Datenschutzerklärung für die Caspar Health App und das Therapieportal (Produkt)

Stand: Juli 2025

A. Präambel

Diese Datenschutzhinweise informieren Sie transparent darüber, welche Arten Ihrer personenbezogenen Daten wir zu welchen Zwecken und in welchem Umfang im Rahmen der Nutzung der Caspar Health App sowie des Webportals ("CASPAR") verarbeiten. Sie gilt für sämtliche Verarbeitungsvorgänge, die in Zusammenhang mit der App stehen – unabhängig davon, ob Sie Patient:in, Therapeut:in, Mitarbeiter:in einer medizinischen Einrichtung oder sonstige:r Nutzer:in sind. Für die Nutzung unserer Website gilt eine separate Datenschutzerklärung.

Die verwendeten Begriffe gelten geschlechtsneutral.

B. Informationen zum Verantwortlichen

Verantwortlich im Sinne des Datenschutzrechts:

GOREHA GmbH
Neue Schönhauser Str. 20
10178 Berlin
E-Mail: Datenschutz@goreha.com

Weitere Angaben zum Verantwortlichen erhalten Sie im Impressum der App/Website.

Unseren Datenschutzbeauftragten erreichen Sie unter: Datenschutz@goreha.com

C. Verarbeitung personenbezogener Daten

I. Automatische Datenverarbeitung bei Nutzung der App

Medizinische Einrichtungen und Patienten können zur Nutzung des Therapieportals CASPAR Accounts einrichten. Im Rahmen der Erstellung eines Benutzerkontos für unsere Caspar Software werden Sie aufgefordert, eine Reihe an personenbezogenen Daten einzugeben (insbesondere Anrede, Vorname, Name, Straße, Postleitzahl, Stadt, Aufenthaltsland, Telefon, E-Mail-Adresse und möglicherweise weitere Daten, die wir im Rahmen der Anmeldung erfragen). Verpflichtend ist jedoch nur die Angabe des Aufenthaltslands. Sie können die Daten stets unter der Rubrik „Patienten-Account“ einsehen und ändern. Sofern Sie eine E-Mail Adresse angegeben haben, erhalten Sie in regelmäßigen Abständen eine Übersicht über Ihre aktuellen Aktivitäten im Rahmen der Therapie. Hiervon können Sie sich jederzeit mittels Abmelde-Link abmelden. Wir erheben, speichern und verarbeiten Ihre, in diesem Abschnitt genannten, Daten für die gesamte Abwicklung Ihrer Nutzung von CASPAR, einschließlich eventuell späterer Gewährleistungen. Die Einzelheiten hierzu sind in den jeweiligen Verträgen und AGB geregelt, die mit den betreffenden Personen geschlossen werden. Bei der Nutzung von CASPAR werden personenbezogene Gesundheitsdaten über Patienten ausschließlich nach deren vorheriger Einwilligung verarbeitet. Diese Daten werden von der medizinischen Einrichtung oder von den Patienten selbst in CASPAR übertragen. Ein Austausch der Daten erfolgt nur zwischen den Patienten und der betreuenden medizinischen Einrichtung sowie den dort beschäftigten Ärzten. Sie werden nicht an Dritte weitergegeben. 

Die Daten werden gespeichert, solange sie zur Nutzung von CASPAR erforderlich sind. Anschließend werden die Daten gelöscht, sofern keine anderslautenden gesetzlichen Rechte oder Pflichten bestehen. Von einer andauernden Nutzung von CASPAR wird bis zum Ende der jeweiligen Vertragslaufzeit ausgegangen.

Bei jedem Start und jeder Nutzung der App werden – soweit technisch erforderlich – automatisch folgende Daten verarbeitet, um Funktion, Stabilität und Sicherheit zu gewährleisten:

  • IP-Adresse (maximal 24 Stunden gespeichert zur technischen Fehlerbehebung und Missbrauchserkennung, danach gekürzt oder gelöscht)
  • Name und URL der abgerufenen Funktion/Seite
  • Datum und Uhrzeit des Zugriffs
  • Übertragene Datenmenge und Statusmeldung (Erfolg/Fehler)
  • Typ, Version und Sprache Ihres Geräts sowie Betriebssystem (inkl. Geräte-ID und ggf. MAC-Adresse)
  • Referrer-Information (sofern verfügbar; max. 24 Stunden gespeichert)
  • Weitere systembezogene Daten wie Betriebssystemoberfläche und App-Version

Eine Zusammenführung dieser Daten mit anderen, aktiv von Ihnen angegebenen personenbezogenen Daten erfolgt nicht. 

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Stabilität und Funktion der App).

Löschfrist: Spätestens nach 7 Tagen, es sei denn, es liegen Hinweise auf eine missbräuchliche Nutzung vor; dann erfolgt die Löschung nach Abschluss der Überprüfung.

II. Verarbeitung besonderer Datenarten (Gesundheitsdaten, Aktivitätsdaten etc.)

Im Rahmen der App-Nutzung – insbesondere bei Registrierung, therapeutischer Betreuung, Feedback, Nutzung digitaler Trainings, Einbindung von Fitnesstrackern oder beim Kontakt mit Fachpersonal – verarbeiten wir gegebenenfalls folgende Kategorien personenbezogener Daten:

  • Stammdaten (Name, Anschrift, E-Mail, Aufenthaltsland)
  • Gesundheitsdaten (z. B. Symptome, Therapieverlauf, ärztliche Verordnungen, Trainingsdaten)
  • selbst erfasste Aktivitäts- und Fitnessdaten (optional)
  • Nutzungs-, Feedback- und Kommunikationsdaten innerhalb der App

Die Verarbeitung und Speicherung erfolgen ausschließlich nach Ihrer informierten und dokumentierten Einwilligung bzw. zur Durchführung des jeweiligen Behandlungsvertrags zur Reha-Nachsorge. Einwilligungen können Sie im persönlichen Bereich der App jederzeit widerrufen.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a, b, Art. 9 Abs. 2 lit. a DSGVO.

Löschfrist: Nach Widerruf oder regulärem Therapieende werden personenbezogene Daten nicht sofort gelöscht, sondern unter Berücksichtigung gesetzlicher Aufbewahrungsfristen in pseudonymisierter oder archivierter Form gespeichert. Näheres siehe unten (G.).

D. Tools, Auftragsverarbeiter und Anbieter

Zur sicheren, funktionsfähigen und weiterentwickelten Bereitstellung der CASPAR App nutzen wir spezialisierte technische Anbieter (Subprozessoren), mit denen jeweils DSGVO-konforme Verträge (Art. 28 DSGVO) bestehen.

Zur sicheren, funktionsfähigen und kontinuierlich weiterentwickelten Bereitstellung unserer CASPAR Software und App nutzen wir spezialisierte technische Dienstleister (Subprozessoren). Mit allen Anbietern bestehen datenschutzkonforme Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt ausschließlich in pseudonymisierter oder anonymisierter Form, soweit nicht anders angegeben. Eine Datenübermittlung in Drittstaaten findet nur statt, wenn hierfür ein angemessener Schutz nach Maßgabe der DSGVO gewährleistet ist.

I. Infrastruktur, Datenhaltung, Monitoring

1. Amazon Web Services (AWS)

Beim Hosting unserer Software setzen wir auf die Dienste der Amazon Web Services Inc. (AWS), 410 Terry Avenue North Seattle, WA 98109-52-10, USA. Die von uns genutzten AWS-Server stehen in einem Rechenzentrum in Frankfurt: Globale Infrastrukturregionen und AZ. Amazon garantiert keine Übermittlung in Drittländer.

Zweck der Verarbeitung: Infrastruktur, Datenhaltung, Hosting, Monitoring

Anbieter: Amazon Web Services Inc., 410 Terry Avenue North, Seattle, WA 98109-5210, USA

Serverstandort: Rechenzentrum in Frankfurt am Main, Deutschland (EU-Region)

Verarbeitungsrahmen:

  • Speicherung sämtlicher Gesundheits- und Nutzerdaten auf Servern in Deutschland/EU
  • Verschlüsselung at rest und in transit, inkl. Customer Key Management
  • Verarbeitung erfolgt ausschließlich in pseudonymisierter und verschlüsselter Form
    Keine Übermittlung in Drittländer
  • ISO/IEC 27001-zertifizierte Rechenzentren

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) und b) sowie Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Nach Widerruf oder regulärem Therapieende werden personenbezogene Daten nicht sofort gelöscht, sondern unter Berücksichtigung gesetzlicher Aufbewahrungsfristen in pseudonymisierter oder archivierter Form gespeichert.

Weitere Informationen: Datenschutz bei AWS,AWS DSGVO-Informationen

2. Snowflake

Unsere Caspar Software nutzt Snowflake, Snowflake Computing Netherlands B.V., Gustav Mahlerlaan 300-314, Foz Building, 1082 ME, Netherlands (Muttergesellschaft Snowflake Inc. Delaware, USA), zur Aufbereitung und Bereitstellung von Daten für unsere Servicedienste.

Zweck der Verarbeitung: Datenmanagement, Analyse und Bereitstellung von Daten über ein Data Warehouse

Anbieter: Snowflake Computing Netherlands B.V., Gustav Mahlerlaan 300-314, Foz Building, 1082 ME, Niederlande (Muttergesellschaft: Snowflake Inc., Delaware, USA)

Serverstandort: Frankfurt am Main, Deutschland (EU-Region), Hosting über AWS

Verarbeitungsrahmen:

  • Verarbeitung ausschließlich pseudonymisierter Daten
  • Sensible Datenfelder separat verschlüsselt, mit Zugriff nur in verschlüsselter Form
  • Customer Key Management
  • Keine Datenübermittlung außerhalb der EU
  • ISO-zertifizierte Infrastruktur
  • Vertragliche Sicherstellung der DSGVO-Konformität, insbesondere Ausschluss von Drittlandübermittlungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) und Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Nach Widerruf oder regulärem Therapieende werden personenbezogene Daten nicht sofort gelöscht, sondern unter Berücksichtigung gesetzlicher Aufbewahrungsfristen in pseudonymisierter oder archivierter Form gespeichert.

Weitere Informationen: Snowflake Privacy Notice

3. Rollbar

Unsere App nutzt den Fehleranalysedienst Rollbar Inc., 51 Federal Street, San Francisco, CA 94107, USA.  Zweck der Verarbeitung ist die technische Überwachung unserer App und das Dokumentieren von Fehlermeldungen, um die technische Stabilität der App zu gewährleisten und zu optimieren, um eine möglichst fehlerfreie Nutzung zu ermöglichen. 

Zweck der Verarbeitung: Fehleranalyse, technische Überwachung und Stabilitätsoptimierung der App

Anbieter: Rollbar Inc., 51 Federal Street, San Francisco, CA 94107, USA

Datenregion: EU-Region

Verarbeitungsrahmen:

  • Verarbeitung ausschließlich pseudonymisierter Metadaten
  • Keine Verarbeitung sensibler Gesundheitsdaten
  • Übertragung erfolgt nur bei Fehlerereignissen
  • Keine Drittlandübermittlung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an technischer Fehleranalyse)

Löschfrist: Fehlermeldungen und technische Metadaten werden zur Stabilitätsüberwachung über Rollbar verarbeitet und spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH gelöscht.

Weitere Informationen: Rollbar Privacy Policy,Rollbar Data Processing Addendum

4. Datadog

Auf unserer Caspar Software sind die Funktionen des Dienstes Datadog eingebunden. Datadog ist ein Monitoringsystem der Firma Datadog, Inc., 620 8th Ave, 45th Floor, New York, NY 10018, USA. Das System benachrichtigt unser Entwicklungsteam über mögliche Fehler in der Applikation. 

Zweck der Verarbeitung: Monitoring, Fehlerdiagnose und Performance-Optimierung

Anbieter: Datadog Inc., 620 8th Ave, 45th Floor, New York, NY 10018, USA

Datenregion: EU-Region, gelistet unter dem EU-U.S. Data Privacy Framework (DPF)

Verarbeitungsrahmen:

  • Verarbeitung pseudonymisierter Metadaten zur Fehlerdiagnose
    Sofern personenbezogene oder sensible Daten betroffen sind, erfolgt deren Verarbeitung ausschließlich in pseudonymisierter Form
  • Keine Drittlandübertragung von personenbezogenen Daten
  • Angemessenheit i.S.d. Art. 45 Abs. 3 DSGVO gegeben durch DPF-Zertifizierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO, Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Die Löschung erfolgt spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH.

Weitere Informationen: Datadog Privacy Policy

5. SimplifyU

Unsere Caspar Software setzt zudem SimplifyU, SimplifyU GmbH, Ehrwalder Straße 4, 82467 Garmisch-Partenkirchen, Deutschland, zu Zwecken des Qualitätsmanagements  und der Dokumentenbereitstellung ein.

Zweck der Verarbeitung: Qualitätsmanagement, Dokumentenbereitstellung

Anbieter: SimplifyU GmbH, Ehrwalder Straße 4, 82467 Garmisch-Partenkirchen, Deutschland

Verarbeitungsrahmen:

  • Nutzung zur systematischen Qualitätssicherung und strukturierten Bereitstellung von Dokumentationen
  • Keine Übermittlung in Drittländer

Rechtsgrundlage: Art. 9 Abs. 2 lit. a) DSGVO (ausdrückliche Einwilligung)

Löschfrist: Löschung spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH.

Weitere Informationen: Datenschutzerklärung SimplifyU

6. Plausible Analytics

Für die Analyse und Auswertung der Websitenutzung verwenden wir Plausible Analytics, einen datenschutzfreundlichen Webanalysedienst mit Sitz und Serverstandort in der Europäischen Union; Plausible Insights OÜ, Västriku tn 2, 50403, Tartu, Estonia

Zweck der Verarbeitung: Analyse und Auswertung der Websitenutzung

Anbieter: Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland

Serverstandort: Europäische Union

Verarbeitungsrahmen:

  • Verarbeitung ausschließlich anonymisierter Nutzungsdaten
  • Kein Einsatz von Cookies oder Drittanbieterdiensten
  • Keine Möglichkeit zur Identifizierung einzelner Besucher
  • Keine Übermittlung in Drittstaaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an Webanalyse zur Optimierung unseres Onlineangebots)

Löschfrist: Da ausschließlich anonymisierte Daten verarbeitet werden, ist keine personenbezogene Löschung erforderlich.

Weitere Informationen: Plausible Privacy Policy

II. Kommunikation, Support, Interaktion

Zur Unterstützung der Kommunikation, Interaktion und Betreuung innerhalb unserer CASPAR Software nutzen wir ausgewählte Dienstleister, mit denen jeweils DSGVO-konforme Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bestehen. Die Verarbeitung erfolgt ausschließlich innerhalb der EU oder auf Grundlage geeigneter Garantien. Eine Datenverarbeitung erfolgt nur in pseudonymisierter oder anonymisierter Form, sofern keine Einwilligung zur Verarbeitung sensibler personenbezogener Daten vorliegt.

1. Zava Sprechstunde Online

Zweck der Verarbeitung: Durchführung von Videosprechstunden

Anbieter: Zava Sprechstunde Online GmbH, Im Teelbruch 118, 45219 Essen, Deutschland

Serverstandort: Deutschland

Verarbeitungsrahmen:

  • Durchführung ärztlicher Online-Sprechstunden
  • Speicherung und Verarbeitung personenbezogener Daten ausschließlich auf Servern in Deutschland
  • Keine Übermittlung in Drittländer

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) und Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Daten aus Online-Sprechstunden über Zava werden gemäß gesetzlicher Aufbewahrungspflichten (z. B. §10 MBO-Ä) für bis zu 10 Jahre gespeichert.

Weitere Informationen: Zava Datenschutzerklärung

2. TalkJS

Zweck der Verarbeitung: In-App-Kommunikation und Push-Benachrichtigungen

Anbieter: Klets B.V. (TalkJS), Bogert 1, 5612 LX Eindhoven, Niederlande

Serverstandort: Europäische Union

Verarbeitungsrahmen:

  • Verarbeitung pseudonymisierter und verschlüsselter Kommunikationsdaten
  • Nutzung zur Bereitstellung von In-App-Messages und optionaler Push-Benachrichtigungen
  • Verschlüsselung und Customer Key Management
  • Einwilligung zur Push-Nachrichten-Funktion kann jederzeit widerrufen werden

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO

Löschfrist: Die Löschung erfolgt spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH.

Weitere Informationen: TalkJS Privacy Policy

3. Rapidmail

Zweck der Verarbeitung: Versand von Statusnachrichten und E-Mail-Benachrichtigungen

Anbieter: Rapidmail GmbH, Wentzingerstr. 21, 79106 Freiburg im Breisgau, Deutschland

Serverstandort: Deutschland

Verarbeitungsrahmen:

  • Versand individueller Statusübersichten und Benachrichtigungen per E-Mail
  • Möglichkeit zur jederzeitigen Abmeldung durch den Nutzer

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) sowie Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: E-Mail-Benachrichtigungen über Rapidmail werden nur so lange gespeichert, bis die Nutzer:innen sich abmelden oder ihre Einwilligung widerrufen.

Weitere Informationen: Rapidmail Datenschutzerklärung

4. Aircall

Zweck der Verarbeitung: Telefonischer Kundensupport

Anbieter: Aircall.io Inc., 381 Park Ave S, Suite 16, New York, USA

Serverstandort: Frankfurt am Main, Deutschland

Verarbeitungsrahmen:

  • Speicherung lediglich pseudonymisierter Metadaten (kein Gesprächsmitschnitt)
  • Keine Nutzung von KI-gestützten Analysefunktionen
  • Keine Übermittlung in Drittstaaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie ggf. Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Pseudonymisierte Metadaten aus telefonischem Support über Aircall werden spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH gelöscht.

Weitere Informationen: Aircall Datenschutz

5. Google Workspace

Zweck der Verarbeitung: E-Mail-Kommunikation und Abrechnungsprozesse

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Serverstandort: Europäische Union

Verarbeitungsrahmen:

  • Verarbeitung erfolgt ausschließlich innerhalb der europäischen Datenregion
  • Speicherung aller E-Mail-Inhalte, Anhänge, Metadaten etc. in verschlüsselter Form (at rest & in transit)
  • Keine Nutzung von KI-Funktionen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie ggf. Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Nach Widerruf oder regulärem Therapieende werden personenbezogene Daten nicht sofort gelöscht, sondern unter Berücksichtigung gesetzlicher Aufbewahrungsfristen in pseudonymisierter oder archivierter Form gespeichert.

Weitere Informationen: Google Privacy Policy,Google Datenregionen

6. Typeform

Zweck der Verarbeitung: Durchführung von Nutzerumfragen

Anbieter: Typeform S.L., Bac de Roda 163, 08018 Barcelona, Spanien

Serverstandort: Europäische Union

Verarbeitungsrahmen:

  • Erstellung und Auswertung von Umfragen zu Service und Nutzererlebnis
  • Verarbeitung ausschließlich innerhalb der EU über Enterprise-Server
  • Großteil der Umfragen erfolgt anonym; bei Pseudonymisierung erfolgt separate Verschlüsselung
  • Teilnahme ist freiwillig

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) sowie Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Daten aus Umfragen über Typeform werden nach Auswertung bzw. Widerruf der Einwilligung gelöscht.

Weitere Informationen: Typeform Datenschutz

7. WebSMS (LINK Mobility)

Zweck der Verarbeitung: Versand von SMS-Nachrichten

Anbieter: LINK Mobility Austria GmbH, Brauquartier 5/13, 8055 Graz, Österreich

Serverstandort: Europäische Union

Verarbeitungsrahmen:

  • Verarbeitung von Mobilfunknummern und weiteren versandrelevanten Daten
  • Versand von systemrelevanten SMS-Nachrichten
  • Keine Übermittlung in Drittländer durch vertragliche Regelung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie ggf. Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH, wenn keine gestezlichen Aufbewahrungsfristen entgegenstehen.

Weitere Informationen: WebSMS Datenschutzerklärung

8. Zoom Webinar

Zweck der Verarbeitung: Durchführung von Webinaren

Anbieter: Zoom Video Communications, Inc.

Serverstandort: Europäische Union

Verarbeitungsrahmen:

  • Verarbeitung von Namen, E-Mail-Adressen und Veranstaltungsdaten
  • Kein Datentransfer in Drittstaaten aufgrund vertraglicher Absicherung (EU-only Verarbeitung)
  • Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vorhanden

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie ggf. Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Daten aus Webinar-Teilnahmen über Zoom werden nach Erfüllung des Zwecks oder auf Wunsch der betroffenen Person gelöscht.

Weitere Informationen: Zoom Datenschutz

9. Hasomed

Zweck der Verarbeitung: Bereitstellung neurokognitiver Trainingsinhalte

Anbieter: HASOMED GmbH, Paul-Ecke-Straße 1, 39114 Magdeburg, Deutschland

Serverstandort: Deutschland

Verarbeitungsrahmen:

  • Bereitstellung und Dokumentation neurokognitiver Trainingsdaten
  • Speicherung ausschließlich auf Servern in Deutschland

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie Art. 9 Abs. 2 lit. a) DSGVOLöschfrist: Trainingsdaten aus neurokognitiven Modulen über HASOMED werden entsprechend gesetzlicher Vorgaben (z. B. §10 MBO-Ä) bis zu 10 Jahre gespeichert.

Weitere Informationen: Hasomed Datenschutzerklärung

III. Vertrieb, CRM und Marketing

Für Vertriebs- und Marketingmaßnahmen sowie die Verwaltung von Kundenbeziehungen nutzen wir ausgewählte Tools, mit denen jeweils DSGVO-konforme Auftragsverarbeitungsverträge bestehen. Die Verarbeitung erfolgt dabei in pseudonymisierter Form, ausschließlich innerhalb der Europäischen Union und auf zertifizierten Systemen.

1. Tableau / Salesforce

Zweck der Verarbeitung: Vertrieb, Kundenmanagement und Marketinganalyse

Anbieter: Salesforce.com Germany GmbH, Erika-Mann-Straße 31–37, 80636 München (Muttergesellschaft: Salesforce Inc., USA)

Serverstandort: Frankfurt, Deutschland (EU Data Region)

Verarbeitungsrahmen:

  • Verarbeitung pseudonymisierter Nutzer-, Vertrags- und Marketingdaten
  • Customer Key Management aktiv
    Keine Übermittlung personenbezogener Daten außerhalb der EU
  • ISO 27001, ISO 27017, ISO 27018 sowie SOC 1–3 zertifiziert

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) sowie lit. f) und ggf. Art. 9 Abs. 2 lit. a) DSGVO

Löschfrist: Zur Vertriebs- und Marketinganalyse sowie CRM-Zwecken werden pseudonymisierte Daten verarbeitet und nach Vertragsende oder Widerruf gelöscht. i.Ü. gilt: Nach Widerruf oder regulärem Therapieende werden personenbezogene Daten nicht sofort gelöscht, sondern unter Berücksichtigung gesetzlicher Aufbewahrungsfristen in pseudonymisierter oder archivierter Form gespeichert.

Weitere Informationen: Salesforce Compliance Center

2. Firebase

Zweck der Verarbeitung: Bereitstellung, Hosting und technische Analyse

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Serverstandort: Europäische Union

Verarbeitungsrahmen:

  • Analyse von technischen Nutzungsdaten und App-Performance
  • Keine Drittstaatenverarbeitung durch vertragliche Beschränkung
    Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO vorhanden

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an Systemstabilität und -auswertung)

Löschfrist: Die Löschung erfolgt spätestens 90–180 Tage nach Anweisung durch die GOREHA GmbH.

Weitere Informationen: Firebase Datenschutzerklärung,Google Privacy Policy,Firebase Data Processing and Security Terms

E. Hosting & Datensicherheit

Ihre personenbezogenen Daten werden ausschließlich auf Servern in der EU (insbesondere Deutschland) verarbeitet. Modernste Verschlüsselungsverfahren (z. B. TLS 1.2 für Übertragungswege, Verschlüsselung at rest mit Kundenschlüsselverwaltung) und rollenbasierte Zugriffsbeschränkungen schützen Ihre Daten. Alle Mitarbeitenden sowie Auftragsverarbeiter und Dienstleister sind auf Vertraulichkeit verpflichtet. 

Die GOREHA GmbH und sämtliche Kern-Dienstleister sind nach ISO 27001 zertifiziert.

Jede Übermittlung von Daten an ein Drittland erfolgt unter Beachtung des anwendbaren Datenschutzrechts. Die Übermittlung erfolgt ausschließlich in Drittländer, für die ein Angemessenheitsbeschluss der Europäischen Kommission besteht. Sofern noch vereinzelt (pseudonymisierte Meta-)Daten in die Vereinigten Staaten von Amerika übermittelt werden sollten, basiert das derzeit auf dem wirksamen Data Privacy Framework zwischen der EU-Kommission und den USA sowie der Listung des Anbieters unter diesem Abkommen (https://www.dataprivacyframework.gov/list). Alle Anbieter mit Mutterkonzern in den USA, sind unabhängig davon, ob noch eine Datenübertragung stattfindet, unter dem Data Privacy Framework gelistet. Bei allen Anbietern mit Sitz des Mutterkonzerns in den Vereinigten Staaten wurde als Serverstandort bzw. Datenregion Deutschland/EU eingestellt und vertraglich zugesichert, dass die Daten diesen Raum nicht ohne Zustimmung verlassen, so dass derzeit eine Verarbeitung in den USA nicht stattfindet. Auch eine Verarbeitung in weiteren Drittländern findet derzeit nicht statt.

F. Rechte der betroffenen Personen

Sie haben jederzeit das Recht auf:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte genügt eine E-Mail an Datenschutz@goreha.com oder ein Antrag über die App.

Sie können sich bei einer Datenschutzaufsichtsbehörde Ihrer Wahl beschweren.

Im Rahmen unseres Angebots erfolgt keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO.

G. Allgemeine Informationen zu Speicherung & Löschung

Sofern Nutzer:innen ausdrücklich in die Verarbeitung ihrer (auch besonderen) personenbezogenen Daten eingewilligt haben, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a) DSGVO bzw. Art. 9 Abs. 2 lit. a) DSGVO. Die Datenverarbeitung findet nur so lange statt, wie die Einwilligung nicht widerrufen wurde und keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

Ein Widerruf der Einwilligung ist jederzeit mit Wirkung für die Zukunft möglich. In diesem Fall kann die weitere Nutzung der Caspar Health App – insbesondere im Rahmen der Tele-Reha-Nachsorge – gegebenenfalls nicht mehr erfolgen. Vor einem solchen Ausschluss wird der/die Nutzer:in transparent informiert.

I. Gesetzliche Aufbewahrungsfristen

Nach Widerruf oder regulärem Therapieende werden personenbezogene Daten nicht sofort gelöscht, sondern unter Berücksichtigung gesetzlicher Aufbewahrungsfristen in pseudonymisierter oder archivierter Form gespeichert. Folgende Rechtsgrundlagen sind insbesondere relevant:

  • § 238 Abs. 2 HGB: bis zu 10 Jahre für Abrechnungsunterlagen gegenüber medizinischen Einrichtungen (z. B. Modulübersichten, KTL-Reports)
  • § 147 Abs. 1 Nr. 2, Abs. 2 AO: bis zu 6 Jahre für steuerrechtlich relevante Unterlagen
  • § 14 UStG: bis zu 6 Jahre für umsatzsteuerliche Nachweise
  • Art. 17 Abs. 3 lit. e DSGVO: bis zu 5 Jahre zur Verteidigung oder Geltendmachung rechtlicher Ansprüche
  • § 10 Abs. 3 MBO-Ä: bis zu 10 Jahre für die interne Behandlungsdokumentation der ärztlichen oder therapeutischen Fachkräfte

Der Beginn der jeweiligen Fristen richtet sich nach den zugrunde liegenden gesetzlichen Vorschriften.

II. Löschungskonzept und technische Umsetzung

Die Goreha GmbH verfügt über ein detailliertes und dokumentiertes Löschkonzept. Dieses legt fest, welche Daten wann, durch wen und auf welchem technischen Weg gelöscht werden. Auch externe Auftragsverarbeiter sind vertraglich zur Umsetzung dieser Löschvorgaben verpflichtet. Die Löschung erfolgt innerhalb von 90 bis 180 Tagen nach Anweisung durch Goreha.

Alternativ zur vollständigen Löschung können Nutzer:innen auch in die Anonymisierung ihrer Daten einwilligen. Diese erfolgt gemäß dem Praxisleitfaden der Stiftung Datenschutz und dient primär der sicheren Datenlöschung. Anonymisierte Daten können – nach ausdrücklicher Einwilligung – sekundär zur Verbesserung der Tele-Reha-Nachsorge verwendet werden.

III. Konto- und Datenlöschung durch Nutzer:innen

Die Deinstallation der App führt nicht automatisch zur Löschung personenbezogener Daten. Nutzer:innen können ihr Konto jedoch selbstständig im persönlichen Bereich der App löschen. In diesem Fall wird das Konto gesperrt und die Daten unter Einhaltung gesetzlicher Fristen aufbewahrt. Auch ein Datenexport ist möglich. Personenbezogene Daten, die bei medizinischen Einrichtungen gespeichert sind, unterliegen deren eigener Verantwortung und Löschpraxis.

Anfragen zur Löschung, Einschränkung oder Übertragung personenbezogener Daten können per E-Mail an datenschutz@caspar-health.com gerichtet werden.

H. Informationen zu zentralen Begriffen

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, Gesundheitsdaten, E-Mail, IP-Adresse etc.)
  • Gesundheitsdaten: Daten über den Gesundheitszustand, medizinische Dokumentation oder Therapieverlauf (werden nur mit ausdrücklicher Einwilligung verarbeitet)
  • Verantwortlicher: Diejenige Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet
  • Auftragsverarbeiter: Dienstleister, die im Auftrag und nach Weisung des Verantwortlichen tätig werden
  • IP-Adresse/Gerätekennung: Technische Angaben zur eindeutigen systemseitigen Zuordnung; Speicherung auf das technisch erforderliche Maß begrenzt und regelmäßig gelöscht

I. Datenschutz-Folgenabschätzung

Für Verarbeitungsvorgänge mit erhöhtem Risiko, insbesondere bei Gesundheitsdaten, haben wir eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt und regelmäßig aktualisiert. Diese umfasst Risiken und Schutzmaßnahmen, u. a. Privacy by Design/Default, strikte Zugriffs-, Verschlüsselungs- und Löschkonzepte, technische und organisatorische Maßnahmen sowie regelmäßige Kontrolle und Anpassung der Prozesse.

J. Kontakt- & Supportverwaltung

Anfragen über die App, per E-Mail, Telefon oder In-App-Chat werden ausschließlich zur Bearbeitung Ihres konkreten Anliegens verarbeitet und nach abschließender Erledigung sowie Ablauf etwaiger gesetzlicher Vorhaltepflichten gelöscht. Sie können Ihre Einwilligung oder die Verarbeitung Ihrer Kontakt-/Supportdaten jederzeit widerrufen oder der weiteren Verarbeitung widersprechen.

Rechtsgrundlagen:

  • Allgemeine Anfragen: Art. 6 Abs. 1 lit. f DSGVO
  • Vertragliche Beziehungen: Art. 6 Abs. 1 lit. b DSGVO
  • Gesundheitsinformationen: Art. 9 Abs. 2 lit. a DSGVO

Löschfrist: In der Regel spätestens 12 Monate nach abschließendem Kontakt, sofern keine längeren Aufbewahrungspflichten bestehen.

K. Fragen zum Datenschutz

Bei allen Fragen und Anliegen zum Datenschutz, zur Ausübung Ihrer Betroffenenrechte oder zur Wahrnehmung aller hier beschriebenen Optionen wenden Sie sich bitte an:

GOREHA GmbH
Neue Schönhauser Str. 20
10178 Berlin
E-Mail: Datenschutz@goreha.com

Unseren Datenschutzbeauftragten erreichen Sie unter: Datenschutz@goreha.com

L. Änderungen dieser Hinweise

Durch technische Weiterentwicklung unseres Angebots oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann eine Anpassung dieser Hinweise erforderlich werden. Die jeweils aktuelle Fassung finden Sie stets in der App. Frühere Versionen können Sie jederzeit bei uns anfordern.

Sollten sich einzelne Passagen auf bestimmte Nutzergruppen (z. B. Patient:in, Therapeut:in, medizinische Einrichtung oder andere Nutzer:innen) beziehen, weisen wir im Rahmen der App/Nutzung spezifisch darauf hin.

Caspar Health ist ein Unternehmen der GOREHA GmbH

Zur besseren Lesbarkeit verwenden wir das generische Maskulinum. Dabei sind immer alle Geschlechter und Identitäten mitgemeint.
Öffnungszeiten
Mo - Fr von 8 bis 17 Uhr
Kontakt aufnehmen
patientenbetreuung@caspar-clinic.de
+49 (30) 12 08 2976
Standort
Neue Schönhauser Str. 20.
10178 Berlin

Kliniklösungen

BusinessÄrzteTherapeutenCombined Care

Patienten

Warum ist Nachsorge wichtig?Vorteile der digitalen NachsorgeWas macht Caspar besonders?Formen der NachsorgeAblauf der NachsorgeWelche Nachsorge passt zu mir?

Caspar Clinic

Die Caspar ClinicCaspar Clinic TeamCaspar Clinic AngebotBrauche ich eine Reha?

Prävention

Warum PräventionPräventionsprogrammePrävention mit CasparPrävention QuizPrävention FAQs

Über uns

Vision & MissionUnsere GeschichteUnser ManagementKarriere

Ressources

StudienBlogPresse & MedienB2B WebinarsFAQsKontakt
© 2025 Caspar Health. All rights reserved.
AGBImpressumDatenschutzDatenschutz App