Datenschutzerklärung
1 · Verantwortliche Stelle
Verantwortlich für die Datenverarbeitung auf dieser Website ist:
Sebastian Krummenacher, ifspraxis — Heilpraktiker für Psychotherapie
Musterstrasse 12
78462 Konstanz, Deutschland
E-Mail: datenschutz@ifspraxis.de
2 · Hosting
Diese Website wird bei einem Dienstleister in der Europäischen Union gehostet (Vercel, EU-Region). Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, der die datenschutzkonforme Verarbeitung sicherstellt.
3 · Server-Log-Dateien
Beim Aufruf der Website erhebt der Hosting-Anbieter automatisch technische Zugriffsdaten in sogenannten Server-Log-Dateien (z. B. IP-Adresse, verwendeter Browser, Betriebssystem, Datum und Uhrzeit des Zugriffs). Rechtsgrundlage ist das berechtigte Interesse an einem sicheren und stabilen Betrieb nach Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden nur kurzzeitig gespeichert und nicht mit anderen Datenquellen zusammengeführt.
4 · Cookies & lokale Speicherung
Es werden ausschließlich technisch notwendige Cookies bzw. Einträge im lokalen Speicher Ihres Browsers gesetzt, die für den Betrieb der Website und für „Mein Bereich" erforderlich sind. Ein Tracking oder eine Analyse Ihres Verhaltens findet ohne Ihre ausdrückliche Einwilligung nicht statt.
5 · Kontaktformular & Anfragen per E-Mail
Wenn Sie mir über das Kontaktformular oder per E-Mail eine Anfrage zukommen lassen, verarbeite ich die von Ihnen mitgeteilten Daten ausschließlich zur Bearbeitung Ihres Anliegens und für mögliche Anschlussfragen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertrags) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage).
6 · Terminbuchung & „Mein Bereich"
Im Rahmen von Terminbuchung, „Mein Bereich" und Abrechnung verarbeite ich Name, E-Mail-Adresse, Telefonnummer, Rechnungsanschrift sowie Ihre Terminangaben — ausschließlich zur Durchführung der Behandlung und der damit verbundenen Abrechnung. Da es sich um Gesundheitsdaten handelt, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. b und Art. 9 Abs. 2 lit. h DSGVO. Die Bereitstellung dieser Daten ist für den Abschluss und die Durchführung des Behandlungsvertrags erforderlich; ohne sie können Buchung und Behandlung nicht erfolgen (Art. 13 Abs. 2 lit. e DSGVO).
7 · Gesundheitsdaten & Schweigepflicht
Im Rahmen der heilkundlichen Psychotherapie werden Gesundheitsdaten im Sinne des Art. 9 DSGVO verarbeitet — insbesondere Anamnese, Behandlungsdokumentation und behandlungsbezogene Korrespondenz. Rechtsgrundlage ist Ihre ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), zusätzlich gestützt auf Art. 9 Abs. 2 lit. h DSGVO (Bereitstellung der Heilbehandlung).
Der Behandelnde unterliegt einer datenschutzrechtlichen (Art. 5 Abs. 1 lit. f, Art. 9 DSGVO) und einer vertraglichen Verschwiegenheitspflicht aus dem Behandlungsvertrag (§§ 630a, 241 Abs. 2 BGB). Externe Dienstleister werden ausschließlich über Auftragsverarbeitungsverträge eingebunden, die zur Vertraulichkeit verpflichten (Art. 28 Abs. 3 lit. b DSGVO).
Die Behandlungsdokumentation wird gemäß § 630f Abs. 3 BGB zehn Jahre nach Abschluss der Behandlung aufbewahrt und anschließend gelöscht.
8 · Videosprechstunde
Sitzungen finden in der Regel als Videosprechstunde über Zoom (Zoom Communications, Inc.) statt — konfiguriert mit EU-Rechenzentrums-Routing und Healthcare-Zusatzvereinbarung (BAA mit Vertraulichkeitsklausel); Cloud-Aufzeichnung ist deaktiviert. Die Inhalte unterliegen der Schweigepflicht; eine Aufzeichnung erfolgt nicht ohne Ihre gesonderte, ausdrückliche Einwilligung. Da hierbei Gesundheitsdaten verarbeitet werden, stützt sich die Verarbeitung auf Art. 9 Abs. 2 lit. h DSGVO; für die Übermittlung in Drittstaaten gilt Ziffer 12.
9 · KI-gestützte Behandlungsdokumentation (optional, opt-in)
Mit Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) können Sitzungen zur Erleichterung der Dokumentationspflicht (§ 630f BGB) tonlich aufgezeichnet und mittels lokal auf eigener Hardware des Behandelnden betriebener Spracherkennungs- und Zusammenfassungssysteme zu einem Dokumentationsentwurf verarbeitet werden. Dabei gilt:
- Die Verarbeitung erfolgt ausschließlich auf eigener Hardware des Behandelnden; es findet kein Transfer an externe Cloud- oder KI-Dienste statt.
- Tonaufnahme und Transkript werden nach Prüfung und Finalisierung der Dokumentation gelöscht; aufbewahrt wird ausschließlich die finale Behandlungsdokumentation.
- Die Einwilligung ist freiwillig und jederzeit widerruflich; Standard ist „keine Aufzeichnung". Details regelt die gesonderte Einwilligung zur Online-Behandlung und KI-gestützten Dokumentation.
10 · Schriftarten (Web Fonts)
Diese Website verwendet ausschließlich lokal bzw. selbst gehostete Schriftarten. Beim Aufruf der Seite wird daher keine Verbindung zu Servern Dritter (etwa Google Fonts) aufgebaut, und es werden keine Daten an Dritte übertragen.
11 · Auftragsverarbeiter und Empfänger
Folgende externe Dienstleister sind als Auftragsverarbeiter (Art. 28 DSGVO) eingebunden. Mit allen besteht ein Auftragsverarbeitungsvertrag, der die Anbieter zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).
| Kategorie | Anbieter | Sitz / Verarbeitungsort | Zweck |
|---|---|---|---|
| Hosting / CDN | Vercel Inc. (EU Region, Frankfurt) | EU | Bereitstellung der Website |
| Datenbank | Supabase Inc. (Projekt EU Frankfurt) | EU | Datenhaltung (Account-, Termin-, Einwilligungs-Daten; Behandlungsdokumentation ausschließlich client-seitig E2EE-verschlüsselt) |
| Mail + Kalender + Kontakte | Microsoft Ireland Operations Ltd (Microsoft 365 Business Basic; Standard-Online-Services-DPA + EU Data Boundary) | EU | Mail an @ifspraxis.de-Adressen + Kalender + Kontaktverwaltung |
| Video-Sitzungen | Zoom Communications, Inc. (EU Data Center Routing, Healthcare-Zusatzvereinbarung / BAA, Cloud-Aufzeichnung deaktiviert) | EU (Verarbeitung) | Durchführung Video-Sitzungen |
| Transaktionale E-Mail | Resend, Inc. (EU-Region) | EU | Systemnachrichten (Bestätigungen, Account-E-Mails) |
| Zahlungsabwicklung / Buchhaltung | keine externe Buchhaltungs-Software — Rechnungen entstehen im eigenen System (Supabase, EU); kontoführende Bank | EU/DE | Honorarabrechnung, Buchhaltung (EÜR) |
| Finale Dokumentenablage | luckycloud GmbH (Berlin, Deutschland; Zero-Knowledge-Architektur mit Triple-Encryption) | DE | Verschlüsselte Langzeitablage der finalen Behandlungsdokumentation (10 Jahre nach § 630f Abs. 3 BGB) |
Gesundheitsdaten werden ausschließlich an Empfänger weitergegeben, die einer vertraglichen Verschwiegenheitsverpflichtung nach Art. 28 Abs. 3 lit. b DSGVO unterliegen, oder an Stellen, denen gegenüber eine gesetzliche Auskunftspflicht besteht.
12 · Grenzüberschreitende Datenverarbeitung
Die Verarbeitung erfolgt grundsätzlich in der EU bzw. in Drittstaaten mit Angemessenheitsbeschluss nach Art. 45 DSGVO. Soweit ein Anbieter mit Sitz in den USA eingesetzt wird, verarbeitet dieser über EU-Rechenzentren und ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend greifen die EU-Standardvertragsklauseln. Der Behandelnde arbeitet regelmäßig von seinem Arbeitsort in der Schweiz aus; für diese Verarbeitung sowie für allfällige Schweizer Auftragsverarbeiter greift der Angemessenheitsbeschluss der EU-Kommission für die Schweiz (Art. 45 DSGVO). Transfers in Drittstaaten ohne Angemessenheitsbeschluss finden nicht statt.
13 · Speicherdauer
Soweit hier keine speziellere Dauer genannt ist, verbleiben Ihre Daten bei mir, bis der Zweck der Verarbeitung entfällt. Behandlungsunterlagen werden gemäß den gesetzlichen Aufbewahrungsfristen (insbesondere 10 Jahre nach § 630f Abs. 3 BGB) gespeichert und danach gelöscht.
14 · Ihre Rechte
Sie haben jederzeit das Recht auf Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO, für die Behandlungsdokumentation zusätzlich § 630g BGB) sowie auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Erteilte Einwilligungen können Sie mit Wirkung für die Zukunft widerrufen. Zur Ausübung genügt eine formlose Mitteilung an die oben genannte Kontaktadresse.
Darüber hinaus steht Ihnen ein Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde zu. Für den Praxis-Sitz in Konstanz ist dies der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Königstraße 10a, 70173 Stuttgart.
15 · Datensicherheit & Verschlüsselung
Der Behandelnde trifft technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Diese Website nutzt zum Schutz der Übertragung vertraulicher Inhalte eine SSL-/TLS-Verschlüsselung, erkennbar am „https://" und am Schloss-Symbol in der Adresszeile Ihres Browsers.
16 · Widerspruch gegen Werbe-E-Mails
Der Nutzung der im Impressum veröffentlichten Kontaktdaten zur Übersendung nicht ausdrücklich angeforderter Werbung wird widersprochen. Ich behalte mir rechtliche Schritte im Fall unverlangter Werbe-E-Mails (Spam) ausdrücklich vor.
17 · Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung wird bei Bedarf aktualisiert. Die jeweils geltende Fassung ist dauerhaft über die Website abrufbar.
Stand: Juli 2026