1. Einleitung

Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Mit dieser Datenschutzerklärung möchten wir Sie darüber informieren, welche Daten wir im Rahmen der Nutzung unseres Online-Terminbuchungskalenders erheben, wie diese verarbeitet werden und welche Rechte Ihnen in Bezug auf Ihre Daten zustehen. Unsere Datenverarbeitung erfolgt im Einklang mit der Europäischen DatenschutzGrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

2. Die / der Verantwortliche(n) für diese Website und die Datenverarbeitung

Richard Heinz
Birkenbachtal 89
91617 Oberdachstetten
Tel.: 0151 72877446
E-Mail: info@heinzrichard.de

Falls Sie Fragen oder Anliegen zum Datenschutz haben, können Sie sich an die oben aufgeführten Kontaktdaten wenden. Ein Datenschutzbeauftragter ist nicht bestellt, da keine gesetzliche Pflicht besteht.

3. Erhebung und Speicherung personenbezogener Daten

3.1 Welche Daten werden erhoben?

Die Art der verarbeiteten Daten erstreckt sich sowohl auf personenbezogene Daten (Name, E-Mail-Adresse, Telefonnummer) als auch Gesundheitsdaten (Grund der Terminbuchung). Weiterhin erheben und verarbeiten wir personenbezogene Daten von den medizinischen Einrichtungen bzw. Ärzten. Die Erhebung der Daten erfolgt ausschließlich in dem Umfang, der für die Bereitstellung und Nutzung unserer Dienstleistungen erforderlich ist.

a) Beim Besuch unserer Website

Beim Aufrufen unserer Website werden automatisch technische Informationen von Ihrem Browser an unseren Server übermittelt. Diese Daten werden temporär in sogenannten Server-Logfiles gespeichert. Hierzu gehören insbesondere:

• Die IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Die zuvor besuchte Website (Referrer-URL)
• Der verwendete Browser, ggf. das Betriebssystem Ihres Geräts und der Name

Ihres Internetdienstanbieters Die Erhebung dieser Daten dient ausschließlich technischen Zwecken, um die Stabilität und Sicherheit unserer Website zu gewährleisten.

b) Bei der online Terminvereinbarung Wenn Sie über unsere Plattform eine Terminbuchung vornehmen, erfassen wir die von Ihnen eingegebenen personenbezogenen Daten.

Dazu gehören:

• Ihr Vor- und Nachname
• Ihre E-Mail-Adresse und Telefonnummer
• Der gewählte Arzt oder die gewählte Praxis
• Das Datum und die Uhrzeit des Termins
• Grund der Terminbuchung

Die eingegebenen Daten werden auf unserem Server gespeichert und ausschließlich dem von Ihnen gewählten Arzt bzw. der Praxis zur Verfügung gestellt. Sobald der Arzt oder eine autorisierte Person der Praxis auf die Daten zugreift, unterliegt die weitere Verarbeitung deren Verantwortung.

c) Bei der Registrierung von Ärzten und Praxen Ärzte und medizinische Einrichtungen, die unsere Plattform nutzen und die Daten der Patienten einsehen möchten, müssen vorab ein Benutzerkonto auf unserer Website erstellen. Bei der Registrierung werden folgende personenbezogene Daten erfasst und verarbeitet:

• Name der Praxis / des Arztes
• Spezialisierung des Arztes
• Anschrift der Praxis
• E-Mail-Adresse
• Telefonnummer
• Zugangsdaten (Benutzername, Passwort)

Diese Daten dienen der Verwaltung der Nutzerkonten sowie der Bereitstellung und Nutzung der Online-Terminbuchungsdienste.

3.2 Woher bekommen wir Ihre personenbezogenen Daten?

Wir verarbeiten ausschließlich die personenbezogenen Daten, die Sie uns bei der Nutzung unseres Kalenders selbst zur Verfügung stellen. Diese Daten werden direkt von Ihnen bei der Terminbuchung übermittelt. Zudem verarbeiten wir die personenbezogenen Daten der Arztpraxen, die im Rahmen der Registrierung und Erstellung eines Nutzerkontos hinterlegt werden. Die Bereitstellung Ihrer personenbezogenen Daten ist für die Nutzung der Terminbuchungsfunktion erforderlich. Ohne die Angabe der erforderlichen Informationen (s.o.) ist eine Terminvereinbarung nicht möglich. Für Ärzte und Praxen ist die Angabe der Registrierungsdaten zwingend erforderlich, um ein Konto zu erstellen und den Dienst nutzen zu können. Eine Nutzung der Plattform ohne vorherige Registrierung ist für Praxen nicht möglich. Nach dem Zugriff auf die übermittelten Termindaten durch die jeweilige Arztpraxis liegt die Verantwortung für die weitere Verarbeitung sowie die inhaltliche Verwaltung der Terminangaben ausschließlich bei der Praxis. Die Praxis hat über das geschützte Nutzerkonto die Möglichkeit, die Angaben zu bereits vereinbarten Terminen selbstständig einzusehen, zu ändern oder zu löschen.

4. Rechtsgrundlagen, Zweck der Verarbeitung und Speicherdauer

4.1 Warum werden personenbezogene Daten verarbeitet?

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu den in dieser Datenschutzerklärung genannten Zwecken.

1) Bereitstellung und Funktionalität der Website (des Kalenders) Damit unsere Plattform technisch einwandfrei funktioniert, ist die Verarbeitung bestimmter Daten erforderlich. Dies umfasst insbesondere Server-Logs und technische Informationen zur Darstellung und Nutzung der Website.

Verarbeitete personenbezogene Daten:

• IP-Adresse
• Browser- und Geräteinformationen
• Technische Log-Daten (z. B. Zugriffsdaten, Datum/Uhrzeit des Zugriffs)

2) Bearbeitung von Terminbuchungen und Anfragen

Um eine Terminbuchung zu ermöglichen, den Termin zu verwalten und die Arztpraxis darüber zu informieren, werden personenbezogene Daten verarbeitet. Ohne diese Daten ist eine Terminvereinbarung nicht möglich.

Verarbeitete personenbezogene Daten:

• Allgemeine personenbezogenen Daten: Name, Vorname, Geburtsdatum, E-MailAdresse, Telefonnummer
• Gesundheitsdaten: Grund der Terminbuchung

3) Benutzerverwaltung für Ärzte und Praxen

Registrierte Arztpraxen benötigen einen geschützten Zugang, um Patientendaten einsehen zu können. Die Verarbeitung erfolgt ausschließlich zur Verwaltung der Nutzerkonten.

Verarbeitete personenbezogene Daten:

• Pflichtangaben: Name, Vorname, Titel (optional), Geschlecht, Geburtsdatum und -ort, Praxisanschrift, Fachrichtung, Telefonnummer, E-Mail-Adresse, Benutzername, Passwort (verschlüsselt), Nutzerkontodaten (Datum und Uhrzeit der Erstellung und Löschung des Nutzerkontos), Technische Geräteerkennung

4) Verbesserung der Benutzerfreundlichkeit und Optimierung unserer Dienste

Um die Plattform zu verbessern, setzen wir Analyse-Tools und Cookies ein. Diese helfen uns, technische Probleme zu identifizieren und unser Angebot an die Bedürfnisse der Nutzer anzupassen.

Verarbeitete personenbezogene Daten:

• Nutzungsverhalten auf der Website (z. B. Interaktionsdaten, Klickverhalten)
• Anonymisierte oder pseudonymisierte Daten zur Verbesserung der Plattform

5) Sicherheit und Schutz vor Missbrauch

Um Missbrauch oder unbefugten Zugriff zu verhindern, speichern wir bestimmte Daten zur IT-Sicherheit.

Verarbeitete personenbezogene Daten:

• IP-Adresse
• Log-Daten
• Benutzerverhalten auf der Plattform (Nutzungs- und Verbindungsprotokolle, die die Aktivität der Nutzer unserer Plattform aufzeichnen, sowie technische Protokolle, die die Aktivität der von uns verwendeten Software- und HardwareKomponenten aufzeichnen)

6) Kommunikation mit Nutzern (Support, Beschwerden, Änderungen, Werbung)

Wenn Sie unseren Support kontaktieren, eine Beschwerde einreichen oder Informationen zu Änderungen an unseren Diensten erhalten, speichern wir die dafür notwendigen Daten.

Verarbeitete personenbezogene Daten:

• Support-Anfragen: Name, E-Mail-Adresse, Telefonnummer, ggf. Identitätsnachweis, Support-Ticket-Informationen, ggf. Terminbuchungsdetails
• Beschwerden und Wahrnehmung von Rechten: Name, Geschlecht, E-MailAdresse, Telefonnummer, ggf. Identitätsnachweis, Fallbeschreibung, ggf. Termindaten
• Informationen über Änderungen an Diensten: Name, E-Mail-Adresse, BenutzerID, bisherige Nutzung der Dienste
• Geschäftswerbung (nur mit Einwilligung): Name, E-Mail-Adresse, Zustimmung zur Werbung

4.2 Auf welcher Rechtsgrundlage erfolgt die Verarbeitung?

Die Verarbeitung personenbezogener Daten erfolgt je nach Zweck auf unterschiedlichen Rechtsgrundlagen der DSGVO:

• Erstellung, Verwaltung und Löschung eines Nutzerkontos der Ärzte: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Bereitstellung von Informationen für Nutzer (z. B. Willkommensnachrichten, Entwicklungen, etc.): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

• Bearbeitung von Terminbuchungen (einschließlich Gesundheitsdaten):
• Allgemeine personenbezogene Daten (Name, E-Mail, Telefonnummer, Terminzeitpunkt): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Gesundheitsdaten (z. B. Grund der Terminbuchung, Beschwerden): Art. 9 Abs. 2 lit. a DSGVO (Einwilligung der betroffenen Person: Die Einwilligung erfolgt ausdrücklich über eine separate Zustimmung im Rahmen der Terminbuchung. Sie kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Insbesondere die Angabe von Gesundheitsdaten ist freiwillig und erfolgt nur mit ausdrücklicher Einwilligung gem. Art. 9 Abs. 2 lit. a DS-GVO. Ohne Einwilligung erfolgt keine Verarbeitung von Gesundheitsdaten durch uns.)

• Verbesserung der Plattform, Studien, Statistiken: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse, jedoch ausdrückliche Einwilligung des Nutzers erforderlich bei der Verwendung personenbezogener Daten), Art. 9 Abs. 2 lit. j DSGVO (wissenschaftliche Forschung)

• Bereitstellung eines Kartendienstes (z. B. Google Maps): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

• IT-Sicherheit und Betrugsprävention: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)

• Support, Beschwerden, Betroffenenrechte:

  Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung), insbesondere nach § 147 AO und § 257 HGB (Aufbewahrungspflichten für geschäftsrelevante Unterlagen)

• Geschäftswerbung:

  Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

4.3 Speicherdauer und Löschung der Daten

Die Speicherdauer personenbezogener Daten richtet sich nach dem jeweiligen Verarbeitungszweck sowie nach gesetzlichen Aufbewahrungspflichten und ggf. vertraglichen Vereinbarungen mit der jeweiligen Arztpraxis im Rahmen eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO). Wir speichern personenbezogene Daten nur so lange, wie dies zur Erfüllung dieser Zwecke erforderlich ist. Nach Ablauf der jeweiligen Fristen werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

• Patientendaten aus Terminbuchungen:

  Patientendaten, die im Rahmen der Terminbuchung erhoben werden, speichern wir nur so lange, wie dies zur Durchführung und Abwicklung des Termins erforderlich ist. Nach Durchführung des Termins und Abruf durch die jeweilige Arztpraxis erfolgt die Löschung der Daten innerhalb eines kurzen technisch notwendigen Zeitraums, in der Regel innerhalb von 14 Tagen, sofern keine anderweitigen gesetzlichen oder vertraglichen Verpflichtungen bestehen – etwa im Rahmen des mit der jeweiligen Praxis geschlossenen Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Die Pflicht zur medizinischen Dokumentation gemäß § 630f BGB betrikt ausschließlich die behandelnden Ärztinnen und Ärzte. Nach dem Zugrik durch die jeweilige Praxis liegt die weitere Verantwortung für die Datenverarbeitung bei dieser. Wir als technischer Dienstleister unterliegen keiner Pflicht zur dauerhaften Aufbewahrung und löschen sämtliche Patientendaten nach Wegfall des Verarbeitungszwecks unter Beachtung datenschutzrechtlicher Anforderungen.

• Daten von Ärzten und Praxen:
• Speicherung, solange das Konto aktiv ist; Löschung 6 Monate nach Deaktivierung

• Weitere personenbezogene Daten:
• Nutzerkonto-Verwaltung & Kommunikation: 6 Monate nach Deaktivierung
• Log-Daten zur IT-Sicherheit: Max. 12 Monate
• Beschwerdedaten:
• § 147 AO & § 257 HGB: Geschäftsrelevante Dokumente 6 Jahre
• § 147 Abs. 3 AO: Steuerliche Dokumente 10 Jahre
• Werbedaten: Bis Widerruf der Einwilligung

Nutzer können eine vorzeitige Löschung beantragen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Technisch notwendige Datensicherungen (Backups) erfolgen zur Gewährleistung der Betriebssicherheit. Diese werden regelmäßig überschrieben und spätestens nach Ablauf der vorgesehenen Speicherdauer automatisiert gelöscht. Eine langfristige Aufbewahrung von Patientendaten durch uns findet nicht statt.

5. Was machen wir mit Ihren personenbezogenen Daten als Auftragsverarbeiter?

Im Zusammenhang mit der Terminbuchung stellen wir lediglich die technische Infrastruktur bereit, um Patient:innen und Ärzt:innen miteinander zu verbinden. Dabei handeln wir gemäß Art. 28 DSGVO als sogenannter Auftragsverarbeiter im Auftrag der jeweiligen Arztpraxis.

Das bedeutet:

• Die behandelnde Arztpraxis ist datenschutzrechtlich verantwortlich (Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO).
• Wir verarbeiten Ihre personenbezogenen Daten ausschließlich auf Anweisung der Arztpraxis und nur zu dem Zweck, für den sie erhoben wurden (z. B. Terminvereinbarung).
• Wir nutzen Ihre Daten niemals für eigene Zwecke und geben sie nicht an Dritte weiter - ausgenommen gesetzlich vorgeschriebene Fälle. Weiterhin findet eine automatisierte Entscheidungsfindung einschließlich Marketing oder Profiling gem. Art. 22 DSGVO nicht statt.
• Unsere Mitarbeitenden sind zur Vertraulichkeit verpflichtet und es bestehen strenge technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer Daten (vgl. Abschnitt 9).

Die Einzelheiten zur Verarbeitung und zum Umfang der Datenverarbeitung ergeben sich aus den jeweiligen Auftragsverarbeitungsverträgen, die wir mit den Arztpraxen abgeschlossen haben. Falls Sie weitere Informationen zur Datenverarbeitung durch Ihre Arztpraxis wünschen, wenden Sie sich bitte direkt an diese. Wir haben keinen Einfluss auf die Datenverarbeitung nach dem Abruf der Daten durch die Praxis (siehe auch Abschnitt 7).

6. Nutzung unserer Website durch Minderjährige

6.1 Mindestalter und Zustimmung der Erziehungsberechtigten

Die Nutzung unserer Website und insbesondere die Eingabe personenbezogener Daten zur Terminvereinbarung ist grundsätzlich erst ab Vollendung des 16. Lebensjahres gestattet. Nutzer unter 16 Jahren dürfen unseren Online-Terminbuchungsdienst nur in Anspruch nehmen, wenn dies nach geltendem Recht zulässig ist oder eine Zustimmung der gesetzlichen Vertreter vorliegt.

Falls der Nutzer das 16. Lebensjahr noch nicht vollendet hat, kann eine Terminbuchung ausschließlich durch einen volljährigen Sorgeberechtigten erfolgen. In diesem Fall ist es erforderlich, dass der Erziehungsberechtigte die personenbezogenen Daten des minderjährigen Nutzers in das Terminbuchungssystem eingibt.

6.2 Welche Daten erfassen wir von Minderjährigen?

Bei der Nutzung unserer Online-Terminbuchung durch Minderjährige erheben und verarbeiten wir nur die für die Terminvereinbarung erforderlichen personenbezogenen Daten.

Dazu gehören:

• Name des minderjährigen Nutzers
• E-Mail-Adresse oder Telefonnummer (falls erforderlich für Terminbestätigung)
• Datum und Uhrzeit des gebuchten Termins
• Grund der Terminbuchung (optional)
• Name und Kontaktdaten des Erziehungsberechtigten (falls erforderlich zur Bestätigung der Zustimmung)

Diese Daten werden ausschließlich zur Abwicklung der Terminbuchung verwendet und nicht an Dritte weitergegeben, es sei denn, dies ist für die Durchführung des Termins erforderlich (z. B. Weitergabe an die gebuchte Arztpraxis). Die Verarbeitung erfolgt nur mit der Zustimmung des Erziehungsberechtigten oder im Rahmen der geltenden gesetzlichen Bestimmungen.

6.3 Besondere Sicherheit und Schutz der Daten

Die personenbezogenen Daten minderjähriger Nutzer unterliegen denselben Schutzmaßnahmen wie die Daten volljähriger Nutzer (s. Abschnitt 9). Darüber hinaus gilt:

• Eine Verarbeitung der Daten erfolgt nur nach ausdrücklicher Einwilligung eines Erziehungsberechtigten.
• Alle Daten werden verschlüsselt übertragen und nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist.

• Das Recht auf Löschung (Art. 17 DS-GVO) der Daten Minderjähriger durch Erziehungsberechtigte: Der Antrag auf Löschung kann schriftlich oder per E-Mail an die in Abschnitt 2 genannte verantwortliche Stelle gestellt werden. Die Löschung erfolgt (nach eventuell erforderlichem Identitätsnachweis) unverzüglich, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen.

7. Datenweitergabe an Dritte

Ihre personenbezogenen Daten werden ohne Ihre Einwilligung nicht an Handels- oder Werbeakteure oder sonstige Dritte übermittelt.

Die von Ihnen angegebenen personenbezogenen Daten werden ausschließlich zum Zweck der Terminbuchung verarbeitet und nur dem von Ihnen gewählten Arzt bzw. der jeweiligen Praxis zur Verfügung gestellt.

Die Arztpraxis erhält Zugriff auf die für den Termin relevanten Daten, indem sie sich in ihr Nutzerkonto auf unserer Plattform einloggt. Die Daten verbleiben auf unserem Server, bis der Arzt oder ein autorisierter Mitarbeiter der Praxis diese abruft. Ab diesem Zeitpunkt ist die jeweilige Praxis für die weitere Verarbeitung der Daten eigenständig verantwortlich.

Nach der Einsichtnahme durch den Arzt bzw. die Praxis unterliegt die weitere Datenverarbeitung deren Verantwortung gemäß Art. 4 Nr. 7 DS-GVO. Wir übernehmen keine Haftung für die weitere Nutzung der Daten durch die Arztpraxis. Bitte wenden Sie sich für weitergehende Informationen zur Datenverarbeitung direkt an die jeweilige Praxis.

8. Ihre Rechte gem. der DS-GVO

Durch die Betrokenenrechte der DS-GVO haben Sie volle Kontrolle über Ihre personenbezogenen Daten. Diese Rechte schützen Ihre Privatsphäre, ermöglichen Ihnen, Ihre Rechte aus der DS-GVO vollumfänglich wahrzunehmen und schaken Transparenz in der Datenverarbeitung.

Sie haben im Rahmen der Datenschutz-Grundverordnung (DS-GVO) folgende Rechte in Bezug auf Ihre personenbezogenen Daten:

• Auskunftsrecht, Art. 15 DS-GVO: Sie haben das Recht, eine Bestätigung darüber zu erhalten, ob wir personenbezogene Daten über Sie verarbeiten. Sollte dies der Fall sein, können Sie Auskunft über diese Daten sowie weitere Informationen zur Verarbeitung anfordern.
• Recht auf Berichtigung, Art. 16 DS-GVO: Sollen Ihre gespeicherten personenbezogenen Daten unrichtig oder unvollständig sein, können Sie deren Berichtigung oder Vervollständigung verlangen.
• Recht auf Löschung, Art. 17 DS-GVO: Sie können unter bestimmten Voraussetzungen verlangen, dass Ihre personenbezogenen Daten gelöscht werden, bspw. wenn sie für die ursprünglichen Zwecke nicht mehr erforderlich sind oder Sie Ihre Einwilligung widerrufen haben.
• Recht auf Einschränkung der Verarbeitung, Ar. 18 DS-GVO: In bestimmten Fällen können Sie verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird.
• Recht auf Datenübertragbarkeit, Art. 20 DS-GVO: Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder sie -soweit dies technisch möglich ist- direkt an einen anderen Verantwortlichen übertragen zu lassen.
• Recht auf Widerspruch, Art. 21 DS-GVO: Sie können der Verarbeitung Ihrer personenbezogenen Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Dieses Widerspruchsrecht der betrokenen Person muss spätestens bei der ersten Kommunikation ausdrücklich zur Kenntnis gebracht werden und muss zudem klar und getrennt von anderen Informationen gegeben werden. Falls die Verarbeitung auf Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DS-GVO basiert, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt hiervon unberührt.
• Recht, über den Verbleib Ihrer personenbezogenen Daten nach dem Tod zu bestimmen
• Recht auf Beschwerde bei einer Aufsichtsbehörde, Art. 77 DS-GVO (s. Abschnitt 13)

9. Datensicherheit

Wir legen großen Wert auf den Schutz Ihrer personenbezogenen Daten und setzen umfassende technische sowie organisatorische Maßnahmen ein, um deren Sicherheit zu gewährleisten. Diese Sicherheitsvorkehrungen entsprechen dem Stand der Technik sowie den Anforderungen der Datenschutz-Grundverordnung (DS-GVO), des Bundesdatenschutzgesetzes (BDSG) und insbesondere Art. 32 DS-GVO. Wir treffen alle geeigneten Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten – insbesondere im Hinblick auf die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit unserer Systeme und Dienste. Die Verarbeitung von Gesundheitsdaten erfolgt dabei unter besonders hohen Sicherheitsanforderungen.

a) Zwei-Faktor-Authentifizierung (2FA)

Für den Zugang zu unserem System implementieren wir ein Zwei-FaktorAuthentifizierungsverfahren, das eine zusätzliche Sicherheitsebene über das herkömmliche Passwort hinaus bereitstellt. Bei der Anmeldung wird neben dem Passwort ein einmaliger, zeitlich begrenzter Authentifizierungscode über ein separates, sicheres Kommunikationsmittel (z. B. E-Mail oder SMS) an den registrierten Nutzer übermittelt. Dieser Code muss innerhalb eines vorgegebenen Zeitraums in das entsprechende Eingabefeld eingegeben werden, um den Zugriff freizuschalten. Durch diese Maßnahme wird das Risiko unbefugter Zugriffe erheblich reduziert.

b) Verschlüsselung personenbezogener Daten

Um die Vertraulichkeit und Integrität Ihrer personenbezogenen Daten sicherzustellen, erfolgt die Übertragung sämtlicher Daten ausschließlich über verschlüsselte HTTPSVerbindungen. Darüber hinaus werden alle personenbezogenen Daten in unserer Datenbank ausschließlich in verschlüsselter Form persistiert. Eine Entschlüsselung der Daten erfolgt ausschließlich im Rahmen der vertraglich festgelegten Auftragserfüllung und stets unter strengen Zugriffskontrollen sowie unter Einsatz modernster kryptographischer Verfahren. Dieses Verfahren minimiert das Risiko unbefugter Datenzugriffe.

c) Regelmäßige Sicherheitsüberprüfungen Unsere gesamte IT-Infrastruktur sowie sämtliche implementierten Sicherheitsmaßnahmen werden regelmäßig und systematisch überprüft. Hierzu zählen unter anderem Penetrationstests, Schwachstellenanalysen sowie die kontinuierliche Überprüfung der Aktualität und Sicherheit der eingesetzten Softwarekomponenten. Ziel dieser regelmäßigen Sicherheitsüberprüfungen ist es, potenzielle Risiken frühzeitig zu identifizieren und zeitnah geeignete Maßnahmen zur Abwehr oder Behebung festgestellter Schwachstellen zu ergreifen. Dieses Vorgehen entspricht den Best Practices der IT-Sicherheit.

d) Zugriffskontrollen

Der Zugriff auf personenbezogene Daten ist strikt reglementiert und wird ausschließlich autorisierten Personen gewährt. Wir nutzen ein rollenbasiertes Zugriffskontrollsystem, das sicherstellt, dass nur befugte Mitarbeiterinnen und Mitarbeiter Zugang zu sensiblen Daten erhalten, sofern dies für die Erfüllung ihrer jeweiligen Aufgaben erforderlich ist. Zudem werden umfassende Zugriffsprotokolle geführt und regelmäßige Überprüfungen durchgeführt, um unbefugte Zugriffe umgehend zu erkennen und zu unterbinden. Diese Maßnahmen gewährleisten einen hohen Schutz Ihrer Daten.

e) Berufsgeheimnis und Vertraulichkeit

Im Rahmen der Verarbeitung von Gesundheitsdaten stellen wir sicher, dass sämtliche Informationen, die dem Berufsgeheimnis unterliegen, streng vertraulich behandelt werden. Ärzte und medizinisches Fachpersonal, die mit diesen Daten arbeiten, unterliegen der gesetzlichen Schweigepflicht und sind zur Einhaltung höchster Vertraulichkeitsstandards verpflichtet. Die Nutzung und Verarbeitung der Gesundheitsdaten erfolgten ausschließlich für die jeweils vertraglich vereinbarten Zwecke und unter strikter Beachtung aller gesetzlichen Bestimmungen. Somit wird die Vertraulichkeit Ihrer Gesundheitsdaten in gleicher Weise gewährleistet wie durch die gesetzlichen Regelungen zum ärztlichen Berufsgeheimnis.

Wir legen großen Wert auf den Schutz Ihrer personenbezogenen Daten und setzen technische sowie organisatorische Maßnahmen ein, um deren Sicherheit zu gewährleisten. Diese Maßnahmen entsprechen den Anforderungen der DatenschutzGrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG).

10. Cookies & Tracking-Technologien / Analyse-Tools

In unserer Webanwendung verwenden wir ausschließlich der standardmäßigen, technisch notwendigen Konfigurationen des Django Frameworks. Dabei kommen u. a. CSRF-Tokens, Session-Cookies und weitere unverzichtbare Mechanismen zum Einsatz, die zur Sicherstellung der Integrität und Funktionsfähigkeit der Anwendung beitragen. Diese Cookies und Trackingtechnologien werden ausschließlich zu sicherheitsrelevanten und betrieblichen Zwecken genutzt – eine weitergehende Verarbeitung oder Analyse personenbezogener Daten findet nicht statt. Durch diese Maßnahmen wird gewährleistet, dass sämtliche übermittelten und verarbeiteten Daten den datenschutzrechtlichen Anforderungen entsprechen.

11. Nutzung von Drittanbietern

Wir verwenden auf unserer Website Google reCAPTCHA V3, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Dieser Dienst hilft uns dabei, automatisierte Zugriffe (Bots) zu erkennen und unsere Website vor Missbrauch sowie technischen Angriffen zu schützen.

Im Rahmen von reCAPTCHA wird das Verhalten des Websitebesuchers analysiert (z. B. Mausbewegungen, Verweildauer, Interaktionen), um festzustellen, ob es sich um einen Menschen oder ein automatisiertes System handelt. Dabei können personenbezogene Daten wie die IP-Adresse, Informationen über das Nutzerverhalten sowie technische Daten des verwendeten Geräts verarbeitet und an Google übermittelt werden. Es kann nicht ausgeschlossen werden, dass diese Daten auch an Server der Google LLC mit Sitz in den USA übermittelt werden.

Die Nutzung von reCAPTCHA erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse am Schutz unserer Systeme und an einer sicheren Bereitstellung unseres Online-Angebots. Für etwaige Datenübermittlungen in Drittstaaten stützt sich Google auf die von der EU-Kommission genehmigten Standardvertragsklauseln gemäß Art. 46 DSGVO als geeignete Garantie im Sinne des Datenschutzrechts.

Weitere Informationen zur Datenverarbeitung durch Google erhalten Sie in der Datenschutzerklärung von Google unter:

https://policies.google.com/privacy
sowie unter:
https://www.google.com/recaptcha/about/

12. Aktualität und Änderung der Datenschutzerklärung

Wir behalten uns das Recht vor, die vorliegende Datenschutzerklärung zu ändern, zu ergänzen oder sie zu aktualisieren, um sie an die neusten gesetzlichen Vorgaben und technischen Entwicklungen anzupassen. Die jeweils gültige Version ist jederzeit auf dieser Seite abrufbar. Es ist darauf hinzuweisen, dass diese Online-Fassung die einzige gültige Fassung der Datenschutzhinweise ist.

13. Beschwerderecht bei der Aufsichtsbehörde

Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer Daten gegen geltende Datenschutzgesetze verstößt, können Sie sich an die zuständige Datenschutzbehörde Ihres Bundeslandes oder an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden.

Überblick über die Rechtsgrundlagen zur Verarbeitung personenbezogener Daten und spezielle Rechtsgrundlagen für Gesundheitsdaten (Art. 9 DSGVO):

Anhang

Anhang 1: Rechtsgrundlagen zur Verarbeitung personenbezogener Daten

Verarbeitungsvorgang	Rechtsgrundlage	Hinweise / Bedingungen
Nutzerkonto für Ärzte (Nutzerkonto)	Art. 6 Abs. 1 lit. b DSGVO	Vertragserfüllung
Terminbuchung (allg. personenbezogene Daten)	Art. 6 Abs. 1 lit. b DSGVO	Vertragserfüllung (Terminvereinbarung)
Gesundheitsdaten (z. B. Beschwerden)	Art. 9 Abs. 2 lit. a DSGVO	Einwilligung erforderlich, freiwillig, widerrufbar
Analyse & Optimierung (nicht gesundheitsbezogen)	Art. 6 Abs. 1 lit. f DSGVO	Berechtigtes Interesse (Websiteverbesserung)
Studien / Forschung (anonymisiert)	Art. 6 Abs. 1 lit. f i.V.m. Art. 9 Abs. 2 j	Nur mit ausreichender Pseudonymisierung und Schutzmaßnahmen
Support / Reklamation / Rechte	Art. 6 Abs. 1 lit. c DSGVO	Gesetzliche Verpflichtung (§ 147 AO, § 257 HGB)
Google reCAPTCHA	Art. 6 Abs. 1 lit. f DSGVO	Schutz vor Bots (siehe Abschnitt 11)

Anhang 2: Spezielle Rechtsgrundlagen für Gesundheitsdaten (Art. 9 DSGVO)

Verarbeitungsvorgang	Rechtsgrundlage	Hinweise / Bedingungen
Grund der Terminbuchung (Beschwerden etc.)	Art. 9 Abs. 2 lit. a DSGVO	Einwilligung erforderlich, ausdrücklich, freiwillig, jederzeit widerrufbar
Weiterverarbeitung durch die behandelnde Praxis	Art. 9 Abs. 2 lit. h DSGVO	Behandlung durch Fachpersonal, unter ärztlicher Schweigepflicht
Verarbeitung anonymisierter Gesundheitsdaten für Statistiken	Art. 9 Abs. 2 lit. j DSGVO	Nur zulässig mit Pseudonymisierung und strengen Zugriffsbeschränkungen
Verarbeitung durch technischen Dienstleister (uns)	Art. 9 Abs. 2 lit. a DSGVO	Nur mit ausdrücklicher Einwilligung, keine Speicherung über Zweck hinaus