Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Datenschutzbeauftragter: [Name des Datenschutzbeauftragten]
E-Mail: [datenschutz@firmenname.de]

2. Übersicht der Datenverarbeitungen

DentalFlow ist eine digitale Plattform für die Zusammenarbeit zwischen Dentallaboren und Zahnarztpraxen. Dabei werden insbesondere folgende Kategorien personenbezogener Daten verarbeitet:

2.1 Erhobene Datenkategorien

• Bestandsdaten: Name, E-Mail-Adresse, Organisationsname, Adresse, Telefonnummer, Steuernummer, Bankverbindung
• Nutzungsdaten: Zugriffszeiten, IP-Adressen, Browser-Typ, Seitenaufrufe, Aktionen innerhalb der Plattform
• Auftragsdaten: Auftragsdetails, Patientenchiffren (pseudonymisiert), Indikationen, zahntechnische Spezifikationen
• Biometrische Daten (Art. 9 DSGVO): STL-Dateien (digitale Zahnabdrücke) als besondere Kategorie personenbezogener Daten, da diese biometrische Informationen zur eindeutigen Identifizierung einer natürlichen Person enthalten können
• Gesundheitsbezogene Daten (Art. 9 DSGVO): Zahnmedizinische Indikationen, Behandlungsinformationen, Material- und Verarbeitungsinformationen für Zahnersatz
• Kommunikationsdaten: Nachrichten zwischen Laboren und Praxen, Dateianhänge
• Abrechnungsdaten: Rechnungen, Zahlungsinformationen, Bankverbindungen

2.2 Pseudonymisierung (Chiffre-System)

Patientendaten werden in DentalFlow grundsätzlich pseudonymisiert verarbeitet. Statt vollständiger Patientennamen wird ein Chiffre-System verwendet (z.B. "PAT-2026-001"). Die Zuordnung zwischen Chiffre und realem Patientennamen verbleibt ausschließlich bei der jeweiligen Zahnarztpraxis. Das Dentallabor erhält zu keinem Zeitpunkt Zugang zu den vollständigen Patientennamen.

Diese Maßnahme dient der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO und stellt einen zusätzlichen Schutz für die Patientendaten dar.

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit die betroffene Person ihre Einwilligung in die Verarbeitung erteilt hat, insbesondere bei Cookies und Statistiken.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung zur Erfüllung des Nutzungsvertrages der DentalFlow-Plattform und zur Durchführung vorvertraglicher Maßnahmen.
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Verarbeitung zur Erfüllung gesetzlicher Aufbewahrungspflichten (Handels- und Steuerrecht).
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Verarbeitung zur Wahrung berechtigter Interessen, insbesondere zur Sicherstellung der IT-Sicherheit und zur Verbesserung der Plattform.
• Art. 9 Abs. 2 lit. h DSGVO: Die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten, biometrische Daten aus STL-Dateien) ist erforderlich für die Zwecke der Gesundheitsversorgung und erfolgt auf Grundlage des Behandlungsvertrages zwischen Patient und Zahnarzt. Die Verarbeitung unterliegt der Aufsicht einer Fachperson, die dem Berufsgeheimnis gemäß § 203 StGB unterliegt.

4. Datenverarbeitung im Detail

4.1 Registrierung und Kontoverwaltung

Bei der Registrierung werden folgende Daten erhoben: Name, E-Mail-Adresse, Organisationsname und -typ (Labor/Praxis). Diese Daten sind für die Erstellung und Verwaltung des Benutzerkontos erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Passwörter werden ausschließlich als kryptographische Hashwerte gespeichert.

4.2 Auftragsverwaltung

Bei der Erstellung und Bearbeitung von Aufträgen werden Auftragsdaten, pseudonymisierte Patientendaten (Chiffren), Indikationen, Materialspezifikationen und STL-Dateien verarbeitet. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 9 Abs. 2 lit. h DSGVO für Gesundheits- und biometrische Daten.

4.3 STL-Dateien als biometrische Daten

STL-Dateien (Stereolithography-Dateien) enthalten dreidimensionale Abbildungen der Zahnstruktur eines Patienten. Diese Daten können als biometrische Daten im Sinne des Art. 9 DSGVO eingestuft werden, da sie potenziell zur eindeutigen Identifizierung einer natürlichen Person beitragen können. Die Verarbeitung erfolgt auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO und unterliegt besonderen Schutzmaßnahmen:

• Verschlüsselte Übertragung und Speicherung
• Zugriffsbeschränkung auf autorisierte Benutzer des jeweiligen Auftrags
• Automatische Löschung nach Ablauf der gesetzlichen Aufbewahrungsfrist
• Pseudonymisierung durch das Chiffre-System

4.4 Rechnungsstellung

Rechnungsdaten werden gemäß den handels- und steuerrechtlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB) für einen Zeitraum von 10 Jahren aufbewahrt. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.

4.5 Cookies und Webanalyse

Die DentalFlow-Plattform verwendet Cookies. Dabei unterscheiden wir:

• Notwendige Cookies: Für die Funktionsfähigkeit der Plattform erforderlich (Session-Management, CSRF-Schutz). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Funktionale Cookies: Für erweiterte Funktionen (Spracheinstellungen, gespeicherte Präferenzen). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
• Statistik-Cookies: Zur anonymisierten Analyse der Plattformnutzung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Nicht notwendige Cookies werden erst nach ausdrücklicher Einwilligung über das Cookie-Banner gesetzt. Die Einwilligung kann jederzeit über die Cookie-Einstellungen widerrufen werden.

5. Auftragsverarbeitung (Art. 28 DSGVO)

DentalFlow fungiert als Auftragsverarbeiter für die auf der Plattform registrierten Dentallabore und Zahnarztpraxen. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird im Rahmen der Registrierung abgeschlossen. Der AVV regelt insbesondere:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Kategorien betroffener Personen und personenbezogener Daten
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen (TOMs)
• Einsatz von Unterauftragsverarbeitern

Den vollständigen Auftragsverarbeitungsvertrag finden Sie unter /avv.

6. Betroffenenrechte

Sie haben gemäß der DSGVO folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, und auf Auskunft über diese Daten.
• Berichtigungsrecht (Art. 16 DSGVO): Sie haben das Recht auf Berichtigung unrichtiger personenbezogener Daten.
• Löschungsrecht (Art. 17 DSGVO): Sie haben das Recht auf Löschung Ihrer personenbezogenen Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Über die Einstellungen der Plattform können Sie die Löschung Ihres Kontos beantragen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht auf Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Über die Plattform können Sie einen vollständigen Datenexport als JSON-Datei herunterladen.
• Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, gegen die Verarbeitung Widerspruch einzulegen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO beruht.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
• Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts.

7. Datensicherheit

DentalFlow setzt umfassende technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten:

• Verschlüsselung: TLS/SSL-Verschlüsselung für alle Datenübertragungen, AES-256-Verschlüsselung für gespeicherte Daten
• Zugriffskontrolle: Rollenbasiertes Zugriffsmanagement (RBAC) mit differenzierten Berechtigungen
• Row-Level Security (RLS): Mandantenisolierung auf Datenbankebene – jede Organisation sieht ausschließlich ihre eigenen Daten
• Audit-Logging: Vollständige Protokollierung aller datenschutzrelevanten Zugriffe und Änderungen
• Authentifizierung: Sichere Authentifizierung mit gehashten Passwörtern und Session-Management
• Regelmäßige Sicherheitsprüfungen: Kontinuierliche Überprüfung und Aktualisierung der Sicherheitsmaßnahmen

8. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist:

• Kontodaten: Bis zur Löschung des Kontos (30 Tage Karenzzeit nach Löschungsantrag)
• Auftragsdaten: Entsprechend der vertraglichen Vereinbarung und gesetzlichen Aufbewahrungsfristen
• Rechnungsdaten: 10 Jahre gemäß §§ 147 AO, 257 HGB
• Protokolldaten: Maximal 12 Monate
• STL-Dateien: Bis zur Löschung des Auftrags bzw. entsprechend den Aufbewahrungspflichten gemäß EU 2017/745 (MDR)

9. Datenübermittlung an Dritte

Eine Übermittlung personenbezogener Daten an Dritte erfolgt nur in folgenden Fällen:

• An den jeweiligen Geschäftspartner (Labor/Praxis) im Rahmen der Auftragsabwicklung
• An Auftragsverarbeiter, die im Auftrag und nach Weisung von DentalFlow Daten verarbeiten (Hosting-Anbieter, E-Mail-Dienste)
• Sofern eine gesetzliche Verpflichtung zur Herausgabe besteht

Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet grundsätzlich nicht statt. Sollte dies im Einzelfall erforderlich sein, wird dies nur auf Grundlage angemessener Garantien gemäß Art. 44 ff. DSGVO durchgeführt.

10. Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an:

Sie haben zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren: