Semalytix Data Processing

Information on data processing by Semalytix

We, Semalytix, would like to inform you transparently and in accordance with GDPR about our data processing. Semalytix processes personal data on health aspects published on the internet. We process this data to create aggregated insights, statistics, and evaluations. Our customers are given access to this content as well as the anonymized textual data we got from online sources. We hope to contribute to better treatment options for patients through this data processing and thereby achieve added value for society.  

Example: Otto O. publishes data on side effects of a drug in an online forum. Semalytix receives this data via third parties. This data is anonymized according to current best technical possibilities. Then they are evaluated and merged with other data. Third parties can acquire access to the evaluations and statistics. Conclusions on individual persons are not possible.

1. Who is processing Data?

Name and contact details of the controller:

Semalytix GmbH

Meller Str. 2

33613 Bielefeld


Phone: +49 521 914 561 27


Contact details of the data protection officer:

2. What data do we use?

We collect the following categories of personal data: (i) usernames in public forums or websites, (ii) stated age, (iii) stated gender, (iv) stated details of medication, indication, side effects and medical conditions, and (v) country.

3. What do we use this data for?

We process data to compile meaningful statistics on medications, indications, side effects, quality of life, treatment burdens, treatment benefits and clinical pictures. These statistics do not relate to individual persons.

For this purpose, Semalytix receives data from third parties. The data is publicly available on the internet. These data are analyzed by Semalytix to create summary statistics and evaluations. The summary data never relates to individuals. These results always aggregate over all datasets.  Using machine learning and similar methods, our state-of-the-art tooling generates statistics and insights. In the process, personal data is anonymized according to current best technical possibilities. This means that Semalytix and third parties cannot establish any reference to a natural person.

4. What legal basis exists?

Pursuant to Art. 9 (2) e) GDPR, the health data has obviously been made public by the data subject, in this case on Internet forums or other websites. We have a legitimate interest in processing this data according to Art. 6 (1) lit. f) GDPR. Our legitimate interests are: The creation of scientifically helpful statistics, insights, and evaluations. Those are further marketed to develop drugs and therapies to improve treatment options for patients.

5. Where does the data come from? 

We receive the data from third-party companies that assure us of compliance with data protection law. For contractual, competitive, and business reasons, we do not publish the names of these companies.

Originally, the corresponding data was published by users in internet forums and websites.

6. Who receives the data?

Amazon Web Services (AWS)

We use AWS as our hosting and cloud provider. Personal data may become available to the service provider. We choose the option to host data in Frankfurt and we apply relevant security standards and encryption.

7. Is the data processed outside the EEA?

There is a possibility of a transfer of personal data to third countries outside the EEA. Information we collect from you could be processed in the United States or other third countries, as we are using services from a US company. Some third countries, such as the United States, have not currently received an adequacy decision from the European Union under Article 45 of the GDPR, which means that your data may not receive the same level of protection there as it does under the GDPR.

International data transfers are made on the basis of contractual and other regulations provided for by law, which are intended to ensure adequate protection of your data and which you can review on request. We rely on the rules set out in Article 49 of the GDPR or, where applicable, on safeguards pursuant to Article 46 of the GDPR. We and our processors strive to apply appropriate safeguards to protect the privacy and security of your personal data. Therefore, we only process your personal data in accordance with the practices described in our Privacy Policy.

8. When will the data be deleted?

The data is stored until anonymization (according to current technical possibilities) and then deleted or anonymized. We cannot assign the anonymized data to any individual person.

9. What rights do you have?

As a data subject, you may have the right under applicable data protection law to:

  • Access: Pursuant to Art. 15 GDPR, you may request access to your personal data processed by us,
  • Rectification: Pursuant to Art. 16 GDPR, you may request that your personal data be corrected or completed,
  • Erasure (“right to be forgotten”): in accordance with Art. 17 GDPR, you can request the erasure of your personal data stored by us,
  • Restriction: Pursuant to Art. 18 GDPR, you may request the restriction of the processing of your personal data,
  • Data portability: Pursuant to Art. 20 GDPR, you may request to receive your personal data in a structured, commonly used and machine-readable format and or you may request the transfer to another controller,
  • Object: Pursuant to Art. 21 GDPR, you may object to certain data processing.

Information about the right to object according to Art. 21 (4) GDPR

You have the right to object, on grounds relating to your particular situation, at any time to processing of personal data concerning you which is based on point (e) or (f) of Article 6 (1) GDPR, including profiling based on those provisions. We shall no longer process the personal data unless we demonstrate compelling legitimate grounds for the processing which override your interests, rights and freedoms or processing is necessary for the establishment, exercise or defense of legal claims.

Where your personal data are processed for direct marketing purposes, you shall have the right to object at any time to processing of personal data concerning you for such marketing, which includes profiling to the extent that it is related to such direct marketing.

Withdrawal of consent

You also have the right to revoke consent to the processing of personal data at any time. The withdrawal of consent does not affect the lawfulness of the processing carried out on the basis of the consent until the revocation.

To exercise your rights, you can contact us via our contact details.

10. Can you complain to an authority?

Pursuant to Art. 77 GDPR, you have the right to lodge a complaint with a supervisory authority, in particular in the Member State of your habitual residence, place of work or place of the alleged infringement if you consider that the processing of personal data relating to you infringes this Regulation or other data protection provisions.

11. Do you have to provide data?

There is no requirement to provide data.

12. Do automated decisions take place?

We do not make decisions based solely on automated processing, including profiling, which produces legal effects concerning the data subject or similarly significantly affects him or her.

13. How is the data protected?

We take organizational, contractual and technical security measures in accordance with the state of the art to ensure that the provisions of data protection laws are complied with and thus to protect the data processed by us against accidental or intentional manipulation, loss, destruction or against access by unauthorized persons. The security measures include in particular the encrypted transmission of data, as well as the anonymization of data according to current best technical possibilities. This makes it difficult to draw conclusions about individual persons.

14. Status of this data protection information & changes

We reserve the right to change this data protection information at any time with effect for the future.

Status: December 21, 2021

Informationen zur Datenverarbeitung durch Semalytix


Wir, Semalytix, möchten Sie transparent und in Übereinstimmung mit DSGVO über unsere Datenverarbeitung informieren. Semalytix verarbeitet personenbezogene Daten zu Gesundheitsaspekten, die im Internet veröffentlicht werden. Wir verarbeiten diese Daten, um aggregierte Erkenntnisse, Statistiken und Auswertungen zu erstellen. Unsere Kunden erhalten Zugang zu diesen Inhalten sowie zu den anonymisierten Textdaten, die wir aus Online-Quellen erhalten haben. Wir hoffen, durch diese Datenverarbeitung zu besseren Behandlungsmöglichkeiten für Patienten beizutragen und damit einen Mehrwert für die Gesellschaft zu erzielen.  

Beispiel: Otto O. veröffentlicht Daten zu Nebenwirkungen eines Medikaments in einem Online-Forum. Semalytix erhält diese Daten über Dritte. Diese Daten werden nach den derzeit besten technischen Möglichkeiten anonymisiert. Dann werden sie ausgewertet und mit anderen Daten zusammengeführt. Dritte können Zugang zu den Auswertungen und Statistiken erhalten. Rückschlüsse auf einzelne Personen sind nicht möglich.

1. Wer verarbeitet die Daten?

Name und Kontaktinformationen des für die Verarbeitung Verantwortlichen:

Semalytix GmbH

Meller Str. 2

33613 Bielefeld


Telefon: +49 521 914 561 27


Kontaktdaten des Datenschutzbeauftragten:

2. Welche Daten verwenden wir?

Wir erheben die folgenden Kategorien personenbezogener Daten: (i) Benutzernamen in öffentlichen Foren oder Websites, (ii) angegebenes Alter, (iii) angegebenes Geschlecht, (iv) angegebene Angaben zu Medikamenten, Indikation, Nebenwirkungen und Erkrankungen und (v) Land.

3. Wozu verwenden wir diese Daten?

Wir verarbeiten die Daten, um aussagekräftige Statistiken zu Medikamenten, Indikationen, Nebenwirkungen, Lebensqualität, Behandlungsbelastungen, Behandlungsnutzen und Krankheitsbildern zu erstellen. Diese Statistiken sind nicht auf einzelne Personen bezogen.

Zu diesem Zweck erhält Semalytix Daten von Dritten. Die Daten sind im Internet öffentlich zugänglich. Diese Daten werden von Semalytix analysiert, um zusammenfassende Statistiken und Auswertungen zu erstellen. Die zusammenfassenden Daten sind niemals personenbezogen. Diese Ergebnisse werden immer über alle Datensätze aggregiert.  Mit Hilfe von maschinellem Lernen und ähnlichen Methoden erstellt unser hochmodernes Verfahren Statistiken und Erkenntnisse. Dabei werden personenbezogene Daten nach den derzeit besten technischen Möglichkeiten anonymisiert. Dies bedeutet, dass Semalytix und Dritte keinen Bezug zu einer natürlichen Person herstellen können

4. Welche Rechtsgrundlage besteht?

Gemäß Art. 9 (2) e) DSGVO sind die Gesundheitsdaten offensichtlich von der betroffenen Person öffentlich gemacht worden, in diesem Fall in Internetforen oder anderen Websites. Wir haben ein berechtigtes Interesse an der Verarbeitung dieser Daten gemäß Art. 6 (1) lit. f) DSGVO. Unsere berechtigten Interessen sind: Die Erstellung von wissenschaftlich hilfreichen Statistiken, Erkenntnissen und Auswertungen. Diese werden weiter vermarktet, um Medikamente und Therapien zu entwickeln, die die Behandlungsmöglichkeiten für Patienten verbessern.

5. Woher stammen die Daten? 

Wir erhalten die Daten von Drittunternehmen, die uns die Einhaltung des Datenschutzrechts zusichern. Aus vertraglichen, wettbewerbsrechtlichen und geschäftlichen Gründen veröffentlichen wir die Namen dieser Unternehmen nicht.

Ursprünglich wurden die entsprechenden Daten von Nutzern in Internetforen und Websites veröffentlicht.

6. Wer erhält die Daten?

Amazon Web Services (AWS)

Wir nutzen AWS als unseren Hosting- und Cloud-Anbieter. Personenbezogene Daten können dem Dienstanbieter zugänglich gemacht werden. Wir haben die Option gewählt, die Daten in Frankfurt zu hosten und wenden entsprechende Sicherheitsstandards und Verschlüsselung an.

7. Werden die Daten außerhalb des EWR verarbeitet?

Es besteht die Möglichkeit einer Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR. Informationen, die wir von Ihnen erheben, könnten in den Vereinigten Staaten oder anderen Drittländern verarbeitet werden, da wir Dienstleistungen eines US-Unternehmens in Anspruch nehmen. Einige Drittländer, wie die Vereinigten Staaten, haben derzeit keinen Angemessenheitsbeschluss der Europäischen Union gemäß Artikel 45 der Datenschutz-Grundverordnung erhalten, was bedeutet, dass Ihre Daten dort möglicherweise nicht das gleiche Schutzniveau genießen wie in der Datenschutz-Grundverordnung.

Internationale Datenübermittlungen erfolgen auf der Grundlage vertraglicher und anderer gesetzlich vorgesehener Regelungen, die einen angemessenen Schutz Ihrer Daten gewährleisten sollen und die Sie auf Wunsch einsehen können. Wir stützen uns auf die in Artikel 49 der Datenschutz-Grundverordnung (DSGVO) festgelegten Regeln oder gegebenenfalls auf die Garantien gemäß Artikel 46 der DSGVO. Wir und unsere Auftragsverarbeiter sind bestrebt, angemessene Sicherheitsvorkehrungen zum Schutz der Privatsphäre und der Sicherheit Ihrer personenbezogenen Daten zu treffen. Daher verarbeiten wir Ihre personenbezogenen Daten nur in Übereinstimmung mit den in unserer Datenschutzrichtlinie beschriebenen Praktiken.

8. Wann werden die Daten gelöscht?

Die Daten werden bis zur Anonymisierung (nach dem Stand der technischen Möglichkeiten) gespeichert und dann gelöscht oder anonymisiert. Wir können die anonymisierten Daten keiner einzelnen Person zuordnen.

9. Welche Rechte haben Sie?

Als betroffene Person haben Sie nach geltendem Datenschutzrecht unter Umständen das Recht auf:

  • Auskunft: Gemäß Art. 15 DSGVO können Sie Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen,
  • Berichtigung: Gemäß Art. 16 DSGVO können Sie die Berichtigung oder Vervollständigung Ihrer personenbezogenen Daten verlangen,
  • Datenlöschung („Recht auf Vergessenwerden“): Gemäß Art. 17 DSGVO können Sie die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen,
  • Einschränkung: Gemäß Art. 18 DSGVO können Sie die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen,
  • Datenübertragbarkeit: Gemäß Art. 20 DSGVO können Sie verlangen Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten und oder Sie können die Übermittlung an einen anderen Verantwortlichen verlangen,
  • Widerspruch: Gemäß Art. 21 DSGVO können Sie Widerspruch gegen bestimmte Datenverarbeitungen einlegen.

Informationen über das Widerspruchsrecht nach Art. 21 (4) GDPR

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten die personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung ist zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

Werden Ihre personenbezogenen Daten für Zwecke der Direktwerbung verarbeitet, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widerruf der Einwilligung

Sie haben auch das Recht, Ihre Einwilligung in die Verarbeitung personenbezogener Daten jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Um Ihre Rechte auszuüben, können Sie uns über unsere Kontaktdaten kontaktieren.

10. Können Sie sich bei einer Behörde beschweren?

Gemäß Art. 77 DSGVO haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen diese Verordnung oder gegen andere datenschutzrechtliche Bestimmungen verstößt.

11. Müssen Sie Daten zur Verfügung stellen?

Es besteht keine Verpflichtung zur Bereitstellung von Daten.

12. Finden automatisierte Entscheidungen statt?

Wir treffen keine Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhen und die rechtlichen Auswirkungen auf die betroffene Person haben oder sie in ähnlicher Weise erheblich beeinträchtigen.

13. Wie werden die Daten geschützt?

Wir setzen organisatorische, vertragliche und technische Sicherheitsmaßnahmen nach dem Stand der Technik ein, um die Einhaltung der datenschutzrechtlichen Bestimmungen zu gewährleisten und damit die von uns verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Zu den Sicherheitsmaßnahmen gehören insbesondere die verschlüsselte Übertragung von Daten sowie die Anonymisierung von Daten nach den derzeit besten technischen Möglichkeiten. Dies erschwert den Rückschluss auf einzelne Personen. 

14. Stand dieser Datenschutzinformation & Änderungen

Wir behalten uns das Recht vor, diese Datenschutzhinweise jederzeit mit Wirkung für die Zukunft zu ändern.

Stand: 21. Dezember 2021