Datenschutz­erklärung

für die phenyx Digitalplattform für Patient:innen mit seltenen Stoffwechselerkrankungen.

Stand: 17.04.2026

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

phenyx gUG (haftungsbeschränkt)
Tiergartenstr. 15
69121 Heidelberg

E-Mail: privacy@phenyx.app

Geschäftsführung: Prof. Dr. Thomas Opladen und Gerd Schneider
Sitz: Heidelberg
Registergericht: Mannheim
Registernummer: HRB 755601

2. Datenschutz­beauftragte:r

Unsere Datenschutz­beauftragte erreichen Sie unter:

Dr. Regina Mathes / E-Mail: privacy@phenyx.app

3. Überblick über die Datenverarbeitung

Unsere Plattform ermöglicht Patient:innen mit seltenen Stoffwechselerkrankungen, ihre Gesundheitsdaten zu dokumentieren und zu verwalten. Dabei verarbeiten wir personenbezogene Daten ausschließlich für diesen Zweck und geben keine Daten an Dritte weiter.

Wichtiger Hinweis: Bei den verarbeiteten Gesundheitsdaten handelt es sich um besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO. Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung.

4. Kategorien verarbeiteter Daten

4.1 Registrierungs- bzw. Nutzerdaten

  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)
  • Zwei-Faktor-Authentifizierung - Secret & Backup-Codes
  • Vor- und Nachname
  • Geburtsdatum (nur Pflicht, wenn Akte angelegt)
  • Geschlecht (optional)
  • Adresse (optional)

4.2 Gesundheitsdaten (Art. 9 DSGVO)

  • Laborwerte (Art (Phenylalanin/Tyrosin), Wert in mg/dl, Datum)
  • Ernährungstagebuch (Mahlzeit inkl. Zutaten, Zeitpunkt, Bilder der Mahlzeit)
  • Behandlungstermine (Titel, Datum, Start- und Endzeit, Terminart (bspw. Routine, Ersttermin, Nachsorge, Vorsorge))
  • Besondere Vorkommnisse oder Ereignisse (Titel, Datum, Uhrzeit, Kategorie (bspw. Krankheit, Reise, Stress), Freitextbeschreibung)

4.3 Einwilligungsdaten

  • Datum und Uhrzeit der Einwilligung
  • Version der Datenschutzerklärung
  • Art der Einwilligung (Checkbox & Text)
  • E-Mail-Adresse

4.4 Kommunikationsdaten

Wenn Sie zu unserem Nutzer-Support E-Mail-Kontakt zu uns aufnehmen, verwenden wir Ihre personenbezogenen Daten zur Beantwortung Ihre Anfragen im Rahmen unseres Nutzersupports. Der Nutzersupport soll Ihnen dabei helfen, technische Probleme bei der Nutzung von phenyx zu lösen.

Wir können Sie gelegentlich per E-Mail kontaktieren, um Sie um Feedback zur Plattform zu bitten, Sie zur Teilnahme an Workshops einzuladen oder Ihnen die Möglichkeit zur Teilnahme an wissenschaftlichen Studien anzubieten. Rechtsgrundlage hierfür ist unser berechtigtes Interesse an der Weiterentwicklung der Plattform und der Förderung von Forschung im Bereich seltener Stoffwechselerkrankungen.

Sie können dieser Kontaktaufnahme jederzeit widersprechen, indem Sie uns eine E-Mail an privacy@phenyx.app senden. Ihr Widerspruch hat keine Auswirkungen auf die weitere Nutzung der Plattform.

4.5 Technische Daten

  • IP-Adresse & UserAgent
  • Browser-Typ und -Version
  • Betriebssystem
  • Datum und Uhrzeit des Zugriffs

5. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer Daten erfolgt auf folgenden Rechtsgrundlagen:

DatenartRechtsgrundlageErläuterung
Registrierungs- und NutzerdatenArt. 6 Abs. 1 lit. b DSGVOVertragserfüllung – erforderlich zur Bereitstellung des Nutzerkontos
GesundheitsdatenArt. 9 Abs. 2 lit. a DSGVOAusdrückliche Einwilligung – Sie willigen bei der Registrierung ein
EinwilligungsdatenArt. 5 Abs. 2 DSGVO
Art. 6 Abs. 1 lit. f DSGVO		Rechenschaftspflicht – Nachweis, dass eine gültige Einwilligung vorliegt bzw. vorlag
KommunikationsdatenArt. 6 Abs. 1 lit. b DSGVOVertragserfüllung – erforderlich zur Bereitstellung des Nutzerkontos
KommunikationsdatenArt. 6 Abs. 1 lit. f DSGVOBerechtigtes Interesse – Weiterentwicklung der Plattform und Förderung von Forschung im Bereich seltener Stoffwechselerkrankungen
Technische DatenArt. 6 Abs. 1 lit. f DSGVOBerechtigtes Interesse – Gewährleistung der IT-Sicherheit

6. Zwecke der Datenverarbeitung

Wir verarbeiten Ihre Daten ausschließlich für folgende Zwecke:

  • Bereitstellung und Betrieb der Plattform
  • Ermöglichung der persönlichen Gesundheitsdokumentation
  • Verwaltung Ihres Nutzerkontos
  • Gewährleistung der IT-Sicherheit
  • Kommunikation mit Ihnen (z.B. bei Supportanfragen ihrerseits sowie Kontaktaufnahme unsererseits)

7. Speicherung und Löschung

7.1 Speicherort

Alle Daten werden ausschließlich auf Servern in Deutschland gespeichert. Eine Übermittlung in Drittländer findet nicht statt.

7.2 Speicherdauer

  • Kontodaten: Bis zur Löschung Ihres Kontos
  • Gesundheitsdaten: Bis zur Löschung Ihres Kontos oder bis Sie einzelne Einträge löschen
  • Einwilligungsdaten: 6 Jahre nach Kontolöschung
  • Kommunikationsdaten: 6 Jahre nach Kontolöschung
  • Technische Daten (Server-Logs): maximal 30 Tage

7.3 Löschung

Bei Löschung Ihres Kontos werden alle Ihre Daten mit Ausnahme der Einwilligungs- und Kommunikationsdaten unwiderruflich gelöscht. Eine Wiederherstellung ist nicht möglich. Wir empfehlen, wichtige Daten vor der Kontolöschung zu exportieren (sobald diese Funktion verfügbar ist).

8. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • Verschlüsselte Datenübertragung (TLS/SSL)
  • Verschlüsselte Speicherung von Passwörtern (Hashing)
  • Verschlüsselte Speicherung der Daten (Data at Rest)
  • Regelmäßige Sicherheitsupdates
  • Zugriffsbeschränkungen und Zugriffsprotokollierung
  • Regelmäßige Backups
  • Hosting in zertifizierten Rechenzentren in Deutschland

9. Weitergabe von Daten

Ihre Daten werden grundsätzlich nicht an Dritte weitergegeben. Ausnahmen bestehen nur in folgenden Fällen:

  • Wenn Sie ausdrücklich eingewilligt haben
  • Wenn wir gesetzlich dazu verpflichtet sind
  • Zur Durchsetzung unserer Rechte bei Missbrauch

Wir setzen folgende Auftragsverarbeiter ein, die in unserem Auftrag und nach unserer Weisung Daten verarbeiten:

DienstleisterZweckStandort
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen		Server-HostingDeutschland
Telekom Deutschland GmbH
Landgrabenweg 149
53227 Bonn		E-Mail-VersandDeutschland

10. Cookies und Analyse-Tools

10.1 Technisch notwendige Cookies

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind (z.B. Session-Cookies für den Login). Diese Cookies werden nach Ende der Browser-Sitzung automatisch gelöscht.

10.2 Analyse-Tools

Wir verwenden keine Analyse-Tools.

11. Ihre Rechte

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
  • Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten Format erhalten. [Hinweis: Export-Funktion ist geplant.]
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können Ihre Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die unter Punkt 1 genannte Adresse.

12. Widerruf der Einwilligung

Sie können Ihre Einwilligung zur Verarbeitung Ihrer Gesundheitsdaten jederzeit widerrufen. Der einfachste Weg ist die Löschung Ihres Nutzerkontos über die Plattform.

Wichtig: Mit dem Widerruf der Einwilligung wird Ihr Konto mit Ausnahme der Einwilligungs- und Kommunikationsdaten und werden alle Ihre Gesundheitsdaten unwiderruflich gelöscht. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Postfach 10 29 32, 70025 Stuttgart
Telefon: +49 (0) 711/61 55 41 – 0
E-Mail: poststelle@lfdi.bwl.de

14. Daten von Minderjährigen und Guardian-Regelung

14.1 Kinderprofile und Guardians

Minderjährige unter 16 Jahren dürfen die Plattform nicht eigenständig nutzen. Stattdessen legen Erziehungsberechtigte (nachfolgend „Guardians“) über ihr eigenes Nutzerkonto ein Kinderprofil an und verwalten die Gesundheitsdaten des Kindes.

14.2 Einwilligung durch den Guardian

Beim Anlegen eines Kinderprofils bestätigt der Guardian, dass er/sie für das Kind erziehungsberechtigt ist, und willigt in die Verarbeitung der Gesundheitsdaten des Kindes ein. Sofern ein:e weitere:r Erziehungsberechtigte:r vorhanden ist, bestätigt der Guardian, in dessen Einvernehmen zu handeln. Diese Einwilligung wird mit Zeitstempel dokumentiert.

Der Guardian ist verantwortlich für die Einholung und das Fortbestehen des Einvernehmens eines/einer etwaigen weiteren Erziehungsberechtigten. Der Betreiber ist nicht verpflichtet, das Einvernehmen zu überprüfen.

14.3 Verarbeitete Daten im Kinderprofil

Für Kinderprofile werden folgende Daten verarbeitet:

  • Vor- und Nachname des Kindes
  • Geburtsdatum (zur Altersprüfung)
  • Geschlecht (optional)
  • Gesundheitsdaten (Laborwerte, Ernährungstagebuch, Behandlungstermine, besondere Vorkommnisse & Ereignisse)
  • Zuordnung zum Guardian-Konto

14.4 Rechte des Guardians

Der Guardian kann für das Kinderprofil alle Betroffenenrechte (Abschnitt 11) ausüben, insbesondere Auskunft verlangen, Daten berichtigen und das Kinderprofil löschen. Die Löschung des Kinderprofils gilt als Widerruf der Einwilligung.

14.5 Jugendliche ab 16 Jahren

Jugendliche ab 16 Jahren dürfen eigenständig ein Nutzerkonto anlegen und in die Verarbeitung ihrer Gesundheitsdaten einwilligen, sofern sie die erforderliche Einsichtsfähigkeit besitzen.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen der Plattform anzupassen. Die aktuelle Version ist stets auf der Plattform abrufbar. Bei wesentlichen Änderungen informieren wir Sie per E-Mail sowie über die Plattform.

Kontakt für Datenschutzfragen

phenyx gUG (haftungsbeschränkt)
E-Mail: privacy@phenyx.app
Betreff: „Datenschutzanfrage“

DEMO Umgebung