Zurück zur Startseite

Datenschutzerklärung

Medifeed App — Miloro GmbH

Stand: Mai 2026 · Version 1.1

§ 1  Verantwortlicher und Kontakt

Miloro GmbH
Mühlweg 10
85665 Moosach
Deutschland
E-Mail: info@medifeed-app.de
Vertreten durch: Karl-Heinz Seibert

Für Fragen zum Datenschutz wenden Sie sich bitte an: info@medifeed-app.de

§ 2  Grundsätze der Datenverarbeitung

Medifeed verarbeitet personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Daten werden nur erhoben, soweit dies für die Bereitstellung der App und der zugehörigen Dienste erforderlich ist oder eine gesetzliche Grundlage besteht.

Die Medifeed-App richtet sich ausschließlich an approbierte Ärztinnen und Ärzte. Eine Nutzung durch Verbraucherinnen und Verbraucher ist nicht vorgesehen.

§ 3  Registrierung und Account-Daten

Für die Nutzung der App ist eine Registrierung erforderlich. Dabei werden folgende Daten verarbeitet:

• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert, nicht im Klartext)
• Zeitstempel der Zustimmung zu AGB und Datenschutzerklärung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Nutzungskontos) sowie Art. 6 Abs. 1 lit. c DSGVO (Nachweis der Einwilligung).

Speicherdauer: Für die Dauer des Nutzungsvertrags. Mit Löschung des Accounts werden alle Account-Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 4  Arzt-Verifikation

Um den Zugang zur App auf approbierte Ärztinnen und Ärzte zu beschränken, ist im Rahmen der Registrierung eine Verifikation der Approbation erforderlich. Medifeed bietet hierfür vier Methoden an:

Arztausweis-Upload

Die Nutzerin oder der Nutzer lädt ein Foto des Arztausweises hoch. Aus dem Foto werden automatisiert Titel, Vorname, Nachname und Einheitliche Fortbildungsnummer (EFN) extrahiert. Das Foto selbst wird unmittelbar nach erfolgreicher Datenextraktion automatisch und unwiderruflich gelöscht. Die extrahierten Daten (Titel, Vorname, Nachname, EFN) werden für die Dauer des Accounts gespeichert und mit der Account-Löschung entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Sicherstellung des Fachkreiszugangs).

EFN-Eingabe

Die Nutzerin oder der Nutzer gibt Vorname, Nachname und Einheitliche Fortbildungsnummer (EFN) manuell ein. Diese Daten werden für die Dauer des Accounts gespeichert und mit der Account-Löschung entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Sicherstellung des Fachkreiszugangs).

DocCheck-Login

Die Nutzerin oder der Nutzer authentifiziert sich über DocCheck (Ärztekammer-Services GmbH, Köln, Deutschland). Im Zuge dieser Authentifizierung werden Vorname und Nachname an Medifeed übermittelt und für die Dauer des Accounts gespeichert. Für die Datenverarbeitung durch DocCheck im Rahmen des Authentifizierungsvorgangs gelten die Datenschutzbestimmungen von DocCheck.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Sicherstellung des Fachkreiszugangs).

Access Code

In bestimmten Fällen (z. B. bei Vorab-Zugängen für Testnutzerinnen und -nutzer) vergibt Medifeed einen persönlichen Access Code. Dabei werden Vorname und Nachname von Medifeed erfasst und dem Account zugeordnet. Diese Daten werden für die Dauer des Accounts gespeichert und mit der Account-Löschung entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

§ 5  Nutzungs- und Verhaltensdaten

Zur Bereitstellung und Verbesserung der App sowie zur Erstellung aggregierter Reports für Pharma-Partner verarbeitet Medifeed folgende Nutzungsdaten:

• Aufgerufene Artikel und Verweildauer
• Öffnung von Push-Notifications
• Eingereichte Q&A-Fragen
• Gesehene und geklickte gesponserte Inhalte
• Fachbereich und Interaktionshistorie

Diese Daten werden über PostHog (PostHog, Inc., USA; EU-Hosting) erfasst. PostHog ist so konfiguriert, dass sämtliche Daten auf EU-Servern verarbeitet und gespeichert werden. Mit PostHog besteht ein Auftragsverarbeitungsvertrag (AVV) sowie EU-Standardvertragsklauseln (SCC) für den Fall eines Drittlandtransfers.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Serviceerbringung, Plattformoptimierung und Erstellung aggregierter Reichweiten-Reports). Ein Legitimate Interest Assessment (LIA) ist intern dokumentiert.

Speicherdauer: 12 Monate (rollierend). Ältere Daten werden automatisch gelöscht.

Weitergabe an Partner: Pharma-Partner erhalten ausschließlich aggregierte, nicht auf einzelne Personen rückführbare Statistiken (Mindestgruppengröße: 10 Nutzerinnen und Nutzer pro Datenpunkt). Eine personenbezogene Datenweitergabe findet nicht statt.

§ 6  Eingereichte Inhalte (Q&A-Fragen)

Nutzerinnen und Nutzer können über den Experten-Q&A-Feed medizinische Fachfragen einreichen. Dabei werden folgende Daten verarbeitet: Name, E-Mail-Adresse, Fragetext sowie etwaige beigefügte Audio- oder Bilddateien.

Der eingereichte Inhalt wird über das Backend automatisch an einen internen, nicht-öffentlichen Slack-Kanal übermittelt, der ausschließlich dem medizinischen Team von Medifeed zugänglich ist. Die Weiterleitung erfolgt inklusive Absenderangaben (Name, E-Mail-Adresse), um eine Rückfrage bei Bedarf zu ermöglichen. Nach Bearbeitung der Frage durch Expertinnen oder Experten wird die Antwort im App-Feed veröffentlicht; dabei wird die Identität der einreichenden Person nicht öffentlich gemacht.

Zur Übermittlung an den Slack-Kanal wird Slack (Slack Technologies LLC, USA) als Auftragsverarbeiter eingesetzt. Mit Slack besteht ein Auftragsverarbeitungsvertrag (AVV) sowie EU-Standardvertragsklauseln (SCC).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Nutzung des Q&A-Features).

Speicherdauer: Für die Dauer des aktiven Nutzungsvertrags. Nach Account-Löschung werden eingereichte Fragen im Slack-Kanal pseudonymisiert.

Die Nutzungsrechte an eingereichten Inhalten sind in § 7 der AGB geregelt.

§ 7  Kundensupport (Crisp)

Medifeed bietet in der App eine Chat-basierte Kundensupportfunktion an, die über Crisp (Crisp IM SARL, Frankreich) bereitgestellt wird. Wenn eine Nutzerin oder ein Nutzer den Support-Chat öffnet, werden Name, E-Mail-Adresse und eine interne Nutzer-ID an Crisp übermittelt, um eine kontextbezogene Bearbeitung der Anfrage zu ermöglichen. Gesprächsverläufe werden in Crisp gespeichert.

Crisp ist ein EU-ansässiger Anbieter (Frankreich). Mit Crisp besteht ein Auftragsverarbeitungsvertrag (AVV). Ein Drittlandtransfer findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Kundensupports).

Speicherdauer: Für die Dauer des aktiven Nutzungsvertrags. Mit Account-Löschung wird das Nutzerprofil in Crisp gelöscht.

§ 8  E-Mail-Kommunikation

Medifeed versendet transaktionale E-Mails (z. B. Willkommensnachrichten, Passwort-Reset, Benachrichtigungen zu Q&A-Antworten) über Customer.io (Peaberry Software Inc., USA). Customer.io verarbeitet hierfür Identifikationsdaten (E-Mail-Adresse, Vorname, Nachname) sowie das Interaktionsverhalten (Öffnungen, Klicks).

Mit Customer.io besteht ein Auftragsverarbeitungsvertrag (AVV) sowie EU-Standardvertragsklauseln (SCC). Weitere Informationen: Customer.io Datenschutz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – transaktionale E-Mails) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Servicekommunikation).

Speicherdauer: CRM-Daten werden für die Dauer des aktiven Nutzungsvertrags gespeichert; bei Inaktivität von mehr als 12 Monaten oder nach Account-Löschung werden die Daten in Customer.io entfernt.

§ 9  Push-Notifications und Mobile Attribution

Zur Versendung von Push-Notifications verarbeitet Medifeed gerätespezifische Device-Token sowie das Öffnungsverhalten (ob eine Notification geöffnet wurde). Hierfür werden folgende Dienste eingesetzt:

Firebase Cloud Messaging (FCM)

Firebase Cloud Messaging (Google LLC, USA) dient als technische Infrastruktur für die Zustellung von Push-Notifications. FCM verarbeitet gerätespezifische Push-Tokens, die für die Zustellung erforderlich sind. Mit Google besteht ein Auftragsverarbeitungsvertrag (AVV) sowie EU-Standardvertragsklauseln (SCC). Google LLC ist zudem unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: Firebase Datenschutz.

Customer.io (Push-Management)

Das Versandmanagement der Push-Notifications erfolgt über Customer.io. Details zur Verarbeitung durch Customer.io sind in § 8 beschrieben.

Auf iOS-Geräten ist für Push-Notifications eine systemseitige Einwilligung erforderlich (Opt-In-Abfrage durch das Betriebssystem). Auf Android-Geräten gilt entsprechendes ab Android 13.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Serviceerbringung) in Verbindung mit dem systemseitigen Einwilligungsverfahren.

Speicherdauer: Push-Tokens werden für die Dauer des aktiven Nutzungsvertrags gespeichert und nach Account-Löschung entfernt.

Adjust (Mobile Attribution)

Medifeed setzt Adjust (Adjust GmbH, Berlin, Deutschland) für die App-Attributierung ein. Adjust erfasst Installationsattributierungen sowie gerätespezifische Identifikatoren (IDFA auf iOS, Google Advertising ID / GAID auf Android), um zu messen, über welchen Kanal die App installiert wurde. Adjust ist ein EU-ansässiger Anbieter (Deutschland). Mit Adjust besteht ein Auftragsverarbeitungsvertrag (AVV). Ein Drittlandtransfer findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Messung der Marketingwirksamkeit).

Speicherdauer: Für die Dauer des aktiven Nutzungsvertrags; Löschung mit Account-Löschung.

§ 10  Pharma-Kooperationen und aggregierte Reports

Medifeed finanziert sich u. a. durch Kooperationen mit Unternehmen aus dem Gesundheitswesen. Im Rahmen dieser Kooperationen erstellt Medifeed aggregierte Reichweiten- und Interaktionsberichte. Diese Berichte enthalten ausschließlich anonymisierte Statistiken (z. B. Reichweite nach Fachbereich, Engagement-Raten pro Inhaltstyp) und ermöglichen keinen Rückschluss auf individuelle Nutzerinnen oder Nutzer.

Alle exportierten Datenpunkte erfordern eine Mindestgruppengröße von 10 Nutzerinnen und Nutzern. Darunter liegende Werte werden nicht ausgespielt.

Rechtsgrundlage: Bei echter Anonymisierung ist die DSGVO nicht anwendbar. Sicherheitshalber stützt Medifeed diese Verarbeitung zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

§ 11  Eingesetzte Drittanbieter und Tools

Amazon Web Services – AWS (Hosting)

Die Backend-Infrastruktur von Medifeed (Laufzeitumgebung, Datenbank, Authentifizierung, Datei-Speicherung, Logging) wird auf Amazon Web Services (Amazon Web Services, Inc., USA) betrieben. Sämtliche AWS-Dienste werden ausschließlich in der EU-Region eu-central-1 (Frankfurt, Deutschland) betrieben. Mit AWS besteht ein Auftragsverarbeitungsvertrag (AVV) sowie EU-Standardvertragsklauseln (SCC). AWS ist zudem unter dem EU-US Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Art. 46 Abs. 2 lit. c DSGVO (SCC).

Speicherdauer Server-Logs: 30 Tage.

Storyblok (Headless CMS)

Medifeed nutzt Storyblok (Storyblok GmbH, Linz, Österreich) als Content-Management-System zur Verwaltung und Auslieferung der App-Inhalte. In Storyblok werden ausschließlich redaktionelle Inhalte (keine personenbezogenen Nutzerdaten) gespeichert. Storyblok ist ein EU-ansässiger Anbieter. Mit Storyblok besteht ein Auftragsverarbeitungsvertrag (AVV).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

PostHog (Produkt-Analytics)

Medifeed nutzt PostHog (PostHog, Inc., USA; EU-Hosting) für die Analyse des Nutzungsverhaltens in der App. Alle Daten werden auf EU-Servern verarbeitet. Details zur Verarbeitung sind in § 5 beschrieben.

Sentry (Crash- und Error-Reporting)

Zur Erkennung und Behebung technischer Fehler setzt Medifeed Sentry (Functional Software, Inc., USA) ein. Sentry erfasst Fehlermeldungen, Stack Traces und Performance-Daten des Backends. Personenbezogene Daten (z. B. E-Mail-Adresse im Fehlerkontext) werden vor der Übermittlung an Sentry durch einen beforeSend-Hook im SDK entfernt. Mit Sentry besteht ein Auftragsverarbeitungsvertrag (AVV) sowie EU-Standardvertragsklauseln (SCC).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – technische Stabilität).

Speicherdauer: 90 Tage.

Customer.io (E-Mail und Push-Notifications)

Details zur Verarbeitung durch Customer.io sind in § 8 und § 9 beschrieben.

Firebase Cloud Messaging – FCM (Push-Infrastruktur)

Details zur Verarbeitung durch Firebase sind in § 9 beschrieben.

Crisp (Kundensupport-Chat)

Details zur Verarbeitung durch Crisp sind in § 7 beschrieben.

Slack (Interne Frageweiterleitung)

Details zur Verarbeitung durch Slack sind in § 6 beschrieben.

Adjust (Mobile Attribution)

Details zur Verarbeitung durch Adjust sind in § 9 beschrieben.

DocCheck (Arzt-Verifikation)

Details zur Verarbeitung durch DocCheck sind in § 4 beschrieben.

Apple App Store / Google Play Store

Für den Download der App über den Apple App Store (Apple Inc., USA) und den Google Play Store (Google LLC, USA) gelten die jeweiligen Datenschutzbestimmungen der Plattformbetreiber. Medifeed hat auf diese Datenverarbeitungen keinen Einfluss. Apple verlangt die Angabe von „Privacy Nutrition Labels", die konsistent mit dieser Datenschutzerklärung gepflegt werden.

§ 12  Drittlandtransfers

Folgende Anbieter haben ihren Sitz in den USA (Drittland außerhalb der EU/des EWR). Die Übermittlung personenbezogener Daten erfolgt jeweils auf Basis von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO:

• Amazon Web Services (AWS): SCC; zudem unter dem EU-US Data Privacy Framework zertifiziert. Datenverarbeitung auf EU-Servern (eu-central-1, Frankfurt).
• PostHog: SCC; Datenverarbeitung auf EU-Servern.
• Sentry: SCC.
• Customer.io: SCC (siehe § 8 und § 9).
• Firebase / Google LLC: SCC; zudem unter dem EU-US Data Privacy Framework zertifiziert.
• Slack Technologies LLC: SCC. Slack wird für die interne Weiterleitung eingereichter Q&A-Fragen verwendet (siehe § 6).

Folgende Anbieter sind in der EU ansässig; ein Drittlandtransfer findet nicht statt:

• Storyblok (Österreich)
• DocCheck (Deutschland)
• Crisp (Frankreich) — siehe § 7
• Adjust (Deutschland) — siehe § 9

§ 13  Speicherfristen und Löschung

Medifeed speichert personenbezogene Daten nur so lange, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen gelten folgende Fristen:

• Account-Daten (E-Mail, Passwort, Zustimmungs-Timestamp): Für die Dauer des Nutzungsvertrags; Löschung mit Account-Löschung.
• Verifikationsdaten (Titel, Vorname, Nachname, EFN — unabhängig von der gewählten Verifikationsmethode): Für die Dauer des Nutzungsvertrags; Löschung mit Account-Löschung.
• Arztausweis-Foto: Automatische und unwiderrufliche Löschung unmittelbar nach erfolgreicher Datenextraktion.
• Nutzungs- und Verhaltensdaten (PostHog): 12 Monate (rollierend).
• Crash- und Error-Logs (Sentry): 90 Tage.
• CRM-Daten und E-Mail-Kommunikation (Customer.io): Für die Dauer des aktiven Nutzungsvertrags; bei Inaktivität > 12 Monate oder nach Account-Löschung.
• Push-Tokens (FCM): Für die Dauer des aktiven Nutzungsvertrags; Löschung mit Account-Löschung.
• Server-Logs (AWS): 30 Tage.
• Support-Chat-Verläufe (Crisp): Für die Dauer des aktiven Nutzungsvertrags; mit Account-Löschung wird das Nutzerprofil in Crisp gelöscht.
• Q&A-Fragen (Slack): Für die Dauer des aktiven Nutzungsvertrags; nach Account-Löschung werden eingereichte Fragen im Slack-Kanal pseudonymisiert.
• Attributierungsdaten (Adjust): Für die Dauer des aktiven Nutzungsvertrags; Löschung mit Account-Löschung.

§ 14  Rechte der betroffenen Personen

Als betroffene Person stehen Ihnen folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre bei Medifeed verarbeiteten Daten verlangen.
• Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkungsrecht (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem gängigen, maschinenlesbaren Format erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen, sofern diese auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) basiert.
• Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@medifeed-app.de

§ 15  Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für Medifeed zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

§ 16  Änderungen dieser Datenschutzerklärung

Medifeed behält sich vor, diese Datenschutzerklärung zu aktualisieren, um Änderungen der App, der eingesetzten Dienste oder gesetzlicher Anforderungen zu berücksichtigen. Die jeweils aktuelle Fassung ist unter www.medifeed-app.de/datenschutz-app.html abrufbar und in der App jederzeit einsehbar. Bei wesentlichen Änderungen werden Nutzerinnen und Nutzer per E-Mail informiert.