Version: 1.4
Datum: 2026-02-15
VERARBEITUNGSVERZEICHNIS
gemäß Art. 30 DSGVO
Verantwortlicher: Zahnarztpraxis am Württemberg
================================================================================
VERARBEITUNGSTÄTIGKEIT: PATIENTEN-FEEDBACK-MANAGEMENT
1. ZWECKE DER VERARBEITUNG
– Versand von Feedback-Einladungen per E-Mail nach Behandlungsabschluss
– Erfassung von Bewertungen und optionalen Kommentaren
– Interne Auswertung zur Qualitätsverbesserung der Praxis
– Rechtliche Bewertung, Auswahl und Dokumentation der Rechtsgrundlagen sowie
Information der Betroffenen erfolgt durch den Verantwortlichen (Praxis)
2. KATEGORIEN BETROFFENER PERSONEN
– Patienten der Praxis
3. KATEGORIEN PERSONENBEZOGENER DATEN
Stammdaten:
– E-Mail-Adresse (verschlüsselt gespeichert)
– Vor- und Nachname (optional, verschlüsselt gespeichert)
Termin-/Behandlungsbezug:
– Behandlungsart (optional; verschlüsselt gespeichert)
– Einwilligungs- und Statusinformationen aus CSV-Importen werden zur
Versandprüfung verarbeitet (kein dauerhafter Patientenstammdatensatz)
Feedbackdaten:
– Bewertung (Score 1-10)
– Optionaler Kommentar
– Zeitstempel (Versand, Bewertung, Kommentar, Opt-out)
Technische Zuordnungsdaten:
– tokenHash (SHA-256), tenantId, patientId, Ablauf- und Verbrauchsstatus des Links
4. KATEGORIEN VON EMPFÄNGERN
Auftragsverarbeiter:
– Patient Feedback Service (Dienstanbieter)
– Vertragsgrundlage: AVV gemäß Art. 28 DSGVO
Unterauftragsverarbeiter:
– Hosting-Provider Hetzner (Serverstandort Deutschland)
Weitere Empfänger im Versandkontext:
– Vom Verantwortlichen konfigurierter SMTP-Dienst für E-Mail-Zustellung
5. ÜBERMITTLUNG IN DRITTLÄNDER
Primärer Serverstandort: Deutschland.
Eine Drittlandübermittlung hängt vom durch die Praxis konfigurierten
SMTP-Anbieter ab und liegt in der Verantwortung des Verantwortlichen.
6. FRISTEN FÜR DIE LÖSCHUNG
– Patientenstammdaten (Collection „patients“): Speicherung bis Löschung
auf Weisung der Praxis (z. B. Betroffenenanfrage)
– Feedback-Anfragen (Collection „feedbackRequests“): technische
Aufbewahrungsregel mit TTL von bis zu 730 Tagen (wo anwendbar, nach
aktuellem Stand des Dienstes),
zusätzlich anlassbezogene Löschung auf Weisung der Praxis
– Opt-out/Blacklist (Collection „blacklist“): Speicherung bis zur
expliziten Entfernung, damit Widersprüche eingehalten werden können
– Audit-Daten (Collection „auditEvents“): Speicherung zur Nachvollziehbarkeit
sicherheits- und datenschutzrelevanter Aktionen; derzeit ohne automatische
TTL-Löschung, mit anlassbezogener Bereinigung unter Berücksichtigung von
Nachweis- und Verteidigungszwecken
7. RECHTSGRUNDLAGE
Die konkrete rechtliche Bewertung, Auswahl und Dokumentation der jeweils
einschlägigen Rechtsgrundlagen erfolgt durch den Verantwortlichen (Praxis).
Je nach Ausgestaltung des Einladungsprozesses kommen insbesondere in Betracht:
– Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
– Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse nach dokumentierter
Interessenabwägung)
– bei Gesundheitsdaten zusätzlich eine Ausnahme nach Art. 9 Abs. 2 DSGVO
(z. B. lit. a oder lit. h)
Der Auftragsverarbeiter trifft keine eigenständige Festlegung der
Rechtsgrundlagen.
8. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOM)
a) Zutrittskontrolle
– Serverraum-Zugang gesichert (Hosting-Provider, Standort Deutschland)
b) Zugangskontrolle
– Passwortlose Admin-Anmeldung per Einmalcode (E-Mail) und Session
– Session-basierte Authentifizierung
c) Zugriffskontrolle
– Rollenbasierte Berechtigungen
– Logische Mandantentrennung (tenantId)
– Nur autorisierte Praxis-Admins können eigene Daten einsehen
d) Weitergabekontrolle
– TLS-Verschlüsselung für Datenübertragung (HTTPS)
– Verschlüsselte SMTP-Credentials
e) Eingabekontrolle
– Audit-Logging zentraler sicherheits- und datenschutzrelevanter Aktionen
– Nachvollziehbarkeit von Datenzugriffen und -änderungen im Rahmen der
verfügbaren Systemprotokolle
f) Auftragskontrolle
– AVV mit Auftragsverarbeiter
g) Verfügbarkeitskontrolle
– Regelmäßige Hetzner-Server-Backups (7 rotierende Backup-Slots; ältestes
Backup wird bei voller Belegung überschrieben)
– Wiederherstellungskonzept
– Incident-Response-Prozess inkl. Bewertung/Kommunikation bei
Datenschutzvorfällen (Art. 33/34 DSGVO)
h) Trennungskontrolle
– Logische Mandantentrennung in Datenbank
– Tenant-basierte Zugriffskontrollen in den relevanten Datenabfragen
i) Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
– AES-256-GCM Verschlüsselung von Patientenstammdaten at Rest
– AES-256-GCM Verschlüsselung der Behandlungsart at Rest
– AES-256-GCM Verschlüsselung von SMTP-Credentials at Rest
– Hash-basierte Suche (SHA-256) für E-Mail-Adressen
– Schlüsselverwaltung: Verschlüsselungsschlüssel außerhalb der Datenbank
– Datenbank-Dump ohne Schlüssel ist unbrauchbar
9. BETROFFENENRECHTE – UMSETZUNG
Rechte nach Art. 15-22 DSGVO:
– Auskunft (Art. 15): Export-Funktion im Admin-Interface
– Berichtigung (Art. 16): Korrektur im führenden Praxissystem und
anschließende Aktualisierung über regulären Import-/Supportprozess
– Löschung (Art. 17): Löschen-Funktion im Admin-Interface
– Einschränkung (Art. 18): Auf Anfrage
– Datenübertragbarkeit (Art. 20): Export als JSON
– Widerspruch (Art. 21): Opt-out-Link in jeder E-Mail
================================================================================
================================================================================
Erstellt für: Zahnarztpraxis am Württemberg
Generiert am: 16.02.2026, 06:53