Datenschutz

Stand: Juli 2025

A. Präambel

Diese Datenschutzhinweise informieren Sie transparent darüber, welche Arten Ihrer personenbezogenen Daten wir zu welchen Zwecken und in welchem Umfang auf unserer Website www.caspar-health.com verarbeiten. Sie gilt ausschließlich für die Nutzung unserer Website. Für unser Produkt „Caspar Health App“ gelten andere Datenschutzhinweise, die auch direkt in der App einsehbar sind.

Die verwendeten Begriffe gelten geschlechtsneutral. Wir richten uns nach den Vorgaben der DSGVO, des TDDDG und weiterer geltender Datenschutzgesetze.

B. Informationen zum Verantwortlichen

Verantwortlich im Sinne des Datenschutzrechts:

GOREHA GmbH
Neue Schönhauser Str. 20
10178 Berlin
E-Mail: Datenschutz@goreha.com

Weitere Angaben erhalten Sie im Impressum der Website.

Unseren Datenschutzbeauftragten erreichen Sie unter: Datenschutz@goreha.com

C. Verarbeitung personenbezogener Daten

I. Webhosting über Webflow

Unsere Website wird bei Webflow, Inc., 398 11th Street, 2nd Floor, San Francisco, CA 94103, USA, gehostet. Webflow speichert alle Daten, die auf unserer Website erfasst werden. Dazu gehören insbesondere:

IP-Adressen
Meta- und Kommunikationsdaten,
Websitezugriffe,
sowie sonstige Daten, die über die Website generiert werden.

Das Hosting durch Webflow erfolgt zum Zwecke der sicheren und effizienten Bereitstellung unserer Website (Art. 6 Abs. 1 lit. f DSGVO). Wenn eine entsprechende Einwilligung abgefragt wurde (z. B. Einwilligung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung ist jederzeit widerrufbar.

Webflow ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert und bietet dadurch ein angemessenes Datenschutzniveau im Sinne von Art. 45 DSGVO. Außerdem haben wir einen Auftragsverarbeitungsvertrag mit Webflow abgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), Art. 6 Abs. 1 lit. a) (Einwilligung)

Löschfrist: spätestens nach 7 Tagen, es sei denn, es liegt ein sicherheitsrelevanter Vorfall vor.

Weitere Informationen:
https://webflow.com/legal/privacy

II. Content Delivery über Amazon CloudFront

Zusätzlich nutzen wir das Content Delivery Network (CDN) „Amazon CloudFront“ der Amazon Web Services EMEA SARL (Luxemburg). Dieses verteilt Website-Inhalte (z. B. Bilder, Stylesheets) über verschiedene Serverstandorte weltweit. Das beschleunigt die Ladezeit und verbessert die Erreichbarkeit.

Auch Amazon ist nach dem DPF zertifiziert.

Art der Verarbeitung und Löschfrist: Die übermittelten Daten werden ausschließlich zur technischen Auslieferung genutzt. Eine Speicherung personenbezogener Inhalte erfolgt dabei nicht.

D. Tools und Auftragsverarbeiter

Zum Betrieb, zur Optimierung und zur rechtskonformen Gestaltung unserer Website setzen wir verschiedene externe Dienste ein. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen geltender datenschutzrechtlicher Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO). Mit sämtlichen Dienstleistern, die Daten in unserem Auftrag verarbeiten, haben wir Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen. Soweit eine Datenübermittlung in ein Drittland stattfindet, erfolgt diese nur unter Einhaltung der gesetzlichen Vorgaben, insbesondere auf Grundlage eines Angemessenheitsbeschlusses (z. B. EU-U.S. Data Privacy Framework) oder geeigneter Garantien.

I. Cookie- und Trackingdienste

Zur datenschutzkonformen Steuerung von Cookies und zur Analyse der Nutzung unserer Website setzen wir spezialisierte Tracking- und Consent-Tools ein. Die Verarbeitung erfolgt nur nach aktiver Einwilligung der Nutzer gemäß Art. 6 Abs. 1 lit. a DSGVO oder auf Grundlage gesetzlicher Verpflichtungen nach Art. 6 Abs. 1 lit. c DSGVO. Eine Übermittlung in Drittländer erfolgt nur bei bestehender Zertifizierung (z. B. DPF) oder anderweitig gesicherter Angemessenheit.

1.Cookiebot

Zweck der Verarbeitung: Einholung und Verwaltung von Cookie-Einwilligungen‍

Anbieter: Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark

Serverstandort: Europäische Union

Verarbeitungsrahmen:

Speicherung des Einwilligungsstatus im Browser (Consent-Management)
Übermittlung anonymisierter IP-Adresse an Cookiebot zur Synchronisierung
Keine Verarbeitung personenbezogener Daten außerhalb der EU

Rechtsgrundlage: Art. 6 Abs. 1 lit. c) DSGVO

Löschfrist: Der Einwilligungsstatus wird bis zu 12 Monate (oder kürzer, je nach Konfiguration) im Browser des Nutzers gespeichert. Serverseitige Daten werden nach 12 Monaten gelöscht.

Weitere Informationen: Cookiebot Datenschutzerklärung

2. Google Tag Manager

Zweck der Verarbeitung: Verwaltung und Auslösung von Tracking-Tags

Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland

Serverstandort: EU, Übermittlung möglich in Drittländer (DPF-zertifiziert)

Verarbeitungsrahmen:

Keine eigenständige Speicherung oder Auswertung personenbezogener Daten
Technisch bedingte IP-Übermittlungen möglich
Verwaltung und Auslösung von Analyse- und Marketingdiensten

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO

Löschfrist: Google selbst verarbeitet keine personenbezogenen Daten im Google Tag Manager. Etwaige IP-Übermittlungen erfolgen nur technisch bedingt und werden nicht dauerhaft gespeichert.

Weitere Informationen: Google Tag Manager Informationen

3. Google Analytics

Zweck der Verarbeitung: Webanalyse und Nutzungsstatistik

Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland

Serverstandort: EU, Übermittlung in die USA (DPF-zertifiziert)

Verarbeitungsrahmen:

Anonymisierung der IP-Adresse vor Datenübertragung
Auswertung des Nutzerverhaltens zur Optimierung der Website
Datenübermittlung in die USA erfolgt nur bei aktiver Einwilligung

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO

Löschfrist: Daten werden standardmäßig nach 14 Monaten gelöscht.

Weitere Informationen: Google Analytics Datenschutz

4. Hotjar

Zweck der Verarbeitung: Analyse des Nutzerverhaltens (z. B. durch Heatmaps, Klickverhalten)

Anbieter: Hotjar Ltd., Dragonara Business Centre, 5th Floor, Dragonara Road, Paceville St Julian’s STJ 3141, Malta

Serverstandort: Europäische Union

Verarbeitungsrahmen:

Anonymisierte Erfassung von Interaktionsdaten
Automatische Unterdrückung personenbezogener Daten (z. B. Formulareingaben)
Keine Drittlandübermittlung

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO

Löschfrist: Spätestens 365 Tage nach Erhebung.

Weitere Informationen: Hotjar Privacy Policy

5. Plausible Analytics

Zweck der Verarbeitung: Anonyme Webanalyse ohne Cookies

Anbieter: Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland

Serverstandort: Europäische Union

Verarbeitungsrahmen:

Keine Cookies oder IP-Erfassung
Vollständig anonymisierte Verarbeitung von Zugriffsdaten
Kein Drittlandtransfer

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an Analyse und Optimierung)

Löschfrist: Keine Speicherung personenbezogener Daten – daher keine Löschfrist erforderlich.

Weitere Informationen: Plausible Datenschutzerklärung

II. Marketing- und Kommunikationsdienste

1. HubSpot

Zweck der Verarbeitung: Marketingautomatisierung, Kontaktmanagement, Versand von Newslettern

Anbieter: HubSpot Ireland Ltd., 2nd Floor, 30 North Wall Quay, Dublin 1, Irland

Serverstandort: EU, Datenverarbeitung ggf. in den USA (DPF-zertifiziert)

Verarbeitungsrahmen:

Verarbeitung von personenbezogenen Daten (z. B. E-Mail-Adresse, Nutzungsinteraktionen)
Verwendung für automatisierte Kommunikation und Vertriebsunterstützung
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und DPF-Zertifizierung vorhanden

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a) (Einwilligung) sowie lit. f) DSGVO (berechtigtes Interesse an Nutzerkommunikation)

Löschfrist: Spätestens 2 Jahre nach letztem Nutzerkontakt oder bei Widerruf der Einwilligung.

Weitere Informationen: HubSpot Datenschutz

2. Rapidmail

Zweck der Verarbeitung: Versand von Informations- und Marketing-E-Mails

Anbieter: Rapidmail GmbH, Wentzingerstraße 21, 79106 Freiburg, Deutschland

Serverstandort: Deutschland

Verarbeitungsrahmen:

Verarbeitung personenbezogener Daten wie E-Mail-Adressen für den Newsletterversand
Speicherung ausschließlich auf deutschen Servern
DSGVO-konforme Abmeldung jederzeit möglich

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO

Löschfrist: Spätestens 3 Jahre nach Abmeldung vom Newsletter

Weitere Informationen: Rapidmail Datenschutzerklärung

3. Typeform

Zweck der Verarbeitung: Durchführung von Feedback-Umfragen und Interaktionstools

Anbieter: Typeform S.L., Bac de Roda 163, 08018 Barcelona, Spanien

Serverstandort: Europäische Union

Verarbeitungsrahmen:

Erstellung und Auswertung freiwilliger Nutzerbefragungen
DSGVO-konforme Verarbeitung innerhalb der EU-Server
AV-Vertrag zur Sicherstellung weisungsgebundener Verarbeitung

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO

Löschfrist: Spätestens 6 Monate nach Beendigung der Umfrageauswertung oder bei Widerruf der Einwilligung.

Weitere Informationen: Typeform Datenschutz

E. Datensicherheit

I. Welche Daten werden nicht verarbeitet?

Wir möchten an dieser Stelle besonders betonen: Auf unserer Website werden keine Gesundheitsdaten verarbeitet. Die Caspar Health App, bei der Gesundheits- und Aktivitätsdaten verarbeitet werden können, hat eigene, separate Datenschutzhinweise.

II. Wie schützen wir Ihre Daten?

Alle Datenübertragungen auf unserer Website sind durch TLS-Verschlüsselung (https) abgesichert. Darüber hinaus gelten folgende technische und organisatorische Schutzmaßnahmen:

Zugriff nur durch autorisierte Personen mit individuellen Rechten,
Speicherung auf Servern mit aktuellem Sicherheitsstandard,
automatische Systemüberwachung und Sicherheitsupdates,
regelmäßige Überprüfung durch unser Datenschutz- und IT-Team.

F. Rechte der betroffenen Personen

Sie haben jederzeit folgende Rechte in Bezug auf Ihre personenbezogenen Daten:

Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung genügt eine E-Mail an: Datenschutz@goreha.com

Sie haben außerdem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

G. Informationen zu zentralen Begriffen

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierbare Person beziehen (z. B. Name, IP-Adresse)
IP-Adresse: Technischer Identifikator für Geräte im Internet
Auftragsverarbeiter: Dritte, die Daten im Auftrag verarbeiten (z. B. Webhoster)
Verantwortlicher: Die Stelle, die über Zweck und Mittel der Verarbeitung entscheidet (hier: GOREHA GmbH)
Gesundheitsdaten: Werden auf der Website nicht verarbeitet – nur in der App und mit separater Einwilligung

H. Kontakt- & Supportverwaltung

Wenn Sie uns per E-Mail, Kontaktformular oder telefonisch kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten (z. B. Name, E-Mail-Adresse, Anfrageinhalte) ausschließlich zur Bearbeitung Ihres Anliegens. Eine Weitergabe erfolgt nur, wenn sie zur Bearbeitung erforderlich ist und eine Einwilligung vorliegt. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Art. 6 Abs. 1 lit. b/f DSGVO (Vertrag/Interesse)

Löschfrist: In der Regel spätestens 12 Monate nach abschließendem Kontakt, sofern keine längeren Aufbewahrungspflichten bestehen.

I. Fragen zum Datenschutz

Bei allen Fragen zur Verarbeitung Ihrer personenbezogenen Daten, zur Ausübung Ihrer Rechte oder zur Wahrnehmung der hier beschriebenen Möglichkeiten, wenden Sie sich bitte an:

GOREHA GmbH
Neue Schönhauser Str. 20
10178 Berlin
E-Mail: Datenschutz@goreha.com

Unseren Datenschutzbeauftragten erreichen Sie unter: Datenschutz@goreha.com

J. Änderungen dieser Hinweise

Technologische Entwicklungen, neue gesetzliche Vorgaben oder geänderte interne Prozesse können eine Anpassung dieser Datenschutzhinweise erforderlich machen.

Die jeweils aktuelle Fassung ist jederzeit auf unserer Website abrufbar. Frühere Versionen stellen wir auf Anfrage zur Verfügung.

Anwendungsbereich

Diese Datenschutzerklärung klärt Sie über die Verarbeitung personenbezogener Daten auf der Internetpräsenz www.caspar-health.com (im Folgenden „Website“) sowie auf der Caspar-Health App (im Folgenden “Caspar Software”) auf. Die App kann sowohl mittels der installierten Caspar-Health App genutzt werden als auch direkt über den Webbrowser. Auf der App wird das Therapieportal (im Folgenden “CASPAR”) betrieben.

Verantwortlicher

Die GOREHA GmbH, Neue Schönhauser Str. 20, 10178 Berlin (im Folgenden „wir“ oder „uns“) ist Verantwortlicher gem. Art. 4 Abs. 7 Datenschutz-Grundverordnung (DS-GVO) für sämtliche personenbezogenen Daten, die auf der Plattform erhoben werden, es sei denn, diese Datenschutzerklärung enthält abweichende Angaben.

Personenbezogene Daten

Personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten. Zu besonderen Kategorien personenbezogener Daten gehören z.B. Daten, die sich auf Ihre körperliche Gesundheit beziehen, sogenannte Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DS-GVO.

Verarbeitung beim Besuch der Website

‍Unsere Internetseiten verwenden sogenannte „Cookies“. Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert. Session-Cookies werden nach Ende Ihres Besuchs automatisch gelöscht. Permanente Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese selbst löschen oder eine automatische Löschung durch Ihren Webbrowser erfolgt.

Cookies können von uns (First-Party-Cookies) oder von Drittunternehmen stammen (sog. Third-Party- Cookies). Third-Party-Cookies ermöglichen die Einbindung bestimmter Dienstleistungen von Drittunternehmen innerhalb von Webseiten (z. B. Cookies zur Abwicklung von Zahlungsdienstleistungen).

Cookies haben verschiedene Funktionen. Zahlreiche Cookies sind technisch notwendig, da bestimmte Webseitenfunktionen ohne diese nicht funktionieren würden (z. B. die @ oder die Anzeige von Videos). Andere Cookies können zur Auswertung des Nutzerverhaltens oder zu Werbezwecken verwendet werden.

Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs, zur Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (z. B. für die Warenkorbfunktion) oder zur Optimierung der Website (z. B. Cookies zur Messung des Webpublikums) erforderlich sind (notwendige Cookies), werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert, sofern keine andere Rechtsgrundlage angegeben wird. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von notwendigen Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste. Sofern eine Einwilligung zur Speicherung von Cookies und vergleichbaren Wiedererkennungstechnologien abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage dieser Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG); die Einwilligung ist jederzeit widerrufbar.

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein.

Welche Cookies und Dienste auf dieser Website eingesetzt werden, können Sie dieser Datenschutzerklärung entnehmen.

Einwilligung mit Cookiebot

Unsere Website nutzt die Consent-Technologie von Cookiebot, um Ihre Einwilligung zur Speicherung bestimmter Cookies auf Ihrem Endgerät oder zum Einsatz bestimmter Technologien einzuholen und diese datenschutzkonform zu dokumentieren. Anbieter dieser Technologie ist Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark (im Folgenden „Cookiebot“).

Wenn Sie unsere Website betreten, wird eine Verbindung zu den Servern von Cookiebot hergestellt, um Ihre Einwilligungen und sonstigen Erklärungen zur Cookie-Nutzung einzuholen. Anschließend speichert Cookiebot einen Cookie in Ihrem Browser, um Ihnen die erteilten Einwilligungen bzw. deren Widerruf

zuordnen zu können. Die so erfassten Daten werden gespeichert, bis Sie uns zur Löschung auffordern, den Cookiebot-Cookie selbst löschen oder der Zweck für die Datenspeicherung entfällt. Zwingende gesetzliche Aufbewahrungspflichten bleiben unberührt.

Der Einsatz von Cookiebot erfolgt, um die gesetzlich vorgeschriebenen Einwilligungen für den Einsatz von Cookies einzuholen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGV

Wir behalten uns vor, die Server-Logfiles länger zu speichern, wenn Tatsachen vorliegen, welche die Annahme eines unzulässigen Zugriffs (wie etwa der Versuch eines Hackings oder einer sogenannten DDOS-Attacke) nahelegen. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Das berechtigte Interesse besteht in der Bereitstellung der Website und deren ordnungsgemäßem Betrieb. Nutzerdaten werden nicht an Dritte verkauft.

Was ist eine IP-Adresse?

Jedem Gerät (z.B. Smartphone, Tablet, PC), das mit dem Internet verbunden ist, wird eine IP-Adresse zugewiesen. Welche IP-Adresse dies ist, hängt davon ab, über welchen Internetzugang Ihr Endgerät aktuell mit dem Internet verbunden ist. Es kann sich dabei um die IP-Adresse handeln, die Ihnen Ihr Internetprovider zugeteilt hat, etwa wenn Sie zu Hause über Ihr W-LAN mit dem Internet verbunden sind. Es kann sich aber auch um eine IP-Adresse handeln, die Ihnen Ihr Mobilfunkprovider zugeteilt hat, oder um die IP-Adresse eines Anbieters eines öffentlichen oder privaten WLANs oder anderen Internetzugangs. In ihrer derzeit geläufigsten Form (IPv4) besteht die IP-Adresse aus vier durch Punkte getrennte Ziffernblöcke. Zumeist werden Sie als privater Nutzer keine gleichbleibende IP-Adresse benutzen, da Ihnen diese von Ihrem Provider nur vorübergehend zugewiesen wird (so genannte „dynamische IP-Adresse“). Bei einer dauerhaft zugeordneten IP-Adresse (so genannte „statische IP-Adresse“) ist eine eindeutige Zuordnung der Nutzerdaten über dieses Merkmal im Prinzip möglich. Außer zum Zwecke der Verfolgung unzulässiger Zugriffe auf unser Internetangebot verwenden wir diese Daten grundsätzlich nicht personenbezogen, sondern werten lediglich auf anonymisierter Basis aus, welche unserer Websites favorisiert werden, wie viele Zugriffe täglich erfolgen und ähnliches.

Kontaktformular der Website

Sie haben die Möglichkeit, sich mit uns über unser Kontaktformular in Verbindung zu setzen. Zur Nutzung unseres Kontaktformulars benötigen wir von Ihnen zunächst die als Pflichtfelder markierten Daten.

Diese Daten verwenden wir auf Grundlage von Art. 6 Abs. 1 S. 1 lit. a) und b) bzw. Art. 9 Abs. 2 DS-GVO, um Ihre Anfrage zu beantworten.

Darüber hinaus können Sie selbst entscheiden, ob Sie uns weitere Angaben mitteilen möchten. Diese Angaben erfolgen freiwillig und sind für die Kontaktaufnahme nicht zwingend erforderlich. Ihre freiwilligen Angaben verarbeiten wir auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Ihre Daten werden nur zur Beantwortung Ihrer Anfrage verarbeitet. Wir löschen Ihre Daten, sofern diese nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Newsletter

Unsere Kunden sowie Personen, die Ihr Interesse an CASPAR bekundet haben, informieren wir durch unseren E-Mail-Newsletter über Weiterentwicklungen und neue Produkte sowie Angebote. Hierbei handelt es sich um eine freiwillige Anmeldung zum Newsletter. Rechtsgrundlage für den Newsletterversand an unsere Kunden ist Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Unser berechtigtes Interesse ergibt sich aus unserem Interesse an Direktwerbung. Andere interessierte Personen erhalten den Newsletter aufgrund ihrer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO.

Der Verwendung Ihrer E-Mail-Adresse zum Versand des Newsletters können Sie jederzeit über einen Link im jeweiligen Newsletter widersprechen bzw. auf diesem Wege Ihre Einwilligung widerrufen. Sie können auch eine E-Mail an datenschutz@caspar-health.com schreiben.

Nutzung des Therapieportals Caspar

Medizinische Einrichtungen und Patienten können zur Nutzung des Therapieportals CASPAR Accounts einrichten. Im Rahmen der Erstellung eines Benutzerkontos für unsere Caspar Software werden Sie aufgefordert, eine Reihe an personenbezogenen Daten einzugeben (insbesondere Anrede, Vorname, Name, Straße, Postleitzahl, Stadt, Aufenthaltsland, Telefon, E-Mail-Adresse und möglicherweise weitere Daten, die wir im Rahmen der Anmeldung erfragen). Verpflichtend ist jedoch nur die Angabe des Aufenthaltslands. Sie können die Daten stets unter der Rubrik „Patienten-Account“ einsehen und ändern. Sofern Sie eine E-Mail Adresse angegeben haben, erhalten Sie in regelmäßigen Abständen eine Übersicht über Ihre aktuellen Aktivitäten im Rahmen der Therapie. Hiervon können Sie sich jederzeit mittels Abmelde-Link abmelden. Wir erheben, speichern und verarbeiten Ihre, in diesem Abschnitt genannten, Daten für die gesamte Abwicklung Ihrer Nutzung von CASPAR, einschließlich eventuell späterer Gewährleistungen. Die Einzelheiten hierzu sind in den jeweiligen Verträgen und AGB geregelt, die mit den betreffenden Personen geschlossen werden. Bei der Nutzung von CASPAR werden personenbezogene Gesundheitsdaten über Patienten ausschließlich nach deren vorheriger Einwilligung verarbeitet. Diese Daten werden von der medizinischen Einrichtung oder von den Patienten selbst in CASPAR übertragen.

Ein Austausch der Daten erfolgt nur zwischen den Patienten und der betreuenden medizinischen Einrichtung sowie den dort beschäftigten Ärzten. Sie werden nicht an Dritte weitergegeben.

Die Daten werden gespeichert, solange sie zur Nutzung von CASPAR erforderlich sind. Anschließend werden die Daten gelöscht, sofern keine anderslautenden gesetzlichen Rechte oder Pflichten bestehen. Von einer andauernden Nutzung von CASPAR wird bis zum Ende der jeweiligen Vertragslaufzeit ausgegangen.

Rechtsgrundlage für die Verarbeitung ist eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO i.V.m. Art. 9 Abs. 2 lit. a) DS-GVO.

Die Einwilligungserklärungen können im jeweiligen Account unter der Rubrik “Rechtliches” jederzeit abgerufen werden. Personenbezogene Daten der Therapeuten und nicht-gesundheitsbezogene Daten der Patienten werden zum Zweck der Vertragsdurchführung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b) DS-GVO verarbeitet.

Die personenbezogenen Daten werden ausschließlich auf Servern in Deutschland gespeichert und verarbeitet. Alle Ärzte und Therapeuten unterstehen der beruflichen Schweigepflicht. Wir verpflichten unsere Mitarbeiter auf Vertraulichkeit im Sinne der DS-GVO. Datenübermittlungen werden durch Verschlüsselungen nach dem anerkannten Stand der Technik gegen den Zugriff durch Dritte geschützt.

Webinare, Umfragen

Während der Nutzung des Therapieportals CASPAR besteht die Möglichkeit an Webinaren teilzunehmen. Diese werden synchron zum Therapieangebot der Nachsorge angeboten und stellen eine Live-Erweiterung im Bereich Wissen und Wohlbefinden dar und sind somit ebenfalls Bestandteil der Therapie. Hierüber werden Sie via E-Mail informiert. Die Teilnahme ist freiwillig und keine Voraussetzung für die Nutzung von CASPAR oder für einen erfolgreichen Therapie- abschluss. Die Anmeldung erfordert einmalig die Eingabe einer E-Mail-Adresse, die Teilnahme am Webinar erfordert keine Klarnamen. Jede E-Mail enthält einen Abmelde-Link.

Durchgeführt werden diese mit Zoom, Zoom Video Communications Inc., 55 Almaden Boulevard, 6th Floor, San Jose, California 95113, USA. Rechenzentrumsregion ist Europa, so dass die Daten deutscher Nutzer ausschließlich über Europa geleitet werden. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 S. 1 lit. a) und b) bzw. Art. 9 Abs. 2 lit. a) ) DS-GVO. Die Übermittlung der Daten an Zoom findet auf Grundlage des Angemessenheitsbeschlusses i.S.d. Art. 45 DSGVO statt. KI-Funktionen sind abgeschaltet. Weitere Informationen unter: https://explore.zoom.us/en/privacy/

Es besteht die Möglichkeit, während der Nutzung von CASPAR an Umfragen zur Verbesserung der Tele-Therapie mit CASPAR sowie des Therapieportals selbst teilzunehmen. Die Teilnahme ist freiwillig und keine Voraussetzung für die Nutzung von CASPAR oder für einen erfolgreichen Therapieabschluss. Hierfür nutzen wir SmartSurvey, SmartSurvey Ltd, Basepoint Business Center, Oakfield Close, Tewkesbury, Gloucestershire, GL20 8SD, United Kingdom. Ein Großteil dieser Umfragen erfolgt anonym, so dass keine personenbezogenen Daten verarbeitet werden. Sofern eine Befragung mittels pseudonymisierten Daten erfolgt, ist Rechtsgrundlage hierfür Art. 6 Abs. 1 S. 1 lit. a) bzw. Art. 9 Abs. 2 lit. a) DS-GVO. Die Übermittlung erfolgt auf Basis von Art. 45 Abs. 3 DS-GVO. Die EU-Kommission hat im Rahmen eines Angemessenheitsbeschluss vom 28.6.2021 United Kingdom zu einem sicheren Drittland erklärt. Weitere Information unter SmartSurvey Privacy Policiy.

Datenübertragbarkeit Art. 20 DS-GVO

Wir ermöglichen Patienten die freiwillige Anbindung und den Import Ihrer Aktivitäts- und Gesundheitsdaten aus unterschiedlichen Quellen (wie Mobiltelefone, Smartwatches, Fitnesstracker und anderen digitalen Gesundheitsservices wie z.B. Apple Health Kit oder Google Fit). Indem Sie Ihr Konto eines anderen Anbieters mit CASPAR verbinden, beauftragen Sie uns explizit damit, Ihre Daten von diesem Anbieter zu Ihrem CASPAR

Account zu transferieren (rechtliche Grundlage für diesen Anspruch ist Art. 20 Abs. 1 DS-GVO). Die Erfassung dieser Informationen ist freiwillig und für die Nutzung von CASPAR nicht erforderlich. CASPAR überträgt keine Daten an diese Anbieter. Wir integrieren hierfür im Rahmen eines Auftragsverarbeitungvertrags das Thryve Health SDK, das von der mHealth Pioneers GmbH, Bismarckstraße 10-12, 10625 Berlin bereitgestellt wird. mHealth Pioneers GmbH hat keinen Zugriff auf andere, bei CASPAR hinterlegte, Daten.

Datenverarbeitung im Ausland

Die Goreha GmbH ist ISO 27001 zertifiziert.

Einsatz von Tracking- und Analysetools

Im Bereich der Kommunikation nutzen wir Zava Sprechstunde Online GmbH, Im Teelbruch 118, 45219 Essen. Dies geschieht auf Grundlage von Art. 6 Abs. 1 lit. b), Art 9 Abs. 2 lit. a) DS-GVO. Serverstandort ist Deutschland. Weitere Informationen zum Umgang mit Nutzerdaten bei Zava Sprechstunde Online finden Sie außerdem unter: https://sprechstunde.online/datenschutzerklaerung-app/.

Zu Kommunikationszwecken nutzen wir außerdem TalkJS der Firma Klets B.V., Bogert 1, 5612 LX Eindhoven, Niederlande. Dies geschieht auf Grundlage von Art. 6 Abs. 1 lit.a) und b), Art 9 Abs. 2 lit. a) DS-GVO. Serverstandort in der EU. Weitere Informationen zum Umgang mit Nutzerdaten bei TalkJS finden Sie außerdem unter https://talkjs.com/privacy/.

Beim Hosting unserer Software setzen wir auf die Dienste der Amazon Web Services Inc. (AWS), 410 Terry Avenue North Seattle, WA 98109-52-10, USA. Die von uns genutzten AWS-Server stehen in einem Rechenzentrum in Frankfurt: Globale Infrastrukturregionen und AZ.

Dies geschieht auf Grundlage von Art. 6 Abs. 1 lit. a) und b), Art. 9 Abs. 2 lit. a) DS-GVO ausschließlich in pseudonymisierter Form.

Die genutzten Rechenzentren sind ISO/IEC 27001 zertifiziert und erfüllen somit unsere hohen Anforderungen an die physische Sicherheit der Daten unserer Kunden. Weitere Informationen zum Thema Sicherheit und Datenschutz bei AWS finden Sie hier: AWS Data Protection und hier: DSGVO – Amazon Web Services (AWS).

Die aktuelle Datenschutzerklärung von Amazon Web Services finden Sie unter: Datenschutzhinweis

Die Übermittlung der Daten an Amazon Web Services kann sich auf den Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO berufen.

Unsere App nutzt den Fehleranalysedienst Rollbar Inc., 51 Federal Street, San Francisco, CA 94107, USA. Dieser Dienst meldet auftretende, technische Fehler in der App, um uns eine umgehende Behebung dieser Fehler zu ermöglichen. Die Übertragung der Daten erfolgt, nachdem ein Fehler festgestellt wurde. Zweck der Verarbeitung ist die technische Überwachung unserer App und das Dokumentieren von Fehlermeldungen, um die technische Stabilität der App zu gewährleisten und zu optimieren, um unseren Besuchern eine möglichst fehlerfreie Nutzung unserer App zu ermöglichen. Die Datenübertragung erfolgt lediglich zur Fehlerbehebung. Für den Fall, dass sensible personenbezogene Daten betroffen sind, stützt sich die Übermittlung auf Art. 9 Abs. 2 lit. a) DS-GVO. Die Übermittlung erfolgt in Form von pseudonymisierten Metadaten. Weitere datenschutzrechtliche Informationen von Rollbar finden Sie unter: Privacy Policy sowie unter: Data Processing Addendum.

Die Übermittlung der Daten an Rollbar kann sich auf den Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO berufen. Rollbar ist zudem unter dem Data Privacy Framework gelistet.

Unsere Caspar Software nutzt Snowflake, Snowflake Computing Netherlands B.V., Gustav Mahlerlaan 300-314, Foz Building, 1082 ME, Netherlands (Muttergesellschaft Snowflake Inc. Delaware, USA), zur Aufbereitung und Bereitstellung von Daten für unsere Servicedienste. Die Daten werden in pseudonymisierter Form bereitgestellt. Dies geschieht auf Grundlage von Art. 6 Abs. 1 lit. a) und Art. 9 Abs. 2 lit. a) DS-GVO. Weitere Informationen unter Privacy Notice | Snowflake. Snowflake wird bei Amazon Web Services (“AWS”) gehostet; AWS unterliegt entsprechend der Datenschutz Zertifizierung gemäß dem Angemessenheit Beschluss vom 10.07.2023, siehe Punkt 13.

Unsere Caspar Software setzt zudem SimplifyU, SimplifyU GmbH, Ehrwalder Straße 4, 82467 Garmisch-Partenkirchen, Deutschland, zu Zwecken des Qualitätsmanagements und der Dokumentenbereitstellung ein. Dies geschieht auf Grundlage von Art. 9 Abs. 2 lit. a) DS-GVO. Weitere Informationen: Datenschutzerklärung SimplifyU

Wir nutzen Rapidmail, Rapidmail GmbH, Wentzingerstr. 21, 79106 Freiburg im Breisgau, Deutschland, zu Zwecken der effektiven Behandlung und regelmäßigen, individuellen Statusübersicht für die Patienten. Grundlage hierfür ist Art. 9 Abs. 2 lit. a) bzw. Art. 6 Abs. 1 lit. a) DS-GVO. Weitere Informationen: https://www.rapidmail.de/datenschutz.

Wir verwenden Tableau und Salesforce, Salesforce.com Germany GmbH, Erika-Mann-Straße 31-37, 80636 München, Deutschland (Muttergesellschaft Salesforce Inc., USA) für den Bereich Vertrieb, Customer Relations und Marketing. Eine Verarbeitung von personenbezogenen Daten beruht auf Art. 6 Abs. 1 lit. b) DS-GVO sowie Art. 6 Abs. 1 lit. f) DS-GVO. Außerdem erfolgt die Verarbeitung von Art. 9 Abs. 2 lit. a) DS-GVO Daten pseudonymisiert.

Die Übermittlung der Daten an Tableau kann sich auf den Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO berufen.

Wir verwenden Google, Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland zum Informationsaustausch per E-Mail sowie zu Abrechnungszwecken. Die Data Region ist Europa, d.h. Text, Inhalt, Antworten, Entwürfe, Betreff, Sender, Absender etc. werden ausschließlich in Europa gespeichert. Die Verarbeitung personenbezogener Daten beruht auf Art. 6 Abs. 1 lit. b), ggf. Art. 9 Abs. 2 lit. a) DS-GVO. Die KI-Funktion wird nicht genutzt. FurtWeitere Informationen unter: https://policies.google.com/privacy?hl=en-US und für Datenregionen https://support.google.com/a/answer/7630496?hl=en .

Wir setzen den Google Tag Manager ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Der Google Tag Manager ist ein Tool, mit dessen Hilfe wir Tracking- oder Statistik-Tools und andere Technologien auf unserer Website einbinden können. Der Google Tag Manager selbst erstellt keine Nutzerprofile, speichert keine Cookies und nimmt keine eigenständigen Analysen vor. Er dient lediglich der Verwaltung und Ausspielung der über ihn eingebundenen Tools. Der Google Tag Manager erfasst jedoch Ihre IP-Adresse, die auch an das Mutterunternehmen von Google in die Vereinigten Staaten übertragen werden kann.

Der Einsatz des Google Tag Managers erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an einer schnellen und unkomplizierten Einbindung und Verwaltung verschiedener Tools auf seiner Website. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TDDDG umfasst. Die Einwilligung ist jederzeit widerrufbar.

Das Unternehmen verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Weitere Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link: https://www.dataprivacyframework.gov/participant/5780.

Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland.

Google Analytics ermöglicht es dem Websitebetreiber, das Verhalten der Websitebesucher zu analysieren. Hierbei erhält der Websitebetreiber verschiedene Nutzungsdaten, wie z. B. Seitenaufrufe, Verweildauer, verwendete Betriebssysteme und Herkunft des Nutzers. Diese Daten werden in einer User-ID zusammengefasst und dem jeweiligen Endgerät des Websitebesuchers zugeordnet.

Des Weiteren können wir mit Google Analytics u. a. Ihre Maus- und Scrollbewegungen und Klicks aufzeichnen. Ferner verwendet Google Analytics verschiedene Modellierungsansätze, um die erfassten Datensätze zu ergänzen und setzt Machine-Learning-Technologien bei der Datenanalyse ein.

Google Analytics verwendet Technologien, die die Wiedererkennung des Nutzers zum Zwecke der Analyse des Nutzerverhaltens ermöglichen (z. B. Cookies oder Device-Fingerprinting). Die von Google erfassten Informationen über die Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Die Nutzung dieses Dienstes erfolgt auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Die Einwilligung ist jederzeit widerrufbar.

Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details finden Sie hier:

https://privacy.google.com/businesses/controllerterms/mccs/.

Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link: https://www.dataprivacyframework.gov/participant/5780.

IP Anonymisierung

Die Google Analytics IP-Anonymisierung ist aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Browser Plugin

Sie können die Erfassung und Verarbeitung Ihrer Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.

Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de.

Auftragsverarbeitung

Wir haben mit Google einen Vertrag zur Auftragsverarbeitung abgeschlossen und setzen die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung von Google Analytics vollständig um.

Diese Website nutzt Hotjar. Anbieter ist die Hotjar Ltd., Level 2, St Julians Business Centre, 3, Elia Zammit Street, St Julians STJ 1000, Malta, Europe (Website:

https://www.hotjar.com).

Hotjar ist ein Werkzeug zur Analyse Ihres Nutzerverhaltens auf dieser Website. Mit Hotjar können wir u. a. Ihre Maus- und Scrollbewegungen und Klicks aufzeichnen. Hotjar kann dabei auch feststellen, wie lange Sie mit dem Mauszeiger auf einer bestimmten Stelle verblieben sind. Aus diesen Informationen erstellt Hotjar sogenannte Heatmaps, mit denen sich feststellen lässt, welche Websitebereiche vom Websitebesucher bevorzugt angeschaut werden.

Des Weiteren können wir feststellen, wie lange Sie auf einer Seite verblieben sind und wann Sie sie verlassen haben. Wir können auch feststellen, an welcher Stelle Sie Ihre Eingaben in ein Kontaktformular abgebrochen haben (sog. Conversion-Funnels).

Darüber hinaus können mit Hotjar direkte Feedbacks von Websitebesuchern eingeholt werden. Diese Funktion dient der Verbesserung der Webangebote des Websitebetreibers.

Hotjar verwendet Technologien, die die Wiedererkennung des Nutzers zum Zwecke der Analyse des Nutzerverhaltens ermöglichen (z. B. Cookies oder Einsatz von Device-Fingerprinting).

Soweit eine Einwilligung (Consent) eingeholt wurde, erfolgt der Einsatz deso. g.Dienstes ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 TDDDG. Die Einwilligung ist jederzeit widerrufbar. Soweit keine Einwilligung eingeholt wurde, erfolgt die Verwendung dieses Dienstes auf Grundlage von Art. 6 Abs. 1

lit. f DSGVO; der Websitebetreiber hat ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren.

Deaktivieren von Hotjar

Wenn Sie die Datenerfassung durch Hotjar deaktivieren möchten, klicken Sie auf folgenden Link und folgen Sie den dortigen Anweisungen:

https://www.hotjar.com/policies/do-not-track/

Bitte beachten Sie, dass die Deaktivierung von Hotjar für jeden Browser bzw. für jedes Endgerät separat erfolgen muss.

Nähere Informationen über Hotjar und zu den erfassten Daten entnehmen Sie der Datenschutzerklärung von Hotjar unter dem folgenden Link:

https://www.hotjar.com/privacy

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Datenschutzerklärung für die Caspar Health App und das Therapieportal (Produkt)

Stand: Juli 2025

A. Präambel

Diese Datenschutzhinweise informieren Sie transparent darüber, welche Arten Ihrer personenbezogenen Daten wir zu welchen Zwecken und in welchem Umfang im Rahmen der Nutzung der Caspar Health App sowie des Webportals ("CASPAR") verarbeiten. Sie gilt für sämtliche Verarbeitungsvorgänge, die in Zusammenhang mit der App stehen – unabhängig davon, ob Sie Patient:in, Therapeut:in, Mitarbeiter:in einer medizinischen Einrichtung oder sonstige:r Nutzer:in sind. Für die Nutzung unserer Website gilt eine separate Datenschutzerklärung.

Die verwendeten Begriffe gelten geschlechtsneutral.

B. Informationen zum Verantwortlichen

Verantwortlich im Sinne des Datenschutzrechts:

GOREHA GmbH
Neue Schönhauser Str. 20
10178 Berlin
E-Mail: Datenschutz@goreha.com

Weitere Angaben zum Verantwortlichen erhalten Sie im Impressum der App/Website.

Unseren Datenschutzbeauftragten erreichen Sie unter: Datenschutz@goreha.com

C. Verarbeitung personenbezogener Daten

I. Automatische Datenverarbeitung bei Nutzung der App

Bei jedem Start und jeder Nutzung der App werden – soweit technisch erforderlich – automatisch folgende Daten verarbeitet, um Funktion, Stabilität und Sicherheit zu gewährleisten:

IP-Adresse (maximal 24 Stunden gespeichert zur technischen Fehlerbehebung und Missbrauchserkennung, danach gekürzt oder gelöscht)
Name und URL der abgerufenen Funktion/Seite
Datum und Uhrzeit des Zugriffs
Übertragene Datenmenge und Statusmeldung (Erfolg/Fehler)
Typ, Version und Sprache Ihres Geräts sowie Betriebssystem (inkl. Geräte-ID und ggf. MAC-Adresse)
Referrer-Information (sofern verfügbar; max. 24 Stunden gespeichert)
Weitere systembezogene Daten wie Betriebssystemoberfläche und App-Version

Eine Zusammenführung dieser Daten mit anderen, aktiv von Ihnen angegebenen personenbezogenen Daten erfolgt nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Stabilität und Funktion der App).

Löschfrist: Spätestens nach 7 Tagen, es sei denn, es liegen Hinweise auf eine missbräuchliche Nutzung vor; dann erfolgt die Löschung nach Abschluss der Überprüfung.

II. Verarbeitung besonderer Datenarten (Gesundheitsdaten, Aktivitätsdaten etc.)

Im Rahmen der App-Nutzung – insbesondere bei Registrierung, therapeutischer Betreuung, Feedback, Nutzung digitaler Trainings, Einbindung von Fitnesstrackern oder beim Kontakt mit Fachpersonal – verarbeiten wir gegebenenfalls folgende Kategorien personenbezogener Daten:

Stammdaten (Name, Anschrift, E-Mail, Aufenthaltsland)
Gesundheitsdaten (z. B. Symptome, Therapieverlauf, ärztliche Verordnungen, Trainingsdaten)
selbst erfasste Aktivitäts- und Fitnessdaten (optional)
Nutzungs-, Feedback- und Kommunikationsdaten innerhalb der App

Die Verarbeitung und Speicherung erfolgen ausschließlich nach Ihrer informierten und dokumentierten Einwilligung bzw. zur Durchführung des jeweiligen Behandlungsvertrags zur Reha-Nachsorge. Einwilligungen können Sie im persönlichen Bereich der App jederzeit widerrufen.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a, b, Art. 9 Abs. 2 lit. a DSGVO.

Löschfrist: Nach Widerruf oder regulärem Therapieende werden personenbezogene Daten nicht sofort gelöscht, sondern unter Berücksichtigung gesetzlicher Aufbewahrungsfristen in pseudonymisierter oder archivierter Form gespeichert. Näheres siehe unten (G.).

D. Tools, Auftragsverarbeiter und Anbieter

Zur sicheren, funktionsfähigen und weiterentwickelten Bereitstellung der CASPAR App nutzen wir spezialisierte technische Anbieter (Subprozessoren), mit denen jeweils DSGVO-konforme Verträge (Art. 28 DSGVO) bestehen.

Zur sicheren, funktionsfähigen und kontinuierlich weiterentwickelten Bereitstellung unserer CASPAR Software und App nutzen wir spezialisierte technische Dienstleister (Subprozessoren). Mit allen Anbietern bestehen datenschutzkonforme Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt ausschließlich in pseudonymisierter oder anonymisierter Form, soweit nicht anders angegeben. Eine Datenübermittlung in Drittstaaten findet nur statt, wenn hierfür ein angemessener Schutz nach Maßgabe der DSGVO gewährleistet ist.

I. Infrastruktur, Datenhaltung, Monitoring

1. Amazon Web Services (AWS)

Zweck der Verarbeitung: Infrastruktur, Datenhaltung, Hosting, Monitoring

Anbieter: Amazon Web Services Inc., 410 Terry Avenue North, Seattle, WA 98109-5210, USA

Serverstandort: Rechenzentrum in Frankfurt am Main, Deutschland (EU-Region)

Verarbeitungsrahmen:

Speicherung sämtlicher Gesundheits- und Nutzerdaten auf Servern in Deutschland/EU
Verschlüsselung at rest und in transit, inkl. Customer Key Management
Verarbeitung erfolgt ausschließlich in pseudonymisierter und verschlüsselter Form
Keine Übermittlung in Drittländer
ISO/IEC 27001-zertifizierte Rechenzentren

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) und b) sowie Art. 9 Abs. 2 lit. a) DSGVO

Weitere Informationen: Datenschutz bei AWS,AWS DSGVO-Informationen‍

2. Snowflake

Zweck der Verarbeitung: Datenmanagement, Analyse und Bereitstellung von Daten über ein Data Warehouse

Anbieter: Snowflake Computing Netherlands B.V., Gustav Mahlerlaan 300-314, Foz Building, 1082 ME, Niederlande (Muttergesellschaft: Snowflake Inc., Delaware, USA)

Serverstandort: Frankfurt am Main, Deutschland (EU-Region), Hosting über AWS

Verarbeitungsrahmen:

Verarbeitung ausschließlich pseudonymisierter Daten
Sensible Datenfelder separat verschlüsselt, mit Zugriff nur in verschlüsselter Form
Customer Key Management
Keine Datenübermittlung außerhalb der EU
ISO-zertifizierte Infrastruktur
Vertragliche Sicherstellung der DSGVO-Konformität, insbesondere Ausschluss von Drittlandübermittlungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) und Art. 9 Abs. 2 lit. a) DSGVO

Weitere Informationen: Snowflake Privacy Notice

3. Rollbar

Unsere App nutzt den Fehleranalysedienst Rollbar Inc., 51 Federal Street, San Francisco, CA 94107, USA. Zweck der Verarbeitung ist die technische Überwachung unserer App und das Dokumentieren von Fehlermeldungen, um die technische Stabilität der App zu gewährleisten und zu optimieren, um eine möglichst fehlerfreie Nutzung zu ermöglichen.

Zweck der Verarbeitung: Fehleranalyse, technische Überwachung und Stabilitätsoptimierung der App

Anbieter: Rollbar Inc., 51 Federal Street, San Francisco, CA 94107, USA

Datenregion: EU-Region

Verarbeitungsrahmen:

Verarbeitung ausschließlich pseudonymisierter Metadaten
Keine Verarbeitung sensibler Gesundheitsdaten
Übertragung erfolgt nur bei Fehlerereignissen
Keine Drittlandübermittlung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an technischer Fehleranalyse)

Löschfrist: Fehlermeldungen und technische Metadaten werden zur Stabilitätsüberwachung über Rollbar verarbeitet und spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH gelöscht.

Weitere Informationen: Rollbar Privacy Policy,Rollbar Data Processing Addendum‍

4. Datadog

Auf unserer Caspar Software sind die Funktionen des Dienstes Datadog eingebunden. Datadog ist ein Monitoringsystem der Firma Datadog, Inc., 620 8th Ave, 45th Floor, New York, NY 10018, USA. Das System benachrichtigt unser Entwicklungsteam über mögliche Fehler in der Applikation.

Zweck der Verarbeitung: Monitoring, Fehlerdiagnose und Performance-Optimierung

Anbieter: Datadog Inc., 620 8th Ave, 45th Floor, New York, NY 10018, USA

Datenregion: EU-Region, gelistet unter dem EU-U.S. Data Privacy Framework (DPF)

Verarbeitungsrahmen:

Verarbeitung pseudonymisierter Metadaten zur Fehlerdiagnose
Sofern personenbezogene oder sensible Daten betroffen sind, erfolgt deren Verarbeitung ausschließlich in pseudonymisierter Form
Keine Drittlandübertragung von personenbezogenen Daten
Angemessenheit i.S.d. Art. 45 Abs. 3 DSGVO gegeben durch DPF-Zertifizierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO, Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Die Löschung erfolgt spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH.

Weitere Informationen: Datadog Privacy Policy

5. SimplifyU

Zweck der Verarbeitung: Qualitätsmanagement, Dokumentenbereitstellung

Anbieter: SimplifyU GmbH, Ehrwalder Straße 4, 82467 Garmisch-Partenkirchen, Deutschland

Verarbeitungsrahmen:

Nutzung zur systematischen Qualitätssicherung und strukturierten Bereitstellung von Dokumentationen
Keine Übermittlung in Drittländer

Rechtsgrundlage: Art. 9 Abs. 2 lit. a) DSGVO (ausdrückliche Einwilligung)

Löschfrist: Löschung spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH.

Weitere Informationen: Datenschutzerklärung SimplifyU

6. Plausible Analytics

Für die Analyse und Auswertung der Websitenutzung verwenden wir Plausible Analytics, einen datenschutzfreundlichen Webanalysedienst mit Sitz und Serverstandort in der Europäischen Union; Plausible Insights OÜ, Västriku tn 2, 50403, Tartu, Estonia

Zweck der Verarbeitung: Analyse und Auswertung der Websitenutzung

Anbieter: Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland

Serverstandort: Europäische Union

Verarbeitungsrahmen:

Verarbeitung ausschließlich anonymisierter Nutzungsdaten
Kein Einsatz von Cookies oder Drittanbieterdiensten
Keine Möglichkeit zur Identifizierung einzelner Besucher
Keine Übermittlung in Drittstaaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an Webanalyse zur Optimierung unseres Onlineangebots)

Löschfrist: Da ausschließlich anonymisierte Daten verarbeitet werden, ist keine personenbezogene Löschung erforderlich.

Weitere Informationen: Plausible Privacy Policy

II. Kommunikation, Support, Interaktion

Zur Unterstützung der Kommunikation, Interaktion und Betreuung innerhalb unserer CASPAR Software nutzen wir ausgewählte Dienstleister, mit denen jeweils DSGVO-konforme Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bestehen. Die Verarbeitung erfolgt ausschließlich innerhalb der EU oder auf Grundlage geeigneter Garantien. Eine Datenverarbeitung erfolgt nur in pseudonymisierter oder anonymisierter Form, sofern keine Einwilligung zur Verarbeitung sensibler personenbezogener Daten vorliegt.

1. Zava Sprechstunde Online

Zweck der Verarbeitung: Durchführung von Videosprechstunden

Anbieter: Zava Sprechstunde Online GmbH, Im Teelbruch 118, 45219 Essen, Deutschland

Serverstandort: Deutschland

Verarbeitungsrahmen:

Durchführung ärztlicher Online-Sprechstunden
Speicherung und Verarbeitung personenbezogener Daten ausschließlich auf Servern in Deutschland
Keine Übermittlung in Drittländer

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) und Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Daten aus Online-Sprechstunden über Zava werden gemäß gesetzlicher Aufbewahrungspflichten (z. B. §10 MBO-Ä) für bis zu 10 Jahre gespeichert.

Weitere Informationen: Zava Datenschutzerklärung

2. TalkJS

Zweck der Verarbeitung: In-App-Kommunikation und Push-Benachrichtigungen

Anbieter: Klets B.V. (TalkJS), Bogert 1, 5612 LX Eindhoven, Niederlande

Serverstandort: Europäische Union

Verarbeitungsrahmen:

Verarbeitung pseudonymisierter und verschlüsselter Kommunikationsdaten
Nutzung zur Bereitstellung von In-App-Messages und optionaler Push-Benachrichtigungen
Verschlüsselung und Customer Key Management
Einwilligung zur Push-Nachrichten-Funktion kann jederzeit widerrufen werden

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO

Löschfrist: Die Löschung erfolgt spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH.

Weitere Informationen: TalkJS Privacy Policy

3. Rapidmail

Zweck der Verarbeitung: Versand von Statusnachrichten und E-Mail-Benachrichtigungen

Anbieter: Rapidmail GmbH, Wentzingerstr. 21, 79106 Freiburg im Breisgau, Deutschland

Serverstandort: Deutschland

Verarbeitungsrahmen:

Versand individueller Statusübersichten und Benachrichtigungen per E-Mail
Möglichkeit zur jederzeitigen Abmeldung durch den Nutzer

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) sowie Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: E-Mail-Benachrichtigungen über Rapidmail werden nur so lange gespeichert, bis die Nutzer:innen sich abmelden oder ihre Einwilligung widerrufen.

Weitere Informationen: Rapidmail Datenschutzerklärung

4. Aircall

Zweck der Verarbeitung: Telefonischer Kundensupport

Anbieter: Aircall.io Inc., 381 Park Ave S, Suite 16, New York, USA

Serverstandort: Frankfurt am Main, Deutschland

Verarbeitungsrahmen:

Speicherung lediglich pseudonymisierter Metadaten (kein Gesprächsmitschnitt)
Keine Nutzung von KI-gestützten Analysefunktionen
Keine Übermittlung in Drittstaaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie ggf. Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Pseudonymisierte Metadaten aus telefonischem Support über Aircall werden spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH gelöscht.

Weitere Informationen: Aircall Datenschutz

5. Google Workspace

Zweck der Verarbeitung: E-Mail-Kommunikation und Abrechnungsprozesse

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Serverstandort: Europäische Union

Verarbeitungsrahmen:

Verarbeitung erfolgt ausschließlich innerhalb der europäischen Datenregion
Speicherung aller E-Mail-Inhalte, Anhänge, Metadaten etc. in verschlüsselter Form (at rest & in transit)
Keine Nutzung von KI-Funktionen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie ggf. Art. 9 Abs. 2 lit. a) DSGVO

Weitere Informationen: Google Privacy Policy,Google Datenregionen

6. Typeform

Zweck der Verarbeitung: Durchführung von Nutzerumfragen

Anbieter: Typeform S.L., Bac de Roda 163, 08018 Barcelona, Spanien

Serverstandort: Europäische Union

Verarbeitungsrahmen:

Erstellung und Auswertung von Umfragen zu Service und Nutzererlebnis
Verarbeitung ausschließlich innerhalb der EU über Enterprise-Server
Großteil der Umfragen erfolgt anonym; bei Pseudonymisierung erfolgt separate Verschlüsselung
Teilnahme ist freiwillig

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) sowie Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Daten aus Umfragen über Typeform werden nach Auswertung bzw. Widerruf der Einwilligung gelöscht.

Weitere Informationen: Typeform Datenschutz

7. WebSMS (LINK Mobility)

Zweck der Verarbeitung: Versand von SMS-Nachrichten

Anbieter: LINK Mobility Austria GmbH, Brauquartier 5/13, 8055 Graz, Österreich

Serverstandort: Europäische Union

Verarbeitungsrahmen:

Verarbeitung von Mobilfunknummern und weiteren versandrelevanten Daten
Versand von systemrelevanten SMS-Nachrichten
Keine Übermittlung in Drittländer durch vertragliche Regelung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie ggf. Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH, wenn keine gestezlichen Aufbewahrungsfristen entgegenstehen.

Weitere Informationen: WebSMS Datenschutzerklärung

8. Zoom Webinar

Zweck der Verarbeitung: Durchführung von Webinaren

Anbieter: Zoom Video Communications, Inc.

Serverstandort: Europäische Union

Verarbeitungsrahmen:

Verarbeitung von Namen, E-Mail-Adressen und Veranstaltungsdaten
Kein Datentransfer in Drittstaaten aufgrund vertraglicher Absicherung (EU-only Verarbeitung)
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vorhanden

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie ggf. Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Daten aus Webinar-Teilnahmen über Zoom werden nach Erfüllung des Zwecks oder auf Wunsch der betroffenen Person gelöscht.

Weitere Informationen: Zoom Datenschutz

9. Hasomed

Zweck der Verarbeitung: Bereitstellung neurokognitiver Trainingsinhalte

Anbieter: HASOMED GmbH, Paul-Ecke-Straße 1, 39114 Magdeburg, Deutschland

Serverstandort: Deutschland

Verarbeitungsrahmen:

Bereitstellung und Dokumentation neurokognitiver Trainingsdaten
Speicherung ausschließlich auf Servern in Deutschland

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie Art. 9 Abs. 2 lit. a) DSGVOLöschfrist: Trainingsdaten aus neurokognitiven Modulen über HASOMED werden entsprechend gesetzlicher Vorgaben (z. B. §10 MBO-Ä) bis zu 10 Jahre gespeichert.

Weitere Informationen: Hasomed Datenschutzerklärung

III. Vertrieb, CRM und Marketing

Für Vertriebs- und Marketingmaßnahmen sowie die Verwaltung von Kundenbeziehungen nutzen wir ausgewählte Tools, mit denen jeweils DSGVO-konforme Auftragsverarbeitungsverträge bestehen. Die Verarbeitung erfolgt dabei in pseudonymisierter Form, ausschließlich innerhalb der Europäischen Union und auf zertifizierten Systemen.

1. Tableau / Salesforce

Zweck der Verarbeitung: Vertrieb, Kundenmanagement und Marketinganalyse

Anbieter: Salesforce.com Germany GmbH, Erika-Mann-Straße 31–37, 80636 München (Muttergesellschaft: Salesforce Inc., USA)

Serverstandort: Frankfurt, Deutschland (EU Data Region)

Verarbeitungsrahmen:

Verarbeitung pseudonymisierter Nutzer-, Vertrags- und Marketingdaten
Customer Key Management aktiv
Keine Übermittlung personenbezogener Daten außerhalb der EU
ISO 27001, ISO 27017, ISO 27018 sowie SOC 1–3 zertifiziert

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie lit. f) und ggf. Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Zur Vertriebs- und Marketinganalyse sowie CRM-Zwecken werden pseudonymisierte Daten verarbeitet und nach Vertragsende oder Widerruf gelöscht. i.Ü. gilt: Nach Widerruf oder regulärem Therapieende werden personenbezogene Daten nicht sofort gelöscht, sondern unter Berücksichtigung gesetzlicher Aufbewahrungsfristen in pseudonymisierter oder archivierter Form gespeichert.

Weitere Informationen: Salesforce Compliance Center

2. Firebase

Zweck der Verarbeitung: Bereitstellung, Hosting und technische Analyse

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Serverstandort: Europäische Union

Verarbeitungsrahmen:

Analyse von technischen Nutzungsdaten und App-Performance
Keine Drittstaatenverarbeitung durch vertragliche Beschränkung
Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO vorhanden

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an Systemstabilität und -auswertung)

Löschfrist: Die Löschung erfolgt spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH.

Weitere Informationen: Firebase Datenschutzerklärung,Google Privacy Policy,Firebase Data Processing and Security Terms

E. Hosting & Datensicherheit

Ihre personenbezogenen Daten werden ausschließlich auf Servern in der EU (insbesondere Deutschland) verarbeitet. Modernste Verschlüsselungsverfahren (z. B. TLS 1.2 für Übertragungswege, Verschlüsselung at rest mit Kundenschlüsselverwaltung) und rollenbasierte Zugriffsbeschränkungen schützen Ihre Daten. Alle Mitarbeitenden sowie Auftragsverarbeiter und Dienstleister sind auf Vertraulichkeit verpflichtet.

Die GOREHA GmbH und sämtliche Kern-Dienstleister sind nach ISO 27001 zertifiziert.

Jede Übermittlung von Daten an ein Drittland erfolgt unter Beachtung des anwendbaren Datenschutzrechts. Die Übermittlung erfolgt ausschließlich in Drittländer, für die ein Angemessenheitsbeschluss der Europäischen Kommission besteht. Sofern noch vereinzelt (pseudonymisierte Meta-)Daten in die Vereinigten Staaten von Amerika übermittelt werden sollten, basiert das derzeit auf dem wirksamen Data Privacy Framework zwischen der EU-Kommission und den USA sowie der Listung des Anbieters unter diesem Abkommen (https://www.dataprivacyframework.gov/list). Alle Anbieter mit Mutterkonzern in den USA, sind unabhängig davon, ob noch eine Datenübertragung stattfindet, unter dem Data Privacy Framework gelistet. Bei allen Anbietern mit Sitz des Mutterkonzerns in den Vereinigten Staaten wurde als Serverstandort bzw. Datenregion Deutschland/EU eingestellt und vertraglich zugesichert, dass die Daten diesen Raum nicht ohne Zustimmung verlassen, so dass derzeit eine Verarbeitung in den USA nicht stattfindet. Auch eine Verarbeitung in weiteren Drittländern findet derzeit nicht statt.

F. Rechte der betroffenen Personen

Sie haben jederzeit das Recht auf:

Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte genügt eine E-Mail an Datenschutz@goreha.com oder ein Antrag über die App.

Sie können sich bei einer Datenschutzaufsichtsbehörde Ihrer Wahl beschweren.

Im Rahmen unseres Angebots erfolgt keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO.

G. Allgemeine Informationen zu Speicherung & Löschung

Sofern Nutzer:innen ausdrücklich in die Verarbeitung ihrer (auch besonderen) personenbezogenen Daten eingewilligt haben, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a) DSGVO bzw. Art. 9 Abs. 2 lit. a) DSGVO. Die Datenverarbeitung findet nur so lange statt, wie die Einwilligung nicht widerrufen wurde und keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

Ein Widerruf der Einwilligung ist jederzeit mit Wirkung für die Zukunft möglich. In diesem Fall kann die weitere Nutzung der Caspar Health App – insbesondere im Rahmen der Tele-Reha-Nachsorge – gegebenenfalls nicht mehr erfolgen. Vor einem solchen Ausschluss wird der/die Nutzer:in transparent informiert.

I. Gesetzliche Aufbewahrungsfristen

Nach Widerruf oder regulärem Therapieende werden personenbezogene Daten nicht sofort gelöscht, sondern unter Berücksichtigung gesetzlicher Aufbewahrungsfristen in pseudonymisierter oder archivierter Form gespeichert. Folgende Rechtsgrundlagen sind insbesondere relevant:

§ 238 Abs. 2 HGB: bis zu 10 Jahre für Abrechnungsunterlagen gegenüber medizinischen Einrichtungen (z. B. Modulübersichten, KTL-Reports)
§ 147 Abs. 1 Nr. 2, Abs. 2 AO: bis zu 6 Jahre für steuerrechtlich relevante Unterlagen
§ 14 UStG: bis zu 6 Jahre für umsatzsteuerliche Nachweise
Art. 17 Abs. 3 lit. e DSGVO: bis zu 5 Jahre zur Verteidigung oder Geltendmachung rechtlicher Ansprüche
§ 10 Abs. 3 MBO-Ä: bis zu 10 Jahre für die interne Behandlungsdokumentation der ärztlichen oder therapeutischen Fachkräfte

Der Beginn der jeweiligen Fristen richtet sich nach den zugrunde liegenden gesetzlichen Vorschriften.

II. Löschungskonzept und technische Umsetzung

Die Goreha GmbH verfügt über ein detailliertes und dokumentiertes Löschkonzept. Dieses legt fest, welche Daten wann, durch wen und auf welchem technischen Weg gelöscht werden. Auch externe Auftragsverarbeiter sind vertraglich zur Umsetzung dieser Löschvorgaben verpflichtet. Die Löschung erfolgt innerhalb von 90 bis 180 Tagen nach Anweisung durch Goreha.

Alternativ zur vollständigen Löschung können Nutzer:innen auch in die Anonymisierung ihrer Daten einwilligen. Diese erfolgt gemäß dem Praxisleitfaden der Stiftung Datenschutz und dient primär der sicheren Datenlöschung. Anonymisierte Daten können – nach ausdrücklicher Einwilligung – sekundär zur Verbesserung der Tele-Reha-Nachsorge verwendet werden.

III. Konto- und Datenlöschung durch Nutzer:innen

Die Deinstallation der App führt nicht automatisch zur Löschung personenbezogener Daten. Nutzer:innen können ihr Konto jedoch selbstständig im persönlichen Bereich der App löschen. In diesem Fall wird das Konto gesperrt und die Daten unter Einhaltung gesetzlicher Fristen aufbewahrt. Auch ein Datenexport ist möglich. Personenbezogene Daten, die bei medizinischen Einrichtungen gespeichert sind, unterliegen deren eigener Verantwortung und Löschpraxis.

Anfragen zur Löschung, Einschränkung oder Übertragung personenbezogener Daten können per E-Mail an datenschutz@caspar-health.com gerichtet werden.

H. Informationen zu zentralen Begriffen

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, Gesundheitsdaten, E-Mail, IP-Adresse etc.)
Gesundheitsdaten: Daten über den Gesundheitszustand, medizinische Dokumentation oder Therapieverlauf (werden nur mit ausdrücklicher Einwilligung verarbeitet)
Verantwortlicher: Diejenige Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet
Auftragsverarbeiter: Dienstleister, die im Auftrag und nach Weisung des Verantwortlichen tätig werden
IP-Adresse/Gerätekennung: Technische Angaben zur eindeutigen systemseitigen Zuordnung; Speicherung auf das technisch erforderliche Maß begrenzt und regelmäßig gelöscht

I. Datenschutz-Folgenabschätzung

Für Verarbeitungsvorgänge mit erhöhtem Risiko, insbesondere bei Gesundheitsdaten, haben wir eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt und regelmäßig aktualisiert. Diese umfasst Risiken und Schutzmaßnahmen, u. a. Privacy by Design/Default, strikte Zugriffs-, Verschlüsselungs- und Löschkonzepte, technische und organisatorische Maßnahmen sowie regelmäßige Kontrolle und Anpassung der Prozesse.

J. Kontakt- & Supportverwaltung

Anfragen über die App, per E-Mail, Telefon oder In-App-Chat werden ausschließlich zur Bearbeitung Ihres konkreten Anliegens verarbeitet und nach abschließender Erledigung sowie Ablauf etwaiger gesetzlicher Vorhaltepflichten gelöscht. Sie können Ihre Einwilligung oder die Verarbeitung Ihrer Kontakt-/Supportdaten jederzeit widerrufen oder der weiteren Verarbeitung widersprechen.

Rechtsgrundlagen:

Allgemeine Anfragen: Art. 6 Abs. 1 lit. f DSGVO
Vertragliche Beziehungen: Art. 6 Abs. 1 lit. b DSGVO
Gesundheitsinformationen: Art. 9 Abs. 2 lit. a DSGVO

Löschfrist: In der Regel spätestens 12 Monate nach abschließendem Kontakt, sofern keine längeren Aufbewahrungspflichten bestehen.

K. Fragen zum Datenschutz

Bei allen Fragen und Anliegen zum Datenschutz, zur Ausübung Ihrer Betroffenenrechte oder zur Wahrnehmung aller hier beschriebenen Optionen wenden Sie sich bitte an:

GOREHA GmbH
Neue Schönhauser Str. 20
10178 Berlin
E-Mail: Datenschutz@goreha.com

Unseren Datenschutzbeauftragten erreichen Sie unter: Datenschutz@goreha.com

L. Änderungen dieser Hinweise

Durch technische Weiterentwicklung unseres Angebots oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann eine Anpassung dieser Hinweise erforderlich werden. Die jeweils aktuelle Fassung finden Sie stets in der App. Frühere Versionen können Sie jederzeit bei uns anfordern.

Sollten sich einzelne Passagen auf bestimmte Nutzergruppen (z. B. Patient:in, Therapeut:in, medizinische Einrichtung oder andere Nutzer:innen) beziehen, weisen wir im Rahmen der App/Nutzung spezifisch darauf hin.