Datenschutzerklärung für Patienten

Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten daher ausschließlich auf Grundlage der jeweils anwendbaren datenschutzrechtlichen Bestimmungen (z.B. DSGVO sowie anwendbare nationale Datenschutzgesetze). In dieser Datenschutzerklärung informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen unserer Plattform.

1. Verantwortlicher

E-Mail: info@exploreyourdoc.com

Datenschutz: privacy@exploreyourdoc.com

2. Erhebung und Verarbeitung personenbezogener Daten

2.1 Daten bei der Registrierung

Bei der Registrierung auf unserer Plattform erheben wir folgende Daten:

• Vor- und Nachname

• E-Mail-Adresse

• Telefonnummer (optional, für Terminerinnerungen)

• Passwort (verschlüsselt gespeichert)

2.2 Daten bei der Terminbuchung

Bei der Buchung eines Termins verarbeiten wir:

• Name und Kontaktdaten

• Gewählter Arzt/Einrichtung

• Terminart und -zeit

• Ggf. Anmerkungen zum Termin

2.3 Terminanfragen an noch nicht verbundene Praxen

Wenn eine medizinische Einrichtung ihr Profil auf ExploreYourDoc noch nicht übernommen hat, können Sie über das jeweilige Profil eine Terminanfrage stellen (ohne verbindliche Online-Buchung). Dabei verarbeiten wir:

• Vor- und Nachname

• E-Mail-Adresse und Telefonnummer

• Gewünschter Termin (Freitext, optional)

• Kurzes Anliegen (optional; bitte keine Diagnosen oder Gesundheitsdaten)

• Gewähltes Profil (Arzt/Einrichtung)

• Zeitpunkt der Anfrage sowie technische Metadaten (z.B. IP-Adresse zum Zeitpunkt der Einwilligung)

• Sofern Sie eingeloggt sind: Verknüpfung mit Ihrem Nutzerkonto

Wir leiten Ihre Angaben an die angefragte Praxis weiter — per E-Mail, sofern eine geschäftliche Kontaktadresse vorliegt, oder auf anderem geeigneten Weg (z.B. nach Verbindung des Profils durch die Praxis). Es handelt sich um eine Anfrage, nicht um einen bestätigten Termin. Die Praxis kontaktiert Sie direkt.

Eine Registrierung ist nicht erforderlich; mit einem kostenlosen Account können Sie Anfragen speichern und verfolgen.

2.4 Technische Daten

Bei jedem Zugriff auf unsere Plattform bzw. unsere mobilen Apps (iOS/Android) werden automatisch folgende Daten erfasst:

• IP-Adresse (anonymisiert)

• Datum und Uhrzeit des Zugriffs

• Browsertyp und -version bzw. App-Version und Betriebssystem

• Betriebssystem

• Referrer-URL (Website) bzw. Gerätekennungen (App, soweit technisch erforderlich)

• Aufgerufene Seiten bzw. genutzte App-Funktionen

2.5 Standortdaten (sofern freigegeben)

Sofern Sie in Ihrem Browser bzw. Gerät die Standortfreigabe aktivieren, können wir Standortdaten (z.B. ungefähre oder genaue Position) verarbeiten, um standortbasierte Funktionen bereitzustellen (z.B. Arztsuche in Ihrer Nähe, Distanzberechnung, Kartenanzeige).

Die Standortfreigabe ist freiwillig. Sie können diese jederzeit in den Einstellungen Ihres Browsers/Geräts widerrufen.

2.6 Daten bei Zahlungen (sofern angeboten)

Sofern die Plattform eine Zahlungsfunktion anbietet, kann die Zahlungsabwicklung über einen externen Zahlungsdienstleister erfolgen (z.B. Stripe/Stripe Connect). In diesem Zusammenhang verarbeiten wir – abhängig vom konkreten Zahlungsvorgang – insbesondere:

• Name und Kontaktdaten (z.B. E-Mail-Adresse)

• Zahlungsbetrag, Währung, Datum/Uhrzeit

• Informationen zum Leistungserbringer/Empfänger

• Zahlungsstatus sowie Transaktions-/Zahlungsreferenzen

Zahlungsdaten wie vollständige Kreditkartendaten werden dabei üblicherweise direkt vom Zahlungsdienstleister verarbeitet; wir erhalten regelmäßig keine vollständigen Karten- oder Kontodaten.

3. Besondere Kategorien personenbezogener Daten

Wichtiger Hinweis zu Gesundheitsdaten

Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO und unterliegen einem erhöhten Schutz.

3.1 ExploreYourDoc als Vermittlungsplattform

Bei der reinen Arztsuche, Terminbuchung und Terminanfragen an noch nicht verbundene Praxen über die Patienten-Plattform können Sie freiwillig Angaben zu Ihrem Anliegen machen (z.B. Besuchsgrund oder Anmerkungen). Bitte geben Sie keine Diagnosen oder anderen Gesundheitsdaten in Freitextfeldern ein. Sofern Sie solche Angaben dennoch machen, werden sie — soweit erforderlich — an den gewählten Leistungserbringer übermittelt, um Ihre Anfrage bzw. Ihren Termin vorzubereiten.

3.2 ExploreYourDoc Pro (Praxissoftware)

Nutzt Ihr Arzt ExploreYourDoc Pro als Praxissoftware, werden im Rahmen der Behandlung umfangreichere Gesundheitsdaten verarbeitet. ExploreYourDoc agiert hierbei als Auftragsverarbeiter im Auftrag der jeweiligen medizinischen Einrichtung (Verantwortlicher). Dies kann unter anderem folgende Datenkategorien umfassen:

• Stammdaten: Name, Geburtsdatum, Adresse, Kontaktdaten, Sozialversicherungsnummer

• Medizinische Daten: Diagnosen, Anamnese, Befunde, Behandlungsverläufe

• Dokumentation: Arztbriefe, Laborergebnisse, Bilddateien

• Formulare: Vom Arzt bereitgestellte Formulare (z.B. Anamnesebögen), die Sie vor oder während Ihres Besuchs digital ausfüllen

• Verschreibungen: Medikamente, Dosierungen

Die Verantwortung für die Rechtmäßigkeit dieser Datenverarbeitung liegt beim jeweiligen medizinischen Leistungserbringer. Dieser unterliegt zudem der ärztlichen Schweigepflicht.

3.3 Schutzmaßnahmen

Alle Gesundheitsdaten werden verschlüsselt übertragen und gespeichert. Der Zugriff ist streng auf den behandelnden Arzt und dessen autorisiertes Praxispersonal beschränkt. ExploreYourDoc hat keinen eigenständigen Zugriff auf Ihre Gesundheitsdaten.

4. Einsatz von Drittanbietern

4.1 Twilio (Kommunikation, Telefonie, Video)

Anbieter: Twilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105, USA

Zweck: SMS-Terminerinnerungen und -bestätigungen, transaktionale E-Mails (SendGrid), technische Bereitstellung von Video-Sprechstunden zwischen Patient und Praxis (sofern vom Leistungserbringer angeboten)

Verarbeitete Daten: Telefonnummer, E-Mail-Adresse, Name, Termin- und Kontaktmetadaten; bei Video: Audio-/Videoübertragung (verschlüsselt, DTLS/SRTP); Aufzeichnungen nur nach ausdrücklicher Einwilligung

Drittlandübermittlung: USA – EU-US Data Privacy Framework, Standardvertragsklauseln (SCCs)

Datenschutzhinweise: twilio.com/legal/privacy

4.3 Newsletter (SendGrid)

Zweck: Versand von Newsletter mit Gesundheitstipps und Plattform-Neuigkeiten

Verarbeitete Daten: E-Mail-Adresse, Name (optional), Öffnungs- und Klickverhalten

Sie können sich jederzeit vom Newsletter abmelden. In jeder Newsletter-E-Mail finden Sie einen Abmeldelink.

4.4 Google Maps

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Darstellung von Karteninhalten und Standortsuche für medizinische Einrichtungen

Verarbeitete Daten: IP-Adresse, Standortdaten (falls freigegeben), Nutzungsdaten

Drittlandübermittlung: USA - EU-US Data Privacy Framework

Datenschutzhinweise: policies.google.com/privacy

Google Maps wird erst nach Ihrer Einwilligung geladen. Sie können die Einwilligung in den Cookie-Einstellungen verwalten.

4.5 Google AdSense (Werbung auf der Website)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Ausspielung von Werbeanzeigen auf der ExploreYourDoc-Website

Verarbeitete Daten: Online-Kennungen (z. B. Cookie-IDs), IP-Adresse (ggf. gekürzt), Geräte-/Browserinformationen, Interaktionen mit Anzeigen

Einwilligung: Für Besucher im EWR, im Vereinigten Königreich und in der Schweiz holt Google die erforderliche Einwilligung über die Google-EU-Mitteilung ab (Google-zertifizierte CMP mit IAB TCF). Diese erscheint unabhängig vom ExploreYourDoc-Cookie-Banner. Sie können Ihre Auswahl jederzeit über den Link „Anzeigen-Einstellungen (Google)" im Footer der Seite erneut öffnen.

Technik: Google Consent Mode v2 — Werbesignale (ad_storage, ad_user_data, ad_personalization) werden durch die Google-Einwilligungsmitteilung gesetzt, nicht durch unseren Cookie-Banner.

Drittlandübermittlung: USA – geeignete Garantien (EU-US Data Privacy Framework; Google LLC ist zertifiziert)

Datenschutzhinweise: policies.google.com/privacy

4.6 Stripe / Stripe Connect (Zahlungsabwicklung, sofern angeboten)

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Zweck: Abwicklung von Zahlungen (z.B. Rechnungsausgleich) zugunsten teilnehmender medizinischer Leistungserbringer

Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsbetrag/Währung, Zahlungsstatus, Transaktionsreferenzen; Zahlungsdaten (z.B. Karten-/Kontodaten) werden typischerweise direkt durch Stripe verarbeitet

Drittlandübermittlung: Je nach Konfiguration kann eine Übermittlung in Drittländer (z.B. USA) nicht ausgeschlossen werden; in diesem Fall stützt sich Stripe nach eigenen Angaben u.a. auf geeignete Garantien (z.B. EU-US Data Privacy Framework und/ oder Standardvertragsklauseln)

Datenschutzhinweise: stripe.com/privacy

4.7 Vercel Analytics

Anbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA

Zweck: Reichweitenmessung und Analyse der Websitenutzung zur Verbesserung der Plattform

Verarbeitete Daten: Nutzungsdaten (z.B. Seitenaufrufe, Referrer, Gerät-/Browserinformationen), ggf. (gekürzte) IP-Adresse

Cookies: Vercel Analytics setzt keine Cookies; das Skript wird erst nach Ihrer Zustimmung über unseren Cookie-Banner geladen

Drittlandübermittlung: USA – geeignete Garantien (z.B. EU-US Data Privacy Framework und/oder Standardvertragsklauseln)

Datenschutzhinweise: vercel.com/legal/privacy-policy

4.8 Google Ads (Conversion-Tracking)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA)

Zweck: Messung der Wirksamkeit von Werbekampagnen (Conversion-Tracking) sowie Remarketing zur Ausspielung relevanter Anzeigen

Verarbeitete Daten: Online-Kennungen (z.B. Cookie-IDs, Geräte-IDs), IP-Adresse (ggf. gekürzt), Nutzungsdaten (z.B. aufgerufene Seiten, Klick auf Anzeigen, Conversion-Ereignisse)

Speicherdauer: Google Ads Cookies haben eine Lebensdauer von bis zu 90 Tagen; Sie können diese jederzeit in Ihren Browsereinstellungen löschen

Drittlandübermittlung: USA – geeignete Garantien (EU-US Data Privacy Framework; Google LLC ist zertifiziert)

Widerspruch/Opt-out: Sie können Ihre Einwilligung jederzeit über „Anzeigen-Einstellungen (Google)" im Footer widerrufen oder personalisierte Werbung unter adssettings.google.com deaktivieren

Datenschutzhinweise: policies.google.com/privacy

4.9 Amazon Web Services (Hosting & Infrastruktur)

Anbieter: Amazon Web Services EMEA SARL (Vertragspartner EU), Muttergesellschaft: Amazon.com Inc., USA

Zweck: Betrieb der Plattform-API, Datenspeicher, Verschlüsselung

Verarbeitete Daten: Nutzerdaten, Terminbuchungen, hochgeladene Dokumente, API-Anfragen

Standort: EU (Frankfurt, eu-central-1)

Zertifizierungen: ISO 27001, SOC 2 Type II

Drittlandübermittlung: Vertragspartner EU; technische Unterstützung durch US-Muttergesellschaft möglich – SCCs

Datenschutzhinweise: aws.amazon.com/de/compliance/data-privacy/

4.10 MongoDB Atlas (Cloud-Datenbank)

Anbieter: MongoDB Inc., 1633 Broadway, 38th Floor, New York, NY 10019, USA

Zweck: Cloud-Datenbank zur Speicherung von Nutzer-, Termin- und Praxisdaten

Verarbeitete Daten: Alle in der Datenbank gespeicherten personenbezogenen Daten

Standort: EU (Frankfurt, Deutschland)

Zertifizierungen: ISO 27001, SOC 2 Type II, HIPAA-fähig, GDPR-konform

Verschlüsselung: AES-256 at rest, TLS 1.3 in transit

Datenschutzhinweise: mongodb.com/legal/privacy-policy

4.11 Google Firebase (Push-Benachrichtigungen in der App)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Push-Benachrichtigungen in den mobilen ExploreYourDoc-Apps (iOS/Android) zu Terminen, Formularen und Plattform-Updates

Verarbeitete Daten: Geräte-Token (Firebase Cloud Messaging), Benachrichtigungsmetadaten; medizinische Inhalte werden nicht von ExploreYourDoc in Push-Texten ausgewertet

Datenschutzhinweise: policies.google.com/privacy

4.12 Google AdMob (Werbung in der mobilen App)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA)

Zweck: Ausspielung von Werbeanzeigen (Native Ads) in der ExploreYourDoc-Patienten-App zur Finanzierung des kostenlosen Angebots

Verarbeitete Daten: Werbe-ID (sofern zugestimmt), Geräte- und App-Informationen, IP-Adresse (ggf. gekürzt), Interaktionen mit Anzeigen, Consent-Status (Google User Messaging Platform / UMP)

Einwilligung verwalten: In der App unter Einstellungen → Datenschutz & Rechtliches → Werbung & Einwilligung (soweit für Ihre Region erforderlich) sowie beim ersten App-Start im UMP-Dialog. Ohne Einwilligung werden keine personalisierten Anzeigen ausgespielt; die App bleibt nutzbar.

Drittlandübermittlung: USA – geeignete Garantien (EU-US Data Privacy Framework; Google LLC ist zertifiziert)

Datenschutzhinweise: policies.google.com/privacy

4.13 Firebase Analytics (Nutzungsanalyse in der App)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Anonyme Nutzungsstatistiken zur Verbesserung der mobilen App (z.B. Screen-Aufrufe, App-Starts)

Verarbeitete Daten: Geräteinformationen, App-Nutzungsereignisse; wir nutzen Firebase Analytics ohne Werbe-ID (Analytics without Ad ID Support)

Widerruf: Jederzeit in der App unter Einstellungen → Datenschutz & Rechtliches → Nutzungsanalyse

Datenschutzhinweise: policies.google.com/privacy

5. Cookies

5.1 Technisch notwendige Cookies

Wir verwenden technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind:

• Session-Cookies für die Authentifizierung

• Sicherheits-Cookies (CSRF-Schutz)

• Präferenz-Cookies (Sprache, Einstellungen)

• Zahlungs-/Sicherheits-Cookies (z.B. von Stripe), sofern Sie die Zahlungsfunktion nutzen (z.B. zur Betrugsprävention und sicheren Zahlungsabwicklung)

5.2 Cookie-Einstellungen (lokale Speicherung)

Ihre Auswahl im ExploreYourDoc-Cookie-Banner speichern wir lokal im Browser (localStorage, Schlüssel eyd-cookie-consent), damit wir Ihre Einwilligung bei künftigen Besuchen berücksichtigen können.

Google Consent Mode v2 ist technisch eingebunden: Standardmäßig sind alle Speicher verweigert. Analyse-Signale (analytics_storage) setzen wir entsprechend Ihrer Auswahl in unserem Banner. Werbesignale für AdSense und Google Ads (ad_storage, ad_user_data, ad_personalization) steuert die Google-EU-Mitteilung — nicht unser Banner.

5.3 Optionale Cookies & Analyse-Tools

Wir nutzen zwei getrennte Einwilligungsebenen auf der Website:

Über unseren Cookie-Banner (ExploreYourDoc):

• Google Maps (Karteneinbindung)

• Standortsuche (Browser-Standortfreigabe)

• Vercel Analytics (Nutzungsanalyse, cookieless – lädt erst nach Einwilligung)

Über die Google-EU-Mitteilung (AdSense / Google Ads):

• Google AdSense (Anzeigen auf der Website)

• Google Ads (Conversion-Tracking & Remarketing)

Sie können Ihre Auswahl jederzeit ändern:

• „Cookie-Einstellungen" im Footer → Maps, Standort, Vercel Analytics

• „Anzeigen-Einstellungen (Google)" im Footer → AdSense, Google Ads

Mobile Apps: In den ExploreYourDoc-Apps (iOS/Android) gelten separate Einwilligungsdialoge (z.B. Google UMP für Werbung, Opt-in für Nutzungsanalyse, Systemdialog für Push). Diese verwalten Sie in den App-Einstellungen unter Datenschutz & Rechtliches bzw. in den Geräteeinstellungen.

6. Ihre Rechte

Ihnen stehen grundsätzlich folgende Rechte zu:

6.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können Auskunft über Ihre verarbeiteten personenbezogenen Daten verlangen.

6.2 Berichtigungsrecht (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder die Vervollständigung Ihrer Daten verlangen.

6.3 Löschungsrecht (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Wenn Sie Inhaber:in eines auf ExploreYourDoc gelisteten Profils sind und die Löschung dieses Profils wünschen, können Sie eine Löschanfrage direkt über unsere Löschanfrage-Seite einreichen. Zur Verifizierung Ihrer Identität ist ein offizielles Dokument (z.B. Lichtbildausweis oder ärztlicher Ausweis) erforderlich. Wir bearbeiten Ihre Anfrage innerhalb von 14 Werktagen.

6.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.

6.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.

6.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf berechtigten Interessen basiert.

6.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: privacy@exploreyourdoc.com

7. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten vor unberechtigtem Zugriff, Verlust oder Zerstörung zu schützen:

• SSL/TLS-Verschlüsselung aller Datenübertragungen

• Verschlüsselte Datenspeicherung (AES-256)

• Regelmäßige Sicherheitsupdates

• Zugriffskontrolle nach dem Prinzip der minimalen Berechtigung

• Hosting und Datenspeicherung in EU-Rechenzentren (Amazon Web Services und MongoDB Atlas, Standort Frankfurt)

8. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Erfüllung der Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:

• Nutzerkonto: Bis zur Löschung durch den Nutzer

• Terminbuchungen: 3 Jahre nach dem Termin

• Terminanfragen (noch nicht verbundene Praxen): 90 Tage nach der Anfrage, sofern nicht früher gelöscht oder an die Praxis übermittelt

• Protokolldaten: 12 Monate

• Newsletter-Daten: Bis zum Widerruf der Einwilligung

9. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR erfolgt nur, wenn:

• ein Angemessenheitsbeschluss der EU-Kommission vorliegt

• Standardvertragsklauseln (SCCs) abgeschlossen wurden

• andere geeignete Garantien gemäß Art. 46 DSGVO bestehen

Bei der Nutzung von US-amerikanischen Dienstleistern (Google, Twilio/SendGrid, Amazon Web Services (AWS), MongoDB Atlas, Vercel, Stripe, Google AdMob/Firebase in der App) stützen wir uns auf das EU-US Data Privacy Framework sowie zusätzlich abgeschlossene Standardvertragsklauseln. Alle personenbezogenen Daten werden in EU-Rechenzentren (Frankfurt, Deutschland) gespeichert und verarbeitet.

10. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

Österreichische Datenschutzbehörde

Barichgasse 40-42

1030 Wien

Telefon: +43 1 52 152-0

E-Mail: dsb@dsb.gv.at

Website: www.dsb.gv.at

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

12. Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

ExploreYourDoc e.U. Datenschutz-Anfragen

Hirschstettner Straße 19/Objekt P/P0413 1220 Wien, Österreich

E-Mail: privacy@exploreyourdoc.com