrainer
Die Übermittlung von Gesundheitsdaten an externe Experten erfolgt ausschließlich im zur Beratungserbringung erforderlichen Umfang und unter strikter Beachtung der ärztlichen Schweigepflicht gemäß § 203 StGB bzw. entsprechender berufsrechtlicher Verschwiegenheitsverpflichtungen.

  1. Übermittlung personenbezogener Daten an Drittländer
    7.1 Grundsatz der EU-internen Verarbeitung
    Die Verarbeitung personenbezogener Daten erfolgt vorrangig innerhalb des Geltungsbereichs der Datenschutz-Grundverordnung, mithin innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums.

7.2 Übermittlung an EU-Mitgliedstaat Zypern
Die Übermittlung personenbezogener Daten an die Muttergesellschaft in der Republik Zypern erfolgt innerhalb des Anwendungsbereichs der DSGVO, da Zypern als EU-Mitgliedstaat dem europäischen Datenschutzrecht in vollem Umfang unterliegt.

7.3 Übermittlungen in Drittstaaten außerhalb der EU/EWR
Soweit eine Übermittlung personenbezogener Daten an Drittländer außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erforderlich wird, erfolgt diese ausschließlich unter den Voraussetzungen der Art. 44 ff. DSGVO:
Bei Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO, oder
Auf Grundlage geeigneter Schutzmaßnahmen, insbesondere EU-Standardvertragsklauseln gemäß Art. 46 DSGVO, oder
In besonderen Situationen auf Basis der Ausnahmetatbestände des Art. 49 DSGVO, namentlich bei ausdrücklicher Einwilligung der betroffenen Person
Aktuelle Informationen über internationale Datenübermittlungen einschließlich der jeweils angewandten Schutzmaßnahmen können bei der/dem Datenschutzbeauftragten erfragt oder auf der Unternehmenswebsite eingesehen werden.

  1. Dauer der Speicherung personenbezogener Daten
    8.1 Regelfristen für die Datenspeicherung

Kategorie
personenbezogener Daten Aufbewahrungsfrist Rechtsgrundlage der Speicherung
Geschäftsbriefe und Vertragsunterlagen 10 Jahre nach Vertragsbeendigung § 257 Abs. 1 Nr. 2 HGB, § 147
Abs. 1 Nr. 1 AO
Buchungsbelege und Rechnungen 10 Jahre nach Entstehung § 257 Abs. 1 Nr. 1 HGB, § 147
Abs. 1 Nr. 1 AO
Gesundheitsdaten (besondere Kategorien) 3 Jahre nach Vertragsbeendigung oder Widerruf Art. 9 Abs. 2 lit. a DSGVO
i.V.m. Einwilligung
Nutzungs- und Verhaltensdaten 2 Jahre nach letzter Nutzeraktivität Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
Werbeeinwilligungen Bis zum Widerruf der Einwilligung Art. 6 Abs. 1 lit. a DSGVO
Server-Protokolldateien 6 Monate nach Entstehung Art. 6 Abs. 1 lit. f DSGVO (IT- Sicherheit)

8.2 Löschung infolge Einwilligungswiderruf
Im Falle des Widerrufs einer Einwilligung zur Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt die unverzügliche Löschung der betreffenden Datenbestände, sofern nicht andere Rechtsgrundlagen gemäß Art. 6 oder Art. 9 DSGVO eine weitere Verarbeitung rechtfertigen.

8.3 Automatisierte Löschverfahren
Die Verantwortliche hat automatisierte Löschverfahren implementiert, welche die fristgerechte Löschung personenbezogener Daten nach Ablauf der gesetzlichen oder vertraglichen Aufbewahrungsfristen gewährleisten.

  1. Rechte der betroffenen Person
    Der betroffenen Person stehen bezüglich der Verarbeitung sie betreffender personenbezogener Daten folgende Rechte zu:
    9.1 Recht auf Auskunft gemäß Art. 15 DSGVO
    Die betroffene Person hat das Recht, von der Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
    die Verarbeitungszwecke
    die Kategorien personenbezogener Daten, die verarbeitet werden
    die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
    falls möglich die geplante Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
    das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Verantwortliche oder eines Widerspruchsrechts gegen diese Verarbeitung
    das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
    wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
    das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

9.2 Recht auf Berichtigung gemäß Art. 16 DSGVO

Die betroffene Person hat das Recht, von der Verantwortlichen unverzüglich die Berichtigung sie
betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

9.3 Recht auf Löschung („Recht auf Vergessenwerden“) gemäß Art. 17 DSGVO
Die betroffene Person hat das Recht, von der Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und die Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig
Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung
Die betroffene Person legt gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet
Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem die Verantwortliche unterliegt

9.4 Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
Die betroffene Person hat das Recht, von der Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es der Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen
die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt
die Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt
die betroffene Person Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe der Verantwortlichen gegenüber denen der betroffenen Person überwiegen

9.5 Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einer Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch die Verantwortliche, der die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

9.6 Widerspruchsrecht gemäß Art. 21 DSGVO
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Die Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung

nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die
Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

9.7 Recht auf Widerruf einer datenschutzrechtlichen Einwilligung gemäß Art. 7 Abs. 3 DSGVO
Die betroffene Person hat das Recht, ihre datenschutzrechtliche Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Dies betrifft insbesondere folgende Verarbeitungstätigkeiten:
Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten) gemäß Art. 9 Abs. 2 lit. a DSGVO
Automatisierte Einzelfallentscheidung und Profiling gemäß Art. 22 DSGVO
Direktwerbung und werbliche Kommunikation gemäß Art. 6 Abs. 1 lit. a DSGVO
Teilnahme an moderierten Nutzergemeinschaften

9.8 Modalitäten der Rechtsausübung
Zur Ausübung der vorstehend genannten Rechte wenden sich betroffene Personen an:
E-Mail: privacy@zora.health
Betreff: Ausübung von Betroffenenrechten – [Spezifizierung des Anliegens]
Die Verantwortliche wird Anträge auf Ausübung von Betroffenenrechten unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang bearbeiten und die betroffene Person über die ergriffenen Maßnahmen unterrichten. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

  1. Technische und organisatorische Maßnahmen zur Datensicherheit
    10.1 Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
    Die Verantwortliche hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:
    Pseudonymisierung und Verschlüsselung: Implementierung von End-to-End- Verschlüsselung für besondere Kategorien personenbezogener Daten unter Anwendung branchenüblicher Verschlüsselungsstandards
    Vertraulichkeit: Implementierung strenger Authentifizierungs- und Autorisierungsverfahren sowie rollenbasierter Zugangskontrollen nach dem „Need-to- know“-Prinzip
    Integrität: Einsatz von Firewalls, Intrusion-Detection-Systemen und regelmäßigen Sicherheitsupdates zur Gewährleistung der Systemintegrität
    Verfügbarkeit: Implementierung redundanter Backup-Systeme und regelmäßiger, verschlüsselter Datensicherungen
    Belastbarkeit: Kontinuierliches Security-Monitoring und Incident-Response-Verfahren
    Organisatorische Maßnahmen: Regelmäßige Datenschutz- und Informationssicherheitsschulungen für Mitarbeiter sowie Verpflichtung auf das Datengeheimnis gemäß § 5 BDSG

10.2 Erhöhte Schutzmaßnahmen für besondere Kategorien personenbezogener Daten

Für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO,
insbesondere Gesundheitsdaten, hat die Verantwortliche zusätzliche Schutzmaßnahmen implementiert:
Separate Datenhaltung mit verstärkter Verschlüsselung unter Anwendung kryptographischer Verfahren nach dem Stand der Technik
Restriktive Zugriffsberechtigung ausschließlich für fachlich qualifiziertes und entsprechend
§ 203 StGB schweigepflichtiges Personal
Pseudonymisierung von Gesundheitsdaten bei algorithmischer Verarbeitung zur Minimierung des Personenbezugs
Regelmäßige Penetrationstests und Sicherheitsaudits durch externe, zertifizierte IT- Sicherheitsdienstleister

10.3 Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO
Für die systematische Verarbeitung besonderer Kategorien personenbezogener Daten sowie für die umfangreiche Bewertung persönlicher Aspekte mittels automatisierter Verarbeitung wurde eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt. Diese wird bei wesentlichen Änderungen der Verarbeitungstätigkeiten aktualisiert und der zuständigen
Aufsichtsbehörde zur Konsultation vorgelegt, soweit dies gesetzlich vorgeschrieben ist.

  1. Einsatz von Cookies und vergleichbaren Technologien
    11.1 Rechtsgrundlagen für den Cookie-Einsatz
    Die Website und mobile Anwendung der Verantwortlichen verwenden Cookies und vergleichbare Technologien gemäß § 25 TTDSG. Der Einsatz erfolgt in Abhängigkeit von der jeweiligen Funktionalität auf folgenden Rechtsgrundlagen:

Kategorie Zweck der Verarbeitung Rechtsgrundlage Speicherdauer
Technisch
erforderliche Cookies Grundlegende Funktionalität, Session-Management, IT- Sicherheit § 25 Abs. 2 Nr. 2
TTDSG, Art. 6 Abs. 1
lit. f DSGVO Session- abhängig/maximal 30 Tage
Funktionale Cookies Personalisierte Benutzereinstellungen, Komfortfunktionen § 25 Abs. 1 TTDSG,
Art. 6 Abs. 1 lit. a DSGVO
12 Monate
Webanalyse- Cookies Statistische Auswertung der Websitenutzung und Performance-Optimierung § 25 Abs. 1 TTDSG,
Art. 6 Abs. 1 lit. a DSGVO
24 Monate
Marketing- Cookies Interessensbasierte Werbung und Retargeting § 25 Abs. 1 TTDSG,
Art. 6 Abs. 1 lit. a DSGVO
12 Monate

11.2 Einwilligungsmanagement und Cookie-Kontrolle
Betroffene Personen können ihre Einwilligung in den Einsatz nicht technisch erforderlicher
Cookies jederzeit über das Cookie-Consent-Banner oder die Datenschutzeinstellungen widerrufen. Alternativ kann die Speicherung von Cookies durch entsprechende Einstellungen der Browser-
Software verhindert werden. Wir weisen darauf hin, dass die Deaktivierung von Cookies die Funktionalität der Plattform beeinträchtigen kann.

11.3 Webanalyse- und Tracking-Dienste
Die Verantwortliche setzt folgende Webanalyse-Dienste ein (ausschließlich nach erteilter Einwilligung gemäß § 25 Abs. 1 TTDSG):
Google Analytics mit IP-Anonymisierung und erweiterten Datenschutzeinstellungen
Proprietäre Nutzungsanalytik ohne Personenbezug
A/B-Testing-Verfahren zur Optimierung der Benutzererfahrung

  1. Automatisierte Einzelfallentscheidungen einschließlich
    Profiling
    12.1 Umfang automatisierter Verarbeitungstätigkeiten
    Die Plattform der Verantwortlichen nutzt Verfahren der automatisierten Einzelfallentscheidung einschließlich Profiling im Sinne des Art. 22 DSGVO zur Erstellung individualisierter Gesundheitsempfehlungen. Die algorithmische Verarbeitung umfasst:
    Algorithmusbasierte Anpassung von Bewegungs- und Ernährungsinterventionen
    Symptom-korrelierte Inhaltsempfehlungen und therapeutische Hinweise
    Individualisierte Lernpfade basierend auf Nutzungsverhalten und Präferenzen
    Adaptive Optimierung der Benutzeroberfläche zur Steigerung der Therapieadhärenz
    12.2 Keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung
    Die Verantwortliche trifft keine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidungen, die der betroffenen Person gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Sämtliche Empfehlungen unterliegen der Möglichkeit menschlicher Intervention und können durch die betroffene Person beeinflusst werden.

12.3 Rechte bei automatisierter Verarbeitung gemäß Art. 22 Abs. 3 DSGVO
Bei automatisierter Verarbeitung stehen der betroffenen Person folgende Rechte zu:
Recht auf Erwirkung des Eingreifens einer Person seitens der Verantwortlichen
Recht auf Darlegung des eigenen Standpunkts
Recht auf Anfechtung der automatisierten Entscheidung
Recht auf Auskunft über die involvierte Logik sowie die Tragweite und angestrebten Auswirkungen der automatisierten Verarbeitung

  1. Beschwerderecht bei Aufsichtsbehörden
    Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht der betroffenen Person das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

13.1 Zuständige Aufsichtsbehörden
Sachlich zuständige Aufsichtsbehörde für die Zora Germany GmbH:
[Die konkret zuständige Landesaufsichtsbehörde wird nach Bestimmung des Unternehmenssitzes ergänzt]
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI):
Graurheindorfer Straße 153
53117 Bonn
Telefon: +49 (0)228 997799-0
Telefax: +49 (0)228 997799-5550
E-Mail: poststelle@bfdi.bund.de Internet: https://www.bfdi.bund.de
13.2 Grenzüberschreitende Beschwerden
Betroffene Personen können sich auch an die Datenschutz-Aufsichtsbehörde ihres Wohnsitzlandes wenden. Eine Übersicht über die europäischen Datenschutzbehörden sowie ein Online- Beschwerdeformular sind verfügbar unter: https://edpb.europa.eu/about-edpb/about-
edpb/members_de

  1. Aktualität und Änderungen der Datenschutzerklärung
    Die Verantwortliche behält sich vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen, behördliche Auflagen oder Änderungen der angebotenen Leistungen anzupassen.

14.1 Benachrichtigungsverfahren bei Änderungen
Bei wesentlichen Änderungen dieser Datenschutzerklärung erfolgt eine Benachrichtigung der betroffenen Personen in angemessener Form, mindestens jedoch vier Wochen vor Inkrafttreten der Änderungen:
Per E-Mail an die hinterlegte Kontaktadresse
Mittels In-App-Benachrichtigung bei nächster Anwendungsnutzung
Durch deutlich sichtbaren Hinweis auf der Unternehmenswebsite

14.2 Erforderlichkeit neuer Einwilligungen
Soweit Änderungen der Datenschutzerklärung die Verarbeitung auf Grundlage einer Einwilligung betreffen, wird eine neue Einwilligung der betroffenen Person eingeholt. Ohne Erteilung der erforderlichen Einwilligung können die entsprechenden Leistungen möglicherweise nicht mehr bereitgestellt werden.

  1. Kontaktinformationen und weiterführende Hinweise
    Datenschutzrechtliche Anfragen:
    E-Mail: privacy@zora.health
    Betreff: Datenschutzrechtliche Anfrage gemäß DSGVO
    Allgemeine Geschäftskontakte:
    Zora Germany GmbH
    E-Mail: legal@zora.health Website: https://www.zora.health
    15.1 Weiterführende Informationsressourcen
    Ergänzende Informationen zum Datenschutz und zur Datenverarbeitung finden betroffene Personen:
    Im Kundenbereich der Unternehmenswebsite: https://help.zora.health
    In den Allgemeinen Geschäftsbedingungen der Zora Germany GmbH
    Bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit: https://www.bfdi.bund.de
    Beim Europäischen Datenschutzausschuss: https://edpb.europa.eu
    Stand dieser Datenschutzerklärung: [Datum der letzten Aktualisierung wird bei Veröffentlichung ergänzt]