Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Benedict Wick
Physiotherapie Wick, Karl-Rolle-Straße 43, 84307 Eggenfelden, Deutschland
E-Mail: datenschutz@rehatogo.de

2. Datenschutzbeauftragter

Wir sind nicht gesetzlich verpflichtet, einen Datenschutzbeauftragten zu benennen. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

3. Datenkategorien und Zwecke der Verarbeitung

Wir verarbeiten folgende Kategorien personenbezogener Daten:

• Account-Stammdaten (Vorname, E-Mail, Geburtsdatum, Passwort-Hash) — Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Gesundheitsdaten (ICD-10-Diagnose, OP-Datum, Behandlungsart, Schmerzwerte, Body Map, Voice Memos, Checkup-Videos) — Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)
• Nutzungsdaten (Übungs-Zeitstempel, Compliance-Score, Trinkprotokoll) — Art. 6 Abs. 1 lit. b DSGVO
• Kommunikation (Chat-Nachrichten zwischen Patient und Therapeut, Voice-Audio) — Art. 9 Abs. 2 lit. a DSGVO
• Zahlungsdaten (Stripe Customer ID, Transaktions-Referenz, keine Kartendaten bei uns) — Art. 6 Abs. 1 lit. b DSGVO; § 147 AO
• Push-Tokens (Web-Push-Endpoint, APNs Device Token) — Art. 6 Abs. 1 lit. a DSGVO
• Apple Health (Lesezugriff) (tägliche Schrittzahl, nur iOS-App, mit Ihrer Einwilligung) — Art. 6 Abs. 1 lit. a DSGVO
• Technisch (Session-Cookies, Server-Logs) — Art. 6 Abs. 1 lit. f DSGVO (Betrieb & Sicherheit)

4. Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO)

reha/togo verarbeitet besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO (insb. Gesundheitsdaten). Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen, informierten Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie bei der Registrierung erteilen.

Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Den Widerruf richten Sie bitte an datenschutz@rehatogo.de.

Pseudonymisierte Wirksamkeits-Auswertung (optional)

Zu Beginn Ihres Reha-Plans erheben wir standardisierte Verlaufswerte (Schmerzskala NRS, Funktionsskala PSFS, wöchentliche Veränderungseinschätzung GROC). Mit Ihrer gesonderten, freiwilligen Einwilligung (Checkbox bei der Start-Erhebung) werten wir diese Angaben pseudonymisiert — also ohne Name, E-Mail-Adresse oder andere direkt identifizierende Merkmale — in aggregierter Form aus, um die Wirksamkeit der Reha-Programme zu belegen (z. B. gegenüber Krankenkassen) und sie zu verbessern. Ein Rückschluss auf Ihre Person ist in den Auswertungen nicht möglich. Diese Einwilligung ist für die Nutzung der App nicht erforderlich und kann jederzeit mit Wirkung für die Zukunft per E-Mail an datenschutz@rehatogo.de widerrufen werden; Ihre Daten werden dann aus künftigen Auswertungen ausgeschlossen.

5. Auftragsverarbeiter und Empfänger der Daten

Wir setzen folgende Auftragsverarbeiter im Sinne des Art. 28 DSGVO ein. Mit jedem dieser Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV). Übermittlungen in Drittländer (USA) erfolgen auf Grundlage der EU-Standardvertragsklauseln (SCCs, Modul 2) sowie ergänzender Maßnahmen.

• Supabase Inc. — Datenbank, Authentifizierung, Speicherung von Checkup-Videos und Voice-Audio (USA; Hosting konfiguriert in EU-Region Frankfurt). AVV + EU SCCs.
• Vercel Inc. — Hosting & Auslieferung der Web-App (USA). AVV + EU SCCs.
• Stripe Payments Europe Ltd. — Zahlungsabwicklung (Dublin, Irland). AVV.
• OpenAI, L.L.C. — Transkription von Voice Memos (Whisper API, USA). AVV + EU SCCs; ohne Training.
• Anthropic, PBC — KI-gestützte Antwortvorschläge im Therapeuten-Chat (Claude API, USA). AVV + EU SCCs; ohne Training.
• Apple Inc. — Push-Benachrichtigungen (APNs), App Store / TestFlight (USA / Irland). Apple DPA.
• Browser-Vendoren (Google, Mozilla, Apple) — Auslieferung von Web-Push. Berechtigtes Interesse.

Besonders heikel und gesondert einwilligungspflichtig: Die Übermittlung von Voice-Memos und Chat-Nachrichten an OpenAI und Anthropic in den USA. Diese erfolgt nur, wenn Sie die separate Einwilligung erteilt haben.

6. KI-gestützte Antwortvorschläge

Im Therapeuten-Chat werden Antworten teilweise durch ein KI-System (Anthropic Claude) vorgeschlagen. Diese Vorschläge werden nicht automatisch versendet, sondern vom behandelnden Physiotherapeuten geprüft, ggf. angepasst und freigegeben. Die finale therapeutische Verantwortung verbleibt beim Therapeuten. Eine automatisierte Entscheidung im Einzelfall im Sinne des Art. 22 DSGVO findet nicht statt.

7. Speicherdauer

• Account-Daten: solange Ihr Konto aktiv ist. Vollständige Löschung 30 Tage nach Konto-Löschung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Checkup-Videos: automatische Löschung nach 90 Tagen ab Upload.
• Voice Memos & Chat-Verlauf: solange Konto aktiv; Löschung mit Konto-Löschung.
• Zahlungs- und Rechnungsbelege: 10 Jahre gemäß § 147 AO / § 257 HGB (auch nach Konto-Löschung in pseudonymisierter Form).
• Server-Logs: maximal 14 Tage; danach automatische Löschung oder Anonymisierung.

8. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte zu, die Sie jederzeit per E-Mail an datenschutz@rehatogo.de geltend machen können:

• Auskunft über Ihre verarbeiteten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen nach Art. 6 Abs. 1 lit. f (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Datenschutz-Aufsichtsbehörde — zuständig ist die Aufsichtsbehörde Ihres Wohnsitzes

9. Cookies und ähnliche Technologien

Wir setzen ausschließlich technisch notwendige Cookies ein (Session-Cookie zur Anmeldung). Diese fallen unter § 25 Abs. 2 TTDSG und benötigen keine gesonderte Einwilligung. Tracking-, Werbe- oder Analyse-Cookies werden nicht eingesetzt.

10. Push-Benachrichtigungen

Wir senden Push-Nachrichten nur, wenn Sie diese im Browser bzw. im iOS-Betriebssystem ausdrücklich aktiviert haben. Sie können die Berechtigung jederzeit in den System-Einstellungen widerrufen. Wir speichern hierfür den Push-Token; Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a) sowie unser berechtigtes Interesse an der Erinnerungsfunktion (Art. 6 Abs. 1 lit. f).

11. Apple Health (nur iOS-App)

Mit Ihrer Erlaubnis liest die App Ihre tägliche Schrittzahl aus Apple Health, um Ihren Bewegungs-Fortschritt (Ziel ca. 3.000 Schritte / 30 Min Gehen) anzuzeigen. Die ausgelesene Schrittzahl pro Tag wird in Ihrem Konto auf unseren EU-Servern gespeichert, damit der Fortschritt geräteübergreifend und ggf. für Ihren Therapeuten sichtbar ist. Es findet kein Schreibzugriff auf Apple Health statt. Die Berechtigung können Sie jederzeit in Apple Health → Datenzugriff & Geräte widerrufen; ohne Berechtigung können Sie Ihre Schritte manuell eintragen.

12. Sicherheit der Verarbeitung

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, insbesondere:

• Verschlüsselung der Übertragung (TLS 1.2+) und der Daten at rest
• Rollen- und rechtebasierte Zugriffsbeschränkungen (Row-Level Security)
• Regelmäßige Backups und Wiederherstellungstests
• Protokollierung administrativer Zugriffe
• Meldung von Datenschutzverletzungen binnen 72 Stunden an die Aufsichtsbehörde (Art. 33 DSGVO)

13. Änderungen dieser Datenschutzerklärung

Stand: 19. Mai 2026. Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit Änderungen unserer Datenverarbeitung dies erforderlich machen. Die jeweils aktuelle Fassung ist unter https://rehatogo.de/datenschutz abrufbar. Bei wesentlichen Änderungen werden Sie zusätzlich per E-Mail informiert.