Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Hayek Digital Consulting (Betreiber des Dienstes „Wellnerapy")
Inhaber: Timm Hayek
Ewaldsweg 14, 20537 Hamburg, Deutschland
E-Mail: info@wellnerapy.com
Telefon: 0176 38691383
Datenschutzbeauftragter: Timm Hayek
Diese Datenschutzerklärung gilt für die Website und die Web-Anwendung von Wellnerapy, erreichbar unter wellnerapy.com bzw. app.wellnerapy.com (nachfolgend „App"). Wellnerapy ist eine White-Label-Anwendung für Praxen und Fachleute im Gesundheitsbereich (zum Beispiel Physiotherapie, Osteopathie, Coaching), über die Übungspläne, tägliche Check-ins, Fortschritte und die Kommunikation mit Patient:innen verwaltet werden.
Wir nehmen je nach Datenverarbeitung zwei unterschiedliche Rollen ein:
Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen:
Die App wird auf Servern der Hetzner Online GmbH (Rechenzentrum in Deutschland, EU) betrieben. Beim Aufruf der App werden technisch notwendige Daten automatisch verarbeitet und in Server-Logfiles gespeichert, insbesondere: IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene URL oder Ressource, übertragene Datenmenge, Statuscode, Referrer-URL sowie Browser- und Gerätetyp (User-Agent).
Zweck ist die sichere und stabile Bereitstellung der App, die Fehlersuche und die Abwehr von Angriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Übertragung erfolgt verschlüsselt (TLS/HTTPS). Logfiles werden nur so lange gespeichert, wie es für diese Zwecke erforderlich ist.
Wir verwenden auf der Website nur technisch notwendige Mechanismen. Wir setzen keine Tracking-, Werbe- oder Analyse-Cookies von Drittanbietern ein.
Rechtsgrundlage für technisch notwendige Speicherung ist § 25 Abs. 2 TDDDG sowie Art. 6 Abs. 1 lit. b und f DSGVO; hierfür ist keine Einwilligung erforderlich. Für das Laden externer Medien ist deine Einwilligung nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO Grundlage.
Für die Nutzung des Praxis-Backends legst du ein Konto an. Dabei verarbeiten wir: Name, E-Mail-Adresse, Passwort (ausschließlich verschlüsselt und gehasht gespeichert), Name und Rolle der Praxis oder Einrichtung, Teamgröße sowie deine Angaben zur Zielsetzung. Optional verarbeiten wir Branding-Angaben (Logo, Marken- und Sekundärfarbe, Schriftart, Website-Adresse).
Authentifizierung, Datenbank und Datei-Speicher werden über Supabase Inc. (Rechenzentrum in der EU, Region Frankfurt oder Zentraleuropa) bereitgestellt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Im Rahmen der Registrierung schließt du zudem den Auftragsverarbeitungsvertrag (AVV) ab; Annahme und Zeitpunkt werden dokumentiert.
Für die kostenpflichtige Nutzung wickeln wir Zahlungen über Stripe ab (Stripe Payments Europe, Ltd., Irland; ggf. Stripe, Inc., USA). Beim Abschluss eines Abonnements erfassen wir bzw. Stripe insbesondere: Name, Rechnungsadresse, E-Mail-Adresse, gewählter Tarif sowie Zahlungsmittel-Daten (Karte oder SEPA-Lastschrift). Die vollständigen Zahlungsdaten werden ausschließlich bei Stripe verarbeitet; wir erhalten diese nicht im Klartext.
Wir speichern in unserem System lediglich Abo-Status, Tarif, nächste Fälligkeit sowie eine Stripe-Kunden- und Abonnement-Kennung. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. c DSGVO. Es gilt ergänzend die Datenschutzerklärung von Stripe.
Für den Versand von E-Mails (zum Beispiel Einladungen, Benachrichtigungen, tägliche Erinnerungen sowie automatisierte E-Mail-Serien und Rundmails) nutzen wir den Dienst Resend (Resend, Inc., USA). Dabei werden die E-Mail-Adresse, Betreff und Inhalt der Nachricht verarbeitet. Zu jedem Versand wird ein Protokoll (Empfänger, Betreff, Zeitpunkt, Zustellstatus) gespeichert.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO. Für werbliche Rundmails ist die jeweilige Praxis verantwortlich und benötigt eine entsprechende Rechtsgrundlage (zum Beispiel Einwilligung).
Patient:innen nutzen die App auf Einladung ihrer Praxis. Dabei werden im Auftrag und unter Verantwortung der Praxis insbesondere folgende Daten verarbeitet:
Ein Teil dieser Angaben, insbesondere Check-in-, Wohlbefindens-, Schmerz- und Nachrichteninhalte, kann Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO darstellen. Diese werden mit besonderer Sorgfalt verarbeitet.
Technisch ist durch eine mandantenweise Zugriffstrennung (Row-Level-Security) sichergestellt, dass nur die zuständige Praxis und die betroffene Person selbst auf ihre Daten zugreifen können.
Wir setzen KI-Funktionen ein, um die Arbeit der Praxis zu unterstützen, zum Beispiel: Vorschläge für Übungspläne, Antwortvorschläge im Nachrichten-Postfach, Ergänzung von Übungsbeschreibungen sowie das Strukturieren von Kontaktdaten bei einem Massenimport.
Hierfür werden die jeweils erforderlichen Inhalte an Amazon Web Services (AWS Bedrock) übermittelt und dort von einem KI-Modell (Anthropic Claude) verarbeitet. Die Verarbeitung erfolgt in der Region Frankfurt (Deutschland, EU). Die übermittelten Inhalte werden nicht zum Training der KI-Modelle verwendet. Die KI erstellt ausschließlich Vorschläge; die Entscheidung trifft stets ein Mensch (Behandler:in). Eine ausschließlich automatisierte Entscheidung im Sinne des Art. 22 DSGVO findet nicht statt.
Auf unserer Website bieten wir die Buchung eines kostenlosen Demo-Calls an. Dafür binden wir den Kalenderdienst Cal.com über dessen europäische Instanz (app.cal.eu, Hosting in der EU) ein. Der Kalender wird erst geladen, wenn du im Cookie-Banner dem Laden externer Medien zustimmst. Bei der Buchung werden Daten wie Name, E-Mail-Adresse und Terminwunsch bei Cal.com verarbeitet. Es gelten ergänzend die Datenschutzbestimmungen von Cal.com. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sowie die Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO).
Sofern eine Praxis in der App eine eigene Terminbuchung aktiviert, ist die jeweilige Praxis für die Auswahl und Einbindung verantwortlich.
Auf der Startseite bieten wir ein kurzes Demovideo an, das über den Dienst Wistia (Wistia, Inc., USA) bereitgestellt wird. Das Video und der zugehörige Player werden erst geladen, wenn du im Cookie-Banner externen Medien zustimmst. Erst dann kann Wistia Cookies setzen und Daten (zum Beispiel IP-Adresse, Geräte- und Nutzungsdaten) verarbeiten. Rechtsgrundlage ist deine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Es gilt ergänzend die Datenschutzerklärung von Wistia.
Zur Bereitstellung der App und der Website setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestehen bzw. bei externen Medien deine Einwilligung Grundlage ist:
| Dienstleister | Zweck | Ort / Sitz |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Datei-Speicher | Rechenzentrum EU (Frankfurt oder Zentraleuropa) |
| Hetzner Online GmbH | Server-Hosting der Anwendung | Deutschland (EU) |
| Amazon Web Services EMEA SARL (AWS Bedrock, Anthropic Claude) | KI-gestützte Funktionen | Region Frankfurt, Deutschland (EU) |
| Stripe Payments Europe, Ltd. (ggf. Stripe, Inc.) | Zahlungsabwicklung, Rechnungen | Irland (EU) / USA |
| Resend, Inc. | Versand transaktionaler und automatisierter E-Mails | USA |
| Cal.com (europäische Instanz app.cal.eu) | Terminbuchung Demo-Call (nur mit Einwilligung) | EU |
| Wistia, Inc. | Demovideo auf der Startseite (nur mit Einwilligung) | USA |
Darüber hinaus geben wir personenbezogene Daten nur weiter, wenn dies gesetzlich zulässig oder erforderlich ist (zum Beispiel gegenüber Behörden aufgrund rechtlicher Verpflichtung).
Soweit Daten an Dienstleister mit Sitz oder Verarbeitung außerhalb der EU oder des EWR übermittelt werden (insbesondere Stripe, Resend und Wistia in den USA), erfolgt dies auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO. Dazu zählen die EU-Standardvertragsklauseln (Standard Contractual Clauses) und, soweit die Anbieter zertifiziert sind, das EU-U.S. Data Privacy Framework. Bei externen Medien erfolgt die Übermittlung zusätzlich auf Grundlage deiner Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO. Auf Wunsch stellen wir dir weitere Informationen zu den getroffenen Garantien zur Verfügung.
Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
| Datenkategorie | Speicherdauer |
|---|---|
| Konto- und Stammdaten (Praxis und Patient:innen) | Bis zur Löschung des Kontos bzw. Beendigung des Nutzungsverhältnisses; Patientendaten können von der Praxis und der betroffenen Person jederzeit gelöscht werden. |
| Gesundheits-, Check-in- und Plandaten | Für die Dauer der Nutzung; Löschung auf Weisung der Praxis bzw. durch die betroffene Person. |
| Datei-Anhänge in Nachrichten | Automatische Löschung nach 6 Wochen. |
| Rechnungs- und Zahlungsbelege | Gesetzliche Aufbewahrung (in der Regel 10 Jahre, § 147 AO, § 257 HGB). |
| E-Mail-Versandprotokolle | Nur so lange wie zur Nachvollziehbarkeit der Zustellung erforderlich. |
| Server-Logfiles | Kurzfristig, anschließend Löschung. |
| Cookie-Einwilligung (localStorage) | Auf deinem Gerät, bis du sie zurücksetzt oder änderst. |
Dir stehen nach der DSGVO folgende Rechte zu:
Betrifft dein Anliegen Daten, die eine Praxis als Verantwortliche über die App verarbeitet, wende dich bitte zunächst an die jeweilige Praxis. Im Übrigen kannst du deine Rechte uns gegenüber unter datenschutz@wellnerapy.com geltend machen.
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist unter anderem die Aufsichtsbehörde deines üblichen Aufenthaltsorts oder unsere zuständige Behörde:
Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Ludwig-Erhard-Str. 22, 20459 Hamburg
Telefon: 040 428 54 4040
E-Mail: mailbox@datenschutz.hamburg.de
Website: datenschutz-hamburg.de
Die Bereitstellung bestimmter Daten ist für den Abschluss und die Durchführung des Vertrags bzw. die Nutzung der App erforderlich (zum Beispiel Name, E-Mail-Adresse, Zahlungsdaten). Ohne diese Daten können wir die App nicht oder nicht vollständig bereitstellen. Optionale Angaben sind als solche gekennzeichnet.
Eine ausschließlich automatisierte Entscheidung im Einzelfall einschließlich Profiling mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO findet nicht statt. KI-Funktionen liefern lediglich Vorschläge, über deren Verwendung stets ein Mensch entscheidet (siehe Abschnitt 10).
Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um deine Daten zu schützen. Dazu gehören insbesondere:
Die App richtet sich an Fachleute im Gesundheitsbereich und deren Patient:innen. Werden Daten von Minderjährigen verarbeitet, ist hierfür die jeweilige Praxis als Verantwortliche zuständig und hat die erforderlichen Einwilligungen (zum Beispiel der Sorgeberechtigten) einzuholen.
Wir passen diese Datenschutzerklärung an, sobald Änderungen der von uns durchgeführten Datenverarbeitungen oder der rechtlichen Rahmenbedingungen dies erforderlich machen. Es gilt jeweils die auf der App veröffentlichte, aktuelle Fassung.