HalloPraxis
Datenschutzerklärung
Zurück

Datenschutzerklärung

für die Nutzung der HalloPraxis‑Webapplikation sowie die damit erstellten Praxis‑Webseiten Verantwortlicher: Thomas Deutsch Software & Consulting e.K., Im Nonnenkamp 28, 45699 Herten Kontakt: info@hallopraxis.com Stand: 09.09.2025

Diese Erklärung beschreibt, wie wir personenbezogene Daten verarbeiten, wenn Sie (a) unsere Web‑Applikation „HalloPraxis“ nutzen oder (b) eine Praxis‑Website auf unserer Plattform aufrufen, die von einem Kunden erstellt wurde.

1. Verantwortlicher, Datenschutzkontakt

  • Verantwortlicher i.S.d. DSGVO (für eigene Zwecke wie Konto, Abrechnung, Betrieb der Plattform): Thomas Deutsch Software & Consulting e.K., Im Nonnenkamp 28, 45699 Herten, E‑Mail: info@hallopraxis.com.
  • Datenschutzbeauftragter: nicht benannt; gesetzlich nicht erforderlich.
  • Rollenmodell: Für Inhalte der Praxis‑Webseiten (Texte, Bilder, Öffnungszeiten, Teamprofile etc.) handeln wir in der Regel als Auftragsverarbeiter des jeweiligen Praxisbetreibers (Kunde). Für eigene Zwecke (z. B. Kontoführung, Abrechnung, Sicherheit/Logs) sind wir eigener Verantwortlicher.

2. Kategorien betroffener Personen & Datenarten

Betroffene:

  • Nutzer/Kunden (Praxisteams, Administrator:innen)
  • Webseitenbesucher der Praxis‑Webseiten
  • Kommunikationspartner (Support/Anfragen)

Datenarten (je nach Nutzung):

  • Stammdaten/Kontodaten: Name, Praxis, E‑Mail, Zugangsdaten (gehasht).
  • Inhaltsdaten: Webseiteninhalte (Texte, Bilder, Öffnungszeiten, Teamprofile, Ankündigungen).
  • Kommunikationsdaten: Support‑Anfragen, E‑Mails.
  • Nutzungs-/Protokolldaten: IP‑Adresse (gekürzt, soweit möglich), Zeitpunkt, Request‑IDs, Fehler‑/System‑Logs.
  • Zahlungsdaten: Abrechnungsdaten über Zahlungsdienstleister (z. B. Stripe).
  • Besondere Kategorien (Art. 9 DSGVO): werden nicht gezielt verarbeitet. Falls der Kunde solche Inhalte veröffentlicht (z. B. Gesundheitsbezug in Texten), liegt die Verantwortung für eine rechtmäßige Grundlage beim Kunden.

3. Zwecke & Rechtsgrundlagen der Verarbeitung

  • Bereitstellung des Dienstes / Vertragserfüllung (Registrierung, Login, Konfigurator, Hosting, Veröffentlichung der Praxis‑Website, Abrechnung): Art. 6 Abs. 1 lit. b DSGVO.
  • Sicherheit, Stabilität, Missbrauchs‑/Betrugsprävention, Betriebs‑ und Funktionssicherheit (Logs, Monitoring): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
  • Kommunikation/Support: Art. 6 Abs. 1 lit. b/f DSGVO.
  • Rechtspflichten (z. B. steuerliche Aufbewahrung von Rechnungsdaten): Art. 6 Abs. 1 lit. c DSGVO.
  • Einwilligungspflichtige Verarbeitungen (z. B. optionale Cookies/Tracking, Newsletter): Art. 6 Abs. 1 lit. a DSGVO – nur bei vorheriger Einwilligung.

4. Speicherorte, Empfänger, Auftragsverarbeitung

  • Hosting‑Infrastruktur: Hetzner (Deutschland/EU).
  • Content Delivery Network (CDN): BunnyCDN (EU‑basierter Anbieter; globale Auslieferung möglich).
  • Zahlungsabwicklung: Stripe (EU‑Niederlassung; konzernweite Verarbeitung möglich).
  • E‑Mail‑Versand: Amazon SES (AWS), Region: eu-north-1 (Stockholm).
  • Monitoring/Logging: [PLATZHALTER].
  • Mit allen Dienstleistern schließen wir Auftragsverarbeitungsverträge (Art. 28 DSGVO), soweit erforderlich.
  • Serverstandorte: Primär in Deutschland/EU. Beim CDN erfolgt eine inhaltsbezogene Auslieferung über verteilte Knoten; eine Drittlandverarbeitung kann technisch bedingt stattfinden (siehe Ziff. 5).

5. Drittlandübermittlungen (außerhalb EWR)

  • Für einzelne Dienste (z. B. Zahlungsabwicklung/Support bei Stripe, CDN‑Knoten bei BunnyCDN) kann eine Verarbeitung außerhalb des EWR erfolgen.
  • In diesen Fällen stellen wir geeignete Garantien sicher (z. B. EU‑Standardvertragsklauseln (SCC) und zusätzliche Schutzmaßnahmen) oder stützen Übermittlungen auf Angemessenheitsbeschlüsse.
  • Hinweis: Details der eingesetzten Mechanismen stellen wir auf Anfrage zur Verfügung.

6. Speicherdauer und Löschfristen

  • Vertragsdaten & Inhalte: Löschung innerhalb von 3 Monaten nach Vertragsende (sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen).
  • Abrechnungsdaten/Rechnungen: gemäß gesetzlichen Aufbewahrungsfristen (i. d. R. bis zu 10 Jahre).
  • Protokoll-/Sicherheitsdaten: 90 Tage.
  • Support‑Kommunikation: 12 Monate (oder bis Abschluss des Vorgangs zu Nachweiszwecken).
  • Maßgeblich sind die jeweiligen gesetzlichen Anforderungen; danach werden Daten gelöscht oder anonymisiert.

7. Betroffenenrechte

Sie haben – je nach Voraussetzungen der DSGVO – folgende Rechte:

  • Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch (Art. 15–21 DSGVO).
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
  • Beschwerderecht bei einer Datenschutz‑Aufsichtsbehörde, insbesondere an Ihrem Aufenthaltsort, Arbeitsplatz oder am Sitz des Verantwortlichen. Zuständig am Sitz des Verantwortlichen ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (LDI NRW). Anschrift: Kavalleriestraße 2–4, 40213 Düsseldorf; E‑Mail: poststelle@ldi.nrw.de; Telefon: +49 211 38424‑0.

8. Einwilligung, Widerruf & Einstellungen

  • Nicht erforderliche Verarbeitungen (z. B. Marketing‑Cookies/Analyse) erfolgen nur nach Einwilligung. Aktuell setzen wir keine optionalen Tracking-/Analyse‑Tools ein.
  • Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen – z. B. über Einstellungen im Cookie‑Banner oder per E‑Mail an uns.
  • Ohne Tracking standardmäßig: Wir setzen keine nicht erforderlichen Cookies/Tracker ohne Ihre Einwilligung. Optional eingebundene Dienste Dritter auf Praxis‑Webseiten (z. B. Terminbuchungs‑Widgets) unterliegen deren eigenen Datenschutzhinweisen.

9. Cookies & Tracking

  • Erforderliche Cookies (z. B. Session/CSRF) sind für die Funktion der Web‑Applikation nötig (Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO).
  • Optionale Cookies/Tools (z. B. Webanalyse): nur nach Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Details zu Anbieter, Zweck, Speicherdauer und Opt‑out werden im Consent‑Banner angezeigt. Derzeit setzen wir keine Analyse‑Tools ein.
  • Praxis‑Webseiten: Enthalten i. d. R. keine Tracking‑Tools durch uns. Falls die Praxis eigene Tools einbindet, ist sie hierfür eigenständig verantwortlich.

10. Auftragsverarbeitung (AVV) & gemeinsame Verantwortlichkeit

  • Wir bieten mit unseren Kunden einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) an (siehe AGB/AVV‑Anlage).
  • Gemeinsame Verantwortlichkeit besteht nicht, es sei denn, sie wird im Einzelfall ausdrücklich vereinbart.

11. Technische und organisatorische Maßnahmen (TOMs)

  • Verschlüsselung Transport (TLS) und – soweit anwendbar – at Rest.
  • Zugriffsschutz/RBAC, MFA für Admin‑Zugriffe, Need‑to‑know‑Prinzip.
  • Protokollierung, Patch‑ und Schwachstellen‑Management.
  • Backups & Wiederherstellungstests.
  • Rechenzentren in Deutschland/EU.
  • Incident‑Response‑Prozess inkl. Bewertung etwaiger Meldepflichten (Art. 33/34 DSGVO).
  • Schulung/Sensibilisierung von Mitarbeitenden. Details siehe TOM‑Anlage/AVV.

12. Minderjährigenschutz

Unsere Dienste richten sich nicht an Personen unter 16 Jahren. Konten dürfen nur von volljährigen, vertretungsberechtigten Personen angelegt werden.

13. Self‑Service: Abo & Account‑Löschung

Kündigung und Löschung können im Self‑Service über die Abo‑Verwaltung im Konfigurator erfolgen. Eine Account‑Löschung initiiert die vertraglich vereinbarten Löschprozesse; gesetzliche Aufbewahrungspflichten bleiben unberührt.

14. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung bei Bedarf an (z. B. bei neuen Funktionen, Rechtsänderungen). Es gilt jeweils die aktuelle Fassung mit Datum/Stand. Wesentliche Änderungen werden – soweit erforderlich – bekanntgegeben.

Transparenz zu eingebundenen Dienstleistern (Überblick)

  • Stripe – Zahlungsabwicklung (EU‑Niederlassung). Standardvertragsklauseln/Sicherheitsmaßnahmen; Details beim Anbieter.
  • Hetzner – Hosting in Deutschland/EU.
  • BunnyCDN – CDN zur schnellen Auslieferung; globale Knoten möglich (SCCs/Schutzmaßnahmen).
  • Amazon SES (AWS) – E‑Mail‑Versand, Region: eu-north-1 (Stockholm); ggf. globale Zustellung möglich (SCCs/Schutzmaßnahmen).
  • Monitoring/Logging[PLATZHALTER].

Auf Anfrage stellen wir Ihnen die jeweils aktuelle Liste der Unterauftragsverarbeiter, die Rechtsgrundlagen und – soweit erforderlich – Informationen zu Drittlandübermittlungen zur Verfügung.