Datenschutzerklärung
Stand: Mai 2026
Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Nachfolgend informieren wir Sie ausführlich über die Verarbeitung personenbezogener Daten bei der Nutzung von CalMedi gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).
1. Verantwortliche Stelle
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist die im Impressum genannte Stelle.
Datenschutzanfragen richten Sie bitte an: kontakt@calmedi.de
2. Welche Daten wir erheben
2.1 Bestandsdaten (Kontodaten)
- E-Mail-Adresse
- Passwort (ausschließlich als bcrypt-Hash gespeichert; das Klartext-Passwort wird nicht gespeichert)
- Bevorzugte Sprache
- Rolle im System (Patient / Arzt)
- Bei OAuth-Anmeldung: OAuth-Anbieter und externe Kennung (z.B. Google-ID)
- Zeitpunkt der Registrierung und des letzten Logins
2.2 Gesundheitsbezogene Daten (besondere Kategorie, Art. 9 DSGVO)
- Medikamentennamen, Dosierung und Notizen
- Einnahmezeitpunkte und -frequenz
Hinweis: Alle Medikationsdaten werden mit symmetrischer Verschlüsselung (Fernet/AES-128-CBC) verschlüsselt gespeichert. Ein Zugriff auf die Klartextdaten ist nur über den Dienst selbst bei authentifizierter Sitzung möglich.
2.3 Nutzungsdaten (automatisch erhoben)
- IP-Adresse
- User-Agent (Browserkennung)
- Zeitstempel der Zugriffe
- Aufgerufene Aktionen (z.B. Login, Kalender erstellen/bearbeiten)
Diese Daten werden in Audit-Logs zur Sicherstellung der Systemsicherheit und Missbrauchserkennung gespeichert.
2.4 Vom Dienst erzeugte Daten
- Kalender-Einträge und Freigabe-Token
- Arzt-Patient-Verknüpfungen
- Einladungscodes
- E-Mail-Verifizierungs-Token (als SHA-256-Hash gespeichert)
3. Rechtsgrundlagen der Verarbeitung
| Datenart | Rechtsgrundlage | Erläuterung |
|---|---|---|
| Bestandsdaten (Konto) | Art. 6 Abs. 1 lit. b DSGVO | Erfüllung des Nutzungsvertrags |
| Medikationsdaten (Gesundheitsdaten) | Art. 9 Abs. 2 lit. a DSGVO | Ausdrückliche Einwilligung bei Registrierung und Eingabe der Daten |
| Nutzungsdaten / Audit-Logs | Art. 6 Abs. 1 lit. f DSGVO | Berechtigtes Interesse an Systemsicherheit und Missbrauchsprävention |
| E-Mail-Versand (Verifizierung, Passwort-Reset) | Art. 6 Abs. 1 lit. b DSGVO | Erforderlich zur Vertragserfüllung (Kontosicherheit) |
4. Zwecke der Verarbeitung
- Bereitstellung und Betrieb des Dienstes (Medikationsplan-Verwaltung, Kalenderexport)
- Authentifizierung und Kontoverwaltung
- E-Mail-Verifizierung und Passwort-Zurücksetzung
- Freigabe von Kalenderdaten an behandelnde Ärzt:innen (nur auf ausdrücklichen Wunsch des Nutzers)
- Gewährleistung der Systemsicherheit (Rate-Limiting, Audit-Logging)
- Missbrauchserkennung und -prävention
5. Speicherdauer
| Daten | Speicherdauer |
|---|---|
| Kontodaten und Medikationsdaten | Bis zur Löschung des Kontos durch den Nutzer |
| Audit-Logs (IP-Adresse, User-Agent, Aktionen) | 90 Tage, danach automatische Löschung |
| E-Mail-Verifizierungs-Token | Nach Nutzung oder Ablauf (24 Stunden) gelöscht |
| Passwort-Reset-Token | Nach Nutzung oder Ablauf (1 Stunde) gelöscht |
Bei Löschung Ihres Kontos werden sämtliche personenbezogene Daten (Kontodaten, Medikationsdaten, Kalender, Verknüpfungen, Audit-Einträge) unwiderruflich gelöscht.
6. Auftragsverarbeiter
Wir setzen folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV).
| Dienstleister | Zweck | Standort |
|---|---|---|
| Contabo GmbH, München | Server-Hosting (Webserver, Datenbank) | Deutschland |
| Hetzner Online GmbH, Gunzenhausen | E-Mail-Versand (Verifizierung, Passwort-Reset) | Deutschland |
7. Datenübermittlung in Drittländer
Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums findet nicht statt. Sämtliche Server und Auftragsverarbeiter befinden sich in Deutschland.
8. Technische und organisatorische Maßnahmen
- Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen
- Verschlüsselung von Medikationsdaten at-rest (Fernet/AES-128-CBC)
- Passwort-Hashing mit bcrypt (Kosten-Faktor 12)
- httpOnly- und Secure-Cookies zur Session-Verwaltung
- CSRF-Schutz (Double-Submit-Cookie)
- Rate-Limiting zum Schutz vor Brute-Force-Angriffen
- Audit-Logging sicherheitsrelevanter Aktionen
- Minimierung gespeicherter personenbezogener Daten (z.B. keine Speicherung von Klartext-Passwörtern oder rohen Token)
9. Cookies
CalMedi verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt.
| Cookie | Zweck | Laufzeit |
|---|---|---|
access_token |
Authentifizierung (Session) | Sitzungsdauer / bis Logout |
calmedi_lang |
Sprachpräferenz des Nutzers | 1 Jahr |
csrf_token |
Schutz vor Cross-Site-Request-Forgery | Sitzungsdauer |
Da ausschließlich funktionsnotwendige Cookies verwendet werden, ist keine gesonderte Einwilligung erforderlich (Art. 5 Abs. 3 ePrivacy-Richtlinie / § 25 Abs. 2 TDDDG).
10. Ihre Rechte als betroffene Person
Sie haben gemäß DSGVO folgende Rechte:
- Auskunftsrecht (Art. 15): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
- Berichtigung (Art. 16): Sie können die Berichtigung unrichtiger Daten verlangen.
- Löschung (Art. 17): Sie können die Löschung Ihrer Daten verlangen. Die Kontolöschung ist jederzeit direkt in der Anwendung möglich.
- Einschränkung (Art. 18): Sie können die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.
- Widerspruch (Art. 21): Sie können der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3): Sie können Ihre Einwilligung zur Verarbeitung von Gesundheitsdaten jederzeit widerrufen. Der Widerruf erfolgt durch Löschung der betreffenden Daten oder des Kontos.
11. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).
Eine Liste der Aufsichtsbehörden finden Sie unter: www.bfdi.bund.de
12. Kontakt
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich an: kontakt@calmedi.de