Datenschutzerklärung
Mit dieser Datenschutzerklärung informieren wir über die Verarbeitung personenbezogener Daten bei der Nutzung dieser Anwendung. Hinweis zur Rolle: Diese Anwendung wird Pflegeunternehmen als Software-as-a-Service bereitgestellt. Für die in der Anwendung verarbeiteten Klienten- und Mitarbeiterdaten ist das jeweilige Pflegeunternehmen Verantwortlicher; wir handeln insoweit als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags (AVV). Diese Erklärung betrifft die Daten, für die wir selbst Verantwortlicher sind (z. B. Konto- und Nutzungsdaten der angemeldeten Benutzer:innen).
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist: Polonskyi & Bothe GbR Mykhailo Polonskyi, Joshua Bothe Bügelstraße 43 47138 Duisburg E-Mail: kontakt@pflegesoftware.online
2. Datenschutzbeauftragter
Datenschutzbeauftragter ist: Joshua Bothe Polonskyi & Bothe GbR Bügelstraße 43 47138 Duisburg E-Mail: kontakt@pflegesoftware.online
3. Welche Daten wir verarbeiten
Bei der Nutzung der Anwendung verarbeiten wir insbesondere: • Kontodaten der Benutzer:innen (Name, E-Mail-Adresse, Rolle/Berechtigungen, verschlüsseltes Passwort), • technische Zugriffs- und Protokolldaten (z. B. IP-Adresse, Zeitpunkt des Zugriffs, Browser-/Geräteinformationen) zur Gewährleistung des sicheren Betriebs, • in der Anwendung erfasste fachliche Daten (Klienten-, Mitarbeiter-, Abrechnungs- und Dokumentdaten); hierfür ist das jeweilige Pflegeunternehmen Verantwortlicher, wir verarbeiten diese ausschließlich weisungsgebunden als Auftragsverarbeiter.
4. Zwecke und Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten zur Bereitstellung, Absicherung und Wartung der Anwendung sowie zur Erfüllung vertraglicher Pflichten. Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb) sowie für die weisungsgebundene Verarbeitung im Auftrag Art. 28 DSGVO. Soweit besondere Kategorien personenbezogener Daten (Gesundheitsdaten, Art. 9 DSGVO) im Auftrag verarbeitet werden, erfolgt dies auf Grundlage der vom verantwortlichen Pflegeunternehmen sicherzustellenden Erlaubnistatbestände (z. B. Art. 9 Abs. 2 lit. h DSGVO).
5. Empfänger und Unterauftragsverarbeiter
Zur Bereitstellung der Anwendung setzen wir die folgenden sorgfältig ausgewählten Dienstleister als Unterauftragsverarbeiter ein. Mit allen bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO; soweit eine Verarbeitung außerhalb der EU/des EWR in Betracht kommt, sind EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) vereinbart. • Hetzner Online GmbH, Gustav-Stresemann-Ring 1, 65189 Wiesbaden, Deutschland – Hosting und Betrieb der Anwendungsserver. Die Verarbeitung und Speicherung erfolgt ausschließlich in Rechenzentren in Deutschland (EU). Eine Übermittlung in Drittländer findet nicht statt. • Supabase, Inc. (Vertragspartner für die Datenübermittlung: Supabase Pte. Ltd., 65 Chulia Street #38-02/03, OCBC Centre, Singapur 049513) – Authentifizierung der Nutzer:innen sowie Bereitstellung und Hostingverwaltung der Datenbank. Die Datenbank wird in der Region eu-central-1 (Frankfurt, EU) betrieben. Supabase setzt seinerseits Unterauftragsverarbeiter ein (u. a. Amazon Web Services als Hosting-Anbieter). Für hiermit verbundene Übermittlungen außerhalb der EU/des EWR bestehen EU-Standardvertragsklauseln (Modul 2 bzw. Modul 3) als geeignete Garantie nach Art. 46 DSGVO. • Google (Google Cloud EMEA Limited bzw. Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) – wir nutzen mehrere Google-Dienste auf Grundlage des Google Cloud-Vertrags zur Datenverarbeitung bzw. der Google Maps Platform-Datenverarbeitungsbedingungen: – Google Cloud Storage zur Ablage hochgeladener Dokumente; Region europe-west3 (Frankfurt). – Vertex AI zur automatischen Texterkennung (OCR) hochgeladener Dokumente; Region europe-west3 (Frankfurt). Die übermittelten Inhalte werden nicht zum Training von KI-Modellen verwendet. – Google Maps Platform (Routes API) zur Berechnung von Fahrzeiten und Entfernungen aus Adressdaten; hierbei werden ausschließlich Adressdaten, keine besonderen Kategorien personenbezogener Daten übermittelt. Soweit bei diesen Diensten eine Verarbeitung außerhalb der EU/des EWR erfolgt, sind EU-Standardvertragsklauseln als geeignete Garantie nach Art. 46 DSGVO vereinbart. Eine aktuelle, vollständige Liste der Unterauftragsverarbeiter ist Bestandteil des Auftragsverarbeitungsvertrags und wird auf Anfrage bereitgestellt.
6. Übermittlung in Drittländer
Die Verarbeitung der in der Anwendung erfassten fachlichen Daten (einschließlich Gesundheitsdaten nach Art. 9 DSGVO) erfolgt vorrangig innerhalb der EU/des EWR (Hosting der Anwendungsserver bei Hetzner in Deutschland; Datenbank, Dokumentenspeicher und Texterkennung in einer EU-Region). Soweit im Rahmen der eingesetzten Dienste (insbesondere bei den von Supabase und Google genutzten Unterauftragsverarbeitern) eine Übermittlung in Drittländer – etwa in die USA oder nach Singapur – stattfinden kann, ist diese durch EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzende technische und organisatorische Maßnahmen abgesichert.
7. Speicherdauer und Löschung
Personenbezogene Daten werden nur so lange gespeichert, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben. • Kontodaten der Benutzer:innen speichern wir für die Dauer des bestehenden Vertrags- bzw. Nutzungsverhältnisses; nach dessen Beendigung werden sie gelöscht, soweit keine gesetzlichen Aufbewahrungsfristen entgegenstehen. • Technische Protokoll- und Zugriffsdaten werden regelmäßig nach kurzer Zeit gelöscht, soweit sie nicht zur Aufklärung von Sicherheitsvorfällen benötigt werden. • Im Auftrag der Pflegeunternehmen verarbeitete Daten (insbesondere Klienten- und Pflegedokumentationsdaten) speichern wir nach den Weisungen und Aufbewahrungsfristen des jeweiligen verantwortlichen Pflegeunternehmens; im Pflegebereich gelten hierfür zum Teil lange gesetzliche Aufbewahrungsfristen (z. B. für die Pflegedokumentation regelmäßig zehn Jahre, für Abrechnungs- und Buchungsunterlagen sechs bis zehn Jahre). Nach Beendigung des Auftrags werden diese Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben.
8. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie ein Widerspruchsrecht (Art. 21 DSGVO). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Bei der Geltendmachung wenden Sie sich bitte an die unter „Verantwortlicher“ genannten Kontaktdaten. Betreffen Anliegen die im Auftrag verarbeiteten Daten eines Pflegeunternehmens, leiten wir diese an den jeweiligen Verantwortlichen weiter.
9. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestraße 2–4, 40213 Düsseldorf Telefon: 0211 38424-0 E-Mail: poststelle@ldi.nrw.de Internet: www.ldi.nrw.de
10. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um die Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen. Dazu gehören insbesondere eine verschlüsselte Datenübertragung (TLS), verschlüsselte Datenspeicherung, ein rollen- und rechtebasiertes Zugriffskonzept sowie protokollierte Zugriffe.
11. Lokale Speicherung im Browser
Zur Anmeldung und für grundlegende Funktionen speichert die Anwendung technisch erforderliche Daten (z. B. Sitzungs-/Authentifizierungsdaten sowie Spracheinstellung) im lokalen Speicher (Local Storage) Ihres Browsers. Diese Verarbeitung ist für den Betrieb der Anwendung erforderlich (§ 25 Abs. 2 TDDDG). Darüber hinaus setzen wir keine nicht erforderlichen Cookies und keine Tracking- oder Analysedienste ein; eine Einwilligung ist daher nicht erforderlich.
12. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald Änderungen der Anwendung oder der Rechtslage dies erfordern. Es gilt jeweils die hier veröffentlichte aktuelle Fassung.