Datenschutzerklärung

1. Einleitung und Geltungsbereich

Mit dieser Datenschutzerklärung erläutert orva (nachfolgend «wir»), wie wir mit deinen personenbezogenen Daten umgehen. Dies betrifft den Besuch unserer Website, die Nutzung unserer Telemedizin-Plattform, den Bezug unserer Leistungen sowie jegliche Kontaktaufnahme mit uns.

Wir orientieren uns an den Vorgaben des Schweizer Datenschutzgesetzes (DSG) sowie, soweit anwendbar, der Europäischen Datenschutz-Grundverordnung (DSGVO). Die konkrete Anwendbarkeit richtet sich nach dem jeweiligen Sachverhalt.

Sollten wir Daten für Zwecke verarbeiten, die hier nicht beschrieben sind, werden wir dich gesondert darüber informieren.

2. Grundlegende Begriffe

Unter personenbezogenen Daten verstehen wir sämtliche Informationen, die einen Bezug zu einer identifizierten oder identifizierbaren Person aufweisen. Das sind Angaben, anhand derer du direkt oder indirekt erkennbar bist.

Sensible Daten geniessen einen erhöhten Schutz. Im Kontext unserer telemedizinischen Dienste zählen hierzu insbesondere gesundheitsbezogene Informationen.

Als Verarbeitung gilt jede Handlung im Zusammenhang mit personenbezogenen Daten. Dazu zählen die Erhebung, Speicherung, Nutzung, Weitergabe, Anonymisierung und Löschung.

3. Verantwortlichkeit und Kontakt

Verantwortlich für die nachfolgend beschriebene Datenverarbeitung ist:

orva (in Gründung)
Zürich, Schweiz

Bei Fragen zum Datenschutz oder zur Wahrnehmung deiner Rechte erreichst du uns per E-Mail.

E-Mail: legal@orva.ch

Für bestimmte Verarbeitungen können auch Dritte verantwortlich sein (siehe Abschnitte 6, 13 und 14). Bei Fragen zu deren Datenverarbeitung wende dich bitte direkt an diese.

4. Welche Daten wir erheben

Je nach Art deiner Interaktion mit uns verarbeiten wir unterschiedliche Datenkategorien:

Konto- und Registrierungsinformationen

Zur Nutzung unserer Dienste benötigen wir Angaben wie Nutzername, E-Mail-Adresse, ein verschlüsseltes Passwort, deinen Namen und deine Anschrift. Bei Bedarf erheben wir zusätzlich Identifikationsnachweise. Diese Informationen speichern wir üblicherweise fünf Jahre über das Ende der Nutzung hinaus.

Korrespondenz und Kommunikation

Kontaktierst du uns per E-Mail, Formular, Chat oder auf anderem Weg, speichern wir den Inhalt sowie zugehörige Metadaten. Gleiches gilt für den Austausch mit medizinischem Fachpersonal über unsere Plattform. E-Mail-Korrespondenz bewahren wir mindestens zehn Jahre auf.

Grunddaten zur Person

Hierzu zählen Kerninformationen wie Name, Kontaktdaten, Geburtsdatum, Geschlecht und Zahlungsinformationen. Diese erhalten wir von dir direkt oder im zulässigen Rahmen von Dritten. Die Speicherdauer beträgt in der Regel zehn Jahre ab dem letzten Kontakt.

Vertrags- und Transaktionsdaten

Daten, die bei Vertragsabschluss und -abwicklung entstehen, umfassen Bestellungen, Zahlungsvorgänge, Lieferungen, Rechnungen und Angaben aus medizinischen Fragebögen. Bei telemedizinischen Leistungen können auch Gesundheitsdaten wie Verschreibungen dazugehören. Die Aufbewahrungsfrist beträgt mindestens zehn Jahre nach Vertragsende.

Technische Nutzungsdaten

Beim Besuch unserer Website erfassen wir automatisch technische Informationen wie IP-Adresse, Browser- und Gerätetyp, Betriebssystem, Zugriffszeiten, besuchte Seiten und Herkunfts-URLs. Diese Daten dienen der Funktionsfähigkeit und Sicherheit und werden zwölf Monate gespeichert.

Nutzungsverhalten und Interessen

Zur Optimierung unserer Angebote analysieren wir dein Nutzungsverhalten, etwa Klickmuster, Scrollverhalten, Verweildauer und Reaktionen auf Mitteilungen. Diese Erkenntnisse nutzen wir für Personalisierung und Marktanalysen. Die Daten werden anonymisiert oder gelöscht, sobald sie nicht mehr aussagekräftig sind, typischerweise nach 24 Monaten.

Gesundheitsbezogene Angaben

Gesundheitsdaten gelten als besonders schützenswerte Personendaten (Art. 5 lit. c nDSG). Im Rahmen unserer telemedizinischen Dienstleistungen verarbeiten wir solche Daten aus Fragebögen, Konsultationen und Verschreibungen. Diese übermitteln wir an die für deine Behandlung notwendigen Stellen wie Ärzte und Apotheken. Für Verwendungen, die über die Behandlung hinausgehen, holen wir deine Einwilligung ein.

Ärztliche Schweigepflicht

Medizinisches Fachpersonal, das über unsere Plattform tätig wird, unterliegt dem Berufsgeheimnis gemäss Art. 321 StGB. Deine Gesundheitsinformationen werden ausschliesslich im Rahmen der Behandlung und nach den gesetzlichen Vorgaben weitergegeben.

Teilst du uns Daten über Dritte mit (etwa Familienangehörige), setzen wir voraus, dass du dazu berechtigt bist und die Angaben korrekt sind. Bitte informiere diese Personen über unsere Datenschutzpraktiken.

5. Wofür wir deine Daten nutzen

Die Verarbeitung deiner Daten dient folgenden Zwecken:

  • Bereitstellung, Administration und Weiterentwicklung unserer Dienste
  • Betrieb und technische Optimierung unserer Website und Plattform
  • Ermöglichung telemedizinischer Beratungen und Verschreibungen
  • Abwicklung von Bestellungen, Zahlungen und Lieferungen
  • Kundenkommunikation und Support
  • Versand transaktionsbezogener Benachrichtigungen
  • Identitätsprüfung gemäss regulatorischer Vorgaben
  • Werbung und Marketing (sofern kein Widerspruch vorliegt)
  • Analyse zur Verbesserung der Nutzererfahrung
  • Prävention von Betrug und Gewährleistung der Sicherheit
  • Erfüllung gesetzlicher Pflichten
  • Durchsetzung oder Abwehr rechtlicher Ansprüche

Wir stützen unsere Datenbearbeitung auf die jeweils anwendbaren Rechtsgrundlagen: Vertragserfüllung, überwiegende berechtigte Interessen, gesetzliche Pflichten oder deine ausdrückliche Einwilligung (Art. 6 Abs. 6–7 nDSG). Bei Anwendbarkeit der DSGVO gelten Art. 6 Abs. 1 lit. a–f sowie Art. 9 Abs. 2 DSGVO für Gesundheitsdaten.

6. Mit wem wir Daten teilen

Wir geben Personendaten an Dritte weiter, soweit dies für die Erbringung unserer Dienstleistungen, die Vertragsabwicklung oder aufgrund gesetzlicher Verpflichtungen erforderlich ist. In anderen Fällen holen wir deine Einwilligung ein. Empfänger handeln entweder als Auftragsverarbeiter in unserem Auftrag oder als eigenständig Verantwortliche.

Empfängerkategorien

  • Medizinisches Fachpersonal: Ärztinnen und Ärzte sowie Apotheken für telemedizinische Leistungen
  • Technische Dienstleister: Hosting, Datenbanken, E-Mail-Versand, Webanalyse
  • Zahlungsabwickler: Verarbeitung von Zahlungen und Abonnements
  • Identitätsprüfer: Verifizierungsdienste
  • Marketing-Partner: Analyse- und Werbedienste
  • Behörden: Soweit gesetzlich vorgeschrieben

Unsere Technologie- und Servicepartner

AnbieterEinsatzbereichServerstandortDatenschutz-Info
Supabase Inc.Datenbank, Authentifizierung, DateispeicherungSchweiz (Zürich)Link
Vercel Inc.Website-Hosting, Serverless Computing, Web AnalyticsEU (Frankfurt)Link
Stripe Inc.Zahlungsverarbeitung, Abo-VerwaltungEU / USALink
Resend Inc.E-Mail-ZustellungUSALink
Persona Identities Inc.IdentitätsprüfungUSALink
Google Ireland Ltd.Webanalyse, WerbungIrland / USALink
Meta Platforms Ireland Ltd.Werbe-Pixel, Social-Media-IntegrationIrland / USALink
LinkedIn Ireland UnlimitedConversion-TrackingIrland / USALink

Alle genannten Partner unterliegen eigenen Datenschutzrichtlinien und haben sich zur Einhaltung der geltenden Datenschutzgesetze verpflichtet. US-amerikanische Anbieter stützen sich typischerweise auf EU-Standardvertragsklauseln oder vergleichbare Sicherheitsmechanismen.

Obwohl wir bei Diensten wie Supabase und Vercel europäische Rechenzentren nutzen, lässt sich bei US-Unternehmen ein behördlicher Datenzugriff nicht vollständig ausschliessen.

7. Internationale Datenübermittlung

Deine Daten können in Staaten übermittelt werden, deren Datenschutzniveau nicht dem schweizerischen oder europäischen Standard entspricht, insbesondere in die USA.

Bei Übermittlungen in solche Länder stellen wir durch vertragliche Vereinbarungen sicher, dass ein angemessener Schutz gewährleistet ist. Hierzu setzen wir die von der Europäischen Kommission genehmigten Standardvertragsklauseln ein (abrufbar unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj).

Trotz dieser Vorkehrungen lassen sich nicht alle Risiken eliminieren, insbesondere das Risiko behördlicher Zugriffe im Ausland.

8. Automatisierte Auswertungen

In bestimmten Fällen werten wir deine Daten automatisiert aus, um Nutzungsmuster zu erkennen, personalisierte Empfehlungen zu erstellen oder Sicherheitsrisiken zu identifizieren.

Dabei können wir verschiedene Datenpunkte zusammenführen, um ein besseres Verständnis deiner Präferenzen zu gewinnen. Dies ermöglicht uns beispielsweise, relevante Produkte vorzuschlagen oder künftige Angebote besser auf dich abzustimmen.

Bei solchen Auswertungen achten wir auf Angemessenheit und ergreifen Schutzmassnahmen. Sollten automatisierte Entscheidungen rechtliche Auswirkungen oder wesentliche Beeinträchtigungen für dich haben, kannst du eine Überprüfung durch eine Person verlangen.

9. Speicherdauer

Wir bewahren deine Daten so lange auf, wie es für die jeweiligen Verarbeitungszwecke, gesetzliche Aufbewahrungsfristen oder berechtigte Dokumentationsinteressen erforderlich ist. Details zu den einzelnen Fristen findest du in Abschnitt 4.

Nach Fristablauf werden deine Daten im Rahmen unserer regulären Prozesse gelöscht oder anonymisiert, sofern keine rechtlichen oder vertraglichen Gründe dagegen sprechen.

10. Wie wir deine Daten schützen

Wir setzen technische und organisatorische Schutzmassnahmen ein, um deine Daten vor Verlust, unbefugtem Zugriff und Missbrauch zu bewahren.

Unsere Sicherheitsvorkehrungen umfassen:

  • Durchgängige Verschlüsselung bei Übertragung (TLS) und Speicherung
  • Rollenbasierte Zugriffskontrollen
  • Protokollierung von Zugriffen auf sensible Daten
  • Mehrstufige Authentifizierung für kritische Systeme
  • Regelmässige Sicherheitsaudits
  • Vertraulichkeitsvereinbarungen mit Mitarbeitenden und Dienstleistern

Trotz aller Massnahmen lässt sich absolute Sicherheit nicht garantieren. Bitte schütze auch deine Zugangsdaten sorgfältig und informiere uns bei verdächtigen Aktivitäten.

11. Deine Datenschutzrechte

Nach dem Schweizer Datenschutzgesetz (nDSG) sowie, soweit anwendbar, der DSGVO stehen dir folgende Rechte zu:

  • Auskunft (Art. 25 nDSG): Du kannst erfahren, welche Daten wir über dich gespeichert haben.
  • Berichtigung (Art. 32 nDSG): Du kannst die Korrektur fehlerhafter oder unvollständiger Daten verlangen.
  • Löschung: Du kannst die Entfernung deiner Daten fordern, sofern keine Aufbewahrungspflichten bestehen.
  • Einschränkung: Du kannst die Verarbeitung deiner Daten begrenzen lassen.
  • Datenherausgabe (Art. 28 nDSG): Du kannst deine Daten in einem gängigen Format erhalten.
  • Widerspruch: Du kannst der Nutzung deiner Daten für Direktwerbung widersprechen.
  • Widerruf: Eine erteilte Einwilligung kannst du jederzeit für die Zukunft zurücknehmen.

Zur Ausübung deiner Rechte kontaktiere uns bitte per E-Mail unter legal@orva.ch. Wir werden deine Identität prüfen und dein Anliegen zeitnah bearbeiten.

Beschwerdemöglichkeit: Bist du mit unserer Datenverarbeitung nicht einverstanden, kannst du dich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden: www.edoeb.admin.ch

12. Cookies und Web-Technologien

Unsere Website nutzt Cookies und vergleichbare Technologien, um dich bei der Nutzung wiederzuerkennen, Funktionen bereitzustellen und Analysen durchzuführen.

Cookies sind kleine Textdateien, die dein Browser speichert. Daneben können weitere Verfahren zum Einsatz kommen, etwa Browser-Fingerprinting (Kombination technischer Merkmale zu einem Erkennungsmerkmal) oder Tracking-Pixel.

Cookie-Kategorien

Wir unterscheiden:

  • Technisch notwendige Cookies: Erforderlich für den Grundbetrieb (z.B. Login-Status, Spracheinstellung). Diese setzen wir ohne Einwilligung. Gültigkeit: maximal 30 Tage.
  • Analyse-Cookies: Ermöglichen Auswertungen zur Angebotsoptimierung. Nur mit deiner Zustimmung aktiv. Gültigkeit: bis zu 12 Monate.
  • Marketing-Cookies: Dienen der zielgerichteten Werbung und Erfolgsmessung. Nur mit Einwilligung. Gültigkeit: bis zu 12 Monate.
  • Präferenz-Cookies: Speichern deine Einstellungen für eine personalisierte Nutzung. Nur mit Zustimmung.

Einstellungen verwalten: Über den Link «Cookie-Einstellungen» im Footer kannst du deine Präferenzen jederzeit anpassen oder widerrufen. Alternativ lassen sich Cookies auch über die Browser-Einstellungen steuern.

13. Eingesetzte Analyse- und Marketing-Dienste

Zur Analyse der Website-Nutzung und Optimierung unserer Werbung setzen wir Dienste von Drittanbietern ein. Mit Ausnahme technisch notwendiger Funktionen werden diese nur mit deiner Einwilligung aktiviert.

Google Analytics

Wir nutzen Google Analytics 4 der Google Ireland Limited (Dublin, Irland) zur Webanalyse. Der Dienst setzt Cookies und anonymisiert IP-Adressen. Mit deiner Werbe-Einwilligung aktivieren wir zusätzlich Google Ads Conversion Tracking, Remarketing und Cross-Device-Funktionen. Daten werden nach zwei Monaten automatisch gelöscht. Google kann Daten in die USA übertragen (Grundlage: Standardvertragsklauseln). Details: Google Datenschutz

Vercel Analytics

Vercel Analytics erhebt anonymisierte Nutzungsstatistiken (Seitenaufrufe, Ladezeiten, Gerätetypen) ohne Personenbezug. Die Verarbeitung erfolgt in der EU (Frankfurt). Details: Vercel Datenschutz

Meta Pixel

Das Meta Pixel der Meta Platforms Ireland Limited (Dublin) ermöglicht die Messung von Werbekampagnen auf Facebook und Instagram sowie zielgruppenspezifische Anzeigen. Meta kann diese Daten mit deinem Konto verknüpfen und für eigene Zwecke nutzen. Datenübertragung in die USA möglich. Widerspruch: Facebook Werbeeinstellungen. Details: Meta Datenschutz

LinkedIn Insight Tag

Der LinkedIn Insight Tag der LinkedIn Ireland Unlimited Company (Dublin) dient Conversion-Tracking und Retargeting. LinkedIn kann Daten mit deinem Profil verknüpfen. Widerspruch: LinkedIn Werbeeinstellungen. Details: LinkedIn Datenschutz

14. Unsere Social-Media-Auftritte

Wir sind auf sozialen Netzwerken präsent, um mit dir zu kommunizieren und über unsere Angebote zu informieren. Bei Interaktionen auf diesen Plattformen erheben sowohl wir als auch die Betreiber Daten über dich.

Die Plattformbetreiber erfassen insbesondere technische Informationen, Registrierungsdaten, Kommunikationsinhalte und Nutzungsverhalten. Diese Daten nutzen sie auch für eigene Zwecke wie Marketing und Marktforschung.

Für bestimmte Auswertungsfunktionen (etwa Seitenstatistiken) besteht eine gemeinsame Verantwortlichkeit mit den Plattformbetreibern.

Instagram

Wir betreiben ein Instagram-Profil. Plattformbetreiber ist Meta Platforms Ireland Limited (Dublin). Für Seitenstatistiken sind wir gemeinsam mit Meta verantwortlich. Daten können in die USA übertragen werden. Details: Instagram Datenschutz

LinkedIn

Wir betreiben eine LinkedIn-Unternehmensseite. Plattformbetreiber ist LinkedIn Ireland Unlimited Company (Dublin). Für Seitenstatistiken besteht eine gemeinsame Verantwortlichkeit gemäss dem Joint Controller Addendum. Daten können in die USA übertragen werden. Details: LinkedIn Datenschutz

15. Aktualisierungen

Diese Hinweise zum Datenschutz gelten unabhängig von vertraglichen Vereinbarungen. Wir behalten uns vor, sie jederzeit anzupassen. Die jeweils aktuelle Fassung findest du auf unserer Website.

Bei wesentlichen Änderungen informieren wir dich, sofern uns deine Kontaktdaten vorliegen und dies mit vertretbarem Aufwand möglich ist.

Für einzelne Datenverarbeitungen gilt jeweils die zum Zeitpunkt der Erhebung gültige Fassung dieser Erklärung.

Stand: Dezember 2025

Datenschutzerklärung | orva | orva