Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

2. Rechtsgrundlage

Die Bearbeitung von Personendaten erfolgt auf Grundlage des revidierten Schweizer Datenschutzgesetzes (revDSG, in Kraft seit 1. September 2023) sowie – soweit anwendbar – der Datenschutz-Grundverordnung der EU (DSGVO).

3. Erhobene Daten und Verwendungszweck

3.1 Bestellungen und Käufe

Bei einer Bestellung im Online-Shop erheben wir: Name, E-Mail-Adresse, Lieferadresse, Telefonnummer (optional) sowie Zahlungsinformationen. Diese werden ausschliesslich zur Bestellabwicklung, zur Rechnungsstellung und zur Kommunikation mit Ihnen verwendet.

3.2 Kundenkonto

Wenn Sie ein Kundenkonto eröffnen, speichern wir Ihre Zugangsdaten (E-Mail + verschlüsseltes Passwort) sowie Ihre Bestellhistorie. Die Authentifizierung erfolgt über NextAuth mit kryptografisch sicherer Passwortverschlüsselung (bcrypt, 12 Runden).

3.3 Kontaktformular und Anfragen

Bei der Nutzung des Kontaktformulars oder der Verleih-Anfrage werden Name, E-Mail, Telefonnummer und Ihre Nachricht übermittelt und gespeichert. Diese Daten werden nur zur Bearbeitung Ihrer Anfrage verwendet und nicht an Dritte weitergegeben.

3.4 Newsletter

Wenn Sie unseren Newsletter abonnieren, speichern wir Ihre E-Mail-Adresse und optional Ihren Vornamen. Die Anmeldung erfolgt per Double-Opt-In – d.h. wir senden Ihnen zunächst eine Bestätigungs-E-Mail. Sie können den Newsletter jederzeit über den Abmeldelink in jeder E-Mail abbestellen.

3.5 Hilfsmittelverleih

Für die Abwicklung von Leihverträgen werden Name, Kontaktdaten, Adresse sowie Angaben zum gewünschten Hilfsmittel gespeichert. Diese Daten werden ausschliesslich zur Vertragserfüllung und für die gesetzlich vorgeschriebene Aufbewahrung genutzt.

3.6 Medizinische Daten (Wundmanagement / Spitex)

Im Rahmen der Wundmanagement- und Spitex-Dienstleistungen verarbeiten wir besonders schützenswerte Personendaten gemäss Art. 5 lit. c Ziff. 2 revDSG (Gesundheitsdaten): Verordnungen, Pflegedokumentation, Behandlungsverläufe, Abrechnungen mit Krankenkassen. Diese Daten werden ausschliesslich für die medizinische Versorgung und gesetzlich vorgeschriebene Abrechnung (KVG, KLV) verwendet, mit erhöhten technischen und organisatorischen Schutzmassnahmen gespeichert und nur autorisiertem Pflegepersonal zugänglich gemacht. Eine Weitergabe erfolgt ausschliesslich an den Hausarzt, die Krankenkasse (über MediData AG, Root, Schweiz) und – soweit gesetzlich erforderlich – an kantonale Stellen.

4. Zahlungsabwicklung (Stripe)

Die Zahlungsabwicklung erfolgt über Stripe, Inc. (185 Berry St., San Francisco, CA 94107, USA). Ihre Zahlungsdaten werden direkt an Stripe übermittelt und dort verarbeitet. Wir speichern keine Kreditkarten- oder Debitkarteninformationen auf unseren Servern. Stripe ist PCI DSS Level 1 zertifiziert und unter dem Swiss–U.S. Data Privacy Framework (DPF) selbstzertifiziert. Weitere Informationen:stripe.com/de/privacy.

5. E-Mail-Versand (SMTP)

Transaktionsmails (Bestellbestätigungen, Newsletter, Anfragen) werden über unseren Schweizer E-Mail-Provider Hosttech GmbH (Älggistrasse 12, 8967 Widen, Schweiz) versendet. Die E-Mail-Kommunikation erfolgt via TLS-verschlüsselte Verbindung (SMTP über SSL/TLS).

6. Hosting und Datenbank

Diese Website und sämtliche Daten werden auf einem dedizierten Virtual Private Server in der Schweiz betrieben. Die Datenbank (PostgreSQL) läuft auf demselben Schweizer Server. Verbindungen erfolgen ausschliesslich verschlüsselt (TLS 1.2+). Zugriff auf die Datenbank ist auf autorisiertes Personal beschränkt und mit Passwort-Authentifizierung sowie bcrypt-Hashing (12 Runden) gesichert.

7. Cookies und lokaler Speicher

Diese Website verwendet ausschliesslich technisch notwendige Cookies:

• Warenkorb: Ihr Warenkorb wird im lokalen Speicher des Browsers (localStorage) gespeichert. Dieser wird nicht an unsere Server übermittelt.
• Authentifizierung: Login-Sessions werden als HttpOnly-, Secure- und SameSite-Cookies gespeichert und automatisch nach Ablauf der Sitzung gelöscht.
• Popup-Einstellungen: Die Information, ob Sie ein Popup geschlossen haben, wird im sessionStorage gespeichert (sitzungsbasiert, keine Persistenz).

Es werden keine Tracking-Cookies, Werbe-Cookies oder Cookies von Drittanbietern eingesetzt. Es findet kein Tracking über Google Analytics, Facebook Pixel oder vergleichbare Dienste statt.

8. KI-generierte Inhalte (Anthropic Claude)

Für die automatisierte Erstellung von Blog-Artikeln zu Gesundheitsthemen nutzen wir die KI-API von Anthropic, PBC (548 Market St, San Francisco, CA 94104, USA). Dabei werden ausschliesslich öffentlich verfügbare Themen-Prompts übermittelt – keine Personen- oder Kundendaten. Anthropic ist unter dem Swiss–U.S. Data Privacy Framework selbstzertifiziert.

9. Datenweitergabe an Dritte

Eine Weitergabe Ihrer Daten an Dritte erfolgt ausschliesslich:

• zur Vertragserfüllung (z.B. Versanddienstleister für die Lieferadresse)
• zur Zahlungsabwicklung (Stripe)
• zur Abrechnung medizinischer Leistungen (MediData AG, Krankenkassen)
• wenn Sie uns ausdrücklich dazu ermächtigt haben
• wenn wir gesetzlich dazu verpflichtet sind

10. Aufbewahrungsfristen

Bestelldaten und Rechnungen werden gemäss den gesetzlichen Aufbewahrungspflichten (10 Jahre nach OR Art. 958f) gespeichert. Medizinische Dokumentation und Krankenpflege-Abrechnungen werden gemäss kantonalen Vorgaben und KVG-Anforderungen (ebenfalls i.d.R. 10 Jahre) aufbewahrt. Kontaktanfragen und nicht zustandegekommene Verleihverträge werden nach 2 Jahren gelöscht. Newsletter-Abonnements werden bei Abmeldung sofort deaktiviert und nach 1 Jahr vollständig gelöscht.

11. Ihre Rechte

Gemäss revDSG und – soweit anwendbar – der DSGVO haben Sie folgende Rechte:

• Auskunftsrecht: Sie können jederzeit Auskunft über die bei uns gespeicherten Daten verlangen.
• Berichtigungsrecht: Sie können unrichtige Daten korrigieren lassen.
• Löschungsrecht: Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung: Sie können die Verarbeitung Ihrer Daten einschränken lassen.
• Widerspruchsrecht: Sie können der Verarbeitung Ihrer Daten widersprechen.
• Datenübertragbarkeit: Sie können Ihre Daten in einem strukturierten Format erhalten.

Für alle Anliegen zum Datenschutz kontaktieren Sie uns unter: info@wm-i.ch

12. Beschwerderecht

Sie haben das Recht, sich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu beschweren, wenn Sie der Ansicht sind, dass die Bearbeitung Ihrer Daten gegen das Datenschutzrecht verstösst.

13. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz Ihrer Daten gemäss Art. 8 revDSG: TLS/HTTPS-Verschlüsselung aller Verbindungen, bcrypt-Passwort-Hashing, Stripe-Webhook-Signaturen, E-Mail-OTP-Verifikation bei Formularen, regelmässige Sicherheits-Updates, geschützter Admin-Zugang mit rollenbasierter Zugriffskontrolle und verschlüsselte Backups.

14. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar.