Datenschutzerklärung
Stand: August 2025
1. Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher (Art. 4 Nr. 7 DSGVO)
[Vorname] [Nachname]
[Straße und Hausnummer]
[PLZ] Wuppertal
Deutschland
E-Mail: support@notfallakte.shop
Datenschutzbeauftragter
Wir haben einen Datenschutzbeauftragten benannt.
Vertrauliche Anfragen richten Sie bitte an:
E-Mail: datenschutz@notfallakte.shop
2. Geltungsbereich
Diese Datenschutzerklärung gilt für:
- Teil A – den Online-Shop unter notfallakte.shop (Kauf & Versand)
- Teil B – die Notfallakte-Software (Nutzung & Speicherung von Daten)
Teil A — Online-Shop (Kauf & Versand)
Welche Daten wir verarbeiten
- Vor- und Nachname
- Liefer- und Rechnungsanschrift
- E-Mail-Adresse
- Zahlungsinformationen (Abwicklung über Stripe)
Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Vertragsabwicklung (Bestellung, Versand, Rechnung) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Technische Sicherheit, Betrugsprävention | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Erfüllung rechtlicher Verpflichtungen (z. B. Aufbewahrungspflichten) | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) |
Empfänger und Dienstleister
| Dienstleister | Zweck | Standort | AVV |
|---|---|---|---|
| Stripe Inc. | Zahlungsabwicklung | USA (EU-US Data Privacy Framework) | ✓ |
| Sendcloud | Versandabwicklung | Niederlande (EU) | ✓ |
| IONOS SE | Hosting & E-Mail | Deutschland (EU) | ✓ |
| Cloudflare Inc. | DDoS-Schutz, Bot-Schutz (Turnstile) | USA (EU-US Data Privacy Framework) | ✓ |
Mit allen Dienstleistern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Versanddienstleister
Zur Abwicklung des Versands nutzen wir den Dienst Sendcloud B.V. (Niederlande). Sendcloud verarbeitet die von Ihnen angegebenen Adress- und Kontaktdaten zur Erstellung von Versandetiketten, zur Organisation des Versands sowie zur Durchführung von Versandbenachrichtigungen per E-Mail. Sendcloud verarbeitet Ihre Daten auch für die Erstellung von Rücksendeetiketten sowie zur Abwicklung von Retouren.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Sendcloud übermittelt die für die Zustellung erforderlichen Daten an den von Ihnen ausgewählten Versanddienstleister. Je nach gewählter Versandart kann dies z. B. einer der folgenden Dienstleister sein:
DHL Paket GmbH, DPD Deutschland GmbH, Hermes Germany GmbH, GLS Germany GmbH, UPS Europe SE.
Diese Versanddienstleister verarbeiten die erhaltenen Daten als eigene Verantwortliche zum Zweck der Zustellung sowie zur Erfüllung ihrer gesetzlichen Pflichten.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer (Shop)
- Rechnungs- und Bestelldaten: 10 Jahre (§ 147 AO, § 257 HGB)
- Sonstige Daten: Löschung nach Wegfall des Verarbeitungszwecks
Teil B — Notfallakte-Software (Nutzung & Speicherung)
Der Zweck der Notfallakte-Software ist es, im Falle eines Notfalls wichtige Informationen für Ersthelfer und Rettungsdienst bereitzustellen. Diese Daten können im Ernstfall lebensrettend sein.
Welche Daten verarbeitet werden
Erforderliche Daten (von Ihnen eingegeben):
- E-Mail-Adresse: Für die Registrierung und den Login per Einmal-Code (OTP)
- Name / Spitzname: Zur Personalisierung Ihrer Notfallakte
Freiwillig durch Sie eingegebene Daten:
- Gesundheitsdaten: z.B. Blutgruppe, Allergien, Medikamente, Vorerkrankungen, Impfungen, Hausarzt
- Notfallkontakte: Name, Telefonnummer, E-Mail, Beziehung
- Freiwillige Hinweise: Sonstige Notizen
Automatisch erhobene Daten:
- IP-Adresse und Zeitstempel bei Zugriffen und Änderungen
Zwecke und Rechtsgrundlagen
| Daten / Zweck | Rechtsgrundlage |
|---|---|
| E-Mail-Adresse & Name – Registrierung, Login per Einmal-Code (OTP), Betrieb der Software | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Systemsicherheit, Missbrauchsschutz, Fehleranalyse | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Verarbeitung von Gesundheitsdaten | Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) |
Wichtiger Hinweis zu Gesundheitsdaten (Art. 9 DSGVO)
Die Eingabe von Gesundheitsdaten ist freiwillig. Mit der aktiven Eingabe und durch das Drücken von „Speichern" erteilen Sie Ihre ausdrückliche Einwilligung zur Verarbeitung dieser besonderen Kategorie personenbezogener Daten. Diese Einwilligung können Sie jederzeit widerrufen (siehe Abschnitt 6).
Sichtbarkeit für Dritte (NFC-Funktion)
Die von Ihnen hinterlegten Notfalldaten sind nach Scan des NFC-Anhängers für Dritte (z. B. Ersthelfer) ohne Login einsehbar. Dies ist die bestimmungsgemäße Kernfunktion des Produkts.
- Zugriffe werden protokolliert (Zeitpunkt, IP-Adresse)
- Die Identität des Scannenden kann nicht ermittelt werden
- Dritte können die Daten nur lesen, nicht bearbeiten
Empfänger und Dienstleister (Software)
| Dienstleister | Zweck | Standort | AVV |
|---|---|---|---|
| IONOS SE | Hosting, Datenbank, E-Mail-Versand (OTP-Codes) | Deutschland (EU) | ✓ |
| Cloudflare Inc. | DDoS-Schutz, Bot-Schutz (Turnstile) | USA (EU-US Data Privacy Framework) | ✓ |
Cookies in der Software
Die Notfallakte-Software verwendet ausschließlich technisch notwendige Cookies:
| Cookie | Zweck | Speicherdauer | Rechtsgrundlage |
|---|---|---|---|
| Session-Token | Verwaltung der Login-Session | 15 Minuten | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| CSRF-Token | Schutz vor Cross-Site-Request-Forgery-Angriffen | Session | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
Wir setzen keine Marketing-, Analyse- oder Tracking-Cookies ein.
Speicherdauer (Software)
- Accountdaten inkl. Gesundheitsdaten: Bis zur Löschung durch Sie, maximal 12 Jahre
- Server-Logs (IP, Zeitstempel): 7 Tage (rollierend)
- OTP-Codes: 5 Minuten
- Session-Tokens: 15 Minuten
Nach Löschung werden die Daten unverzüglich aus dem Produktivsystem entfernt. In Backups werden sie spätestens nach 14 Tagen überschrieben.
3. Übermittlung in Drittländer
Grundsatz: Ihre Daten werden primär auf Servern innerhalb der EU/des EWR verarbeitet.
Ausnahme Stripe: Stripe Inc. hat seinen Sitz in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).
Ausnahme Cloudflare: Cloudflare Inc. hat seinen Sitz in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO). Cloudflare wird eingesetzt zum Schutz unserer Website vor DDoS-Angriffen sowie zum Bot-Schutz mittels Cloudflare Turnstile. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Verfügbarkeit unserer Website).
4. Sicherheit & Technik
Wir setzen folgende technische und organisatorische Maßnahmen (Art. 32 DSGVO) ein:
| Maßnahme | Beschreibung |
|---|---|
| Transportverschlüsselung | TLS / HTTPS für die gesamte Website |
| Verschlüsselung sensibler Daten | AES-256-GCM für Gesundheitsdaten in der Datenbank |
| Authentifizierung | Login ausschließlich per E-Mail + Einmal-Code (OTP) |
| Zugriffskontrolle | Rate-Limiting für OTP-Anfragen, IP-Sperrung nach wiederholten Fehlversuchen |
| Server-Logfiles | Speicherung auf Basis von Art. 6 Abs. 1 lit. f DSGVO, Löschung nach 7 Tagen |
| DDoS-Schutz | Cloudflare zur Absicherung gegen Angriffe |
| Bot-Schutz | Cloudflare Turnstile zum Schutz vor automatisierten Angriffen und Spam (datenschutzfreundliche CAPTCHA-Alternative) |
Cloudflare und Cloudflare Turnstile
Wir nutzen Dienste der Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA. Cloudflare bietet DDoS-Schutz sowie Cloudflare Turnstile als datenschutzfreundliche CAPTCHA-Alternative zum Schutz vor Bots und automatisierten Angriffen.
Bei der Nutzung von Cloudflare Turnstile werden keine Cookies gesetzt und keine persönlichen Daten der Nutzer erfasst. Turnstile verwendet lediglich technische Signale zur Unterscheidung zwischen Menschen und Bots.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit, Integrität und Verfügbarkeit unserer Website sowie am Schutz vor Missbrauch).
Weitere Informationen finden Sie in der Datenschutzerklärung von Cloudflare: https://www.cloudflare.com/de-de/privacypolicy/
5. Keine automatisierten Entscheidungen
Es findet kein Profiling und keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt.
6. Ihre Rechte
Sie haben folgende Rechte:
| Recht | Artikel DSGVO | Beschreibung |
|---|---|---|
| Auskunft | Art. 15 | Kopie Ihrer gespeicherten Daten anfordern |
| Berichtigung | Art. 16 | Korrektur unrichtiger Daten verlangen |
| Löschung | Art. 17 | Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden") |
| Einschränkung | Art. 18 | Einschränkung der Verarbeitung verlangen |
| Datenübertragbarkeit | Art. 20 | Daten in maschinenlesbarem Format erhalten |
| Widerspruch | Art. 21 | Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen |
| Widerruf der Einwilligung | Art. 7 Abs. 3 | Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen |
So üben Sie Ihre Rechte aus:
- Per E-Mail: datenschutz@notfallakte.shop
- In der Software: Siehe unsere Anleitung für Details zur Datenverwaltung
Der Widerruf Ihrer Einwilligung berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: https://www.ldi.nrw.de
7. Identitätsprüfung bei Verlust des E-Mail-Zugriffs
7.1 Identifikationspflicht
Sollten Sie den Zugriff auf Ihr E-Mail-Konto verlieren, kann der Anbieter den Account nur wiederherstellen, wenn Ihre Identität zweifelsfrei nachgewiesen wird. Um Identitätsdiebstahl zu verhindern, behält sich der Anbieter das Recht vor, eine Kopie des Personalausweises oder Reisepasses anzufordern, um den Inhaber des Accounts zu verifizieren. Wird der Nachweis nicht erbracht, bleibt der Account aus Sicherheitsgründen dauerhaft gesperrt.
Rechtsgrundlage: Berechtigtes Interesse des Anbieters am Identitätsschutz gemäß Art. 6 Abs. 1 lit. f DSGVO sowie die Erfüllung vorvertraglicher Maßnahmen gemäß Art. 6 Abs. 1 lit. b DSGVO und § 241 BGB.
7.2 Datenschutz bei Identitätsprüfung
Eingereichte Ausweiskopien werden ausschließlich zur einmaligen Identitätsprüfung verwendet und nach erfolgreicher Verifizierung bzw. nach Abschluss des Vorgangs unverzüglich gelöscht.
Rechtsgrundlage: Berechtigtes Interesse des Anbieters am Schutz vor Identitätsmissbrauch (Art. 6 Abs. 1 lit. f DSGVO) sowie zur Vertragserfüllung (§ 241 BGB).
8. Minderjährige
Die Nutzung der Notfallakte-Software richtet sich an Personen ab 16 Jahren. Personen unter 16 Jahren benötigen die Einwilligung eines Erziehungsberechtigten (Art. 8 DSGVO).
9. Warteliste bei ausverkauften Produkten
Wenn ein Produkt ausverkauft ist, bieten wir Ihnen die Möglichkeit, sich für eine Warteliste anzumelden. Sie werden dann per E-Mail benachrichtigt, sobald das Produkt wieder verfügbar ist.
Welche Daten werden verarbeitet?
- E-Mail-Adresse: Für die Benachrichtigung bei Verfügbarkeit
- Produkt-ID: Um zu wissen, für welches Produkt Sie benachrichtigt werden möchten
- Zeitstempel: Datum und Uhrzeit der Anmeldung
Zweck und Rechtsgrundlage
| Zweck | Rechtsgrundlage |
|---|---|
| Benachrichtigung bei Produktverfügbarkeit | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
E-Mail-Kommunikation
Nach der Anmeldung erhalten Sie:
- Bestätigungs-E-Mail: Unmittelbar nach der Anmeldung zur Bestätigung Ihrer Wartelisten-Eintragung
- Verfügbarkeits-Benachrichtigung: Einmalig, sobald das Produkt wieder auf Lager ist
Es werden keine weiteren E-Mails (z.B. Newsletter oder Werbung) versendet.
Speicherdauer und Löschung
- Ihre Daten werden gelöscht, sobald Sie benachrichtigt wurden und das Produkt wieder verfügbar ist
- Alternativ können Sie sich jederzeit über den Abmelde-Link in der Bestätigungs-E-Mail von der Warteliste abmelden
- Nach Abmeldung werden Ihre Daten unverzüglich gelöscht
Widerruf der Einwilligung
Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Abmelde-Link in der Bestätigungs-E-Mail nutzen.
10. Kontaktformular
Wenn du uns über das Kontaktformular auf unserer Website kontaktierst, verarbeiten wir die von dir angegebenen Daten zur Bearbeitung deiner Anfrage.
Welche Daten werden verarbeitet?
- Name: Zur persönlichen Ansprache
- E-Mail-Adresse: Für die Beantwortung deiner Anfrage
- Betreff: Zur Kategorisierung deiner Anfrage
- Bestellnummer (optional): Zur Zuordnung bei bestellbezogenen Anfragen
- Nachricht: Dein Anliegen
- IP-Adresse & Zeitstempel: Zur Betrugsprävention und Missbrauchsschutz
Zweck und Rechtsgrundlage
| Zweck | Rechtsgrundlage |
|---|---|
| Bearbeitung deiner Kontaktanfrage | Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Schutz vor Spam und Missbrauch (Cloudflare Turnstile) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
Speicherdauer
Deine Kontaktanfrage wird nach vollständiger Bearbeitung und Abschluss des Vorgangs gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Bei bestellbezogenen Anfragen gelten die handels- und steuerrechtlichen Aufbewahrungsfristen.
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unserer Dienste oder der Rechtslage anzupassen. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.
Aktuelle Version: August 2025