Datenschutzerklärung

Datenschutzerklärung

Welluna Limited

Stand: März 2026

 

§1 Verantwortlicher und Datenschutzbeauftragter

1.1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des irischen Data Protection Act 2018 ist:


Welluna Limited

Venture Hub, Capel Street, Dublin, D01 T2C9, Irland

E-Mail: support@welluna.de

Website: www.welluna.de

Companies Registration Office (CRO) Nr.: 808738


Als irisches Unternehmen unterliegt Welluna Limited in erster Linie der Aufsicht durch die irische Datenschutzbehörde (Data Protection Commission, DPC). Nutzer mit Wohnsitz in Deutschland können sich zusätzlich an die zuständige deutsche Landesdatenschutzbehörde wenden.


1.2 Datenschutzbeauftragter

Welluna verarbeitet im Kerngeschäft in erheblichem Umfang besondere Kategorien personenbezogener Daten (Gesundheitsdaten gemäß Art. 9 DSGVO) und benennt gemäß Art. 37 Abs. 1 lit. c DSGVO einen Datenschutzbeauftragten, diesen erreichen Sie unter: datenschutz@welluna.de


§2 Überblick über die verarbeiteten Daten

2.1 Kategorien personenbezogener Daten

Je nach Art der Nutzung unserer Dienste verarbeiten wir folgende Datenkategorien:


a) Stamm- und Kontaktdaten

  • Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Geburtsdatum

  • Rechnungs- und Lieferadresse


b) Gesundheitsdaten (besondere Kategorie gemäß Art. 9 DSGVO)

  • Körpergröße, Gewicht, BMI und Gewichtsverlauf

  • Vorerkrankungen und bestehende Medikation

  • Angaben zu psychischer Gesundheit und Essstörungen

  • Laborwerte aus Selbsttests (Monat 1 und 7)

  • Freiwillig in der Web-App eingetragene Gesundheitsdaten

  • Informationen aus ärztlicher Kommunikation und Videokonsultationen

  • Verschriebene Medikamente und Dosierungen


c) Zahlungs- und Vertragsdaten

  • Gewähltes Subscription-Modell und Zahlungsintervall

  • Zahlungsdaten (werden direkt durch unsere Zahlungsdienstleister verarbeitet)

  • Rechnungs- und Transaktionsdaten


d) Nutzungs- und technische Daten

  • IP-Adresse, Gerätetyp, Browser, Betriebssystem

  • Besuchte Seiten, Klickpfade, Verweildauer, Zeitstempel, Referrer-URL


e) Kommunikationsdaten

  • E-Mail-Korrespondenz und Newsletter-Interaktionen

  • WhatsApp-Nachrichten

  • Nachrichten über das interne Support-System der Web-App


§3 Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Basis einer der folgenden Rechtsgrundlagen:


Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Für Verarbeitungen, die Ihrer ausdrücklichen Zustimmung bedürfen (z. B. Marketing-Cookies, Newsletter, WhatsApp-Kommunikation).

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Für Verarbeitungen, die zur Durchführung des Welluna Care-Vertrages erforderlich sind.

Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Für Verarbeitungen zur Erfüllung gesetzlicher Pflichten (z. B. steuer- und handelsrechtliche Aufbewahrungspflichten).

Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Für Verarbeitungen auf Basis unseres überwiegenden berechtigten Interesses (z. B. IT-Sicherheit, Betrugsprävention).

Art. 9 Abs. 2 lit. a DSGVO – Einwilligung in Gesundheitsdaten: Für die Verarbeitung besonderer Datenkategorien auf Basis Ihrer ausdrücklichen und gesonderten Einwilligung.

Art. 9 Abs. 2 lit. h DSGVO – Gesundheitsversorgung: Für die Verarbeitung von Gesundheitsdaten zum Zweck der medizinischen Diagnostik und Behandlung durch approbierte Ärzte.


§4 Hosting und technische Infrastruktur

4.1 Webhosting

Unsere Website und Web-App werden auf Servern eines Cloud-Infrastrukturdienstleisters auf Servern innerhalb der Europäischen Union gehostet. Sämtliche Kundendaten werden ausschließlich auf EU-Servern verarbeitet und gespeichert.

Der Hosting-Dienstleister ist als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig; ein Auftragsverarbeitungsvertrag (AVV) ist abgeschlossen. Auf Anfrage teilen wir Ihnen den Namen des Dienstleisters mit (datenschutz@welluna.de).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.


4.2 SSL/TLS-Verschlüsselung

Sämtliche Datenübertragungen zwischen Ihrem Endgerät und unserer Plattform erfolgen ausschließlich verschlüsselt über HTTPS (SSL/TLS). Dies gilt insbesondere für Gesundheitsdaten, Zahlungsdaten und Anmeldedaten.


§5 Zwecke und Rechtsgrundlagen einzelner Datenverarbeitungen

5.1 Registrierung und Nutzerkonto

Bei der Registrierung erheben wir Name, E-Mail-Adresse und Passwort zur Bereitstellung des Nutzerkontos.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Für die Dauer des Vertragsverhältnisses; nach Vertragsende Löschung binnen 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.


5.2 Anamnese-Fragebogen und Gesundheitsdaten

Im Rahmen der Registrierung und der laufenden Betreuung erheben wir umfangreiche Gesundheitsdaten. Diese sind erforderlich, um eine sichere ärztliche Beurteilung und Behandlung zu ermöglichen, und werden ausschließlich an den behandelnden Arzt weitergegeben. Eine Weitergabe zu Marketingzwecken erfolgt nicht.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) und Art. 9 Abs. 2 lit. h DSGVO (medizinische Behandlung).


5.3 Selbsttests und Laborwerte

Im 1. und 7. Monat Ihrer Welluna Care-Laufzeit führen Sie einen Selbsttest durch. Die Probe wird an ein kooperierendes Fachmedizinlabor weitergeleitet. Die Ergebnisse werden Ihnen und dem behandelnden Arzt zur Verfügung gestellt. Das Labor ist als eigenständiger Verantwortlicher tätig; Welluna erhält die Ergebnisse ausschließlich zur Übermittlung an den Arzt.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a und h DSGVO.


5.4 Videokonsultationen

Für Videokonsultationen zwischen Patient und Arzt können je nach technischer Verfügbarkeit und gegenseitiger Vereinbarung verschiedene gängige Videokonferenz- oder Kommunikationsdienste zum Einsatz kommen. Während einer Konsultation werden Bild und Ton übertragen. Eine Aufzeichnung erfolgt nur mit Ihrer ausdrücklichen Einwilligung. 

Rechtsgrundlage: Art. 9 Abs. 2 lit. a und h DSGVO.


5.5 Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über spezialisierte, PCI-DSS-zertifizierte Zahlungsdienstleister. Zahlungsdaten (z. B. Kreditkartendaten) werden direkt durch diese Dienstleister verarbeitet und nicht auf unseren Servern gespeichert. Je nach gewählter Zahlungsmethode kommen folgende Anbieter zum Einsatz:


Stripe

Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe verfügt über einen EU-Sitz. Daten können auch in die USA übermittelt werden; es bestehen Standarddatenschutzklauseln (SCCs). Datenschutzerklärung: stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.


PayPal

PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxemburg. PayPal kann Daten in Drittländer übermitteln; es bestehen SCCs. Datenschutzerklärung: paypal.com/de/webapps/mpp/ua/privacy-full

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.


Klarna

Klarna Bank AB, Sveavägen 46, 111 34 Stockholm, Schweden. Bei Nutzung von Klarna werden relevante Daten zur Bonitätsprüfung an Klarna übermittelt. Datenschutzerklärung: klarna.com/de/datenschutz/

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.


5.6 E-Mail-Kommunikation und Newsletter

Für den Versand von transaktionalen E-Mails (z. B. Bestellbestätigungen, Rezeptstatus) sowie Marketing-E-Mails nutzen wir einen spezialisierten E-Mail-Marketingdienstleister mit Serverstandort in den USA, gesichert durch Standarddatenschutzklauseln (SCCs) gemäß Art. 46 DSGVO sowie eine Zertifizierung unter dem EU-US Data Privacy Framework.

Marketing-E-Mails und Newsletter versenden wir ausschließlich an Personen, die sich aktiv angemeldet haben (Double-Opt-In). Der Dienstleister kann das Öffnungs- und Klickverhalten von E-Mails messen. Sie können sich jederzeit über den Abmeldelink in jeder E-Mail abmelden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Newsletter; Art. 6 Abs. 1 lit. b DSGVO für transaktionale E-Mails.


5.7 WhatsApp-Kommunikation

Wir bieten auf Wunsch Kommunikation über WhatsApp an (für allgemeine Anfragen und Terminhinweise). Dabei kommen zwei Zugänge zum Einsatz:

  • WhatsApp Business API: über einen autorisierten Business Solution Provider (BSP), der als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig ist.

  • WhatsApp Business App: für direkte Kundenkommunikation. Metadaten werden durch Meta Platforms Ireland Ltd. (6 Serpentine Ave, Dublin, D04 H0C9, Irland) verarbeitet. Meta kann Daten in die USA übermitteln; es bestehen SCCs.


Die WhatsApp-Kommunikation ist Ende-zu-Ende-verschlüsselt. Die Nutzung von WhatsApp als Kommunikationskanal ist freiwillig und setzt Ihre Einwilligung voraus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Datenschutzerklärung WhatsApp: whatsapp.com/legal/privacy-policy


5.8 Website-Analyse und Marketing-Tracking

Alle nachfolgend beschriebenen Analyse- und Marketing-Tools werden ausschließlich aktiviert, wenn Sie über unser Cookie-Consent-Tool aktiv zugestimmt haben. Gesundheitsdaten werden über diese Tools zu keinem Zeitpunkt übermittelt.


Google Analytics 4

Wir nutzen Google Analytics 4 von Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland, zur Analyse des Nutzerverhaltens. IP-Anonymisierung ist aktiviert. Google-Server können sich auch in den USA befinden; Google ist unter dem EU-US Data Privacy Framework zertifiziert, zusätzlich bestehen SCCs. Datenschutzerklärung: policies.google.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).


Meta Pixel und Meta Conversions API

Wir setzen den Meta Pixel sowie die Meta Conversions API von Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland, zur Erfolgsmessung unserer Werbeanzeigen auf Facebook und Instagram ein. Der Pixel übermittelt anonymisierte Ereignisdaten aus Ihrem Browser; die Conversions API ergänzt dies serverseitig. Meta ist unter dem EU-US Data Privacy Framework zertifiziert. Datenschutzerklärung: facebook.com/privacy/policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).


TikTok Pixel

Wir verwenden den TikTok Pixel von TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, Irland, zur Erfolgsmessung von TikTok-Werbekampagnen. TikTok kann Daten in Länder außerhalb der EU übermitteln (USA, Singapur); es bestehen SCCs. Datenschutzerklärung: tiktok.com/legal/page/eea/privacy-policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).


5.9 Cookie-Consent-Management

Wir setzen ein Cookie-Consent-Management-Tool ein, das Ihre Einwilligungsentscheidungen speichert und verwaltet. Das Tool ermöglicht es Ihnen, Einwilligungen selektiv zu erteilen oder abzulehnen. Sie können Ihre Einwilligungen jederzeit über die Cookie-Einstellungen auf unserer Website mit Wirkung für die Zukunft widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c und lit. f DSGVO.


§6 Weitergabe von Daten an Dritte

6.1 Auftragsverarbeiter

Wir geben Ihre Daten an sorgfältig ausgewählte Auftragsverarbeiter gemäß Art. 28 DSGVO weiter, die in unserem Auftrag tätig sind und mit denen AVVs bestehen. Dies umfasst folgende Kategorien:

  • Cloud-Infrastruktur- und Hosting-Dienstleister (EU-Serverstandort)

  • E-Mail-Marketing- und Kommunikationsdienstleister (USA, gesichert durch SCCs)

  • WhatsApp Business API-Partner (BSP, EU/USA, SCCs)

  • Videokonferenzdienstleister (EU)

  • Cookie-Consent-Management-Anbieter


Auf begründete Anfrage teilen wir Ihnen die Namen unserer Auftragsverarbeiter mit (datenschutz@welluna.de).


6.2 Eigenständige Verantwortliche

Folgende Parteien erhalten Ihre Daten als eigenständige Verantwortliche im Rahmen der Leistungserbringung:

  • Kooperierende Ärzte: Anamnese- und Gesundheitsdaten für die ärztliche Behandlung. Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO.

  • Partnerapotheken: Name, Adresse und Rezeptdaten für die Arzneimittellieferung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

  • Fachmedizinlabore: Probenmaterial und Identifikationsdaten. Rechtsgrundlage: Art. 9 Abs. 2 lit. a und h DSGVO.

  • Zahlungsdienstleister (Stripe, PayPal, Klarna): Zahlungs- und Transaktionsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

  • Analysedienstleister (Google, Meta, TikTok): anonymisierte Nutzungsdaten, ausschließlich mit Ihrer Einwilligung.


6.3 Keine Weitergabe von Gesundheitsdaten zu Werbezwecken

Gesundheitsdaten werden zu keinem Zeitpunkt an Werbetreibende, Datenbroker oder sonstige Dritte für Werbezwecke weitergegeben. Eine Zusammenführung von Gesundheitsdaten mit Marketing-Profilen findet nicht statt.


§7 Datenübermittlungen in Drittländer

Einige unserer Dienstleister verarbeiten Daten in Ländern außerhalb der EU/des EWR, insbesondere in den USA. Für alle solchen Übermittlungen stellen wir ein angemessenes Schutzniveau sicher durch:

  • EU-Standarddatenschutzklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder

  • Zertifizierung des Empfängers unter dem EU-US Data Privacy Framework.


Auf Anfrage stellen wir Ihnen die jeweiligen SCCs zur Verfügung (datenschutz@welluna.de).


§8 Speicherdauer und Löschung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie wir einen legitimen Zweck für die Verarbeitung haben und soweit dies zur Erfüllung gesetzlicher Aufbewahrungspflichten, zur Rechtsverteidigung oder zur Beilegung etwaiger Streitigkeiten erforderlich ist.

Die konkrete Speicherdauer richtet sich nach der Art der Daten und dem jeweiligen Verarbeitungszweck. Maßgeblich sind dabei insbesondere die anwendbaren handels- und steuerrechtlichen Aufbewahrungspflichten sowie die medizinrechtlichen Dokumentationspflichten. Nach Wegfall des Verarbeitungszwecks und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen werden die betreffenden Daten routinemäßig gelöscht oder anonymisiert.

Für nähere Informationen zu den für Ihre Daten geltenden Speicherfristen können Sie sich jederzeit an datenschutz@welluna.de wenden.



§9 Ihre Rechte als betroffene Person

Sie haben gegenüber Welluna folgende Rechte gemäß DSGVO:


Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.

Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.

Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.

Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.

Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.

Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Beschwerderecht (Art. 77 DSGVO): Sie können sich bei der irischen Data Protection Commission (DPC), 21 Fitzwilliam Square South, Dublin 2, D02 RD28, Irland (dataprotection.ie) oder der für Ihren Wohnsitz zuständigen deutschen Datenschutzaufsichtsbehörde beschweren.


Zur Ausübung Ihrer Rechte: datenschutz@welluna.de.

§10 Cookies

Unsere Website verwendet Cookies und ähnliche Technologien (z. B. Pixel, lokaler Speicher).


Technisch notwendige Cookies: Unbedingt erforderlich für den Betrieb (Session-Management, Login, Sicherheit). Keine Einwilligung erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Analyse-Cookies: Nur mit Ihrer Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Marketing-Cookies: Nur mit Ihrer Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.


Sie können Ihre Einwilligung jederzeit über unser Cookie-Consent-Tool widerrufen. Zusätzlich können Sie Cookies in Ihren Browser-Einstellungen deaktivieren.


§11 Schutz von Gesundheitsdaten

Die Verarbeitung von Gesundheitsdaten unterliegt nach Art. 9 DSGVO einem besonders hohen Schutzstandard. Wir ergreifen folgende Maßnahmen:

  • Strenge Zugriffsbeschränkungen: Gesundheitsdaten sind nur für den behandelnden Arzt und medizinisch notwendiges Personal zugänglich.

  • Vollständige Verschlüsselung: bei der Übertragung (TLS/SSL) und bei der Speicherung (at-rest encryption).

  • Keine Nutzung für Werbung: Gesundheitsdaten werden nicht für Marketingzwecke genutzt oder weitergegeben.

  • Keine KI-basierte Verarbeitung: Gesundheitsdaten werden ausschließlich durch approbierte Ärzte ausgewertet.

  • Ärztliche Schweigepflicht: Kooperierende Ärzte unterliegen der ärztlichen Schweigepflicht gemäß § 203 StGB.


§12 Datensicherheit

Wir setzen technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein:

  • SSL/TLS-Verschlüsselung aller Datenübertragungen

  • Verschlüsselung gespeicherter Daten (at-rest)

  • Rollenbasierte Zugriffssteuerung und Zugriffsprotokolle

  • Regelmäßige Sicherheits-Updates

  • Auftragsverarbeitungsverträge mit allen Dienstleistern


Bei einer Datenschutzverletzung, die ein Risiko für Ihre Rechte darstellt, werden wir Sie gemäß Art. 34 DSGVO unverzüglich benachrichtigen.


§13 Minderjährigenschutz

Welluna Care richtet sich ausschließlich an Personen ab 18 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen. Sollten uns Anhaltspunkte für eine Registrierung durch Minderjährige vorliegen, werden diese Daten unverzüglich gelöscht.


§14 Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung bei geänderten rechtlichen oder technischen Rahmenbedingungen an. Die aktuelle Version ist stets unter welluna.de/datenschutz abrufbar. Bei wesentlichen Änderungen, die Ihre Rechte berühren, informieren wir Sie per E-Mail.


§15 Kontakt Datenschutz

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte:


E-Mail: datenschutz@welluna.de

Welluna Limited, Venture Hub, Capel Street, Dublin, D01 T2C9, Irland