Datenschutzerklärung

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist das Unternehmen, das die Plattform RealHealers betreibt (Firmendaten siehe Impressum). Anfragen zum Datenschutz richten Sie an info@realhealers.com.

Ein Datenschutzbeauftragter (DSB) wurde bisher nicht formal benannt. Eine Pflicht hierzu nach Art. 37 DSGVO besteht in der derzeitigen Verarbeitungsskala noch nicht; wir überwachen den Status laufend.

Kontodaten: E-Mail, Passwort (über Supabase gehasht), Vor- und Nachname, Land, Sprache, Rolle (Klient / Heiler), optional Steuer-ID.

Heiler-Daten (sofern zutreffend): Bio, Dienstleistungskategorien, Standort, Sprachen, Profilfoto, Website-Link, YouTube, Telefonnummer, Adresse der Praxis.

Buchungsdaten: Termin, Dienstleistung, Preis, Sitzungstyp (online / vor Ort), optional Grund des Besuchs (sensible Gesundheitsdaten — Art. 9 DSGVO).

Zahlungsdaten: Wir verarbeiten KEINE Kartennummern. Diese gehen direkt an Stripe; wir speichern nur die Transaktions-ID (PaymentIntent) und den Betrag.

Technische Daten: IP-Adresse (gehasht für Rate-Limiting), User-Agent, Supabase-Sitzungs-Cookie (httpOnly).

Inhalte aus Kontaktformularen und der AI-Concierge-Konversation (an Anthropic übermittelt — siehe Abschnitt 5).

Bereitstellung der Plattform-Dienstleistung (Anmeldung, Profil, Buchung, Zahlung) — Art. 6 Abs. 1 lit. b DSGVO (Vertrag).

Rechnungsstellung und Buchhaltung — Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — z.B. § 14 UStG, AO).

Plattformsicherheit, Betrugsprävention — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Marketing eigener Dienste an registrierte Nutzer — Art. 6 Abs. 1 lit. f DSGVO; Einwilligung für Nicht-Kunden — Art. 6 Abs. 1 lit. a.

Grund des Besuchs (Gesundheitskategorie) — Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung); das Feld ist optional.

Supabase (Frankfurt, EU) — Datenbank, Authentifizierung, Storage. Auftragsverarbeiter mit Standard-DPA.

Vercel (Frankfurt + global edge) — Hosting der Anwendung.

Stripe (Irland + USA, SCC) — Zahlungsabwicklung und Auszahlungen via Stripe Connect Express.

Resend (USA, SCC) — Versand von Transaktions-E-Mails (Bestätigungen, Erinnerungen).

Cloudflare (Frankfurt + global) — CDN, DDoS-Schutz, E-Mail-Routing für @realhealers.com.

Anthropic (USA, SCC) — KI-Modell (Claude) für den Concierge. Wir senden nur Ihre Eingaben (keine Daten anderer Nutzer). Anthropic trainiert keine Modelle auf API-Kundendaten; API-Daten werden seit dem 14.09.2025 automatisch nach 7 Tagen gelöscht. Der DPA wird mit den Commercial Terms automatisch akzeptiert (keine separate Unterzeichnung nötig).

Mapbox (USA, SCC) — Kartenkacheln auf der Therapeut:innen-Suche. Mapbox erhält Ihre IP-Adresse und Browser-Header beim Laden der Kacheln.

PostHog (EU-Region, eu.posthog.com) — Produktanalyse, nur nach Einwilligung im Cookie-Banner geladen.

Sentry (EU-Region) — Anwendungs-Fehlermonitoring, nur nach Einwilligung im Cookie-Banner geladen.

Alle Auftragsverarbeiter sind durch DPA gebunden. Drittland-Transfers in die USA stützen sich auf Standardvertragsklauseln (SCC, EU-Beschluss 2021/914).

Kontodaten: bis zur Löschung durch den Nutzer.

Bezahlte Buchungen: 10 Jahre nach Ende des Geschäftsjahres (HGB § 257 für DE-Geschäftsbeziehungen). Danach Anonymisierung.

Technische Logs: bis zu 90 Tage.

AI-Concierge-Verlauf: 30 Tage zur Fehlersuche und Verbesserung der Guardrails, dann Löschung.

Bei Löschungsanträgen (Art. 17 DSGVO) werden Daten sofort anonymisiert — Buchungssätze bleiben in anonymisierter Form für gesetzliche Aufbewahrungspflichten erhalten.

Auskunftsrecht (Art. 15 DSGVO) — Anfrage an info@realhealers.com, Bericht innerhalb von 30 Tagen.

Recht auf Berichtigung (Art. 16) — die meisten Felder bearbeiten Sie selbst im /dashboard.

Recht auf Löschung (Art. 17) — Schaltfläche im Konto oder POST /api/account/delete.

Recht auf Einschränkung (Art. 18) — Anfrage an info@realhealers.com.

Recht auf Datenübertragbarkeit (Art. 20) — GET /api/data/export liefert ein JSON-Komplettexport.

Widerspruchsrecht gegen Direktwerbung (Art. 21) — Abmeldelink in jeder Marketing-E-Mail.

Beschwerderecht bei der Aufsichtsbehörde — der Betreiber (HealersTeam Witkowski) hat seinen Sitz in der Schweiz, daher ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB / FDPIC, edoeb.admin.ch) die primäre Aufsichtsbehörde. EU-Bürger:innen können sich zusätzlich an ihre nationale Behörde wenden — DE: BfDI, AT: DSB, PL: UODO.

Notwendige Cookies (Supabase-Sitzung, Sprach-Voreinstellung, Cookie-Banner-Status) — Art. 6 Abs. 1 lit. f.

Analytische und Marketing-Cookies (PostHog, Sentry Session Replay) — werden NUR nach Ihrer Einwilligung im Banner geladen. Widerruf jederzeit über "Cookie-Einstellungen" im Footer.

Einige Verarbeiter (Stripe, Resend, Anthropic) betreiben US-Server. Transfers erfolgen auf Basis der Standardvertragsklauseln (SCC) gemäß EU-Beschluss 2021/914 plus zusätzlicher Maßnahmen (Verschlüsselung, SOC-2-Audit).

Stripe Ireland Ltd. ist EU-Verantwortlicher; Konzern-DPA regelt Transfers an Stripe USA Inc.

Daten im Ruhezustand verschlüsselt (Postgres TDE in Supabase). Transport ausschließlich über HTTPS (TLS 1.2+).

Passwörter werden über Supabase Auth mit bcrypt gehasht — wir sehen Ihre Passwörter nie im Klartext.

Row Level Security (RLS) in der Datenbank — Heiler sehen nur eigene Buchungen, Kunden nur eigene.

Sicherheitsmeldungen: security@realhealers.com.

Die Plattform richtet sich nicht an Personen unter 16 Jahren. Wir legen wissentlich keine Konten für Minderjährige an. Wenn ein Erziehungsberechtigter Kenntnis von einer Anmeldung erhält, schreiben Sie uns — wir löschen das Konto sofort.

Über wesentliche Änderungen informieren wir registrierte Nutzer 14 Tage im Voraus per E-Mail. Die jeweils aktuelle Fassung steht unter dieser URL mit Datum "Letzte Aktualisierung" im Header.