Wellnerapy Zurück zur Website
Rechtliches

Datenschutzerklärung

Stand: 03.07.2026 · Version 2.5


1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Hayek Digital Consulting (Betreiber des Dienstes „Wellnerapy")
Inhaber: Timm Hayek
Ewaldsweg 14, 20537 Hamburg, Deutschland
E-Mail: info@wellnerapy.com
Telefon: 0176 38691383
Datenschutzbeauftragter: Timm Hayek

2. Geltungsbereich und unsere Doppelrolle

Diese Datenschutzerklärung gilt für die Website und die Web-Anwendung von Wellnerapy, erreichbar unter wellnerapy.com bzw. app.wellnerapy.com (nachfolgend „App"). Wellnerapy ist eine White-Label-Anwendung für Praxen und Fachleute im Gesundheitsbereich (zum Beispiel Physiotherapie, Osteopathie, Coaching), über die Übungspläne, tägliche Check-ins, Fortschritte und die Kommunikation mit Patient:innen verwaltet werden.

Wir nehmen je nach Datenverarbeitung zwei unterschiedliche Rollen ein:

  • Eigene Verantwortlichkeit: Für Besucher:innen der Website sowie für die Daten der Praxen und Behandler:innen, die ein Konto bei uns abschließen (Kundenverhältnis, Abrechnung, Support), sind wir Verantwortlicher im Sinne der DSGVO.
  • Auftragsverarbeitung: Soweit Praxen Wellnerapy nutzen, um Daten ihrer Patient:innen zu verarbeiten (Pläne, Check-ins, Gesundheits- und Nachrichtendaten), ist die jeweilige Praxis Verantwortliche und wir handeln als Auftragsverarbeiter nach Art. 28 DSGVO auf Weisung der Praxis. Grundlage ist der mit der Praxis geschlossene Auftragsverarbeitungsvertrag (AVV).

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (zum Beispiel Kontoführung, Bereitstellung der App, Abrechnung).
  • Art. 6 Abs. 1 lit. a DSGVO aufgrund deiner Einwilligung (zum Beispiel bei optionalen Funktionen, externen Medien oder, soweit erforderlich, für die Verarbeitung von Gesundheitsdaten).
  • Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten (zum Beispiel steuer- und handelsrechtliche Aufbewahrung von Rechnungen).
  • Art. 6 Abs. 1 lit. f DSGVO zur Wahrung berechtigter Interessen (zum Beispiel IT-Sicherheit, Missbrauchsvermeidung, Funktionsfähigkeit der App).
  • Für besondere Kategorien personenbezogener Daten (Gesundheitsdaten): Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) bzw. Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge, Behandlung) in Verbindung mit der Verantwortlichkeit der jeweiligen Praxis.

4. Hosting und Server-Logfiles

Die App wird auf Servern der Hetzner Online GmbH (Rechenzentrum in Deutschland, EU) betrieben. Beim Aufruf der App werden technisch notwendige Daten automatisch verarbeitet und in Server-Logfiles gespeichert, insbesondere: IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene URL oder Ressource, übertragene Datenmenge, Statuscode, Referrer-URL sowie Browser- und Gerätetyp (User-Agent).

Zweck ist die sichere und stabile Bereitstellung der App, die Fehlersuche und die Abwehr von Angriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Übertragung erfolgt verschlüsselt (TLS/HTTPS). Logfiles werden nur so lange gespeichert, wie es für diese Zwecke erforderlich ist.

5. Cookies, Schriftarten, lokale Speicherung und Einwilligung

Wir verwenden auf der Website nur technisch notwendige Mechanismen. Wir setzen keine Tracking-, Werbe- oder Analyse-Cookies von Drittanbietern ein.

  • Sitzungs- und Authentifizierungs-Cookies: Zur Anmeldung und sicheren Aufrechterhaltung deiner Sitzung (bereitgestellt über unseren Authentifizierungsdienst Supabase). Ohne diese ist eine Anmeldung nicht möglich.
  • Lokale Speicherung (localStorage) im Browser: Für Komforteinstellungen wie die Wahl zwischen Hell- und Dunkelmodus, gespeicherte Ansichts- und Filtereinstellungen sowie die Speicherung deiner Cookie-Auswahl. Diese Daten verbleiben auf deinem Gerät und werden nicht an uns übertragen.
  • Selbst gehostete Schriftarten: Alle Schriftarten werden von unserem eigenen Server ausgeliefert. Es werden keine Schriften von Google Fonts oder anderen Drittanbietern geladen. Es entsteht also keine Verbindung zu deren Servern und es wird keine IP-Adresse an solche Dienste übertragen.
  • Externe Medien nur mit Einwilligung: Die Terminbuchung (Calendly) und das Demovideo (Wistia) werden erst geladen, wenn du im Cookie-Banner ausdrücklich zustimmst. Vorher wird keine Verbindung zu diesen Anbietern aufgebaut und es werden keine Daten an sie übertragen. Bei Zustimmung können diese Anbieter Cookies setzen und Daten (zum Beispiel IP-Adresse, Geräte- und Nutzungsdaten) verarbeiten. Deine Auswahl kannst du jederzeit über den Link „Cookie-Einstellungen" im Seitenfuß ändern oder widerrufen.

Rechtsgrundlage für technisch notwendige Speicherung ist § 25 Abs. 2 TDDDG sowie Art. 6 Abs. 1 lit. b und f DSGVO; hierfür ist keine Einwilligung erforderlich. Für das Laden externer Medien ist deine Einwilligung nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO Grundlage.

6. Registrierung und Konto (Praxen und Behandler:innen)

Für die Nutzung des Praxis-Backends legst du ein Konto an. Dabei verarbeiten wir: Name, E-Mail-Adresse, Passwort (ausschließlich verschlüsselt und gehasht gespeichert), Name und Rolle der Praxis oder Einrichtung, Teamgröße sowie deine Angaben zur Zielsetzung. Optional verarbeiten wir Branding-Angaben (Logo, Marken- und Sekundärfarbe, Schriftart, Website-Adresse).

Authentifizierung, Datenbank und Datei-Speicher werden über Supabase Inc. (Rechenzentrum in der EU, Region Frankfurt oder Zentraleuropa) bereitgestellt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Im Rahmen der Registrierung schließt du zudem den Auftragsverarbeitungsvertrag (AVV) ab; Annahme und Zeitpunkt werden dokumentiert.

7. Vertragsabwicklung und Zahlungen (Stripe)

Für die kostenpflichtige Nutzung wickeln wir Zahlungen über Stripe ab (Stripe Payments Europe, Ltd., Irland; ggf. Stripe, Inc., USA). Beim Abschluss eines Abonnements erfassen wir bzw. Stripe insbesondere: Name, Rechnungsadresse, E-Mail-Adresse, gewählter Tarif sowie Zahlungsmittel-Daten (Karte oder SEPA-Lastschrift). Die vollständigen Zahlungsdaten werden ausschließlich bei Stripe verarbeitet; wir erhalten diese nicht im Klartext.

Wir speichern in unserem System lediglich Abo-Status, Tarif, nächste Fälligkeit sowie eine Stripe-Kunden- und Abonnement-Kennung. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. c DSGVO. Es gilt ergänzend die Datenschutzerklärung von Stripe.

8. E-Mail-Kommunikation (Resend)

Für den Versand von E-Mails (zum Beispiel Einladungen, Benachrichtigungen, tägliche Erinnerungen sowie automatisierte E-Mail-Serien und Rundmails) nutzen wir den Dienst Resend (Resend, Inc., USA). Dabei werden die E-Mail-Adresse, Betreff und Inhalt der Nachricht verarbeitet. Zu jedem Versand wird ein Protokoll (Empfänger, Betreff, Zeitpunkt, Zustellstatus) gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO. Für werbliche Rundmails ist die jeweilige Praxis verantwortlich und benötigt eine entsprechende Rechtsgrundlage (zum Beispiel Einwilligung).

9. Nutzung der Patienten-App und Gesundheitsdaten

Patient:innen nutzen die App auf Einladung ihrer Praxis. Dabei werden im Auftrag und unter Verantwortung der Praxis insbesondere folgende Daten verarbeitet:

  • Stammdaten: Name, E-Mail-Adresse, Konto- und Anmeldedaten.
  • Übungs- und Plandaten: zugewiesene Übungen, Gewohnheiten, Trainingspläne und Notizen.
  • Fortschritts- und Check-in-Daten: erledigte Übungen, Schmerz- und Belastungsangaben, tägliche Wohlbefindens-Check-ins (zum Beispiel Stimmung, kleine Erfolge, Zeit für sich) sowie der Therapietreue-Streak.
  • Kommunikationsdaten: Nachrichten zwischen Patient:in und Praxis sowie optionale Datei-Anhänge.

Ein Teil dieser Angaben, insbesondere Check-in-, Wohlbefindens-, Schmerz- und Nachrichteninhalte, kann Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO darstellen. Diese werden mit besonderer Sorgfalt verarbeitet.

Technisch ist durch eine mandantenweise Zugriffstrennung (Row-Level-Security) sichergestellt, dass nur die zuständige Praxis und die betroffene Person selbst auf ihre Daten zugreifen können.

10. KI-gestützte Funktionen

Wir setzen KI-Funktionen ein, um die Arbeit der Praxis zu unterstützen, zum Beispiel: Vorschläge für Übungspläne, Antwortvorschläge im Nachrichten-Postfach, Ergänzung von Übungsbeschreibungen sowie das Strukturieren von Kontaktdaten bei einem Massenimport.

Hierfür werden die jeweils erforderlichen Inhalte an Amazon Web Services (AWS Bedrock) übermittelt und dort von einem KI-Modell (Anthropic Claude) verarbeitet. Die Verarbeitung erfolgt in der Region Frankfurt (Deutschland, EU). Die übermittelten Inhalte werden nicht zum Training der KI-Modelle verwendet. Die KI erstellt ausschließlich Vorschläge; die Entscheidung trifft stets ein Mensch (Behandler:in). Eine ausschließlich automatisierte Entscheidung im Sinne des Art. 22 DSGVO findet nicht statt.

11. Terminbuchung (Demo-Call und Praxis)

Auf unserer Website bieten wir die Buchung eines kostenlosen Demo-Calls an. Dafür binden wir den Kalenderdienst Cal.com über dessen europäische Instanz (app.cal.eu, Hosting in der EU) ein. Der Kalender wird erst geladen, wenn du im Cookie-Banner dem Laden externer Medien zustimmst. Bei der Buchung werden Daten wie Name, E-Mail-Adresse und Terminwunsch bei Cal.com verarbeitet. Es gelten ergänzend die Datenschutzbestimmungen von Cal.com. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sowie die Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO).

Sofern eine Praxis in der App eine eigene Terminbuchung aktiviert, ist die jeweilige Praxis für die Auswahl und Einbindung verantwortlich.

12. Demovideo (Wistia)

Auf der Startseite bieten wir ein kurzes Demovideo an, das über den Dienst Wistia (Wistia, Inc., USA) bereitgestellt wird. Das Video und der zugehörige Player werden erst geladen, wenn du im Cookie-Banner externen Medien zustimmst. Erst dann kann Wistia Cookies setzen und Daten (zum Beispiel IP-Adresse, Geräte- und Nutzungsdaten) verarbeiten. Rechtsgrundlage ist deine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Es gilt ergänzend die Datenschutzerklärung von Wistia.

13. Empfänger und eingesetzte Dienstleister (Auftragsverarbeiter)

Zur Bereitstellung der App und der Website setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestehen bzw. bei externen Medien deine Einwilligung Grundlage ist:

DienstleisterZweckOrt / Sitz
Supabase Inc.Datenbank, Authentifizierung, Datei-SpeicherRechenzentrum EU (Frankfurt oder Zentraleuropa)
Hetzner Online GmbHServer-Hosting der AnwendungDeutschland (EU)
Amazon Web Services EMEA SARL (AWS Bedrock, Anthropic Claude)KI-gestützte FunktionenRegion Frankfurt, Deutschland (EU)
Stripe Payments Europe, Ltd. (ggf. Stripe, Inc.)Zahlungsabwicklung, RechnungenIrland (EU) / USA
Resend, Inc.Versand transaktionaler und automatisierter E-MailsUSA
Cal.com (europäische Instanz app.cal.eu)Terminbuchung Demo-Call (nur mit Einwilligung)EU
Wistia, Inc.Demovideo auf der Startseite (nur mit Einwilligung)USA

Darüber hinaus geben wir personenbezogene Daten nur weiter, wenn dies gesetzlich zulässig oder erforderlich ist (zum Beispiel gegenüber Behörden aufgrund rechtlicher Verpflichtung).

14. Übermittlung in Drittländer

Soweit Daten an Dienstleister mit Sitz oder Verarbeitung außerhalb der EU oder des EWR übermittelt werden (insbesondere Stripe, Resend und Wistia in den USA), erfolgt dies auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO. Dazu zählen die EU-Standardvertragsklauseln (Standard Contractual Clauses) und, soweit die Anbieter zertifiziert sind, das EU-U.S. Data Privacy Framework. Bei externen Medien erfolgt die Übermittlung zusätzlich auf Grundlage deiner Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO. Auf Wunsch stellen wir dir weitere Informationen zu den getroffenen Garantien zur Verfügung.

15. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

DatenkategorieSpeicherdauer
Konto- und Stammdaten (Praxis und Patient:innen)Bis zur Löschung des Kontos bzw. Beendigung des Nutzungsverhältnisses; Patientendaten können von der Praxis und der betroffenen Person jederzeit gelöscht werden.
Gesundheits-, Check-in- und PlandatenFür die Dauer der Nutzung; Löschung auf Weisung der Praxis bzw. durch die betroffene Person.
Datei-Anhänge in NachrichtenAutomatische Löschung nach 6 Wochen.
Rechnungs- und ZahlungsbelegeGesetzliche Aufbewahrung (in der Regel 10 Jahre, § 147 AO, § 257 HGB).
E-Mail-VersandprotokolleNur so lange wie zur Nachvollziehbarkeit der Zustellung erforderlich.
Server-LogfilesKurzfristig, anschließend Löschung.
Cookie-Einwilligung (localStorage)Auf deinem Gerät, bis du sie zurücksetzt oder änderst.

16. Deine Rechte als betroffene Person

Dir stehen nach der DSGVO folgende Rechte zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen Verarbeitungen, die auf einem berechtigten Interesse beruhen (Art. 21 DSGVO)
  • Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO)

Betrifft dein Anliegen Daten, die eine Praxis als Verantwortliche über die App verarbeitet, wende dich bitte zunächst an die jeweilige Praxis. Im Übrigen kannst du deine Rechte uns gegenüber unter datenschutz@wellnerapy.com geltend machen.

17. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist unter anderem die Aufsichtsbehörde deines üblichen Aufenthaltsorts oder unsere zuständige Behörde:

Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Ludwig-Erhard-Str. 22, 20459 Hamburg
Telefon: 040 428 54 4040
E-Mail: mailbox@datenschutz.hamburg.de
Website: datenschutz-hamburg.de

18. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter Daten ist für den Abschluss und die Durchführung des Vertrags bzw. die Nutzung der App erforderlich (zum Beispiel Name, E-Mail-Adresse, Zahlungsdaten). Ohne diese Daten können wir die App nicht oder nicht vollständig bereitstellen. Optionale Angaben sind als solche gekennzeichnet.

19. Automatisierte Entscheidungsfindung und Profiling

Eine ausschließlich automatisierte Entscheidung im Einzelfall einschließlich Profiling mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO findet nicht statt. KI-Funktionen liefern lediglich Vorschläge, über deren Verwendung stets ein Mensch entscheidet (siehe Abschnitt 10).

20. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um deine Daten zu schützen. Dazu gehören insbesondere:

  • Verschlüsselte Datenübertragung (TLS/HTTPS)
  • Authentifizierung und rollenbasierte Berechtigungen
  • Mandantenweise Datentrennung (Row-Level-Security) je Praxis
  • Abgesicherte Datei-Speicher
  • Regelmäßige Sicherungen
  • Betrieb in Rechenzentren innerhalb der EU

21. Minderjährige

Die App richtet sich an Fachleute im Gesundheitsbereich und deren Patient:innen. Werden Daten von Minderjährigen verarbeitet, ist hierfür die jeweilige Praxis als Verantwortliche zuständig und hat die erforderlichen Einwilligungen (zum Beispiel der Sorgeberechtigten) einzuholen.

22. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen der von uns durchgeführten Datenverarbeitungen oder der rechtlichen Rahmenbedingungen dies erforderlich machen. Es gilt jeweils die auf der App veröffentlichte, aktuelle Fassung.

Wellnerapy
Startseite Datenschutz Impressum Cookie-Einstellungen
© 2026 Wellnerapy. Alle Rechte vorbehalten.