Datenschutzerklärung

Stand: 27.05.2026 | Version 2026.04

Datenschutzerklärung

PflegeMatch — Plattform zur Vermittlung von Pflegediensten

Inhaltsverzeichnis

Verantwortlicher und Kontaktdaten
Datenschutzbeauftragter
Übersicht der Verarbeitungstätigkeiten
Rechtsgrundlagen der Verarbeitung
Personenbezogene Daten bei Nutzung der Website und App
Registrierung und Benutzerkonto
Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO)
Daten Dritter: Pflegebedürftige (Art. 14 DSGVO)
Vermittlung und Matching
Empfänger und Weitergabe an Pflegedienste
Zahlungsabwicklung (Stripe)
Push-Benachrichtigungen (Firebase Cloud Messaging)
Standortdaten und Kartendienste (Google Maps)
E-Mail-Kommunikation
Analyse und Tracking
Hosting, Infrastruktur und Datensicherung
Datensicherheit und Verschlüsselung
Speicherdauer und Löschung
Betroffenenrechte (Art. 15–22 DSGVO)
Widerspruchs- und Widerrufsrecht
Partner-Empfehlungsprogramm (Referral Widget)
Beschwerderecht bei einer Aufsichtsbehörde
Automatisierte Entscheidungsfindung
Übermittlung in Drittländer
Änderungen dieser Datenschutzerklärung

1. Verantwortlicher und Kontaktdaten

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):

Mustafa Chafei
PflegeMatch (Einzelunternehmen)
Corneliusstraße 55
47918 Tönisvorst
Deutschland

E-Mail: datenschutz@pflegematch24.de
Website: https://pflegematch24.de

2. Datenschutzbeauftragter

Für Datenschutzanfragen wenden Sie sich bitte an:

E-Mail: datenschutz@pflegematch24.de

Derzeit ist kein Datenschutzbeauftragter benannt. PflegeMatch prüft regelmäßig, ob die gesetzlichen Voraussetzungen für die Benennung eines Datenschutzbeauftragten (Art. 37 DSGVO, §38 BDSG) erfüllt sind. Bei Erreichen der entsprechenden Schwellen wird unverzüglich ein externer Datenschutzbeauftragter benannt und an dieser Stelle bekanntgegeben.

Hinweis zur Altersgrenze: Unser Angebot richtet sich ausschließlich an volljährige Nutzer. Eine Nutzung durch Minderjährige ist nicht vorgesehen.

3. Übersicht der Verarbeitungstätigkeiten

PflegeMatch verarbeitet personenbezogene Daten im Rahmen folgender Tätigkeiten:

Verarbeitung	Betroffene	Rechtsgrundlage
Registrierung und Benutzerkonto	Alle Nutzer	Art. 6(1)(b) DSGVO
Pflegeanfrage erstellen	Pflegesuchende (Angehörige) und Pflegebedürftige	Art. 9(2)(a) DSGVO
Pflegegrad-Check (Selbsteinschätzung)	Nutzer des öffentlichen Pflegegrad-Checks	§25 Abs. 2 Nr. 2 TDDDG, Art. 6(1)(a) DSGVO, Art. 9(2)(a) DSGVO
Anonyme Anfrage über öffentliche Premiumprofile	Personen, die über ein öffentliches Premiumprofil Kontakt suchen	Art. 6(1)(b) DSGVO, ggf. Art. 9(2)(a) DSGVO (siehe Abschnitt 10.6)
Missbrauchsschutz und Bot-Abwehr (Anfrage-Funktion)	Nutzer der Anfrage-Funktion auf öffentlichen Premiumprofilen	Art. 6(1)(f) DSGVO
Vermittlung und Matching	Alle Nutzer	Art. 6(1)(b) DSGVO
Chat-Kommunikation	Alle Nutzer	Art. 6(1)(b) DSGVO
Zahlungsabwicklung	Pflegedienste	Art. 6(1)(b) DSGVO
Push-Benachrichtigungen	Alle Nutzer (mit Einwilligung)	Art. 6(1)(a) DSGVO
E-Mail-Kommunikation	Alle Nutzer	Art. 6(1)(b)/(f) DSGVO
Standortermittlung	Pflegesuchende	Art. 6(1)(b) DSGVO
Hosting und Infrastruktur	Alle Nutzer	Art. 6(1)(f) DSGVO
Meldungen (Reports)	Alle Nutzer	Art. 6(1)(f) DSGVO
Nutzer-Blockierungen	Alle Nutzer	Art. 6(1)(f) DSGVO
Automatische Inhaltsprüfung	Alle Nutzer	Art. 6(1)(f) DSGVO
Moderation und anlassbezogene Admin-Prüfung	Nutzer im Rahmen von Meldungen sowie bei berechtigten Sicherheits-, Missbrauchsschutz-, behördlichen oder rechtsverteidigenden Anlässen	Art. 6(1)(c) und (f), Art. 9(2)(f) und (g) DSGVO

Hinweis zu Gesundheitsdaten: PflegeMatch verarbeitet besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (Gesundheitsdaten: Pflegegrad, medizinische Diagnosen, Pflegebedürfnisse). Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9(2)(a) DSGVO) und unter erhöhten Schutzmaßnahmen (siehe Abschnitt 7).

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage der folgenden Rechtsgrundlagen:

Vertragserfüllung (Art. 6(1)(b) DSGVO): Die Verarbeitung ist zur Erfüllung des Nutzungsvertrags (Registrierung, Vermittlung, Chat, Zahlungsabwicklung) erforderlich.
Einwilligung (Art. 6(1)(a) DSGVO): Für bestimmte Verarbeitungen holen wir Ihre Einwilligung ein, z. B. für den Einsatz von Analyse-Cookies oder Push-Benachrichtigungen. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Ausdrückliche Einwilligung für Gesundheitsdaten (Art. 9(2)(a) DSGVO): Für die Verarbeitung von Gesundheitsdaten (Pflegegrad, medizinische Diagnosen, Pflegebedürfnisse) holen wir eine gesonderte, ausdrückliche Einwilligung ein.
Berechtigtes Interesse (Art. 6(1)(f) DSGVO): Sicherheitsmaßnahmen, technischer Betrieb, Hosting, Betrugsprävention, sowie bestimmte E-Mail-Benachrichtigungen (z. B. Sicherheitswarnungen).
Gesetzliche Pflicht (Art. 6(1)(c) DSGVO): Aufbewahrung von Rechnungen und steuerlich relevanten Unterlagen gemäß §14b UStG, §257 HGB (i. d. R. 8 Jahre für Buchungsbelege).

5. Personenbezogene Daten bei Nutzung der Website und App

Hinweis zu Bot-Abwehr-Mechanismen: Bot-Abwehr-Mechanismen (insbesondere ein eingebetteter Anti-Bot-Dienst, derzeitiger Anbieter siehe Abschnitt 10.6 und Abschnitt 24) werden ausschließlich geladen bzw. eingesetzt, wenn das Anfrageformular auf einem öffentlichen Premiumprofil eine Rate-Limit-Eskalation auslöst — nicht beim normalen Aufruf der Seite und nicht beim normalen Anzeigen des Formulars. Beim regulären Seitenaufruf findet weder ein Script-Nachladen noch eine Übermittlung an einen externen Bot-Abwehr-Dienst statt.

5.1 Server-Logdateien

Bei jedem Zugriff auf unsere Website oder App werden automatisch folgende Daten erhoben:

IP-Adresse (pseudonymisiert)
Datum und Uhrzeit des Zugriffs
Browsertyp und -version
Betriebssystem
Referrer-URL
Aufgerufene Seite

In sicherheitsrelevanten Fällen speichern wir statt der vollständigen IP-Adresse einen gekürzten bzw. gehashten Identifier. Dieser wird ausschließlich zu Sicherheits- und Nachweiszwecken verwendet (z. B. Passwort-Zurücksetzung, Zustimmung zu Rechtstexten) und nach Ablauf der vorgesehenen Frist gelöscht. Da ein gehashter Identifier als stabiler Pseudonym-Wert dienen kann, behandeln wir diesen weiterhin als personenbezogenes Datum.

Rechtsgrundlage: Art. 6(1)(f) DSGVO — berechtigtes Interesse an Sicherheit und technischem Betrieb. Speicherdauer: Server-Logdaten werden in der Regel nach 7 Tagen automatisch gelöscht. Gehashte IP-Identifier für sicherheitsrelevante Vorgänge (z. B. Passwort-Zurücksetzung) werden gemäß den jeweiligen Aufbewahrungsfristen des Vorgangs gespeichert (maximal 90 Tage). Im Fall sicherheitsrelevanter Ereignisse (z. B. Missbrauch, Angriffe) können relevante Logdaten bis zur Klärung des Vorfalls, maximal 90 Tage, aufbewahrt werden.

5.2 Speicherung auf und Zugriff auf Informationen der Endeinrichtung (§25 TDDDG)

Wir nutzen verschiedene Technologien, um Informationen auf Ihrem Endgerät zu speichern oder darauf zuzugreifen. Dies umfasst neben Cookies auch Local Storage und vergleichbare Speichertechnologien, die von §25 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG; vormals TTDSG, seit 2021 in Kraft, seit 14.05.2024 als TDDDG bezeichnet) erfasst werden.

Technisch erforderliche Speicherung (ohne Einwilligung, §25 Abs. 2 Nr. 2 TDDDG):

Zweck	Speicherdauer
Authentifizierung (Anmeldestatus)	Kurze Sitzungsdauer / wenige Tage
Speicher-/Cookie-Einstellungen	1 Jahr
Benutzeroberflächen-Einstellungen (z. B. Seitenleiste, Ansichtsmodus)	Dauerhaft bis zur manuellen Löschung
Pflegegrad-Check-Fortschritt	Bis zur manuellen Löschung, zum Abschluss, bei Regelversionswechsel oder nach 14 Tagen Inaktivität
Bot-Abwehr-Token und vergleichbare technisch notwendige Speichereinträge des eingebetteten Anti-Bot-Dienstes auf der Endeinrichtung — nur im Rate-Limit-Eskalationsfall des Premiumprofil-Anfrageformulars geladen	Sitzungs- bzw. kurzfristig; die konkreten Bezeichnungen können sich entsprechend der Dokumentation des jeweiligen Anti-Bot-Dienstes ändern

Diese Speicherungen sind unbedingt erforderlich, um den von Ihnen ausdrücklich gewünschten Dienst bereitzustellen.

Mobile App: In unserer mobilen App werden Authentifizierungsdaten in der vom Betriebssystem bereitgestellten sicheren Speicherumgebung gespeichert (iOS: Keychain; Android: KeyStore).

Einwilligungspflichtige Speicherung (§25 Abs. 1 TDDDG):

Sofern wir Analyse- oder Marketing-Tools einsetzen, die Informationen auf Ihrem Endgerät speichern oder auslesen, holen wir zuvor Ihre ausdrückliche Einwilligung über unseren Cookie-/Speicher-Consent-Banner ein. Sie können Ihre Einwilligung jederzeit über die Einstellungen im Footer unserer Website oder in der App widerrufen.

Wir setzen einwilligungspflichtige Analyse- und Marketing-Tools ein (siehe Abschnitt 15). Die dafür verwendeten Cookies und Speichertechnologien werden in der folgenden Übersicht aufgeführt:

Name	Anbieter	Zweck	Kategorie	Speicherdauer
_ga	Google	Unterscheidung von Nutzern in Google Analytics 4	Analyse	2 Jahre
ga*	Google	Sitzungsstatus in Google Analytics 4	Analyse	2 Jahre
_gid	Google	Unterscheidung von Nutzern (24h)	Analyse	24 Stunden
gcl*	Google	Google Ads Conversion-Zuordnung	Marketing	90 Tage

Diese Cookies werden nur nach Ihrer ausdrücklichen Einwilligung über unseren Consent-Banner gesetzt.

5.3 Entwurfs-Zwischenspeicherung (Local Storage)

Zur Absturzsicherheit werden unvollständige Pflegeanfragen — einschließlich bereits eingegebener Gesundheitsdaten (Pflegegrad, Diagnosen, Notizen) — bis zum Absenden ausschließlich lokal im Browser-Speicher (Local Storage) Ihres Geräts zwischengespeichert. Diese Entwurfsdaten verlassen Ihr Gerät nicht, bis Sie die Anfrage aktiv absenden. Nach erfolgreichem Absenden oder manueller Verwerfung werden die Entwurfsdaten gelöscht.

Rechtsgrundlage: §25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für den vom Nutzer gewünschten Dienst). Empfehlung: Wenn Sie ein geteiltes Gerät nutzen, empfehlen wir, Ihre Eingaben vor dem Abschließen des Browsers zu verwerfen oder den Browser-Speicher zu leeren.

5.4 Pflegegrad-Check (Selbsteinschätzung)

Auf mein.pflegematch24.de/pflegegrad-rechner bieten wir einen Pflegegrad-Check als unverbindliche Selbsteinschätzung an. Unverbindliche Selbsteinschätzung. Ersetzt kein Gutachten des Medizinischen Dienstes. Für eine verbindliche Einstufung stellen Sie bitte einen Antrag bei Ihrer Pflegekasse.

Ihre Antworten im Pflegegrad-Check werden ausschließlich lokal im Browser-Speicher (Local Storage) Ihres Geräts gespeichert, damit Sie den Check unterbrechen und später fortsetzen können. Die Antworten werden nicht an unsere Server übertragen, solange Sie nur den Check ausfüllen. Sie können den Fortschritt jederzeit im Rechner löschen. Außerdem wird der lokale Fortschritt nach Abschluss, bei einer neuen Regelversion oder nach 14 Tagen Inaktivität verworfen.

Rechtsgrundlage für die lokale Speicherung: §25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für den von Ihnen ausdrücklich gewünschten digitalen Dienst).

Wenn Sie optional Ihr Ergebnis per E-Mail erhalten möchten, verarbeiten wir Ihre E-Mail-Adresse und den berechneten Pflegegrad einmalig zum Versand dieser E-Mail. Die E-Mail-Adresse wird nicht dauerhaft gespeichert. Die E-Mail enthält nur die Pflegegrad-Zahl und keine Antworten oder Moduldetails.

Rechtsgrundlage für den E-Mail-Versand: Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung in den Versand des gesundheitsbezogenen Ergebnisses).

Wir erheben aggregierte Nutzungsstatistiken zum Pflegegrad-Check, z. B. wie viele Nutzer den Check starten, abschließen oder eine Ergebnis-Option anklicken. Diese Statistiken enthalten keine Antworten, E-Mail-Adressen, Namen, Kontakt- oder Adressdaten und werden nur als Tages-Zähler pro Ereignis-Typ und technischem Label erfasst.

6. Registrierung und Benutzerkonto

6.0 Einwilligungsnachweis (Art. 7 Abs. 1 DSGVO)

Bei jeder Zustimmung zu unseren Rechtstexten (Nutzungsbedingungen, Datenschutzerklärung, Cookie-Einwilligung, Einwilligung in die Verarbeitung von Gesundheitsdaten) speichern wir zur gesetzlich vorgeschriebenen Nachweispflicht:

Zeitstempel der Zustimmung
Version des jeweiligen Rechtstextes
Gekürzten User-Agent (max. 200 Zeichen)
Einen HMAC-gehashten IP-Identifier (keine Klartext-IP)

Diese Daten dienen ausschließlich dem Einwilligungsnachweis gegenüber Aufsichtsbehörden oder bei rechtlichen Auseinandersetzungen. Den gehashten IP-Identifier behandeln wir — wie in Abschnitt 5.1 beschrieben — weiterhin als personenbezogenes Datum.

Abweichender, datenminimierender Einwilligungsnachweis für anonyme Anfragen über öffentliche Premiumprofile: Bei einer Anfrage über das öffentliche Premiumprofil eines Pflegedienstes (siehe Abschnitt 10.6) speichern wir als Einwilligungsnachweis ausschließlich Zeitstempel, die zum Submit-Zeitpunkt aktuell gültige Version dieser Datenschutzerklärung sowie die gesetzten Einwilligungs-Häkchen aus dem Formular. Es wird kein User-Agent und keine IP-Adresse (auch nicht in gehashter Form) als Bestandteil des Einwilligungsnachweises persistiert. Den am Anfrage-Datensatz selbst gespeicherten HMAC-basierten Korrelations-Hash zur Missbrauchsmuster-Erkennung sowie die flüchtigen In-Memory-Rate-Limit-Identifier beschreiben wir getrennt davon in Abschnitt 10.6.

Rechtsgrundlage: Art. 6(1)(c) i.V.m. Art. 7 Abs. 1 DSGVO — gesetzliche Nachweispflicht. Speicherdauer: Bis zur Kontolöschung, mindestens jedoch für die Dauer der jeweiligen Verjährungsfristen.

6.1 Registrierung als Pflegesuchende/r (Angehörige)

Für die Registrierung über unsere mobile App oder Webapp erheben wir:

E-Mail-Adresse
Passwort (wird ausschließlich als kryptographischer Hash gespeichert, niemals im Klartext)
Vorname und Nachname
Zustimmung zu den Nutzungsbedingungen (mit Einwilligungsnachweis-Metadaten, siehe 6.0)

Zur Sicherheit Ihres Kontos ist eine E-Mail-Verifizierung erforderlich. Nach erfolgreicher Anmeldung erhalten Sie kurzlebige Authentifizierungs-Tokens, die regelmäßig erneuert werden.

Rechtsgrundlage: Art. 6(1)(b) DSGVO — Vertragserfüllung. Speicherdauer: Bis zur Löschung Ihres Benutzerkontos zuzüglich einer Karenzzeit von 30 Tagen (zur Ermöglichung einer Reaktivierung). Danach werden alle direkten Identifikatoren irreversibel entfernt (siehe Abschnitt 18).

6.2 Registrierung als Pflegedienst

Für die Registrierung als Pflegedienst über unsere Webapp erheben wir zusätzlich:

Firmenname
Kontakt-E-Mail und Telefonnummer
Name der Kontaktperson
Geschäftsadresse
Einzugsgebiet (Postleitzahlen)
Firmenlogo (optional)
Verifizierungsdokumente (z. B. Zulassungsbescheid)

Im Rahmen des Verifizierungsprozesses prüfen wir die Berechtigung Ihres Pflegedienstes. Verifizierungsdokumente werden nach Abschluss der Prüfung zeitnah gelöscht.

Rechtsgrundlage: Art. 6(1)(b) DSGVO — Vertragserfüllung. Speicherdauer: Profildaten bis zur Kontolöschung. Verifizierungsdokumente: 30 Tage nach abgeschlossener Verifizierung.

6.3 Telefon-Verifizierung des Pflegedienstes

Die bei der Registrierung erhobene Telefonnummer nutzen wir, um Sie im Rahmen der Pflegedienst-Verifizierung telefonisch zu erreichen. Sie hinterlegen dafür bevorzugte Rückruf-Zeitfenster, erhalten im Telefonat einen kurzlebigen Bestätigungscode und bestätigen diesen anschließend in der Anwendung.

Technische Schutzmaßnahmen:

Der 6-stellige Bestätigungscode ist maximal 15 Minuten gültig.
Maximal drei Eingabeversuche, danach 15-minütige Sperre.
Zur Missbrauchsprävention speichern wir den Versuchs-Zeitpunkt und einen gehashten IP-Identifier der Code-Eingabe im Audit-Protokoll.

Rechtsgrundlage: Art. 6(1)(b) DSGVO (Vertragserfüllung — Verifizierungsprozess) in Verbindung mit Art. 6(1)(f) DSGVO (berechtigtes Interesse an Missbrauchsprävention). Speicherdauer: Bestätigungscode und Callback-Zeitfenster werden nach Abschluss der Verifizierung gelöscht. Audit-Einträge gemäß allgemeiner Audit-Log-Frist (siehe Abschnitt 18).

6.4 Altersgrenze

Unser Angebot richtet sich ausschließlich an volljährige Nutzer. Eine technische Altersverifikation erfolgt nicht. Erlangen wir Kenntnis davon, dass ein Konto durch eine minderjährige Person angelegt wurde, wird das Konto gelöscht und gegebenenfalls vorhandene Daten entfernt. Sorgeberechtigte können Hinweise auf ein minderjährig angelegtes Konto jederzeit an datenschutz@pflegematch24.de richten.

7. Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO)

Hinweis zu anonymen Anfragen über öffentliche Premiumprofile: Auch im Rahmen der Anfrage-Funktion auf öffentlichen Premiumprofilen können freiwillig pflegerelevante Angaben (z. B. Pflegegrad, Pflegekontext, freitextliche Beschreibung) gemacht werden, die im Einzelfall besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO darstellen können. Datenkategorien, Rechtsgrundlage, Empfänger, Speicherdauer und Betroffenenrechte für diesen separaten Datenfluss werden in Abschnitt 10.6 beschrieben; die nachstehende Sektion 7 beschreibt die Pflegeanfrage über das angemeldete Konto.

7.1 Pflegeanfrage erstellen

Im Rahmen der Erstellung einer Pflegeanfrage verarbeiten wir folgende Daten, die teilweise besondere Kategorien personenbezogener Daten (Gesundheitsdaten) im Sinne von Art. 9 DSGVO darstellen:

Gesundheitsdaten (Art. 9 DSGVO):

Pflegegrad (1–5)
Medizinische Diagnosen und deren Beschreibungen
Pflegebedürfnisse und gewünschte Leistungen

Weitere personenbezogene Daten:

Name des Pflegebedürftigen
Geburtsdatum und Geschlecht des Pflegebedürftigen
Kontaktdaten für Rückfragen
Standort (Adresse, Postleitzahl, Stadt)
Bevorzugte Zeitfenster für die Pflege
Allgemeine Notizen

Hinweis: Name und Geburtsdatum des Pflegebedürftigen sind für sich genommen reguläre personenbezogene Daten. Im Kontext einer Pflegeanfrage kann jedoch bereits die Zuordnung zu einer Pflegeanfrage einen Gesundheitsbezug herstellen. Daher unterliegen auch diese Daten erhöhten Schutzmaßnahmen (siehe Abschnitt 7.2).

Die Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung, die wir im Rahmen der Erstellung der Pflegeanfrage gesondert einholen. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Pflegeanfrage archivieren oder löschen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Sie können Ihre Pflegeanfrage unter den in den Nutzungsbedingungen genannten Voraussetzungen bearbeiten. Diese Möglichkeit dient der Umsetzung Ihres Rechts auf Berichtigung gemäß Art. 16 DSGVO.

Rechtsgrundlage: Art. 9(2)(a) DSGVO — ausdrückliche Einwilligung. Speicherdauer: Aktive Pflegeanfragen bis zur Archivierung oder zum Ablauf der Gültigkeitsdauer (60 Tage ab Erstellung, bis zu dreimal um je 30 Tage verlängerbar). Bestehen zum Zeitpunkt des Ablaufs aktive Vermittlungsvorgänge (laufende Chat-Anfragen oder aktive Chats mit Pflegediensten), wird die Gültigkeitsdauer automatisch verlängert, bis diese Vorgänge abgeschlossen sind (berechtigtes Interesse an der Vertragserfüllung, Art. 6(1)(b) DSGVO). Archivierte Pflegeanfragen: 30 Tage, danach werden alle direkten Identifikatoren automatisch und irreversibel entfernt.

7.2 Schutzmaßnahmen für Gesundheitsdaten

Für den Schutz Ihrer Gesundheitsdaten setzen wir folgende technische und organisatorische Maßnahmen um (Art. 32 DSGVO):

Technische Maßnahmen:

Verschlüsselung sensibler Daten (Name, Geburtsdatum, Diagnosen, Beschreibungen, Notizen, Kontaktdaten, Straßenadresse, Chat-Nachrichten) auf Anwendungsebene mit AES-256-GCM (NIST SP 800-38D) mit zufälligem 96-Bit-IV pro Datensatz
Getrennte Schlüssel für Anwendungsdaten und administrative TOTP-Geheimnisse; Schlüsselmaterial wird ausschließlich außerhalb des Code-Repositories über Umgebungsvariablen bereitgestellt
In sicherheitsrelevanten Fällen Verwendung gehashter/gekürzter Identifier; vollständige IP-Adressen werden — soweit möglich — nicht dauerhaft gespeichert
Strikte Zugriffskontrolle: Pflegedienste sehen Anfragen nur in ihrem Einzugsgebiet und nur nach Ihrer Einwilligung
Stufenweise Freigabe persönlicher Informationen (siehe Abschnitt 10)
Regelmäßige Maßnahmen zur Minimierung personenbezogener Daten in Logdateien
Verschlüsselte Übertragung aller Daten (HTTPS/TLS)
Automatische irreversible Entfernung aller direkten Identifikatoren bei Kontolöschung (einschließlich Löschung medizinischer Diagnosen)

Organisatorische Maßnahmen:

Administrative Zugriffe nur mit Zwei-Faktor-Authentifizierung
Vollständiger Audit-Trail aller administrativen Aktionen
Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen

8. Daten Dritter: Pflegebedürftige (Art. 14 DSGVO)

Wenn Sie als Angehörige/r eine Pflegeanfrage erstellen, geben Sie personenbezogene Daten und Gesundheitsdaten über eine dritte Person — den Pflegebedürftigen — ein. Dies betrifft insbesondere:

Name, Geburtsdatum und Geschlecht des Pflegebedürftigen
Pflegegrad (Gesundheitsdatum)
Medizinische Diagnosen (Gesundheitsdaten)
Pflegebedürfnisse und -anforderungen
Standort (Postleitzahl, Stadt)

8.1 Ihre Pflichten als Angehörige/r

Mit Erstellung einer Pflegeanfrage bestätigen Sie, dass Sie berechtigt sind, die personenbezogenen Daten und Gesundheitsdaten des Pflegebedürftigen anzugeben — zum Beispiel aufgrund einer Vertretungsbefugnis, Betreuungsvollmacht oder der ausdrücklichen Einwilligung des Pflegebedürftigen.

8.2 Informationspflicht gegenüber dem Pflegebedürftigen

Da Pflegeanfragen häufig durch Angehörige oder gesetzliche Vertreter erstellt werden, liegen uns Kontaktdaten der pflegebedürftigen Person nicht immer vor. Wir stellen deshalb eine kurze Datenschutzinformation für pflegebedürftige Personen im Erstellprozess zur Verfügung und bitten die eintragende Person, diese Information weiterzugeben, soweit dies möglich ist. Zusätzlich stellen wir diese Information öffentlich unter pflegematch24.de/datenschutz/pflegebeduerftige bereit (Art. 14(5)(b) DSGVO). Soweit uns Kontaktdaten der pflegebedürftigen Person vorliegen und dies möglich ist, informieren wir die betroffene Person direkt.

Die Datenschutzinformation für pflegebedürftige Personen enthält mindestens folgende Angaben:

Verantwortlicher: Mustafa Chafei, PflegeMatch (siehe Abschnitt 1)
Zweck: Vermittlung passender Pflegedienste
Rechtsgrundlage: Ausdrückliche Einwilligung (Art. 9(2)(a) DSGVO), stellvertretend durch den berechtigten Angehörigen
Empfänger: Pflegedienste im Einzugsgebiet als eigenständige Verantwortliche (siehe Abschnitt 10)
Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch (siehe Abschnitt 19)
Kontakt für Betroffenenrechte: datenschutz@pflegematch24.de

8.3 Rechtsgrundlagen für Drittdaten

Erhebung der Daten des Pflegebedürftigen: Art. 9(2)(a) DSGVO — ausdrückliche Einwilligung, stellvertretend durch den berechtigten Angehörigen.
Weitergabe an Pflegedienste: Art. 6(1)(b) DSGVO (Vertragserfüllung — Vermittlung) in Verbindung mit Art. 9(2)(a) DSGVO (ausdrückliche Einwilligung für Gesundheitsdaten).

9. Vermittlung und Matching

9.1 Matching-Prozess

Zur Vermittlung passender Pflegedienste verarbeiten wir:

Pflegegrad und Pflegebedürfnisse aus Ihrer Pflegeanfrage
Standortdaten (Postleitzahl, Stadt, Koordinaten) für die geographische Zuordnung
Einzugsgebiet und Leistungsspektrum der Pflegedienste
Einen berechneten Vermittlungs-Score zur Priorisierung passender Pflegeanfragen für Pflegedienste
Status und zeitlichen Verlauf des Vermittlungsprozesses

Der Vermittlungsprozess ist anbieterinitiiert und durchläuft folgende Stadien:

Anfragen-Pool: Ihre Pflegeanfrage wird (nach Ihrer Einwilligung) für Pflegedienste sichtbar, deren Einzugsgebiet Ihren Standort abdeckt.
Interessebekundung: Ein Pflegedienst bekundet Interesse an Ihrer Anfrage. Erst dann wird Ihnen dieser Pflegedienst in Ihrer App angezeigt.
Chat-Anfrage: Sie können bei einem interessierten Pflegedienst einen Chat anfragen.
Aktiver Chat: Nach Bezahlung durch den Pflegedienst wird der Chat freigeschaltet.
Abschluss: Sie wählen einen Pflegedienst aus und erhalten vollständige Kontaktdaten.

Bei jedem Schritt werden Zeitstempel zur Nachvollziehbarkeit gespeichert.

Bei Löschung Ihres Kontos werden alle personenbezogenen Daten aus Ihren Vermittlungsdatensätzen entfernt — einschließlich Name, Geburtsdatum, Geschlecht, medizinischer Diagnosen und Kontaktdaten. Verbleibende, nicht personenbezogene Kategoriedaten (z. B. allgemeine Pflegekategorien, Stadt) dienen ausschließlich statistischen Zwecken und lassen keinen Rückschluss auf einzelne Personen zu.

Rechtsgrundlage: Art. 6(1)(b) DSGVO — Vertragserfüllung; Art. 6(1)(f) DSGVO — berechtigtes Interesse an Beweissicherung (zivilrechtliche Verjährungsfrist). Speicherdauer: Bis zur Kontolöschung. Danach Entfernung aller direkten Identifikatoren (siehe Abschnitt 18).

9.2 Chat-Kommunikation

Im Rahmen eines Vermittlungsvorgangs können Sie über unsere Plattform mit Pflegediensten kommunizieren. Dabei verarbeiten wir:

Nachrichteninhalte (verschlüsselt gespeichert)
Absender und Empfänger
Zeitstempel und Lesestatus

Chat-Nachrichten werden über eine verschlüsselte Verbindung übertragen und verschlüsselt in unserer Datenbank gespeichert. Bei Löschung Ihres Kontos werden Nachrichteninhalte unkenntlich gemacht.

Rechtsgrundlage: Art. 6(1)(b) DSGVO — Vertragserfüllung. Speicherdauer: Solange der Vermittlungsvorgang aktiv ist. Nach Kontolöschung: Nachrichteninhalte werden unkenntlich gemacht.

9.3 Meldungen (Reports)

Wenn Sie eine Nachricht oder einen Nutzer melden, verarbeiten wir folgende Daten:

Ihre Nutzer-ID (als Melder),
die ID des gemeldeten Nutzers bzw. der gemeldeten Nachricht,
den Meldegrund (Auswahl aus vordefinierten Kategorien),
eine optionale Beschreibung (max. 500 Zeichen),
den Zeitpunkt der Meldung,
den Kontext des betroffenen Vermittlungsvorgangs (Match-ID).

Bei Meldungen zu Nachrichten wird der Inhalt der gemeldeten Nachricht (entschlüsselt) im Report-Datensatz gesichert, um eine nachträgliche Prüfung auch nach Moderationsmaßnahmen zu ermöglichen.

Rechtsgrundlage: Art. 6(1)(f) DSGVO — berechtigtes Interesse an der Sicherheit der Plattform und dem Schutz aller Nutzer vor rechtswidrigen oder schädigenden Inhalten.

Speicherdauer: Meldungen werden für die Dauer der Bearbeitung und darüber hinaus für 3 Jahre gespeichert (Audit-Trail für Streitfälle und rechtliche Verteidigung, Art. 17(3)(e) DSGVO). Danach erfolgt eine automatische Löschung.

9.4 Nutzer-Blockierungen

Wenn Sie einen anderen Nutzer blockieren, speichern wir:

Ihre Nutzer-ID,
die ID des blockierten Nutzers,
den betroffenen Vermittlungsvorgang (optional),
den Zeitpunkt der Blockierung.

Die Blockierung wird aufgehoben, wenn Sie diese manuell aufheben oder wenn Sie oder der blockierte Nutzer ihr Konto löschen.

Rechtsgrundlage: Art. 6(1)(f) DSGVO — berechtigtes Interesse am Schutz der Nutzer vor unerwünschten Kontaktaufnahmen.

9.5 Automatische Inhaltsprüfung (Content-Filter)

Vor dem Versand werden Chat-Nachrichten automatisiert auf verbotene Inhalte geprüft (Bedrohungen, extreme Beleidigungen). Die Prüfung erfolgt auf Basis einer Wortliste und wird nicht dauerhaft gespeichert. Es handelt sich nicht um eine automatisierte Einzelentscheidung im Sinne des Art. 22 DSGVO, da keine Profilbildung stattfindet und der Filter lediglich den Versand einzelner Nachrichten verhindert. Nachrichten, die den Filter nicht passieren, werden nicht gespeichert.

Rechtsgrundlage: Art. 6(1)(f) DSGVO — berechtigtes Interesse am Schutz aller Nutzer vor rechtswidrigen Inhalten.

9.6 Admin-Zugriff bei Moderationsprüfungen

Im Falle einer Meldung können autorisierte Administratoren von PflegeMatch auf die gemeldete Nachricht und ein angemessen begrenztes Kontextfenster aus den unmittelbar davor und danach gesendeten Nachrichten zugreifen, um den gemeldeten Inhalt zu prüfen. Der Umfang dieses Kontextfensters orientiert sich am Prüfgegenstand und ist auf das für die Moderationsentscheidung Erforderliche beschränkt (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO). Im Regelfall handelt es sich um wenige Nachrichten unmittelbar vor und nach der gemeldeten Nachricht.

Zusätzlich zur Meldungs-bezogenen Moderation können autorisierte Administratoren in folgenden Fällen auf einzelne Chat-Nachrichten oder darüber hinausgehende Teile eines Vermittlungsvorgangs zugreifen, soweit dies für die Bewertung erforderlich ist und die nachfolgend beschriebenen technischen und organisatorischen Schutzmaßnahmen eingehalten werden:

Sicherheits- und Missbrauchsschutz (z. B. Verdacht auf automatisierte Massenkommunikation, Spam, Umgehung der Plattform-Vermittlung, Verstoß gegen die Nutzungsbedingungen),
Erfüllung gesetzlicher oder behördlicher Anordnungen (z. B. richterliche Anordnung, Auskunftsersuchen einer zuständigen Behörde im Rahmen geltenden Rechts),
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, einschließlich der Aufklärung von Vorfällen, die zu Beschwerden, Schadensersatz- oder Strafanzeigen führen können.

In allen Fällen gilt der Grundsatz der Datenminimierung und der Zweckbindung; ein Zugriff auf nicht erforderliche Inhalte unterbleibt.

Da Chat-Nachrichten im Pflege-Kontext Gesundheitsdaten im Sinne von Art. 9 DSGVO enthalten können (z. B. Angaben zu Diagnosen, Pflegebedarf oder Medikation), gelten für den Moderationszugriff erhöhte Anforderungen:

Rechtsgrundlagen:

Art. 6(1)(c) DSGVO — Erfüllung rechtlicher Verpflichtungen (z. B. behördliche oder gerichtliche Anordnungen).
Art. 6(1)(f) DSGVO — berechtigtes Interesse an der Durchsetzung der Nutzungsbedingungen, am Schutz der Plattformintegrität und am Schutz aller Nutzer vor Missbrauch (umfasst sowohl meldungsbezogene Moderation als auch anlassbezogene Sicherheits- und Missbrauchsschutz-Prüfungen ohne vorherige Meldung).
Art. 9(2)(f) DSGVO — Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (umfasst sowohl Auseinandersetzungen aus einer konkreten Meldung als auch aus eigenständigen Vorfällen, die zu Beschwerden, Schadensersatz- oder Strafanzeigen führen können).
Art. 9(2)(g) DSGVO in Verbindung mit § 22 Abs. 1 Nr. 2 BDSG — Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses (Schutz vor Straftaten, Belästigung und Gefährdung vulnerabler Personen, einschließlich anlassbezogener Trust-&-Safety-Prüfungen ohne vorherige Meldung).
Art. 9(2)(a) DSGVO — sofern erforderlich, als ergänzende Rechtsgrundlage die ausdrückliche Einwilligung, die im Rahmen der Pflegeanfrage erteilt wurde.

Technische und organisatorische Schutzmaßnahmen (Art. 32 DSGVO):

Zugriff nur für eine kleine Anzahl autorisierter Moderations-/Administrations-Accounts mit rollenbasierter, zweckgebundener Berechtigung; jede Berechtigung wird organisatorisch überprüft und kann widerrufen werden
Bei Meldungen: Zugriff auf die gemeldete Nachricht und ein angemessen begrenztes Kontextfenster (nicht der gesamte Chatverlauf, soweit für die Bewertung nicht erforderlich)
Bei anlassbezogenen Prüfungen außerhalb von Meldungen (Sicherheits-/Missbrauchsschutz, gesetzliche/behördliche Anordnung, Geltendmachung von Rechtsansprüchen): Zugriff orientiert sich strikt am Prüfgegenstand und an den Grundsätzen der Datenminimierung und Zweckbindung
Verbindliche oder zustandsändernde Moderations- und Administrations-Maßnahmen (insbesondere Auflösung von Meldungen, Verhängung von Sperren, Blockierungen und vergleichbare Eingriffe) werden im Audit-Log mit Zeitstempel, Admin-ID, Maßnahmen-Typ und Vorgangs-Referenz (z. B. Report-ID, interne Vorfall-Referenz oder Aktenzeichen einer behördlichen Anfrage) protokolliert
Aufbewahrung der Audit- sowie der im Rahmen der Bearbeitung erforderlichen Beweissnapshot-Daten: in der Regel 3 Jahre (Art. 17 Abs. 3 lit. e DSGVO); abweichende, längere Aufbewahrungsfristen können sich aus gesetzlichen Vorgaben oder laufenden Verfahren ergeben

Hinweis: Sollten Sie nicht wünschen, dass Gesundheitsdaten im Chat im Rahmen einer Chat-Moderation eingesehen werden können, empfehlen wir, keine Gesundheitsdaten im Freitext-Chat zu teilen. Die strukturierten Angaben in der Pflegeanfrage (etwa Pflegegrad oder Diagnosen) werden im Rahmen der Chat-Moderation in der Regel nicht eingesehen; bei den weitergehenden Anlässen (Sicherheits- und Missbrauchsschutz, gesetzliche oder behördliche Anordnung, Geltendmachung von Rechtsansprüchen) kann ein Zugriff auf solche strukturierten Angaben oder weitere Teile eines Vermittlungsvorgangs erforderlich sein — er ist dann auf das für den jeweiligen Anlass Erforderliche beschränkt (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).

9.7 In-App-Ankündigungen

Wir senden zielgruppenspezifische Hinweise (z. B. Wartungsarbeiten, neue Funktionen, AGB-Änderungen) an Nutzer basierend auf Rolle, Plattform-Kontext und Region. Zur Anzeigelogik speichern wir pro Ankündigung und Nutzer die Interaktion (gesehen, gelesen, abgelehnt) mit Zeitstempel und Ankündigungs-ID. Auf dem Endgerät wird die Dismissal-Entscheidung zusätzlich im flüchtigen Session-Speicher (sessionStorage) hinterlegt, um wiederholte Anzeigen innerhalb einer Sitzung zu vermeiden.

Rechtsgrundlage: Art. 6(1)(b) DSGVO — Vertragserfüllung (Betriebshinweise, Produktänderungen) bzw. Art. 6(1)(f) DSGVO — berechtigtes Interesse an transparenter Nutzerkommunikation.

9.8 Pflegedienst-Auszeichnungen (Badges)

Pflegedienste erhalten automatisch berechnete Auszeichnungen anhand von Aktivitäts- und Verifizierungsmetriken (z. B. „schnelle Antwort", „verifiziert"). Die Berechnung dient ausschließlich der Qualitätstransparenz für Pflegesuchende und stellt keine automatisierte Einzelfallentscheidung im Sinne von Art. 22 DSGVO dar — sie führt nicht zur Ablehnung oder zum Ausschluss eines Pflegedienstes, sondern erscheint lediglich als zusätzliches Merkmal im Profil.

Rechtsgrundlage: Art. 6(1)(f) DSGVO — berechtigtes Interesse an Qualitätstransparenz für Pflegesuchende. Speicherdauer: Bis zur Kontolöschung des Pflegedienstes oder zur Änderung der zugrunde liegenden Metriken.

10. Empfänger und Weitergabe an Pflegedienste

Rollenverteilung

PflegeMatch ist Verantwortlicher im Sinne der DSGVO für die Plattform und die darauf stattfindende Datenverarbeitung.
Pflegedienste, die Zugriff auf Ihre Pflegeanfrage erhalten, verarbeiten die übermittelten Daten als eigenständig Verantwortliche zur Anbahnung und Durchführung der Pflegeversorgung. Für deren Datenverarbeitung nach der Kontaktaufnahme gelten die jeweiligen eigenen Datenschutzerklärungen der Pflegedienste.

Stufenweise Datenfreigabe

Zum Schutz Ihrer Privatsphäre geben wir Ihre Daten stufenweise frei:

Stufe	Sichtbare Informationen	Zeitpunkt
Grundanzeige	Stadt/PLZ-Bereich; pflegerelevante Angaben aus Ihrer Anfrage (insbesondere Pflegegrad, Kategorien Ihrer Vorerkrankungen oder Pflegebedürfnisse als Schlagworte, Typen der gewünschten Pflegeleistungen, Zeitfenster und gewünschter Start) ohne Freitext-Beschreibungen oder Notizen; ortsbezogene Verarbeitung auf Nachbarschafts-Niveau (gröbere Koordinaten-Obfuskation)	Im Anfragen-Pool (nach Ihrer Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO für Gesundheitsdaten)
Erweiterter Zugang	Vorname der pflegebedürftigen Person, bevorzugte Kontaktzeiten; eine im Vergleich zur Grundanzeige feinere ortsbezogene Verarbeitung auf Straßen-Niveau für die Vermittlungslogistik (genauere Koordinaten-Obfuskation, weiterhin ohne Hausnummer)	Nach Ihrer Chat-Anfrage an einen interessierten Pflegedienst
Aktiver Chat	Vollständiger Name der pflegebedürftigen Person sowie der von Ihnen eingetragenen Kontaktperson, ergänzende Anfrage- und Pflegeinformationen aus Ihrer Pflegeanfrage (etwa genauere Pflegebedürfnisse, Wunschtermine oder ergänzende Notizen) sowie die Möglichkeit zur direkten Nachrichten-Kommunikation. Konkreter Umfang und Detaillierungsgrad ergeben sich aus der jeweiligen Plattformanzeige und können sich im Rahmen der Weiterentwicklung anpassen. Telefonnummer, E-Mail und exakte Anschrift bleiben bis zur Auswahl geschützt.	Sobald der Pflegedienst die Chat-Kommunikation für Ihre Anfrage aktiviert
Vollständiger Zugang	Vollständige Kontaktdaten (Telefon, E-Mail, exakte Anschrift) und ortsbezogene Verarbeitung mit exakten Koordinaten	Nach Ihrer Auswahl eines Pflegedienstes (bestätigte Vermittlung)

PflegeMatch hat keinen Einfluss auf die Datenverarbeitung durch Pflegedienste nach Übermittlung der vollständigen Kontaktdaten.

Rechtsgrundlage für die Weitergabe: Art. 6(1)(b) DSGVO — Vertragserfüllung (Vermittlung). Für Gesundheitsdaten zusätzlich: Art. 9(2)(a) DSGVO — ausdrückliche Einwilligung.

Auftragsverarbeiter

Folgende Dienstleister verarbeiten Daten in unserem Auftrag und nach unserer Weisung (Art. 28 DSGVO):

Dienstleister	Zweck	Sitz
IONOS SE	Hosting, Datenbank, S3-kompatible Dateispeicherung (Logo-/Rechnungsarchiv)	Deutschland (Frankfurt)
Sendinblue GmbH (Brevo)	E-Mail-Versand, Versand-Logs	Deutschland (Berlin)
Functional Software, Inc. (Sentry)	Fehlerüberwachung (Error Tracking)	USA (Datenverarbeitung in EU — Frankfurt)
Google Ireland Ltd. (Google Analytics 4, Google Ads)	Webanalyse, Conversion-Tracking (nur mit Einwilligung)	Irland / ggf. USA
Google Ireland Ltd. (Firebase Cloud Messaging)	Push-Benachrichtigungen (nur mit Einwilligung)	Irland / ggf. USA

Für Google Maps (Geocoding, Places, Maps JavaScript API) gilt eine gemischte Einstufung: je nach Funktion handelt Google teilweise als Auftragsverarbeiter, teilweise als eigener Verantwortlicher (insbesondere bei Betrieb, Sicherheit und Weiterentwicklung der Kartendienste). Einzelheiten siehe Abschnitt 13 und die Datenschutzerklärung von Google.

Mit allen Auftragsverarbeitern haben wir Auftragsverarbeitungsvereinbarungen (AVV) gemäß Art. 28 DSGVO abgeschlossen (bei Google auf Grundlage der „Google Ads Data Processing Terms" sowie der „Firebase Data Processing and Security Terms"). Unsere Auftragsverarbeiter können ihrerseits Unterauftragnehmer einsetzen; die jeweils aktuelle Liste der Unterauftragnehmer finden Sie in den Datenschutzrichtlinien des jeweiligen Anbieters.

Öffentliche Pflegedienst-Profile und Pflegedienst-Verzeichnis

Sobald das öffentliche Pflegedienst-Verzeichnis verfügbar ist, verarbeiten und veröffentlichen wir bestimmte geschäftliche Profildaten von Pflegediensten, um das Profil auffindbar darzustellen.

Öffentlich verarbeitete Datenkategorien (nicht abschließend feldweise):

Unternehmens-Stammdaten (Firmenname, ggf. Rechtsform),
Geschäftsadresse/Sitz (Straße, Hausnummer, PLZ, Ort, Bundesland),
Logo, Website-URL,
öffentliche Geschäftskontaktkanäle (Geschäfts-Telefon, Geschäfts-E-Mail) — nur bei aktivem feldweisem Sichtbarkeits-Toggle im Profil-Editor des Pflegedienstes,
Leistungs-, Pflegegrad- und Abrechnungsangaben (angebotene Leistungen, unterstützte Pflegegrade, Abrechnungsarten),
optionale Büro-/Erreichbarkeitszeiten, wenn der Pflegedienst diese im Profil pflegt,
Verfügbarkeits-/Aufnahme-Signal (z. B. „nimmt aktuell auf"),
Profiltexte (Beschreibung in Klartext oder strukturiertem Format),
strukturierte Daten und Snippets für Suchmaschinen und Vorschauen (z. B. JSON-LD-Felder, Meta-Snippets, lastmod-Zeitstempel),
optionale externe Verzeichnis-Verlinkungen (z. B. zu öffentlichen Pflegekassen-Verzeichnissen), wenn der Pflegedienst diese pflegt.

Die konkret öffentlich angezeigten Felder ergeben sich aus dem aktuellen Profil und Profil-Editor.

Nicht öffentlich: Private Account-Daten der Nutzer (private E-Mail-Adressen, Vor- und Nachname natürlicher Personen, private Telefonnummern), interne Verifikationsdaten (Versorgungsvertrags-Dokumente, Prüfberichte, interne Audit-Notizen) sowie nicht freigegebene Mitarbeiter- oder Personendaten werden weder im Verzeichnis noch auf öffentlichen Profilseiten angezeigt.

Kontaktfeld-Toggles: Geschäfts-Telefonnummer und Geschäfts-E-Mail erscheinen öffentlich nur, wenn der jeweilige Sichtbarkeits-Toggle im Profil-Editor aktiv ist (Default true bei bestehenden Pflegediensten). Eine Deaktivierung ist jederzeit im Profil-Editor möglich; nach Deaktivierung wird das Feld bei der nächsten Auslieferung im Verzeichnis und in strukturierten Daten nicht mehr angezeigt. Personenbezogene Mitarbeiter-Kontaktdaten werden nicht pauschal als öffentlich behauptet.

Suchmaschinen-Indexierung und Caches: Verzeichnis- und Profilseiten sind öffentlich abrufbar und können von Suchmaschinen, Crawlern und Vorschau-Systemen indexiert, in Snippets dargestellt und zwischengespeichert werden. Nach Ausblendung, Sperrung oder Löschung eines Profils kann die externe Deindexierung in Suchmaschinen-Caches zeitversetzt erfolgen; PflegeMatch hat hierauf keinen unmittelbaren Einfluss.

Rechtsgrundlage: Art. 6(1)(b) DSGVO (Vertragserfüllung für die Plattformleistung gegenüber dem Pflegedienst) sowie Art. 6(1)(f) DSGVO (berechtigtes Interesse an Auffindbarkeit verifizierter Pflegedienste, Transparenz und Vermittlungsqualität für Pflegesuchende). Eine gesonderte Einwilligung in das Listing erfolgt nicht; das Listing ist Teil der Plattformleistung für verifizierte Pflegedienste.

Empfänger: Öffentlichkeit (Besucher des Verzeichnisses und öffentlicher Profilseiten), Suchmaschinen und vergleichbare Crawler sowie technische Auftragsverarbeiter im Rahmen der oben beschriebenen Auftragsverarbeitung (Hosting, Backups).

Speicherdauer: Profil- und Verzeichnisdaten werden öffentlich angezeigt, solange das Vertragsverhältnis mit dem Pflegedienst besteht und das Profil nicht durch den Pflegedienst, durch PflegeMatch (z. B. Hide/Verifikations-Aufhebung) oder durch Kontolöschung entzogen wird. Suchmaschinen-Caches liegen außerhalb der direkten Kontrolle von PflegeMatch.

10.6 Anonyme Anfrage über öffentliche Premiumprofile

Sobald die Anfrage-Funktion auf öffentlichen Premiumprofilen verfügbar ist, können Besucher des öffentlichen Premiumprofils eines Pflegedienstes eine anonyme Anfrage an PflegeMatch übermitteln, ohne sich vorher zu registrieren. PflegeMatch nimmt die Anfrage als Verantwortlicher entgegen und leitet sie an den ausgewählten Pflegedienst weiter; mit Übermittlung an den Pflegedienst wird dieser eigenständig Verantwortlicher für seine weitere Verarbeitung (vergleichbar mit der in Abschnitt 10 beschriebenen Rollenverteilung).

Der konkrete Funktionsumfang dieser Anfrage-Funktion (Pflichtfelder, Anzeige im öffentlichen Profil, Kanäle der Weiterleitung) ergibt sich aus der jeweils aktuellen Plattformanzeige und kann sich im Rahmen der Weiterentwicklung anpassen, ohne dass sich Zweck, Empfängerstellung oder Rechtsgrundlage dieser Verarbeitung ändern.

Datenkategorien:

Kontaktangaben des Absenders (Name; E-Mail-Adresse oder Telefonnummer; eine der beiden Angaben genügt),
ortsbezogene Eckdaten (Stadt und/oder Postleitzahl), die die Anfrage räumlich verständlich machen,
optional pflegerelevante Angaben zur ungefähren Versorgungssituation, insbesondere Pflegegrad, allgemeiner Pflegekontext und ein Freitextfeld; diese Felder können im Einzelfall besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO enthalten und werden ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung verarbeitet,
Einwilligungs-Häkchen aus dem Formular (Kenntnisnahme dieser Datenschutzerklärung und Einwilligung in die Weiterleitung an den Pflegedienst), Zeitstempel sowie die zum Submit-Zeitpunkt aktuell gültige Version dieser Datenschutzerklärung (siehe Abschnitt 6.0),
ein HMAC-basierter Korrelations-Hash ("sender-key-hash"), der einmalig bei Eingang der Anfrage aus Ihren Kontaktangaben (E-Mail und/oder Telefon) und Ihrer Remote-IP gebildet und im Anfrage-Datensatz persistiert wird. Der Hash ist nicht auf die zugrunde liegenden Klartextwerte zurückführbar; sein einziger Zweck ist die spätere Wiedererkennung von Missbrauchsmustern (z. B. wiederholter Massenversand). Daneben verarbeiten wir transient In-Memory-Identifier für die Rate-Limit-Drosselung (siehe Abschnitt 10.6.4).

Was wir bewusst nicht persistieren: User-Agent, IP-Adresse als Klartext oder als gehashter Bestandteil des Einwilligungsnachweises, sowie sonstige Geräte- oder Browser-Profile (vgl. Abschnitt 6.0). Sicherheitsrelevante Server-Logdaten richten sich nach Abschnitt 5.1.

10.6.1 Zwecke und Rechtsgrundlagen

Wir verarbeiten die Anfragedaten zu folgenden Zwecken:

Anbahnung der Pflegeversorgung beim ausgewählten Pflegedienst. Rechtsgrundlage: Art. 6(1)(b) DSGVO (vorvertragliche Maßnahmen und Vermittlung); für freiwillig angegebene pflegerelevante Angaben mit potenziellem Gesundheitsbezug zusätzlich Art. 9(2)(a) DSGVO (ausdrückliche Einwilligung).
Betrieb und Anzeige der Provider-Inbox bei dem ausgewählten Pflegedienst, damit dieser die Anfrage bearbeiten kann. Rechtsgrundlage: Art. 6(1)(b) DSGVO.
Versand einer reinen Hinweis-Mail an den ausgewählten Pflegedienst ("Eine neue Anfrage ist eingegangen"), die keine Anfrageinhalte (insbesondere keine Gesundheitsdaten, keinen Namen des Absenders, keine Nachricht) enthält und ausschließlich auf die Inbox in der angemeldeten Plattformansicht des Pflegedienstes verweist. Rechtsgrundlage: Art. 6(1)(b) DSGVO (Vertragserfüllung gegenüber dem Pflegedienst).
Missbrauchsschutz und Bot-Abwehr (Rate-Limit, Honeypot, Bot-Abwehr-Token im Eskalationsfall). Rechtsgrundlage: Art. 6(1)(f) DSGVO (berechtigtes Interesse an IT- und Plattformsicherheit, Schutz vor automatisiertem Missbrauch und vor Belästigung der Pflegedienste durch Spam-Anfragen).

10.6.2 Verarbeitungsschritte

Eine eingegangene Anfrage durchläuft folgende Schritte:

Validierung und Missbrauchsprüfung (Pflichtangaben, Honeypot, Rate-Limit-Buckets; im Eskalationsfall zusätzlich Bot-Abwehr-Verifikation, siehe Abschnitt 10.6.4).
Verschlüsselte Persistenz der Anfragedaten auf Anwendungsebene (siehe Abschnitt 17). Der Inhalt einer Anfrage ist nicht für PflegeMatch-Mitarbeiter im Klartext einsehbar, soweit nicht ein klar abgegrenzter Anlass (z. B. Sicherheitsvorfall, behördliche Anordnung) dies erfordert; in diesen Fällen gelten die in Abschnitt 9.6 beschriebenen Schutzmaßnahmen sinngemäß.
Anzeige der Anfrage in der Provider-Inbox des ausgewählten Pflegedienstes nach Authentifizierung.
Reine Hinweis-Mail an den Pflegedienst ohne Anfrageinhalte (siehe Abschnitt 10.6.1). Diese Hinweis-Mail dient als technischer Aufmerksamkeits-Anstoß und ist eine Wake-up-Mitteilung an einen angemeldeten Geschäftsempfänger, der die Anfrage in der Plattform öffnet.
Workflow-Statusführung (z. B. weitergeleitet, vom Pflegedienst eingesehen, kontaktiert, abgeschlossen, abgelaufen) ausschließlich zu Audit- und Retention-Zwecken.
Automatische Speicherbegrenzung nach den in Abschnitt 10.6.5 genannten Default-Fristen.

PflegeMatch sendet im Standard-Datenfluss keine Bestätigungsmail an den Absender; die Anzeige im Browser nach erfolgreichem Absenden enthält stattdessen eine Referenznummer und einen Datenschutz-/Support-Kontaktweg (siehe Abschnitt 10.6.6).

10.6.3 Empfänger

Der vom Absender ausgewählte Pflegedienst als eigenständig Verantwortlicher ab dem Zeitpunkt der Weiterleitung. Für die anschließende Verarbeitung durch den Pflegedienst gelten dessen eigene Datenschutzerklärung und sein eigener Verantwortungsbereich. PflegeMatch hat keinen Einfluss auf Inhalte oder Kommunikationswege, die der Pflegedienst nach Erhalt der Anfrage außerhalb der Plattform mit Ihnen führt.
Technische Auftragsverarbeiter im Rahmen der allgemeinen Plattform-Auftragsverarbeitung (Hosting, Datenbank, E-Mail-Versand der Hinweis-Mail; siehe Abschnitt 10, Auftragsverarbeiter, sowie Abschnitt 16).
Bot-Abwehr-Dienst ausschließlich im Rate-Limit-Eskalationsfall, siehe Abschnitt 10.6.4 und Abschnitt 24.

Ihre Anfrage wird nicht über die ausgewählte Empfängerstellung hinaus an weitere Pflegedienste oder Marketing-Partner weitergegeben.

10.6.4 Missbrauchsschutz und Bot-Abwehr

Damit Pflegedienste nicht durch automatisierten Massenversand belastet werden, setzen wir folgende technische Schutzmaßnahmen ein:

ein Honeypot-Feld im Formular,
flüchtige In-Memory-Rate-Limit-Buckets auf Basis technischer, HMAC-basierter Identifier (z. B. abgeleitet aus Remote-IP und/oder normalisierten Kontaktangaben). Diese Identifier liegen ausschließlich im Arbeitsspeicher der Plattform, dienen nur der Drosselung, werden getrennt vom Einwilligungsnachweis verarbeitet und nach Ablauf des Drosselungsfensters automatisch verworfen,
ein persistenter, HMAC-basierter Korrelations-Hash ("sender-key-hash") pro Anfrage (siehe Abschnitt 10.6 Datenkategorien). Dieser Hash wird im Anfrage-Datensatz selbst gespeichert, damit wir wiederkehrende Missbrauchsmuster über mehrere Anfragen hinweg erkennen können. Er ist nicht auf die zugrunde liegenden Klartext-Eingaben zurückführbar und wird zusammen mit den Workflow-/Statusdaten der Anfrage gelöscht (Retention siehe Abschnitt 10.6.5),
ein Bot-Abwehr-Mechanismus (derzeitiger Anbieter: hCaptcha, Intuition Machines, Inc.), der ausschließlich im Eskalationsfall geladen und eingesetzt wird, wenn die Rate-Limit-Schwelle erreicht ist. Die Verarbeitung gliedert sich dabei in zwei Teile:
- Im Browser (Client-Teil): Nach dem Laden des Bot-Abwehr-Scripts durch Ihr Endgerät verarbeitet der Bot-Abwehr-Dienst direkt in Ihrer Browser-Umgebung sowie in seiner eigenen Infrastruktur typische Anti-Bot-Signale. Dazu zählen — je nach Implementierung und Konfiguration des Dienstes — Ihre IP-Adresse, technische Browser- und Netzwerkdaten (z. B. User-Agent, Sprach- und Zeitzonen-Einstellungen, Bildschirm-/Viewport-Größe), Interaktionsdaten auf der Challenge (z. B. Maus-, Tastatur- oder Touch-Muster, Verweildauer) sowie ein vom Dienst erzeugtes Verifikations-Token. PflegeMatch hat auf die genaue Menge dieser Anti-Bot-Signale keinen direkten Einfluss; maßgeblich sind die Privacy- und Cookie-Policy sowie die Data-Processing-Terms des Bot-Abwehr-Anbieters (Drittland-Garantie siehe Abschnitt 24). Anfrageinhalte (insbesondere Name, Kontaktdaten, Pflegegrad, Pflegekontext und Nachricht) werden dem Bot-Abwehr-Script nicht zugänglich gemacht.
- Server-seitig (Verify-Teil): PflegeMatch übermittelt das vom Bot-Abwehr-Script erzeugte Verifikations-Token und Ihre Remote-IP-Adresse transient an den Bot-Abwehr-Dienst, damit dieser eine Bot-/Mensch-Entscheidung zurückmelden kann. Token und Remote-IP werden nicht als Bestandteil der Anfrage selbst persistiert.

Rechtsgrundlage: Art. 6(1)(f) DSGVO — berechtigtes Interesse an Plattform- und IT-Sicherheit, Missbrauchsprävention sowie am Schutz der angeschlossenen Pflegedienste vor unzumutbarem Spam-/Botaufkommen. Die TDDDG-Einordnung der Endgerätespeicherung des Bot-Abwehr-Dienstes findet sich in Abschnitt 5.2.

Drittlandtransfer: Der derzeitige Bot-Abwehr-Anbieter ist ein US-amerikanisches Unternehmen; die zugehörige Drittland-Garantie ist in Abschnitt 24 beschrieben.

Wechsel des Anbieters: PflegeMatch behält sich vor, den eingesetzten Bot-Abwehr-Mechanismus durch einen gleichwertigen oder besser geeigneten Dienst zu ersetzen. Ein Anbieterwechsel wird im Rahmen der nächsten Anpassung dieser Datenschutzerklärung dokumentiert.

10.6.5 Speicherdauer

Die folgenden Default-Fristen werden im Rahmen der Plattformeinstellungen geführt und können bei berechtigtem Anlass (z. B. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) verlängert werden; sie können bei Bedarf zur weiteren Datenminimierung auch verkürzt werden:

Workflow-/Statusdaten der Anfrage (inkl. persistentem sender-key-hash): in der Regel 90 Tage ohne Reaktion (Übergang in einen "abgelaufenen" Status); nach Erreichen eines End-/Terminalstatus Default 730 Tage,
Verschlüsselter Anfrage-Inhalt: Default 365 Tage nach Erreichen eines End-/Terminalstatus, danach Löschung,
Einwilligungs- und Workflow-Nachweis: Default 730 Tage (für den Nachweis der Anbahnung und der erteilten Einwilligungen),
Zustellprotokoll der Hinweis-Mail an den Pflegedienst: Default 365 Tage (PII-frei: Versuchsstatus, Zeitstempel, Fehler-Kategorie),
Flüchtige In-Memory-Rate-Limit-Identifier: nicht persistiert; werden nach Ablauf des Drosselungsfensters automatisch verworfen,
Bot-Abwehr-Token und Remote-IP zur Verifikation: transient — werden ausschließlich für die Verifikationsentscheidung verarbeitet und nicht als Inquiry-Nutzdaten persistiert.

Eine konsolidierte Übersicht aller Plattform-Speicherdauern enthält Abschnitt 18.

10.6.6 Ihre Rechte als anonyme Absenderin / anonymer Absender

Nach erfolgreichem Absenden wird Ihnen im Browser eine Referenznummer angezeigt. Mit dieser Referenznummer und Ihrer im Formular angegebenen Kontaktangabe können Sie sich an datenschutz@pflegematch24.de wenden, um Auskunft, Berichtigung, Löschung oder Widerruf der Einwilligung in Bezug auf Ihre Anfrage zu verlangen. Den ausgewählten Pflegedienst können wir nach Weiterleitung nicht für Sie zur Löschung verpflichten, weil dieser eigenständig Verantwortlicher ist; wir unterstützen Sie aber bei der Kontaktaufnahme.

Bereits vor Weiterleitung erfolgte Verarbeitung bleibt rechtmäßig; ein Widerruf wirkt für die Zukunft (Art. 7(3) Satz 2 DSGVO).

Ergänzende Informationen zu Ihren Betroffenenrechten finden Sie in Abschnitt 19 und Abschnitt 20.

Optionale Zusatzleistungen und bezahlte Profilfunktionen

Im Rahmen optional buchbarer Zusatzleistungen oder bezahlter Profilfunktionen (siehe Nutzungsbedingungen für Pflegedienste § 3.9) können künftig zusätzliche personenbezogene Daten verarbeitet werden, beispielsweise Vertrags- und Abrechnungsdaten zu Zusatzleistungen oder ergänzende Kommunikationskanäle.

Eine konkrete Beschreibung der jeweiligen Verarbeitungszwecke, Datenkategorien, Rechtsgrundlagen, Empfänger und Speicherdauern erfolgt vor der Aktivierung der jeweiligen Zusatzleistung durch eine entsprechende Aktualisierung dieser Datenschutzerklärung mit eigener Versions- und Inkrafttretens-Angabe. Bis dahin findet keine zusätzliche, über die in dieser Datenschutzerklärung beschriebenen Zwecke hinausgehende Verarbeitung statt.

11. Zahlungsabwicklung (Stripe)

Für die Zahlungsabwicklung nutzen wir den Dienst Stripe.

Betroffene: Pflegedienste (Provider).

An Stripe übermittelte Daten:

E-Mail-Adresse und Firmenname des Pflegedienstes
Zahlungsbetrag und Währung

Kreditkartendaten oder Bankdaten werden zu keinem Zeitpunkt auf unseren Servern gespeichert. Die Eingabe von Zahlungsinformationen erfolgt direkt über ein von Stripe bereitgestelltes, in unsere Website eingebettetes Zahlungsformular, das ausschließlich mit Stripe kommuniziert. Stripe ist PCI DSS Level 1 zertifiziert.

Wir speichern lokal lediglich Referenz-IDs für die Zuordnung von Transaktionen sowie Rechnungsdaten (Adresse, Beträge, Rechnungsnummer) zur Erfüllung steuerlicher Pflichten. Rechnungs- und Abrechnungs-PDFs werden ausschließlich in unserem eigenen Server-Prozess generiert (lokale PDF-Engine); es werden keine externen Cloud-PDF-Dienste eingesetzt. Die fertigen PDFs werden verschlüsselt in der IONOS-S3-kompatiblen Dateispeicherung (Object Lock, 8 Jahre) archiviert.

Monatsabrechnungen: Zusätzlich zu Einzelrechnungen erstellen wir Monatsabrechnungen, die denselben gesetzlichen Aufbewahrungsfristen unterliegen (8 Jahre, § 14b UStG, § 257 HGB).

Rückerstattungen: Bei Rückerstattungen verarbeiten wir zusätzlich Rückabwicklungsdaten (Rückerstattungsgrund, Betrag, Zeitstempel, Stripe-Refund-Referenz). Rechtsgrundlage: Art. 6(1)(b) DSGVO (Vertragserfüllung) und Art. 6(1)(c) DSGVO (gesetzliche Pflicht bei Buchungsbelegen).

Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland. Rolle: Stripe verarbeitet Zahlungsdaten je nach Verarbeitungsschritt als eigenständig Verantwortlicher (insbesondere für Zahlungsabwicklung, Betrugsprävention und regulatorische Pflichten). Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe. Datenschutzerklärung Stripe: https://stripe.com/de/privacy Rechtsgrundlage: Art. 6(1)(b) DSGVO — Vertragserfüllung. Speicherdauer: Rechnungen: 8 Jahre (gesetzliche Aufbewahrungspflicht für Buchungsbelege gemäß §14b UStG, §257 HGB; seit 01.01.2025 verkürzt). Transaktionsreferenzen: bis zur Kontolöschung, steuerrelevante Daten darüber hinaus für die gesetzlich vorgeschriebene Dauer.

12. Push-Benachrichtigungen (Firebase Cloud Messaging)

Wenn Sie Push-Benachrichtigungen aktivieren, nutzen wir den Dienst Firebase Cloud Messaging (FCM) von Google zur Zustellung auf Ihr Gerät.

An Google/Firebase übermittelte Daten:

Ein gerätegebundenes Zustellungstoken (FCM Device Token)
Benachrichtigungstitel und -text
Ein Link zur Navigation innerhalb der App

Es werden ausdrücklich keine personenbezogenen Daten, keine Gesundheitsdaten, keine E-Mail-Adressen und keine Namen im Push-Payload an Google übermittelt.

Bitte beachten Sie: Push-Dienste (Apple/Google) verarbeiten technisch bedingt Metadaten zur Zustellung (z. B. Zeitpunkt, Geräte-Token). Diese Verarbeitung unterliegt den Datenschutzrichtlinien des jeweiligen Betriebssystem-Anbieters.

Sie können Push-Benachrichtigungen jederzeit in Ihren App-Einstellungen oder in den Betriebssystem-Einstellungen Ihres Geräts deaktivieren.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Datenschutzerklärung Firebase: https://firebase.google.com/support/privacy Rechtsgrundlage: Art. 6(1)(a) DSGVO — Einwilligung. Speicherdauer: Das Geräte-Token wird bei Abmeldung oder Kontolöschung deaktiviert.

13. Standortdaten und Kartendienste (Google Maps)

Für die standortbasierte Vermittlung und die Darstellung von Karten nutzen wir Google Maps (Geocoding API, Places API, Maps JavaScript API).

An Google übermittelte Daten:

Die von Ihnen eingegebene Adresse (zur Ermittlung der geographischen Koordinaten)
Sucheingaben bei der Adress-Vervollständigung
Beim Laden der Kartenansicht: technische Verbindungsdaten (IP-Adresse, Browserinformationen) durch die Google Maps JavaScript API

Standortdaten werden wie folgt gespeichert:

Straßenadresse: verschlüsselt gespeichert
Stadt, Postleitzahl, Land: unverschlüsselt (für die geographische Zuordnung bei der Vermittlung erforderlich)
Koordinaten: unverschlüsselt (für die Entfernungsberechnung erforderlich)

Mobile App: Wir fragen Ihren Gerätestandort ausschließlich einmalig ab, um Ihnen die Eingabe Ihrer Adresse zu erleichtern. Es findet keine Standortüberwachung im Hintergrund statt. Die Standortfreigabe erfolgt über die Berechtigungsabfrage Ihres Betriebssystems und ist optional.

App-Berechtigungen: Die mobile App fragt nur folgende Berechtigungen ab:

Push-Benachrichtigungen — optional, nur nach Ihrer Einwilligung (siehe Abschnitt 12)
Standort — optional, ausschließlich im Vordergrund, zur Adresseingabe. Trotz technischer Notwendigkeit, sowohl NSLocationWhenInUseUsageDescription als auch NSLocationAlwaysAndWhenInUseUsageDescription im iOS-Manifest zu deklarieren (Capacitor-Plattformanforderung), findet keine Hintergrund-Ortung statt.
Gerätekennzeichen für Push-Zustellung (FCM-Token) und grundlegende Geräte-/Netzwerkinformationen (App-Version, OS-Version) zur Fehleranalyse

Authentifizierungs-Token werden in der sicheren, betriebssystemseitigen Speicherumgebung gehalten (iOS: Keychain; Android: KeyStore — über das Capacitor-Plugin „capacitor-secure-storage-plugin").

Hinweis zur Kartenansicht: Die interaktive Kartenansicht wird ausschließlich in geschützten Bereichen der Webapp (nach Anmeldung als Pflegedienst) geladen und dient der Vertragserfüllung (Darstellung von Einzugsgebiet und Pflegeanfragen auf der Karte). Eine Übermittlung technischer Daten an Google erfolgt erst, wenn Sie die betreffenden Seiten aufrufen — nicht auf öffentlichen Seiten.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Datenschutzerklärung Google: https://policies.google.com/privacy Rechtsgrundlage: Art. 6(1)(b) DSGVO — Vertragserfüllung (standortbasierte Vermittlung). Die Karteneinbindung ist für die Erbringung des Vermittlungsdienstes erforderlich und wird ausschließlich im authentifizierten Bereich eingesetzt. Speicherdauer: Siehe Pflegeanfrage (Abschnitt 7.1).

14. E-Mail-Kommunikation

Für den Versand von E-Mails nutzen wir den Dienst Brevo (ehemals Sendinblue).

Wir versenden folgende Kategorien von E-Mails:

Transaktionale E-Mails (nicht abbestellbar):

E-Mail-Verifizierung, Passwort-Zurücksetzung, Sicherheitswarnungen (z. B. Login von neuem Gerät)
Kaufbestätigungen, Rechnungen, Gutschriften, Zahlungserinnerungen
Rechnungen, Belege und Abrechnungsinformationen (soweit gesetzlich erforderlich)
Inaktivitätswarnungen vor geplanter Kontolöschung
Bestätigungen bei Kontolöschung und -wiederherstellung
Lifecycle-Erinnerungen (z. B. anstehender Ablauf Ihrer Pflegeanfrage, Match-Inaktivitätswarnungen, Chat-Leseerinnerungen)
Pflichtbenachrichtigungen an Pflegedienste bei wesentlichen Änderungen der Nutzungsbedingungen für Pflegedienste (AGB-Provider) mit 15-tägiger Vorankündigungsfrist gemäß EU-Verordnung 2019/1150 (Platform-to-Business-Verordnung, „P2B-VO"). Geringfügige Klarstellungen sowie Aktualisierungen dieser Datenschutzerklärung lösen keine 15-Tage-Frist aus; sie werden über non-blocking In-App-Hinweise kommuniziert.

Benachrichtigungen (abbestellbar):

Neue Pflegeanfragen in Ihrem Einzugsgebiet
Match- und Chat-Benachrichtigungen
Wöchentlicher Zusammenfassungs-Digest (Opt-in, standardmäßig deaktiviert)

Sie können Benachrichtigungs-E-Mails jederzeit über einen Abmeldelink in der E-Mail oder über Ihre Kontoeinstellungen abbestellen.

Hinweis zur Inaktivitätswarnung: Um Sie vor einer überraschenden Löschung Ihres Kontos zu schützen, senden wir nach längerer Inaktivität eine Vorwarnung mit einer 30-Tage-Karenzzeit und einem Reaktivierungslink. Diese E-Mail ist nicht abbestellbar.

Inhalte der E-Mails: E-Mails an Pflegedienste enthalten ausschließlich allgemeine Informationen (z. B. Standortbereich, generischer Anfragetitel, Links). Gesundheitsdaten (Pflegegrad, Diagnosen, Name des Pflegebedürftigen) werden nicht per E-Mail versendet. Pflegedienste werden stattdessen auf die App bzw. Webapp verwiesen.

Anbieter: Sendinblue GmbH (Brevo), Köpenicker Str. 126, 10179 Berlin, Deutschland. Datenschutzerklärung Brevo: https://www.brevo.com/de/legal/privacypolicy/ Rechtsgrundlage: Je nach E-Mail-Typ: Art. 6(1)(b) DSGVO (Vertrag), Art. 6(1)(c) DSGVO (gesetzliche Pflicht bei Rechnungen/Belegen), Art. 6(1)(f) DSGVO (berechtigtes Interesse bei Sicherheitswarnungen und Inaktivitätshinweisen). Speicherdauer: E-Mail-Versandprotokolle gemäß Aufbewahrungsfrist (3 Jahre).

14.2 Kontaktformular

Auf unserer Website stellen wir ein Kontaktformular bereit, über das Sie uns allgemeine Anfragen, Fragen als Pflegedienst oder Pflegesuchende/r, Datenschutzanfragen oder technische Probleme melden können.

Erhobene Daten:

Name
E-Mail-Adresse
Betreff (Kategorie der Anfrage)
Nachricht

Ihre Angaben werden per E-Mail (über Brevo) an unsere interne Kontakt-Adresse weitergeleitet und ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Wir speichern keine gesonderte Kopie in unserer Anwendungsdatenbank; die Inhalte verbleiben ausschließlich in unserem E-Mail-Postfach. Versand-Metadaten (Zeitpunkt, Empfänger, technische Zustellinformationen) werden beim Auftragsverarbeiter Brevo gemäß dessen Richtlinien gespeichert (siehe Abschnitt 14 Einleitung). Zur Spam-Prävention werden Anfragen auf diesem Endpunkt in-Memory (nicht persistent) pro IP bzw. E-Mail-Adresse ratenbegrenzt.

Hinweis: Anfragen über öffentliche Premiumprofile sind ein eigener Datenfluss mit verschlüsselter Speicherung in unserer Anwendungsdatenbank und Weiterleitung an einen ausgewählten Pflegedienst — sie werden gesondert in Abschnitt 10.6 beschrieben und sind nicht Bestandteil dieses allgemeinen Kontaktformulars.

Rechtsgrundlage: Art. 6(1)(b) DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6(1)(f) DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage). Speicherdauer: Wir löschen Anfragen regelmäßig nach Abschluss der Bearbeitung. Handels- oder steuerrechtliche Aufbewahrungspflichten sowie die Geltendmachung oder Abwehr von Rechtsansprüchen können eine längere Aufbewahrung erfordern.

15. Analyse und Tracking

15.1 Google Analytics 4 (GA4)

Wir nutzen Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Google Analytics verwendet Cookies und vergleichbare Speichertechnologien, um eine Analyse der Benutzung unserer Website zu ermöglichen.

Verarbeitete Daten:

Pseudonymisierte Nutzungsdaten (Seitenaufrufe, Verweildauer, Scrolltiefe)
Geräteinformationen (Gerätetyp, Bildschirmauflösung, Betriebssystem, Browser)
Ungefährer Standort (Stadt-Ebene, basierend auf IP-Adresse)
Referrer-Informationen (Herkunft des Besuchs)

IP-Anonymisierung: Google Analytics 4 anonymisiert IP-Adressen standardmäßig. Es werden keine vollständigen IP-Adressen gespeichert.

Google Consent Mode v2: Wir verwenden Google Consent Mode v2, um sicherzustellen, dass Google-Tags erst nach Ihrer Einwilligung Daten erheben. Ohne Ihre Einwilligung werden keine Analyse-Cookies gesetzt und keine personenbezogenen Daten an Google übermittelt.

Rechtsgrundlage: Art. 6(1)(a) DSGVO i.V.m. § 25 Abs. 1 TDDDG — Ihre ausdrückliche Einwilligung über unseren Consent-Banner. Speicherdauer: Cookies: siehe Tabelle in Abschnitt 5.2. Nutzungsdaten in Google Analytics: 14 Monate, danach automatische Löschung. Widerruf: Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen im Footer unserer Website widerrufen. Bereits gesetzte Cookies werden dann gelöscht.

Auftragsverarbeitung: Wir haben mit Google einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen (Google Ads Data Processing Terms). Google verarbeitet die Daten in unserem Auftrag ausschließlich zur Bereitstellung des Analysedienstes.

Drittlandtransfer: Eine Übermittlung in die USA kann nicht ausgeschlossen werden. Google stützt sich auf den EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Weitere Informationen: Google Datenschutzerklärung.

15.2 Google Ads Conversion Tracking

Wir nutzen Google Ads Conversion Tracking der Google Ireland Limited, um die Wirksamkeit unserer Werbeanzeigen zu messen. Wenn Sie über eine Google-Anzeige auf unsere Website gelangen und dort eine bestimmte Aktion durchführen (z. B. Klick auf einen App-Store-Link), wird dies als Conversion erfasst.

Verarbeitete Daten:

Information, dass Sie über eine Google-Anzeige auf unsere Website gelangt sind
Durchgeführte Aktionen auf unserer Website (z. B. Seitenbesuche, ausgehende Klicks)

Es werden keine personenbezogenen Daten wie Name oder E-Mail an Google Ads übermittelt.

Rechtsgrundlage: Art. 6(1)(a) DSGVO i.V.m. § 25 Abs. 1 TDDDG — Ihre ausdrückliche Einwilligung über unseren Consent-Banner (Kategorie „Marketing"). Speicherdauer: Conversion-Cookies (gcl*): 90 Tage. Widerruf: Über die Cookie-Einstellungen im Footer jederzeit möglich.

Drittlandtransfer: Es gelten die gleichen Bedingungen wie bei Google Analytics (siehe oben).

15.3 Fehlerüberwachung (Sentry)

Wir nutzen den Dienst Sentry der Functional Software, Inc. d/b/a Sentry, San Francisco, USA, zur automatischen Erkennung und Analyse von Software-Fehlern in unserer mobilen App und Webanwendung. Dies dient der Sicherstellung der technischen Funktionsfähigkeit und der zeitnahen Behebung von Störungen.

Verarbeitete Daten:

Fehlermeldungen und Stack-Traces (technische Ablaufprotokolle)
Geräte- und Betriebssystem-Informationen (z. B. Gerätetyp, OS-Version, App-Version)
Zeitpunkt des Fehlers
Allgemeine Nutzungskontext-Informationen (z. B. aufgerufener Bildschirm zum Fehlerzeitpunkt)

Es werden keine personenbezogenen Daten wie Name, E-Mail-Adresse, IP-Adresse oder Nutzer-ID an Sentry übermittelt. Wir haben technische Maßnahmen implementiert, die personenbezogene Daten vor der Übertragung automatisch entfernen (PII-Stripping).

Rechtsgrundlage: Art. 6(1)(f) DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Aufrechterhaltung der technischen Stabilität, Sicherheit und Funktionsfähigkeit unserer Plattform. Die Fehlerüberwachung ist erforderlich, um Störungen frühzeitig zu erkennen und die Qualität des Dienstes sicherzustellen. Gemäß § 25 Abs. 2 Nr. 2 TDDDG ist der Zugriff auf Geräteinformationen zur Fehleranalyse als technisch erforderlich einzustufen.

Datenstandort: Die Verarbeitung erfolgt ausschließlich in der Europäischen Union (Rechenzentrum Frankfurt, Deutschland). Es findet keine Übermittlung in Drittstaaten statt.

Speicherdauer: Fehlerdaten werden nach spätestens 90 Tagen automatisch gelöscht. Die tatsächliche Speicherdauer richtet sich nach dem gewählten Sentry-Tarif und kann kürzer sein.

15.4 Schriftarten (Webfonts)

Eigene Schriftarten lokal gehostet. Wir hosten alle Schriftarten unserer Plattform-Oberfläche („Plus Jakarta Sans", „Material Icons") lokal auf unseren eigenen Servern. Beim Aufruf öffentlich zugänglicher Seiten (Landing-Page, Pflegegrad-Rechner u. ä.) werden keine Schriftdateien von Drittanbietern, insbesondere nicht von Google Fonts, nachgeladen. Insoweit findet keine Übermittlung Ihrer IP-Adresse oder sonstiger Daten an Google oder andere Drittländer statt.

Schriftarten innerhalb der Karten-Funktion. Im angemeldeten Bereich nutzen wir die Google Maps JavaScript API (siehe Abschnitt 13). Das Maps-SDK lädt für seine eigenen Bedienelemente (Zoom-Controls, Maps-Logo, Pfeil-Icons) technisch bedingt Schriftartdateien von Google nach (fonts.googleapis.com, fonts.gstatic.com). Diese Schriftarten dienen ausschließlich der Darstellung der Karten-UI und werden nicht für die Darstellung unserer eigenen Texte verwendet. Die hierdurch ausgelöste Übermittlung technischer Verbindungsdaten an Google ist Teil des in Abschnitt 13 beschriebenen Karten-Drittlandtransfers (EU-US Data Privacy Framework, ergänzende Standardvertragsklauseln).

16. Hosting, Infrastruktur und Datensicherung

Hosting-Standorte

Dienst	Anbieter	Standort
Server und Datenbank	IONOS SE	Deutschland (Frankfurt)
Dateispeicherung	IONOS SE	Deutschland

Alle Nutzerdaten werden ausschließlich in Rechenzentren in Deutschland verarbeitet und gespeichert.

Datensicherung (Backups)

Zum Schutz Ihrer Daten vor Verlust werden regelmäßige automatische Sicherungskopien erstellt:

Datenbank: Die Datenbank wird als verwalteter Dienst (Managed PostgreSQL) durch unseren Hosting-Anbieter IONOS betrieben. IONOS erstellt automatische Backups mit der Möglichkeit zur punktgenauen Wiederherstellung (Point-in-Time Recovery, 7 Tage Aufbewahrung). Die Backups werden verschlüsselt in Deutschland gespeichert.
Dateispeicher (Rechnungen): Versionierung und manipulationssicherer Schutz (Object Lock) mit 8 Jahren Aufbewahrung (gesetzliche Pflicht für Buchungsbelege, seit 01.01.2025). Verschlüsselt gespeichert.
Dateispeicher (Verifizierungsdokumente): Versionierung aktiviert, 30 Tage Aufbewahrung. Verschlüsselt gespeichert.

Zugriff auf Backups besteht ausschließlich über authentifizierte administrative Zugänge beim jeweiligen Anbieter.

Anbieter: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.

Rechtsgrundlage: Art. 6(1)(f) DSGVO — berechtigtes Interesse an stabilem Betrieb und Datenintegrität.

App-Stores (Vertrieb der mobilen App)

Unsere mobile App wird über den Apple App Store und Google Play Store bereitgestellt. Beim Download und bei der Nutzung über diese Plattformen verarbeiten Apple Inc. bzw. Google LLC als eigenverantwortliche Anbieter eigene Daten (z. B. Nutzungsdaten, Telemetrie, Zahlungsinformationen bei App-Käufen). Diese Verarbeitung unterliegt den jeweiligen Datenschutzrichtlinien der Plattformbetreiber:

Apple: https://www.apple.com/legal/privacy/
Google: https://policies.google.com/privacy

Wir erhalten von den App-Stores lediglich aggregierte und ggf. pseudonymisierte technische Statistiken (z. B. Download-Zahlen, Absturz-/Fehlerstatistiken). Eine Zuordnung zu einzelnen Nutzern ist uns nicht möglich.

17. Datensicherheit und Verschlüsselung

Wir setzen umfangreiche technische Maßnahmen zum Schutz Ihrer Daten ein (Art. 32 DSGVO):

Transportverschlüsselung:

Alle Verbindungen zu unserer Website und App sind durch HTTPS/TLS verschlüsselt
Folgende Kanäle werden über die verschlüsselte WebSocket-Verbindung (WSS, STOMP) übertragen: Chat-Nachrichten, In-App-Ankündigungen, Match-Status-Updates, Zustellungs-Bestätigungen
Datenbankverbindungen sind SSL/TLS-verschlüsselt

Verschlüsselung gespeicherter Daten:

Gesundheitsdaten, Namen, Geburtsdaten, Kontaktdaten, Chat-Nachrichten, Diagnosen und Straßenadressen werden mit einem starken Verschlüsselungsverfahren auf Anwendungsebene verschlüsselt
Passwörter werden ausschließlich als kryptographische Einweg-Hashes gespeichert
IP-Adressen werden pseudonymisiert gespeichert
Administrative Zugangsdaten (Zwei-Faktor-Authentifizierung) werden mit einem separaten Schlüssel verschlüsselt

Weitere Sicherheitsmaßnahmen:

Schutz vor automatisierten Angriffen (Rate Limiting)
Strikte Zugriffsrichtlinien (CORS, Content Security Policy, HSTS)
Regelmäßige Maßnahmen zur Minimierung personenbezogener Daten in Logdateien
Rollenbasierte Zugriffskontrolle (Pflegesuchende, Pflegedienste, Administration)

17.1 Benachrichtigung bei Datenschutzverletzungen (Art. 33, 34 DSGVO)

Sollte es zu einer Verletzung des Schutzes personenbezogener Daten kommen, melden wir diese innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde (LDI NRW), sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 DSGVO). Wir informieren betroffene Nutzer unverzüglich und in klarer, einfacher Sprache, wenn die Verletzung voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten zur Folge hat (Art. 34 DSGVO). Intern führen wir ein Incident-Response-Verfahren mit festgelegten Eskalations- und Dokumentationsschritten.

18. Speicherdauer und Löschung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:

Datenart	Speicherdauer
Benutzerkonto	Bis zum Löschantrag + 30 Tage Karenzzeit, danach irreversible Entfernung aller Identifikatoren
Unverifizierte Konten	72 Stunden, danach automatische Löschung
Inaktive Konten	24 Monate ohne Anmeldung → Vorwarnung per E-Mail → Karenzzeit → Entfernung aller Identifikatoren
Pflegeanfrage (aktiv)	Bis zur Archivierung oder zum Ablauf der Gültigkeitsdauer (60 Tage, verlängerbar). Bei aktiven Vermittlungsvorgängen (laufende Chat-Anfragen oder aktive Chats) wird die Gültigkeitsdauer automatisch verlängert, bis diese Vorgänge abgeschlossen sind.
Pflegeanfrage (archiviert)	30 Tage, danach irreversible Entfernung aller direkten Identifikatoren
Chat-Nachrichten	Solange der Vermittlungsvorgang aktiv ist; nach Kontolöschung: Inhalte unkenntlich gemacht
Vermittlungsdaten (Matches)	Bis zur Kontolöschung; danach alle direkten Identifikatoren irreversibel entfernt
Rechnungen und steuerrelevante Daten	8 Jahre (gesetzliche Aufbewahrungspflicht für Buchungsbelege, seit 01.01.2025)
Audit-Protokolle (einschließlich Audit- und Beweissnapshot-Daten zu Moderations- und anlassbezogenen Administrations-Maßnahmen)	In der Regel 3 Jahre. Abweichende, längere Aufbewahrungsfristen können sich aus gesetzlichen Vorgaben oder laufenden Verfahren ergeben (z. B. Beweissicherung bei behördlichen Anordnungen oder Geltendmachung von Rechtsansprüchen).
Meldungen (Reports)	3 Jahre nach Abschluss (Audit-Trail, Art. 17(3)(e) DSGVO)
Blockierungen	Bis zur Aufhebung oder Kontolöschung
Verifizierungsdokumente	30 Tage nach abgeschlossener Verifizierung
Referral-Attributionstoken (URL-Parameter, localStorage)	30 Tage
Referral-Fraud-Hashes (IP-/UA-HMAC)	90 Tage
Einwilligungsnachweis-Metadaten (Zeitstempel, Version, gekürzter UA, IP-Hash)	Bis zur Kontolöschung, mindestens Verjährungsfristen
Phone-Verification-Codes	Max. 15 Minuten (bis Ablauf oder Verbrauch)
Anonyme Anfrage über Premiumprofil — Workflow-/Statusdaten (inkl. persistentem sender-key-hash)	in der Regel 90 Tage ohne Reaktion (Übergang in einen abgelaufenen Status); nach Erreichen eines End-/Terminalstatus Default 730 Tage (siehe Abschnitt 10.6.5)
Anonyme Anfrage über Premiumprofil — verschlüsselter Anfrage-Inhalt	Default 365 Tage nach Erreichen eines End-/Terminalstatus, danach Löschung
Anonyme Anfrage über Premiumprofil — Einwilligungs- und Workflow-Nachweis	Default 730 Tage
Anonyme Anfrage über Premiumprofil — Zustellprotokoll der Hinweis-Mail an den Pflegedienst	Default 365 Tage (PII-frei: Versuchsstatus, Zeitstempel, Fehler-Kategorie)
Anonyme Anfrage über Premiumprofil — Flüchtige In-Memory-Rate-Limit-Identifier	Nicht persistiert; werden nach Ablauf des Drosselungsfensters automatisch verworfen
Anonyme Anfrage über Premiumprofil — Bot-Abwehr-Token und Remote-IP zur Verifikation	Transient, nicht persistiert (siehe Abschnitt 10.6.4)

Automatische Löschprozesse: Wir führen regelmäßige automatische Löschläufe durch, um nicht mehr benötigte Daten gemäß den oben genannten Fristen zu entfernen. Dies dient dem Grundsatz der Speicherbegrenzung (Art. 5(1)(e) DSGVO).

Löschung und Datenbereinigung bei Kontolöschung: Bei Löschung Ihres Benutzerkontos werden alle direkten personenbezogenen Identifikatoren irreversibel entfernt. Im Einzelnen:

Name, Geburtsdatum, Geschlecht → entfernt
E-Mail-Adresse → durch einen nicht zuordenbaren Platzhalter ersetzt
Medizinische Diagnosen → vollständig gelöscht
Kontaktdaten, genaue Adresse, Koordinaten → entfernt
Chat-Nachrichten → Inhalte unkenntlich gemacht
Passwort → durch einen zufälligen Wert ersetzt

Verbleibende, nicht identifizierende Kategoriedaten (z. B. allgemeine Pflegekategorien, Stadt) dienen ausschließlich statistischen Zwecken. Eine Zuordnung zu einer bestimmten Person ist anhand der verbleibenden Daten nicht möglich.

Wir bewahren die bereinigten Datensätze zur Geltendmachung, Ausübung oder Abwehr von Rechtsansprüchen bis zum Ablauf der gesetzlichen Verjährungsfristen auf und behandeln sie weiterhin unter dem Schutz der DSGVO.

Hinweis zu IP-Identifiern: Gehashte IP-Identifier behandeln wir als personenbezogene Daten, da ein stabiler Hash-Wert als Pseudonym dienen kann.

19. Betroffenenrechte (Art. 15–22 DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Recht	Beschreibung
Auskunftsrecht (Art. 15)	Sie können eine Kopie aller über Sie gespeicherten personenbezogenen Daten anfordern. Dies ist auch direkt über die Datenexport-Funktion in Ihrem Konto möglich.
Recht auf Berichtigung (Art. 16)	Sie können die Berichtigung unrichtiger Daten verlangen. In Ihrem Profil können Sie viele Daten selbst bearbeiten.
Recht auf Löschung (Art. 17)	Sie können die Löschung Ihrer Daten verlangen. Sie können Ihr Konto direkt in der App/Webapp löschen. Nach einer 30-tägigen Karenzzeit (zur Reaktivierung) werden alle direkten Identifikatoren irreversibel entfernt (siehe Abschnitt 18).
Recht auf Einschränkung (Art. 18)	Sie können die Einschränkung der Verarbeitung verlangen. Dies können Sie durch Deaktivierung Ihres Kontos umsetzen.
Recht auf Datenübertragbarkeit (Art. 20)	Sie können Ihre Daten in einem maschinenlesbaren Format (JSON) über die Datenexport-Funktion herunterladen.
Widerspruchsrecht (Art. 21)	Sie können der Verarbeitung auf Grundlage berechtigter Interessen widersprechen (siehe Abschnitt 20).

Datenexport: Der Export umfasst Ihre Profildaten, alle Pflegeanfragen, Ihre Vermittlungsvorgänge und Ihre Einwilligungen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@pflegematch24.de

Wir werden Ihre Anfrage innerhalb von einem Monat beantworten (Art. 12(3) Satz 1 DSGVO). Diese Frist kann bei komplexen oder umfangreichen Anfragen um weitere zwei Monate verlängert werden; wir informieren Sie in diesem Fall innerhalb der ersten Frist über die Verlängerung und die Gründe (Art. 12(3) Satz 2 DSGVO).

Identitätsprüfung (Art. 12(6) DSGVO): Bei begründeten Zweifeln an Ihrer Identität können wir zusätzliche Informationen zur Bestätigung anfordern. Dies dient ausschließlich dem Schutz Ihrer Daten vor unbefugten Auskunftsanfragen. Angeforderte Zusatzinformationen werden nach Abschluss der Bearbeitung Ihrer Anfrage unverzüglich gelöscht.

20. Widerspruchs- und Widerrufsrecht

Widerruf von Einwilligungen

Sie können Ihre erteilten Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Cookie-/Speicher-Einwilligungen: Über den Cookie-Banner oder den Link in unserem Footer
Push-Benachrichtigungen: In den App-Einstellungen oder Betriebssystem-Einstellungen
Gesundheitsdaten in einer Pflegeanfrage (angemeldetes Konto): Durch Archivieren oder Löschen Ihrer Pflegeanfrage
Anonyme Anfrage über ein öffentliches Premiumprofil: Auch ohne Konto können Sie Auskunft, Berichtigung, Löschung oder Widerruf in Bezug auf Ihre Anfrage verlangen. Geben Sie dazu die nach dem Absenden im Browser angezeigte Referenznummer und die im Formular angegebene Kontaktangabe an datenschutz@pflegematch24.de. Nach Weiterleitung an den ausgewählten Pflegedienst ist dieser eigenständig Verantwortlicher — eine Löschung dort können wir nicht selbst durchführen; wir helfen Ihnen bei der Kontaktaufnahme zum Pflegedienst.
Analytics-Einwilligung: Über die Cookie-Einstellungen (sofern aktiviert)

Widerspruch gegen berechtigte Interessen (Art. 21 DSGVO)

Soweit wir Ihre Daten auf Grundlage berechtigter Interessen verarbeiten (Art. 6(1)(f) DSGVO), haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen. Wir werden die Verarbeitung dann einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.

Widerspruch gegen Benachrichtigungs-E-Mails: Jede abbestellbare E-Mail enthält einen Abmeldelink. Alternativ können Sie Ihre Benachrichtigungseinstellungen in Ihrem Konto verwalten.

Kontakt: datenschutz@pflegematch24.de

21. Partner-Empfehlungsprogramm (Referral Widget)

Im Rahmen unseres Partner-Empfehlungsprogramms können Pflegedienste (Partner) ein JavaScript-Widget auf ihrer eigenen Website einbinden, das pflegesuchende Besucher auf die PflegeMatch-Plattform weiterleitet.

Datenverarbeitung auf der Partner-Website

Das Widget verarbeitet auf der Partner-Website folgende Daten:

Datenpunkt	Zweck	Speicherort	Personenbezug
IP-Adresse des Besuchers	Wird beim Laden des Scripts, Abruf der Widget-Konfiguration und Heartbeat als Teil des HTTP-Requests übermittelt	Serverseitig nur als nicht rückführbarer Hash (Fraud Detection)	Ja (§ Breyer, EuGH)
Referral-Token (z.B. `PM_ABC123`)	Zuordnung der Weiterleitung zum Partner	URL-Parameter	Nein (zufällige ID)
Hostname und Pfad der Einbindungsseite	Widget-Aktivitätsprüfung (Heartbeat)	Übermittlung an PflegeMatch-Server	Nein
localStorage-Zeitstempel (`pm_hb_*`)	Rate-Limiting der Heartbeat-Signale	Browser-localStorage auf Partner-Domain	Nein (reiner Timestamp)

Es werden keine Cookies auf der Partner-Website gesetzt. Die localStorage-Nutzung beschränkt sich auf einen technisch notwendigen Zeitstempel zur Vermeidung unnötiger Serveranfragen und fällt unter TDDDG §25 Abs. 2 Nr. 2 (technisch erforderlich für die Erbringung des Dienstes).

Datenverarbeitung auf der PflegeMatch-Plattform

Wenn ein Besucher auf den CTA-Button im Widget klickt und auf PflegeMatch weitergeleitet wird, verarbeiten wir:

Datenpunkt	Zweck	Rechtsgrundlage	Speicherdauer
`ref`-Token (URL-Parameter)	Attribution der Pflegeanfrage zum empfehlenden Partner	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)	Bis zur Erstellung der Pflegeanfrage oder Ablauf des Attributionsfensters (30 Tage)
localStorage auf PflegeMatch-Domain (`pm_ref_*`)	Persistierung der Attribution über Seitennavigation	TDDDG §25 Abs. 2 Nr. 2 (technisch erforderlich)	30 Tage
IP-Adresse (nur als nicht rückführbarer HMAC-SHA256-Hash)	Missbrauchserkennung (Fraud-Detection)	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)	90 Tage (als Hash)
User-Agent (nur als nicht rückführbarer HMAC-SHA256-Hash)	Missbrauchserkennung	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)	90 Tage (als Hash)

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Unser berechtigtes Interesse an der Verarbeitung des Referral-Tokens und der Fraud-Detection-Hashes liegt in:

der korrekten Zuordnung von Empfehlungen zur Vermeidung fehlerhafter Gutschriften,
der Verhinderung von Missbrauch des Empfehlungsprogramms (z.B. automatisierte Klick-Generierung),
der vertraglichen Abrechnung mit unseren Partnern.

Die Interessen der betroffenen Website-Besucher werden dadurch nicht unverhältnismäßig beeinträchtigt, da:

keine Klarnamen, E-Mail-Adressen oder andere direkt identifizierbare Daten verarbeitet werden,
IP-Adressen und User-Agents ausschließlich als nicht rückführbare Hashes gespeichert werden,
keine Cookies auf der Partner-Website gesetzt werden,
die vor dem Klick übermittelten Daten (IP beim Script-Load, Heartbeat-Metadaten) auf ein technisches Minimum beschränkt sind und keine Nutzerprofile ermöglichen,
die Weiterleitung auf PflegeMatch und die dort stattfindende Datenverarbeitung erst nach aktivem Klick durch den Besucher erfolgt.

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Soweit Nutzer sich über einen Referral-Link registrieren und eine Pflegeanfrage erstellen, dient die Verarbeitung des Referral-Tokens auch der Vertragserfüllung (Zuordnung der Anfrage, ggf. Credit-Vergabe an den Partner).

22. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestraße 2–4 40213 Düsseldorf Telefon: 0211 / 38424-0 E-Mail: poststelle@ldi.nrw.de Website: https://www.ldi.nrw.de

23. Automatisierte Entscheidungsfindung

Zur Vermittlung berechnen wir einen Vermittlungs-Score, der die Eignung einer Pflegeanfrage für einen Pflegedienst einschätzt. Der Score basiert hauptsächlich auf der geografischen Nähe (Entfernung zwischen dem Standort der Pflegeanfrage und dem Einzugsgebiet des Pflegedienstes) und berücksichtigt ergänzend, ob der Pflegedienst grundsätzlich passende Pflegegrade und Leistungsarten abdeckt.

Der Score dient ausschließlich der Sortierung und Anzeige von Pflegeanfragen im Pool der Pflegedienste — er führt nicht zu einer automatisierten Entscheidung im Sinne von Art. 22 DSGVO. Insbesondere:

Alle Pflegeanfragen im Einzugsgebiet eines Pflegedienstes werden angezeigt, unabhängig vom Score.
Pflegedienste entscheiden eigenverantwortlich, an welchen Anfragen sie Interesse zeigen.
Pflegesuchende sehen anschließend alle Pflegedienste, die Interesse bekundet haben, und können frei entscheiden, mit welchem Anbieter sie einen Chat anfragen.
Es findet keine automatische Ablehnung oder Ausschluss auf Basis des Scores statt.

Diese automatisierte Priorisierung dient ausschließlich der Sortierung und Anzeige und hat keine rechtliche oder ähnlich erhebliche Wirkung im Sinne von Art. 22 DSGVO.

Der automatische Content-Filter (siehe Abschnitt 9.5) stellt keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO dar, da er keine Profilbildung vornimmt und sich auf den punktuellen Versand einzelner Nachrichten beschränkt.

24. Übermittlung in Drittländer

Einige der von uns genutzten Dienstleister haben ihren Sitz außerhalb der Europäischen Union. In diesen Fällen stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist:

Dienst	Anbieter	Datenschutzgarantie
Firebase/FCM	Google Ireland Ltd. → Google LLC (USA)	EU-US Data Privacy Framework (DPF), sofern für den konkreten Dienst anwendbar; zusätzlich Standardvertragsklauseln (SCCs)
Google Maps	Google Ireland Ltd. → Google LLC (USA)	EU-US Data Privacy Framework (DPF), sofern für den konkreten Dienst anwendbar; zusätzlich SCCs
Stripe	Stripe Payments Europe Ltd. (IE)	Verarbeitung hauptsächlich in der EU; DPF und/oder SCCs je nach Datenfluss
Sentry (Fehlerüberwachung)	Functional Software, Inc. (USA)	Datenverarbeitung ausschließlich in der EU (Frankfurt); DPF-zertifiziert; zusätzlich SCCs und DPA
Bot-Abwehr-Mechanismus für die Anfrage-Funktion auf öffentlichen Premiumprofilen (nur im Rate-Limit-Eskalationsfall, siehe Abschnitt 10.6.4)	Intuition Machines, Inc. (hCaptcha, USA)	EU-US Data Privacy Framework (DPF), sofern für den konkreten Dienst anwendbar; ergänzend Standardvertragsklauseln (SCCs); Auftragsverarbeitungs-/Data-Processing-Terms des Anbieters

Verarbeitung in der EU (kein Drittland-Transfer):

Dienst	Anbieter	Standort
IONOS (Produktion)	IONOS SE	Deutschland
Brevo (E-Mail)	Sendinblue GmbH	Deutschland

Die Google-Gesellschaften sind unter dem EU-US Data Privacy Framework (DPF) zertifiziert (öffentlich prüfbar unter https://www.dataprivacyframework.gov). Da einzelne Datenflüsse oder Unterauftragsverarbeiter variieren können, bestehen zusätzlich Standardvertragsklauseln (Art. 46(2)(c) DSGVO) als ergänzende oder alternative Garantie. Stripe ist ebenfalls DPF-zertifiziert; die europäische Verarbeitung erfolgt überwiegend über Stripe Payments Europe Ltd. (Irland). Sentry (Functional Software, Inc.) ist ebenfalls DPF-zertifiziert und verarbeitet alle Daten ausschließlich in der EU (Rechenzentrum Frankfurt). Mit Sentry besteht ein Data Processing Agreement (DPA) gemäß Art. 28 DSGVO.

25. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unserer Datenverarbeitungspraktiken, bei Gesetzesänderungen oder bei Änderungen unserer Dienste anzupassen.

Bei wesentlichen Änderungen — insbesondere solchen, die neue Verarbeitungszwecke, neue Empfänger oder geänderte Rechtsgrundlagen betreffen — werden wir Sie per E-Mail und/oder durch eine Benachrichtigung in der App informieren.

Pre-Launch-Klarstellungen: Wird in dieser Datenschutzerklärung eine Verarbeitungstätigkeit erstmalig aufgenommen, die zum Veröffentlichungszeitpunkt der jeweiligen Version noch nicht öffentlich aktiviert ist, betrifft diese Klarstellung keine bestehende Betroffenengruppe. Ein zusätzlicher rückwirkender Notice-Pfad entsteht in diesem Fall nicht; die Klarstellung wird zeitgleich mit der erstmaligen öffentlichen Aktivierung der Funktion wirksam, damit Betroffene die Verarbeitung vor dem ersten Submit transparent einsehen können. Spätere Änderungen an dann bereits live verarbeiteten Tätigkeiten unterliegen wieder dem oben beschriebenen Notice-Pfad.

Sollte für eine geänderte Verarbeitung Ihre erneute Einwilligung erforderlich sein, werden wir diese gesondert einholen.