Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):

Firma

Faremi (Eenmanszaak)

Inhaber

Nasser Tak

Anschrift

Puck van Heelstraat 54
3077 MG Rotterdam, Niederlande

KvK-Nummer

42060360

E-Mail

info@faremi.de

Bei Fragen zum Datenschutz wende dich bitte an die oben genannte E-Mail-Adresse. Aufgrund der Unternehmensgröße ist die Bestellung eines externen Datenschutzbeauftragten nach Art. 37 DSGVO nicht erforderlich; intern verantwortlich ist Herr Nasser Tak.

2. Welche personenbezogenen Daten wir verarbeiten

Stammdaten

• Vor- und Nachname
• Geburtsdatum
• Anschrift (Straße, PLZ, Ort)
• Geschlecht (sofern angegeben)

Kontaktdaten

• E-Mail-Adresse
• Telefonnummer

Account-Daten

• Verschlüsselt gespeichertes Passwort (bcrypt-Hash)
• Verifikationstoken (E-Mail-Bestätigung)
• Registrierungs- und Login-Zeitpunkte

Bestell- und Vertragsdaten

• Bestellnummer und Bestelldatum
• Bestellte Produkte / verschriebene Medikamente
• Auswahl der Versand- bzw. Abholapotheke
• Bezahlmethode und Zahlungsstatus

Gesundheitsbezogene Daten (besondere Kategorien gem. Art. 9 DSGVO)

• Antworten aus dem ärztlichen Eignungsfragebogen
• Vorerkrankungen, aktuelle Medikation, Allergien
• Bei Abnehm-Therapie: Gewicht, Körpergröße, BMI, Vorbehandlungen mit GLP-1-Analoga
• Rezeptdaten und ärztliche Entscheidungen

Siehe ausführlich Abschnitt 4. Gesundheitsdaten.

Identitätsdokumente

• Foto / Scan von Vorder- und Rückseite des Personalausweises oder Reisepasses
• Verifikationsstatus (geprüft, ausstehend, abgelehnt)

Technische Nutzungsdaten

• IP-Adresse, abgekürzt zur Server-Diagnose
• Browser- und Geräteinformationen (User-Agent)
• Zugriffsdatum, Zugriffsstatus, übertragene Datenmenge
• Referrer-URL

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Wir verarbeiten deine Stamm-, Kontakt-, Account- und Bestelldaten, um den Vertrag mit dir zu erfüllen — insbesondere die Vermittlung einer ärztlichen Eignungsprüfung und die Weiterleitung deiner Bestellung an eine Partnerapotheke.

Gesetzliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)

Bestimmte Daten müssen wir aufgrund handels- und steuerrechtlicher Vorgaben (insb. § 257 HGB, § 147 AO bzw. die niederländischen Pendants) bis zu 10 Jahre aufbewahren. Auch das Apothekengesetz und die Arzneimittelverschreibungsverordnung verlangen bestimmte Aufzeichnungen.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Auf Grundlage berechtigter Interessen verarbeiten wir technische Nutzungsdaten, um die IT-Sicherheit, Verfügbarkeit und Stabilität der Plattform zu gewährleisten, Missbrauch zu erkennen und Mehrfach-Anmeldungen / Fake-Accounts zu unterbinden.

Einwilligung (Art. 6 Abs. 1 lit. a + Art. 9 Abs. 2 lit. a DSGVO)

Die Verarbeitung deiner Gesundheitsdaten erfolgt ausschließlich auf Basis deiner ausdrücklichen Einwilligung im Rahmen des Funnel-Fragebogens. Du kannst diese Einwilligung jederzeit für die Zukunft widerrufen.

Gesundheitsbehandlung (Art. 9 Abs. 2 lit. h DSGVO)

Die ärztliche Eignungsprüfung selbst stützt sich auf Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge / medizinische Diagnostik).

4. Gesundheitsdaten (besondere Kategorien gem. Art. 9 DSGVO)

Im Rahmen deiner Anfrage erfassen wir die Antworten aus dem Eignungsfragebogen. Diese Daten werden ausschließlich den auf der Plattform tätigen Ärzten zur Beurteilung deiner medizinischen Eignung zur Verfügung gestellt.

Die Ärzte unterliegen der ärztlichen Schweigepflicht (§ 203 StGB) und behandeln deine Gesundheitsdaten streng vertraulich. Die Plattform und der jeweils behandelnde Arzt agieren als gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO; die wesentlichen Inhalte der entsprechenden Vereinbarung sind in Abschnitt 6 dargestellt.

Wir geben deine Gesundheitsdaten niemals an Versicherungen, Arbeitgeber oder Dritte außerhalb des Behandlungs- und Abgabeprozesses weiter — auch nicht an die belieferte Apotheke, sofern diese die Daten nicht zur Abgabe der Verordnung zwingend benötigt.

5. Identitätsverifikation (Ausweis-Upload)

Zur Verhinderung von Mehrfach- und Fake-Anmeldungen sowie zur Sicherstellung, dass dein Patientenkonto auf deine reale Identität läuft, bitten wir dich bei der Registrierung um die Übermittlung eines Fotos von Vorder- und Rückseite deines Personalausweises oder Reisepasses.

Wer sieht die Bilder?

• Mitarbeiter der Faremi-Plattform zur Identitätsprüfung
• Die mit deiner Eignungsprüfung beauftragten Ärzte
• Die belieferte Apotheke (bei Identitätsabgleich vor Abgabe)

Wie sind sie geschützt?

• Speicherung in einem nicht öffentlich zugänglichen Verzeichnis auf dem Server (Apache-„deny all"-Regel)
• Zugriff nur über einen authentifizierten internen Endpoint mit rollenspezifischer Berechtigung (Admin / Apotheke mit Bestellbezug / behandelnder Arzt)
• Jeder Abruf wird serverseitig protokolliert

Aufbewahrungsdauer

Die Bilder werden nach erfolgreicher Verifikation maximal so lange aufbewahrt, wie der Patientenaccount aktiv ist, längstens jedoch 2 Jahre nach der letzten Behandlung. Auf Verlangen löschen wir sie früher.

6. Empfänger / Auftragsverarbeitung / gemeinsam Verantwortliche

Folgende Kategorien von Empfängern erhalten deine Daten — jeweils nur in dem Umfang, der für die Erfüllung des Vertrags erforderlich ist:

Ärzte (gemeinsam Verantwortliche, Art. 26 DSGVO)

Die auf der Plattform tätigen Ärzte erhalten Zugriff auf deine Stammdaten, Identitätsdokumente und Gesundheitsdaten zur Durchführung der Eignungsprüfung und ggf. Ausstellung eines elektronischen Rezepts. Faremi und der jeweils prüfende Arzt vereinbaren die Aufgabenteilung in einer separaten Vereinbarung zur gemeinsamen Verantwortlichkeit. Die wesentlichen Punkte:

• Faremi ist verantwortlich für die technische Infrastruktur, das Identity-Management und die Bereitstellung der Patientendaten.
• Der Arzt ist verantwortlich für die medizinische Beurteilung, das Rezept und die ärztliche Dokumentation.
• Du kannst deine Betroffenenrechte sowohl bei Faremi als auch beim Arzt direkt geltend machen.

Apotheken

Die von dir ausgewählte oder uns durch den Arzt zugeordnete Apotheke erhält Stammdaten und Bestelldaten, soweit das für die Belieferung erforderlich ist. Die Apotheke verarbeitet diese Daten als eigenständig Verantwortliche im Rahmen des Apothekengesetzes.

IT-Dienstleister (Auftragsverarbeiter, Art. 28 DSGVO)

• Webhosting: STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland
• E-Mail-Versand: STRATO AG (SMTP-Infrastruktur, Postfach info@faremi.de)
• Versandlabel-Erstellung: Deutsche Post DHL Group (für Apotheken-Versand)

Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO.

Behörden

Eine Weitergabe an Behörden erfolgt nur, sofern wir gesetzlich dazu verpflichtet sind (z. B. Steuerbehörden, Strafverfolgungsbehörden).

7. Übermittlung in Drittländer

Eine Übermittlung deiner Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) findet grundsätzlich nicht statt. Der Hosting-Server steht in Deutschland; die Faremi Eenmanszaak hat ihren Sitz in den Niederlanden — beide innerhalb der EU.

Sollte in Einzelfällen (z. B. bei eingesetzten Fonts oder Web-Diensten) eine Datenübermittlung in ein Drittland erfolgen, basiert diese auf den Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO).

8. Speicherdauer

Wir speichern deine Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

Stammdaten

Solange dein Account aktiv ist + 30 Tage

Bestelldaten

10 Jahre (handels- und steuerrechtliche Aufbewahrungspflicht)

Rechnungsdaten

10 Jahre (§ 257 HGB)

Gesundheitsdaten / Funnel-Antworten

10 Jahre nach Behandlung (§ 630f BGB analog)

Ausweisbilder

Max. 2 Jahre nach letzter Behandlung

Server-Logs (technisch)

14 Tage

E-Mail-Verifikations-Token

Bis Verifikation, sonst 30 Tage

Nach Ablauf werden die Daten sicher gelöscht oder anonymisiert.

9. Cookies, Local Storage und Service-Worker

Faremi.de verzichtet weitgehend auf Tracking-Cookies. Für die Funktion der Plattform setzen wir folgende technisch notwendige Speichermechanismen ein:

SessionStorage

Wir speichern in deinem Browser eine Session-ID, um deinen Login-Status zu erhalten. Dieser Eintrag wird automatisch beim Schließen des Browser-Tabs gelöscht.

LocalStorage

Für PWA-Funktionalitäten (z. B. Offline-Fähigkeit) wird ein Feature-Flag-Status in deinem Browser hinterlegt. Diese Daten verlassen dein Gerät nicht.

Service-Worker

Wir nutzen einen Service-Worker (/sw.js) für Cache-Strategien (Network-First für HTML/API, Cache-First für Assets). Der Service-Worker wird beim ersten Besuch installiert und kann von dir jederzeit über die Browser-Entwicklerwerkzeuge entfernt werden.

Keine Tracking-Cookies

Wir setzen weder Google Analytics noch Facebook-Pixel, TikTok-Pixel oder vergleichbare Werbe- oder Analyse-Cookies ein. Eine Cookie-Consent-Banner ist daher nicht notwendig.

10. Hosting und Server-Logs

Die Website wird gehostet bei der STRATO AG (Otto-Ostrowski-Straße 7, 10249 Berlin) in Deutschland. Bei jedem Aufruf werden vom Webserver folgende Daten in einer Logdatei gespeichert:

• Abgekürzte IP-Adresse
• Datum und Uhrzeit der Anfrage
• Aufgerufene Seite (URL)
• HTTP-Statuscode (z. B. 200, 404)
• Browser- und Betriebssysteminformationen (User-Agent)
• Referrer-URL

Diese Daten dienen ausschließlich der Sicherheit und Stabilität (Erkennung und Abwehr von Angriffen) und werden nach 14 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

11. Externe Zahlungsdienstleister

Je nach von dir gewählter Zahlungsart werden deine Zahlungsdaten an folgende Dienstleister weitergegeben. Diese verarbeiten die Daten als eigene Verantwortliche bzw. nach eigenen Datenschutzbestimmungen:

• SEPA-Lastschrift / Banküberweisung: Über die kontoführende Bank (bunq B.V., Naritaweg 131-133, 1043 BS Amsterdam, NL)
• Karten- und Wallet-Zahlungen: Sofern aktiviert, über den jeweiligen Payment-Provider (Klarna, PayPal, Stripe etc. — wir aktualisieren diese Liste, sobald aktiv)

Wir übermitteln den Zahlungsdienstleistern lediglich die für die Abwicklung erforderlichen Daten (Betrag, Verwendungszweck, ggf. Stammdaten).

12. Deine Rechte als betroffene Person

Du hast nach der DSGVO folgende Rechte uns gegenüber:

• Recht auf Auskunft (Art. 15 DSGVO) — du kannst Auskunft darüber verlangen, welche Daten wir über dich verarbeiten.
• Recht auf Berichtigung (Art. 16 DSGVO) — du kannst unrichtige Daten korrigieren lassen.
• Recht auf Löschung (Art. 17 DSGVO) — du kannst die Löschung deiner Daten verlangen, soweit keine gesetzliche Aufbewahrungspflicht besteht.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — du kannst deine Daten in einem strukturierten, maschinenlesbaren Format erhalten.
• Widerspruchsrecht (Art. 21 DSGVO) — du kannst der Verarbeitung jederzeit widersprechen, soweit sie auf berechtigten Interessen beruht.
• Widerruf deiner Einwilligung (Art. 7 Abs. 3 DSGVO) — du kannst eine erteilte Einwilligung jederzeit für die Zukunft widerrufen.

Zur Geltendmachung deiner Rechte genügt eine formlose Nachricht an info@faremi.de.

13. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen. In Deutschland ist die jeweilige Landesdatenschutzbehörde zuständig — eine Übersicht findest du unter www.bfdi.bund.de.

Da die Faremi Eenmanszaak ihren Sitz in den Niederlanden hat, kannst du dich alternativ an die niederländische Aufsichtsbehörde wenden:

Autoriteit Persoonsgegevens
Hoge Nieuwstraat 8, 2514 EL Den Haag, Niederlande
www.autoriteitpersoonsgegevens.nl

14. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die rechtlichen Rahmenbedingungen oder unsere Verarbeitungsvorgänge ändern. Die jeweils aktuelle Fassung findest du immer auf dieser Seite. Wesentliche Änderungen kommunizieren wir per E-Mail an alle registrierten Nutzer.

Letzte Aktualisierung: Juni 2026