Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten bei der Nutzung von DentalFinance.

1. Verantwortlicher

Abdulkareem Daada

DentalFinance

E-Mail (Datenschutz): datenschutz@dentalfinance.eu

2. Allgemeine Hinweise

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung von DentalFinance, zur Vertragserfüllung, zur IT-Sicherheit oder aufgrund gesetzlicher Pflichten erforderlich ist. Eine absolute Sicherheit der Datenübertragung im Internet kann nicht garantiert werden; wir setzen dennoch angemessene technische und organisatorische Schutzmaßnahmen ein.

3. Hosting

Website und Anwendung werden bei Hetzner Online GmbH gehostet. Der Anbieter stellt die Server-Infrastruktur bereit und liefert die Website technisch aus. Dabei können Verbindungs- und Server-Logdaten verarbeitet werden.

Für die Production-Umgebung ist ein Auftragsverarbeitungsvertrag (AVV) mit dem Hosting-Anbieter zu prüfen beziehungsweise abzuschließen, sofern dieser als Auftragsverarbeiter im Sinne der DSGVO einzustufen ist. Ob und in welchem Umfang ein AVV bereits besteht, ist projektspezifisch zu klären.

4. Server-Logdateien

Beim Aufruf der Website und Anwendung können technisch folgende Daten verarbeitet werden:

IP-Adresse
Datum und Uhrzeit der Anfrage
aufgerufene URL
HTTP-Methode
HTTP-Statuscode
Referrer, sofern vom Browser übermittelt
Browser- beziehungsweise User-Agent-Informationen
technische Fehler- und Diagnosedaten

Zwecke: sichere Bereitstellung, Fehleranalyse, Abwehr von Angriffen, Stabilität des Dienstes.

Speicherdauer: Die Dauer hängt von der Server-, Log- und Backup-Konfiguration der jeweiligen Umgebung ab. Konkrete Löschfristen sind in der Infrastruktur-Dokumentation festzulegen. Anwendungsinterne Logs (Laravel) werden standardmäßig dateibasiert geführt; die Aufbewahrung richtet sich nach Server- und Backup-Richtlinien.

5. Technisch notwendige Cookies und Sessions

Für Anmeldung, Sitzungsverwaltung und Schutz vor Cross-Site-Request-Forgery (CSRF) setzen wir technisch notwendige Mechanismen ein. Es werden keine Analyse-, Marketing- oder Tracking-Cookies durch die Anwendung selbst gesetzt.

Sitzungs-Cookie (Name: dentalfinance-session): Speichert die Sitzungskennung. Session-Treiber: database. Maximale Inaktivitätsdauer: 120 Minuten.
CSRF-Schutz: Formulare enthalten ein Synchronisierungs-Token zum Schutz vor unbefugten Anfragen.
XSRF-TOKEN-Cookie (optional, je nach Laravel-Konfiguration): kann vom Framework für CSRF-Schutz in AJAX-Kontexten gesetzt werden.

Die Anmeldeseite bietet derzeit kein „Angemeldet bleiben“-Feld. Ein technisches Remember-Token-Feld existiert in der Benutzertabelle, wird aber ohne entsprechende Nutzeraktion nicht gesetzt.

Ein Cookie-Banner ist für rein technisch notwendige Cookies in der Regel nicht erforderlich. Sollten später Analyse-, Marketing- oder Drittanbieter-Technologien eingebunden werden, ist die Datenschutzerklärung und gegebenenfalls eine Einwilligungslösung anzupassen.

6. Registrierung einer Praxis

Bei der öffentlichen Registrierung einer Praxis werden folgende Daten verarbeitet:

Praxisname
Praxiskürzel (Clinic Code)
Land
Währung
Zeitzone
Name des Praxisinhabers beziehungsweise Ansprechpartners
E-Mail-Adresse
Passwort (ausschließlich in gehashter Form gespeichert)
technische Metadaten (z. B. IP-Adresse und Zeitpunkt im Audit-Log bei Missbrauchserkennung)

Zweck: Anlage eines Mandantenkontos, Benutzerkonto und anschließende Konfiguration der Praxis.

7. Benutzerkonto und Anmeldung

Bei der Anmeldung und Nutzung eines Benutzerkontos verarbeiten wir insbesondere:

Name und E-Mail-Adresse
Passwort (gehasht; Laravel nutzt standardmäßig bcrypt)
Rolle innerhalb der Praxis (z. B. Admin, Accountant, Viewer)
Praxiszuordnung (clinic_id)
E-Mail-Verifikationsstatus
Sitzungsdaten zur Authentifizierung

Zu Sicherheitszwecken werden ausgewählte Ereignisse in Audit-Logs protokolliert, unter anderem erfolgreiche und fehlgeschlagene Anmeldungen, Sperrungen nach zu vielen Fehlversuchen, Abmeldungen sowie E-Mail-Verifikation. Dabei können IP-Adresse und User-Agent gespeichert werden.

Ein öffentlicher Self-Service-Passwort-Reset ist derzeit nicht implementiert. Administratoren können Passwörter von Benutzern innerhalb der Praxis zurücksetzen; solche Vorgänge werden protokolliert.

8. Praxis- und Konfigurationsdaten

Zur Bereitstellung der DentalFinance-Funktionen verarbeiten wir praxisbezogene Stammdaten und Konfigurationen, unter anderem:

Praxisinformationen (Name, Code, Land, Währung, Zeitzone, Status)
Ärzte und Provisionsmodelle
Behandlungen und Behandlungspreise
Labore und Laborkosten
Fixhonorare für Ärzte
interne Benutzer- und Rollenzuordnungen

Änderungen an sensiblen Konfigurationen können in Audit-Logs und im Konfigurations-Dashboard (Aktivitätsübersicht) nachvollziehbar sein.

9. Excel-Importe

Beim Import einer Excel-Datei (Daily Report) verarbeiten wir insbesondere:

Upload der Datei (.xlsx / .xlsm)
Dateiname und Berichtsmonat
Validierung und strukturierte Verarbeitung der Tabelleninhalte
Speicherung der extrahierten Arbeitszeilen, Zahlungen, Behandlungen und Laborkosten in der Datenbank
Importstatus, Warnungen und Extraktionsprotokolle (JSON)

Die hochgeladene Originaldatei wird nach erfolgreichem Import standardmäßig vom konfigurierten Speicher entfernt (ACCOUNTING_DELETE_UPLOAD_AFTER_IMPORT=true).

Bestimmungsgemäße Nutzung: DentalFinance ist für wirtschaftliche Praxisdaten vorgesehen, nicht für Patientenakten. Nutzer dürfen keine Namen, Kontaktdaten, Diagnosen oder sonstige unmittelbar identifizierende Patientendaten importieren, sofern dies nicht ausdrücklich als unterstützte Funktion vereinbart wurde. Eine technische Garantie, dass derartige Inhalte automatisch erkannt oder anonymisiert werden, besteht nicht.

10. Reports und Exporte

Folgende Auswertungs- und Exportfunktionen sind in der Anwendung implementiert:

Daily-Report-Editor zur manuellen Bearbeitung importierter Tageszeilen
Server-Income-Excel-Export (pro importiertem Monatsbericht)
Extraktionsprotokolle als JSON-Download
interne Finanz- und Konfigurationsauswertungen auf Basis importierter und konfigurierter Daten

Öffentliche KPI-Dashboards auf der Marketing-Landingpage sind visuelle Darstellungen und keine produktive Analytics-Funktion.

11. Mandantentrennung

Daten werden einer Praxis (Mandant) zugeordnet. Zugriffe auf Importe, Konfigurationen und Reports werden anhand von Benutzer- und Praxiszuordnungen begrenzt. Unterschiedliche Praxen sollen nicht auf die Daten anderer Praxen zugreifen können. Absolute Fehlerfreiheit kann technisch nicht zugesichert werden; die Mandantentrennung ist jedoch architektonisch vorgesehen und durch Tests abgesichert.

12. E-Mail-Kommunikation

Die Anwendung kann E-Mails versenden, insbesondere für:

E-Mail-Verifikation nach Registrierung
Erneutes Senden der Verifikations-E-Mail

Der tatsächlich verwendete Mail-Transport (z. B. SMTP, Log-Datei in Entwicklungsumgebungen) wird über die Umgebungskonfiguration (MAIL_MAILER) gesteuert. Welcher Anbieter in Production eingesetzt wird, ist projektspezifisch festzulegen und ggf. als Auftragsverarbeiter zu dokumentieren.

13. Kontaktaufnahme

Es ist kein Kontaktformular implementiert. Anfragen können per E-Mail gestellt werden an info@dentalfinance.eu. Dabei verarbeiten wir die mitgeteilten Angaben zur Bearbeitung der Anfrage.

14. Rechtsgrundlagen

Je nach Verarbeitungsvorgang kommen insbesondere folgende Rechtsgrundlagen in Betracht:

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung und vorvertragliche Maßnahmen (Registrierung, Bereitstellung des Kontos, Importe, Reports)
Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (IT-Sicherheit, Stabilität, Missbrauchsprävention, Protokollierung sicherheitsrelevanter Ereignisse)
Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtungen, soweit anwendbar
Art. 6 Abs. 1 lit. a DSGVO — Einwilligung, nur soweit tatsächlich eingeholt (derzeit nicht für technisch notwendige Cookies erforderlich)

15. Empfänger und Auftragsverarbeiter

Personenbezogene Daten können an folgende Kategorien von Empfängern übermittelt werden:

Hosting-Anbieter: Hetzner Online GmbH
E-Mail-Dienstleister, sofern in Production für den Mailversand konfiguriert
IT-Dienstleister und Administratoren im Rahmen des Betriebs und Supports

Es sind derzeit keine Analyse-, Marketing-, Monitoring- oder CDN-Dienste (z. B. Google Analytics, Meta Pixel, Hotjar, Sentry, Cloudflare) in den Anwendungsroutinen fest eingebunden. Änderungen daran erfordern eine Aktualisierung dieser Datenschutzerklärung.

16. Drittlandübermittlungen

Ob und in welchem Umfang Daten außerhalb der EU/des EWR verarbeitet werden, hängt von den tatsächlich gewählten Hosting-, Mail- und Backup-Anbietern ab. Eine pauschale Aussage ist ohne vertragliche und technische Prüfung der Production-Umgebung nicht möglich.

17. Speicherdauer

Die Speicherdauer richtet sich nach dem Verarbeitungszweck:

Benutzerkonten: für die Dauer des Vertrags beziehungsweise der Nutzung; Löschung nach Vertragsende oder auf Anfrage, soweit keine Aufbewahrungspflichten entgegenstehen
Praxis- und Konfigurationsdaten: solange die Praxis die Plattform nutzt
Importierte Auswertungsdaten: bis zur Löschung durch berechtigte Benutzer oder im Rahmen des Vertragsendes
Audit- und Sicherheitslogs: nach internen Lösch- beziehungsweise Archivierungskriterien; konkrete Fristen betrieblich festzulegen
Server-Logdateien: abhängig von Hosting- und Backup-Konfiguration
Temporäre Upload-Dateien: standardmäßig Löschung nach Import
Backups: gemäß Backup-Richtlinie des Betreibers; Löschung im Backup-Zyklus

18. Betroffenenrechte

Sie haben im Rahmen der gesetzlichen Vorgaben folgende Rechte:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO), soweit anwendbar
Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO), soweit relevant
Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO)

Die zuständige Datenschutzaufsichtsbehörde richtet sich nach dem Sitz des Verantwortlichen und ist über LEGAL_SUPERVISORY_AUTHORITY_NAME zu konfigurieren.

Anfragen zu Betroffenenrechten richten Sie bitte an datenschutz@dentalfinance.eu.

19. Pflicht zur Bereitstellung

Für Registrierung, Anmeldung und Nutzung der Plattform sind die in den Formularen als erforderlich gekennzeichneten Angaben notwendig. Ohne diese Daten kann kein Benutzerkonto angelegt, keine Praxis konfiguriert und kein Import durchgeführt werden.

20. Automatisierte Entscheidungen

Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Berechnungen, Excel-Auswertungen und Reports dienen der wirtschaftlichen Auswertung und stellen keine rechtlich bindenden automatisierten Entscheidungen gegenüber natürlichen Personen dar.

21. Aktualität

Stand: Juni 2026