Datenschutzerklärung

Hinweis: Diese Datenschutzerklärung ist ein Entwurf und muss vor Go-Live anwaltlich bzw. durch eine:n Datenschutzbeauftragte:n geprüft und freigegeben werden.

1. Verantwortliche Person (Art. 4 Nr. 7 DSGVO)

Dr. med. Kathrin Hausleiter
Praxis für Ernährungsmedizin
Im Isar-Orthopädiezentrum
Rosental 8, 80331 München

Telefon: +49 159 0179 7759
E-Mail: ernaehrung@hausleiter.com

2. Zweck der Verarbeitung und Rechtsgrundlagen

Diese Anwendung ist ein digitales Ernährungstagebuch, das ausschließlich für Patienten der oben genannten Praxis bereitgestellt wird. Verarbeitet werden:

  • Stammdaten: Name, E-Mail-Adresse, Geburtsdatum, Geschlecht.
  • Gesundheitsdaten (Art. 9 DSGVO): Körpergröße, Körpergewicht, PAL-Wert (körperliche Aktivität), Tagebuch-Einträge (Lebensmittel, Mengen, Mahlzeiten), Freitextanmerkungen zu Mahlzeiten.
  • Technische Verbindungsdaten: Zeitstempel von Anmeldungen, gehashte IP-Adressen im Audit-Log (Sicherheitszwecke, kein Klartextbezug).

Rechtsgrundlagen: Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge und medizinische Betreuung) i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen).

3. Hosting und Datenübertragung

Die Anwendung wird bei IONOS SE, Elgendorfer Str. 57, 56410 Montabaur (Deutschland) betrieben. Alle Daten verbleiben innerhalb der Europäischen Union. Es findet kein Drittlandtransfer statt.

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO wird vor Go-Live mit IONOS abgeschlossen.

4. E-Mail-Versand

Einladungs- und Passwort-Reset-Mails werden über Mailjet SAS (EU-Rechenzentrum) versandt. Mailjet erhält dabei die Ziel-E-Mail-Adresse und die Nachricht. Ein AVV nach Art. 28 DSGVO wird vor Go-Live abgeschlossen.

5. Technische Schutzmaßnahmen

  • Transportverschlüsselung: Alle Verbindungen zur Anwendung erfolgen ausschließlich über HTTPS (TLS).
  • Inhaltsverschlüsselung: Freitextanmerkungen in Tagebuch-Einträgen werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert (Art. 9 DSGVO — besondere Kategorien).
  • Passwort-Hashing: Passwörter werden ausschließlich als Argon2id-Hash mit Server-Pepper gespeichert — kein Klartext-Zugriff möglich.
  • Audit-Log: Sicherheitsrelevante Aktionen (Anmeldungen, Passwort-Resets, Konfigurationsänderungen) werden in einem append-only Protokoll festgehalten. IP-Adressen werden dabei nur als SHA-256-Hash mit Server-Pepper gespeichert.

6. Cookies und Tracking

Die Anwendung verwendet ausschließlich ein technisch notwendiges Session-Cookie zur Aufrechterhaltung der Anmeldung. Dieses Cookie ist:

  • HttpOnly — kein Zugriff durch JavaScript
  • Secure — nur über HTTPS übertragen
  • SameSite=Strict — kein Cross-Site-Versand

Es werden keine Analyse-Tools, keine Google-Dienste, keine Werbe-Cookies und kein externes Tracking eingesetzt.

7. Sitzungsdauer

Anmeldesitzungen enden automatisch:

  • Patienten: nach 12 Stunden ohne Interaktion (Idle-Timeout).
  • Ärztin: nach 4 Stunden ohne Interaktion (Idle-Timeout).
  • Alle Nutzer: täglich um 04:00 Uhr (Tagesreset, DST-berücksichtigt).

Kurz vor dem automatischen Logout wird ein Hinweis angezeigt, der die Möglichkeit bietet, die Sitzung zu verlängern.

8. Speicherdauer und Löschung

Personenbezogene Daten werden gespeichert, solange die Behandlungsbeziehung besteht und soweit keine gesetzlichen Aufbewahrungsfristen (z. B. § 10 MBO-Ä: 10 Jahre) entgegenstehen.

Auf Anfrage werden alle personenbezogenen Daten eines Patienten gelöscht (Recht auf Vergessenwerden, Art. 17 DSGVO), sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung ist technisch vollständig und protokolliert; der Löschvorgang selbst wird im Audit-Log anonymisiert festgehalten.

9. Rechte der betroffenen Personen (Art. 15–22 DSGVO)

Sie haben das Recht auf:

  • Auskunft (Art. 15) — Bestätigung, welche Daten verarbeitet werden.
  • Berichtigung (Art. 16) — Korrektur unrichtiger Daten.
  • Löschung (Art. 17) — Löschung unter den gesetzlichen Voraussetzungen.
  • Einschränkung (Art. 18) — Einschränkung der Verarbeitung.
  • Datenübertragbarkeit (Art. 20) — Erhalt Ihrer Daten in einem maschinenlesbaren Format.
  • Widerspruch (Art. 21) — Widerspruch gegen die Verarbeitung.

Anfragen richten Sie bitte an: ernaehrung@hausleiter.com

10. Zuständige Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
www.lda.bayern.de

← Zurück zur Anmeldung