eHautarzt Logo

Datenschutzerklärung für „eHautarzt"

Stand: 16.08.2025

1. Verantwortlicher

eHautarzt – [Unternehmens-/Praxisname eintragen]
[Straße, Hausnummer]
[PLZ, Ort, Land]
Telefon: [Telefonnummer]
E-Mail: [Datenschutzkontakt]
(„wir"/„uns")

2. Datenschutzbeauftragte*r

[Name, ggf. Unternehmensname]
[Adresse]
E-Mail: [E-Mail-Adresse DSB]
Telefon: [Telefonnummer DSB]

3a. Rollenmodell (getrennte Verantwortliche – „Modell 2")

Plattform eHautarzt (Verantwortliche*r):

Wir sind Verantwortlicher i. S. d. DSGVO für den Betrieb der Website/Plattform inkl. Nutzerkonto, Support, Sicherheitsmaßnahmen, Zahlungsabwicklung sowie die Erhebung und Übermittlung der für die Behandlung erforderlichen Daten an die/den behandelnden Ärzt*in.

Behandelnde Ärzt*innen (eigene Verantwortliche):

Die medizinische Verarbeitung – Sichtung Ihrer Angaben/Bilder, Diagnostik, Erstellung des Arztbriefs/Privatrezepts sowie Führung und Aufbewahrung der Patientenakte (§ 630f BGB) – erfolgt in eigener Verantwortlichkeit der jeweils behandelnden Ärztin/des behandelnden Arztes. Diese*r informiert Sie hierzu gesondert nach Art. 13 DSGVO (Hinweis/Link erfolgt im Patientenportal/Arztbrief).

Technisches Hosting im Auftrag:

Sofern eHautarzt medizinische Inhalte (z. B. Fotos, Arztbriefe) für die Ärztinnen speichert/bereitstellt, handelt eHautarzt insoweit als Auftragsverarbeiter der Ärztinnen (Art. 28 DSGVO). Die Speicherung/Löschung erfolgt nach deren Weisungen; geeignete technische und organisatorische Maßnahmen sind vertraglich vereinbart.

Controller-zu-Controller-Übermittlungen:

Die Weitergabe Ihrer für die Behandlung erforderlichen Daten an die/den behandelnden Ärztin erfolgt zwischen getrennten Verantwortlichen.

Fallbezogene Zuweisung (keine feste Arztbindung):

Die Zuweisung einer/m behandelnden Ärztin erfolgt fallbezogen aus einem geprüften Ärztinnen-Pool. Vor der Zuweisung findet keine medizinische Verarbeitung außerhalb von eHautarzt statt. Sobald eine Zuweisung erfolgt, informieren wir Sie im Portal/E-Mail über Namen und Kontaktdaten der/des Ärzt*in und stellen einen Link zur jeweiligen Datenschutzinformation (Art. 13 DSGVO) bereit.

Selbstbehandlung durch eHautarzt (Sonderfall):

In einzelnen Fällen kann die Behandlung durch eHautarzt selbst erfolgen. Dann ist eHautarzt Verantwortliche*r auch für die medizinische Verarbeitung und die Aufbewahrung der Patientenakte (§ 630f BGB). Dieser Fall wird Ihnen bei Zuweisung eindeutig angezeigt.

4. Kategorien personenbezogener Daten

Wir verarbeiten – abhängig von Funktion und Nutzung – insbesondere folgende Datenkategorien:

4.1 Behandlungs- und Gesundheitsdaten

  • Anamneseangaben: Beginn/Dauer der Beschwerden, Symptome (z. B. Juckreiz/Schmerz/keine), Vorbehandlungen, vermutete Ursachen, Verlauf, frühere Therapien, ähnliche Beschwerden (Freitext), Allergien (inkl. Medikamenten, Nickel, Latex), Schwangerschaft/Stillzeit (bei w)
  • Bilddaten: Drei Pflichtfotos (Übersicht ~30 cm, Nahaufnahme ~10 cm, alternativer Winkel)
  • Stammdaten: Vor und Nachname, Geburtsdatum, Geschlecht (w/m/divers)

4.2 Abrechnungs- und Kontaktdaten

  • Rechnungsadresse (Straße, Nr., PLZ/Ort), Versicherungsstatus (GKV/PKV) und Versicherungsnummer
  • Kommunikationsdaten: E-Mail-Adresse und/oder Mobilnummer
  • Kontodaten für das Nutzerkonto (Registrierung nach Bezahlung; Passwort selbst gewählt)

4.3 Zahlungsdaten

  • Zahlungsart (Apple Pay/Google Pay/Kredit/Debitkarte/PayPal/Gutschein); weitere Zahlungsdaten werden – soweit möglich – direkt beim ausgewählten Zahlungsdienst verarbeitet.

4.4 Technische Nutzungsdaten (Web)

  • Server-Logdaten (Datum/Uhrzeit, IP-Adresse, Request-Header, Referrer, User-Agent)
  • Cookie und Consent-Daten (Einwilligungsstatus)

Hinweis zu „Just-in-Time"-Hinweisen in der UI: Bei Registrierung und Versand von Bestätigungs-Codes weisen wir zusätzlich im Prozess transparent hin (z. B. „Für die Bereitstellung Ihres Arztbriefs: Bitte anmelden oder ein sicheres Konto erstellen"; „Wir haben einen Code an Ihre E-Mail/Telefonnummer gesendet …").

5. Zwecke und Rechtsgrundlagen der Verarbeitung

5.1 Telemedizinische Leistung/medizinische Diagnostik

Zweck: Sichtung Ihrer Angaben/Bilder, fachärztliche Beurteilung, Erstellung eines Arztbriefs, ggf. Privat-Rezept.

Rechtsgrundlagen: Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 b DSGVO) i. V. m. Verarbeitung besonderer Kategorien (Gesundheitsdaten) zur medizinischen Diagnostik, Versorgung oder Behandlung durch Angehörige eines Gesundheitsberufs (Art. 9 Abs. 2 h DSGVO; § 22 Abs. 1 Nr. 1 b BDSG).

5.2 Abrechnung und gesetzliche Aufbewahrung

Zweck: GOÄ-Abrechnung, Buchführung, steuer- und handelsrechtliche Pflichten.

Rechtsgrundlagen: Art. 6 Abs. 1 b, c DSGVO; Aufbewahrungspflichten u. a. nach § 630f Abs. 3 BGB (Patientenakte, 10 Jahre) sowie steuerliche Aufbewahrung nach § 147 AO (i. d. R. 10 Jahre).

5.3 Kontoerstellung, Authentifizierung, Kommunikation

Zweck: Anlage/Verwaltung des Nutzerkontos, Zwei-Faktor-Authentifizierung (E-Mail/SMS-Code), Kommunikation zum Fall (Rückfragen, Arztbrief, Rezept), Support.

Rechtsgrundlagen: Art. 6 Abs. 1 b DSGVO; für Sicherheitsmaßnahmen Art. 6 Abs. 1 f DSGVO (berechtigtes Interesse an IT-Sicherheit; s. Ziff. 10).

5.4 Zahlungsabwicklung über Dienstleister

Zweck: Entgegennahme/Abwicklung der Zahlung; Betrugsprävention des Zahlungsdienstleisters.

Rechtsgrundlagen: Art. 6 Abs. 1 b DSGVO (Vertrag), ggf. Art. 6 Abs. 1 f DSGVO (berechtigtes Interesse an sicherer Zahlungsabwicklung). Gesundheitsdaten werden dabei nicht an Zahlungsdienstleister übermittelt.

5.5 Web-Betrieb, Logs, Sicherheit

Zweck: Auslieferung und Stabilität der Website, Fehlerdiagnose, Missbrauchs- und Angriffserkennung (z. B. DDoS, Bot-Traffic), Nachvollziehbarkeit sicherheitsrelevanter Vorgänge.

Rechtsgrundlagen: Art. 6 Abs. 1 f DSGVO (berechtigtes Interesse an sicherem, funktionsfähigem Online-Dienst), Art. 32 DSGVO (Sicherheit der Verarbeitung).

5.6 Einwilligungen

Soweit wir für einzelne Verarbeitungen Ihre Einwilligung einholen (z. B. optionale Übermittlung eines Rezepts an eine Wunsch-Apotheke; Newsletter), ist Rechtsgrundlage Art. 6 Abs. 1 a DSGVO i. V. m. Art. 9 Abs. 2 a DSGVO (bei Gesundheitsbezug). Einwilligungen sind jederzeit mit Wirkung für die Zukunft widerruflich.

6. Pflicht zur Bereitstellung

Die für Diagnostik/Beratung erforderlichen Angaben und Pflichtfotos sind notwendig, um den telemedizinischen Auftrag vertragsgemäß zu erfüllen. Ohne diese Daten kann keine fachliche Beurteilung erfolgen. Eine gesetzliche Pflicht zur Bereitstellung besteht darüber hinaus nicht; gesetzliche Aufbewahrungspflichten bleiben unberührt.

7. Herkunft der Daten

Daten stammen grundsätzlich von Ihnen (Direkterhebung über Formular/Upload). Technische Nutzungsdaten fallen beim Besuch der Website an. Zahlungsdaten werden ggf. direkt beim jeweiligen Zahlungsdienst erhoben.

8. Empfänger und Kategorien von Empfängern

  • Behandelnde Ärzt*innen als eigene Verantwortliche (ärztliche Schweigepflicht; separate Information gem. Art. 13 DSGVO)
  • Abrechnungs-/Buchhaltungsdienstleister (sofern beauftragt)
  • Zahlungsdienstleister (z. B. Stripe Payments Europe Ltd., PayPal, Apple Pay/Google Pay-Provider)
  • IT-Dienstleister im Rahmen einer Auftragsverarbeitung (Hosting, Rechenzentrum/CDN, E-Mail/SMS-Versand, Fehler-/Leistungsmonitoring, Consent-Management)
  • Apotheken ausschließlich auf Ihren ausdrücklichen Wunsch zur Einlösung eines Privat-Rezepts
  • Behörden und Gerichte bei rechtlicher Verpflichtung

Ärztliche Verarbeitung in eigener Verantwortlichkeit:

Die für Diagnostik/Behandlung notwendigen Daten werden an die/den behandelnden Ärztin als eigenständig Verantwortliche*n übermittelt. Die/der Ärztin trägt die gesetzlichen Aufbewahrungspflichten der Patientenakte und informiert gesondert nach Art. 13 DSGVO. Bei fallbezogener Zuweisung teilen wir Ihnen Namen/Kontaktdaten der/des Ärztin mit und verlinken auf deren/dessen Art. 13-Hinweise.

8.1 Konkrete Dienstleister & Transfers (Auszug)

Hosting/Infrastruktur

  • Hetzner Online GmbH (Deutschland/EU): Hosting der Anwendungsserver, Datenbanken und Speicherdienste; ISO 27001-zertifizierte Rechenzentren (Nürnberg, Falkenstein, Helsinki). AVV abgeschlossen. Drittlandübermittlung: nein (Betrieb in EU/EWR).
  • ALL-INKL.COM – Neue Medien Münnich (Deutschland): Domain/Mail- und Infrastruktur-Leistungen für den Web-Betrieb. AVV abgeschlossen. Drittlandübermittlung: nein (DE).

Kommunikation/Authentifizierung

  • Spryng B.V. (Niederlande): SMS-Gateway für Einmal-Codes (2FA) und transaktionale Benachrichtigungen. AVV abgeschlossen. Drittlandübermittlung: nein (EU).

Zahlungen (eigene Verantwortliche)

  • Stripe Payments Europe, Ltd. (Irland/EU): Zahlungsabwicklung für Kartenzahlungen/Wallets. Eigenständig Verantwortlicher für Zahlungsdaten; PCI-DSS-zertifiziert. Internationale Übermittlungen (ggf. konzernintern in Drittländer, insb. USA): auf Basis EU-Standardvertragsklauseln und – sofern anwendbar – EU-U.S. Data Privacy Framework (DPF).

9. Drittlandübermittlungen

Wenn einzelne Dienstleister oder deren Konzerngesellschaften außerhalb der EU/des EWR (insb. USA) Daten verarbeiten, stellen wir einen angemessenen Schutz sicher, z. B. durch EU-Standardvertragsklauseln (Art. 46 DSGVO) und zusätzliche technische/organisatorische Maßnahmen. Details und Kopien der geeigneten Garantien stellen wir auf Anfrage zur Verfügung.

10. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir unterhalten ein dem Risiko angemessenes Informationssicherheits-Niveau, u. a. mit folgenden Maßnahmen:

  • Transportverschlüsselung (TLS) für alle Web-Verbindungen
  • Härtung der Server/Anwendungen, rollenbasierte Zugriffe, Need-to-know-Prinzip
  • Speicherung sensibler Daten getrennt nach Zweck (medizinische Dokumentation vs. Nutzungs-/Systemdaten)
  • Protokollierung sicherheitsrelevanter Ereignisse (ohne Inhalte aus der Patientenakte)
  • regelmäßige Backups, Wiederherstellungs-/Notfallkonzept
  • Pseudonymisierung/Minimierung, wo fachlich möglich
  • Zwei-Faktor-Authentifizierung für Kontozugriff

11. Speicherdauer und Löschung

  • Patientenakte (inkl. medizinisch relevanter Bilder und Arztbrief): Grundsatz: Die Aufbewahrung erfolgt durch die jeweils behandelnde Ärztin/den behandelnden Arzt (eigene Verantwortlichkeit) und richtet sich i. d. R. nach § 630f Abs. 3 BGB (10 Jahre).
  • Abrechnungs-/Buchführungsunterlagen: i. d. R. 10 Jahre (§ 147 AO).
  • Nutzerkonto: bis zur Löschung/Beendigung; essenzielle Behandlungs- und Abrechnungsunterlagen bleiben von gesetzlichen Aufbewahrungen umfasst.
  • Server-Logs: Sicherheits-/Betriebsdaten i. d. R. 7–30 Tage (rollierend), darüber hinaus nur zu Beweiszwecken nach Sicherheitsvorfällen.
  • Abgebrochene Fälle/Entwürfe ohne Kontoanlage: automatische Löschung spätestens nach 30 Tagen, sofern keine gesetzlichen Pflichten entgegenstehen.
  • Einwilligungs-/Widerspruchsnachweise: bis zum Ablauf von Verjährungsfristen (regelmäßig 3 Jahre).

12. Cookies, lokale Speicher und Consent

Wir verwenden technisch notwendige Cookies/Speichertechniken (z. B. Session-Cookies, Consent-Cookie) zur Bereitstellung der Website, Authentifizierung und Sicherheit. Optionale Cookies/Tracking (z. B. Webanalyse) setzen wir nur mit Ihrer Einwilligung. Details (Anbieter, Zweck, Speicherdauer) entnehmen Sie dem Cookie-Banner und den dort abrufbaren Einstellungen.

13. Minderjährige

Telemedizinische Leistungen für Minderjährige erfolgen nur mit Einwilligung der Erziehungsberechtigten. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren ohne entsprechende Zustimmung.

14. Keine automatisierten Einzelentscheidungen

Es findet keine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung statt (Art. 22 DSGVO).

Hinweis: Zahlungsdienstleister können eigene Betrugs-/Risikoprüfungen (Scoring) durchführen; dies liegt in deren Verantwortungsbereich.

15. Ihre Rechte

Sie haben – im Rahmen der gesetzlichen Voraussetzungen – folgende Rechte:

  • Auskunft über Ihre bei uns verarbeiteten personenbezogenen Daten
  • Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten
  • Löschung („Recht auf Vergessenwerden")
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch gegen Verarbeitungen, die auf berechtigten Interessen beruhen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte genügt eine Nachricht an die oben genannten Kontaktwege.

16. Beschwerderecht

Sie können sich bei einer zuständigen Datenschutzaufsichtsbehörde beschweren, insbesondere an Ihrem Wohnsitz, Arbeitsplatz oder am Sitz des Verantwortlichen.

17. Ärztliche Schweigepflicht

Unberührt von datenschutzrechtlichen Rechten gilt die ärztliche Schweigepflicht (u. a. § 203 StGB). Alle Mitarbeitenden und beauftragten Hilfspersonen sind hierauf verpflichtet.

18. Verzeichnis von Verarbeitungstätigkeiten & DSFA

Aufgrund der großteils gesundheitsbezogenen Verarbeitung führen wir ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO). Wir prüfen fortlaufend, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist (insbes. bei groß angelegter Verarbeitung besonderer Kategorien) und führen diese ggf. mit der/dem Datenschutzbeauftragten durch.

19. Datenpannen

Bei einer Verletzung des Schutzes personenbezogener Daten prüfen wir die Risiken und ergreifen Abhilfemaßnahmen. Soweit gesetzlich erforderlich, melden wir Vorfälle der Aufsichtsbehörde und informieren betroffene Personen unverzüglich in klarer Sprache.

20. Externe Links

Unsere Website kann Links zu externen Angeboten enthalten. Für deren Inhalte und Datenverarbeitungen sind ausschließlich die jeweiligen Anbieter verantwortlich.

21. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn sich Prozesse, Rechtslage oder technische Standards ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.

Fragen? Wenden Sie sich gern an unsere/unseren Datenschutzbeauftragte*n.