Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Therao
Gerresheimer Straße 13
40211 Düsseldorf
E-Mail: info@therao.de

2. Welche Daten wir verarbeiten und warum

2.1 Warteliste (therao.de)

Wenn du dich auf unsere Warteliste einträgst, speichern wir:

E-Mail-Adresse
Name (optional)
Praxisname (optional)
Nachricht (optional)
Zeitpunkt der Anmeldung

Zweck: Verwaltung der Warteliste und Kontaktaufnahme bei Freischaltung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertragsverhältnisses).
Speicherdauer: Deine Daten werden spätestens 90 Tage nach Anmeldung ohne Registrierung automatisch gelöscht. Nach Registrierung gelten die Nutzungsbedingungen.

Du kannst deinen Wartelisten-Eintrag jederzeit löschen lassen — ohne Angabe von Gründen. Nutze dafür den Link /waitlist-delete oder schreibe uns an info@therao.de (Art. 17 DSGVO).

2.2 Therao-Konto (registrierte Nutzer)

Nach der Registrierung speichern wir zur Erbringung des Dienstes:

E-Mail-Adresse (= Benutzername)
Passwort (PBKDF2-SHA256, 600.000 Iterationen — nicht im Klartext)
Praxisname und Anzeigename
Akzeptanzzeitpunkt des Auftragsverarbeitungsvertrags
Zeitpunkt der Registrierung und des letzten Logins

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Konto-Daten werden für die Dauer des Vertragsverhältnisses gespeichert und nach Vertragsende auf Anfrage gelöscht (Löschung innerhalb von 30 Tagen nach Eingang der Anfrage), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

2.3 Patientendaten (isolierte Praxisdatenbank)

Patientendaten, die du in Therao einträgst, werden ausschließlich in deiner isolierten, verschlüsselt gespeicherten Praxisdatenbank gespeichert. Therao als Plattformbetreiber hat keinen inhaltlichen Zugriff auf diese Daten. Du bist der Verantwortliche dieser Daten im Sinne der DSGVO (Art. 4 Nr. 7 DSGVO); wir sind dein Auftragsverarbeiter (Art. 28 DSGVO). Näheres regelt der Auftragsverarbeitungsvertrag (AV-Vertrag), den du bei der Registrierung akzeptiert hast.

2.4 Server-Logfiles

Unser Server erfasst automatisch Zugriffsdaten (IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Statuscode). Diese Daten dienen ausschließlich der technischen Betriebssicherheit und werden nach 30 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit und Betrieb).

2.5 In-App-Feedback

Wenn du über die Feedback-Funktion in der App eine Nachricht sendest, speichern wir:

Deine E-Mail-Adresse (als Absender)
Den Inhalt deiner Nachricht
Zeitpunkt der Übermittlung

Zweck: Produktverbesserung und Beantwortung von Rückmeldungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Produktweiterentwicklung).
Speicherdauer: Feedback-Einträge werden nach Bearbeitung, spätestens nach 12 Monaten, gelöscht. Keine Patientendaten dürfen im Freitextfeld übermittelt werden.

3. Auftragsverarbeiter

3.1 Hetzner Online GmbH (Hosting)

Therao wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland betrieben. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist abgeschlossen (Hetzner Datenschutz & AVV). Alle Server befinden sich in Deutschland (Rechenzentrum Nürnberg).

3.2 Brevo / Sendinblue SAS (E-Mail-Versand)

Für den Versand von Transaktions-E-Mails (Wartelisten-Bestätigung, Einladung, Passwort-Reset) nutzen wir Brevo (Sendinblue SAS, 55 rue d'Amsterdam, 75008 Paris, Frankreich). Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO kommt gemäß Brevos Nutzungsbedingungen automatisch mit der Account-Registrierung zustande (Appendix 3 der Nutzungsbedingungen und AVV). Brevo ist ein französisches Unternehmen und unterliegt unmittelbar der DSGVO; eine Drittlandübermittlung findet nicht statt. Brevo verarbeitet ausschließlich die E-Mail-Adresse und den Namen des Empfängers sowie den Inhalt der jeweiligen E-Mail. Keine Patientendaten werden an Brevo übermittelt.

4. Keine Weitergabe an Dritte

Wir geben deine Daten nicht an Dritte weiter, außer an die oben genannten Auftragsverarbeiter und soweit wir gesetzlich dazu verpflichtet sind (z. B. auf Anfrage von Behörden).

5. Deine Rechte

Du hast gemäß DSGVO folgende Rechte:

Auskunft (Art. 15): Du kannst jederzeit Auskunft über deine gespeicherten Daten verlangen.
Berichtigung (Art. 16): Unrichtige Daten lassen wir auf Anfrage korrigieren.
Löschung (Art. 17): Du kannst die Löschung deiner Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkung der Verarbeitung (Art. 18)
Datenübertragbarkeit (Art. 20)
Widerspruch (Art. 21): Du kannst der Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen.

Zur Geltendmachung deiner Rechte wende dich an: info@therao.de

Du hast außerdem das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen. Zuständige Behörde für Therao als Verantwortlichen ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestr. 2–4, 40213 Düsseldorf, ldi.nrw.de. Als betroffene Person kannst du dich auch an die Aufsichtsbehörde deines Wohnsitzes oder Arbeitsortes wenden.

6. Cookies und Tracking

Therao verwendet keine Tracking-Cookies, keine Analyse-Dienste (Google Analytics o. ä.) und keine Werbung. Wir setzen ausschließlich technisch notwendige Mechanismen ein (Session-Verwaltung per JWT-Token, der nur im Arbeitsspeicher des Browsers liegt — kein localStorage).

7. Sicherheit

Alle Verbindungen zu therao.de sind per TLS 1.2+ verschlüsselt (HTTPS mit Let's Encrypt). Passwörter werden ausschließlich als PBKDF2-SHA256-Hash mit 600.000 Iterationen gespeichert. Patientendatenbanken sind pro Praxis isoliert.

8. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version ist stets unter therao.de/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.