Zum Inhalt springen
Zurück zur Startseite

Datenschutzerklärung für QPilotX

Datenschutzerklärung für QPilotX

Stand: 30. November 2025

1. Verantwortlicher und Kontakt

1.1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

Breubeer.de
Goedekestr. 4
29221 Celle
Deutschland

Kontakt:

  • E-Mail: [Ihre E-Mail-Adresse]
  • Telefon: [Ihre Telefonnummer]

1.2 Datenschutzbeauftragter

Soweit gesetzlich erforderlich, können Sie unseren Datenschutzbeauftragten unter [E-Mail-Adresse des Datenschutzbeauftragten] kontaktieren.

2. Allgemeine Hinweise zur Datenverarbeitung

2.1 Umfang der Datenerhebung

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung von personenbezogenen Daten im Rahmen der Nutzung unserer Software-as-a-Service-Plattform QPilotX.

2.2 Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Die maßgeblichen Rechtsgrundlagen sind:

  • Art. 6 Abs. 1 lit. b DSGVO: Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen
  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung der betroffenen Person
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen des Verantwortlichen
  • Art. 9 Abs. 2 lit. h DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten) im Rahmen der Gesundheitsversorgung

2.3 Besondere Kategorien personenbezogener Daten

QPilotX verarbeitet im Rahmen der Nutzung durch Arztpraxen und medizinische Einrichtungen auch besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (Gesundheitsdaten). Diese Verarbeitung erfolgt auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) und Art. 9 Abs. 2 lit. c DSGVO (öffentliche Gesundheit).

3. Erhebung und Speicherung personenbezogener Daten

3.1 Datenkategorien

3.1.1 Registrierungs- und Kontodaten

Bei der Registrierung und Nutzung von QPilotX erheben und verarbeiten wir folgende Daten:

  • Kontaktdaten: Name, E-Mail-Adresse, Telefonnummer, Adresse
  • Organisationsdaten: Name der Praxis/MVZ, Anschrift, Steuernummer, Umsatzsteuer-ID
  • Authentifizierungsdaten: Passwort (verschlüsselt gespeichert), Session-Tokens
  • Nutzungsdaten: Login-Zeiten, IP-Adressen, Browser-Informationen, Geräteinformationen

3.1.2 Medizinische und Compliance-Daten

Im Rahmen der Nutzung der Plattform können folgende Daten erfasst werden:

  • Patientendaten: Soweit diese im Rahmen von Compliance-Dokumentationen erfasst werden
  • Mitarbeiterdaten: Personalstammdaten, Qualifikationen, Schulungsnachweise
  • Gerätedaten: Informationen über medizinische Geräte und deren Wartung
  • Compliance-Daten: SOPs, Checklisten, CIRS-Meldungen, IT-Sicherheitsnachweise
  • Dokumente: Hochgeladene Dokumente, Verträge, Zertifikate, Nachweise

3.1.3 Zahlungsdaten

Für die Abrechnung erheben wir:

  • Rechnungsdaten: Rechnungsadresse, Zahlungsinformationen
  • Zahlungsdaten: Werden über den Zahlungsdienstleister Stripe verarbeitet (siehe Abschnitt 5.2)

Wichtig: Kreditkartendaten werden nicht direkt von uns gespeichert, sondern ausschließlich über Stripe verarbeitet.

3.2 Zwecke der Datenverarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

  1. Vertragserfüllung: Bereitstellung und Betrieb der QPilotX-Plattform
  2. Authentifizierung: Sicherstellung des Zugangs und der Berechtigungen
  3. Abrechnung: Erstellung von Rechnungen und Abwicklung von Zahlungen
  4. Support: Bearbeitung von Anfragen und technischer Support
  5. Compliance: Unterstützung bei der Einhaltung medizinischer und rechtlicher Anforderungen
  6. Sicherheit: Gewährleistung der Sicherheit und Integrität der Plattform
  7. Rechtliche Verpflichtungen: Erfüllung gesetzlicher Aufbewahrungspflichten

3.3 Speicherdauer

3.3.1 Vertragsdaten

Vertragsdaten werden für die Dauer des Vertragsverhältnisses und darüber hinaus gemäß gesetzlichen Aufbewahrungspflichten (in der Regel 10 Jahre nach Vertragsende) gespeichert.

3.3.2 Nutzungsdaten

Nutzungsdaten werden für die Dauer der Vertragslaufzeit gespeichert und danach gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

3.3.3 Compliance-Daten

Compliance-Daten (SOPs, Checklisten, Nachweise) werden entsprechend den gesetzlichen Aufbewahrungsfristen für medizinische Dokumentation gespeichert (in der Regel mindestens 10 Jahre).

3.3.4 Löschung nach Vertragsende

Nach Beendigung des Vertrages werden die Daten des Kunden nach einer Übergangsfrist von 30 Tagen gelöscht, sofern der Kunde nicht vorher die Daten exportiert hat. Der Kunde kann seine Daten jederzeit über die Plattform exportieren.

4. Technische und organisatorische Maßnahmen (TOM)

4.1 Sicherheitsmaßnahmen

Wir setzen umfassende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

4.1.1 Verschlüsselung

  • Übertragung: Alle Datenübertragungen erfolgen über verschlüsselte Verbindungen (TLS 1.3/SSL)
  • Speicherung: Vertragsdaten und sensible Informationen werden verschlüsselt gespeichert
  • Datenbank: Verschlüsselung auf Datenbankebene (Transparent Data Encryption)

4.1.2 Zugriffskontrolle

  • Authentifizierung: Mehrfaktor-Authentifizierung (MFA) verfügbar
  • Autorisierung: Rollenbasierte Zugriffskontrolle (RBAC) mit feingranularen Berechtigungen
  • Multi-Tenant-Isolation: Technische Isolation der Daten verschiedener Mandanten (Row Level Security)
  • Audit-Logging: Protokollierung aller Zugriffe auf sensible Daten

4.1.3 Netzwerksicherheit

  • Firewall: Mehrschichtige Firewall-Systeme
  • DDoS-Schutz: Schutz vor Distributed Denial of Service Angriffen
  • Intrusion Detection: Überwachung auf unberechtigte Zugriffsversuche

4.1.4 Datensicherung

  • Regelmäßige Backups: Tägliche automatische Backups
  • Geografische Redundanz: Backups werden an verschiedenen Standorten gespeichert
  • Wiederherstellungstests: Regelmäßige Tests der Backup-Wiederherstellung

4.2 Security by Design

Die Software wurde nach dem Prinzip "Security by Design" entwickelt:

  • KI-Audit: Die Software wurde durch eine KI (Open EA, Codex 5.1 High) auf Sicherheitsschwachstellen geprüft
  • Code-Review: Regelmäßige Sicherheitsüberprüfungen des Quellcodes
  • Penetration Testing: Regelmäßige Sicherheitstests durch externe Experten
  • Vulnerability Management: Kontinuierliche Überwachung und Behebung von Sicherheitslücken

4.3 Serverstandorte und Hosting

4.1.1 Serverstandorte

Die Daten werden auf Servern in folgenden Standorten gespeichert:

  • Deutschland: Primärer Standort für Datenverarbeitung
  • Helsinki, Finnland: Sekundärer Standort für Hochverfügbarkeit und Backups

Beide Standorte befinden sich innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR), wodurch ein hohes Datenschutzniveau gemäß DSGVO gewährleistet ist.

4.1.2 Hosting-Partner

Die Server-Infrastruktur wird von Hetzner Online GmbH (Deutschland) bereitgestellt. Hetzner ist ein in Deutschland ansässiger Hosting-Provider, der die DSGVO-Anforderungen erfüllt.

4.1.3 Auftragsverarbeitung

Mit Hetzner wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen, der sicherstellt, dass alle datenschutzrechtlichen Anforderungen eingehalten werden.

5. Weitergabe von Daten an Dritte

5.1 Grundsatz

Wir geben Ihre personenbezogenen Daten grundsätzlich nicht an Dritte weiter, es sei denn:

  • Sie haben ausdrücklich eingewilligt
  • Die Weitergabe ist zur Erfüllung des Vertrages erforderlich
  • Die Weitergabe ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
  • Die Weitergabe erfolgt an Auftragsverarbeiter gemäß Art. 28 DSGVO

5.2 Zahlungsdienstleister: Stripe

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd. (Irland).

Übermittelte Daten:

  • Rechnungsdaten (Name, Adresse, Rechnungsbetrag)
  • Zahlungsinformationen (werden direkt an Stripe übermittelt, nicht von uns gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzerklärung Stripe: https://stripe.com/de/privacy

Auftragsverarbeitung: Mit Stripe wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.

5.3 Backend-Infrastruktur: Supabase

Wir nutzen Supabase (Supabase Inc., USA) als Backend-Infrastruktur. Die Daten werden jedoch ausschließlich auf Servern in der EU/EWR gespeichert.

Übermittelte Daten:

  • Alle in der Plattform erfassten Daten (siehe Abschnitt 3.1)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzerklärung Supabase: https://supabase.com/privacy

Auftragsverarbeitung: Mit Supabase wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen. Die Datenverarbeitung erfolgt ausschließlich in der EU/EWR.

5.4 E-Mail-Versand

Für den Versand von E-Mails (z.B. Benachrichtigungen, Rechnungen) nutzen wir E-Mail-Dienstleister, die in der EU/EWR ansässig sind.

Übermittelte Daten:

  • E-Mail-Adressen der Empfänger
  • E-Mail-Inhalte

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Auftragsverarbeitung: Mit den E-Mail-Dienstleistern wurden Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.

5.5 KI-Integration (optional)

Einige Funktionen von QPilotX können optional KI-Dienste nutzen. Diese werden nur verwendet, wenn der Kunde dies aktiviert und entsprechende API-Schlüssel konfiguriert hat.

Mögliche KI-Anbieter:

  • OpenAI (USA) - nur bei aktivierter Integration
  • Microsoft Azure OpenAI (EU/Deutschland) - bevorzugt für EU-Kunden
  • Anthropic (USA) - nur bei aktivierter Integration

Übermittelte Daten:

  • Nur die für die KI-Verarbeitung erforderlichen Daten (z.B. Dokumententexte)
  • Wichtig: Sensible medizinische Daten werden vor der Übermittlung anonymisiert oder pseudonymisiert

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) - Die Nutzung erfolgt nur nach ausdrücklicher Aktivierung durch den Kunden

Datenschutzerklärungen:

Hinweis: Bei Nutzung von KI-Diensten außerhalb der EU/EWR erfolgt die Datenübermittlung auf Grundlage von Standardvertragsklauseln gemäß Art. 46 DSGVO.

5.6 Weitere Dienstleister

Weitere Dienstleister können im Rahmen der Auftragsverarbeitung eingesetzt werden:

  • Monitoring und Logging: Für die Überwachung der Systemverfügbarkeit
  • Backup-Dienstleister: Für die Speicherung von Backups

Mit allen Dienstleistern wurden Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.

6. Cookies und ähnliche Technologien

6.1 Cookies

Wir verwenden Cookies, die für die Funktionalität der Plattform erforderlich sind:

6.1.1 Technisch notwendige Cookies

Diese Cookies sind für die Funktion der Plattform unerlässlich:

  • Session-Cookies: Zur Aufrechterhaltung der Benutzersitzung
  • Authentifizierungs-Cookies: Zur Speicherung der Login-Informationen
  • Sicherheits-Cookies: Zur Erkennung von Sicherheitsbedrohungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Funktionsfähigkeit der Plattform)

Speicherdauer: Session-Cookies werden beim Schließen des Browsers gelöscht. Persistente Cookies werden nach maximal 30 Tagen gelöscht.

6.1.2 Analyse-Cookies

Wir verwenden derzeit keine Analyse-Cookies oder Tracking-Tools wie Google Analytics.

6.2 Local Storage

Wir nutzen den Local Storage des Browsers für:

  • Temporäre Einstellungen: Benutzereinstellungen (z.B. Sprache, Theme)
  • Token-Speicherung: Temporäre Speicherung von Zugriffstoken (z.B. für externe CIRS-Einreichungen)

Hinweis: Diese Daten werden lokal im Browser gespeichert und nicht an Server übertragen, es sei denn, dies ist für die Funktionalität erforderlich.

6.3 Cookie-Einstellungen

Sie können Cookies in Ihren Browser-Einstellungen deaktivieren. Bitte beachten Sie, dass dies die Funktionalität der Plattform beeinträchtigen kann.

7. Ihre Rechte als Betroffener

Nach der DSGVO stehen Ihnen folgende Rechte zu:

7.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten.

7.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

7.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

7.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.

Hinweis: QPilotX bietet eine Export-Funktion, über die Sie Ihre Daten jederzeit exportieren können.

7.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, wenn die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) erfolgt.

7.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Wenn die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

7.8 Automatisierte Entscheidungsfindung

Wir verwenden keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, die rechtliche Wirkung entfaltet oder Sie erheblich beeinträchtigt.

7.9 Ausübung Ihrer Rechte

Um Ihre Rechte auszuüben, können Sie uns kontaktieren unter:

E-Mail: [Ihre E-Mail-Adresse]
Post: Breubeer.de, Goedekestr. 4, 29221 Celle

Bitte geben Sie bei Ihrer Anfrage an, welche Daten betroffen sind und welches Recht Sie ausüben möchten.

8. Beschwerderecht

8.1 Aufsichtsbehörde

Sie haben das Recht, sich bei einer Aufsichtsbehörde für Datenschutz zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

8.2 Zuständige Aufsichtsbehörde

Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Deutschland

Telefon: +49 511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Website: https://lfd.niedersachsen.de

9. Datenschutz-Folgenabschätzung (DSFA)

9.1 Durchführung einer DSFA

Aufgrund der Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten) haben wir eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt.

9.2 Risikominimierung

Die identifizierten Risiken wurden durch die in Abschnitt 4 beschriebenen technischen und organisatorischen Maßnahmen minimiert.

10. Auftragsverarbeitung

10.1 Verträge zur Auftragsverarbeitung

Mit allen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, haben wir Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.

10.2 Kontrolle der Auftragsverarbeiter

Wir kontrollieren regelmäßig, dass unsere Auftragsverarbeiter die datenschutzrechtlichen Anforderungen einhalten.

11. Datenübermittlung in Drittländer

11.1 Grundsatz

Wir verarbeiten personenbezogene Daten grundsätzlich innerhalb der EU/EWR. Eine Übermittlung in Drittländer erfolgt nur, wenn:

  • Die Europäische Kommission ein Angemessenheitsbeschluss für das betreffende Land erlassen hat (Art. 45 DSGVO), oder
  • Angemessene Garantien gemäß Art. 46 DSGVO bestehen (z.B. Standardvertragsklauseln)

11.2 Mögliche Drittländerübermittlungen

11.2.1 Stripe (USA)

Bei Nutzung von Stripe können Daten in die USA übermittelt werden. Stripe nutzt Standardvertragsklauseln gemäß Art. 46 DSGVO.

11.2.2 KI-Dienste (optional)

Bei aktivierter KI-Integration können Daten an KI-Anbieter in den USA übermittelt werden. Dies erfolgt nur nach ausdrücklicher Aktivierung durch den Kunden und auf Grundlage von Standardvertragsklauseln.

Empfehlung: Für maximale Datenschutz-Compliance sollten EU-basierte KI-Dienste (z.B. Azure OpenAI in der EU) bevorzugt werden.

12. Änderungen dieser Datenschutzerklärung

12.1 Aktualisierungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienstleistungen anzupassen.

12.2 Benachrichtigung

Über wesentliche Änderungen werden wir Sie rechtzeitig informieren, in der Regel per E-Mail oder über die Plattform.

12.3 Aktuelle Version

Die aktuelle Version dieser Datenschutzerklärung finden Sie stets auf unserer Website und in der QPilotX-Plattform.

13. Besondere Hinweise für medizinische Einrichtungen

13.1 Ärztliche Schweigepflicht

Wir sind uns der besonderen Verantwortung bei der Verarbeitung medizinischer Daten bewusst und respektieren die ärztliche Schweigepflicht. Alle Mitarbeiter, die Zugriff auf Daten haben, sind zur Verschwiegenheit verpflichtet.

13.2 Compliance-Unterstützung

QPilotX unterstützt Sie bei der Einhaltung medizinischer Compliance-Anforderungen (GKV, KV, G-BA). Die Plattform selbst ersetzt jedoch nicht Ihre eigene Verantwortung für die Einhaltung aller rechtlichen Anforderungen.

13.3 Datenminimierung

Wir verarbeiten nur die Daten, die für die Erbringung der Dienstleistung erforderlich sind. Über die Erfassung von Patientendaten entscheiden Sie als medizinische Einrichtung selbst.

14. Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte können Sie uns jederzeit kontaktieren:

Breubeer.de
Goedekestr. 4
29221 Celle
Deutschland

E-Mail: datenschutz@breubeer.de

Ende der Datenschutzerklärung