Privacy Policy

Stand: März 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und sonstiger datenschutzrechtlicher Bestimmungen ist:

2. Datenschutzbeauftragter

Eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht derzeit nicht gemäß Art. 37 DSGVO i. V. m. § 38 BDSG. Für datenschutzrechtliche Anfragen wenden Sie sich bitte an die unter Abschnitt 1 genannte Kontaktadresse.

3. Allgemeines zur Datenverarbeitung

3.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3.2 Rechtsgrundlagen

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung personenbezogener Daten, die zur Erfüllung eines Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Für die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen gilt Art. 6 Abs. 1 lit. c DSGVO. Ist die Verarbeitung zur Wahrung eines berechtigten Interesses erforderlich, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

3.3 Verarbeitung besonderer Kategorien personenbezogener Daten

Im Rahmen unserer psychologischen Dienstleistungen verarbeiten wir Gesundheitsdaten und andere besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 2 lit. a DSGVO ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung sowie gemäß Art. 9 Abs. 2 lit. h DSGVO im Rahmen der Gesundheitsversorgung, vorbehaltlich der beruflichen Schweigepflicht nach § 203 StGB. Diese Einwilligung wird vor Beginn der Leistungserbringung separat eingeholt. Sie kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

3.4 Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

4. Bereitstellung der Website

4.1 Logfiles

Bei jedem Aufruf unserer Internetseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL und Referrer-URL
• Übertragene Datenmenge
• Browsertyp und Betriebssystem

Server-Logdaten werden nach 14 Tagen automatisch gelöscht, sofern keine längere Aufbewahrung zur Aufklärung von Sicherheitsvorfällen erforderlich ist.

4.2 Hosting

Unsere Website wird bei einem externen Hosting-Dienstleister betrieben. Dieser verarbeitet die oben genannten Zugriffsdaten im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO. Sofern eine Datenübertragung in Drittländer erfolgt, wird diese auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und/oder des EU-US Data Privacy Framework abgesichert.

4.3 SSL/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung (erkennbar an „https://" und dem Schloss-Symbol in Ihrem Browser). Eine verschlüsselte Verbindung stellt sicher, dass Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden können.

4.4 Google Fonts (lokal gehostet)

Wir verwenden die Schriftarten „Playfair Display" und „DM Sans" von Google Fonts. Diese werden über die integrierte Schriftoptimierung von Next.js zur Build-Zeit heruntergeladen und direkt von unserem eigenen Server ausgeliefert (Self-Hosting). Beim Besuch unserer Website wird keine Verbindung zu Servern von Google hergestellt. Es werden keine Daten — einschließlich Ihrer IP-Adresse — an Google LLC oder Alphabet Inc. übermittelt. Dies entspricht der Rechtsprechung des LG München I vom 20. Januar 2022 (Az. 3 O 17493/20).

5. Kontaktaufnahme und Buchung

5.1 Kontaktformular

Wenn Sie unser Kontaktformular nutzen, werden die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, Nachricht) zur Bearbeitung Ihrer Anfrage gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage). Die Daten werden nach vollständiger Bearbeitung Ihrer Anfrage und einer Nachfrist von 6 Monaten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

5.2 Terminbuchung

Für die Buchung von Terminen erfassen wir folgende Daten: Name, E-Mail-Adresse, bevorzugte Sitzungsart (Discovery Call, Erstgespräch, Folgesitzung), gewählter Standort (Praxis oder online) und Terminpräferenz. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.3 Newsletter

Wenn Sie unseren Newsletter abonnieren, wird Ihre E-Mail-Adresse bis zum Widerruf Ihrer Einwilligung gespeichert. Die Anmeldung erfolgt über ein Double-Opt-in-Verfahren. Wir protokollieren den Anmeldeprozess (Zeitstempel, IP-Adresse, Bestätigung) zum Nachweis der Einwilligung. Die Einwilligung kann jederzeit über den Abmeldelink in jedem Newsletter oder per E-Mail widerrufen werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO.

6. Klientenportal und Authentifizierung

Der Zugang zum Klientenportal ist ausschließlich auf Einladung möglich (keine öffentliche Selbstregistrierung). Wir verarbeiten Ihre E-Mail-Adresse und ein von Ihnen gewähltes Passwort (gehasht, niemals im Klartext gespeichert). Optional können Sie die Zwei-Faktor-Authentifizierung (TOTP) aktivieren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Zugangs).

Im Portal verarbeitete Daten umfassen:

• Terminhistorie
• Ergebnisse von Assessments und Fragebögen
• Sitzungsnotizen und klinische Dokumentation
• Anamnese- und Aufnahmedaten
• Neurokognitive Testergebnisse

Die Sicherheit wird durch Row Level Security (RLS) gewährleistet — Klienten können ausschließlich auf ihre eigenen Daten zugreifen.

7. Selbstbewertungstools (Pathfinder & Wellbeing Test)

Wir bieten kostenlose Selbstbewertungstools auf unserer Website an. Bei anonymer Nutzung (ohne Konto) werden Ihre Antworten ausschließlich in Ihrem Browser verarbeitet. Wir speichern keine individuellen Antworten oder Ergebnisse auf unseren Servern. Für eingeloggte Nutzer können Ergebnisse im Klientenportal gespeichert werden (Art. 6 Abs. 1 lit. a bzw. lit. b DSGVO). Diese Tools dienen ausschließlich zu Informationszwecken und stellen keine Diagnose oder medizinische Beratung dar.

8. Psychologische Dienstleistungen

8.1 Anamnese und klinische Daten

Im Rahmen unserer psychologischen Beratung, Coaching und neurokognitiven Assessments erheben wir — ausschließlich nach Erteilung Ihrer ausdrücklichen Einwilligung — umfangreiche Gesundheits- und Persönlichkeitsdaten. Hierzu gehören u. a. Angaben zur psychischen und physischen Gesundheitsgeschichte, aktuelle Symptome, Medikation, Ergebnisse standardisierter Fragebögen sowie neurokognitive Testresultate. Die Erhebung dieser Daten erfolgt erst nach einer separaten, informierten Einwilligung. Rechtsgrundlage ist Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

8.2 Vertraulichkeit

Sämtliche im Rahmen unserer Dienstleistungen erhobenen Daten werden streng vertraulich behandelt. Eine Weitergabe an Dritte erfolgt nur mit Ihrer ausdrücklichen Einwilligung oder bei gesetzlicher Verpflichtung (z. B. unmittelbare Gefahr für Leib und Leben gemäß § 34 StGB). Diese Vertraulichkeitspflicht erstreckt sich auch auf alle Mitarbeiter und technische Dienstleister, die theoretisch Zugang zu Daten haben könnten. Entsprechende technische und organisatorische Maßnahmen verhindern unbefugten Zugriff.

8.3 Aufbewahrungsfristen

Klinische Dokumentation wird gemäß den berufsrechtlichen Vorgaben für mindestens 10 Jahre nach Abschluss der Dienstleistung aufbewahrt. Rechnungs- und Zahlungsdaten werden gemäß § 147 AO und § 257 HGB für 10 Jahre aufbewahrt. Nach Ablauf der Aufbewahrungsfrist werden die Daten sicher gelöscht.

9. Neurokognitive Assessments

Bei neurokognitiven Assessments werden zusätzlich zu den unter Abschnitt 8 genannten Daten detaillierte kognitive Testergebnisse, normative Vergleichsdaten, Leistungsprofile und Berichte erhoben und verarbeitet. Diese Daten werden ausschließlich für die klinische Beurteilung und zur Erstellung des schriftlichen Berichts verwendet. Rechtsgrundlage ist Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

10. Zahlungsabwicklung

Für die Zahlungsabwicklung nutzen wir einen spezialisierten Zahlungsdienstleister mit Sitz in der EU. Dieser verarbeitet Ihre Zahlungsdaten (Kreditkarten- oder SEPA-Lastschriftdaten) im Rahmen der Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO. Der Dienstleister ist PCI-DSS Level 1 zertifiziert. Wir selbst speichern keine vollständigen Zahlungskartennummern oder Bankverbindungen.

11. Auftragsverarbeiter und Drittanbieter

Zur Erbringung unserer Dienstleistungen setzen wir sorgfältig ausgewählte Auftragsverarbeiter ein. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Die eingesetzten Dienstleister umfassen folgende Kategorien:

• Hosting und Bereitstellung der Website (siehe Abschnitt 4.2)
• Datenbank und Authentifizierung: Speicherung von Nutzerdaten und Sitzungsverwaltung. Die Datenbank wird in der Europäischen Union (Deutschland) betrieben. Gesundheitsdaten werden verschlüsselt gespeichert (AES-256 at rest, TLS in transit).
• Zahlungsabwicklung (siehe Abschnitt 10)
• E-Mail-Versand: Versand von transaktionalen E-Mails (Terminbestätigungen, Einladungen, Passwortzurücksetzung). Ihre E-Mail-Adresse wird für den Versand übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
• Bildmaterial: Auf unserer Website verwenden wir Bilder externer Anbieter. Beim Laden dieser Bilder kann Ihr Browser eine Verbindung zu deren Servern herstellen, wobei Ihre IP-Adresse übermittelt wird. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer ansprechenden Darstellung).

Sofern Dienstleister ihren Sitz außerhalb der EU haben, erfolgt die Datenübertragung auf Grundlage des EU-US Data Privacy Framework und/oder der EU-Standardvertragsklauseln. Eine aktuelle Liste der eingesetzten Auftragsverarbeiter kann auf Anfrage bereitgestellt werden.

12. Drittlandübermittlung

Einige unserer Dienstleister haben ihren Sitz in den USA oder anderen Ländern außerhalb des Europäischen Wirtschaftsraums (EWR). Sofern personenbezogene Daten in Drittländer übermittelt werden, stellen wir durch geeignete Garantien einen angemessenen Schutz sicher:

• EU-US Data Privacy Framework (DPF): Transfers an US-Unternehmen, die unter dem DPF zertifiziert sind (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, Durchführungsbeschluss (EU) 2023/1795).
• EU-Standardvertragsklauseln (SCCs): Wo das DPF nicht greift oder als zusätzliche Absicherung (Durchführungsbeschluss (EU) 2021/914).
• EU-interne Verarbeitung: Soweit möglich setzen wir Dienstleister ein, die Daten innerhalb der EU verarbeiten.

Sie können eine Kopie der jeweiligen Schutzmaßnahmen bei uns anfordern.

13. Cookies und Tracking

Unsere Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind:

Wir verwenden keine Tracking-Cookies, keine Analyse-Tools von Drittanbietern (kein Google Analytics, kein Facebook Pixel) und kein Profiling. Rechtsgrundlage für technisch notwendige Cookies ist § 25 Abs. 2 TDDDG (technische Notwendigkeit). Eine Einwilligung ist hierfür nicht erforderlich.

Wir können Browser-Local-Storage für funktionale Zwecke verwenden (z. B. Speicherung des Fortschritts in Selbstbewertungstools). Diese Daten verbleiben auf Ihrem Gerät und werden nicht an uns übermittelt.

14. Speicherdauer im Überblick

15. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen (Art. 32 DSGVO) zum Schutz Ihrer personenbezogenen Daten ein:

• SSL/TLS-Verschlüsselung für alle Datenübertragungen
• AES-256-Verschlüsselung für gespeicherte Gesundheitsdaten
• Row Level Security (RLS) — Datenisolation zwischen Klienten
• Sicheres Passwort-Hashing (bcrypt/argon2)
• Zwei-Faktor-Authentifizierung für Praktiker-Konten
• Rollenbasierte Zugriffskontrolle (RBAC)
• Einladungsbasierte Registrierung (keine öffentliche Selbstregistrierung)
• Regelmäßige Sicherheitsüberprüfungen und Updates
• Minimale Datenspeicherung (Grundsatz der Datenminimierung)

16. Minderjährige

Unsere Dienstleistungen richten sich in erster Linie an Erwachsene. Minderjährige können unsere Dienstleistungen in Anspruch nehmen, sofern ein Elternteil oder eine sorgeberechtigte Person eine ausdrückliche Einwilligungserklärung unterzeichnet hat. Ohne diese Einwilligung erheben wir wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren (Altersschwelle gemäß § 8 BDSG i. V. m. Art. 8 DSGVO).

17. Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist zum Teil gesetzlich vorgeschrieben (z. B. steuerrechtliche Vorschriften) oder ergibt sich aus vertraglichen Regelungen. Für den Abschluss eines Vertrages über unsere Dienstleistungen kann es erforderlich sein, dass Sie uns personenbezogene Daten zur Verfügung stellen. Die Nichtbereitstellung hätte zur Folge, dass der Vertrag nicht geschlossen bzw. nicht erfüllt werden könnte.

18. Rechte der betroffenen Personen

Sie haben folgende Rechte in Bezug auf Ihre personenbezogenen Daten. Zur Ausübung wenden Sie sich bitte an info@overlookmentalhealth.com. Wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung Ihrer Daten zu verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, sofern die Verarbeitung auf berechtigtem Interesse beruht. Wir stellen die Verarbeitung ein, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
• Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

19. Zuständige Aufsichtsbehörde

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Bei wesentlichen Änderungen, die die Verarbeitung Ihrer Daten betreffen, werden registrierte Nutzer per E-Mail oder durch einen Hinweis auf unserer Website informiert. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.