Datenschutzerklärung

1. Verantwortlicher

MPP Technologies GmbH i.Gr., Ahlbecker Str. 6, 10437 Berlin.
Kontakt: hallo@meinpraxispartner.de

Bei Pilot-Praxen ist die jeweilige Praxis Verantwortliche für die Verarbeitung ihrer Mitarbeiter- und Patient-Daten. MPP Technologies GmbH agiert als Auftragsverarbeiter (siehe AVV — Auftragsverarbeitungsvertrag).

2. Demo- und Pilot-Modus

Diese Plattform existiert in zwei Modi:

• Demo-Modus: öffentlich zugänglich. Alle gezeigten Patient-, Mitarbeiter- und Praxis-Daten sind erfundene Beispiel-Daten. Eingaben werden nicht in einer Datenbank gespeichert.
• Pilot-Modus: nur für authentifizierte Pilot-Praxen mit AVV. Echte Mitarbeiter-Daten, Schulungs-Status, Stempel-Daten und (optional) Patient-Anfragen werden verarbeitet.

3. Was wir verarbeiten

Im Pilot-Modus verarbeiten wir folgende Datenkategorien (Art. 6 / Art. 9 DSGVO):

• Mitarbeiter-Daten: Name, E-Mail, Rolle, Schulungs-Status (CME, KBV-QM-RL), Stempel-Daten (Arbeitszeit-Erfassung) — Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Patient-Anfragen-Daten: Name, Geburtsdatum, Krankenversicherung, Anliegen-Text — Art. 9 DSGVO Gesundheitsdaten — Rechtsgrundlage Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) — nur falls Patient-Anfragen-Modul von der Praxis aktiviert
• CIRS-Vorfälle: anonymisiert (Anonymity-Schutz technisch erzwungen) — KBV-QM-Pflicht
• Pulse-Antworten: anonymisiert, keine Rückführung auf Einzelpersonen
• Cookies: demo_mode (Demo-Rolle), praxis-os-tour-seen-v3 (Onboarding-Tour-Status), Session-Cookies (Auth)
• Lead-Form: Name + E-Mail + Praxis-Daten bei freiwilliger Anfrage
• Server-Logs: IP-Adresse + User-Agent (max. 7 Tage, Vercel)
• Error-Tracking (Sentry): technische Fehler werden mit DSGVO-konformem Filter erfasst. Body-Daten von PII-Endpoints (Patient-Anfragen, Personalakte, CIRS, Profil-Daten, Magic-Link-Token) werden niemals an Sentry übertragen.
• KI-Anfragen an Anthropic (Mara): Chat-Inhalte werden für die Antwort verarbeitet (DPA mit Zero-Retention)

4. Speicherdauer

• Mitarbeiter-Daten: bis Vertragsende + 6 Jahre (handelsrechtliche Aufbewahrungspflicht, § 257 HGB)
• Schulungs-Nachweise: 5 Jahre (KBV-QM-Richtlinie)
• CIRS-Vorfälle: 5 Jahre (§ 10 KBV-QM-RL)
• Patient-Anfragen: bis Anfrage-Abschluss + 30 Tage, dann Löschung (oder gemäß Aufbewahrungspflicht der Praxis)
• Audit-Logs: 6 Monate (Sicherheits-Logs)
• Server-Logs (Vercel): 7 Tage
• Sentry-Events: 90 Tage (Standard-Retention)
• Demo-Daten: nicht persistent — bei jeder Sitzung neu

5. Auftragsverarbeiter

• Vercel Inc. (Hosting EU-Region, Frankfurt) — DPA vorhanden
• Supabase Inc. (DB EU-Region, Frankfurt) — DPA vorhanden
• Anthropic PBC (KI — Mara) — DPA mit Zero-Retention vorhanden
• Resend.com (Email-Versand bei Lead-Form, Magic-Link) — DPA vorhanden
• AssemblyAI (Meeting-Transkription, nur bei aktivem Modul) — DPA vorhanden
• Sentry.io (Error-Tracking, EU-Region, mit PII-Filter) — DPA vorhanden

Der vollständige AVV mit allen technischen und organisatorischen Maßnahmen ist verfügbar unter /av-vertrag.

6. Rechte

Sie haben Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Anfragen bitte an die o.g. Email-Adresse.

7. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren — für Berlin: datenschutz-berlin.de.