Datenschutzerklärung für WundDokuMobile

Letzte Aktualisierung: Januar 2026 | Version 2.0

1. Allgemeine Hinweise und Pflichtinformationen

1.1 Datenschutz und Vertraulichkeit

Der Schutz Ihrer personenbezogenen Daten und insbesondere Ihrer Gesundheitsdaten ist uns ein besonderes Anliegen. Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

1.2 Geltungsbereich

Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten (nachfolgend kurz „Daten") im Rahmen der Nutzung unserer mobilen Anwendung WundDokuMobile (nachfolgend „App") auf. Sie gilt für alle Nutzer der App, einschließlich Pflegepersonal und medizinisches Fachpersonal.

1.3 Rechtsgrundlagen

Diese Datenschutzerklärung basiert auf folgenden Rechtsgrundlagen:

• Datenschutz-Grundverordnung (DSGVO) – Verordnung (EU) 2016/679
• Bundesdatenschutzgesetz (BDSG) in der aktuellen Fassung
• § 630f BGB – Dokumentations- und Aufbewahrungspflichten im medizinischen Bereich
• § 203 StGB – Verletzung von Privatgeheimnissen (ärztliche Schweigepflicht)
• Musterberufsordnung für Ärzte (MBO-Ä) – § 10 Abs. 3
• Telemediengesetz (TMG) bzw. Digitale-Dienste-Gesetz (DDG)

1.4 Hinweis zu besonders schützenswerten Daten

1.5 Mindestalter

Die App richtet sich an Nutzer ab einem Alter von 16 Jahren. Wir sammeln wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten gemäß Art. 8 DSGVO. Sollten uns entsprechende Daten bekannt werden, werden diese unverzüglich gelöscht.

1.6 Berufsgeheimnisträger und Schweigepflicht

Die Nutzung der App erfolgt häufig durch Berufsgeheimnisträger im Sinne des § 203 StGB (Ärzte, Pflegepersonal). Die App unterstützt die Einhaltung der ärztlichen Schweigepflicht durch technische und organisatorische Maßnahmen. Dennoch liegt die Verantwortung für die Einhaltung der Schweigepflicht beim jeweiligen Berufsgeheimnisträger.

2. Datenerfassung auf unserer App

2.1 Registrierungs- und Nutzerdaten

Für die Nutzung der App ist eine Registrierung erforderlich. Dabei werden folgende Daten erfasst und verarbeitet:

• Vorname und Nachname (AES-256 verschlüsselt gespeichert)
• E-Mail-Adresse (AES-256 verschlüsselt gespeichert) – wird ausschließlich für Passwort-Resets verwendet
• Telefonnummer (AES-256 verschlüsselt gespeichert, optional)
• Faxnummer (AES-256 verschlüsselt gespeichert, optional)
• Adressdaten: Straße, Stadt, Bundesland/Provinz, Postleitzahl, Land (AES-256 verschlüsselt gespeichert)
• Benutzername (unverschlüsselt, für Login erforderlich)
• Passwort (ausschließlich als bcrypt-Hash mit Salting gespeichert, niemals im Klartext)

2.2 Patientendaten

Im Rahmen der medizinischen Wunddokumentation werden folgende Patientendaten erfasst:

• Patientenstammdaten: Vor- und Nachname (AES-256 verschlüsselt)
• Kontaktinformationen: Telefonnummer, E-Mail-Adresse, vollständige Anschrift (Straße, Stadt, Bundesland/Provinz, Postleitzahl) – alle AES-256 verschlüsselt gespeichert
• Name des behandelnden Pflegepersonals/medizinischen Fachpersonals
• Interne Patienten-ID (systemgeneriert, pseudonymisiert)

2.3 Gesundheitsdaten (Art. 9 DSGVO)

Zur Dokumentation der Wundversorgung werden folgende besonders schützenswerten Gesundheitsdaten verarbeitet:

• Wundbeschreibungen und detaillierte Wundinformationen (verschlüsselt gespeichert)
• Symptome und klinische Beobachtungen (verschlüsselt gespeichert)
• Behandlungsmaßnahmen und Therapieverläufe (verschlüsselt gespeichert)
• Medizinische Behandlungsnotizen und Pflegevorgänge (verschlüsselt gespeichert)
• Fotografische Dokumentation von Wunden (AES-256 verschlüsselt gespeichert)
• Datum und Uhrzeit der Dokumentation und Behandlungszeitpunkte
• Behandlungsverlauf und medizinische Historien (verschlüsselt gespeichert)

2.4 Automatisch erfasste technische Daten

Bei der Nutzung der App werden automatisch folgende technische Daten erfasst:

• Gerätemodell und Gerätehersteller (anonymisiert)
• Betriebssystemversion (z.B. Android 13, iOS 17)
• App-Version und Build-Nummer
• Absturzberichte und Fehlerprotokolle (über Firebase Crashlytics – siehe Abschnitt 8.1)
• Anonymisierte Nutzungsstatistiken zur Verbesserung der App-Stabilität
• Zeitstempel von App-Interaktionen (nur für technische Zwecke)
• IP-Adresse (nur temporär für Serververbindung, wird nicht gespeichert)

Wichtig: Diese technischen Daten enthalten keine Patientendaten, Gesundheitsinformationen, persönliche Identifikationsmerkmale oder sonstige medizinische Informationen.

2.5 Kamerazugriff

Die App benötigt Zugriff auf die Kamera Ihres Geräts zur fotografischen Dokumentation von Wunden. Der Kamerazugriff erfolgt ausschließlich auf Ihre explizite Anforderung beim Erstellen einer Fotodokumentation. Es erfolgt keine automatische Aufnahme oder Überwachung. Die aufgenommenen Fotos werden verschlüsselt und ausschließlich für die medizinische Dokumentation verwendet und gemäß den gesetzlichen Aufbewahrungspflichten gespeichert.

2.6 Zugriffsprotokolle und Audit Logs

Zum Schutz der Patientendaten und zur Einhaltung medizinischer Dokumentationspflichten protokollieren wir folgende Zugriffe:

• Zeitpunkt des Zugriffs auf Patientendaten
• Zugreifender Benutzer (Benutzername des Pflegepersonals)
• Art des Zugriffs (Ansicht, Bearbeitung, Erstellung, Löschung)
• Zugriffsdauer und betroffene Datensätze

Diese Protokolle dienen der Nachvollziehbarkeit gemäß § 630f BGB und werden für 10 Jahre aufbewahrt.

3. Zweck und Rechtsgrundlage der Datenverarbeitung

3.1 Zwecke der Datenverarbeitung

Wir verarbeiten Ihre Daten ausschließlich zu folgenden Zwecken:

• Bereitstellung und Betrieb der App – Ermöglichung der Nutzung aller Funktionen
• Medizinische Wunddokumentation – Professionelle Erfassung und Verwaltung von Wunddaten
• Verwaltung von Patienteninformationen – Strukturierte Speicherung relevanter Patientendaten
• Kommunikation mit Pflegepersonal – Koordination der Behandlung
• Passwort-Reset-Funktionalität – Versand von Passwort-Zurücksetzungslinks per E-Mail
• Technische Fehlerbehebung – Identifikation und Behebung von App-Fehlern
• Verbesserung der App-Stabilität – Optimierung der technischen Performance
• Erfüllung gesetzlicher Aufbewahrungspflichten – Einhaltung medizinischer Dokumentationspflichten gemäß § 630f BGB
• Nachvollziehbarkeit medizinischer Behandlungen – Audit-Logs für rechtliche Anforderungen
• Schutz vor unbefugtem Zugriff – Sicherheitsmaßnahmen gemäß Art. 32 DSGVO

3.2 Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:

a) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Durch die Registrierung und Nutzung der App willigen Sie in die Verarbeitung Ihrer personenbezogenen Daten zu den beschriebenen Zwecken ein. Diese Einwilligung wird beim ersten Start der App durch Bestätigung der Datenschutzerklärung eingeholt und kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt 14).

b) Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung ist erforderlich zur Erfüllung des Nutzungsvertrags und zur Bereitstellung der App-Funktionalitäten, die Sie angefordert haben.

c) Verarbeitung von Gesundheitsdaten (Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG)

Die Verarbeitung von Gesundheitsdaten ist zulässig für Zwecke der Gesundheitsversorgung, der Verwaltung von Systemen und Diensten der Gesundheitsversorgung sowie für die medizinische Diagnostik und Behandlung durch medizinisches Fachpersonal, das der Berufsverschwiegenheit gemäß § 203 StGB unterliegt.

d) Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 630f BGB)

Die Verarbeitung erfolgt zur Erfüllung gesetzlicher Dokumentations- und Aufbewahrungspflichten im medizinischen Bereich, insbesondere gemäß § 630f Abs. 1-3 BGB (Behandlungsdokumentation und 10-jährige Aufbewahrungspflicht).

e) Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Die Verarbeitung technischer Daten zur Fehlerbehebung und Verbesserung der App-Stabilität erfolgt auf Grundlage unseres berechtigten Interesses an einem störungsfreien App-Betrieb. Zugriffsprotokolle dienen unserem berechtigten Interesse an der Nachvollziehbarkeit und dem Schutz vor Datenmissbrauch.

4. Speicherorte und Datenübermittlung

4.1 Speicherorte

Ihre Daten werden an folgenden Orten gespeichert:

a) Lokale Speicherung auf Ihrem Mobilgerät

Alle Daten werden primär lokal auf Ihrem Smartphone oder Tablet in einer verschlüsselten SQLite-Datenbank gespeichert. Dies gewährleistet einen schnellen Zugriff und die Möglichkeit zur Offline-Nutzung der App. Die lokale Datenbank ist durch die Geräteverschlüsselung Ihres Smartphones zusätzlich geschützt.

b) SQL-Server (Backup und Synchronisation)

Zur Datensicherung und Synchronisation zwischen mehreren Geräten werden Ihre Daten auf einem sicheren Microsoft SQL Server in Deutschland gespeichert.

Serverstandort: Deutschland (Rechenzentrum mit ISO 27001-Zertifizierung)

Hosting-Provider: [BITTE HIER IHREN HOSTING-PROVIDER EINTRAGEN, z.B. "Hetzner Online GmbH, Deutschland" oder "Interner Server"]

Der Server unterliegt den strengen deutschen Datenschutzgesetzen und ist durch Firewall, Intrusion Detection Systems und regelmäßige Sicherheitsupdates geschützt.

c) Optionaler Export in Access-Datenbank

Sie haben die Möglichkeit, Ihre Daten in eine lokale Microsoft Access-Datenbank zu exportieren. Dieser Export erfolgt ausschließlich auf Ihre explizite Anforderung und die exportierten Daten verbleiben auf Ihrem lokalen System unter Ihrer alleinigen Kontrolle.

4.2 Datenübertragung und Verschlüsselung

Die Übertragung Ihrer Daten zwischen der App und unserem Server erfolgt ausschließlich über eine sichere HTTPS-Verbindung mit moderner TLS 1.3-Verschlüsselung (Transport Layer Security). Dies verhindert, dass Dritte während der Übertragung auf Ihre Daten zugreifen können (Ende-zu-Ende-Verschlüsselung während der Übertragung).

4.3 Serverstandort und Datenhosting

Alle von uns betriebenen Server befinden sich ausschließlich in Deutschland bzw. innerhalb der Europäischen Union. Es erfolgt grundsätzlich keine Übermittlung Ihrer personenbezogenen Daten oder Gesundheitsdaten in Drittländer außerhalb der EU/des EWR.

Ausnahme Firebase Crashlytics: Für die technische Fehleranalyse verwenden wir Firebase Crashlytics von Google. Hierbei werden ausschließlich technische, anonymisierte Daten (keine Patientendaten oder Gesundheitsinformationen) verarbeitet. Google LLC ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Details siehe Abschnitt 8.1.

5. Verschlüsselung und Datensicherheit

5.1 Technische und organisatorische Maßnahmen

Wir setzen umfassende technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen:

Verschlüsselungsmaßnahmen:

• AES-256-Verschlüsselung für alle Patientenstammdaten (Name, Kontaktdaten)
• AES-256-Verschlüsselung für alle Gesundheitsdaten (Wundbeschreibungen, Notizen, Fotos)
• Sichere Passwort-Speicherung mittels bcrypt-Hashing mit individuellem Salt (Faktor 12)
• TLS 1.3-Verschlüsselung für alle Datenübertragungen zwischen App und Server
• Verschlüsselte Backup-Systeme (AES-256)
• Verschlüsselte lokale Datenbank auf dem Mobilgerät (SQLCipher)

Zugriffskontrollen:

• Authentifizierung durch Benutzername und starkes Passwort (Mindestanforderungen: 8 Zeichen, Groß-/Kleinbuchstaben, Zahlen)
• Automatische Sitzungstimeouts nach 30 Minuten Inaktivität
• Rollenbasierte Zugriffskontrolle (RBAC) für verschiedene Benutzertypen
• Audit-Logs zur Nachvollziehbarkeit aller Datenzugriffe
• Zwei-Faktor-Authentifizierung (optional aktivierbar)

Netzwerk- und Serversicherheit:

• Professionelle Firewall-Systeme auf Serverebene
• Intrusion Detection and Prevention Systems (IDS/IPS)
• Regelmäßige Sicherheitsupdates und Patch-Management (wöchentliche Überprüfung)
• Physische Zugangskontrollen im Rechenzentrum (ISO 27001-zertifiziert)
• DDoS-Schutz und Lastverteilung
• Netzwerksegmentierung zur Isolation sensibler Systeme

Organisatorische Maßnahmen:

• Disaster-Recovery-Konzept mit täglich inkrementellen und wöchentlich vollständigen Backups
• Regelmäßige Sicherheitsüberprüfungen und Penetrationstests (mindestens jährlich)
• Datenschutzschulungen für alle Mitarbeiter (jährlich verpflichtend)
• Verpflichtung aller Mitarbeiter auf Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO
• Notfallplan für Datenpannen (siehe Abschnitt 10)
• Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen (quartalsweise)

5.2 Zugriffsbeschränkung

Der Zugriff auf Ihre Daten ist strikt beschränkt auf autorisiertes Personal, das zur Wartung und zum Betrieb der App erforderlich ist. Derzeit haben nur die folgenden Personen potentiellen Zugriff:

• Systemadministratoren für Wartungszwecke (maximal 2 Personen)
• Entwickler für Fehlerbehebung (nur bei kritischen Problemen, nach vorheriger Genehmigung)

Alle Mitarbeiter mit potentiellem Datenzugriff sind zur Vertraulichkeit verpflichtet und wurden umfassend im Datenschutz geschult. Zugriffe werden protokolliert und regelmäßig überprüft.

5.3 Datensicherung (Backup)

Zum Schutz vor Datenverlust werden regelmäßige Sicherungen durchgeführt:

• Tägliche inkrementelle Backups aller Datenbanken
• Wöchentliche vollständige Backups
• Aufbewahrung der Backups für 30 Tage
• Verschlüsselte Speicherung aller Backups (AES-256)
• Geografisch getrennte Backup-Standorte (in Deutschland)
• Regelmäßige Tests der Wiederherstellungsprozesse (monatlich)

6. Speicherdauer und Aufbewahrungspflichten

6.1 Gesetzliche Aufbewahrungsfristen

Gemäß § 630f Abs. 3 BGB sind Behandlungsunterlagen für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren, soweit nicht nach anderen gesetzlichen Vorschriften eine längere Aufbewahrungspflicht besteht.

Spezielle Aufbewahrungsfristen gelten insbesondere für:

• Röntgenaufzeichnungen: 30 Jahre (gemäß Strahlenschutzverordnung)
• Aufzeichnungen über den Umgang mit radioaktiven Stoffen: 30 Jahre
• Ärztliche Dokumentationen mit Bezug zu Arbeitsunfällen: bis zu 30 Jahre
• Patientendaten von Minderjährigen: bis zum 28. Lebensjahr (mindestens jedoch 10 Jahre nach Abschluss der Behandlung)

6.2 Automatische Löschung nach Ablauf der Aufbewahrungspflicht

Nach Ablauf der gesetzlichen Aufbewahrungsfristen werden Ihre Daten gemäß Art. 17 DSGVO automatisch gelöscht, sofern keine weiteren rechtlichen Verpflichtungen der Löschung entgegenstehen. Die Löschung erfolgt sicher und unwiderruflich:

• Überschreiben der Daten gemäß BSI-Standard zur sicheren Datenlöschung
• Löschung aller Backups mit diesen Daten
• Dokumentation der Löschung in einem Löschprotokoll

6.3 Nutzerdaten und Zugangsdaten

Ihre Registrierungsdaten (Benutzername, E-Mail-Adresse etc.) werden gespeichert, solange Ihr Benutzerkonto aktiv ist. Nach Löschung Ihres Kontos werden diese Daten innerhalb von 30 Tagen vollständig entfernt, sofern keine gesetzlichen Aufbewahrungspflichten für verknüpfte medizinische Daten bestehen.

6.4 Technische Logs und Zugriffsprotokolle

Zugriffsprotokolle (Audit Logs) werden für 10 Jahre aufbewahrt, um die Nachvollziehbarkeit gemäß § 630f BGB zu gewährleisten. Technische Fehlerprotokolle werden nach 90 Tagen automatisch gelöscht.

7. Weitergabe von Daten an Dritte

7.1 Grundsatz: Keine Weitergabe

Eine Weitergabe Ihrer personenbezogenen Daten und Gesundheitsdaten an Dritte erfolgt grundsätzlich nicht. Wir verkaufen, vermieten oder übertragen Ihre Daten nicht zu kommerziellen Zwecken.

7.2 Ausnahmen: Weitergabe nur in gesetzlich zulässigen Fällen

Eine Weitergabe kann ausnahmsweise erfolgen:

a) Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Wenn wir gesetzlich zur Offenlegung verpflichtet sind, erfolgt eine Weitergabe nur im erforderlichen Umfang an:

• Strafverfolgungsbehörden bei richterlichem Beschluss
• Gesundheitsbehörden bei meldepflichtigen Krankheiten gemäß Infektionsschutzgesetz
• Datenschutzaufsichtsbehörden im Rahmen von Prüfungen
• Sozialversicherungsträger bei berechtigten Anfragen

b) Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d DSGVO)

Wenn die Weitergabe erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen Person zu schützen (z.B. medizinischer Notfall).

c) Auftragsverarbeitung (Art. 28 DSGVO)

Wir können Dienstleister beauftragen, die in unserem Auftrag personenbezogene Daten verarbeiten. Diese Dienstleister sind vertraglich verpflichtet, Ihre Daten ausschließlich nach unseren Weisungen zu verarbeiten und angemessene Sicherheitsmaßnahmen zu ergreifen. Mit allen Auftragsverarbeitern wurden Verträge gemäß Art. 28 DSGVO geschlossen.

7.3 Auftragsverarbeiter und Dienstleister

Folgende Auftragsverarbeiter werden zur Bereitstellung der App eingesetzt:

Server-Hosting:

[BITTE EINTRAGEN: Name des Hosting-Providers]

Standort: Deutschland

Zweck: Bereitstellung und Betrieb des SQL-Servers

Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitungsvertrag vorhanden)

E-Mail-Versand (Passwort-Reset):

[BITTE EINTRAGEN: Name des E-Mail-Dienstleisters, z.B. "Amazon SES (EU-Region)" oder "Mailgun EU" oder "Interner SMTP-Server"]

Standort: Deutschland/EU

Zweck: Versand von Passwort-Zurücksetzungslinks

Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitungsvertrag vorhanden)

Verarbeitete Daten: Nur E-Mail-Adresse und Zurücksetzungslink, keine Gesundheitsdaten

Technische Fehleranalyse:

Google Ireland Limited (Firebase Crashlytics)

Standort: Irland (EU), mit möglicher Verarbeitung in USA unter EU-US Data Privacy Framework

Zweck: Erfassung von App-Abstürzen und technischen Fehlern

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Verarbeitete Daten: Ausschließlich technische, anonymisierte Daten (siehe Abschnitt 8.1)

7.4 Keine Weitergabe an Drittländer (mit Ausnahme Firebase)

Eine Übermittlung Ihrer personenbezogenen Gesundheitsdaten in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums findet nicht statt.

Für Firebase Crashlytics gelten besondere Regelungen (siehe Abschnitt 8.1), wobei hier ausschließlich anonymisierte technische Daten übermittelt werden, keine Patientendaten oder Gesundheitsinformationen.

8. Analyse- und Drittanbieter-Dienste

8.1 Firebase Crashlytics (Google LLC)

Wir verwenden Firebase Crashlytics, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (nachfolgend "Google"), zur Erfassung von Absturzberichten und zur Verbesserung der App-Stabilität.

Erfasste Daten durch Firebase Crashlytics:

• Gerätemodell und Gerätehersteller (anonymisiert)
• Betriebssystemversion
• App-Version und Build-Nummer
• Zeitpunkt und technische Ursache von App-Abstürzen (Stack Traces)
• Technische Fehlerprotokolle ohne persönliche Daten
• Anonymisierte Geräte-ID (keine Verbindung zu Personendaten möglich)
• Anonymisierte Nutzungsstatistiken zur App-Performance

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerbehebung und Verbesserung der App-Stabilität sowie Sicherstellung eines fehlerfreien Betriebs)

Datenübermittlung in Drittländer:

Google ist nach dem EU-US Data Privacy Framework zertifiziert, was ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA gewährleistet. Die Verarbeitung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Standard Contractual Clauses). Die Daten werden primär auf Servern in der EU (Irland) verarbeitet.

Datenschutzinformationen von Google:

Weitere Informationen zum Datenschutz bei Google Firebase finden Sie unter:

• https://policies.google.com/privacy
• https://firebase.google.com/support/privacy
• https://firebase.google.com/terms/crashlytics

Widerspruchsrecht und Deaktivierung:

Sie können der Nutzung von Firebase Crashlytics in den App-Einstellungen unter "Datenschutz & Sicherheit" → "Fehlerberichte senden" widersprechen. Beachten Sie jedoch, dass dies die Qualität unseres technischen Supports beeinträchtigen kann, da wir keine Absturzberichte mehr von Ihrem Gerät erhalten.

8.2 Keine weiteren Tracking- oder Analyse-Dienste

Es werden keine weiteren Tracking-, Analyse- oder Marketing-Tools eingesetzt. Die App enthält:

• Keine Werbung oder Werbenetzwerke
• Keine Marketing-Tracker (z.B. Google Analytics, Facebook Pixel, Matomo)
• Keine Cookies für Tracking-Zwecke
• Keine Social-Media-Plugins (Facebook, Twitter, Instagram etc.)
• Keine Verhaltensanalyse oder Profiling zu Marketingzwecken
• Keine Remarketing- oder Retargeting-Dienste
• Keine Affiliate-Tracking-Systeme

9. Datenschutz-Folgenabschätzung (DPIA)

9.1 Durchführung einer DPIA

Gemäß Art. 35 DSGVO haben wir eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment – DPIA) für die WundDokuMobile-App durchgeführt, da die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten gemäß Art. 9 DSGVO) ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen kann.

9.2 Ergebnisse der DPIA

Die Datenschutz-Folgenabschätzung hat ergeben, dass durch die implementierten technischen und organisatorischen Maßnahmen (insbesondere AES-256-Verschlüsselung, Zugriffskontrolle, Audit-Logs, sichere Datenübertragung) die Risiken für die betroffenen Personen auf ein akzeptables Maß reduziert wurden.

9.3 Regelmäßige Überprüfung

Die DPIA wird mindestens jährlich überprüft und bei wesentlichen Änderungen der App-Funktionalität oder der Datenverarbeitung aktualisiert. Die letzte Überprüfung erfolgte im Januar 2026.

9.4 Verfügbarkeit der DPIA

Die vollständige DPIA ist aus Sicherheitsgründen nicht öffentlich einsehbar, kann jedoch auf begründete Anfrage bei der zuständigen Datenschutzaufsichtsbehörde eingesehen werden.

10. Datenpannen und Meldeverfahren

10.1 Meldung an die Aufsichtsbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) werden wir gemäß Art. 33 DSGVO die zuständige Datenschutzaufsichtsbehörde unverzüglich, möglichst innerhalb von 72 Stunden nach Bekanntwerden, über die Verletzung informieren, sofern die Verletzung voraussichtlich ein Risiko für Ihre Rechte und Freiheiten zur Folge hat.

10.2 Benachrichtigung betroffener Personen

Wenn die Datenpanne voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten zur Folge hat, werden wir Sie gemäß Art. 34 DSGVO unverzüglich über die Verletzung informieren. Die Benachrichtigung erfolgt per E-Mail an Ihre hinterlegte E-Mail-Adresse und enthält:

• Beschreibung der Art der Datenpanne
• Name und Kontaktdaten unseres Datenschutzverantwortlichen
• Beschreibung der wahrscheinlichen Folgen der Datenpanne
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung
• Empfehlungen zu Maßnahmen, die Sie ergreifen können (z.B. Passwortänderung)

10.3 Notfallplan

Wir verfügen über einen dokumentierten Notfallplan für den Umgang mit Datenpannen, der folgende Schritte umfasst:

• Sofortige Eindämmung der Datenpanne und Schadensbegrenzung
• Analyse des Vorfalls und Bewertung des Risikos
• Meldung an die Datenschutzaufsichtsbehörde (innerhalb 72 Stunden)
• Benachrichtigung betroffener Personen bei hohem Risiko
• Dokumentation des Vorfalls und der ergriffenen Maßnahmen
• Implementierung von Maßnahmen zur Verhinderung zukünftiger Vorfälle

10.4 Dokumentation

Alle Datenpannen werden gemäß Art. 33 Abs. 5 DSGVO dokumentiert, einschließlich der Umstände der Verletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen.

11. Ihre Rechte als betroffene Person

Sie haben gemäß der DSGVO umfassende Rechte bezüglich Ihrer personenbezogenen Daten. Zur Ausübung Ihrer Rechte können Sie sich jederzeit an die unten angegebenen Kontaktdaten wenden (siehe Abschnitt 16).

11.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten. Dies umfasst Informationen über:

• Die Verarbeitungszwecke
• Die Kategorien personenbezogener Daten
• Die Empfänger oder Kategorien von Empfängern
• Die geplante Speicherdauer oder die Kriterien für deren Festlegung
• Das Bestehen weiterer Rechte (Berichtigung, Löschung, Einschränkung, Widerspruch)
• Das Beschwerderecht bei einer Aufsichtsbehörde
• Die Herkunft der Daten, sofern diese nicht bei Ihnen erhoben wurden
• Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling

Auf Anfrage stellen wir Ihnen eine Kopie der personenbezogenen Daten zur Verfügung, die Gegenstand der Verarbeitung sind.

11.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Einige Daten können Sie direkt in der App unter "Einstellungen" → "Mein Profil" korrigieren; für andere Daten (insbesondere Patientendaten) wenden Sie sich bitte an unseren Support.

11.3 Recht auf Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn einer der folgenden Gründe zutrifft:

• Die Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig
• Sie widerrufen Ihre Einwilligung und es gibt keine andere Rechtsgrundlage
• Sie legen Widerspruch ein und es liegen keine vorrangigen berechtigten Gründe vor
• Die Daten wurden unrechtmäßig verarbeitet
• Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich

Löschung in der App:

Sie können innerhalb der App einzelne Wunddokumentationen, Fotos und Vorgänge selbst löschen über die Funktion "Löschen" im jeweiligen Menü. Für eine vollständige Löschung Ihres Benutzerkontos und aller damit verbundenen Daten (nach Ablauf der Aufbewahrungsfristen) kontaktieren Sie uns bitte per E-Mail an die im Abschnitt 16 angegebenen Kontaktdaten.

11.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn:

• Die Richtigkeit der Daten von Ihnen bestritten wird (für die Dauer der Überprüfung durch uns)
• Die Verarbeitung unrechtmäßig ist und Sie statt Löschung die Einschränkung der Nutzung verlangen
• Wir die Daten nicht mehr benötigen, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen
• Sie Widerspruch gegen die Verarbeitung eingelegt haben (für die Dauer der Prüfung)

Eingeschränkte Daten werden markiert und dürfen nur noch mit Ihrer Einwilligung oder für bestimmte gesetzlich erlaubte Zwecke verarbeitet werden.

11.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

Export-Funktion in der App:

Die App bietet eine integrierte Export-Funktion, mit der Sie Ihre Daten exportieren können:

• Microsoft Access-Export: Über "Einstellungen" → "Datenexport" → "Export zu Access-Datenbank" können Sie alle Ihre Daten in eine .accdb-Datei exportieren
• CSV-Export: Einzelne Datentabellen können als CSV-Dateien exportiert werden
• PDF-Export: Wunddokumentationen können als PDF-Berichte exportiert werden

Diese exportierten Daten können Sie dann nach Belieben weiterverarbeiten oder einem anderen Anbieter zur Verfügung stellen.

11.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Besonderes Widerspruchsrecht gegen Direktwerbung:

Sofern wir Ihre personenbezogenen Daten verarbeiten, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Nach Ihrem Widerspruch werden wir Ihre Daten nicht mehr für Zwecke der Direktwerbung verarbeiten.

Hinweis: Derzeit betreiben wir keine Direktwerbung. Diese Regelung dient der Vollständigkeit.

11.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Widerruf der Einwilligung:

Sie können Ihre Einwilligung widerrufen durch:

• E-Mail an: aljumaa@ats-computer.de oder tt@ats-computer.de
• Löschung der App von Ihrem Gerät (beachten Sie jedoch die Aufbewahrungspflichten für bereits erstellte Behandlungsdokumentationen)

Details zum Widerruf finden Sie in Abschnitt 14.

11.8 Automatisierte Entscheidungen und Profiling

Wir setzen keine automatisierten Entscheidungsfindungen oder Profiling-Verfahren gemäß Art. 22 DSGVO ein, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

12. Datenschutzbeauftragter

12.1 Bestellung eines Datenschutzbeauftragten

Gemäß Art. 37 DSGVO und § 38 BDSG sind wir derzeit nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da in unserem Unternehmen nicht mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

12.2 Kontakt bei Datenschutzfragen

Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die unter Abschnitt 16 angegebenen Kontaktdaten. Ihr Anliegen wird von unserem Datenschutz-Team bearbeitet.

12.3 Externe Datenschutzberatung

Wir werden bei Bedarf von externen Datenschutzexperten beraten, um die Einhaltung der DSGVO und anderer Datenschutzvorschriften sicherzustellen.

13. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

13.1 Zuständige Aufsichtsbehörde in Deutschland

Die für uns zuständige Datenschutzaufsichtsbehörde ist:

13.2 Weitere Aufsichtsbehörden

Eine Liste aller Datenschutzaufsichtsbehörden in Deutschland sowie deren Kontaktdaten finden Sie unter:

https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

Für europäische Aufsichtsbehörden außerhalb Deutschlands:

https://edpb.europa.eu/about-edpb/board/members_de

14. Einwilligung und Widerruf

14.1 Einholung der Einwilligung

Bei der ersten Nutzung der App werden Sie aufgefordert, diese Datenschutzerklärung zu lesen und Ihre Einwilligung zur Datenverarbeitung durch Aktivierung einer Checkbox zu erteilen:

• ☐ "Ich habe die Datenschutzerklärung gelesen und verstanden."
• ☐ "Ich willige in die Verarbeitung meiner personenbezogenen Daten gemäß der Datenschutzerklärung ein."
• ☐ "Ich willige in die Verarbeitung meiner Gesundheitsdaten zur medizinischen Wunddokumentation gemäß Art. 9 Abs. 2 lit. a DSGVO ein."

Ohne Ihre Einwilligung kann die App nicht genutzt werden, da die Verarbeitung personenbezogener Daten für die Bereitstellung der App-Funktionen erforderlich ist.

14.2 Freiwilligkeit der Einwilligung

Ihre Einwilligung ist freiwillig. Sie können die App jedoch ohne Einwilligung nicht nutzen, da die Datenverarbeitung für die Bereitstellung der Dienste erforderlich ist.

14.3 Widerruf der Einwilligung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf kann erfolgen durch:

• E-Mail: Senden Sie eine E-Mail an aljumaa@ats-computer.de oder tt@ats-computer.de mit dem Betreff "Widerruf der Einwilligung zur Datenverarbeitung"
• Schriftlich: Postalisch an die unter Abschnitt 16 angegebene Adresse
• In der App: Über "Einstellungen" → "Datenschutz" → "Einwilligung widerrufen und Konto löschen"

14.4 Folgen des Widerrufs

Nach Widerruf Ihrer Einwilligung:

• Wird Ihr Benutzerkonto deaktiviert
• Können Sie die App nicht mehr nutzen
• Werden Ihre Zugangsdaten innerhalb von 30 Tagen gelöscht
• Bleiben medizinische Behandlungsdaten aufgrund gesetzlicher Aufbewahrungspflichten (§ 630f BGB) für 10 Jahre gespeichert, werden jedoch eingeschränkt verarbeitet (nur für gesetzlich vorgeschriebene Zwecke)

15. Änderungen der Datenschutzerklärung

15.1 Anpassung bei Rechtsänderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, behördliche Vorgaben oder bei Änderungen der App-Funktionen anzupassen. Die jeweils aktuelle Datenschutzerklärung können Sie jederzeit in der App unter "Einstellungen" → "Datenschutzerklärung" abrufen oder auf unserer Website einsehen.

15.2 Benachrichtigung über wesentliche Änderungen

Bei wesentlichen Änderungen, die Ihre Rechte beeinträchtigen könnten oder eine erneute Einwilligung erfordern, werden wir Sie informieren durch:

• E-Mail-Benachrichtigung an Ihre hinterlegte E-Mail-Adresse (mindestens 30 Tage vor Inkrafttreten)
• In-App-Benachrichtigung beim nächsten App-Start
• Aufforderung zur erneuten Bestätigung der Datenschutzerklärung (bei wesentlichen Änderungen der Einwilligung)

Wir empfehlen Ihnen, die Datenschutzerklärung regelmäßig zu überprüfen, um über den Schutz Ihrer Daten informiert zu bleiben.

15.3 Dokumentation der Änderungen

Das Datum der letzten Aktualisierung und die Versionsnummer finden Sie am Anfang dieser Datenschutzerklärung. Frühere Versionen werden auf Anfrage zur Verfügung gestellt. Eine Änderungshistorie können Sie per E-Mail anfordern.

15.4 Änderungshistorie

Version 2.0 (Januar 2026):

• Hinzugefügt: Verschlüsselung aller Gesundheitsdaten (AES-256)
• Hinzugefügt: Datenschutz-Folgenabschätzung (DPIA) Abschnitt
• Hinzugefügt: Datenpannen-Meldeverfahren
• Hinzugefügt: Detaillierte Auftragsverarbeiter-Informationen
• Hinzugefügt: Zugriffsprotokolle und Audit Logs
• Hinzugefügt: Einwilligungs- und Widerrufsmechanismus
• Aktualisiert: Mindestalter von 13 auf 16 Jahre erhöht
• Aktualisiert: Firebase Crashlytics Informationen mit EU-US Data Privacy Framework
• Erweitert: Sicherheitsmaßnahmen und Verschlüsselungsdetails
• Erweitert: Benutzerrechte und Ausübungsmöglichkeiten

16. Kontakt für Datenschutzanfragen

Bei Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder bei Anliegen bezüglich der Verarbeitung Ihrer personenbezogenen Daten können Sie uns jederzeit kontaktieren:

16.1 Reaktionszeit

Wir werden Ihre Anfragen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang Ihrer Anfrage beantworten. In begründeten Fällen (z.B. bei besonders komplexen Anfragen oder hoher Anzahl von Anfragen) kann diese Frist um weitere zwei Monate verlängert werden, worüber wir Sie innerhalb eines Monats unter Angabe der Gründe für die Verzögerung informieren würden.

16.2 Identitätsprüfung

Zur Wahrung Ihrer Datensicherheit und zum Schutz vor unbefugtem Zugriff können wir bei der Ausübung Ihrer Rechte eine Identitätsprüfung durchführen. Dies dient dem Schutz Ihrer personenbezogenen Daten vor unbefugter Offenlegung. Wir können Sie bitten:

• Ihre Anfrage von der bei uns hinterlegten E-Mail-Adresse zu senden
• Eine Kopie Ihres Personalausweises oder Reisepasses vorzulegen (geschwärzt mit Ausnahme von Name, Geburtsdatum und Ausstellungsort)
• Zusätzliche Informationen anzugeben, die nur Ihnen bekannt sind (z.B. letzter Login-Zeitpunkt, verwendete Geräte)

16.3 Kostenlosigkeit

Die Ausübung Ihrer Rechte ist grundsätzlich kostenfrei. Nur bei offensichtlich unbegründeten oder exzessiven Anfragen, insbesondere im Fall häufiger Wiederholung, können wir gemäß Art. 12 Abs. 5 DSGVO ein angemessenes Entgelt verlangen oder uns weigern, aufgrund der Anfrage tätig zu werden.