Zum Inhalt springen

Datenschutzerklärung

Der Schutz deiner Daten ist uns wichtig — besonders, weil bei einer ärztlichen Sprechstunde Gesundheitsdaten anfallen. Diese genießen nach Art. 9 DSGVO einen besonderen Schutz. Hier erklären wir, wer deine Daten verarbeitet, welche das sind und welche Rechte du hast. Deine Daten werden überwiegend auf Servern in der EU verarbeitet; wo Dienstleister mit Bezug zu Drittländern (etwa den USA) eingebunden sind, geschieht das auf Grundlage geeigneter Garantien (EU-US Data Privacy Framework bzw. Standardvertrags- klauseln nach Art. 46 DSGVO).

Verantwortlicher & Datenschutzbeauftragter

Verantwortlich für die Datenverarbeitung ist der Anbieter der Plattform MAX5, FAS Financial Trading Ltd., vertreten durch den Geschäftsführer Gerd Klaus Martschoke. Die vollständige Anschrift findest du im Impressum. Kontakt in Datenschutzfragen: support@max-5.de.

Als Datenschutzbeauftragte ist die heyData GmbH, Schützenstraße 5, 10117 Berlin, benannt — erreichbar unter datenschutz@heydata.eu.

Welche Daten wir verarbeiten und wozu

Wir betreiben eine Vermittlungsplattform zwischen Patienten, in Deutschland approbierten Ärztinnen und Ärzten und Apotheken. Wir sind weder Arzt noch Apotheke. Je nach Nutzung verarbeiten wir:

  • Anamnese- und Gesundheitsdaten aus dem Fragebogen, damit die Ärztin oder der Arzt deine Anfrage medizinisch beurteilen kann (Art. 9 DSGVO).
  • Kontakt- und Identitätsdaten (z. B. Name, E-Mail, Geburtsdatum), um dich der Behandlung zuzuordnen und dich zu informieren.
  • Identitätsnachweis (Ausweis-/Lichtbilddokument) zur Identifizierung und Altersprüfung. Das Ausweisbild wird direkt und verschlüsselt an unseren ärztlichen Dienstleister (Cannaflow) übertragen und läuft dabei nicht über unsere Server (Art. 9 Abs. 2 lit. h DSGVO).
  • Konto- und Anmeldedaten — die Anmeldung erfolgt passwortlos über einen 6-stelligen Login-Code (alternativ einen Login-Link), den wir per E-Mail an deine Adresse senden.
  • Bestell- und Abwicklungsdaten für die Weiterleitung einer Verordnung an die von dir gewählte Apotheke.

Empfänger deiner Daten

Deine Anamnese- und Kontaktdaten erhält die behandelnde Ärztin oder der behandelnde Arzt; eine ausgestellte Verordnung sowie die für die Abgabe nötigen Daten erhält die von dir gewählte Apotheke. Verkauf, Versand und Rechnungsstellung der Arzneimittel übernimmt ausschließlich die Apotheke.

Für den technischen Betrieb setzen wir sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter ein (Art. 28 DSGVO):

  • Supabase — Datenbank, Anmeldung und verschlüsselter Datei-Speicher (z. B. hochgeladene Befunde), Server in der EU.
  • Cannaflow — Abwicklung von ärztlicher Anfrage, Identitätsprüfung, Verordnung und Apotheken-Checkout.
  • Resend — Versand von Service-E-Mails (z. B. Magic-Link, Statusbenachrichtigungen).
  • Vercel — Hosting und Auslieferung der Website (EU-Region Frankfurt).

Mit jedem dieser Dienstleister besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Soweit ein Anbieter einen Sitz oder Konzernbezug in einem Drittland (etwa USA) hat, ist die Übermittlung durch geeignete Garantien abgesichert (EU-US Data Privacy Framework bzw. Standardvertragsklauseln, Art. 46 DSGVO). Eine vollständige, aktuelle Liste unserer Auftragsverarbeiter stellen wir dir auf Anfrage unter support@max-5.de bereit. Eine Übermittlung an Google erfolgt nur mit deiner Marketing-Einwilligung (siehe unten).

Fehler- & Nutzungsanalyse (PostHog)

Mit deiner Einwilligung („Fehler- & Nutzungsanalyse“ im Cookie-Banner) erfassen wir anonym technische Fehler (etwa fehlgeschlagene Zahlungen oder Server-Fehler), messen anonym die Seitenaufrufe (Reichweite — welche Seiten wie oft besucht werden) und an welcher Stelle Besucher den Fragebogen abbrechen — damit wir Probleme schnell beheben und die Seite verbessern. Dienstleister ist PostHog, die Verarbeitung findet in der EU statt (Auftragsverarbeitung nach Art. 28 DSGVO).

Wir verarbeiten dabei keine Sitzungsaufzeichnung und niemals deine Antworten, Namen, Kontakt- oder Gesundheitsdaten. Deine IP-Adresse wird vor dem Speichern verworfen, und Adressen einzelner Vorgänge (z. B. Bestell- oder Referenz-Nummern) werden vor der Übertragung unkenntlich gemacht. Ohne deine Einwilligung wird nichts erfasst. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG); du kannst sie jederzeit über „Cookie-Einstellungen“ im Seitenfuß widerrufen.

Google Tag Manager & Google-Dienste

Mit deiner Einwilligung („Marketing“ im Cookie-Banner) binden wir den Google Tag Manager ein (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Über ihn laden wir Werbe- und Reichweiten-Tags wie Google Ads, um anonym zu messen, über welche Anzeige eine Anfrage zustande gekommen ist.

Ohne deine Einwilligung wird nichts von Google geladen — der Tag Manager startet erst, wenn du im Banner „Marketing“ zulässt. Du kannst die Einwilligung jederzeit über „Cookie-Einstellungen“ im Seitenfuß widerrufen.

An den Tag Manager werden ausschließlich anonyme Nutzungs-Ereignisse übergeben (etwa, dass eine Anfrage abgeschlossen wurde). Deine Anamnese-Angaben, Gesundheitsdaten oder Klartext-Kontaktdaten (Name, E-Mail) werden dabei nicht verarbeitet. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Dabei kann Google Daten auch in die USA übermitteln; Grundlage ist das EU-US Data Privacy Framework bzw. die Standardvertragsklauseln der EU-Kommission.

Rechtsgrundlagen

Die Verarbeitung deiner Anamnese- und Kontaktdaten zur Vermittlung der Sprechstunde stützen wir auf die Anbahnung und Durchführung des Vertrags (Art. 6 Abs. 1 lit. b DSGVO); die Verarbeitung der Gesundheitsdaten erfolgt zum Zweck der Gesundheitsversorgung (Art. 9 Abs. 2 lit. h DSGVO). Fehler- und Nutzungsanalyse sowie Marketing setzen ausschließlich deine Einwilligung voraus (Art. 6 Abs. 1 lit. a, § 25 Abs. 1 TDDDG).

Speicherdauer

Wir speichern deine Daten nur so lange, wie es für die genannten Zwecke nötig ist oder gesetzliche Aufbewahrungsfristen es verlangen. Für die Daten, die wir selbst verarbeiten, gelten insbesondere:

  • Nicht abgeschickte Fragebogen-Entwürfe werden nach 7 Tagen automatisch gelöscht.
  • E-Mail-Bestätigungscodes (Magic-Link) werden nach 48 Stunden gelöscht.
  • Hochgeladene Dateien, die keiner Anfrage zugeordnet werden, werden nach 7 Tagen entfernt.
  • Verordnungs- und Behandlungsunterlagen unterliegen den gesetzlichen ärztlichen bzw. apothekenrechtlichen Aufbewahrungsfristen bei der Ärztin/dem Arzt und der Apotheke.
  • Daten der Fehler- und Nutzungsanalyse sowie Marketing-Daten verarbeiten wir bis zu deinem Widerruf.

Weitere Auskunft zu konkreten Fristen erteilt dir der oben genannte Datenschutzbeauftragte.

Deine Rechte

Du hast das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie auf Widerspruch. Erteilte Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen — für Cookies über „Cookie-Einstellungen“ im Seitenfuß. Außerdem kannst du dich bei einer Datenschutz-Aufsichtsbehörde beschweren: zuständig ist der maltesische Information and Data Protection Commissioner (IDPC, idpc.org.mt); als Patientin oder Patient in Deutschland kannst du dich auch an die für deinen Wohnsitz zuständige Landesdatenschutzbehörde wenden. Wende dich für alle Anliegen an support@max-5.de oder direkt an den Datenschutzbeauftragten.