Datenschutzerklärung

Wir freuen uns über Ihr Interesse an unserer Plattform "Falldenken". Der Schutz Ihrer persönlichen Daten sowie die Wahrung des Patientengeheimnisses Ihrer KlientInnen haben für uns höchste Priorität. Im Folgenden informieren wir Sie detailliert über die Verarbeitung personenbezogener Daten bei der Nutzung unserer Dienste sowie über die strengen Sicherheitsvorkehrungen, die wir zum Schutz dieser sensiblen Daten ergriffen haben.

1. Verantwortlicher für die Datenverarbeitung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und anderer datenschutzrechtlicher Bestimmungen ist:

Falldenken — M. Sc. Psych. Magdalena Koch
Karl-Heine-Str. 85a
04229 Leipzig
Deutschland

E-Mail: info@falldenken.de
Website: www.falldenken.de

2. Erhebung und Speicherung personenbezogener Daten beim Besuch der Website

Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät verwendeten Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sogenannten Logfile (Server-Log) gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

  • IP-Adresse des anfragenden Rechners (ggf. gekürzt),
  • Datum und Uhrzeit des Zugriffs,
  • Name und URL der abgerufenen Datei,
  • Website, von der aus der Zugriff erfolgt (Referrer-URL),
  • Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners sowie der Name Ihres Access-Providers.

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus den Zwecken der Gewährleistung eines reibungslosen Verbindungsaufbaus, der komfortablen Nutzung unserer Website, der Auswertung der Systemsicherheit und -stabilität sowie zu weiteren administrativen Zwecken. Die Logfiles werden nach spätestens 14 Tagen automatisch gelöscht.

3. Registrierung, Nutzerkonto und Vertragsdaten (Therapeuten-Stammdaten)

Um unsere Plattform zur Berichtsunterstützung nutzen zu können, ist die Erstellung eines passwortgeschützten Nutzerkontos erforderlich. Hierbei erheben und verarbeiten wir folgende Daten:

  • E-Mail-Adresse (dient als Benutzername und für systemrelevante Benachrichtigungen),
  • Verschlüsseltes Passwort (wir speichern Passwörter ausschließlich in verschlüsselter Form als kryptografische Einweg-Hashes nach dem aktuellen Stand der Technik),
  • Vor- und Nachname des Therapeuten / der Therapeutin,
  • Praxisname und Anschrift (Rechnungsadresse),
  • Kontaktdaten (z.B. Telefonnummer für eventuelle Rückfragen bei Express-Aufträgen),
  • Ggf. Berufsnummern wie die Lebenslange Arztnummer (LANR) oder Betriebsstättennummer (BSNR), sofern dies für die Rechnungslegung oder Identifikation gewünscht ist.

Die Erhebung dieser Daten erfolgt gemäß Art. 6 Abs. 1 S. 1 lit. b DSGVO zur Anbahnung, Begründung und Durchführung des Nutzungsverhältnisses (Vertragserfüllung). Wir nutzen diese Daten zur Verifizierung Ihrer Person, zur Kommunikation, zur sicheren Zuordnung Ihrer Berichtsaufträge sowie zur ordnungsgemäßen Abrechnung unserer Dienstleistungen.

Hinweis zu unverifizierten Accounts: Registrieren Sie sich und verifizieren Ihre E-Mail-Adresse nicht innerhalb von 72 Stunden über den übersandten Bestätigungslink, wird Ihr Account mitsamt allen bis dahin erfassten Registrierungsdaten vollautomatisch und unwiderruflich aus unserem System gelöscht.

4. Verarbeitung von Patientendaten im Auftrag (Gesundheitsdaten gem. Art. 9 DSGVO)

Im Rahmen der Berichtsunterstützung übermitteln Sie uns sensible klinische Falldaten, Befunde und stichpunktartige Notizen Ihrer PatientInnen. Bei diesen Informationen handelt es sich um besondere Kategorien personenbezogener Daten (Gesundheitsdaten) im Sinne von Art. 9 Abs. 1 DSGVO.

4.1 Ihre Pflicht zur Pseudonymisierung (Wichtig!)

Sie sind als auftraggebende TherapeutInnen vertraglich und standesrechtlich dazu verpflichtet, sämtliche Patientendaten vor dem Upload an uns strengstens zu pseudonymisieren oder vollständig zu anonymisieren.

  • Keine Klarnamen: Zur Identifikation wird lediglich ein Alias verwendet (z.B. "Pat. A", "Herr A.", "Chiffre A120361").
  • Fachlich erforderliche Angaben bleiben zulässig: Für die Berichtserstellung benötigte Informationen wie Geburtsdatum bzw. Alter, Symptomatik, Anamnese und Behandlungsverlauf dürfen und sollen enthalten sein — jedoch stets ohne direkte Identifikatoren.
  • Keine Adressen oder Kontaktdaten: Entfernen Sie alle Hinweise auf Wohnorte, Arbeitgeber oder spezifische familiäre Beziehungen, die eine Identifikation ermöglichen könnten.

4.2 Auftragsverarbeitung (Art. 28 DSGVO) & AVV

Da wir diese pseudonymisierten Gesundheitsdaten ausschließlich in Ihrem Auftrag und streng weisungsgebunden verarbeiten, agieren wir als Ihr Auftragsverarbeiter gemäß Art. 28 DSGVO. Im Rahmen der Registrierung schließen Sie mit uns digital einen gesetzeskonformen Auftragsverarbeitungsvertrag (AVV) ab, der alle technischen und organisatorischen Maßnahmen (TOM) detailliert festlegt.

Die Rechtsgrundlage für unsere Verarbeitung dieser Daten im Auftrag ist Art. 28 DSGVO in Verbindung mit dem Behandlungsvertrag zwischen Ihnen und Ihren PatientInnen gemäß Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge und Verwaltung von Systemen und Diensten im Gesundheitsbereich).

5. Berufsgeheimnis & strafrechtlicher Schutz (§ 203 StGB)

Wir sind uns der besonderen strafrechtlichen Relevanz des Schutzes von Privatgeheimnissen im therapeutischen Bereich vollends bewusst.

Sämtliche bei uns tätigen Mitarbeiter, freie Mitarbeiter sowie als Dienstleister (Subunternehmer) eingebundene PsychologInnen sind vor Aufnahme ihrer Tätigkeit schriftlich auf die strikte Einhaltung der Verschwiegenheit sowie auf die strafrechtlichen Konsequenzen eines Verstoßes nach § 203 Abs. 3 StGB (Verletzung von Privatgeheimnissen durch Gehilfen und Personen, die an der beruflichen Tätigkeit mitwirken) förmlich verpflichtet worden.

Die Einzelheiten regelt die separate Verschwiegenheitsverpflichtung für externe Dienstleister, die als eigenständiges Dokument im Download-Bereich bereitsteht — sie ist nicht Bestandteil dieser Datenschutzerklärung.

6. Infrastruktur, Server-Hosting & Datenweitergabe

Wir behandeln Ihre Daten mit äußerster Diskretion. Eine Weitergabe an Dritte erfolgt ausschließlich im Rahmen der gesetzlichen Vorgaben zur Vertragserfüllung oder Auftragsverarbeitung.

6.1 Serverstandort Deutschland

Das gesamte System, unsere Datenbanken und alle verschlüsselten Dateien werden auf Servern der Hostinger International Ltd. gehostet. Der für dieses System genutzte Serverstandort ist ein Rechenzentrum in Frankfurt am Main, Deutschland. Mit Hostinger besteht ein Vertrag zur Auftragsverarbeitung (Data Processing Agreement) gemäß Art. 28 DSGVO.

6.2 System-E-Mails (SMTP-Versand)

Für den automatisierten Versand von E-Mails (z.B. Passwort-Zurücksetzen, Benachrichtigung über fertige Berichte) verwenden wir den SMTP-Dienst unseres Hosting-Anbieters Hostinger; hierfür gelten dieselben Auftragsverarbeitungs-Garantien wie für das Hosting (Ziffer 6.1). In diesen E-Mails werden keine Patientendaten oder medizinischen Befunde übermittelt.

6.3 Leistungserbringung und Unterauftragsverarbeiter

Die fachliche Berichtserstellung erfolgt derzeit ausschließlich durch Falldenken selbst. Als technische Unterauftragsverarbeiter werden ausschließlich die im Auftragsverarbeitungsvertrag (AVV) genannten Dienstleister eingesetzt (Server-Hosting und E-Mail-Versand, Ziffern 6.1 und 6.2). Sollten künftig weitere Unterauftragsverarbeiter oder fachliche Subunternehmer hinzugezogen werden, erfolgt dies ausschließlich nach Maßgabe von Art. 28 DSGVO und § 6 des AVV (vorherige Anzeige und Einspruchsrecht).

6.4 Empfänger personenbezogener Daten

Empfänger personenbezogener Daten sind ausschließlich: unser Hosting-Anbieter (Hostinger, Ziffer 6.1), der E-Mail-Versanddienst (Hostinger-SMTP, Ziffer 6.2) sowie ggf. IT-Support — jeweils nur im Rahmen von Auftragsverarbeitungsverträgen. Eine Übermittlung personenbezogener Daten an Dritte zu Werbe-, Analyse- oder sonstigen eigenen Zwecken erfolgt nicht.

7. Kryptografische Datensicherheit (Das Verschlüsselungskonzept)

Um einen unbefugten Zugriff auf die hochsensiblen Patientendokumente auszuschließen, setzen wir modernste Verschlüsselungstechnologien ein:

  • Datenübertragung (In Transit): Alle Kommunikationsprozesse zwischen Ihrem Webbrowser und unseren Servern erfolgen ausschließlich über verschlüsselte HTTPS-Verbindungen (TLS, Transportsicherung auf dem aktuellen Stand der Technik).
  • Datenspeicherung (At Rest): Jedes von Ihnen hochgeladene Ausgangsdokument, alle Zusatzmaterialien sowie die erstellten Berichte werden serverseitig mit einem starken, anerkannten Verschlüsselungsverfahren nach dem aktuellen Stand der Technik verschlüsselt, bevor sie auf die Speichermedien geschrieben werden.
  • Schlüsselschutz: Die zur Ver- und Entschlüsselung genutzten Schlüssel werden getrennt von den gespeicherten Dateien verwaltet und durch technische und organisatorische Maßnahmen gegen unbefugten Zugriff geschützt.

8. Striktes Löschkonzept (DSGVO-Löschfristen)

Datenvermeidung und Datensparsamkeit sind Kernprinzipien unserer Architektur. Dokumente verbleiben nur so lange auf unseren Servern, wie es für die Leistungserbringung zwingend notwendig ist.

  • Automatische Purge-Frist (180 Tage): Jede hochgeladene Datei (Anamnesebögen, Notizen) sowie jeder fertiggestellte Gutachterbericht wird exakt 180 Tage nach dem Erstellungsdatum vollautomatisch und unwiderruflich physisch von den Servern gelöscht.
  • Vorab-E-Mail-Warnung: Sie erhalten automatisch 15 Tage vor der endgültigen Löschung (am Tag 165) eine Erinnerung per E-Mail, damit Sie die erstellten Dokumente rechtzeitig in Ihre eigene, lokale Praxis-Software importieren können.
  • Manuelle Sofortlöschung: Als Kunde haben Sie im Dashboard jederzeit die Möglichkeit, fertiggestellte Aufträge manuell per Knopfdruck sofort und endgültig zu löschen. Hierbei werden die zugehörigen Dateien unverzüglich, unwiderruflich und datenschutzkonform von unseren Speichermedien gelöscht.
  • Abrechnungs-Metadaten: Aus steuerrechtlichen Gründen (gemäß § 147 AO, Art. 6 Abs. 1 S. 1 lit. c DSGVO) verbleiben ausschließlich die abrechnungsrelevanten Metadaten des Auftrags (Datum, Leistungstyp, Rechnungsbetrag, Kunden-ID sowie die von Ihnen vergebene Chiffre als Positionskennzeichen) in unserer Datenbank und auf den erstellten Rechnungen. Alle medizinischen Inhalte und hochgeladenen Dokumente werden bei der Löschung physisch eliminiert. Die Chiffre ist ein von Ihnen gewähltes Pseudonym; ein Rückschluss auf die Identität Ihrer Patient:innen ist uns daraus nicht möglich. Sie dient ausschließlich dazu, die einzelnen Rechnungspositionen Ihren Fällen zuordnen zu können, und wird — wie die übrigen Abrechnungsdaten — für die Dauer der gesetzlichen Aufbewahrungsfristen (§ 147 AO / § 14b UStG, zehn Jahre) gespeichert.

9. Cookies & Lokaler Speicher (Absolut Tracking-Frei!)

Wir lehnen unbefugtes Tracking ab. Unsere Plattform ist vollständig frei von Marketing-, Analyse- oder Drittanbieter-Cookies (wie z.B. Google Analytics oder Facebook-Pixel).

Wir nutzen ausschließlich technisch zwingend notwendige Sitzungs-Cookies und LocalStorage-Einträge. Diese dienen ausschließlich der sicheren Benutzerauthentifizierung und Session-Verwaltung. Da wir keine einwilligungspflichtigen Cookies einsetzen, ist der Besuch unserer Seite rechtssicher ohne störende Cookie-Banner (gemäß TDDDG / ePrivacy-Richtlinie) möglich.

9a. Kontaktformular

Auf unserer Website steht Ihnen ein Kontaktformular zur Verfügung. Wenn Sie es nutzen, verarbeiten wir die von Ihnen angegebenen Daten (Vorname, Nachname, E-Mail-Adresse, Inhalt Ihrer Nachricht) ausschließlich zur Bearbeitung Ihrer Anfrage und für mögliche Anschlussfragen.

  • Rechtsgrundlage: Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie über die Pflicht-Checkbox erteilen, sowie Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage auf einen Vertragsschluss zielt.
  • Speicherung: Die Formulardaten werden nicht dauerhaft in einer Datenbank gespeichert, sondern als E-Mail-Nachricht an uns übermittelt und dort nur so lange aufbewahrt, wie es für die Bearbeitung Ihrer Anfrage erforderlich ist. Bei technischen Zustellproblemen wird die Nachricht bis zur erfolgreichen Übermittlung vorübergehend zwischengespeichert und anschließend automatisch entfernt.
  • Spam-Schutz: Zur Abwehr automatisierter Anfragen setzen wir eine einfache Rechenaufgabe und technische Prüfungen ein — ohne Dienste von Drittanbietern und ohne Tracking.
  • Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, z. B. per E-Mail an die im Impressum genannte Adresse.

10. Ihre gesetzlichen Betroffenenrechte

Sie haben jederzeit das Recht, Ihre Betroffenenrechte gegenüber uns geltend zu machen. Gemäß der DSGVO stehen Ihnen folgende Rechte zu:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die unverzügliche Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen, falls die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Sie können Ihre einmal erteilte Einwilligung jederzeit widerrufen.
  • Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Widerspruchsrecht (Art. 21 DSGVO): Soweit wir Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) verarbeiten — etwa die in Ziffer 2 genannten Server-Logfiles —, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Richten Sie Ihren Widerspruch formlos an die unter Ziffer 1 genannten Kontaktdaten.

11. Automatisierte Entscheidungen

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.

12. Datenschutzbeauftragter

Nach unserer Prüfung besteht derzeit keine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten. Bei Fragen zum Datenschutz können Sie sich jederzeit an die unter Ziffer 1 genannten Kontaktdaten wenden.

13. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei Bedarf an rechtliche, technische oder organisatorische Änderungen angepasst. Es gilt jeweils die auf dieser Website veröffentlichte Fassung.

Stand: Juli 2026