Datenschutzerklärung

Stand: Juni 2026 · Gemäß DSGVO, BDSG und § 203 StGB (ärztliche Schweigepflicht)

Wichtiger Hinweis: Therapie Direkt ist ein technischer Plattformbetreiber und kein Leistungserbringer im Sinne des Heilmittelrechts. Einen Behandlungsvertrag schließen Sie nicht mit Therapie Direkt, sondern mit der/dem jeweils behandelnden Psychotherapeutin/Psychotherapeuten ab. Die auf dieser Plattform tätigen Psychotherapeut:innen unterliegen der gesetzlichen Schweigepflicht nach § 203 StGB.

1. Verantwortlicher

Stefan Nikolaus
Therapie Direkt
Eichbichlstraße 1
83071 Stephanskirchen
E-Mail: info@therapie-direkt.com

Therapie Direkt ist ein technischer Plattformbetreiber, der Psychotherapiepraxen eine digitale Terminvermittlungslösung bereitstellt. Für die Terminvermittlung über diese Plattform (Warteliste, Versand von Termineinladungen) ist Stefan Nikolaus als Plattformbetreiber Verantwortlicher im Sinne der DSGVO.

Sobald Sie einen Termin bei einer konkreten Praxis bestätigen, ist für die anschließende psychotherapeutische Behandlung die jeweilige Praxis eigenständig Verantwortliche. Therapie Direkt stellt den teilnehmenden Praxen die technische Plattform bereit und handelt insoweit als Auftragsverarbeiter der Praxis gemäß Art. 28 DSGVO; mit jeder teilnehmenden Praxis wird ein entsprechender Auftragsverarbeitungsvertrag geschlossen.

2. Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung Ihrer Daten erfolgt auf folgenden Rechtsgrundlagen:

Daten	Rechtsgrundlage
Kontakt- und Versicherungsdaten (Name, Telefon, E-Mail, PLZ, GKV/PKV)	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Gesundheitsdaten (Störungsbilder)	Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung); ergänzend Art. 9 Abs. 2 lit. h i.V.m. § 22 BDSG (Gesundheitsvorsorge)
Bestätigung eines konkreten Termins	Art. 6 Abs. 1 lit. b DSGVO (Anbahnung des Behandlungsverhältnisses)

Grundlage für die gesamte Wartelisten-Anfrage ist Ihre Einwilligung, die Sie bei der Anmeldung durch Ankreuzen der beiden Einwilligungsfelder erteilen. Den Zeitpunkt, die IP-Adresse und die Version des Einwilligungstextes speichern wir zum Nachweis (Art. 7 Abs. 1 DSGVO) und ausschließlich zu diesem Zweck.

3. Welche Daten wir erheben

Im Rahmen der Online-Terminanfrage und Nutzung des Patientenportals erheben wir folgende Daten:

Vor- und Nachname
Telefonnummer
E-Mail-Adresse (dient gleichzeitig als Login für das Patientenportal)
Postleitzahl und Suchradius (zur Berechnung der Entfernung zu Therapeuten, nur während der Suche)
Angaben zum psychischen Beschwerdebild (Störungsbilder nach ICD-10)
Versicherungsstatus (gesetzlich/privat)
Zeitliche Verfügbarkeit
Präferenz für Therapieform (Einzel-/Gruppentherapie)
Passwort für das Patientenportal (ausschließlich als nicht umkehrbarer kryptografischer Hash gespeichert)
Nachweis Ihrer Einwilligung: Zeitpunkt, IP-Adresse und Version des Einwilligungstextes (Art. 7 Abs. 1 DSGVO)

Zur Entfernungsberechnung werden Postleitzahlen einmalig in geografische Koordinaten (Breitengrad, Längengrad) umgewandelt und dauerhaft in der Datenbank gespeichert, um wiederholte Anfragen zu vermeiden (siehe Abschnitt 5).

4. Zweck und Speicherdauer

Ihre Daten werden ausschließlich zum Zweck der psychotherapeutischen Terminvergabe verwendet.

Weitergabe an den behandelnden Therapeuten: Wenn Sie einen Termin aktiv bestätigen, werden Ihr Name, Ihre E-Mail-Adresse, Ihre Telefonnummer sowie Ihr Versicherungsstatus (GKV/PKV) an den für diesen Termin zuständigen Therapeuten übermittelt. Dies ist zur Durchführung des Termins (Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO) erforderlich. Ihr Krankheitsbild wird hierbei nicht per E-Mail übermittelt und ist nur im passwortgeschützten Therapeuten-Dashboard einsehbar. Die Therapeuten unterliegen der gesetzlichen Schweigepflicht gemäß § 203 StGB.

Eine darüber hinausgehende Weitergabe an Dritte erfolgt nicht, außer an beauftragte E-Mail-Dienstleister (siehe Abschnitt 6).

Datenkategorie	Speicherdauer
Nicht bestätigte Anmeldungen (E-Mail nicht binnen 48 Std. bestätigt)	Werden nach Ablauf der Frist verworfen
Wartelisten- und Kontodaten	Bis zur Vermittlung eines Therapieplatzes oder bis Sie Ihr Konto löschen, längstens 24 Monate nach Ihrer letzten Aktivität
Einwilligungsnachweis	Für die Dauer der Verarbeitung sowie zur Abwehr von Rechtsansprüchen

Hinweis: Die gesetzliche Pflicht zur Aufbewahrung der Behandlungsdokumentation (10 Jahre, § 630f BGB) trifft ausschließlich die behandelnde Praxis, nicht die Vermittlungsplattform. Therapie Direkt speichert keine Behandlungsunterlagen.

5. Wo Ihre Daten gespeichert werden

Alle personenbezogenen Daten werden ausschließlich auf einem Server innerhalb der Europäischen Union (EU) in einer lokal gespeicherten Datenbank verarbeitet. Eine Übermittlung personenbezogener Daten in Drittländer findet nicht statt. (Zur ausschließlich postleitzahlbasierten, nicht personenbezogenen Geocodierung siehe den Hinweis weiter unten.)

Technische Schutzmaßnahmen nach dem Stand der Technik (Art. 32 DSGVO):

Verschlüsselte Datenübertragung via HTTPS/TLS
Gesundheitsdaten werden zusätzlich verschlüsselt in der Datenbank gespeichert
Passwörter werden ausschließlich als nicht umkehrbarer kryptografischer Hash gespeichert
Double-Opt-In: Konten werden erst nach Bestätigung der E-Mail-Adresse aktiviert
Zugriff auf Patientendaten nur nach Authentifizierung
Regelmäßige Datensicherung (Backup)
Schriftarten (Fonts) werden vom eigenen Server geladen – es findet kein Kontakt zu externen Diensten wie Google Fonts statt

Geocodierung (Nominatim / OpenStreetMap)

Zur Entfernungsberechnung zwischen Patienten und Therapeuten werden Postleitzahlen in geografische Koordinaten umgewandelt. Diese Abfrage erfolgt serverseitig durch unseren Server über den Dienst Nominatim der OpenStreetMap Foundation (OSMF) – Ihr Browser nimmt dabei keinen direkten Kontakt zu OpenStreetMap auf, Ihre IP-Adresse wird nicht an OpenStreetMap übermittelt. An Nominatim wird ausschließlich die Postleitzahl ohne weitere personenbezogene Daten übergeben. Die ermittelten Koordinaten werden bei uns zwischengespeichert, sodass jede Postleitzahl nur ein einziges Mal abgefragt werden muss.

Die Server der OSMF stehen im Vereinigten Königreich. Dieses gilt datenschutzrechtlich als sicheres Drittland mit Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO); ein angemessenes Datenschutzniveau ist damit gewährleistet. Da nur die Postleitzahl (kein Personenbezug) übertragen wird, liegt zudem keine Übermittlung personenbezogener Daten vor. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Datenschutzinformationen der OSMF: osmfoundation.org/wiki/Privacy_Policy.

6. E-Mail-Versand (Auftragsverarbeitung)

Für den Versand von E-Mails (Bestätigungslink, Termineinladungen, Buchungsbestätigungen) nutzen wir einen E-Mail-Versanddienstleister mit Serverstandort in der EU. Mit diesem Dienstleister wird vor der Inbetriebnahme ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Den konkreten Anbieter nennen wir Ihnen auf Anfrage.

Es werden zwei Arten von E-Mails versendet:

An Sie als Patient: Bestätigungs-E-Mail zur Aktivierung Ihres Zugangs (Double-Opt-In) sowie Termineinladungen und Buchungsbestätigungen mit Ihrem Namen und den Termindaten.
An den Therapeuten: Bei Ihrer Buchungsbestätigung erhält der zuständige Therapeut eine Benachrichtigung mit Ihrem Namen, Ihrer E-Mail-Adresse, Telefonnummer und Versicherungsstatus (GKV/PKV), damit er den Termin vorbereiten kann.

Keine Diagnosen oder Krankheitsbilder werden per E-Mail übermittelt.

7. Ihre Rechte als betroffene Person

Sie haben folgende Rechte gemäß DSGVO, die Sie jederzeit ausüben können:

Recht auf Auskunft (Art. 15 DSGVO): Welche Daten wir über Sie gespeichert haben
Recht auf Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
Recht auf Löschung (Art. 17 DSGVO): Sie können Ihr Konto und alle gespeicherten Daten direkt im Patientenportal unter „Mein Konto" selbst löschen oder sich per E-Mail/Telefon an die Praxis wenden
Recht auf Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruchsrecht (Art. 21 DSGVO)
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit mit Wirkung für die Zukunft

Zur Ausübung dieser Rechte wenden Sie sich bitte per E-Mail oder Telefon direkt an die Praxis (Kontakt siehe Abschnitt 1).

8. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Die für Bayern zuständige Behörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: 0981 180093-0
E-Mail: poststelle@lda.bayern.de

(Bitte passen Sie die Aufsichtsbehörde an Ihr Bundesland an.)

9. Cookies und Tracking

Diese Website verwendet keine Tracking-Cookies und kein Analytics.

Es wird ausschließlich ein technisch notwendiges Session-Cookie (praxis.sid) gesetzt. Dieses Cookie ist:

Auf 8 Stunden begrenzt (serverseitig und im Browser)
Als HttpOnly markiert (kein JavaScript-Zugriff)
Mit SameSite=Strict gesetzt (kein Cross-Site-Versand)
Im Produktionsbetrieb nur über HTTPS übertragen (Secure-Flag)

Nach Ablauf der Sitzung oder beim aktiven Abmelden wird die Session serverseitig gelöscht. Eine darüber hinausgehende Speicherung von Nutzungsdaten findet nicht statt.

10. Kontakt bei Datenschutzfragen

Bei Fragen zum Datenschutz wenden Sie sich direkt an den Plattformbetreiber (Kontaktdaten siehe Abschnitt 1). Das Impressum mit vollständigen Anbieterangaben finden Sie hier.