Datenschutzerklärung

"anonymer" Besuch bei Workahealthic

Sie rufen www.workahealthic.de auf und schon sind Sie auf unserer Seite. Wirklich? Nein, unsere Seite ist bei Ihnen: Ihr PC “klopft” bei unserem Server an und der liefert auf digitalem Weg Text, Grafik, Scripte. Eben alles, was eine moderne Seite so ansprechend aussehen lässt. Dazu muß unser Server wissen, wohin geliefert werden soll, vulgo: er braucht eine Adresse. Eine sog. IP-Adresse. Ihre IP-Adresse. Nun gelangen die meisten Endverbraucher über einen Service-Provider (ISP) ins Internet, so daß die IP sich mit jeder Verbindung ändert. Die Anbieter müssen aber Ihr Login für begrenzte Zeit aufzeichnen. Über die Kette IP -> ISP-Kundenidentifikation in der Log-Datei -> Internetnutzer (= Sie) kann die IP Ihrer Person sogar dann zugeordnet werden, wenn Sie vermeintlich “anonym” auf unsere Seite gelangen. Wie gut, daß ein seriöser ISP solche Log-Daten nicht einfach so und schon gar nicht jedem herausgibt. Noch besser, daß Workahealthic die IP-Adressen der Besucher nicht über längere Zeit aufzeichnet, sondern nur für die Dauer des Besuchs, die sog. “Session” verwendet. Dies ist für den technischen Betrieb der Seite erforderlich und geschieht daher, ohne vorher Ihr Einverständnis einzuholen.
 
Die Rechtsgrundlage dafür ist DSGVO Art. 6 (1) lit. f, da der ordnungsgemäße Betrieb unserer Website zu unseren berechtigten Interessen gehört und die Nutzung der IP, die nur mittelbar auf Ihre Identität schließen lässt,  Ihre Grundfreiheiten nicht einschränkt. Über die Verwendung solcher “Cookies”, in denen die Speicherung erfolgt, werden Sie beim Aufruf der ersten Seite unseres Internetauftritts mit einem Drop-In Fenster aufgeklärt. Diese können Sie nebenstehend erneut einsehen und für andere Arten von Cookies ändern:
[borlabs_cookie]

Registrierung bei Workahealthic

Workahealthic bietet medizinische Dienste an und ermöglicht deren Bezahlung online. Für Nachweise gegenüber Behörden hat Workahealthic außerdem eine Identitätsprüfung durchzuführen. Wenn Sie sich bei Workahealthic registrieren, werden daher in entsprechendem Umfang Daten erhoben und gespeichert, die eine eindeutige Identifikation Ihrer Person ermöglichen sowie eine sichere Zuordnung von Bankkonten, medizinischen Befunden, etc. erlauben.
 
Wichtig für Sie: Diese Daten werden auf unserem Server gespeichert, mit dessen Betreiber wir einen Vertrag über die Auftragsdatenverarbeitung geschlossen haben. Im engeren Sinne verarbeitet er die Daten zwar nicht, sondern seine bereitgestellten Server. Jedoch haben die Mitarbeiter im Servicefall freilich Zugriff auf das Datenmaterial und sind angehalten, entsprechend sorgsam mit dem Material umzugehen und ihrerseits beauftragte Dritte einschlägig zu verpflichten, etwa beim sicheren Betrieb großer Rechenzentren in Sachen Zutrittsberechtigungen, etc.
Wir binden mit einem Teil dieser Daten einen Cloudservice namens ‘miniOrange’ ein, der uns bei der zusätzlichen Absicherung Ihres Nutzerkontos entsprechende Dienste leistet. Dazu gehört eine robuste Zweifaktorauthentifizierung, durch die einem Hacker der Zugang zu Ihrem Nutzerkonto selbst nach einem erfolgreichen Erlangen von Nutzernamen und Passwort verwehrt bleibt. Wir stellen dazu mehrere Verfahren bereit, unter denen Sie im Zuge Ihres ersten Logins nach der Registrierung auswählen können. Die Speicherung und weitere Nutzung Ihrer Daten erfolgt demgegenüber ohne Cloudservices. Zwar setzen wir zur Beschleunigung der Ladezeiten Cloudflare ein, aber dort werden keine personenbezogenen Daten unserer Kunden gespeichert.
 
Die Rechtsgrundlage dafür ist Art. 6 (1) lit. b i. S. v. “vorvertraglichen Maßnahmen”, da wir für den erwarteten Vertragsschluß über Einzelleistungen oder langfristge Betreuungsverträge eine gesicherte Identität benötigen, insbesondere damit sich keine vorgetäuschten Identitäten irgendwelche Tauglichkeitsbescheinigungen aneignen können, mit denen wir regelmäßig v. a. verkehrsmedizinisch beauftragt werden.

Beauftragung von Workahealthic

Workahealthic bietet medizinische Dienste an und unterliegt daher strengen Pflichten hinsichtlich Dokumentation und Speicherung, die sich aus der Berufsordnung für Ärzte und dem Vertragverhältnis gem § 630a BGB ergeben. Fachspezifisch treten in der Arbeitsmedizin noch weitere Pflichten hinzu, da diese Unterlagen von Trägern der Gesetzlichen Unfallversicherung als autonomen Legislativorganen zur Ermittlung in Berufskrankheitenfällen herangezogen und daher mit langen Aufbewahrungsfristen versehen werden. Für Nachweise gegenüber Behörden hat Workahealthic außerdem eine Identitätsprüfung durchzuführen.
Wenn Sie Workahealthic einschlägige Aufträge erteilen, werden daher in entsprechendem Umfang Daten erhoben und gespeichert, die wir für unsere ärztliche Auswertung und für eine sichere Zuordnung von Befunden benötigen.
 
Wichtig für Sie: Auch diese Daten werden auf unserem Server gespeichert. Bezüglich medizinischer Daten ist kein Cloudservice eingebunden..
 
Die Rechtsgrundlage dafür ist Art. 6 (1) litt. c & e, da wir bei der Aufbewahrung bestimmter Daten über einen vorgeschriebenen Zeitraum Rechtspflichten erfüllen und das öffentliche Interesse an der Erkennung von Berufskrankheiten als Voraussetzung für Maßnahmen zur Reduzierung des Auftretens derselben wahren helfen.

Bezahlung von Workahealthic

Workahealthic bietet mehrere Möglichkeiten an, die angebotenen Leistungen online vergüten zu lassen. Als Anbieter setzen wir dabei auf PayPal und STRIPE (Kreditkarten, SEPA, giropay, SOFORT). Die übertragenen Daten an diese Anbieter hängen von der Wahl des Anbieters und dann von der Wahl des Bezahlverfahrens ab. Über die Bezahlverfahren informieren wir auf einer separaten Seite, die Sie sich gerne zu Gemüte führen möchten, bevor Sie sich für ein Verfahren entscheiden.
 
Wichtig für Sie: Wir halten Ihre Rechnungen auch nach abgeschlossenem Vorgang in einem nur für Sie zugänglichen Bereich Ihres Nutzerkontos vor, damit Sie sich das Dokument im Verlustfall jederzeit wiederbeschaffen können. Diesem Service können Sie jederzeit widersprechen.
Bezüglich Ihrer Rechnung kommt nochmals ein Cloudservice ins Spiel, mit dem wir erneut einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen haben: Lexoffice. Dieser Dienstleister stellt unsere Buchhaltungsplattform, auf die im Prozessverlauf unser Steuerberater zugreift, der seinerseits einschlägigen Verschwiegenheitspflichten unterliegt. WICHTIG: Hier fließen keine medizinischen Daten, lediglich Rechnungspositionen.
 
Die Rechtsgrundlage dafür ist Art. 6 (1) lit. a, da wir diesen Service nur mit Ihrer Einwilligung erfüllen dürfen.

Was macht Workahealthic nicht?

Workahealthic hat keine Tracking-Leistungen und keine personenbezogene Daten nutzende Marketingdienstleister beauftragt, d. h. es gibt kein Google AdSense, kein Google Analytics, kein Facebook Pixel, o. ä. auf unserer Website. Wir schalten auch keine Werbeanzeigen, die etwaige Marketing- oder Tracking-Cookies auf Ihrem PC plazieren.
 
Workahealthic verschickt keine nervigen Newsletter. Dementsprechend landet Ihre Mailadresse auch nicht bei einem Massenversender.
 
Wir haben Social Media Buttons. ABER: Wir nutzen das ‘Shariff’-Prinzip, d. h. Daten werden erst durch Ihren Klick übergeben, nicht bereits beim Aufruf der Website.
 
 

Wie kümmert sich Workahealthic um Datenschutz und Datensicherheit?

Was unterscheidet zunächst diese beiden Begriffe? Datenschutz zielt darauf ab, Unbefugte vor Zugriff abzuwehren und versehentliche Preisgaben durch uns selbst zu verhindern. Datensicherheit bedeutet die Unverfälschtheit Ihrer Daten zu bewahren (korrekte Zuordnung zu Ihrer Person, korrekter Inhalt, korrekte Zuordnung zur Abrechnung, etc.).
 
Workahealthic arbeitet rechtskonform ausschließlich mit TLS-Verschlüsselung und überträgt folglich nur per HTTPS, nicht per HTTP. Workahealthic  geht dabei über die Anforderungen hinaus, denn unsere Seite akzeptiert nur TLS 1.2 oder höher. Unsere Ciphers sind mehr auf Sicherheit, weniger auf Kompatibilität getrimmt, so daß einige insbesondere ältere Webbrowser auf unserer Website Probleme haben können. Schon im eigenen Interesse sollten Sie dann auf einen modernen Browser in aktueller Version umsteigen. HTTPS wird auf unserer Site per redirect erzwungen, wir vermeiden sog. ‘mixed content’ konsequent. Es kommen nur sog. ‘dedicated certificates‘ zum Einsatz; Universal SSL gibt es bei Workahealthic nicht:
HTTPS
 
 
Vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke oder vor Session Hijacking schützen wir Sie durch Verwendung von HTTP Strict Transport Security (HSTS) in Verbindung mit HTTPS.
Workahealthic setzt Domain Name System Security Extensions (DNSSEC) ein, um Authentizität unserer Domain sicherzustellen und die Datenintegrität zu verbessern. Onion-Routing über das Tor-Netzwerk verbessert dabei den Schutz Ihrer Daten:
Datenschutzerklärung 1
 
 
Unserer Website ist der CDN-Service Cloudflare vorgeschaltet. Neben Caching-Mechanismen, die einen rascheren Aufbau unserer Seiten auf Ihrem Rechner ermöglichen und ebenfalls auf HTTPS-Basis mit HSTS arbeiten, schützt Cloudflare unsere Seite vor DDoS-Attacken und schirmt uns mit einer Firewall wirksam ab. Authenticated Origin Pulls verhindern dabei den direkten Zugriff von Clients auf unsere Server.
Cloudflare wertet außerdem riskantes Verhalten, z. B. häufige Login-Fehlversuche, Herkunft der Anfragen aus unsicheren Ländern per Geo-IP-Auswertung, etc., aus und bremst solche Nutzer ggf. mittels Captchas aus oder sperrt sie ganz. Dieser Prozess wir auf unserem Server durch miniOrange noch ergänzt, da unser Angebot ohnehin nur für Deutschland interessant ist, d. h. wir sperren andere Länder. Ebenso prüft miniOrange bei Registrierungen auf unserer Seite auf Fake-Emails. Die Zweifaktorauthentifizierung von miniOrange schützt Sie vor man-in-the-middle-Attacken und anderen Versuchen, Ihre Nutzerzugänge zu knacken.
 
Datenschutzerklärung 2
So schön Caching für schnelles Surfen auch ist: Gecachte Seiten können nach Abmelden eines Nutzers auch Unbefugten bei Seitenaufruf – ungewollt – zufliegen. Daher verwenden wir Cloudflare Page Rules, um bestimmte Bereiche unserer Website von Caching auszuschließen.
 
Datenverlust ist ein weiteres Risiko gerade im Hinblick auf Aufbewahrungspflichten, aber auch für die Funktionsfähigkeit unserer Website. Daher richten wir automatisiert Backups ein, die aber wiederum Ihre schützenswerten Daten beinhalten. Aus diesem Grund werden unsere Backups wirksam mit Passwort verschlüsselt und nur per SFTP übertragen.
 
Aus informativen Gründen, etwa Überarbeitung unserer Website, verschicken wir selten einmal eine Sammelmail an unsere registrierten Benutzer. Workahealthic verwendet kein PHP-Mail aufgrund einschlägiger Risiken, sondern verschickt Mails per SMTP-Server als DomainKeys Identified Mail (DKIM).