Datenschutzerklärung

Welluna Limited · Stand: März 2026

§1 Verantwortlicher und Datenschutzbeauftragter

1.1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des irischen Data Protection Act 2018 ist:

Welluna Limited
Venture Hub, Capel Street, Dublin, D01 T2C9, Irland
E-Mail: support@welluna.de
Website: www.welluna.de
Companies Registration Office (CRO) Nr.: 808738

Als irisches Unternehmen unterliegt Welluna Limited in erster Linie der Aufsicht durch die irische Datenschutzbehörde (Data Protection Commission, DPC). Nutzer mit Wohnsitz in Deutschland können sich zusätzlich an die zuständige deutsche Landesdatenschutzbehörde wenden.

1.2 Datenschutzbeauftragter

Welluna verarbeitet im Kerngeschäft in erheblichem Umfang besondere Kategorien personenbezogener Daten (Gesundheitsdaten gemäß Art. 9 DSGVO) und benennt gemäß Art. 37 Abs. 1 lit. c DSGVO einen Datenschutzbeauftragten, diesen erreichen Sie unter: datenschutz@welluna.de

§2 Überblick über die verarbeiteten Daten

2.1 Kategorien personenbezogener Daten

Je nach Art der Nutzung unserer Dienste verarbeiten wir folgende Datenkategorien:

a) Stamm- und Kontaktdaten

  • Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Geburtsdatum
  • Rechnungs- und Lieferadresse

b) Gesundheitsdaten (besondere Kategorie gemäß Art. 9 DSGVO)

  • Körpergröße, Gewicht, BMI und Gewichtsverlauf
  • Vorerkrankungen und bestehende Medikation
  • Angaben zu psychischer Gesundheit und Essstörungen
  • Laborwerte aus Selbsttests (Monat 1 und 7)
  • In der Web-App eingetragene Gesundheitsdaten, insbesondere Gewichts-Tracking, Befinden, Nebenwirkungen sowie Dosis-Einträge
  • Informationen aus ärztlicher Kommunikation und Videokonsultationen
  • Verschriebene Medikamente und Dosierungen
  • Ausweisdokumente zur Identitätsprüfung sowie Ganzkörperfoto (zur klinischen Beurteilung durch den Arzt) – diese Daten werden verschlüsselt gespeichert und ausschließlich vom behandelnden Arzt eingesehen

c) Zahlungs- und Vertragsdaten

  • Gewähltes Subscription-Modell und Zahlungsintervall
  • Zahlungsdaten (werden direkt durch unsere Zahlungsdienstleister verarbeitet)
  • Rechnungs- und Transaktionsdaten

d) Nutzungs- und technische Daten

  • IP-Adresse, Gerätetyp, Browser, Betriebssystem
  • Besuchte Seiten, Klickpfade, Verweildauer, Zeitstempel, Referrer-URL

e) Kommunikationsdaten

  • E-Mail-Korrespondenz und Newsletter-Interaktionen
  • WhatsApp-Nachrichten
  • Nachrichten über das interne Support-System der Web-App

§3 Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Basis einer der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Für Verarbeitungen, die Ihrer ausdrücklichen Zustimmung bedürfen (z. B. Marketing-Cookies, Newsletter, WhatsApp-Kommunikation).
  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Für Verarbeitungen, die zur Durchführung des Welluna Care-Vertrages erforderlich sind.
  • Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Für Verarbeitungen zur Erfüllung gesetzlicher Pflichten (z. B. steuer- und handelsrechtliche Aufbewahrungspflichten).
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Für Verarbeitungen auf Basis unseres überwiegenden berechtigten Interesses (z. B. IT-Sicherheit, Betrugsprävention).
  • Art. 9 Abs. 2 lit. a DSGVO – Einwilligung in Gesundheitsdaten: Für die Verarbeitung besonderer Datenkategorien auf Basis Ihrer ausdrücklichen und gesonderten Einwilligung.
  • Art. 9 Abs. 2 lit. h DSGVO – Gesundheitsversorgung: Für die Verarbeitung von Gesundheitsdaten zum Zweck der medizinischen Diagnostik und Behandlung durch approbierte Ärzte.

§4 Hosting und technische Infrastruktur

4.1 Webhosting

Unser Arzt-Dashboard und unsere Patienten-Webapp werden auf Servern von Cloud-Infrastrukturdienstleistern innerhalb der Europäischen Union gehostet. Die persönlichen und medizinischen Daten unserer Patienten werden ausschließlich in der EU verarbeitet und gespeichert. Der Shopify-Storefront (welluna.de) nutzt Shopifys globale CDN-Infrastruktur; im Rahmen der Bestellabwicklung übermittelte Kunden- und Bestelldaten werden von Shopify jedoch gemäß dem Shopify-Auftragsverarbeitungsvertrag (DPA) verarbeitet.

Der Hosting-Dienstleister ist als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig; ein Auftragsverarbeitungsvertrag (AVV) ist abgeschlossen. Auf Anfrage teilen wir Ihnen den Namen des Dienstleisters mit (datenschutz@welluna.de).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

4.2 SSL/TLS-Verschlüsselung

Sämtliche Datenübertragungen zwischen Ihrem Endgerät und unserer Plattform erfolgen ausschließlich verschlüsselt über HTTPS (SSL/TLS). Dies gilt insbesondere für Gesundheitsdaten, Zahlungsdaten und Anmeldedaten.

§5 Zwecke und Rechtsgrundlagen einzelner Datenverarbeitungen

5.1 Registrierung und Nutzerkonto

Bei der Registrierung erheben wir Name, E-Mail-Adresse und Passwort zur Bereitstellung des Nutzerkontos.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Für die Dauer des Vertragsverhältnisses; nach Vertragsende Löschung binnen 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5.2 Anamnese-Fragebogen und Gesundheitsdaten

Im Rahmen der Registrierung und der laufenden Betreuung erheben wir umfangreiche Gesundheitsdaten. Diese sind erforderlich, um eine sichere ärztliche Beurteilung und Behandlung zu ermöglichen. Gesundheitsdaten werden an den behandelnden Arzt sowie – soweit für die Arzneimittelabgabe erforderlich und mit Ihrer Einwilligung – in Form von Rezeptdaten an die Partnerapotheke weitergegeben. Eine Weitergabe zu Marketingzwecken erfolgt nicht.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) und Art. 9 Abs. 2 lit. h DSGVO (medizinische Behandlung).

5.3 Selbsttests und Laborwerte

Im 1. und 7. Monat Ihrer Welluna Care-Laufzeit führen Sie einen Selbsttest durch. Die Probe wird zur Analyse an Probatix Health GmbH (Bismarckstr. 10-12, 10625 Berlin) übermittelt. Probatix ist Auftragsverarbeiter gemäß Art. 28 DSGVO für die Lab-Analyse selbst, jedoch eigenständig Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Patient-Mail-Kommunikation rund um die Test-Bestellung (siehe my.probatix.de). Die Verarbeitung erfolgt ausschließlich innerhalb der EU.

Mail-Kommunikation Probatix: Probatix sendet Ihnen folgende Mails direkt zu: Bestellbestätigung (sofort nach Lab-Order), Versand-Bestätigung mit DHL-Tracking, Aktivierungs-Anweisung (ca. 36h nach Versand), Authentifizierungs-Mail (nach Eingabe Ihrer E-Mail auf my.probatix.de), „Probe im Labor angekommen“-Update, „Ergebnisse verfügbar“-Benachrichtigung sowie Erinnerungen 6 + 12 Wochen falls die Probe nicht zurückgesendet wurde. Probatix nutzt SendGrid (Twilio Inc., USA) für den Mail-Versand auf Basis von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO. Welluna sendet Ihnen separat die ärztlich eingeordnete Auswertung Ihrer Werte über die Welluna-App, sobald Ihr Arzt die Werte besprochen hat.

Detaillierte Informationen zur Probatix-Datenverarbeitung finden Sie unter probatix.de/rechtliches/my-probatix-datenschutzbestimmungen/.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a und h DSGVO für die Lab-Analyse; Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Probatix-Patient-Mail-Kommunikation.

5.4 Videokonsultationen

Für Videokonsultationen zwischen Patient und Arzt können je nach technischer Verfügbarkeit und gegenseitiger Vereinbarung verschiedene gängige Videokonferenz- oder Kommunikationsdienste zum Einsatz kommen. Während einer Konsultation werden Bild und Ton übertragen. Eine Aufzeichnung erfolgt nur mit Ihrer ausdrücklichen Einwilligung.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a und h DSGVO.

5.5 Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über spezialisierte, PCI-DSS-zertifizierte Zahlungsdienstleister. Zahlungsdaten (z. B. Kreditkartendaten) werden direkt durch diese Dienstleister verarbeitet und nicht auf unseren Servern gespeichert. Je nach gewählter Zahlungsmethode kommen folgende Anbieter zum Einsatz:

Stripe
Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe verfügt über einen EU-Sitz. Daten können auch in die USA übermittelt werden; es bestehen Standarddatenschutzklauseln (SCCs). Datenschutzerklärung: stripe.com/de/privacy
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

PayPal
PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxemburg. PayPal kann Daten in Drittländer übermitteln; es bestehen SCCs. Datenschutzerklärung: paypal.com/de/webapps/mpp/ua/privacy-full
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Klarna
Klarna Bank AB, Sveavägen 46, 111 34 Stockholm, Schweden. Bei Nutzung von Klarna werden relevante Daten zur Bonitätsprüfung an Klarna übermittelt. Datenschutzerklärung: klarna.com/de/datenschutz/
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.6 E-Mail-Kommunikation und Newsletter

Für den Versand von transaktionalen E-Mails (z. B. Bestellbestätigungen, Rezeptstatus) sowie Marketing-E-Mails nutzen wir einen spezialisierten E-Mail-Marketingdienstleister mit Serverstandort in den USA, gesichert durch Standarddatenschutzklauseln (SCCs) gemäß Art. 46 DSGVO sowie eine Zertifizierung unter dem EU-US Data Privacy Framework.

Marketing-E-Mails und Newsletter versenden wir ausschließlich an Personen, die sich aktiv angemeldet haben (Double-Opt-In). Der Dienstleister kann das Öffnungs- und Klickverhalten von E-Mails messen. Sie können sich jederzeit über den Abmeldelink in jeder E-Mail abmelden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Newsletter; Art. 6 Abs. 1 lit. b DSGVO für transaktionale E-Mails.

5.7 WhatsApp-Kommunikation

Wir bieten auf Wunsch Kommunikation über WhatsApp an (für allgemeine Anfragen und Terminhinweise). Dabei kommen zwei Zugänge zum Einsatz:

  • WhatsApp Business API: über einen autorisierten Business Solution Provider (BSP), der als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig ist.
  • WhatsApp Business App: für direkte Kundenkommunikation. Metadaten werden durch Meta Platforms Ireland Ltd. (6 Serpentine Ave, Dublin, D04 H0C9, Irland) verarbeitet. Meta kann Daten in die USA übermitteln; es bestehen SCCs.

Die WhatsApp-Kommunikation ist Ende-zu-Ende-verschlüsselt. Die Nutzung von WhatsApp als Kommunikationskanal ist freiwillig und setzt Ihre Einwilligung voraus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Datenschutzerklärung WhatsApp: whatsapp.com/legal/privacy-policy

5.8 Website-Analyse und Marketing-Tracking

Alle nachfolgend beschriebenen Analyse- und Marketing-Tools werden ausschließlich aktiviert, wenn Sie über unser Cookie-Consent-Tool aktiv zugestimmt haben. Gesundheitsdaten werden über diese Tools zu keinem Zeitpunkt übermittelt.

Google Analytics 4
Wir nutzen Google Analytics 4 von Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland, zur Analyse des Nutzerverhaltens. IP-Anonymisierung ist aktiviert. Google-Server können sich auch in den USA befinden; Google ist unter dem EU-US Data Privacy Framework zertifiziert, zusätzlich bestehen SCCs. Datenschutzerklärung: policies.google.com/privacy
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Meta Pixel und Meta Conversions API
Wir setzen den Meta Pixel sowie die Meta Conversions API von Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland, zur Erfolgsmessung unserer Werbeanzeigen auf Facebook und Instagram ein. Der Pixel übermittelt anonymisierte Ereignisdaten aus Ihrem Browser; die Conversions API ergänzt dies serverseitig. Meta ist unter dem EU-US Data Privacy Framework zertifiziert. Datenschutzerklärung: facebook.com/privacy/policy
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

TikTok Pixel
Wir verwenden den TikTok Pixel von TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, Irland, zur Erfolgsmessung von TikTok-Werbekampagnen. TikTok kann Daten in Länder außerhalb der EU übermitteln (USA, Singapur); es bestehen SCCs. Datenschutzerklärung: tiktok.com/legal/page/eea/privacy-policy
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

5.9 Cookie-Consent-Management

Wir setzen ein Cookie-Consent-Management-Tool ein, das Ihre Einwilligungsentscheidungen speichert und verwaltet. Das Tool ermöglicht es Ihnen, Einwilligungen selektiv zu erteilen oder abzulehnen. Sie können Ihre Einwilligungen jederzeit über die Cookie-Einstellungen auf unserer Website mit Wirkung für die Zukunft widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c und lit. f DSGVO.

5.10 Interessenten- und Lead-Daten

Wenn Sie sich für unser Angebot interessieren, jedoch noch keinen Vertrag abschließen, können wir Ihre Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer) als Lead-Daten erfassen, um Ihnen weiterführende Informationen zukommen zu lassen. Diese Daten werden nach 90 Tagen gelöscht, sofern kein Vertragsverhältnis zustande kommt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kundenansprache).

5.11 Automatisiertes Gesundheitsmonitoring und In-App-Benachrichtigungen

Im Rahmen der Behandlungsbegleitung verarbeiten wir Ihre täglich eingetragenen Tracking-Daten (Gewicht, Befinden, Nebenwirkungen, Dosiseinträge) in regelmäßigen Abständen automatisiert, um klinisch relevante Auffälligkeiten zu erkennen (z. B. kritische Nebenwirkungen, Dosisabweichungen, Gewichtsentwicklung, Inaktivität). Auffälligkeiten werden als Arzt-Alerts aufbereitet und stets von einem approbierten Arzt bewertet – es erfolgen keine vollautomatisierten Entscheidungen im Sinne von Art. 22 DSGVO ohne menschliche Überprüfung.

Im Rahmen der Behandlung erhalten Sie automatisierte In-App-Benachrichtigungen, darunter Dosis-Erinnerungen, Check-in-Erinnerungen, Follow-up-Aufforderungen und Mitteilungen über ärztliche Entscheidungen (z. B. Dosisanpassungen). Diese Benachrichtigungen werden in Ihrer Patienten-Webapp angezeigt und betreffen ausschließlich Ihre laufende Behandlung.

Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO (medizinische Versorgung), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

§6 Weitergabe von Daten an Dritte

6.1 Auftragsverarbeiter

Wir geben Ihre Daten an sorgfältig ausgewählte Auftragsverarbeiter gemäß Art. 28 DSGVO weiter, die in unserem Auftrag tätig sind und mit denen AVVs bestehen. Dies umfasst folgende Kategorien:

  • Cloud-Infrastruktur- und Hosting-Dienstleister (EU-Serverstandort)
  • E-Mail-Marketing- und Kommunikationsdienstleister (USA, gesichert durch SCCs)
  • WhatsApp Business API-Partner (BSP, EU/USA, SCCs)
  • Videokonferenzdienstleister (EU)
  • Cookie-Consent-Management-Anbieter
  • E-Commerce-Plattform für Bestellabwicklung und Abonnementverwaltung (globales CDN, Zahlungsdaten werden durch den jeweiligen Zahlungsdienstleister verarbeitet)
  • Formular- und Fragebogendienstleister für die digitale Erfassung von Anamnese- und Gesundheitsdaten
  • Qualifizierter Vertrauensdiensteanbieter (EU) für die elektronische Signatur von Rezepten gemäß eIDAS-Verordnung (verarbeitet Rezept-PDFs mit Patientendaten ausschließlich zur Signaturerstellung)
  • Probatix Health GmbH, Bismarckstr. 10-12, 10625 Berlin (Laboranalysen: Stamm- und Gesundheitsdaten, ausschließlich EU)

Auf begründete Anfrage teilen wir Ihnen die Namen unserer Auftragsverarbeiter mit (datenschutz@welluna.de).

6.2 Eigenständige Verantwortliche

Folgende Parteien erhalten Ihre Daten als eigenständige Verantwortliche im Rahmen der Leistungserbringung:

  • Kooperierende Ärzte: Anamnese- und Gesundheitsdaten für die ärztliche Behandlung. Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO.
  • Partnerapotheken: Name, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Liefer- und Rechnungsadresse sowie Rezeptdaten (Medikament, Dosierung, Menge) für die Arzneimittelabgabe und -lieferung. Die Partnerapotheke ist für die Verarbeitung Ihrer Daten im Zusammenhang mit der pharmazeutischen Leistungserbringung (insbesondere Prüfung, Abgabe und Versand des Arzneimittels) eigenständiger Verantwortlicher und kann Sie bei Liefer- oder Rückfragen direkt kontaktieren. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Auswahl der Partnerapotheke) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für die Verarbeitung von Gesundheitsdaten durch die Apotheke: Art. 9 Abs. 2 lit. h DSGVO.
  • Zahlungsdienstleister (Stripe, PayPal, Klarna): Zahlungs- und Transaktionsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Analysedienstleister (Google, Meta, TikTok): anonymisierte Nutzungsdaten, ausschließlich mit Ihrer Einwilligung.

6.3 Keine Weitergabe von Gesundheitsdaten zu Werbezwecken

Gesundheitsdaten werden zu keinem Zeitpunkt an Werbetreibende, Datenbroker oder sonstige Dritte für Werbezwecke weitergegeben. Eine Zusammenführung von Gesundheitsdaten mit Marketing-Profilen findet nicht statt.

§7 Datenübermittlungen in Drittländer

Einige unserer Dienstleister verarbeiten Daten in Ländern außerhalb der EU/des EWR, insbesondere in den USA. Für alle solchen Übermittlungen stellen wir ein angemessenes Schutzniveau sicher durch:

  • EU-Standarddatenschutzklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder
  • Zertifizierung des Empfängers unter dem EU-US Data Privacy Framework.

Auf Anfrage stellen wir Ihnen die jeweiligen SCCs zur Verfügung (datenschutz@welluna.de).

§8 Speicherdauer und Löschung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Konkrete Speicherfristen:

  • Stammdaten (Name, Kontakt, Konto): für die Dauer der Vertragsbeziehung; Löschung 30 Tage nach Vertragsende, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Behandlungs- und Gesundheitsdaten (Anamnese, Diagnosen, Medikation, ärztliche Kommunikation): 10 Jahre nach Ende der Behandlung (§ 630f Abs. 3 BGB).
  • Laborwerte und Befunde: 10 Jahre (medizinische Dokumentationspflicht).
  • Tracking-Daten in der Web-App (Gewicht, Befinden, Dosis, Nebenwirkungen): 30 Tage nach Vertragsende, sofern nicht Bestandteil der ärztlichen Behandlungsdokumentation.
  • Rechnungs- und Vertragsdaten: 10 Jahre (§ 147 Abs. 1 AO, § 257 HGB).
  • Server-Logfiles: 30 Tage.
  • Lead-Daten (vor Vertragsschluss): 90 Tage.
  • Newsletter- und Marketing-Einwilligungen: bis zum Widerruf, danach Speicherung der Widerrufserklärung zu Nachweiszwecken.

Nach Wegfall des Verarbeitungszwecks und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen werden die betreffenden Daten routinemäßig gelöscht oder anonymisiert.

Für nähere Informationen zu den für Ihre Daten geltenden Speicherfristen können Sie sich jederzeit an datenschutz@welluna.de wenden.

§9 Ihre Rechte als betroffene Person

Sie haben gegenüber Welluna folgende Rechte gemäß DSGVO:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
  • Beschwerderecht (Art. 77 DSGVO): Sie können sich bei der irischen Data Protection Commission (DPC), 21 Fitzwilliam Square South, Dublin 2, D02 RD28, Irland (dataprotection.ie) oder der für Ihren Wohnsitz zuständigen deutschen Datenschutzaufsichtsbehörde beschweren.

Zur Ausübung Ihrer Rechte: datenschutz@welluna.de

§10 Cookies

Unsere Website verwendet Cookies und ähnliche Technologien (z. B. Pixel, lokaler Speicher).

  • Technisch notwendige Cookies: Unbedingt erforderlich für den Betrieb (Session-Management, Login, Sicherheit). Keine Einwilligung erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • Analyse-Cookies: Nur mit Ihrer Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
  • Marketing-Cookies: Nur mit Ihrer Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Sie können Ihre Einwilligung jederzeit über unser Cookie-Consent-Tool widerrufen. Zusätzlich können Sie Cookies in Ihren Browser-Einstellungen deaktivieren.

§11 Schutz von Gesundheitsdaten

Die Verarbeitung von Gesundheitsdaten unterliegt nach Art. 9 DSGVO einem besonders hohen Schutzstandard. Wir ergreifen folgende Maßnahmen:

  • Strenge Zugriffsbeschränkungen: Gesundheitsdaten sind nur für den behandelnden Arzt und medizinisch notwendiges Personal zugänglich.
  • Vollständige Verschlüsselung: bei der Übertragung (TLS/SSL) und bei der Speicherung (at-rest encryption).
  • Keine Nutzung für Werbung: Gesundheitsdaten werden nicht für Marketingzwecke genutzt oder weitergegeben.
  • Keine KI-basierte Verarbeitung: Gesundheitsdaten werden ausschließlich durch approbierte Ärzte ausgewertet.
  • Ärztliche Schweigepflicht: Kooperierende Ärzte unterliegen der ärztlichen Schweigepflicht gemäß § 203 StGB.
  • Feldverschlüsselung: Besonders sensible Datenfelder (z. B. Vorerkrankungen, Medikation, Telefonnummer, Geburtsdatum) werden zusätzlich auf Datenbankebene verschlüsselt gespeichert.
  • Qualifizierte elektronische Signatur (QES): Rezepte werden ausschließlich mit einer qualifizierten elektronischen Signatur gemäß eIDAS-Verordnung versehen, bevor sie an die Partnerapotheke übermittelt werden.

§12 Datensicherheit

Wir setzen technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein:

  • SSL/TLS-Verschlüsselung aller Datenübertragungen
  • Verschlüsselung gespeicherter Daten (at-rest)
  • Rollenbasierte Zugriffssteuerung und Zugriffsprotokolle
  • Regelmäßige Sicherheits-Updates
  • Auftragsverarbeitungsverträge mit allen Dienstleistern

Bei einer Datenschutzverletzung, die ein Risiko für Ihre Rechte darstellt, werden wir Sie gemäß Art. 34 DSGVO unverzüglich benachrichtigen.

§13 Minderjährigenschutz

Welluna Care richtet sich ausschließlich an Personen ab 18 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen. Sollten uns Anhaltspunkte für eine Registrierung durch Minderjährige vorliegen, werden diese Daten unverzüglich gelöscht.

§14 Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung bei geänderten rechtlichen oder technischen Rahmenbedingungen an. Die aktuelle Version ist stets unter welluna.de/pages/datenschutz abrufbar. Bei wesentlichen Änderungen, die Ihre Rechte berühren, informieren wir Sie per E-Mail.

§15 Kontakt Datenschutz

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte:

E-Mail: datenschutz@welluna.de
Welluna Limited, Venture Hub, Capel Street, Dublin, D01 T2C9, Irland