Datenschutzerklärung Therapy Lift App
Stand: 11.06.2026 · Version v2.14
1. Einleitung
Der Schutz Ihrer personenbezogenen Daten ist uns ein zentrales Anliegen. Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir bei der Nutzung unserer Plattform Therapy Lift verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage dies geschieht, und welche Rechte Ihnen als betroffene Person zustehen.
Da wir eine Plattform für die technische Erbringung psychotherapeutischer Leistungen durch approbierte Therapeut:innen betreiben, verarbeiten wir Gesundheitsdaten im Sinne des Art. 9 DSGVO. Wir haben unsere technische Architektur so gestaltet, dass sie die Vertraulichkeit Ihrer Therapieinhalte auch uns gegenüber durch kryptographische Maßnahmen schützt. Die Einzelheiten dieser Architektur sind in Abschnitt 3 beschrieben.
1.1 – Verantwortlicher
Verantwortlicher für in dieser Erklärung entsprechend gekennzeichnete Verarbeitungen gemäß Art. 4 Nr. 7 DSGVO ist:
Psyve GmbH Kolonnenstraße 8 10827 Berlin Deutschland
E-Mail: contact@psyve.de Telefon: 030 536 713 05 (Mo-Fr, 9–18 Uhr)
Gesetzlich vertreten durch den Geschäftsführer Matthias Axel Kröll.
Handelsregister: HRB 279479 B (Amtsgericht Charlottenburg) Umsatzsteuer-Identifikationsnummer: DE341631333
Inhaltlich verantwortlich gemäß § 18 Abs. 2 MStV: Emil Herrling, Psyve GmbH, Kolonnenstraße 8, 10827 Berlin.
Therapy Lift® ist ein eingetragenes Angebot der Psyve GmbH.
1.2 – Datenschutzbeauftragter
Unseren externen Datenschutzbeauftragten erreichen Sie über die heyData GmbH, Schützenstraße 5, 10117 Berlin. E-Mail: datenschutz@heydata.eu. Telefon: +49 89 41 32 53 20. Web: www.heydata.eu. Die Bestellung ist bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit unter der Eintragsnummer YFLV-JWNL-FQTU am 30.10.2025 angemeldet.
1.3 – Besondere Hinweise für Therapy Lift
Therapy Lift ist eine Plattform, über die approbierte Psychotherapeut:innen psychotherapeutische Leistungen gegenüber Patient:innen erbringen. Die Plattform stellt dafür die technische Infrastruktur bereit: Videositzungen, sichere Nachrichtenkommunikation, Terminverwaltung, Fragebogenbearbeitung sowie die technische Ermöglichung der Zahlungsabwicklung zwischen Patient:in und Therapeut:in.
Psyve ist nicht Erbringer therapeutischer Leistungen. Der Behandlungsvertrag kommt direkt zwischen Ihnen als Patient:in und der von Ihnen gewählten Therapeutin bzw. dem gewählten Therapeuten zustande. Auch die Zahlung erfolgt direkt zwischen Ihnen und der Therapeutin bzw. dem Therapeuten (technisch abgewickelt über Stripe Connect; Details in Abschnitt 4.10). Psyve fungiert als Plattformbetreiberin für die Bereitstellung der technischen Infrastruktur (Videositzungen, Abrechnungstools, PKV-Schnittstellen, administrative Unterstützung).
Aus dieser Geschäftstätigkeit folgt:
- Bereits die Tatsache, dass Sie ein Nutzerkonto auf Therapy Lift führen, stellt ein Gesundheitsdatum im Sinne des Art. 4 Nr. 15 DSGVO dar.
- Die Verarbeitung dieser Daten fällt unter Art. 9 DSGVO (besondere Kategorien personenbezogener Daten).
- Wir haben technische und organisatorische Maßnahmen getroffen, die über das gesetzliche Minimum hinausgehen, insbesondere eine Ende-zu-Ende-Verschlüsselung der Therapieinhalte (Abschnitt 3).
Für die Nutzung der Plattform verarbeiten wir personenbezogene Daten zur Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Da die Nutzung der Plattform typischerweise Rückschlüsse auf Gesundheitsdaten zulässt und im Rahmen der Nutzung Gesundheitsdaten verarbeitet werden, benötigen wir für diese Verarbeitungsvorgänge zusätzlich Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Sie erteilen diese Einwilligung im Rahmen der Registrierung (Abschnitt 4.1) und können sie jederzeit mit Wirkung für die Zukunft widerrufen. Wenn Sie Ihre Einwilligung in die Verarbeitung von Gesundheitsdaten widerrufen, können wir Ihnen die Plattform für die Zukunft nicht weiter bereitstellen; bestimmte Daten dürfen oder müssen wir jedoch ggf. weiterhin zur Erfüllung gesetzlicher Pflichten aufbewahren (z.B. handels- und steuerrechtliche Aufbewahrungsfristen).
1.4 – Geltungsbereich dieser Datenschutzerklärung
Diese Datenschutzerklärung richtet sich zunächst an Patient:innen als Nutzer:innen von Therapy Lift. Sie gilt für die Nutzung von Therapy Lift unabhängig davon, auf welcher Plattform Sie die Anwendung nutzen. Therapy Lift ist eine plattformübergreifende Anwendung, die auf folgenden Wegen zugänglich ist:
- als native App für iOS (aus dem Apple App Store)
- als native App für Android (aus dem Google Play Store)
- als native App für macOS (aus dem Apple App Store)
- als Web-Anwendung direkt im Browser unter https://app.therapy-lift.de (ohne Installation)
Diese Datenschutzerklärung gilt ebenso für die zugehörige Backend-Infrastruktur, die die genannten Clients bedient.
Für unsere Marketingwebseite (therapy-lift.de) gilt eine gesonderte Datenschutzerklärung, die dort abrufbar ist.
Für Therapeut:innen als Nutzer:innen der Plattform finden sich die spezifischen Datenschutzhinweise in Abschnitt 6a dieser Datenschutzerklärung. Dieser Abschnitt deckt insbesondere das Therapeut:innen-Konto, die Approbations-Verifikation, die Stripe-Connect-Architektur, die Plattformgebühr-Abrechnung sowie die Meldung nach Plattformen-Steuertransparenzgesetz / DAC7 an das Bundeszentralamt für Steuern ab. Soweit Therapeut:innen in ihrer Eigenschaft als unabhängige Berufsträger:innen Gesundheitsdaten ihrer Patient:innen verarbeiten, gelten für diese Daten ausschließlich deren ergänzende datenschutzrechtliche Regelungen, über die die jeweiligen Therapeut:innen ihre Patient:innen gesondert informieren.
Therapy Lift steht volljährigen Patient:innen sowie minderjährigen Patient:innen ab dem 14. Lebensjahr offen. Das Nutzerkonto wird stets von der minderjährigen Person selbst angelegt und geführt; eine Anmeldung oder Kontoführung durch Sorgeberechtigte findet nicht statt, und Sorgeberechtigte erhalten keinen Zugriff auf das Konto oder die Behandlungsinhalte. Die minderjährige Person hat die volle Kontrolle über das Konto und erteilt die Einwilligung in die Verarbeitung ihrer Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO) sowie die Zustimmung zu dieser Datenschutzerklärung selbst (eigene datenschutzrechtliche Einwilligungsfähigkeit ab Einsichtsfähigkeit, ab 14, unabhängig von der zivilrechtlichen Geschäftsfähigkeit). Das Konto bietet optional die Möglichkeit, dass eine sorgeberechtigte Person Zahlungsdaten hinterlegt, um die Bezahlung der Sitzungen abzusichern. Die Behandlung minderjähriger Patient:innen erfolgt ausschließlich durch Therapeut:innen mit einer Approbation als Kinder- und Jugendlichenpsychotherapeut:in (KJP). Die Besonderheiten dieser Konstellation sind in Abschnitt 2.7 beschrieben.
Verantwortlichkeiten: Die datenschutzrechtlichen Verantwortlichkeiten für die auf der Plattform durchgeführten Verarbeitungen stellen sich wie folgt dar:
- Plattform-Verarbeitungen (Registrierung, Authentifizierung, Therapeut:innen-Suche, Matching, Push-Benachrichtigungen, technische Logs, aggregierte Nutzungsstatistiken): Psyve ist alleine verantwortlich.
- Behandlungsinhalte unter Ende-zu-Ende-Verschlüsselung (Inhalte der Videositzungen, Inhalte der Chat-Nachrichten, Antworten auf diagnostische und Verlaufs-Fragebögen nach Übermittlung an die Therapeut:in, hochgeladene Dokumente, inhaltliche Rechnungsposten): Die behandelnde Therapeut:in ist alleine verantwortlich für die Inhalte. Psyve hat technisch keinen Klartext-Zugriff; für Psyve handelt es sich um verschlüsselte, nicht personenbeziehbare Datenblöcke. Eine Auftragsverarbeitung an den Inhalten findet daher nicht statt; Psyve stellt insoweit nur Transport- und Speicher-Infrastruktur bereit.
- Termin-Existenz und Termin-Daten als Behandlungs-Tatsache (Datum, Uhrzeit, Sitzungsart, Status der Termine zwischen Patient:in und Therapeut:in): Die behandelnde Therapeut:in ist verantwortliche Stelle. Psyve fungiert für die Termin-Verwaltung als Auftragsverarbeiterin nach Art. 28 DSGVO. Anders als bei Videositzungen oder Nachrichten gibt es bei Terminen keinen E2EE-verschlüsselten "Inhalt" — Termin-Daten müssen serverseitig im Klartext verarbeitet werden, weil sie für Plattform-Funktionen (Konflikterkennung, Erinnerungen, Kalender-Synchronisation) erforderlich sind.
- Metadaten der Behandlungs-Interaktion (z.B. Zeitstempel der Sitzungen, Häufigkeit der Nachrichten-Austausche): Diese Metadaten sind technisch unvermeidbar für die Plattform-Funktion und als notwendiger Teil der Behandlungs-Interaktion der behandelnden Therapeut:in zugeordnet. Die Therapeut:in ist insoweit verantwortliche Stelle; Psyve verarbeitet die Metadaten in deren Auftrag als Auftragsverarbeiterin nach Art. 28 DSGVO.
- Rechnungs-Verarbeitung folgt einem Hybrid-Modell mit Metadaten-Trennung: Inhaltliche Rechnungsposten (Leistungsbeschreibung, GOÄ-Ziffern, therapeutische Begründungen) sind Ende-zu-Ende-verschlüsselt; Psyve hat keinen Klartext-Zugriff und ist insoweit nicht Auftragsverarbeiterin der Inhalte. Die Rechnungs-Metadaten im Klartext (Datum, Rechnungssumme, Rechnungsadresse, Zahlungsstatus) verarbeitet Psyve im Auftrag der Therapeut:in als Auftragsverarbeiterin. Psyve generiert die Rechnung als technische Dienstleistung; die zivilrechtliche Zuordnung der Rechnungsausstellung ergibt sich aus den AGB.
- Zahlungsabwicklung über Stripe Connect folgt einer vertikalen Drei-Parteien-Trennung: Stripe Payments Europe Ltd. / Stripe Inc. ist eigenständig verantwortlich für die Zahlungs-Verarbeitung; die Therapeut:in ist verantwortlich für die Behandlungs-Abrechnung im engeren Sinne; Psyve ist verantwortlich für die Plattformgebühr-Erfassung als eigenständige B2B-Verarbeitung.
Für die Verarbeitung der behandlungsbezogenen Metadaten (Termin-Daten, Kommunikations- und Rechnungs-Metadaten) besteht zwischen Psyve und den behandelnden Therapeut:innen ein Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO, in dem die Therapeut:in als Verantwortliche und Psyve als Auftragsverarbeiterin agiert. Die Ende-zu-Ende-verschlüsselten Behandlungsinhalte sind nicht Gegenstand dieser Auftragsverarbeitung, da Psyve auf sie keinen Zugriff hat.
Für Patient:innen bedeutet das praktisch: Hinsichtlich Ihrer Plattform-Nutzung als solche (Konto, Suche, Push-Benachrichtigungen, Plattformgebühren-Architektur) ist Psyve Ihre Ansprechpartnerin für datenschutzrechtliche Fragen. Hinsichtlich der konkreten Behandlungsinhalte (was in einer Videositzung oder Chat-Nachricht besprochen wurde, welche Termine vereinbart wurden, welche Diagnose gestellt wurde, welche Behandlungsleistung in der Rechnung aufgeführt ist) ist die behandelnde Therapeut:in Ihre Ansprechpartnerin. Hinsichtlich der eigentlichen Zahlungs-Verarbeitung (Kreditkartendaten, Transaktions-Verarbeitung) ist Stripe Ihre Ansprechpartnerin. Ihre Rechte nach Art. 15 ff. DSGVO können Sie gegenüber der jeweils verantwortlichen Stelle geltend machen. In unserer Rolle als Auftragsverarbeiter leiten wir Anfragen an die zuständige Stelle weiter.
2. Grundsätze der Datenverarbeitung
2.1 – Rechtsgrundlagen der Verarbeitung
Als Rechtsgrundlagen für die Verarbeitung Ihrer personenbezogenen Daten kommen in Betracht:
- Art. 6 Abs. 1 S. 1 lit. a DSGVO — bei Verarbeitungen, in die Sie eingewilligt haben
- Art. 6 Abs. 1 S. 1 lit. b DSGVO — wenn die Verarbeitung zur Erfüllung des Nutzungsvertrags erforderlich ist
- Art. 6 Abs. 1 S. 1 lit. c DSGVO — wenn wir rechtlichen Pflichten nachkommen (z.B. steuerrechtlichen Aufbewahrungspflichten)
- Art. 6 Abs. 1 S. 1 lit. f DSGVO — wenn berechtigte Interessen unsererseits die Verarbeitung rechtfertigen (insbesondere technische Betriebssicherheit)
2.2 – Besondere Rechtsgrundlagen für Gesundheitsdaten (Art. 9 DSGVO)
Bei der Verarbeitung von Gesundheitsdaten unterscheiden wir zwischen zwei Rollen, die sich auch in den Rechtsgrundlagen widerspiegeln:
(1) Verarbeitung durch Psyve als Plattformbetreiberin — insbesondere Nutzerkonto-, Termin-, Kommunikations- und Zahlungsmetadaten sowie die Speicherung und Übertragung der Ende-zu-Ende-verschlüsselten Inhalte (Psyve hat technisch keinen Zugriff auf die Klartext-Inhalte; siehe Abschnitt 3). Soweit Psyve hierbei Gesundheitsdaten im Sinne des Art. 9 DSGVO verarbeitet, erfolgt dies auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie im Rahmen der Registrierung und ggf. situativ (z.B. im Rahmen der PKV-Kooperation für den automatisierten Antragsunterlagen-Austausch) erteilen.
(2) Verarbeitung durch die behandelnden Psychotherapeut:innen — insbesondere die Inhalte der Kommunikation, Fragebogenantworten und Behandlungsdokumentation. Diese Verarbeitung erfolgt im Rahmen der Gesundheitsversorgung auf Grundlage der für die Therapeut:innen einschlägigen Rechtsgrundlagen, insbesondere Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit Art. 9 Abs. 3 DSGVO und in Verbindung mit den berufsrechtlichen Schweigepflichten (PsychThG, Berufsordnung). Die Therapeut:innen sind insoweit eigenständige Verantwortliche und stellen Ihnen ihre eigenen Datenschutzhinweise zur Verfügung.
2.3 – Datenverarbeitung außerhalb des EWR
Unsere Infrastruktur befindet sich vollständig in Deutschland (Hetzner Online GmbH, Rechenzentren in Nürnberg und Falkenstein). Eine Verarbeitung durch uns außerhalb des EWR findet nicht statt.
In folgenden, eng begrenzten Fällen kann eine Verarbeitung außerhalb des EWR durch von uns eingesetzte Dritte erfolgen:
Apple Inc. (USA) / Google LLC (USA) — bei Nutzung der Login-Verfahren "Mit Apple anmelden" bzw. "Mit Google anmelden" (Abschnitt 4.2), beim Download der App aus den jeweiligen App-Stores (Abschnitt 5.4), sowie bei der technischen Zustellung von Push-Benachrichtigungen (Abschnitt 4.12).
Mozilla Foundation (USA) — bei Nutzung der Web-Anwendung im Firefox-Browser für die Zustellung von Push-Benachrichtigungen (Abschnitt 4.12). Die Mozilla Corporation ist nicht unter dem EU-U.S. Data Privacy Framework zertifiziert; Rechtsgrundlage der Drittlandübermittlung sind daher Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Die Wirksamkeit dieser Standardvertragsklauseln im Zusammenhang mit der US-Rechtslage haben wir in einem Transfer Impact Assessment dokumentiert; die zugehörigen Schutzmaßnahmen umfassen insbesondere die Web-Push-Verschlüsselung gemäß RFC 8291 und die strikte Beschränkung der übermittelten Daten auf bedeutungslose Push-Identifier ohne inhaltlichen Bezug.
Rechtsgrundlage für die Drittlandübermittlungen an Apple und Google ist ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 Abs. 1 DSGVO in Form des EU-US Data Privacy Framework Adequacy Decision der EU-Kommission vom 10. Juli 2023, unter dem beide Unternehmen zertifiziert sind.
Stripe Payments Europe, Ltd. (Irland) als Zahlungsabwickler. Die primäre Verarbeitung erfolgt in der EU. Für ggf. erforderliche Übermittlungen an Stripe Inc. (USA) bestehen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie die Zertifizierung unter dem EU-US Data Privacy Framework.
Soweit wir für eine Übermittlung außerhalb des EWR Standardvertragsklauseln nutzen, prüfen wir vorab und in regelmäßigen Abständen die mit der jeweiligen Übermittlung verbundenen Risiken (Transfer Impact Assessment) und setzen — soweit erforderlich — zusätzliche technische und organisatorische Schutzmaßnahmen ein. Hierzu zählen insbesondere strikte Datenminimierung sowie, wo technisch möglich, Ende-zu-Ende-Verschlüsselung der Inhalte.
2.4 – Speicher- und Löschfristen
Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist. Die wichtigsten Fristen im Überblick:
| Datenkategorie | Aufbewahrungsfrist | Grundlage |
|---|---|---|
| Behandlungsbezogene Dokumentation der Therapeut:innen (verschlüsselt auf der Plattform gespeichert; Klartext nur bei den Therapeut:innen) | 10 Jahre nach Abschluss der Behandlung | Berufsrecht der Therapeut:innen |
| Rechnungen und Abrechnungsdaten | 10 Jahre | § 257 HGB, § 147 AO |
| Nutzungsmetadaten (Login-Zeitpunkte, Gerätenutzung) | 90 Tage | Berechtigtes Interesse (Betriebssicherheit und Fehlerverfolgung) |
| Verbindungs- und Anwesenheitsmetadaten der Videosprechstunde (Zeitpunkt, Dauer, Teilnahme, technische Verbindungsdaten) | Spätestens 90 Tage (Maximum) | Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO); Durchführung und Dokumentation der Videosprechstunde |
| Nutzerkonto-Stammdaten | Bis zur Kontolöschung | Vertragserfüllung |
| Einwilligungsnachweise | 3 Jahre nach Widerruf bzw. Beendigung des Nutzungsverhältnisses (Fristbeginn zum Ende des Kalenderjahres) | Nachweispflicht Art. 7 Abs. 1 DSGVO |
| Optionale Zahlungsdaten einer sorgeberechtigten Person (sofern zur Absicherung der Sitzungs-Bezahlung hinterlegt) | Für die Dauer der Nutzung der hinterlegten Zahlungsdaten; danach im Rahmen der handels- und steuerrechtlichen Aufbewahrung der Zahlungsdaten | Art. 6 Abs. 1 lit. b DSGVO (Zahlungsabwicklung); §§ 257 HGB, 147 AO |
| Fehlerverfolgungsdaten | 60 Tage | Berechtigtes Interesse |
| Technische Logdaten | 30 Tage | Berechtigtes Interesse Betriebssicherheit |
| Push-Benachrichtigungs-Token | Bis Deaktivierung oder Kontolöschung | Einwilligung |
Nutzungsmetadaten verarbeiten wir nicht getrennt für sich, sondern zur Sicherstellung des Betriebs und zur Fehlerverfolgung (siehe Abschnitte 4.3 und 5.2); reine technische Sitzungs- und Verbindungsdaten löschen wir frühzeitig. Die 60-Tage-Frist für Fehlerverfolgungsdaten entspricht dem Zeitraum, in dem wiederkehrende oder verzögert auftretende Fehler typischerweise reproduziert und behoben werden; danach verlieren die Daten ihren Nutzen für die Fehlersuche.
Nach Ablauf der jeweiligen Frist werden Daten gelöscht oder, soweit eine Löschung aufgrund gesetzlicher Pflichten nicht möglich ist, in ihrer weiteren Verarbeitung eingeschränkt (Sperrung). Eine solche Einschränkung kann auch durch Verschlüsselung erfolgen; soweit eine endgültige Löschung vorgesehen ist, kann diese auch durch die Vernichtung der zugehörigen kryptographischen Schlüssel bewirkt werden.
2.5 – Pflicht zur Bereitstellung von Daten
Für die Nutzung von Therapy Lift benötigen wir bestimmte personenbezogene Daten zur Begründung und Durchführung des Nutzungsvertrags. Hierzu zählen insbesondere Name, E-Mail-Adresse, Anmeldedaten, Rechnungsadresse sowie das in Abschnitt 3 beschriebene kryptographische Schlüsselmaterial.
Sie sind gesetzlich nicht verpflichtet, uns diese Daten bereitzustellen. Ohne diese Daten können wir jedoch den Nutzungsvertrag nicht schließen und die Plattform nicht für Sie bereitstellen. Optionale Angaben sind als solche erkennbar.
2.6 – Automatisierte Entscheidungsfindung
Wir nutzen keine automatisierten Entscheidungen im Einzelfall gemäß Art. 22 DSGVO.
Unser Matching sortiert die vollständige Liste der auf der Plattform tätigen Therapeut:innen auf Grundlage Ihrer Fragebogen-Antworten nach Relevanz. Die Liste wird nicht gefiltert; alle Therapeut:innen bleiben jederzeit sichtbar, unabhängig von der Sortierung. Sie als Nutzer:in treffen die Auswahl selbst. Sie können das Matching jederzeit überspringen und stattdessen die unsortierte vollständige Liste einsehen. Es entsteht aus dem Algorithmus weder eine rechtliche Wirkung noch eine vergleichbar erhebliche Beeinträchtigung im Sinne des Art. 22 Abs. 1 DSGVO.
2.7 – Minderjährige Patient:innen
Therapy Lift steht minderjährigen Patient:innen ab dem 14. Lebensjahr offen. Die genauen Voraussetzungen der Plattform-Nutzung durch Minderjährige sind in unseren AGB geregelt; der vorliegende Abschnitt beschreibt die datenschutzrechtlichen Besonderheiten.
Datenschutzrechtlich ist zwischen der Einwilligungsfähigkeit (Art. 6, 7, 8, 9 DSGVO) und der zivilrechtlichen Geschäftsfähigkeit (§§ 104 ff. BGB) zu unterscheiden. Für die Einwilligung in die Verarbeitung der eigenen Gesundheitsdaten kommt es auf die Einsichtsfähigkeit an, die bei psychotherapeutischen Sachverhalten regelmäßig ab dem 14. Lebensjahr angenommen wird. Die wirksame Begründung eines kostenpflichtigen Nutzungsvertrags richtet sich dagegen nach der Geschäftsfähigkeit.
Das Konto führt die minderjährige Person selbst. Das Nutzerkonto wird ausschließlich von der minderjährigen Patient:in selbst angelegt und betrieben; sie erhält eigene Zugangsdaten (Benutzername, Passwort, optionale Mehrfaktor-Authentifizierung). Sorgeberechtigte legen das Konto nicht an, führen es nicht und erhalten keinen Zugriff auf die Behandlungsinhalte (Videositzungen, Nachrichten, Fragebogen-Antworten, Dokumente, inhaltliche Rechnungsposten). Ob und in welchem Umfang die minderjährige Patient:in ihre Sorgeberechtigten einbezieht, entscheidet sie selbst; klinische Fragen der Vertraulichkeit regeln die behandelnden Therapeut:innen im Rahmen ihrer berufsrechtlichen Verantwortung.
Einwilligung und volle Kontrolle durch die minderjährige Person (14 bis 18 Jahre). Minderjährige Patient:innen ab dem 14. Lebensjahr legen das Konto selbst an, führen es eigenständig und haben die volle Kontrolle über das Konto. Sie erteilen die ausdrückliche Einwilligung in die Verarbeitung ihrer Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO) und die Zustimmung zu dieser Datenschutzerklärung selbst; die datenschutzrechtliche Einwilligungsfähigkeit besteht ab Einsichtsfähigkeit (ab 14) unabhängig von der zivilrechtlichen Geschäftsfähigkeit. Eine inhaltliche Mitwirkung oder Einwilligung der Sorgeberechtigten in die Datenverarbeitung findet nicht statt.
Optionale Zahlungs-Hinterlegung durch Sorgeberechtigte. Das Konto bietet die Möglichkeit, dass eine sorgeberechtigte Person Zahlungsdaten hinterlegt, um die Bezahlung der Sitzungen abzusichern. Diese Hinterlegung ist optional und betrifft ausschließlich die Zahlungsabwicklung; sie begründet keinen Zugriff der sorgeberechtigten Person auf das Konto oder die Behandlungsinhalte und keine inhaltliche Mitbestimmung. Hinterlegt eine sorgeberechtigte Person Zahlungsdaten, erheben wir von ihr die hierfür erforderlichen Angaben (insbesondere Name und zahlungsbezogene Daten); diese werden nicht an die behandelnde Therapeut:in, an Krankenversicherungen oder an sonstige Dritte übermittelt. Die zivilrechtliche Wirksamkeit des kostenpflichtigen Nutzungsvertrags mit beschränkt geschäftsfähigen Minderjährigen (§§ 106 ff. BGB) wird über die Zahlung abgesichert (Zahlung aus eigenen Mitteln der minderjährigen Person, § 110 BGB, oder über die optionale Zahlungs-Hinterlegung einer sorgeberechtigten Person); die nähere zivilrechtliche Ausgestaltung regeln die AGB.
Altersangabe und Altersprüfung. Das Alter wird anhand des bei der Registrierung angegebenen Geburtsdatums bestimmt; der Zugang ist auf Personen ab 14 Jahren beschränkt, Personen unter 14 Jahren werden nicht zugelassen. Eine automatisierte oder ausweisbasierte Altersverifikation auf Plattformebene führen wir nicht durch; die verbindliche Altersprüfung erfolgt durch die behandelnde Kinder- und Jugendlichenpsychotherapeut:in im Rahmen der Behandlung.
Rechtsgrundlagen. Die Verarbeitung stützt sich auf:
- Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsvertrags; die zivilrechtliche Wirksamkeit gegenüber beschränkt geschäftsfähigen Minderjährigen wird über die Zahlung abgesichert, vgl. §§ 106 ff., 110 BGB und die optionale Zahlungs-Hinterlegung durch eine sorgeberechtigte Person)
- Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung der minderjährigen Patient:in in die Verarbeitung ihrer Gesundheitsdaten)
Rechte der minderjährigen Patient:in als betroffene Person. Die minderjährige Patient:in ist selbstständige betroffene Person im Sinne der DSGVO und übt ihre Rechte nach Art. 15 bis 22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) selbst aus.
Volljährigkeit. Mit Eintritt der Volljährigkeit ändert sich an der Konto-Kontrolle nichts; das Konto wird unverändert von der nun volljährigen Person weitergeführt, und ihre bereits erteilte Einwilligung bleibt wirksam (kein erneuter Consent erforderlich). Soweit zu diesem Zeitpunkt noch ein über eine sorgeberechtigte Person hinterlegtes Zahlungsmittel verwendet wird, fordern wir die Aktualisierung der Zahlungsangaben an.
Zahlungsabwicklung bei Minderjährigen. Die Rechnung der behandelnden Therapeut:in wird auf den Namen der minderjährigen Patient:in als Leistungsempfänger:in ausgestellt. Die technische Zahlungsabwicklung über Stripe kann über ein Zahlungsmittel erfolgen, das eine sorgeberechtigte Person als Stripe-Kundin bzw. -Kunde in ihrem eigenen Namen hinterlegt hat. Dies ist ein Anwendungsfall der allgemeinen, in Abschnitt 4.10 beschriebenen Trennung zwischen Leistungsempfänger:in und Zahler:in.
3. Die Ende-zu-Ende-Verschlüsselungsarchitektur
Als Plattform für sensible Gesundheitsdaten haben wir eine technische Architektur gewählt, die bestimmte Daten auch uns als Betreiberin gegenüber kryptographisch schützt. Diese Architektur ist für das Verständnis der nachfolgenden Abschnitte zentral.
3.1 – Zwei Datenkategorien
Wir unterscheiden zwischen zwei Kategorien:
Metadaten, die Psyve verarbeiten kann
Hierzu zählen insbesondere:
- Tatsache der Existenz Ihres Nutzerkontos
- E-Mail-Adresse, Name, ggf. hinterlegte Kontaktdaten
- Buchungsmetadaten: mit welcher Therapeutin oder welchem Therapeuten Sie wann einen Termin haben
- Kommunikationsmetadaten: wer mit wem wann kommuniziert, die Häufigkeit von Nachrichten und Sitzungen, die Dauer von Videositzungen (nicht jedoch die Inhalte der Kommunikation, siehe unten)
- Zahlungsmetadaten: Zeitpunkt, Betrag, Status der Zahlung (ohne inhaltliche Rechnungsposten)
- Rechnungsadresse und Rechnungssumme (technisch für die Zahlungsabwicklung erforderlich)
- Technische Nutzungsmetadaten (Login-Zeitpunkte, App-Version, Gerätetyp)
- Fragebogen-Auswahl und -Zeitpunkt (nicht jedoch die Antworten)
Diese Daten können wir einsehen und verarbeiten sie auf Grundlage der in den folgenden Abschnitten genannten Rechtsgrundlagen.
Inhalte, die Psyve technisch nicht einsehen kann
Hierzu zählen insbesondere:
- Gesprächsinhalte der Videositzungen
- Chat-Nachrichten zwischen Ihnen und Ihrer Therapeutin oder Ihrem Therapeuten
- Von Ihnen hochgeladene Dokumente und Dateianhänge
- Ihre Antworten auf diagnostische und Verlaufs-Fragebögen (z.B. GAD-7, PHQ-9)
- Profildaten, die nur für Ihre Therapeutin oder Ihren Therapeuten bestimmt sind
- Inhaltliche Rechnungsposten (Leistungsbeschreibung, GOÄ-Ziffern, therapeutische Begründungen) — nur Rechnungssumme und -adresse sind einsehbar
Diese Daten werden mit kryptographischen Schlüsseln verschlüsselt, die ausschließlich auf Ihren Endgeräten (und den Endgeräten Ihrer Therapeutin oder Ihres Therapeuten) generiert und gespeichert werden. Die kryptographischen Schlüssel verlassen Ihre Geräte nicht in unverschlüsselter Form. Wir haben weder Zugriff auf die Schlüssel noch auf die Klartext-Inhalte, weder während der Übertragung noch bei der Speicherung.
Bei der Registrierung wird zusätzlich ein Wiederherstellungsschlüssel erzeugt, den Sie lokal auf Ihrem Gerät herunterladen und den Sie sicher aufbewahren müssen. Dieser Schlüssel erlaubt Ihnen den Zugriff auf Ihre verschlüsselten Inhalte, falls Sie Ihr Passwort verlieren. Da wir aus technischen Gründen keinen Zugriff auf Ihre Inhalte haben, können wir den Wiederherstellungsschlüssel bei Verlust nicht rekonstruieren (siehe auch Abschnitt 3.3).
3.2 – Was dies rechtlich bedeutet
Auch die Ende-zu-Ende-verschlüsselten Inhalte sind rechtlich Gesundheitsdaten im Sinne des Art. 9 DSGVO. Da wir sie jedoch technisch nicht einsehen können, beschränkt sich unsere Verarbeitung auf die Übertragung und Speicherung der verschlüsselten Datenblobs, ohne dass wir deren Inhalt zur Kenntnis nehmen oder nehmen können.
Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie bei Registrierung abgeben, sowie ergänzend auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO, soweit die Verarbeitung im Behandlungskontext durch die beteiligten Psychotherapeut:innen erfolgt, die einer berufsrechtlichen Schweigepflicht unterliegen.
3.3 – Was dies für Sie bedeutet
- Wenn Sie Ihr Passwort verlieren, können wir Ihnen aus technischen Gründen nicht helfen, Ihre verschlüsselten Inhalte wiederherzustellen. Sie benötigen hierfür den bei Registrierung von Ihnen heruntergeladenen Wiederherstellungsschlüssel.
- Wenn Sie auch den Wiederherstellungsschlüssel verlieren, sind Ihre verschlüsselten Inhalte endgültig nicht mehr zugänglich. Dies ist die notwendige Konsequenz der Zero-Knowledge-Architektur.
Eine sichere Aufbewahrung des Wiederherstellungsschlüssels liegt in Ihrer eigenen Verantwortung. Hinweise zur praktischen Handhabung stellen wir Ihnen in der Anwendung selbst zur Verfügung.
3.4 – Plattform-Unterschiede bei der Schlüssel-Speicherung
Wir speichern die kryptographischen Schlüssel auf Ihrem Endgerät — abhängig von der genutzten Plattform mit unterschiedlicher technischer Architektur:
- iOS, macOS, iPadOS: Schlüssel werden in der hardware-gestützten Apple Keychain abgelegt. Der Schutz beruht auf der Hardware-Sicherheits-Architektur des Geräts.
- Android: Schlüssel werden im hardware-gestützten Android Keystore abgelegt, soweit das Gerät dies unterstützt. Der Schutz beruht ebenfalls auf der Hardware-Sicherheits-Architektur des Geräts.
- Web-Anwendung im Browser: Schlüssel werden im sogenannten localStorage des Browsers abgelegt und mit AES-GCM-256 verschlüsselt. Der zur Entschlüsselung nötige Schlüssel liegt ebenfalls im localStorage. Diese Architektur ist im Web marktüblich und entspricht dem Stand der Technik bei vergleichbaren Web-Anwendungen für sensible Daten.
Für die Web-Anwendung setzen wir folgende ergänzende Schutzmaßnahmen ein:
- Auslieferung auf einer eigenständigen Domain ohne Einbettung von Drittanbieter-Skripten
- Implementierung als Flutter-Web-Anwendung mit Canvas-Rendering, wodurch klassische Cross-Site-Scripting-Angriffe strukturell ausgeschlossen werden
- Code-Review, Dependency-Scanning und Build-Pipeline-Härtung zur Reduzierung von Lieferketten-Risiken
4. Datenverarbeitung bei der Nutzung der Plattform
4.1 – Registrierung und Nutzerkonto
Datenkategorien: E-Mail-Adresse, Passwort (gehasht, nicht im Klartext), Vor- und Nachname, Nutzungsrolle (Patient:in / Therapeut:in), kryptographische Schlüsselmaterialien (wie in Abschnitt 3 beschrieben). Bei der Registrierung wird Ihnen ein Wiederherstellungsschlüssel zum Download bereitgestellt, den Sie zur Wiederherstellung des Zugriffs bei Passwortverlust sicher aufbewahren müssen; dieser Schlüssel verlässt unsere Infrastruktur ausschließlich über Ihren eigenen Download-Vorgang.
Zwecke: Einrichtung und Verwaltung Ihres Nutzerkontos, Authentifizierung, Bereitstellung der Plattform-Funktionen.
Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die technische Kontoverwaltung
- Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) für die Verarbeitung der mit dem Nutzerkonto zwangsläufig verbundenen Gesundheitsdaten
Einwilligung: Bei der Registrierung holen wir folgende Erklärungen über jeweils gesonderte, nicht vorausgewählte Checkboxes ein:
- Einwilligung in die Verarbeitung Ihrer Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO). Diese Einwilligung wird gesondert und deutlich hervorgehoben eingeholt und ist von den übrigen Erklärungen klar abgesetzt (Art. 7 Abs. 2 DSGVO).
- Akzeptanz unserer Allgemeinen Geschäftsbedingungen
- Kenntnisnahme dieser Datenschutzerklärung
Bei Registrierung mittels Single Sign-On (Apple bzw. Google) tritt zusätzlich die SSO-spezifische Einwilligung nach Abschnitt 4.2 hinzu, die in einem gesonderten Zwei-Klick-Dialog eingeholt wird.
Der genaue Wortlaut der Einwilligungen wird Ihnen bei Registrierung angezeigt und kann in den Einstellungen Ihres Nutzerkontos jederzeit eingesehen werden. Hinweise zum Widerruf einzelner Einwilligungen und dessen Konsequenzen finden Sie in Abschnitt 7.1.
Registrierung minderjähriger Patient:innen. Minderjährige Patient:innen ab 14 Jahren legen das Konto selbst an, führen es mit voller Kontrolle und erteilen die Einwilligung in die Verarbeitung ihrer Gesundheitsdaten sowie die Zustimmung zu dieser Datenschutzerklärung selbst. Optional kann eine sorgeberechtigte Person Zahlungsdaten zur Absicherung der Sitzungs-Bezahlung hinterlegen; hierzu erheben wir die erforderlichen zahlungsbezogenen Angaben. Die Besonderheiten sind in Abschnitt 2.7 beschrieben.
Optionale Mehrfaktor-Authentifizierung. Zur zusätzlichen Absicherung Ihres Nutzerkontos bieten wir eine optionale Mehrfaktor-Authentifizierung (MFA) an. Wir unterstützen folgende Verfahren:
- TOTP — zeitbasierte Einmalpasswörter über eine Authenticator-App auf Ihrem Endgerät
- E-Mail-basierte Bestätigungscodes
- WebAuthn — Hardware-Sicherheitsschlüssel oder geräteinterne Authentifikatoren (z.B. Touch ID, Windows Hello)
Eine SMS- oder Telefon-basierte Authentifizierung wird nicht angeboten. Bei Aktivierung der MFA verarbeiten wir den verschlüsselt gespeicherten TOTP-Seed bzw. die öffentlichen WebAuthn-Schlüssel und Credential-IDs sowie Protokolle erfolgreicher und fehlgeschlagener Authentifizierungs-Versuche zur Erkennung von Missbrauch. Die MFA-Daten werden mit Aktivierung erfasst und mit Deaktivierung des jeweiligen Verfahrens bzw. mit Löschung Ihres Nutzerkontos entfernt.
Rechtsgrundlage MFA: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit Ihres Nutzerkontos in Erfüllung von Art. 32 DSGVO). Soweit die MFA-bezogenen Daten Gesundheitsdaten-Relevanz entfalten (durch den Kontext Ihres Nutzerkontos), ergänzend Art. 9 Abs. 2 lit. a DSGVO (Einwilligung).
4.2 – Single Sign-On (Apple, Google)
Alternativ zur Registrierung mit E-Mail-Adresse und Passwort können Sie sich über die Anmeldeverfahren "Mit Apple anmelden" bzw. "Mit Google anmelden" registrieren.
Datenkategorien: Bei SSO erhalten wir vom jeweiligen Identitätsanbieter eine pseudonyme Kennung ("sub"), Ihre E-Mail-Adresse (ggf. eine Relay-Adresse bei "Hide My Email" von Apple), und optional Ihren Namen.
Anbieter:
- Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Irland (mit Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA als Konzerngesellschaft)
- Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (mit Google LLC, USA als Konzerngesellschaft)
Datenübermittlung: Bei Nutzung von SSO werden technische Daten (IP-Adresse, Browser-Informationen, Cookies, die Information Ihrer Anmeldung auf unserer Plattform) an den jeweiligen Identitätsanbieter übermittelt. Da sich aus dem Kontext (Anmeldung bei einer Psychotherapie-Plattform) Rückschlüsse auf Gesundheitsdaten ziehen lassen, unterliegt diese Übermittlung Art. 9 DSGVO.
Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung in die Datenübermittlung an den jeweiligen Identitätsanbieter zum Zweck der Authentifizierung)
- Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für die Gesundheitsdaten-bezogene Übermittlung, da sich aus dem Kontext der Anmeldung bei einer Psychotherapie-Plattform Rückschlüsse auf Gesundheitsdaten ergeben können)
- § 25 Abs. 1 TDDDG (Einwilligung für den damit verbundenen Zugriff auf Informationen auf Ihrem Endgerät — Cookies, Local Storage, Geräte-Identifier)
Die drei Rechtsgrundlagen wirken kumulativ: Art. 6 und Art. 9 DSGVO regeln die personenbezogene Datenverarbeitung, § 25 TDDDG regelt zusätzlich den Vorgang des Endgerätespeicher-Zugriffs.
Zwei-Klick-Verfahren: Um sicherzustellen, dass Ihre Einwilligung vor der Datenübermittlung vorliegt, setzen wir ein Zwei-Klick-Verfahren ein. Die Skripte von Apple bzw. Google werden erst geladen, nachdem Sie beide genannten Einwilligungen in einem gesonderten Dialog ausdrücklich erteilt haben.
Drittlandübermittlung: Rechtsgrundlage für die Übermittlung in die USA ist der EU-US Data Privacy Framework Adequacy Decision der EU-Kommission.
4.3 – Nutzung der Plattform (Metadaten)
Bei der Nutzung unserer Plattform fallen technische Protokolldaten (sogenannte Server-Logs) an: Einträge, die unsere Server bei jeder Anfrage automatisch erzeugen. Zur Sicherstellung des technischen Betriebs sowie zur Abwehr von Missbrauch verarbeiten wir hieraus folgende Metadaten:
Datenkategorien:
- IP-Adresse (auf /24 bzw. /64 gekürzt, soweit für den Betriebszweck ausreichend)
- Datum und Uhrzeit der Anfrage
- Zeitzonendifferenz zur Greenwich Mean Time (GMT)
- Inhalt der Anforderung (konkrete aufgerufene Oberfläche bzw. API-Endpunkt)
- Zugriffsstatus und HTTP-Statuscode
- Jeweils übertragene Datenmenge
- Art des Endgeräts und Betriebssystem
- Sprache und Version des Betriebssystems
- App-Version
Zwecke: Bereitstellung der Plattform-Funktionen, Sicherstellung der technischen Stabilität, Abwehr von Angriffen und Missbrauch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit). Soweit diese Metadaten Gesundheitsdaten-Relevanz entfalten (z.B. durch den Kontext Ihres Nutzerkontos), ergänzend Art. 9 Abs. 2 lit. a DSGVO (Einwilligung).
Speicherdauer: Technische Logdaten werden 30 Tage gespeichert und anschließend gelöscht (siehe auch Abschnitt 2.4).
Zusätzlich zu diesen Metadaten erheben wir aggregierte, anonyme Nutzungsstatistiken; diese sind in Abschnitt 5.3 beschrieben und fallen nicht in den Anwendungsbereich der DSGVO.
4.4 – Zugriff auf Funktionen oder Daten Ihres Endgeräts
Für bestimmte Funktionen benötigen wir Zugriff auf Hardware oder Daten Ihres Endgeräts. Je nach Plattform erfolgt die Zustimmungserteilung unterschiedlich:
In den nativen Apps (iOS, Android, macOS) fragt die App über das Betriebssystem Ihres Endgeräts Ihre Zustimmung zum Zugriff auf folgende Funktionen oder Daten an:
- Kamera — für die Teilnahme an Videositzungen
- Mikrofon — für die Teilnahme an Videositzungen
- Benachrichtigungen — für die Zustellung von Push-Benachrichtigungen (siehe Abschnitt 4.12)
- Kalender (optional) — für das Eintragen von Therapieterminen in Ihren Gerätekalender
- Foto-/Medienzugriff (optional) — zum Hochladen von Dokumenten oder Bildern im Rahmen der Therapie
- Speicher (optional) — zum Speichern heruntergeladener Rechnungen und anderer Dokumente
In der Web-Anwendung (https://app.therapy-lift.de) fragt Ihr Browser die Zustimmung für vergleichbare Funktionen über Browser-eigene Mechanismen ab, insbesondere:
- Kamera und Mikrofon — für die Teilnahme an Videositzungen
- Datei-Upload — zum Hochladen von Dokumenten (wird jeweils bei Auslösung vom Nutzer bestätigt)
- Download — zum Speichern von Rechnungen und anderen Dokumenten
Den Zugriff auf diese Funktionen erteilen Sie durch die Zustimmung im jeweiligen System- bzw. Browser-Dialog. Sie können den Zugriff jederzeit in den Einstellungen Ihres Endgeräts oder Browsers widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Widerruf.
Rechtsgrundlage für Hardware-Zugriff: Der System- bzw. Browser-Dialog stellt eine technische Freigabe durch den Hersteller Ihres Endgeräts oder Browsers dar. Die datenschutzrechtliche Grundlage für die Verarbeitung der über diese Hardware erhobenen Daten ist die von Ihnen bei Registrierung erteilte Einwilligung zur Nutzung der Plattform (Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO, siehe Abschnitt 4.1), soweit die Verarbeitung — wie insbesondere bei Kamera- und Mikrofonnutzung im Rahmen von Videositzungen — Gesundheitsdaten betrifft. Ein Widerruf des Zugriffs kann zur Folge haben, dass einzelne Funktionen der Anwendung nicht mehr nutzbar sind.
Speicherung auf dem Endgerät: Hierbei geht es nicht um eine Verarbeitung Ihrer personenbezogenen Daten durch Psyve, sondern um Daten, die zur technischen Erbringung der Anwendung lokal auf Ihrem Endgerät gespeichert werden. Konkret sind das: (1) ein Auth-Token zur Aufrechterhaltung Ihrer Anmeldesitzung, (2) das kryptographische Schlüsselmaterial für die Ende-zu-Ende-Entschlüsselung, (3) ein lokaler, verschlüsselter Zwischenspeicher bereits abgerufener und entschlüsselter Inhalte und (4) gegebenenfalls die lokal gespeicherten Antworten eines noch nicht übermittelten Matching-Fragebogens (Abschnitt 4.9). Die Speicherung erfolgt plattformabhängig über unterschiedliche Mechanismen:
Auth-Token und kryptographische Schlüssel werden über eine plattformübergreifende Bibliothek zur gesicherten Speicherung verwaltet. In den nativen Apps erfolgt die Ablage über die von den Betriebssystemen bereitgestellten Secure-Storage-Mechanismen (Apple Keychain bzw. Android Keystore). In der Web-Anwendung erfolgt die Ablage in abgesicherter Form unter Nutzung der Browser-eigenen Sicherheitsmechanismen (insbesondere Origin-Isolierung und Zugriffsschutz) sowie einer zusätzlichen Verschlüsselungsebene. Diese Schlüssel ermöglichen die clientseitige Ende-zu-Ende-Entschlüsselung Ihrer Therapieinhalte (siehe Abschnitt 3) und die Aufrechterhaltung Ihrer Anmeldesitzung.
Zwischengespeicherte entschlüsselte Inhalte werden lokal gespeichert, um die Anwendung nutzbar zu gestalten. In den nativen Apps erfolgt dies in einer lokalen, verschlüsselten SQLite-Datenbank, deren Entschlüsselungsschlüssel in der oben beschriebenen Secure-Storage-Ablage liegt. In der Web-Anwendung erfolgt dies im IndexedDB-Speicher Ihres Browsers, der durch die Origin-Isolierung und Zugriffskontrolle des Browsers abgesichert ist. Ohne diese lokale Zwischenspeicherung müssten bei jedem Zugriff auf eine Nachricht, ein Dokument oder einen Fragebogen die verschlüsselten Inhalte erneut vom Server abgerufen und kryptographisch entschlüsselt werden, was aufgrund der wiederkehrenden kryptographischen Operationen zu einer für die Nutzung der Plattform praktisch beeinträchtigenden Leistungseinbuße führen würde. Die Zwischenspeicherung entschlüsselter Inhalte ist daher integraler Bestandteil der Architektur eines nutzbaren Ende-zu-Ende-verschlüsselten Telemediendienstes.
Eine darüber hinausgehende Speicherung findet nicht statt; insbesondere setzen wir keine Tracking-, Analyse- oder Marketing-Cookies und keine sonstigen nicht-funktionalen Speichermechanismen ein. Sie können den lokalen Zwischenspeicher jederzeit über die Einstellungen der Anwendung ("Lokalen Zwischenspeicher leeren") oder durch Abmelden und Löschen der Browser- bzw. App-Daten entfernen.
Rechtsgrundlage für die Speicherung auf dem Endgerät: Auth-Token und kryptographisches Schlüsselmaterial werden auf der Grundlage von § 25 Abs. 2 Nr. 2 TDDDG gespeichert (unbedingt erforderlich zur Erbringung des vom Nutzer ausdrücklich gewünschten Telemediendienstes), da ohne sichere Anmeldung und ohne Schlüsselmaterial weder die Authentifizierung noch die Ende-zu-Ende-Entschlüsselung möglich wäre. Für die lokale Zwischenspeicherung bereits abgerufener und entschlüsselter Inhalte stützen wir die Speicherung ebenfalls auf § 25 Abs. 2 Nr. 2 TDDDG, weil die wiederkehrende Entschlüsselung sämtlicher Inhalte aus dem Server-Backend bei jedem Aufruf zu einer Performance-Einbuße führen würde, die die praktische Nutzbarkeit eines Ende-zu-Ende-verschlüsselten Dienstes aufhebt. Die Zwischenspeicherung ist auf das technisch notwendige Minimum begrenzt, erfolgt verschlüsselt, und sie kann jederzeit durch Abmelden und Löschen der Browser- bzw. App-Daten entfernt werden. Soweit eine Einordnung als "unbedingt erforderlich" für die Cache-Schicht im Einzelfall nicht eindeutig sein sollte, würden wir alternativ eine ausdrückliche Einwilligung gemäß § 25 Abs. 1 TDDDG einholen. Eine Bereitstellung des E2EE-verschlüsselten Therapie-Dienstes ohne Schlüsselmaterial auf dem Endgerät und ohne lokale Entschlüsselungs-Caches ist technisch nicht möglich bzw. für die Nutzer:innen nicht praktikabel.
4.5 – Therapeuten-Suche und Matching
Die Plattform ermöglicht die Suche nach Therapeut:innen. Sie erhalten die vollständige Liste der auf der Plattform tätigen Therapeut:innen, aus der Sie eigenständig auswählen. Optional können Sie den Matching-Fragebogen ausfüllen, der die Liste nach Relevanz vorsortiert; die vollständige Liste bleibt jedoch jederzeit sichtbar und die endgültige Auswahl treffen Sie selbst.
Datenverarbeitung auf der Patient:innen-Seite. Der Matching-Fragebogen wird zunächst lokal in Ihrer App ausgewertet, ohne dass die Antworten an unsere Server übermittelt werden (Einzelheiten zur lokalen Speicherung dieser Antworten finden Sie in Abschnitt 4.9). Sie erhalten eine sortierte, aber nicht gefilterte Liste der Therapeut:innen. Erst wenn Sie eine Therapeutin oder einen Therapeuten aktiv auswählen und Ihre Fragebogenantworten für diese Person freigeben wollen, werden die Antworten Ende-zu-Ende-verschlüsselt an unsere Server übermittelt; der Schlüssel kann ausschließlich von der ausgewählten Therapeutin oder dem ausgewählten Therapeuten entschlüsselt werden.
Auf unseren Servern erfassen wir Ihr Suchverhalten nicht auf personenbezogener Ebene: welche Filter Sie setzen, welche Profile Sie sich ansehen, in welcher Reihenfolge — diese Informationen verlassen Ihr Endgerät nicht. Die zur technischen Auslieferung der Therapeut:innen-Profile erforderlichen Server-Logs (technische Protokolldaten, die unsere Server bei jeder Anfrage automatisch erzeugen, siehe Abschnitt 4.3) werden mit gekürzter IP-Adresse erfasst und nach 30 Tagen gelöscht. Aggregierte, anonyme Statistiken zur Plattform-Nutzung werden nach den in Abschnitt 5.3 beschriebenen Garantien erstellt.
Profilfotos der Therapeut:innen werden über zufällig generierte URL-Bezeichner ausgeliefert. Aus der URL eines Profilfotos lässt sich nicht ableiten, welche Therapeut:in sie zeigt; eine Zuordnung ist nur über die Plattform-Datenbank möglich.
Datenverarbeitung auf der Therapeut:innen-Seite. Die auf der Plattform angezeigten Therapeut:innen-Profile (Name, Foto, Spezialgebiete, Approbations-Daten, ausgewählte Lebenslauf-Angaben) werden von den Therapeut:innen selbst eingestellt und sind auf der Plattform-Oberfläche öffentlich sichtbar — auch für noch nicht registrierte Besucher:innen. Diese öffentliche Sichtbarkeit ist im Therapeut:innen-Plattformvertrag mit den Therapeut:innen ausdrücklich vereinbart und ist Teil der Geschäftsbeziehung zwischen Therapeut:innen und Psyve.
Rechtsgrundlagen für Patient:innen:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die technische Plattform-Nutzung
- Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung), die Sie im Moment der Auswahl einer Therapeutin bzw. eines Therapeuten erteilen
Rechtsgrundlagen für Therapeut:innen:
- Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Therapeut:innen-Plattformvertrags)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Plattform-Sichtbarkeit zur Begründung der Geschäftsbeziehung)
4.6 – Terminbuchung
Datenkategorien: Gewünschter Termin, beteiligte Personen, Sitzungsart (die Art des Termins, z.B. Erstgespräch oder Folgesitzung, sowie das Format als Video- oder Präsenztermin).
Zwecke: Organisation und Verwaltung der Therapietermine.
Verantwortlichkeit (gemäß Hybrid-Modell, siehe Abschnitt 1.4):
- Für die Termin-Existenz und Termin-Daten als Behandlungs-Tatsache (Datum, Uhrzeit, Sitzungsart, Status, beteiligte Personen) ist die behandelnde Therapeut:in alleinige Verantwortliche; Psyve fungiert als Auftragsverarbeiterin auf Grundlage eines Auftragsverarbeitungs-Vertrags nach Art. 28 DSGVO.
- Für die Plattform-funktionale Termin-Verarbeitung (Konfliktprüfung, Erinnerungs-Logik, Kalender-Synchronisations-Bereitstellung) wirkt Psyve im Auftrag der Therapeut:in. Anders als bei Videositzungen oder Nachrichten gibt es keinen E2EE-verschlüsselten "Inhalt" — Termin-Daten müssen serverseitig im Klartext verarbeitet werden, weil sie für die Plattform-Funktionen erforderlich sind.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO, Art. 9 Abs. 2 lit. a DSGVO. Ergänzend für die behandlungsbezogene Verarbeitung durch die Therapeutin oder den Therapeuten Art. 9 Abs. 2 lit. h DSGVO.
4.7 – Videositzungen
Videositzungen finden über unsere eigene, selbstgehostete Infrastruktur auf deutschen Servern (Hetzner) statt.
Technische Architektur: Die Videositzung läuft über von uns selbst betriebene Server, die die Audio- und Videodaten zwischen den Teilnehmenden weiterleiten. Die Audio- und Videodaten werden direkt zwischen den Teilnehmenden Ende-zu-Ende-verschlüsselt. Unsere Server leiten die verschlüsselten Datenströme weiter, können aber aufgrund der E2EE nicht auf Ihre Gesprächsinhalte zugreifen.
Datenkategorien Psyve-seitig einsehbar (Metadaten): Zeitpunkt und Dauer der Sitzung, teilnehmende Personen, technische Verbindungsdaten (z.B. Qualität der Verbindung).
Datenkategorien Psyve-seitig nicht einsehbar (Inhalte): Audio- und Video-Inhalte der Sitzung.
Verantwortlichkeit (gemäß Hybrid-Modell, siehe Abschnitt 1.4):
- Für die Inhalte der Videositzung ist die behandelnde Therapeut:in alleinige Verantwortliche. Psyve hat aufgrund der Ende-zu-Ende-Verschlüsselung keinen Zugriff auf die Inhalte; sie sind für Psyve nicht personenbeziehbar und nicht Gegenstand einer Auftragsverarbeitung.
- Für die Metadaten der Videositzung (Zeitpunkt, Dauer, technische Verbindungsdaten) ist die behandelnde Therapeut:in verantwortliche Stelle; Psyve verarbeitet sie als Auftragsverarbeiterin nach Art. 28 DSGVO.
Keine Drittdienstanbieter: Es werden weder Inhalte noch Metadaten der Videositzung an externe Dienstleister übermittelt.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. a, Art. 9 Abs. 2 lit. h DSGVO.
4.8 – Nachrichtenkommunikation und Dokumentenaustausch
Über die Plattform können Sie mit Ihrer Therapeutin oder Ihrem Therapeuten Nachrichten austauschen und Dokumente teilen.
Datenkategorien Psyve-seitig einsehbar (Metadaten): Zeitpunkt und Häufigkeit der Kommunikation, beteiligte Personen.
Datenkategorien Psyve-seitig nicht einsehbar (Inhalte): Nachrichteninhalte, Dateinamen, Dateiinhalte. Diese werden Ende-zu-Ende-verschlüsselt (siehe Abschnitt 3).
Verantwortlichkeit (gemäß Hybrid-Modell, siehe Abschnitt 1.4):
- Für die Inhalte der Nachrichten und der ausgetauschten Dokumente ist die behandelnde Therapeut:in alleinige Verantwortliche. Psyve hat aufgrund der Ende-zu-Ende-Verschlüsselung keinen Zugriff auf die Inhalte; sie sind für Psyve nicht personenbeziehbar und nicht Gegenstand einer Auftragsverarbeitung.
- Für die Metadaten des Nachrichten- und Dokumenten-Austauschs (Zeitpunkt, Häufigkeit) ist die behandelnde Therapeut:in verantwortliche Stelle; Psyve verarbeitet sie als Auftragsverarbeiterin nach Art. 28 DSGVO.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. a, Art. 9 Abs. 2 lit. h DSGVO.
4.9 – Fragebögen und Dokumentation des Therapiefortschritts
Psyve setzt zwei Arten von Fragebögen ein: einen Matching-Fragebogen vor der Auswahl einer Therapeut:in (zur Vorsortierung der Therapeut:innen-Liste) und diagnostische Fragebögen im Rahmen der laufenden Behandlung (z.B. GAD-7 zur Erfassung von Angststörungen, PHQ-9 zur Erfassung von Depressionen, AUDIT zur Erfassung von Alkoholkonsum).
Phase 1 — Matching-Fragebogen vor Registrierung. Wenn Sie den Matching-Fragebogen als noch nicht registrierte Besucher:in ausfüllen, werden Ihre Antworten ausschließlich auf Ihrem Endgerät verarbeitet:
- Die Antworten werden lokal in Ihrem Browser bzw. in Ihrer App gespeichert, damit Sie den Fragebogen über mehrere Sitzungen hinweg ausfüllen können (z.B. wenn Sie eine Pause machen und später zurückkommen)
- Die lokale Speicherung erfolgt verschlüsselt
- Die Antworten werden nicht an unsere Server übermittelt
- Die lokal gespeicherten Antworten werden automatisch gelöscht, wenn der Fragebogen 30 Tage lang nicht weiter bearbeitet wird; nach 14 Tagen Inaktivität fragen wir beim nächsten Aufruf, ob Sie fortsetzen oder neu beginnen möchten
- Sie können die lokal gespeicherten Antworten jederzeit über die "Antworten löschen"-Funktion im Fragebogen-UI selbst entfernen
Rechtsgrundlage für die lokale Speicherung ist § 25 Abs. 2 Nr. 2 TDDDG: Die Speicherung ist unbedingt erforderlich, damit der von Ihnen ausdrücklich gewünschte Funktions-Ablauf (Fragebogen-Resume über mehrere Sitzungen) zur Verfügung gestellt werden kann.
Phase 2 — Übermittlung an die gewählte Therapeut:in. Wenn Sie sich nach Abschluss des Matching-Fragebogens registrieren und eine konkrete Therapeut:in auswählen, werden Ihre Antworten Ende-zu-Ende-verschlüsselt an unsere Server übermittelt; nur die ausgewählte Therapeut:in kann sie entschlüsseln. Anschließend werden die Antworten in der lokalen Speicherung gelöscht.
Diagnostische und Verlaufs-Fragebögen während der Behandlung. Diese werden im Rahmen der laufenden Therapie eingesetzt. Die Antworten werden Ende-zu-Ende-verschlüsselt und sind nur für die beteiligten Therapeut:innen einsehbar. Psyve erhält lediglich Metadaten über Auswahl und Zeitpunkt der Fragebogenbearbeitung.
Verantwortlichkeit (gemäß Hybrid-Modell, siehe Abschnitt 1.4):
- Für den Matching-Fragebogen in Phase 1 ist Psyve verantwortlich für die Bereitstellung der Architektur. Eine Verarbeitung im datenschutzrechtlichen Sinn durch Psyve findet nicht statt, da die Antworten Ihr Endgerät nicht verlassen.
- Für den Matching-Fragebogen in Phase 2 und die diagnostischen Fragebögen ist die behandelnde Therapeut:in alleinige Verantwortliche für die Inhalte der Antworten. Diese sind Ende-zu-Ende-verschlüsselt; Psyve hat keinen Zugriff und ist insoweit nicht Auftragsverarbeiterin. Für die Metadaten (welcher Fragebogen wurde wann bearbeitet) ist die behandelnde Therapeut:in verantwortliche Stelle; Psyve verarbeitet sie als Auftragsverarbeiterin nach Art. 28 DSGVO.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. a, Art. 9 Abs. 2 lit. h DSGVO. Für die lokale Speicherung in Phase 1 zusätzlich § 25 Abs. 2 Nr. 2 TDDDG.
4.10 – Zahlungsabwicklung und Rechnungsstellung
Kurz zusammengefasst: Sie zahlen direkt an Ihre Therapeutin oder Ihren Therapeuten. Die Rechnung wird von Ihrer Therapeutin oder Ihrem Therapeuten ausgestellt und auf unserer Plattform zum Download bereitgestellt. Die Zahlung wird technisch über Stripe abgewickelt, wobei Stripe den Betrag direkt an das Konto Ihrer Therapeutin oder Ihres Therapeuten leitet. Psyve erhält für die Bereitstellung der Plattform eine Plattformgebühr von Ihrer Therapeutin bzw. Ihrem Therapeuten; diese zahlen Sie nicht direkt an Psyve. Der inhaltliche Teil der Rechnung ist verschlüsselt und für uns nicht einsehbar.
Im Einzelnen:
Therapy Lift nutzt Stripe Connect zur Zahlungsabwicklung. Diese Architektur unterscheidet sich von einem klassischen Online-Shop und ist für das Verständnis der Datenverarbeitung wichtig.
Vertragsverhältnisse: Der Behandlungsvertrag kommt zwischen Ihnen und der behandelnden Therapeutin bzw. dem Therapeuten zustande. Psyve ist nicht Vertragspartner dieses Vertrages. Die therapeutische Leistung wird zwischen Ihnen und der Therapeutin bzw. dem Therapeuten direkt abgerechnet.
Zahlungsempfänger: Die Zahlung für die Behandlungsleistung erfolgt an ein sogenanntes "Stripe Connected Account" der jeweiligen Therapeutin bzw. des Therapeuten. Psyve ist nicht Empfänger dieser Zahlung. Der Betrag wird von Stripe direkt an das Konto der Therapeutin bzw. des Therapeuten weitergeleitet.
Plattformgebühr: Für die Bereitstellung der Plattform-Infrastruktur (Videositzungen, Abrechnungstools, PKV-Schnittstellen, administrative Unterstützung) erhält Psyve eine Plattformgebühr. Diese Gebühr wird entweder von Stripe direkt aus dem Zahlungsfluss einbehalten oder separat mit der Therapeutin bzw. dem Therapeuten abgerechnet. Sie als Patient:in zahlen die Plattformgebühr nicht an Psyve; sie wird von der Therapeutin bzw. dem Therapeuten als deren Geschäftsausgabe getragen.
Rechnungsstellung: Die Rechnung über die Behandlungsleistung stammt von der Therapeutin bzw. dem Therapeuten; Psyve erzeugt sie auf der Plattform lediglich als technische Dienstleistung und stellt sie Ihnen zum Download bereit. Die zivilrechtliche Zuordnung der Rechnungsausstellung ist in den AGB geregelt; dieser Abschnitt beschreibt nur den damit verbundenen Datenfluss.
Rechnungsinhalt und E2EE: Der inhaltliche Teil der Rechnung (Leistungsbeschreibung, GOÄ-Ziffern, therapeutische Begründungen) ist Ende-zu-Ende-verschlüsselt und für Psyve technisch nicht einsehbar. Lediglich die Rechnungssumme und die Rechnungsadresse sind für Psyve und Stripe einsehbar, da diese Informationen für die technische Zahlungsabwicklung erforderlich sind.
Trennung zwischen Leistungsempfänger:in und Zahler:in. Die Plattform unterscheidet technisch zwischen zwei Rollen, die in der Zahlungsabwicklung auftreten können:
- Die Leistungsempfänger:in ist die Person, der gegenüber die therapeutische Leistung erbracht wird und auf deren Namen die Rechnung ausgestellt wird. Die Rechnungsadresse ist die Adresse dieser Person bzw. ihres Haushalts.
- Die Zahler:in ist die Person, die das Zahlungsmittel bei Stripe hinterlegt hat und unter deren Namen das Stripe-Kundenobjekt geführt wird. Das Kundenobjekt enthält den Namen und die Adresse dieser Person als Zahlungsadresse des Zahlungsmittels.
Diese beiden Rollen können dieselbe Person betreffen — oder sie können auseinanderfallen, etwa wenn das Zahlungsmittel einer anderen Person gehört, die die Behandlungskosten für die Patient:in übernimmt (z.B. Angehörige). Die Plattform unterstützt eine solche Trennung technisch; sie ist nicht an den Minderjährigenfall gebunden, tritt dort jedoch grundsätzlich auf (siehe gesonderter Absatz weiter unten sowie Abschnitt 2.7). Die Rechnungsadresse der Leistungsempfänger:in wird in diesem Fall nicht als Adresse des Zahlungsmittels bei Stripe verarbeitet und umgekehrt.
Zahlungsabwicklung bei minderjährigen Patient:innen. Die unter "Trennung zwischen Leistungsempfänger:in und Zahler:in" beschriebene Architektur ist bei Konten minderjähriger Patient:innen regelmäßig angelegt:
- Die Rechnung der behandelnden Therapeut:in wird auf den Namen der Minderjährigen als Leistungsempfänger:in ausgestellt und trägt als Rechnungsadresse die Anschrift der Minderjährigen bzw. des Haushalts, in dem diese lebt (entsprechend den umsatzsteuerrechtlichen und berufsrechtlichen Anforderungen sowie der Notwendigkeit der eigenständigen Einreichung bei der Krankenversicherung).
- Die technische Zahlung über Stripe erfolgt über das Stripe-Kundenobjekt der sorgeberechtigten Person. Das Kundenobjekt enthält die Anschrift der sorgeberechtigten Person als Rechnungs- bzw. Zahlungsadresse des Zahlungsmittels.
Diese Trennung zwischen Leistungsempfänger:in und Zahler:in ist im Rahmen der gesetzlichen Vertretung (§ 1629 BGB) rechtlich vorgesehen und üblich.
Verantwortlichkeit (vertikale Drei-Parteien-Trennung; siehe auch Abschnitt 1.4):
- Stripe Payments Europe Ltd. / Stripe Inc. ist eigenständig verantwortlich für die Zahlungs-Verarbeitung. Stripe akzeptiert Zahlungsdaten direkt von Patient:in / Sorgeberechtigte:r / Zahler:in, prozessiert sie selbständig und überweist an die Therapeut:in als Settlement-Merchant.
- Therapeut:in ist alleine verantwortlich für die Behandlungs-Abrechnung im engeren Sinne — d.h. die Tatsache, dass eine bestimmte Person an einem bestimmten Tag eine kostenpflichtige Behandlung in Anspruch genommen hat. Diese Information ist Behandlungs-Tatsache nach § 203 Abs. 1 Nr. 2 StGB. Für die technische Bereitstellung der Zahlungs-Infrastruktur fungiert Psyve als Auftragsverarbeiterin der Therapeut:in.
- Psyve ist alleine verantwortlich für die Plattformgebühr-Erfassung. Die Plattformgebühr ist eine eigenständige B2B-Forderung Psyves gegenüber der Therapeut:in; ihre Erfassung im Rahmen der Stripe-Connect-Architektur ist eine eigenständige Verarbeitung Psyves zu eigenen Zwecken (Aufrechnungs-Sicherung, Buchhaltung, Plattformen-Steuertransparenzgesetz / DAC7-Meldung).
Verantwortlichkeit Rechnungsstellung (Hybrid-Modell mit Metadaten-Trennung; siehe auch Abschnitt 1.4):
- Für die inhaltlichen Rechnungsposten (Leistungsbeschreibung, GOÄ-Ziffern, therapeutische Begründungen) ist die behandelnde Therapeut:in alleinige Verantwortliche. Sie werden Ende-zu-Ende-verschlüsselt verarbeitet; Psyve hat keinen Klartext-Zugriff und ist insoweit nicht Auftragsverarbeiterin der Inhalte.
- Für die Rechnungs-Metadaten im Klartext (Datum, Rechnungssumme, Rechnungsadresse, Zahlungsstatus) verarbeitet Psyve die Daten im Auftrag der Therapeut:in als Auftragsverarbeiterin nach Art. 28 DSGVO; diese Metadaten sind technisch unvermeidbar für die Plattform-Funktion (Buchhaltungs-Integration, Stripe-Connect-Abwicklung). Soweit Psyve dieselben Angaben für eigene Zwecke verarbeitet (Plattformgebühr-Abrechnung, DAC7-Meldung), ist Psyve hierfür eigenständig verantwortlich.
Für Therapeut:innen — separate Plattform-Rechnung: Die Nutzung der Plattform durch Therapeut:innen wird durch uns separat gegenüber der Therapeutin bzw. dem Therapeuten in Rechnung gestellt. Dies betrifft nur die Therapeut:innen und nicht die Patient:innen.
Anbieter Zahlungsabwicklung: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland.
Datenkategorien, die Psyve sieht:
- Zahlungsbetrag
- Rechnungsadresse
- Zeitpunkt der Zahlung
- Status der Zahlung (erfolgreich / fehlgeschlagen)
- Stripe-Transaktions-IDs
Datenkategorien, die Psyve nicht sieht:
- Vollständige Zahlungsmittel-Daten (Kreditkartennummer, Kontonummer — werden direkt von Stripe entgegengenommen)
- Inhaltliche Rechnungsposten (Leistungsbeschreibung, therapeutische Begründungen — E2EE-verschlüsselt)
- Weitere Details der therapeutischen Behandlung
Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung des Nutzungsvertrags mit Psyve, der die technische Zahlungsabwicklung ermöglicht)
- Art. 9 Abs. 2 lit. a DSGVO (Einwilligung für die Gesundheitsdaten-Relevanz der Zahlungsmetadaten)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an korrekter Plattformgebühren-Abrechnung)
Drittland: Stripe Payments Europe, Ltd. hat seinen Sitz in Irland (EWR). Zur Abwicklung internationaler Zahlungen können Daten an Stripe Inc. (USA) übermittelt werden. Rechtsgrundlage ist der EU-US Data Privacy Framework Adequacy Decision sowie ergänzend Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Zahlungsarten innerhalb von Stripe. Je nach Verfügbarkeit können Sie auf der Stripe-Bezahlseite verschiedene Zahlungsarten wählen (z.B. Kreditkarte einschließlich American Express, SEPA-Lastschrift, Apple Pay, Google Pay, Klarna, Amazon Pay). Diese Zahlungsarten werden im Rahmen der Zahlungsabwicklung durch Stripe verarbeitet; die jeweiligen Anbieter werden dabei für Stripe tätig und sind gegenüber Psyve nicht eigenständige Verantwortliche. Einzelheiten zu den über Stripe verarbeiteten Zahlungsdaten finden Sie in der Datenschutzerklärung von Stripe unter https://stripe.com/de/privacy.
4.11 – PKV-Kooperation: Automatisierter Antragsunterlagen-Austausch (optional, nur bei Kooperationspartnern)
Die Zahlung für die therapeutische Leistung erfolgt in allen Fällen direkt zwischen Ihnen und der behandelnden Therapeutin bzw. dem Therapeuten (siehe Abschnitt 4.10). Dies gilt gleichermaßen für Selbstzahler:innen, für gesetzlich Krankenversicherte im Kostenerstattungsverfahren nach § 13 Abs. 3 SGB V und für privat Krankenversicherte. Psyve wickelt keinerlei Abrechnung gegenüber Ihrer Krankenversicherung ab.
Was die PKV-Kooperation bewirkt: Ausschließlich für eine begrenzte Gruppe privater Krankenversicherungen, mit denen wir Kooperationsvereinbarungen geschlossen haben, bieten wir als optionalen Zusatzdienst einen automatisierten Austausch der Antragsunterlagen für die Aufnahme der Behandlung und deren Fortführung an. Dies umfasst insbesondere die im Rahmen des Genehmigungsverfahrens der Versicherung erforderlichen Unterlagen, darunter Konsiliarbericht, Erstantrag, Verlängerungsanträge, Umwandlungsanträge (z.B. Kurzzeittherapie → Langzeittherapie) sowie vergleichbare im Behandlungsverlauf anfallende Antragsarten.
Was die PKV-Kooperation nicht umfasst: Die Kooperation betrifft ausschließlich den Antragsunterlagen-Austausch. Die Abrechnung der einzelnen Behandlungssitzungen ist davon nicht erfasst. Sie zahlen die Rechnung der Therapeutin bzw. des Therapeuten wie gewohnt direkt und reichen diese selbst bei Ihrer Versicherung zur Kostenerstattung ein. Der Zahlungsweg ist identisch mit dem für Selbstzahler:innen.
Aktuelle Kooperationspartner: SIGNAL IDUNA, Hallesche, Barmenia.
Sollten wir weitere Kooperationspartner hinzufügen, teilen wir Ihnen dies vorab über eine Aktualisierung dieser Datenschutzerklärung mit (siehe Abschnitt 8). Eine Übermittlung an neue Kooperationspartner erfolgt erst nach entsprechender Aktualisierung der Datenschutzerklärung und auf Grundlage Ihrer dafür erteilten partner-spezifischen Einwilligung.
Voraussetzungen für den Austausch: Ein Austausch von Antragsunterlagen mit einem Kooperationspartner erfolgt nur, wenn alle folgenden Voraussetzungen erfüllt sind:
- Ihre Versicherung gehört zum Kreis unserer Kooperationspartner.
- Sie erteilen — unabhängig von der Grundeinwilligung zur Nutzung der Plattform — Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO zur Teilnahme an der Kooperation für Ihren konkreten Versicherer. Diese partner-spezifische Einwilligung wird Ihnen in einem gesonderten Einwilligungsprozess zum Lesen vorgelegt und gesondert dokumentiert.
- Die erteilte Einwilligung gilt für die im Rahmen Ihrer Behandlung anfallenden Antragsarten (Erstantrag, Verlängerung, Umwandlung etc.) und umfasst nicht die Abrechnung einzelner Sitzungen, da diese — wie oben beschrieben — nicht Gegenstand der Kooperation ist.
Nicht-Kooperationspartner: Ist Ihre Versicherung kein Kooperationspartner, nehmen wir keinerlei Austausch mit Ihrer Versicherung vor. Sie handhaben sowohl die Antragstellung als auch die Kostenerstattung selbst auf dem üblichen Weg.
Datenkategorien (nur bei aktivierter Kooperation): Die von der Therapeutin bzw. dem Therapeuten erstellten Antragsunterlagen (entschlüsselt von der Therapeutin bzw. dem Therapeuten für den konkreten Einreichungsvorgang), Versicherungsnummer, Geburtsdatum, sowie die ärztlichen bzw. therapeutischen Begründungen und Befunde, die für den jeweiligen Antrag erforderlich sind. Die Antragsunterlagen werden von der behandelnden Therapeutin bzw. dem Therapeuten erstellt; diese:r entscheidet, welche Unterlagen für den jeweiligen Antrag erforderlich sind. Psyve stellt — nur wenn Sie die PKV-Kooperation aktivieren — die technische Übermittlungsfunktion bereit und übermittelt die Unterlagen nach Auslösung durch die Therapeutin bzw. den Therapeuten an den von Ihnen ausgewählten Kooperationsversicherer.
Technische Übermittlung: Die Übermittlung an Kooperationspartner erfolgt über S/MIME-signierte und -verschlüsselte E-Mails. Die Signatur- und Verschlüsselungsinfrastruktur wird von uns auf Hetzner in Deutschland selbstgehostet betrieben.
Rechtsgrundlagen: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche partner-spezifische Einwilligung) in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO.
Widerruf: Die partner-spezifische Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar. Sie ist unabhängig von der Grundeinwilligung zur Nutzung der Plattform. Ein Widerruf hat folgende Konsequenzen:
- Nach dem Widerruf führen wir keine weiteren Antragsunterlagen-Übermittlungen an den betroffenen Kooperationspartner durch.
- Künftig anfallende Anträge (z.B. Verlängerungsanträge, Umwandlungsanträge) müssen Sie und Ihre Therapeutin bzw. Ihr Therapeut dann wieder selbst auf dem klassischen Weg gegenüber der Versicherung einreichen.
- Ihre laufende Behandlung, Ihr Nutzungsvertrag mit Therapy Lift und Ihr Zahlungsverhältnis mit der Therapeutin bzw. dem Therapeuten bleiben vom Widerruf unberührt.
Versicherer als eigene Verantwortliche: Sobald die Antragsunterlagen bei einer Kooperationspartner-Versicherung angekommen sind, verarbeitet diese die Daten als eigenständige Verantwortliche. Die Datenschutzerklärungen der jeweiligen Versicherer informieren über deren Datenverarbeitung.
Datenschutzrechtliche Rollenverteilung im Übermittlungsvorgang. Im Übermittlungsvorgang sind die Therapeut:in die Verantwortliche der Antragstellung (sie ist Antragsausstellerin und entscheidet über den Inhalt der Anträge); Psyve ist Auftragsverarbeiterin der Therapeut:in nach Art. 28 DSGVO für den S/MIME-basierten Übermittlungs-Workflow; die jeweilige Versicherung ist eigenständig Verantwortliche für die nachgelagerte Antrags-Verarbeitung auf ihrer Seite.
4.12 – Push-Benachrichtigungen
Therapy Lift kann Ihnen Push-Benachrichtigungen zustellen, sowohl in den nativen Apps (iOS, Android, macOS) als auch in der Web-Anwendung. Hierfür nutzen wir folgende Push-Dienste:
Anbieter:
- Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Firebase Cloud Messaging / FCM für Android sowie für Web-Push in unterstützten Browsern; mit Google LLC, USA als Konzerngesellschaft)
- Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Irland (Apple Push Notification Service / APNs für iOS und macOS sowie für Web-Push in Safari; mit Apple Inc., USA als Konzerngesellschaft)
Technischer Ablauf: Unsere serverseitige Infrastruktur zur Auslösung von Push-Nachrichten betreiben wir selbst auf unserer Hetzner-Infrastruktur in Deutschland. Für die Zustellung an Ihr Endgerät oder Ihren Browser übermitteln wir an Google bzw. Apple ausschließlich zwei Informationen:
- Den Push-Token (Geräte-Token bei nativen Apps bzw. Browser-Subscription-Endpoint bei Web-Push), der das Zielgerät bzw. den Ziel-Browser identifiziert
- Eine interne Nachrichten-ID (ein zufälliger Identifikator ohne semantischen Gehalt)
Keine inhaltlichen Daten in Push-Benachrichtigungen: Die Push-Benachrichtigungen enthalten keinen inhaltlichen Text, keinen Absendernamen und keinerlei therapierelevante Informationen. Die an Google bzw. Apple übermittelte Nachrichten-ID ist nach unserer Ausgestaltung ein bedeutungsloser Zufallsbezeichner; auf dieser Grundlage sollen Google und Apple aus dem Push-Inhalt selbst keine Rückschlüsse auf Absender, Empfänger, therapeutische Inhalte oder den Nutzungskontext ziehen können. Da die Zustellung des Push-Tokens an die jeweilige Push-Infrastruktur jedoch technisch zwangsläufig erfolgt, bleibt die Tatsache des Empfangs einer Benachrichtigung sowie der Push-Token als geräte-/installationsgebundener Identifier bei den Push-Diensten bekannt.
Lokale Anzeige auf Ihrem Gerät: Sobald Ihr Gerät oder Browser die Push-Benachrichtigung mit der Nachrichten-ID empfängt, ruft die Anwendung den zugehörigen verschlüsselten Inhalt eigenständig von unseren Servern ab, entschlüsselt ihn lokal und zeigt den Benachrichtigungstext (z.B. "Neue Nachricht") erst dann als lokale Benachrichtigung an. Der Benachrichtigungstext wird also lokal generiert, nicht durch Google oder Apple übertragen.
Besonderheiten Web-Push: Bei Nutzung der Web-Anwendung erfolgt die Push-Zustellung über den Push-Dienst, der zu Ihrem Browser gehört. In Chrome und vergleichbaren Browsern ist dies FCM. In Safari ist dies APNs. In Firefox kommt Mozilla Autopush zum Einsatz; in diesem Fall ist zusätzlicher Empfänger die Mozilla Foundation (USA), an die ebenfalls nur Browser-Subscription-Endpoint und die Nachrichten-ID übermittelt werden.
Drittland: Die Verarbeitung der Push-Token und Nachrichten-IDs durch Google bzw. Apple erfolgt unter dem EU-US Data Privacy Framework Adequacy Decision der EU-Kommission vom 10. Juli 2023, unter dem beide Unternehmen zertifiziert sind. Bei Nutzung von Mozilla Autopush richtet sich die Rechtsgrundlage der Drittlandübermittlung nach dem in Abschnitt 2.3 dargelegten Status; gegebenenfalls greifen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Zwei-Schritte-Einwilligung: Die Einwilligung erfolgt in zwei aufeinanderfolgenden Schritten:
- Anwendungseigene informierte Einwilligung: Bevor wir den Push-Mechanismus technisch aktivieren, zeigen wir Ihnen in der Anwendung einen Einwilligungsdialog mit den für eine DSGVO-konforme Einwilligung erforderlichen Informationen (verarbeitete Daten, Empfänger, Drittlandbezug, Zwecke, Widerrufsmöglichkeit). Erst nach Ihrer ausdrücklichen Zustimmung in diesem Dialog veranlassen wir den nächsten Schritt.
- Technische Erlaubnis auf Betriebssystem- bzw. Browser-Ebene: Im Anschluss fragt Ihr Betriebssystem bzw. Ihr Browser in einem eigenen Dialog ab, ob die Anwendung Push-Benachrichtigungen senden darf. Diese zweite Zustimmung ist eine technische Freigabe durch den Hersteller Ihres Endgeräts bzw. Browsers.
Beide Schritte müssen Sie aktiv bestätigen; die Zustimmung in nur einem der beiden Schritte genügt nicht für die Aktivierung der Push-Benachrichtigungen.
Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Push-Benachrichtigungen in den Einstellungen der Anwendung deaktivieren, die Berechtigung in den Einstellungen Ihres Endgeräts bzw. Browsers entziehen, oder uns unter datenschutz@therapy-lift.de kontaktieren.
4.13 – Empfänger Ihrer Daten im Überblick
Über die in den vorstehenden Abschnitten beschriebenen Stellen hinaus geben wir Ihre Daten nicht weiter. Die folgende Übersicht fasst die Empfänger Ihrer Daten als Patient:in zusammen:
| Empfänger | Rolle | Welche Daten | Grundlage |
|---|---|---|---|
| Hetzner Online GmbH (DE) | Auftragsverarbeiter (Art. 28 DSGVO) | Sämtliche bei Psyve gespeicherten Daten (Inhalte nur Ende-zu-Ende-verschlüsselt) | AVV; Art. 6 Abs. 1 lit. f DSGVO |
| Gewählte Therapeut:in (DE) | Eigenständige Verantwortliche für die Behandlungsinhalte | An sie freigegebene Inhalte (Videositzungen, Nachrichten, Fragebögen, Dokumente, inhaltliche Rechnungsposten) | Art. 9 Abs. 2 lit. a und lit. h DSGVO |
| Apple / Google (IE/US) | Eigenständige Verantwortliche | SSO-Kennung, App-Store-Daten, Push-Token und Nachrichten-ID (Abschnitte 4.2, 4.12, 5.4) | Einwilligung; EU-US Data Privacy Framework |
| Mozilla Foundation (US) | Eigenständige Verantwortliche | Browser-Subscription-Endpoint und Nachrichten-ID bei Firefox-Web-Push (Abschnitt 4.12) | Einwilligung; Standardvertragsklauseln |
| Stripe Payments Europe Ltd. (IE) / Stripe Inc. (US) | Eigenständige Verantwortliche | Zahlungsmittel- und Zahlungsdaten (Abschnitt 4.10) | Vertragsverhältnis; EU-US Data Privacy Framework |
| PKV-Kooperationspartner | Eigenständige Verantwortliche | Antragsunterlagen, nur bei aktivierter PKV-Kooperation (Abschnitt 4.11) | gesonderte partner-spezifische Einwilligung |
Eine vollständige Liste der Auftragsverarbeiter und Drittdienstanbieter finden Sie im Anhang am Ende dieses Dokuments.
5. Technische Dienste und Infrastruktur
5.1 – Hosting bei Hetzner
Psyve betreibt die gesamte technische Infrastruktur für Therapy Lift auf Servern der Hetzner Online GmbH in Deutschland. Die einzelnen technischen Komponenten — Datenbank-System, Authentifizierungs-Dienst, Dateispeicher, Echtzeit-Kommunikation für Videositzungen, transaktionaler E-Mail-Versand, Fehler-Monitoring sowie das selbstgehostete Ticket-System für den Plattform-Support — werden von uns selbst betrieben und sind keine eigenständigen Dritten oder externen Dienstleister; sie sind ausschließlich Bestandteile unserer auf Hetzner-Infrastruktur betriebenen Plattform. Eine Weitergabe personenbezogener Daten an externe Empfänger im Rahmen des technischen Betriebs findet nicht statt, mit Ausnahme der in den Abschnitten 4 und 5 ausdrücklich genannten Drittempfänger (insbesondere Apple, Google, Mozilla, Stripe, PKV-Kooperationspartner, BZSt).
Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Standort der Server: Deutschland (Nürnberg und Falkenstein).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und performanter Infrastruktur).
Auftragsverarbeitung: Mit Hetzner besteht ein Auftragsverarbeitungs-Vertrag gemäß Art. 28 DSGVO. Hetzner hat keinen Zugriff auf die von uns auf den Servern gespeicherten oder verarbeiteten Daten (abgesehen von Wartungsarbeiten unter strengen Vertraulichkeitsverpflichtungen).
5.2 – Fehlerverfolgung und Betriebsüberwachung
Zur Sicherstellung der technischen Funktionsfähigkeit und zur frühzeitigen Erkennung von Fehlern betreiben wir eine eigene Fehlerverfolgungs-Infrastruktur auf unseren Hetzner-Servern. Es findet keine Weitergabe der Fehlerdaten an externe Dienstleister statt.
Datenkategorien: Technische Fehlermeldungen, Stack-Traces, App-Version, Betriebssystem-Version, pseudonymer Nutzer-Identifier, IP-Adresse gekürzt auf /24 bzw. /64.
Zwecke: Erkennung und Behebung technischer Fehler in der App und Backend-Infrastruktur.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der Plattform). Soweit diese Daten Gesundheitsdaten-Relevanz entfalten (z.B. durch den Kontext Ihres Nutzerkontos oder die Zuordenbarkeit über den pseudonymen Nutzer-Identifier), ergänzend Art. 9 Abs. 2 lit. a DSGVO (Einwilligung).
Speicherdauer: 60 Tage.
5.3 – Aggregierte, anonyme Nutzungsstatistiken
Zur Verbesserung der Plattform und zur Erkennung grundlegender Nutzungsmuster erheben wir aggregierte, anonyme Nutzungsstatistiken (z.B. wie viele Nutzer:innen eine bestimmte Funktion in einem Tag insgesamt aufgerufen haben).
Datenkategorien: Aggregierte Zählwerte je Funktion und Zeitraum. Es werden keine Nutzer-Identifier, Session-Identifier, IP-Adressen oder sonstige Merkmale gespeichert, die eine Zuordnung zu einer einzelnen Person erlauben würden.
Zwecke: Produktverbesserung, Betriebsstatistiken, Erkennung systemweiter Auffälligkeiten.
Infrastruktur: Die Erhebung und Auswertung erfolgt vollständig auf unserer eigenen, in Deutschland gehosteten Infrastruktur (siehe Abschnitt 5.1). Eine Weitergabe an externe Analyseanbieter findet nicht statt.
Technische und organisatorische Garantien zur Sicherstellung der Anonymität:
- Im Event-Payload wird kein Nutzer-Identifier mitgesendet (keine User-ID, E-Mail, Session-Token, Geräte-ID, Push-Token)
- Der Analytics-Endpunkt akzeptiert keine Authentifizierung
- Auf dem Analytics-Endpunkt werden keine IP-Adressen geloggt
- Eingehende Events werden direkt zu Zählerstand-Erhöhungen umgewandelt; Roh-Events werden nicht in einer Datenbank gespeichert
- Es findet kein Session-Tracking über Anwendungs-Starts hinweg statt
- Zeitstempel werden bereits bei der Annahme tagesgenau gebucket (nicht millisekundengenau)
- Die Dimensions-Felder verwenden ausschließlich kontrollierte Vokabulare ohne Freitext und ohne nutzerseitig wählbare Werte
- Bei der Auswertung wird k-Anonymität mit k=10 angewandt: Zählerstände unterhalb von 10 werden in Auswertungen unterdrückt
- Das Analytics-System ist architektonisch vom Nutzerdaten-System getrennt; verschiedene Datenbank-Instanzen, verschiedene Zugangsdaten, keine geteilten Schlüssel
- Es existiert kein Code-Pfad, der Analytics-Daten mit nutzeridentifizierenden Daten verbinden würde
5.4 – App-Stores (nur bei Nutzung der nativen Apps)
Sofern Sie Therapy Lift als native App installieren (iOS, Android oder macOS), wird die Installation über die jeweiligen App-Stores abgewickelt:
- Apple App Store (für iOS und macOS): Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Irland
- Google Play Store (für Android): Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Beim Herunterladen der App werden erforderliche Informationen an den jeweiligen App-Store übertragen, insbesondere Nutzername, E-Mail-Adresse und Kundennummer des Account, Zeitpunkt des Downloads, Zahlungsinformationen (soweit anwendbar) und die individuelle Gerätekennziffer. Auf diese Datenerhebung haben wir keinen Einfluss. Die App-Stores sind diesbezüglich eigenständige Verantwortliche.
Die jeweiligen Datenschutzerklärungen:
Bei Nutzung der Web-Anwendung (https://app.therapy-lift.de) ist keine Installation über einen App-Store erforderlich. Es erfolgt hier keine Datenübermittlung an Apple oder Google im Zusammenhang mit der Bereitstellung der Anwendung.
6. Ihre Rechte als betroffene Person
Nach der DSGVO stehen Ihnen als betroffener Person folgende Rechte zu:
- Recht auf Auskunft (Art. 15 DSGVO) — Sie können Auskunft über die von uns zu Ihnen verarbeiteten personenbezogenen Daten verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können die Herausgabe Ihrer Daten in einem gängigen Format verlangen.
- Recht auf Widerspruch (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten widersprechen.
- Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) — Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — Sie können sich bei der zuständigen Datenschutz-Aufsichtsbehörde beschweren. Für die Psyve GmbH ist dies die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59-61, 10555 Berlin, Telefon: 030 13889-0, E-Mail: mailbox@datenschutz-berlin.de, Web: https://www.datenschutz-berlin.de. Eine Übersicht aller deutschen Datenschutz-Aufsichtsbehörden finden Sie unter https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html.
Bearbeitungsmodalitäten: Anträge zur Ausübung Ihrer Rechte beantworten wir grundsätzlich innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO); diese Frist können wir bei besonders komplexen Anträgen oder bei einer Vielzahl von Anträgen um bis zu zwei Monate verlängern, worüber wir Sie innerhalb des ersten Monats unterrichten. Zur Sicherstellung, dass wir Daten nicht an Unbefugte herausgeben, können wir vor Beantwortung eine Identitätsprüfung durchführen — typischerweise durch eine bestätigende Antwort über die in unserem System hinterlegte E-Mail-Adresse oder, bei Zweifeln, durch eine zusätzliche risikoangemessene Prüfung. Soweit wir Berichtigungen, Löschungen oder Einschränkungen der Verarbeitung vornehmen, teilen wir dies allen Empfängern mit, denen Ihre Daten offengelegt wurden, sofern dies nicht unmöglich oder mit unverhältnismäßigem Aufwand verbunden ist (Art. 19 DSGVO); Sie können hierüber auf Wunsch Auskunft erhalten.
6a. Datenschutzhinweise für Therapeut:innen
Dieser Abschnitt richtet sich ausschließlich an Therapeut:innen, die Therapy Lift als Plattform für ihre berufliche Tätigkeit nutzen. Er ergänzt die übergreifenden Hinweise zur Verantwortlichkeit (Abschnitt 1.1), zum Datenschutzbeauftragten (Abschnitt 1.2), zur technischen Architektur (Abschnitte 3 und 5.1) und zu den Betroffenenrechten (Abschnitt 6), die für Therapeut:innen gleichermaßen gelten.
6a.1 – Geltungsbereich und Rollenkonstellation
Therapeut:innen treten gegenüber Therapy Lift in einer Doppelrolle auf:
- Als betroffene Personen im Sinne der DSGVO, deren personenbezogene Daten Psyve im Rahmen der Plattform-Bereitstellung verarbeitet (Konto, Profil, Abrechnung, gesetzliche Meldungen). Diese Verarbeitungen sind Gegenstand des vorliegenden Abschnitts 6a.
- Als eigenständige Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung der Behandlungsdaten ihrer Patient:innen (Behandlungsdokumentation, Anamnese, Befunde, Korrespondenz mit Versicherern und Dritten). Für diese Verarbeitungen sind die Therapeut:innen selbst Verantwortliche und unterliegen den berufsrechtlichen Schweigepflichten (PsychThG, Berufsordnung). Therapeut:innen stellen ihren Patient:innen hierfür eigene Datenschutzhinweise bereit.
Verhältnis zwischen Therapeut:in und Psyve hinsichtlich der Behandlungsdaten: Die Ende-zu-Ende-verschlüsselten Behandlungsinhalte (Videositzungs-Inhalte, Chat-Nachrichten, Fragebogen-Antworten, Dokumente) sind Psyve im Klartext technisch nicht zugänglich; für Psyve handelt es sich um verschlüsselte, nicht personenbeziehbare Datenblöcke. Eine Auftragsverarbeitung an den Inhalten findet daher nicht statt; Psyve stellt insoweit nur Transport- und Speicher-Infrastruktur bereit. Für die behandlungsbezogenen Metadaten dieser Verarbeitungen (Zeitstempel, beteiligte Personen, Häufigkeit), die technisch unvermeidbar für die Plattform-Funktion sind, verarbeitet Psyve die Daten im Auftrag der Therapeut:in als Auftragsverarbeiterin nach Art. 28 DSGVO. Diese Aufteilung ist in Abschnitt 1.4 dokumentiert.
Verpflichtungen aus dem Therapeut:innen-Plattformvertrag: Im Rahmen des Therapeut:innen-Vertrags mit Psyve geben Sie als Therapeut:in eine berufsspezifische Verpflichtungserklärung ab, die unter anderem die Mitwirkung Psyves an der Behandlungsdokumentation an die Anforderungen des § 203 Abs. 4 StGB anpasst (Verpflichtung der mitwirkenden Person zur Geheimhaltung). Die genauen Pflichten sind im Therapeut:innen-Plattformvertrag und der dortigen Verpflichtungserklärung geregelt; eine Wiederholung an dieser Stelle würde den datenschutzrechtlichen Fokus dieser Erklärung überschreiten.
6a.2 – Verarbeitungszwecke und Datenkategorien
6a.2.1 Therapeut:innen-Konto und öffentliches Profil
Zweck: Bereitstellung eines Therapeut:innen-Kontos zur Plattform-Nutzung sowie eines öffentlichen Profils, das Patient:innen die eigenständige Auswahl einer Therapeutin bzw. eines Therapeuten ermöglicht.
Datenkategorien (Konto): Vor- und Nachname, akademischer Titel, E-Mail-Adresse, Telefonnummer, Rechnungsadresse, Authentifizierungs-Daten (Passwort-Hash, MFA-Faktoren), Kontostatus.
Datenkategorien (öffentliches Profil — soweit von Ihnen bereitgestellt): Berufsbezeichnung und Spezialisierungen, Behandlungsschwerpunkte, Sprachen, ggfs. Praxis-Anschrift, ggfs. Praxis-Telefonnummer, frei formulierter Profil-Text, Lichtbild (siehe 6a.2.6).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des zwischen Ihnen und Psyve geschlossenen Plattform-Nutzungsvertrags); für freiwillige Profil-Inhalte zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: Für die Dauer des Nutzungsvertrags. Nach Vertragsende werden Konto- und Profildaten innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (siehe 6a.6).
6a.2.2 Approbations-Verifikation
Zweck: Verifikation, dass nur approbierte Psychotherapeut:innen Behandlungsleistungen über die Plattform anbieten. Diese Prüfung schützt Patient:innen vor unqualifizierter Behandlung und erfüllt die Anforderungen des § 1 Abs. 1 PsychThG (Berufsausübungsvorbehalt).
Datenkategorien: Hochgeladene Approbationsurkunde (Dokument-Datei), Approbations-Nummer, ausstellende Behörde, Ausstellungsdatum, Verifikations-Status (verifiziert / abgelehnt / in Prüfung), Datum der Verifikation, Name der bei Psyve verifizierenden Person.
Verarbeitungsablauf: Sie laden die Approbationsurkunde im Therapeut:innen-Onboarding hoch. Eine zur Prüfung berechtigte Person bei Psyve führt eine manuelle Verifikation durch (Echtheits-Prüfung, Plausibilitäts-Prüfung gegen das Therapeuten-Verzeichnis der zuständigen Psychotherapeutenkammer). Nach erfolgreicher Verifikation wird der Status in Ihrem Konto gesetzt; die Original-Datei verbleibt verschlüsselt auf unseren Hetzner-Servern.
Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Approbation ist Voraussetzung der Plattform-Nutzung)
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Einhaltung des Berufsausübungsvorbehalts gemäß § 1 PsychThG)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse von Psyve und der Patient:innen am Schutz vor Behandlung durch nicht qualifizierte Personen)
Speicherdauer: Während der gesamten Vertragslaufzeit. Nach Vertragsende speichern wir die Verifikations-Daten (nicht die Original-Urkunde) für 3 Jahre als Nachweis der ordnungsgemäßen Plattform-Betreibung. Die Original-Urkunde wird nach Vertragsende innerhalb von 90 Tagen gelöscht.
6a.2.3 Stripe Connect — Auszahlungen für Behandlungsleistungen
Zweck: Einrichtung eines Stripe-Connect-Kontos auf Ihren Namen ("Connected Account"), über das Patient:innen-Zahlungen direkt an Sie als Settlement-Merchant fließen.
Datenkategorien bei Psyve: Stripe-Account-ID, Onboarding-Status (in Bearbeitung / aktiv / eingeschränkt / deaktiviert), Verknüpfung der Account-ID mit Ihrem Therapy-Lift-Konto. Psyve hat keinen Einblick in die für das Stripe-Onboarding bei Stripe selbst hinterlegten Identifikations- und KYC-Daten (Ausweisdaten, Steueridentifikationsnummer, Bankverbindung etc.).
Datenkategorien bei Stripe (eigenständige Verantwortliche): Im Rahmen des Onboarding-Prozesses geben Sie unmittelbar gegenüber Stripe die für die KYC-Prüfung (Know Your Customer) erforderlichen Daten an. Stripe verarbeitet diese Daten als eigenständige Verantwortliche auf Grundlage der eigenen Stripe-Datenschutzbedingungen (https://stripe.com/de/privacy) sowie auf Grundlage geldwäscherechtlicher und steuerrechtlicher Pflichten. Psyve wirkt hierbei nicht als Auftragsverarbeiter; das Stripe-Onboarding erfolgt durch Sie direkt gegenüber Stripe.
Rechtsgrundlage (für die Verarbeitung bei Psyve): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Verbindung zu Stripe Connect ist Voraussetzung der Plattform-Nutzung mit Vergütung).
Speicherdauer: Für die Dauer des Stripe-Connect-Verhältnisses. Nach Beendigung des Plattform-Vertrags wird die Verknüpfung der Stripe-Account-ID gelöscht; Stripe selbst bewahrt die KYC-Daten nach Maßgabe der eigenen gesetzlichen Aufbewahrungspflichten auf.
6a.2.4 Plattformgebühr — Abrechnung durch Psyve gegenüber Therapeut:innen
Zweck: Berechnung und Abrechnung der Plattformgebühr, die Sie als Therapeut:in für die Bereitstellung der Plattform-Infrastruktur an Psyve entrichten. Diese Plattformgebühr ist von der Vergütung für Ihre Behandlungsleistungen unabhängig — letztere fließt direkt von der Patient:in an Sie (Stripe Connect, siehe 6a.2.3).
Datenkategorien: Rechnungsadresse, USt-Identifikationsnummer (soweit vorhanden), Steuernummer, Abrechnungs-Zeiträume, Anzahl der über die Plattform durchgeführten Behandlungssitzungen (Metadaten ohne Inhalts-Bezug), errechnete Plattformgebühr, Rechnungs-IDs, Zahlungs-Status.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Pflichten zur Rechnungsstellung und Aufbewahrung).
Speicherdauer: 10 Jahre für Rechnungs- und Buchhaltungsunterlagen (§ 257 HGB, § 147 AO).
6a.2.5 DAC7 / Plattformen-Steuertransparenzgesetz — Meldung an das BZSt
Zweck: Erfüllung der Meldepflicht nach dem Plattformen-Steuertransparenzgesetz (PStTG) zur Umsetzung der EU-Richtlinie 2021/514 (DAC7). Psyve ist als Plattformbetreiberin verpflichtet, jährlich bestimmte Stammdaten und Vergütungsangaben der auf der Plattform tätigen Therapeut:innen an das Bundeszentralamt für Steuern (BZSt) zu melden.
Datenkategorien (gemäß § 14 PStTG): Vor- und Nachname, Anschrift, Steueridentifikationsnummer, Geburtsdatum, USt-Identifikationsnummer (soweit vorhanden), Nummer und Land der ausstellenden Behörde des Identifikationsdokuments (soweit erfasst), Bankverbindung (Kontoinhaber:in, IBAN), gegebenenfalls Handelsregister-Nummer, je Quartal: Anzahl der über die Plattform abgewickelten Tätigkeiten und insgesamt erhaltene Vergütungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung — § 13 PStTG).
Empfänger: Bundeszentralamt für Steuern (BZSt), An der Küppe 1, 53225 Bonn.
Pflicht zur Bereitstellung: Die Bereitstellung der nach § 14 PStTG meldepflichtigen Daten ist gesetzlich verpflichtend. Ohne diese Daten können Sie die Plattform nicht zur entgeltlichen Behandlung nutzen.
Speicherdauer: 10 Jahre nach Ablauf des Meldejahres (§ 22 PStTG i.V.m. § 147 AO).
6a.2.6 Profilfoto
Zweck: Anzeige eines Lichtbilds in Ihrem öffentlichen Profil auf der Plattform, sichtbar für alle Patient:innen mit Plattformzugang.
Datenkategorien: Hochgeladenes Lichtbild (Bilddatei) sowie technische Metadaten (Format, Datum des Uploads).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung) sowie ergänzend § 22 KUG (Recht am eigenen Bild). Die Bereitstellung eines Profilfotos ist freiwillig und keine Voraussetzung der Plattform-Nutzung. Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen; nach Widerruf wird das Lichtbild aus dem Profil entfernt. Ihr Konto bleibt davon unberührt.
Speicherdauer: Bis zum Widerruf der Einwilligung oder bis zum Ende des Plattform-Vertrags.
6a.2.7 Plattform-Nutzungs-Metadaten und Sicherheits-Logs
Zweck: Sicherstellung der technischen Funktionsfähigkeit, Abwehr von Angriffen, Forensik im Vorfall-Fall.
Datenkategorien: Login-Zeitpunkte und Login-Methode, IP-Adresse (auf /24 bzw. /64 gekürzt), Geräte- und Browser-Informationen, MFA-Ereignisse, fehlgeschlagene Authentifizierungs-Versuche, Application-Logs zu Ihrer Plattform-Nutzung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Plattform-Verfügbarkeit).
Speicherdauer: Technische Logs 30 Tage; sicherheitsrelevante Logs 90 Tage; Datenbank-Audit-Logs der privilegierten Konten 1 Jahr.
6a.3 – Empfänger Ihrer Daten
| Empfänger | Rolle | Welche Daten | Rechtsgrundlage des Transfers |
|---|---|---|---|
| Hetzner Online GmbH (DE) | Auftragsverarbeiter (Art. 28 DSGVO) | Sämtliche bei Psyve gespeicherten Daten | AVV vom 31.10.2025 |
| Stripe Payments Europe Ltd. (IE) / Stripe Inc. (US) | Eigenständige Verantwortliche | KYC-Daten (Sie geben sie direkt an Stripe; Psyve sieht nur Status) sowie Zahlungsmetadaten der Patient:innen-Zahlungen an Sie | Direkt-Vertragsverhältnis zwischen Ihnen und Stripe; bei Psyve nur Account-Status |
| Bundeszentralamt für Steuern (BZSt, DE) | Gesetzlicher Empfänger | DAC7/PStTG-Meldedaten (siehe 6a.2.5) | § 13 PStTG |
| Patient:innen | Empfänger der öffentlichen Profil-Daten | Name, akademischer Titel, Profil-Inhalte, ggf. Lichtbild, Praxis-Kontaktdaten | Vertragsanbahnung (Art. 6 Abs. 1 lit. b) und ggf. Einwilligung (Lichtbild) |
Die externe Datenschutzbeauftragte (heyData GmbH) ist gemäß Art. 38 Abs. 3 DSGVO unabhängig und keine Auftragsverarbeitung im Sinne des Art. 28 DSGVO.
6a.4 – Drittlandtransfer
Eine Übermittlung in Drittländer findet im Rahmen der Therapeut:innen-Verarbeitung nur im Zusammenhang mit Stripe statt. Sofern Stripe Inc. (USA) als Konzerngesellschaft Daten verarbeitet, stützt sich der Transfer auf den EU-US Data Privacy Framework Adequacy Decision der EU-Kommission vom 10. Juli 2023 sowie ergänzend auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Soweit für eine Übermittlung Standardvertragsklauseln genutzt werden, prüfen wir die mit der Übermittlung verbundenen Risiken vorab und in regelmäßigen Abständen (Transfer Impact Assessment) und setzen — soweit erforderlich — zusätzliche technische und organisatorische Schutzmaßnahmen ein (insbesondere strikte Datenminimierung).
6a.5 – Pflicht zur Bereitstellung von Daten
Bestimmte Datenkategorien sind für die Plattform-Nutzung rechtlich oder vertraglich erforderlich; ohne diese können Sie die Plattform nicht (vollständig) nutzen:
- Stammdaten und Authentifizierungs-Daten (6a.2.1): vertraglich erforderlich für die Konto-Einrichtung
- Approbations-Daten (6a.2.2): rechtlich erforderlich (Berufsausübungsvorbehalt § 1 PsychThG); ohne Verifikation keine Behandlung über die Plattform
- Stripe-Onboarding (6a.2.3): vertraglich erforderlich für die entgeltliche Plattform-Nutzung
- DAC7/PStTG-Daten (6a.2.5): gesetzlich erforderlich; ohne diese Daten keine entgeltliche Plattform-Nutzung möglich
Andere Datenkategorien sind freiwillig und können von Ihnen frei entschieden werden:
- Profil-Inhalte über das vertraglich Erforderliche hinaus (Profil-Text, Spezialisierungen, Sprachen-Angaben)
- Profilfoto (6a.2.6)
6a.6 – Speicher- und Löschfristen — Übersicht
| Datenkategorie | Aufbewahrungsfrist | Grundlage |
|---|---|---|
| Konto-Stammdaten | Bis Vertragsende + 30 Tage | Vertragserfüllung |
| Approbations-Verifikations-Daten | Bis Vertragsende + 3 Jahre | Berechtigtes Interesse, Nachweis ordnungsgemäßer Plattform-Betreibung |
| Approbationsurkunde (Original-Datei) | Bis Vertragsende + 90 Tage | Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO); Verifikations-Daten genügen als Nachweis |
| Stripe-Account-Verknüpfung | Bis Vertragsende | Vertragserfüllung |
| Plattformgebühr-Rechnungen und Buchhaltungsdaten | 10 Jahre | § 257 HGB, § 147 AO |
| DAC7/PStTG-Meldedaten | 10 Jahre nach Meldejahr | § 22 PStTG, § 147 AO |
| Profilfoto | Bis Widerruf oder Vertragsende | Einwilligung |
| Frei gestaltete Profil-Inhalte | Bis Widerruf oder Vertragsende | Einwilligung / Vertragserfüllung |
| Technische Logs | 30 Tage | Berechtigtes Interesse |
| Sicherheits-Logs | 90 Tage | Berechtigtes Interesse |
| Datenbank-Audit-Logs (privilegierte Konten) | 1 Jahr | Berechtigtes Interesse |
6a.7 – Automatisierte Entscheidungsfindung
Wir nutzen keine automatisierten Entscheidungen im Einzelfall gemäß Art. 22 DSGVO in Bezug auf Therapeut:innen. Insbesondere wird die Plattform-Aufnahme oder -Sperrung nicht automatisiert entschieden; die Approbations-Verifikation erfolgt manuell durch eine Person bei Psyve.
6a.8 – Ihre Rechte als betroffene Person
Als Therapeut:in stehen Ihnen die in Abschnitt 6 dieser Datenschutzerklärung genannten Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Widerruf, Beschwerde bei der Aufsichtsbehörde) gleichermaßen zu. Die dort beschriebenen Bearbeitungsmodalitäten (Bearbeitungsfrist, Identitätsprüfung, Mitteilungspflicht nach Art. 19 DSGVO) gelten entsprechend.
Hinweis zur Doppelrolle: Soweit Sie Auskunft über Daten verlangen, die Ihre Rolle als Verantwortliche für Behandlungsdaten Ihrer Patient:innen betreffen (Behandlungsdokumentation, Anamnese, Befunde), liegen diese Daten Psyve nicht im Klartext vor. Ihre Patient:innen müssen sich für solche Auskunfts-Anfragen direkt an Sie wenden.
6a.9 – Kontakt für Therapeut:innen-Datenschutz-Anfragen
Für Datenschutz-Anfragen, die Ihre Verarbeitung als Therapeut:in betreffen, nutzen Sie bitte denselben Kontakt wie alle anderen Betroffenen: datenschutz@therapy-lift.de.
Für inhaltliche Fragen zum Therapeut:innen-Konto, zur Stripe-Connect-Einrichtung oder zur DAC7-Meldung steht Ihnen darüber hinaus unser Plattform-Support unter hilfe@therapy-lift.de zur Verfügung.
7. Kontaktaufnahme und Ausübung Ihrer Rechte
7.1 – Einwilligungsverwaltung in der App
Ihre erteilten Einwilligungen können Sie in den Einstellungen Ihres Nutzerkontos unter "Meine Einwilligungen" jederzeit einsehen und widerrufen. Jeder Widerruf gilt mit Wirkung für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.
Je nach Art der Einwilligung hat ein Widerruf unterschiedliche Konsequenzen:
- Einwilligung in die Verarbeitung Ihrer Gesundheitsdaten (Art. 9 DSGVO): Diese Einwilligung ist technische Voraussetzung für die Nutzung von Therapy Lift. Ein Widerruf führt zur Beendigung des Nutzungsvertrags und zur Löschung Ihres Nutzerkontos (vorbehaltlich gesetzlicher Aufbewahrungspflichten). Minderjährige Patient:innen erteilen und widerrufen diese Einwilligung selbst (Abschnitt 2.7).
- Partner-spezifische Einwilligung zur PKV-Kooperation (Abschnitt 4.11): Wenn Sie an der automatisierten Antragsunterlagen-Übermittlung an einen unserer Kooperations-Versicherer teilnehmen, haben Sie dafür eine gesonderte, partner-spezifische Einwilligung erteilt. Diese ist unabhängig von der Grundeinwilligung und jederzeit widerrufbar. Ein Widerruf beendet die automatisierte Übermittlung für die Zukunft; Ihre Behandlung, Ihr Nutzungsvertrag mit Therapy Lift und Ihr direktes Zahlungsverhältnis mit der Therapeutin bzw. dem Therapeuten bleiben davon unberührt. Künftige Anträge (z.B. Verlängerungs- oder Umwandlungsanträge) müssten Sie und Ihre Therapeutin bzw. Ihr Therapeut dann wieder selbst auf dem klassischen Weg einreichen.
- Einwilligung in Push-Benachrichtigungen (Abschnitt 4.12): Pro Gerät einzeln widerrufbar, ohne Auswirkung auf die Nutzung der Plattform.
- Einwilligung in SSO-Datenübermittlung (Abschnitt 4.2): Widerrufbar; ein Widerruf kann eine Umstellung Ihrer Anmeldemethode auf E-Mail und Passwort erforderlich machen.
Bei jedem Widerruf informieren wir Sie vor der Bestätigung über die konkreten Konsequenzen.
7.2 – Ausübung weiterer Rechte
Zur Ausübung Ihrer Rechte nach Abschnitt 6 oder für sonstige Fragen zum Datenschutz kontaktieren Sie uns bitte unter:
Psyve GmbH Kolonnenstraße 8 10827 Berlin Deutschland
E-Mail: datenschutz@therapy-lift.de Telefon: 030 536 713 05 (Mo-Fr, 9–18 Uhr)
Oder unseren Datenschutzbeauftragten:
heyData GmbH, Schützenstraße 5, 10117 Berlin, E-Mail: datenschutz@heydata.eu, Telefon: +49 89 41 32 53 20
7.3 – Allgemeine Kontaktaufnahme und Plattform-Support
Allgemeine Kontaktaufnahme. Allgemeine Anfragen an die Psyve GmbH können Sie über contact@psyve.de oder telefonisch unter 030 536 713 05 (Mo-Fr, 9–18 Uhr) stellen. Datenschutzbezogene Anfragen richten Sie bitte an die in Abschnitt 7.2 genannten Kontaktwege.
Plattform-Support. Für Fragen, die unmittelbar die Nutzung der Therapy-Lift-Plattform betreffen (z.B. technische Probleme, Funktionsfragen, Hilfestellung zur Bedienung), erreichen Sie unseren Support unter hilfe@therapy-lift.de oder telefonisch unter 030 536 713 05. Dieser Support steht sowohl Patient:innen als auch Therapeut:innen zur Verfügung.
Verarbeitung Ihrer Anfragen. Wenn Sie uns per E-Mail oder Telefon kontaktieren, werden die mitgeteilten Daten (z.B. Name, E-Mail-Adresse, Telefonnummer und Anfrageinhalt) gespeichert, um Ihre Anfrage zu bearbeiten und zu dokumentieren. Anfragen an den Plattform-Support werden zusätzlich in unserem selbstgehosteten Zammad-Ticket-System (auf unserer Hetzner-Infrastruktur in Deutschland) verarbeitet, um eine nachvollziehbare Bearbeitung zu ermöglichen.
Datenminimierung im Support. Bitte übermitteln Sie über den Support keine Therapieinhalte oder sonstige besondere Kategorien personenbezogener Daten; hierfür steht Ihnen die Ende-zu-Ende-verschlüsselte Kommunikation mit Ihrer Therapeutin bzw. Ihrem Therapeuten in der App zur Verfügung (Abschnitt 4.8). Vor dem Absenden einer Support-Anfrage über die App weisen wir Sie deutlich darauf hin und bieten Ihnen eine Kategorie-Auswahl (z.B. "Technisches Problem", "Bedienungsfrage", "Abrechnung"), die den Anfrage-Kontext strukturiert.
Strukturelle Verhinderung statt Routine-Einwilligung. Wenn Sie dennoch Gesundheitsdaten oder andere besondere Kategorien personenbezogener Daten in einer Support-Anfrage übermitteln, ist unser Standard-Verfahren nicht, eine Einwilligung im Nachgang abzufragen, sondern: (1) wir löschen den ursprünglichen Ticket-Inhalt, (2) senden Ihnen eine Standard-Antwort mit Verweis auf den verschlüsselten Kommunikationskanal in der App, ohne die übermittelten Inhalte zu zitieren, und (3) bitten Sie, Ihre Anfrage über den geeigneten Kanal neu zu stellen. Hintergrund: Eine routinemäßige Einwilligung für Gesundheitsdaten im Support widerspräche dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).
Ausnahme-Einwilligung im Einzelfall. Nur in seltenen Ausnahmefällen — wenn die Bearbeitung Ihres Anliegens ohne Bezug zum übermittelten Gesundheitsdatum nicht möglich ist (z.B. dringendes technisches Problem während einer laufenden Sitzung) — antwortet unser Support mit einer expliziten Einwilligungs-Anforderung. In diesem Fall können Sie aktiv und in Textform Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO für die Bearbeitung dieses einzelnen Tickets erteilen oder die Löschung des Tickets verlangen. Die erteilte Einwilligung wird im Ticket-Verlauf dokumentiert und ist für die Zukunft widerrufbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen der Plattform-Bereitstellung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage), bei Übermittlung von Gesundheitsdaten zusätzlich Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.
Speicherdauer: Nach Erledigung Ihrer Anfrage werden die Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten bestehen. Anfragen, die der Ausübung Ihrer Betroffenenrechte (Abschnitt 6) dienen, werden zum Nachweis der ordnungsgemäßen Bearbeitung länger aufbewahrt.
8. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die rechtlichen Rahmenbedingungen, die tatsächliche Datenverarbeitung oder die angebotenen Leistungen ändern.
Wesentliche Änderungen teilen wir Ihnen rechtzeitig vor Inkrafttreten mit, insbesondere durch eine Benachrichtigung in der App. Ihre erneute Kenntnisnahme bzw. Einwilligung wird in diesen Fällen erforderlich.
Die jeweils aktuelle Version dieser Datenschutzerklärung ist in der App und unter https://therapy-lift.de/datenschutz-app abrufbar.
Stand dieser Datenschutzerklärung: 11.06.2026
Version: v2.14
Anhang: Liste der Auftragsverarbeiter und Drittdienstanbieter
Zur Vollständigkeit listen wir hier alle Parteien auf, die im Kontext von Therapy Lift personenbezogene Daten verarbeiten:
Auftragsverarbeiter (Art. 28 DSGVO)
| Anbieter | Rolle | Sitz | Datenschutzerklärung |
|---|---|---|---|
| Hetzner Online GmbH | Hosting sämtlicher selbstgehosteter Komponenten (einschließlich Datenbanken, Authentifizierungs-Dienst, Echtzeit-Kommunikation, Push-Server, Mail-Server, Fehler-Monitoring, Ticket-System) | Gunzenhausen, Deutschland | https://www.hetzner.com/de/rechtliches/datenschutz |
Datenschutzbeauftragter (externer DSB)
Unser Datenschutzbeauftragter ist die heyData GmbH, Schützenstraße 5, 10117 Berlin. Kontakt: datenschutz@heydata.eu, Telefon: +49 89 41 32 53 20. Der Datenschutzbeauftragte ist gemäß Art. 38 Abs. 3 DSGVO in seiner Tätigkeit unabhängig und keine Auftragsverarbeitung gemäß Art. 28 DSGVO; die Bestellung ist bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit unter der Eintragsnummer YFLV-JWNL-FQTU registriert.
Eigenständige Verantwortliche, an die Daten übermittelt werden
| Anbieter | Rolle | Sitz | Datenschutzerklärung |
|---|---|---|---|
| Behandelnde Therapeut:innen | Empfänger der für die Behandlung erforderlichen Inhalte (Videositzungen, Nachrichten, Fragebögen, Dokumente, inhaltliche Rechnungsposten) — eigenständige Verantwortliche für die Behandlungsinhalte (siehe Abschnitt 1.4); erteilen ihre eigenen Datenschutzhinweise gegenüber Patient:innen | Deutschland | Datenschutzhinweis der jeweils gewählten Therapeutin bzw. des Therapeuten |
| Apple Inc. / Apple Distribution International | SSO, App-Store, APNs (native und Safari-Web-Push) | USA / Irland | https://www.apple.com/legal/privacy/de-ww/ |
| Google LLC / Google Ireland Limited | SSO, App-Store, FCM (native und Chrome-Web-Push) | USA / Irland | https://policies.google.com/privacy |
| Mozilla Foundation | Web-Push-Zustellung in Firefox-Browsern (Autopush) | USA | https://www.mozilla.org/de/privacy/ |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Dublin, Irland | https://stripe.com/de/privacy |
| Signal Iduna Versicherung | Automatisierter Antragsunterlagen-Austausch (nur als Kooperationspartner, auf gesonderte partner-spezifische Einwilligung) | Dortmund, Deutschland | https://www.signal-iduna.de/datenschutz |
| Hallesche Krankenversicherung a.G. | Automatisierter Antragsunterlagen-Austausch (nur als Kooperationspartner, auf gesonderte partner-spezifische Einwilligung) | Stuttgart, Deutschland | https://www.hallesche.de/datenschutz |
| Barmenia Krankenversicherung AG | Automatisierter Antragsunterlagen-Austausch (nur als Kooperationspartner, auf gesonderte partner-spezifische Einwilligung) | Wuppertal, Deutschland | https://www.barmenia.de/datenschutz |
| Bundeszentralamt für Steuern (BZSt) | Empfänger der jährlichen Meldungen nach Plattformen-Steuertransparenzgesetz (PStTG / DAC7) — betrifft ausschließlich Stammdaten und Vergütungsangaben der auf der Plattform tätigen Therapeut:innen, keine Patient:innen-Daten | Bonn, Deutschland | https://www.bzst.de/DE/Service/Datenschutz/datenschutz_node.html |
Dokumentenende.