WhatsAppinfo@ri-hub.it

Datenschutzerklärung

Information gemäß Art. 13–14 der Verordnung (EU) 2016/679 (DSGVO). Letzte Überarbeitung: Mai 2026.

1. Verantwortlicher

Verantwortlicher für die Verarbeitung ist Ri-Hub S.r.l. S.T.P., mit Sitz in Italien. Zur Ausübung der in der DSGVO vorgesehenen Rechte sowie für jegliche Anfragen schreiben Sie an privacy@ri-hub.it.

Legal identification: Ri-Hub S.r.l. S.T.P. — Registered office: Corso Assarotti 19/1, 16043 Chiavari (GE), Italy — VAT/Tax ID (P.IVA/C.F.): 02992670998 — REA GE-525421 — Share capital: €10,000 fully paid up — PEC: ri-hub@pec.it

2. Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO)

Ri-Hub ist eine Online-Plattform für Physiotherapie: Im Rahmen der Nutzung des Dienstes erheben und verarbeiten wir Gesundheitsdaten (besondere Kategorie gemäß Art. 9 DSGVO), insbesondere: Antworten auf Anamnese-Fragebögen, Schmerzniveaus, Beschreibungen der Symptomatik, Therapieziele, Behandlungspläne. Die Videosprechstunden werden in Echtzeit durchgeführt und weder aufgezeichnet noch gespeichert, weder als Audio- noch als Videodatei.

Rechtsgrundlage. Die Verarbeitung der Gesundheitsdaten stützt sich auf zwei kumulative Grundlagen: die ausdrückliche Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO), die zum Zeitpunkt der Unterzeichnung der gesundheitlichen Einwilligungserklärung eingeholt wird, sowie die Erfüllung eines Vertrags über eine Gesundheitsleistung (Art. 9 Abs. 2 lit. h DSGVO), an dem die betroffene Person beteiligt ist. Die Verarbeitung steht ferner im Einklang mit den Leitlinien der italienischen Datenschutzbehörde (Garante) zur Telemedizin sowie den Vorgaben des Europäischen Datenschutzausschusses (EDSA). Ohne die Bereitstellung dieser Daten kann die angeforderte Gesundheitsleistung nicht erbracht werden.

Verbot der Verbreitung und Sekundärnutzung. Die Gesundheitsdaten werden ausschließlich zu Zwecken der Behandlung, Diagnose und Verwaltung des Rehabilitationsverlaufs des einzelnen Patienten verarbeitet. Ri-Hub verbreitet, überträgt, verkauft und übermittelt KEINE Gesundheitsdaten an Dritte, mit Ausnahme der unter § 5 ausdrücklich genannten autorisierten Stellen (zugewiesener Physiotherapeut und als Auftragsverarbeiter benannte Technologieanbieter). Die Gesundheitsdaten werden unter keinen Umständen für Werbe-, Profilbildungs- oder Marketingzwecke verwendet.

Speicherung auf Systemen, die der europäischen Gesetzgebung entsprechen. Die Gesundheitsdaten werden auf einer Cloud-Infrastruktur innerhalb des Europäischen Wirtschaftsraums (EWR) bei DSGVO-konformen Anbietern gespeichert, mit Verschlüsselung sowohl bei der Übertragung (TLS 1.3) als auch im Ruhezustand (at-rest). Es werden keine Gesundheitsdaten außerhalb der EU/des EWR übermittelt. Etwaige Auftragsverarbeiter außerhalb der EU (z. B. Stripe für Zahlungen) verarbeiten ausschließlich administrative und buchhalterische Daten – niemals Gesundheitsdaten – auf Grundlage der von der Europäischen Kommission genehmigten Standardvertragsklauseln (Art. 46 DSGVO).

Berufsgeheimnis. Die Physiotherapeuten, die auf die Gesundheitsdaten zugreifen, sind in der Berufskammer eingetragen und gemäß Art. 622 des italienischen Strafgesetzbuches, Art. 200 der italienischen Strafprozessordnung sowie dem Berufskodex zur Verschwiegenheit verpflichtet. Der Zugriff auf die Gesundheitsdaten ist auf den jeweils zugewiesenen Patienten beschränkt (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO) und wird in nicht veränderbaren Audit-Logs protokolliert.

Pseudonymisierung und Datenminimierung. Soweit technisch möglich werden die Gesundheitsdaten pseudonymisiert oder auf Anwendungsebene verschlüsselt. Aggregierte Statistiken zur internen Verwendung oder für Vertragspartnerkliniken/-unternehmen werden ausschließlich in anonymer und aggregierter Form bereitgestellt, ohne die Möglichkeit, einzelne Patienten zu re-identifizieren.

3. Kategorien der verarbeiteten personenbezogenen Daten

  • Identifikationsdaten: Vorname, Nachname, Steuernummer, Geburtsdatum, Anschrift, Kontaktdaten.
  • Ausweisdokumente (Bilddatei).
  • Authentifizierungsdaten: E-Mail, Passwort in Form eines Hashes, Google-Token bei Zugang über OAuth.
  • Gesundheitsdaten: Anamnese, Schmerzen, Symptome, Therapiepläne, Ergebnisse von Bewertungsfragebögen. Die Videositzungen werden nicht aufgezeichnet.
  • Zahlungsdaten: verwaltet vom Anbieter Stripe (wir speichern keine Kartendaten).
  • Technische Daten: IP-Adresse, Zugriffsprotokolle, Gerätekennungen (sofern Capacitor installiert ist).
  • Aggregierte und anonymisierte Nutzungsdaten (nur, wenn Sie die Analytics-Cookies akzeptiert haben).

4. Zwecke der Verarbeitung

  • Erbringung des Online-Physiotherapie-Dienstes (Grundlage: Vertrag / ausdrückliche Einwilligung Art. 9).
  • Verwaltung und Buchhaltung (Grundlage: gesetzliche Verpflichtung).
  • Sicherheit der App, Betrugsprävention und Diagnostik (Grundlage: berechtigtes Interesse).
  • Service-Kommunikation und Benachrichtigungen zu Terminen (Grundlage: Vertrag).
  • Marketing und Newsletter nur, wenn Sie bei der Registrierung eine gesonderte Einwilligung erteilt haben (Grundlage: jederzeit widerrufbare Einwilligung).
  • Aggregierte Analytics nur, wenn Sie die Analytics-Cookies akzeptiert haben (Grundlage: über das Cookie-Banner widerrufbare Einwilligung).

5. Empfänger und externe Auftragsverarbeiter

Sämtliche nachfolgend aufgeführten Stellen sind als Auftragsverarbeiter gemäß Art. 28 DSGVO mit eigenem Vertragsdokument benannt. Keine andere Stelle außerhalb dieser Liste hat Zugriff auf Ihre Daten. Die Gesundheitsdaten sind ausschließlich für den zugewiesenen Physiotherapeuten zugänglich; alle übrigen Anbieter verarbeiten ausschließlich technische bzw. administrative Daten.

  • Vertragspartner-Physiotherapeuten: greifen ausschließlich auf die Gesundheitsdaten des jeweils zugewiesenen Patienten zur Erbringung der Leistung zu. In der Berufskammer eingetragen, zur Verschwiegenheit verpflichtet gemäß Art. 622 des italienischen Strafgesetzbuches. Kein Physiotherapeut kann Daten von ihm nicht zugewiesenen Patienten einsehen.
  • EU-Cloud-Hosting (Rechenzentren im Europäischen Wirtschaftsraum): Anwendungsinfrastruktur und Datenbank. Keine Übermittlung von Gesundheitsdaten außerhalb der EU. TLS-Verschlüsselung bei der Übertragung + Verschlüsselung im Ruhezustand auf den Speichervolumen.
  • Stripe (Irland + USA): Zahlungsabwicklung. Verarbeitet ausschließlich administrative Daten (Betrag, E-Mail, Rechnungsdaten). Niemals Gesundheitsdaten. Etwaige Übermittlung außerhalb der EU auf Grundlage von Standardvertragsklauseln gemäß Art. 46 DSGVO.
  • Google LLC: nur, wenn Sie sich mit Ihrem Google-Konto anmelden (OAuth beschränkt auf E-Mail + Profil) oder wenn der Physiotherapeut die Synchronisation seines eigenen Google Calendar aktiviert hat (Scope calendar.events, Lese-/Schreibzugriff beschränkt auf von Ri-Hub erstellte Ereignisse). Niemals Gesundheitsdaten des Patienten. Übermittlung außerhalb der EU auf Grundlage von Standardvertragsklauseln.
  • PostHog (EU-Cloud, eu.i.posthog.com): aggregierte anonyme Analytics nur nach ausdrücklicher Einwilligung über das Cookie-Banner. Keine IP-Verfolgung; Session Replay deaktiviert. Niemals Gesundheitsdaten.
  • Brevo (Sendinblue): Versand transaktionaler E-Mails und Newsletter. EU-Server. Verarbeitet ausschließlich E-Mail + Name.
  • Twilio Video (Irland + USA): Erbringung der Videosprechstunden in Echtzeit über bei der Übertragung verschlüsselte Kanäle (SRTP/DTLS). Die SFU-Server von Twilio leiten die Audio-/Videoströme zwischen Physiotherapeut und Patient weiter; die Videosprechstunden werden NICHT aufgezeichnet und NICHT gespeichert. Übermittlung außerhalb der EU auf Grundlage von Standardvertragsklauseln gemäß Art. 46 DSGVO.
  • Apple Inc. (USA): nur, wenn Sie sich mit Ihrer Apple ID über „Sign in with Apple" anmelden. Verarbeitet ausschließlich die Apple-Kennung + E-Mail (optionales anonymes Relay). Niemals Gesundheitsdaten. Übermittlung außerhalb der EU auf Grundlage von SCC.
  • Firebase Cloud Messaging (Google LLC, USA): für Push-Benachrichtigungen in der Android- und iOS-App. Verarbeitet ausschließlich ein undurchsichtiges Geräte-Token. Niemals Gesundheitsdaten in der Nutzlast. Übermittlung außerhalb der EU auf Grundlage von SCC.
  • MinIO (selbst gehosteter Objektspeicher, EU-Region): Aufbewahrung der unterschriebenen Einwilligungsdokumente (PDF + Vorder-/Rückseite des Ausweises). Interne Ri-Hub-Server, Zugriff beschränkt auf autorisiertes technisches Personal und den zugewiesenen Physiotherapeuten. Verschlüsselung im Ruhezustand auf Volumeebene.
  • Internes CRM Ri-Hub (selbst gehosteter EU-Server, Domain crm.ri-hub.it): Patientenakten-Verwaltungssystem, das ausschließlich für das klinisch/administrative Personal von Ri-Hub zugänglich ist, das an die berufliche Schweigepflicht und Vertraulichkeitsvereinbarungen gebunden ist. Erhält die automatische Synchronisation der Ereignisse: Registrierung, gebuchte Anamnese, unterschriebene Einwilligung, gekaufte Sitzungen, abgeschlossene Sitzungen.
  • Calendly (USA): nur, wenn der Physiotherapeut sein Calendly-Konto zur Synchronisation der Verfügbarkeit außerhalb von Ri-Hub verbunden hat. Verarbeitet ausschließlich Slot-Metadaten (Datum/Uhrzeit), keine klinischen Daten. Übermittlung außerhalb der EU auf Grundlage von SCC.
  • Google Analytics 4 (Google LLC, USA): aggregierte Nutzungsmetriken nur nach ausdrücklicher Einwilligung über das Cookie-Banner. IP anonymisiert, Werbe-Personalisierung standardmäßig deaktiviert. Niemals Gesundheitsdaten. SCC.

6. Ihre Rechte (Art. 15–22 DSGVO)

Sie haben das Recht, auf Ihre Daten zuzugreifen, sie berichtigen zu lassen, ihre Löschung zu erwirken („Recht auf Vergessenwerden"), ihre Verarbeitung einzuschränken, sie in einem übertragbaren Format zu erhalten, der Verarbeitung zu widersprechen sowie erteilte Einwilligungen (auch für Analytics-Cookies und Marketing) jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung beeinträchtigt wird.

Darüber hinaus können Sie Beschwerde bei der italienischen Datenschutzbehörde (Garante per la Protezione dei Dati Personali) einreichen (www.garanteprivacy.it).

Zur Ausübung Ihrer Rechte schreiben Sie an privacy@ri-hub.it. Die Löschung des Kontos in der App führt zur Entfernung der personenbezogenen Daten innerhalb von 30 Tagen; aus steuerlichen und vertraglichen Pflichten werden bestimmte Datensätze (z. B. Rechnungsstellung, Termine) für die gesetzlich vorgesehene Dauer in pseudonymisierter Form aufbewahrt.

7. Aufbewahrungsdauer

  • Konto- und Gesundheitsdaten: für die gesamte Dauer des Vertragsverhältnisses und bis zu 10 Jahre nach dessen Beendigung, ausschließlich zur Erfüllung der Aufbewahrungspflicht für die Gesundheits- und Steuerakte.
  • Authentifizierungs-Token: bei jedem Zugriff erneuerter Refresh-Token, maximale Gültigkeit 365 Tage Inaktivität.
  • Anonyme Analytics-Daten (PostHog): 12 Monate.
  • Technische Sicherheits-Logs: 6 Monate.

8. Sicherheitsmaßnahmen

Wir treffen dem Risiko angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

  • Verschlüsselung bei der Übertragung: TLS 1.3 obligatorisch für sämtliche Verbindungen zwischen App/Website und Backend, keine unverschlüsselte Kommunikation.
  • Verschlüsselung im Ruhezustand (at-rest): Die Speichervolumen, auf denen die Gesundheitsdaten liegen, sind auf Festplattenebene verschlüsselt; OAuth-Token und besonders sensible Daten werden zusätzlich auf Anwendungsebene verschlüsselt.
  • Authentifizierung: Refresh-Token mit SHA-256-Hashing und automatischer Rotation; Passwörter werden niemals im Klartext gespeichert (Hashing mit Standardalgorithmen PBKDF2/argon2).
  • Zugriffskontrolle (RBAC): getrennte Rollen Patient / Physiotherapeut / Administrator nach dem Prinzip der minimalen Berechtigung; der Physiotherapeut sieht ausschließlich die Daten der ihm zugewiesenen Patienten.
  • Audit-Log: unveränderliche Protokollierung der Zugriffe auf die Gesundheitsdaten, 6 Monate zu Sicherheitszwecken aufbewahrt.
  • Backup: verschlüsselte und versionierte Backups, in der EU-Region historisiert, regelmäßig getestet.
  • EU-Lokalisierung: Die Gesundheitsdaten liegen ausschließlich auf einer Cloud-Infrastruktur im Europäischen Wirtschaftsraum; keine Übermittlung von Gesundheitsdaten außerhalb der EU.
  • Sicherheitsstandards der Anbieter: Die eingesetzten Hosting- und Cloud-Anbieter arbeiten mit ISO 27001- / SOC 2-Zertifizierungen und sind DSGVO-konform.
  • Schulungen und Verfahren: Das Personal ist in den Bereichen Datenschutz und Sicherheit geschult; Plan zur Bewältigung von Datenschutzverletzungen mit Meldung an die italienische Datenschutzbehörde innerhalb von 72 Stunden (Art. 33 DSGVO) und an die betroffene Person bei hohem Risiko (Art. 34).

9. Minderjährige

Der Dienst richtet sich nicht an Personen unter 14 Jahren. Für Nutzer zwischen 14 und 18 Jahren ist die Einwilligung des Inhabers der elterlichen Verantwortung erforderlich (Art. 2-quinquies des italienischen Gesetzesdekrets Nr. 101/2018). Wenn Sie ein Elternteil sind und vermuten, dass eine Person unter 14 Jahren ein Konto erstellt hat, kontaktieren Sie privacy@ri-hub.it, um die sofortige Löschung zu beantragen.

Detaillierte Informationen zur Verwendung von Cookies (notwendige, Analytics usw.) finden Sie in unserer Cookie-Richtlinie. Sie können Ihre Präferenzen jederzeit über das Cookie-Banner auf der Startseite ändern.

11. Änderungen

Diese Information kann aktualisiert werden. Die aktuelle Fassung ist veröffentlicht unter ri-hub.it/de/privacy und wird in der App unter app.ri-hub.it/privacy gespiegelt, um den Zugang auch im Capacitor-Offline-Modus zu gewährleisten. Letzte Überarbeitung: Mai 2026.

Datenschutzerklärung | Ri-Hub