Datenschutzerklärung

See English version below

 

1. Verantwortliche Stelle:

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Rahmen von Athlete Transition Lab (Website, Hamstring Surgery Clarity Audit, Coaching-Programm etc.) ist Dr. Luise Weinrich, Schlossweg 2b, 91080 Marloffstein-Rathsberg, E-Mail: conact@athletetransitionlab.com. Dr. Weinrich ist approbierte Ärztin in Deutschland und unterliegt der ärztlichen Schweigepflicht gemäß § 203 StGB – Ihre Gesundheitsdaten werden also stets vertraulich behandelt.

 

2. Zwecke und Umfang der Datenverarbeitung:

Wir erheben und verarbeiten personenbezogene Daten ausschließlich, um Ihnen unsere Dienstleistungen bereitzustellen und gesetzlichen Verpflichtungen nachzukommen. Je nach Nutzung können folgende Datenkategorien verarbeitet werden:

  • Stammdaten: Name, Kontaktdaten (E-Mail, Telefonnummer), Geburtsdatum, Adresse (falls für Rechnungen erforderlich).

  • Gesundheitsdaten: Angaben zu Ihrer Gesundheit und Vorgeschichte, hochgeladene medizinische Dokumente (z.B. MRT-Berichte, Arztbriefe), Videos von Bewegungsanalysen, Antworten auf medizinische Fragebögen (etwa im Rahmen des Clarity Audits). Diese Daten gehören zu den besonders geschützten Kategorien (Art. 9 DSGVO) und werden von uns nur zweckgebunden für Ihre Beratung/Behandlung verwendet.

  • Nutzungs- und Kommunikationsdaten: E-Mails oder Nachrichten, die Sie uns senden, Terminvereinbarungen (Kalendereinträge), Log-In-Informationen für evtl. Online-Plattformen (z.B. Community-Forum).

  • Zahlungsinformationen: Bei kostenpflichtigen Angeboten verarbeiten unsere Zahlungsdienstleister Daten wie Rechnungsbetrag, gewählte Zahlungsmethode und Transaktionsnummer. Zahlungsrelevante Daten (z.B. Kreditkartennummer) werden direkt vom jeweiligen Zahlungsanbieter erhoben; wir selbst speichern keine vollständigen Zahlungsinformationen außer den notwendigen Zahlungsbestätigungen.

 

3. Rechtsgrundlagen der Verarbeitung:

Die Verarbeitung Ihrer Daten erfolgt im Einklang mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Konkret stützen wir uns auf folgende Rechtsgrundlagen:

  • Erfüllung eines Vertrags / vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Wenn Sie unsere Dienstleistungen (z.B. Zweitmeinung, Coaching) in Anspruch nehmen, ist die Verarbeitung vieler Daten zur Vertragserfüllung notwendig – etwa um Ihre Anfrage zu bearbeiten, den Videotermin durchzuführen, den Bericht zu erstellen oder Ihnen Zugang zu Online-Inhalten zu geben.

  • Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. Art. 9 Abs. 2 lit. a DSGVO): Für die Verarbeitung Ihrer Gesundheitsdaten (z.B. medizinischer Befunde) benötigen wir Ihre ausdrückliche Einwilligung, da es sich um sensible Daten handelt. Diese Einwilligung holen wir z.B. im Intake-Formular oder mittels unterschriebener Einverständniserklärung ein. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe Punkt 7 zu Ihren Rechten). Bitte beachten Sie: Ein Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zu diesem Zeitpunkt und kann dazu führen, dass wir eine begonnene Beratung abbrechen müssen, wenn uns die notwendigen Daten dann nicht mehr zur Verfügung stehen.

  • Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Als Ärztin ist Dr. Weinrich verpflichtet, bestimmte Daten zu dokumentieren (Patientenakte) und aufzubewahren. Zudem unterliegen wir steuer- und handelsrechtlichen Aufbewahrungspflichten (z.B. Rechnungsdaten für 10 Jahre). Solche gesetzlichen Vorgaben stellen ebenfalls eine Rechtsgrundlage dar.

  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): In Einzelfällen verarbeiten wir Daten auf Grundlage unseres berechtigten Interesses, sofern Ihre Grundrechte dem nicht entgegenstehen. Beispiele: Die begrenzte Speicherung von technischen Logs zur Sicherstellung der IT-Sicherheit, oder die Verwendung Ihrer E-Mail-Adresse, um Ihnen im Nachgang der Behandlung wichtige Informationen zu senden. In jedem Fall achten wir darauf, dass ein angemessener Ausgleich zwischen unseren Interessen und Ihren Datenschutzrechten besteht.

 

Besonderer Hinweis: Gesundheitsdaten können neben Ihrer Einwilligung auch nach Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1b BDSG verarbeitet werden (Verarbeitung für medizinische Beratungszwecke durch fachkundige Personen, die der Geheimhaltungspflicht unterliegen). Dr. Weinrich unterliegt als Ärztin einer solchen Pflicht. Soweit möglich, stützen wir uns auf diese Grundlage – Ihre ausdrückliche Einwilligung holen wir dennoch zu Transparenzzwecken zusätzlich ein.

 

4. Weitergabe von Daten / Empfänger:

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt grundsätzlich nicht, außer sie ist zur Erfüllung unseres Angebots erforderlich, gesetzlich vorgeschrieben oder von Ihnen ausdrücklich gewünscht. In der Praxis können folgende Empfänger auftreten:

  • Intern: Dr. Weinrich ist alleinige behandelnde Ärztin und Betreiberin von ATL. Es gibt keine externen Angestellten, die auf Ihre Gesundheitsdaten zugreifen. Alle internen Verarbeitungen (Sichtung Ihrer Befunde, Verfassen des Berichts etc.) erfolgen durch Dr. Weinrich persönlich. Sollte in Zukunft mit Assistent*innen oder weiteren Fachleuten zusammengearbeitet werden, würde dies nur mit Vertraulichkeitsvereinbarung und entsprechender Information an Sie geschehen.

  • Auftragsverarbeiter: Wir bedienen uns sorgfältig ausgewählter externer Dienstleister, die in unserem Auftrag Daten verarbeiten (Auftragsverarbeitung gemäß Art. 28 DSGVO). Diese Dienstleister erhalten nur die Daten, die sie zur Erfüllung ihrer jeweiligen Aufgabe benötigen, und sind vertraglich zur Einhaltung des Datenschutzes verpflichtet. Konkret nutzen wir:

    • Google Workspace (incl. Google Forms, Drive, Calendar, Meet) – für E-Mail-Kommunikation, Terminplanung sowie zum Bereitstellen von Formularen und Speichern Ihrer hochgeladenen Unterlagen. Die Google-Dienste werden EU-rechenzentrumsbasiert bereitgestellt (Google Ireland Ltd.), wir haben mit Google einen Auftragsverarbeitungsvertrag einschließlich EU-Standarddatenschutzklauseln abgeschlossen. Beachten Sie: Wenn Sie ein Formular ausfüllen, werden Ihre Eingaben über eine verschlüsselte Verbindung an Google übermittelt und dort für uns abrufbar gespeichert.

    • Stripe Payments Europe – für die Abwicklung von Kreditkartenzahlungen. Stripe verarbeitet Zahlungsdaten (z.B. Kartennummer, Karteninhaber, Betrag, Datum) als eigenständiger Dienstleister. Wir erhalten von Stripe lediglich Informationen über den Zahlungsstatus (erfolgreich/fehlgeschlagen) und grundlegende Transaktionsdetails. Stripe ist in der EU (Irland) ansässig, ggf. erfolgt eine Datenübermittlung an die US-Muttergesellschaft unter Einhaltung der DSGVO (Standardklauseln).

    • PayPal (Europe) S.à r.l. – falls Sie PayPal wählen, gelten die Datenschutzrichtlinien von PayPal. Wir bekommen von PayPal Ihren Namen, E-Mail und Bestätigung der Zahlung.

    • Skool – hierbei handelt es sich um eine optionale Online-Community-Plattform, auf der Coaching-Teilnehmer*innen untereinander und mit Dr. Weinrich interagieren können. Hinweis: Die Nutzung von Skool ist freiwillig; wenn Sie daran teilnehmen, werden mindestens Ihr Name und Ihre E-Mail-Adresse an den Plattformbetreiber (Skool, Inc., USA) übermittelt, um ein Konto einzurichten. In Skool können Sie selbst entscheiden, welche Informationen Sie in Ihrem Profil angeben. Wir haben für Skool ebenfalls vertragliche Zusicherungen zur Datenschutz-Compliance eingeholt (Nutzung gemäß deren Privacy Policy und Standardvertragsklauseln für EU-Transfers).

    • Videokonferenz-Anbieter: Unsere Videogespräche laufen in der Regel über Google Meet (Teil von Google Workspace). Für Sie bedeutet das, dass Ihre Audio-/Video-Daten Ende-zu-Ende verschlüsselt übertragen werden; es erfolgt keine Aufzeichnung ohne Ihr Einverständnis. Alternativ kann in Einzelfällen ein anderer DSGVO-konformer Videodienst zum Einsatz kommen, den wir Ihnen dann mitteilen (z.B. von Doctolib oder Zoom mit EU-Rechenzentrum).

  • Gesetzlich vorgeschriebene Weitergaben: In seltenen Fällen sind wir gesetzlich verpflichtet, Daten an Dritte weiterzugeben, etwa an Gesundheitsämter, Gerichte oder Strafverfolgungsbehörden, z.B. bei meldepflichtigen Krankheiten nach dem Infektionsschutzgesetz oder auf richterliche Anordnung. Solche Fälle sind sehr selten. Wo möglich, werden wir Sie vorher informieren. Auch im Rahmen der Abrechnung nach GOÄ (Gebührenordnung für Ärzte) kann es nötig sein, Daten an Ihre private Krankenversicherung oder Beihilfestelle zu übermitteln, falls Sie dort eine Erstattung beantragen und Nachfragen auftreten. Dies erfolgt dann aber durch Sie selbst oder auf Ihren Wunsch.

  • Keine unbefugte Weitergabe: Weder verkaufen wir Ihre Daten, noch geben wir sie zu Marketingzwecken an Dritte weiter. Wir versenden keine Newsletter, außer Sie haben dem ausdrücklich zugestimmt.

 

5. Drittlandtransfers:

Wir sind bemüht, Ihre Daten möglichst in Deutschland bzw. der EU zu verarbeiten. Alle Hauptsysteme (E-Mail, Cloudspeicher, Bezahlabwicklung) haben EU-Standorte. Dennoch kann es technisch bedingt zu Datenübermittlungen in Drittländer kommen: Beispielsweise haben US-Anbieter wie Google oder Skool aus administrativen Gründen Zugriffsmöglichkeiten auf Daten, oder Dr. Weinrich greift während eines Auslandsaufenthalts auf Ihre Daten zu. In solchen Fällen stellen wir sicher, dass angemessene Schutzmaßnahmen greifen (insbesondere EU-Standardvertragsklauseln und zusätzliche Verschlüsselung). Wichtig: Durch die Nutzung unserer Dienste erklären Sie sich mit einer etwaigen Übermittlung Ihrer Daten in Nicht-EU-Länder einverstanden, soweit dies zur Vertragserfüllung erforderlich ist. Unsere Verträge mit Auftragsverarbeitern gewährleisten ein Datenschutzniveau entsprechend der DSGVO. Bei Fragen zu konkreten Transfermechanismen können Sie uns gern kontaktieren.

 

6. Speicherdauer:

Wir speichern personenbezogene Daten nicht länger als notwendig. Konkret gelten folgende Aufbewahrungsfristen:

  • Medizinische Unterlagen (Behandlungsdokumentation): mindestens 10 Jahre ab dem Schluss der Behandlung, gemäß § 630f BGB und berufsrechtlichen Vorgaben. In bestimmten Fällen (z.B. Verdacht auf Behandlungsfehler, relevante Vorerkrankungen) kann eine längere Aufbewahrung sinnvoll sein. Sie haben das Recht, nach Ablauf der gesetzlichen Frist die Löschung Ihrer Krankenunterlagen zu verlangen, soweit keine anderen Aufbewahrungspflichten entgegenstehen.

  • Vertrags- und Abrechnungsdaten: Rechnungen, Buchungsbelege und Zahlungsnachweise bewahren wir aufgrund steuerlicher Vorgaben 10 Jahre auf (§ 147 AO).

  • Kommunikation: E-Mails oder Textnachrichten, die im Rahmen der Beratung ausgetauscht wurden, können Teil der Patientenakte sein und unterliegen dann ebenfalls der 10-Jahres-Frist. Reine organisatorische Kommunikation ohne Bezug zur medizinischen Beratung löschen wir in der Regel früher, wenn sie nicht mehr benötigt wird.

  • Account-Daten (Community): Sollten Sie ein Konto in unserer Online-Community haben und dieses kündigen oder längere Zeit inaktiv sein, werden wir Ihre Profildaten löschen oder anonymisieren, sobald klar ist, dass keine weitere Nutzung erfolgt. Ihre Beiträge im Forum könnten anonymisiert bestehen bleiben (damit Diskussionsstränge nicht zerfallen), außer Sie verlangen deren vollständige Löschung.

  • Bewerbungs- oder Kontaktformulardaten (falls vorhanden): Sollten Sie uns einmalig Daten senden (z.B. Anfrage ohne Buchung), löschen wir diese spätestens nach 12 Monaten, sofern kein Vertragsverhältnis zustande kommt.

 

7. Ihre Rechte als betroffene Person:

Sie haben jederzeit die folgenden Rechte bezüglich Ihrer bei uns gespeicherten personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie können eine Bestätigung darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Falls ja, haben Sie Recht auf Auskunft über diese Daten sowie auf weitere Informationen wie Verarbeitungszwecke, Kategorien der Daten, Empfänger und geplante Speicherdauer.

  • Berichtigung (Art. 16 DSGVO): Sollten wir unrichtige oder unvollständige Daten zu Ihrer Person gespeichert haben, können Sie deren Korrektur verlangen.

  • Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen („Recht auf Vergessenwerden“). Dieses Recht besteht z.B., wenn der Zweck der Datenverarbeitung erreicht ist oder unrechtmäßig verarbeitet wurde. Achtung: Bestimmte Daten können wir aufgrund gesetzlicher Aufbewahrungspflichten nicht sofort löschen (siehe oben), in solchen Fällen schränken wir die Verarbeitung entsprechend ein.

  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen verlangen, dass wir Ihre Daten nur noch eingeschränkt verarbeiten, z.B. während wir strittige Richtigstellungen prüfen oder wenn Sie Daten eigentlich gelöscht haben möchten, wir aber noch zur Aufbewahrung verpflichtet sind.

  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die personenbezogenen Daten, die Sie uns bereitgestellt haben und die wir aufgrund Ihrer Einwilligung oder zur Vertragserfüllung automatisiert verarbeiten, in einem gängigen, maschinenlesbaren Format zu erhalten. Auf Wunsch – und soweit technisch machbar – können wir diese Daten auch direkt an einen von Ihnen benannten neuen Diensteanbieter übertragen. (Gilt z.B. wenn Sie einen anderen Arzt um eine weitere Meinung bitten und Ihre digitalen Unterlagen übermitteln möchten.)

  • Widerspruch (Art. 21 DSGVO): Soweit wir Daten auf Grundlage berechtigter Interessen verarbeiten, haben Sie das Recht, Widerspruch gegen die Verarbeitung einzulegen. Wir werden dann die betroffenen Daten nicht weiter verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen, oder die Verarbeitung dient der Geltendmachung/Verteidigung von Rechtsansprüchen. Hinweis: Gegen Werbung auf Basis Ihrer Daten können Sie jederzeit formlos Widerspruch einlegen; allerdings versenden wir standardmäßig keine Werbung ohne Einwilligung.

  • Widerruf von Einwilligungen: Wenn Sie uns eine Einwilligung erteilt haben (z.B. zur Verarbeitung Ihrer Gesundheitsdaten oder für einen Newsletter), können Sie diese jederzeit widerrufen. Dazu genügt eine formlose Mitteilung (per E-Mail an loopi@athletetransitionlab.com). Im Falle des Widerrufs werden wir die betreffenden Daten in Zukunft nicht mehr nutzen. Der Widerruf hat keinen Einfluss auf bereits erfolgte Verarbeitungen. Beachten Sie bitte, dass ein Widerruf der Datennutzung dazu führen kann, dass wir unsere Dienstleistung nicht weiter erbringen können (etwa wenn Sie der Verarbeitung Ihrer Gesundheitsdaten widersprechen, können wir keine medizinische Beratung mehr durchführen).

 

Zur Ausübung Ihrer Rechte können Sie uns jederzeit kontaktieren (am einfachsten per E-Mail). Bitte geben Sie dabei zur Identifikation Ihren Namen und die relevante Kontakt-E-Mail an, damit wir Ihre Anfrage zuordnen können. Wir werden Ihr Anliegen unverzüglich, spätestens innerhalb der gesetzlichen Frist von 1 Monat bearbeiten.

 

8. Datensicherheit:

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre personenbezogenen Daten bestmöglich zu schützen. Dazu gehören:

  • Verschlüsselte Übertragung Ihrer Daten: Unsere Webseite und Online-Formulare nutzen HTTPS; Videocalls erfolgen verschlüsselt.

  • Zugriffsbeschränkung: Nur Dr. Weinrich selbst und ggf. von ihr beauftragte IT-Administratoren (im Störungsfall) haben Zugriff auf die Rohdaten. Alle Mitarbeiter von Dienstleistern sind vertraglich zur Verschwiegenheit verpflichtet.

  • Sicheres Speichern: Medizinische Dokumente werden in einem geschützten Cloud-Bereich (Google Drive mit 2-Faktor-Authentifizierung) gespeichert. Lokale Geräte von Dr. Weinrich (Laptop/Smartphone) sind passwortgeschützt und festplattenverschlüsselt.

  • Backup und Notfallvorsorge: Wir führen regelmäßige Datensicherungen durch, um Ihre Unterlagen vor Verlust zu schützen.
    Trotz aller Maßnahmen kann keine Internet-Übertragung 100% sicher sein. Wir weisen darauf hin, dass insbesondere bei Kommunikation via E-Mail immer ein Restrisiko besteht. Verwenden Sie für höchstsensible Informationen nach Möglichkeit unsere verschlüsselten Upload-Wege oder kontaktieren Sie uns für eine alternative Lösung.

 

9. Cookies und Tracking:

Unsere Website verwendet keine oder nur technisch notwendige Cookies, soweit es nicht anders im Cookie-Banner angegeben ist. Wir verzichten auf invasives Tracking zu Marketingzwecken. Sollte in Zukunft ein Analysetool (wie Google Analytics o.ä.) zum Einsatz kommen, werden wir Ihre Einwilligung vorab einholen und die Datenschutzerklärung entsprechend aktualisieren. Derzeit beschränkt sich die Datenerhebung auf das technisch Notwendige (Server-Logfiles mit IP-Adresse zur Sicherstellung des Betriebs, siehe berechtigtes Interesse oben, wobei IPs nach kurzer Zeit anonymisiert bzw. gelöscht werden).

 

10. Fragen, Beschwerden und Aufsichtsbehörde:

Bei allen Fragen zum Datenschutz oder bei Beschwerden können Sie sich direkt an Dr. Luise Weinrich wenden (Kontakt siehe oben). Wir nehmen den Datenschutz sehr ernst und werden Ihrem Anliegen schnellstmöglich nachgehen. Darüber hinaus haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns ist insbesondere das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach, Tel: +49 981 531300, E-Mail: poststelle@lda.bayern.de. Alternativ können Sie auch die Aufsichtsbehörde an Ihrem EU-Wohnort kontaktieren.

 

11. Aktualität dieser Datenschutzerklärung:

Wir überprüfen diese Datenschutzerklärung regelmäßig und passen sie an, wenn es Änderungen in der Datenverarbeitung oder Rechtslage gibt. Die jeweils aktuelle Fassung ist auf unserer Website verfügbar. Wesentliche Änderungen werden wir außerdem per E-Mail ankündigen, sofern Sie Kunde sind.

 

Stand dieser Datenschutzerklärung: 01.01.2026

 

Privacy Policy

1. Responsible Entity for Data Processing:

The party responsible for the processing of your personal data within Athlete Transition Lab (website, Hamstring Surgery Clarity Audit, coaching program, etc.) is Dr. Luise Weinrich, Schlossweg 2b, 91080 Marloffstein-Rathsberg, Germany, email: contact@athletetransitionlab.com.  Dr. Weinrich is a licensed medical doctor in Germany and is subject to medical confidentiality pursuant to Section 203 of the German Criminal Code (StGB) – your health data is therefore always treated confidentially.

2. Purposes and Scope of Data Processing:

We collect and process personal data exclusively in order to provide our services to you and to comply with legal obligations. Depending on the use of our services, the following categories of data may be processed:

• Basic data: Name, contact details (email address, telephone number), date of birth, address (if required for invoicing purposes).

• Health data: Information regarding your health and medical history, uploaded medical documents (e.g. MRI reports, medical letters), videos of movement analyses, and responses to medical questionnaires (for example as part of the Clarity Audit). These data belong to special categories of personal data pursuant to Article 9 GDPR and are processed by us solely for the specific purpose of your consultation and/or treatment.

• Usage and communication data: Emails or messages you send to us, appointment scheduling (calendar entries), and login information for any online platforms used (e.g. community forum).

• Payment information: For paid services, our payment service providers process data such as invoice amount, selected payment method, and transaction number. Payment-relevant data (e.g. credit card numbers) are collected directly by the respective payment provider; we do not store complete payment information ourselves, except for the necessary payment confirmations.

3. Legal Bases for Data Processing:

The processing of your data is carried out in accordance with the EU General Data Protection Regulation (GDPR) and the German Federal Data Protection Act (BDSG). Specifically, we rely on the following legal bases:

• Performance of a contract / pre-contractual measures (Art. 6(1)(b) GDPR): When you make use of our services (e.g. second medical opinion, coaching), the processing of various personal data is necessary for the performance of the contract. This includes, for example, handling your inquiry, conducting the video consultation, preparing the written report, or providing you with access to online content.

• Consent (Art. 6(1)(a) GDPR in conjunction with Art. 9(2)(a) GDPR): The processing of your health data (e.g. medical findings) requires your explicit consent, as this constitutes sensitive data. Such consent is obtained, for example, via the intake form or by means of a signed consent declaration. You may withdraw a granted consent at any time with effect for the future (see Section 7 regarding your rights). Please note: withdrawal does not affect the lawfulness of processing carried out up to that point and may result in the discontinuation of an ongoing consultation if the required data is no longer available to us.

• Legal obligations (Art. 6(1)© GDPR): As a physician, Dr. Weinrich is legally required to document certain data (patient records) and to retain them. In addition, we are subject to tax and commercial law retention obligations (e.g. retention of invoice data for 10 years). Such statutory requirements also constitute a legal basis for data processing.

• Legitimate interests (Art. 6(1)(f) GDPR): In individual cases, we process data on the basis of our legitimate interests, provided that your fundamental rights do not override these interests. Examples include the limited storage of technical logs to ensure IT security, or the use of your email address to send you important information following treatment. In all cases, we ensure that an appropriate balance is maintained between our interests and your data protection rights.

• Special notice: In addition to your consent, health data may also be processed pursuant to Art. 9(2)(h) GDPR in conjunction with Section 22(1) no. 1b BDSG (processing for medical consultation purposes by qualified persons subject to professional confidentiality). As a physician, Dr. Weinrich is subject to such confidentiality obligations. Where possible, we rely on this legal basis; however, we nevertheless obtain your explicit consent additionally for reasons of transparency.

4. Disclosure of Data / Recipients:

Your personal data is generally not disclosed to third parties, unless such disclosure is necessary to provide our services, is required by law, or is expressly requested by you. In practice, the following recipients may be involved:

• Internal: Dr. Weinrich is the sole treating physician and operator of Athlete Transition Lab (ATL). There are no external employees who have access to your health data. All internal processing activities (review of medical records, preparation of the report, etc.) are carried out personally by Dr. Weinrich. Should collaboration with assistants or additional specialists take place in the future, this would only occur under confidentiality agreements and with appropriate prior information provided to you.

• Data processors:

We use carefully selected external service providers who process data on our behalf (data processing pursuant to Art. 28 GDPR). These service providers receive only the data necessary to perform their respective tasks and are contractually obligated to comply with data protection requirements. Specifically, we use:

-     Google Workspace (including Google Forms, Drive, Calendar, Meet) – for email communication, appointment scheduling, provision of forms, and storage of your uploaded documents. Google services are provided via EU-based data centers (Google Ireland Ltd.). We have concluded a data processing agreement with Google, including EU Standard Contractual Clauses. Please note: when you complete a form, your entries are transmitted to Google via an encrypted connection and stored there so that we can access them.

-     Stripe Payments Europe for processing credit card payments. Stripe processes payment data (e.g. card number, cardholder name, amount, date) as an independent service provider. We receive from Stripe only information regarding payment status (successful/failed) and basic transaction details. Stripe is based in the EU (Ireland); data may be transferred to its U.S. parent company in compliance with GDPR (Standard Contractual Clauses).

-     PayPal (Europe) S.à r.l.: if you choose PayPal as a payment method, PayPal’s privacy policy applies. We receive from PayPal your name, email address, and confirmation of payment.

-     Skool: an optional online community platform where coaching participants can interact with each other and with Dr. Weinrich. Please note: participation in Skool is voluntary. If you choose to participate, at least your name and email address will be transmitted to the platform operator (Skool, Inc., USA) in order to create an account. Within Skool, you may decide which information you provide in your profile. We have obtained contractual assurances regarding data protection compliance for Skool as well (use in accordance with their Privacy Policy and EU Standard Contractual Clauses for data transfers).

-     Video conferencing providers: Our video consultations are generally conducted via Google Meet (part of Google Workspace). For you, this means that your audio and video data are transmitted in encrypted form; no recordings are made without your consent. In individual cases, another GDPR-compliant video service may be used, which will be communicated to you in advance (e.g. Doctolib or Zoom with EU-based data centers).

• Legally required disclosures: In rare cases, we are legally obligated to disclose data to third parties, such as public health authorities, courts, or law enforcement agencies, for example in the case of notifiable diseases under the German Infection Protection Act (Infektionsschutzgesetz) or pursuant to a court order. Such cases are very rare. Where possible, we will inform you in advance. In addition, in the context of billing under the German Fee Schedule for Physicians (GOÄ), it may be necessary to transmit data to your private health insurance provider or aid office if you apply for reimbursement and follow-up questions arise. This is generally done by you yourself or at your explicit request.

• No unauthorized disclosure: We do not sell your data, nor do we disclose it to third parties for marketing purposes. We do not send newsletters unless you have expressly consented to this.

5. Transfers to Third Countries:

We endeavor to process your data primarily in Germany or within the EU. All core systems (email, cloud storage, payment processing) are operated with EU-based locations. Nevertheless, for technical reasons, data transfers to third countries may occur. For example, U.S.-based providers such as Google or Skool may have administrative access to data, or Dr. Weinrich may access your data while staying abroad. In such cases, we ensure that appropriate safeguards are in place (in particular EU Standard Contractual Clauses and additional encryption measures).

Important:
By using our services, you consent to the possible transfer of your data to non-EU countries insofar as this is necessary for the performance of the contract. Our agreements with data processors ensure a level of data protection consistent with the GDPR. If you have any questions regarding specific transfer mechanisms, you are welcome to contact us.

6. Data Retention:

We do not store personal data for longer than necessary. Specifically, the following retention periods apply:

• Medical records (treatment documentation): At least 10 years after completion of treatment, in accordance with Section 630f of the German Civil Code (BGB) and professional regulations. In certain cases (e.g. suspicion of treatment errors or relevant pre-existing conditions), longer retention may be appropriate. After expiration of the statutory retention period, you have the right to request deletion of your medical records, provided that no other retention obligations prevent this.

• Contractual and billing data: Invoices, booking records, and payment confirmations are retained for 10 years due to tax law requirements (Section 147 of the German Fiscal Code – AO).

• Communication: Emails or text messages exchanged in the context of medical consultation may form part of the patient record and are therefore also subject to the 10-year retention period. Purely organizational communication without reference to medical consultation is generally deleted earlier once it is no longer required.

• Account data (community): If you hold an account in our online community and terminate it or remain inactive for a prolonged period, we will delete or anonymize your profile data once it is clear that no further use will occur. Your forum contributions may remain in anonymized form (to prevent discussion threads from breaking), unless you explicitly request their complete deletion.

• Application or contact form data (if applicable): If you provide us with data on a one-time basis (e.g. an inquiry without booking a service), we will delete such data no later than 12 months thereafter, provided that no contractual relationship is established.

7. Your Rights as a Data Subject:

You have the following rights at any time with regard to your personal data stored by us:

• Right of access (Art. 15 GDPR): You may request confirmation as to whether we process personal data concerning you. If this is the case, you have the right to obtain access to such data as well as further information, including the purposes of processing, categories of personal data, recipients, and the planned retention period.

• Right to rectification (Art. 16 GDPR): If we have stored inaccurate or incomplete personal data concerning you, you may request that such data be corrected.

• Right to erasure (Art. 17 GDPR): You have the right to request the erasure of your personal data (“right to be forgotten”). This right exists, for example, if the purpose of the data processing has been fulfilled or if the data has been processed unlawfully. Please note: certain data cannot be deleted immediately due to statutory retention obligations (see above); in such cases, we will restrict the processing accordingly.

• Right to restriction of processing (Art. 18 GDPR): Under certain conditions, you may request that we restrict the processing of your data, for example while contested rectifications are being verified, or if you request erasure but we are still legally obliged to retain the data.

• Right to data portability (Art. 20 GDPR): You have the right to receive the personal data you have provided to us, which we process on the basis of your consent or for the performance of a contract, in a structured, commonly used, and machine-readable format. Upon request – and where technically feasible – we may also transmit such data directly to another service provider designated by you (e.g. if you seek an additional opinion from another physician and wish to transfer your digital records).

• Right to object (Art. 21 GDPR): Where we process data on the basis of legitimate interests, you have the right to object to such processing. We will then no longer process the affected data unless we can demonstrate compelling legitimate grounds that override your interests, rights, and freedoms, or the processing serves the establishment, exercise, or defense of legal claims. Note: you may object to advertising based on your data at any time without formal requirements; however, we do not send advertising communications without prior consent as a matter of principle.

• Withdrawal of consent: If you have given us consent (e.g. for the processing of your health data or for a newsletter), you may withdraw such consent at any time. An informal notice is sufficient (e.g. by email to contact@athletetransitionlab.com). In the event of withdrawal, we will no longer use the affected data going forward. Withdrawal does not affect the lawfulness of processing carried out prior to the withdrawal. Please note that withdrawing consent to data processing may result in our inability to continue providing our services (for example, if you object to the processing of your health data, we will no longer be able to provide medical consultation).

To exercise your rights, you may contact us at any time (preferably by email). Please include your name and the relevant contact email address for identification purposes so that we can correctly assign your request. We will process your request without undue delay and, at the latest, within the statutory period of one month.

 

8. Data Security:

We implement technical and organizational security measures to protect your personal data as effectively as possible. These include:

• Encrypted transmission of your data: Our website and online forms use HTTPS; video calls are conducted using encrypted connections.

• Access restrictions:
Only Dr. Weinrich herself and, where applicable, IT administrators commissioned by her (in the event of technical issues) have access to the raw data. All employees of service providers are contractually bound to confidentiality obligations.

• Secure storage: Medical documents are stored in a protected cloud environment (Google Drive with two-factor authentication). Local devices used by Dr. Weinrich (laptop/smartphone) are password-protected and encrypted at the hard-drive level.

• Backups and contingency planning: We perform regular data backups to protect your records against loss.

Despite all measures taken, no data transmission over the internet can be guaranteed to be 100% secure. We therefore point out that, in particular, communication via email always carries a residual risk. For highly sensitive information, please use our encrypted upload channels wherever possible or contact us to arrange an alternative secure solution.

9. Cookies and Tracking:

Our website uses no cookies or only technically necessary cookies, unless otherwise indicated in the cookie banner. We refrain from invasive tracking for marketing purposes. Should an analytics tool (such as Google Analytics or similar) be used in the future, we will obtain your prior consent and update this Privacy Policy accordingly.

At present, data collection is limited to what is technically necessary (server log files including IP addresses to ensure proper operation of the website; see legitimate interest above). IP addresses are anonymized or deleted after a short period of time.

10. Questions, Complaints, and Supervisory Authority:

If you have any questions regarding data protection or wish to lodge a complaint, you may contact Dr. Luise Weinrich directly (contact details provided above). We take data protection very seriously and will address your concern as promptly as possible.

In addition, you have the right to lodge a complaint with a data protection supervisory authority. The authority responsible for us is, in particular, the Bavarian State Office for Data Protection Supervision (BayLDA), Promenade 27, 91522 Ansbach, Germany, Tel.: +49 981 531300, Email: poststelle@lda.bayern.de. Alternatively, you may contact the supervisory authority in your EU country of residence.

11. Updates to this Privacy Policy:

Wir überprüfen diese Datenschutzerklärung regelmäßig und passen sie an, wenn es Änderungen in der Datenverarbeitung oder Rechtslage gibt. Die jeweils aktuelle Fassung ist auf unserer Website verfügbar. Wesentliche Änderungen werden wir außerdem per E-Mail ankündigen, sofern Sie Kunde sind.

 

Legal Notice:

In the event of any legal dispute or interpretation, the German version of this document shall prevail. This English version is provided solely for convenience and accessibility for international clients.