Datenschutzerklärung

1. Einleitung

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir auf der Plattform Mentala (erreichbar unter mentala.de) erheben, zu welchen Zwecken wir sie verarbeiten und welche Rechte Ihnen als betroffener Person zustehen.

Mentala ist ein Verzeichnis für Coaches, systemische Therapeuten und Heilpraktiker. Hilfesuchende können Anbieter finden; Anbieter können ein öffentliches Profil anlegen und ihre Sichtbarkeit erhöhen. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der geltenden datenschutzrechtlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

2. Verantwortlicher und Kontakt

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO:

[Vor Live-Schaltung vollständige Angaben einsetzen — Rechtsform, Anschrift, ggf. Handelsregister-Nr.]

Mentala
(vertreten durch: [Name des Inhabers / Geschäftsführers])
[Straße, Hausnummer]
[PLZ Ort]
Deutschland

E-Mail für Datenschutzanfragen: datenschutz@mentala.de (Postfach vor Launch einrichten)

Bei unserer aktuellen Teamgröße ist die Bestellung eines externen Datenschutzbeauftragten nach Art. 37 DSGVO i. V. m. § 38 BDSG entbehrlich. Für Datenschutzfragen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

3. Definitionen

Wir verwenden in dieser Erklärung Begriffe gemäß Art. 4 DSGVO:

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail-Adresse, IP-Adresse).
• Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten — z. B. Erheben, Speichern, Verwenden, Übermitteln oder Löschen.
• Verantwortlicher: Die natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung entscheidet — das ist Mentala.
• Auftragsverarbeiter: Ein Dienstleister, der personenbezogene Daten in unserem Auftrag und nach unserer Weisung verarbeitet (z. B. Hosting-Anbieter, E-Mail-Versanddienst).

4. Welche Daten erheben wir und wozu?

4.1 Aufruf der Webseite (technische Verbindungsdaten)

Beim Abrufen unserer Website überträgt Ihr Browser technisch bedingt Ihre IP-Adresse an unseren Server. Wir verarbeiten IP-Adressen ausschließlich flüchtig im Arbeitsspeicher und ausschließlich zum Schutz vor automatisierten Angriffen (Rate-Limiting). Eine dauerhafte Speicherung der IP-Adresse oder ein persistentes Zugriffs-Log finden auf der Anwendungsebene nicht statt.

4.2 Registrierung

Für die Nutzung von Mentala ist eine Registrierung erforderlich. Dabei erheben wir:

4.3 Profil-Bearbeitung (freiwillig)

Alle folgenden Angaben sind optional und werden nur auf Ihren ausdrücklichen Wunsch gespeichert:

4.4 Praxis-Anlage (nur für Anbieter)

Anbieter können eine Praxis anlegen. Diese Daten werden öffentlich auf der Plattform angezeigt:

Zu den Fachgebieten lesen Sie bitte auch Abschnitt 5 (Besondere Kategorien).

4.5 E-Mail-Versand (Verifizierung, Passwort-Reset)

Bei der Registrierung und beim Passwort-Zurücksetzen versenden wir transaktionale E-Mails. Dabei wird Ihre E-Mail-Adresse an einen externen E-Mail-Versanddienstleister übertragen. Näheres dazu in Abschnitt 7 (Auftragsverarbeiter).

4.6 Anti-Spam-Maßnahmen

Wir setzen technische Schutzmaßnahmen ein, um automatisierte Missbrauchsversuche (Bots, Spam-Registrierungen) abzuwehren. Diese Maßnahmen werden vollständig auf unserer eigenen Infrastruktur betrieben; eine Übermittlung personenbezogener Daten an Dritte ist hiermit ausgeschlossen:

• Versteckte Formularfelder (Honeypot): Unsichtbare Felder, die ausschließlich automatisierte Anfragen befüllen — Auswertung erfolgt lokal.
• Zeitbasierte Formularprüfung: Wir prüfen, ob ein Formular in einer menschentypischen Zeitspanne ausgefüllt wurde — Auswertung erfolgt lokal.
• Selbst betriebenes Captcha-System: Ein Captcha, das wir ausschließlich auf eigenen Servern betreiben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unserer Plattform).

5. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Anbieter auf Mentala können sich Fachgebieten zuordnen (z. B. „Psychotherapie", „Suchtberatung", „Trauma-Therapie"). Diese Zuordnung kann mittelbar darauf hinweisen, dass ein Anbieter in einem gesundheitsbezogenen Bereich tätig ist, und stellt damit ggf. eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO dar.

Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO — Verarbeitung zum Zweck der Gesundheitsvorsorge oder der Verwaltung von Systemen und Diensten im Gesundheitsbereich.

Wichtig: Mentala dient ausschließlich der Vermittlung zwischen Anbietern und Hilfesuchenden. Wir verarbeiten in diesem Rahmen nur die für das Verzeichnis erforderlichen Profil- und Praxisdaten der Anbieter sowie die Stammdaten der Klienten. Diagnose-Daten, Therapie-Inhalte oder Sitzungsprotokolle sind nicht Bestandteil unserer Plattform und werden von uns auch nicht verarbeitet.

6. Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein und arbeiten ohne Tracking-, Marketing- oder Analyse-Cookies. Hinweise zu Cookies erscheinen direkt in den Formularen, in denen sie technisch erforderlich werden (Login, Registrierung, Passwort-Reset).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Session-Cookie zur Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (CSRF-Token als berechtigtes Sicherheitsinteresse).

7. Empfänger und Auftragsverarbeiter

Wir geben Ihre Daten ausschließlich an Dienstleister weiter, die als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich gebunden sind. Wir nennen unten die Kategorien der Empfänger; die konkret eingesetzten Dienstleister können sich aus betrieblichen Gründen ändern. Auf Anfrage über datenschutz@mentala.de nennen wir Ihnen jederzeit die aktuell eingesetzten Anbieter im Detail.

Hinweis zu Drittland-Transfers: Soweit unsere Dienstleister außerhalb der EU/EWR sitzen (insbesondere USA), erfolgt der Transfer auf Grundlage geeigneter Garantien — entweder über das EU-US Data Privacy Framework (sofern der jeweilige Anbieter dort gelistet ist) oder über EU-Standardvertragsklauseln in der aktuellen Fassung der EU-Kommission (SCC 2021). Die jeweils zuständigen Auftragsverarbeitungsverträge (AVV nach Art. 28 DSGVO) liegen unterzeichnet vor und sind auf Anfrage einsehbar.

Hinweis zum Content-Delivery-Network: Beim Laden statischer Web-Assets wird Ihre IP-Adresse technisch bedingt an den CDN-Anbieter übermittelt; benutzerbezogene Inhaltsdaten verbleiben dabei vollständig auf unseren Servern. Wir prüfen, ob diese Assets vollständig selbst ausgeliefert werden können, um den Transfer zu vermeiden.

8. Speicherdauer

• Aktive Konten: Daten werden gespeichert, solange Ihr Konto existiert.
• Lösch-Antrag: Nach Ihrer Anfrage löschen wir Ihr Konto sowie alle zugehörigen Profil- und Praxisdaten unverzüglich (Kaskadenlöschung).
• Automatische Bereinigung inaktiver Konten: Eine automatisierte Lösch-Routine für langfristig inaktive Konten ist in Planung. Wir aktualisieren diese Erklärung, sobald die Funktion eingeführt ist.
• Backup-Daten: Daten in Datenbank-Backups werden im Zuge regulärer Backup-Rotation gelöscht.

9. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte uns gegenüber:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO) — „Recht auf Vergessenwerden"
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO) — bei Verarbeitungen auf Grundlage berechtigter Interessen.
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — jederzeit mit Wirkung für die Zukunft.
• Beschwerderecht (Art. 77 DSGVO) bei einer Aufsichtsbehörde.

Zuständige Aufsichtsbehörde (Sitz von Mentala — Hessen):

Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI)
Gustav-Stresemann-Ring 1
65189 Wiesbaden
datenschutz.hessen.de

Alternativ können Sie sich auch an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden.

10. Wie nehmen Sie Ihre Rechte wahr?

• Daten-Export (Auskunft / Übertragbarkeit): Im eingeloggten Konto unter /accounts/account/export/ können Sie jederzeit einen JSON-Export aller Ihrer gespeicherten Daten herunterladen.
• Konto-Löschung: Unter /accounts/account/delete/ können Sie Ihr Konto und alle zugehörigen Daten dauerhaft und unwiderruflich löschen.
• Berichtigung: Profildaten ändern Sie unter /accounts/profile/edit/.
• Schriftliche Anfragen: datenschutz@mentala.de

Wir bearbeiten Anfragen gemäß Art. 12 DSGVO in der Regel innerhalb von 30 Tagen.

11. Datensicherheit

• Verschlüsselte Übertragung: Alle Verbindungen zu mentala.de erfolgen ausschließlich über HTTPS (TLS).
• Passwort-Schutz: Passwörter werden ausschließlich gehasht gespeichert; eingesetzt wird ein branchenübliches, gehärtetes Hash-Verfahren.
• Serverseitige Validierung: Alle Eingaben werden serverseitig validiert und bereinigt.
• Anti-Spam-Layer: Mehrere ineinandergreifende, vollständig selbst betriebene Schutzmechanismen sichern die öffentlichen Formulare gegen automatisierte Angriffe ab.
• Sicherer E-Mail-Versand: Systemrelevante E-Mails werden über eine intern entwickelte Versand-Funktion mit strikter Eingabe-Validierung verschickt.
• Hosting in Deutschland: Alle Stammdaten werden ausschließlich auf Servern in Deutschland gespeichert.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, etwa bei neuen Plattform-Funktionen, neuen Auftragsverarbeitern oder Änderungen der Rechtslage. Die jeweils aktuelle Version ist unter mentala.de/datenschutz abrufbar. Das Datum der letzten Aktualisierung ist am Beginn dieser Erklärung („Stand: …") angegeben.

Bei wesentlichen Änderungen, die Ihre Rechte betreffen, informieren wir Sie per E-Mail.

13. Kontakt für Datenschutzfragen

Für alle Fragen zum Datenschutz auf Mentala stehen wir Ihnen gerne zur Verfügung:

E-Mail: datenschutz@mentala.de
Anschrift: siehe Abschnitt 2

Dies ist keine Rechtsberatung. Dieser Erstentwurf wurde mit KI-Unterstützung erstellt und ersetzt keine anwaltliche Prüfung. Für verbindliche Auskünfte bitte Fachanwalt für IT-Recht / Datenschutz konsultieren.