Datenschutzerklärung
Datenschutzerklärung für Kunden der CURE Digital Finance GmbH für die Plattform „cure.finance“
Gegenstand der Leistungen von cure.finance sind Bereitstellung und Betrieb einer multifunktionalen Datenverarbeitungs- und Speicherplattform für die Angehörigen der Heilberufe, die die erforderlichen Zugangsvoraussetzungen erfüllen.
Der Datenschutz genießt in unserem Unternehmen einen hohen Stellenwert. Im Folgenden informieren wir Sie über den Umgang mit Ihren personenbezogenen Daten bei der Nutzung der Plattform cure.finance als unser Kunde. Dabei sind nach Art. 4 Abs. 1 „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen“.
Verantwortliche Stelle im Sinne der Datenschutzgrundverordnung (DSGVO):
Cure Digital Finance GmbH
(im Folgenden „Cure“)
Oranienburger Straße 69
10117 Berlin
Telefon: +49 (0) 30 467 24 06 18
E-Mail: info@cure.finance
Website: cure.finance
I. Allgemeines
1. Registrierung bei cure.finance
Bei der Registrierung für die Nutzung unserer personalisierten Leistungen werden personenbezogene Daten erhoben. Hierzu zählen zum einen Praxisinformationen wie Praxisname, Adresse, Fachrichtung und Angaben zur Praxisgröße sowie zum anderen persönliche Informationen wie Titel, Name, Vor- name, Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse.
Sind Sie bei uns registriert, können Sie auf Inhalte und Leistungen zugreifen, die wir nur registrierten Kunden anbieten. Sind Sie an unserer Plattform angemeldet, haben Sie zudem die Möglichkeit, bei Bedarf die bei der Registrierung angegebenen Daten jederzeit zu ändern.
2. Technische und organisatorische Maßnahmen (TOM)
Gemäß den Vorgaben von Art. 32 DSGVO treffen wir geeignete technische und organisatorische Maßnahmen, um unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ein dem Risiko angemessenes Datenschutzniveau zu gewährleisten.
Hierfür setzen wir u.a. bei der Übertragung und Speicherung personenbezogener Daten auf spezifische Verschlüsselungsverfahren. Unsere Datenbanken verfügen über ein dediziertes Rechte-Rollen-System – ebenso wie unser Customer Service. Administrationszugänge sind besonders gesichert, z.B. durch eine Zweifaktorauthentifizierung.
3. Nutzung von Auftragsverarbeitern
Wir nutzen zur Erbringung unserer Dienstleistungen an verschiedenen Stellen Auftragsverarbeiter. Wir wählen unsere Auftragsverarbeiter unter Sorgfaltsgesichtspunkten aus, insbesondere in Hinblick auf Datenschutz und Informationssicherheit. Mit allen unseren Auftragsverarbeitern haben wir gemäß DSGVO Art. 28 Abs. 3 die erforderlichen vertraglichen Vereinbarungen getroffen, z.B. durch Auf- tragsverarbeitungsverträge. Wir haben uns vor Abschluss der Verträge davon überzeugt, dass bei un- seren Dienstleistern ein dem Datenschutzstandard unseres Unternehmens vergleichbares Datenschutzniveau herrscht.
Wir erbringen unsere vertraglichen Leistungen ausschließlich in der Bundesrepublik Deutschland, unsere Unterauftragnehmer ggf. auch im Bereich der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR). Sollten wir eine Verlagerung der Verarbeitung Ihrer Daten in ein sog. Dritt- land außerhalb von EU bzw. EWR durchführen, werden wir dabei die in DSGVO Art. 44 ff beschriebenen besonderen Voraussetzungen erfüllen. Dies erreichen wir zum Beispiel gemäß Art. 46 DSGVO durch den Abschluss einer Vereinbarung basierend auf den sog. „Standardvertragsklauseln“ der EU-Kommis- sion und – falls erforderlich – ergänzenden zusätzlichen Schutzmaßnahmen, wie z.B. der Verschlüsse- lung von personenbezogenen Daten.
4. Verarbeitung von Nutzungsdaten zur laufenden Verbesserung der Performance und der Algorithmen von cure.finance
Wenn Sie auf cure.finance zugreifen, verarbeiten wir – Ihre Einwilligung vorausgesetzt – zum einen Transaktionsdaten zur Nutzung des Services und zum anderen Finanzdaten zur kundenübergreifenden Optimierung unserer Entscheidungs- und Vorschlagsalgorithmen.
Transaktionsdaten beinhalten z.B. die Art des Webbrowsers, das verwendete Betriebssystem, den Do- mainnamen Ihres Internet Service Providers und Ähnliches. Des Weiteren erfassen wir in anonymisier- ter Form die Häufigkeit und Verweildauer auf einzelnen Unterseiten bzw. die Intensität der Nutzung einzelner Funktionen unseres Service. Ziel dieser Analyse ist es, Funktionalität, Bedienung, Sicherheit und Stabilität der cure.finance Plattform im Interesse aller Kunden stetig zu optimieren. Rechtsgrund- lage für diese Datenverarbeitung ist Ihre explizite Einwilligung in die Verarbeitung und Analyse Ihrer Transaktionsdaten gemäß DSGVO Art. 6 (1) lit. a).
Des weiteren können wir Finanzdaten unserer Kunden zur laufenden kundenübergreifenden Verbesserung der Empfehlungsalgorithmen verarbeiten. Diese Verbesserungen kommen im Zuge der Weiter- entwicklung der Plattform allen Kunden von cure.finance zugute. Bevor Datensätze zur Verbesserung der Algorithmen verwendet werden, werden diese vollständig anonymisiert, so dass ein Rückschluss auf einzelne Personen nicht möglich ist. Rechtsgrundlage für die Datenverarbeitung ist gemäß DSGVO Art. 6 (1) lit. a) die explizite Einwilligung in die kundenübergreifende Analyse von Finanzdaten.
5. Grundsatz der Datensparsamkeit
Wir achten auf die Einhaltung der in Art. 25 DSGVO formulierten Grundprinzipien der Datensparsam- keit und der datenschutzfreundlichen Grundeinstellungen. Wir erheben von unseren Kunden stets nur die personenbezogenen Daten, die wir für die Bereitstellung der gewünschten Funktionen tatsächlich benötigen. Wir speichern Ihre personenbezogenen Daten stets nur so lange, wie dies zur Erreichung der jeweils genannten Zwecke erforderlich ist oder wie es die vom Gesetzgeber vorgesehenen Spei- cherfristen vorsehen. Nach Fortfall des jeweiligen Zweckes bzw. Ablauf dieser Fristen werden die ent- sprechenden Daten routinemäßig und entsprechend den gesetzlichen Vorschriften von uns gesperrt oder gelöscht.
6. Ihre Rechte auf Auskunft, Berichtigung, Sperrung, Löschung und Widerspruch (DSGVO Artt. 15 bis 22)
Gemäß der Artikel 15 bis 22 DSGVO stehen Ihnen als Betroffener definierte Recht zu. Sie können sich jederzeit mit einer E-Mail an datenschutz@cure.finance an uns wenden, wenn sie Fragen zu Ihren Rechten im Datenschutz haben oder von einem Ihrer nachfolgenden Rechte Gebrauch machen möchten:
-
Recht auf Auskunft gem. Art. 15 DSGVO (z.B. können Sie sich an uns wenden, falls Sie wissen möchten, welche Daten wir über Sie gespeichert haben)
-
Recht auf Berichtigung gem. Art. 16 DSGVO (z.B. können Sie sich an uns wenden, falls sich Ihre E-Mail-Adresse geändert hat und Sie uns Ihre neue E-Mail-Adresse mitteilen möchten.)
-
Recht auf Löschung gem. Art. 17 DSGVO (z.B. können Sie sich an uns wenden, falls wir bestimmte Daten löschen soll, die wir über Sie gespeichert haben und die wir für die Erreichung der Zwecke der Verarbeitung nicht mehr benötigen)
-
Einschränkung der Verarbeitung gem. Art. 18 DSGVO (z.B. können Sie sich an uns wenden, falls Sie möchten, dass wir Ihre E-Mail-Adresse nicht vollständig löschen, sondern nur noch zur Versendung von unbedingt erforderlichen Informationen verwenden)
-
Datenübertragbarkeit gem. Art. 20 DSGVO (z.B. können Sie sich an uns wenden, um Ihre von Ihnen bereitgestellten und bei uns gespeicherten Daten in einem strukturierten, gängigen und maschinenlesbaren Datenformat zu erhalten, z.B. weil Sie die Daten einem anderen Dienstleister zur Verfügung stellen wollen)
-
Widerspruch gem. Art. 21 DSGVO bei Verarbeitungen gemäß Artikel 6 Abs. 1, lit. f) – (z.B. können Sie sich an uns wenden, falls Sie mit einem der hier angegebenen Werbe- oder Analyseverfahren nicht einverstanden sind)
-
Widerspruch gegen Profiling gem. Art. 22 DSGVO (z.B. können Sie sich an uns wenden, wenn Sie die auf Grundlage Ihrer Einwilligung erfolgenden automatisierten Entscheidungsfindungen widerrufen wollen)
-
Widerrufsrecht gem. Art. 7 Abs. 3 DSGVO (z.B. können Sie sich an uns wenden, falls Sie eine zuvor erteilte Einwilligung in den regelmäßigen Erhalt eines E-Mail-Newsletters rückgängig machen möchten)
Wir haben für die Bearbeitung Ihres Anliegens eine gesetzliche Stellungnahmefrist von einem Monat, welche in Ausnahmefällen um einen weiteren Monat verlängert werden kann. Wir sind bestrebt, Ihr Anliegen innerhalb des ersten Monats nach Zugang Ihres Anliegens vollständig zu bearbeiten. Bitte beachten Sie, dass wir auf Grund gesetzlicher Speicherfristen auch nach einem Antrag auf Löschung noch zur Speicherung bestimmter personenbezogener Daten von Ihnen verpflichtet sein können.
Wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, haben Sie - unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs - gem. DSGVO Art. 77 Abs. 1, lit f) das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem EU-Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.
Die für uns zuständige Aufsichtsbehörde für den Datenschutz ist die
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219
10969 Berlin
Telefon: 030/138 89-0
E-Mail: mailbox@datenschutz-berlin.de
Website: www.datenschutz-berlin.de
7. Datenschutzbeauftragter
Wir haben für unser Unternehmen einen Datenschutzbeauftragten bestellt. Sie erreichen diesen wie folgt:
legal.solutions GmbH
Oranienburger Str. 17
10178 Berlin
Telefon: +49 (0) 30 467 24 06 18
E-Mail: datenschutz@cure.finance
II. Programme, Funktionen und Tools
8. Zugangskontrolle
Wir nutzen den Dienstleister Hanko GmbH, Ringstraße 19, 24114 Kiel, www.hanko.io, für die geräteübergreifende Zugangssteuerung zu den verschiedenen cure-Plattformen, u.a. auch für cure.finance. Infolgedessen speichert und verarbeitet cure keinerlei Passwörter für die Kundenzugänge. Dies erfolgt ausschließlich durch die Firma Hanko als Auftragsverarbeiter. Abhängig vom Endgerätetyp ist der Zugang über Hanko auch mit Hilfe biometrischer Sensoren (Fingerprint, Face-ID) möglich.
Wir haben mit der Fa. Hanko einen Auftragsverarbeitungsvertrag geschlossen. Die Firma Hanko hat ihren Hauptsitz in Deutschland, die genutzten Rechenzentren befinden sich ausschließlich im Gebiet der EU. Rechtsgrundlage ist DSGVO Art. 6 (1) lit. b) – zuverlässige und sichere Durchführung des Ver- tragsverhältnisses. Näheres zum Datenschutz bei Hanko finden Sie unter: https://www.hanko.io/privacy.
9. Zugriff auf Ihre Bankkonten
Die notwendigen Daten für die Finanzanalyse können über standardisierte Bankenschnittstellen mit- tels HBCI/FinTS oder API abgerufen werden. Damit die Daten über diese Bankenschnittstelle abgerufen werden können, müssen Sie sich zunächst als Kontoinhaber mit ihren Login-Daten des Online-Bankings (z.B. Kontonummer und PIN) gegenüber der Bankenschnittstelle authentifizieren. Dabei erfolgt seitens Cure keine Erfassung oder Speicherung Ihrer PIN.
Wir nutzen den Dienstleister fino run GmbH, Universitätsplatz 12, 34127 Kassel, https://fino.group/, zur Sicherstellung des o.g. übergreifenden Zugriffs auf die unterschiedlichen von Ihnen angegebenen Bankkonten. Cure legt aus diesem Grund für Sie automatisch im Hintergrund einen Account bei Fino an.
Wir haben nach Art. 28 (3) DSGVO einen Vertrag zur Auftragsverarbeitung mit der fino run GmbH ge- schlossen. Die fino run GmbH hat ihren Hauptsitz in Deutschland, die genutzten Rechenzentren befinden sich ausschließlich im Gebiet der EU. Rechtsgrundlage ist DSGVO Art. 6 (1) lit. b) – zuverlässige und sichere Durchführung des Vertragsverhältnisses. Denn der übergreifende Zugriff auf mehrere von Ihnen angegebene Bankkonten ist eine unverzichtbare Basis für die Analyse Ihrer Transaktionen. Nä- heres zum Datenschutz bei Fino finden Sie unter: https://fino.group/datenschutzerklaerung/.
10. Kategorisierung finanzieller Transaktionen
Cure strukturiert aus den übermittelten Umsatzdaten Lastschriften, Gutschriften und Daueraufträge. Anschließend werden die Umsatzdaten kategorisiert, also unterschiedlichen Einnahmen- und Ausga- benarten zugeordnet. Auf dieser Analyse aufbauend erstellt Cure individuelle Empfehlungen zur ge- schäftlichen Optimierung und zur Reduzierung von Risiken Ihrer Praxis.
Wir nutzen den Dienstleister Cashbuzz GmbH Haubachstraße 4 10585 Berlin, www.finanzmining.de, zur Kategorisierung der Finanztransaktionen auf unserer Plattform cure.finance. Wir haben hierfür nach Art. 28 (3) DSGVO einen Vertrag zur Auftragsverarbeitung mit der Fa. Cashbuzz geschlossen. Die Firma Cashbuzz hat ihren Hauptsitz in Deutschland, die genutzten Rechenzentren befinden sich aus- schließlich im Gebiet der EU. Rechtsgrundlage ist DSGVO Art. 6 (1) lit. b) – zuverlässige und sichere Durchführung des Vertragsverhältnisses, denn die Kategorisierung ist ein wesentlicher Baustein für die Erbringung unserer Dienstleistungen. Näheres zum Datenschutz bei Cashbuzz finden Sie unter: https://finanzmining.de/privacy-policy/.
11. Manuelle Erfassung von Krediten
In der cure.finance Plattform können Sie bei Bedarf Informationen zu laufenden Krediten einpflegen – entweder manuell oder über cure.finance nach PDF-Upload des Vertrages. Im letztgenannten Falle wird das PDF nach dem Upload automatisch von einer Texterkennungssoftware (OCR) auf die relevan- ten Informationen wie Kreditsumme, monatliche Rate, Laufzeit gescannt, die Daten werden entspre- chend in Ihrem Datensatz bei cure.finance eingetragen. Die Texterkennung erfolgt durch die fino run GmbH, Universitätsplatz 12, 34127 Kassel, https://fino.group/.
Nähere Informationen zur fino run GmbH finden Sie im Abschnitt „Zugriff auf Ihre Bankkonten“. Rechtsgrundlage ist DSGVO Art. 6 (1) lit. b) – zuverlässige und sichere Durchführung des Vertragsver- hältnisses, denn die zusätzliche Erfassung von Krediten stellt ein wichtiges Leistungsmerkmal unseres Angebots dar.
12. Durchführung von Finanzanalysen
Die durch cure.finance kategorisierten Umsatzdaten werden unterschiedlichen Einnahme- und Ausgabenarten zugeordnet. Auf dieser Analyse aufbauend erstellt Cure individuelle Empfehlungen zur geschäftlichen Optimierung und zur Reduzierung von Risiken Ihrer Praxis. Hierzu werden unterschiedlichste Schwellwerte (Trigger) und Algorithmen verwendet. Diese Empfehlungen beruhen zunächst einmal auf dem Vergleich Ihrer individuellen Daten mit allgemeinen Regeln oder öffentlich zugängli- chen Vergleichswerten.
Wenn Sie bei der Registrierung zu cure.finance in die kundenübergreifende Analyse Ihrer Daten eingewilligt haben, können wir Ihnen wesentlich fundiertere Empfehlungen erstellen, als es mithilfe allgemeiner/ statischer Vergleichswerte möglich ist. Zum Beispiel werden die unterschiedlichen Finanzkennziffern einer Gruppe von vergleichbaren Praxen (z.B. der gleichen Fachrichtung) zu einem arithmetischen Mittelwert, einem Median und Quartilen verdichtet. Darauf basierend kann der Algorithmus regelbasierte Meldungen ausgeben. Darüber hinaus könnten auf solchen Verdichtungen basierende Erkenntnisse in Form von Blogbeiträgen etc. veröffentlicht werden, wobei die Daten ausschließ- lich in verdichteter Form und somit stets anonymisiert dargestellt werden. Es findet in Bezug auf die analysierten Finanzdaten der Kunden weder eine Erstellung einer Rangfolge („Ranking“) noch eine automatisierte Kundengruppenzuordnung im Sinne eines Profilings statt.
Die Server zur Speicherung und Analyse Ihrer Daten betreiben wir im Frankfurter Rechenzentrum der Amazon Web Services (kurz: Amazon AWS). Amazon AWS erfüllt den sog. „C5-Standard“ für Cloudanbieter. Dieser C5-Standard („Cloud Computing Compliance Catalog“) ist ein Prüfschema, das durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgestellt wurde. Der C5-Standard definiert die strengsten Anforderungen und umfasst Kontrollanforderungen, die sich auf den Datenspeicherort, die Servicebereitstellung, den Gerichtsstand, die existierenden Zertifizierungen, die Offenlegungsverpflichtungen von Informationen und eine ausführliche Beschreibung der Services beziehen. Dies ge- währleistet ein hohes Maß an Sicherheit gegen Cyber-Angriffe.
Wir haben mit Amazon einen Vertrag basierend auf den sog. Standardvertragsklauseln der EU-Kommission gem. DSGVO Art. 46. geschlossen. Der zugehörige Auftragsverarbeitungsvertrag, der auf den Standardvertragsklauseln basiert, ist hier zu finden. Der EuGH hat in einem entsprechenden Urteil („Schrems II“) im Jahre 2021 darauf hingewiesen, dass auf Grund des Hauptsitzes der Fa. Amazon in den USA dennoch ohne zusätzliche Schutzmaßnahmen ggf. kein angemessenes Schutzniveau für die in Frankfurt gespeicherten Daten besteht. Weitere Informationen zu den Datenschutzrichtlinien von Amazon finden Sie hier: https://aws.amazon.com/de/compliance/data-privacy/.
13. Empfehlung von Dienstleistern
Wir beabsichtigen, auf cure.finance sogenannte „Information Alert Recommendations (IAR)“ einzuführen. Hierbei werden Ihre als geschäftsrelevant eingestuften Transaktionen analysiert und ausgewertet. Ergebnis dieser Analyse sind daraus resultierende individuelle Empfehlungen und konkrete Vorschläge zu Dienstleistern. Diese können sich z.B. auf Angebote von Geschäftspartnern von Cure aus den Bereichen „Praxisbewertung“, „Geräteerwerb/Einkaufsgemeinschaft“ oder „steuerliche und sonstige Beratungsleistungen“ beziehen. Hierbei werden Daten an Dritte nur mit Ihrer expliziten Einwilligung weitergegeben.
14. Serviceinformationen via E-Mail
Als cure.finance Kunde erhalten Sie anlassbezogen Serviceinformationen via E-Mail von uns. Diese in- formieren Sie über wichtige Themen zur Nutzung unserer Plattform, z.B. geplante Wartungszeiten, Releasewechsel, Erweiterung von Leistungsmerkmalen oder auch Sicherheitshinweise. Wir nutzen zur Adressverwaltung und zum E-Mailversand die Software der Fa. Hubspot. Wir erfassen in Hubspot u.a. Öffnungsraten und Klickraten der übermittelten Emails, um Inhalte, Aufbau und Gestaltung der Emails stetig zu optimieren. Rechtsgrundlage für den Versand der Serviceinformationen via Email ist unser berechtigtes Interesse gemäß DSGVO Art. 6 (1) lit. f) an einem reibungs- und störungsfreien Betrieb unserer Plattform für unsere Kunden.
Wir verwenden für den Versand der Serviceinformationen HubSpot, ein CRM- und E-Mail-Tool der Fa. HubSpot, Inc., 25 First St 2nd Floor Cambridge, MA, USA. Darüber hinaus verfügt Hubspot unter der Adresse 1 Sir John Rogerson’s Quay, Dublin 2, Irland, auch über einen Firmensitz in der EU. Laut Hubspot werden die Daten, die Hubspot in unserem Auftrag verarbeitet, ausschließlich auf Servern innerhalb der EU/ des EWR gespeichert.
Wir haben mit Hubspot einen Auftragsverarbeitungsvertrag basierend auf den sog. Standardvertragsklauseln der EU-Kommission gem. DSGVO Art. 46. geschlossen. Dieser ist unter https://legal.hubspot.com/de/dpa zu finden. Der EuGH hat in einem entsprechenden Urteil („Schrems II“) im Jahre 2021 darauf hingewiesen, dass dennoch ohne zusätzliche Schutzmaßnahmen ggf. kein angemessenes Schutzniveau für diese gespeicherten Daten besteht. Weitere Informationen zu den Daten- schutzrichtlinien von Hubspot finden Sie hier: https://legal.hubspot.com/de/privacy-policy.
15. Customer Service
Um Ihnen bei auftretenden Probleme oder Fragen zur Nutzung von cure.finance zu helfen, stehen wir Ihnen über per E-Mail, Chatbot oder telefonisch gerne zur Verfügung. Wir erfassen Ihr Anliegen in HubSpot, einem CRM- und E-Mail-Tool der Fa. HubSpot, Inc., 25 First St 2nd Floor Cambridge, MA, USA. Nähere Informationen zu Hubspot finden Sie im Abschnitt „Serviceinformationen via E-Mail“. Rechts- grundlage für die Datenverarbeitung ist gemäß DSGVO Art. 6 (1) lit. b) die ordnungsgemäße Abwicklung unseres Dienstleistungsvertrages.
Unser Customer Service Team hat nur gemäß der festgelegten Rechte-/ Rollenkonzepte Zugriff auf Ihre personenbezogenen Daten. Damit ist gewährleistet, dass die Customer Service Mitarbeiter jeweils stets nur insoweit Zugriff auf Ihre personenbezogenen Daten haben, wie dies zur Erfüllung der Aufgaben des Customer Service erforderlich ist.
III. Schlussteil
16. Änderung unserer Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen des Funktionsumfangs zu berücksichtigen. Für die zukünftige Nutzung unseres Angebots gilt dann jeweils die neueste Fassung der Datenschutzerklärung.
Berlin, März 2022