Datenschutz
Datenschutzerklärung
Stand: 1. Mai 2026 | Vianova eHealth GmbH
1. Verantwortlicher
Verantwortliche Stelle im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten auf dieser Plattform ist:
Vianova eHealth GmbH
Hebbelstraße 20, 14469 Potsdam
Vertreten durch: Yvonne Mengeringhaus, Cristina Cretulescu
2. Datenschutzbeauftragter
Wir haben einen externen Datenschutzbeauftragten gemäß Art. 37 DSGVO bestellt. Bei Fragen zum Datenschutz und zur Ausübung Ihrer Rechte können Sie sich jederzeit an ihn wenden:
DATENDO GmbH
Hohenzollernring 55, 50672 Köln
E-Mail: datenschutz-644@anfragen.datendo.de
Web: www.datendo.de
3. Geltungsbereich
Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Vianova eHealth Plattform sowie der Website www.vianova-ehealth.com. Die Plattform ist eine passwortgeschützte Webanwendung, die Therapeuten und Patienten einen sicheren digitalen Austausch ermöglicht.
Erfasst sind sämtliche Verarbeitungsvorgänge, die im Zusammenhang mit dem Aufruf der Website, der Nutzung öffentlich zugänglicher Website-Funktionen, der Registrierung, dem Login, der Nutzung der Plattformfunktionen sowie der Kommunikation über die Plattform entstehen.
Ergänzende vertragliche Regelungen können sich aus den Allgemeinen Geschäftsbedingungen (AGB) der Vianova eHealth GmbH ergeben. Im Fall von Widersprüchen gilt stets die strengere datenschutzrechtliche Regelung.
4. Registrierung, Login und Nutzerkontenverwaltung
Der Zugang zur Plattform erfolgt ausschließlich über einen sicheren, individualisierten Login-Bereich. Um die Plattform nutzen zu können, ist eine Registrierung erforderlich. Dabei verarbeiten wir folgende Daten:
|
Datenkategorie |
Zweck |
Rechtsgrundlage |
|
Name, E-Mail-Adresse, Benutzername |
Einrichtung und Verwaltung des Nutzerkontos; Authentifizierung |
Art. 6 Abs. 1 lit. b DSGVO |
|
Passwort (verschlüsselt gespeichert) |
Zugangssicherung; Schutz vor unbefugtem Zugriff |
Art. 6 Abs. 1 lit. b DSGVO |
|
Login-Zeitstempel, IP-Adresse, Session-Tokens |
Sicherheitsmonitoring; Protokollierung von Zugriffen; Missbrauchserkennung |
Art. 6 Abs. 1 lit. f DSGVO |
|
Zugriffsrechte und Rollen (Therapeut / Patient) |
Rollenbasierte Zugriffskontrolle; Sicherstellung des Need-to-know-Prinzips |
Art. 6 Abs. 1 lit. b und f DSGVO |
|
Änderungs- und Protokollvermerke |
Nachvollziehbarkeit von Kontoänderungen; Prüfbarkeit |
Art. 6 Abs. 1 lit. c und f DSGVO |
Der Zugang zu Systemen mit personenbezogenen Daten ist durch Mehr-Faktor-Authentifizierung (MFA) abgesichert. Zugriffsrechte werden nach dem Least-Privilege-Prinzip vergeben und regelmäßig überprüft. Bei Beendigung der Nutzungsbeziehung werden Benutzerkonten unverzüglich deaktiviert.
5. Plattformnutzung – Patienten
Patienten erhalten über den sicheren Login Zugang zu einem persönlichen Bereich, in dem die therapeutische Begleitung digital unterstützt wird. Dabei verarbeiten wir folgende personenbezogene Daten:
|
Datenkategorie |
Zweck |
Rechtsgrundlage |
|
Stamm- und Kontaktdaten (Name, Anschrift, Geburtsdatum, Telefon, E-Mail) |
Patientenführung; Erreichbarkeit; Identifikation |
Art. 6 Abs. 1 lit. b DSGVO; Art. 9 Abs. 2 lit. h DSGVO |
|
Gesundheitsdaten, Therapieinhalte, Dokumentationsvermerke |
Erbringung therapeutischer Leistungen; Dokumentation des Therapieverlaufs |
Art. 9 Abs. 2 lit. h DSGVO i.V.m. nationalen Gesundheitsvorschriften |
|
Kommunikationsinhalte über die Plattform |
Therapeutische Kommunikation; Terminorganisation; Nachverfolgung |
Art. 6 Abs. 1 lit. b DSGVO; Art. 9 Abs. 2 lit. h DSGVO |
|
Termin- und Organisationsdaten |
Terminmanagement; Erinnerungsfunktionen |
Art. 6 Abs. 1 lit. b DSGVO |
|
Nutzungsprotokolle (Zugriffe, Sitzungsdaten) |
Sicherheitsmonitoring; Fehlerbehebung |
Art. 6 Abs. 1 lit. f DSGVO |
Hinweis zu Gesundheitsdaten: Gesundheitsdaten sind besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Sie werden mit erhöhten technischen und organisatorischen Schutzmaßnahmen verarbeitet und sind ausschließlich für befugte Therapeuten und autorisierte interne Stellen zugänglich.
6. Plattformnutzung – Therapeuten
Für zugelassene Therapeuten, die die Plattform im Rahmen ihrer beruflichen Tätigkeit nutzen, verarbeiten wir folgende personenbezogene Daten:
|
Datenkategorie |
Zweck |
Rechtsgrundlage |
|
Name, berufliche Kontaktdaten, Qualifikationsnachweise |
Registrierung und Verifizierung als zugelassener Therapeut |
Art. 6 Abs. 1 lit. b DSGVO |
|
Zugangsdaten und Benutzerrollenrechte |
Zugriffskontrolle; Need-to-know-Sicherstellung |
Art. 6 Abs. 1 lit. b DSGVO |
|
Leistungs- und Dokumentationsdaten |
Nachweis erbrachter Leistungen; Abrechnung; Qualitätssicherung |
Art. 6 Abs. 1 lit. b und c DSGVO |
|
Kommunikations- und Korrespondenzinhalte |
Abwicklung der Vertragsbeziehung; Kundenbetreuung |
Art. 6 Abs. 1 lit. b DSGVO |
|
Protokoll- und Zugriffsvermerke |
Sicherheitsmonitoring; Compliance-Nachweise |
Art. 6 Abs. 1 lit. c und f DSGVO |
Therapeuten sind vertraglich zur Vertraulichkeit verpflichtet und dürfen ausschließlich auf diejenigen Patientendaten zugreifen, die für ihre Tätigkeit erforderlich sind.
7. Verarbeitung besonderer Kategorien personenbezogener Daten
Im Rahmen der Plattformnutzung werden regelmäßig Gesundheitsdaten verarbeitet. Diese gehören gemäß Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und unterliegen einem erhöhten Schutz.
Die Verarbeitung solcher Daten erfolgt ausschließlich auf Grundlage von:
- Art. 9 Abs. 2 lit. h DSGVO (Zwecke der Gesundheitsversorgung und Gesundheitsdienste)
- Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung der betroffenen Person), soweit keine andere Grundlage greift
- Ergänzenden Vorschriften des nationalen Rechts (§ 22 BDSG)
Gesundheitsdaten werden verschlüsselt gespeichert und übertragen. Der Zugriff ist auf einen eng definierten Kreis befugter Personen begrenzt. Eine automatisierte Entscheidungsfindung oder ein Profiling findet nicht statt. Die Verarbeitung wird auf das für den jeweiligen therapeutischen Zweck unbedingt erforderliche Minimum beschränkt. Soweit möglich, werden Daten pseudonymisiert verarbeitet.
8. Serverbetrieb, Hosting und Logdateien
Die Plattform sowie die Website www.vianova-ehealth.com werden auf Servern eines nach ISO 27001 zertifizierten Hosting-Unternehmens betrieben, das mehrstufige physische und technische Sicherheitsmaßnahmen implementiert hat. Die Server befinden sich innerhalb der Europäischen Union.
Bei jedem Zugriff auf die Plattform oder die Website werden automatisch technische Daten in Server-Logdateien erfasst:
|
Logdaten |
Zweck |
Speicherdauer |
|
IP-Adresse (pseudonymisiert) |
Sicherheitsmonitoring; Missbrauchserkennung |
7 Tage |
|
Zeitstempel, aufgerufene URL, HTTP-Statuscode |
Fehlerdiagnose; Performance-Monitoring |
7 Tage |
|
Browsertyp, Betriebssystem (User-Agent) |
Technische Kompatibilität; Sicherheitsanalyse |
7 Tage |
|
Übertragenes Datenvolumen |
Kapazitätsplanung; Systemsicherheit |
7 Tage |
Rechtsgrundlage für die Protokollierung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit und dem ordnungsgemäßen Betrieb der Plattform und der Website).
9. Cookies und ähnliche Technologien
Die Plattform setzt ausschließlich technisch notwendige Cookies und Session-Tokens ein, ohne die ein sicherer Betrieb nicht möglich ist:
|
Art |
Zweck |
Rechtsgrundlage |
Laufzeit |
|
Session-Cookie (technisch notwendig) |
Aufrechterhaltung der Login-Session; CSRF-Schutz |
Art. 6 Abs. 1 lit. b DSGVO |
Sitzungsende |
|
Authentifizierungs-Token |
Sicherer Zugang; MFA-Validierung |
Art. 6 Abs. 1 lit. b DSGVO |
Sitzungsende |
|
Sicherheits-Cookies |
Schutz vor Cross-Site-Request-Forgery; Angriffserkennung |
Art. 6 Abs. 1 lit. f DSGVO |
Sitzungsende |
Analyse-, Marketing- oder Tracking-Cookies werden im passwortgeschützten Bereich der Plattform nicht eingesetzt. Soweit auf der öffentlich zugänglichen Website externe Dienste eingebunden werden, informieren wir hierüber in Abschnitt 10.
10. Verarbeitungsvorgänge auf der Website www.vianova-ehealth.com
Neben der passwortgeschützten Plattform stellen wir auf der öffentlich zugänglichen Website www.vianova-ehealth.com verschiedene Funktionen, Inhalte und externe Dienste bereit. Für diese Verarbeitungsvorgänge gelten ergänzend die nachfolgenden Informationen.
10.1 Kontaktformular
Auf unserer Website stellen wir Ihnen ein Kontaktformular zur Verfügung, über das Sie uns eine Nachricht senden können. Im Rahmen der Nutzung des Kontaktformulars erheben und verarbeiten wir die von Ihnen eingegebenen personenbezogenen Daten, insbesondere Ihren Namen, Ihre E-Mail-Adresse, Ihre Telefonnummer sowie den Inhalt Ihrer Nachricht.
Die Verarbeitung dieser Daten erfolgt zum Zweck der Bearbeitung Ihrer Kontaktanfrage sowie der sich daraus ergebenden Kommunikation mit Ihnen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf den Abschluss oder die Erfüllung eines Vertrags gerichtet ist; im Übrigen erfolgt die Verarbeitung auf Grundlage unseres berechtigten Interesses an der ordnungsgemäßen Bearbeitung der an uns gerichteten Anfragen gemäß Art. 6 Abs. 1 lit. f DSGVO.
Sofern wir zur Bereitstellung und zum Betrieb des Kontaktformulars oder zur Bearbeitung Ihrer Anfrage Dienstleister einsetzen, erfolgt dies im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO auf Grundlage entsprechender Verträge. Eine Übermittlung Ihrer Daten an Dritte darüber hinaus findet nur statt, soweit dies zur Bearbeitung Ihrer Anfrage erforderlich ist oder eine gesetzliche Verpflichtung besteht.
Ihre personenbezogenen Daten werden nur so lange gespeichert, wie dies zur Bearbeitung Ihrer Kontaktanfrage und der damit verbundenen Kommunikation erforderlich ist; darüber hinaus erfolgt eine Speicherung nur, soweit gesetzliche Aufbewahrungspflichten, insbesondere handels- oder steuerrechtliche Aufbewahrungsfristen, dies erfordern. Soweit die Verarbeitung auf unserem berechtigten Interesse beruht, haben Sie gemäß Art. 21 Abs. 1 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Sofern die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
10.2 Online-Terminbuchung
Auf unserer Website bieten wir Ihnen die Möglichkeit, über eine Online-Terminbuchungsfunktion einen Termin bei Vianova eHealth zu vereinbaren. Im Rahmen der Nutzung dieser Funktion werden personenbezogene Daten erhoben, insbesondere Ihr Name, Ihre E-Mail-Adresse, Ihre Telefonnummer sowie gegebenenfalls der gewünschte Terminzeitpunkt und Angaben zu Ihrem Anliegen.
Die Verarbeitung dieser Daten erfolgt zum Zweck der Entgegennahme, Bearbeitung und Bestätigung Ihrer Terminanfrage sowie zur Durchführung der damit verbundenen Kommunikation. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Datenverarbeitung zur Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage hin erforderlich ist; ergänzend kann die Verarbeitung auf unserem berechtigten Interesse an einer effizienten Terminorganisation gemäß Art. 6 Abs. 1 lit. f DSGVO beruhen.
Für die technische Bereitstellung der Terminbuchung kann ein externer Kalender- oder Buchungsdienst eingebunden sein, der als Auftragsverarbeiter in unserem Auftrag tätig wird und die Terminverwaltung technisch abwickelt. Mit einem solchen Dienstleister schließen wir, soweit erforderlich, einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Sofern im Rahmen der Nutzung des externen Dienstes eine Übermittlung personenbezogener Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums stattfinden sollte, stellen wir sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO vorliegen.
Ihre personenbezogenen Daten werden nur so lange gespeichert, wie dies zur Erfüllung des mit der Terminbuchung verfolgten Zwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen. Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, haben Sie das Recht, gemäß Art. 21 DSGVO jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung einzulegen.
10.3 Online-Shop (Buchung von Diagnostikleistungen)
Über unseren Online-Shop auf www.vianova-ehealth.com haben Sie die Möglichkeit, Diagnostikleistungen wie ADHS-Diagnostik, ASS-Diagnostik oder Kombinationsdiagnostik zu buchen und zu bezahlen. Im Rahmen der Bestellabwicklung erheben und verarbeiten wir personenbezogene Daten, insbesondere Ihren Namen, Ihre Kontaktdaten, Ihre Rechnungsadresse sowie Ihre Zahlungsinformationen.
Die Verarbeitung dieser Daten erfolgt zum Zweck der Vertragserfüllung, der Abrechnung der gebuchten Diagnostikleistungen sowie der damit zusammenhängenden Kommunikation, etwa zur Bestätigung Ihrer Buchung, zur Übermittlung von Rechnungen oder zur Klärung von Rückfragen im Zusammenhang mit der gebuchten Leistung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; soweit die Verarbeitung zur Erfüllung gesetzlicher Aufbewahrungspflichten, insbesondere steuer- und handelsrechtlicher Vorgaben, erfolgt, ist Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO.
Eine Weitergabe Ihrer personenbezogenen Daten erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist, etwa an Zahlungsdienstleister zur Abwicklung des Zahlungsvorgangs oder an IT-Dienstleister, die uns beim Betrieb des Online-Shops technisch unterstützen. Mit diesen Empfängern haben wir, soweit erforderlich, Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen. Sollte im Einzelfall eine Übermittlung personenbezogener Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums erfolgen, stellen wir sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO vorliegen.
Ihre personenbezogenen Daten werden nur so lange gespeichert, wie dies zur Erfüllung des jeweiligen Vertragszwecks erforderlich ist; nach vollständiger Abwicklung des Vertragsverhältnisses werden die Daten gelöscht, es sei denn, gesetzliche Aufbewahrungspflichten, insbesondere aus dem Handels- und Steuerrecht, erfordern eine längere Speicherung. Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten unter den Voraussetzungen des Art. 21 DSGVO zu widersprechen; sofern die Verarbeitung auf einer Einwilligung beruhen sollte, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
10.4 Externe Diagnostikverfahren (Hogrefe)
Im Rahmen unseres Angebots auf www.vianova-ehealth.com setzen wir für diagnostische Zwecke ein externes Testverfahren des Anbieters Hogrefe ein. Bei der Durchführung dieses Diagnostikprozesses werden personenbezogene Daten sowie gegebenenfalls gesundheitsbezogene Daten, also besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO, an Hogrefe übermittelt oder von Hogrefe in unserem Auftrag verarbeitet.
Zu den verarbeiteten Daten können insbesondere Angaben zur Person, Testergebnisse, Antwortverhalten sowie technische Nutzungsdaten im Zusammenhang mit der Durchführung des Testverfahrens gehören. Zweck der Verarbeitung ist die Durchführung und Auswertung diagnostischer Verfahren im Rahmen der über unsere Plattform und Website angebotenen Leistungen.
Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Soweit gesundheitsbezogene Daten betroffen sind, stützt sich die Verarbeitung zusätzlich auf Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Empfänger der Daten ist der externe Dienstleister Hogrefe, der die Testverfahren bereitstellt und die damit verbundene Datenverarbeitung durchführt.
Sofern im Rahmen der Datenübermittlung an Hogrefe eine Übermittlung personenbezogener Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums stattfinden sollte, stellen wir sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO vorliegen, etwa durch Standardvertragsklauseln der Europäischen Kommission oder einen Angemessenheitsbeschluss. Die im Rahmen des Diagnostikverfahrens erhobenen Daten werden nur so lange gespeichert, wie dies zur Erreichung des jeweiligen Verarbeitungszwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten eine weitergehende Speicherung verlangen.
Sie haben das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; den Widerruf können Sie an die Vianova eHealth GmbH als verantwortliche Stelle richten.
10.5 Online-Selbsttests (ADHS und Autismus-Spektrum-Störungen)
Auf unserer Website bieten wir Online-Selbsttests zu den Themen ADHS und Autismus-Spektrum-Störungen an. Bei der Durchführung dieser Tests werden sämtliche Eingaben und Auswertungen ausschließlich lokal in Ihrem Browser verarbeitet; eine Übermittlung der von Ihnen eingegebenen Daten an unsere Server oder an Dritte findet nicht statt.
Im Rahmen der Tests selbst werden daher keine personenbezogenen Daten durch die Vianova eHealth GmbH erhoben, gespeichert oder anderweitig verarbeitet. Soweit durch den bloßen Aufruf der Website, auf der die Selbsttests bereitgestellt werden, technisch bedingt personenbezogene Daten verarbeitet werden, etwa Ihre IP-Adresse, Browsertyp, Betriebssystem oder Zeitpunkt des Zugriffs, erfolgt dies auf Grundlage unseres berechtigten Interesses an der technisch fehlerfreien Bereitstellung und Sicherheit unserer Website gemäß Art. 6 Abs. 1 lit. f DSGVO.
Unser berechtigtes Interesse liegt in der Gewährleistung eines stabilen und sicheren Websitebetriebs. Die dabei anfallenden Zugriffsdaten werden nicht mit anderen Datenquellen zusammengeführt. Eine Weitergabe dieser technischen Zugriffsdaten an Dritte erfolgt nur, soweit dies für den Betrieb der Website technisch erforderlich ist, etwa an den Hostingdienstleister; in diesem Fall handelt es sich um eine Verarbeitung im Auftrag gemäß Art. 28 DSGVO.
Eine Übermittlung personenbezogener Daten in Drittländer findet im Zusammenhang mit den Online-Selbsttests nach unserem Kenntnisstand nicht statt. Die Speicherung technischer Zugriffsdaten erfolgt nur so lange, wie dies zur Erreichung des genannten Zwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Soweit die Verarbeitung auf unserem berechtigten Interesse beruht, haben Sie gemäß Art. 21 Abs. 1 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen.
10.6 Google Tag Manager, Google Fonts und Google CDN
Auf unserer Website setzen wir verschiedene Dienste der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, ein. Hierzu gehören insbesondere der Google Tag Manager zur Verwaltung von Website-Tags sowie Google Fonts und Google CDN zur Bereitstellung von Schriftarten und statischen Inhalten über die Domains fonts.googleapis.com, fonts.gstatic.com, googletagmanager.com und google.com.
Im Rahmen der Nutzung dieser Dienste werden personenbezogene Daten verarbeitet, insbesondere die IP-Adresse des aufrufenden Endgeräts, Informationen zum verwendeten Browser und Betriebssystem, die Referrer-URL, der Zeitpunkt des Seitenaufrufs sowie weitere technische Verbindungsdaten, die bei der Herstellung einer Verbindung zu den Servern von Google automatisch übermittelt werden.
Die Verarbeitung erfolgt zum Zweck der technisch einwandfreien Bereitstellung und Darstellung unserer Website, insbesondere zur korrekten Einbindung von Schriftarten, zur effizienten Auslieferung von Inhalten über ein Content Delivery Network sowie zur Verwaltung eingebundener Skripte über den Tag Manager. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der technisch zuverlässigen, performanten und nutzerfreundlichen Gestaltung unseres Internetauftritts.
Durch uns werden im Zusammenhang mit diesen Diensten keine persistenten Cookies gesetzt; verarbeitete technische Daten werden grundsätzlich nur für die Dauer der Sitzung verarbeitet, soweit nicht gesetzliche Pflichten oder eine eigenständige Verarbeitung durch Google entgegenstehen. Empfänger der Daten ist die Google Ireland Limited als Dienstleister. Soweit im Rahmen der Verarbeitung eine Übermittlung personenbezogener Daten in ein Drittland nicht ausgeschlossen werden kann, gelten die Ausführungen in Abschnitt 12.
Sie haben gemäß Art. 21 DSGVO das Recht, jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die auf Art. 6 Abs. 1 lit. f DSGVO beruhende Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen. Nähere Informationen zum Umgang mit personenbezogenen Daten durch Google finden Sie in der Datenschutzerklärung von Google unter https://policies.google.com/privacy.
10.7 Eingebundene Karten (Google Maps)
Auf unserer Website setzen wir den Kartendienst Google Maps ein, um Ihnen interaktive Karteninhalte als eingebettete Inhalte anzuzeigen, beispielsweise zur Darstellung von Standorten oder Anfahrtswegen. Anbieter dieses Dienstes ist die Google Ireland Limited mit Sitz in Irland, Gordon House, Barrow Street, Dublin 4, Irland.
Beim Aufruf einer Seite, die Google Maps enthält, wird eine Verbindung zu den Servern von Google unter der Domain maps.google.com hergestellt. Dabei können personenbezogene Daten wie Ihre IP-Adresse, Informationen über den verwendeten Browser und das Betriebssystem, die aufgerufene Seite unseres Internetauftritts sowie Datum und Uhrzeit des Zugriffs an Google übermittelt werden.
Der Zweck der Verarbeitung liegt in der nutzerfreundlichen Darstellung geografischer Informationen und der Bereitstellung einer komfortablen Kartenfunktion auf unserer Website. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse besteht in der ansprechenden und funktionalen Präsentation unserer Standortinformationen für Besucherinnen und Besucher unserer Website.
Durch uns werden im Zusammenhang mit Google Maps keine persistenten Cookies gesetzt; verarbeitete technische Daten werden grundsätzlich nur für die Dauer der Sitzung verarbeitet, soweit nicht gesetzliche Pflichten oder eine eigenständige Verarbeitung durch Google entgegenstehen. Empfänger der Daten ist die Google Ireland Limited als Anbieter des Kartendienstes. Soweit im Rahmen der Verarbeitung eine Übermittlung personenbezogener Daten in ein Drittland nicht ausgeschlossen werden kann, gelten die Ausführungen in Abschnitt 12.
Ihnen steht gemäß Art. 21 DSGVO ein Widerspruchsrecht gegen die auf Art. 6 Abs. 1 lit. f DSGVO beruhende Verarbeitung zu. Sie können die Einbindung von Google Maps durch entsprechende Einstellungen in Ihrem Browser, insbesondere durch das Blockieren von Inhalten der Domain maps.google.com, unterbinden. Nähere Informationen zum Umgang mit Nutzerdaten durch Google finden Sie in der Datenschutzerklärung von Google unter https://policies.google.com/privacy.
11. Empfänger und Auftragsverarbeiter
Ihre personenbezogenen Daten werden nur an sorgfältig ausgewählte Stellen weitergegeben, wenn dies für den jeweiligen Zweck erforderlich und rechtlich zulässig ist:
|
Empfängerkategorie |
Verarbeitungskontext |
|
Interne Fachbereiche (nach Need-to-know-Prinzip) |
Vertragsabwicklung; Supportfälle; Qualitätssicherung |
|
Externe IT-Dienstleister / Hosting-Anbieter |
Betrieb der Plattform-Infrastruktur (als Auftragsverarbeiter mit AVV) |
|
Cloud-Dienstleister |
Datenspeicherung und -verarbeitung (ausschließlich EU-Hosting) |
|
Softwareanbieter |
Betrieb eingesetzter Anwendungen im Auftragsverarbeitungsverhältnis |
|
Rechtsberater / Behörden |
Nur bei rechtlicher Notwendigkeit (z. B. gesetzliche Auskunftspflichten) |
|
Zahlungsdienstleister |
Abwicklung von Zahlungen im Online-Shop, soweit für die Vertragserfüllung erforderlich |
|
Externe Diagnostikdienstleister (Hogrefe) |
Bereitstellung, Durchführung und Auswertung diagnostischer Testverfahren |
|
Kalender- und Buchungsdienstleister |
Technische Bereitstellung und Verwaltung der Online-Terminbuchung |
|
Anbieter eingebundener Website-Dienste (z. B. Google Ireland Limited) |
Bereitstellung von Schriftarten, CDN-Inhalten, Tag-Management und Karteninhalten |
Alle externen Dienstleister, die im Auftrag Zugang zu personenbezogenen Daten erhalten, sind vertraglich nach Art. 28 DSGVO durch einen Auftragsverarbeitungsvertrag (AVV) gebunden. Sie dürfen Daten ausschließlich nach unserer Weisung verarbeiten.
Wir geben keine personenbezogenen Daten an Dritte weiter, ohne dass hierfür eine rechtliche Grundlage besteht oder Ihre ausdrückliche Einwilligung vorliegt.
12. Übermittlung in Drittländer
Eine Übermittlung von Plattformdaten aus dem passwortgeschützten Bereich in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums findet nach unserer derzeitigen Konzeption nicht statt. Sämtliche für die Plattform eingesetzten Server und Dienste befinden sich innerhalb der EU. Für einzelne Website-Funktionen oder externe Dienste kann eine Übermittlung personenbezogener Daten in ein Drittland im Einzelfall nicht ausgeschlossen werden. In diesen Fällen stellen wir sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO vorliegen, insbesondere ein Angemessenheitsbeschluss der Europäischen Kommission, EU-Standardvertragsklauseln oder sonstige zulässige Transfermechanismen.
Eine automatisierte Entscheidungsfindung oder Profiling findet weder für Patienten noch für Therapeuten statt.
13. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist. Nach Wegfall des Zwecks und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen werden die Daten systematisch gelöscht oder anonymisiert.
|
Datenkategorie |
Speicherdauer |
Rechtsgrundlage |
|
Nutzerkontodaten (aktiv) |
Dauer der Nutzungsbeziehung |
Art. 6 Abs. 1 lit. b DSGVO |
|
Therapeuten- und Kundendaten nach Vertragsende |
3 Jahre nach Beendigung (§ 195 BGB) |
Art. 6 Abs. 1 lit. c DSGVO |
|
Steuer- und handelsrechtlich relevante Unterlagen |
10 Jahre ab Entstehung (§ 147 AO; § 257 HGB) |
Art. 6 Abs. 1 lit. c DSGVO |
|
Server-Logdateien |
7 Tage, dann Löschung / Anonymisierung |
Art. 6 Abs. 1 lit. f DSGVO |
|
Gesundheitsdaten / Therapiedokumentation |
Nach Maßgabe berufsrechtlicher und gesetzlicher Aufbewahrungspflichten (i.d.R. 10 Jahre) |
Gesundheitsrechtliche Vorschriften |
|
Kontaktanfragen |
Für die Dauer der Bearbeitung und anschließenden Kommunikation; darüber hinaus nur bei gesetzlichen Aufbewahrungspflichten |
Art. 6 Abs. 1 lit. b oder f DSGVO; Art. 6 Abs. 1 lit. c DSGVO |
|
Terminbuchungsdaten |
Bis zur Erreichung des Terminorganisationszwecks; länger nur bei gesetzlichen Aufbewahrungspflichten |
Art. 6 Abs. 1 lit. b oder f DSGVO; Art. 6 Abs. 1 lit. c DSGVO |
|
Bestell-, Rechnungs- und Zahlungsdaten |
Nach Maßgabe steuer- und handelsrechtlicher Aufbewahrungsfristen, regelmäßig 10 Jahre |
Art. 6 Abs. 1 lit. b und c DSGVO |
|
Diagnostikdaten aus externen Testverfahren |
Nur solange für Durchführung und Auswertung erforderlich; länger nur bei gesetzlichen Aufbewahrungspflichten |
Art. 6 Abs. 1 lit. a DSGVO; Art. 9 Abs. 2 lit. a DSGVO |
Die Löschung erfolgt automatisiert oder manuell durch die zuständigen Organisationseinheiten. Löschvorgänge werden dokumentiert. Unser Löschkonzept wird mindestens einmal jährlich im Rahmen eines internen Audits überprüft.
14. Technische und organisatorische Schutzmaßnahmen (TOM)
Wir haben gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen implementiert, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen werden regelmäßig auf Wirksamkeit überprüft und bei Bedarf angepasst. Zu den wesentlichen Maßnahmen zählen:
- Ende-zu-Ende-Verschlüsselung der Datenübertragung (TLS/HTTPS)
- Verschlüsselte Speicherung von Daten (at rest)
- Mehr-Faktor-Authentifizierung (MFA) für alle Nutzerkonten
- Rollenbasiertes Berechtigungsmanagement (RBAC) nach dem Need-to-know-Prinzip
- Automatische Bildschirmsperren und Session-Timeouts bei Inaktivität
- Protokollierung und Auditierung aller Systemzugriffe
- Regelmäßige automatisierte Backups an einem externen, georedundanten Standort
- Firewall, Intrusion-Detection-Systeme und aktueller Virenschutz
- Pseudonymisierung und Anonymisierung, wo technisch möglich
- Strikte Trennung von Produktiv- und Testumgebung
- Hosting bei einem nach ISO 27001 zertifizierten Rechenzentrum (EU)
- Regelmäßige Datenschutzschulungen aller Mitarbeitenden
- Dokumentierter Prozess für Datenschutzverletzungen gemäß Art. 33 DSGVO (72-Stunden-Meldepflicht)
15. Ihre Rechte als betroffene Person
Sie haben nach der DSGVO folgende Rechte bezüglich der Verarbeitung Ihrer personenbezogenen Daten:
Auskunftsrecht (Art. 15 DSGVO)
Sie können jederzeit Auskunft über alle zu Ihrer Person gespeicherten Daten, deren Zwecke, Empfänger und Speicherdauer verlangen.
Recht auf Berichtigung (Art. 16 DSGVO)
Unrichtige oder unvollständige Daten können Sie jederzeit berichtigen lassen.
Recht auf Löschung (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten oder sonstige berechtigte Gründe entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Unter bestimmten Voraussetzungen können Sie verlangen, dass Ihre Daten nur noch eingeschränkt verarbeitet werden, z. B. wenn Sie die Richtigkeit der Daten bestreiten.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übermitteln lassen.
Widerspruchsrecht (Art. 21 DSGVO)
Gegen Verarbeitungen, die auf einem berechtigten Interesse beruhen, können Sie Widerspruch einlegen, sofern sich aus Ihrer besonderen Situation entsprechende Gründe ergeben.
Widerruf einer Einwilligung
Sofern eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die bis zum Widerruf erfolgte Verarbeitung bleibt rechtmäßig.
Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte schriftlich oder per E-Mail an unseren Datenschutzbeauftragten (s. Abschnitt 2). Wir beantworten Anfragen in der Regel innerhalb eines Monats.
16. Beschwerderecht bei der Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen datenschutzrechtliche Vorschriften verstößt, haben Sie das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren:
Die Landesbeauftragte für den Datenschutz Brandenburg
Stahnsdorfer Damm 77, 14532 Kleinmachnow
Tel.: +49 33203 356-0
E-Mail: poststelle@lda.brandenburg.de
Web: www.lda.brandenburg.de
Das Beschwerderecht lässt andere Rechtsbehelfe unberührt. Sie können sich alternativ auch an die Datenschutzaufsichtsbehörde Ihres Wohnsitzes wenden.
17. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei geänderten rechtlichen Anforderungen, bei Änderungen unserer Verarbeitungstätigkeiten oder aus sonstigen Gründen zu aktualisieren. Die aktuelle Fassung ist stets auf der Plattform zugänglich.
Bei wesentlichen Änderungen, die Ihre Rechte berühren, werden wir Sie gesondert informieren.