Datenschutzerklärung für CURIA App

Verwendung unserer mobilen App

I. Information über die Erhebung personenbezogener Daten

(1) Wir stellen Ihnen eine mobile App zur Verfügung („CURIA“), die Sie auf Ihr mobiles Endgerät herunterladen können. Im Folgenden informieren wir über die Erhebung personenbezogener Daten bei der Nutzung von CURIA. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten.

(2) The person responsible as controller in accordance with the Art. 1 of law No. 30 of 2018 on Personal Data Protection in the Kingdom of Bahrain (Bahrain Data Protection Law) and Art. 4 para. 7 of the EU General Data Protection Regulation (GDPR) is (“Innoplexus“).

Innoplexus AG,
Frankfurter Str. 27, 65760 Eschborn, Germany
info@curia.app (siehe unser Impressum: www.curia.app/impressum)

The company data protection officer of Innoplexus can be contacted at the above address, at Datenschutzabteilung, or at compliance@innoplexus.com.

(3) Bei Ihrer Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular wird Ihre E-Mail-Adresse und, falls Sie von Ihnen angegeben werden, Ihr Name und Ihre Telefonnummer von uns gespeichert, um Ihre Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder – im Falle von gesetzlichen Aufbewahrungspflichten – schränken die Verarbeitung ein.

(4) Falls wir für einzelne Funktionen unseres Angebots auf beauftragte Dienstleister zurückgreifen oder Ihre Daten für werbliche Zwecke nutzen möchten, werden wir Sie untenstehend im Detail über die jeweiligen Vorgänge informieren. Dabei nennen wir auch die festgelegten Kriterien der Speicherdauer.

II. Verarbeitung personenbezogener Daten bei Nutzung von CURIA

When downloading CURIA, the required information is transferred and transmitted to the App Store or Google Play store, in particular user name, email address, time of download and the individual device ID number and is processed pursuant to Apple’s privacy policy or Play store privacy policy, linked here: https://www.apple.com/legal/privacy/en-ww/ and https://policies.google.com/privacy?hl=en-US. We have no influence on this data collection and are not responsible for it. We process the data only to the extent necessary for downloading CURIA to your mobile device. This processing takes place on the basis of your consent according to Art. 24 para. 1 and para.2 of Bahrain Data Protection Law / Art. 6 para. 1 lit. a GDPR.

When using CURIA, your personal data will be transmitted and processed outside your country or the country of your habitual residence, and you expressly declare your acceptance to such cross-border transmission and processing of your personal data every time you use CURIA or provide us with any of your personal data for processing.

By uninstalling, the active processing of your personal data is stopped. 30 months from the date of uninstalling, the data will be deleted due to the discontinuation of purpose, unless we are subject to any statutory retention obligations. We accept the loss of purpose after this period because we assume that it is no longer likely that you will use our services again after this period. However, in order to give you the opportunity to restore your profile after a shorter period of time, e.g. because you deleted the app earlier for lack of necessity, we temporarily store the data for you.

Sofern Sie jedoch Ihre Einwilligung widerrufen möchten und nicht nur eine vorübergehende Einstellung der Nutzung wünschen, können Sie dem durch das Betätigen der Schaltfläche „Meine personenbezogenen Daten löschen“ nachkommen.

§1 Bei Nutzung von CURIA erheben wir die nachfolgenden Logfile-Daten:

– IP address, also in the API logs
– Date and time of the request
– Content of the request (concrete page, concrete API endpoint)
– Access Status/HTTP Status Code
– Amount of data transferred in each case
– End device from which the request comes
– User Agent
– Operating system and its interface
– Language and version of the User Agent.

On the one hand, this data is mandatory for us from a technical point of view in order to offer the various functions of CURIA as well as to ensure the stability and security of CURIA and, on the other hand, to enable a comfortable use of the functions. This processing purpose also represents the legitimate interest and/or is necessary for the performance of this contract which, according to Art. 4 para. 1 and para. 5 of Bahrain Data Protection Law / Art. 6 para. 1 lit. b and f GDPR, is the legal basis for data processing.

Die Löschung von IP-Adressen in Logfiles erfolgt nach 14 Tagen.

§2 Des Weiteren vergeben wir beim ersten Start von CURIA für jede Installation eine einmalige Installations-ID, welche auf einem Server von Innoplexus gespeichert wird. Sie enthält keine personenbezogenen Daten. Wenn Sie CURIA löschen und anschließend erneut installieren, wird eine neue Installations-ID generiert. Diese wird vergeben, damit beim Start von CURIA auf dem mobilen Endgerät eine Verbindung zum Innoplexus-Server aufgebaut werden kann, um zu überprüfen, ob die von Ihnen verwendete Version von CURIA noch auf dem aktuellen Stand ist. Eine Aktualisierung von CURIA kann unter anderem zur Implementierung von neuen Features oder zur Gewährleistung der Datensicherheit erfolgen.

§3 You must register with your first and last name, e-mail address, telephone number in order to take advantage of CURIA’s free services. This creates a contract of use between Innoplexus and you and you will receive your own user account. The legal basis for this is Art. 4 para. 1 and para.5 of Bahrain Data Protection Law / Art. 6 para. 1 p. 1 lit. b GDPR, because we use this personal data for the execution of this contract. The data you provide will be transferred to the Google Cloud and stored on a server in Germany. The Google Cloud is operated by Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA. We have concluded so-called standard contractual clauses with Google, which guarantee an appropriate level of data protection.

In welchem Umfang die von Ihnen durch die darauffolgende Nutzung von CURIA preisgegebenen personenbezogenen Daten durch Google verarbeitet werden, entnehmen Sie bitte der Datenschutzerklärung von Google.

You can delete your account at any time by clicking the “Delete my personal data” button within CURIA. The personal data processed by us will be deleted in accordance with Art. 23 of Bahrain Data Protection Law / Art. 17 GDPR or blocked or restricted in their processing in accordance with Art. 23 of Bahrain Data Protection Law / Art. 18 GDPR. The data stored by us will be deleted as soon as the purpose of storage no longer applies and the deletion is not contradicted by any legal storage obligations.

§ 4 Falls Sie Informationen zu möglichen Therapieoptionen, Ärzten und Klinischen Studien erhalten möchten, können Sie den von uns zur Verfügung gestellten Fragebogen mit Fragen zu Ihrem Krankheitsbild ausfüllen. Abgefragt werden dabei krebsspezifische Parameter, wie z.B. Angaben zu genetischen Mutationen, dem Status der jeweiligen Krebserkrankung, etc. Ihre Angaben sind freiwillig und dienen ausschließlich dem Zweck, dass wir durch sie in die Lage versetzt werden, Ihnen Informationen bereitzustellen. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Es steht Ihnen jederzeit frei, Ihre Einwilligung ohne Angabe von Gründen mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung wird dadurch nicht berührt.

The processing is based on your consent (Art. 24 para. 1 and para.2 of Bahrain Data Protection Law / Art. 6 para. 1 lit. a GDPR). You are free to revoke your consent at any time with effect for the future without giving reasons. This does not affect the legality of the processing carried out up to that point.

You also have the option of registering for participation in clinical studies. To do so, you must provide the following information: Information about the study you wish to register for, your location, contact information (telephone number or e-mail address), information about your medical inclusion and exclusion criteria. The provision of this personal data is voluntary and is based on your consent (Art. 24 para. 1 and para.2 of Bahrain Data Protection Law / Art. 6 para. 1 lit. a GDPR). The purpose of the processing is to carry out the selection procedure. You are free at any time to revoke your consent with effect for the future without giving reasons by selecting the option “Delete all my personal data” in the app.

This gives you the option to delete all personal data. After clicking on the “Delete all my personal data” option, you will receive an automated email confirming the deletion of your data. This does not affect the lawfulness of the processing that took place until the revocation.

The completed questionnaires and applications for participation in clinical trials are transferred to the Google Cloud and stored on a server in Germany. The Google Cloud is operated by Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA. We have concluded so-called standard contractual clauses with Google, which guarantee an appropriate level of data protection. If you have met all eligibility criteria for the clinical trial request, the personal data you have provided will be transferred to the internal Innoplexus clinical trial dashboard.
This data can be accessed by the CURIA team, which is partly based in India and is part of Innoplexus Pune. Here, an appropriate level of data protection is ensured through the conclusion of standard contractual clauses.

§5 Wir verwenden Google Analytics und Google Firebase, beides Dienste der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA, zur

1. Analyse der allgemeinen Nutzung von CURIA, insbesondere App-Installationen/Deinstallationen, Fragebögen zur Erkrankung, Aktivitäten bei der Suche nach Behandlungsmöglichkeit und Einschreibungen zu klinischen Studien, Beginn einer Sitzung sowie beim Vergessen eines Passworts (Google Analytics).
2. Zur Erhebung von Diagnosedaten für die Gewährleistung technischer Stabilität der App (Google Firebase).

Your IP address will be processed. We use the anonymization function of Google, whereby the IP address is shortened in the EU/EEA for anonymization purposes and is transmitted in shortened form to Google servers in the USA. We use the anonymized reports on the general use of CURIA created by Google and transmitted to us in order to continuously improve our service and increase the user-friendliness of CURIA. The reports we receive contain no personal data. We process the information for the aforementioned purposes on the basis of your previously granted consent in accordance with Art. 24 para. 1 and para.2 of Bahrain Data Protection Law / Art. 6 para. 1 lit. a GDPR.

Die Daten werden in den USA verarbeitet, wobei wir mit Google sog. Standardvertragsklauseln abgeschlossen haben, die ein angemessenes Datenschutzniveau gewährleisten.

Die Daten werden gelöscht, wenn sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind, weil die Option zur Erhebung und Weiterverarbeitung von Informationen zur Diagnose und Nutzungsverhalten in der CURIA App deaktiviert haben.

Es steht Ihnen jederzeit frei, Ihre Einwilligung ohne Angabe von Gründen mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung wird dadurch nicht berührt.

III. Verarbeitung personenbezogener Daten bei Nutzung des Features Curia Zwilling (engl. Cancer Twin)

Ein Curia Zwilling ist ein Patient in der Curia-Community, dessen Krebsdiagnose Ihrer ähnelt. Curia Zwillinge können einen privaten Chat nutzen, um Erfahrungen auszutauschen. Der Chat basiert auf der Ethereum-Blockchain-Technologie. Das Ziel der neuen Funktionalität ist es, Krebspatienten zusammenzubringen.

§ 1 Im Rahmen eines Matching-Prozesses werden Sie als Nutzer mit bis zu 3 anderen Krebspatienten, den Curia Zwillingen (Cancer-Twins), zusammengebracht, die diese Funktion aktiviert haben und ein ähnliches Profil aufweisen. Um einen passenden Curia Zwilling zu finden, werden folgende Parameter abgeglichen, welche wir von Ihnen zur Durchführung des Matching-Prozesses erheben:

- Krebsindikation
- Stadium
- Hormonrezeptoren
- Genetische Marker
- Geschlecht
- Alter
- Sonstige Gesundheitsdaten, je nach Krebsform
- Entfernung

The purpose of this feature is to bring together cancer patients and promote the exchange of experiences and information between patients who have a similar cancer diagnosis. The processing is based on your explicit consent (Art. 24 para. 1 and para.2 of Bahrain Data Protection Law / Art. 6 para. 1 lit. a GDPR). You are free to revoke your consent at any time without giving reasons with effect for the future. This does not affect the legality of the processing carried out up to that point.

Wenn das letzte Anmeldedatum mehr als 6 Monate zurückliegt, wird das entsprechende Profil automatisch aus der Datenbank entfernt und kann nicht mehr mit neuen Cancer-Twins abgeglichen werden.

Curia Zwillinge können sich in einem in die CURIA-App integrierten Chat austauschen. Patienten müssen sich für die Funktion anmelden und einen Spitznamenwählen, bevor sie mit ihrem/ihren Curia Zwilling(en) gematcht werden. Dieser Spitzname kann in den Einstellungen bearbeitet werden. Wenn Benutzer über den integrierten Chat-Nachrichten austauschen, werden die Nachrichten Ende-zu-Ende-verschlüsselt auf einer öffentlichen Ethereum-Blockchain gespeichert.

Hierzu hat Innoplexus einen Knoten bereitgestellt, welcher die Funktion eines Vermittlers übernimmt, um die Chat-Nachricht auf die Ethereum-Blockchain weiterzuleiten. Bevor eine Nachricht übertragen und auf der Blockchain gespeichert wird, wird sie mittels Ende-zu-Ende- Verschlüsselung lokal auf dem mobilen Gerät des Patienten vollständig verschlüsselt. Der private Schlüssel, der für die Verschlüsselung der Nachricht notwendig ist, ist die ganze Zeit auf Ihrem physischen Gerät gespeichert und wird nicht mit Innoplexus oder anderen Nutzern geteilt. Erst wenn die verschlüsselte Nachricht vom Curia Zwilling empfangen wird, wird diese Nachricht mit einem entsprechenden Schlüssel auf dem mobilen Gerät des Curia Zwillings, welcher die Nachricht empfangen soll, entschlüsselt.

The purpose of this chat function is to enable the exchange of information and experiences in a simple way and without big hurdles, offering at the same time a high level of security. The processing is based on your consent (Art. 24 para. 1 and para.2 of Bahrain Data Protection Law / Art. 6 para. 1 lit. a GDPR). You are free to revoke your consent at any time without giving reasons with effect for the future. This does not affect the legality of the processing carried out up to that point.

In diesem Fall wird der mit Ihrem Profil verbundene Chat von Ihrem Gerät gelöscht. In diesem Fall geht der private Schlüssel verloren und niemand kann die Daten entschlüsseln, auch nicht Curia / Innoplexus. Der Spitzname und der Chat-Inhalt auf dem Gerät des Curia Zwillings, mit dem Nachrichten ausgetauscht wurden, verschwinden ebenfalls. Daneben wird Ihr Profil automatisch aus der Datenbank der Curia Zwillinge entfernt, wenn das letzte Anmeldedatum mehr als 6 Monate zurückliegt.

Der Serverstandort kann aufgrund der Blockchain-Infrastruktur (Public Ethereum-Blockchain) im Allgemeinen nicht einem bestimmten Land zugeordnet werden, aber durch die Verschlüsselung des Chat-Inhalts unter Anwendung eines Public-Key-Verschlüsselungsverfahrens werden die Daten für alle anderen hochgradig pseudonymisiert, sodass ein Datentransfer in ein Drittland als "sicher" angesehen werden kann.

Gehashte Metadaten werden nicht auf der Ethereum-Blockchain gespeichert.

IV. E-Mail-Marketing
Wir werden Ihnen nur dann Marketinginformationen auf elektronischem Wege (z. B. per E-Mail) zusenden, wenn Sie uns aktiv Ihre Zustimmung zu dieser Verarbeitung gegeben haben. Wir setzen uns mit Ihnen in Verbindung, um Sie über die Fortschritte zu informieren, die wir im Hinblick auf die neuesten Entwicklungen in der Forschung machen, um Sie zu beraten, über unsere Produkte und Dienstleistungen usw. Wir informieren Sie auch über die Einführung neuer Funktionen, kündigen den Abschluss neuer Partnerschaften an und erläutern, was dies für Sie bei der Nutzung von CURIA bedeutet.

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie auf den in den E-Mails enthaltenen Link "Abmelden" klicken; auch wenn Sie keine Werbenachrichten mehr von uns erhalten möchten, werden Sie weiterhin Verwaltungsnachrichten von uns erhalten.

V. Ihre Rechte

Besides the information provided to you above, as we shall obtain personal data directly from you, we shall provide you upon registration of such data, with any further information which is necessary, having regard to the specific circumstances in which the data are to be processed and to ensure the processing is fair to you. Such information to be provided to you shall include the names of the recipients of the data or the categories of recipients, whether replies to any questions we ask you for the purpose of the processing are obligatory or voluntary, as well as the possible consequences of failure to reply.

(1) Besides the above, you have the following rights towards us regarding your personal data:
– Right of access – Art. 18 of Bahrain Data Protection Law / Art.15 GDPR,
– Right to rectification or erasure – Art. 23 of Bahrain Data Protection Law / Art.16 and 17 GDPR,
– Right to restriction of processing – Art. 23 of Bahrain Data Protection Law / Art.18 GDPR,
– Right to object to the processing – Art. 21 of Bahrain Data Protection Law / Art.21 GDPR,
– Right to data portability –Art.20 GDPR,
– Right of withdrawal according to Art. 24 para. 3 of Bahrain Data Protection Law / Art. 7 para. 3 GDPR

(2) You also have the right to complain to a data protection supervisory authority of your choice, or that of the country of your habitual residency about the processing of your personal data by our association. Responsible for us is the

Hessische Beauftragte für Datenschutz und Informationsfreiheit Gustav-Stresemann-Ring 1
Postfach 3163
65189 Wiesbaden
Tel.: +49 (0) 611 14080

Die zuständige Behörde im Sinne des Datenschutzgesetzes des Königreichs Bahrain ist:

BEHÖRDE FÜR DEN SCHUTZ PERSONENBEZOGENER DATEN
Email: dp-team@moj.gov.bh
Tel: (+973) 175 133 14
(+973) 175 133 21
(+973) 175 133 41

For every natural person who is habitually resident in the Kingdom of Bahrain or maintains a place of business therein, the applicable law regarding the protection their personal data is the Data Protection Law No. 30 of 2018. The mandatory terms of that law will be applicable and should prevail over any of the above-stated terms and GDPR provision in case of contradiction. A full copy of that law is available on the Personal Data Protection Authority website at http://www.pdp.gov.bh/en/regulations.html