Datenschutzerklärung der Medicgreen GmbH

Stand: 06.09.2025
Medicgreen GmbH, Heinrich‑Krumm‑Straße 20, 63073 Offenbach am Main
E‑Mail: info@medicgreen.de · Telefon: +49 163 8917631
Website: https://medicgreen.de
Geschäftsführer: Florian Schmid

Kurz zusammengefasst: Wir betreiben eine technische Plattform zur Vermittlung zwischen Patientinnen und selbstständigen Ärztinnen sowie zur Weiterleitung von Rezepten an lizensierte Apotheken. Wir verkaufen keine Arzneimittel und wickeln keine Medikamentenzahlungen ab. Gesundheitsdaten werden nur zweckgebunden und auf Grundlage der DSGVO verarbeitet.

1. Verantwortlicher und Kontakt

Verantwortlicher (Art. 4 Nr. 7 DSGVO):
Medicgreen GmbH, Heinrich‑Krumm‑Straße 20, 63073 Offenbach am Main
E‑Mail: info@medicgreen.de · Telefon: +49 163 8917631

Datenschutzbeauftragte/r (Art. 37 DSGVO):
Sofern bestellt, erreichen Sie unsere/n Datenschutzbeauftragte/n unter datenschutz@medicgreen.de. (Hinweis: Bestellung erfolgt nach Maßgabe von Art. 37 DSGVO/BDSG.)

2. Geltungsbereich

Diese Erklärung gilt für alle Verarbeitungen personenbezogener Daten beim Besuch unserer Website, bei der Registrierung/Nutzung unserer Plattform, bei Kontaktaufnahmen sowie bei der telemedizinischen Vermittlung und Übermittlung von Rezepten an Apotheken.

3. Rollen & Verantwortlichkeiten

  • Ärzt*innen handeln bei Diagnostik, Behandlung, Verordnung und Dokumentation eigenverantwortlich als selbstständige Verantwortliche (Art. 4 Nr. 7 DSGVO).
  • Apotheken handeln bei Prüfung, Abgabe und Abrechnung von Arzneimitteln eigenverantwortlich als Verantwortliche.
  • Medicgreen handelt:
    • als eigener Verantwortlicher für die Bereitstellung der Plattform, Nutzerkonten, IT‑Sicherheit, Support, Termin-/Kommunikationsvermittlung, Consent-Management etc.;
    • als Auftragsverarbeiter (Art. 28 DSGVO) gegenüber Ärzt*innen, soweit wir rein weisungsgebundene Tätigkeiten erbringen (z. B. sichere Fragebogen- und Dokumentenübermittlung, Hosting/Archivierung ärztlicher Dokumentation im Auftrag). Hierüber schließen wir Auftragsverarbeitungsverträge;
    • nicht als Verkäufer/Abrechnungsstelle für Medikamente.

4. Grundsätze (Art. 5 DSGVO)

Wir verarbeiten Daten rechtmäßig, zweckgebunden, transparent und datenminimiert. Speicherungen erfolgen nur so lange, wie es zur Zweckerfüllung oder zur Einhaltung gesetzlicher Pflichten erforderlich ist. Es gelten Integrität/Vertraulichkeit durch geeignete technische und organisatorische Maßnahmen (TOM).

5. Kategorien personenbezogener Daten

  • Stammdaten: Name, Anschrift, Geburtsdatum, Geschlecht, Versichertenstatus, Versicherungsnummer.
  • Kontaktdaten: E‑Mail, Telefon, ggf. KIM/Telematik‑Kontakte.
  • Nutzungs-/Kontodaten: Login‑Kennungen, Rollen, Zeitstempel, Einwilligungen, Kommunikationspräferenzen.
  • Gesundheitsdaten (Art. 9 DSGVO): Anamnese, Diagnosen, Symptome, Medikationshistorie, Allergien, Befunde, Bild-/PDF‑Dokumente (z. B. Arztbriefe, Labor), Informationen zu Cannabisarzneimitteln.
  • Technische Daten: IP‑Adresse, Device‑/Browser‑Daten, Logfiles, Cookie‑IDs, Server-/Sicherheitslogs.
  • Transaktions-/Abrechnungsdaten: nur bzgl. ärztlicher Leistungen (z. B. Rechnungsbeträge, Zahlstatus); keine Medikamentenpreise/-warenkörbe über uns.

6. Zwecke & Rechtsgrundlagen

Die Verarbeitung erfolgt je nach Vorgang auf folgenden Rechtsgrundlagen:

  1. Webseite/Serverbetrieb & IT‑Sicherheit
    Zwecke: Bereitstellung der Website, Auslieferung von Inhalten, Stabilität, Missbrauchs-/Betrugsprävention, Fehleranalyse, DDoS‑Abwehr.
    Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten IT‑Sicherheit).
  2. Kontaktformulare/Support
    Zwecke: Beantwortung von Anfragen, Rückrufe, Terminabstimmung.
    Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich), hilfsweise Art. 6 Abs. 1 lit. f DSGVO.
  3. Registrierung/Nutzerkonto
    Zwecke: Anlage und Verwaltung von Konten, Authentifizierung, Consent‑Protokoll, Kommunikation.
    Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO (Nachweis-/Archivierungspflichten); Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsprävention).
  4. Medizinischer Fragebogen & Dokumentenupload
    Zwecke: strukturierte Erhebung medizinisch relevanter Informationen, Übermittlung an Ärzt*innen, Beurteilung der Eignung/Indikation.
    Rechtsgrundlagen: Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG; ergänzend Art. 6 Abs. 1 lit. b DSGVO; ggf. Art. 9 Abs. 2 lit. a DSGVO (Einwilligung).
  5. Telemedizinische Konsultation & Dokumentation (durch Ärzt*innen)
    Zwecke: Diagnostik, Therapie, Verschreibung, ärztliche Dokumentation.
    Rechtsgrundlagen bei Ärzt*innen: Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 BDSG; Art. 6 Abs. 1 lit. b/c DSGVO; berufsrechtliche Pflichten.
    Rolle von Medicgreen: eigener Verantwortlicher (Kommunikations-/Terminvermittlung) oder Auftragsverarbeiter (Hosting/Weiterleitung im Auftrag), je nach Prozessdesign.
  6. E‑Rezepte/eRezept‑Tokens & Apothekenweiterleitung
    Zwecke: Weiterleitung ärztlicher Rezeptdaten an die vom Nutzer gewünschte Apotheke; Nachverfolgung des Zustellstatus; Vermeidung von Doppelbelieferungen.
    Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung/Erfüllung des Nutzungsvertrags über die Plattformfunktion), Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsdaten).
    Hinweis: Abgabe/Abrechnung liegt ausschließlich bei Apotheken (eigene Verantwortliche).
  7. Zahlungen
    Zwecke: Abwicklung von Zahlungen für ärztliche Leistungen (sofern vom Arzt angeboten).
    Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO.
    Hinweis: Für Arzneimittel erfolgen Zahlung/Abrechnung direkt zwischen Nutzer und Apotheke. Wir übermitteln keine Medikamentenwarenkörbe/-preise an Zahlungsdienstleister.
  8. Rechtsansprüche, Compliance & Aufbewahrung
    Zwecke: Geltendmachung/Verteidigung von Ansprüchen, Erfüllung gesetzlicher Aufbewahrungs‑/Nachweispflichten (z. B. Handels‑/Steuerrecht), Auskunftsersuchen von Behörden.
    Rechtsgrundlagen: Art. 6 Abs. 1 lit. c DSGVO; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Rechtsverteidigung).
  9. Statistik/Qualitätssicherung (aggregiert/pseudonymisiert)
    Zwecke: Plattformqualität, Kapazitätsplanung, Fehleranalyse.
    Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO; bei Personenbezug ggf. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) mit jederzeitiger Widerrufsmöglichkeit.
  10. Marketing/Newsletter (optional)
    Zwecke: Informationen zu Plattformfunktionen/Service‑Updates.
    Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. § 7 UWG. Widerruf jederzeit möglich.

7. Pflicht zur Bereitstellung

Für die Nutzung wesentlicher Funktionen (z. B. ärztliche Vermittlung) sind bestimmte Angaben erforderlich. Ohne diese Angaben kann die Leistung nicht erbracht werden. Pflichtfelder sind jeweils gekennzeichnet.

8. Datenquellen

Wir erhalten Daten vom Nutzer selbst, von Ärzt*innen/Apotheken (z. B. Rückmeldungen zum Rezeptstatus), sowie aus technischen Protokollen unserer Systeme. Eine Erhebung aus öffentlich zugänglichen Quellen erfolgt nicht.

9. Empfänger & Kategorien von Dritten

  • Ärzt*innen (medizinische Leistung/Verordnung)
  • Apotheken (Abgabe/Belieferung)
  • IT‑Dienstleister (Hosting, Betrieb, E‑Mail, Video‑Sprechstunden, Ident‑/Signaturdienste, Support) gem. Art. 28 DSGVO
  • Zahlungsdienste ausschließlich für ärztliche Leistungen (sofern genutzt)
  • Telematikinfrastruktur/KIM‑Dienste (soweit eingesetzt)
  • Behörden/öffentliche Stellen, soweit rechtlich verpflichtet

10. Drittlandübermittlungen

Die Verarbeitung erfolgt grundsätzlich im EU/EWR‑Raum. Sollte ausnahmsweise eine Übermittlung in Drittländer (z. B. Wartung durch Anbieter außerhalb der EU) erforderlich sein, erfolgt diese nur bei Vorliegen eines Angemessenheitsbeschlusses (Art. 45 DSGVO) oder geeigneter Sicherheitsgarantien (insb. EU‑Standardvertragsklauseln, Art. 46 DSGVO) und zusätzlicher Schutzmaßnahmen.

11. Speicherdauern

  • Kontodaten: für die Vertragsdauer; nach Kündigung Löschung oder Sperrung, sofern keine gesetzlichen Pflichten entgegenstehen.
  • Kontakt-/Supportanfragen: i. d. R. 6–24 Monate.
  • Server-/Sicherheitslogs: i. d. R. 30–90 Tage (länger bei Sicherheitsvorfällen).
  • Fragebögen/Gesundheitsdaten: solange zur Vermittlung/ärztlichen Beurteilung erforderlich; bei Verarbeitung im Auftrag nach Weisung der Ärzt*innen; darüber hinaus nur, soweit wir als eigener Verantwortlicher gesetzlich verpflichtet sind.
  • Ärztliche Dokumentation (bei Ärzt*innen): mind. 10 Jahre nach Abschluss der Behandlung (§ 630f BGB).
  • Rezept-/Apothekenkommunikation: bis zur Belieferung + Nachweiszeiträume (regelmäßig 6 Jahre handels-/steuerrechtlich), soweit bei uns erforderlich.
  • Rechtsansprüche/Beweiszwecke: bis zum Ablauf der gesetzlichen Verjährungsfristen.

12. Cookies, Consent & Drittinhalte

Wir verwenden technisch notwendige Cookies zur Bereitstellung/Absicherung der Plattform. Weitere Cookies/Tools (z. B. für Reichweitenmessung) setzen wir nur mit Einwilligung über ein Consent‑Management‑Tool ein. Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden. Inhalte Dritter (z. B. Karten, Schriften, CDN) können eingebunden sein; dabei können technisch notwendige Datenübermittlungen an diese Anbieter stattfinden.

13. Telemedizin, eRezept & Sicherheit

  • Kommunikation kann über Video, Chat, E‑Mail, KIM/TI oder sichere Portale erfolgen.
  • Verschlüsselung: Transport (TLS) und – soweit möglich – Ende‑zu‑Ende; Speichersysteme mit Verschlüsselung „at rest“.
  • Zugriffsschutz: Rollen-/Rechtekonzepte, Multi‑Faktor‑Authentifizierung (soweit verfügbar), Protokollierung von Zugriffen.
  • Identitätsprüfung: Je nach Verfahren können Dokumenten‑Uploads, eGK‑/KIM‑Prüfungen oder qualifizierte elektronische Signaturen (qeS) erforderlich sein.
  • eRezept‑Weiterleitung: Wir übermitteln nur die für die Belieferung erforderlichen Informationen an die gewählte Apotheke.
  • Kein Arzneimittelverkauf/-zahlung über Medicgreen; Abrechnung ausschließlich durch Apotheken.

14. Minderjährige

Unser Angebot richtet sich an Volljährige. Personen unter 18 Jahren dürfen die Plattform nicht ohne Zustimmung ihrer Erziehungsberechtigten nutzen.

15. Automatisierte Entscheidungen/Profiling

Es findet keine automatisierte Entscheidungsfindung i. S. v. Art. 22 DSGVO statt. Eine Profilbildung erfolgt nicht. Eine risikobasierte Missbrauchserkennung kann in Form einfacher Heuristiken/Loganalysen stattfinden (Art. 6 Abs. 1 lit. f DSGVO).

16. Ihre Rechte (Art. 12–22 DSGVO)

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21) gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e/f DSGVO beruhen. Bei Verarbeitungen auf Basis von Einwilligungen (Art. 6 Abs. 1 lit. a/Art. 9 Abs. 2 lit. a) können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Wahrnehmung Ihrer Rechte kontaktieren Sie uns unter privacy@medicgreen.de oder postalisch (Abschnitt 1). Bitte beachten Sie, dass wir bei Anfragen Ihre Identität verifizieren müssen.

Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für Hessen zuständig ist der/die Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI).

17. Sicherheit (TOM)

Wir setzen u. a. folgende Maßnahmen ein: Verschlüsselung, Pseudonymisierung, rollenbasierte Zugriffe, Protokollierung, regelmäßige Backups, Härtung/Updates, Least‑Privilege‑Prinzip, Schulungen, Vertraulichkeitsverpflichtungen, Incident‑/Breach‑Prozesse (Art. 33/34 DSGVO), Lieferanten‑/AV‑Management.

18. Änderungen dieser Erklärung

Wir passen diese Erklärung an, wenn sich Rechtslage, technische Verfahren oder unsere Leistungen ändern. Die jeweils aktuelle Fassung ist auf der Website abrufbar. Bei wesentlichen Änderungen informieren wir Sie vorab, sofern dies gesetzlich erforderlich ist.

19. Kontakt

Fragen zum Datenschutz richten Sie bitte an privacy@medicgreen.de oder an die in Abschnitt 1 genannten Kontaktdaten.

Anhang A: Übersicht Zwecke ↔ Datenarten ↔ Empfänger ↔ Speicherdauer

ZweckDatenartenEmpfängerRechtsgrundlageSpeicherdauer
Website/LogsIP, User‑Agent, ZeitstempelHoster, Security‑ProviderArt. 6 Abs. 1 lit. f30–90 Tage
Registrierung/KontoStammdaten, Logins, ConsentMedicgreen, IT‑Dienstleister (AV)Art. 6 Abs. 1 lit. b/c/fVertragsdauer + Pflichten
Fragebogen/UploadGesundheitsdaten, DokumenteÄrzt*innen (V), Medicgreen (AV/Verantw.)Art. 9 Abs. 2 lit. h; Art. 6 Abs. 1 lit. bzweckgebunden/ärztl. Fristen
TelemedizinGesundheits-/KommunikationsdatenÄrzt*innen (V), Video‑/KIM‑Dienste (AV)Art. 9 Abs. 2 lit. hwie ärztl. Dokumentation
eRezept/ApothekeRezept-/Kontakt-/Lieferdatengewünschte Apotheke (V)Art. 6 Abs. 1 lit. b; Art. 9 Abs. 2 lit. hbis Belieferung + Nachweise
Zahlungen ArztRechnungs-/ZahlungsdatenZahlungsdienste (V), Arzt (V)Art. 6 Abs. 1 lit. bgesetzl. Aufbewahrung
SupportKommunikations-/VorgangsdatenMedicgreen, Support‑Provider (AV)Art. 6 Abs. 1 lit. b/f6–24 Monate
Statistik/QSaggregierte/pseudonyme NutzungsdatenMedicgreenArt. 6 Abs. 1 lit. f / aunterschiedlich

Legende: V = eigener Verantwortlicher, AV = Auftragsverarbeiter.

Anhang B: Hinweise zu Cookies & Einwilligung

  • Zwingend erforderlich (Login, CSRF‑Schutz, Consent‑Status).
  • Komfort/Analyse nur mit Einwilligung; jederzeit widerrufbar über das Consent‑Tool.
  • Keine Drittlandübermittlung ohne geeignete Garantien.
  • Cookie‑Laufzeiten und Drittanbieter werden im Consent‑Layer transparent angezeigt.

Anhang C: Besonderheiten zu Cannabisarzneimitteln

  • Verordnung liegt im ärztlichen Ermessen; wir übermitteln nur notwendige Angaben an die gewählte Apotheke.
  • Wir übermitteln keine Medikamentenwarenkörbe/-preise an Zahlungsdienste; Abrechnung über Apotheke.
  • Aufbewahrung/Transport/Anwendung der Arzneimittel liegt in der Verantwortung der Patient*innen und der Apothekenberatung.