Datenschutzerklärung

Verantwortlicher

Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO: wird nach finaler Entitätsentscheidung ergänzt (TBD — Marco).

Datenschutzbeauftragter

Datenschutzbeauftragter: derzeit nicht bestellt; Anfragen an den Verantwortlichen.

Geltungsbereich

Diese Datenschutzerklärung gilt für die Online-Plattform MindCova unter mindcova.com sowie alle damit verbundenen Dienste (Buchungssystem, Nutzerkonto, Blog). Sie richtet sich an Patientinnen und Patienten sowie Besucherinnen und Besucher der Plattform.

Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)

Die Inanspruchnahme psychologischer Unterstützung über MindCova berührt Gesundheitsdaten, die gemäß Art. 9 DSGVO als besondere Kategorie personenbezogener Daten eingestuft sind und dem höchsten Schutzniveau unterliegen.

Rechtsgrundlage für die Verarbeitung dieser Daten ist die ausdrückliche Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a DSGVO i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung wird bei der Kontoerstellung eingeholt; Einwilligungsversion und -zeitpunkt werden protokolliert.

Zum Schutz dieser Daten setzen wir Pseudonymisierung, Verschlüsselung im Ruhezustand und bei der Übertragung sowie strenge Zugriffskontrollen ein. Alle Datenzugriffe werden in AWS CloudWatch protokolliert. Patienteninhalte aus Sitzungen (Videogesprächsinhalte) werden auf unserer Infrastruktur nicht gespeichert.

Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen gemäß DSGVO Art. 6 und Art. 9:

• Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) — für die Verarbeitung besonderer Kategorien personenbezogener Daten (psychische Gesundheitsdaten), die im Rahmen des Buchungs- und Sitzungslebenszyklus ausgetauscht werden. Die Einwilligung wird bei der Registrierung über ein ausdrückliches Kontrollkästchen eingeholt; Version und Zeitstempel der Einwilligung werden gespeichert.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — für Buchung, Zahlungsabwicklung, Terminplanung und Kontoverwaltung. Ohne diese Verarbeitung kann der Buchungsservice nicht erbracht werden.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — für die Aufbewahrung von Buchungs- und Rechnungsunterlagen gemäß §257 HGB (10 Jahre) sowie zur Erfüllung von Anfragen zur Ausübung von Betroffenenrechten nach DSGVO.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) — für Sicherheitsüberwachung (CloudWatch-Alarme, PII-Regex-Filter, Auditprotokoll) und Betrugsprävention; abgewogen gegen die Rechte und Freiheiten der betroffenen Personen.

Datenstandort und Drittlandübermittlung

Sämtliche personenbezogenen Daten werden ausschließlich in der AWS-Region eu-central-1 (Frankfurt, Deutschland) gespeichert und verarbeitet. Es findet keine Übermittlung in Drittländer außerhalb des Europäischen Wirtschaftsraums (EWR) statt.

Auftragsverarbeiter

Wir setzen die folgenden Auftragsverarbeiter ein. Mit jedem Auftragsverarbeiter wird ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen:

• Amazon Web Services EMEA SARL (AWS) — Betrieb der Cloud-Infrastruktur (Amazon Cognito, DynamoDB, SES, S3, CloudFront, CloudWatch) — ausschließlich Region eu-central-1; Rechtsgrundlage: DSGVO-Datenschutznachtrag von AWS und EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
• Google Meet (Google LLC) — Wir speichern lediglich den Einladungslink; die Videoverbindung findet direkt zwischen der Nutzerin oder dem Nutzer und der Psychologin oder dem Psychologen über die Infrastruktur von Google statt. MindCova verarbeitet keine Gesprächsinhalte. Für die Nutzung von Google Meet gelten die Datenschutzbedingungen von Google.
• Stripe Payments Europe Limited (Irland) — Online-Zahlungsabwicklung (Stripe Checkout) für Sitzungsgebühren in EUR; EU-basierte Verantwortlicher-zu-Auftragsverarbeiter-Beziehung gemäß Art. 28 DSGVO. Stripe verarbeitet Karteninhaberdaten auf eigenen Systemen; MindCova erhält keine Rohdaten von Kartennummern (PCI-Umfang minimiert über Stripe Checkout). Es gelten Stripes Standard-Datenverarbeitungsbedingungen: https://stripe.com/legal/dpa.
• CCM19 (Papoo Software & Media GmbH) — Einwilligungsverwaltung (Consent Management Platform) — selbst gehostete EU-Installation unter consent.blencode.com; Rechtsgrundlage: AVV gemäß Art. 28 DSGVO.

Rechte der betroffenen Personen

Als betroffene Person stehen Ihnen gegenüber dem Verantwortlichen folgende Rechte zu:

• Art. 15 DSGVO — Auskunftsrecht: Sie haben das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten.
• Art. 16 DSGVO — Berichtigungsrecht: Sie haben das Recht, unrichtige Daten berichtigen zu lassen.
• Art. 17 DSGVO — Recht auf Löschung: Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Art. 18 DSGVO — Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
• Art. 20 DSGVO — Recht auf Datenübertragbarkeit: Sie haben das Recht, Ihre Daten in einem maschinenlesbaren Format zu erhalten.
• Art. 21 DSGVO — Widerspruchsrecht: Sie haben das Recht, der Verarbeitung Ihrer Daten zu widersprechen.
• Art. 77 DSGVO — Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts.

Für die Ausübung Ihrer Rechte auf Auskunft, Datenübertragbarkeit und Löschung steht Ihnen unser Self-Service-Bereich zur Verfügung: Mein Konto. Für sonstige Anfragen wenden Sie sich bitte an die unter Abschnitt 11 genannte Kontaktadresse.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie können Ihre Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Plattform-Einwilligung: Widerruf über den Bereich „Konto löschen“ in Ihrem Nutzerkonto. Cookie-Einwilligung (TTDSG §25): Anpassung jederzeit über den Cookie-Einstellungen-Button im Footer oder durch erneutes Aufrufen des Einwilligungsbanners.

Speicherdauer

• Buchungs- und Rechnungsdaten: 10 Jahre gemäß HGB §257 (gesetzliche Aufbewahrungspflicht für Geschäftsunterlagen).
• Kontodaten: bis zur Löschung durch die Nutzerin oder den Nutzer; nach Löschungsantrag unverzügliche Deaktivierung und endgültige Löschung nach Ablauf etwaiger gesetzlicher Aufbewahrungsfristen.
• Sitzungsinhalte (Videogesprächsinhalte): werden auf unserer Infrastruktur nicht gespeichert. Google Meet hostet die Verbindung direkt.

Cookies und lokaler Speicher

Unsere Plattform verwendet Cookies und vergleichbare Speichertechnologien. Die Einwilligung wird über CCM19 eingeholt und verwaltet.

Technisch notwendige Cookies (Authentifizierung, Einwilligungsspeicherung) werden ohne vorherige Einwilligung gesetzt, da sie für den Betrieb der Plattform unbedingt erforderlich sind (TTDSG §25 Abs. 2).

Analyse- und Marketing-Cookies werden nur mit ausdrücklicher Einwilligung gesetzt (TTDSG §25 Abs. 1). Derzeit sind keine Analyse- oder Marketing-Cookies aktiv. Dieses Framework gilt für künftig hinzukommende Dienste.

Kontakt für Datenschutzanfragen

Für Anfragen zum Datenschutz, zur Ausübung Ihrer Rechte oder für sonstige datenschutzbezogene Anliegen wenden Sie sich bitte an die folgende Adresse. Postanschrift: wird nach finaler Entitätsentscheidung ergänzt.

E-Mail: datenschutz@mindcova.com

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Entwicklungen oder neue Dienste anzupassen. Bei wesentlichen Änderungen informieren wir Sie per E-Mail. Die jeweils aktuelle Fassung ist auf dieser Website abrufbar: mindcova.com/datenschutz

Dokumentenversion: 2026-05-31