Datenschutzerklärung

2. Welche Daten wir erfassen

Wenn Sie unseren Assessment-Wizard nutzen, erheben wir folgende Daten:

Identitäts- und Kontaktdaten

Vorname, Nachname, E-Mail-Adresse, Telefonnummer.

Gesundheitsdaten (Art. 9 DSGVO)

Fotografien Ihrer aktuellen Haarsituation (Kopfhaut), Ihre persönliche Einschätzung des Haarausfalls (Norwood-Skala), Dauer des Haarausfalls sowie Angaben zu vergangenen oder aktuellen medikamentösen Behandlungen.

Präferenzdaten

Ihr gewünschtes Budget und die bevorzugte Behandlungsregion.

Technische Daten

Bei jedem Aufruf der Website erfassen wir serverseitig Log-Files (IP-Adresse, Browsertyp, Datum und Uhrzeit des Zugriffs), um die Sicherheit unserer Systeme zu gewährleisten.

3. Zweck und Rechtsgrundlage der Verarbeitung

Wir verarbeiten Ihre Daten ausschließlich zu folgenden Zwecken:

Vermittlung & Angebotserstellung

Um Ihre medizinischen Daten anonymisiert an passende Partnerkliniken zu übermitteln, damit diese Ihnen ein Festpreis-Angebot erstellen können. Rechtsgrundlage hierfür ist Ihre ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO i. V. m. Art. 6 Abs. 1 lit. a DSGVO).

Kontaktherstellung (Handover)

Erst wenn Sie aktiv auf „Kontakt herstellen“ klicken, geben wir Ihre Identitäts- und Kontaktdaten (Name, Telefonnummer, E-Mail) an die von Ihnen ausgewählte Klinik frei.

Authentifizierung

Für den sicheren Login via „Magic Link“ nutzen wir Ihre E-Mail-Adresse.

4. Datenübermittlung in Drittländer (USA und weltweit)

Ein Kernbestandteil unseres Services ist die Weitergabe Ihrer Anfrage an spezialisierte Partnerkliniken, um Ihnen maßgeschneiderte Festpreisangebote zu vermitteln. Da der Betreiber dieser Plattform (Endert Ventures LLC) seinen Sitz in den USA hat, werden Ihre eingegebenen Daten technisch bedingt zunächst in die USA übermittelt. Wir stellen den Schutz Ihrer Daten durch die vorrangige Nutzung europäischer Server-Standorte für unsere Datenbanken (soweit technisch möglich) sowie durch strenge interne Vertraulichkeitsrichtlinien sicher.

Darüber hinaus leiten wir Ihre Anfrage an Partnerkliniken weiter:

Anonyme Phase

Zunächst erhalten bis zu 6 ausgewählte Kliniken weltweit lediglich Ihre medizinischen Daten, Fotos und Präferenzen, ohne Ihren Namen oder Ihre direkten Kontaktdaten.

Weltweite Übermittlung

Diese Partnerkliniken können sich in der Europäischen Union oder weltweit in anderen Ländern (z. B. in der Türkei, in Thailand oder weiteren Staaten) befinden – je nach Verfügbarkeit der passenden medizinischen Expertise und Ihren im Formular angegebenen Präferenzen.

Risikohinweis

Wir weisen Sie ausdrücklich darauf hin, dass viele Länder außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) datenschutzrechtlich als sogenannte unsichere Drittländer gelten. In diesen Ländern (wie z. B. den USA oder diversen asiatischen Staaten) besteht nach Einschätzung der Europäischen Kommission kein der EU gleichwertiges Datenschutzniveau. Es besteht insbesondere das Risiko, dass dortige staatliche Behörden auf Ihre Daten zugreifen können, ohne dass Ihnen effektive Rechtsschutzmöglichkeiten zustehen.

Ihre ausdrückliche Einwilligung

Die Übermittlung Ihrer sensiblen Gesundheitsdaten an unsere US-Gesellschaft sowie an die weltweiten Kliniken erfolgt ausschließlich auf Basis Ihrer ausdrücklichen Einwilligung (Art. 49 Abs. 1 lit. a i. V. m. Art. 9 Abs. 2 lit. a DSGVO). Diese Einwilligung erteilen Sie uns aktiv und freiwillig vor dem Absenden Ihrer Anfrage. Zusätzlich schließen wir mit unseren weltweiten Partnerkliniken, soweit rechtlich umsetzbar, EU-Standardvertragsklauseln ab, um den Schutz Ihrer Daten vertraglich abzusichern.

5. Eingesetzte Dienstleister (Auftragsverarbeiter)

Um unsere Plattform technisch sicher und performant bereitzustellen, nutzen wir externe Dienstleister, mit denen wir Verträge zur Auftragsverarbeitung (AVV) geschlossen haben:

Supabase: Wir nutzen Supabase für die Datenbank, das Hosting der verschlüsselten Bilder (Storage) und die Authentifizierung. Die Daten werden verschlüsselt gespeichert; die Verarbeitung erfolgt in Rechenzentren innerhalb der Europäischen Union (Hosting über AWS im Rahmen der von Supabase angebotenen EU-Regionen).

Vercel: Für das Hosting unserer Frontend-Anwendung nutzen wir Vercel Inc.

E-Mail-Versand: Für den Versand der Magic Links und Benachrichtigungen nutzen wir Resend.

6. Speicherdauer und Datenlöschung

Ihre Daten werden nur so lange gespeichert, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist:

• Schließen Sie keine Behandlung ab oder nehmen Sie kein Angebot an, können Sie Ihr Profil in Ihrem Dashboard jederzeit löschen.
• Sollte nach 6 Monaten keine Aktivität mehr auf Ihrem Konto stattfinden, werden Ihre Bilder und medizinischen Daten automatisch von unseren Servern unwiderruflich gelöscht.

7. Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht auf:

• Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO).
• Berichtigung unrichtiger Daten (Art. 16 DSGVO).
• Löschung Ihrer Daten („Recht auf Vergessenwerden“, Art. 17 DSGVO).
• Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Datenübertragbarkeit (Art. 20 DSGVO).

Widerruf Ihrer Einwilligung: Sie können Ihre erteilte Einwilligung zur Verarbeitung Ihrer Gesundheitsdaten jederzeit mit Wirkung für die Zukunft widerrufen. Senden Sie hierzu einfach eine E-Mail an unsere oben genannte Kontaktadresse.