Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist der jeweilige Betreiber der Aicuro-Instanz (nachfolgend "Betreiber"). Die Kontaktdaten des Verantwortlichen entnehmen Sie bitte dem Impressum dieser Plattform.

2. Zwecke und Rechtsgrundlagen der Verarbeitung

2.1 Nutzerdaten (registrierte Mitarbeiter)

Für registrierte Benutzer (Praxismitarbeiter, Administratoren) verarbeiten wir folgende Daten:

• Name, E-Mail-Adresse, Telefonnummer (optional), Profilbild (optional)
• Rolle und Organisationszugehörigkeit
• Login-Zeitstempel und IP-Adresse (Sicherheitszwecke)
• Aktivitätsprotokoll (Audit-Log gemäß Art. 5 Abs. 2 DSGVO)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung).

2.2 Patientenbezogene Anfragedaten

Im Rahmen medizinischer Anfragen werden patientenbezogene Daten verarbeitet (Name, Geburtsdatum, Anfragetyp, Anhänge). Diese Daten werden ausschließlich für die Koordination zwischen medizinischen Leistungserbringern verwendet.

Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG (medizinische Versorgung).

Aufbewahrungsfrist: Patientendaten werden nach Abschluss der Anfrage automatisch nach 365 Tagen anonymisiert.

2.3 Gast-Anfragen (QR-Code-Flow)

Patienten können über einen organisationsspezifischen QR-Code Anfragen einreichen. Dabei werden erhoben: Name, Geburtsdatum, Anfragetyp, optionale Notiz. Die Erhebung erfolgt auf Basis einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Gast-Anfragedaten werden nach 90 Tagen automatisch anonymisiert.

Widerruf: Die Einwilligung kann jederzeit durch Kontaktaufnahme mit der jeweiligen Praxis widerrufen werden.

3. Technische Sicherheitsmaßnahmen (Art. 32 DSGVO)

• Verschlüsselte Übertragung via HTTPS/TLS
• Passwörter werden ausschließlich als bcrypt-Hash (Faktor 12) gespeichert
• Zugang via JWT-Tokens (30 min Gültigkeit) + Refresh-Token-Rotation (7 Tage, httpOnly Cookie)
• Automatischer Logout nach 15 Minuten Inaktivität
• Account-Sperrung nach 5 fehlgeschlagenen Login-Versuchen (15 min)
• Vollständiges Audit-Log aller sicherheitsrelevanten Aktionen
• Rollenbasierte Zugriffskontrolle (RBAC)
• Datei-Downloads nur für autorisierte Benutzer (geprüft und protokolliert)
• Security-Header (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy)

4. Ihre Rechte (Art. 15–22 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich direkt an den Betreiber Ihrer Aicuro-Instanz. Sie haben zudem das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen.

5. Auftragsverarbeitung (Art. 28 DSGVO)

Aicuro wird als Software-as-a-Service bereitgestellt. Der Betreiber schließt mit Medicore LDA einen Auftragsverarbeitungsvertrag (AVV) ab. Dieser regelt die Pflichten und Rechte beider Parteien gemäß Art. 28 DSGVO.

Eingesetzte Dienstleister:

• Hetzner Online GmbH (Server-Hosting, Deutschland) — AVV abgeschlossen
• Resend Inc. (E-Mail-Versand, EU-Region) — DPA abgeschlossen
• Amazon Web Services (KI-Verarbeitung, eu-central-1 Frankfurt) — AVV abgeschlossen

6. Drittlandübermittlung

KI-gestützte Dokumentenanalyse erfolgt ausschließlich über AWS Bedrock in der Region eu-central-1 (Frankfurt). Eine Übermittlung personenbezogener Daten in Drittländer findet nicht statt.

7. Cookies und Session-Daten

Aicuro verwendet ausschließlich technisch notwendige Cookies/Session-Daten:

• access_token (localStorage): JWT-Zugriffstoken, 30 min Gültigkeit
• refresh_token (httpOnly Cookie): Für automatische Token-Erneuerung, 7 Tage
• theme (localStorage): Dark/Light-Mode-Einstellung, kein Personenbezug

Es werden keine Tracking-Cookies, Analytics-Cookies oder Drittanbieter-Cookies verwendet. Eine Cookie-Consent-Abfrage ist daher gemäß § 25 Abs. 2 TTDSG nicht erforderlich.