Datenschutzerklärung

1. Verantwortlicher

2. Erhebung und Verarbeitung personenbezogener Daten

2.1 Daten bei der Registrierung

Bei der Registrierung als Anbieter auf unserer Plattform erheben wir folgende Daten:

• Titel, Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer
• Fachrichtung und ÖÄK-/ÖZÄK-Arztnummer
• Ordinationsadresse (Straße, PLZ, Ort)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

2.1a Dokumente zur Verifizierung

Zur Überprüfung Ihrer Berechtigung laden Sie im Rahmen der Registrierung folgende Dokumente hoch:

• ÖÄK-Arztausweis oder Bestätigung der Ärztekammer
• Ordinationsbewilligung oder Bestätigung der Bezirksverwaltungsbehörde
• Lichtbildausweis (Reisepass oder Personalausweis)

Die hochgeladenen Dokumente werden verschlüsselt gespeichert und ausschließlich zum Zweck der Identitäts- und Berufsberechtigungsprüfung verwendet. Nach erfolgreicher Verifizierung werden die Dokumente spätestens nach 90 Tagen gelöscht. Bei Ablehnung der Registrierung erfolgt die Löschung unverzüglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung von Missbrauch)

2.2 Daten bei der Nutzung der Plattform

Bei der Nutzung unserer Plattform verarbeiten wir:

• Profilinformationen und Praxisdaten
• Termindaten und Buchungsinformationen
• Kommunikationsdaten (E-Mails, Nachrichten)
• Nutzungsdaten und Protokolldaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

2.3 Technische Daten

Bei jedem Zugriff auf unsere Plattform werden automatisch folgende Daten erfasst:

• IP-Adresse (anonymisiert)
• Datum und Uhrzeit des Zugriffs
• Browsertyp und -version
• Betriebssystem
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Optimierung der Plattform)

3. Verarbeitung von Gesundheitsdaten

3.1 Rolle von ExploreYourDoc

ExploreYourDoc verarbeitet Patientendaten (einschließlich Gesundheitsdaten) ausschließlich als Auftragsverarbeiter im Auftrag der registrierten medizinischen Einrichtungen (Verantwortliche). Die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung liegt beim jeweiligen Anbieter.

3.2 Elektronische Patientenakte (EPA)

Im Rahmen der elektronischen Patientenakte werden folgende Datenkategorien verarbeitet:

• Stammdaten: Name, Geburtsdatum, Adresse, Kontaktdaten, Sozialversicherungsnummer
• Versicherungsdaten: Krankenversicherung, Versicherungsnummer, Versicherungsstatus
• Medizinische Daten: Diagnosen (ICD-Codes), Anamnese, Befunde, Behandlungsverläufe
• Dokumentation: Arztbriefe, Laborergebnisse, Bilddateien (Röntgen, etc.)
• Verschreibungen: Medikamente, Dosierungen, Verschreibungshistorie
• Abrechnungsdaten: Leistungen, Honorare, Zahlungshistorie

Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) in Verbindung mit § 51 ÄrzteG (Dokumentationspflicht)

Speicherdauer: Gemäß § 51 ÄrzteG mindestens 10 Jahre nach der letzten Behandlung. Bei bestimmten Behandlungen (z.B. Strahlentherapie) gelten längere Fristen von bis zu 30 Jahren.

3.3 E-Card-Daten

Bei der E-Card-Abfrage werden folgende Daten verarbeitet:

• Sozialversicherungsnummer (SVNR)
• Versicherungsstatus und -art
• Anspruchsberechtigung
• Rezeptgebührenbefreiung
• Abfragezeitpunkt und -ergebnis

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) in Verbindung mit den Bestimmungen des ASVG

Hinweis: ExploreYourDoc speichert keine E-Card-Daten dauerhaft, sondern leitet diese lediglich an die Systeme der Sozialversicherung weiter. Die Protokollierung der Abfragen erfolgt gemäß den gesetzlichen Vorgaben.

3.4 Auftragsverarbeitung

Mit allen Anbietern, die Patientendaten über unsere Plattform verarbeiten, schließen wir eine Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO ab. Diese regelt:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Kategorien betroffener Personen
• Rechte und Pflichten des Verantwortlichen
• Technische und organisatorische Maßnahmen
• Einsatz von Unterauftragsverarbeitern

3.5 Technische und organisatorische Maßnahmen

Zum Schutz von Gesundheitsdaten setzen wir folgende Maßnahmen ein:

• Verschlüsselung der Datenübertragung (TLS 1.3)
• Verschlüsselung der gespeicherten Daten (AES-256)
• Zwei-Faktor-Authentifizierung für privilegierte Benutzerrollen (Inhaber, Manager, Ärzte)
• Rollenbasierte Zugriffskontrolle
• Vollständige Protokollierung aller Datenzugriffe (Audit-Log)
• Automatische Session-Timeouts
• Hosting ausschließlich in EU-Rechenzentren (ISO 27001, SOC 2 zertifiziert)
• Georedundante Backups mit täglicher Sicherung

4. Einsatz von Drittanbietern

4.1 Stripe (Zahlungsabwicklung)

4.2 SendGrid (E-Mail-Versand)

4.3 Twilio (SMS-Benachrichtigungen)

4.4 E-Card-System

4.5 Hosting und Infrastruktur

5. Cookies und Tracking

5.1 Notwendige Cookies

Wir verwenden technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind:

• Session-Cookies für die Authentifizierung (Access-Token, Refresh-Token)
• Geräteerkennungs-Cookie zur Sitzungsverwaltung (deviceId, 1 Jahr)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

5.2 Vercel Analytics

Wir verwenden Vercel Analytics (Vercel Inc., USA) zur Analyse der Nutzung unserer Plattform. Vercel Analytics erfasst anonymisierte Nutzungsdaten wie Seitenaufrufe, Besuchsdauer und verwendete Gerätetypen. Es werden dabei keine Cookies gesetzt und keine personenbezogenen Daten (wie IP-Adressen) gespeichert oder an Dritte weitergegeben. Die Daten werden ausschließlich in aggregierter Form verarbeitet und lassen keinen Rückschluss auf einzelne Personen zu.

Weitere Informationen finden Sie in der Datenschutzerklärung von Vercel unter vercel.com/legal/privacy-policy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)

6. Ihre Rechte

Ihnen stehen grundsätzlich die folgenden Rechte zu:

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: privacy@exploreyourdoc.com

7. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten vor unberechtigtem Zugriff, Verlust oder Zerstörung zu schützen:

• SSL/TLS-Verschlüsselung aller Datenübertragungen
• Verschlüsselte Datenspeicherung
• Zwei-Faktor-Authentifizierung
• Regelmäßige Sicherheitsupdates
• Zugriffskontrolle nach dem Prinzip der minimalen Berechtigung

8. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Erfüllung der Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:

• Vertragsdaten: 7 Jahre nach Vertragsende (steuerliche Aufbewahrungspflichten)
• Rechnungsdaten: 7 Jahre (§ 132 BAO)
• Nutzerkonto: Bis zur Löschung durch den Nutzer oder Vertragsende
• Protokolldaten: 12 Monate
• Verifizierungsdokumente: Spätestens 90 Tage nach erfolgreicher Verifizierung; bei Ablehnung unverzüglich

Nach Ablauf der Speicherfrist werden die Daten gelöscht oder anonymisiert.

9. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR erfolgt nur, wenn:

• ein Angemessenheitsbeschluss der EU-Kommission vorliegt
• Standardvertragsklauseln (SCCs) abgeschlossen wurden
• andere geeignete Garantien gemäß Art. 46 DSGVO bestehen

Bei der Nutzung von US-amerikanischen Dienstleistern (Twilio/SendGrid, Stripe, Vercel) verwenden wir die von der EU-Kommission genehmigten Standardvertragsklauseln sowie das EU-US Data Privacy Framework als Grundlage für die Datenübermittlung.

10. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen werden wir Sie gesondert informieren.

Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an: