1. Datenverschlüsselung

Daten im Transit

Alle Daten, die über unsere Website und Apps übertragen werden (z. B. medizinische Informationen, Eingaben zur Identitätsverifizierung, Kontodaten und Bestellungen), sind mit TLS 1.2 oder höher verschlüsselt.

Daten im Ruhezustand

Daten, die in unseren Datenbanken und Backups gespeichert sind, werden mit AES-256 oder gleichwertiger branchenüblicher Kryptografie verschlüsselt.

Modernste Sicherheit

Diese Maßnahmen entsprechen dem "Stand der Technik" Sicherheitsstandard, der durch Artikel 32 der DSGVO / UK DSGVO gefordert wird.

2. Serverstandorte und Hosting

EU-Datenhosting

Alle personenbezogenen Daten von EU-Nutzern werden ausschließlich auf Servern innerhalb des Europäischer Wirtschaftsraum (EWR) gehostet.

Zertifizierte Rechenzentren

Transtoyou verwendet Rechenzentren, die nach ISO 27001, SOC 2 zertifiziert sind und alle relevanten Anforderungen der DSGVO erfüllen.

Internationale Übertragungen

Es werden keine personenbezogenen Daten außerhalb des EWR übertragen, es sei denn, dies geschieht unter:

  • Standardvertragsklauseln (SCCs)
  • Eine Angemessenheitsentscheidung der Europäischen Kommission
  • Die ausdrückliche Zustimmung der betroffenen Person

3. Zugriff auf Nutzerdaten & Datenportabilität (EU-Datenakt)

Nutzer können ihre Konten und dienstgenerierten Daten direkt über ihr Transtoyou-Dashboard abrufen, herunterladen und exportieren.

Wo technisch möglich, können Nutzer auch verlangen, dass Transtoyou diese Daten an einen vom Nutzer benannten Dritten übermittelt, gemäß den geltenden EU-Vorschriften zum Datenzugriff und zur Datenportabilität, einschließlich des EU-Datenakts, wo relevant.

Greife auf Deine Daten zu

Lade Deine Daten direkt von Deinem Dashboard herunter und exportiere sie.

Zum Dashboard gehen

4. Identitätsverifizierung (ID-Check)

Transtoyou kann eine einmalige Identitätsverifizierung verlangen für:

Hochrisikorezeptwege
Gesundheitswege für Transgender, wo gesetzlich oder aus Sicherheitsgründen erforderlich
Verdacht auf Missbrauch, Betrugsindikatoren oder inkonsistente medizinische Angaben
Regulatorische oder apothekenrechtliche Verpflichtungen

Wie die Identitätsverifizierung funktioniert

Die ID-Prüfung umfasst die automatisierte Erkennung eines gültigen, von der Regierung ausgestellten Ausweises und einen Gesichtsnachweis zur Bestätigung der Identität.

Biometrische Daten wird ausschließlich zur einmaligen Identitätsüberprüfung, Betrugsprävention und sicheren Verschreibung verarbeitet. Es wird nicht für Marketing, Profiling oder andere Zwecke verwendet.

Die rechtliche Grundlage für die biometrische Verarbeitung beruht auf Artikel 9(2) DSGVO / UK-DSGVO zusammen mit Artikel 6(1), unterstützt durch DPIAs, strenge Zweckbindung und Aufbewahrungsregeln.

Drittanbieter-Überprüfung

Die Identitätsüberprüfung wird von einem spezialisierten Drittanbieter durchgeführt, der als Auftragsverarbeiter im Auftrag von Transtoyou handelt.

Transtoyou speichert keine Kopie des Ausweisdokuments. Wir erhalten nur einen Überprüfungsstatus und begrenzte Metadaten, die für die Einhaltung und Betrugsprävention erforderlich sind.

Die Aufbewahrung durch den Anbieter ist auf das gesetzlich Erforderliche beschränkt und unterliegt unserer Datenverarbeitungsvereinbarung.

5. Zwei-Faktor-Authentifizierung (2FA)

Mitarbeiter, Ärzte & Apotheken

Obligatorisch

2FA ist für alle Anmeldungen obligatorisch, gemäß den besten Praktiken zur Sicherung des Zugangs zu medizinischen Daten.

Kunden

Optional, aber empfohlen

2FA ist optional, wird jedoch dringend empfohlen. Nach der Aktivierung ist ein zweiter Authentifizierungsschritt (z.B. SMS) bei der Anmeldung oder bei der Bestellung erforderlich.

6. Sensible Operationen & Zugriffssteuerungen

  • Medizinische Überprüfungen und Rezeptgenehmigungen werden nur von zugelassene Ärzte durchgeführt, die sich über 2FA angemeldet haben, wobei der Zugriff auf die erforderlichen Patientendaten beschränkt ist.
  • Für Ärzte sind während sensibler Aktionen keine zusätzlichen Re-Authentifizierungen (z.B. Biometrie) erforderlich, jedoch gelten strenge Rollenbasierte Zugriffskontrolle (RBAC).
  • Jeder Zugriff auf medizinische Unterlagen ist protokolliert und auditierbar.

7. Protokolle & Zugriffsregistrierung

Umfassende Protokollierung

Transtoyou führt Protokolle über alle Zugriffe auf Beratungsdaten, Rezepte, Identitätsüberprüfungen und Benutzerunterlagen.

Regelmäßige Überprüfung

Protokolle werden regelmäßig überprüft, um unbefugte Zugriffe oder Anomalien zu erkennen.

Eingeschränkter Zugriff

Nur autorisierte Personen mit einer definierten operativen Rolle dürfen auf medizinische Unterlagen zugreifen.

8. Sicherheit von Video- und Chatberatungen

Sichere Beratungsplattform

Transtoyou verwendet eine sichere Video- und Chatberatungsplattform mit verschlüsselten Verbindungen (TLS/DTLS/SRTP) und strengen Zugangskontrollen.

Aufzeichnungen von Beratungen

Video- und/oder Chatberatungen dürfen nur dann aufgezeichnet werden, wenn dies notwendig ist für:

  • Klinische Sicherheit
  • Qualitätssicherung
  • Schulung im Zusammenhang mit Patientensicherheit
  • Bearbeitung von Streitigkeiten oder Beschwerden (zum Beispiel, wenn ein Nutzer oder Arzt bestreitet, was während einer Beratung gesagt wurde)

Aufbewahrungsfrist: 90 Tage

Aufzeichnungen werden sicher für einen begrenzten Zeitraum von 90 Tagen gespeichert, nach dem sie automatisch gelöscht werden, es sei denn, eine längere Aufbewahrung ist aufgrund einer offenen Beschwerde, einer gesetzlichen Verpflichtung oder einer laufenden Untersuchung erforderlich. Dies folgt dem Prinzip der Speicherbegrenzung gemäß der DSGVO/UK DSGVO.

Wichtige Schutzmaßnahmen

  • Der Zugriff auf Aufzeichnungen ist streng auf den zugewiesenen Arzt und autorisierte Compliance- oder Streitbeilegungspersonal beschränkt, unter RBAC und vollständiger Prüfprotokollierung.
  • Aufzeichnungen werden niemals für Marketing, Profiling oder andere nicht verwandte Zwecke verwendet.
  • Die Nutzer werden vor Beginn der Konsultation informiert, dass eine Aufzeichnung stattfinden kann, über den Zweck der Aufzeichnung und die Aufbewahrungsdauer.

9. Datenschutzverletzungsschutz

Unser Reaktionsprotokoll

Im Falle einer Datenschutzverletzung informiert Transtoyou:

1

Behörden benachrichtigen

Benachrichtigt die zuständige Datenschutzbehörde (z. B. Andmekaitse Inspektsioon in Estland) innerhalb von 72 Stunden, wie es gemäß den Artikeln 33 und 34 der DSGVO erforderlich ist.

2

Betroffene Nutzer benachrichtigen

Wenn ein hohes Risiko für Personen besteht, werden sie direkt benachrichtigt.

3

Ursachenanalyse

Nach jedem Vorfall wird eine Ursachenanalyse durchgeführt, mit sofortige Korrekturmaßnahmen ergriffen.

10. Interne Sicherheitsmaßnahmen

Überprüfung der Zugriffsrechte

Die Zugriffsrechte werden regelmäßig überprüft und sofort bei Rollenänderungen oder Beendigung überprüft.

Sicherheitstraining

Das Training zur Sicherheitsbewusstsein und Datenschutz ist für alle Mitarbeiter mit Zugang zu persönlichen oder medizinischen Daten verpflichtend.

Regelmäßige Updates

Sicherheitspolitiken und technische Kontrollen werden regelmäßig überprüft und aktualisiert.

11. Datenverarbeitungsvereinbarungen & Auftragsverarbeiter

  • Transtoyou hat Datenverarbeitungsvereinbarungen (DVA) mit allen Drittanbietern (einschließlich Hosting-Anbietern, ID-Überprüfungsanbietern, Apotheken, Ärzten und Marketing-Tools) unterzeichnet.
  • Auftragsverarbeiter dürfen Daten nur unter der Anleitung und Aufsicht von Transtoyou verarbeiten.
  • Eine aktuelle Liste der Auftragsverarbeiter ist auf Anfrage verfügbar unter: privacy@transtoyou.com

12. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Transtoyou führt ein internes Verzeichnis von Verarbeitungstätigkeiten (ROPA) gemäß Artikel 30 der DSGVO.

Dieses Verzeichnis umfasst:

  • Alle Verarbeitungstätigkeiten
  • Zwecke
  • Kategorien personenbezogener Daten
  • Auftragsverarbeiter
  • Speicherorte
  • Aufbewahrungsfristen
  • Angewandte Sicherheitsmaßnahmen

Es steht auf Anfrage den Aufsichtsbehörden zur Verfügung.

13. Datenschutz-Folgenabschätzungen (DPIA)

Für alle Verarbeitung medizinischer oder sensibler personenbezogener Daten führt Transtoyou regelmäßig Datenschutz-Folgenabschätzungen (DPIAs) gemäß Artikel 35 DSGVO durch.

DPIAs werden auch vor der Einführung neuer Technologien oder Arbeitsabläufe durchgeführt, die erhöhte Datenschutzrisiken darstellen.

14. Interner Datenschutzbeauftragter (kein DSB)

Transtoyou ist rechtlich nicht verpflichtet, einen Datenschutzbeauftragten (DSB) gemäß Artikel 37 der DSGVO zu benennen, da wir unter ärztlicher Schweigepflicht arbeiten.

Wir haben jedoch einen internen Datenschutzbeauftragten ernannt, um Folgendes zu überwachen:

  • Datenschutz-Compliance
  • Die Pflege unseres Verarbeitungsverzeichnisses
  • Durchführung von Datenschutz-Folgenabschätzungen
  • Überprüfung von Auftragsverarbeitungsverträgen

Diese Person fungiert als Hauptansprechpartner für Datenschutzangelegenheiten und unterstützt bei Audits, Reaktionsmaßnahmen bei Datenschutzverletzungen und Risikominderung.

Fragen oder Meldung eines Anliegens

Wenn du Fragen zur Datensicherheit hast oder eine (vermutete) Schwachstelle melden möchtest, kontaktiere uns bitte:

Datenschutz- und Sicherheitsteam

Bei Fragen und Bedenken zur Sicherheit:
privacy@transtoyou.com

Schwachstelle melden

Hast du ein Sicherheitsproblem gefunden? Lass es uns wissen:
privacy@transtoyou.com

Deine Sicherheit hat Priorität

Wir investieren kontinuierlich in den Schutz deiner persönlichen und medizinischen Daten mit modernsten Sicherheitsmaßnahmen.

Datenschutzrichtlinie DSGVO-Rechte