Datenschutzerklärung

Verantwortlicher im Sinne der DSGVO

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website und im Rahmen unserer Leistungen ist:

Eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter wird benannt, sobald die gesetzlichen Voraussetzungen nach § 38 BDSG vorliegen. Bei allen Datenschutzanliegen können Sie sich jederzeit direkt an die oben genannte E-Mail-Adresse wenden.

Allgemeine Grundsätze unserer Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der gesetzlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Unser Handeln folgt folgenden Grundsätzen:

• Datenminimierung: Wir erheben nur die Daten, die für den jeweiligen Zweck erforderlich sind.
• Zweckbindung: Daten werden ausschließlich für den ursprünglich angegebenen Zweck verwendet.
• Transparenz: Sie erfahren jederzeit nachvollziehbar, was mit Ihren Daten geschieht.
• Sicherheit: Wir setzen technische und organisatorische Maßnahmen nach Stand der Technik ein.
• Speicherbegrenzung: Daten werden gelöscht, sobald sie nicht mehr benötigt werden.

Eine Übersicht aller technischen und organisatorischen Maßnahmen finden Sie in unserem Trust Center.

Aufruf der Website (Server-Logfiles)

Bei jedem Aufruf unserer Website werden durch unseren Webserver automatisch technische Informationen erfasst, die Ihr Browser übermittelt. Diese Daten sind technisch notwendig, um Ihnen die Website anzuzeigen und ihre Stabilität sowie Sicherheit zu gewährleisten. Der Betrieb der Website erfolgt über den in Abschnitt „Hosting und Drittanbieter" genannten Dienstleister.

Erhobene Daten

• IP-Adresse (gekürzt nach 7 Tagen)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seite und übertragene Datenmenge
• Browsertyp, Browserversion und Betriebssystem
• Referrer-URL (zuvor besuchte Seite)

Rechtsgrundlage und Speicherdauer

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb der Website). Die Logfiles werden nach 14 Tagen automatisch gelöscht, sofern nicht ein konkreter Sicherheitsvorfall eine längere Aufbewahrung erfordert.

Cookies und Tracking

Unsere Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Seite zwingend erforderlich sind (z. B. Session-Cookies, Cookie-Einwilligung). Diese Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gesetzt und nach Beendigung der Sitzung automatisch gelöscht.

Wir setzen kein Tracking, kein Profiling und keine Werbe-Cookies ein. Es findet keine Übermittlung von Nutzungsdaten an Drittanbieter wie Google Analytics, Facebook oder vergleichbare Dienste statt.

Sollten in Zukunft optionale Cookies eingesetzt werden, holen wir vorher Ihre ausdrückliche Einwilligung über ein Cookie-Banner ein (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG).

Kontaktaufnahme per E-Mail oder Formular

Wenn Sie uns per E-Mail oder über ein Kontaktformular kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten zur Beantwortung Ihrer Anfrage.

Verarbeitete Daten

• Name und Anrede
• E-Mail-Adresse, ggf. Telefonnummer
• Praxisname und Funktion (sofern angegeben)
• Inhalt Ihrer Nachricht

Rechtsgrundlage

Bei Anfragen, die der Anbahnung oder Durchführung eines Vertrags dienen: Art. 6 Abs. 1 lit. b DSGVO. Bei sonstigen Anfragen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Speicherdauer

Wir speichern Ihre Anfragedaten so lange, wie es zur Bearbeitung erforderlich ist. Anfragen, die nicht zu einem Vertragsverhältnis führen, werden spätestens nach 12 Monaten gelöscht. Sofern handels- oder steuerrechtliche Aufbewahrungspflichten bestehen, verlängert sich die Speicherdauer entsprechend.

Technischer Datenfluss

Zur Bearbeitung Ihrer Anfrage über das Kontaktformular setzen wir die in Abschnitt „Hosting und Drittanbieter" genannten Dienstleister ein: Vercel (Serverless-Route /api/contact) für das Routing, mailbox.org (Heinlein Support GmbH) für den E-Mail-Versand und HubSpot für die CRM-Verwaltung. Mit allen drei Dienstleistern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO.

Buchung eines Erstgesprächs

Für die Buchung eines kostenlosen Erstgesprächs nutzen wir ein Online-Buchungstool. Dabei werden Name, E-Mail-Adresse und der gewünschte Termin verarbeitet. Die Verarbeitung erfolgt zur Anbahnung eines Vertragsverhältnisses auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Der eingesetzte Anbieter wird hier nach Beauftragung konkret benannt. Es wird ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen, und der Anbieter verarbeitet Daten ausschließlich innerhalb der EU.

Newsletter

Sofern Sie unseren Newsletter abonnieren, verarbeiten wir Ihre E-Mail-Adresse sowie optional Ihren Namen, um Ihnen regelmäßig Informationen zu Kompetenzmanagement, Praxisorganisation und unseren Leistungen zuzusenden.

Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach der Anmeldung erhalten Sie eine Bestätigungs-E-Mail, in der Sie Ihre Anmeldung aktiv bestätigen müssen. Damit stellen wir sicher, dass nur Sie selbst sich für unseren Newsletter angemeldet haben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können den Newsletter jederzeit über den Abmeldelink in jeder Newsletter-E-Mail abbestellen oder sich an datenschutz@praxiskompetenz.org wenden.

Nutzung der PraxisKompetenz-Plattform

Im Rahmen unserer Beratungsleistung stellen wir Praxen unsere PraxisKompetenz-Plattform zur Verfügung. In diesem Kontext sind wir Auftragsverarbeiter der jeweiligen Praxis. Die Verantwortung für die in der Plattform verarbeiteten Mitarbeitendendaten liegt bei der jeweiligen Praxis als Verantwortliche im Sinne der DSGVO.

Die rechtliche Grundlage und die konkreten Pflichten regelt der zwischen PraxisKompetenz und der Praxis abgeschlossene Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO in der jeweils gültigen Version.

Rechtsgrundlage der Verarbeitung

Die Verantwortung für die Rechtsgrundlage der Datenverarbeitung in der PraxisKompetenz-Plattform liegt bei der jeweiligen Praxis. Für die Zusammenarbeit mit PraxisKompetenz gilt der Grundsatz:

• Primär: Einwilligung der betroffenen Mitarbeitenden nach Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung ist freiwillig und kann jederzeit widerrufen werden.
• Subsidiär: § 26 Abs. 1 BDSG für Stammdaten (Name, Berufsbezeichnung, Eintrittsdatum), die ohnehin im Rahmen des Beschäftigungsverhältnisses verarbeitet werden.

Ohne unterzeichnete Einwilligung wird kein Mitarbeiterprofil angelegt. Die Praxis stellt dies durch ihr Onboarding sicher; PraxisKompetenz dokumentiert die Einwilligung als Teil des AVV.

Im Rahmen der Plattform verarbeitete Datenkategorien

• Stammdaten von Mitarbeitenden (Name, Berufsbezeichnung, Eintrittsdatum) — werden bei Anlage eines Mitarbeiterprofils erfasst.
• Qualifikationen, Zertifikate und Weiterbildungen
• Kompetenzbewertungen und Entwicklungspläne
• Login- und Nutzungsdaten der Plattform (nur bei aktivem Nutzerkonto)
• Magic-Link-Sessions zur Schnellpfad-Selbstbewertung (Token-Hash, Status-Lifecycle, Sicherheits-Metadaten wie IP-Adresse und User-Agent) — nur wenn die Praxis dieses Verfahren nutzt; siehe Abschnitt unten
• Lifecycle-Events der Mitarbeitenden — Eintritts-, Onboarding-, Probezeit-, Austritts- und Exit-Gesprächs-Termine als zentrale Chronik der Beschäftigung
• Onboarding-Pläne mit Meilensteinen und Mentor-Zuordnung — strukturierte Einarbeitung mit datenbasierter Probezeit-Entscheidung
• Offboarding-Pläne mit Exit-Gesprächs-Antworten und Übergabe-Items — strukturierte Trennung mit Wissens-Sicherung; siehe Abschnitt „Mitarbeitenden-Lebenszyklus“ unten
• Generierte Dokumente Abschiedsgeschenk — Zeugnis-Entwurf zur Freigabe durch die Praxisleitung und persönlicher Kompetenznachweis als Datenportabilität nach Art. 20 DSGVO

Erfassung der Selbstbewertung per Magic-Link (Schnellpfad)

Mitarbeitende ohne eigenes Nutzerkonto können ihre Selbstbewertung alternativ über einen einmaligen Magic-Link auf dem Smartphone eingeben. Die Praxisleitung versendet den Link aus der Plattform an die hinterlegte E-Mail-Adresse der oder des Mitarbeitenden.

• Der Token zum Magic-Link wird ausschließlich als SHA-256-Hash in der Datenbank gespeichert. Der Klartext-Token erscheint einmalig in der versendeten E-Mail und wird nicht serverseitig gespeichert.
• Single-Use durch Status-Maschine (pending → started → completed | expired | revoked). Standard-Verfallsdatum 7 Tage, alternativ 3 oder 14 Tage je Versand konfigurierbar.
• Beim Aufruf des Links werden zur Sicherheits-Verifikation IP-Adresse, User-Agent und Device-Type protokolliert. Diese Sicherheits-Metadaten werden 30 Tage nach Abschluss oder Ablauf der Session automatisch gelöscht.
• Die erfassten Selbstbewertungen werden in dieselben Datentabellen geschrieben wie über den Login-Weg — die Rechtsgrundlagen sind identisch (§ 26 BDSG für Kompetenzbewertungen, Art. 6(1)a DSGVO für PraxisKompass-Top-5).
• Cookie pk_qa_sid mit den Attributen httpOnly, secure, sameSite=lax und path=/quick. Lifetime 8 Stunden, automatisches Löschen nach Abschluss.

Detaillierte Informationen zum Verfahren erhalten Mitarbeitende mit der Mitarbeitenden-Information ihrer Praxis (v1.18 oder neuer); Sub-Zweck 06-G im Verarbeitungsverzeichnis nach Art. 30 DSGVO.

Mitarbeitenden-Lebenszyklus

Mit dem Modul Mitarbeitenden-Lebenszyklus unterstützt die Plattform Praxen bei den drei wirtschaftlich gefährlichsten Übergangsmomenten: Einarbeitung neuer Personen (Onboarding), Trennung ausscheidender Personen (Offboarding mit Exit-Gespräch) und laufende Wissens-Risiko-Überwachung (Bus-Faktor-Dashboard).

Onboarding-Plan-Generator

Für neue Mitarbeitende wird ein strukturierter Einarbeitungsplan erzeugt, der aus Position und Soll-Profil konkrete Aktivitäten-Lernpfade ableitet. Standard-Meilensteine (Tag 1, Woche 1, Monat 1, Monat 3 Probezeit-Entscheidung, Monat 6) werden automatisch erzeugt. Die Plattform schlägt eine Mentor-Person vor, die Praxisleitung bestätigt oder wählt jemand anderen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO und § 26 BDSG. Für Auszubildende zusätzlich § 14 BBiG. Sub-Zweck 06-B im Verarbeitungsverzeichnis nach Art. 30 DSGVO.

Offboarding mit Exit-Gespräch

Bei einem Austritt führt die Praxisleitung mit der ausscheidenden Person ein strukturiertes Exit-Gespräch in drei Sektionen: Aktivitäten-Review (welche Aufgaben mache ich tatsächlich, welche nicht mehr), Kompetenz-Review (Selbsteinschätzung der zugehörigen Fähigkeiten) und Wissens-Hotspots (welche Aufgaben kann gerade nur ich). Korrekturen aus dem Exit-Gespräch fließen direkt in die Aktivitäts- und Kompetenz-Daten zurück. Eine strukturierte Übergabe-Liste plant den Wissens-Transfer an Kolleginnen und Kollegen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO und § 26 BDSG. Sub-Zweck 06-H im Verarbeitungsverzeichnis nach Art. 30 DSGVO.

Abschiedsgeschenk und Datenportabilität

Die ausscheidende Person erhält zwei Dokumente: einen Arbeitszeugnis-Entwurf, der von der Praxisleitung gegengelesen, ggf. angepasst und freigegeben wird (Rechtsgrundlage § 109 GewO und Art. 6 Abs. 1 lit. c DSGVO — die Plattform stellt den Entwurf als Service für die Praxisleitung bereit, die rechtliche Verantwortung für Inhalt und finalen Wortlaut bleibt bei der Praxisleitung), sowie einen persönlichen Kompetenznachweis. Der Kompetenznachweis erfüllt das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO und enthält Aktivitäten gegliedert nach Tätigkeitsfeldern, Selbst- und Fremdbewertung der Kompetenzen, formal nachgewiesene Qualifikationen und Anstellungsdauer.

Die ausscheidende Person sieht im eigenen Mitarbeitenden-Profil einen Bereich „Mein Kompetenznachweis“ und kann das Dokument einsehen und herunterladen. Die Erstellung erfolgt automatisch parallel zum Wissens-Capture, die Aushändigung auf Wunsch der ausscheidenden Person.

Bus-Faktor-Dashboard

Das Bus-Faktor-Dashboard visualisiert für die Praxisleitung Aktivitäten, die nur von einer einzigen Person beherrscht werden (Single Points of Failure). Es entstehen dabei keine neuen personenbezogenen Daten — das Dashboard aggregiert vorhandene Daten aus den oben aufgeführten Datenkategorien zu einer Risiko-Sicht.

Stellenprofil-Generator

Aus den verifizierten Daten der ausscheidenden Person und dem Soll-Profil der Position erzeugt die Plattform einen Stellenprofil-Vorschlag. Die Praxisleitung kann diesen Vorschlag im Editor anpassen — Aktivitäten hinzufügen oder abwählen, Kompetenz-Mindeststufen anpassen. Im Pilot-MVP enthält das Stellenprofil keinen Bewerber-Bezug; ein öffentliches Bewerber-Portal mit eigenem Datenschutz-Hinweis ist post-Pilot vorgesehen und wird zum gegebenen Zeitpunkt in dieser Datenschutzerklärung ergänzt.

Speicherdauer

Lifecycle-Events, Onboarding- und Offboarding-Pläne, Exit-Gespräch-Antworten, Übergabe-Items und generierte Dokumente werden für die Dauer des Beschäftigungsverhältnisses zuzüglich 10 Jahre aufbewahrt (§ 257 HGB Aufbewahrungspflicht plus Puffer für QM-Relevanz nach § 135a SGB V). Stellenprofil-Daten ohne Bewerber-Bezug werden bis zur Besetzung der Stelle plus 12 Monate aufbewahrt. Die ausscheidende Person erhält ihre Dokumente unmittelbar bei Austritt und ist für deren weitere Aufbewahrung selbst zuständig.

Keine automatisierte Entscheidung

Es gibt keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO. Der Zeugnis-Entwurf ist ein technischer Vorschlag, der zwingend von der Praxisleitung gegengelesen und freigegeben wird — keine automatische Versendung. Der Kompetenznachweis ist eine strukturierte Datenausgabe ohne wertende Komponente. Die Stellenprofil-Generierung ist ein Vorschlag, der von der Praxisleitung im Editor angepasst werden kann.

Technische Schutzmaßnahmen

• Hosting der PraxisKompetenz-Plattform ausschließlich in deutschen Rechenzentren in Frankfurt am Main (Vercel EU-Region Frankfurt, Supabase via AWS EMEA eu-central-1 Frankfurt). Keine Drittlandübermittlung, keine Datenhaltung außerhalb Deutschlands.
• Verschlüsselte Übertragung mit TLS 1.3
• Verpflichtende Zwei-Faktor-Authentifizierung (TOTP) für alle Nutzerkonten — ohne Ausnahme
• Strikte Mandantentrennung durch Row-Level-Security
• Tägliche, geo-redundante Backups

Eine ausführliche Übersicht finden Sie in unserem Trust Center.

Hosting und eingesetzte Drittanbieter

Unsere Website wird in Deutschland gehostet; die PraxisKompetenz-Plattform wird ausschließlich auf Servern in Frankfurt am Main betrieben. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO.

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/EWR findet — abgesehen von den für HubSpot geltenden Schutzgarantien nach dem EU-US Data Privacy Framework (DPF) und den Standardvertragsklauseln (SCC) — nicht statt.

Speicherdauer im Überblick

Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies für die in dieser Erklärung genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Ihre Rechte als betroffene Person

Sie haben gegenüber PraxisKompetenz jederzeit folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Sie können erfragen, welche Daten wir über Sie verarbeiten.
• Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten korrigieren lassen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
• Einschränkung (Art. 18 DSGVO): Sie können die Verarbeitung einschränken lassen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
• Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung jederzeit widersprechen.
• Widerruf (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit für die Zukunft widerrufen — ohne Angabe von Gründen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Nach Widerruf löschen wir Ihre Daten in der Plattform innerhalb von 30 Tagen.

Wenden Sie sich für die Ausübung Ihrer Rechte an: datenschutz@praxiskompetenz.org

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Zuständig für PraxisKompetenz ist:

Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Leistungen, die eingesetzten Dienstleister oder die rechtlichen Rahmenbedingungen ändern. Die aktuelle Version ist stets unter www.praxiskompetenz.org/datenschutz abrufbar. Das Datum der letzten Aktualisierung finden Sie im Kopf dieser Seite.