Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Health365 AC GmbH
DataloomX365
[Anschrift des Unternehmens einfügen]
[PLZ Ort einfügen]
E-Mail: [E-Mail des Unternehmens einfügen]
Telefon: [Telefonnummer einfügen]

Datenschutzbeauftragter

Health365 AC GmbH
Herr Frank Nelles
Krausenstraße 9-10
10117 Berlin
E-Mail: [E-Mail des Datenschutzbeauftragten einfügen]

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung und Nutzung unseres Angebots DataloomX365 einschließlich der Integration in Microsoft 365 / Microsoft Teams und des Logins über Microsoft erforderlich ist oder Sie uns hierzu eine Einwilligung erteilt haben.

Rechtsgrundlagen der Verarbeitung sind insbesondere:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen)
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, soweit eingeholt)

3. Kategorien betroffener Personen

Von der Datenverarbeitung können insbesondere betroffen sein:

• Nutzerinnen und Nutzer von DataloomX365 (z. B. Ärzt:innen, Pflegekräfte, Rettungsdienst, Verwaltung)
• Mitarbeitende unserer Kundenorganisationen
• Technische Ansprechpartner:innen und Administrator:innen

4. Zwecke der Verarbeitung in DataloomX365

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

• Bereitstellung und Betrieb der DataloomX365-Plattform
• Verwaltung von Benutzerkonten, Rollen und Berechtigungen (z. B. Arzt, Pflege, RTW, NEF, ZNA)
• Authentifizierung und Single Sign-On mittels Microsoft-Login
• Integration in Microsoft 365 / Microsoft Teams (z. B. Teams-App, Tabs, Konnektoren)
• Protokollierung von Zugriffen und Aktionen zur Sicherstellung von Sicherheit, Nachvollziehbarkeit und Compliance
• Fehleranalyse, Performance-Optimierung und Weiterentwicklung der Plattform
• Erfüllung gesetzlicher Dokumentations-, Aufbewahrungs- und Nachweispflichten

Soweit über DataloomX365 Gesundheitsdaten oder andere besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet werden (z. B. im Rahmen von Notfall- oder Klinikprozessen), erfolgt dies ausschließlich im Rahmen der vertraglichen Vereinbarungen mit unseren Kunden und den einschlägigen gesetzlichen Vorgaben.

5. Verarbeitete Datenkategorien

Je nach Nutzung der Plattform und Konfiguration durch unsere Kunden können u. a. folgende Kategorien personenbezogener Daten verarbeitet werden:

• Stammdaten von Nutzern: Name, Vorname, Benutzername, ggf. Personalnummer, Rolle/Funktion, Kontaktdaten (z. B. E-Mail-Adresse)
• Zugangsdaten: Informationen zum Login, Zeitpunkt von An- und Abmeldungen, Tokens, technische Identifikatoren im Rahmen des Microsoft-Logins
• Nutzungsdaten: verwendete Funktionen, Interaktionen in der Anwendung, Protokollierung von Aktionen (z. B. Anlage/Änderung von Einträgen)
• Systemdaten: IP-Adresse, Gerätetyp, Browsertyp, Betriebssystem, Logfiles, Fehlerprotokolle
• Daten mit erhöhtem Schutzbedarf (z. B. Gesundheitsdaten), soweit die Plattform für medizinische Dokumentation und Prozessunterstützung eingesetzt wird und eine entsprechende vertragliche Grundlage besteht.

6. Nutzung von Microsoft 365 / Microsoft Teams und Microsoft-Login

DataloomX365 kann in Microsoft 365 / Microsoft Teams integriert werden (z. B. als Teams-App oder Tab) und verwendet für die Anmeldung Microsoft als Login-Dienst (z. B. Azure Active Directory / Microsoft Entra ID / Microsoft-Konto, abhängig von der Konfiguration der Kundenumgebung).

Im Rahmen des Microsoft-Logins werden uns – je nach Einstellungen des Kunden und der Microsoft-Umgebung – insbesondere folgende Daten bereitgestellt:

• Name und Vorname
• E-Mail-Adresse und/oder Benutzername
• Organisation / Tenant-ID
• Technische Identifikatoren (z. B. Objekt-ID, Session-Informationen)
• Zuordnungen zu Gruppen, Teams oder Rollen (soweit vom Kunden genutzt)

Diese Daten nutzen wir ausschließlich, um die Anmeldung zu ermöglichen, Benutzer eindeutig zuzuordnen, Rollen und Berechtigungen zu steuern und die Anwendung in die bestehende Microsoft-365-Umgebung des Kunden einzubetten.

Es gelten ergänzend die Datenschutzbestimmungen von Microsoft für die Nutzung von Microsoft 365, Microsoft Teams und den jeweiligen Login-Diensten. Die konkrete Ausgestaltung der Microsoft-Umgebung (z. B. Tenants, Datenstandorte) liegt in der Verantwortung des jeweiligen Kunden.

7. Empfänger der Daten / Auftragsverarbeiter

Wir setzen im Rahmen des Betriebs von DataloomX365 teilweise Dienstleister als Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein (z. B. Hosting, Monitoring, Logging, Support).

Diese Dienstleister werden sorgfältig ausgewählt, vertraglich auf die Einhaltung der geltenden Datenschutzbestimmungen verpflichtet und verarbeiten personenbezogene Daten nur nach unserer Weisung.

Eine Übermittlung in Drittländer (außerhalb der EU/des EWR) erfolgt nur, sofern hierfür ein angemessenes Datenschutzniveau besteht oder geeignete Garantien (z. B. EU-Standardvertragsklauseln) vereinbart wurden und zusätzliche Schutzmaßnahmen umgesetzt sind.

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.

Dies umfasst insbesondere:

• Nutzungs- und Logdaten: Speicherung für Sicherheits- und Nachweiszwecke für einen begrenzten Zeitraum (z. B. einige Monate, abhängig von gesetzlichen und vertraglichen Vorgaben).
• Vertrags- und abrechnungsrelevante Daten: Speicherung für die Dauer des Vertragsverhältnisses sowie im Rahmen gesetzlicher Aufbewahrungspflichten (z. B. handels- und steuerrechtlich).

Nach Wegfall des Zwecks bzw. Ablauf der gesetzlichen Fristen werden die Daten gelöscht oder in anonymisierter Form weiterverarbeitet.

9. Rechte der betroffenen Personen

Sie haben im Rahmen der gesetzlichen Voraussetzungen folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht gegen bestimmte Verarbeitungen (Art. 21 DSGVO)
• Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte können Sie uns jederzeit unter den oben genannten Kontaktdaten kontaktieren. Soweit wir Daten im Auftrag unserer Kunden verarbeiten (z. B. Gesundheitsdaten in klinischen Prozessen), leiten wir entsprechende Anfragen im Rahmen der vertraglichen Vereinbarungen an den jeweiligen Verantwortlichen weiter.

10. Widerspruchsrecht nach Art. 21 DSGVO

Soweit wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.

Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

11. Sicherheit der Verarbeitung

Wir treffen technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören u. a.:

• Rechte- und Rollenmanagement
• Verschlüsselung von Datenübertragungen (z. B. TLS)
• Zugriffsbeschränkungen und Protokollierung
• Regelmäßige Updates, Patches und Sicherheitsüberprüfungen
• Schulung von Mitarbeitenden, die mit personenbezogenen Daten arbeiten

12. Pflicht zur Bereitstellung von Daten

Im Rahmen der Nutzung von DataloomX365 ist die Bereitstellung bestimmter personenbezogener Daten (z. B. für Registrierung, Authentifizierung und Rechtevergabe) erforderlich. Ohne diese Daten kann die Plattform ggf. ganz oder teilweise nicht genutzt werden.

13. Automatisierte Entscheidungsfindung / Profiling

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet im Rahmen von DataloomX365 derzeit nicht statt. Sollte sich dies ändern, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich erforderlich ist.

14. Aktualität und Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand: [Datum einfügen].

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen, technische Entwicklungen oder neue Funktionen von DataloomX365 anzupassen. Die jeweils aktuelle Fassung ist innerhalb der Anwendung über den entsprechenden Link abrufbar.