Data Security Statement

> ⚠ **Inoffizielle Übersetzung. Im Falle von Abweichungen gilt die englische Version.**

# Datensicherheits- und Schutzrichtlinie – 2Zone Therapy v1.0

**Gültig ab:** 6. August 2025  
**Letzte Aktualisierung:** 23. Oktober 2025  

---

## 1. Unser Sicherheitsversprechen
**2Zone Therapy**, Betreiber von **HealthGPT** und **ERRIC**, verpflichtet sich, die **Vertraulichkeit, Integrität und Verfügbarkeit** Ihrer persönlichen und gesundheitsbezogenen Daten zu gewährleisten.  
Wir befolgen die internationalen Standards der Cybersicherheit, der DSGVO-Konformität und des Risikomanagements.

---

## 2. Infrastruktur & Hosting
- Unsere Server befinden sich in **ISO 27001-zertifizierten Rechenzentren**.  
- Die Datenübertragung erfolgt über **SSL/TLS 256-Bit-Verschlüsselung**.  
- Tägliche Backups werden verschlüsselt an mehreren sicheren Standorten gespeichert.  
- Systemzugriffe sind durch **Mehrfaktor-Authentifizierung (MFA)** geschützt.

---

## 3. Verschlüsselung & Datenspeicherung
- **Passwörter und PassPhrases** werden gehasht und gesalzen – sie sind nicht wiederherstellbar.  
- **Gesundheitsprotokolle** und ERRIC-Chats werden mit **AES-256-Verschlüsselung** gespeichert.  
- Sensible Daten werden niemals im Klartext übertragen oder gespeichert.  
- Interne Datentransfers zwischen Diensten verwenden sichere API-Schlüssel und automatische Sicherheitsprüfungen.

---

## 4. Zugriffskontrolle & Authentifizierung
- Jeder Benutzer hat individuelle Anmeldeinformationen.  
- Ungewöhnliche oder riskante Anmeldeversuche (z. B. aus unbekannten Ländern oder Geräten) werden automatisch blockiert.  
- Alle Zugriffsversuche, Änderungen und Löschvorgänge werden in internen Audit-Logs protokolliert.

---

## 5. Erkennung & Reaktion auf Sicherheitsvorfälle
- Unsere Systeme werden rund um die Uhr überwacht, um Angriffe und Anomalien zu erkennen.  
- Im Falle einer Datenpanne werden betroffene Benutzer innerhalb von **72 Stunden** informiert, wie in der DSGVO vorgeschrieben.  
- Auf Anfrage kann ein vollständiger Bericht beim Datenschutzbeauftragten (DPO) angefordert werden.

---

## 6. Datenlöschung & Aufbewahrung
- Benutzer können jederzeit die vollständige Löschung ihrer Daten beantragen (siehe [Datenschutzrichtlinie](../privacy_policy_v5.0.md)).  
- Nach Bestätigung werden alle Daten innerhalb von **30 Tagen dauerhaft gelöscht**.  
- Backups, die diese Daten enthalten, werden innerhalb von **60 Tagen** automatisch überschrieben.

---

## 7. Dienstleister & internationale Datenübertragung
Wir arbeiten ausschließlich mit **DSGVO-konformen** oder **ISO 27001-zertifizierten** Dienstleistern zusammen.  
Datenübertragungen außerhalb des Europäischen Wirtschaftsraums (EWR) sind durch **Standardvertragsklauseln (SCCs)** oder gleichwertige Schutzmechanismen abgesichert.

---

## 8. Mitarbeiterschulung & interne Compliance
- Alle Mitarbeiter und Partner absolvieren jährlich eine Schulung in **Datenschutz und Cybersicherheit**.  
- Interne Audits werden zweimal jährlich durchgeführt, um die Einhaltung sicherzustellen.  
- Verstöße gegen diese Richtlinie können zu Disziplinarmaßnahmen oder Vertragsauflösungen führen.

---

## 9. Rechte der Benutzer
Sie haben das Recht:
- Auf Einsicht in die über Sie gespeicherten Daten,  
- Auf Korrektur oder Löschung dieser Daten,  
- Auf Kontaktaufnahme mit unserem Datenschutzbeauftragten bei Fragen zur Sicherheit.

---

## 10. Kontakt – Datenschutz & Sicherheit
**Datenschutzbeauftragter (DPO) – 2Zone Therapy**  
E-Mail: **privacy@2zonetherapy.com**  
Technischer Support: **support@healthgpt.co.il**

---

## 11. Aktualisierungen dieser Richtlinie
Diese Sicherheitsrichtlinie kann regelmäßig aktualisiert werden.  
Wesentliche Änderungen werden registrierten Benutzern per E-Mail oder über das Dashboard mitgeteilt.  
Im Zweifelsfall gilt die englische Version als verbindlich.

---