Mediconvey Logo

Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website https://mediconvey.de sowie unsere Anwendungen, Plattformen und digitalen Dienste von MediConvey nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie der nachfolgenden Datenschutzerklärung.

Datenerfassung auf dieser Website und in unseren Anwendungen

Wer ist verantwortlich für die Datenerfassung?

Die Datenverarbeitung erfolgt durch die MediConvey GbR als Websitebetreiber und Anbieter der MediConvey-Dienste. Die vollständigen Kontaktdaten finden Sie im Abschnitt "Hinweis zur verantwortlichen Stelle".

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen (z. B. über Kontaktformulare, Registrierung in unseren Apps, telefonische Auftragserteilung). Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website oder Nutzung unserer Anwendungen durch unsere IT-Systeme erfasst (z. B. Browsertyp, Betriebssystem, Uhrzeit des Seitenaufrufs, Standortdaten).

Wofür nutzen wir Ihre Daten?

  • Zur Bereitstellung und Optimierung unserer Website
  • Zur Analyse des Nutzerverhaltens
  • Zur Bearbeitung von Anfragen und zur Vermittlung von Beförderungsleistungen (Koordination medizinischer Transporte)
  • Zur Erfüllung gesetzlicher Pflichten (z. B. Dokumentation im Krankenfahrverkehr)

Welche Rechte haben Sie?

Sie haben jederzeit das Recht auf unentgeltliche Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten. Sie haben außerdem ein Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch sowie Datenübertragbarkeit. Außerdem steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

2. Hinweis zur verantwortlichen Stelle

Verantwortliche Stelle im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Mediconvey GbR
Mohamed Hassoun
Lars Zorawski
Daniel Antolic

Zum Galkhausener Bach 66
40764 Langenfeld

Telefon: +49 1718077621
E-Mail: info@mediconvey.de

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Datenschutzbeauftragter

Wir haben einen internen Datenschutzbeauftragten bestellt, da wir im Rahmen unserer Geschäftstätigkeit regelmäßig Gesundheitsdaten (besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO) verarbeiten.

Kontakt:
Daniel Antolic – MediConvey GbR
E-Mail: datenschutz@mediconvey.de
Postanschrift: MediConvey GbR , Datenschutzbeauftragter, Zum Galkhausener Bach 66, 40764 Langenfeld
Hinweis: Für Anfragen zu Betroffenenrechten empfehlen wir die Kontaktaufnahme per E-Mail an datenschutz@mediconvey.de.

3. Allgemeine Hinweise zur Datenverarbeitung

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt nur bei Vorliegen einer Rechtsgrundlage. Die Verarbeitung erfolgt je nach Zweck auf Grundlage von:
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Sofern Sie in die Datenverarbeitung eingewilligt haben, insbesondere bei nicht notwendigen Cookies und Marketingmaßnahmen
  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen): Bei der Durchführung von Vermittlungsverträgen und Anfragen
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Zur Erfüllung gesetzlicher Aufbewahrungs- und Dokumentationspflichten im Krankenfahrverkehr
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Zur Optimierung unserer Website, Sicherheit und Betrugsprävention
  • Art. 9 Abs. 2 lit. a und h DSGVO (Gesundheitsdaten): Für die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten) bei medizinisch notwendigen Transporten
  • § 25 Abs. 1 TDDDG (Cookies & Endgerätezugriff): Bei der Speicherung von Cookies und Zugriff auf Informationen im Endgerät

Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt.

Konkrete Aufbewahrungsfristen:

  • Vertrags- und Kundendaten: 10 Jahre nach Vertragsende (gemäß § 257 HGB, § 147 AO)
  • Gesundheitsdaten im Krankentransport: 10 Jahre ab Leistungserbringung/Abrechnungsabschluss, soweit abrechnungs- oder nachweispflichtig; ansonsten Löschung nach Zweckfortfall
  • Server-Log-Dateien: 7 Tage
  • Bewegungsdaten/Standortdaten: 4 Wochen nach Fahrtende, sofern keine gesetzlichen Aufbewahrungspflichten bestehen

Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Ihrer personenbezogenen Daten haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); im letztgenannten Fall erfolgt die Löschung nach Fortfall dieser Gründe.

4. Datenerfassung auf dieser Website

Cookies und Cookie-Consent-Verwaltung (Cookiebot)

Unsere Internetseiten verwenden so genannte "Cookies". Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert.

Zur Einholung und Verwaltung Ihrer Einwilligungen für Cookies setzen wir Cookiebot ein, einen Consent-Management-Plattform der Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark. Cookiebot wird als Auftragsverarbeiter gemäß Art. 28 DSGVO eingesetzt.

Datenverarbeitung durch Cookiebot: Cookiebot verarbeitet u. a. Ihre Einwilligungsentscheidungen (Consent-Status), eine anonymisierte/gekürzte IP-Adresse, User-Agent-Informationen, Zeitstempel und eine Consent-ID, um Ihre Auswahl zu speichern und nachzuweisen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (rechtssichere Einwilligungsverwaltung, berechtigtes Interesse) sowie § 25 Abs. 2 Nr. 2 TDDDG für die technisch notwendige Speicherung. Der Nachweis erfolgt im Einklang mit Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht).

Notwendige Cookies: Technisch notwendige Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO und § 25 Abs. 2 TDDDG gespeichert. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von notwendigen Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste.

Einwilligungspflichtige Cookies: Derzeit setzen wir keine Analyse- oder Marketing-Tools ein. Technisch erforderliche Drittanbieter-Dienste (z. B. Sicherheits- und Kartenfunktionen) können Cookies oder vergleichbare Technologien verwenden. Sollten wir in Zukunft Analyse- oder Marketing-Tools nutzen, werden wir dies hier ergänzen und Ihre Einwilligung vorab über Cookiebot einholen.

Cookie-Consent-Management

Beim ersten Besuch unserer Website wird das Cookiebot-Consent-Banner eingeblendet, über das Sie Ihre Einwilligungspräferenzen festlegen können. Sie können Ihre Cookie-Einstellungen jederzeit ändern oder widerrufen, indem Sie auf den Link „Cookie-Einstellungen" in der Fußzeile unserer Website klicken. Dies öffnet erneut das Cookiebot-Banner.

Alternativ können Sie Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein.

Weitere Informationen zu Cookiebot: https://www.cookiebot.com/de/privacy-policy/

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website – hierzu müssen die Server-Log-Files erfasst werden.

Kontaktformular / Kontaktaufnahme

Wenn Sie uns per E-Mail oder Telefon kontaktieren, wird Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (Name, Anfrage, Kontaktdaten) zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), sofern diese abgefragt wurde.

Die von Ihnen übermittelten Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt. Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.

5. E-Mail-Kommunikation und Transaktionsmails (Resend)

Zur Zustellung von transaktionalen E-Mails (E-Mail-Verifikation, Login-Bestätigungen, Passwort-Resets, Systembenachrichtigungen) setzen wir Resend ein, einen Dienst der Resend Inc., 2261 Market Street #5038, San Francisco, CA 94114, USA.

Resend wird als Auftragsverarbeiter gemäß Art. 28 DSGVO eingesetzt. Mit Resend wurde ein Vertrag zur Auftragsverarbeitung geschlossen.

Verarbeitete Daten: E-Mail-Adressen, Verifikationstokens, Zeitstempel der Zustellung, IP-Adressen (zur Missbrauchsprävention).

Tracking: Öffnungs- und Klick-Tracking ist deaktiviert. Sofern wir es künftig aktivieren, erfolgt dies nur nach Ihrer ausdrücklichen Einwilligung.

Speicherdauer: Zustell- und Fehlerprotokolle werden bei Resend für 30 Tage gespeichert und danach automatisch gelöscht oder anonymisiert. In unserem System werden E-Mail-Metadaten (Versandzeitpunkt, Status) für die Dauer der Vertragsbeziehung gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Authentifizierung).

Drittstaatentransfer: Resend verarbeitet Daten teilweise in den USA. Die Datenübertragung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCC). Bei Drittlandübermittlungen setzen wir – soweit erforderlich – zusätzliche Schutzmaßnahmen ein, z. B. Verschlüsselung, Zugriffsbeschränkungen und Datenminimierung, um ein angemessenes Schutzniveau sicherzustellen.

Weitere Informationen: https://resend.com/legal/privacy-policy

6. Plugins und Tools

Google Maps

Diese Seite nutzt den Kartendienst Google Maps. Anbieter ist die Google Ireland Limited ("Google"), Gordon House, Barrow Street, Dublin 4, Irland. Mit Hilfe dieses Dienstes können wir Kartenmaterial auf unserer Website einbinden.

Zur Nutzung der Funktionen von Google Maps ist es notwendig, Ihre IP-Adresse zu speichern. Diese Informationen werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Der Anbieter dieser Seite hat keinen Einfluss auf diese Datenübertragung. Wenn Google Maps aktiviert ist, kann Google zum Zwecke der einheitlichen Darstellung der Schriftarten Google Fonts verwenden.

Einwilligungspflicht: Google Maps wird erst nach Ihrer ausdrücklichen Einwilligung geladen. Die Karte ist standardmäßig deaktiviert und wird erst nach Aktivierung durch Sie (2-Klick-Lösung) geladen. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.

Drittstaatentransfer: Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Bei Drittlandübermittlungen setzen wir – soweit erforderlich – zusätzliche Schutzmaßnahmen ein, z. B. Verschlüsselung und Datenminimierung, um ein angemessenes Schutzniveau sicherzustellen.

Details finden Sie hier: https://privacy.google.com/businesses/gdprcontrollerterms/ und https://privacy.google.com/businesses/gdprcontrollerterms/sccs/ .

Das Unternehmen verfügt über eine Zertifizierung nach dem "EU-US Data Privacy Framework" (DPF). Weitere Informationen hierzu erhalten Sie unter: https://www.dataprivacyframework.gov/participant/5780 .

Mehr Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google: https://policies.google.com/privacy?hl=de .

Cloudflare (CDN, Turnstile, Workers, DDoS-Schutz)

Wir nutzen verschiedene Dienste der Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA, die als Auftragsverarbeiter gemäß Art. 28 DSGVO für uns tätig sind.

Verarbeitete Datenkategorien: IP-Adressen, Request-Header, User-Agent-Informationen, Zeitstempel, ggf. Cookies/Session-Tokens bei Authentifizierung, Traffic-Muster und Metadaten zur Sicherheitsanalyse.

Einzelne Dienste:

  • Cloudflare Turnstile: Zur Überprüfung, ob Dateneingaben auf dieser Website durch einen Menschen oder durch ein automatisiertes Programm erfolgen. Hierzu analysiert Turnstile das Verhalten des Websitebesuchers anhand verschiedener Merkmale (z. B. IP-Adresse, Verweildauer, Mausbewegungen).
  • Cloudflare CDN (Content Delivery Network): Zur Auslieferung statischer Inhalte über weltweit verteilte Server. Dabei wird Ihre IP-Adresse an Server von Cloudflare übertragen.
  • Cloudflare Workers: Serverlose Skripte zur Verarbeitung von Anfragen, dynamischer Content-Auslieferung und Weiterleitungen.
  • Cloudflare DDoS-Schutz: Zum Schutz vor Distributed-Denial-of-Service-Angriffen. Analyse von Datenverkehr, IP-Adressen, Zugriffszeiten und Traffic-Mustern.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und technischer Optimierung). Sofern eine Einwilligung abgefragt wurde, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.

Drittstaatentransfer: Die Datenverarbeitung wird auf Standardvertragsklauseln gestützt. Bei Drittlandübermittlungen setzen wir – soweit erforderlich – zusätzliche Schutzmaßnahmen ein, z. B. Verschlüsselung und Zugriffsbeschränkungen, um ein angemessenes Schutzniveau sicherzustellen.

Cloudflare ist zertifiziert nach dem EU-US Data Privacy Framework (DPF). Weitere Informationen: https://www.cloudflare.com/privacypolicy/ .

Supabase

Unsere Website und Anwendungen verwenden Supabase als Auftragsverarbeiter gemäß Art. 28 DSGVO. Anbieter ist die Supabase Inc., 970 Toa Payoh North, Singapore.

Supabase dient als Hosting- und Datenbankdienstleister für Backend-Funktionen wie Kontaktformulare, Nutzerverwaltung und API-Zugriffe.

Verarbeitete Daten: IP-Adressen, Nutzermetadaten (Login-Zeitpunkte, Session-Informationen), Inhalte, die Sie in Formulare eingeben, Datenbankinhalte unserer Anwendungen.

Standort der Datenverarbeitung: Die Speicherung erfolgt primär in Rechenzentren in der EU, insbesondere Frankfurt. Ein Drittstaatentransfer (z. B. zu Subprozessoren in den USA oder Singapur) kann bei bestimmten Dienstleistungen nicht ausgeschlossen werden.

Bei Drittlandübermittlungen setzen wir – soweit erforderlich – zusätzliche Schutzmaßnahmen ein, z. B. Verschlüsselung und Zugriffsbeschränkungen, um ein angemessenes Schutzniveau sicherzustellen. In diesem Fall erfolgt der Transfer auf Grundlage von EU-Standardvertragsklauseln.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. f DSGVO (technische Notwendigkeit) oder Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TDDDG (Einwilligung, falls erforderlich).

Weitere Informationen: https://supabase.com/privacy

7. Datenerfassung in MediConvey-Anwendungen

Zweck der Verarbeitung und Vermittlerrolle

MediConvey bietet digitale Lösungen zur Vermittlung von Beförderungsleistungen im Bereich Krankenfahrverkehr und Patiententransport. Wir vermitteln Beförderungsanfragen an ausführende Krankenbeförderungsunternehmen; der Beförderungsvertrag kommt zwischen Patient (bzw. Auftraggeber) und dem Beförderungsunternehmen zustande.

Die Datenverarbeitung erfolgt primär zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO sowie zur Erfüllung gesetzlicher Pflichten im Gesundheitswesen.

Verarbeitete Datenkategorien im Buchungsformular

Zur Vermittlung von Beförderungsleistungen verarbeiten wir folgende Daten, die Sie im Buchungsformular angeben:

Personenstammdaten:

  • Name, Vorname des Versicherten

Beförderungsdetails:

  • Art der Fahrt (privat, zuzahlungspflichtig/zuzahlungsfrei)
  • Verordnung/Anlass (z. B. Unfall/Arbeitsunfall/BVG; Gründe wie stationär/ambulant/andere; genehmigungspflichtig)
  • Terminstatus, Datum, Uhrzeit
  • Abholort/Zielort inkl. Name/Station optional + Straße/Hausnr/PLZ/Stadt

Art und Ausstattung der Beförderung:

  • Transportmittel (Taxi/Mietwagen, Rollstuhl, RTW/NAW/NEF, gehend, andere)
  • Mobilitätseinschränkungen und Hilfsmittelbedarf
  • Notwendige medizinische Ausstattung im Fahrzeug

Bemerkungen (Freitextfeld): Bitte geben Sie in diesem Feld nur Informationen an, die für die Organisation der Beförderung erforderlich sind (z. B. Wartezeit, Gemeinschaftsfahrt). Vermeiden Sie bitte die Angabe besonders sensibler Gesundheitsdaten wie konkretes Gewicht oder detaillierte Diagnosen, soweit diese nicht zwingend für die Durchführung erforderlich sind.

Standort- und Bewegungsdaten:

  • GPS-Daten (zeitpunktbezogen während des Transports)
  • Fahrzeugstandorte in Echtzeit

Technische Daten:

  • Geräteinformationen (Smartphone-Modell, Betriebssystem)
  • Nutzungsdaten
  • IP-Adressen

Ohne diese Daten ist eine sichere und rechtmäßige Vermittlung der Beförderungsleistung nicht möglich.

Hinweis zur Datenweitergabe bei Buchung

Hinweis direkt unter dem Buchungsformular: Die eingegebenen Daten werden zur Vermittlung Ihrer Beförderung an ein geeignetes Krankenbeförderungsunternehmen übermittelt. Bitte geben Sie nur Angaben an, die für die Organisation der Fahrt erforderlich sind.

Pflichtfeld bei Buchung: „Ich bestätige, dass meine Angaben zur Vermittlung der Beförderung an ein ausführendes Krankenbeförderungsunternehmen übermittelt werden."

Standortdaten (GPS) und Bewegungsdaten – Transparenz zur Verarbeitung

Live-Tracking während des Transports: GPS-Daten werden während des Transports zur Live-Koordination verarbeitet. Die Erfassung erfolgt nur, wenn Sie die Standortberechtigung in Ihrem Browser explizit erteilt haben, und zwar nur für die Dauer des jeweiligen Transports/Vorgangs, nicht im Hintergrund (Background-Tracking). Sie können die Berechtigung jederzeit in den Browsereinstellungen Ihres Geräts widerrufen.

Speicherung nach Transportende: Nach Abschluss des Transports werden die GPS-Daten – soweit erforderlich – als Bewegungs-/Protokolldaten gespeichert und nach 4 Wochen gelöscht, sofern keine gesetzlichen Pflichten entgegenstehen.

Push-Notifications: Wir setzen derzeit keine Web-Push-Benachrichtigungen ein. Sollten wir diese künftig über Dienste wie Firebase Cloud Messaging oder OneSignal implementieren, werden wir dies hier ergänzen und Ihre Einwilligung einholen.

Rechtsgrundlage für Gesundheitsdaten

Die Verarbeitung von Gesundheitsdaten (z. B. Mobilitätseinschränkungen, Transportart, medizinische Ausstattung) erfolgt auf Grundlage von:

  • Art. 9 Abs. 2 lit. h DSGVO: Gesundheitsdatenverarbeitung im Rahmen von Gesundheitsversorgung und Krankenfahrverkehr
  • Art. 9 Abs. 2 lit. a DSGVO: Ausdrückliche Einwilligung, sofern erforderlich

Die Verarbeitung erfolgt unter Beachtung geeigneter Vorkehrungen, insbesondere Zugriffsbeschränkungen, Vertraulichkeitsverpflichtungen und technischer Schutzmaßnahmen gemäß § 22 Abs. 2 BDSG.

Hinweis zur Rolle als Auftragsverarbeiter

Soweit wir als Auftragsverarbeiter für Krankenhäuser, Kostenträger oder andere Einrichtungen tätig sind, erfolgt die Verarbeitung auf Weisung des jeweiligen Auftraggebers; die maßgeblichen Rechtsgrundlagen werden vom Auftraggeber bestimmt.

Der Verantwortliche für Gesundheitsdaten ist typischerweise das beauftragende Krankenhaus, das Transportunternehmen oder die Krankenkasse, je nach Vertragskonstellation. Wir verarbeiten die für die Vermittlung erforderlichen Daten und übermitteln sie an das ausführende Unternehmen.

8. Monitoring & Statusinformationen

Zur Prozesssteuerung und Qualitätssicherung verarbeiten wir:

  • Statusinformationen zu Transporten (z. B. "offen", "abgeschlossen")
  • Fahrzeugstandorte in Echtzeit
  • Fahrerzuordnungen

Diese Daten sind für die Koordination von Transporten, die Sicherheit der Patienten und die Kommunikation mit Krankenhäusern, Pflegeeinrichtungen und Kostenträgern erforderlich.

9. Datenweitergabe an Dritte und Rollenverteilung

Empfänger innerhalb der Vertragserfüllung

Zur Durchführung von Vermittlungen können Daten an folgende Kategorien von Empfängern übermittelt werden:

  • Fahrer und Transportunternehmen: Zur Durchführung des konkreten Transports (Name, Adresse, Zielort, medizinische Hinweise). Die Übermittlung erfolgt nur soweit notwendig, auf Grundlage Art. 6 Abs. 1 lit. b DSGVO und Art. 9 Abs. 2 lit. h DSGVO bzw. Weisung des Auftraggebers.
  • Krankenhäuser und medizinische Einrichtungen: Zur Koordination von An- und Abfahrten.
  • Krankenkassen und Kostenträger: Zur Abrechnung und Genehmigung von Transporten (sofern gesetzlich erforderlich); hierbei werden in der Regel Abrechnungs- und Transportdaten übermittelt, medizinische Zusatzinformationen nur soweit unbedingt erforderlich.
  • Angehörige oder Bevollmächtigte: Nach entsprechender Autorisierung.

Datenminimierung und Zugriffsbeschränkung: Empfänger erhalten nur die für die Durchführung des konkreten Transports erforderlichen Daten. Zugriffe erfolgen rollenbasiert und werden – soweit technisch umgesetzt – protokolliert. Berechtigungen werden nach Abschluss des Transports regelmäßig überprüft und entzogen.

Rollenverteilung bei der Datenverarbeitung

  • Als Verantwortlicher: Bei der eigenständigen Erbringung unserer Vermittlungsdienstleistungen gegenüber Patienten oder Einrichtungen (Beispiel: Direktvertrag mit Patient/Eigenleistung).
  • Als Auftragsverarbeiter: Wenn wir im Auftrag und nach Weisung einer Klinik, eines Kostenträgers oder einer anderen Einrichtung tätig werden (Art. 28 DSGVO; Beispiel: Nutzung durch Krankenhäuser auf Basis einer AVV).
  • Als gemeinsam Verantwortlicher: In bestimmten Konstellationen mit Partnerunternehmen (Art. 26 DSGVO).

Die konkrete Rollenverteilung ergibt sich aus dem jeweiligen Vertrag oder der Auftragsverarbeitungsvereinbarung (AVV) mit dem Auftraggeber. Soweit wir gemeinsam Verantwortliche sind, stellen wir die wesentlichen Inhalte der Vereinbarung nach Art. 26 DSGVO auf Anfrage zur Verfügung.

Auftragsverarbeiter

Wir setzen ausgewählte Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein:

  • IT-Dienstleister und Cloud-Anbieter (Supabase, Cloudflare, Resend)
  • Telekommunikationsdienstleister
  • Zahlungsdienstleister (sofern zutreffend)

Mit allen Auftragsverarbeitern wurden entsprechende Verträge geschlossen.

Weitergabe an staatliche Stellen

Eine Weitergabe personenbezogener Daten an staatliche Stellen erfolgt nur:

  • Bei gesetzlicher Verpflichtung (z. B. Strafverfolgungsbehörden, Sozialleistungsträger)
  • Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

10. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen:

  • TLS-Verschlüsselung: Diese Seite nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an "https://" und dem Schloss-Symbol in Ihrer Browserzeile.
  • Verschlüsselung ruhender Daten: Daten werden, soweit technisch möglich, auch im Ruhezustand (z. B. Datenbanken, Backups) verschlüsselt und regelmäßig gesichert.
  • Zugriffsbeschränkungen: Nur autorisierte Mitarbeiter haben Zugriff auf personenbezogene Daten.
  • Rollen- und Berechtigungskonzepte: Strikte Trennung nach dem Need-to-know-Prinzip.
  • Regelmäßige Sicherheitsupdates: Aktualisierung aller Systeme.
  • Pseudonymisierung: Wo möglich, Einsatz von Pseudonymen statt Klarnamen.
  • Mitarbeiterschulungen: Regelmäßige Schulungen unserer Mitarbeitenden im sicheren Umgang mit Gesundheitsdaten.

11. Betroffenenrechte

Sie haben folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, jederzeit unentgeltlich Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn die gesetzlichen Voraussetzungen vorliegen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

Widerspruchsrecht (Art. 21 DSGVO)

Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Widerspruch einzulegen.

Widerspruch gegen Direktwerbung

Werden Ihre personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen.

Identitätsprüfung

Zur Wahrung Ihrer Rechte und zum Schutz Ihrer Daten vor unberechtigtem Zugriff können wir bei der Ausübung Ihrer Betroffenenrechte eine Identitätsprüfung verlangen.

Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

Sie können eine erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Bearbeitungsfrist

Wir beantworten Anfragen zu Ihren Betroffenenrechten grundsätzlich innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

Beschwerderecht (Art. 77 DSGVO)

Im Falle von Verstößen gegen die DSGVO steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Zuständig ist die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Telefon: 0211/38424-0
E-Mail: poststelle@ldi.nrw.de

12. Automatisierte Entscheidungsfindung und Profiling

Es findet keine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher oder vergleichbarer erheblicher Wirkung im Sinne von Art. 22 DSGVO statt.

Es findet kein Profiling im Sinne des Art. 4 Nr. 4 DSGVO statt.

13. Widerspruch gegen Werbe-E-Mails

Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit widersprochen.

Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-E-Mails, vor.

14. Letzte Aktualisierung

Letzte Aktualisierung: Februar 2026

Diese Datenschutzerklärung wird bei Bedarf angepasst, um Änderungen unserer Dienstleistungen oder gesetzlicher Anforderungen Rechnung zu tragen.

Die jeweils aktuelle Version ist unter https://mediconvey.de/privacy abrufbar.