1. Verantwortlicher und Kontakt
Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) für die in dieser Datenschutzerklärung beschriebenen Verarbeitungen von Mark Health ist die Elevo Health Limited, Venture Hub, 136 Capel Street, Dublin, D01 T2C9, Irland, eingetragen im Companies Registration Office Ireland unter der CRO-Nummer 800508 (nachfolgend „Mark Health" oder „wir"). Mark Health ist eine Geschäftsbezeichnung der Elevo Health Limited.
Kontakt in Datenschutzangelegenheiten: E-Mail: [datenschutz@markhealth.de einrichten], alternativ support@markhealth.de, oder postalisch an die oben genannte Anschrift.
Datenschutzbeauftragter: [Name und Kontaktdaten des Datenschutzbeauftragten einsetzen]. Aufgrund der umfangreichen Verarbeitung von Gesundheitsdaten haben wir einen Datenschutzbeauftragten benannt (Art. 37 Abs. 1 lit. c DSGVO).
2. Das Wichtigste im Überblick
Mark Health ist eine technische Vermittlungsplattform für privatärztliche telemedizinische Konsultationen. Medizinische Leistungen erbringt ausschließlich der Sie behandelnde Arzt; Mark Health stellt die Technik bereit. Ihre Gesundheitsdaten verarbeiten wir nur mit Ihrer ausdrücklichen Einwilligung und nur, soweit dies für die Plattform erforderlich ist. Wir nutzen Gesundheitsdaten niemals für Werbung, treffen keine automatisierten Entscheidungen über Ihre Behandlung und hosten Gesundheitsdaten ausschließlich im Europäischen Wirtschaftsraum (EWR). Alle Personen mit Zugang zu Patientengeheimnissen sind zur Geheimhaltung verpflichtet. Neben der Vermittlungsplattform betreiben wir einen Shop für freiverkäufliche Nahrungsergänzungsmittel; Daten aus diesem Shop halten wir von Ihren Behandlungsdaten strikt getrennt, behandeln sie aufgrund möglicher Gesundheitsbezüge mit besonderem Schutz und nutzen sie nicht für Werbung oder Profiling (Ziffern 4.12 und 4.13).
3. Rollenverteilung: Wer ist für welche Daten verantwortlich?
3.1 Mark Health als eigenständige Verantwortliche
Mark Health ist eigenständige Verantwortliche (Art. 4 Nr. 7 DSGVO) für die Bereitstellung der Website und der Plattform, Ihren Nutzeraccount, die IT-Infrastruktur, die Organisation der Zahlungsabwicklung sowie die Abrechnung der eigenen Servicegebühr.
3.2 Der behandelnde Arzt als eigenständiger Verantwortlicher
Der Sie behandelnde Arzt ist eigenständiger Verantwortlicher für die medizinische Behandlung, die Diagnosestellung, die Verordnung und die medizinische Dokumentation (Patientenakte gemäß § 630f BGB, Aufbewahrungsfrist zehn Jahre). Er verarbeitet Ihre Gesundheitsdaten zur Erfüllung des Behandlungsvertrags auf Grundlage des Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 lit. b BDSG und unterliegt der ärztlichen Schweigepflicht (§ 203 StGB). Vor Beginn der Konsultation informieren wir Sie über die Person des behandelnden Arztes.
3.3 Gemeinsame Verantwortlichkeit für das Anamnese-Tool (Art. 26 DSGVO)
Für die Erhebung und Übermittlung Ihrer gesundheitsbezogenen Angaben im Anamnese-Tool einschließlich des Folgerezept-Fragebogens (Schnittstelle zwischen Plattform und Arzt) sind Mark Health und der jeweils behandelnde Arzt gemeinsam Verantwortliche (Art. 26 DSGVO). Das Wesentliche unserer Vereinbarung (Art. 26 Abs. 2 Satz 2 DSGVO) lautet: Mark Health erfüllt die Informationspflichten nach Art. 13 und 14 DSGVO über diese Datenschutzerklärung. Mark Health ist zentrale Anlaufstelle für Ihre Betroffenenrechte und leitet Anliegen, die die medizinische Behandlung oder die Patientenakte betreffen, unverzüglich an den Arzt weiter. Mark Health verantwortet die technischen und organisatorischen Schutzmaßnahmen der Infrastruktur (Hosting, Verschlüsselung, Zugriffssteuerung, Protokollierung); der Arzt verantwortet die Sicherheit seiner eigenen Endgeräte und Zugänge. Datenschutzvorfälle im gemeinsamen Bereich koordiniert Mark Health. Unabhängig davon können Sie Ihre Rechte jederzeit gegenüber jeder der beiden Parteien geltend machen (Art. 26 Abs. 3 DSGVO).
3.4 Verarbeitung im Auftrag des Arztes
Bestimmte Leistungen erbringt Mark Health als Auftragsverarbeiterin des Arztes auf Grundlage eines Vertrags nach Art. 28 DSGVO: die technische Erstellung und Übermittlung der ärztlichen Rechnung in seinem Namen, die technische Übermittlung des Privatrezepts an die von Ihnen gewählte Apotheke sowie die Bereitstellung der Dokumentationsumgebung. Alle Personen, die bei Mark Health bestimmungsgemäß Zugang zu Patientengeheimnissen erhalten können, sind vor ihrem Einsatz zur Geheimhaltung verpflichtet worden.
4. Datenverarbeitung im Einzelnen
4.1 Besuch der Website (Server-Logfiles)
Beim Aufruf unserer Website verarbeiten wir technisch notwendige Daten (IP-Adresse, Datum und Uhrzeit, aufgerufene Seite, Referrer-URL, Browser- und Betriebssysteminformationen) zur Bereitstellung der Website, zur Gewährleistung von Stabilität und Sicherheit und zur Abwehr von Angriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb). Logfiles werden nach [Anzahl, z. B. 14] Tagen gelöscht, soweit nicht ein sicherheitsrelevanter Vorfall eine längere Aufbewahrung erfordert. Die Anwendung wird bei Vercel gehostet; Datenbank-, Authentifizierungs- und Speicherdienste betreiben wir auf Infrastruktur von Amazon Web Services in der Region Frankfurt am Main (eu-central-1). Beide Anbieter sind als Auftragsverarbeiter vertraglich gebunden (Art. 28 DSGVO); zu Übermittlungen in Drittländer siehe Ziffer 6.
4.2 Cookies und ähnliche Technologien
Technisch erforderliche Cookies und Speicherzugriffe (z. B. Login-Session, Sicherheits- und Consent-Status) setzen wir auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG und Art. 6 Abs. 1 lit. f bzw. lit. b DSGVO ein. Alle nicht erforderlichen Technologien (z. B. Statistik) verwenden wir nur mit Ihrer Einwilligung über unser Consent-Banner (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO); die jeweils eingesetzten Dienste, Speicherdauern und Anbieter sind im Consent-Banner aufgeführt, wo Sie Ihre Auswahl jederzeit ändern oder widerrufen können. Im eingeloggten Bereich, im Anamnese-Prozess und im Buchungsprozess setzen wir keine Marketing- oder Analyse-Tools von Drittanbietern ein.
4.3 Registrierung und Nutzeraccount
Bei der Registrierung verarbeiten wir Ihre Stammdaten (Name, Geburtsdatum, Anschrift, E-Mail-Adresse, Telefonnummer) sowie Ihre Bestätigungen zu den Nutzungsvoraussetzungen (Volljährigkeit, Wohnsitz in Deutschland). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Plattformnutzungsvertrag). Die Plattform richtet sich ausschließlich an Personen ab 18 Jahren.
Ein Nutzerkonto kann auch automatisch angelegt werden, ohne dass Sie ein Passwort vergeben — etwa nach einer Zahlung im Rahmen einer Konsultation (Teil A) oder einer Bestellung im Shop (Teil B) anhand der von Ihnen im Zahlungsvorgang angegebenen E-Mail-Adresse, sofern unter dieser Adresse noch kein Konto besteht. Der Zugang erfolgt passwortlos über einen einmaligen, zeitlich befristeten Anmeldelink, den wir an diese E-Mail-Adresse senden; der Zugang setzt damit den Nachweis des Zugriffs auf dieses E-Mail-Postfach voraus. Hierfür verarbeiten wir Ihre E-Mail-Adresse sowie die jeweils übermittelten Stammdaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; für die Speicherdauer gilt Ziffer 7, für Ihre Rechte einschließlich der Löschung des Kontos Ziffer 8.
4.4 Anamnese-Tool und Folgerezept-Fragebogen (Gesundheitsdaten)
Im Anamnese-Tool und im Folgerezept-Fragebogen erheben wir Ihre gesundheitsbezogenen Selbstauskünfte (z. B. Vorerkrankungen, Medikation, Allergien, Symptome) und übermitteln sie an den Sie behandelnden Arzt, damit dieser Ihre Behandlungsanfrage prüfen und Sie behandeln kann. Hierfür besteht die in Ziffer 3.3 beschriebene gemeinsame Verantwortlichkeit. Rechtsgrundlage der Verarbeitung durch Mark Health ist Ihre ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a, Art. 6 Abs. 1 lit. a DSGVO), die wir gesondert vor Beginn des Anamnese-Fragebogens einholen. Ohne diese Einwilligung können die plattformgestützten Leistungen nicht genutzt werden, weil die Verarbeitung für die Vermittlung der Behandlung objektiv erforderlich ist; hierauf weisen wir bei der Einholung hin. Der Arzt verarbeitet diese Daten zusätzlich auf Grundlage des Art. 9 Abs. 2 lit. h DSGVO (Ziffer 3.2).
4.5 Entbindung von der ärztlichen Schweigepflicht
Soweit Mark Health im Rahmen der Plattform Kenntnis von patientenbezogenen Gesundheitsdaten erlangt, beruht dies auf der von Ihnen gesondert erteilten Entbindung des behandelnden Arztes von der ärztlichen Schweigepflicht (§ 203 StGB) gegenüber Mark Health. Die Entbindung ist auf den für den Plattformbetrieb erforderlichen Umfang begrenzt: Kenntnisnahme Ihrer Anamnese- und Behandlungsdaten zur technischen Abwicklung, Erstellung und Versand der ärztlichen Rechnung im Namen des Arztes sowie, auf Ihren Wunsch, Übermittlung Ihres Rezepts an die von Ihnen gewählte Apotheke. Sie können die Entbindung jederzeit mit Wirkung für die Zukunft widerrufen (Folgen: Ziffer 9).
4.6 Videokonsultation
Die Videokonsultation führen wir über einen vertraglich als Auftragsverarbeiter gebundenen Anbieter durch (Whereby AS, Norwegen; Sitz im EWR); die Verarbeitung erfolgt im EWR. Verarbeitet werden Verbindungs- und Metadaten sowie die Bild- und Tonübertragung zwischen Ihnen und dem Arzt. Eine Aufzeichnung der Videokonsultation durch Mark Health findet nicht statt; die Inhalte der Konsultation dokumentiert allein der behandelnde Arzt in der Patientenakte. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO sowie Ihre Einwilligung nach Ziffer 4.4 für die Gesundheitsdaten.
4.7 Privatrezept und qualifizierte elektronische Signatur (Signius)
Verschreibt der Arzt ein Arzneimittel, erstellt er ein Privatrezept und versieht es mit einer qualifizierten elektronischen Signatur (eIDAS-Verordnung). Den qualifizierten Vertrauensdienst erbringt [Signius, vertragschließende Einheit und Sitz einsetzen] als eIDAS-zertifizierter qualifizierter Vertrauensdiensteanbieter. Signius handelt insoweit als eigenständige Verantwortliche und nicht als Auftragsverarbeiterin: Die Identifizierung des signierenden Arztes, die Zertifikatsverwaltung sowie die Erstellung und gesetzliche Aufbewahrung der Signatur- und Validierungsnachweise erfolgen aufgrund eigener gesetzlicher Pflichten von Signius in deren eigener Verantwortung; es gilt insoweit die Datenschutzerklärung von Signius ([Link einsetzen]). Ihr Verordnungsdokument wird in der Infrastruktur von Mark Health erstellt und verwahrt; an Signius werden [lediglich die für die Signaturerstellung technisch erforderlichen Daten bzw. Hashwerte des Dokuments] übermittelt.
4.8 Übermittlung des Rezepts an Ihre Apotheke
Die Wahl der Apotheke steht ausschließlich Ihnen zu (§ 11 ApoG); Mark Health erhält von Apotheken keine Vergütung und spricht keine Empfehlungen aus. Nur auf Ihren ausdrücklichen Wunsch übermitteln wir das signierte Privatrezept über einen gesicherten elektronischen Weg an die von Ihnen benannte Apotheke in Deutschland oder eine zum Versand nach Deutschland befugte Versandapotheke (§ 73 Abs. 1 Satz 1 Nr. 1a AMG). Die Apotheke verarbeitet Ihre Daten als eigenständige Verantwortliche. Rechtsgrundlage der Übermittlung ist Ihre Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) in Verbindung mit Ihrer Beauftragung im Einzelfall (Art. 6 Abs. 1 lit. b DSGVO).
4.9 Zahlungsabwicklung (Stripe, Split-Payment)
Die Zahlungsabwicklung erfolgt über Stripe. Vertrags- und datenschutzrechtlicher Ansprechpartner für die im Europäischen Wirtschaftsraum verarbeiteten Zahlungsdaten ist die Stripe Payments Europe, Limited (SPEL), One Wilton Park, Wilton Place, Dublin 2, D02 FX04, Irland; die regulierte Zahlungsdienstleistung erbringt die Stripe Technology Europe, Limited (STEL), die von der irischen Zentralbank (Central Bank of Ireland) als E-Geld-Institut zugelassen und beaufsichtigt wird (Referenznummer C187865). Sie zahlen den im Bestellprozess angezeigten Gesamtbetrag an Stripe; Stripe teilt den Betrag im Wege eines technischen Split-Mechanismus (Stripe Connect) automatisch auf: Das ärztliche Honorar wird unmittelbar dem Stripe-Konto des behandelnden Arztes gutgeschrieben, die Servicegebühr dem Konto von Mark Health. Mark Health erhält zu keinem Zeitpunkt Verfügungsgewalt über das ärztliche Honorar und keine vollständigen Zahlungsmitteldaten (z. B. Kartendaten); diese verbleiben bei Stripe. An Stripe werden keine Anamnese- oder Behandlungsdaten übermittelt; übermittelt werden nur die für die Zahlungsabwicklung sowie für die aufsichts-, geldwäsche- und betrugspräventionsrechtlichen Pflichten von Stripe erforderlichen Daten, insbesondere Name, E-Mail-Adresse, Zahlungsmittel- und Transaktionsdaten (Betrag, Transaktionsreferenz) sowie technische Daten wie die IP-Adresse. Stripe verarbeitet diese Daten aufgrund eigener aufsichts- und geldwäscherechtlicher Pflichten als eigenständig Verantwortlicher; es gilt insoweit die Datenschutzerklärung von Stripe (https://stripe.com/privacy). Zahlungsdaten verarbeitet Stripe auch außerhalb des EWR, insbesondere in den USA; diese Übermittlung ist durch den Angemessenheitsbeschluss zum EU-US Data Privacy Framework abgedeckt, unter dem Stripe zertifiziert ist (Art. 45 DSGVO), ergänzend durch EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO); Näheres unter Ziffer 6. Rechtsgrundlagen im Übrigen: Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO.
4.10 Ärztliche Rechnung (GOÄ)
Die Rechnung über die ärztliche Leistung wird Ihnen im Namen und für Rechnung des behandelnden Arztes erteilt; Mark Health erstellt und übermittelt sie als technische Abrechnungsdienstleisterin im Auftrag des Arztes (Ziffer 3.4). Die Rechnung enthält die nach § 12 GOÄ erforderlichen Angaben. Abrechnungs- und Buchungsdaten unterliegen gesetzlichen Aufbewahrungsfristen (Ziffer 7).
4.11 Kommunikation, Support und Erinnerungen
Wenn Sie uns kontaktieren, verarbeiten wir Ihre Angaben zur Bearbeitung der Anfrage (Art. 6 Abs. 1 lit. b und lit. f DSGVO). Im Rahmen des Abonnements erinnern wir Sie vereinbarungsgemäß alle drei Monate an den Folgerezept-Fragebogen (Art. 6 Abs. 1 lit. b DSGVO); das Abonnement ist jederzeit über den Kündigungsbutton kündbar. Werbliche E-Mails versenden wir nur mit Ihrer Einwilligung oder im gesetzlich zulässigen Rahmen des § 7 Abs. 3 UWG mit jederzeitiger Widerspruchsmöglichkeit. Gesundheitsdaten verwenden wir niemals für Werbung.
4.12 Supplement-Shop (Teil B): Bestellung, Zahlung und Versand
Über den unter der Plattform betriebenen Shop verkauft Mark Health im eigenen Namen und auf eigene Rechnung freiverkäufliche Nahrungsergänzungsmittel (Lebensmittel); Honorarärzte sind hieran nicht beteiligt. Bei einer Bestellung verarbeiten wir Ihre Bestell-, Zahlungs- und Lieferdaten, insbesondere Name, Liefer- und Rechnungsanschrift, E-Mail-Adresse, die bestellten Artikel sowie Zahlungs- und Transaktionsdaten.
Zur Abwicklung und Verwaltung Ihrer Bestellung — etwa zur Einsicht in Ihre Bestellungen und Lieferungen sowie zur Verwaltung oder Kündigung eines Abonnements — legen wir mit der von Ihnen im Zahlungsvorgang angegebenen E-Mail-Adresse ein Kundenkonto an, sofern unter dieser Adresse noch kein Konto besteht; für die Anlage und den passwortlosen Zugang gilt Ziffer 4.3 entsprechend.
Weil der Erwerb bestimmter Nahrungsergänzungsmittel im Kontext unseres Angebots Rückschlüsse auf Ihren Gesundheitszustand zulassen kann, behandeln wir diese Bestelldaten als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO. Rechtsgrundlage ist Ihre ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), kumulativ zu Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Kaufvertrags) und Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Pflichten, insbesondere handels- und steuerrechtliche Aufbewahrung). Die Einwilligung holen wir vor Abschluss jeder Bestellung über eine gesonderte, nicht vorausgefüllte Checkbox ein und protokollieren sie; sie ist nicht Bestandteil der AGB.
Die Einwilligung bezieht sich ausschließlich auf Verarbeitungen, die zur Durchführung der von Ihnen gewünschten Bestellung erforderlich sind (Bestellung, Zahlung, Versand sowie Abwicklung von Mängelrechten und Widerruf) einschließlich der Übermittlung der jeweils erforderlichen Daten an die hierfür eingesetzten Dienstleister sowie auf die Erfüllung gesetzlicher Pflichten. Da diese Verarbeitungen für die Vertragsdurchführung erforderlich sind, liegt keine unzulässige Kopplung im Sinne des Art. 7 Abs. 4 DSGVO vor; ohne die Einwilligung ist eine Bestellung im Shop nicht möglich, weil die Verarbeitung für deren Abwicklung zwingend erforderlich ist. Die Nutzung der Plattform und der ärztlichen Konsultationen (Teil A) bleibt von der Erteilung, Verweigerung oder dem Widerruf dieser Einwilligung vollständig unberührt.
Empfänger der Bestelldaten sind der Zahlungsdienstleister (Zahlungsabwicklung) und der Versanddienstleister DHL (DHL Paket GmbH) für die Auslieferung der Ware. An DHL übermitteln wir ausschließlich die für die Zustellung erforderlichen Lieferdaten (insbesondere Name und Lieferanschrift), nicht jedoch Angaben zu den bestellten Artikeln; DHL verarbeitet diese Lieferdaten als eigenständig Verantwortlicher zur Zustellung, sodass insoweit die Datenschutzerklärung von DHL gilt. Die Zahlungsabwicklung im Shop erfolgt ebenfalls über Stripe; insoweit gelten Ziffer 4.9 und Ziffer 6 entsprechend, wobei der Kaufpreis vollständig Mark Health als Verkäuferin zufließt und keine Aufteilung auf einen Arzt erfolgt. An den Zahlungsdienstleister werden keine Angaben zu den konkret bestellten Artikeln übermittelt; die gesundheitsbezogen auswertbaren Bestelldaten verarbeiten wir ausschließlich innerhalb des Europäischen Wirtschaftsraums.
Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Ziffer 9); der Widerruf lässt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung unberührt. Nach einem Widerruf löschen wir die Bestelldaten oder beschränken die Verarbeitung auf die Erfüllung gesetzlicher Aufbewahrungspflichten (Art. 17, 18 DSGVO).
4.13 Trennung von Behandlungs- und Shop-Daten; keine Werbung und kein Profiling
Gesundheits- und Behandlungsdaten aus Teil A (insbesondere Anamnese, Konsultationen, Verschreibungen und ärztliche Rechnungen) verwenden wir nicht für den Shop, insbesondere nicht für Werbung, Produktempfehlungen oder Kaufanreize. Eine Zusammenführung von Shop-Bestelldaten mit Behandlungs- oder Gesundheitsdaten findet nicht statt; die Verarbeitung erfolgt technisch und organisatorisch getrennt (logische Trennung, gesonderte Zugriffsberechtigungen). Honorarärzte erhalten keine Kenntnis von Shop-Bestellungen einzelner Nutzer. Shop-Bestelldaten verwenden wir ohne eine gesondert erteilte, ausdrückliche Einwilligung nicht für Werbung; eine Profilbildung findet nicht statt. Shop-Bestelldaten sind nicht Gegenstand der gemeinsamen Verantwortlichkeit nach Ziffer 3.3 oder der Auftragsverarbeitung nach Ziffer 3.4.
5. Empfänger und Kategorien von Empfängern
Ihre Daten erhalten ausschließlich: der Sie behandelnde Arzt (Ziffern 3.2 und 3.3); auf Ihren Wunsch die von Ihnen gewählte Apotheke (Ziffer 4.8); der Zahlungsdienstleister Stripe (Ziffer 4.9); der qualifizierte Vertrauensdiensteanbieter (Ziffer 4.7); der Versanddienstleister DHL als eigenständig Verantwortlicher für die Auslieferung der Shop-Waren (Ziffer 4.12); unsere vertraglich gebundenen Auftragsverarbeiter für Hosting und Betrieb (Vercel; Amazon Web Services, Region Frankfurt; Videokonsultations-Anbieter (Whereby AS, Norwegen); [weitere Auftragsverarbeiter gemäß aktueller Übersicht einsetzen]); sowie Behörden und sonstige Stellen, soweit wir gesetzlich dazu verpflichtet sind (Art. 6 Abs. 1 lit. c DSGVO). Eine Übermittlung zu Werbezwecken an Dritte findet nicht statt.
6. Übermittlungen in Drittländer
Gesundheitsdaten verarbeiten wir ausschließlich im Europäischen Wirtschaftsraum; das Hosting der Plattform-Infrastruktur für Gesundheitsdaten erfolgt in der AWS-Region Frankfurt am Main (eu-central-1). Bei einzelnen Diensten kann eine Übermittlung personenbezogener Daten – nicht jedoch von Anamnese-, Behandlungs- oder gesundheitsbezogen auswertbaren Shop-Bestelldaten – in die USA erfolgen. Dies betrifft insbesondere die Zahlungsabwicklung über Stripe (Übermittlung von Identifikations-, Kontakt- und Zahlungsdaten an die US-Gesellschaft von Stripe, Stripe, Inc./Stripe, LLC; vgl. Ziffer 4.9) sowie technische Dienste mit Konzernsitz in den USA (insbesondere Vercel sowie Amazon Web Services als Konzern). Soweit der jeweilige Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist, stützen wir die Übermittlung auf den hierzu ergangenen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO); dies trifft auf Stripe zu. Andernfalls oder ergänzend stützen wir die Übermittlung auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) nebst ergänzenden technischen und organisatorischen Maßnahmen; den jeweils aktuellen Zertifizierungsstatus der eingesetzten US-Dienste [insbesondere Vercel und Amazon Web Services – vor Veröffentlichung verifizieren] prüfen wir fortlaufend. Die Konfiguration der Infrastruktur stellt sicher, dass Gesundheitsdaten nicht über Infrastruktur außerhalb des EWR verarbeitet werden.
7. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Pflichten bestehen. Im Einzelnen: Account- und Plattformdaten bis zur Kündigung bzw. Löschung des Accounts; Anamnese-Daten bei Mark Health [Frist gemäß Löschkonzept einsetzen, z. B. Löschung spätestens sechs Monate nach Account-Löschung], soweit keine gesetzlichen Pflichten entgegenstehen; Abrechnungs- und Buchungsdaten für die Dauer der handels- und steuerrechtlichen Aufbewahrungsfristen von bis zu zehn Jahren (§ 147 AO, § 257 HGB); Bestell-, Zahlungs- und Lieferdaten aus dem Shop (Teil B) ebenfalls für die Dauer der handels- und steuerrechtlichen Aufbewahrungsfristen von bis zu zehn Jahren (§ 147 AO, § 257 HGB), wobei wir Shop-Bestelldaten nach einem Widerruf der Einwilligung löschen oder auf diese Aufbewahrungspflichten beschränken (Ziffer 4.12); Server-Logfiles gemäß Ziffer 4.1. Die Patientenakte führt und verwahrt der behandelnde Arzt als eigenständiger Verantwortlicher zehn Jahre (§ 630f BGB); diese Aufbewahrung kann Mark Health nicht verkürzen.
8. Ihre Rechte
Sie haben gegenüber den jeweils Verantwortlichen das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO) und Datenübertragbarkeit (Art. 20 DSGVO). Zentrale Anlaufstelle für die Geltendmachung ist Mark Health (Kontakt: Ziffer 1); Anliegen zur medizinischen Behandlung oder Patientenakte leiten wir unverzüglich an den behandelnden Arzt weiter. Sie können Ihre Rechte daneben jederzeit unmittelbar gegenüber dem Arzt geltend machen (Art. 26 Abs. 3 DSGVO).
Widerspruchsrecht (Art. 21 DSGVO): Soweit wir Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen. Gegen Direktwerbung können Sie jederzeit ohne Angabe von Gründen widersprechen.
Beschwerderecht: Sie haben das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts. Federführende Aufsichtsbehörde für die Elevo Health Limited ist aufgrund unserer Niederlassung in Irland die irische Data Protection Commission (www.dataprotection.ie); Sie können sich daneben jederzeit an die für Ihren Wohnort zuständige deutsche Aufsichtsbehörde wenden.
9. Widerruf von Einwilligungen und der Schweigepflichtentbindung; Folgen
Ihre datenschutzrechtlichen Einwilligungen (insbesondere nach Ziffer 4.4) und die Entbindung von der ärztlichen Schweigepflicht (Ziffer 4.5) können Sie jederzeit mit Wirkung für die Zukunft widerrufen, formlos per E-Mail an die in Ziffer 1 genannten Kontaktadressen oder über die hierfür vorgesehene Funktion in Ihrem Account. Der Widerruf lässt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung unberührt. Folgen des Widerrufs: Ihr Account kann nicht weiter für Konsultationen genutzt werden, weil die Verarbeitung Ihrer Gesundheitsdaten für die Plattformleistung erforderlich ist; bereits laufende Vorgänge werden ordnungsgemäß abgewickelt. Unberührt bleiben die Verarbeitung durch den behandelnden Arzt zur Erfüllung des Behandlungsvertrags und seiner gesetzlichen Pflichten (Art. 9 Abs. 2 lit. h DSGVO, § 630f BGB) sowie gesetzliche Aufbewahrungspflichten von Mark Health (Ziffer 7).
10. Pflicht zur Bereitstellung von Daten
Die Bereitstellung Ihrer Stammdaten und der gesundheitsbezogenen Angaben ist für den Abschluss und die Durchführung der Verträge erforderlich (Art. 13 Abs. 2 lit. e DSGVO). Ohne diese Angaben können wir die Plattformleistungen nicht erbringen und kann der Arzt nicht über eine Behandlung entscheiden. Eine gesetzliche Pflicht zur Bereitstellung besteht nicht.
11. Keine automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt. Sämtliche medizinischen Entscheidungen, insbesondere über die Übernahme der Behandlung und die Ausstellung eines Rezepts, trifft ausschließlich der Sie behandelnde Arzt persönlich. Dies gilt auch für den Shop (Teil B); eine Profilbildung findet nicht statt.
12. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten zu schützen, insbesondere Transportverschlüsselung (TLS) für sämtliche Übertragungen, Verschlüsselung gespeicherter Daten, rollenbasierte Zugriffskontrollen mit Mehr-Faktor-Authentifizierung für administrative Zugänge, Protokollierung von Zugriffen auf Gesundheitsdaten, regelmäßige Backups sowie die Verpflichtung aller Personen mit Zugang zu Patientengeheimnissen zur Geheimhaltung. Die Maßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst.
13. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage, unsere Leistungen oder die eingesetzten Dienstleister ändern. Es gilt jeweils die auf der Plattform veröffentlichte aktuelle Fassung; über wesentliche Änderungen, die Ihre Einwilligungen berühren, informieren wir Sie gesondert.
Fassung 1.1, Stand: Juni 2026 — Ende der Datenschutzerklärung