Skip to content

Datenschutzrichtlinie

Zuletzt aktualisiert: 2026-03-23

1. Einleitung

PhysioSense ("wir", "unser"), betrieben von Milena Orlandić, Einzelunternehmerin, Vladimira Rolovića 2a, Bar, Montenegro, betreibt die Website physiosense.net. Diese Richtlinie beschreibt, wie wir Ihre personenbezogenen Daten in Übereinstimmung mit der DSGVO, dem montenegrinischen Gesetz zum Schutz personenbezogener Daten und den geltenden Datenschutzgesetzen erheben, verwenden und schützen.

PhysioSense ist für Nutzer ab 16 Jahren bestimmt. Wenn Sie unter 16 Jahre alt sind, dürfen Sie PhysioSense nur mit Zustimmung eines Elternteils oder gesetzlichen Vormunds nutzen.

2. Daten, die wir erheben

Kontodaten:

  • E-Mail-Adresse (zur Authentifizierung)
  • Name (zur Profilanzeige)
  • Rolle (z. B. Physiotherapeut, Student)
  • Berufliche Lizenznummer (optional)
  • Auswahl der Abonnementstufe
  • Zahlungsdaten (verarbeitet durch Paddle — wir speichern keine Kartendaten)

Gesundheitsdaten (Art. 9 DSGVO — besondere Kategorie):

  • Daten der Gesundheitsbewertung (Diagnose, Genesungsphase, Symptomdauer, Schmerzniveau, funktioneller Status, Patientenalter, Geschlecht, Komorbiditäten, Ausstattung, Ziele, Behandlungsumgebung)
  • Patientenberichtete Ergebnisse (Schmerzwerte, Funktionswerte, klinischer Fortschritt, Adhärenzdaten)
  • Generierte Berichte (personalisierte evidenzbasierte Bildungsinhalte, PDF-Dokumente)

Rechtsgrundlage für Gesundheitsdaten

Wenn Sie einen personalisierten Bericht erstellen, erheben wir gesundheitsbezogene Informationen, die "Daten besonderer Kategorien" nach Art. 9 DSGVO darstellen. Wir verarbeiten diese Gesundheitsdaten auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a), die Sie bei der Erstellung eines Berichts erteilen. Sie können diese Einwilligung jederzeit widerrufen, indem Sie Ihre Berichte oder Ihr Konto in den Einstellungen löschen.

Daten der Gesundheitsbewertung beziehen sich auf klinische Szenarioparameter, die vom Nutzer eingegeben werden, um evidenzbasierte Berichte zu erstellen. Diese Daten beschreiben ein klinisches Szenario und können, müssen aber nicht einem tatsächlichen Patienten entsprechen. PhysioSense erhebt keine direkten Patientenidentifikatoren (Name, Geburtsdatum, Adresse oder nationale Identifikationsnummer).

Klinische Nutzer (Physiotherapeuten, Ärzte usw.) können optional die E-Mail-Adresse und Telefonnummer eines Patienten während der Aufnahme eingeben. In diesem Fall handelt PhysioSense als Auftragsverarbeiter im Namen des Klinikers, der für die Einholung der Einwilligung des Patienten verantwortlich ist. Diese Kontaktdaten werden zusammen mit der klinischen Akte gespeichert und mit dieser gelöscht.

3. Wie wir Ihre Daten verwenden

  • Zur Bereitstellung und Personalisierung der Plattform — Vertrag, Art. 6 Abs. 1 lit. b; Ausdrückliche Einwilligung für Gesundheitsdaten, Art. 9 Abs. 2 lit. a
  • Zur Verarbeitung von Abonnements und Zahlungen — Vertrag, Art. 6 Abs. 1 lit. b
  • Zum Versand transaktionaler E-Mails (Kontobestätigung, Passwort-Zurücksetzung) — Vertrag, Art. 6 Abs. 1 lit. b
  • Für die Plattformsicherheit und Fehlerverfolgung — Berechtigtes Interesse, Art. 6 Abs. 1 lit. f
  • Zur Verbesserung der Plattform auf Grundlage aggregierter Nutzung (mit Einwilligung) — Einwilligung, Art. 6 Abs. 1 lit. a
  • Zur Erstellung pseudonymisierter, aggregierter Erkenntnisse aus Ergebnisdaten für Forschung und Plattformverbesserung. Angewendet nur auf pseudonymisierte Daten ohne direkte Identifikatoren. Nutzer können über Einstellungen > Einwilligungsverwaltung widersprechen — Berechtigtes Interesse, Art. 6 Abs. 1 lit. f

4. Datenspeicherung und Sicherheit

  • Datenbank und Authentifizierung: Supabase (EU — Irland). Row-Level Security (RLS) auf allen Tabellen.
  • Anwendungshosting: Vercel (EU — Paris, cdg1). HTTPS/TLS-Verschlüsselung, HSTS mit 2-jähriger Gültigkeitsdauer.
  • Passwörter: gehasht über bcrypt (Supabase Auth). Wir speichern Passwörter niemals im Klartext.
  • Sicherheits-Header: Content-Security-Policy, X-Frame-Options (DENY für API, SAMEORIGIN für Seiten), X-Content-Type-Options: nosniff, CSRF-Schutz bei allen Mutationen.
  • Ergebnis-Backups: verschlüsselt und in Supabase Storage gespeichert (tägliches Backup).

5. Unterauftragsverarbeiter

Wir nutzen die folgenden Unterauftragsverarbeiter zur Verarbeitung Ihrer Daten:

DienstZweckStandortÜbermittlungsschutz
SupabaseAuthentifizierung und DatenbankEU (Ireland)EU-Angemessenheit — keine Übermittlung
VercelAnwendungshosting und CDNEU (Paris)EU-Angemessenheit — keine Übermittlung
Vercel AnalyticsAggregierte Website-AnalytikEU (Frankfurt)EU-Angemessenheit — keine Übermittlung
PaddleZahlungsabwicklung (MoR)UK / EUUK-Angemessenheitsbeschluss
ResendTransaktionale E-MailsUSStandardvertragsklauseln (SCCs). Nur E-Mail-Adressen.
SentryFehlerverfolgungEUEU-Angemessenheit — keine Übermittlung

Wir verkaufen, vermieten oder teilen Ihre personenbezogenen Daten nicht mit Dritten zu Marketingzwecken. Auftragsverarbeitungsverträge (AVVs) bestehen mit allen Unterauftragsverarbeitern.

5b. Cookies

Informationen über die von uns verwendeten Cookies finden Sie in unserer Cookie-Richtlinie.

5c. Internationale Datenübermittlungen

Ihre Daten werden in der EU gespeichert: Datenbank in Irland (Supabase), Hosting in Paris (Vercel). Die einzige Übermittlung außerhalb der EU ist Ihre E-Mail-Adresse, die an Resend (USA) für den transaktionalen E-Mail-Versand gesendet wird, geschützt durch Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Keine Gesundheitsdaten werden außerhalb der EU übermittelt.

6. Ihre Rechte (DSGVO)

  • Auskunft (Art. 15)Ihre Daten in den Einstellungen einsehen
  • Berichtigung (Art. 16) Ihre Daten in den Einstellungen aktualisieren
  • Löschung (Art. 17)Kontolöschung in Einstellungen > Profil beantragen
  • Datenübertragbarkeit (Art. 20) alle Ihre Daten im JSON-Format über Einstellungen > Daten exportieren herunterladen
  • Einschränkung (Art. 18) kontaktieren Sie privacy@physiosense.net
  • Widerruf der Einwilligung (Art. 7(3)) widerrufen Sie Ihre Einwilligung zur Verarbeitung von Gesundheitsdaten jederzeit über Einstellungen > Einwilligungsverwaltung. Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.
  • Widerspruch (Art. 21) kontaktieren Sie privacy@physiosense.net
  • Beschwerde (Art. 77) Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. Für Montenegro: AZLP, www.azlp.me. Für EU-Bürger: Ihre lokale Datenschutzbehörde.

7. Automatisierte Entscheidungsfindung

PhysioSense trifft keine automatisierten Entscheidungen über Sie. Die Berichtserstellung filtert veröffentlichte Evidenz auf Grundlage Ihrer Eingaben, stellt jedoch keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO dar. Alle Entscheidungen verbleiben beim Kliniker.

8. Datenspeicherung

  • Kontodaten: solange das Konto aktiv ist. Löschung auf Anfrage über die Einstellungen.
  • Gesundheitsdaten: solange die Einwilligung besteht. Der Widerruf der Einwilligung löst die Löschung aus.
  • Generierte Berichte: werden bei Löschung aus der Nutzeransicht entfernt. Pseudonymisierte Daten (ohne direkte Patientenidentifikatoren) können für die Qualitätssicherung und aggregierte Forschung aufbewahrt werden. E-Mail-Adresse und bestimmte Kontodaten bleiben mit dem Konto verknüpft und werden mit diesem gelöscht. Bei Kontolöschung werden alle personenbezogenen Daten innerhalb von 30 Tagen dauerhaft gelöscht.
  • Zahlungsunterlagen: 7 Jahre (gesetzliche Pflicht).
  • Fehlerprotokolle: 90 Tage (automatische Löschung durch Sentry).

8b. Übungsbibliothek — HD-Video-Anfragen

Wenn Sie ein Video in hoher Auflösung aus unserer öffentlichen Übungsbibliothek anfordern, erfassen wir die von Ihnen angegebene E-Mail-Adresse, die Inhaltssprache, eine gehashte Darstellung Ihrer IP-Adresse (SHA-256) sowie den User-Agent-String. Ein Konto ist nicht erforderlich.

Rechtsgrundlage: Ihre ausdrückliche Einwilligung (DSGVO Art. 6 Abs. 1 lit. a) durch das Einwilligungskästchen im Anfrageformular.

Zweck: einmalige Zusendung des HD-Links per E-Mail und Missbrauchsschutz durch eine einfache Ratenbegrenzung (3 Anfragen pro Stunde pro gehashter IP). Die E-Mail wird nicht für Marketing verwendet.

Aufbewahrung: Datensätze werden automatisch 90 Tage nach Zustellung der E-Mail gelöscht, bzw. 30 Tage, falls die Zustellung fehlschlägt. Wir speichern die unverschlüsselte IP-Adresse nicht — nur einen gesalzenen Hash zur Ratenbegrenzung.

Ihre Rechte: für Einsicht oder Löschung Ihres Datensatzes vor der automatischen Löschung kontaktieren Sie privacy@physiosense.net mit der verwendeten E-Mail-Adresse.

9. Richtlinienänderungen

Wenn wir wesentliche Änderungen an dieser Richtlinie vornehmen, werden wir Sie per E-Mail mindestens 14 Tage vor deren Inkrafttreten benachrichtigen.

10. Kontakt

Für Datenschutzanfragen kontaktieren Sie uns unter: privacy@physiosense.net

Wir haben keinen Datenschutzbeauftragten (DSB) bestellt, da unsere Verarbeitung die Schwellenwerte nach Art. 37 DSGVO nicht erreicht.

Wir antworten innerhalb von 30 Tagen gemäß den DSGVO-Anforderungen.

PhysioSense — Milena Orlandić, Einzelunternehmerin, Vladimira Rolovića 2a, Bar, Montenegro

NutzungsbedingungenCookie-Richtlinie