Datenschutz und IT-Sicherheit sind kein Anhang unserer Leistung — sie sind ihr Fundament. Hier erfahren Sie transparent, wie wir die Mitarbeitendendaten Ihrer Praxis schützen.
Drei Grundsätze, an denen wir jede technische und organisatorische Entscheidung messen.
Wir erheben ausschließlich Daten, die für die Beratungsleistung zwingend erforderlich sind. Keine Patientendaten, keine Tracking-Profile, keine Werbung.
Verschlüsselung, Mandantentrennung und Zugriffskontrollen sind im Architekturfundament der PraxisKompetenz-Plattform verankert — nicht nachträglich aufgesetzt.
Jede Praxis bleibt jederzeit Eigentümerin ihrer Daten. Vollständiger Export auf Knopfdruck, garantierte Löschung 30 Tage nach Vertragsende. Beim Praxiswechsel erhalten Mitarbeitende automatisch einen strukturierten Kompetenznachweis als Erfüllung des Rechts auf Datenübertragbarkeit nach Art. 20 DSGVO — Portabilität ist bei uns Service, nicht nur Pflicht.
Manche Zusagen sind im Gesundheitswesen wichtiger als jede Funktion. Diese vier gelten ausnahmslos.
Zehn technische und organisatorische Maßnahmen nach Art. 32 DSGVO — ohne Fachchinesisch erklärt.
Plattform-Daten liegen ausschließlich in Frankfurt am Main (Vercel EU-Region Frankfurt + Supabase AWS eu-central-1). Die Website wird bei IONOS in Deutschland gehostet. Kein Datentransfer in Drittländer, keine Schrems-II-Risiken.
EU/DE onlyTLS 1.3 für jede Verbindung, AES-256 für gespeicherte Daten und Backups. HSTS erzwingt sichere Verbindungen ausnahmslos.
TLS 1.3 · AES-2562FA via TOTP (Authenticator-App) ist für jeden Zugang verpflichtend — ohne Ausnahme. Passwörter werden mit Bcrypt gehasht.
2FA · PflichtInaktive Sitzungen werden nach 30 Minuten automatisch beendet — angelehnt an die Empfehlung des BSI. Schutz vor unbefugtem Zugriff am offenen Praxis-Tresen.
30 Min · BSI-orientiertRow-Level-Security in der Datenbank stellt sicher, dass keine Praxis jemals Daten einer anderen Praxis sehen kann — auch nicht versehentlich.
RLS · Multi-TenantJede Person sieht nur das, was sie für ihre Aufgabe braucht. Praxisleitung, Beratende und Mitarbeitende haben klar getrennte Rechte — dreifach durchgesetzt in Datenbank, Oberfläche und Navigation.
RBACAutomatisierte, geo-redundante Sicherungen mit sieben Tagen Aufbewahrung. Im Notfall sind Ihre Daten innerhalb weniger Stunden wiederherstellbar; Point-in-Time-Recovery ist bei Bedarf aktivierbar.
Täglich · 7 Tage · Geo-redundantSicherheitsrelevante Ereignisse werden manipulationssicher protokolliert. Wer hat wann was geändert — jederzeit nachvollziehbar.
Vollständig protokolliertSpätestens 30 Tage nach Ende der aktiven Vertragsbeziehung oder nach Einwilligungswiderruf werden alle Daten vollständig gelöscht. Sie erhalten eine schriftliche Löschbestätigung.
30 Tage · bestätigtMitarbeitende ohne Login können ihre Selbstbewertung mobil per einmaligem Magic-Link abgeben. Tokens liegen nur als SHA-256-Hash in der Datenbank, sind Single-Use, verfallen nach 7 Tagen und werden bei Mail-Fehler automatisch revoziert. Sicherheits-Metadaten werden 30 Tage nach Abschluss gelöscht; die Praxisleitung kann sich keinen Magic-Link an die eigene Adresse senden.
Token-Hash · Single-Use · Self-Send-SperreStrukturierte Übersicht über das Mitarbeitenden-Profil. Vollständige Konkretisierung in Anlage 1 zum Auftragsverarbeitungsvertrag (AVV v2.14 + Anlagen v2.14).
Was wir nicht verarbeiten: Patientendaten · Diagnosen oder AU-Schein-Inhalte · politische, religiöse oder weltanschauliche Einstellungen · Gewerkschaftszugehörigkeit · private Lebensumstände (außer arbeitsrechtlich relevant, z. B. Elternzeit) · Tracking-Profile zu Werbezwecken.
Automatisierte Entscheidungen: keine im Sinne von Art. 22 DSGVO. Eignungsscores und Auto-Vorschläge sind reine Entscheidungs-Hilfen für die Praxisleitung — jede Zuordnung und jede Entwicklungsmaßnahme wird manuell geprüft und gespeichert.
Die DSGVO ist kein bürokratisches Hindernis, sondern ein Schutzversprechen. So setzen wir es um.
Datenschutz kostet Praxen sonst Zeit und Nerven. Bei uns bekommen Sie die wichtigsten Unterlagen anwaltlich vorgeprüft und unterschriftsfertig.
Auftragsverarbeitungsvertrag in der aktuellen Fassung — Sie unterzeichnen, statt selbst zu formulieren.
Für Kompetenzbewertung, Pre-Konsens-Review und Stärken-Profil — vorgeprüft, Sie unterzeichnen.
Die plattformbezogenen Verfahren liefern wir vorformuliert für Ihr eigenes Verzeichnis.
Transparente Vorlage zur Information Ihres Teams über die Datenverarbeitung — fertig zum Aushändigen.
Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Diese Liste bildet den aktuellen Stand ab — Änderungen werden 30 Tage vorab angekündigt.
| Dienstleister | Zweck | Standort | Rechtsgrundlage |
|---|---|---|---|
| IONOS SE | Hosting der Marketing-Website | Rechenzentrum Deutschland | AVV nach Art. 28 DSGVO. Sitz im EWR — keine Drittland-Konstellation. |
| Vercel Inc. | Plattform-Frontend und Serverless-Route /api/contact für das Kontaktformular | EU-Region Frankfurt am Main | AVV nach Art. 28 DSGVO (DPA), Standardvertragsklauseln nach Beschluss (EU) 2021/914, zusätzliche TOM, dokumentierte TIA. |
| Supabase Inc. (via AWS EMEA) | Hosting und Datenbank (PostgreSQL) der PraxisKompetenz-Plattform | AWS eu-central-1, Frankfurt am Main | AVV nach Art. 28 DSGVO (DPA), Standardvertragsklauseln nach Beschluss (EU) 2021/914, zusätzliche TOM, dokumentierte TIA. |
| mailbox.org / Heinlein Support GmbH | Versand und Empfang von Transaktions-, Benachrichtigungs- und Kontaktformular-E-Mails | Berlin, Deutschland | AVV nach Art. 28 DSGVO. Sitz im EWR — keine Drittland-Konstellation. |
Keine Drittlandübermittlung. Alle Plattform-Daten werden ausschließlich in deutschen Rechenzentren in Frankfurt am Main verarbeitet. Vercel und Supabase sind US-Gesellschaften; für die konzern- und US-rechtliche Restkonstellation greifen Standardvertragsklauseln, technische Schutzmaßnahmen (AES-256, TLS 1.3, RBAC + RLS) und eine dokumentierte Transfer Impact Assessment.
Personalwechsel ist in Arztpraxen der wirtschaftlich teuerste Moment. Wir behandeln ihn nicht als Bruchstelle, sondern als methodischen Übergang.
Neue Mitarbeitende bekommen einen automatisch erzeugten Onboarding-Plan mit Meilensteinen, Mentor-Vorschlag und einer datenbasierten Probezeit-Entscheidung nach drei Monaten. Kein Bauchgefühl, kein verlorenes Wissen.
Bei jedem Austritt führt die Praxisleitung ein strukturiertes Exit-Gespräch als Quality-Gate, das die Lücke zwischen Datenbank und tatsächlichem Aufgabenprofil korrigiert. Die Übergabe-Liste plant den Wissens-Transfer.
Ausscheidende Personen erhalten zwei Dokumente: einen vorbereiteten Arbeitszeugnis-Entwurf zur Freigabe und einen persönlichen Kompetenznachweis als Karriere-Asset. Letzterer erfüllt zugleich das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO.
Win-Win in Methode: Wer weiß, dass ein wertvolles Karriere-Dokument auf sie wartet, ist im Exit-Gespräch und bei der Wissens-Sicherung deutlich kooperativer. Die Praxis bekommt strukturierten Wissens-Transfer, die Person ein Dokument mit echtem Wert. Ehemalige Mitarbeitende werden zu Multiplikatoren statt zu enttäuschten Ex-Kolleginnen und -Kollegen.
Wir sind für jeden Hinweis dankbar, der uns hilft, eine Sicherheitslücke zu schließen, bevor sie Schaden anrichten kann.
security@praxiskompetenz.org
Bevorzugte Sprachen: Deutsch, Englisch. Verschlüsselte Meldung per PGP auf Wunsch möglich.
Bestätigung des Eingangs binnen 72 Stunden, Erstbewertung binnen 7 Tagen, regelmäßige Status-Updates bis zur Behebung.
Keine rechtlichen Schritte gegen Meldungen in gutem Glauben, solange Vertraulichkeit gewahrt und keine Daten exfiltriert oder manipuliert werden.
Transparenz braucht Belege. Hier finden Sie die relevanten Dokumente — kompakt, geprüft und immer auf dem aktuellen Stand.
DSGVO und IT-Sicherheit auf einer Seite — die Kurzfassung für Ihre Unterlagen.
Per E-Mail anfragen →Auftragsverarbeitungsvertrag nach Art. 28 DSGVO in der aktuellen Fassung — fertig zur Unterschrift.
Per E-Mail anfragen →Vollständige Datenschutzhinweise zur Nutzung von praxiskompetenz.org und der Plattform.
Online ansehen →Vorausgefüllte Abwägung nach Art. 6 Abs. 1 lit. f DSGVO — anwaltlich vorgeprüft, Praxis unterzeichnet.
Per E-Mail anfragen →Strukturierte Begleitung von Vertragsschluss bis Pilot-Live — 36 Punkte in fünf Phasen.
Per E-Mail anfragen →Unsere vollständige Richtlinie für Sicherheitsforschende inklusive Safe-Harbor-Zusage.
Online ansehen →Wir antworten persönlich — meist innerhalb eines Werktags. Ohne Ticket-System, ohne Warteschleife.
Auskunft, AVV, Verarbeitungsverzeichnis, Betroffenenrechte.
datenschutz@praxiskompetenz.org