Datenschutzerklärung
Stand: Juni 2026
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
vynora UG (haftungsbeschränkt)
vertreten durch den Geschäftsführer Jörg Schubert
Heerstraße 29
31079 Sibbesse
Deutschland
E-Mail: kontakt@vynoramed.de
Registergericht: Amtsgericht Hildesheim, HRB 210793
2. Erhobene Daten und Zwecke
2.1 Warteliste (Launch-Anmeldung)
Auf der Coming-Soon-Seite können Sie sich mit Name und E-Mail-Adresse für eine Benachrichtigung zum Produktstart vormerken. Die Daten werden ausschließlich zum Zweck der einmaligen Launch-Benachrichtigung gespeichert und nicht an Dritte weitergegeben. Rechtsgrundlage ist ausschließlich Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), erteilt durch das Absenden des Formulars. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft durch eine formlose E-Mail an kontakt@vynoramed.de widerrufen werden. Nach Launch und Versand der Benachrichtigung werden die Daten gelöscht, sofern keine weitergehende Geschäftsbeziehung entsteht.
2.2 Registrierung und Nutzerkonto
Bei der Registrierung erheben wir Ihren Anzeigenamen, Ihre E-Mail-Adresse sowie ein Passwort (gespeichert als bcrypt-Hash, nie im Klartext). Diese Daten sind zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Ohne sie kann kein Konto angelegt werden.
2.3 Zahlungsdaten
Zahlungen werden vollständig über Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA) abgewickelt. Wir speichern keine vollständigen Kreditkartendaten. Stripe verarbeitet Ihre Zahlungsdaten nach eigenen Datenschutzrichtlinien: stripe.com/de/privacy. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
2.4 Nutzungsdaten der Praxis
Im Rahmen der Nutzung von vynora werden Praxis-bezogene Daten verarbeitet (z. B. Aufruf-Historien, Raum-Konfigurationen, hochgeladene Inhalte). Diese Daten gehören Ihrer Organisation und werden ausschließlich zur Erbringung des Dienstes verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
2.5 Patientendaten (Art. 9 DSGVO)
Hinweis an Patientinnen und Patienten: Verantwortlicher im Sinne der DSGVO für Ihre Daten im Patientenaufruf ist die jeweilige Arztpraxis, in der Sie behandelt werden — nicht vynora. vynora ist lediglich Auftragsverarbeiter. Auskunfts-, Berichtigungs-, Lösch- oder Widerspruchsanfragen nach Art. 15-21 DSGVO richten Sie bitte direkt an Ihre Praxis.
Im Rahmen der Patientenaufrufe verarbeiten wir personenbezogene Daten von Patientinnen und Patienten der Praxis (Vor- und Nachname, ggf. Geburtsdatum, Anrede, Wunschname für den Aufruf, Aufruf-Status). Diese Angaben können je nach Zusammenhang Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO betreffen (besondere Kategorien personenbezogener Daten), da bereits die Tatsache, dass eine Person eine bestimmte Praxis aufsucht, Rückschlüsse auf den Gesundheitszustand zulassen kann.
Rechtsgrundlage: Die Verarbeitung erfolgt ausschließlich im Auftrag und auf Weisung der Praxis. vynora agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO; Verantwortlicher für die Patientendaten bleibt die jeweilige Praxis. Die Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten ergibt sich für die Praxis aus Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 BDSG (Behandlungs- und Versorgungszweck).
Ärztliche Schweigepflicht (§ 203 StGB): vynora unterstützt Ärztinnen und Ärzte sowie ihre berufsmäßig tätigen Gehilfen bei der Verarbeitung patientenbezogener Daten. Alle Mitarbeitenden und Subprozessoren mit Zugriff auf Praxis-Systeme sind zur Verschwiegenheit nach § 203 Abs. 4 StGB verpflichtet. Ein entsprechender Auftragsverarbeitungsvertrag (AVV) inklusive Verschwiegenheits- und technisch-organisatorischen-Maßnahmen wird beim Vertragsschluss zur Verfügung gestellt.
Speicherdauer: Patientendaten werden ausschließlich für die Dauer der Aufrufabwicklung gespeichert und nach Beendigung des Auftragsverhältnisses unverzüglich gelöscht oder zurückgegeben (Art. 28 Abs. 3 lit. g DSGVO). Die Aufbewahrungsfrist nach § 147 AO (10 Jahre) gilt ausschließlich für Buchhaltungs- und Rechnungsdaten der Praxis und ist auf Patientendaten nicht anwendbar.
2.6 E-Mail-Kommunikation
Wir versenden transaktionale E-Mails (Verifizierung, Passwort-Reset, Rechnungen) über einen SMTP-Dienstleister. Es wird kein Newsletter ohne ausdrückliche Einwilligung versendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
2.7 Server-Logs
Unser Server protokolliert technische Zugriffsdaten (IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Statuscode). Diese Logs dienen der Fehlerdiagnose und Sicherheit und werden nach spätestens 30 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).
3. Hosting & Subprozessoren
Diese Datenschutzerklärung deckt die Verarbeitung beim Besuch und der Nutzung der öffentlichen Website vynoramed.de ab. Wenn Sie als Praxis das vynora-Dashboard nutzen, gilt zusätzlich der zwischen Ihrer Praxis und vynora geschlossene Auftragsverarbeitungsvertrag (AVV), in dessen Anhang B die vollständige Subprozessor-Liste für die Praxis-Verarbeitung dokumentiert ist.
3.1 Subprozessoren der Website (alle Besucher)
Beim reinen Besuch der Marketing-Website und beim Absenden von Formularen (Waitlist, Kontakt, Bewerbung als Gründungspraxis) kommen folgende Subprozessoren zum Einsatz. Drittlandtransfers sind durch das EU-US Data Privacy Framework (DPF) und/oder EU-Standardvertragsklauseln (SCC) abgesichert.
| Subprozessor | Sitz | Zweck | Drittland-Status |
|---|---|---|---|
| Vercel Inc. | San Francisco, USA | Hosting der Marketing-Website & Edge-Auslieferung; cookieloses Reichweitenmessungs-Tool Vercel Web Analytics auf öffentlichen Marketing-Seiten — keine Cookies, keine User-IDs, aggregierte Statistik. | USA – DPF; SCC |
| Cloudflare, Inc. | San Francisco, USA | DNS, Edge-Caching, Bot-/DDoS-Schutz, Turnstile-Captcha bei Formularen | USA – DPF; SCC |
| Hetzner Online GmbH | Gunzenhausen, DE | Backend-Server (Speicherung der Eingaben aus Waitlist-/Kontakt-/Gründungspraxis-Formularen) | EU – kein Drittlandtransfer |
| Resend, Inc. | San Francisco, USA | Versand transaktionaler Bestätigungs-E-Mails (z.B. Waitlist-Confirmation) — nur wenn Sie ein Formular absenden | USA – DPF; SCC |
3.2 Zusätzliche Subprozessoren für eingeloggte Praxen
Sobald eine Praxis das vynora-Dashboard produktiv nutzt, kommen weitere Subprozessoren zum Einsatz — insbesondere für Zahlungsabwicklung (Stripe), Text-zu-Sprache-Synthese für den Patientenaufruf (Microsoft Azure, optional Google Cloud) sowie technisches Error-Monitoring (Sentry, EU-Region). Die vollständige Liste mit Sitz, Zweck und Drittland-Status finden Sie im AVV Anhang B.
Diese Subprozessoren verarbeiten Daten ausschließlich im Auftrag der jeweiligen Praxis (Verantwortlicher i.S.d. DSGVO) und kommen mit Besucher:innen der öffentlichen Website nicht in Berührung.
Mit allen Subprozessoren besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Änderungen werden gemäß AVV § 7 mit angemessener Vorlauffrist im Dashboard angekündigt; ein Widerspruchsrecht besteht im Rahmen des AVV.
4. Cookies, Tracking und Reichweitenmessung
Notwendige Cookies (keine Einwilligung erforderlich): Zur Authentifizierung im eingeloggten Bereich werden technisch notwendige Session-Cookies (httpOnly, SameSite=Lax) gesetzt – u. a. das Cookie für die Funktion „eingeloggt bleiben". Diese sind für den Betrieb des Dienstes zwingend erforderlich und unterliegen nicht der Einwilligungspflicht nach § 25 Abs. 2 Nr. 2 TDDDG. Für den eingeloggten Bereich (app.vynoramed.de) ist daher kein Cookie-Banner erforderlich.
Einwilligungsbasierte Analyse und Marketing (nur Marketing-Seiten): Auf den öffentlichen Seiten unter vynoramed.de setzen wir Analyse- und Marketing-Dienste ausschließlich mit Ihrer vorherigen Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Beim ersten Besuch erhalten Sie einen Cookie-Hinweis, in dem Sie einzeln in die Kategorien „Statistik" und „Marketing" einwilligen oder diese ablehnen können. Ohne Ihre Einwilligung werden keine entsprechenden Cookies gesetzt und keine Daten an die jeweiligen Anbieter übermittelt. Hierfür verwenden wir Google Consent Mode v2; die Google-Dienste werden erst nach Ihrer Einwilligung geladen. Ihre Auswahl speichern wir im Cookie vynora_consent (Laufzeit 12 Monate). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen" im Seitenfuß widerrufen oder ändern.
Google Analytics 4: Anbieter ist die Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Zweck ist die pseudonyme Reichweiten- und Nutzungsanalyse unserer Marketing-Seiten. Dabei werden Cookies (u. a. _ga, _ga_*) mit einer Speicherdauer von bis zu 24 Monaten gesetzt. Die IP-Adresse wird in Google Analytics 4 standardmäßig gekürzt verarbeitet. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Google Ads: Anbieter ist die Google Ireland Limited. Zweck sind die Erfolgsmessung unserer Werbeanzeigen (Conversion-Tracking) sowie die Ausspielung interessenbezogener Werbung (Remarketing). Dabei können Cookies (u. a. _gcl_*) gesetzt werden. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Datenübermittlung in die USA: Bei der Nutzung der Google-Dienste können personenbezogene Daten an die Google LLC in den USA übermittelt werden. Die Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln. Mit Ihrer Einwilligung in „Statistik"/„Marketing" willigen Sie zugleich in diese Übermittlung ein (Art. 49 Abs. 1 lit. a DSGVO).
Cookielose Reichweitenmessung (nur Marketing-Seiten): Auf den öffentlichen Seiten unter vynoramed.de setzen wir Vercel Web Analytics ein, um aggregierte Statistiken zu Seitenaufrufen, Geräte-Typ und Herkunftsland zu erheben. Es werden keine Cookies oder vergleichbaren Speichermechanismen eingesetzt; IP-Adressen werden ausschließlich zur Länderzuordnung herangezogen und unmittelbar verworfen. Eine Identifizierung einzelner Personen findet nicht statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der bedarfsgerechten Gestaltung unseres Online-Angebots). Auf eingeloggten Bereichen (app., mfa., admin., partner.) ist diese Reichweitenmessung deaktiviert.
Cloudflare (Sicherheit): Zum Schutz vor Bot-Zugriffen und DDoS-Angriffen setzt Cloudflare technisch notwendige Cookies (insbesondere __cf_bm und bei Verifikationsanforderung cf_clearance). Diese dienen ausschließlich der Sicherheit und Verfügbarkeit der Website und sind nach § 25 Abs. 2 Nr. 2 TDDDG nicht einwilligungspflichtig. Eine Verhaltensprofilbildung findet nicht statt.
5. Speicherdauer
Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Rechnungs- und Buchhaltungsdaten: 10 Jahre (§ 147 Abs. 3 AO).
- Praxis-Konto-Daten (Anwender, Konfiguration): für die Dauer des Vertrags- verhältnisses, Löschung nach Kündigung; Löschung im Dashboard jederzeit möglich (Art. 17 DSGVO).
- Patientendaten (Aufrufe): ausschließlich für die Dauer der Aufrufabwicklung, Löschung nach Beendigung des Auftragsverhältnisses (Art. 28 Abs. 3 lit. g DSGVO). § 147 AO ist auf Patientendaten nicht anwendbar.
- Server-Logs: spätestens 30 Tage.
- Warteliste / Launch-Anmeldung: Löschung nach Versand der Launch-Benachrichtigung.
Eine Kopie Ihrer Daten können Sie im Dashboard als Export herunterladen (Art. 20 DSGVO).
6. Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO) — im Dashboard unter Einstellungen verfügbar
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — im Dashboard als JSON-Export verfügbar
- Recht auf Widerspruch (Art. 21 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich an: kontakt@vynoramed.de
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).
7. Datensicherheit
Die Übertragung zwischen Ihrem Browser und unseren Servern erfolgt ausschließlich verschlüsselt (HTTPS/TLS). Passwörter werden mit bcrypt gehasht gespeichert. Zugriffe auf personenbezogene Daten werden in einem Audit-Log protokolliert. Regelmäßige Datenbank-Backups sichern die Verfügbarkeit Ihrer Daten.