Zum Hauptinhalt springen
Vier Punkt Null — Physio- und Ergotherapie Hamburg
Termin

Rechtliche Hinweise

Datenschutzerklärung

Informationen nach Art. 13 und 14 DSGVO zur Verarbeitung Ihrer personenbezogenen Daten und Gesundheitsdaten bei der Nutzung unserer Online-Terminbuchung.

Stand: 10. Mai 2026

§1

Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

Therapie 4.0 GmbHJägerlauf 41–45, 22529 HamburgTelefon: 040 27807290E-Mail: info@therapie4-0.de

§2

Datenschutzbeauftragter

Wir haben keinen Datenschutzbeauftragten benannt. Eine Pflicht zur Benennung gemäß §38 Abs. 1 BDSG besteht nicht, da in unserer Praxis nicht dauerhaft mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an den Verantwortlichen unter den oben angegebenen Kontaktdaten.

§3

Art und Zweck der Verarbeitung personenbezogener Daten

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich zum Zweck der Anbahnung, Durchführung und Abrechnung des Behandlungsvertrags. Eine Verarbeitung darüber hinaus findet nicht statt.

3.1 Online-Terminbuchung (Funnel)

Im Rahmen der Online-Buchung erheben wir abhängig von Ihrer Versicherungs-/Kostenträger-Auswahl folgende Daten:

DatenfeldAnwendungsfallStatus
Vorname, NachnameAlle BuchungsartenPflicht
GeburtsdatumAlle BuchungsartenPflicht
TelefonnummerAlle BuchungsartenPflicht
E-Mail-AdresseAlle BuchungsartenPflicht
Postanschrift (Straße, PLZ, Ort)Privat, Selbstzahler, BGPflicht
Krankenkasse, VersichertennummerGesetzlich VersichertePflicht
Rezept-/Verordnungsdaten (Heilmittel, Einheiten, Arzt, Diagnose)Gesetzlich, BGbei Vorliegen
Unfalldaten (Datum, Hergang, Arbeitgeber, BG-Träger, D-Arzt)Berufsgenossenschaft (BG)Pflicht
Gewählte Behandlung, Therapeut:in, Termin-SlotAlle BuchungsartenPflicht

Diese Daten sind teilweise Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO (besondere Kategorien personenbezogener Daten). Sie genießen einen erhöhten Schutzstandard.

3.2 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Sämtliche personenbezogenen Daten der oben genannten Felder werden auf Datenbank-Ebene mit dem Verfahren pgcrypto (AES-256-GCM) verschlüsselt gespeichert. Klartext-Werte werden zu keinem Zeitpunkt persistiert.
  • Rezept-Uploads werden mit nicht-sprechenden Datei-IDs (UUID) gespeichert. Der Zugriff ist auf authentifizierte Praxis-Mitarbeitende beschränkt.
  • Jeder Lese- oder Schreibzugriff auf personenbezogene Daten durch Praxis-Personal wird in einem Audit-Log protokolliert (ohne Klartext-Inhalte). Aufbewahrung des Audit-Logs: 1 Jahr.
  • Admin-Zugänge sind durch Zwei-Faktor-Authentifizierung (TOTP) geschützt; Sitzungen verfallen nach 15 Minuten Inaktivität.
  • Übertragung erfolgt ausschließlich verschlüsselt (TLS 1.2 oder höher).

3.3 Hosting / Server-Standort

Die Anwendung und alle Patientendaten werden auf einem dedizierten Server der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen) im Rechenzentrum Falkenstein (FSN1), Deutschland gehostet. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

§4

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer Daten stützen wir auf folgende Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung): für alle Daten, die zur Anbahnung und Durchführung des Behandlungsvertrags erforderlich sind (Stammdaten, Termin-Daten, Kontaktdaten).
  • Art. 9 Abs. 2 lit. h DSGVO i.V.m. §22 Abs. 1 Nr. 1 lit. b BDSG (Gesundheitsversorgung): für Gesundheitsdaten (Rezept-/Verordnungsdaten, Diagnose, Versichertendaten, Unfalldaten), die für die medizinische Behandlung erforderlich sind.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): soweit wir gesetzlich zur Aufbewahrung von Daten verpflichtet sind (z.B. Patientenakten nach §630f BGB, steuerrechtliche Belege nach §147 AO).
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen): für das Audit-Log (Nachvollziehbarkeit interner Datenzugriffe) und für IT-Sicherheits-Maßnahmen (gehashte IP-Adressen in Server-Logs zur Abwehr von Missbrauch).
§5

Empfänger Ihrer Daten / Auftragsverarbeiter

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet außerhalb der nachfolgend genannten Empfänger nicht statt. Insbesondere geben wir Ihre Daten nicht zu Werbezwecken weiter.

5.1 Hetzner Online GmbH (Hosting)

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Hosting der Anwendung und der Datenbank. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht. Datenverarbeitung erfolgt ausschließlich in Deutschland.

5.2 Resend, Inc. (E-Mail-Versand)

Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. Versand der Buchungs-Bestätigung sowie etwaiger Erinnerungs- und Ausfallhonorar-Hinweis-Mails. Übertragen werden ausschließlich die zur Zustellung erforderlichen Daten (E-Mail-Adresse, Termin-Eckdaten, Praxis-Kontaktinformationen).

Bei Resend handelt es sich um einen Anbieter mit Sitz in den USA. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Ein Auftragsverarbeitungsvertrag besteht.

Wir übermitteln keine Rezept-Inhalte, Diagnose-Daten oder Anamnese-Daten an Resend.

5.3 Kalender-Synchronisation

Die Verfügbarkeits- und Terminsynchronisation der Therapeut:innen erfolgt über einen selbst-gehosteten CalDAV-Server (Radicale) auf demselben Hetzner-Server. Eine Übermittlung an externe Kalender-Dienste (z.B. Google Calendar) findet im Rahmen der Online-Terminbuchung nicht statt.

5.4 Steuerberatung / Abrechnung

Soweit zur Abrechnung erforderlich (insbesondere bei Privatpatient:innen, Selbstzahler:innen und BG-Fällen), übermitteln wir Abrechnungsdaten an unseren Steuerberater bzw. an die Berufsgenossenschaft. Eine Übermittlung von Behandlungs- und Verordnungsdaten an gesetzliche Krankenkassen erfolgt im üblichen Umfang der Heilmittel-Abrechnung.

§6

Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder eine gesetzliche Aufbewahrungspflicht besteht.

  • Patientenakte: 10 Jahre nach Abschluss der Behandlung (§630f Abs. 3 BGB).
  • Abrechnungs- und Buchhaltungsbelege: 10 Jahre nach Ende des Kalenderjahres der Erstellung (§147 AO, §257 HGB).
  • Termin-Buchungsdaten: bis zur Durchführung des Termins, danach gemäß Patientenakten-Frist.
  • Audit-Log: 1 Jahr ab Erstellung.
  • Server-Logs: 30 Tage ab Erstellung.

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert.

§7

Ihre Rechte als betroffene Person

Nach der DSGVO stehen Ihnen die folgenden Rechte zu:

  • Auskunft (Art. 15 DSGVO) über die zu Ihrer Person gespeicherten Daten und deren Verarbeitung.
  • Berichtigung (Art. 16 DSGVO) unrichtiger personenbezogener Daten.
  • Löschung (Art. 17 DSGVO), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO) hinsichtlich der von Ihnen bereitgestellten Daten.
  • Widerspruch (Art. 21 DSGVO) gegen eine Verarbeitung, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird.
  • Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte formlos an den oben genannten Verantwortlichen.

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für Hamburg zuständig ist:

Der Hamburgische Beauftragte für Datenschutz und InformationsfreiheitLudwig-Erhard-Straße 22, 7. OG, 20459 HamburgWeb: datenschutz-hamburg.de

§8

Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Online-Buchung erforderlich sind. Eine Verarbeitung zu Marketing-, Tracking- oder Analyse-Zwecken findet nicht statt.

  • Session-Cookie zur Aufrechterhaltung Ihrer Buchungssitzung im Funnel. Wird beim Schließen des Browsers gelöscht.
  • Bestätigungs-Cookie (HttpOnly) nach Abschluss einer Buchung, ausschließlich für die Anzeige der Bestätigungsseite. TTL: wenige Minuten.

Wir setzen technisch keine Tracking-Cookies. Da wir keine einwilligungspflichtigen Cookies einsetzen, ist nach §25 Abs. 2 Nr. 2 TTDSG keine Einwilligung erforderlich. Der angezeigte Cookie-Hinweis-Banner informiert ausschließlich über die rein funktional verwendeten Speicher (Session-Cookie für den Funnel-State, Local-Storage für die Persistenz Ihrer Hinweis-Bestätigung) und löst keine Tracking- oder Marketing-Skripte aus.

§9

Server-Logs

Bei jedem Aufruf unserer Website werden technische Informationen verarbeitet, die Ihr Browser automatisch übermittelt. Diese werden in Server-Logs protokolliert:

  • Gehashte IP-Adresse (HMAC-Hashing, keine Klartext-Speicherung)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • Browser-Typ und -Version, Betriebssystem (User-Agent)

Speicherdauer: 30 Tage. Anschließend erfolgt automatische Löschung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Sicherstellung des Betriebs, Abwehr von Angriffen, Fehleranalyse.

§10

E-Mail-Versand (Resend)

Für den Versand transaktionaler E-Mails (Buchungsbestätigung sowie etwaige Erinnerungen und Ausfallhonorar-Hinweise) nutzen wir den Dienst Resend, Inc. (Sitz: USA). Übermittelt werden Ihre E-Mail-Adresse, Ihr Pseudonym (Vorname + erster Buchstabe des Nachnamens), Termin-Eckdaten (Datum, Uhrzeit, Behandlungsart, Therapeut:in) und unsere Praxis-Kontaktinformationen. Stornierungen erfolgen ausschließlich telefonisch oder per E-Mail-Antwort an unsere Praxis — wir versenden hierzu keine automatisierten Mails.

Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Resend hat sich vertraglich verpflichtet, die in der EU geltenden Datenschutzstandards einzuhalten.

Rezept-Inhalte, Diagnosen, Versichertennummern und Unfalldaten werden niemals per E-Mail versendet.

§11

Externe Inhalte und Schriften

Wir bemühen uns, externe Einbettungen so weit wie möglich zu vermeiden. Insbesondere werden auf dieser Website keine der folgenden Dienste eingebunden:

  • Google Maps oder andere externe Karten-Dienste
  • Google Analytics, Meta Pixel oder andere Tracking-Tools
  • Social-Media-Plugins (Facebook, Instagram, X)
  • Chat-Bots oder externe Support-Widgets

Schriften: Wir verwenden die Schriftart Montserrat. Diese wird über next/font/google geladen, was eine automatische Selbst-Hosting-Optimierung durch das Next.js-Framework bewirkt: Die Schriftdateien werden zur Build-Zeit von Google heruntergeladen und anschließend ausschließlich von unserem Server ausgeliefert. Eine Verbindung Ihres Browsers zu Google-Servern findet zur Laufzeit nicht statt.

§12

SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte eine TLS-Verschlüsselung (TLS 1.2 oder höher). Sie erkennen eine verschlüsselte Verbindung an dem Schloss-Symbol in der Adresszeile Ihres Browsers und am Präfix https://.

Solange die Verschlüsselung aktiviert ist, können die Daten, die Sie uns übermitteln, nicht von Dritten mitgelesen werden.

Diese Datenschutzerklärung ist gültig ab dem 10. Mai 2026. Bei wesentlichen Änderungen der Datenverarbeitung passen wir diese Erklärung an. Auch einsehbar unter /impressum und /agb.