Datenschutz
In dieser Datenschutzerklärung informieren wir, THE WELL Frankfurt GmbH (im Folgenden „THE WELL“, „wir“ oder „uns“), Dich als Mitglied über die Verarbeitung Deiner personenbezogenen Daten im Zusammenhang mit:
- der Mitgliedschaft in dem privaten THE WELL Longevity Club („Longevity Club“),
- der Nutzung der THE WELL Web- und/oder mobilen Anwendung für Mitglieder („Member App“), und
- der Nutzung unserer Website www.thewell.club („Website“) sowie der dort angebotenen Dienste (z.B. Newsletter, Bewerbungs- und Kontaktformular).
Übersicht
- A. Rollen von THE WELL bei der Datenverarbeitung
- I. Datenverarbeitung als Verantwortlicher
- II. Datenverarbeitung im Auftrag des Arztes
- B. Zwecke und Rechtsgrundlagen der Datenverarbeitung
- I. Technische Bereitstellung der Website
- II. Technische Bereitstellung der Member App
- III. Mitgliedschaft im Longevity Club
- IV. Werbung
- V. Bewerbungen
- VI. Sonstige Verarbeitungszwecke
- C. Allgemeine Informationen
- I. Keine Pflicht zur Bereitstellung personenbezogener Daten
- II. Empfänger der personenbezogenen Daten
- III. Datenverarbeitung in Drittländern
- IV. Speicherdauer und Datenlöschung
- V. Betroffenenrechte
- VI. Datensicherheit
- VII. Automatisierte Entscheidungsfindung
A. Rollen von THE WELL bei der Datenverarbeitung
Bei dem Angebot und dem Betrieb des Longevity Clubs und der Member App verarbeitet THE WELL Deine personenbezogenen Daten in zwei Rollen.
I. Datenverarbeitung als Verantwortlicher
Wir sind Verantwortlicher, wenn wir in eigener Verantwortung entscheiden, für welche Zwecke und mit welchen Mitteln wir Deine personenbezogenen Daten verarbeiten (Art. 4 Nr. 7 DSGVO). Das gilt für alle Datenverarbeitungen im Zusammenhang mit dem Angebot und dem Betrieb des Longevity Clubs und der Member App und der Erbringung der damit zusammenhängenden Leistungen und Dienste. Ausgenommen ist nur die Datenverarbeitung im Zusammenhang mit dem nachfolgend unter Ziffer A.II dieser Datenschutzerklärung beschriebenen Angebot der Terminvereinbarung mit Ärztinnen und Ärzten.
Verantwortlich für die Verarbeitung Deiner personenbezogenen Daten ist in diesem Fall:
THE WELL Frankfurt GmbH
Listertalstr. 73
57439 Attendorn
Geschäftsführer: Dr. Eike Julia Muhr und François Casanova
E-Mail: hello@thewell.club
Du erreichst unseren betrieblichen Datenschutzbeauftragten unter:
Datenschutzbeauftragter
THE WELL Frankfurt GmbH
Listertalstr. 73
57439 Attendorn
E-Mail: datenschutz@thewell.club
II. Datenverarbeitung im Auftrag des Arztes
Wenn Du über die Member App Termine für die Inanspruchnahme von diagnostischen oder medizinischen Leistungen buchst, werden diese Leistungen aufgrund eines separaten Behandlungsvertrags von einem unabhängigen Arzt oder einer Ärztin erbracht (aus Gründen der Lesbarkeit nachfolgend einheitlich der „Arzt“ oder gemeinsam die „Ärzte“). Der Arzt setzt die Member App ein, um Termine mit Dir zu vereinbaren und den Termin im Anschluss zu verwalten. In diesem Fall entscheidet der Arzt, zu welchen Zwecken er Deine Daten verarbeitet, und ist für die Datenverarbeitung Verantwortlicher (Art. 4 Nr. 7 DSGVO). Dazu gehört auch der Versand von Terminbestätigungen und Terminerinnerungen. Wir stellen ausschließlich die technische Infrastruktur bereit und verarbeiten Deine Daten als Auftragsverarbeiter (Art. 28 DSGVO) auf Weisung und für Zwecke des Arztes. Weitere Informationen zur Datenverarbeitung durch den Arzt findest Du unter Ziffer C.II.1.b) dieser Datenschutzerklärung.
B. Zwecke und Rechtsgrundlagen der Datenverarbeitung
Wir verarbeiten personenbezogene Daten (Art. 4 Nr. 2 DSGVO) im Einklang mit der Europäischen Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und sonstigen anwendbaren nationalen Datenschutzgesetzen und beachten beim Einsatz von Cookies und ähnlichen Technologien die Vorgaben des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG).
I. Technische Bereitstellung der Website
1. Logfiles
Bei dem Besuch unserer Website werden automatisch Informationen an unsere Server übermittelt und in sogenannten Logfiles gespeichert. In den Logfiles protokollieren wir Deine (zuvor ausreichend anonymisierte) IP-Adresse zum Zeitpunkt Deines Zugriffs auf die Website, das Datum und die Uhrzeit des Zugriffs, Betriebssystem und Browser-Version, ggf. Referrer-URL, technische Ereignisdaten (HTTP-Statuscode, übertragene Datenmenge).
Rechtsgrundlage für diese Art der Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Die von uns verfolgten berechtigten Interessen sind insbesondere:
- die Gewährleistung eines reibungslosen Verbindungsaufbaus der Website,
- die Gewährleistung einer komfortablen Nutzung der Website,
- die statistische Auswertung unter Verwendung eines Pseudonyms, um unsere Website zu optimieren,
- die Auswertung der Systemsicherheit und -stabilität, sowie
- die Erfüllung weiterer administrativer Zwecke.
2. Website Hosting und Content Management
Unsere Website wird über Webflow, Inc., 398 11th Street, 2nd Floor, San Francisco, CA 94103, USA („Webflow“), bereitgestellt und verwaltet. Webflow ist ein Content-Management-System (CMS) und Hosting-Anbieter, über den wir unsere Website technisch betreiben und Inhalte bereitstellen. Dabei können insbesondere folgende personenbezogene Daten verarbeitet werden:
- IP-Adresse
- Browsertyp und -version
- Betriebssystem
- Datum und Uhrzeit des Zugriffs
- Referrer-URL
- besuchte Seiten und Interaktionen auf der Website
Die Rechtsgrundlage für den Einsatz von Webflow ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse der Datenverarbeitung liegt in der sicheren, schnellen sowie effizienten Bereitstellung der Website durch einen professionellen Dienstleister. Webflow wird für uns als Auftragsverarbeiter tätig. Um sicherzustellen, dass Deine personenbezogenen Daten im Einklang mit dem anwendbaren Datenschutzrecht verarbeitet werden, haben wir mit Webflow einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) geschlossen.
Eine Datenübermittlung in die USA kann nicht ausgeschlossen werden. Die Datenübermittlung erfolgt auf der Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission für die Vereinigten Staaten von Amerika (EU – U.S. Data Privacy Framework („DPF“)). Das DPF regelt den Austausch personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten und soll gewährleisten, dass US-Unternehmen bei der Verarbeitung personenbezogener Daten, die aus der EU in die USA übertragen werden, europäische Datenschutzstandards einhalten (Art. 45 DSGVO). Webflow ist unter dem DPF zertifiziert. Du kannst das Zertifikat hier einsehen: https://www.dataprivacyframework.gov/list. Webflow stützt die Datenübermittlung zusätzlich auf die Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 DSGVO. Weitere Informationen findest Du unter: https://webflow.com/legal/privacy
3. Eingebettete Inhalte (iFrames)
Auf unserer Website können Inhalte eingebunden sein, die über sogenannte iFrames dargestellt werden. Dabei handelt es sich um eigene Anwendungen und Services, die unter unseren Subdomains betrieben werden. Beim Aufruf solcher Inhalte wird eine Verbindung zu unseren Servern hergestellt. Dabei können insbesondere folgende Daten verarbeitet werden:
- IP-Adresse,
- technische Verbindungsdaten,
- Interaktionen innerhalb der Anwendung.
Die Verarbeitung erfolgt zur Bereitstellung unserer digitalen Services und Funktionen, insbesondere unseres Member-Dashboards und weiterer Plattformbestandteile.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionalen und integrierten Darstellung unserer Angebote).
4. Cookies
Wir setzen auf unserer Website Cookies und ähnliche Technologien ein, die Deine Daten unter Verwendung von Pseudonymen sammeln. Cookies sind kleine Dateien, die Dein Browser automatisch erstellt und die auf Deinem Endgerät (Laptop, Tablet, Smartphone o.ä.) gespeichert werden, wenn Du die Website besuchst. Mit Cookies kommen häufig sog. Pixel-Tags zum Einsatz; das sind kleine Grafikdateien (Cookies und Pixel Tags nachfolgend gemeinsam „Cookies“).
Cookie-Arten
Wir verwenden verschiedene Arten von Cookies, abhängig von der Speicherdauer und davon, wer sie auf der Website setzt:
- Session-Cookies, die nur für die Dauer einer Browsersitzung bestehen und gelöscht werden, wenn Du Deinen Browser schließt.
- Dauerhafte Cookies, die auf Deinem Gerät gespeichert werden, halten länger als einen Besuch an und helfen uns, Informationen, Einstellungen, Präferenzen oder Anmeldedaten, die Du zuvor gespeichert hast, zu speichern.
- Erstanbieter-Cookies, die von uns als dem Betreiber der Website gesetzt und kontrolliert werden.
- Drittanbieter-Cookies, die von einem anderen Anbieter auf der Website gesetzt werden. Wir verwenden auch Cookies von Drittanbietern für die Erfassung von Analysedaten, Werbung und Marketingaktivitäten.
Verwendungszwecke
Wir unterscheiden auf der Website zwischen technisch unbedingt notwendigen und optionalen Performance-, Targeting- und funktionalen Cookies.
- Technisch unbedingt erforderliche Cookies sind unbedingt erforderlich, um Dir die Nutzung der Website und der darüber angebotenen Dienste zu ermöglichen (z.B. Session-Cookies, Consent-Cookies, Sicherheitscookies, Login-Cookies). In diesem Zweck liegt unser berechtigtes Interesse an der Datenverarbeitung; Rechtsgrundlagen sind Art. 6 Abs. 1 S. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TDDDG. Wir nutzen technisch unbedingt notwendige Cookies außerdem zur Erfüllung von gesetzlichen Verpflichtungen; Rechtsgrundlagen sind Art. 6 Abs. 1 S. 1 lit. c DSGVO, § 25 Abs. 2 Nr. 2 TDDDG. Technisch notwendige Cookies werden in der Regel nur so lange auf Deinem Gerät gespeichert, wie Dein Browser aktiv ist und, soweit nicht anders angegeben, nach dem Ende der jeweiligen Browser-Sitzung gelöscht.
- Wir verwenden Performance-Cookies, um pseudonyme Nutzungsprofile zum Zwecke der Webanalyse zu erstellen. Wir können wiederkehrende Nutzer (Gerätebesitzer) erkennen, ihr Verhalten auf der Website analysieren, um die Website zu optimieren und ihre Reichweite messen. Wir nutzen diese Technologien nur, wenn Du über den Cookie-Banner durch einen Klick auf „Alle Akzeptieren“ Deine Einwilligung erteilt oder den Dienst unter „Details anzeigen“ in den Einstellungen ausdrücklich zugelassen hast. Die Rechtsgrundlage für die Datenverarbeitung ist dann Art. 6 Abs. 1 S. 1 lit. a DSGVO bzw. § 25 Abs. 1 TDDDG. Wir führen die Daten nicht mit anderen personenbezogenen Daten zusammen und nutzen sie nicht, um einzelne Nutzer zu Werbezwecken anzusprechen.
- Wir und unsere Drittanbieter verwenden Targeting-Cookies für gezielte und interessenbasierte Online-Werbung. Diese Cookies sammeln und speichern Informationen über Deine Nutzung unserer Website in pseudonymer Form. Wir bzw. die Drittanbieter nutzen diese Informationen, um Dir auf unserer Website und/oder auf den Websites von Drittanbietern Werbung anzuzeigen, die Deinen Interessen entspricht. Diese Drittanbieter können die Informationen nutzen, um ein Profil Deiner Interessen zu erstellen. Sie speichern keine direkten persönlichen Informationen, sondern basieren auf der eindeutigen Identifizierung Deines Browsers und Internetgeräts. Deine Informationen werden auch genutzt, um den Erfolg von Werbekampagnen zu messen und sie zu optimieren. Wir verwenden die Cookies nur, wenn Du vorher eingewilligt hast. Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG. Du erteilst Deine Einwilligung zu diesem Tracking auf unserer Website, indem Du in unserem Cookie-Banner auf „Alle akzeptieren“ klickst oder den Dienst unter „Details anzeigen“ in den „Einstellungen“ ausdrücklich zulässt. Vorher setzen wir keine Targeting-Cookies. Wenn Du diese Cookies nicht zulässt, wirst Du weniger gezielte Werbung sehen.
- Wir verwenden funktionale Cookies, um die Benutzerfreundlichkeit der Website zu verbessern. Wir können Dich wiedererkennen, wenn Du auf unsere Website zurückkehrst, und erinnern uns automatisch an Deine Einstellungen und Präferenzen (z. B. Deine Wahl der Sprache oder Region). Die Rechtsgrundlage für die Verwendung dieser Technologien ist Art. 6 Abs. 1 S. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG, d.h. Deine vorherige Einwilligung. Du erteilst Deine Zustimmung zur Verwendung dieser Cookies, indem Du in unserem Cookie-Banner auf „Alle Akzeptieren“ klickst oder den Dienst unter „Details anzeigen“ in den Einstellungen ausdrücklich zulässt. Wenn Du Deine Einwilligung nicht erteilst, funktioniert die Website und/oder unsere über die Website angebotenen Dienste möglicherweise nicht ordnungsgemäß.
Weitere Informationen und Änderung der Cookie-Einstellungen
Einzelheiten zu den jeweiligen Cookies (z.B. zum Anbieter, Zweck, Rechtsgrundlage und Nutzungsdauer) findest Du in unserem Consent Management Tool, das Du über den Cookie-Banner und auch über die Schaltfläche „Cookie-Einstellungen“ erreichst, die auf jeder Seite unserer Website zugänglich ist. In dem Consent Management Tool kannst Du auch Deine Cookie-Einstellungen ändern.
Soweit Dein Gerät dies unterstützt, kannst Du den Einsatz von Cookies außerdem unterbinden, indem Du Deinen Webbrowser so einstellst, dass er keine neuen Cookies akzeptiert, er Dich bei neuen Cookies auf diese hinweist oder sämtliche bereits erhaltenen Cookies löscht. Hilfestellungen zur Änderung der Einstellung erhältst Du in der Hilfe-Funktion Deines Webbrowsers oder unter https://allaboutcookies.org/.
5. Datenübermittlung in Drittstaaten
Im Rahmen der technischen Bereitstellung der Website werden teilweise Daten in Drittstaaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) übermittelt (sog. Drittländer), insbesondere in die USA. Wenn das Datenschutzniveau in diesen Drittländern hinter dem Datenschutzniveau der EU zurückbleibt, sehen wir Garantien zum Schutz Deiner Daten vor. Weitere Informationen zu diesen Garantien findest Du in Ziffer C.III dieser Datenschutzerklärung.
In den USA ansässige Dienstanbieter nutzen wir nur, wenn sie unter dem EU – U.S. Data Privacy Framework („DPF“) zertifiziert sind. Das DPF regelt den Austausch personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten und soll gewährleisten, dass US-Unternehmen bei der Verarbeitung personenbezogener Daten, die aus der EU in die USA übertragen werden, europäische Datenschutzstandards einhalten (Art. 45 DSGVO). Du kannst die Zertifikate der Dienstleister hier einsehen: https://www.dataprivacyframework.gov/list.
II. Technische Bereitstellung der Member App
Wir stellen Dir unsere Member App als Web-App und mobile App bereit.
1. Logfiles (Web-App und mobile App)
Bei jeder Nutzung unserer Member App – unabhängig davon, ob Du die Web-App oder die mobile App verwendest – werden automatisch Informationen an unsere Server übermittelt und in sogenannten Logfiles gespeichert. In den Logfiles protokollieren wir Deine (zuvor ausreichend anonymisierte) IP-Adresse zum Zeitpunkt Deines Zugriffs auf die Member App, das Datum und die Uhrzeit des Zugriffs, Betriebssystem und Browser-/App-Version, ggf. Referrer-URL, technische Ereignisdaten (HTTP-Statuscode, übertragene Datenmenge).
Rechtsgrundlage für diese Art der Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Member App als vertragliche Leistung für Mitglieder) und Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse). Die von uns verfolgten berechtigten Interessen sind insbesondere:
- die Gewährleistung der Stabilität und Betriebssicherheit des Systems,
- der Schutz der Member App gegen eventuelle Angriffe von außen,
- die statistische Auswertung unter Verwendung eines Pseudonyms, um unsere Member App zu optimieren, sowie
- die Erfüllung weiterer administrativer Zwecke.
2. Einsatz von Cookies in der Web-App
In der Web-App setzen wir Cookies und ähnliche Technologien ein, die Deine Daten unter Verwendung von Pseudonymen sammeln. Cookies sind kleine Dateien, die Dein Browser automatisch erstellt und die auf Deinem Endgerät (Laptop, Tablet, Smartphone o.ä.) gespeichert werden, wenn Du die Member App besuchst. Mit Cookies kommen häufig sog. Pixel-Tags zum Einsatz; das sind kleine Grafikdateien (Cookies und Pixel Tags nachfolgend gemeinsam „Cookies“).
Arten von Cookies
Wir unterscheiden in der Web-App zwischen technisch unbedingt notwendigen, funktionalen und optionalen Analyse-Cookies.
- Technisch notwendige Cookies sind unbedingt erforderlich, um Dir die Nutzung der Web-App und der darüber angebotenen Dienste zu ermöglichen (z.B. Session-Cookies, Consent-Cookies, Sicherheitscookies, Login-Cookies). In diesem Zweck liegt unser berechtigtes Interesse an der Datenverarbeitung; Rechtsgrundlagen sind Art. 6 Abs. 1 S. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TDDDG. Wir nutzen technisch unbedingt notwendige Cookies außerdem zur Erfüllung von gesetzlichen Verpflichtungen; Rechtsgrundlagen sind Art. 6 Abs. 1 S. 1 lit. c DSGVO, § 25 Abs. 2 Nr. 2 TDDDG. Technisch notwendige Cookies werden in der Regel nur so lange auf Deinem Gerät gespeichert, wie Dein Browser aktiv ist und, soweit nicht anders angegeben, nach dem Ende der jeweiligen Browser-Sitzung gelöscht.
- Wir verwenden funktionale Cookies, um die Benutzerfreundlichkeit der Web-App zu verbessern. Wir können Dich wiedererkennen, wenn Du in unsere Web-App zurückkehrst, und erinnern uns automatisch an Deine Einstellungen und Präferenzen (z. B. Deine Wahl der Sprache oder Region). Die Rechtsgrundlage für die Verwendung dieser Technologien ist Art. 6 Abs. 1 S. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG, d.h. Deine vorherige Einwilligung. Du erteilst Deine Zustimmung zur Verwendung dieser Cookies, indem Du in unserem Cookie-Banner auf „Alle Akzeptieren“ klickst oder den Dienst in den Einstellungen ausdrücklich zulässt. Wenn Du Deine Einwilligung nicht erteilst, funktioniert die Web-App und/oder unsere über die Web-App angebotenen Dienste möglicherweise nicht ordnungsgemäß.
- Wir verwenden Webanalyse-Cookies, um pseudonyme Nutzungsprofile zum Zwecke der Webanalyse zu erstellen. Wir können wiederkehrende Nutzer (Gerätebesitzer) erkennen, ihr Verhalten in der Web-App analysieren, um die Web-App zu optimieren und ihre Reichweite messen. Wir nutzen diese Technologien nur, wenn Du über den Cookie-Banner Deine Einwilligung erteilt oder den Dienst in den Einstellungen ausdrücklich zugelassen hast. Die Rechtsgrundlage für die Datenverarbeitung ist dann Art. 6 Abs. 1 S. 1 lit. a DSGVO bzw. § 25 Abs. 1 TDDDG. Wir führen die Daten nicht mit anderen personenbezogenen Daten zusammen und nutzen sie nicht, um einzelne Nutzer zu Werbezwecken anzusprechen.
Weitere Informationen und Änderung der Cookie-Einstellungen
Einzelheiten zu den jeweiligen Cookies (z.B. zum Anbieter, Zweck, Rechtsgrundlage und Nutzungsdauer) findest Du in unserem Consent Management Tool, das Du über den Cookie-Banner und auch über die Schaltfläche „Cookie-Einstellungen“ erreichst, die auf jeder Seite unserer Member App zugänglich ist. In dem Consent Management Tool kannst Du auch Deine Cookie-Einstellungen ändern.
Soweit Dein Gerät dies unterstützt, kannst Du den Einsatz von Cookies außerdem unterbinden, indem Du Deinen Webbrowser so einstellst, dass er keine neuen Cookies akzeptiert, er Dich bei neuen Cookies auf diese hinweist oder sämtliche bereits erhaltenen Cookies löscht. Hilfestellungen zur Änderung der Einstellung erhältst Du in der Hilfe-Funktion Deines Webbrowsers oder unter https://allaboutcookies.org/.
3. Einsatz von Cookie-ähnlichen Technologien in der mobilen App
In unserer mobilen App (iOS und Android) verwenden wir Technologien, die funktional Cookies entsprechen (z. B. lokale Speichertechnologien, App-spezifische Speichermechanismen, Geräte- und Werbe-IDs sowie vergleichbare Identifikatoren). Wir unterscheiden hierbei zwischen technisch notwendigen, funktionalen sowie optionalen Analyse-Technologien:
Technisch notwendige Technologien
Diese Technologien sind erforderlich, um die mobile App bereitzustellen und ihre grundlegenden Funktionen zu ermöglichen (z. B. Speicherung von Login-Status, Sicherheitseinstellungen, Lastverteilung, Fehleranalyse zur Sicherstellung der Stabilität). Rechtsgrundlagen sind Art. 6 Abs. 1 S. 1 lit. b DSGVO (Bereitstellung der Member App als vertragliche Leistung für Mitglieder) sowie Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und funktionsfähigem Betrieb der App) in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG. Diese Technologien werden grundsätzlich nur für die Dauer der Nutzung gespeichert bzw. gelöscht, sobald sie für ihren Zweck nicht mehr erforderlich sind.
Funktionale Technologien
Diese Technologien ermöglichen es uns, Deine Einstellungen und Präferenzen innerhalb der App zu speichern (z. B. Spracheinstellungen, personalisierte Inhalte). Die Nutzung erfolgt ausschließlich auf Grundlage Deiner Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG.
Analyse- und Reichweitenmessung in der mobilen App
Wir verwenden Technologien, um das Nutzungsverhalten in der App pseudonym auszuwerten, die Benutzerfreundlichkeit zu verbessern und die Reichweite zu messen. Dabei können insbesondere gerätespezifische Kennungen (z. B. Advertising Identifier wie IDFA bei iOS oder AAID bei Android), Nutzungsdaten und Interaktionsereignisse verarbeitet werden. Diese Verarbeitung erfolgt ausschließlich auf Grundlage Deiner vorherigen Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Die Daten werden nicht dazu verwendet, Dich unmittelbar persönlich zu identifizieren und wir nutzen sie nicht, um Dich zu Werbezwecken anzusprechen.
Einwilligungsmanagement und Geräteeinstellungen
Die Einwilligung zur Nutzung nicht notwendiger Technologien holt unsere App über ein entsprechendes Einwilligungsbanner bzw. ein Consent-Management-Tool ein. Du kannst Deine Einwilligung über die Einstellungen innerhalb der App jederzeit erteilen oder widerrufen. Zusätzlich kannst Du die Verwendung bestimmter Technologien über die Systemeinstellungen Deines Endgeräts steuern, insbesondere:
- bei iOS über die Einstellungen unter „Datenschutz & Sicherheit“ (z. B. Tracking),
- bei Android über die Einstellungen zu „Datenschutz“ bzw. „Werbung“.
4. Datenübermittlung in Drittstaaten
Im Rahmen der technischen Bereitstellung der Member App (Web- und mobile App) werden teilweise Daten in Drittstaaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) übermittelt (sog. Drittländer), insbesondere in die USA. Wenn das Datenschutzniveau in diesen Drittländern hinter dem Datenschutzniveau der EU zurückbleibt, sehen wir Garantien zum Schutz Deiner Daten vor. Weitere Informationen zu diesen Garantien findest Du in Ziffer C.III dieser Datenschutzerklärung.
In den USA ansässige Dienstanbieter nutzen wir nur, wenn sie unter dem EU – U.S. Data Privacy Framework („DPF“) zertifiziert sind. Das DPF regelt den Austausch personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten und soll gewährleisten, dass US-Unternehmen bei der Verarbeitung personenbezogener Daten, die aus der EU in die USA übertragen werden, europäische Datenschutzstandards einhalten (Art. 45 DSGVO). Du kannst die Zertifikate der Dienstleister hier einsehen: https://www.dataprivacyframework.gov/list.
III. Mitgliedschaft im Longevity Club (einschließlich Nutzung der Member App)
Wir verarbeiten Deine personenbezogenen Daten, um mit Dir einen Vertrag über die Mitgliedschaft im Longevity Club bzw. einen Vertrag über die Nutzung der Member App zu schließen und Dir unsere Leistungen für Mitglieder zur Verfügung zu stellen. Dazu gehört auch die Bereitstellung von Diensten und Informationen über die Member App.
1. Verarbeitungszwecke
Die Verarbeitung erfolgt insbesondere zu folgenden Zwecken:
- Durchführung des Bewerbungsverfahrens als THE WELL Mitglied über ein Web-Formular zur Mitgliedschaft im Longevity Club, einschließlich Prüfung der Bewerbung und Kommunikation im Zusammenhang mit der Bewerbung sowie – im Falle der Annahme – Einladung zur Registrierung und Erstellung eines Nutzerkontos in der Member App;
- Anbahnung und Abschluss des Mitgliedschaftsvertrags, einschließlich des Vertrags über die Nutzung der Member App;
- Einrichtung eines personalisierten Nutzerkontos in der Member App, einschließlich der Verifizierung Deiner Identität, der Verwaltung von Zugangsdaten und Authentifizierung bei Login;
- Bereitstellung unserer Leistungen für Mitglieder, das sind insbesondere:
- die Anlage und Verwaltung eines personalisierten Gesundheits- und Longevity-Profils unter Verwendung von Gesundheits- und Longevity-Daten, wobei Deine Gesundheits- und Longevity-Daten ausgewertet werden zur Analyse Deiner Gesundheit und Leistungsfähigkeit, um Risiken zu ermitteln und Prognosen zu erstellen, auch zum Zwecke der Personalisierung unserer Leistungen und Angebote;
- der Zugang zu den Einrichtungen von THE WELL (z.B. Spa- und Regenerationsbereiche, Trainings- und Fitnesseinrichtungen, Clubhaus und Community-Bereiche), regenerative Anwendungen und Technologien, Trainings- und Performance-Angebote, der Zugang zu THE WELL Community-Events, Vorträgen und Workshops und Coaching- und Beratungsangebote;
- die Bereitstellung und der Betrieb von Diensten und Informationen in der Member App, insbesondere Ermöglichung der Buchung und Verwaltung von Mitgliedschaftsleistungen und Arztterminen, der Kommunikation mit dem Club-Team sowie die Bereitstellung von Gesundheitsinformationen, Diagnostikergebnissen und Gesundheits- und Longevity-Daten;
- das Angebot des Zugangs zu einem erweiterten Gesundheitsprogramm, das medizinische Diagnostik, Beratung und medizinisch betreute Programme umfassen kann, die von unabhängigen Ärzten erbracht werden, einschließlich der Übermittlung von Gesundheits- und Longevity-Daten an den behandelnden Arzt des Mitglieds;
- Zahlungsabwicklung, einschließlich des Einzugs abgetretener Forderungen des behandelnden Arztes aus dem Behandlungsvertrag bei Inanspruchnahme ärztlicher Leistungen im erweiterten Gesundheitsprogramm, auch unter Einsatz von Zahlungsdienstleistern;
- Kommunikation im Zusammenhang mit der Erbringung der vorgenannten Leistungen, auch unter Verwendung der Kommunikationskanäle der Member App; und
- Beantwortung von Anfragen im Zusammenhang mit dem Mitgliedschaftsvertrag und der Erbringung von sonstigen Kundendienstleistungen (z.B. zur Behebung technischer Probleme, zur Beantwortung von Fragen zu unseren Einrichtungen, Angeboten und der Member App, zum Zwecke der Vermittlung in Streitfällen).
Die weiteren Einzelheiten zum Zweck der Datenverarbeitung kannst Du den jeweiligen Vertragsunterlagen und Nutzungsbedingungen entnehmen.
2. Art der personenbezogenen Daten
Wir verarbeiten die personenbezogenen Informationen, die Du uns als Mitglied bei Vertragsschluss und/oder Registrierung in der Member App, für vertragliche Zwecke oder im Rahmen von Anfragen zur Verfügung stellst. Gegebenenfalls erhalten wir auch von Dritten Daten über Dich, z.B. von Deinem behandelnden Arzt, Laboren und Zahlungsdienstleistern. Es handelt sich insbesondere um folgende Daten:
- Stammdaten: Name, Vorname, Geschlecht, Anrede, Titel, Geburtsdatum, Mitgliedsnummer;
- Kontaktdaten: Anschrift(en), E-Mail-Adresse, Telefon- und Mobilfunknummer;
- Bewerbungsdaten: Angaben im Rahmen des Bewerbungsverfahrens über das Web-Formular zur Mitgliedschaft im Longevity Club, insbesondere Informationen aus dem Bewerbungsformular (z.B. Angaben zu Motivation, beruflichem Hintergrund und Interessen), ggf. hochgeladene Unterlagen sowie Kommunikations- und Bewertungsnotizen im Zusammenhang mit der Entscheidung über die Club-Mitgliedschaft;
- Zugangsdaten/Profildaten: Nutzername, Passworthash, Authentifizierungsdaten, Profileinstellungen, Einwilligungsstatus, ggf. Profilbild;
- Vertrags- und Abrechnungsdaten: Mitgliedschaftsart, Vertragslaufzeiten, Status, gebuchte Leistungen, Informationen zu abgetretenen Forderungen aus Behandlungsvertrag bei Inanspruchnahme ärztlicher Leistungen im erweiterten Gesundheitsprogramm (einschließlich Untersuchungs- und Behandlungsdaten), Rechnungs- und Buchungsdaten, Zahlungsart, Zahlungsdaten (IBAN, BIC, Karteninformationen, Payment-Token, Transaktionsdaten);
- Gesundheits- und Longevity-Daten: Körpermaße (z.B. Größe, Gewicht, BMI), Vitalparameter (Blutdruck, Herzfrequenz, Laborwerte, Cholesterin), Angaben zu Erkrankungen, Operationen, Medikation, Allergien/Unverträglichkeiten, Lebensstil (Ernährung, Bewegung, Schlaf, Stress), mentale Gesundheit, Angaben in Longevity- und Anamnese-Fragebögen, ggf. Daten von Wearables/Sensoren (Schritte, Aktivität, Schlaf, Herzfrequenz) sowie Trainings- und Leistungsdaten aus Fitness- und Personaltraining (z.B. Trainingsumfang, -intensität, -häufigkeit, Performance- und Regenerationskennzahlen) und Daten sonstiger Geräte, die im Rahmen von Training, Anwendungen und Behandlungen eingesetzt werden. Hierzu können – sofern Du dies in der Member App ausdrücklich freigibst – auch Daten aus Dritt-Apps und Drittplattformen (z.B. Apple Health/iOS Health, Google Fit oder vergleichbare Dienste) gehören, wie etwa Aktivitäts-, Bewegungs-, Schlaf- und Herzfrequenzdaten;
- Kommunikationsdaten: Inhalte von Anfragen (Support, Chat, E-Mail), Zeitstempel einer Terminvereinbarung;
- Buchungs- und Nutzungsdaten: Daten über die Buchung und Inanspruchnahme von Mitgliedschaftsleistungen und sonstige Nutzung der Member App (z.B. Auswahl der Angebote, Informationen über Art und Zeit der gebuchten Leistung, ggf. Angaben zur Zahlungsart (falls zahlungspflichtige Zusatzleistung), Kommunikation zwischen Dir und uns in Bezug auf Buchungen).
3. Sensible Daten
Einige der von uns verarbeiteten Daten können als sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO besonders geschützt sein, z.B. wenn es sich um Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person handelt. Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
4. Rechtsgrundlage
Sensible Daten verarbeiten wir nur, soweit Du uns als Mitglied eine ausdrückliche Einwilligung zur Verarbeitung von personenbezogenen Daten erteilt hast (Art. 6 Abs. 1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 lit. a DSGVO). Dies gilt insbesondere für Gesundheits- und Longevity-Daten, die aus Dritt-Apps (z.B. Apple Health / iOS Health, Google Fit oder vergleichbaren Diensten) in die Member App importiert werden. Eine solche Verarbeitung erfolgt nur, wenn Du die Datenübertragung in der jeweiligen Dritt-App ausdrücklich freigegeben und der Datenverarbeitung in der Member App zugestimmt hast. Eine erteilte Einwilligung kann jederzeit unter Verwendung der unter Ziffer A.I dieser Datenschutzerklärung genannten Kontaktdaten (z.B. per E-Mail) widerrufen werden. Die Übertragung von Dritt-App-Daten kannst Du über die Datenschutz- bzw. Berechtigungs-Einstellungen der jeweiligen Dritt-App abstellen. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Die Verarbeitung nicht-sensibler Daten des Mitglieds erfolgt, soweit dies für die Anbahnung, Erfüllung und Abwicklung von Verträgen, einschließlich der Überprüfung Deiner Identität, zur Durchführung vorvertraglicher Maßnahmen, zur vertragsgemäßen Verarbeitung Deiner Daten und zur Beantwortung von Anfragen im Zusammenhang mit Deiner Mitgliedschaft erforderlich ist (Art. 6 Abs. 1 S. 1 lit. b DSGVO). Verträge meint hier den Mitgliedschaftsvertrag zwischen uns und Dir, einschließlich der Vereinbarung über die Nutzung der Member App.
IV. Werbung
1. Newsletter
Sofern Du ausdrücklich eingewilligt hast, schicken wir Dir per E-Mail, Push-Nachricht und SMS Informationen über Produkte, Dienstleistungen und Events von THE WELL im Bereich Gesundheit und Longevity. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a DSGVO. Push-Nachrichten sind Mitteilungen, die Dir auch dann auf Deinem Gerät angezeigt werden, wenn Du die Member App gerade nicht nutzt.
Die Anmeldung zu unseren Kommunikationskanälen (z. B. E-Mail, In-App-Nachrichten und SMS) erfolgt im Double-Opt-In-Verfahren. Das bedeutet, dass Du Deine Anmeldung jeweils gesondert bestätigst, etwa durch Anklicken eines Bestätigungslinks in einer Bestätigungs-E-Mail, durch eine ausdrückliche Bestätigung innerhalb der App oder – bei SMS – durch die Eingabe eines Bestätigungscodes, den wir an Deine Mobilnummer senden. Erst nach dieser Bestätigung nutzen wir den jeweiligen Kanal, um Dir entsprechende Informationen und Angebote zuzusenden.
Du kannst Deine Einwilligung jederzeit widerrufen, zum Beispiel über den Link am Ende jeder E-Mail, durch eine Änderung Deiner „Kommunikationspräferenzen“ in der Member App oder per E-Mail an datenschutz@thewell.club. Du kannst den Versand von Push-Nachrichten jederzeit deaktivieren und damit Deine Einwilligung widerrufen, indem Du die Einstellungen Deines Geräts änderst (iOS: Einstellungen > Name der App > Mitteilungen; Android: Einstellungen > Apps oder Anwendungsmanager > Name der App > Benachrichtigungen).
Wir werten das Verhalten der Empfänger unseres E-Mail-Newsletters anhand von Nutzungsstatistiken aus. Zu diesem Zweck enthalten die E-Mails sogenannte Web-Beacons oder Tracking-Pixel und Links, die jeweils mit einer individuellen ID verknüpft sind. Wir verwenden diese, um den Zeitpunkt des Öffnens und Weiterleitens der E-Mail sowie den Zeitpunkt des Anklickens der in der E-Mail enthaltenen Links zu erfassen. Die Analyse basiert auf Nutzungsstatistiken (z. B. Zustellrate, Öffnungsrate, Klickrate, Anzahl der Weiterleitungen, Anzahl der Klicks auf die in der E-Mail enthaltenen Links, Land des Abrufs) und kann mit Deinem persönlichen Nutzerprofil, das mit Deiner E-Mail-Adresse verknüpft ist, in Verbindung gebracht werden. Die Auswertung des Nutzerverhaltens dient dazu, den Erfolg unseres E-Mail-Marketings zu überprüfen, unsere Mitteilungen möglichst auf die Interessen unserer Empfänger abzustimmen und sie ständig zu verbessern. Rechtsgrundlage für die Auswertung ist Deine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Du kannst Deine Einwilligung in die Auswertung jederzeit widerrufen, indem Du den Newsletter abbestellst (z. B. über den Link am Ende jeder E-Mail). Wir speichern Deine Nutzungsdaten, bis Du Deine Einwilligung zur Auswertung widerrufen hast.
2. Bestandskundenwerbung
Wenn Du dem nicht widersprochen hast, schicken wir Dir unabhängig von Deiner Anmeldung für den Erhalt des Newsletters per E-Mail Empfehlungen, die auf Deiner bisherigen Nutzung der THE WELL Mitgliedschaft basieren. Wir verwenden dafür die E-Mail-Adresse, die wir von Dir im Rahmen Deiner Registrierung als Mitglied erhalten haben, sowie Deinen Vor- und Nachnamen, damit wir Dich persönlich ansprechen können.
Du kannst diesen Nachrichten jederzeit durch Klicken auf den Abmeldelink in der E-Mail oder über die oben unter Ziffer A.I genannten Kontaktdaten widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Rechtsgrundlage ist § 7 Abs. 3 UWG i. V. m. Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse), wobei unser berechtigtes Interesse in der Direktwerbung liegt (Erwägungsgrund 47 DSGVO).
Sofern Du ausdrücklich eingewilligt hast, verarbeiten wir für die Empfehlungen auch Daten über Deine bisherige Nutzung unseres Longevity Clubs und der Member App, die Gesundheitsdaten einschließen. Rechtsgrundlage ist insoweit Art. 9 Abs. 2 lit. a, Art. 6 Abs. 1 S. 1 lit. a DSGVO. Deine Einwilligung kannst Du jederzeit widerrufen, zum Beispiel per E-Mail an datenschutz@thewell.club oder durch Klicken auf den Abmeldelink in jeder E-Mail. Wir verwenden Deine Daten zu diesem Zweck bis zum Widerruf der Einwilligung.
V. Bewerbungen
Wenn Du Dich bei uns bewirbst, verarbeiten wir die von Dir übermittelten personenbezogenen Daten (z.B. Name, Kontaktdaten, Lebenslauf, Zeugnisse) ausschließlich zum Zweck der Bearbeitung Deiner Bewerbung und der Durchführung des Bewerbungsverfahrens.
Rechtsgrundlage für die Datenverarbeitung ist § 26 Abs. 1 S. 1 BDSG, soweit die Datenverarbeitung für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Bei uns erhalten lediglich diejenigen Personen und Stellen Zugriff auf Deine Daten, die für uns die Einstellungsentscheidung treffen und vorbereiten (z.B. Personalabteilung, Management, im Einzelfall relevante Entscheidungsträger).
Wir behalten uns vor, Deine Eignung nicht nur für die konkrete, sondern auch für andere Stellen zu prüfen, wenn Du uns hierzu Deine Einwilligung erteilt hast. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. a DSGVO, § 26 Abs. 2, 3 BDSG.
Schließen wir mit Dir nach Durchlauf des Bewerbungsverfahrens ein Arbeitsverhältnis ab, werden die Daten bei uns zum Zwecke der Durchführung des Beschäftigungsverhältnisses in das Personalverwaltungssystem überführt und dort verarbeitet. Rechtsgrundlage ist § 26 Abs. 1 S. 1 BDSG.
VI. Sonstige Verarbeitungszwecke
1. Datenverarbeitung zur Qualitätssicherung und für Zertifizierungen
Wir verarbeiten Nutzungs- und Metadaten, die bei Deiner Nutzung der Member App anfallen. Dazu gehören insbesondere Informationen über [Bitte beschreiben, z.B. den Zeitpunkt der Freischaltung Deines Accounts, den Zeitpunkt Deiner ersten Terminanfrage und die Anzahl weiterer Terminanfragen über die Member App, wie oft Du Dich in der Member App einloggst, und ob Du bestimmte Funktionen der Member App nutzt]. Vorbehaltlich Deiner Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 lit. a DSGVO), die wir bei Abschluss Deines Mitgliedschaftsvertrags einholen, anonymisieren wir die Nutzungs- und Metadaten und nutzen diese anonymisierten Daten zur Analyse der Nutzung der Member App für Zwecke der Qualitätssicherung (einschließlich der dafür erforderlichen kontinuierlichen Weiterentwicklung) der Member App und für Zertifizierungen [ggf. ausführen, welche Zertifizierungen].
2. Einwilligung
Soweit Du uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke erteilt hast, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Deiner Einwilligung gegeben (Art. 6 Abs. 1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 lit. a DSGVO). Eine erteilte Einwilligung kann jederzeit widerrufen werden. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
3. Berechtigtes Interesse
Darüber hinaus verarbeiten wir Deine Daten zur Wahrung berechtigter Interessen von uns oder Dritten, insbesondere in den folgenden Fällen:
- Beantwortung von Anfragen außerhalb eines Vertrages oder vorvertraglicher Maßnahmen (z.B. per E-Mail, Telefon oder über unser Kontaktformular);
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten;
- Gewährleistung unserer IT-Sicherheit und unseres IT-Betriebs;
- Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Leistungen und Produkten; und
- Verhinderung und Aufklärung von Straftaten.
Unser berechtigtes Interesse besteht darin, unsere Leistungen optimal zu vermarkten und diese und unser Unternehmen weiterzuentwickeln. Darüber hinaus richtet sich unser Interesse auf eine benutzerfreundliche und sichere Darstellung sowie Optimierung unserer Member App. Dies dient sowohl unseren geschäftlichen Interessen als auch den Erwartungen des Nutzers an ein optimales Nutzererlebnis. Zudem haben wir ein berechtigtes Interesse, unser Unternehmen gegen Beeinträchtigungen und Gefahren zu schützen und seine Ansprüche durchzusetzen. Rechtsgrundlage der Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO.
Deine sensiblen Daten (Art. 9 Abs. 1 DSGVO) verarbeiten wir ohne Deine Einwilligung nur, wenn und soweit dies erforderlich ist für die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 9 Abs. 2 lit. f DSGVO, Art. 6 Abs. 1 S. 1 lit. f DSGVO) oder wenn dies aus anderen Gründen auf der Grundlage von Unionsrecht oder dem Recht eines Mitgliedsstaats der EU zulässig ist.
4. Rechtliche Verpflichtungen
Schließlich unterliegen wir diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen. Zu den Zwecken der Verarbeitung gehören unter anderem die Erfüllung handels- und steuerrechtlicher Aufbewahrungsfristen. Rechtsgrundlage der Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. c DSGVO.
C. Allgemeine Informationen
I. Keine Pflicht zur Bereitstellung personenbezogener Daten
Wenn wir Dich um die Angabe personenbezogener Daten bitten, kannst Du dies selbstverständlich ablehnen. Allerdings kann es dann sein, dass wir bestimmte Mitgliedschaftsleistungen und Funktionen der Member App nicht zur Verfügung stellen, Deine Anfragen nicht beantworten können oder einen Vertragsabschluss ablehnen müssen. Dies gilt insbesondere dann, wenn die Daten für die Begründung, Durchführung und Beendigung einer Geschäftsbeziehung erforderlich sind oder wenn wir gesetzlich zur Datenerhebung verpflichtet sind.
II. Empfänger der personenbezogenen Daten
Wir geben Deine Daten an nachfolgend genannte Empfänger weiter. Dabei beachten wir die gesetzlichen Vorgaben und schließen mit den Empfängern Deiner Daten Verträge bzw. Vereinbarungen ab, die dem Schutz Deiner Daten dienen.
1. Ärzte und Dienstleister
Im Rahmen Deiner Mitgliedschaft bei THE WELL erhältst Du Zugang zu einem erweiterten Gesundheitsprogramm, das medizinische Diagnostik, Beratung und medizinisch betreute Programme umfassen kann, die von unabhängigen Ärzten erbracht werden. Außerdem setzen wir für bestimmte nichtärztliche Leistungen (z.B. Physiotherapie, Personal Training, Ernährungsberatung) neben eigenen Mitarbeitern auch Dienstleister („Dienstleister“) ein.
a) Weitergabe von Daten
Dein behandelnder Arzt und die Dienstleister erhalten Zugriff auf diejenigen Daten, die sie für die Erbringung der (ärztlichen) Leistungen benötigen. Die Offenlegung Deiner Daten erfolgt zur Erfüllung Deines Mitgliedschaftsvertrags mit THE WELL (Art. 6 Abs. 1 S. 1 lit. b DSGVO) bzw. auf der Grundlage unseres berechtigten Interesses an der Sicherstellung eines reibungslosen Geschäftsablaufs und der Einbindung externer Fachkräfte (Art. 6 Abs. 1 S. 1 lit. f DSGVO) und auf der Grundlage Deiner Einwilligungen in die Verarbeitung und Weitergabe von Gesundheitsdaten und sonstiger sensibler Daten (Art. 6 Abs. 1 S. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO).
b) Datenverarbeitung durch Ärzte und Dienstleister
Dein behandelnder Arzt bzw. die Dienstleister sind für die Datenverarbeitung in ihrem jeweiligen Behandlungskontext eigenständig Verantwortliche.
Dein behandelnder Arzt setzt die Member App bzw. THE WELL dabei als Auftragsverarbeiter ein, um Termine mit Dir zu vereinbaren und den Termin im Anschluss zu verwalten. Dazu gehört auch der Versand von Nachrichten (z.B. Terminbestätigungen und -erinnerungen, siehe dazu auch Ziffer A.II dieser Datenschutzerklärung). Der Arzt verarbeitet Deine Daten, einschließlich Deiner Gesundheits- und Longevity-Daten, auf der Grundlage eines mit Dir separat abgeschlossenen Behandlungsvertrags (Art. 6 Abs. 1 S. 1 lit. b DSGVO, Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG). Soweit Du eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z. B. Versand von Nachrichten über die Member App von THE WELL oder Übermittlung von Befunden an THE WELL) erteilt hast, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Deiner Einwilligung (Art. 9 Abs. 2 lit. a, Art. 6 Abs. 1 S. 1 lit. a DSGVO) gegeben. Vorbehaltlich Deiner Einwilligung übernimmt THE WELL für die Ärzte außerdem die Zahlungsabwicklung. Zu diesem Zweck treten die Ärzte die Zahlungsansprüche, die ihnen gegen Dich aus dem Behandlungsvertrag zustehen, an THE WELL ab. Die Abrechnung gegenüber Dir erfolgt durch THE WELL im eigenen Namen und nach den Angaben der Ärzte. Eine erteilte Einwilligung kann jederzeit gegenüber dem Arzt oder (bei einer Einwilligung in den Versand von Nachrichten) THE WELL widerrufen werden. Bitte beachte, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Die Dienstleister stützen ihre Verarbeitung Deiner personenbezogenen Daten auf den zwischen Dir und uns bestehenden Mitgliedschaftsvertrag (Art. 6 Abs. 1 S. 1 lit. b DSGVO) bzw. unser berechtigtes Interesse an der Sicherstellung eines reibungslosen Geschäftsablaufs und der Einbindung externer Fachkräfte (Art. 6 Abs. 1 S. 1 lit. f DSGVO) und auf die von Dir erteilte Einwilligung in die Verarbeitung von Gesundheitsdaten (Art. 6 Abs. 1 S. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO). Auf dieser Grundlage stellen die Dienstleister uns die im Rahmen Deiner Behandlung bzw. Deines Trainings generierten Behandlungs-, Trainings- und ggf. Gerätedaten bereit, damit wir diese mit den bei uns vorhandenen Gesundheits- und Longevity-Daten zusammenführen und im Rahmen Deiner THE WELL Mitgliedschaft weiter zur Leistungserbringung nutzen können.
Weitere Informationen über den Arzt und die Datenverarbeitung im Rahmen der ärztlichen Behandlung findest Du in der „Patienteninformation zum Datenschutz“ des Arztes. Weitere Informationen über den Dienstleister und die Datenverarbeitung im Rahmen der nicht-ärztlichen Behandlung stellen wir bzw. der Dienstleister Dir in der Member App zur Verfügung oder vor Ort, wenn Du von dem Dienstleister behandelt wirst.
2. IT-Dienstleister
Wir setzen die folgenden IT-Dienstleister ein:
- Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland, als Cloud- und Hosting-Provider. Hetzner stellt uns Server- und Infrastrukturleistungen zur Verfügung, die wir nutzen, um unsere Member App und interne Verwaltungs- und Membership-Systeme zu betreiben.
- Yond GmbH, Daimlerring 6, 65205 Wiesbaden, Deutschland, als Anbieter einer Gym-Operating-Software (Software-as-a-Service-Lösung, https://getyond.com/), die wir einsetzen für die Verwaltung von Mitgliedschaften und die Zahlungsabwicklung und um Dir die Buchung von Leistungen und Arztterminen zu ermöglichen.
- Mailjet GmbH, Alt-Moabit 2, 10557 Berlin, Deutschland, als Anbieter einer E-Mail-Marketing-Software (https://www.mailjet.com/de/) für den Versand von transaktionalen Nachrichten (z.B. Registrierungs-, Buchungs- und Terminbestätigungen und Terminerinnerungen) und E-Mail-Marketing.
- Cal.com, Inc., 2261 Market Street #4382, San Francisco, CA 94114, USA, als Anbieter einer Software-as-a-Service-Lösung mit einer europäischen Infrastruktur („Cal.com Europe“, https://www.cal.eu/), für die Vereinbarung von Terminen (z. B. im Rahmen von Supportanfragen, Mitgliedschaften oder Bewerbungsprozessen).
- Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland, als Anbieter der Software-Lösung Microsoft 365 (https://privacy.microsoft.com/de-de/privacystatement) für die interne und externe Kommunikation sowie zur Organisation unserer Geschäftsprozesse.
- BunnyWay d.o.o. (bunny.net), Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien, als Anbieter einer Content-Delivery-Network-(CDN)-, DNS- und Sicherheitsinfrastruktur (https://bunny.net/). Bunny.net unterstützt uns bei der sicheren und performanten Bereitstellung unserer Website sowie unserer digitalen Anwendungen durch die Auslieferung statischer Inhalte, die Verwaltung unserer DNS-Infrastruktur, den Schutz vor technischen Angriffen und die Optimierung der Ladezeiten.
Diese Dienstleister verarbeiten Deine Daten nur nach unseren Weisungen und auf Grundlage von Auftragsverarbeitungsverträgen (Art. 28 DSGVO). Soweit erforderlich, können die von uns eingesetzten IT-Dienstleister weitere Subunternehmer einsetzen. Diese werden von uns bzw. vom Hauptdienstleister ebenfalls datenschutzkonform eingebunden.
3. Sonstige Empfänger und interne Stellen
Innerhalb von THE WELL erhalten nur diejenigen Stellen Zugriff auf Deine Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen (z.B. Mitgliederverwaltung, Abrechnung, IT-Support, Datenschutz- und Sicherheitsverantwortliche).
Ferner geben wir Deine Daten – soweit erforderlich – an die folgenden Kategorien von Empfängern weiter, soweit dies zur Erfüllung des Mitgliedschaftsvertrags, zur Durchführung vorvertraglicher Maßnahmen und/oder zur Wahrung berechtigter Interessen erforderlich ist (Art. 6 Abs. 1 S. 1 lit. b und lit. f DSGVO) oder von Deiner Einwilligung gedeckt ist (Art. 6 Abs. 1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 lit. a DSGVO):
- Sonstige IT-Dienstleister (insbesondere Anbieter von Videokonferenz- und Consent-Management-Tools);
- Zahlungsdienstleister und Banken für die Abwicklung bzw. den Einzug von Mitgliedsbeiträgen und Entgelten für Zusatzleistungen;
- Auskunfteien zur Durchführung von Bonitätsprüfungen;
- externe Berater (z.B. Rechtsanwälte, Steuerberater) im Zusammenhang mit der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
- Dritte, die an einem Gerichts- oder Verwaltungsverfahren beteiligt sind, sofern wir hierzu rechtlich verpflichtet sind oder dies zur Wahrung unserer Rechte erforderlich ist.
Darüber hinaus erfolgt eine Weitergabe oder Übermittlung Deiner personenbezogenen Daten, wenn gesetzliche Bestimmungen dies gebieten (Art. 6 Abs. 1 S. 1 lit. c DSGVO).
Deine sensiblen Daten (Art. 9 Abs. 1 DSGVO) geben wir ohne Deine Einwilligung nur an Dritte weiter, wenn und soweit dies erforderlich ist für die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 9 Abs. 2 lit. f DSGVO, Art. 6 Abs. 1 S. 1 lit. f DSGVO) oder wenn dies aus anderen Gründen auf der Grundlage von Unionsrecht oder dem Recht eines Mitgliedsstaats der EU zulässig ist.
Bei der Weitergabe beachten wir die gesetzlichen Vorgaben und schließen ggf. mit den Empfängern Deiner Daten Verträge bzw. Vereinbarungen ab, die dem Schutz Deiner Daten dienen, und verpflichten diese Empfänger, personenbezogene Daten gemäß des anwendbaren Datenschutzrechts zu verarbeiten und den Schutz der Rechte der betroffenen Person zu gewährleisten.
III. Datenverarbeitung in Drittländern
Deine Gesundheitsdaten (Art. 9 Abs. 1 DSGVO, insbesondere Anamnesedaten, ärztliche Befunde und Gutachten, sonstige Behandlungs-, Trainings- und Gerätedaten, die Aufschluss über Deine Gesundheit geben) werden ausschließlich auf Servern innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) verarbeitet und gespeichert. Eine Übermittlung oder Verarbeitung von Gesundheitsdaten in Drittländern (insbesondere in die USA) findet nicht statt.
Soweit wir Dienstleister in Drittländern außerhalb der EU und des EWR einsetzen, erfolgt dies nur für solche personenbezogenen Daten, die keine Gesundheitsdaten darstellen (z.B. allgemeine Kontaktdaten oder Nutzungs- und Metadaten der Website oder Member App). In diesen Fällen werden wir die notwendigen Garantien vorsehen, um sicherzustellen, dass Deine Daten genauso sicher wie innerhalb der EU bzw. des EWR verarbeitet werden, z.B. durch:
- die Übermittlung auf der Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission für das jeweilige Drittland (insbesondere bei Datenübermittlungen in die USA an Unternehmen, die sich unter dem EU – U.S. Data Privacy Framework https://www.dataprivacyframework.gov/list zertifiziert haben);
- den Abschluss von Standardvertragsklauseln der EU-Kommission im Sinne von Art. 46 Abs. 2 S. 1 lit. c DSGVO; oder
- andere gesetzlich vorgesehene geeignete Garantien.
Du kannst eine Kopie der getroffenen Maßnahmen (z.B. Standardvertragsklauseln) anfordern, indem Du uns unter den in dieser Datenschutzerklärung angegebenen Kontaktdaten kontaktierst.
IV. Speicherdauer und Datenlöschung
Soweit erforderlich, verarbeiten und speichern wir und die von uns genutzten Diensteanbieter Deine personenbezogenen Daten, solange es für die in dieser Datenschutzerklärung genannten Zwecke notwendig ist. Das kann beispielsweise auch die Anbahnung und die Abwicklung eines Vertrages, sowie die Durchsetzung der an uns abgetretenen möglichen Ansprüche umfassen. Dabei ist zu beachten, dass unsere Vertragsbeziehung, je nach Einzelfall, ein Dauerschuldverhältnis sein kann, das auf Jahre angelegt ist. Wenn wir Daten aufgrund Deiner Einwilligung verarbeiten, bewahren wir diese Daten so lange auf, wie die Verarbeitung Deiner personenbezogenen Daten gemäß Deiner Einwilligung erforderlich ist.
Logfiles werden grundsätzlich nach dem Ende der jeweiligen Browser-Sitzung gelöscht, spätestens nach dreißig Tagen, es sei denn, ihre weitere Speicherung ist ausnahmsweise erforderlich und rechtmäßig. Die Speicherdauer von Cookies hängt vom Einzelfall ab und beträgt in der Regel zwischen zwei Monaten und einem Jahr. Weitere Informationen zur Speicherdauer findest Du in unserem Consent Management Tool, das Du auch über die Schaltfläche „Cookie-Einstellungen“ erreichst, die auf jeder Seite unserer Website und Member App (Web-App) zugänglich ist.
Bewerberdaten werden nach Abschluss des Bewerbungsverfahrens spätestens nach 6 Monaten gelöscht, sofern einer Speicherung nicht gesetzliche Aufbewahrungspflichten entgegenstehen oder Du einer längeren Speicherung für den Aufbau eines Talent-Pools (d.h. für die Berücksichtigung bei künftigen Stellenangeboten) eingewilligt hast. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. a DSGVO, § 26 Abs. 2, 3 BDSG. Du kannst Deine Einwilligung in die weitere Speicherung Deiner Daten jederzeit widerrufen. Deine Daten werden dann gelöscht.
Bei Vertragsbeziehungen, aber auch bei sonstigen zivilrechtlichen Ansprüchen, richtet sich die Speicherdauer darüber hinaus auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) in der Regel drei Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre betragen können. Außerdem unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen 6 Jahre für Korrespondenz im Zusammenhang mit einem Vertragsschluss und 10 Jahre für Buchungsbelege und Geschäftsbriefe (§§ 238, 257 Abs. 1 und 4 HGB, § 147 Abs. 1 und 3 AO).
V. Betroffenenrechte
Soweit Du von der Datenverarbeitung betroffen bist, hast Du das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Hinsichtlich des Auskunftsrechts und des Rechts auf Löschung gelten die Einschränkungen nach §§ 34 und 35 BDSG. Außerdem hast Du das Recht, der Datenverarbeitung zu widersprechen (Art. 21 DSGVO).
Deine Rechte im Detail:
- Recht auf Auskunft (Art. 15 DSGVO): Du kannst Auskunft darüber verlangen, ob und wie wir Deine personenbezogenen Daten verarbeiten. Du hast insbesondere ein Recht auf Informationen über die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder werden, falls möglich die geplante Speicherdauer, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; das Bestehen eines Rechts auf Berichtigung oder Löschung Deiner personenbezogenen Daten, auf eine Einschränkung der Verarbeitung oder Widerspruch gegen diese Verarbeitung; das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei Dir erhoben wurden; das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und ggf. aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung. Wenn wir personenbezogene Daten an ein Drittland oder eine internationale Organisation übermitteln, kannst Du ferner Informationen über die Garantien verlangen, die wir zum Schutz Deiner Daten vorgesehen haben. Dein Recht auf Auskunft kann im Einzelfall durch nationales Recht (§§ 29 Abs. 1 Satz 2, § 34 BDSG) sowie Rechte und Freiheiten Dritter beschränkt sein.
- Recht auf Berichtigung (Art. 16 DSGVO): Du kannst die unverzügliche Berichtigung der Dich betreffenden unrichtigen oder, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Du hast unter bestimmten Umständen einen Anspruch auf unverzügliche Löschung Deiner personenbezogenen Daten, z.B. wenn Deine personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, wenn Du Deine Einwilligung widerrufst und eine anderweitige Rechtsgrundlage für die Verarbeitung fehlt oder wenn Du der Verarbeitung Deiner Daten zu Zwecken der Direktwerbung widersprochen hast. Der Anspruch besteht nicht, soweit die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen öffentlichen Interesses oder zur Ausübung einer uns übertragenen öffentlichen Gewalt oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Dein Recht auf Löschung kann im Einzelfall durch nationales Recht (§ 35 BDSG) beschränkt sein.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung verlangen, wenn Du die Richtigkeit der personenbezogenen Daten bestreitest, für die Dauer der Überprüfung der Richtigkeit durch uns, wenn die Verarbeitung unrechtmäßig ist, Du die Löschung Deiner personenbezogenen Daten aber ablehnst, wenn wir Deine personenbezogenen Daten nicht länger benötigen, Du die Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen brauchst, oder wenn Du Widerspruch gegen die Verarbeitung eingelegt hast.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du hast das Recht auf Datenübertragbarkeit, d.h. das Recht, die personenbezogenen Daten, die Du uns bereitgestellt hast, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und zu übermitteln, wenn wir Deine personenbezogenen Daten auf der Grundlage Deiner Einwilligung oder eines Vertrags verarbeiten und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
- Recht, Widerspruch gegen die Datenverarbeitung durch uns einzulegen (Art. 21 DSGVO).
Widerspruchsrecht gemäß Art. 21 DSGVO: Du hast das Recht, aus Gründen, die sich aus Deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Dich betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 S. 1 lit. e (öffentliches Interesse) oder lit. f (Interessenabwägung) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten diese Daten bei Einlegung des Widerspruchs nicht mehr, es sei denn, dem stehen zwingende schutzwürdige Gründe für die Verarbeitung entgegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Verarbeiten wir die Dich betreffenden personenbezogenen Daten, um Direktwerbung zu betreiben, hast Du das Recht, jederzeit Widerspruch gegen die Verarbeitung der Dich betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Wir verarbeiten Deine personenbezogenen Daten nicht mehr zur Direktwerbung, wenn Du von Deinem Widerspruch Gebrauch machst.
Soweit unsere Verarbeitung Deiner personenbezogenen Daten auf einer Einwilligung beruht (Art. 6 Abs. 1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 lit. a DSGVO), kannst Du diese jederzeit widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung bleibt hiervon unberührt.
Zur Geltendmachung Deiner Rechte sowie zu weiteren Fragen zum Thema personenbezogene Daten kannst Du Dich jederzeit an uns wenden und dafür die oben genannten Kontaktdaten nutzen (siehe Ziffer A.I dieser Datenschutzerklärung).
Unabhängig hiervon hast Du das Recht, bei einer Aufsichtsbehörde – insbesondere in dem EU-Mitgliedstaat Deines Aufenthaltsorts, Deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes – eine Beschwerde einzulegen, wenn Du der Ansicht bist, dass die Verarbeitung der Dich betreffenden personenbezogenen Daten gegen die DSGVO oder andere geltende Datenschutzgesetze verstößt (Art. 77 DSGVO, § 19 BDSG).
VI. Datensicherheit
Um den Verlust oder Missbrauch Deiner Daten zu verhindern, schützen wir Deine Daten durch technische und organisatorische Maßnahmen. Aus diesem Grund verpflichten wir unsere Mitarbeitenden, die personenbezogene Daten verarbeiten, zur Wahrung und Einhaltung des Datengeheimnisses. Deine personenbezogenen Daten werden verschlüsselt übertragen. Wir verwenden für die Kommunikation über Deinen Internet-Browser die TLS (Transport Layer Security) Technologie. Das erkennst Du an dem Schloss-Symbol in der Adressleiste Deines Webbrowsers. Darüber hinaus sichern wir die Member App und andere Systeme durch technische und organisatorische Maßnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung Deiner Daten durch unbefugte Personen.
VII. Automatisierte Entscheidungsfindung
Wir nutzen grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Art. 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Dich hierüber gesondert informieren, sofern dies gesetzlich vorgegeben ist.
Stand: 16.06.2026