1. Ansprechpartner
Verantwortliche im Sinne der Datenschutzgrundverordnung (DSGVO) ist:
move UP Gesellschaft für Gesundheitsmanagement mbH
Wendenstraße 130, 20537 Hamburg
info@moveup.de, +49 40 30747251
Fragen zum Datenschutz können Sie auch direkt an unseren Datenschutzbeauftragten richten: Rechtsanwalt David Heimburger, dh@davidheimburger.de, 040 / 22863648
2. Hinweis zur geschlechtergerechten Sprache
Wir bemühen uns, eine geschlechtergerechte Sprache zu verwenden. Teilweise verwenden wir für die vereinfachte Leseführung nur die männliche Form von Begriffen wie Benutzer statt Benutzende, Benutzer:innen oder Benutzerinnen und Benutzer. Wenn wir nur die männliche Form verwenden, soll der Begriff dennoch alle Geschlechter mit einschließen.
3. Verweis auf allgemeine Informationen
Wir sind verpflichtet, Sie über Ihre Rechte als Betroffene nach der DSGVO und einige weitere Themen zu informieren. Da wir sehr viele Onlineangebote betreiben und uns um eine einheitliche und stets aktuelle Information bemühen, stellen wir alle übergreifenden Informationen nur auf einer zentralen Internetseite zur Verfügung: https://www.moveup.de/datenschutzerklaerung/
In unserer zentralen Datenschutzinfo finden Sie Informationen zu:
- – Ihre Datenschutzrechte im Allgemeinen (Widerruf, Widerspruch, Auskunft, Löschung, Beschwerde u.a.)
- – Rechtsgrundlagen für Datenverarbeitungen
- – Allgemeine Infos zu Cookies
- – Datenverarbeitungen durch unsere Social Media-Profile
- – Personenbezogene Daten bei Stellenbesetzungen
- – Personenbezogene Daten von Lieferanten und Dienstleistern
- – Infrastrukturthemen wie E-Mail, Telefonie, Kontaktverzeichnisse, Finanzbuchhaltung, IT-Administration u.a.
Die nachfolgenden Informationen auf dieser Seite hier informieren Sie über das konkrete digitale Angebot von uns, in das diese Datenschutzinfo eingebunden ist.
4. Konkrete Datenverarbeitungen
Wir bieten eine Vielzahl digitaler Angebote unter verschiedenen Domains an. Regelmäßig erreichen Sie die von Ihnen gesuchte Plattform als eine Subdomain von moveup-academy.de, teilweise aber auch als Subdomain zu den Internetangeboten von Arbeitgebern, Krankenversicherungen oder anderen Anbietern.
Manche Angebote nennen wir eine Academy. Andere Angebote nennen wir eine Challenge, insbesondere wenn sie mit der Möglichkeit einhergeht sich mit anderen Teilnehmenden in einem Ranking zu vergleichen oder wenn es darum geht, eigene Fortschritte zu dokumentieren.
Teilweise stellen wir eine Plattform als weisungsgebundener Dienstleister für einen Arbeitgeber, eine Krankenversicherung oder einen anderen Anbieter zur Verfügung. Sollte dies auf die von Ihnen genutzte Plattform zutreffen, sind wir – moveUP – für die Datenverarbeitung rechtlich nicht die Verantwortlichen sondern unser Auftraggeber. Diese Datenschutzinformation hier gilt dann inhaltlich in gleicher Weise, nur die Person des Verantwortlichen ist in diesen Fällen nicht moveUP sondern unser Auftraggeber. Entscheidend ist, welche Organisation Ihnen gegenüber als Anbieter des Digitalangebots auftritt. Wenn Sie unsicher sind, wer für Sie der zuständige Datenschutzverantwortliche ist, wenden Sie sich gerne an moveUP – wir werden die Unklarheiten für Sie beseitigen können.
4.1 Bereitstellen der digitalen Angebote als Internetseiten
Beschreibung: Damit ein Webserver unsere digitalen Angebote Ihrem Browser zur Verfügung stellen kann, muss der Server technische Daten über Ihr dafür genutztes Gerät, Ihren Browser und Ihren Internetzugang erfassen. Man spricht hier von dem sogenannten Logfile oder Weblog. Das sind die gleichen Daten, die Sie bei jeder Internetseite zwingend hinterlassen, die Sie aufrufen. Im Mittelpunkt steht die IP-Adresse, von der aus Sie unsere Seiten aufrufen. An diese Internetadresse schickt der Webserver Ihnen die Daten, die Sie sehen wollen.
Datenkategorien: IP-Adresse, von der aus unsere Seite aufgerufen wurde; Datum und Uhrzeit des Zugriffs; Objekte auf unserer Website, die im Browser aufgerufen werden; Art und Version des Internetbrowsers; Art und Version des Betriebssystem
Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister für die Internetseiten, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Bereitstellung unserer Internetseite sowie Nachforschungen, sollte es zu einem unrechtmäßigen Zugriff auf unsere Webseiten kommen (z.B. einen Hackerangriff). Rechtsgrundlage ist ein berechtigtes Interesse, da der Betrieb einer Website ohne die Erfassung des Weblogs nicht möglich ist. Für den speziellen Falle eines Angriffs auf unsere Internetseite steht uns ein berechtigtes Interesse zu, den Ermittlern Indizien dafür bieten zu können, wie sich der Angriff abgespielt hat.
Speicherdauer: 30 Tage
4.2 Cookie-Verwaltung
Beschreibung: Für alle einwilligungspflichtigen Cookies fragen wir vor deren Speicherung auf Ihrem Gerät nach Ihrem Einverständnis. Die von Ihnen getroffenen Entscheidungen wird ihrerseits über Cookies auf Ihrem Gerät gespeichert, so dass wir Sie bei einem erneuten Besuch unserer Internetseiten nicht erneut um Ihre Einwilligung bitten müssen. Sie können ihre Entscheidung jederzeit revidieren, indem Sie die entsprechenden Cookies, deren Namen jeweils mit cmplz beginnen, über die Einstellungen Ihres Browsers von Ihrem Gerät löschen.
Datenkategorien: Einwilligungsstatus (allow/dismissed)
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Einwilligungsmanagement für Cookies. Rechtsgrundlage ist ein berechtigtes Interesse, da das Speichern der Cookie-Entscheidung die Rechte der Besucher nur geringfügig einschränkt und zugleich die Nutzung der Seiten bei wiederholtem Besuch vereinfacht. Dieser Cookie darf auch nach § 25 TTDSG ohne Ihre Einwilligung gesetzt werden, da die Cookie-Auswahl als eine essenzielle Funktion anzusehen ist.
Speicherdauer: Bis zur Löschung des entsprechenden Cookies in Ihrem Browser-Cache oder bis zum Erreichen des Ablaufdatums des Cookies (für die cmplz-Cookies regelmäßig ein Jahr nach Speicherung)
4.3 Benutzerkonten für digitale Angebote
Beschreibung: Die Nutzung unserer digitalen Angebote, egal ob als Academy, Challenge oder in sonstiger Form, setzt ein Benutzerkonto voraus, über das persönlichen Fortschritte im Rahmen des Angebots erfasst werden können.
Soweit Sie an Challenges teilnehmen, dient das Benutzerkonto insbesondere dazu, Ihren Status im Wettbewerb zu dokumentieren und Ihre Position im Ranking zu ermitteln.
Einige unserer Angebote bieten Ihnen Zertifikate zu Ihrer Teilnahme beziehungsweise den von Ihnen erreichten Fortschritten an. Auch die Bereitstellung dieser Zertifikate steht im unmittelbarem Zusammenhang mit den Benutzerkonten.
Teilweise erhalten Sie Benachrichtigungen (z.B. Erinnerungen) zu Ihren Kursen per E-Mail, die automatisch von unserer Plattform verschickt werden.
Wenn Sie sich in unsere Plattform einloggen, halten wir Ihren Anmeldestatus über Cookies fest um den Status aufrechtzuerhalten. Die Namen der Cookies beginnen mit wordpress_sec_ und wordpress_logged_in_ und enden jeweils mit einem vorübergehendem Zahlenwert, der Ihnen zugeordnet wird. Diese Cookies löschen sich am Ende Ihrer Browsersitzung automatisch.
Einige unserer digitalen Angebote setzen in Ihrem Browser einen Cookie mit dem Namen wpcw_timezone, der dem Abgleich Ihrer Systemuhr mit unserer Uhrzeit dient. Der Cookie speichert als Wert einzig, welche Zeitzone für Ihr Gerät aktuell ausgewählt ist. Dieser Vorgang ist technisch erforderlich für alle Aktionen, die im Zusammenhang stehen mit einer Zeiterfassung für unsere Wettbewerbe.
Regelmäßig übernehmen Arbeitgeber die Kosten für die Nutzung der Academy. Eine Zuordnung der Teilnehmenden zu einem Kostenträger erfolgt teils über die Nutzung einer E-Mail-Adresse aus dem Adressbereich des Kostenträgers, teils über die Nutzung der Academy über eine bestimmte Subdomain, die dem jeweiligem Arbeitgeber zugeordnet ist.
Wir stellen den Arbeitgebern keine Nutzungsdaten mit Bezug zu einzelnen Teilnehmenden zur Verfügung. Die Academy ist ein Angebot Ihres Arbeitgebers im Rahmen der Gesundheitsfürsorge, dient aber nicht der Leistungs- und Verhaltenskontrolle. Einige Arbeitgeber bieten an, unter den teilnehmenden Beschäftigten Preise zu verlosen oder Teilnehmende nach anderen Kriterien zu prämieren. Wir geben Daten von Teilnehmenden nur an die Arbeitgeber weiter, wenn die Betroffenen vorab ausdrücklich hierüber informiert worden sind oder in die Übermittlung eingewilligt haben.
Bei einigen unserer Plattformen können Sie in den Einstellungen für Ihr Benutzerkonten ihre Betroffenenrechte aus der DSGVO direkt in Anspruch nehmen. Sie können dort ihre personenbezogenen Daten aus unserer Plattform exportieren und Sie können Ihre personenbezogenen Daten aus unserer Plattform löschen sowie Ihr komplettes Benutzerkonto löschen.
Datenkategorien: Name, E-Mail-Adresse, Passwort (verschlüsselt und für uns nicht lesbar), Zuordnung zu einem Arbeitgeber (als Kostenträger für Ihre Nutzung); genutzte Academy-Angebote und Fortschritte (Aktivitätenhistorie), auf dem Gerät eingestellte Zeitzone, Zielerreichungen (z.B. Zahl gegangener Schritte), Auszeichnungen (z.B. Platzierung bei internen Wettbewerben); zusätzliche Angaben, die Sie Ihrem Profil hinzufügen
Datenempfänger (ggf. Drittstaatentransfer): Unser Hosting-Dienstleister für die Benutzerdatenbank, der über einen Auftragsverarbeitungsvertrag auf den Datenschutz verpflichtet ist. Ein Drittstaatentransfer findet nicht statt.
Zweck + Rechtsgrundlage: Verwaltung von Benutzerkonten als Grundlage der individuellen Datenerfassung im Rahmen unserer digitalen Angebote. Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Erfüllung des Nutzungsvertrags für unser Angebot, der sich aus der Registrierung für ein Benutzerkonto ergibt.
Speicherdauer: Wir speichern Ihr Benutzerkonto und die damit in Verbindung stehenden Daten bis Sie Ihr Konto löschen oder bis zu sechs Jahre nach dem letzten Kontakt mit Ihnen. Wir orientieren uns hierbei an der Aufbewahrungspflicht für Geschäftsbriefe aus dem Handelsrecht und wollen Ihnen so ermöglichen, Ihnen auch einige Zeit nach Abschluss der Kurse Nachweise über Ihre Teilnahme anbieten zu können.
4.4 Videostreaming
Beschreibung: Unsere digitalen Angebote zeigen Filme über den Videoplayer des Streaminganbieters Vimeo. Vimeo verarbeitet als technischer Anbieter des Videohostings die typischen Weblog-Daten, die ein Endgerät beim Abruf des Onlineangebots an den technischen Anbieter überträgt wie zum Beispiel Ihre IP-Adresse.
Wenn Sie dem Setzen von Cookies zugestimmt haben, platziert der Vimeo-Player eigene Cookies (z.B. der Cookie VUID) auf Ihrem Gerät, die Ihnen teils zusätzliche Funktionen bieten (wie das spätere Fortsetzen eines Films an der zuletzt gesehenen Stelle). Teils dienen die Vimeo-Cookies der Erfassung und statistischen Auswertung des Nutzungsverhaltens.
Außerdem greift die moveUP Academy für einzelne Übungen (Challenges) auf den Wert zu, wie weit Sie ein Video geschaut haben. Abhängig von der Dauer, die Sie gesehen haben, weist Ihnen unser System unterschiedlich viele Punkte zu. Benötigt eine unserer Challenges den Zugriff auf die Sehdauer der Videos, ist Ihre Zustimmung zu den Vimeo-Cookies eine technisch zwingende Voraussetzung für die Teilnahme an der Challenge.
Weitere Informationen zum Umgang mit Ihren Daten finden Sie in der Datenschutzerklärung von Vimeo: https://vimeo.com/privacy
Einige unserer Kunden fallen unter die besonderen Datenschutzpflichten nach dem Sozialgesetzbuch (SGB), die eine Datenübermittlung in Drittstaaten nur auf Grundlage einer Einwilligung gestatten. Da Vimeo Daten in den USA verarbeitet, fragen wir Sie vor der Aktivierung des Vimeo-Videoplayers für die Datenübertragung in die USA nach Ihrer Einwilligung nach Artikel 49 DSGVO. Dabei sollten Sie berücksichtigen, dass der Europäische Gerichtshof in dem sogenannten Schrems-II-Urteil festgestellt hat, dass die USA EU-Bürgern kein ausreichendes Datenschutzniveau bieten, da Nicht-US-Bürger ihre Betroffenenrechte gegenüber US-Institutionen wie den Nationalen Sicherheits- und Nachrichtendiensten nicht geltend machen können.
Datenkategorien: IP-Adresse, von der aus der Vimeo-Player aufgerufen wurde; Datum und Uhrzeit des Zugriffs; aufgerufene Filme und Sehdauer; genutzte Teilen-Funktionen zum Weiterempfehlen des Films; Art und Version des Internetbrowsers; Art und Version des Betriebssystem; zu den Details siehe Vimeos Datenschutzinformationen
Datenempfänger (ggf. Drittstaatentransfer): Vimeo.com Inc., 555 West 18th Street, New York, New York 10011, USA. Vimeo verarbeitet die Daten in den USA. Für diesen Drittstaatentransfer sichert Vimeo einen Umgang mit den Daten auf EU-Datenschutzniveau zu durch den Abschluss von EU-Standarddatenschutzklauseln.
Zweck + Rechtsgrundlage: Wir setzen den Vimeo-Player ein, um Ihnen ein leistungsfähiges Videostreaming anbieten zu können. Rechtsgrundlage für die Verarbeitung der Weblog-/ Streamingdaten ist ein berechtigtes Interesse, da Internetdienste wie ein Videostreaming technisch nicht ohne Verarbeitung der Weblog-Daten angeboten werden können. Rechtsgrundlage für das Setzen der Vimeo-Cookies ist Ihre Einwilligung. Sollte Ihnen unser digitales Angebot von einem Leistungsträger nach dem Sozialgesetzbuch zur Verfügung gestellt werden, beruht die Datenübertragung in die USA ebenfalls auf Ihrer Einwilligung.
Speicherdauer: Die Speicherdauer liegt im Verantwortungsbereich von Vimeo. Eine Datenlöschung bei uns ist nicht erforderlich, da wir durch den Einsatz von Vimeo selbst keine personenbezogenen Daten von Ihnen erfassen.
4.5 Kontaktformular
Beschreibung: Unsere digitalen Angebote bieten den angemeldeten Benutzern ein Kontaktformular, über das Sie uns Nachrichten schicken können. Sie müssen dazu keine E-Mail-Adresse oder andere Kontaktdaten angeben, da wir Sie als angemeldeten Benutzer erkennen.
Datenkategorien: Benutzerkennung, Inhalt und Zeitpunkt Ihrer Kontaktaufnahme
Datenempfänger (ggf. Drittstaatentransfer): Keiner
Zweck + Rechtsgrundlage: Bereitstellung eines Kontaktformulars als zusätzliche Möglichkeit zur Kontaktaufnahme mit uns. Die Rechtsgrundlage ist ein berechtigtes Interesse, da Sie den Kontakt mit uns aufnehmen und wir nur reagieren.
Speicherdauer: 6 Jahre in Anlehnung an die Speicherfrist für Geschäftsbriefe im Handelsrecht
Letzte Aktualisierung: August 2022