Zum Hauptinhalt springen

    Datenschutzerklärung

    Stand: Dezember 2024

    Datenschutz auf einen Blick

    Verantwortlicher:DOCTO24 LTD (Zypern)
    EU-Vertreter & DSB:heyData GmbH (Art. 27 DSGVO)
    Rechtsgrundlagen:Art. 6 lit. a, b; Art. 9 lit. a, h DSGVO
    Betroffenenrechte:Auskunft, Löschung, Widerspruch u.v.m.

    1. Verantwortlicher und Kontakt

    DOCTO24 LTD
    Registriert in der Republik Zypern
    Company Number: ΗΕ 481142
    Μακαρίου ΙΙΙ, 228
    AGIOS PAVLOS, BLOCK A, Floor 7, Flat/Office 712
    3030, Limassol, Zypern

    E-Mail: privacy@docto24.de

    Die DOCTO24 LTD ist ein in der Republik Zypern registriertes Unternehmen und unterliegt vollständig der EU-Datenschutz-Grundverordnung (DSGVO). Als EU-Unternehmen gelten für uns die gleichen hohen Datenschutzstandards wie für Unternehmen in Deutschland oder anderen EU-Mitgliedstaaten.

    2. Datenschutzbeauftragter und EU-Vertreter

    Gemäß Art. 27 DSGVO haben wir einen Vertreter in der EU benannt, der auch als Datenschutzbeauftragter fungiert:

    heyData GmbH
    Schützenstraße 5, 10117 Berlin, Deutschland
    Website: www.heydata.eu
    E-Mail: datenschutz@heydata.eu

    Zuständige Aufsichtsbehörde in Zypern:
    Commissioner for Personal Data Protection
    1 Iasonos Street, 1082 Nicosia, Cyprus
    www.dataprotection.gov.cy

    Alternativ können Sie sich auch an die Datenschutzbehörde Ihres Wohnsitzlandes wenden (z.B. BfDI in Deutschland, CNIL in Frankreich).

    Zuständige Aufsichtsbehörde in Österreich:

    Österreichische Datenschutzbehörde (DSB)
    Barichgasse 40-42, 1030 Wien
    E-Mail: dsb@dsb.gv.at
    www.dsb.gv.at

    Gemäß § 1 DSG (Datenschutzgesetz) genießt das Recht auf Datenschutz in Österreich Verfassungsrang.

    Für die Verarbeitung von Gesundheitsdaten über Telekommunikation gelten zusätzlich die Bestimmungen des Gesundheitstelematikgesetzes 2012 (GTelG), insbesondere §§ 6-8 zur Ende-zu-Ende-Verschlüsselung elektronischer Gesundheitsdaten.

    3. Geltungsbereich

    Diese Datenschutzerklärung gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen der Nutzung der Docto24-Plattform (Website und Apps) sowie aller damit verbundenen telemedizinischen Dienstleistungen.

    Docto24 erbringt seine Dienstleistungen derzeit in Deutschland und plant die Ausweitung auf weitere EU-Länder (z.B. Frankreich). In jedem Land werden ausschließlich Ärzte mit gültiger Approbation im jeweiligen Land des Patienten eingesetzt.

    4. Rollentrennung: Wer ist wofür verantwortlich?

    Bei der Nutzung unserer Plattform gibt es unterschiedliche datenschutzrechtliche Verantwortlichkeiten:

    DOCTO24 LTD als Verantwortlicher

    • Betrieb der Plattform und technische Infrastruktur
    • Nutzerregistrierung und Kontoverwaltung
    • Erfassung Ihres Anliegens (Anamnesefragebogen)
    • Vermittlung an einen geeigneten Arzt
    • Zahlungsabwicklung für Plattformgebühren
    • Kundenservice und Support

    Der behandelnde Arzt als Verantwortlicher

    • Medizinische Behandlung und Diagnose
    • Führung der Patientenakte (Dokumentationspflicht)
    • Ausstellung von Rezepten und Attesten
    • Ärztliche Schweigepflicht gemäß § 203 StGB

    Der Behandlungsvertrag kommt ausschließlich zwischen Ihnen und dem behandelnden Arzt zustande.

    Partnerapotheken als Verantwortliche

    • Prüfung und Ausgabe von Rezepten
    • Versand von Arzneimitteln
    • Pharmazeutische Beratung

    Für die Datenverarbeitung durch Partnerapotheken gelten deren eigene Datenschutzerklärungen.

    5. Begriffsdefinitionen

    6. Rechtsgrundlagen der Verarbeitung

    Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (Für optionale Cookies, Marketing-Kommunikation)

    Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Für die Erbringung der Plattformdienste)

    Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (Für Aufbewahrungspflichten, BtM-Dokumentation)

    Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Für Betrugsprävention, Plattformsicherheit)

    Art. 9 Abs. 2 lit. a DSGVO – Ausdrückliche Einwilligung (Für Gesundheitsdaten bei der Anamnese)

    Art. 9 Abs. 2 lit. h DSGVO – Gesundheitsversorgung (Für die ärztliche Behandlung und Versorgung)

    7. Datenkategorien und Zwecke

    KategorieDatenZweckRechtsgrundlage
    Stamm- und KontodatenName, E-Mail, Geburtsdatum, Adresse, TelefonnummerRegistrierung, Login, KontoverwaltungArt. 6 Abs. 1 lit. b DSGVO
    GesundheitsdatenAnamneseantworten, Diagnosen, Verschreibungen, BefundeMedizinische Anamnese, Diagnose, BehandlungArt. 9 Abs. 2 lit. a, h DSGVO
    IdentifikationsdatenAusweisdokument (Foto), ggf. Selfie zur VerifikationAlters- und Identitätsprüfung (gesetzliche Pflicht)Art. 6 Abs. 1 lit. c DSGVO
    ZahlungsdatenZahlungsmethode, Transaktionsdaten, RechnungsadresseAbwicklung von Zahlungen, RechnungsstellungArt. 6 Abs. 1 lit. b DSGVO
    NutzungsdatenIP-Adresse (anonymisiert), Seitenaufrufe, GeräteinformationenPlattformoptimierung, FehlerbehebungArt. 6 Abs. 1 lit. f DSGVO
    KommunikationsdatenE-Mails, Chat-Nachrichten, Support-AnfragenSupport, Benachrichtigungen, Arzt-Patienten-ChatArt. 6 Abs. 1 lit. b DSGVO

    8. Besonderer Schutz von Gesundheitsdaten

    Gesundheitsdaten unterliegen einem besonderen Schutz nach Art. 9 DSGVO. Wir setzen folgende Maßnahmen zum Schutz Ihrer sensiblen Daten um:

    • Ende-zu-Ende-Verschlüsselung aller Gesundheitsdaten bei Übertragung
    • Verschlüsselte Speicherung in der EU (AES-256)
    • Zugriffsprotokollierung (Audit-Log) für alle Datenzugriffe
    • Strikte Zugriffsbeschränkung nach dem Minimalprinzip
    • Regelmäßige Sicherheitsaudits durch externe Prüfer
    • Separate Datenbanken für medizinische und administrative Daten

    9. Datenverarbeitung bei Cannabis-Verschreibungen

    Aufgrund der besonderen regulatorischen Anforderungen gelten für die Verschreibung von medizinischem Cannabis zusätzliche Regelungen:

    • Dokumentation gemäß Medizinal-Cannabisgesetz (MedCanG)
    • Mengendokumentation und Einhaltung gesetzlicher Limits (100g/30 Tage)
    • Keine Weitergabe von Patientendaten an Behörden ohne richterlichen Beschluss
    • Getrennte Speicherung von Cannabis-bezogenen Behandlungsdaten
    • BtM-konforme Rezeptdokumentation

    10. Video-Sprechstunde

    Für Video-Konsultationen nutzen wir eine selbstgehostete Jitsi-Instanz. Die Kommunikation erfolgt verschlüsselt (SRTP/DTLS).

    • Selbstgehosteter Videoserver in der EU (kein US-Dienst)
    • Verschlüsselte Audio- und Videoübertragung
    • Keine dauerhafte Aufzeichnung der Videokonsultation
    • Löschung temporärer Daten nach Sitzungsende
    • Technische Metadaten werden nicht mit Gesundheitsdaten verknüpft

    11. Dienstleister und Auftragsverarbeiter

    Für einzelne Dienste setzen wir folgende Dienstleister ein, mit denen Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO geschlossen wurden:

    DienstDienstleisterZweck
    Hosting & InfrastrukturHostinger (EU-Server)Bereitstellung der Plattform
    E-Mail-VersandScaleway (Frankreich)Transaktionale E-Mails
    ZahlungsabwicklungKomfortkasse, TransVoucherSichere Zahlungsverarbeitung
    Apotheken-SchnittstelleCannaflow, CannaleoRezeptübermittlung an Partnerapotheken
    Qualifizierte elektronische Signatur (QES)Yousign SAS (Frankreich)Rechtssichere Signatur von Rezepten & AU nach eIDAS (Video-Ident + Signaturzertifikat)
    DatenschutzheyData GmbH (Berlin)Datenschutzbeauftragter, EU-Vertreter

    Alle Dienstleister sind in der EU ansässig oder verarbeiten Daten ausschließlich auf EU-Servern.

    Qualifizierte Elektronische Signatur (QES)

    Für die rechtssichere elektronische Unterzeichnung von Rezepten und Arbeitsunfähigkeitsbescheinigungen durch unsere Ärzte setzen wir Yousign SAS (Paris, Frankreich) als Qualifizierten Vertrauensdiensteanbieter (QTSP) nach der eIDAS-Verordnung (EU) 910/2014 ein.

    Verarbeitete Daten (nur bei Ärzten): Name, E-Mail, Telefon, amtlicher Ausweis (Video-Ident), biometrische Verifikation, Signaturzertifikat

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie § 2 Abs. 3 VDG

    Serverstandort: Frankreich (EU)

    Auftragsverarbeitungsvertrag (AVV): Mit Yousign besteht ein AVV gemäß Art. 28 DSGVO.

    Speicherdauer: Signierte Dokumente werden 10 Jahre aufbewahrt (gesetzliche Aufbewahrungsfrist für Rezepte nach § 18 ApBetrO).

    Patientendaten: Im signierten Rezept-PDF werden Patientendaten (Name, Adresse, Medikation) an Yousign übermittelt — dies ist erforderlich für die rechtsgültige Unterzeichnung. Es werden keine Ausweis- oder biometrischen Daten von Patienten an Yousign übertragen.

    Weitere Informationen: Yousign Datenschutzerklärung

    12. Datenübermittlung in Drittländer

    Docto24 übermittelt grundsätzlich keine personenbezogenen Daten in Drittländer außerhalb der EU/des EWR.

    Sollte in Zukunft eine Datenübermittlung in ein Drittland erforderlich werden, wird diese nur auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) oder geeigneter Garantien (Art. 46 DSGVO, z.B. EU-Standardvertragsklauseln) vorgenommen.

    Aktuelle Situation: Wir verpflichten uns, keine Gesundheitsdaten in Drittländer zu übermitteln.

    13. Speicherdauer

    Wir speichern Ihre Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

    • Kontodaten: Bis zur Löschung des Kontos
    • Gesundheitsdaten: 10 Jahre (ärztl. Dokumentationspflicht)
    • Zahlungsdaten: 10 Jahre (steuerrechtl. Aufbewahrungspflicht)
    • Ausweisdokumente: Max. 30 Tage nach Verifikation
    • Nutzungsdaten: 13 Monate (anonymisiert)
    • Support-Anfragen: 2 Jahre nach Abschluss

    14. Ihre Rechte als betroffene Person

    Nach der DSGVO stehen Ihnen folgende Rechte zu:

    Auskunftsrecht (Art. 15 DSGVO)Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
    Berichtigungsrecht (Art. 16 DSGVO)Sie können die Berichtigung unrichtiger Daten verlangen.
    Löschungsrecht (Art. 17 DSGVO)Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
    Einschränkung (Art. 18 DSGVO)Sie können die Einschränkung der Verarbeitung verlangen.
    Datenübertragbarkeit (Art. 20 DSGVO)Sie können Ihre Daten in einem gängigen Format erhalten.
    Widerspruchsrecht (Art. 21 DSGVO)Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
    Widerruf der EinwilligungSie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
    Beschwerderecht (Art. 77 DSGVO)Sie können sich bei einer Datenschutz-Aufsichtsbehörde beschweren.

    Zur Ausübung Ihrer Rechte senden Sie bitte eine E-Mail an:

    E-Mail: datenschutz@heydata.eu
    Wir werden Ihre Anfrage unverzüglich, spätestens innerhalb eines Monats, beantworten.

    15. Cookies und Tracking

    Informationen zu den von uns verwendeten Cookies finden Sie in unserer Cookie-Richtlinie.

    Wir verwenden keine Drittanbieter-Tracking-Tools wie Google Analytics oder Facebook Pixel.

    Alle analytischen Daten werden ausschließlich intern und anonymisiert auf EU-Servern verarbeitet.

    Wichtigste Punkte:

    • Nur essenzielle Cookies ohne Einwilligung
    • Analytik-Cookies nur mit ausdrücklicher Einwilligung
    • Kein Google Analytics, kein Facebook Pixel
    • Alle Daten auf EU-Servern
    • Cookie-Einstellungen jederzeit änderbar

    16. E-Mail-Kommunikation

    Wir versenden ausschließlich transaktionale E-Mails (z.B. Bestellbestätigungen, Terminbenachrichtigungen) über unseren EU-basierten E-Mail-Dienst.

    • Keine unaufgeforderte Werbung ohne Einwilligung
    • Abmeldemöglichkeit (Unsubscribe) in jeder E-Mail
    • Verschlüsselter E-Mail-Versand (TLS)
    • Kein E-Mail-Tracking (keine Öffnungsraten, keine Link-Tracking)

    17. Sicherheitsmaßnahmen (TOM)

    Wir setzen umfangreiche technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO zum Schutz Ihrer Daten ein:

    Verschlüsselung

    TLS 1.3 für alle Verbindungen, AES-256 für Daten in Ruhe

    Zugriffskontrolle

    Role-based Access Control (RBAC), Multi-Faktor-Authentifizierung

    Protokollierung

    Lückenlose Audit-Logs für alle Datenzugriffe

    Datensicherung

    Tägliche verschlüsselte Backups mit 7-Tage-Rotation

    Netzwerksicherheit

    Firewall, Intrusion Detection, DDoS-Schutz

    18. Soziale Netzwerke

    Auf unserer Website sind derzeit keine Social-Media-Plugins (Facebook Like, Twitter Share etc.) eingebunden. Es werden keine Daten an soziale Netzwerke übermittelt.

    Links zu unseren Social-Media-Profilen werden als einfache Verlinkungen ohne Tracking dargestellt.

    19. Automatisierte Entscheidungsfindung

    Es findet keine automatisierte Entscheidungsfindung (einschließlich Profiling) im Sinne des Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

    Der KI-gestützte Symptom-Checker dient lediglich als Unterstützung und ersetzt keine ärztliche Entscheidung.

    20. Patientenaufklärung

    Im Rahmen der telemedizinischen Behandlung erfolgt eine datenschutzrechtliche Aufklärung über die Besonderheiten der digitalen Gesundheitsversorgung. Diese umfasst insbesondere die Information darüber, dass Gesundheitsdaten digital verarbeitet werden und welche besonderen Schutzmaßnahmen wir dafür einsetzen.

    Weitere Informationen finden Sie in unserer Patientenaufklärung zur Fernbehandlung.

    21. Authentifizierung und Identitätsnachweis

    Zur Sicherstellung der Identität und des Alters nutzen wir ein zweistufiges Verfahren:

    • Altersverifikation: Selbstauskunft und Bestätigung durch den Nutzer
    • Identitätsnachweis: Upload eines gültigen Ausweisdokuments (Personalausweis oder Reisepass)

    Ausweisdokumente werden ausschließlich zur Verifikation verwendet und nach erfolgreicher Prüfung innerhalb von 30 Tagen gelöscht. Sie werden nicht an Dritte weitergegeben.

    22. Änderungen dieser Erklärung

    Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite.

    Wesentliche Änderungen werden mindestens 30 Tage vor Inkrafttreten per E-Mail angekündigt.

    Datum der letzten Aktualisierung: Dezember 2024

    23. Kontakt für Datenschutzanfragen

    Bei Fragen zum Datenschutz erreichen Sie uns unter:

    Allgemeine Datenschutzanfragen:
    privacy@docto24.de
    Datenschutzbeauftragter (heyData GmbH):
    datenschutz@heydata.eu

    Wir beantworten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).