Datenschutzerklärung

Stand: 20.03.2026

Pikodocs Services GmbH, Eulenstraße 72, 22763 Hamburg, Deutschland. Sie erreichen uns unter der Telefonnummer +040 288019-72 oder per E-Mail an support@pikodocs.de. Der Verantwortliche trifft alle wesentlichen Entscheidungen zur Datenverarbeitung.

Unser Datenschutzbeauftragter, Andre El-Bakly, steht Ihnen bei Fragen zum Schutz Ihrer Daten zur Verfügung. Sie können ihn postalisch unter der oben genannten Adresse oder per E-Mail an andre@pikodocs.de kontaktieren.

Begriffe wie „personenbezogene Daten”, „Verarbeitung”, „Verantwortlicher” usw. entsprechen den Definitionen in Art. 4 DSGVO.

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken und auf diesen Rechtsgrundlagen: - Bereitstellung des Portals / Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): z. B. Anlage und Verwaltung von B2B-Konten, Supportanfragen, Lead-Generierung und -Übermittlung an Partner-Ärzte. - Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): z. B. Einsatz nicht technisch notwendiger Cookies/Tracking-Technologien, WhatsApp-/E-Mail-Marketing, FollowCare-Kommunikation. - Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): z. B. handels- und steuerrechtliche Aufbewahrungspflichten. - Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): z. B. IT-Sicherheit, Missbrauchsprävention, Reichweitenmessung in pseudonymisierter Form.

Hosting-Anbieter: SiteGround Spain S.L., Calle Prim 19, 28004 Madrid, Spanien, sowie SiteGround Hosting EOOD, 6 Olimpiyska Str., 1766 Sofia, Bulgarien (Rechenzentren u. a. in der EU/USA via Google Cloud). Verarbeitete Daten: IP-Adresse, Datum/Uhrzeit, Zeitzone, angeforderte URL, HTTP-Statuscode, Referrer, Browser-/Betriebssysteminformationen, Sprache. Zwecke: Auslieferung der Website, Stabilität, IT-Sicherheit. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Speicherdauer: 14 Tage; danach Anonymisierung oder Löschung.

Wir verwenden Cookies und vergleichbare Technologien (z. B. Local Storage, Pixel): - Technisch notwendige Technologien – erforderlich, um den Dienst bereitzustellen (z. B. Login-Status, Consent-Cookie). Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO. - Nicht notwendige/Marketing- oder Statistik-Technologien – werden erst nach Ihrer Einwilligung eingesetzt (§ 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO). Consent-Management: Wir verwenden Cookiebot by Usercentrics (Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark; Usercentrics GmbH, Sendlinger Str. 7, 80331 München) als Consent-Management-Plattform. Cookiebot blockiert nicht notwendige Skripte (z. B. GA4, Hotjar, Lucky Orange) bis zu Ihrer Einwilligung und speichert Ihre Auswahl in einem Consent-Cookie. Der native Shopify-Banner wird ergänzend nur für Shopify-eigene Cookies/Pixels eingesetzt. Sie können Ihre Auswahl jederzeit in den „Cookie-Einstellungen” ändern.

Bei Kontaktaufnahme verarbeiten wir die von Ihnen mitgeteilten Daten (z. B. Name, E-Mail, Telefonnummer, Inhalt). Zweck: Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertraglich) bzw. lit. f DSGVO (allgemeine Anfragen). Speicherdauer: 3 Jahre nach Abschluss der Anfrage (Verjährungsfristen), sofern keine längeren gesetzlichen Pflichten bestehen.

Wir nutzen Twilio Inc., 101 Spear Street, Suite 500, San Francisco, CA 94105, USA, zur Kundenkommunikation (Support) und zum Versand von Informationen über WhatsApp (WhatsApp Business API). Datenarten: Telefonnummer, Name/Profilname, Nachrichteninhalte, Metadaten (Zeitstempel), ggf. Medien. Zwecke: Support (Art. 6 Abs. 1 lit. b DSGVO), Versand von werblichen Informationen (Art. 6 Abs. 1 lit. a DSGVO – Einwilligung). Einwilligung & Widerruf: Einwilligung erfolgt z. B. durch Opt-In via WhatsApp-Keyword (z. B. „START”). Widerruf jederzeit möglich (z. B. Nachricht „STOP”). Empfänger/Drittlandtransfer: WhatsApp Ireland Ltd. (EU) und Meta Platforms Inc. (USA) im Rahmen der WhatsApp Business API; Twilio Inc. (USA) als Auftragsverarbeiter. Für Übermittlungen in die USA greifen das EU-US Data Privacy Framework bzw. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Speicherdauer: Chatverläufe werden spätestens 12 Monate nach letzter Interaktion gelöscht, sofern keine gesetzlichen Pflichten entgegenstehen.

Für Ärzte und Kliniken bieten wir ein B2B-Konto. Dabei verarbeiten wir die im Registrierungsformular als Pflichtfeld gekennzeichneten Daten.

Zur Vereinfachung der Registrierung und Anmeldung bieten wir folgende Social-Login-Verfahren an: - Mit Google anmelden: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. - Mit Apple anmelden: Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irland. - Mit Microsoft anmelden: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Bei Nutzung eines Social-Login-Verfahrens erhalten wir vom jeweiligen Anbieter die für die Kontoerstellung erforderlichen Daten (in der Regel: Name, E-Mail-Adresse, Profilbild, eindeutige Nutzer-ID). Die Datenübermittlung erfolgt auf Grundlage Ihrer Einwilligung gegenüber dem jeweiligen Anbieter (Art. 6 Abs. 1 lit. a DSGVO). Wir erhalten keinen Zugriff auf Ihr Passwort beim jeweiligen Anbieter. Details zur Datenverarbeitung durch die Anbieter entnehmen Sie deren jeweiligen Datenschutzerklärungen.

Zwecke: Einrichtung und Verwaltung des Kontos, Abrechnung, Vertragsdurchführung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Löschung: Spätestens 3 Monate nach Beendigung des Vertragsverhältnisses – sofern dem keine gesetzlichen Aufbewahrungsfristen oder berechtigte Interessen entgegenstehen. B2C-Endnutzer: erhalten kein Nutzerkonto.

Wir versenden Newsletter und transaktionale E-Mails über folgende Anbieter: - Brevo (Sendinblue SAS), 106 boulevard Haussmann, 75008 Paris, Frankreich. - Pushowl (Jeeng Ltd. / Pushowl Inc.) für Push-Benachrichtigungen und E-Mail-Automatisierung. Verfahren: Double-Opt-In mit Protokollierung der Anmeldung. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bzw. § 7 UWG. Widerruf: Über den Abmeldelink in jeder E-Mail möglich. Tracking: Brevo und Pushowl erfassen Öffnungs- und Klickraten mittels Zählpixeln und personalisierten Links. Rechtsgrundlage ist Ihre Einwilligung; Sie können dem Tracking widersprechen, indem Sie den Newsletter abbestellen oder die Anzeige von Bildern in Ihrem E-Mail-Client deaktivieren. Speicherdauer: Bis zum Widerruf; Nachweis der Einwilligung wird 3 Jahre nach letzter Nutzung bzw. Widerruf aufbewahrt (Beweiszwecke).

Pikodocs betreibt als Bestandteil der Plattform ein automatisiertes Qualitätssicherungs- und Erinnerungssystem („FollowCare”). In diesem Rahmen versendet Pikodocs auf eigene Verantwortung transaktionale E-Mails an Interessenten bzw. Patienten (z. B. Qualitätsbefragungen, Folgetermin-Erinnerungen). Datenarten: Name, E-Mail-Adresse, Behandlungsart, Kontaktzeitpunkt. Zweck: Qualitätssicherung, Erinnerung an Folge-/Kontrolltermine, Verbesserung der Servicequalität. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die im Rahmen des Kontaktformulars von Pikodocs eigenständig eingeholt wird. Widerruf: Sie können dem Erhalt von FollowCare-Nachrichten jederzeit widersprechen, indem Sie auf den Abmeldelink in der jeweiligen E-Mail klicken oder uns unter support@pikodocs.de kontaktieren. Speicherdauer: Bis zum Widerruf der Einwilligung, längstens 24 Monate nach letzter Interaktion. Nachweise der Einwilligung werden 3 Jahre aufbewahrt.

Im Rahmen der Lead-Generierung für ästhetische Behandlungen sind Pikodocs und der jeweilige Partner-Arzt gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO: - Pikodocs ist verantwortlich für: die Erhebung der personenbezogenen Daten im Rahmen der Werbekampagnen und Kontaktformulare, einschließlich der rechtmäßigen Einholung der erforderlichen Einwilligungen und Datenschutzhinweise (Art. 13 DSGVO), den Betrieb der technischen Plattform sowie die FollowCare-Kommunikation (§ 11), für die Pikodocs alleiniger Verantwortlicher ist. - Der Partner-Arzt ist verantwortlich für: die weitere Verarbeitung der übermittelten Kontaktdaten (insbesondere Kontaktaufnahme und medizinische Beratung), die Einhaltung der ärztlichen Schweigepflicht sowie eigene Informationspflichten gegenüber dem Patienten ab dem Zeitpunkt der Behandlungsaufnahme. Die Festlegungen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 Abs. 1 DSGVO (insbesondere die Verantwortungsbereiche, die Wahrnehmung der Betroffenenrechte und die Informationspflichten) sind in § 10 der Allgemeinen Geschäftsbedingungen (AGB) der Pikodocs Services GmbH geregelt. Pikodocs fungiert als zentrale Anlaufstelle für Betroffenenanfragen (support@pikodocs.de). Unabhängig von dieser internen Vereinbarung können Sie Ihre Rechte als betroffene Person gegenüber jedem der gemeinsam Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO).

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Zweck: Reichweitenanalyse, Nutzungsverhalten. Rechtsgrundlage: Einwilligung. Datenarten: IP-Adresse (gekürzt), User-ID, Events, Geräteinformationen. Speicherdauer: Nutzer- und Ereignisdaten 14 Monate (Option gewählt, Reset bei neuer Aktivität aktiviert). Opt-Out: Über Cookie-Einstellungen sowie Browser-Add-on: https://tools.google.com/dlpage/gaoptout

Anbieter: Hotjar Ltd., Level 2, St. Julian’s Business Centre, 3 Elia Zammit Street, St. Julian’s STJ 3155, Malta. Zweck: Heatmaps, Session-Recordings, Feedback-Umfragen. Rechtsgrundlage: Einwilligung. Speicherdauer: 365 Tage ab Erhebung.

Anbieter: Lucky Orange LLC, 8665 W 96th St, Suite 100, Overland Park, KS 66212, USA. Zweck: Session-Recordings, Heatmaps, Live-Chat, Conversion-Funnel. Rechtsgrundlage: Einwilligung. Speicherdauer: 60 Tage (konfiguriert). Opt-Out: Über Cookie-Einstellungen.

Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland; Meta Platforms Inc., Menlo Park, CA, USA. Zweck: Schaltung zielgerichteter Werbeanzeigen, Conversion-Tracking, Erstellung von Custom Audiences. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Datenarten: IP-Adresse, Geräteinformationen, Interaktionsdaten, ggf. E-Mail-Adresse (gehashtes Matching). Drittlandtransfer: EU-US Data Privacy Framework.

Anbieter: Google Ireland Limited / Google LLC (s. o.). Zweck: Schaltung zielgerichteter Werbeanzeigen, Conversion-Tracking. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Datenarten: IP-Adresse, Geräteinformationen, Interaktionsdaten. Drittlandtransfer: EU-US Data Privacy Framework.

Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland; LinkedIn Corporation, 1000 W. Maude Avenue, Sunnyvale, CA 94085, USA. Zweck: Schaltung zielgerichteter B2B-Werbeanzeigen, Conversion-Tracking, Erstellung von Matched Audiences. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Datenarten: IP-Adresse, Geräteinformationen, Interaktionsdaten, berufliche Profilinformationen. Drittlandtransfer: EU-US Data Privacy Framework bzw. Standardvertragsklauseln.

Anbieter: Google Ireland Limited / Google LLC (s. o.). Wir nutzen Google Workspace (Gmail, Google Drive, Google Calendar, Google Docs u. a.) sowie Google Cloud Platform für die interne Kommunikation, Dokumentenverwaltung und technische Infrastruktur. Datenarten: E-Mail-Inhalte, Dokumenteninhalte, Kalendereinträge, technische Metadaten. Zweck: Interne Geschäftskommunikation, Dokumentenmanagement, Hosting-Infrastruktur. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter IT-Infrastruktur) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Drittlandtransfer: EU-US Data Privacy Framework; Datenverarbeitung erfolgt primär in EU-Rechenzentren.

Für Zahlungen nutzen wir Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande. Zweck: Zahlungsabwicklung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten). Datenarten: Zahlungsdaten, Rechnungsdaten, Name, ggf. Adresse. Speicherdauer: Entsprechend gesetzlicher Aufbewahrungsfristen (i. d. R. 10 Jahre nach § 147 AO / § 257 HGB). Mollie bewahrt bestimmte Daten zudem auf Grundlage regulatorischer Pflichten (z. B. Geldwäschegesetz) auf.

Pikodocs Services GmbH ist Teil einer Unternehmensgruppe. Es findet ein bilateraler Datenaustausch mit verbundenen Unternehmen (Tochter-/Schwestergesellschaften) statt, soweit dies für die Erbringung der vertraglichen Leistungen, für interne Verwaltungszwecke oder zur konzernweiten IT-Sicherheit erforderlich ist. Empfänger: Pikodocs Services GmbH und deren verbundene Unternehmen. Datenarten: Vertragsdaten, Kontaktdaten, Abrechnungsdaten, technische Nutzungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an konzerninterner Verwaltung, vgl. Erwägungsgrund 48 DSGVO) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), soweit die Weitergabe zur Leistungserbringung erforderlich ist.

Wir setzen Dienstleister (Art. 28 DSGVO) u. a. in folgenden Bereichen ein: - Hosting/Infra: SiteGround Spain S.L. / SiteGround Hosting EOOD, Google Cloud Platform - Consent-/Cookie-Management: Shopify Banner + Cookiebot by Usercentrics - Support/WhatsApp: Twilio Inc. - E-Mail-Marketing/Transaktionale E-Mails: Brevo (Sendinblue SAS), Pushowl - Analyse/UX: Google Ireland Ltd./Google LLC; Hotjar Ltd.; Lucky Orange LLC - Online-Werbung: Meta Platforms Ireland Ltd.; Google Ireland Ltd.; LinkedIn Ireland Unlimited Company - Zahlung: Mollie B.V. - Interne IT/Kommunikation: Google Workspace (Google Ireland Ltd.) - Login-Anbieter: Google, Apple, Microsoft (nur bei Nutzung des Social-Login) - Unternehmensgruppe: Pikodocs Services GmbH und verbundene Unternehmen Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Die gemeinsame Verantwortlichkeit mit Partner-Ärzten ist in § 10 der AGB geregelt (Art. 26 DSGVO).

Sofern Daten an Empfänger außerhalb des EWR (insbesondere USA) übermittelt werden, stellen wir ein angemessenes Datenschutzniveau sicher (Art. 44 ff. DSGVO): - EU-US Data Privacy Framework (DPF): z. B. Google LLC, Meta Platforms Inc., LinkedIn Corporation, Twilio Inc., Apple Inc., Microsoft Corporation. - Standardvertragsklauseln (SCCs): wenn kein Angemessenheitsbeschluss vorliegt (z. B. Lucky Orange LLC). - Zusätzlich setzen wir – soweit erforderlich – technische und organisatorische Maßnahmen (z. B. IP-Anonymisierung, Verschlüsselung) ein.

Wir löschen oder anonymisieren personenbezogene Daten, sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungspflichten bestehen. Konkrete Fristen: - Server-Logs: 14 Tage - Support-/Kontaktanfragen: 3 Jahre nach abschließender Bearbeitung - WhatsApp/Twilio-Chats: max. 12 Monate nach letzter Interaktion - Newsletter-/Marketingdaten (inkl. Einwilligungsnachweise): bis Widerruf + 3 Jahre (Beweiszwecke) - FollowCare-Daten: bis Widerruf, max. 24 Monate nach letzter Interaktion - GA4-Rohdaten: 14 Monate (eingestellt) - Hotjar-Daten: 365 Tage ab Erhebung - Lucky Orange-Daten: 60 Tage - B2B-Konten: 3 Monate nach Vertragsende (sofern keine Pflichten entgegenstehen) - Vertrags-/Rechnungsdaten: 6 Jahre (§ 257 HGB) bzw. 10 Jahre (§ 147 AO)

Sie haben das Recht auf: - Auskunft (Art. 15 DSGVO) - Berichtigung (Art. 16 DSGVO) - Löschung (Art. 17 DSGVO) - Einschränkung der Verarbeitung (Art. 18 DSGVO) - Datenübertragbarkeit (Art. 20 DSGVO) - Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO (Art. 21 DSGVO) – insbesondere gegen Direktwerbung - Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft Zur Ausübung Ihrer Rechte können Sie uns jederzeit kontaktieren (siehe oben). Bei gemeinsamer Verantwortlichkeit (§ 12) können Sie Ihre Rechte gegenüber jedem der Verantwortlichen geltend machen.

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist in der Regel: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg, Tel.: +49 40 42854-4040, E-Mail: mailbox@datenschutz.hamburg.de.

Soweit die Bereitstellung personenbezogener Daten für einen Vertragsabschluss oder bestimmte Funktionen erforderlich ist, weisen wir Sie beim Erheben darauf hin. Ohne Bereitstellung können bestimmte Leistungen nicht genutzt werden.

Eine automatisierte Entscheidungsfindung i. S. v. Art. 22 DSGVO findet nicht statt. Profiling zu Marketingzwecken erfolgt nur mit Ihrer Einwilligung (z. B. durch Tracking-Tools) und in pseudonymisierter Form. Sie können dem jederzeit widersprechen.

Wir treffen technische und organisatorische Maßnahmen gem. Art. 32 DSGVO, um Ihre Daten vor Verlust, Zerstörung oder unbefugtem Zugriff zu schützen (z. B. Zugriffskontrollen, Verschlüsselung, Backup-Prozesse).