Head of Legal and Regulatory Affairs•17. Februar 2026
1. Begriffsbestimmungen
Im Rahmen unserer Dienstleistungen stellen wir die Heidi-Plattform (nachfolgend „Heidi“) qualifizierten Ärztinnen und Ärzten (einschließlich ihrer jeweiligen medizinischen Einrichtung) sowie anderen Angehörigen der Gesundheitsberufe (nachfolgend „Fachkräfte“) zur Verfügung. Heidi unterstützt die Erbringung von Gesundheitsdienstleistungen.
In diesen Datenschutzhinweisen gelten folgende Begriffsbestimmungen:
„Wir“, „uns“ oder „unser“ – bezeichnet Heidi Health Ireland Limited (CRO 807346), eingetragen in Irland.
„Unsere Dienste“ – bezeichnet die Bereitstellung von Heidi an Sie als Fachkraft sowie damit verbundene Dienstleistungen.
„Sie“ – bezeichnet Sie als Leserin oder Leser dieser Datenschutzhinweise.
„Ihre Daten“ – bezeichnet Ihre personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO.
„Datenschutzgesetze“ – bezeichnet alle anwendbaren Datenschutz- und Datensicherheitsvorschriften, insbesondere die DSGVO, das BDSG sowie anwendbare Gesundheitsdatenschutzvorschriften.
2. Welche Daten erheben wir?
Wir erheben und verarbeiten personenbezogene Daten, Gesundheitsdaten, Zahlungsdaten, Gerätedaten und allgemeine Nutzungsdaten zur Erbringung und Verbesserung unserer Dienste.
Wenn Sie auf unsere Website, Plattform oder andere Dienste zugreifen, erheben und speichern wir die nachfolgend dargestellten Datenkategorien. Die Erhebung dieser Daten dient der Verbesserung der Nutzererfahrung, der Optimierung der Dienstleistungsfunktionalität und der Gewährleistung angemessener Sicherheitsmaßnahmen. Die Verarbeitung erfolgt auf Grundlage berechtigter Interessen sowie gegebenenfalls auf Grundlage Ihrer ausdrücklichen Einwilligung, die zum Zeitpunkt der Datenerhebung transparent eingeholt wird.
Soweit Sie die erbetenen Angaben nicht bereitstellen, kann dies dazu führen, dass wir unsere Dienste Ihnen gegenüber nicht oder nicht vollständig erbringen können.
Privacy Policy • Heidi Health | Heidi AI
Kategorie
Erläuterung
Allgemeine personenbezogene Daten
Hierzu zählen Angaben, die Sie als Person identifizierbar machen, etwa Ihr Name, Ihre Anschrift, Ihr Geburtsdatum, Ihr Geschlecht, Ihre Telefonnummer und Ihre E-Mail-Adresse. Bei Fachkräften können wir zusätzlich Angaben zu Qualifikationen, Approbationen sowie Aus- und Weiterbildung erheben.
Zahlungs- und Abrechnungsdaten
Wir können Daten erheben, die zur Abwicklung von Zahlungen oder zur Geltendmachung von Ansprüchen in Ihrem Namen erforderlich sind. Dies kann Kreditkartendaten, Bankverbindungsdaten sowie Versicherungs- oder Abrechnungsangaben umfassen.
Sensible Gesundheitsdaten
Hierzu zählen sämtliche Gesundheitsdaten, die Fachkräfte bei der Nutzung von Heidi bereitstellen. Wir können Gesundheitsdaten von Patientinnen und Patienten erheben, die sich aus der Nutzung von Heidi ergeben, darunter Krankengeschichte, klinische Notizen, Befunde, Krankheitsstatus und Medikation.
Sämtliche sensiblen Gesundheitsdaten durchlaufen einen Pseudonymisierungsprozess gemäß Art. 4 Nr. 5 DSGVO, bei dem alle personenbezogenen Identifikatoren entfernt werden, sodass eine Re-Identifizierung nach allgemeinem Ermessen ausgeschlossen ist. Gesundheitsdaten werden nur für die von der Fachkraft festgelegte Dauer aufbewahrt.
Klarstellung: Es werden keine Patientendaten zum Trainieren, Entwickeln oder Verbessern unserer KI-Modelle verwendet.
Gerätedaten
Hierzu zählen Geräte-ID, Gerätetyp, Standortdaten, Computer- und Verbindungsinformationen, Seitenaufrufstatistiken, Datenverkehr, IP-Adresse und Standard-Webprotokollinformationen.
Zusätzlich bereitgestellte Daten
Hierzu zählen Angaben, die Sie uns über Kundenumfragen, direkt über unsere Website oder indirekt durch Ihre Nutzung von Heidi oder Online-Präsenz bereitstellen.
Daten zur Geschäftsverbesserung
Wir können Ihre allgemeinen personenbezogenen Daten de-identifizieren und in aggregierter Form auswerten, um die Nutzung unserer Dienste zu analysieren und unsere Angebote zu verbessern. „De-identifiziert“ bedeutet, dass alle personenbezogenen Identifikatoren entfernt wurden, sodass eine Re-Identifizierung nach allgemeinem Ermessen ausgeschlossen ist. Die Nutzung dieser Daten zur Geschäftsverbesserung erfolgt ausnahmslos in de-identifizierter Form.
Cookie-Daten
Wir können über Cookies auf unserer Website de-identifizierte Daten erheben, etwa Browsertyp, Betriebssystem und besuchte Websites. Personenbezogene Daten können erhoben werden, wenn ein Cookie mit Ihrem Konto verknüpft ist. Näheres hierzu in Abschnitt 8.
Bewerberdaten
Wenn Sie sich bei uns bewerben, können wir Angaben zu Ihrem Namen, Ihren Kontaktdaten, Ihrem beruflichen Werdegang und einschlägigen Überprüfungen erheben, um über Ihre Bewerbung entscheiden zu können.
3. Wie erheben wir Ihre Daten?
Wir erheben Ihre personenbezogenen Daten bei der Interaktion mit uns oder von Dritten.
In den meisten Fällen erheben wir personenbezogene Daten unmittelbar von Ihnen. Die wichtigsten Erhebungswege sind:
Erhebungsweg
Erläuterung
Registrierung
Bei der Registrierung auf unserer Website oder Heidi.
Kommunikation
Bei der Kommunikation mit uns per E-Mail, Chat, Fragebogen oder über Heidi.
Nutzung
Bei der Interaktion mit unserer Website, Heidi, unseren Diensten und Inhalten.
Darüber hinaus können wir Daten über Sie von verbundenen Unternehmen, Dienstleistern oder Kooperationspartnern erhalten, z. B.:
bei einer Bewerbung: von Personalberatern, früheren Arbeitgebern oder Referenzgebern;
bei Fachkräften: Angaben zu Qualifikationen, Approbationen und Ausbildung von Drittquellen, u. a. zur Verifizierung Ihres Status als zugelassene Fachkraft.
4. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten, um unsere Produkte und Dienstleistungen bereitzustellen und weiterzuentwickeln.
Wir verfolgen den Grundsatz Privacy by Design und integrieren den Datenschutz von Beginn an in die Gestaltung unserer Systeme und Geschäftsprozesse. Unsere Maßnahmen umfassen Verschlüsselung, strenge Zugriffskontrollen und kontinuierliche Bedrohungsüberwachung. Datenschutz-Folgenabschätzungen werden regelmäßig durchgeführt.
Wir setzen De-Identifizierungsverfahren ein, um sicherzustellen, dass personenbezogene Daten und Gesundheitsdaten pseudonymisiert werden und identifizierbare Merkmale entfernt werden, bevor sie für bestimmte Verarbeitungszwecke herangezogen werden.
Sollten wir bereits erhobene personenbezogene Daten zu einem anderen als dem in diesen Datenschutzhinweisen genannten Zweck verwenden wollen, werden wir Sie vorab durch eine aktualisierte Informationsmitteilung benachrichtigen und Ihnen Wahlmöglichkeiten einräumen.
Zweck
Beschreibung
Rechtsgrundlage
Bereitstellung
Ermöglichung des Zugangs zu und der Nutzung unserer Website, Heidi und anderer Dienste.
Art. 6 Abs. 1 lit. b DSGVO
Verbesserung
Gestaltung, Bereitstellung, Verbesserung und Verwaltung unserer Website, Heidi und anderer Dienste, z. B. für Analysen und Marketing.
Art. 6 Abs. 1 lit. f DSGVO
Gesundheitsversorgung
Unterstützung der Gesundheitsversorgung. Daten zur Krankengeschichte, zu Symptomen oder Beschwerden können von Heidi erfasst werden, damit Fachkräfte Behandlungsentscheidungen treffen können.
Art. 6 Abs. 1 lit. b DSGVO; bei Ansprechpartnern des Vertragspartners: Art. 6 Abs. 1 lit. f DSGVO
De-identifizierte Daten für Heidi-funktionen
Wir können Ihre personenbezogenen Daten de-identifizieren und/oder aggregieren, um bestimmte Funktionen bereitzustellen und Heidi weiterzuentwickeln.
Klarstellung: Dieser Zweck umfasst nicht die Verwendung sensibler Gesundheitsdaten. Es werden keine Patientendaten zum Trainieren, Entwickeln oder Verbessern von KI-Modellen verwendet.
Art. 6 Abs. 1 lit. f DSGVO
Support
Versand von Service-, Support- und Verwaltungsnachrichten, technischen Hinweisen, Updates, Sicherheitswarnungen und von Ihnen angeforderter Informationen.
Art. 6 Abs. 1 lit. b DSGVO
Kontaktaufnahme
Benachrichtigung über wichtige Angelegenheiten betreffend Heidi, unsere Dienste oder Ihre Daten.
Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO
Marketing
Versand von Marketing- und Werbemitteilungen
Art. 6 Abs. 1 lit. a DSGVO
Rechtliche Pflichten
Erfüllung gesetzlicher Verpflichtungen und Unterstützung von Behörden, soweit gesetzlich vorgeschrieben oder zulässig.
Art. 6 Abs. 1 lit. c DSGVO
Bewerbungsverfahren
Prüfung und Bearbeitung Ihrer Bewerbung.
Art. 6 Abs. 1 lit. b DSGVO; § 26 BDSG
Sofern nicht gesetzlich zulässig oder vorgeschrieben, verarbeiten wir Ihre Gesundheitsdaten nicht ohne Ihre Einwilligung.
5. Marketing und Abmeldemöglichkeiten
Sie können sich jederzeit von unserer Marketingkommunikation abmelden.
Wir können Ihnen Direktmarketing-Mitteilungen über unsere Dienstleistungen und Produkte zusenden, etwa per E-Mail oder auf anderem Wege. Die Verarbeitung Ihrer Daten für Marketingzwecke erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit widerrufen, über die Abmeldefunktion in der jeweiligen Nachricht oder durch Kontaktaufnahme gemäß Abschnitt 12.
Wir können unsere Dienste auch allgemein bewerben, etwa über soziale Medien, Werbung auf unserer Website oder andere digitale und analoge Plattformen. Dies geschieht stets im Einklang mit den gesetzlichen Anforderungen.
Ohne Ihre Einwilligung werden wir weder:
Ihre Gesundheitsdaten für Marketingzwecke verwenden; noch
Ihre Daten an Dritte zu deren Marketingzwecken weitergeben.
6. Datenspeicherung und internationale Datenübermittlung
Ihre personenbezogenen Daten werden grundsätzlich in Ihrem lokalen Rechtsgebiet gespeichert.
Wir haben Lösungen zur Datenlokalisierung für Kunden in der EU, in Australien, Kanada, den USA und dem Vereinigten Königreich implementiert. Einige Funktionen von Heidi sind auf Drittanbieterdienste angewiesen, deren Server sich außerhalb der EU befinden können. In diesen Fällen stellen wir sicher, dass Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen werden und, soweit erforderlich, geeignete Garantien gemäß Art. 44–49 DSGVO vorliegen.
6.1 Heidi Comms – Datenverarbeitung und Speicherung
Heidi Comms ist ein Kommunikationstool innerhalb Heidi, das Telefon- und Echtzeit-Sprachinteraktionen ermöglicht.
Über Heidi Comms erhobene Daten können durch vertrauenswürdige Auftragsverarbeiter außerhalb Ihres Landes verarbeitet werden. Diese Unterauftragsverarbeiter unterliegen denselben vertraglichen Anforderungen wie in Abschnitt 6 beschrieben.
Durch Heidi Comms erstellte Transkripte können vorübergehend unter der Kontrolle der Fachkraft gespeichert werden, ausschließlich zur Qualitätssicherung (z. B. zur Prüfung der Ergebnisgenauigkeit). Eine Weitergabe an Dritte erfolgt nicht.
7. Empfänger Ihrer Daten
Wir können Ihre personenbezogenen Daten an die nachfolgend genannten Empfänger weitergeben, soweit dies für die in diesen Datenschutzhinweisen genannten Zwecke erforderlich ist.
Ihre personenbezogenen Daten können weitergegeben werden an:
unsere Beschäftigten und verbundenen Unternehmen;
externe Dienstleister und Auftragsverarbeiter (einschließlich Hosting-Anbieter für Heidi’s Betrieb);
fachliche Berater, Vertreter und Bevollmächtigte;
Zahlungsdienstleister (z. B. Händler, die Kartenzahlungen entgegennehmen);
Erwerber im Falle einer Unternehmensübertragung, sofern der Empfänger sich zur Einhaltung vergleichbarer Datenschutzstandards verpflichtet;
von Ihnen ausdrücklich autorisierte Dritte sowie weitere an der Erbringung von Gesundheitsdiensten beteiligte Stellen;
staatliche Stellen, Aufsichtsbehörden und Strafverfolgungsbehörden, soweit gesetzlich vorgeschrieben oder zulässig.
8. Cookies und Webseiten-Nutzung
Wir setzen auf unserer Website Cookies ein, um die Nutzung auszuwerten und Ihre Präferenzen zu speichern.
Sie haben das Recht, auf die personenbezogenen Daten, die wir über Sie erheben, zuzugreifen, diese berichtigen, aktualisieren oder löschen zu lassen. Sie können bestimmten Verarbeitungsformen widersprechen und Ihre Einwilligung jederzeit widerrufen.
Cookie-Art
Beschreibung
Technisch notwendige Cookies
Ermöglichen grundlegende Funktionen wie Seitennavigation und Zugang zu gesicherten Bereichen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TDDDG.
Analyse-Cookies
Helfen uns, das Nutzungsverhalten auf unserer Website zu verstehen und diese zu verbessern.
Personalisierungs-Cookies
Passen Ihre Nutzererfahrung anhand Ihrer Nutzungsmuster an.
Werbe-Cookies
Werden eingesetzt, um über Dienste wie Google personalisierte Werbung auszuliefern.
Die Verarbeitung nicht technisch notwendiger Cookies beruht auf Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit über Ihre Browsereinstellungen widerrufen. Ohne Ihre ausdrückliche Einwilligung werden keine personenbezogenen Daten zu Werbe- oder Analysezwecken erhoben.
Für weitere Informationen oder zur Ausübung Ihrer Rechte kontaktieren Sie bitte compliance@heidihealth.com.
9. Technische und organisatorische Maßnahmen
Wir ergreifen umfangreiche Maßnahmen zum Schutz Ihrer Daten.
Personenbezogene Daten werden grundsätzlich in unseren elektronischen Datenbanken gespeichert. Unsere Website, Heidi und Arbeitsumgebung verfügen über integrierte physische, elektronische und organisatorische Maßnahmen zum Schutz vor Missbrauch, Manipulation, Verlust und unbefugtem Zugriff.
Maßnahme
Erläuterung
Mitarbeiterschulungen
Regelmäßige Schulungen zum sicheren Umgang mit personenbezogenen Daten.
Verschlüsselung
Verschlüsselung aller Daten im Ruhezustand (at rest) und bei der Übertragung (in transit) nach Industriestandard.
De-Identifizierung
Einsatz spezialisierter Tools zur De-Identifizierung Ihrer Daten vor der Verarbeitung für bestimmte Zwecke.
Sichere Speicherung
Kombinierte technische und organisatorische Maßnahmen zur Gewährleistung der Plattformsicherheit und zum Schutz Ihres Kontos.
Datenminimierung und Löschung
Ihre Daten werden nur so lange aufbewahrt, wie von Ihnen gewünscht oder wie gesetzlich vorgeschrieben. Anschließend erfolgt die sichere Löschung.
10. Ihre Rechte als betroffene Person
Sie haben umfassende Rechte in Bezug auf Ihre personenbezogenen Daten. Kontaktieren Sie uns, um diese auszuüben.
Im Rahmen der DSGVO stehen Ihnen die folgenden Rechte zu:
Recht
Erläuterung
Auskunft (Art. 15)
Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
Berichtigung (Art. 16)
Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Löschung (Art. 17)
Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die gesetzlichen Voraussetzungen vorliegen.
Einschränkung (Art. 18)
Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
Datenübertragbarkeit (Art. 20)
Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln.
Beschwerde (Art. 77)
Sie haben das Recht auf Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde.
Zur Ausübung Ihrer Rechte teilen Sie uns bitte Ihren Namen und Ihre Kontaktdaten mit und beschreiben Sie Ihr Anliegen. Wir bestätigen den Eingang Ihrer Anfrage umgehend und streben eine Beantwortung innerhalb von 30 Tagen an. Soweit wir Ihrer Anfrage nicht entsprechen können, werden wir Ihnen die Gründe erläutern. Eine Identitätsprüfung kann zum Schutz Ihrer Daten erforderlich sein.
Widerspruchsrecht gemäß Art. 21 DSGVO
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf dieser Bestimmung beruhendes Profiling. Legen Sie Widerspruch ein, verarbeiten wir Ihre Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Bei Fragen oder Bedenken zum Datenschutz wenden Sie sich bitte an unser Compliance-Team unter compliance@heidihealth.com.
11. Beschäftigtendatenschutz
Kategorie
Erläuterung
Allgemeine personenbezogene Daten
Name, Anschrift, Geburtsdatum, Kontaktnummer, E-Mail-Adresse und Foto.
Bildungs- und Sozialdaten
Angaben zur Ausbildung, Referenzen, Interessen und außerberufliche Aktivitäten sowie Lebensereignisse (z. B. Heirat, Geburt von Kindern).
Besondere Kategorien personenbezogener Daten
Angaben zum Gesundheitszustand, bestimmte strafrechtliche Verurteilungen, rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, sexuelle Orientierung.
Finanzdaten
Bankverbindung, Steueridentifikationsnummer, Wohnsitzstatus und ggf. Bonitätsprüfungen.
Arbeitsbezogene Daten
Beruflicher Werdegang, fachliche Aktivitäten, Mitgliedschaft in Berufsverbänden und personenbezogene Daten in Arbeitsergebnissen.
Aktuelle und ehemalige Beschäftigte mit Fragen zum Umgang mit ihren personenbezogenen Daten wenden sich bitte an hello@heidihealth.com.
12. Verantwortlicher und Kontakt
Angaben zum Verantwortlichen, zum Datenschutzbeauftragten und zu Ihren Kontaktmöglichkeiten gemäß Art. 13 Abs. 1 DSGVO.
Für alle datenschutzrechtlichen Anfragen, insbesondere zur Ausübung Ihrer Betroffenenrechte, wenden Sie sich bitte an support@heidihealth.com oder an den Datenschutzbeauftragten.
Geltendes Recht und Gerichtsstand:
Für sämtliche Vertragsverhältnisse gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist das zuständige Gericht in Deutschland.