Datenschutzhinweise

Mit diesen Datenschutzhinweisen erläutert orva (nachfolgend «wir»), wie wir mit deinen Personendaten umgehen. Dies betrifft den Besuch unserer Website, die Nutzung unserer Telemedizin-Plattform, den Bezug unserer Leistungen sowie jegliche Kontaktaufnahme mit uns.

Diese Datenschutzhinweise folgen ausschliesslich den Vorgaben des Schweizer Rechts, insbesondere dem Datenschutzgesetz (DSG).

Sollten wir Daten für Zwecke bearbeiten, die hier nicht beschrieben sind, informieren wir dich gesondert.

Unter personenbezogenen Daten verstehen wir sämtliche Informationen, die einen Bezug zu einer identifizierten oder identifizierbaren Person aufweisen. Das sind Angaben, anhand derer du direkt oder indirekt erkennbar bist.

Sensible Daten geniessen einen erhöhten Schutz. Im Kontext unserer telemedizinischen Dienste zählen hierzu insbesondere gesundheitsbezogene Informationen.

Als Verarbeitung gilt jede Handlung im Zusammenhang mit personenbezogenen Daten. Dazu zählen die Erhebung, Speicherung, Nutzung, Weitergabe, Anonymisierung und Löschung.

Verantwortlich für die nachfolgend beschriebene Datenverarbeitung ist:

Bei Fragen zum Datenschutz oder zur Wahrnehmung deiner Rechte erreichst du uns per E-Mail.

E-Mail: privacy@orva.ch

Für bestimmte Verarbeitungen können auch Dritte verantwortlich sein (siehe Abschnitte 6, 13 und 14). Bei Fragen zu deren Datenverarbeitung wende dich bitte direkt an diese.

Je nach Art deiner Interaktion mit uns verarbeiten wir unterschiedliche Datenkategorien:

Konto- und Registrierungsinformationen

Zur Nutzung unserer Dienste benötigen wir Angaben wie Nutzername, E-Mail-Adresse, ein verschlüsseltes Passwort, deinen Namen und deine Anschrift. Bei Bedarf erheben wir zusätzlich Identifikationsnachweise. Diese Informationen speichern wir üblicherweise fünf Jahre über das Ende der Nutzung hinaus.

Korrespondenz und Kommunikation

Kontaktierst du uns per E-Mail, Formular, Chat oder auf anderem Weg, speichern wir den Inhalt sowie zugehörige Metadaten. Gleiches gilt für den Austausch mit medizinischem Fachpersonal über unsere Plattform. E-Mail-Korrespondenz bewahren wir mindestens zehn Jahre auf.

Grunddaten zur Person

Hierzu zählen Kerninformationen wie Name, Kontaktdaten, Geburtsdatum, Geschlecht und Zahlungsinformationen. Diese erhalten wir von dir direkt oder im zulässigen Rahmen von Dritten. Die Speicherdauer beträgt in der Regel zehn Jahre ab dem letzten Kontakt.

Vertrags- und Transaktionsdaten

Daten, die bei Vertragsabschluss und -abwicklung entstehen, umfassen Bestellungen, Zahlungsvorgänge, Lieferungen, Rechnungen und Angaben aus medizinischen Fragebögen. Bei telemedizinischen Leistungen können auch Gesundheitsdaten wie Verschreibungen dazugehören. Die Aufbewahrungsfrist beträgt mindestens zehn Jahre nach Vertragsende.

Technische Nutzungsdaten

Beim Besuch unserer Website erfassen wir automatisch technische Informationen wie IP-Adresse, Browser- und Gerätetyp, Betriebssystem, Zugriffszeiten, besuchte Seiten und Herkunfts-URLs. Diese Daten dienen der Funktionsfähigkeit und Sicherheit und werden zwölf Monate gespeichert.

Nutzungsverhalten und Interessen

Zur Optimierung unserer Angebote analysieren wir dein Nutzungsverhalten, etwa Klickmuster, Scrollverhalten, Verweildauer und Reaktionen auf Mitteilungen. Diese Erkenntnisse nutzen wir für Personalisierung und Marktanalysen. Die Daten werden anonymisiert oder gelöscht, sobald sie nicht mehr aussagekräftig sind, typischerweise nach 24 Monaten.

Gesundheitsbezogene Angaben

Gesundheitsdaten gelten als besonders schützenswerte Personendaten (Art. 5 lit. c DSG). Im Rahmen unserer telemedizinischen Dienstleistungen bearbeiten wir solche Daten aus Fragebögen, Konsultationen und Verschreibungen. Diese übermitteln wir an die für deine Behandlung notwendigen Stellen wie Ärzt:innen und Apotheken. Für Verwendungen, die über die Behandlung hinausgehen, holen wir deine Einwilligung ein.

Ärztliche Schweigepflicht

Medizinisches Fachpersonal, das über unsere Plattform tätig wird, unterliegt dem Berufsgeheimnis gemäss Art. 321 Ziff. 1 StGB. Mitarbeitende von orva können als Hilfspersonen im erforderlichen Umfang einbezogen werden und sind entsprechend zur Vertraulichkeit verpflichtet. Deine Gesundheitsinformationen werden ausschliesslich im Rahmen der Behandlung und nach den gesetzlichen Vorgaben weitergegeben.

Teilst du uns Daten über Dritte mit (etwa Familienangehörige), setzen wir voraus, dass du dazu berechtigt bist und die Angaben korrekt sind. Bitte informiere diese Personen über unsere Datenschutzpraktiken.

Die Verarbeitung deiner Daten dient folgenden Zwecken:

• Bereitstellung, Administration und Weiterentwicklung unserer Dienste
• Betrieb und technische Optimierung unserer Website und Plattform
• Ermöglichung telemedizinischer Beratungen und Verschreibungen
• Abwicklung von Bestellungen, Zahlungen und Lieferungen
• Kundenkommunikation und Support
• Versand transaktionsbezogener Benachrichtigungen
• Identitätsprüfung gemäss regulatorischer Vorgaben
• Marketingkommunikation (sofern zulässig und kein Widerspruch vorliegt)
• Analyse zur Verbesserung der Nutzererfahrung
• Prävention von Betrug und Gewährleistung der Sicherheit
• Erfüllung gesetzlicher Pflichten
• Durchsetzung oder Abwehr rechtlicher Ansprüche
• Vorbereitung und Durchführung von Unternehmenstransaktionen (z.B. Finanzierungsrunden, Kauf oder Verkauf von Geschäftsbereichen)

Wir stützen unsere Datenbearbeitung auf die jeweils anwendbaren Rechtfertigungsgründe nach dem DSG: Vertragserfüllung, überwiegende private oder öffentliche Interessen, gesetzliche Pflichten oder deine ausdrückliche Einwilligung, soweit eine solche erforderlich ist.

Wir geben Personendaten an Dritte weiter, soweit dies für die Erbringung unserer Dienstleistungen, die Vertragsabwicklung oder aufgrund gesetzlicher Verpflichtungen erforderlich ist. In anderen Fällen holen wir deine Einwilligung ein. Empfänger handeln je nach Konstellation als Auftragsbearbeiter, separat Verantwortliche oder gemeinsam Verantwortliche.

Empfängerkategorien

• Medizinisches Fachpersonal: Ärzt:innen sowie Apotheken für telemedizinische Leistungen
• Technische Dienstleister: Hosting, Datenbanken, E-Mail-Versand, Webanalyse
• Zahlungsabwickler: Verarbeitung von Zahlungen und Abonnements
• Identitätsprüfer: Verifizierungsdienste
• Analyse-Partner: Webanalyse-Dienste
• Behörden: Soweit gesetzlich vorgeschrieben

Unsere Technologie- und Servicepartner

Mit Auftragsbearbeitern bestehen Verträge zur Auftragsbearbeitung oder gleichwertige Datenschutzvereinbarungen. Auftragsbearbeiter können ihrerseits Sub-Auftragsbearbeiter einsetzen, die vertraglich auf gleichwertige Datenschutz- und Sicherheitspflichten verpflichtet sind. Bei gemeinsam Verantwortlichen oder separat Verantwortlichen gelten zusätzlich deren eigene Datenschutzhinweise.

Obwohl wir bei Diensten wie Supabase und Vercel bevorzugt Schweizer oder Frankfurter Rechenzentren nutzen, lässt sich bei international tätigen Anbietern ein behördlicher Datenzugriff im Ausland nicht vollständig ausschliessen.

Personendaten können in Staaten übermittelt werden, deren Datenschutzniveau aus Schweizer Sicht nicht als angemessen gilt, insbesondere in die USA.

Bei solchen Übermittlungen stellen wir durch vertragliche Vereinbarungen, Standarddatenschutzklauseln (SCC) der Europäischen Kommission mit Schweiz-Anhang oder vergleichbare Garantien sicher, dass ein angemessener Schutz gewährleistet ist, soweit keine gesetzliche Ausnahme greift.

Trotz dieser Vorkehrungen lassen sich nicht alle Risiken eliminieren, insbesondere das Risiko behördlicher Zugriffe im Ausland.

In bestimmten Fällen werten wir Daten automatisiert aus, um Nutzungsmuster zu erkennen, Sicherheit zu gewährleisten, Missbrauch zu verhindern oder unsere Plattform technisch zu verbessern.

Solche Auswertungen dienen nicht der medizinischen Diagnose, Therapieempfehlung oder automatisierten Behandlungsauswahl. Medizinische Entscheidungen werden ausschliesslich durch ärztliche Fachpersonen getroffen.

Sollten automatisierte Einzelentscheidungen mit rechtlicher Wirkung oder erheblicher Beeinträchtigung zum Einsatz kommen, informieren wir dich separat und ermöglichen die gesetzlich vorgesehene Überprüfung.

Wir bewahren deine Daten so lange auf, wie es für die jeweiligen Bearbeitungszwecke, gesetzliche Aufbewahrungsfristen, die Dauer möglicher Verjährungsfristen für Ansprüche gegen orva oder berechtigte Dokumentationsinteressen erforderlich ist.

Nach Fristablauf werden Daten gelöscht oder anonymisiert, sofern keine rechtlichen, vertraglichen oder beweisrechtlichen Gründe dagegen sprechen.

Wir setzen technische und organisatorische Schutzmassnahmen ein, um deine Daten vor Verlust, unbefugtem Zugriff und Missbrauch zu bewahren.

Unsere Sicherheitsvorkehrungen umfassen:

• Durchgängige Verschlüsselung bei Übertragung (TLS) und Speicherung
• Rollenbasierte Zugriffskontrollen
• Protokollierung von Zugriffen auf sensible Daten
• Mehrstufige Authentifizierung für kritische Systeme
• Regelmässige Sicherheitsaudits
• Vertraulichkeitsvereinbarungen mit Mitarbeitenden und Dienstleistern

Trotz aller Massnahmen lässt sich absolute Sicherheit nicht garantieren. Bitte schütze auch deine Zugangsdaten sorgfältig und informiere uns bei verdächtigen Aktivitäten.

Damit wir dir den Zugang zur Plattform und unsere Leistungen anbieten können, musst du die für die Aufnahme und Durchführung der Plattform-Nutzung sowie die Erfüllung der damit verbundenen vertraglichen Pflichten erforderlichen Personendaten bereitstellen. Eine gesetzliche Pflicht zur Bereitstellung dieser Daten besteht in der Regel nicht.

Ohne diese Daten können wir den Vertrag mit dir nicht abschliessen, die telemedizinische Vermittlung nicht durchführen und die Plattform-Dienste nicht erbringen. Auch die Website kann nicht vollumfänglich genutzt werden, wenn gewisse technische Angaben (z.B. IP-Adresse) nicht offengelegt werden.

Nach dem Schweizer Datenschutzgesetz (DSG) stehen dir insbesondere folgende Rechte zu:

• Auskunft (Art. 25 DSG): Du kannst erfahren, welche Daten wir über dich gespeichert haben.
• Berichtigung (Art. 32 DSG): Du kannst die Korrektur fehlerhafter oder unvollständiger Daten verlangen.
• Löschung: Du kannst die Entfernung deiner Daten fordern, sofern keine Aufbewahrungspflichten bestehen.
• Einschränkung: Du kannst die Bearbeitung deiner Daten begrenzen lassen.
• Datenherausgabe (Art. 28 DSG): Du kannst deine Daten in einem gängigen Format erhalten.
• Widerspruch: Du kannst der Nutzung deiner Daten für Direktwerbung widersprechen.
• Widerruf: Eine erteilte Einwilligung kannst du jederzeit für die Zukunft zurücknehmen.

Zur Ausübung deiner Rechte kontaktiere uns bitte per E-Mail unter privacy@orva.ch. Wir werden deine Identität prüfen und dein Anliegen zeitnah bearbeiten.

Beschwerdemöglichkeit: Bist du mit unserer Datenverarbeitung nicht einverstanden, kannst du dich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden: www.edoeb.admin.ch

Unsere Website nutzt Cookies und vergleichbare Technologien, um dich bei der Nutzung wiederzuerkennen, Funktionen bereitzustellen und Analysen durchzuführen.

Cookies sind kleine Textdateien, die dein Browser speichert. Daneben können weitere Verfahren zum Einsatz kommen, etwa Browser-Fingerprinting (Kombination technischer Merkmale zu einem Erkennungsmerkmal) oder Tracking-Pixel.

Cookie-Kategorien

Wir unterscheiden:

• Technisch notwendige Cookies: Erforderlich für den Grundbetrieb (z.B. Login-Status, Spracheinstellung). Diese setzen wir ohne Einwilligung. Gültigkeit: maximal 30 Tage.
• Analyse-Cookies: Ermöglichen Auswertungen zur Angebotsoptimierung. Nur mit deiner Zustimmung aktiv. Gültigkeit: bis zu 12 Monate.
• Marketing-Mess-Cookies: Ermöglichen Google Ads Conversion-Messung auf öffentlichen Marketing-Seiten. Nur mit Zustimmung. Kein Remarketing, keine Anzeigenpersonalisierung und keine Cross-Device-Werbung.
• Präferenz-Cookies: Speichern deine Einstellungen für eine personalisierte Nutzung. Nur mit Zustimmung.

Einstellungen verwalten: Über den Link «Cookie-Einstellungen» im Footer kannst du deine Präferenzen jederzeit anpassen oder widerrufen. Alternativ lassen sich Cookies auch über die Browser-Einstellungen steuern.

Zur Analyse der Website-Nutzung, zur Verbesserung des Onboarding-Funnels und zur Messung von Conversions auf öffentlichen Marketing-Seiten setzen wir Dienste von Drittanbietern ein. Mit Ausnahme technisch notwendiger Funktionen werden diese nur mit deiner Einwilligung aktiviert.

Google Analytics

Wir nutzen Google Analytics 4 der Google Ireland Limited (Dublin, Irland) zur Webanalyse. Der Dienst setzt Cookies und anonymisiert IP-Adressen. Google-Signale, Remarketing, Anzeigenpersonalisierung und Enhanced Conversions sind deaktiviert. Medizinische Antworten werden nicht an Google Analytics gesendet. Daten werden nach zwei Monaten automatisch gelöscht. Google kann Daten in die USA übertragen (Grundlage: Standardvertragsklauseln). Details: Google Datenschutz

Google Ads Conversion-Messung

Wir nutzen Google Ads Conversion-Messung der Google Ireland Limited (Dublin, Irland), um nachzuvollziehen, ob Kampagnen Besuche und Interaktionen auf öffentlichen Marketing-Seiten auslösen. Die Messung wird nur auf öffentlichen Marketing-Seiten und nur mit deiner Einwilligung in Marketing-Messung aktiviert. Google-Signale, Remarketing, Anzeigenpersonalisierung und Enhanced Conversions sind deaktiviert. Medizinische Antworten werden nicht an Google Ads gesendet. Google kann Daten in die USA übertragen (Grundlage: Standardvertragsklauseln). Details: Google Datenschutz

Vercel Analytics

Vercel Analytics erhebt anonymisierte Nutzungsstatistiken (Seitenaufrufe, Ladezeiten, Gerätetypen) ohne Personenbezug. Die Verarbeitung erfolgt in Frankfurt. Details: Vercel Datenschutz

Wir sind auf sozialen Netzwerken präsent, um mit dir zu kommunizieren und über unsere Angebote zu informieren. Bei Interaktionen auf diesen Plattformen erheben sowohl wir als auch die Betreiber Daten über dich.

Die Plattformbetreiber erfassen insbesondere technische Informationen, Registrierungsdaten, Kommunikationsinhalte und Nutzungsverhalten. Diese Daten nutzen sie auch für eigene Zwecke wie Marketing und Marktforschung.

Für bestimmte Auswertungsfunktionen (etwa Seitenstatistiken) besteht eine gemeinsame Verantwortlichkeit mit den Plattformbetreibern.

Instagram

Wir betreiben ein Instagram-Profil. Plattformbetreiber ist Meta Platforms Ireland Limited (Dublin). Für Seitenstatistiken sind wir gemeinsam mit Meta verantwortlich. Daten können in die USA übertragen werden. Details: Instagram Datenschutz

LinkedIn

Wir betreiben eine LinkedIn-Unternehmensseite. Plattformbetreiber ist LinkedIn Ireland Unlimited Company (Dublin). Für Seitenstatistiken besteht eine gemeinsame Verantwortlichkeit gemäss dem Joint Controller Addendum. Daten können in die USA übertragen werden. Details: LinkedIn Datenschutz

Diese Datenschutzhinweise gelten unabhängig von vertraglichen Vereinbarungen. Wir können sie anpassen, wenn sich unsere Datenbearbeitung, eingesetzte Anbieter oder rechtliche Vorgaben ändern. Die aktuelle Fassung ist jederzeit auf unserer Website abrufbar.

Bei wesentlichen Änderungen informieren wir registrierte Nutzer:innen in geeigneter Form, in der Regel mindestens 60 Tage vor Inkrafttreten, per E-Mail oder In-Plattform-Hinweis. Diese Information ist keine Zustimmungserklärung; für Datenschutzhinweise wird kein Akzept eingeholt.

Falls eine Änderung ein akzeptiertes Dokument wie die Nutzungsbedingungen oder die Patientenaufklärung betrifft, kann separat eine erneute Bestätigung erforderlich sein.