1. Einleitung

Mit dieser Datenschutzerklärung informiere ich dich darüber, welche personenbezogenen Daten ich verarbeite, zu welchen Zwecken ich das tue und welche Rechte du dabei hast. Ich verwende klare und verständliche Sprache, damit du jederzeit nachvollziehen kannst, was mit deinen Daten passiert.

Diese Datenschutzerklärung gilt für:

  • meine Website, betrieben mit der Open-Source-Software Ghost,
  • die dort eingebundenen Inhalte und Funktionen,
  • meinen Newsletter- und Mitgliederbereich,
  • meine Tätigkeit als Heilpraktiker für Psychotherapie,
  • alle Formen der Kontaktaufnahme (E-Mail, Telefon, Messenger),
  • Online-Sitzungen per Videokonferenz (Jitsi Meet),
  • die Vereinbarung und Verwaltung von Terminen,
  • meine Onlinepräsenzen auf externen Plattformen.

Stand: Dezember 2025

2. Verantwortlicher

Karsten Schneeberger
Carl-Dettenhofer-Straße 2
85356 Freising

E-Mail:

Telefon: +49 160 4998564

3. Welche Daten ich verarbeite

3.1. Daten beim Besuch meiner Website

Wenn du meine Website besuchst, werden technisch notwendige Daten verarbeitet:

  • IP-Adresse (technisch erforderlich für den Verbindungsaufbau)
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene Seiten
  • technische Informationen (Browser, Betriebssystem, Endgerät)

Diese Daten sind erforderlich, damit die Website sicher und stabil funktioniert.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit der Website).

3.2. Newsletter und Mitgliederbereich

Wenn du dich für meinen Newsletter anmeldest oder den Mitgliederbereich nutzt, verarbeite ich:

  • deine E-Mail-Adresse
  • optional deinen Namen
  • einfache Interaktionsdaten (z. B. ob eine E-Mail geöffnet wurde)

Ich nutze diese Daten ausschließlich, um dir Inhalte zu senden, für die du dich angemeldet hast.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Du kannst deine Einwilligung jederzeit widerrufen – z. B. über den Abmeldelink in jeder Nachricht.

3.3. Kontaktaufnahme über E-Mail

Wenn du mich per E-Mail kontaktierst, verarbeite ich die von dir übermittelten personenbezogenen Daten (z. B. E-Mail-Adresse, Name, Inhalt deiner Nachricht), um deine Anfrage zu beantworten oder einen Termin zu vereinbaren. Die Verarbeitung erfolgt ausschließlich zu diesem Zweck.

Die Kontaktaufnahme per E-Mail ist freiwillig; alternativ kannst du mich auch telefonisch oder über andere angebotene Kontaktwege erreichen.

Für den Empfang und die Verarbeitung von E-Mails nutze ich den E-Mail-Dienstleister Tuta Mail. Die Verarbeitung der E-Mails findet auf Servern dieses Anbieters in Deutschland statt. Eine Weitergabe der Inhalte an unbeteiligte Dritte findet nicht statt.

Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Hinweis: Die Sicherheit der E-Mail-Kommunikation hängt auch von dem E-Mail-Anbieter ab, den du nutzt. Eine besonders geschützte E-Mail-Kommunikation ist nur dann möglich, wenn beide Seiten entsprechende Sicherheitsstandards verwenden.

Wenn du ebenfalls Tuta Mail verwendest, ist die gesamte Kommunikationsstrecke, vom Senden bis zum Empfangen der E-Mail, verschlüsselt und bietet somit einen zusätzlichen Schutz der Daten.

Hinweis zum Inhalt der E-Mail-Kommunikation:
E-Mail eignet sich für organisatorische oder allgemeine Anfragen. Für die Übermittlung sensibler gesundheitsbezogener Informationen solltest du andere Kommunikationsformen wie ein persönliches Gespräch oder ein Telefonat wählen. Du entscheidest, welche Inhalte du über E-Mail übermitteln möchtest.

Dienstanbieter:
Tutao GmbH, Deisterstraße 17a, 30449 Hannover, Deutschland

Rechtsgrundlagen:
Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Anfragen)
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation)
Art. 9 Abs. 2 lit. a DSGVO (Einwilligung bei freiwillig übermittelten Gesundheitsdaten)

3.4. Kontaktaufnahme über Signal

Wenn du mich über den Messenger Signal kontaktierst, verarbeite ich die von dir übermittelten personenbezogenen Daten (z. B. Telefonnummer, Benutzername, Nachrichtinhalt), um auf deine Anfrage zu reagieren oder einen Termin zu vereinbaren.

Signal verwendet standardmäßig eine Ende-zu-Ende-Verschlüsselung zur Absicherung der Kommunikation. Darüber hinaus verfolgt Signal einen datensparsamen Ansatz und erhebt bzw. verarbeitet nur sehr wenige Nutzungs- und Metadaten.

Da über Signal auch sensible oder gesundheitsbezogene Informationen übermittelt werden können, erfolgt die Kommunikation über diesen Dienst auf Grundlage deiner freiwilligen Einwilligung. Wenn du mich über Signal kontaktierst, werte ich dies als Einwilligung zur Nutzung dieses Kommunikationswegs. Du kannst diese Einwilligung jederzeit widerrufen.

Hinweis zum Inhalt der Signal-Kommunikation:
Die Kontaktaufnahme über Signal eignet sich für organisatorische Anliegen oder kurze textbasierte Rückfragen. Für die Übermittlung therapeutischer Inhalte werden persönliche Gespräche oder Telefonate genutzt. Du entscheidest, welche Inhalte du über Signal übermitteln möchtest.

Dienstanbieter:
Signal Messenger LLC, 650 Castro Street, Suite 120–223, Mountain View, CA 94041, USA

Rechtsgrundlagen:
Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Kommunikation)
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation)
Art. 9 Abs. 2 lit. a DSGVO (Einwilligung bei freiwillig übermittelten Gesundheitsdaten)

3.5. Kontaktaufnahme über das Kontaktformular

Wenn du mich über das Kontaktformular auf meiner Website kontaktierst, verarbeite ich die von dir übermittelten personenbezogenen Daten (z. B. Name, E-Mail-Adresse, Telefonnummer, Nachricht), um auf deine Anfrage zu reagieren oder mit dir in Kontakt zu treten.

Hinweis zum Inhalt der Kommunikation über das Kontaktformular:
Es werden nur die für die Kontaktaufnahme notwendigen Daten im Formular erfasst. Gesundheitsinformationen oder andere sensible personenbezogene Daten werden von mir nicht abgefragt.

Damit die von dir eingegebenen Daten sicher an mich übermittelt werden, nutze ich Formspree. Dieser Dienst sorgt dafür, dass deine Nachricht vom Formular an mich weitergeleitet wird.

Die übermittelten Daten werden ausschließlich für die Weiterleitung deiner Nachricht genutzt, nur so lange gespeichert, wie dies technisch erforderlich ist, und nicht an unbeteiligte Dritte weitergegeben.

Mit Formspree besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, der die datenschutzkonforme Verarbeitung deiner personenbezogenen Daten sicherstellt.

Dienstanbieter:
Formspree, 2855 Telegraph Ave #313, Berkeley, CA 94705, USA

Rechtsgrundlagen:
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung zur Kontaktaufnahme)
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

3.6. Terminvereinbarung

Wenn du mit mir einen Termin vereinbarst, verarbeite ich die dafür notwendigen Daten
(z. B. Name, Kontaktdaten, gewünschter Termin). Die Terminverwaltung erfolgt ausschließlich
in einem physischen Papierkalender, ohne Nutzung externer Cloud-Dienste oder
digitaler Kalenderanbieter. Die Daten werden nur zur Planung und Durchführung des
Termins verwendet.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung bzw. -erfüllung).

3.7. Daten im Rahmen meiner psychotherapeutischen Tätigkeit

Wenn du Patient*in bei mir wirst, verarbeite ich – soweit erforderlich – personenbezogene Stammdaten (z. B. Name, Adresse, Kontaktdaten), Gesundheitsdaten, anamnestische Informationen sowie dokumentationspflichtige Inhalte aus unseren Gesprächen.

Ich führe und sichere die therapeutische Dokumentation lokal, vertraulich und ohne Einschaltung externer Dienste. Der Zugriff liegt ausschließlich bei mir. Zur Wahrung eines besonders hohen Schutzniveaus verzichte ich bewusst auf cloudbasierte Lösungen, externe Software oder Systeme, die eine automatisierte Analyse oder potenzielle Zugriffsmöglichkeiten Dritter ermöglichen könnten.

Rechtsgrundlagen:
Art. 6 Abs. 1 lit. b DSGVO (Behandlungsvertrag)
Art. 9 Abs. 2 lit. h DSGVO (Verarbeitung zu Gesundheitszwecken)
gesetzliche Dokumentationspflichten für Heilpraktiker

Aufbewahrungsfrist:
Mindestens 10 Jahre nach Abschluss der Behandlung.

3.8. Videokonferenz (Jitsi Meet)

Für vereinbarte Online-Sitzungen nutze ich eine selbst gehostete Instanz der Open-Source-Software Jitsi Meet, die auf einem Server in Deutschland/EU betrieben wird.

Dabei werden folgende Daten verarbeitet: IP-Adresse (für die Dauer der Verbindung), Geräte- und Browserinformationen, freiwillig übermittelte Audio- und Videodaten, angezeigter Name (wenn eingegeben).

Die Verbindung ist durch Transportverschlüsselung (TLS) geschützt. Gesprächsinhalte werden nicht gespeichert. Der Server ist so konfiguriert, dass keine Verbindungs- oder Fehlerprotokolle des Webservers mit IP-Adressen oder anderen personenbezogenen Daten gespeichert werden.

Es werden keine Daten an externe Jitsi-Server oder Dritte übertragen.

Die Nutzung der Videokonferenz ist freiwillig und erfolgt ausschließlich mit deiner vorherigen ausdrücklichen Einwilligung. Du kannst diese Einwilligung jederzeit widerrufen.

Serveranbieter der Infrastruktur:
netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe, Deutschland

Rechtsgrundlagen:
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Art. 9 Abs. 2 lit. a DSGVO (Einwilligung bei freiwillig übermittelten Gesundheitsdaten)

4. Hosting der Website

Meine Website läuft mit der Open-Source-Software Ghost und wird über den europäischen Hosting-Dienst MagicPages bereitgestellt. Mit MagicPages besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Ghost ist eine Software zur Verwaltung von Website-Inhalten und zum Versand von Newslettern. Ghost wird vollständig auf Servern von Hetzner in Deutschland betrieben. Alle Inhalte, Mitgliederinformationen und von Ghost erzeugten E-Mails werden daher zunächst innerhalb der EU verarbeitet.

Dienstanbieter:
Jannis Fedoruk-Betschki (MagicPages), Wiesingerstraße 2, 4820 Bad Ischl, Österreich

MagicPages setzt folgende Subprozessoren ein:

Hetzner Online GmbH (Deutschland, EU)

  • Infrastruktur-Hosting
  • verarbeitet Website-Daten, Datenbanken und Mitgliederinformationen
  • Datenverarbeitung vollständig innerhalb der EU

BunnyWay d.o.o. (Slowenien, EU)

  • globales CDN (BunnyCDN) zur Auslieferung statischer Inhalte
  • verarbeitet gecachte Inhalte und Datenströme

Mailgun Technologies Inc. (USA)

  • technischer Versanddienst für E-Mails, die Ghost aus Deutschland heraus verschickt (z. B. Newsletter-Mails und notwendige Anmelde- oder Login-Links)
  • Grundlage: Standardvertragsklauseln (SCCs)

Alle Subprozessoren entsprechen den Anforderungen der DSGVO.

5. Cookies und technische Funktionen

Ich setze auf meiner Website keine Tracking- oder Marketing-Tools ein, die das Verhalten von Besucher*innen über verschiedene Seiten hinweg verfolgen oder zu Werbezwecken auswerten.

Zur rein statistischen Auswertung der Nutzung verwende ich ausschließlich die in der Open-Source-Software Ghost integrierte Analysefunktion. Diese wird direkt von der Website selbst betrieben. Dabei wird nicht nachverfolgt, wer meine Website besucht, sondern ausschließlich in zusammengefasster Form erfasst, wie sie genutzt wird (z. B. Anzahl von Seitenaufrufen).

Es werden keine Nutzerprofile erstellt, keine Daten zu Werbezwecken verwendet und keine Tracking-Cookies gesetzt.

Für den Betrieb der Website sowie für Mitglieder- und Bezahlfunktionen werden ausschließlich technisch notwendige Cookies eingesetzt, insbesondere:

  • Login- und Session-Cookies für registrierte Mitglieder
  • Sicherheits- und Funktionscookies

Diese Cookies sind erforderlich, damit die Website stabil, sicher und funktionsfähig betrieben werden kann und die von Nutzer*innen gewählten Funktionen (z. B. Anmeldung, geschützte Inhalte oder Bezahlung) zuverlässig zur Verfügung stehen.

6. Externe Onlinepräsenzen und eingebundene Dienste

Ich unterhalte Onlinepräsenzen auf externen Plattformen (z. B. Social Media), um dort über meine Arbeit zu informieren und mit Interessierten in Kontakt zu treten.

Wenn du solche Plattformen nutzt oder dort mit meinen Inhalten interagierst, werden personenbezogene Daten durch die jeweiligen Anbieter verarbeitet. Diese Anbieter sind dafür selbst verantwortlich; ich habe darauf keinen Einfluss, welche Daten diese Plattformen erheben, speichern oder auswerten.

Auf meiner Website sind grundsätzlich keine externen Inhalte wie z. B. Social-Media-Widgets eingebunden, die bereits beim Aufruf meiner Website automatisch Daten an Drittanbieter übertragen.

Die Nutzung dieser Dienste erfolgt freiwillig und liegt in deinem Ermessen. Es gelten die Datenschutzrichtlinien der jeweiligen Anbieter.

6.1. Pinterest-Domain-Verifizierung

Auf meiner Website ist ein technischer Meta-Tag zur Domain-Verifizierung durch den Dienst Pinterest eingebunden. Dieser dient ausschließlich dazu, meine Website einem Pinterest-Business-Profil zuzuordnen.

Durch diesen Meta-Tag werden keine Cookies gesetzt und keine personenbezogenen Daten von Website-Besuchern verarbeitet oder an Pinterest übermittelt.

Dienstanbieter:
Pinterest Europe Ltd., Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Irland

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verknüpfung mit Pinterest als berufliches Profil und Nutzung der damit verbundenen Funktionen)

6.2. Stripe (Zahlungsfunktion – technische Einbindung)

Zur Bereitstellung von kostenpflichtigen Angeboten und Bezahlfunktionen nutze ich den Zahlungsdienstleister Stripe.

Stripe stellt die technische Infrastruktur für die sichere Abwicklung von Zahlungen bereit. Dabei werden die für die Zahlung erforderlichen Daten (z. B. Name, E-Mail-Adresse und Zahlungsinformationen) direkt von Stripe verarbeitet. Ich selbst erhalte keine vollständigen Zahlungsdaten (z. B. Kreditkartennummern).

Das auf der Website eingesetzte Stripe-Skript dient ausschließlich der technischen Umsetzung der Zahlungsfunktion und wird nicht zu Tracking- oder Marketingzwecken verwendet.

7. Zahlungsabwicklung über Stripe

Wenn du eine digitale Leistung oder ein Angebot über meine Website kaufst, erfolgt die Zahlungsabwicklung über Stripe. Stripe verarbeitet dabei:

  • Name
  • E-Mail-Adresse
  • Zahlungsinformationen
  • Rechnungsdaten

Ich selbst erhalte keine vollständigen Zahlungsdaten (z. B. Kreditkartennummern).

Dienstanbieter:
Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA

Übermittlung in ein Drittland:
Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage der von der EU-Kommission genehmigten Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO.

8. Google Maps und Apple Karten

Ich unterhalte Praxisprofile auf Kartenplattformen wie Google Maps und Apple Karten, damit du meine Praxis leichter finden kannst.

Die Nutzung von Google Maps und Apple Karten erfolgt ausschließlich über die jeweiligen Plattformen oder Apps der Anbieter (z. B. auf deinem Smartphone oder im Browser) und wird von dir selbst aktiv initiiert.

Meine Website bindet keine Kartenfunktionen dieser Dienste ein und übermittelt beim Besuch der Website keine Daten an Google oder Apple.

Wenn du meine Praxis über Google Maps oder Apple Karten suchst oder dort auf meinen Eintrag zugreifst (z. B. über eine URL oder einen Karteneintrag), erfolgt die Datenverarbeitung ausschließlich im Verantwortungsbereich des jeweiligen Anbieters.

Die Verarbeitung personenbezogener Daten (z. B. Standortdaten, Suchanfragen oder Geräteinformationen) erfolgt durch die jeweiligen Anbieter in eigener Verantwortung. Ich habe keinen Einfluss darauf, welche Daten erhoben, gespeichert oder ausgewertet werden.

Ich erhalte im Zusammenhang mit meinen Praxisprofilen lediglich anonyme oder aggregierte Informationen (z. B. Aufrufe des Eintrags), aus denen kein Rückschluss auf einzelne Personen möglich ist.

Für die Datenverarbeitung gelten die Datenschutzbestimmungen der jeweiligen Anbieter.

9. Rechnungsstellung

Für die Erstellung und Verwaltung von Rechnungen nutze ich den Dienst Papierkram. Dabei werden nur die Daten verarbeitet, die zur Rechnungslegung erforderlich sind (z. B. Name, Adresse, Leistungsdaten).

Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie auf Grundlage gesetzlicher Aufbewahrungspflichten. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Dienstanbieter:
odacer finanzsoftware GmbH, Konrad-Adenauer-Ring 13, 65187 Wiesbaden, Deutschland

10. Weitergabe von Daten

Ich gebe personenbezogene Daten grundsätzlich nicht an Dritte weiter. Eine Weitergabe erfolgt nur, wenn sie zur Vertragserfüllung erforderlich ist (z. B. an Stripe für die Zahlungsabwicklung) oder wenn ich gesetzlich dazu verpflichtet bin.

Insbesondere werden Gesundheitsdaten nur im Rahmen gesetzlicher Vorschriften oder nach ausdrücklicher Schweigepflichtentbindung weitergegeben.

11. Speicherdauer

Ich speichere personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder wie gesetzliche Aufbewahrungsfristen es verlangen.

Beispiele:

  • Patientendokumentation: mindestens 10 Jahre
  • Newsletterdaten: bis zum Widerruf deiner Einwilligung
  • Rechnungsdaten: gemäß gesetzlicher Aufbewahrungspflichten (in der Regel 10 Jahre)

12. Deine Rechte

Du hast jederzeit folgende Rechte:

  • Auskunft über gespeicherte Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 DSGVO)
  • Beschwerde bei der zuständigen Aufsichtsbehörde

Zuständige Behörde in Bayern:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

13. Änderungen dieser Datenschutzerklärung

Ich passe diese Datenschutzerklärung an, wenn sich technische, rechtliche oder organisatorische Änderungen ergeben.