Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Verantwortliche Stelle

Emil Rubic Tagmann
Kleinfeldstraße 35
68165 Mannheim
E-Mail: kontakt@patient-flow.online
Telefon: +49 157 8346 4499

3. Welche Daten werden erhoben?

Im Rahmen der Online-Terminbuchung werden folgende Daten erhoben:

• Vorname und Nachname
• E-Mail-Adresse
• Mobilnummer
• Art der Versicherung (bei medizinischen Einrichtungen)
• Krankenkasse (bei medizinischen Einrichtungen)
• Gewünschter Termin und Anliegen/Dienstleistung
• Gewünschter Mitarbeiter (falls angegeben)
• Zusätzliche Informationen (freiwillige Angabe)

4. Besondere Kategorien personenbezogener Daten

Bei medizinischen Einrichtungen (z.B. Zahnarztpraxen, Physiotherapie) können freiwillige Angaben im Feld „Anliegen" oder „Zusätzliche Informationen" Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO enthalten (z.B. „Schmerzen seit 2 Tagen"). Die Verarbeitung dieser Daten erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie bei der Buchung durch Aktivierung der Einwilligungs-Checkbox erteilen. Diese Einwilligung kann jederzeit widerrufen werden.

Bei nicht-medizinischen Einrichtungen (z.B. Friseursalons, Beauty Studios) werden in der Regel keine besonderen Kategorien personenbezogener Daten verarbeitet.

5. Zweck der Datenverarbeitung

Die erhobenen Daten werden ausschließlich für folgende Zwecke verwendet:

• Verwaltung und Durchführung von Terminen
• Versand von Terminbestätigungen und Erinnerungen per E-Mail
• Benachrichtigung bei frei gewordenen früheren Terminen (Warteliste, nur mit Einwilligung)
• Recall-Erinnerungen für Folgetermine (nur mit Einwilligung)

6. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Terminvereinbarung)
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Erinnerungen, Warteliste, Recall)
• Art. 9 Abs. 2 lit. a DSGVO — Ausdrückliche Einwilligung für besondere Kategorien (Gesundheitsdaten, sofern angegeben)

Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

7. Auftragsverarbeitung

Patient Flow agiert als Auftragsverarbeiter im Sinne von Art. 28 DSGVO im Auftrag der jeweiligen Praxis bzw. des jeweiligen Unternehmens. Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist die Praxis bzw. das Unternehmen, bei dem Sie Ihren Termin buchen.

Diese Website und das Buchungssystem werden bei folgenden Unterauftragsverarbeitern gehostet:

• Vercel Inc. — Webhosting (Server in Frankfurt/EU). DPA liegt vor.
• Supabase Inc. — Datenbank und Authentifizierung (Region: EU/Frankfurt). DPA liegt vor.
• Resend Inc. — E-Mail-Versand. DPA liegt vor.

Mit allen Auftragsverarbeitern bestehen Vereinbarungen zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO.

8. Speicherdauer und Löschung

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:

• Termindaten: Werden für die Dauer der Geschäftsbeziehung zwischen Patient/Kunde und Praxis/Unternehmen gespeichert.
• Kundenstammdaten: Werden gespeichert, solange die Geschäftsbeziehung besteht oder gesetzliche Aufbewahrungspflichten gelten.
• Bei Kündigung einer Praxis/eines Unternehmens: Alle zugehörigen Daten (Termine, Patienten/Kunden, Nachrichten) werden innerhalb von 30 Tagen nach Vertragsende gelöscht.
• Auf Verlangen: Betroffene können jederzeit die Löschung ihrer Daten verlangen (Art. 17 DSGVO). Die Löschung erfolgt innerhalb von 72 Stunden.

Gesetzliche Aufbewahrungsfristen (z.B. steuerrechtlich) bleiben unberührt.

9. Ihre Rechte

Sie haben jederzeit das Recht auf:

• Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf Ihrer Einwilligung (Art. 7 Abs. 3 DSGVO)

Wenden Sie sich dazu an: kontakt@patient-flow.online

10. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

11. SSL-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

12. Cookies und Sitzungsdaten

Diese Website verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung im Verwaltungsbereich. Es handelt sich um Sitzungs-Cookies von Supabase Auth, die für die Anmeldung und Sitzungsverwaltung erforderlich sind.

Es werden keine Tracking-Cookies, Analyse-Tools (wie Google Analytics), Werbe-Cookies oder Social-Media-Plugins eingesetzt.

Für technisch notwendige Cookies ist gemäß § 25 Abs. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) keine Einwilligung erforderlich, da sie für die Bereitstellung des Dienstes unbedingt notwendig sind.

13. Technische und organisatorische Maßnahmen

Zum Schutz Ihrer Daten setzen wir folgende Maßnahmen ein:

• SSL/TLS-Verschlüsselung aller Datenübertragungen
• Authentifizierung und Autorisierung über Supabase Auth
• Row Level Security (RLS) — strikte Datentrennung zwischen Praxen/Unternehmen
• Security-Headers (HSTS, X-Frame-Options, X-Content-Type-Options, XSS-Protection)
• Input-Validierung und -Sanitisierung
• Hosting in der EU (Frankfurt) bei zertifizierten Anbietern
• Kein Einsatz des Service-Role-Keys im Frontend
• Regelmäßige Updates der eingesetzten Software