Apointa Logo← Zurück zur Startseite

Datenschutzerklärung

Inhaltsverzeichnis

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website ist:

Luca Christ
Otterflow by Luca Christ
Haydnweg 24
69234 Dielheim
E-Mail: hey@apointa.org

2. Hosting und Logfiles

Beim Aufruf unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen (IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Uhrzeit der Serveranfrage) werden temporär in sogenannten Logfiles gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten findet nicht statt.

3. Kontaktaufnahme

Bei einer Kontaktaufnahme mit uns per Telefon, E-Mail oder über ein Kontaktformular werden die von Ihnen mitgeteilten Daten (z. B. Name, Telefonnummer, E-Mail-Adresse) von uns gespeichert, um Ihre Anfrage zu bearbeiten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

4. Nutzung unseres KI-Telefonassistenten

Wenn Sie unseren KI-gestützten Telefonassistenten nutzen, werden Gesprächsdaten (Telefonnummer, Zeitpunkt des Anrufs, Dauer des Anrufs, vereinbarte Termindetails) verarbeitet. Inhalte der Gespräche werden technisch verarbeitet, aber nicht dauerhaft gespeichert.

Kundendaten & Identitätsnachweise

Wir speichern die von Ihnen im Rahmen der Vertragserfüllung angegebenen Geschäftsdaten (z. B. Firmenname, Kontaktdaten, Leistungen, Knowledge-Base-Inhalte) für die Dauer des Vertragsverhältnisses.

Für die Bereitstellung oder Portierung von Telefonnummern können gesetzlich/vertraglich erforderliche Unterlagen wie Personalausweis, Handelsregisterauszug oder Gewerbeanmeldung notwendig sein. Diese Dokumente werden ausschließlich für die Rufnummernvergabe verwendet und nach erfolgreicher Prüfung bzw. Zuteilung der Nummer gelöscht.

Sprachverarbeitung (ElevenLabs)

Für die Umwandlung von Sprache in Text und umgekehrt nutzen wir den Dienst ElevenLabs. Die Verarbeitung erfolgt auf Servern außerhalb der EU (u. a. USA). Es werden Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO genutzt. Transkripte werden von uns nicht dauerhaft gespeichert.

Telefonie & Rufnummern (Telnyx)

Für die Bereitstellung von Rufnummern und Telefonie nutzen wir Telnyx. Die Speicherung erfolgt auf Servern in Deutschland.

WhatsApp (Meta)

Für den Versand von Terminbestätigungen, Erinnerungen und Feedbackanfragen nutzen wir die WhatsApp Business API (Meta). Es werden dabei Telefonnummern, Namen und Termindetails verarbeitet. Die Verarbeitung durch Meta kann auch in den USA erfolgen (SCC).

Kalendersynchronisation

Bei der Synchronisation mit Kalenderdiensten (Google Calendar, Outlook) werden Termindetails übertragen. Die Datenverarbeitung erfolgt gemäß den Datenschutzbestimmungen der jeweiligen Anbieter.

5. Eingebettete YouTube-Videos

Wir binden auf unserer Website Videos über die Plattform YouTube ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Datenschutzmodus

Die Einbindung erfolgt im erweiterten Datenschutzmodus ("youtube-nocookie.com"). Dadurch werden beim Aufruf der Seite zunächst keine Cookies von YouTube gesetzt. Erst wenn Sie ein Video aktiv abspielen, können durch YouTube weitere Datenverarbeitungen erfolgen (z. B. Speicherung von Cookies, Zuordnung zu einem Google-Konto, Analyse des Nutzungsverhaltens).

Wir haben keinen Einfluss auf diese Datenverarbeitung. Weitere Informationen finden Sie in der Datenschutzerklärung von Google.

6. Google-Nutzerdaten (OAuth/Google Kalender)

6.1 Welche Google-Nutzerdaten greifen wir ab?

Wenn Sie Ihr Google-Konto mit Apointa verbinden, erteilen Sie uns Zugriff auf ausgewählte Google-APIs. Derzeit angeforderte Scopes (Stand: 14.09.2025):

  • https://www.googleapis.com/auth/calendar.freebusy – um die Verfügbarkeit in den ausgewählten Kalendern abzufragen und freie Slots für Terminbuchungen zu finden.
  • https://www.googleapis.com/auth/calendar.readonly – um vorhandene Kalender einer Praxis zu erkennen (z. B. bei der Ersteinrichtung) und diese für die spätere Terminplanung in unserer Plattform zu speichern.
  • https://www.googleapis.com/auth/calendar.events – um Termine in den verbundenen Kalendern zu erstellen, zu ändern oder zu löschen (Buchung, Verschiebung, Stornierung).
  • openid, email, profile – optional für eine sichere Authentifizierung via Google und Zuordnung Ihres Kontos. (Derzeit noch nicht aktiv im Einsatz, aber vorgesehen für spätere Konfigurations- und Verwaltungsfunktionen.)

Kein Zugriff auf Gmail-Inhalte, Google Drive, Google Contacts oder andere Google-Dienste.

6.2 Wofür verwenden wir Google-Nutzerdaten?

  • Synchronisierung von Terminen zwischen Apointa und Ihrem Google Kalender.
  • Ermittlung freier Zeitfenster zur Terminfindung.
  • Login via Google und Kontoverknüpfung; IT-Sicherheitszwecke (Missbrauchsvermeidung).

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), ggf. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für OAuth), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).

6.3 An wen geben wir Google-Nutzerdaten weiter?

Kein Verkauf von Daten.

Eine Weitergabe von Google-Kalenderdaten an Dritte erfolgt nicht. Die Verarbeitung der Kalenderdaten findet ausschließlich innerhalb der Apointa-Plattform statt, um freie Zeitfenster zu ermitteln und bestätigte Termine in den Google-Kalender der Praxis einzutragen. Die Endkunden der Praxis (z. B. Patienten) erhalten lediglich eine Terminbestätigung (etwa per WhatsApp-Nachricht mit einer .ICS-Datei). Diese enthält ausschließlich die von der Praxis selbst bestätigten Termindetails und stellt keine Weitergabe von Google-Kalenderdaten dar. Eine Übermittlung an andere Dienste findet nur statt, wenn dies gesetzlich vorgeschrieben ist.

6.4 „Limited Use“ (Google API Services User Data Policy)

  • Nutzung der Google-Nutzerdaten ausschließlich zur Bereitstellung/Verbesserung der Nutzer-Features.
  • Keine Weitergabe an Werbenetzwerke; keine Nutzung für Werbung/Profiling außerhalb des Funktionsumfangs.
  • Kein manueller Zugriff, außer mit Ihrer Zustimmung, zur Sicherheit/Fehlerbehebung oder wenn rechtlich erforderlich.
  • Zweckbindung, Datenminimierung und technische/organisatorische Schutzmaßnahmen.

Details: Google API Services User Data Policy

6.5 Ihre Wahlmöglichkeiten

  • Trennung der Google-Verknüpfung jederzeit in den Kontoeinstellungen (Sync endet).
  • Widerruf von Einwilligungen mit Wirkung für die Zukunft.
  • Datenexport oder -löschung auf Anfrage an hey@apointa.org.

7. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft über Ihre gespeicherten personenbezogenen Daten
  • Berichtigung unrichtiger Daten
  • Löschung Ihrer Daten
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch gegen die Verarbeitung

Wenden Sie sich dazu an: hey@apointa.org

8. Zentrale Kontaktstelle nach dem Digital Services Act (DSA)

Unsere zentrale Kontaktstelle für Nutzer und Behörden nach Art. 11, 12 DSA erreichen Sie wie folgt:

E-Mail: hey@apointa.org

9. Auftragsverarbeiter & Datenweitergabe

Wir setzen sorgfältig ausgewählte Dienstleister ein, die vertraglich nach Art. 28 DSGVO gebunden sind. Dazu gehören u. a.:

  • Hosting/Cloud (europäische Rechenzentren), Monitoring/Fehlertracking.
  • Telnyx (Telefonie/Rufnummern), ElevenLabs (Sprachverarbeitung), Meta/WhatsApp Business (Benachrichtigungen).
  • Google (Kalender-APIs) ausschließlich für die Synchronisation.

Eine aktuelle Liste der Unterauftragsverarbeiter stellen wir auf Anfrage zur Verfügung.

10. Sicherheits- & Datenschutzmechanismen (inkl. sensible Daten)

  • Transport- und ruhende Verschlüsselung (TLS; verschlüsselte Datenträger, soweit im Einsatz).
  • Zugriff nach Need-to-know; rollenbasiert; Protokollierung und regelmäßige Überprüfung.
  • Starke Authentifizierung (mind. 2FA) für Administrationszugänge; regelmäßige Sicherheitsupdates.
  • Datensparsamkeit, Pseudonymisierung/Maskierung in Logs, automatische Lösch-/Anonymisierungsroutinen.
  • Sicherer Software-Lifecycle (Code-Reviews, Schwachstellen-Scans, Backups/Recovery-Pläne).
  • Sensible Daten: Wir bitten, keine Gesundheitsdaten, politischen Meinungen o. Ä. mitzuteilen. Falls solche Angaben z. B. im Freitext eines Termins anfallen, gelten erhöhte Schutzmaßnahmen (strenge Zugriffskontrolle, Protokollierung, Verschlüsselung, kurze Speicherfristen, kein Marketing/Profiling, keine Weitergabe ohne Rechtsgrundlage).