1. Datenverschlüsselung

Daten während der Übertragung

Alle Daten, die über unsere Website und Apps übertragen werden, zum Beispiel medizinische Angaben, Daten zur Identitätsprüfung, Kontodaten und Bestellungen, sind mit TLS 1.2 oder höher verschlüsselt.

Gespeicherte Daten

Daten in unseren Datenbanken und Backups werden mit AES-256 oder vergleichbaren branchenüblichen Verschlüsselungsstandards geschützt.

Sicherheit nach dem aktuellen Stand der Technik

Diese Maßnahmen entsprechen dem Sicherheitsstandard nach dem aktuellen Stand der Technik gemäß Artikel 32 DSGVO / UK-DSGVO.

2. Serverstandorte und Hosting

Hosting innerhalb der EU

Alle personenbezogenen Daten von EU-Nutzern werden ausschließlich auf Servern innerhalb des Europäischer Wirtschaftsraum (EWR) gehostet.

Zertifizierte Rechenzentren

Transtoyou nutzt Rechenzentren, die nach ISO 27001 und SOC 2 zertifiziert sind und alle relevanten Anforderungen der DSGVO erfüllen.

Internationale Datenübermittlungen

Personenbezogene Daten werden nicht außerhalb des EWR übertragen, es sei denn, dies erfolgt auf Grundlage von:

Standardvertragsklauseln (SCCs)
einer Angemessenheitsentscheidung der Europäischen Kommission
deiner ausdrücklichen Einwilligung

3. Zugriff auf Nutzerdaten & Datenübertragbarkeit (EU Data Act)

Du kannst deine Konto- und Servicedaten direkt über dein Transtoyou-Dashboard einsehen, herunterladen und exportieren.

Soweit technisch möglich, kannst du auch verlangen, dass Transtoyou diese Daten an einen von dir benannten Dritten übermittelt, im Einklang mit den geltenden EU-Regeln zum Datenzugriff und zur Datenübertragbarkeit, einschließlich des EU Data Act, soweit relevant.

Greife auf deine Daten zu

Lade deine Daten direkt über dein Dashboard herunter und exportiere sie.

Zum Dashboard

4. Identitätsprüfung (ID-Check)

Transtoyou kann in folgenden Fällen eine einmalige Identitätsprüfung verlangen:

Behandlungen mit erhöhtem Risiko

Transgender-Versorgung, wenn dies gesetzlich oder aus Sicherheitsgründen erforderlich ist

bei Verdacht auf Missbrauch, Betrug oder widersprüchlichen medizinischen Angaben

bei regulatorischen oder apothekenrechtlichen Vorgaben

So funktioniert die Identitätsprüfung

Bei der ID-Prüfung wird ein gültiger amtlicher Ausweis automatisch erkannt und per Gesichtsabgleich bestätigt.

Biometrische Daten wird ausschließlich für die einmalige Identitätsprüfung, zur Betrugsprävention und für eine sichere Verschreibung verarbeitet. Es wird nicht für Marketing, Profiling oder andere Zwecke genutzt.

Die rechtliche Grundlage für die Verarbeitung biometrischer Daten ergibt sich aus Artikel 9 Absatz 2 DSGVO / UK-DSGVO in Verbindung mit Artikel 6 Absatz 1, ergänzt durch DPIAs, eine strikte Zweckbindung und klare Aufbewahrungsregeln.

Prüfung durch einen Drittanbieter

Die Identitätsprüfung wird von einem spezialisierten Drittanbieter durchgeführt, der im Auftrag von Transtoyou als Auftragsverarbeiter handelt.

Transtoyou speichert keine Kopie deines Ausweisdokuments. Wir erhalten nur den Verifizierungsstatus sowie begrenzte Metadaten, die für Compliance und Betrugsprävention erforderlich sind.

Die Aufbewahrung durch den Anbieter ist auf das gesetzlich Erforderliche beschränkt und in unserer Auftragsverarbeitungsvereinbarung geregelt.

5. Zwei-Faktor-Authentifizierung (2FA)

Mitarbeiter, Ärzte & Apotheken

Verpflichtend

2FA ist für alle Logins verpflichtend, entsprechend den bewährten Standards zum Schutz des Zugriffs auf medizinische Daten.

Kunden

Optional, aber empfohlen

2FA ist optional, wird aber dringend empfohlen. Wenn du es aktivierst, ist beim Login oder bei einer Bestellung ein zweiter Authentifizierungsschritt erforderlich, zum Beispiel per SMS.

6. Sensible Vorgänge & Zugriffskontrollen

Medizinische Prüfungen und Rezeptfreigaben werden ausschließlich von zugelassene Ärzte durchgeführt, die per 2FA angemeldet sind. Der Zugriff ist dabei auf die erforderlichen Patientendaten beschränkt.
Für Ärzte ist bei sensiblen Aktionen keine zusätzliche erneute Authentifizierung, zum Beispiel per Biometrie, erforderlich. Es gelten jedoch strenge rollenbasierte Zugriffskontrollen (RBAC).
Jeder Zugriff auf medizinische Unterlagen ist protokolliert und nachvollziehbar.

7. Protokolle & Zugriffserfassung

Umfassende Protokollierung

Transtoyou protokolliert alle Zugriffe auf Beratungsdaten, Rezepte, Identitätsprüfungen und Nutzerunterlagen.

Regelmäßige Überprüfung

Die Protokolle werden regelmäßig geprüft, um unbefugte Zugriffe oder Auffälligkeiten zu erkennen.

Eingeschränkter Zugriff

Nur autorisierte Personen mit einer klar definierten operativen Rolle dürfen auf medizinische Unterlagen zugreifen.

8. Sicherheit bei Video- und Chat-Beratungen

Sichere Beratungsplattform

Transtoyou nutzt eine sichere Plattform für Video- und Chat-Beratungen mit verschlüsselten Verbindungen (TLS/DTLS/SRTP) und strengen Zugriffskontrollen.

Aufzeichnungen von Beratungen

Video- und/oder Chat-Beratungen dürfen nur aufgezeichnet werden, wenn dies notwendig ist für:

Klinische Sicherheit
Qualitätssicherung
Schulungen zur Patientensicherheit
die Klärung von Streitfällen oder Beschwerden, zum Beispiel wenn ein Nutzer oder Arzt bestreitet, was während einer Beratung gesagt wurde

Aufbewahrungsfrist: 90 Tage

Aufzeichnungen werden für einen begrenzten Zeitraum von 90 Tagen sicher gespeichert und danach automatisch gelöscht, es sei denn, eine längere Aufbewahrung ist wegen einer offenen Beschwerde, einer gesetzlichen Verpflichtung oder einer laufenden Untersuchung erforderlich. Das entspricht dem Grundsatz der Speicherbegrenzung nach DSGVO / UK-DSGVO.

Wichtige Schutzmaßnahmen

Der Zugriff auf Aufzeichnungen ist strikt auf den zuständigen Arzt sowie autorisierte Mitarbeiter aus Compliance oder Streitfallbearbeitung beschränkt, unter RBAC und vollständiger Protokollierung.
Aufzeichnungen werden niemals für Marketing, Profiling oder andere nicht damit zusammenhängende Zwecke verwendet.
Nutzer werden vor Beginn der Beratung darüber informiert, dass eine Aufzeichnung stattfinden kann, zu welchem Zweck sie erfolgt und wie lange sie gespeichert wird.

9. Schutz bei Datenpannen

Unser Vorgehen

Im Falle einer Datenschutzverletzung:

Behörden benachrichtigen

Die zuständige Datenschutzbehörde, zum Beispiel die Andmekaitse Inspektsioon in Estland, wird innerhalb von 72 Stunden benachrichtigt, wie es nach Artikel 33 und 34 DSGVO vorgeschrieben ist.

Betroffene Nutzer benachrichtigen

Wenn ein hohes Risiko für betroffene Personen besteht, werden sie direkt benachrichtigt.

Ursachenanalyse

Nach jedem Vorfall wird eine Ursachenanalyse durchgeführt, wobei sofort Korrekturmaßnahmen ergriffen werden.

10. Interne Sicherheitsmaßnahmen

Überprüfung der Zugriffsrechte

Die Zugriffsrechte werden regelmäßig sowie sofort bei Rollenwechsel oder Austritt überprüft.

Sicherheitsschulungen

Schulungen zu Sicherheitsbewusstsein und Datenschutz sind für alle Mitarbeiter mit Zugriff auf persönliche oder medizinische Daten verpflichtend.

Regelmäßige Updates

Sicherheitsrichtlinien und technische Kontrollen werden regelmäßig überprüft und aktualisiert.

11. AVV & Auftragsverarbeiter

Transtoyou hat mit allen Drittanbietern, einschließlich Hosting-Anbietern, Anbietern für Identitätsprüfung, Apotheken, Ärzten und Marketing-Tools, Auftragsverarbeitungsvereinbarungen (AVV) abgeschlossen.
Auftragsverarbeiter dürfen Daten nur nach Weisung und unter Aufsicht von Transtoyou verarbeiten.
Eine aktuelle Liste der Auftragsverarbeiter ist auf Anfrage erhältlich unter: privacy@transtoyou.com

12. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

Transtoyou führt ein internes Verzeichnis der Verarbeitungstätigkeiten (ROPA) gemäß Artikel 30 DSGVO.

Dieses Verzeichnis umfasst:

alle Verarbeitungstätigkeiten
Zwecke
Kategorien personenbezogener Daten
Auftragsverarbeiter
Speicherorte
Aufbewahrungsfristen
angewandte Sicherheitsmaßnahmen

Es kann den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt werden.

13. Datenschutz-Folgenabschätzungen (DPIA)

Für jede Verarbeitung medizinischer oder sensibler personenbezogener Daten führt Transtoyou regelmäßig Datenschutz-Folgenabschätzungen (DPIAs) gemäß Artikel 35 DSGVO durch.

DPIAs werden auch vor der Einführung neuer Technologien oder Abläufe durchgeführt, wenn damit erhöhte Datenschutzrisiken verbunden sind.

14. Interne Datenschutzverantwortung

Transtoyou ist rechtlich nicht verpflichtet, nach Artikel 37 DSGVO einen Datenschutzbeauftragten zu benennen, da wir unter ärztlicher Schweigepflicht arbeiten.

Wir haben jedoch eine(n) interne Datenschutzverantwortliche benannt, die oder der verantwortlich ist für:

Datenschutz-Compliance
die Pflege unseres Verarbeitungsverzeichnisses
die Durchführung von DPIAs
die Prüfung von Auftragsverarbeitungsverträgen

Diese Person ist der zentrale Ansprechpartner für Datenschutzfragen und unterstützt bei Audits, im Fall von Datenschutzverletzungen und bei der Risikominimierung.

Fragen oder ein Anliegen melden

Wenn du Fragen zur Datensicherheit hast oder eine vermutete Schwachstelle melden möchtest, kontaktiere uns bitte:

Datenschutz- und Sicherheitsteam

Bei Fragen oder Hinweisen zur Sicherheit:
privacy@transtoyou.com

Schwachstelle melden

Du hast ein Sicherheitsproblem entdeckt? Sag uns bitte Bescheid:
privacy@transtoyou.com

Deine Sicherheit hat Priorität

Wir investieren kontinuierlich in den Schutz deiner persönlichen und medizinischen Daten mit modernsten Sicherheitsmaßnahmen.

Datenschutzerklärung DSGVO-Rechte

Typ

Preisspanne

Sexuelle Gesundheit

Hormonelle Gesundheit

Haare & Kopfhaut

Verhütung

Hormone & Fruchtbarkeit

Vaginale Gesundheit & Periode

Transition & Hormontherapie

Weitere Behandlungen

Psychische Gesundheit

Schmerzen & Entzündungen

Chronische Krankheiten

Allergie, Infektionen & Harnwege

Haut & Intimbereich

Hilfe & Support

Deine kostenlosen eHealth-Tools

Über Transtoyou eHealth

Transtoyou Social Media