Zum Inhalt springen

Rechtliches

Datenschutzerklärung

Stand / Version: 2026-06-06

Entwurf – noch nicht rechtsverbindlich. Diese Erklärung benennt vollständig die tatsächlich genutzten Verarbeitungen, muss aber vor dem Livegang juristisch geprüft werden. Besonders sensibel ist der Gesundheitsbezug (besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO). Mit [eckigen Klammern] markierte Stellen sind noch von Olena zu bestätigen oder zu ergänzen.

1. Verantwortliche Stelle

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Olena Lill
Heilpraktikerin für Psychotherapie
Oberhachinger Straße 38
82031 Grünwald
Telefon: +49 151 2344 1299
E-Mail: mail@olena-lill.de

Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO i. V. m. § 38 BDSG nicht zwingend zu benennen [Pflicht im Einzelfall prüfen, da Gesundheitsdaten verarbeitet werden]. Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte Stelle.

2. Grundsätze, Rechtsgrundlagen und Schweigepflicht

Wir verarbeiten personenbezogene Daten nur, soweit dies erforderlich ist, und auf Grundlage der gesetzlichen Vorgaben. Maßgebliche Rechtsgrundlagen sind insbesondere:

  • Art. 6 Abs. 1 lit. a DSGVO – Ihre Einwilligung;
  • Art. 6 Abs. 1 lit. b DSGVO – Anbahnung und Erfüllung des Behandlungs-/Beratungsvertrags;
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Pflichten (z. B. steuer- und handelsrechtliche Aufbewahrung);
  • Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen (z. B. Sicherheit der Systeme, Schutz vor Missbrauch);
  • Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 BDSG – für Gesundheitsdaten im Rahmen der Behandlung/Begleitung; ergänzend gilt die berufsrechtliche Schweigepflicht (§ 203 StGB).

Soweit wir besondere Kategorien personenbezogener Daten (Gesundheitsdaten) verarbeiten, treffen wir die nach § 22 Abs. 2 BDSG vorgesehenen geeigneten Schutzmaßnahmen (u. a. Verschlüsselung, Zugriffsbeschränkung, Verpflichtung auf Vertraulichkeit).

3. Aufruf der Website & Server-Logfiles

Beim Aufruf der Website werden durch den Browser automatisch Informationen an den Server gesendet und vorübergehend in sogenannten Server-Logfiles gespeichert: IP-Adresse, Datum und Uhrzeit der Anfrage, aufgerufene Seite/Datei, übertragene Datenmenge, Statuscode, Referrer-URL sowie Browser-/Betriebssystem-Angaben (User-Agent). Dies dient dem sicheren und stabilen Betrieb, der Fehleranalyse und dem Schutz vor Missbrauch. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Logfiles werden nach kurzer Zeit gelöscht [Aufbewahrungsdauer der Server-Logs bestätigen, i. d. R. wenige Tage].

4. Hosting

Unsere Website und Datenbank werden auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (Rechenzentrum in Deutschland) betrieben. Hetzner verarbeitet die oben genannten Daten als Auftragsverarbeiter; es besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (sicherer und effizienter Betrieb) bzw. lit. b im Rahmen der Vertragserfüllung.

5. Cookies & lokale Speicherung im Browser

Wir setzen keine Tracking-, Analyse- oder Werbe-Cookies ein. Verwendet werden ausschließlich technisch notwendige sowie – nur mit Ihrer Einwilligung – komfortbezogene Speicherungen. Das Speichern bzw. Auslesen von Informationen auf Ihrem Endgerät richtet sich nach § 25 TDDDG (vormals TTDSG); Einwilligungen beruhen auf Art. 6 Abs. 1 lit. a DSGVO, technisch Notwendiges auf Art. 6 Abs. 1 lit. f DSGVO.

  • Notwendig: Speicherung Ihrer Cookie-Entscheidung (olena_consent); ein Anmelde-Cookie im internen Verwaltungsbereich (nur Praxis, HttpOnly, befristet).
  • Komfort (nur nach „Alle akzeptieren“): lokale Speicherung Ihrer Kontaktangaben für eine schnellere Folgebuchung (olena_patient) und ein Stornolink-Hinweis zu Ihrer letzten Buchung (olena_booking). Diese Daten verbleiben in Ihrem Browser und werden nicht an uns übertragen. Sie können die Einwilligung jederzeit über den Cookie-Hinweis widerrufen; gespeicherte Komfort-Daten werden dann gelöscht.

6. Terminbuchung

Bei einer Online-Terminanfrage verarbeiten wir Name, E-Mail-Adresse, Telefonnummer und Geburtsdatum sowie die gewählte Leistung, den Ort und den Termin. Diese Daten dienen der Vereinbarung und Verwaltung des Termins, der Identifizierung als Klient:in und der Führung der Behandlungs-/ Beratungsunterlagen. Gesundheitsdaten werden im Buchungsformular bewusst nicht erhoben. Das Geburtsdatum dient u. a. der eindeutigen Zuordnung und der Prüfung des Mindestalters.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) sowie Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO (Bestätigung im Formular, protokolliert mit der jeweils gültigen Version dieser Erklärung, derzeit 2026-06-06). Für die spätere Behandlung gilt zusätzlich Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 BDSG. Die Bestätigung der Einwilligung wird als Nachweis gespeichert.

7. Folgetermin-Komfort & Anmeldelink per E-Mail

Für eine schnellere Folgebuchung bieten wir zwei Wege an: (a) auf demselben Gerät – nur mit Komfort-Einwilligung – das Übernehmen der im Browser gespeicherten Angaben („Als … fortfahren“); (b) die Anforderung eines Links per E-Mail. Bei (b) geben Sie nur Ihre E-Mail-Adresse ein; wir senden – aus Datenschutzgründen ohne Rückmeldung, ob die Adresse bekannt ist – einen zeitlich befristeten, verschlüsselten Link an genau diese Adresse, über den Ihre Angaben für die nächste Buchung vorausgefüllt werden. Der Link enthält ein AES-verschlüsseltes, kurzlebiges Token (rund 30 Minuten gültig). Rechtsgrundlage: Art. 6 Abs. 1 lit. a und lit. b DSGVO.

8. Aufnahmebogen vor Ort (Tablet in der Praxis)

Zur Aufnahme als Klient:in können in der Praxis über ein Tablet die Stammdaten erfasst werden: Vor- und Nachname, Geburtsdatum, E-Mail, Telefonnummer und Anschrift (Straße, Hausnummer, PLZ, Ort). Diese Daten dienen der Aktenführung und der Rechnungsstellung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 BDSG.

9. Kontaktaufnahme (Nachrichtenformular, E-Mail, Telefon)

Wenn Sie uns über das Nachrichtenformular („kein passendes Datum / andere Frage“), per E-Mail oder telefonisch kontaktieren, verarbeiten wir die von Ihnen gemachten Angaben (mindestens E-Mail-Adresse und Ihr Anliegen) zur Bearbeitung Ihrer Anfrage. Bitte teilen Sie in Freitextfeldern keine Gesundheitsdaten mit, die nicht erforderlich sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) bzw. Art. 6 Abs. 1 lit. f DSGVO (Beantwortung allgemeiner Anfragen). Nachrichten aus dem Formular werden uns per E-Mail zugestellt (siehe Ziffer 10).

10. E-Mail-Versand (Resend)

Für den Versand von System-E-Mails (Buchungsbestätigung, Stornierung, Anmeldelink, Formularnachrichten, Rechnungsversand) nutzen wir den Dienst Resend der Resend, Inc. (USA). Dabei werden die für die jeweilige E-Mail erforderlichen Daten (z. B. E-Mail-Adresse, Name, Termindaten, ggf. Rechnung als Anhang) verarbeitet. Es besteht ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO). Da eine Verarbeitung auch in den USA erfolgen kann, ist der Drittlandtransfer über geeignete Garantien abgesichert (Standardvertragsklauseln nach Art. 46 DSGVO bzw. EU-US Data Privacy Framework). Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO. [AVV mit Resend abschließen/ablegen]

11. E-Mail-Empfang (Google Workspace)

Unser E-Mail-Postfach (mail@olena-lill.de) wird über Google Workspace (Google Ireland Ltd., Irland) betrieben. Schreiben Sie uns eine E-Mail, wird deren Inhalt dort verarbeitet und gespeichert. Auch hier kann eine Verarbeitung in Drittländern stattfinden, abgesichert über die Garantien des Anbieters (SCC/Data Privacy Framework). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. lit. b DSGVO. [AVV mit Google abschließen/ablegen]

12. Kalender-Abgleich (Apple iCloud / CalDAV)

Um Doppelbuchungen zu vermeiden, gleicht die Praxis belegte Zeiten mit einem externen Kalender (Apple iCloud, über das CalDAV-Protokoll) ab: Belegte Zeitfenster werden importiert und auf der Website als „nicht verfügbar“ dargestellt; bestätigte Termine werden in den Praxiskalender geschrieben – mit Name und Kontaktdaten, jedoch ohne Geburtsdatum (Datensparsamkeit). Anbieter ist Apple Distribution International Ltd. (Irland) bzw. Apple Inc. (USA); ein etwaiger Drittlandtransfer ist über geeignete Garantien abgesichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

13. Kartendarstellung (OpenStreetMap)

Zur Anfahrt binden wir eine Karte von OpenStreetMap ein (OpenStreetMap Foundation, Vereinigtes Königreich). Die Karte wird erst nach Ihrem ausdrücklichen Klick geladen; vorher werden keine Daten an OpenStreetMap übertragen. Beim Laden wird Ihre IP-Adresse an die Server von OpenStreetMap übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Laden) bzw. lit. f DSGVO.

14. Schriftarten & grobe Standortbestimmung

  • Schriftarten: Die verwendeten Schriften (Newsreader, Hanken Grotesk) sind lokal auf unserem Server eingebunden (self-hosted). Beim Seitenaufruf besteht keine Verbindung zu Google-Servern.
  • Grobe Standortbestimmung (GeoIP): Zur Sicherheit (z. B. Erkennung ungewöhnlicher Anmeldungen im Verwaltungsbereich) bestimmen wir aus der IP-Adresse einen groben Ort über eine lokale Datenbank (MaxMind GeoLite2). Es findet kein externer Abruf bei MaxMind statt; die IP wird ausschließlich auf unserem Server verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

15. Rechnungsstellung & Buchhaltung

Für die Abrechnung erbrachter Leistungen verarbeiten wir Stammdaten, Leistungsbezeichnung und Beträge. Eine etwaige Diagnose-/Anlassangabe auf einer Rechnung wird verschlüsselt gespeichert. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b und lit. c DSGVO. Rechnungen unterliegen der gesetzlichen Aufbewahrungspflicht (§ 147 AO, § 14b UStG, i. d. R. 10 Jahre).

16. Empfänger & Auftragsverarbeiter (Übersicht)

  • Hetzner Online GmbH (Deutschland) – Hosting/Datenbank.
  • Resend, Inc. (USA) – Versand von System-E-Mails.
  • Google Ireland Ltd. – E-Mail-Postfach (Empfang).
  • Apple Distribution International Ltd. (Irland) – Kalender-Abgleich (CalDAV).
  • OpenStreetMap Foundation (UK) – Karte, nur nach Klick.
  • INWX GmbH (Deutschland) – Domain/DNS-Verwaltung.

Mit Auftragsverarbeitern bestehen bzw. werden Verträge nach Art. 28 DSGVO geschlossen. Eine Weitergabe an sonstige Dritte erfolgt nur, wenn dies gesetzlich erlaubt ist oder Sie eingewilligt haben.

17. Drittlandübermittlung

Soweit Daten in Länder außerhalb der EU/des EWR (insbesondere USA) übermittelt werden (siehe Resend, Google, Apple), geschieht dies auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO – insbesondere EU-Standardvertragsklauseln (Art. 46 DSGVO) und, soweit anwendbar, einer Zertifizierung unter dem EU-US Data Privacy Framework.

18. Speicherdauer & Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen es verlangen. Buchungs- und Stammdaten ohne weiteren Termin werden automatisiert gelöscht [Frist bestätigen, derzeit spätestens nach 12 Monaten]. Rechnungsrelevante Unterlagen bleiben für die Dauer der gesetzlichen Aufbewahrungspflichten erhalten (siehe Ziffer 15). Komfort-Daten im Browser löschen Sie selbst (oder durch Widerruf der Einwilligung).

19. Ihre Rechte

Ihnen stehen gegenüber uns folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO),
  • Berichtigung (Art. 16 DSGVO),
  • Löschung (Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO).

Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Sie haben zudem das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig ist für uns:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach

20. Datensicherheit

Die Übertragung erfolgt verschlüsselt über TLS/HTTPS. Besonders sensible Inhalte werden zusätzlich verschlüsselt gespeichert. Der Server ist gehärtet, der Verwaltungsbereich ist nur über einen gesicherten Zugang (VPN) erreichbar und durch Anmeldung geschützt.

21. Keine automatisierte Entscheidungsfindung

Eine ausschließlich automatisierte Entscheidungsfindung oder ein Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

22. Pflicht zur Bereitstellung & Aktualität

Für eine Terminbuchung bzw. einen Behandlungs-/Beratungsvertrag ist die Angabe der dafür erforderlichen Daten notwendig; ohne sie können wir die Leistung nicht erbringen. Diese Datenschutzerklärung wird bei Änderungen der Rechtslage oder unserer Verarbeitungen angepasst; es gilt jeweils die hier veröffentlichte Fassung (Version 2026-06-06).