Datenschutzerklärung

Zuletzt aktualisiert: 19. Mai 2026

Version 3.0

1. Verantwortlicher

Wholeding Ltd, 11 Triq Giovanni Ricasoli, KKR106 Kalkara, Malta ist der für Ihre personenbezogenen Daten verantwortliche Datenverantwortliche. Bei Datenschutzfragen wenden Sie sich bitte an privacy@wholeding.eu.

2. Personenbezogene Daten, die wir erheben

Wir erheben die folgenden Kategorien personenbezogener Daten:

Kontodaten: vollständiger Name, E-Mail-Adresse, Geburtsdatum (zur Altersverifikation), bevorzugte Sprache und Zeitzone.

Berufliche Daten von Therapeuten: beruflicher Lebenslauf, Spezialisierungen, gesprochene Sprachen, Berufserfahrung, Profilfoto, Sitzungspreise, Verfügbarkeitsplan und berufliche Qualifikationen.

Buchungs- und Sitzungsdaten: Datum/Uhrzeit der Sitzung, Dauer, Format (z. B. Einzel- oder Paartherapie), Buchungsstatus, Stornierungsgründe und Umbuchungshistorie.

Zahlungsdaten: Zahlungsbeträge, Währung und Transaktionsreferenzen. Wir speichern keine Kartendaten — diese werden direkt von Stripe verarbeitet und erreichen unsere Server nie.

Kommunikationsdaten: Einsendungen aus Kontaktformularen und Zustellprotokolle für transaktionale Benachrichtigungen (Buchungsbestätigungen, Sitzungserinnerungen).

Daten aus dem Matching-Quiz: Ihre Antworten in unserem Therapeuten-Matching-Quiz werden anonym erhoben. Wir können die Quiz-Antworten nicht mit Ihrer Identität verknüpfen. Diese Daten werden ausschließlich verwendet, um Sie mit einem geeigneten Therapeuten zusammenzubringen und die Matching-Erfahrung zu verbessern.

Technische Daten: Authentifizierungs-Sitzungstoken, IP-Adresse (zur Sicherheitsüberwachung) und Browserinformationen (zum Bot-Schutz).

Analyse- und Werbedaten (mit Einwilligung): Wenn Sie Analyse- und Werbe-Cookies akzeptieren, erfassen wir pseudonyme Interaktionsereignisse (besuchte Seiten, Klicks auf wichtige Call-to-Action-Elemente, Sprachwechsel, Leistungsmetriken wie Core Web Vitals) und Konversionsdaten (welcher Google-Ads-Klick zu einer Buchung führte). Für authentifizierte Clients werden diese Daten mit einer undurchsichtigen internen Nutzerkennung verknüpft; Administratoren und Therapeuten sind von diesem Tracking ausgenommen. Vollständige Liste der Cookies und Konfigurationsdetails finden Sie in unserer Cookie-Richtlinie.

Administrative und Sicherheitsprotokolle: Wir führen interne Audit-Protokolle, die Administratoraktionen (mit IP-Adresse und Zeitstempel) und Sicherheitsereignisprotokolle (Anmeldeversuche, ausgelöste Ratenbegrenzungen und verdächtige Aktivitäten) aufzeichnen. Diese Protokolle schützen die Plattform und helfen uns bei der Untersuchung von Vorfällen.

Daten potenzieller Therapeuten: Wenn Sie als Therapeut eingeladen werden, speichern wir vorübergehend Ihren Namen, Ihre E-Mail-Adresse und Ihre beruflichen Qualifikationen für bis zu 24 Stunden, um die Einladung zu bearbeiten.

3. Wie und warum wir Ihre Daten verwenden

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken und auf folgenden Rechtsgrundlagen:

Dienstleistungserbringung (Rechtsgrundlage: Vertrag, Art. 6(1)(b)): Erstellung und Verwaltung Ihres Kontos, Matching mit Therapeuten, Planung und Verwaltung von Buchungen, Zahlungsabwicklung und Bereitstellung der Sitzungslinks.

Kommunikation (Rechtsgrundlage: Vertrag, Art. 6(1)(b)): Versand von Buchungsbestätigungen, Sitzungserinnerungen und Kontobenachrichtigungen. Dies sind für die Dienstleistung erforderliche transaktionale E-Mails.

Altersverifikation (Rechtsgrundlage: rechtliche Verpflichtung, Art. 6(1)(c)): Überprüfung, ob Sie das Mindestalter zur Nutzung der Plattform erfüllen.

Finanzielle Aufzeichnungen (Rechtsgrundlage: rechtliche Verpflichtung, Art. 6(1)(c)): Aufbewahrung von Zahlungsaufzeichnungen gemäß Steuer- und Finanzvorschriften.

Sicherheit und Betrugsprävention (Rechtsgrundlage: berechtigtes Interesse, Art. 6(1)(f)): Überwachung verdächtiger Aktivitäten, Protokollierung administrativer Aktionen, Aufzeichnung von Sicherheitsereignissen und Einsatz von Bot-Schutz in Formularen.

Analyse und Konversionsmessung (Rechtsgrundlage: Einwilligung, Art. 6(1)(a)): Messen, wie Besucher die Plattform entdecken und nutzen, Bewertung der Leistung von Marketingkampagnen und des Buchungspfads sowie Fundierung von Verbesserungen der Nutzererfahrung. Diese Verarbeitung findet nur statt, nachdem Sie über das Cookie-Banner Ihre Einwilligung erteilt haben; Sie können die Einwilligung jederzeit mit der gleichen Leichtigkeit widerrufen.

Plattformverbesserung (Rechtsgrundlage: berechtigtes Interesse, Art. 6(1)(f)): Analyse anonymer Quizdaten und aggregierter Nutzungsmuster zur Verbesserung des Matching-Algorithmus und der Nutzererfahrung.

4. Externe Auftragsverarbeiter

Wir teilen personenbezogene Daten mit den folgenden vertrauenswürdigen externen Auftragsverarbeitern, von denen jeder die Daten in unserem Namen auf der Grundlage einer Auftragsverarbeitungsvereinbarung verarbeitet:

Supabase (Datenbank- und Authentifizierungs-Hosting) — hostet alle Plattformdaten in der EU (Frankfurt). Erhält: alle Kontodaten, Buchungsdaten und Authentifizierungsdaten.

Stripe (Zahlungsabwicklung) — verarbeitet Zahlungen und Auszahlungen an Therapeuten. Erhält: E-Mail-Adresse, Zahlungsbeträge und Buchungsreferenz-IDs. Kartendaten werden direkt vom sicheren Zahlungsformular von Stripe verarbeitet und berühren unsere Server nie. Stripe speichert Transaktionsdaten gemäß den Finanzvorschriften mindestens 7 Jahre lang — diese Daten können bei Kontoschließung nicht gelöscht werden.

Google (Calendar und Meet) — wenn ein Therapeut seinen Google Calendar verbindet, erstellen wir Kalenderereignisse für gebuchte Sitzungen. Erhält: Datum/Uhrzeit der Sitzung, E-Mail-Adressen der Teilnehmer und eine Buchungsreferenz. Google-Meet-Links werden für Videositzungen generiert. Diese Integration ist optional und erfordert die ausdrückliche Einwilligung des Therapeuten über den OAuth-Einwilligungsbildschirm von Google.

Google (Analytics und Ads) — mit Ihrer Einwilligung verwenden wir Google Analytics 4 (G-N8J2V47W6K) und Google Ads (AW-18159589539), um Nutzung, Leistung und die Wirksamkeit bezahlter Kampagnen zu messen. Erhält: pseudonyme Interaktionsereignisse, Seitenpfade, Sprache, Bildschirmgröße, anonymisierten IP-basierten ungefähren Standort, eine undurchsichtige interne Nutzerkennung für authentifizierte Clients und Konversionsdaten. Google Signals ist deaktiviert, sodass kein geräteübergreifendes oder demografisches Tracking auf Basis angemeldeter Google-Profile erfolgt. Vollständige Details — einschließlich der gesetzten Cookies und Aufbewahrungsfristen — finden Sie in unserer Cookie-Richtlinie.

Resend (E-Mail-Zustellung) — stellt transaktionale E-Mails in unserem Namen zu. Erhält: E-Mail-Adresse des Empfängers, Name und E-Mail-Inhalt (Buchungsdetails, Sitzungszeiten). Resend speichert den E-Mail-Inhalt nach der Zustellung nicht. Zustellprotokolle werden etwa 30 Tage lang aufbewahrt.

Cloudflare (Bot-Schutz) — bietet CAPTCHA-Schutz in Anmelde-, Registrierungs- und Kontaktformularen über Cloudflare Turnstile. Dies ist eine datenschutzfreundliche Alternative zu herkömmlichen CAPTCHAs, die keine Tracking-Cookies verwendet. Cloudflare kann IP-Adresse und Browser-Interaktionsdaten erfassen, um zu überprüfen, ob Sie ein Mensch sind.

Vercel (geplant: Web-Performance-Monitoring) — Derzeit nicht aktiv. Wir haben die Infrastruktur für Vercel Analytics und Speed Insights integriert, es werden derzeit jedoch keine Daten an Vercel gesendet. Wenn wir diesen Dienst in Zukunft aktivieren, wird er über unser Cookie-Einwilligungsbanner Opt-in sein, und wir werden diese Datenschutzerklärung vor der Aktivierung aktualisieren.

Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte. Daten werden nur wie oben beschrieben und nur in dem Umfang weitergegeben, der für die Erbringung unserer Dienstleistungen erforderlich ist.

5. Internationale Datenübermittlungen

Ihre Daten werden hauptsächlich in der EU (Frankfurt) über Supabase gespeichert. Einige unserer Auftragsverarbeiter haben ihren Sitz in den Vereinigten Staaten:

  • Stripe — geschützt durch die EU-Standardvertragsklauseln (SCC) und das EU-US Data Privacy Framework
  • Google (Calendar, Meet, Analytics, Ads) — geschützt durch EU-SCC und das EU-US Data Privacy Framework
  • Resend — geschützt durch EU-SCC
  • Cloudflare — geschützt durch EU-SCC und das EU-US Data Privacy Framework

Diese Mechanismen stellen sicher, dass Ihre Daten ein angemessenes Schutzniveau gemäß Kapitel V der DSGVO erhalten.

6. Datenspeicherung

Wir speichern Ihre personenbezogenen Daten für die folgenden Zeiträume:

  • Konto- und Profildaten: für die Lebensdauer Ihres Kontos gespeichert. Gelöscht, wenn Sie die Kontolöschung beantragen.
  • Buchungs- und Sitzungsdaten: für die Lebensdauer Ihres Kontos gespeichert. Gelöscht, wenn das Konto einer der Parteien entfernt wird.
  • Zahlungsreferenzen: bis zu 10 Jahre nach der Transaktion gespeichert, wie es Steuer- und Finanzvorschriften vorschreiben. Dies gilt auch nach Kontolöschung.
  • E-Mail-Zustellprotokolle: automatisch nach 7 Tagen gelöscht.
  • Sicherheits- und Audit-Protokolle: 1 Jahr lang in unseren Betriebssystemen aufbewahrt, dann weitere 2 Jahre archiviert, bevor sie gelöscht werden (insgesamt 3 Jahre).
  • Webhook-Ereignisdaten: nach Verarbeitung von detailliertem Inhalt befreit und automatisch nach 30 Tagen gelöscht.
  • Therapeuten-Einladungen: 24 Stunden gültig, dann automatisch gelöscht.
  • Anonyme Quizdaten: auf unbestimmte Zeit gespeichert, um die Matching-Erfahrung zu verbessern. Da diese Daten anonym sind, können sie nicht mit Ihnen verknüpft werden und sind von der Kontolöschung nicht betroffen.
  • Google-Analytics-Ereignisdaten: 14 Monate von Google gespeichert, danach werden Ereignisdaten automatisch gelöscht. Aggregierte Berichte bleiben darüber hinaus verfügbar.
  • Google-Ads-Attributionsdaten: die _gcl_*-Cookies laufen nach 90 Tagen ab; danach können sie nicht mehr verwendet werden, um eine Konversion einem Klick zuzuordnen.

Wenn Sie Ihr Konto löschen, werden alle mit Ihrem Konto verknüpften personenbezogenen Daten dauerhaft aus unseren Systemen entfernt, außer wenn wir eine gesetzliche Pflicht zur Aufbewahrung haben (z. B. Finanzaufzeichnungen) oder wenn ein externer Auftragsverarbeiter Daten unabhängig aufbewahrt (z. B. Stripe-Transaktionsaufzeichnungen).

7. Cookies und Tracking

Wir verwenden die folgenden Cookies und Tracking-Technologien:

Unbedingt erforderlich (keine Einwilligung erforderlich):

  • Authentifizierungs-Sitzungscookies — von Supabase verwaltet, um Sie angemeldet zu halten
  • Cookie-Einwilligungspräferenz — erfasst, ob Sie optionale Cookies akzeptiert oder abgelehnt haben

Bot-Schutz (berechtigtes Interesse):

  • Cloudflare Turnstile — ein datenschutzfreundliches CAPTCHA, das keine Tracking-Cookies setzt. Wird in Anmelde-, Registrierungs- und Kontaktformularen verwendet, um automatisierten Missbrauch zu verhindern.

Analyse und Werbung (mit Einwilligung):

  • Google Analytics 4 — misst Nutzung und Leistung der Website. Setzt die Cookies _ga, _ga_N8J2V47W6K und (in einigen Konfigurationen) _gid.
  • Google Ads — misst die Wirksamkeit bezahlter Kampagnen. Setzt die Cookies _gcl_au, _gcl_aw und _gcl_dc.

Ein einzelner Einwilligungsschalter im Cookie-Banner deckt sowohl Analyse als auch Werbung ab. Wir verwenden den Google Consent Mode v2, sodass diese Tags vor Erteilung der Einwilligung in einem eingeschränkten, cookielosen Modus geladen werden und keine Mess- oder Werbedaten übermitteln. Sie können die Einwilligung jederzeit widerrufen. Vollständige Details — einschließlich Ablaufzeiten und Konfiguration der Daten — finden Sie in unserer Cookie-Richtlinie.

8. Ihre Rechte nach der DSGVO

Als betroffene Person in der EU/im EWR haben Sie die folgenden Rechte nach der DSGVO:

  • Recht auf Auskunft (Art. 15): Anforderung einer Kopie aller personenbezogenen Daten, die wir über Sie speichern.
  • Recht auf Berichtigung (Art. 16): Korrektur unrichtiger personenbezogener Daten. Sie können Ihre Profilinformationen direkt in Ihren Kontoeinstellungen aktualisieren.
  • Recht auf Löschung (Art. 17): Anforderung der Löschung Ihrer personenbezogenen Daten. Beachten Sie, dass einige Daten aufbewahrt werden können, wenn wir eine gesetzliche Pflicht haben (z. B. Finanzaufzeichnungen).
  • Recht auf Einschränkung (Art. 18): Verlangen, dass wir die Verarbeitung Ihrer Daten unter bestimmten Umständen einschränken.
  • Recht auf Datenübertragbarkeit (Art. 20): Erhalt Ihrer personenbezogenen Daten in einem strukturierten, maschinenlesbaren Format.
  • Widerspruchsrecht (Art. 21): Widerspruch gegen die Verarbeitung auf Grundlage des berechtigten Interesses. Wir werden die Verarbeitung einstellen, es sei denn, wir haben zwingende berechtigte Gründe.
  • Recht auf Widerruf der Einwilligung (Art. 7(3)): Wenn die Verarbeitung auf Einwilligung beruht (etwa Analyse- und Werbe-Cookies), können Sie Ihre Einwilligung jederzeit mit der gleichen Leichtigkeit widerrufen, mit der sie erteilt wurde, über die Cookie-Einstellungssteuerung.

Wie Sie Ihre Rechte ausüben: Senden Sie Ihre Anfrage an privacy@wholeding.eu. Wir werden innerhalb von 30 Tagen antworten. Wir können Sie bitten, Ihre Identität zu bestätigen, bevor wir Ihre Anfrage bearbeiten.

Recht auf Beschwerde: Wenn Sie mit unserem Umgang mit Ihren Daten nicht zufrieden sind, haben Sie das Recht, bei Ihrer lokalen Datenschutzbehörde Beschwerde einzulegen. Für Malta ist dies das Office of the Information and Data Protection Commissioner (IDPC) unter idpc.org.mt.

9. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten ein, darunter:

  • Alle Daten werden bei der Übertragung (HTTPS/TLS) und im Ruhezustand verschlüsselt
  • Sensible Token (z. B. Google-OAuth-Refresh-Token) werden vor der Speicherung auf Anwendungsebene verschlüsselt
  • Row-Level-Security-Richtlinien beschränken den Datenbankzugriff auf autorisierte Nutzer
  • Administrative Aktionen werden in einem Audit-Trail mit Zeitstempeln und IP-Adressen protokolliert
  • Die Authentifizierung verwendet den PKCE-OAuth-Flow und bcrypt-Passwort-Hashing
  • Bot-Schutz verhindert automatisierten Missbrauch von Formularen und Authentifizierung

10. Automatisierte Entscheidungsfindung

Unser Therapeuten-Matching-Quiz nutzt Ihre Antworten, um geeignete Therapeuten vorzuschlagen. Dieses Matching erfolgt auf anonymen Daten und liefert eine unverbindliche Empfehlung — Sie können jeden verfügbaren Therapeuten frei wählen. Es werden keine automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung über Sie getroffen.

11. Datenschutz von Kindern

Wholeding ist nicht für Personen unter 18 Jahren bestimmt. Wir erfassen das Geburtsdatum, um die Altersberechtigung zu überprüfen. Sollten wir feststellen, dass wir personenbezogene Daten einer Person unter 18 Jahren erhoben haben, werden wir Maßnahmen zur umgehenden Löschung dieser Daten ergreifen.

12. Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen benachrichtigen wir Sie durch Aktualisierung des Datums oben auf dieser Seite und gegebenenfalls per E-Mail. Wir empfehlen Ihnen, diese Seite regelmäßig zu überprüfen.

13. Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Datenschutzrechte kontaktieren Sie uns bitte unter:

Wholeding Ltd
11 Triq Giovanni Ricasoli
KKR106 Kalkara, Malta

E-Mail: privacy@wholeding.eu

Wir verwenden Cookies, damit unsere Plattform reibungslos funktioniert. Sie können auswählen, welche optionalen Cookies Sie zulassen. Datenschutzerklärung und Cookie-Richtlinie.