🚀 Rezi24 geht am 01.01.2026 Live
Kontakt

Datenschutzerklärung – Rezi24
(Online-Rezeption & Arzt-Dashboard)

Einleitung und Transparenz

Diese Datenschutzerklärung wurde auf Basis des mit Ihrem Entwicklerteam ausgefüllten Datenschutzfragebogens und der geltenden Datenschutzgesetze (insbesondere DSGVO und TTDSG) erstellt. Sie richtet sich gleichermaßen an Patient:innen, die über die Online-Rezeption „Rezi24“ Termine buchen oder Anliegen übermitteln, wie auch an Ärzt:innen und Praxismitarbeiter:innen, die das Rezi24-Dashboard nutzen. Außerdem berücksichtigt sie den administrativen Zugriff durch den Rezi24-Support (Superadmin-Zugriff) sowie die Einbindung von Drittanbietern (SendGrid/Twilio, Stripe, AWS, Cloudflare) .

Im Sinne größtmöglicher Transparenz ist die Erklärung ausführlich gehalten. Bitte lesen Sie sie vollständig, um zu verstehen, welche Daten wir für welchen Zweck verarbeiten, auf welcher Rechtsgrundlage dies erfolgt und welche Rechte Sie haben.

Wir, die Rezi24 GmbH, Hackländerweg 27, 14089 Berlin, nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Unsere Online-Plattform dient als digitale Rezeption zur Entlastung von Arzt- und Zahnarztpraxen, indem Patient:innen online Termine buchen, Versicherungsangaben machen oder Anfragen stellen können. Wir verarbeiten Ihre personenbezogenen Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DS-GVO) sowie den geltenden nationalen Datenschutzgesetzen.

Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir erheben, zu welchen Zwecken sie genutzt werden und welche Rechte Ihnen als betroffene Person zustehen. Unser Ziel ist es, eine transparente, sichere und DSGVO-konforme Verarbeitung Ihrer Daten zu gewährleisten.

Gesetzliche Grundlagen und Grundsätze der Datenverarbeitung

Rezi24 verarbeitet personenbezogene Daten auf Basis mehrerer deutscher und europäischer Rechtsvorschriften. Neben der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) gilt seit Dezember 2021 in Deutschland auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Dieses Gesetz verpflichtet Telemedien-Anbieter, die Vertraulichkeit der Kommunikation zu wahren und den Zugriff auf oder die Speicherung von Informationen auf Endgeräten nur mit vorheriger und ausdrücklicher Einwilligung der Nutzer:innen zuzulassen – es sei denn, die Speicherung erfolgt ausschließlich zur Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz oder ist zwingend erforderlich, um einen vom Nutzer angeforderten Dienst bereitzustellen .

Rezi24 hält sich strikt an diese Vorgaben: es kommen ausschließlich technisch notwendige Local-Storage-Einträge zum Einsatz (siehe Abschnitt 2.3). Tracking- oder Marketing-Cookies, die eine Einwilligung nach TTDSG erfordern, werden nicht verwendet. Darüber hinaus orientieren wir uns am Bundesdatenschutzgesetz (BDSG) als nationaler Ergänzung der DSGVO und beachten die spezialgesetzlichen Regelungen des Telemediengesetzes (TMG) und des Bürgerlichen Gesetzbuchs (BGB), soweit diese für elektronische Kommunikationsdienste relevant sind.

Verstöße gegen das TTDSG können nach § 28 TTDSG mit empfindlichen Bußgeldern belegt werden. Je nach Schwere des Verstoßes kann das Bußgeld bis zu 300 000 € betragen . Diese hohen gesetzlichen Sanktionen unterstreichen die Wichtigkeit, bei der Speicherung von Cookies und anderen Endgeräteinformationen stets die gesetzlichen Vorgaben einzuhalten. Rezi24 hat ein starkes Compliance-Konzept implementiert, das sicherstellt, dass alle Verarbeitungsvorgänge einer intensiven Datenschutz-Prüfung unterzogen werden, bevor sie live gehen.

Die Datenverarbeitung folgt darüber hinaus den Grundsätzen der DSGVO:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Personenbezogene Daten werden nur auf einer gültigen Rechtsgrundlage verarbeitet; Betroffene werden über Zwecke und Rechte informiert.
  • Zweckbindung: Daten werden ausschließlich zu den in dieser Erklärung genannten Zwecken verarbeitet und nicht mit anderen Daten zusammengeführt.
  • Datenminimierung: Es werden nur solche Daten erhoben, die für den jeweiligen Zweck erforderlich sind.
  • Richtigkeit: Rezi24 trifft Maßnahmen, um die Daten aktuell und korrekt zu halten; Patient:innen und Ärzt:innen können fehlerhafte Angaben berichtigen.
  • Speicherbegrenzung: Daten werden nur so lange gespeichert, wie dies für den Zweck erforderlich oder gesetzlich vorgeschrieben ist.
  • Integrität und Vertraulichkeit: Es werden angemessene technische und organisatorische Maßnahmen getroffen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen (siehe Abschnitt 6).
  • Rechenschaftspflicht: Rezi24 dokumentiert die Einhaltung der Datenschutzprinzipien und kann diese gegenüber der Praxis und den Behörden nachweisen.

A. Allgemeine Informationen

Begriffsbestimmungen

Um die folgende Datenschutzerklärung verständlich zu machen, orientieren wir uns an den Definitionen aus Art. 4 DS-GVO. Dazu gehören insbesondere:

  • Personenbezogene Daten (Art. 4 Nr. 1 DS-GVO): Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, z.B. Name, E-Mail-Adresse, Telefonnummer.
  • Verarbeitung (Art. 4 Nr. 2 DS-GVO): Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten, wie Erhebung, Speicherung, Verwendung, Übermittlung oder Löschung.
  • Verantwortlicher (Art. 4 Nr. 7 DS-GVO): Die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet (bei Rezi24 die jeweilige Praxis bzw. für Arztdaten Rezi24).
  • Auftragsverarbeiter (Art. 4 Nr. 8 DS-GVO): Dritte, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten (Rezi24 agiert für Patientendaten als Auftragsverarbeiter der Praxis).
  • Einwilligung (Art. 4 Nr. 11 DS-GVO): Eine freiwillige, informierte und unmissverständliche Willensbekundung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten.

Name und Anschrift des Verantwortlichen

Verantwortlich für die Datenverarbeitung im Sinne der DS-GVO (soweit nicht die Praxis Verantwortlicher ist, siehe Abschnitt 1.1) ist:

Rezi24 GmbH
Hackländerweg 27
14089 Berlin
Deutschland

Kontaktdaten des Datenschutzbeauftragten

Bei Fragen zum Datenschutz können Sie sich jederzeit an unsere/unseren Datenschutzbeauftragten wenden. Die Kontaktdaten lauten:

Rezi24 GmbH – Datenschutzbeauftragter*
Hackländerweg 27
14089 Berlin
E-Mail: [email protected]
Telefon: 0152 02875436

Der/die Datenschutzbeauftragte*r überwacht die Einhaltung der Datenschutzvorschriften, berät Rezi24 und ist Ansprechperson für Betroffene und Behörden.

Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung personenbezogener Daten basiert auf den folgenden Rechtsgrundlagen, abhängig vom konkreten Verarbeitungsvorgang:

  • Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung): Wenn Sie uns freiwillig Angaben machen oder optionalen Funktionen zustimmen (z.B. Newsletter).
  • Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung): Wenn die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. Terminbuchung, Nutzung des Dashboards).
  • Art. 6 Abs. 1 lit. c DS-GVO (rechtliche Verpflichtung): Wenn wir gesetzlichen Pflichten unterliegen (z.B. handels- und steuerrechtliche Aufbewahrungspflichten).
  • Art. 6 Abs. 1 lit. f DS-GVO (berechtigte Interessen): Wenn die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist und Ihre Interessen oder Grundrechte nicht überwiegen (z.B. zur Sicherstellung der IT-Sicherheit, zur Betrugsprävention).
  • Art. 9 Abs. 2 lit. h DS-GVO (Gesundheitsdaten): Soweit Gesundheitsdaten verarbeitet werden, erfolgt dies im Rahmen der ärztlichen Versorgung und auf Grundlage des Art. 9 Abs. 2 lit. h DS-GVO.

Speicherung und Löschung der Daten

Ihre personenbezogenen Daten werden nur so lange gespeichert, wie dies zur Erfüllung der jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen (z.B. nach § 257 HGB oder § 147 AO). Nachdem der Verarbeitungszweck entfallen ist, werden Ihre Daten gelöscht oder anonymisiert, es sei denn, gesetzliche Vorschriften stehen dem entgegen. Weitergehende Informationen zu Aufbewahrungs- und Löschfristen finden Sie in Abschnitt 7 dieser Datenschutzerklärung.

Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DS-GVO ein, um Ihre Daten vor Manipulation, Verlust oder unbefugtem Zugriff zu schützen. Hierzu zählen insbesondere:

  • Verschlüsselung der Datenübertragung durch TLS/SSL,
  • Zugriffsbeschränkungen und Authentifizierungsmechanismen,
  • Regelmäßige Sicherheitsupdates und Audits,
  • Datenschutz-Schulungen für unsere Mitarbeitenden.

Diese Maßnahmen ergänzen die im Abschnitt 6 beschriebenen Sicherheitsvorkehrungen.

Weitergabe von Daten an Dritte

Eine Weitergabe Ihrer Daten an Dritte erfolgt nur, wenn dies zur Vertragserfüllung notwendig ist (Art. 6 Abs. 1 lit. b DS-GVO), eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DS-GVO), berechtigte Interessen dies erfordern (Art. 6 Abs. 1 lit. f DS-GVO) oder Sie ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DS-GVO). Auftragsverarbeiter sind gemäß Art. 28 DS-GVO vertraglich zur Einhaltung der Datenschutzbestimmungen verpflichtet. Details zu Drittanbietern finden Sie in Abschnitt 5.4.

Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb der EU/des EWR) findet nur statt, wenn ein angemessenes Datenschutzniveau sichergestellt ist (Art. 44 ff. DS-GVO). Sollte keine Angemessenheitsentscheidung der EU-Kommission vorliegen, setzen wir geeignete Garantien wie Standardvertragsklauseln ein. Weitere Informationen hierzu sind in Abschnitt 8 aufgeführt.

Automatisierte Entscheidungsfindung und Profiling

Rezi24 setzt keine automatisierten Entscheidungsprozesse oder Profiling-Verfahren im Sinne des Art. 22 DS-GVO ein. Es erfolgen keine Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

Ihre Rechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Widerruf einer erteilten Einwilligung. Näheres zu Ihren Rechten und deren Ausübung finden Sie in Abschnitt 9 dieser Erklärung.

1 Verantwortliche Stellen und Rollen

1.1 Patientenbezogene Daten

Praxis als Verantwortlicher: Für alle personenbezogenen Daten, die Patient:innen in die Online-Rezeption eingeben, ist die jeweilige Arzt- oder Therapiepraxis die „verantwortliche Stelle“ im Sinne des Art. 4 Nr. 7 DSGVO. Sie bestimmt, welche Daten erhoben werden (Pflicht- vs. freiwillige Angaben), wie lange sie gespeichert werden und zu welchen Zwecken (Terminbuchung, Kommunikation, Praxisorganisation) sie genutzt werden.

Rezi24 als Auftragsverarbeiter: Rezi24 agiert gegenüber der Praxis als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Wir verarbeiten Patientendaten ausschließlich nach Weisung der Praxis und nur zu den in dieser Erklärung definierten Zwecken. Eine Weitergabe an Dritte ohne Weisung der Praxis erfolgt nicht.

1.2 Arztdaten und Praxis-Konten

Rezi24 als Verantwortlicher: Für Daten, die Ärzt:innen oder Praxisadministratoren im Rahmen des eigenen Rezi24-Kontos hinterlegen (z.B. Name, E-Mail-Adresse, Praxisdaten, Abrechnungsinformationen), ist Rezi24 die verantwortliche Stelle. Diese Daten werden benötigt, um den Vertrag zu erfüllen (Bereitstellung der Software, Abrechnung von Lizenzen) und den Zugriff auf das Dashboard zu ermöglichen. Sie werden nicht an unbefugte Dritte weitergegeben und nur für den Zweck der Kontoverwaltung genutzt.

Zusätzlich werden Name, E-Mail-Adresse und Praxisdaten zusammen mit einem individuellen Authentifizierungs-Token (JWT) gespeichert. Dieses Token wird bei jedem Login neu generiert, mit modernen kryptographischen Verfahren signiert und dient als eindeutiger Schlüssel, über den sich die Ärztin oder der Arzt im System ausweist. Der Token knüpft die Praxis-Daten und Kontorechte an die jeweilige Sitzung, sodass keine statischen Zugangsdaten in der Datenbank verbleiben. Die persönlichen Daten werden ausschließlich im Rahmen dieses Tokens auf dem Server hinterlegt und im Dashboard angezeigt, um der Praxis die Verwaltung des eigenen Profils zu ermöglichen.

Die Speicherung dieser Kontodaten erfolgt verschlüsselt; sie sind nicht öffentlich sichtbar und können nur von der Praxis im eigenen Dashboard eingesehen oder geändert werden. Rezi24 verwendet die verknüpften Kontodaten nicht für Marketing- oder Profilingzwecke und gibt sie nicht an Werbenetzwerke, Analyseanbieter oder sonstige externe Partner weiter. Ein Zugriff durch Rezi24-Mitarbeitende erfolgt ausschließlich im Supportfall und nur nach Aktivierung eines OTP-Codes durch die Praxis (vgl. Abschnitt 1.3); ohne diesen Code hat der Rezi24-Support keinen Zugriff auf die Daten. - Verarbeitung in gemeinsamer Verantwortung: In Bereichen, in denen Patientendaten mit Arztdaten verknüpft werden (z.B. Zuordnung einer Anfrage zum behandelnden Arzt), erfolgt die Verarbeitung in gemeinsamer Verantwortung von Praxis und Rezi24. Diese Zusammenarbeit ist im Rahmen der Auftragsverarbeitung vertraglich geregelt.

1.3 Support und administrativer Zugriff

Rezi24-Support (Superadmin): Der interne Rezi24-Support verfügt über einen Superadmin-Zugang, der standardmäßig deaktiviert ist. Um Support leisten zu können (z.B. bei technischen Problemen), kann die Praxis einen Einmal-Code (OTP) generieren. Mit diesem Code erhält der Support zeitlich begrenzten Zugriff auf das betroffene Dashboard. Der Code ist sieben Tage gültig und verfällt sofort nach Abmeldung oder bei Generierung eines neuen Codes. Ohne gültigen Code hat der Rezi24-Support keinen Zugriff auf Daten.

Protokollierung: Zugriffe über den Superadmin-Zugang werden protokolliert. Die Praxis kann bei Bedarf Einsicht in diese Protokolle verlangen.

2 Kategorien verarbeiteter Daten

2.1 Patientenbezogene Daten

Datenkategorie Pflicht/Optional Zweck
Vorname Pflicht Identifikation und Zuordnung
des Termins
Nachname Optional Weitere Identifikation bei
Namensgleichheit
Geburtsdatum Optional Eindeutige Zuordnung bei
Namensgleichheit
Telefonnummer Pflicht Rückfragen,
Terminbestätigungen,
Erreichbarkeit
E-Mail-Adresse Pflicht Versand von Bestätigungen,
Erinnerungen und eventueller
Informationen der Praxis
Versicherungsstatus (GKV,
PKV, Selbstzahler,
unbekannt)		 Pflicht, wenn die integrierte
Terminbuchung genutzt wird;
optional bei reiner
Anfragefunktion		 Einordnung des Anliegens und
Terminrouting

Es werden keine Diagnosen, Behandlungsdaten oder freien medizinischen Beschreibungen abgefragt. Es gibt keine Dokumenten-Uploads im Patient-Frontend. Sollte eine Praxis zusätzliche Formulare einbinden, geschieht dies in eigener Verantwortung.

2.2 Arztdaten (Dashboard-Konten)

Für den Betrieb des Arzt-Dashboards erhebt Rezi24 folgende Daten:

Datenkategorie Pflicht/Optional Zweck
Name der Ärztin/des
Arztes oder der Praxis		 Pflicht Vertragsdurchführung, Identifikation des
Kontos
E-Mail-Adresse Pflicht Login, Passwort-Reset, Benachrichtigungen
Praxisdaten (Adresse,
Fachrichtung,
Kontaktinformationen)		 Pflicht zur
Programmnutzung		 Darstellung in der Online-Rezeption,
automatisierte Einträge in
Benachrichtigungen
Rechnungsdaten (falls
kostenpflichtiges Paket)		 Pflicht Abrechnung von Lizenzen
Datenkategorie Pflicht/Optional Zweck
Authentifizierungs-Token
(JWT)		 Pflicht Sichere Authentifizierung des Praxis-Kontos.
Der Token verknüpft Name, E-Mail-Adresse
und Praxisdaten mit der jeweiligen Sitzung
und wird bei jeder Anmeldung neu
generiert. Er erlaubt es der Praxis, sich
innerhalb des Dashboards zu bewegen,
ohne bei jedem Seitenwechsel neu ein
Passwort eingeben zu müssen. Der Token
wird verschlüsselt gespeichert, bei Logout
verworfen und dient nicht zu Tracking- oder
Marketingzwecken. Zugriff auf den Token
haben ausschließlich die Ärztin oder der Arzt
(im eigenen Browser) sowie Rezi24 im
Rahmen des Supports (nur mit OTP-Code).

Hinweis zum Entwicklerteam: Rezi24 arbeitet mit dem externen Entwickler Teamseven Pvt Ltd zusammen, das seinen Sitz in S66/2 DHA-2, Lahore, 54000 Pakistan hat und von CEO Muhammad Rehan Ijaz geleitet wird. Teamseven Pvt Ltd unterstützt Rezi24 bei der technischen Wartung und der Weiterentwicklung der Software. Das Unternehmen erhält ohne gesonderte Vereinbarung keinen Zugriff auf personenbezogene Daten. Jeglicher Zugriff erfolgt ausschließlich im Rahmen eines gesonderten Auftragsverarbeitungsvertrags und unterliegt strengen vertraglichen sowie technischen Schutzmaßnahmen. Teamseven Pvt Ltd unterliegt denselben Datenschutzverpflichtungen wie Rezi24. Für datenschutzrechtliche Fragen im Zusammenhang mit dem Entwicklerteam können Sie sich jederzeit an uns wenden unter [email protected].

2.3 Technische Daten & Session-Informationen

Session-/Authentifizierungs-Token: Zur Bereitstellung der Online-Rezeption werden im Browser lokale Tokens abgelegt (z.B. AuthToken , facilityObj , userdata , info , myKey ). Diese enthalten u.a. eine zufällige Kennung, Spracheinstellungen und die ausgewählte Praxis. Sie sind notwendig, um den Dienst über mehrere Schritte hinweg nutzen zu können. Sie werden im Local-Storage des jeweiligen Browsers gespeichert und können von Nutzer:innen jederzeit gelöscht werden.

Für das Arzt-Dashboard wird zusätzlich ein serverseitiges JWT verwendet, das Name, E-Mail-Adresse und Praxiszugehörigkeit mit der jeweiligen Sitzung verknüpft. Dieses Token wird ausschließlich zur Authentifizierung und Autorisierung im Dashboard verwendet. Es wird mit modernen kryptographischen Verfahren signiert und ist nur für die Ärztin bzw. den Arzt sowie für Rezi24 im Rahmen eines Supportzugriffs (mittels OTP) einsehbar. Nach Logout oder Ablauf der Sitzung wird das Token verworfen. Weder die patientenseitigen Local-Storage-Tokens noch das Dashboard-JWT werden für Tracking, Statistik oder Marketing genutzt; sie dienen allein der technischen Funktionalität und der Sicherheit der Plattform. - Inventar- und Nutzungsdaten: Das TTDSG unterscheidet zwischen Bestandsdaten (Daten, die zur Begründung oder Änderung des Vertragsverhältnisses erforderlich sind) und Nutzungsdaten (Daten über die Inanspruchnahme des Dienstes). Bestandsdaten umfassen z.B. Registrierungsdaten von Ärzt:innen. Nutzungsdaten entstehen beim Besuch der Online-Rezeption oder der Nutzung des Dashboards (z.B. Zeitpunkte, technische Parameter zur Sitzungsverwaltung). Rezi24 erhebt nur diejenigen Nutzungsdaten, die für die Bereitstellung oder Sicherheit des Dienstes erforderlich sind. Eine dauerhafte Speicherung von IP-Adressen findet nicht statt; Nutzungsdaten werden nicht für Tracking- oder Analysezwecke genutzt. - Einsatz von Cookies/Local-Storage: Rezi24 verwendet keine Cookies zur Reichweiten- oder Nutzungsanalyse. Eine Speicherung von Informationen auf dem Endgerät des Nutzers findet nur statt, wenn dies technisch erforderlich ist, um den Dienst bereitzustellen (z.B. Sprachpräferenz, ausgewählter Standort). Gemäß § 25 TTDSG ist für solche technisch notwendigen Cookies bzw. Local-Storage-Einträge keine Einwilligung erforderlich . - Keine IP-Adressspeicherung: Die IP-Adresse wird nur kurzfristig verarbeitet, um die Verbindung aufzubauen. Es erfolgt keine dauerhafte Speicherung oder Profilbildung anhand der IP. - Keine Tracking-/Analyse-Tools: Rezi24 verwendet weder Werbe-Cookies noch externe Analyse-Bibliotheken. Es findet kein Nutzertracking oder Profiling statt.

3 Zwecke der Datenverarbeitung

3.1 Patientendaten

Die Verarbeitung der von Patient:innen eingegebenen Daten erfolgt ausschließlich zu folgenden Zwecken:

  • Terminbuchung und -verwaltung: Erfassung und Übermittlung der Terminanfrage an die Praxis; Anzeige und Bearbeitung der Anfrage im Dashboard; Möglichkeit für die Praxis, Termine zu bestätigen, zu verschieben oder abzulehnen.
  • Kommunikation: Ermöglichung von Rückfragen durch die Praxis und Versand von Bestätigungs- und Erinnerungs-E-Mails (24 Stunden vor dem Termin). Für den Versand werden Dienstleister wie SendGrid eingesetzt, die personenbezogene Daten in europäischen Rechenzentren verarbeiten und Daten nur im Rahmen von Supportfällen aus der EU heraus abrufen .
  • Praxisinterne Organisation: Strukturierung der Anfragen nach Anliegen und Versicherungsstatus im Dashboard zur besseren Arbeitsabläufe innerhalb der Praxis.
  • Sicherstellung der technischen Sicherheit und Integrität: Rezi24 verarbeitet bestimmte Nutzungsdaten (z.B. Anfragetypen, Zeitstempel) auch, um Angriffe (z.B. Bots, Denial-of-Service) abzuwehren, technische Fehler zu erkennen und die Stabilität der Plattform zu gewährleisten. Diese Daten werden für Sicherheitsprotokolle verarbeitet und nicht mit Patientendaten zusammengeführt.
  • Missbrauchs- und Betrugsprävention: In seltenen Fällen kann es erforderlich sein, bestimmte Informationen (z.B. Serienmissbrauch von Terminbuchungen) zu analysieren, um Missbrauch der Plattform zu verhindern. Solche Analysen erfolgen nur auf Ebene der technischen Daten und nicht anhand medizinischer Informationen.

Die Daten werden nicht für Werbezwecke, Profiling oder automatisierte medizinische Entscheidungen genutzt.

3.2 Arztdaten

Arztdaten werden zu folgenden Zwecken verarbeitet:

  • Bereitstellung des Dashboards: Erstellung und Verwaltung des Praxis-Accounts (Login, Rollenberechtigungen, Standorte). Ein Login-Token (JWT) wird vergeben und auf Serverebene gespeichert. Die Tokens werden mit modernen kryptographischen Verfahren generiert und enthalten nur eine pseudonymisierte Kennung; sie verknüpfen Name, E-Mail-Adresse und Praxisdaten mit der jeweiligen Sitzung. Sie dienen zur Authentifizierung im Dashboard und werden bei jeder Abmeldung ungültig. Rezi24 speichert diese Tokens nicht dauerhaft im Klartext und nutzt sie nicht zu anderen Zwecken.
  • Vertragsdurchführung und Abrechnung: Verwaltung der gebuchten Pakete und Abrechnung der Gebühren. Rechnungsdaten (z.B. Rechnungsadresse) werden gespeichert, solange gesetzliche Aufbewahrungspflichten bestehen.
  • Kontaktaufnahme: Nutzung der E-Mail-Adresse für Supportanfragen, technische Hinweise und vertragliche Kommunikation.
  • Support und Fehlersuche: Sollten technische Probleme auftreten, kann die Praxis den Rezi24-Support per Einmal-Code temporär auf das Dashboard zugreifen lassen. Während dieses Zugriffs kann der Support administrative Aktionen durchführen (z.B. Konfiguration anpassen); diese werden protokolliert. Nach Ablauf des Codes ist ein erneuter Zugriff nicht möglich.

Die Daten werden nicht zu Marketingzwecken verwendet. Entwickler und externe Dienstleister haben nur Zugriff, wenn dies im Rahmen eines Auftragsverarbeitungsvertrags vereinbart wird.

Rechtliche Verpflichtungen und Compliance: Rezi24 verarbeitet bestimmte Arztdaten auch zur Erfüllung gesetzlicher Anforderungen (z.B. handels- und steuerrechtliche Aufbewahrungspflichten) sowie zur Erfüllung datenschutzrechtlicher Nachweis- und Dokumentationspflichten. Hierzu gehören beispielsweise die Dokumentation erteilter Einwilligungen, die Führung eines Verarbeitungsverzeichnisses und die Bereitstellung von Nachweisen gegenüber Aufsichtsbehörden.

Missbrauchs- und Betrugsprävention: Zur Absicherung des Systems kann Rezi24 Nutzungs- und Anmeldeinformationen auswerten, um unbefugte Zugriffe zu erkennen oder betrügerische Aktivitäten zu verhindern. Diese Auswertungen beschränken sich auf sicherheitsrelevante technische Daten und werden nicht für kommerzielle Zwecke verwendet.

4 Rechtsgrundlagen der Verarbeitung

Die Verarbeitung der personenbezogenen Daten stützt sich auf folgende Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen): Die Eingabe der Patientendaten und die Nutzung der Online-Rezeption sind für die Terminvereinbarung oder Anfrage erforderlich. Ebenso werden Arztdaten verarbeitet, um das Dashboard bereitzustellen und Lizenzen abzurechnen.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Sowohl die Praxis als auch Rezi24 haben ein berechtigtes Interesse, Patientenanfragen effizient und digital zu verarbeiten, Wartezeiten zu reduzieren und ein strukturiertes Terminmanagement zu ermöglichen. Auch der temporäre Supportzugriff per OTP dient dem berechtigten Interesse, technische Probleme schnell zu lösen.
  • Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge): Sofern Gesundheitsbezug besteht (etwa durch den Versicherungsstatus), erfolgt die Verarbeitung zur medizinischen Versorgung unter Verantwortung des behandelnden Arztes.
  • Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Verpflichtungen): In bestimmten Fällen ist Rezi24 verpflichtet, personenbezogene Daten zu verarbeiten, um gesetzlichen Anforderungen nachzukommen. Dazu gehören z.B. handels- und steuerrechtliche Aufbewahrungsfristen, ordnungsgemäße Rechnungsstellung, Beweissicherung gegenüber Aufsichtsbehörden und die Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Diese Verarbeitung erfolgt unabhängig von vertraglichen oder berechtigten Interessen.

Eine Einwilligung wird nur eingeholt, wenn dies für bestimmte Verarbeitungen erforderlich ist – etwa bei freiwilligen Angaben über das medizinisch Notwendige hinaus oder wenn Praxen Marketing-E-Mails versenden möchten. Für die übrigen Verarbeitungen stützen wir uns auf die oben genannten Rechtsgrundlagen.

5 Datenfluss und Empfänger

5.1 Patienten-Workflow

Patient:innen geben ihre Daten in der Online-Rezeption ein. Pflichtfelder sind gekennzeichnet.

Die Daten werden verschlüsselt an das Rezi24-Backend übertragen und in einer sicheren Datenbank (MongoDB) gespeichert. Hosting erfolgt ausschließlich in europäischen Rechenzentren von AWS (Frankfurt am Main und Dublin). AWS bietet Standardvertragsklauseln und einen Schlüsselverwaltungsdienst an, der sicherstellt, dass nur Kund:innen ihre Daten entschlüsseln können .

Die Praxis ruft die Daten über das Dashboard ab, kann Termine und Anliegen verwalten und den Versicherungsstatus einsehen.

Rezi24 sendet transaktionale E-Mails über den Versanddienstleister SendGrid. Twilio (SendGrid) bietet EU-Datenresidenz und erlaubt eine Verarbeitung außerhalb der EU nur, wenn Supportteams für Fehlerbehebung Zugriff benötigen .

5.2 Dashboard-Workflow

Ärzt:innen registrieren sich über das Dashboard, geben Name, E-Mail-Adresse und Praxisdaten an und wählen ein Paket.

Nach erfolgreicher Registrierung wird ein Konto angelegt und ein JWT-Token generiert, das als Authentifizierungsnachweis dient. Tokens werden serverseitig validiert.

Die Praxis kann innerhalb des Dashboards weitere Mitarbeitende anlegen (sofern das Paket es erlaubt) und ihnen Rollen zuweisen. Mehrere Standorte und Behandler:innen lassen sich verwalten.

Praxis-Kontoinformationen werden im Rezi24-System gespeichert und sind nur für autorisierte Personen einsehbar. Rezi24 speichert diese Daten im Rahmen der eigenen Verantwortlichkeit; eine Weitergabe an Dritte findet nicht statt, es sei denn, es besteht ein rechtlicher oder vertraglicher Anlass (z.B. Zahlungsabwicklung via Stripe).

5.3 Supportzugriffe

Der Rezi24-Support kann nur mit einem von der Praxis erzeugten OTP-Code auf das Dashboard zugreifen. Das OTP ist sieben Tage gültig; bei Logout oder Neuerstellung verfällt es sofort. Der Zugang ist damit zeitlich und sachlich begrenzt. Während des Zugriffs können Supportmitarbeitende Konfigurationen anpassen oder technische Fehler beheben, aber keine Daten exportieren oder für eigene Zwecke nutzen.

Zugriffe werden protokolliert (Zeitpunkt, Nutzerkennung, Aktion). Die Praxis kann diese Protokolle einsehen. Sollte keine Protokollierung aktiviert sein, erfolgt der Zugang gleichwohl nur mit ausdrücklicher Zustimmung der Praxis; eine nachträgliche Dokumentation ist in diesem Fall durch Rezi24 vorzuhalten.

5.4 Drittanbieter (Auftragsverarbeiter)

SendGrid/Twilio: Versand von transaktionalen E-Mails (Bestätigungen, Erinnerungen). Twilio bietet eine EU-Data-Residency. Daten werden standardmäßig in europäischen Rechenzentren gespeichert; nur bei Supportfällen kann ein Zugriff außerhalb der EU erfolgen .

Stripe: Zahlungsabwicklung für kostenpflichtige Pakete. Stripe nutzt Verschlüsselung für Daten im Ruhezustand und bei der Übertragung und setzt Sicherheitsmechanismen wie TLS 1.2, Audit-Logs und Zwei-Faktor-Authentifizierung ein . Stripe stützt internationale Datenübermittlungen auf das EU-US Data Privacy Framework und Standardvertragsklauseln .

Amazon Web Services (AWS): Hosting der Server und Backups. AWS bietet EU-Regionen (Frankfurt, Dublin) und unterstützt Kund:innen bei der Verschlüsselung. Daten können per Schlüsselmanagement verschlüsselt werden, sodass AWS keinen Klartextzugriff hat .

Cloudflare: DNS- und Sicherheitsdienstleister (WAF). Cloudflare filtert bösartigen Verkehr und verbessert die Verfügbarkeit. Es erfolgt keine inhaltliche Speicherung von Patientendaten.

Teamseven Pvt Ltd – Entwicklerteam
Das Entwicklerteam unterstützt Rezi24 bei der technischen Wartung und Weiterentwicklung.
Teamseven Pvt Ltd (CEO Muhammad Rehan Ijaz) hat seinen Sitz in S66/2 DHA-2, Lahore, 54000 Pakistan.
Kontakt: [email protected]. Teamseven Pvt Ltd erhält ohne gesonderte Vereinbarung keinen Zugriff auf personenbezogene Daten. Sollte ein Zugriff für Entwicklungszwecke erforderlich sein, wird dies im Rahmen eines Auftragsverarbeitungsvertrags und unter Verwendung von Standardvertragsklauseln geregelt.

Mit allen genannten Dienstleistern bestehen Auftragsverarbeitungsverträge und gegebenenfalls Standardvertragsklauseln. Datenübermittlungen in Drittländer erfolgen nur auf Grundlage dieser Verträge sowie unter Anwendung zusätzlicher Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung).

6 Speicherung, Sicherheit und Verschlüsselung

6.1 Hosting und Datenbanken

Rezi24 nutzt eine MongoDB, die in europäischen Rechenzentren von AWS gehostet wird. Alle Datenübertragungen erfolgen über verschlüsselte TLS/HTTPS-Verbindungen. AWS ermöglicht Kund:innen, Daten per Key-Management-Service (KMS) zu verschlüsseln, sodass AWS selbst keinen Klartextzugriff hat . Sensible Daten (z.B. Tokens, Passwörter) werden zusätzlich pseudonymisiert oder gehasht.

6.2 Verschlüsselung und Zugriffskontrollen

  • Übertragung: Daten werden via TLS 1.2/1.3 übertragen. Stripe nennt TLS 1.2 als Sicherheitsstandard und setzt Audit-Logs und Zwei-Faktor-Authentifizierung ein . Rezi24 wendet entsprechende Standards auch für interne Kommunikationswege an.
  • Speicherung: Patientendaten und Arztdaten werden in der Datenbank geschützt und verschlüsselt gespeichert. Passwörter werden gehasht; JWT-Tokens enthalten keine sensiblen Klartexte.
  • Zugriff: Nur autorisierte Personen (Praxis, Rezi24-Mitarbeitende im Rahmen des Supports) haben Zugang zu den Daten. Jede Zugriffsberechtigung basiert auf Rollen (Praxis-Admin, Mitarbeiter) und ist minimiert.
  • Protokollierung: Zugriffe werden protokolliert. Bei unautorisierten Zugriffen werden Sofortmaßnahmen eingeleitet.

Weitere physische und organisatorische Sicherheitsmaßnahmen: Zusätzlich zu den digitalen Sicherheitsmechanismen setzt Rezi24 auf physische und organisatorische Schutzmaßnahmen:

  • Rechenzentrums-Sicherheit: Die Server von Rezi24 befinden sich in Rechenzentren mit strengen Zutrittskontrollen (mehrstufige Authentifizierung, Videoüberwachung) und redundant ausgelegter Stromversorgung. AWS garantiert physische Sicherheit durch ISO 27001-zertifizierte Rechenzentren .
  • Firewall und Netzwerksegmentierung: Zwischen dem Internet und den internen Systemen sind Firewalls geschaltet, die unautorisierte Verbindungen blockieren. Die Netzwerke sind segmentiert, um die Angriffsfläche zu reduzieren.
  • Intrusion Detection & Monitoring: Automatisierte Systeme überwachen den Netzwerkverkehr und erkennen verdächtige Aktivitäten. Bei Auffälligkeiten werden sofort Gegenmaßnahmen ergriffen.
  • Zugangsmanagement: Mitarbeitende von Rezi24 sind zur Vertraulichkeit verpflichtet und haben nur Zugriff auf Daten, die sie für ihre Aufgabe benötigen (Need-to-Know-Prinzip). Regelmäßige Audits überprüfen die Einhaltung.
  • Notfallmanagement: Für den Fall eines Sicherheitsvorfalls besteht ein Notfallplan, der Meldewege, Wiederanlaufverfahren und Maßnahmen zur Schadensbegrenzung umfasst. Hierzu gehört auch die gesetzliche Verpflichtung, Datenschutzverletzungen der Aufsichtsbehörde und den Betroffenen innerhalb von 72 Stunden zu melden.

6.3 Backups

Backups werden täglich erstellt und verschlüsselt auf einem separaten Server in Deutschland gespeichert. Alte Backups werden regelmäßig überschrieben. Eine Wiederherstellung ist nur durch autorisierte Personen möglich. Nach Löschanfragen werden Daten mit der nächsten Backup-Rotation endgültig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7 Aufbewahrung und Löschung von Daten

Patientendaten: Die Praxis entscheidet über die Aufbewahrungsdauer. Für Patientendaten, die über die Online-Rezeption eingehen (Terminanfragen, Versicherungsstatus etc.), bietet Rezi24 die Möglichkeit, diese im Dashboard gezielt zu löschen oder nach Ablauf einer definierten Frist automatisch zu entfernen. Sofern die Praxis keine individuelle Frist konfiguriert, werden Daten spätestens dann gelöscht, wenn der Zweck ihrer Verarbeitung (z.B. Terminabwicklung) entfallen ist. Rezi24 stellt zu diesem Zweck eine „Purge-Funktion“ bereit, mit der Patientendaten nach Ablauf der definierten Frist automatisiert entfernt werden können. Auf Wunsch unterstützt Rezi24 die Praxis (per OTP) bei der Implementierung entsprechender Löschroutinen.

Arztdaten: Arztdaten werden bis zur Beendigung des Vertragsverhältnisses gespeichert. Nach Kündigung des Kontos und Ablauf gesetzlicher Aufbewahrungsfristen (z.B. handels- und steuerrechtliche Vorgaben, die bis zu zehn Jahre betragen können) werden diese Daten gelöscht oder anonymisiert. Während der Vertragslaufzeit können Ärzt:innen ihre Daten jederzeit im Dashboard einsehen, berichtigen oder teilweise löschen. Für Daten, die für die Vertragserfüllung erforderlich sind (z.B. Rechnungsdaten), gelten die gesetzlichen Aufbewahrungsfristen nach HGB und AO.

Support-Protokolle: Support-Protokolle werden für eine angemessene Dauer aufbewahrt, um im Falle von Sicherheitsvorfällen oder technischen Problemen nachvollziehen zu können, wer Zugriff hatte und welche Aktionen durchgeführt wurden. Rezi24 bewahrt diese Protokolle mindestens zwölf Monate auf; je nach gesetzlichen Anforderungen oder internen Compliance-Richtlinien kann die Aufbewahrungszeit länger sein (z.B. drei Jahre). Nach Ablauf der Aufbewahrungsfrist werden die Protokolle anonymisiert oder gelöscht.

Zusätzlich gilt:

  • Löschfristen und Prozesse: Rezi24 implementiert interne Löschroutinen, die sicherstellen, dass Daten nach Ablauf der Zweckbindung oder der gesetzlichen Aufbewahrungspflicht gelöscht oder anonymisiert werden. Patientendaten werden nicht länger als notwendig gespeichert; die Praxis kann individuelle Aufbewahrungsfristen konfigurieren.
  • Pseudonymisierung statt Löschung: In Fällen, in denen aus Gründen der Dokumentation oder Beweisführung (z.B. Abwehr von Ansprüchen) eine vollständige Löschung nicht sofort möglich ist, werden Daten pseudonymisiert, sodass sie keinen direkten Personenbezug mehr aufweisen. Nach Ablauf der Zweckbindung erfolgt die endgültige Löschung.
  • Routinemäßige Überprüfung: Rezi24 überprüft regelmäßig (mindestens jährlich), ob eine weitere Speicherung von Daten erforderlich ist, und passt die Aufbewahrungsfristen entsprechend an.

8 Internationale Datenübermittlungen

Soweit für einzelne Dienste (z.B. SendGrid, Stripe) Daten in ein Drittland außerhalb des EWR übertragen werden, nutzt Rezi24 anerkannten Übermittlungsmechanismen:

  • EU-US Data Privacy Framework und SCC: Stripe hat sich dem EU-US Data Privacy Framework angeschlossen und nutzt zusammen mit den Standardvertragsklauseln mehrere Rechtsgrundlagen, um Daten in die USA zu übertragen .
  • Standardvertragsklauseln (SCC): SendGrid, AWS und Stripe verwenden Standardvertragsklauseln. Diese werden automatisch Bestandteil der Vereinbarungen mit Rezi24 .
  • Technische Schutzmaßnahmen: Daten werden vor Übermittlung verschlüsselt und pseudonymisiert; technische Teams außerhalb des EWR erhalten ausschließlich Zugriff, wenn dies zur Fehlerbehebung erforderlich ist und die Daten nicht dauerhaft gespeichert werden .
  • Entwicklerteam (Team Seven in Pakistan): Sollte der Zugriff auf personenbezogene Daten für Entwicklungs- oder Wartungszwecke erforderlich sein, wird dies über einen separaten Auftragsverarbeitungsvertrag geregelt. Rezi24 sorgt dafür, dass bei einer solchen Übermittlung adäquate Schutzmaßnahmen (Standardvertragsklauseln, ggf. ergänzende Garantien) implementiert werden und der Zugriff auf das notwendige Minimum beschränkt ist. Bisher besteht keine routinemäßige Datenübertragung nach Pakistan; die Speicherung und Verarbeitung erfolgt grundsätzlich im EWR.

9 Rechte der betroffenen Personen

Sowohl Patient:innen als auch Ärzt:innen haben nach der DSGVO umfangreiche Rechte, um Kontrolle über ihre personenbezogenen Daten auszuüben. Diese Rechte können gegenüber der Praxis (für Patientendaten) bzw. gegenüber Rezi24 (für Arztdaten) geltend gemacht werden. Rezi24 unterstützt die Praxis bei der Erfüllung der Betroffenenrechte und stellt hierzu geeignete Werkzeuge im Dashboard bereit.

  • Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten über Sie verarbeitet werden. Ist dies der Fall, können Sie Auskunft über diese Daten, die Zwecke der Verarbeitung, die Empfänger, die geplante Speicherdauer sowie Ihre weiteren Rechte verlangen. Auf Anfrage stellen wir zudem eine Kopie der verarbeiteten Daten bereit. Für zusätzliche Kopien können wir ein angemessenes Entgelt verlangen. Wir beantworten Auskunftsanfragen in der Regel innerhalb eines Monats; bei komplexen Anfragen kann die Frist im Rahmen der gesetzlichen Vorgaben verlängert werden.
  • Berichtigung (Art. 16 DSGVO): Sollten Ihre Daten unrichtig oder unvollständig sein, können Sie die Berichtigung oder Vervollständigung verlangen. Ärzt:innen können ihre Profildaten direkt über das Dashboard anpassen. Patient:innen können ihre Angaben über die jeweilige Praxis korrigieren lassen. Rezi24 unterstützt die Praxis dabei, entsprechende Berichtigungen technisch umzusetzen.
  • Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden“): Sie können verlangen, dass Ihre personenbezogenen Daten gelöscht werden, wenn kein zwingender Grund für deren weitere Verarbeitung besteht. Dies ist z.B. der Fall, wenn der Zweck der Erhebung entfallen ist, eine erteilte Einwilligung widerrufen wurde oder die Verarbeitung unrechtmäßig war. Dieses Recht besteht jedoch nicht, soweit gesetzliche Aufbewahrungspflichten oder andere überwiegende berechtigte Interessen entgegenstehen (siehe Abschnitt 7). In solchen Fällen erfolgt statt einer Löschung eine Sperrung oder Pseudonymisierung der Daten.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen. Dies kann zum Beispiel geboten sein, wenn die Richtigkeit der Daten bestritten wird (für die Dauer der Prüfung) oder die Daten zwar nicht gelöscht werden dürfen, aber auch nicht weiter verarbeitet werden sollen. In diesem Fall werden die Daten gekennzeichnet und nur noch mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie können außerdem verlangen, dass wir diese Daten einem anderen Verantwortlichen übermitteln, sofern dies technisch machbar ist und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Dieses Recht gilt nur für Datenverarbeitungen, die auf einer Einwilligung oder einem Vertrag beruhen und mithilfe automatisierter Verfahren durchgeführt werden.
  • Widerspruch (Art. 21 DSGVO): Sofern wir eine Verarbeitung auf ein berechtigtes Interesse stützen, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen diese Verarbeitung Widerspruch einzulegen. Im Falle eines Widerspruchs prüfen wir, ob überwiegende zwingende schutzwürdige Gründe vorliegen. Sofern wir personenbezogene Daten für Direktwerbung nutzen würden (was bei Rezi24 nicht der Fall ist), könnten Sie der Verarbeitung für diese Zwecke jederzeit widersprechen.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Beruht eine Verarbeitung auf Ihrer Einwilligung, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Der Widerruf kann ebenso unkompliziert erklärt werden wie die Einwilligung erteilt wurde (z.B. per E-Mail oder über das Dashboard). Nach dem Widerruf werden die betroffenen Daten nicht mehr verarbeitet, es sei denn, es besteht eine andere Rechtsgrundlage.
  • Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO): Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen Datenschutzrecht verstößt, haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit (Friedrichstr. 219, 10969 Berlin, E-Mail: [email protected]). Sie können sich jedoch auch an jede andere Aufsichtsbehörde wenden.

Um diese Rechte wahrzunehmen, reicht eine formlose Anfrage an die jeweils zuständige Stelle (Praxis oder Rezi24). Wir weisen darauf hin, dass wir im Zweifel einen Identitätsnachweis verlangen können, um sicherzustellen, dass keine Daten an Unbefugte herausgegeben werden. Anfragen werden in der Regel innerhalb eines Monats beantwortet; bei komplexen Sachverhalten kann die Frist um weitere zwei Monate verlängert werden, über die wir Sie rechtzeitig informieren.

10 Cookies, Local Storage und Einwilligungen

Rezi24 setzt keine Marketing-Cookies ein. Für den technischen Betrieb werden lediglich Local-Storage-Einträge genutzt (siehe Abschnitt 2.3). Diese Einträge sind technisch erforderlich, um die Sitzungen zu verwalten, Spracheinstellungen zu speichern und die gewählte Praxis zu merken.

Gemäß § 25 TTDSG dürfen Informationen nur dann auf Endgeräten gespeichert oder aus ihnen ausgelesen werden, wenn hierfür eine vorherige, ausdrückliche Einwilligung vorliegt oder wenn die Speicherung bzw. der Zugriff unbedingt erforderlich ist, um die Übertragung einer Nachricht zu ermöglichen oder einen vom Nutzer angeforderten Telemediendienst bereitzustellen . Rezi24 nutzt ausschließlich diese Ausnahmen – es werden keine Analyse- oder Marketing-Cookies gesetzt.

Nutzer:innen können die Local-Storage-Einträge über ihre Browsereinstellungen löschen; die Anwendung ist dann eventuell nur eingeschränkt nutzbar.

Im Falle einer zukünftigen Einführung optionaler Funktionen (z.B. statistische Auswertung, Personalisierung) würde Rezi24 vorab eine Einwilligung im Sinne der DSGVO und des TTDSG einholen. Eine gültige Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich erteilt werden. Das bedeutet insbesondere, dass Nutzer:innen vor Erteilung der Einwilligung über Zweck, Umfang der Datenverarbeitung und ihre Widerrufsmöglichkeiten informiert werden und ihre Entscheidung ohne Zwang treffen können. Rezi24 stellt sicher, dass die Einwilligung über eine separate, eindeutig bezeichnete Schaltfläche eingeholt und protokolliert wird .

Vor dem Absenden der Patientendaten erscheint zudem eine Checkbox, mit der Patient:innen bestätigen, dass sie diese Datenschutzerklärung und die Nutzungsbedingungen gelesen haben. Diese Bestätigung dient der Transparenz und der Dokumentation, begründet aber keine zusätzliche Rechtsgrundlage; die Verarbeitung beruht auf den in Abschnitt 4 genannten Rechtsgrundlagen.

11 E-Mail-Versand und Kommunikation

Rezi24 nutzt SendGrid für den Versand von transaktionalen E-Mails (Terminbestätigungen, Erinnerungen, manuelle Nachrichten der Praxis). SendGrid verarbeitet die Inhalte in europäischen Rechenzentren. Nur wenn Supportteams außerhalb Europas Fehler beheben müssen, können Daten kurzfristig außerhalb der EU verarbeitet werden . Inhalte der E-Mails beschränken sich auf die notwendigen Angaben (z.B. Vorname, Terminzeit, Praxisadresse). Es werden keine sensiblen Gesundheitsdaten per E-Mail versendet. Die Kommunikation findet ausschließlich über verschlüsselte Verbindungen (TLS) statt.

Zur Sicherstellung der Zustellbarkeit und zur Fehlersuche speichert Rezi24 metadatentechnische Versandprotokolle (Zeitpunkt, Empfänger, Status der Zustellung). Diese Protokolle enthalten keine Inhalte der E-Mails. Sie werden nach spätestens 90 Tagen gelöscht, sofern keine längere Aufbewahrung zur Fehleranalyse oder Beweisführung erforderlich ist. Bei Supportfällen kann ein Zugriff auf diese Versandprotokolle durch SendGrid-Teams außerhalb der EU erforderlich sein; dieser Zugriff erfolgt ausschließlich zu technischen Zwecken und wird protokolliert .

Die E-Mail-Adressen von Ärzt:innen werden verwendet, um wichtige Informationen zum Vertrag, Sicherheitswarnungen oder Supporthinweise zu übermitteln. Eine Verwendung für Marketingzwecke findet ohne separate Einwilligung nicht statt. Ärzt:innen können im Dashboard ihre Benachrichtigungseinstellungen konfigurieren und zum Beispiel festlegen, für welche Ereignisse sie E-Mails erhalten möchten. Für darüber hinausgehende Marketing- oder Newsletter-Kommunikation ist eine separate Einwilligung erforderlich.

B. Besuch unserer Website

Neben der Nutzung der Online-Rezeption und des Dashboards werden personenbezogene Daten auch dann verarbeitet, wenn Sie unsere Website besuchen. Dabei gilt:

Protokolldaten (Server-Logfiles)

Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an unseren Server übermittelt. Diese Informationen werden temporär in sogenannten Server-Logfiles gespeichert. Erfasst werden können unter anderem anonymisierte IP-Adresse, Datum und Uhrzeit des Zugriffs, Name und URL der abgerufenen Datei, Website, von der aus der Zugriff erfolgt (Referrer-URL), der verwendete Browser, ggf. das Betriebssystem Ihres Rechners sowie der Name Ihres Access-Providers.

Die genannten Daten werden zu folgenden Zwecken verarbeitet:

  • Gewährleistung eines reibungslosen Verbindungsaufbaus der Website,
  • Gewährleistung einer komfortablen Nutzung unserer Website,
  • Auswertung der Systemsicherheit und -stabilität,
  • Missbrauchs- und Betrugsprävention,
  • weitere administrative Zwecke.

Die Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. f DS-GVO. Unser berechtigtes Interesse folgt aus den oben aufgelisteten Zwecken zur Datenerhebung. Die Daten werden nicht verwendet, um Rückschlüsse auf Ihre Person zu ziehen. IP-Adressen werden frühestmöglich anonymisiert oder pseudonymisiert.

Kontaktformular und Support-Anfragen

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Die Verarbeitung dieser Daten erfolgt entweder auf Grundlage von Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen) oder – soweit die Anfrage nicht im Zusammenhang mit einem bestehenden oder anzubahnenden Vertrag steht – Ihrer freiwilligen Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO. Sie können diese Einwilligung jederzeit widerrufen.

Cookies und vergleichbare Technologien

Rezi24 verzichtet auf den Einsatz von Marketing-Cookies. Es werden lediglich technisch notwendige Local-Storage-Einträge gesetzt (siehe Abschnitt 10). Diese Einträge speichern z.B. Ihre Spracheinstellungen oder Ihre ausgewählte Praxis. Im Rahmen unserer Websites können jedoch Cookies gesetzt werden, die der Funktionsfähigkeit der Website dienen, beispielsweise um eine Session zu identifizieren oder die Last zwischen Servern zu verteilen. Cookies, die nicht unbedingt erforderlich sind, setzen wir nur mit Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO i.V.m. § 25 TTDSG). Sie können Ihre Einwilligung jederzeit für die Zukunft widerrufen.

Newsletter und E-Mail-Marketing

Sofern wir einen Newsletter anbieten und Sie diesen abonnieren, verarbeiten wir die bei der Anmeldung von Ihnen angegebenen Daten (Name, E-Mail-Adresse) ausschließlich zum Zweck des regelmäßigen Newsletterversands. Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO. Ihre Einwilligung können Sie jederzeit über den im Newsletter enthaltenen Abmeldelink oder durch Nachricht an die in dieser Erklärung genannten Kontaktdaten widerrufen. Beim Versand des Newsletters nutzen wir ein sicheres Double-Opt-In-Verfahren, das protokolliert, wann Sie sich für den Newsletter angemeldet oder abgemeldet haben.

Tracking- und Analysetools

Zum Zeitpunkt des Inkrafttretens dieser Datenschutzerklärung setzt Rezi24 keine Tracking- oder Analyse-Tools (wie Google Analytics) ein. Sollten wir zukünftig Analyse-Tools implementieren, würden wir vorab Ihre Einwilligung einholen (Art. 6 Abs. 1 lit. a DS-GVO). Wir würden Ihnen klare Informationen über den Zweck der Analyse, die Funktionsweise des Tools und Ihre Opt-Out-Möglichkeiten bereitstellen. Ohne Ihre Einwilligung werden solche Tools nicht eingesetzt.

Diese Website kann Links zu externen Websites enthalten, auf deren Inhalte wir keinen Einfluss haben. Für die Datenschutzpraktiken dieser externen Seiten sind wir nicht verantwortlich. Bitte beachten Sie die Datenschutzerklärungen der jeweiligen Anbieter.

12 Sicherheit und Verantwortlichkeiten

Rezi24 und die beteiligten Praxen verpflichten sich, geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen. Dazu gehören:

  • Verschlüsselung: Verwendung von TLS 1.2/1.3 für alle Verbindungen; serverseitige Verschlüsselung sensibler Daten; Nutzung von KMS auf AWS .
  • Pseudonymisierung und Hashing: Passwörter und Tokens werden gehasht; personenbezogene Daten werden pseudonymisiert, soweit möglich.
  • Zugangskontrolle: Einsatz rollenbasierter Berechtigungen; Nutzung von Zwei-Faktor-Authentifizierung (2FA) für Admin-Zugänge; begrenzter Zugriff durch den Rezi24-Support mit OTP.
  • Protokollierung und Monitoring: Überwachung von Servern durch CloudPanel und AWS; Aufzeichnung von Zugriffen; automatisierte Alarmierungen bei Auffälligkeiten.
  • Schulungen: Regelmäßige Schulungen der Mitarbeitenden zum Datenschutz und zur Datensicherheit.
  • Notfallplan: Vorgehensweise zur Erkennung, Meldung und Abhilfe von Datenschutzverletzungen; Rezi24 verpflichtet sich, die Praxis innerhalb der gesetzlichen Frist (72 Stunden) zu informieren.

13 Impressum und Kontakt

13.1 Rezi24 (Anbieter)

Anschrift:

Rezi24 GmbH
Hackländerweg 27
14089 Berlin
Deutschland

Kontakt:

E-Mail: [email protected]
Telefon: 0152 02875436
Vertretungsberechtigte Geschäftsführer: Victor Schütt

13.2 Subunternehmer und Drittanbieter

Im Rahmen der Vertragserfüllung werden folgende Unterauftragnehmer eingebunden (Impressumsangaben sofern vorhanden):

Dienstleister Sitz / Kontakt Zweck
Twilio SendGrid Twilio Germany GmbH, An den Treptowers 3, 12435 Berlin, Deutschland E-Mail-Versand (Transaktionsmails)
Stripe Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland Zahlungsabwicklung
Amazon Web Services Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg Hosting und Datenspeicherung
Cloudflare Inc. 101 Townsend Street, San Francisco, CA 94107, USA DNS- und Sicherheitsdienste
Teamseven Pvt Ltd – Entwicklerteam S66/2 DHA-2, 54000 Lahore, Pakistan (CEO: Muhammad Rehan Ijaz)
Kontakt: [email protected]		 Softwareentwicklung und Wartung

Teamseven Pvt Ltd arbeitet im Auftrag von Rezi24 und unterliegt den gleichen Datenschutzpflichten. Alle Zugriffe des Entwicklerteams erfolgen ausschließlich auf Grundlage eines Auftragsverarbeitungsvertrags, der die Einhaltung der DSGVO, des TTDSG und weiterer einschlägiger Vorschriften sicherstellt.

14 Änderungen der Datenschutzerklärung

Diese Datenschutzerklärung wird regelmäßig überprüft und aktualisiert, wenn gesetzliche oder technische Änderungen dies erfordern. Die jeweils aktuelle Version kann im Arzt-Dashboard und in der Online-Rezeption eingesehen werden. Bei wesentlichen Änderungen werden die Nutzer:innen entsprechend informiert (z.B. durch Benachrichtigungen im Dashboard).

Stand: 28. Dezember 2025.

Rezi24 behält sich vor, die Erklärung bei Bedarf zu ergänzen. Bitte prüfen Sie regelmäßig die aktuelle Version.

15 Datenschutzbeauftragte:r

Zur Wahrung der gesetzlichen Anforderungen und der Datenschutzprinzipien hat Rezi24 einen Datenschutzbeauftragten* benannt. Der/die Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften, berät das Unternehmen und fungiert als Ansprechperson für Betroffene und Behörden. Sie können den/die Datenschutzbeauftragten wie folgt kontaktieren:

Kontakt Datenschutzbeauftragte*r

Rezi24 GmbH – Datenschutzbeauftragte*r
Hackländerweg 27
E-Mail: [email protected]
Telefon: 0152 02875436

Bitte verwenden Sie diese Kontaktmöglichkeit insbesondere, wenn Sie Fragen zum Datenschutz haben, Ihre Betroffenenrechte wahrnehmen möchten oder datenschutzrechtliche Bedenken äußern. Die Datenschutzbeauftragte*r unterliegt der Verschwiegenheit und behandelt Ihre Anfrage vertraulich.

EU Data Processing Locations | SendGrid Docs | Twilio
https://www.twilio.com/docs/sendgrid/data-residency/locations-eu

Stripe Privacy Center
https://stripe.com/en-de/legal/privacy-center

German Data Protection Act (TTDSG): All You Need to Know - WebToffee
https://www.webtoffee.com/blog/german-data-protection-act-ttdsg/

Data protection in the AWS Cloud: GDPR-compliant?| 2B Advice Blog
https://2b-advice.com/en/2022/01/28/data-protection-aws-dsgvo/

crossmenuchevron-right