Datenschutzerklärung

Stand: 12. Mai 2026

Mit diesen Datenschutzhinweisen informieren wir Sie darüber, welche personenbezogenen Daten DIAGEVA bei der Nutzung der Website, bei Kontaktanfragen, Terminbuchungen, Shop-Bestellungen, Zahlungen, Widerrufen, Rechnungsstellung, diagnostischen Abläufen und internen Automationen verarbeitet.

DIAGEVA arbeitet nach dem Grundsatz der Datensparsamkeit. Besonders sensible Angaben, insbesondere Gesundheitsdaten oder diagnostikbezogene Informationen, werden nur verarbeitet, wenn sie für Ihr Anliegen, die gebuchte Leistung oder eine rechtliche Nachweisführung erforderlich sind.

1. Verantwortlicher und Datenschutzkontakt

Verantwortlich ist DIAGEVA, vertreten durch den Geschäftsführer Dr. Ediz Bökli.
Michaelstr. 17
45479 Mülheim an der Ruhr
Deutschland

Datenschutzanfragen richten Sie bitte an: info@diageva.de
Telefon: 0208-93760860

2. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten insbesondere auf Grundlage der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), z. B. für optionale Webanalyse oder Newsletter
• Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen), z. B. bei Buchungen, Bestellungen und Anfragen
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), z. B. bei handels-, steuer- und berufsrechtlichen Pflichten
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen), z. B. für sicheren Websitebetrieb, Missbrauchsabwehr und interne Administration
• Art. 9 Abs. 2 lit. a DSGVO, soweit Sie uns Gesundheitsdaten oder vergleichbar sensible Angaben freiwillig mitteilen

3. Hosting, Serverbetrieb und Sicherheit

Die Website und die zugehörige Anwendung werden auf Servern in Deutschland betrieben. Als Hosting-Dienstleister setzen wir Hetzner ein. Beim Aufruf der Website werden technisch erforderliche Daten verarbeitet, insbesondere IP-Adresse, Datum und Uhrzeit, aufgerufene URL, Browser- und Geräteinformationen, Referrer sowie technische Sicherheitsinformationen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, stabilen und missbrauchsarmen Betrieb der Website und der DIAGEVA-Systeme.

4. Cookies, Local Storage und Consent

Wir verwenden ein Consent-Banner. Ihre Auswahl wird in einem technisch erforderlichen Cookie und im Local Storage gespeichert. Das Consent-Cookie heißt diageva_cookie_consent und wird für bis zu 12 Monate gesetzt, damit Ihre Auswahl nicht bei jedem Seitenaufruf erneut abgefragt werden muss.

Rechtsgrundlage für technisch notwendige Speicherungen ist § 25 Abs. 2 Nr. 2 TDDDG. Optionale Speicherungen, etwa für Analytics, erfolgen nur nach Einwilligung auf Grundlage von § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO.

5. Webanalyse mit Matomo

Sofern Sie im Consent-Banner zustimmen, setzen wir Matomo zur Reichweitenmessung ein. Matomo wird erst nach Ihrer Einwilligung geladen. Dabei können Seitenaufrufe, Referrer, technische Browser- und Gerätedaten, Nutzungszeiten sowie vergleichbare Statistikdaten verarbeitet werden.

Rechtsgrundlage ist Ihre Einwilligung. Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen widerrufen.

6. Spam- und Missbrauchsschutz

Für Formulare können technische Schutzmaßnahmen wie Rate-Limits, Honeypot-Felder, Mindest-Ausfüllzeiten und, soweit aktiviert, Cloudflare Turnstile eingesetzt werden. Turnstile dient dazu, automatisierte missbräuchliche Anfragen zu erkennen und Formulare abzusichern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im Schutz der Website, der Formulare und der angeschlossenen Systeme vor Spam und Angriffen.

7. Kontaktanfragen und CRM

Wenn Sie uns kontaktieren, verarbeiten wir Name, E-Mail-Adresse, Telefonnummer, Nachricht, Zeitpunkt der Anfrage und technische Schutzdaten. Diese Daten werden in unserem internen CRM verarbeitet. Das CRM ist nicht öffentlich zugänglich und nur für berechtigte Personen erreichbar.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf eine Leistung gerichtet ist, andernfalls Art. 6 Abs. 1 lit. f DSGVO. Freiwillig übermittelte sensible Angaben verarbeiten wir ergänzend auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO.

8. Terminbuchungen und Beratungsanfragen

Für Terminbuchungen verarbeiten wir insbesondere Name, E-Mail-Adresse, Telefonnummer, Hinweise zur Anfrage, gewählten Termin, zuständige Ansprechperson, Status- und Benachrichtigungsdaten. E-Mails werden über unseren E-Mail-Dienstleister ALL-INKL.COM - Neue Medien Münnich verarbeitet; ein Auftragsverarbeitungsvertrag ist vorhanden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Bei freiwillig übermittelten sensiblen Angaben ist ergänzend Art. 9 Abs. 2 lit. a DSGVO einschlägig.

9. Newsletter

Der Newsletter ist technisch vorbereitet, derzeit aber nicht produktiv aktiviert. Wenn der Newsletter aktiviert wird, erfolgt die Anmeldung im Double-Opt-in-Verfahren. Wir verarbeiten dann E-Mail-Adresse, optional Name, Anmeldestatus, Token, Anmeldezeitpunkt und Bestätigungszeitpunkt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO. Eine Abmeldung ist jederzeit mit Wirkung für die Zukunft möglich, etwa per Nachricht an info@diageva.de.

10. Shop-Bestellungen, Verbraucherhinweise und Widerruf

Bei Shop-Bestellungen verarbeiten wir Bestellnummer, Name, E-Mail-Adresse, Rechnungsanschrift, gewählte Produkte und Testmodule, Preise, Steuerbeträge, Zahlungsstatus, Rechnungsstatus, Verbraucher- und Widerrufserklärungen sowie Nachweisdaten wie Zeitpunkt, IP-Adresse und User-Agent. Bei Widerrufen verarbeiten wir zusätzlich Widerrufsstatus, Prüfnotizen, Erstattungsstatus und Gutschriftstatus.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. f DSGVO. Wir benötigen diese Daten zur Vertragsdurchführung, Abrechnung, Erfüllung gesetzlicher Pflichten und Nachweisführung.

11. Zahlungsabwicklung mit Stripe

Für Online-Zahlungen und Erstattungen setzen wir Stripe ein. An Stripe werden die für Zahlung, Zahlungsstatus, Betrugsprävention und Erstattung erforderlichen Daten übermittelt, insbesondere Zahlungsreferenzen, Bestellbezug, Betrag, Währung und technische Zahlungsinformationen. Zahlungsdaten wie vollständige Kartendaten werden nicht von DIAGEVA gespeichert, sondern von Stripe verarbeitet.

Stripe kann Daten innerhalb der Stripe-Unternehmensgruppe auch außerhalb der EU bzw. des EWR verarbeiten. Für diese Übermittlungen gelten die Datenschutzbedingungen und Garantien von Stripe. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie, soweit erforderlich, Art. 6 Abs. 1 lit. f DSGVO.

12. Rechnungswesen mit Lexware Office

Für Rechnungen, Gutschriften und buchhalterische Vorgänge nutzen wir Lexware Office. Verarbeitet werden insbesondere Name, Anschrift, E-Mail-Adresse, Bestelldaten, Rechnungs- und Gutschriftdaten, Beträge, Steuerdaten sowie Zahlungs- und Referenzinformationen. Mit Lexware besteht ein Auftragsverarbeitungsvertrag; zusätzlich ist die Ergänzung für Berufsgeheimnisträger hinterlegt.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. c DSGVO.

13. Diagnostik und Hogrefe HSI

Für digitale Testfreigaben und diagnostische Abläufe kann Hogrefe HSI angebunden werden. Dabei werden nur die für die Testbuchung und Teststatusverarbeitung erforderlichen Daten übermittelt, insbesondere Fall- bzw. Einladungskennung, gebuchte Testverfahren, Name, E-Mail-Adresse, Geburtsdatum und Geschlecht, soweit diese für die konkrete Testdurchführung erforderlich sind. Außerdem können Statusdaten verarbeitet werden, etwa ob eine Testbatterie angelegt, begonnen oder abgeschlossen wurde.

Die Hogrefe-Schnittstelle wird nur für die vorgesehenen Funktionen genutzt: Lizenz- und Testformprüfung, Callback-Konfiguration, Battery-Erstellung, Login-/Battery-Abfrage und Statusrückmeldung. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und, soweit Gesundheitsdaten betroffen sind, Art. 9 Abs. 2 lit. a DSGVO bzw. eine sonst einschlägige berufs- oder vertragsbezogene Rechtsgrundlage.

14. Automationen mit n8n

Für interne Automationen verwenden wir eine selbst gehostete n8n-Instanz. n8n dient der Verarbeitung von Ereignissen wie Zahlungsstatus, Rechnungsstatus, Hogrefe-Buchung, Widerruf, Stripe-Erstattung und Lexware-Gutschrift. Die Instanz ist von der Hauptanwendung getrennt betrieben und erhält nur die Daten, die für den jeweiligen Workflow benötigt werden.

n8n ist so zu konfigurieren, dass erfolgreiche Produktionsausführungen nicht dauerhaft gespeichert werden und Fehlerausführungen nur kurzfristig zur Fehlersuche vorgehalten werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; soweit die Automation für Vertragsdurchführung oder gesetzliche Pflichten erforderlich ist, zusätzlich Art. 6 Abs. 1 lit. b bzw. lit. c DSGVO.

15. Empfänger und Auftragsverarbeiter

Empfänger personenbezogener Daten können, soweit erforderlich, insbesondere sein:

• Hetzner als Hosting-Dienstleister auf deutschen Servern
• ALL-INKL.COM - Neue Medien Münnich für E-Mail- und SMTP-Verarbeitung
• Stripe für Zahlungen, Zahlungsstatus und Erstattungen
• Lexware Office für Rechnungen, Gutschriften und Buchhaltung
• Hogrefe für digitale Testbuchungen und Teststatusverarbeitung
• die selbst gehostete n8n-Instanz für interne Automationen
• berechtigte interne Personen, Steuerberatung, Rechtsberatung oder Behörden, soweit erforderlich

16. Speicherdauer und Löschkonzept

• Server- und Sicherheitslogs speichern wir grundsätzlich nur kurzzeitig und nur so lange, wie dies für Betrieb, Sicherheit und Missbrauchsabwehr erforderlich ist.
• Kontaktanfragen und reine CRM-Leads löschen wir nach abschließender Bearbeitung, spätestens wenn kein Anschlussbedarf oder Nachweisinteresse mehr besteht.
• Termin- und Beratungsanfragen speichern wir für die Bearbeitung und danach nur, soweit Nachfragen, Dokumentationspflichten oder mögliche Ansprüche dies erfordern.
• Newsletter-Daten speichern wir, solange das Abonnement besteht. Nach Abmeldung oder Widerruf entfernen wir den aktiven Verteilerbezug und bewahren DOI-Nachweise nur auf, soweit dies zur Rechtsverteidigung erforderlich ist.
• Bestell-, Zahlungs-, Rechnungs-, Gutschrift- und Buchungsbelege bewahren wir nach den gesetzlichen Aufbewahrungsfristen auf. Buchungsbelege sind regelmäßig acht Jahre, Handels- und Geschäftsbriefe regelmäßig sechs Jahre und bestimmte Bücher, Abschlüsse sowie Organisationsunterlagen regelmäßig zehn Jahre aufzubewahren.
• Diagnostik-, Fall- und Reportdaten speichern wir nur so lange, wie dies für Leistungserbringung, Qualitätssicherung, Nachweisführung, berufsrechtliche Pflichten oder die Abwehr bzw. Durchsetzung von Ansprüchen erforderlich ist.
• n8n-Ausführungsdaten werden datensparsam konfiguriert. Erfolgreiche Ausführungen sollen nicht dauerhaft gespeichert werden; Fehlerdaten werden nur kurzfristig zur Fehlersuche benötigt und anschließend automatisch bereinigt.

Bei Löschanfragen löschen wir frei löschbare CRM-Daten unverzüglich. Daten, die wegen gesetzlicher Aufbewahrungspflichten, Vertragsnachweisen, Rechnungslegung, berufsrechtlicher Dokumentation oder Rechtsverteidigung noch benötigt werden, werden nicht ohne rechtliche Grundlage gelöscht, sondern nur für den erforderlichen Zweck weiter aufbewahrt.

17. Ihre Rechte

Sie haben im gesetzlichen Rahmen insbesondere die folgenden Rechte:

• Auskunft über die bei uns gespeicherten personenbezogenen Daten
• Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten
• Löschung, soweit keine gesetzlichen Aufbewahrungs-, Nachweis- oder Verteidigungspflichten entgegenstehen
• Einschränkung der Verarbeitung
• Datenübertragbarkeit, soweit die Voraussetzungen vorliegen
• Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
• Beschwerde bei einer Datenschutz-Aufsichtsbehörde

Wenn Sie von Ihren Rechten Gebrauch machen möchten, genügt eine Nachricht an info@diageva.de. Wir prüfen die Anfrage und setzen sie unverzüglich um, soweit keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

18. Drittlandübermittlungen

Soweit Dienstleister mit Sitz oder Konzernbezug außerhalb der EU bzw. des EWR eingesetzt werden, kann eine Drittlandübermittlung nicht ausgeschlossen sein. In diesen Fällen achten wir auf geeignete Garantien nach Art. 44 ff. DSGVO, insbesondere Angemessenheitsbeschlüsse oder Standardvertragsklauseln, soweit erforderlich.

19. Pflicht zur Bereitstellung von Daten

Sie sind grundsätzlich nicht verpflichtet, personenbezogene Daten bereitzustellen. Ohne bestimmte Angaben können wir jedoch Kontaktanfragen nicht beantworten, Termine nicht buchen, Bestellungen nicht durchführen, Zahlungen nicht verarbeiten oder diagnostische Leistungen nicht bereitstellen.

20. Keine automatisierte Entscheidung nach Art. 22 DSGVO

Eine automatisierte Entscheidung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt. Automationen dienen der technischen Prozessunterstützung; rechtlich relevante Entscheidungen, insbesondere bei Widerrufen oder diagnostischen Bewertungen, werden nicht allein automatisiert getroffen.

21. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Website, unsere Leistungen, Dienstleister oder rechtliche Anforderungen ändern. Es gilt jeweils die auf dieser Seite veröffentlichte Fassung.