Datenschutzerklärung

gemäß DSGVO, BDSG und TDDDG — Stand: Februar 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Zahnifreund – Michael Mollath
Grasweg 6
24161 Altenholz
Deutschland

Telefon: 0431-30149908
E-Mail: hallo@zahnifreund.de
Website: https://zahnifreund.de

Im Folgenden auch „Wir" oder „Zahnifreund" genannt.

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

2.2 Rechtsgrundlagen

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung personenbezogener Daten, die zur Erfüllung eines Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

2.3 Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft.

3. Hosting und technische Infrastruktur

3.1 Webhosting

Unsere Website wird bei Railway (Railway Corporation, San Francisco, CA, USA) gehostet. Beim Aufrufen unserer Website werden durch den Hosting-Anbieter automatisch Informationen in sogenannten Server-Log-Dateien gespeichert, die Ihr Browser automatisch übermittelt. Dies sind:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit der Anfrage
• Zeitzonendifferenz zur Greenwich Mean Time (GMT)
• Inhalt der Anforderung (konkrete Seite)
• Zugriffsstatus / HTTP-Statuscode
• Übertragene Datenmenge
• Referrer-URL (zuvor besuchte Seite)
• Verwendeter Browser und Betriebssystem
• Sprache und Version der Browsersoftware

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung seiner Website.

Hinweis: Railway ist ein US-amerikanisches Unternehmen. Die Datenübertragung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln. Weitere Informationen: https://railway.app/legal/privacy

3.2 Content Delivery Network (CDN) und Bildhosting

Wir nutzen den Dienst Cloudinary (Cloudinary Ltd., Israel/USA) zum Hosten und Ausliefern von Bildern und Medieninhalten. Beim Abruf von Bildern auf unserer Website werden personenbezogene Daten (insbesondere Ihre IP-Adresse) an Cloudinary-Server übertragen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und schnellen Bereitstellung von Medieninhalten). Weitere Informationen: https://cloudinary.com/privacy

3.3 SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

4. Datenbank

Wir verwenden PostgreSQL als Datenbanksystem, gehostet bei Railway (Railway Corporation, San Francisco, CA, USA). In der Datenbank werden unter anderem Praxisdaten, Bewertungen, Nutzerdaten und Konfigurationen gespeichert. Der Zugriff auf die Datenbank erfolgt verschlüsselt und ist auf autorisierte Systeme beschränkt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren Datenspeicherung).

5. Kontaktformular und E-Mail-Versand

5.1 Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden folgende Daten erhoben:

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer (optional)
• Ihre Nachricht

Die Verarbeitung der Daten dient allein zur Bearbeitung Ihrer Kontaktanfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Ihre Daten werden nach abgeschlossener Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5.2 E-Mail-Versand über Resend

Für den Versand von transaktionalen E-Mails (z. B. Kontaktformular-Bestätigungen, Benachrichtigungen) nutzen wir den Dienst Resend (Resend, Inc., USA). Dabei werden Ihre E-Mail-Adresse, Ihr Name und der E-Mail-Inhalt an Server von Resend in den USA übertragen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO. Die Datenübertragung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln. Weitere Informationen: https://resend.com/legal/privacy-policy

6. Authentifizierung und Benutzerkonto

Für den Zugang zu geschützten Bereichen (Admin-Backend, Praxis-Portal) verwenden wir ein Anmeldesystem auf Basis von NextAuth.js. Bei der Anmeldung werden folgende Daten verarbeitet:

• E-Mail-Adresse
• Passwort (gehasht mit bcrypt, nicht im Klartext gespeichert)
• Zeitpunkt des letzten Logins
• Session-Token (als JSON Web Token / JWT)

Die Session wird als HTTP-only Cookie für maximal 30 Tage gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Google-Dienste

7.1 Google Tag Manager

Wir verwenden den Google Tag Manager (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Der Google Tag Manager ist eine Lösung, mit der wir sogenannte Website-Tags über eine Oberfläche verwalten können. Der Tag Manager selbst setzt keine Cookies und erfasst keine personenbezogenen Daten. Er löst jedoch andere Tags aus, die ihrerseits Daten erfassen können. Der Google Tag Manager greift nicht auf diese Daten zu.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für durch den Tag Manager gesteuerte Dienste. Weitere Informationen: https://policies.google.com/privacy

7.2 Google Analytics 4

Wir nutzen Google Analytics 4 (Google Ireland Limited), einen Webanalysedienst. Google Analytics verwendet Cookies und ähnliche Technologien, die eine Analyse der Benutzung der Website ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

IP-Anonymisierung: Google Analytics 4 anonymisiert Ihre IP-Adresse standardmäßig, bevor sie gespeichert wird.

Folgende Daten werden erhoben:

• Anonymisierte IP-Adresse
• Besuchte Seiten und Verweildauer
• Technische Informationen (Browser, Betriebssystem, Bildschirmauflösung)
• Herkunft des Besuchs (Referrer)
• Standort (auf Basis der anonymisierten IP)
• Interaktionen (Klicks, Scrollverhalten)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Google Analytics wird erst nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Consent-Banner aktiviert.

Widerspruch: Sie können die Erfassung durch Google Analytics verhindern, indem Sie Ihre Einwilligung im Cookie-Banner widerrufen oder das Browser-Add-on zur Deaktivierung von Google Analytics herunterladen: https://tools.google.com/dlpage/gaoptout

Die Datenübertragung in die USA erfolgt auf Basis eines Angemessenheitsbeschlusses der EU-Kommission (EU-US Data Privacy Framework).

7.3 Google Maps

Auf unserer Website und den von uns erstellten Praxis-Websites binden wir Google Maps (Google Ireland Limited) als Kartenansicht ein. Beim Laden der Karte werden Daten an Google-Server übertragen, darunter insbesondere Ihre IP-Adresse, Ihr Standort sowie Geräte- und Browserinformationen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer ansprechenden Darstellung und leichter Auffindbarkeit der Praxis). Weitere Informationen: https://policies.google.com/privacy

7.4 Google Fonts

Unsere Website nutzt zur einheitlichen Darstellung von Schriftarten sogenannte Google Fonts, die dynamisch von Google-Servern nachgeladen werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Schriftarten in Ihren Browsercache. Zu diesem Zweck muss der von Ihnen verwendete Browser Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen und ansprechenden Darstellung).

Hinweis: Für eine datenschutzfreundlichere Lösung kann in Zukunft ein lokales Hosting der Schriftarten umgesetzt werden. Weitere Informationen: https://policies.google.com/privacy

7.5 Google Places API

Wir nutzen die Google Places API, um öffentlich verfügbare Informationen zu Zahnarztpraxen abzurufen (Name, Adresse, Öffnungszeiten, Bewertungen, Fotos). Diese Daten werden zur Anreicherung der Praxis-Profile und zur Darstellung von Google-Bewertungen auf den Praxis-Websites verwendet.

Beim Abruf werden technische Verbindungsdaten (IP-Adresse des Servers) an Google übertragen. Es werden keine personenbezogenen Daten der Website-Besucher direkt an Google Places weitergegeben, da die Abfragen serverseitig erfolgen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellung aktueller Praxisinformationen).

7.6 Google Business Profile API (OAuth)

Für die Funktion „BewertungsGuard" bieten wir Praxisinhabern die Möglichkeit, ihr Google Business-Profil mit Zahnifreund zu verbinden. Hierfür wird ein OAuth 2.0-Authentifizierungsverfahren verwendet, bei dem der Praxisinhaber Zahnifreund explizit die Berechtigung erteilt, auf seine Google-Bewertungen zuzugreifen und auf diese zu antworten.

Folgende Daten werden im Rahmen der Verbindung verarbeitet:

• Google Account-ID und verlinkte Standorte
• OAuth Access-Token und Refresh-Token (verschlüsselt gespeichert)
• Bewertungen (Autor, Text, Sterne, Datum)
• Antworten auf Bewertungen

Die Verbindung kann jederzeit vom Praxisinhaber getrennt werden. Bei Trennung werden alle gespeicherten Token gelöscht.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Praxisinhabers) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Einsatz von Künstlicher Intelligenz

8.1 KI-gestützte Bewertungsanalyse

Im Rahmen unseres BewertungsGuard-Moduls nutzen wir KI-Dienste (OpenAI, Inc., USA) zur Analyse von öffentlich verfügbaren Bewertungen. Die Analyse umfasst:

• Sentiment-Analyse (Stimmungserkennung)
• Kategorisierung nach KPI-Bereichen (z. B. Freundlichkeit, Sauberkeit, Schmerzbehandlung)
• Erstellung von Zusammenfassungen und Handlungsempfehlungen

Die an OpenAI übermittelten Daten umfassen ausschließlich den öffentlich verfügbaren Bewertungstext sowie den Kontext der Praxis. Es werden keine personenbezogenen Daten der Praxispatienten übermittelt, die über die öffentlich einsehbaren Bewertungen hinausgehen.

8.2 KI-generierte Antworten auf Bewertungen

Praxisinhaber können über Zahnifreund KI-generierte Antwortvorschläge für Google-Bewertungen erstellen lassen. Diese Antworten werden als Vorschlag generiert und können vor der Veröffentlichung bearbeitet werden. Bei aktivierter Automatik können Antworten ab einem konfigurierbaren Sterne-Schwellenwert auch automatisch veröffentlicht werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Datenübertragung an OpenAI in die USA erfolgt auf Basis der EU-Standardvertragsklauseln. Weitere Informationen: https://openai.com/policies/privacy-policy

9. CRM-System (HubSpot)

Wir nutzen HubSpot (HubSpot, Inc., 25 First Street, Cambridge, MA 02141, USA) als Customer-Relationship-Management-System zur Verwaltung von Geschäftskontakten und Kundenbeziehungen.

Folgende Daten können in HubSpot gespeichert werden:

• Praxisname und Kontaktdaten
• E-Mail-Adresse und Telefonnummer
• Kommunikationsverlauf
• Informationen zum gewählten Leistungspaket
• Google-Bewertungen und Bewertungs-Score

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenkommunikation). Die Datenübertragung in die USA erfolgt auf Basis des EU-US Data Privacy Frameworks. Weitere Informationen: https://legal.hubspot.com/privacy-policy

10. Terminbuchung (HubSpot Meetings)

Auf unserer Website binden wir das Terminplanungs-Tool HubSpot Meetings (HubSpot, Inc., Cambridge, USA) als Widget ein. Wenn Sie einen Termin über HubSpot Meetings buchen, werden personenbezogene Daten (Name, E-Mail, ggf. weitere Angaben) direkt von HubSpot verarbeitet.

Beim Laden des Meetings-Widgets werden technische Daten (IP-Adresse, Browserinformationen) an HubSpot-Server übertragen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Widget-Nutzung). Weitere Informationen: https://legal.hubspot.com/privacy-policy

11. Bewertungsportal-Integration

11.1 Google-Bewertungen

Wir rufen über die Google Places API öffentlich verfügbare Bewertungen ab und stellen diese auf den Praxis-Websites sowie im Admin-Dashboard dar. Die Bewertungen enthalten den öffentlich sichtbaren Autorennamen, Bewertungstext, Sternebewertung und Datum.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellung und Auswertung von öffentlich verfügbaren Bewertungsdaten).

11.2 Jameda-Bewertungen

Wir rufen öffentlich auf jameda.de verfügbare Bewertungen ab und speichern diese zur Darstellung und Analyse im Rahmen des BewertungsGuard-Moduls. Die Bewertungen enthalten den öffentlich sichtbaren Autorennamen (ggf. anonymisiert), Bewertungstext, Noten und Datum.

Der Abruf erfolgt automatisiert in konfigurierbaren Intervallen. Es werden ausschließlich öffentlich zugängliche Informationen erfasst.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Aggregation und Auswertung öffentlich verfügbarer Bewertungsdaten zur Qualitätssicherung).

12. Cookies und lokale Speicherung

12.1 Was sind Cookies?

Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und die Ihr Browser beim nächsten Besuch wieder an uns sendet. Sie dienen dazu, unsere Website nutzerfreundlicher, effektiver und sicherer zu machen.

12.2 Eingesetzte Cookies

*Analyse-Cookies werden erst nach Ihrer ausdrücklichen Einwilligung gesetzt.

12.3 LocalStorage

Wir verwenden LocalStorage (einen browserseitigen Speicher) zur Speicherung Ihrer Cookie-Einwilligungsentscheidung. LocalStorage-Daten werden nicht automatisch an unsere Server übertragen.

12.4 Cookie-Einwilligung

Beim ersten Besuch unserer Website wird Ihnen ein Cookie-Consent-Banner angezeigt. Nicht notwendige Cookies (insbesondere Analyse-Cookies) werden erst nach Ihrer ausdrücklichen Einwilligung gesetzt. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen.

13. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten und auf weitere Informationen gemäß Art. 15 DSGVO.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gründe zutrifft.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, Widerspruch einzulegen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

14. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Zu unseren Sicherheitsmaßnahmen gehören insbesondere:

• SSL/TLS-Verschlüsselung der gesamten Website
• Verschlüsselte Datenbankverbindungen
• Passwort-Hashing mit bcrypt
• JWT-basierte Session-Verwaltung mit HTTP-only Cookies
• CSRF-Schutz bei OAuth-Prozessen
• Regelmäßige Sicherheitsupdates

15. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienste haben ihren Sitz in den USA oder anderen Drittländern. Die Datenübermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission zum EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO bzw. auf Basis von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Folgende Dienste übermitteln Daten in Drittländer:

16. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand Februar 2026. Durch die Weiterentwicklung unserer Website und der darauf eingesetzten Technologien oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf unserer Website abgerufen werden.

Zahnifreund – Ihr Partner für moderne Zahnarztpraxen

Bei Fragen zum Datenschutz wenden Sie sich bitte an: hallo@zahnifreund.de