Kontakt

Datenschutzerklärung App

1. Verantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten im Rahmen dieser App ist:

Balk & Heer GbR
Kurzenmoor 38
25370 Seester
Deutschland

E-Mail: info@medi-cal.ai

2. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist derzeit nicht benannt. Für alle Fragen zum Datenschutz können Sie sich an die oben genannten Kontaktdaten wenden.

3. Geltungsbereich
Diese Datenschutzerklärung gilt für die Nutzung unserer Terminbuchungs-App im medizinischen Bereich.

Die App richtet sich an Nutzerinnen und Nutzer in Deutschland.

Die App kann auch für die Buchung von Terminen für minderjährige Personen genutzt werden. In diesem Fall erfolgt die Nutzung durch deren gesetzliche Vertreter oder betreuende Personen.

4. Erhebung und Verarbeitung personenbezogener Daten

4.1 Registrierung und Login
Für die Nutzung der App ist die Erstellung eines Nutzerkontos erforderlich. Dabei verarbeiten wir folgende Daten:

  • E-Mail-Adresse
  • Telefonnummer
  • Geschlecht
  • Vor- und Nachname
  • Geburtsdatum


Die Authentifizierung erfolgt über AWS Cognito (Amazon Web Services EMEA SARL, Luxemburg). Dabei werden ausschließlich E-Mail-Adresse und Telefonnummer bei Cognito gespeichert.

Ein eigenständiges Löschen des Kontos direkt bei AWS Cognito ist nicht möglich. Die Löschung erfolgt ausschließlich über unsere App. Mit der Kontolöschung werden auch die bei AWS Cognito gespeicherten Authentifizierungsdaten gelöscht.

AWS Cognito kann zu Sicherheits- und Nachweiszwecken Log- und Audit-Daten über Anmeldevorgänge führen. Diese Protokolle werden von AWS nach deren eigenen Löschfristen verwaltet. Weitere Informationen finden Sie unter: https://aws.amazon.com/compliance/gdpr-center/.

Die weiteren Registrierungsdaten werden in einer von uns verwalteten Datenbank gespeichert, die auf einem AWS EC2-Server in der Region eu-west-1 (Irland) gehostet wird.

4.2 Terminbuchung
Bei der Buchung eines Termins werden die erforderlichen Kontaktdaten an den vom Nutzer ausgewählten Leistungserbringer (z. B. Arztpraxis, Therapeut) übermittelt. Der Leistungserbringer kann den Nutzer anschließend per E-Mail kontaktieren.

In unserer Datenbank speichern wir dazu:

  • Nutzer-ID
  • Termin-ID
  • Anbieter-ID
  • Mitarbeiter-ID
  • Ort, Raum
  • Terminzeit, Dauer
  • Terminstatus (z. B. angefragt, bestätigt, abgesagt)


4.3 Kommunikation (E-Mail und Push-Benachrichtigungen)

  • E-Mails: Wir nutzen Amazon Simple Email Service (SES), um Bestätigungs-Codes (z. B. bei Registrierung oder Änderung der E-Mail-Adresse) sowie Terminbestätigungen, -änderungen oder -absagen zu versenden.
  • Push-Notifications: Zusätzlich nutzen wir Apple Push Notification Service (APNs), um Nutzer direkt auf dem Gerät über Terminbestätigungen, Absagen oder Erinnerungen zu informieren.

4.4 Automatisch erfasste technische Daten
Bei der Nutzung der App werden automatisch bestimmte Daten durch AWS-Server verarbeitet und in Server-Logfiles gespeichert. Dazu gehören typischerweise:

  • IP-Adresse des Endgeräts
  • Datum und Uhrzeit des Zugriffs
  • Zugriffs-Status/HTTP-Statuscode
  • Übertragene Datenmenge
  • Betriebssystem und Version der App


Diese Daten sind technisch erforderlich, um die App bereitzustellen und die Systemsicherheit zu gewährleisten.

4.5 Analyse und Auswertung
Derzeit setzen wir keine Analyse- oder Tracking-Tools ein.

Es ist jedoch vorgesehen, zukünftig AWS-Dienste zur Analyse (z. B. AWS Pinpoint oder CloudWatch) einzusetzen, um die App-Nutzung zu optimieren. Hierüber werden die Nutzer in einer aktualisierten Datenschutzerklärung rechtzeitig informiert.

4.6 Zahlungen
In der App werden derzeit keine Zahlungsdaten verarbeitet. Es erfolgt ausschließlich die Buchung von Terminen.

5. Rechtsgrundlagen der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt auf Basis der Datenschutz-Grundverordnung (DSGVO):

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
    → Notwendig zur Durchführung der Terminbuchungen und zur Bereitstellung der App (z. B. Registrierung, Verwaltung des Nutzerkontos, Übermittlung von Termindaten an den Leistungserbringer).
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
    → Für bestimmte freiwillige Funktionen, wie das Empfangen von Push-Benachrichtigungen, holen wir eine ausdrückliche Einwilligung des Nutzers ein.→ Die Einwilligung kann jederzeit in den Geräteeinstellungen oder in der App widerrufen werden.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
    → Für die Erhebung von Server-Logfiles (IP-Adresse, technische Nutzungsdaten) haben wir ein berechtigtes Interesse an der Sicherheit, Stabilität und Optimierung unserer Systeme.
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung)
    → Falls wir gesetzlich verpflichtet sind, bestimmte Daten aufzubewahren (z. B. steuer- oder handelsrechtliche Aufbewahrungspflichten), erfolgt die Verarbeitung aufgrund gesetzlicher Vorgaben.


6. Speicherdauer und Löschung

  • Nutzerkonto und Stammdaten (z. B. Name, E-Mail, Telefonnummer, Geburtsdatum, Geschlecht):
    Speicherung bis zur Löschung des Nutzerkontos; anschließende Aufbewahrung für 30 Tage zur Reaktivierung, danach endgültige Löschung.
  • Termindaten (gebuchte Termine inkl. Anbieter, Mitarbeiter, Ort, Zeit, Status):
    Speicherung bis zur finalen Löschung des Nutzerkontos; danach endgültige Löschung.
  • Push-Benachrichtigungen:
    Push-Benachrichtigungen werden lediglich ausgelöst, aber nicht gespeichert.

    Die für den Versand notwendigen Geräte-Tokens werden nur solange gespeichert, wie das Nutzerkonto besteht, und zusammen mit diesem gelöscht.

  • Kommunikation (E-Mails, interne Nachrichten):
    Wir speichern keine Inhalte von E-Mails oder sonstiger Kommunikation mit dem Nutzer. Der Versand erfolgt ausschließlich über die eingesetzten Dienste (z. B. Amazon SES).

  • Server-Logfiles (z. B. IP-Adressen, technische Zugriffsdaten):
    Speicherung zur Sicherstellung des technischen Betriebs und der Systemsicherheit; Löschung nach ca. 30 Tagen.
  • Gesetzliche Aufbewahrungspflichten:
    Sofern gesetzliche Pflichten bestehen (z. B. steuerrechtlich), erfolgt die Speicherung ausschließlich für die Dauer der gesetzlichen Fristen.


Authentifizierungsdaten (bei AWS Cognito):
E-Mail-Adresse und Telefonnummer werden für die Dauer des Nutzerkontos gespeichert. Mit der Kontolöschung werden diese Daten bei Cognito entfernt. Protokoll- und Logdaten von AWS, die im Rahmen der Anmeldung entstehen, unterliegen den Löschfristen von AWS und werden nicht dauerhaft von uns gespeichert.

7. Rechte der betroffenen Personen
Nutzerinnen und Nutzer haben nach der DSGVO folgende Rechte in Bezug auf ihre personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO):
    Sie haben das Recht, Auskunft darüber zu verlangen, ob personenbezogene Daten von Ihnen verarbeitet werden. Ist dies der Fall, können Sie Auskunft über diese Daten sowie weitere Informationen zur Verarbeitung verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO):
    Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO):
    Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO):
    Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO):
    Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
  • Recht auf Widerspruch (Art. 21 DSGVO):
    Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht.
  • Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO):
    Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO):
    Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.


Zur Geltendmachung Ihrer Rechte können Sie sich jederzeit über die im Abschnitt „Verantwortlicher“ genannten Kontaktdaten an uns wenden.

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist z.B. die Schleswig-Holsteinische Beauftragte für den Datenschutz und Informationsfreiheit:

Marit Hansen, 
Postfach 71 16
24171 Kiel

mail@datenschutzzentrum.de

8. Empfänger personenbezogener Daten

  • Vom Nutzer ausgewählte Leistungserbringer (z. B. Arztpraxis, Therapeut):
    Zur Durchführung von Terminbuchungen übermitteln wir die Kontaktdaten des Nutzers an den vom Nutzer ausgewählten Leistungserbringer. Dieser ist eigenständig datenschutzrechtlich verantwortlich für die weitere Verarbeitung der übermittelten Daten.

  • Amazon Web Services (AWS)
    Wir nutzen AWS (Amazon Web Services EMEA SARL, Luxemburg) zur Authentifizierung (Cognito), zum Hosting (EC2) sowie zum Versand von E-Mails (SES). Die Daten werden in Rechenzentren in der Region eu-west-1 (Irland) verarbeitet. Es kann jedoch nicht ausgeschlossen werden, dass in Einzelfällen Daten in die USA übertragen werden. In diesem Fall erfolgt die Übertragung auf Grundlage der EU-Standardvertragsklauseln. Weitere Informationen: https://aws.amazon.com/compliance/gdpr-center/

    AWS verarbeitet im Rahmen von Cognito auch Authentifizierungs- und Anmeldevorgänge. Dabei können zu Sicherheitszwecken technische Log- und Audit-Daten entstehen, die von AWS nach deren eigenen Richtlinien verwaltet werden.

  • Apple Inc.
    Für den Versand von Push-Benachrichtigungen nutzen wir den Apple Push Notification Service (APNs). Anbieter ist Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA.

    Auch hier kann eine Übertragung von Daten in die USA nicht ausgeschlossen werden. Apple stützt sich auf die EU-Standardvertragsklauseln. Weitere Informationen: https://www.apple.com/legal/privacy/de-ww/

8.1 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Bei der Buchung medizinischer Leistungen können Gesundheitsdaten (z. B. Behandlungsanlass) verarbeitet werden. Die Verarbeitung erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO bzw. im Rahmen eines Behandlungsvertrags gemäß Art. 9 Abs. 2 lit. h i. V. m. § 22 Abs. 1 Nr. 1 BDSG.

9. Datensicherheit
Wir setzen geeignete technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen Verlust, Missbrauch und unbefugten Zugriff zu schützen. Dazu gehören insbesondere:

  • Verschlüsselung der Datenübertragung mittels TLS/SSL
  • Zugriffsbeschränkungen auf die gespeicherten Daten
  • regelmäßige Sicherheitsupdates der eingesetzten Systeme


Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

10. Keine automatisierte Entscheidungsfindung / Profiling
Eine automatisierte Entscheidungsfindung einschließlich Profileng gemäß Art. 22 DSGVO findet nicht statt.

11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen.

Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Datenschutzerklärung.

12. Stand der Datenschutzerklärung
Diese Datenschutzerklärung hat den Stand: August 2025