Zurück zur Startseite
Rechtliches

Datenschutzerklärung

Stand: 28.04.2026

§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

ErgoFlow, Axel Brinkmann
Schlüttgarten 15
33803 Steinhagen
E-Mail: contact@ergoflow.life

Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO i. V. m. § 38 BDSG nicht zu benennen.

§ 2 Verarbeitete Daten und Zwecke

Kontodaten (Registrierung & Login): Zur Bereitstellung Ihres Nutzerkontos verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse sowie Ihr verschlüsseltes Passwort. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Abrechnungsdaten (Abonnement): Der Abonnement-Kaufvertrag kommt mit der CopeCart GmbH (Berlin) als rechtlichem Vertragspartner und Rechnungssteller zustande. CopeCart verarbeitet Ihre Zahlungsdaten (Name, E-Mail, Zahlungsmittel) als eigenverantwortlicher Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. ErgoFlow erhält von CopeCart lediglich Statusinformationen (Abonnement aktiv/inaktiv) zur Freischaltung des App-Zugangs. Vollständige Zahlungsmitteldaten werden ausschließlich über CopeCart verarbeitet und nicht bei ErgoFlow gespeichert. Rechtsgrundlage für ErgoFlows Verarbeitung: Art. 6 Abs. 1 lit. b DSGVO.

Fachgebiete & Einstellungen: Ihre gewählten Fachgebiete und Nutzerpräferenzen speichern wir in unserer Datenbank, um die App-Inhalte auf Ihre Tätigkeit abzustimmen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Einwilligungen: Alle von Ihnen erteilten oder widerrufenen Einwilligungen (AGB, Datenschutz, Newsletter) werden mit Zeitstempel und technischer Kennung protokolliert. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 7 Abs. 1 DSGVO.

KI-Anfragen und Beratungs-Chats: Texteingaben für KI-gestützte Funktionen sowie die daraus entstehenden Antworten werden von ErgoFlow nicht dauerhaft gespeichert: Chatverläufe existieren ausschließlich für die Dauer der aktiven Browser-Sitzung; auf ErgoFlows eigenen Servern werden keine Eingaben oder Chat-Inhalte gespeichert. Zur Generierung der KI-Antwort werden die eingegebenen Inhalte jedoch an OpenAI (USA) übermittelt und dort serverseitig verarbeitet — diese Übermittlung und die zugehörige Rechtsgrundlage sind in § 3 beschrieben. OpenAI verwendet API-Inhalte vertraglich nicht zum Modelltraining. Es dürfen keine personenbezogenen Patientendaten eingegeben werden (vgl. AGB § 8). Rechtsgrundlage für ErgoFlows Verarbeitung: Art. 6 Abs. 1 lit. b DSGVO.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): ErgoFlow ist ausschließlich als berufliches Arbeitswerkzeug konzipiert — nicht als Patientendokumentation. Gemäß AGB § 8 sind Nutzer verpflichtet, keine zur Identifizierung von Patienten geeigneten Gesundheitsdaten (Art. 9 Abs. 1 DSGVO) einzugeben. Da eine technische Eingabeprüfung systembedingt nicht möglich ist, gilt: Nutzer, die im Rahmen ihrer Tätigkeit Gesundheitsdaten von Patienten verarbeiten, sind verpflichtet, vor jeder entsprechenden Eingabe sicherzustellen, dass sie über eine geeignete Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO verfügen — insbesondere über eine ausdrückliche Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO) oder eine Rechtsgrundlage nach Art. 9 Abs. 2 lit. h DSGVO im Rahmen der Gesundheitsversorgung. Gibt ein Nutzer dennoch solche Daten ein, ist er selbst datenschutzrechtlich Verantwortlicher für diese Verarbeitung. ErgoFlow agiert in diesem Fall als rein technischer Auftragsverarbeiter; ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wird dem Nutzer auf Anfrage zur Verfügung gestellt.

Kontaktformular: Wenn Sie unser Kontaktformular nutzen, verarbeiten wir Ihre Angaben (Anrede, Name, E-Mail-Adresse sowie optional Praxisname, Anschrift und Ihre Nachricht) ausschließlich zur Bearbeitung Ihrer Anfrage. Die Daten werden nicht an Dritte weitergegeben und nach abschließender Bearbeitung, spätestens nach 6 Monaten, gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation mit Interessenten und Kunden).

Newsletter: Sofern Sie dem Erhalt unseres Newsletters zugestimmt haben, verarbeiten wir Ihre E-Mail-Adresse für den Versand. Die Einwilligung kann jederzeit widerrufen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Server-Protokolle: Unser Hosting-Anbieter erfasst technische Zugriffsdaten (IP-Adresse, Zeitstempel, aufgerufene Ressource). Diese werden nach spätestens 30 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Team-Abonnements: Bei Team-Abonnements legt die Praxisleitung (Admin) das Abo ab und verwaltet die Nutzerkonten der Teammitglieder. Jedes Teammitglied erhält ein eigenes, persönliches Nutzerkonto; die verarbeiteten Datenkategorien entsprechen denen des Einzelplatz-Abonnements. Rechtsgrundlage für Kontenanlage und Teamverwaltung: Art. 6 Abs. 1 lit. b DSGVO.

Zur Einrichtung von Teammitgliedern verarbeiten wir folgende zusätzliche Daten: Mitgliedsdaten (durch den Administrator eingegeben): Vorname, Nachname und E-Mail-Adresse des einzuladenden Teammitglieds. Einladungstoken: Zur sicheren Übermittlung der Einladung erzeugen wir einen zeitlich befristeten Zufallstoken (gültig 7 Tage); der Token wird nach erfolgreicher Aktivierung unwiderruflich gelöscht. Mitgliedsstatus: Der Zugangs- und Einladungsstatus (angelegt, eingeladen, aktiv, pausiert, deaktiviert) wird zur Verwaltung der lizenzierten Nutzerzahl (Seats) gespeichert. Einwilligungsnachweise der Teammitglieder: Bei der Kontoaktivierung werden die Einwilligung zur KI-Nutzung (mit Zeitstempel und IP-Adresse) sowie eine optionale Newsletter-Einwilligung protokolliert — analog zu Einzelplatz-Nutzern. Rechtsgrundlage für Einwilligungsprotokolle: Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 7 Abs. 1 DSGVO.

Hinweis für Team-Administratoren: Für die Rechtmäßigkeit der Eingabe von Mitarbeiterdaten in ErgoFlow sind Sie als Administrator selbst verantwortlich — insbesondere für das Vorliegen einer geeigneten Rechtsgrundlage nach Art. 6 DSGVO gegenüber Ihren Mitarbeitern.

Die Praxisleitung hat Einsicht in die Liste aktiver Teammitglieder; auf jegliche inhaltliche Nutzung von ErgoFlow durch einzelne Teammitglieder (z. B. KI-Anfragen, Berichtsentwürfe, Chatverläufe, Fachgebietseinstellungen) hat sie keinen Zugriff. Die Praxisleitung erhält ausschließlich konsolidierte Analysen der App-Nutzung des gesamten Teams (Anzahl Logins des Teams, Anzahl Requests des Teams u. Ä.); Analysen zur App-Nutzung einzelner Teammitglieder erhält die Praxisleitung nicht. Konsolidierte Teamanalysen stehen der Praxisleitung erst ab dem Abonnement-Typ „Team basic" oder „Team large" zur Verfügung. Rechtsgrundlage für konsolidierte Teamanalysen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Praxisleitung an der Nutzungsübersicht ihres Abonnements).

Der Ausschluss individueller Nutzungsauswertungen beruht auf den datenschutzrechtlichen Grundsätzen der Zweckbindung und der Datenminimierung (Art. 5 Abs. 1 lit. b und c DSGVO): Die Daten der Teammitglieder werden zur Erbringung des App-Zugangs erhoben; eine darüber hinausgehende individuelle Verhaltensauswertung für die Praxisleitung ist mit diesem Erhebungszweck unvereinbar und überschreitet das zur Abonnementverwaltung erforderliche Maß. Soweit zwischen Praxisleitung und Teammitgliedern ein Beschäftigungsverhältnis besteht, gilt ergänzend § 26 Abs. 1 BDSG: Verhaltens- und Leistungsdaten von Beschäftigten dürfen nur verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist — was bei individuellen App-Nutzungsanalysen nicht der Fall ist. Grundlage dieses Schutzes ist das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG), dessen einfachgesetzliche Ausprägung im Beschäftigungskontext § 26 BDSG bildet.

§ 3 Eingesetzte Drittanbieter

Mit Clerk, OpenAI und Strato, die als Auftragsverarbeiter in unserem Auftrag personenbezogene Daten verarbeiten, bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. CopeCart GmbH ist für den Abonnement-Kaufvertrag eigenverantwortlicher Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO; ErgoFlow und CopeCart sind insoweit voneinander unabhängige Verantwortliche.

Clerk, Inc. (Authentifizierung): Clerk Technologies, Inc., 548 Market St PMB 72878, San Francisco, CA 94104, USA. Clerk verwaltet Ihr Nutzerkonto und Ihre Login-Sitzungen. Datenübermittlung in die USA auf Grundlage des EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795). Datenschutzerklärung: clerk.com/privacy.

CopeCart GmbH (Zahlungsabwicklung / Kaufvertrag): CopeCart GmbH, Rosenstr. 2, 10178 Berlin, Deutschland (HRB 232852 B, Amtsgericht Charlottenburg). CopeCart ist für den Abonnement-Kaufvertrag rechtlicher Vertragspartner des Nutzers und verarbeitet die dafür erforderlichen Daten (Name, E-Mail, Zahlungsmittel) als eigenverantwortlicher Verantwortlicher — nicht als Auftragsverarbeiter von ErgoFlow. Die Verarbeitung findet ausschließlich innerhalb der EU statt. Datenschutzerklärung: copecart.com/de/datenschutz.

OpenAI, L.L.C. (KI-Funktionen): OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA. Übermittelt werden ausschließlich die vom Nutzer eingegebenen Texte (Fachfragen, beruflicher Arbeitskontext) sowie ein systemseitig definierter Prompt-Kontext zur Steuerung der KI-Ausgabe. Personenbezogene Patientendaten dürfen nicht übermittelt werden (vgl. AGB § 8). OpenAI verarbeitet diese Daten auf eigenen Servern zur Generierung der KI-Antworten; eine dauerhafte Speicherung oder Nutzung für das Training von KI-Modellen erfolgt nach der API Data Usage Policy von OpenAI vertraglich nicht. Datenübermittlung in die USA auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie — soweit zutreffend — des EU-US Data Privacy Framework. Hinweis: Die USA bieten kein mit der EU vergleichbares Datenschutzniveau; trotz der eingesetzten Schutzmaßnahmen besteht ein Restrisiko des Zugriffs durch US-Behörden gemäß US-Recht (z. B. FISA 702). Datenschutzerklärung: openai.com/policies/privacy-policy.

Strato AG (Hosting & Datenbank): Strato AG, Pascalstraße 10, 10587 Berlin, Deutschland. Unsere Anwendung und Datenbank werden auf Servern der Strato AG innerhalb der EU betrieben. Datenschutzerklärung: strato.de/datenschutz.

§ 4 Übermittlung in Drittländer

Clerk (USA) ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Beschluss vom 10. Juli 2023). Die Übermittlung an OpenAI (USA) erfolgt primär auf Grundlage von Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO). Alle übrigen Verarbeitungen — einschließlich CopeCart (Deutschland) und Strato (Deutschland) — finden ausschließlich innerhalb der EU statt; eine Drittlandübermittlung findet insoweit nicht statt.

§ 5 Speicherdauer und automatische Löschung

Profil- und Kontodaten: Ihre Profildaten werden für die Dauer des aktiven Abonnements gespeichert. Nach Ablauf des Abonnements gilt eine Karenzzeit von 90 Tagen, innerhalb derer die Daten weiterhin gespeichert bleiben — dies dient der Absicherung von Rückbuchungs- und Reaktivierungsfristen. Nach Ablauf der Karenzzeit können Nutzer die Pseudonymisierung oder vollständige Löschung ihrer Daten beim Verantwortlichen beantragen (Art. 17 DSGVO). Rechtsgrundlage für die Datenspeicherung bis zum Ende der Karenzzeit: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Absicherung vertraglicher Abwicklungsfristen).

Teammitglieds-Daten: Name, E-Mail und Mitgliedsstatus von Teammitgliedern werden für die Dauer der aktiven Praxiszugehörigkeit gespeichert. Bei Deaktivierung eines Mitglieds wird der Authentifizierungszugang (Clerk-Account) sofort gelöscht. Einladungstoken verfallen nach 7 Tagen automatisch und werden bei Aktivierung oder Stornierung sofort gelöscht.

Kaskade bei Pseudonymisierung oder Löschung des Team-Administrators: Beantragt ein Team-Administrator nach Ablauf seines Abonnements und der 90-tägigen Karenzzeit die Pseudonymisierung oder vollständige Löschung seiner Daten, werden die personenbezogenen Daten aller zugehörigen Teammitglieder sowie die Praxisdaten in gleicher Weise verarbeitet. Hintergrund: Mit Ablauf des Abonnements endet die vertragliche Grundlage für die Datenspeicherung aller Mitglieder der Praxis gleichermaßen; ein fortbestehender individueller Verarbeitungszweck existiert nach diesem Zeitpunkt nicht mehr. Team-Administratoren werden im Rahmen der Beantragung ausdrücklich auf diese Kaskade hingewiesen. Rechtsgrundlage: Art. 17 Abs. 1 lit. b DSGVO (Wegfall des Verarbeitungszwecks).

Abrechnungsdaten: Rechnungen werden von CopeCart GmbH als rechtlichem Kaufvertragspartner ausgestellt und unterliegen den gesetzlichen Aufbewahrungspflichten (§ 257 HGB, § 147 AO — bis zu 10 Jahre). Vollständige Zahlungsmitteldaten werden ausschließlich über CopeCart verarbeitet und nicht bei ErgoFlow gespeichert.

Einwilligungsprotokolle: Nachweise über erteilte oder widerrufene Einwilligungen werden mindestens 3 Jahre nach Widerruf gespeichert (Art. 7 Abs. 1 DSGVO).

Kontaktformular-Daten: Anfragen über das Kontaktformular werden nach abschließender Bearbeitung, spätestens nach 6 Monaten, gelöscht.

Newsletter: Ihre E-Mail-Adresse für den Newsletter wird unmittelbar nach Widerruf der Einwilligung gelöscht.

Server-Protokolle: Technische Zugriffsprotokolle werden nach spätestens 30 Tagen gelöscht.

§ 6 Tracking und Analyse

Wir setzen keine Analyse- oder Tracking-Werkzeuge ein (kein Google Analytics, kein Matomo, kein eTracker oder vergleichbare Dienste). Es werden keine Nutzerprofile zu Werbezwecken erstellt. Es findet kein verhaltensbasiertes Targeting statt.

§ 7 Cookies

Wir verwenden ausschließlich technisch notwendige Cookies: Clerk setzt ein Session-Cookie zur Aufrechterhaltung Ihrer Anmeldung, CopeCart setzt im Checkout-Prozess Cookies zur Sitzungsverwaltung und Zahlungsabwicklung. Tracking-, Analyse- oder Werbe-Cookies werden nicht eingesetzt.

Da sämtliche Cookies technisch notwendig sind, ist auf dieser Website bewusst kein Cookie-Consent-Banner vorhanden. Eine Einwilligung ist gemäß § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich.

§ 8 Ihre Rechte

Hinweis nach Art. 21 DSGVO: Soweit wir Daten auf Grundlage berechtigter Interessen verarbeiten (Art. 6 Abs. 1 lit. f DSGVO — betrifft insbesondere Server-Protokolle und Kontaktformular-Daten), haben Sie das Recht, jederzeit Widerspruch einzulegen. Im Falle des Widerspruchs verarbeiten wir die betreffenden Daten nicht mehr, sofern wir keine zwingenden schutzwürdigen Gründe für die Verarbeitung nachweisen können, die Ihre Interessen überwiegen. Wenden Sie sich dazu an: contact@ergoflow.life
Hinweis für Mitglieder eines Team-Abonnements: Ihre Datenschutzrechte nach Art. 15–21 DSGVO sind personenbezogen und unabhängig davon, ob Ihr Nutzerkonto von einer Praxisleitung administriert wird. Sie können Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie Datenübertragbarkeit jederzeit direkt und ohne Einschaltung der Praxisleitung geltend machen — auch wenn das Team-Abonnement noch aktiv ist. Eine Löschung Ihres persönlichen Nutzerkontos auf eigenen Antrag berührt das Team-Abonnement als solches nicht.

Hinweis zur Kaskade: Beantragt Ihre Praxisleitung nach Ablauf des Team-Abonnements und der 90-tägigen Karenzzeit die Pseudonymisierung oder Löschung ihrer eigenen Daten, werden Ihre Daten als Teammitglied in gleicher Weise verarbeitet. Dies ergibt sich aus dem Wegfall der vertraglichen Grundlage für die gesamte Praxis (Art. 17 Abs. 1 lit. b DSGVO). Sofern Sie dies verhindern möchten, wenden Sie sich vor Ablauf der Karenzzeit direkt an: contact@ergoflow.life

Daneben haben Sie folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Welche Daten wir über Sie verarbeiten
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, sofern keine Aufbewahrungspflicht besteht
  • Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO): Herausgabe Ihrer Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf (Art. 7 Abs. 3 DSGVO): Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte wenden Sie sich an: contact@ergoflow.life

§ 9 Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Die zuständige Aufsichtsbehörde für Nordrhein-Westfalen ist der Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Postfach 20 04 44, 40102 Düsseldorf, www.ldi.nrw.de. Eine Liste aller deutschen Aufsichtsbehörden finden Sie unter: bfdi.bund.de

§ 10 Aktualität

Diese Datenschutzerklärung ist aktuell gültig (Stand: 28.04.2026). Wir behalten uns vor, sie bei Änderungen der App, der eingesetzten Dienste oder der Rechtslage anzupassen. Wesentliche Änderungen werden registrierten Nutzern per E-Mail mitgeteilt.

QR-Code ErgoFlow
App öffnen ErgoFlow
direkt starten Jetzt ausprobieren →