Datenschutzerklärung

Stand: 11. August 2025

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG). In dieser Erklärung erläutern wir, welche personenbezogenen Daten wir erheben, zu welchen Zwecken wir sie verarbeiten, wie lange wir sie speichern, auf welche Rechtsgrundlagen wir uns stützen und welche Rechte Sie haben.

1. Verantwortliche Stelle

Jorge Castaneda M.D.
Privatarztpraxis für ästhetische Medizin
Telefon: 040 743250633 – E-Mail: info@jorgecastaneda-md.com
Vertretungsberechtigt: Faustyna Klabun

Sofern vorhanden: Datenschutzbeauftragte/r – Faustyna klabun, faustyna.klabun@jorgecastaneda-md.com

2. Arten von Daten, Zwecke und Rechtsgrundlagen

Wir verarbeiten Stammdaten (z. B. Name, Kontaktdaten, Adresse), Gesundheitsdaten (Anamnese, Diagnosen, Befunde, Behandlungsverläufe, Fotodokumentation), Abrechnungsdaten (Leistungen, Rechnungsnummern, Beträge, Zahlungsstatus), Kommunikationsdaten (Inhalte und Metadaten Ihrer Nachrichten) sowie Web-/Nutzungsdaten (IP-Adresse, Browserinformationen, Zugriffszeitpunkte, Referrer-URL).

• Medizinische Behandlung und Dokumentation: Durchführung der Behandlung inkl. Anamnese, Diagnose, Therapieplanung und Dokumentation. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO; Art. 9 Abs. 2 lit. h DSGVO.

• Terminverwaltung: Buchung, Änderung, Stornierung, Erinnerungen, Wartelisten. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO (effizienter Praxisbetrieb).

• Digitale Patientenaufnahme (Nelly): Vorerfassung von Stammdaten/Anamnesen, Einwilligungen. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. a DSGVO (freiwillige Nutzung); Gesundheitsdaten nach Art. 9 Abs. 2 lit. h DSGVO.

• Kommunikation: Telefon, SMS, Superchat, WhatsApp Business API, E-Mail, Instagram, Facebook, TikTok. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. a DSGVO (soziale Netzwerke, soweit erforderlich); Art. 6 Abs. 1 lit. f DSGVO.

• Website-Betrieb und Sicherheit: Technische Bereitstellung, Stabilität, Fehlersuche. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; Zugriff auf Endgeräte-Infos nur, soweit technisch erforderlich (§ 25 Abs. 2 TTDSG).

3. Website, Cookies, Server-Protokolle und Sicherheit

Unsere Website setzt keine Tracking- oder Marketing-Cookies ein. Technisch notwendige Cookies können entstehen, wenn Sie die Online-Terminbuchung (Shore) oder den Chat (Superchat) aufrufen; sie dienen ausschließlich der Funktion und werden nach Sitzungsende gelöscht. Beim Besuch der Seite protokolliert unser Hoster (Squarespace) automatisch Server-Log-Daten (u. a. IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Datum/Uhrzeit des Zugriffs) zur Sicherstellung von Betrieb und Sicherheit; die Löschung erfolgt in der Regel nach spätestens 7 Tagen. Alle Verbindungen sind durch SSL/TLS verschlüsselt.

4. Eingebundene Dienste/Plugins

Shore (Terminbuchung): Für die Online-Buchung wird beim Aufruf des Widgets eine Verbindung zu Shore hergestellt; technisch erforderliche Cookies können gesetzt werden. Datenschutzerklärung: https://www.shore.com/de/datenschutzerklaerung

Nelly (digitale Patientenaufnahme): Verwendet ausschließlich technisch notwendige Session-Cookies, keine Analyse-/Marketing-Cookies; Verarbeitung in der EU. Datenschutzerklärung: https://www.getnelly.de/datenschutzerklaerung

Superchat (Kommunikation): Deutscher Anbieter; Serverstandort in Deutschland. Bei Nutzung der WhatsApp Business API über Superchat können Metadaten durch WhatsApp Ireland verarbeitet werden.

Google Maps (sofern eingebunden): Zur Kartendarstellung von Google Ireland Limited; beim Aufruf werden Daten (z. B. IP-Adresse) an Google übermittelt; eine Übertragung in die USA ist möglich. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) über Cookie-Banner bzw. „Karte laden“. Details: https://policies.google.com/privacy

Google Analytics (sofern aktiviert): Webanalyse-Dienst von Google Ireland Limited; setzt Cookies zur Nutzungsanalyse. Die Daten können in die USA übertragen werden. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). AV-Vertrag mit Google und IP-Anonymisierung sind aktiv. Opt-out: https://tools.google.com/dlpage/gaoptout

5. Externe Dienstleister (Auftragsverarbeiter)

• Eterno (Eterno Health) – IT-Betreuung, Hosting des Kontaktcenters, Betrieb/Support des Patientenverwaltungssystems. Sitz: Deutschland. Web: https://www.eterno.health – E-Mail: info@eternohealth.de – Datenschutzerklärung: https://www.eterno.health/datenschutz

• Shore GmbH – Online-Terminbuchung. Seidlstraße 23, 80335 München. Web: https://www.shore.com – Datenschutzerklärung: https://www.shore.com/de/datenschutzerklaerung

• Nelly Solutions GmbH – digitale Patientenaufnahme. Oranienstraße 6, 10997 Berlin. Web: https://www.getnelly.de– Datenschutzerklärung: https://www.getnelly.de/datenschutzerklaerung

• Squarespace, Inc. – Website-Hosting. 225 Varick Street, 12th Floor, New York, NY 10014, USA. Privacy: https://www.squarespace.com/privacy

6. Social-Media-Auftritte (Facebook, Instagram, TikTok)

Wir betreiben öffentliche Profile auf den sozialen Netzwerken Facebook, Instagram und TikTok, um mit Interessenten, Patienten und anderen Nutzern zu kommunizieren und über unsere Leistungen zu informieren. Beim Besuch unserer Profile werden personenbezogene Daten der Profilbesucher durch die Plattformbetreiber verarbeitet – auch wenn Sie selbst kein Konto bei der jeweiligen Plattform besitzen.

Facebook und Instagram (Meta Platforms Ireland Ltd.)
Anbieter: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland
Datenschutzerklärungen:

• Facebook: https://www.facebook.com/privacy/policy

• Instagram: https://privacycenter.instagram.com/policy/

Gemeinsame Verantwortlichkeit: Für „Page Insights“ sind wir und Meta gemeinsam Verantwortliche (Art. 26 DSGVO). Vereinbarung: https://www.facebook.com/legal/terms/page_controller_addendum. Meta übernimmt die primäre Verantwortung für Betroffenenrechte im Zusammenhang mit Page Insights.

TikTok (TikTok Technology Limited / TikTok Information Technologies UK Limited / TikTok Inc.)
Anbieter in der EU: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irland
Datenschutzerklärung: https://www.tiktok.com/legal/page/eea/privacy-policy/de

Auch TikTok kann Daten in Länder außerhalb der EU übertragen (u. a. USA, Singapur). Grundlage hierfür sind die Standardvertragsklauseln der EU-Kommission.

7. Datenübermittlung in Drittländer

Eine Drittlandübermittlung findet nur statt, wenn dies erforderlich ist oder Sie eingewilligt haben. Bei Squarespace, Google Maps, Google Analytics, Meta und TikTok kann eine Übertragung in die USA oder andere Drittländer erfolgen, basierend auf den Standardvertragsklauseln der EU-Kommission.

8. Speicherdauern

• Behandlungs-/Gesundheitsdaten: mind. 10 Jahre (§ 630f BGB)

• Abrechnungsunterlagen: 10 Jahre (§ 147 AO)

• Kommunikationsdaten: bis Zweckerreichung oder Widerruf Ihrer Einwilligung

• Server-Log-Daten: max. 7 Tage

• Technisch notwendige Cookies: bis Sitzungsende

• Google Analytics-Daten: Standardmäßig 14 Monate (falls aktiviert)

9. Pflicht zur Bereitstellung

Für die Behandlung ist die Angabe bestimmter personenbezogener Daten erforderlich. Ohne diese Angaben ist eine Behandlung nicht möglich.

10. Minderjährige

Unsere Leistungen richten sich an volljährige Personen. Bei Minderjährigen verarbeiten wir Daten nur mit Einwilligung der Sorgeberechtigten.

11. Bewerbungen

Bewerbungsdaten verarbeiten wir zum Zweck der Entscheidung über ein Beschäftigungsverhältnis (Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 BDSG) und löschen sie sechs Monate nach Abschluss des Verfahrens, sofern keine längere Aufbewahrung erforderlich ist oder Sie eingewilligt haben.

12. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung oder Profiling statt.

13. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie Widerspruch (Art. 21 DSGVO). Eine erteilte Einwilligung können Sie jederzeit widerrufen (Art. 7 Abs. 3 DSGVO).

14. Beschwerderecht

Zuständige Aufsichtsbehörde:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Kurt-Schumacher-Allee 4, 20097 Hamburg.

15. Datensicherheit

Wir schützen Ihre Daten durch geeignete technische und organisatorische Maßnahmen wie SSL/TLS-Verschlüsselung, Zugriffsbeschränkungen, Protokollierung und regelmäßige Sicherheits-Updates.

16. Widerruf, Opt-out und Cookie-Einstellungen

Sie können Ihre Einwilligungen (z. B. zu Google Analytics, Google Maps) jederzeit über die Cookie-Einstellungen auf unserer Website ändern oder widerrufen. Für Google Analytics gibt es zusätzlich das Browser-Add-on: https://tools.google.com/dlpage/gaoptout

17. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, wenn sich rechtliche Vorgaben oder unsere Verfahren ändern. Es gilt stets die aktuelle, auf unserer Website veröffentlichte Fassung.