Datenschutzerklärung

1. Personenbezogene Daten

Personenbezogene Daten sind alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 Bundesdatenschutzgesetz). Beispielhaft seien hier Daten wie der Name, die Anschrift, die E-Mail-Adresse, die Telefonnummer, Geburtsdatum, Versicherungsnummer und wohl auch die IP-Adresse genannt.

2. Hosting und technische Infrastruktur

Unsere Website und das Patientenportal werden auf Servern der IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Deutschland) gehostet. IONOS ist ein deutscher Hosting-Anbieter, der höchste Sicherheitsstandards erfüllt:

• ISO 27001 Zertifizierung: Internationaler Standard für Informationssicherheits-Managementsysteme
• C5-Testat (BSI): Cloud Computing Compliance Criteria Catalogue des Bundesamtes für Sicherheit in der Informationstechnik
• Rechenzentren in Deutschland: Alle Daten werden ausschließlich in deutschen Rechenzentren gespeichert

3. Erhebung und Speicherung von personenbezogenen Daten

a. Besuch der Website

Durch den Besuch unserer Website werden durch den Browser Daten erhoben und diese automatisch an unseren Server gesendet. Folgende Informationen werden dabei erfasst:

• Browsertyp und -version
• verwendetes Betriebssystem
• Referrer URL (die zuvor besuchte Seite)
• IP-Adresse des zugreifenden Rechners
• Zugriffsdatum und -uhrzeit der Serveranfrage

a.1 Einbindung externer Inhalte (CDN)

Auf einzelnen Seiten binden wir technisch notwendige Bibliotheken über externe Server (sog. Content Delivery Networks, „CDN“) ein, um die Darstellung und Bedienbarkeit der Website zu gewährleisten. Dabei wird beim Abruf der Dateien Ihre IP-Adresse sowie technische Zugriffsdaten an den jeweiligen Anbieter übertragen.

• Tailwind CSS CDN: https://cdn.tailwindcss.com
• Lucide Icons: https://unpkg.com (z. B. lucide@latest)
• Telefonnummern-Validierung (Registrierung): https://unpkg.com (libphonenumber-js)

b. Nutzung des Patientenportals

Bei der Registrierung und Nutzung unseres Patientenportals werden folgende Daten erhoben:

• Registrierungsdaten: Name, Vorname, E-Mail-Adresse, Geburtsdatum, Telefonnummer, Anschrift
• Gesundheitsdaten: Versicherungsinformationen, Gesundheitskarte (eGK-Daten)
• Kommunikationsdaten: Anfragen zu Rezepten, Überweisungen, Krankmeldungen
• Dokumentendaten: Hochgeladene Dokumente wie Befunde oder Überweisungsscheine

c. Newsletter und Benachrichtigungen

Wenn Sie sich für unseren Newsletter anmelden, speichern wir Ihre E-Mail-Adresse. Diese wird ausschließlich für den Versand von praxisrelevanten Informationen wie Urlaubszeiten, Schließungen oder wichtigen Mitteilungen verwendet.

c.1 Benachrichtigungen per E-Mail und/oder SMS (optional)

Je nach von Ihnen gewählter Einstellung können Benachrichtigungen und Statusmeldungen (z. B. zu Rezept- oder Dokumentenanfragen) per E-Mail und/oder per SMS versendet werden. Hierzu verarbeiten wir Ihre E-Mail-Adresse und ggf. Ihre Telefonnummer.

Für den Versand von SMS nutzen wir den Dienstleister seven communications GmbH & Co. KG („seven.io“). Dabei werden insbesondere die Telefonnummer, der SMS-Text sowie technische Versanddaten an seven.io übermittelt.

d. Postalischer Versand von Rechnungen und medizinischen Unterlagen

Um unsere Verwaltungsabläufe effizient zu gestalten und den postalischen Versand von Dokumenten (z. B. Rechnungen, Befunde oder Behandlungsunterlagen) abzuwickeln, nehmen wir die Dienste spezialisierter Dienstleister in Anspruch.

• Empfänger der Daten: simple Communication GmbH, Salzdahlumer Str. 196, 38126 Braunschweig, sowie deren Unterauftragnehmer für Postdienstleistungen (z. B. letterei.de Postdienste GmbH).
• Art der Daten: Stammdaten (Name, Anschrift) sowie inhaltsbezogene Daten, die für die Abrechnung oder den Versand notwendig sind (einschließlich besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten/Diagnosen).
• Zweck der Verarbeitung: Erfüllung des Behandlungsvertrages sowie die ordnungsgemäße Abrechnung erbrachter Leistungen.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge und Verwaltung von Systemen im Gesundheitsbereich).
• Sicherheit und Geheimhaltung: Wir haben mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Der Dienstleister ist zudem ausdrücklich auf die Wahrung der ärztlichen Schweigepflicht gemäß § 203 StGB verpflichtet worden. Eine Verarbeitung der Daten zu anderen Zwecken durch den Dienstleister findet nicht statt.

4. Datensicherheit und Verschlüsselung

Wir setzen gemäß Art. 32 Abs. 1 EU-DSGVO umfassende technische und organisatorische Maßnahmen ein:

a. Transportverschlüsselung

Sämtliche Datenübertragungen erfolgen über eine SSL/TLS 1.3 Verschlüsselung mit 256-Bit AES – die gleiche Technologie, die auch von Banken und Behörden verwendet wird.

b. Datenspeicherung

Ihre Daten werden in einer verschlüsselten MariaDB-Datenbank gespeichert. Passwörter werden mittels bcrypt-Hash-Verfahren irreversibel verschlüsselt.

c. Serverstandort

Alle Server befinden sich in deutschen Rechenzentren der IONOS SE.

5. Rechtsgrundlage für die Datenverarbeitung

• Website-Besuch: Art. 6 Abs. 1 S. 1 lit. f EU-DSGVO (berechtigtes Interesse)
• Patientenportal: Art. 6 Abs. 1 S. 1 lit. b EU-DSGVO (Vertragserfüllung) und Art. 9 Abs. 2 lit. h EU-DSGVO (Gesundheitsdaten)
• Newsletter: Art. 6 Abs. 1 S. 1 lit. a EU-DSGVO (Einwilligung)
• Benachrichtigungen (E-Mail/SMS): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/Portal-Nutzung); soweit eine Auswahl/Einwilligung erforderlich ist, Art. 6 Abs. 1 lit. a DSGVO

6. Speicherdauer

• Server-Logfiles: automatische Löschung nach 7 Tagen
• Patientendaten: 10 Jahre nach Abschluss der Behandlung (gemäß § 630f BGB)
• Kontaktanfragen: nach Abschluss der Bearbeitung, spätestens nach 3 Jahren
• Newsletter-Abonnements: bis zum Widerruf
• Browser-Speicher (LocalStorage/SessionStorage): bis zum Logout oder bis zur manuellen Löschung durch Sie (z. B. Browserdaten löschen)

7. Cookies und lokale Speichertechnologien

Wir setzen auf unserer Website und im Patientenportal vorrangig technisch notwendige Speichertechnologien ein:

• Cookies: Speicherung Ihrer Cookie-Präferenzen (z. B. Einwilligungsstatus).
• LocalStorage/SessionStorage: Zur Aufrechterhaltung Ihrer Anmeldung im Patientenportal und für bestimmte Komfortfunktionen (z. B. Anzeigezustände) kann ein Anmelde-Token bzw. ein Sitzungsstatus im Browser gespeichert werden.

Es werden keine Tracking-Cookies zur Reichweitenmessung/Profilbildung eingesetzt. Bitte beachten Sie: Wenn externe Inhalte (CDN) eingebunden werden, können deren Anbieter technische Zugriffsdaten verarbeiten.

8. Ihre Rechte

• Recht auf Auskunft (Art. 15 EU-DSGVO)
• Recht auf Berichtigung (Art. 16 EU-DSGVO)
• Recht auf Löschung (Art. 17 EU-DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 EU-DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 EU-DSGVO)
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 EU-DSGVO)
• Recht auf Widerspruch (Art. 21 EU-DSGVO)

Beschwerderecht bei der Aufsichtsbehörde

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
Telefon: 0711/615541-0
E-Mail: poststelle@lfdi.bwl.de