G
GetDent

Datenschutzerklärung

Gemäß Art. 13 & 14 Datenschutz-Grundverordnung (DSGVO)

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze:

GetDent Gesellschaft für Onlineanwendungen mbH

Geschäftsführer: Nicola Willi Maisto

Düsterhauptstr. 41, 13469 Berlin

Telefon: 030-75439059

E-Mail: info@getdent.de

Externer Datenschutzbeauftragter:

Florian Schweitzer

Manager Compliance Delivery

ext. Datenschutzbeauftragter / Compliance Officer

E-Mail: datenschutz@getdent.de

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage dies erlaubt. Folgende Daten werden verarbeitet:

  • Bestandsdaten: Name, Adresse, Kontaktdaten
  • Nutzungsdaten: Zugriffszeiten, besuchte Seiten
  • Vertragsdaten: Aufträge, Rechnungen, Kommunikation
  • Kommunikationsdaten: E-Mail-Korrespondenz, Support-Anfragen
  • Patientendaten: Patientendaten aus Laboraufträgen: Name, Geburtsdatum bzw. Geburtsjahr, praxisinterne Patientennummer, Versichertenart (GKV/PKV), Zahnschema/Arbeitsdaten sowie Fotos und Scans der Arbeiten. Die Verarbeitung erfolgt im Auftrag des jeweiligen Labors (Art. 28 DSGVO).

3. Rechtsgrundlagen der Verarbeitung

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung

Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung

Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen

4. Sicherheitsmaßnahmen

Wir treffen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

  • TLS/SSL-Verschlüsselung aller Datenübertragungen
  • Verschlüsselte Datenspeicherung in EU-Rechenzentren
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Regelmäßige Sicherheitsaudits
  • Multi-Faktor-Authentifizierung für Admin-Zugänge
  • Automatische Backups mit Verschlüsselung

5. Verarbeitungstätigkeiten im Detail

5.1 Nutzerkonto und Registrierung

Daten: E-Mail, Name, Laborname, Adresse, Telefon

Zweck: Bereitstellung der Software-Dienste

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Bis zur Löschung des Accounts + gesetzliche Aufbewahrungsfristen

5.2 Auftragsverarbeitung

Daten: Auftragsdaten inkl. Patientendaten (Name, Geburtsdatum bzw. -jahr, praxisinterne Patientennummer, Versichertenart GKV/PKV), Zahnschema, Arbeitsdaten sowie Anhänge (Scans, Fotos, Auftragsscheine)

Zweck: Durchführung der zahntechnischen Auftragsabwicklung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer: 10 Jahre (§ 147 AO, § 257 HGB)

5.3 E-Mail-Kommunikation

Daten: E-Mail-Adresse, Inhalt, Anhänge

Zweck: Geschäftliche Kommunikation, Support

Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO

Speicherdauer: 6 Jahre

5.4 Abrechnungsdaten

Daten: Rechnungen, Zahlungsdaten, IBAN (bei SEPA)

Zweck: Rechnungsstellung, Buchhaltung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO

Speicherdauer: 10 Jahre (steuerrechtlich)

5.5 KI-gestützte Datenverarbeitung (Externe Dienste)

Wichtiger Hinweis: GetDent nutzt externe KI-Dienste zur Unterstützung verschiedener Funktionen. Dabei werden Daten an Drittanbieter übermittelt. Bitte stellen Sie sicher, dass keine unverschlüsselten Patientendaten (Name, Geburtsdatum, Versichertennummer) in KI-verarbeitete Felder eingegeben werden.

Betroffene Funktionen:

  • KI-Auftragsassistent: Analyse von Arbeitstyp, Zahnpositionen, Material und Farbe zur Erstellung von Zusammenfassungen und Empfehlungen. Textdaten werden automatisch anonymisiert. Bilder (Röntgen, Auftragsscheine) werden vollständig übertragen und können sichtbare Patientendaten enthalten.
  • KI-E-Mail-Assistent: E-Mail-Inhalte werden zur Generierung von Antwortvorschlägen an den KI-Dienst übermittelt. E-Mails können personenbezogene Daten enthalten – bitte prüfen Sie den Inhalt vor der KI-Verarbeitung.
  • KI-Bildanalyse (Qualitätsprüfung): Fotos und Röntgenbilder werden vollständig zur Analyse an den KI-Dienst übertragen. Bilder können technisch bedingt sichtbare Patientendaten enthalten (z.B. eingebrannte Namen auf Röntgenaufnahmen). Eine Rechtsgrundlage (z.B. Einwilligung) muss vorliegen.
  • KI-Abrechnungsvorschau: Arbeitstyp, Material und Zahnpositionen werden zur Berechnung von Abrechnungspositionen (BEL II/BEB) übermittelt. Keine Patientennamen in Zusatznotizen eingeben.
  • KI-Dokumentenanalyse: Hochgeladene Auftragsformulare werden vollständig analysiert. Auftragsscheine enthalten typischerweise Patientennamen und Praxisdaten — diese werden mit dem Bild übertragen. Eine Rechtsgrundlage muss vorliegen.

Technische und rechtliche Grundlagen:

KI-Anbieter: Google LLC (Gemini API), OpenAI Inc. (GPT API) und Anthropic PBC (Claude API) – Verarbeitung gemäß EU-US Data Privacy Framework und Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)

Auftragsverarbeitung: Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — KI-Funktionen müssen pro Mandant aktiviert werden)

Drittlandtransfer: USA — Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO

Pseudonymisierung: Textdaten werden vor der Übermittlung an KI-Dienste automatisch pseudonymisiert (Patientennamen, Adressen etc. durch Platzhalter ersetzt). Bilder und Dokumente (z.B. Auftragsscheine, Röntgenbilder) werden vollständig übertragen und können sichtbare Patientendaten enthalten.

Datenspeicherung: Übermittelte Daten werden vom KI-Anbieter nicht dauerhaft gespeichert und nicht zum Training von KI-Modellen verwendet

Verschlüsselung: Alle Datenübertragungen erfolgen TLS-verschlüsselt

Deaktivierung: Alle KI-Funktionen können unter Einstellungen → Mein Account → KI-Features individuell deaktiviert werden

Anthropic PBC (Claude API):

Anbieter: Anthropic PBC, 548 Market St, San Francisco, CA 94104, USA

Zweck: KI-gestützte Unterstützung bei Befundanalyse, Abrechnungsvorschlägen und Dokumentenauswertung

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Aktivierung pro Mandant erforderlich)

Drittlandtransfer: USA — Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO

Hinweis: Textdaten werden vor der Übermittlung automatisch pseudonymisiert (Patientennamen, Adressen etc. durch Platzhalter ersetzt). Vollständig übertragene Dokumente und Bilder können dennoch sichtbare Patientendaten enthalten.

Belehrung und Nutzerpflichten:

Der Nutzer wird hiermit ausdrücklich belehrt:

• Es ist untersagt, Patientendaten in Bild- oder Dokumentenform an KI-Funktionen zu übermitteln, sofern dies nicht für den konkreten Verarbeitungszweck (z.B. Auftragszettel-OCR) ausdrücklich vorgesehen ist.

• Insbesondere dürfen keine Befundberichte, Arztbriefe, Krankenakten, Röntgenbilder mit Patientenbezug oder sonstige Gesundheitsdaten (Art. 9 DSGVO) hochgeladen werden.

• Verwenden Sie ausschließlich Patientenkürzel statt Klarnamen.

• Fotos dürfen keine erkennbaren Personen zeigen.

• KI-generierte Abrechnungsvorschläge müssen immer manuell geprüft werden — der Nutzer trägt die alleinige Verantwortung für die korrekte Abrechnung.

• Der Nutzer stellt sicher, dass alle Mitarbeiter, die KI-Funktionen nutzen, über diese Vorgaben informiert und belehrt sind.

Haftung und Verantwortung:

• Der Nutzer trägt die alleinige Verantwortung für sämtliche Inhalte, die er an KI-Dienste übermittelt (Art. 82 Abs. 2 DSGVO).

• GetDent haftet nicht für Datenschutzverstöße, die durch vom Nutzer hochgeladene oder eingegebene Inhalte entstehen.

• Verstößt der Nutzer gegen die vorstehenden Vorgaben und entstehen daraus Schäden, Bußgelder oder Schadensersatzansprüche Dritter (insb. gem. Art. 82 DSGVO), so stellt der Nutzer GetDent von sämtlichen Ansprüchen frei.

• GetDent stellt technische Schutzmaßnahmen bereit (automatische Anonymisierung, Eingabefilter, AVV mit KI-Anbietern), übernimmt jedoch keine Haftung für deren Umgehung durch den Nutzer.

Gemäß KI-Verordnung (EU) 2024/1689 – Transparenzpflicht für KI-Systeme. GetDent kennzeichnet alle KI-gestützten Funktionen mit einem entsprechenden Datenschutzhinweis direkt in der Benutzeroberfläche. Die erstmalige Nutzung jeder KI-Funktion erfordert eine explizite Einwilligung nach vorheriger Belehrung. Siehe auch § 8a der AGB.

5.6 Server-Logfiles

Bei jedem Zugriff auf unsere Anwendung werden automatisch Informationen in Server-Logfiles gespeichert:

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL / Ressource
  • HTTP-Statuscode
  • Übertragene Datenmenge
  • Browsertyp und -version (User-Agent)

Zweck: Sicherheit, Fehleranalyse, Serveroptimierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit)

Speicherdauer: 7 Tage, dann automatische Löschung

5.7 Fehler- und Performance-Monitoring (HyperDX)

Wir setzen HyperDX zur Erkennung von Anwendungsfehlern und zur Sicherstellung der Systemstabilität ein.

Anbieter: HyperDX — Self-hosted auf eigener Infrastruktur (Hetzner, Deutschland)

Zweck: Fehlererkennung, Performance-Monitoring und Systemstabilität

Verarbeitete Daten: Fehlerprotokolle, Browser-Informationen (User-Agent, Bildschirmauflösung), Seitenaufrufe bei Fehlern, technische Fehlermeldungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität) nach Einwilligung gemäß § 25 Abs. 1 TTDSG (Kategorie "Analyse")

Speicherdauer: 30 Tage

Drittlandtransfer: Keiner — die Verarbeitung erfolgt ausschließlich auf eigener Infrastruktur in Deutschland

Es werden keine HTTP-Request/Response-Inhalte oder personenbezogene Nutzdaten erfasst.

5.8 Frontend-Fehlerprotokollierung

Zur Qualitätssicherung werden Frontend-Fehler (JavaScript-Ausnahmen, Laufzeitfehler) automatisch protokolliert.

Zweck: Protokollierung von Frontend-Fehlern zur Qualitätssicherung

Verarbeitete Daten: Fehlermeldungen, aufgerufene URL, Browser-Typ, Mandanten-ID

Speicherort: Eigene Datenbank (Hetzner, Deutschland)

Speicherdauer: 90 Tage

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität)

6. Cookies und Tracking

Wir verwenden Cookies für den Betrieb unserer Anwendung:

  • Session-Cookies (notwendig): Für Anmeldung und Sitzungsverwaltung.
    Anbieter: GetDent (eigener Server) | Speicherdauer: Sitzungsende | Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG
  • Präferenz-Cookies (notwendig): Speichern Ihre Einstellungen (z.B. Theme, Sidebar-Zustand).
    Anbieter: GetDent (LocalStorage) | Speicherdauer: unbegrenzt (bis manuelles Löschen) | Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG
  • Cookie-Consent (notwendig): Speichert Ihre Cookie-Einstellungen.
    Anbieter: GetDent (LocalStorage) | Speicherdauer: unbegrenzt | Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG
  • Analyse-Cookies: Nur mit Ihrer ausdrücklichen Einwilligung. Derzeit werden keine externen Analyse-Dienste eingesetzt.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG
  • Marketing-Cookies (Meta/Facebook Pixel): Nur mit Ihrer ausdrücklichen Einwilligung. Wir setzen das Meta Pixel ein, um die Effektivität unserer Werbeanzeigen auf Facebook und Instagram zu messen und Ihnen relevantere Werbung anzuzeigen. Das Pixel erfasst pseudonymisiert Seitenaufrufe und bestimmte Aktionen (z.B. Kontaktformular-Absendung). Die Daten werden an Meta Platforms Ireland Ltd. (4 Grand Canal Square, Dublin 2, Irland) übermittelt.
    Anbieter: Meta Platforms Ireland Ltd. | Speicherdauer: bis zu 180 Tage | Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG | Drittlandtransfer: USA (EU-US Data Privacy Framework, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) | Datenschutz Meta: facebook.com/privacy/policy
  • Conversions API (Server-seitig): Ergänzend zum Meta Pixel nutzen wir die Meta Conversions API, um Conversion-Daten serverseitig und pseudonymisiert (SHA-256-gehasht) an Meta zu übermitteln. Dies dient der genaueren Messung der Werbewirksamkeit. Die Verarbeitung erfolgt nur bei erteilter Marketing-Einwilligung.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO | Deduplizierung mit Pixel via event_id

Sie können Ihre Cookie-Einstellungen jederzeit über den Link "Cookie-Einstellungen" im Footer der Seite anpassen oder Cookies in Ihren Browsereinstellungen verwalten. Bei Widerruf der Marketing-Einwilligung wird das Meta Pixel deaktiviert und keine weiteren Daten an Meta übermittelt.

7. Empfänger von Daten

Ihre Daten werden nur an folgende Empfänger weitergegeben:

  • Hosting-Anbieter: Hetzner Online GmbH (Gunzenhausen, Deutschland) – Rechenzentren in Deutschland/Finnland, AVV gemäß Art. 28 DSGVO abgeschlossen, ISO/IEC 27001:2022 zertifiziert, BSI-C5:2020-Typ-2-Testat (u.a. Dedicated Server)
  • Zahlungsdienstleister: Stripe Inc. (USA) / Stripe Payments Europe Ltd. (Dublin, Irland) – Verarbeitung von Zahlungsdaten bei Abo-Abschluss, Details siehe Punkt 7.1
  • E-Mail-Versand: Über eigenen SMTP-Mailserver (kein externer Dienst)
  • Werbeplattformen: Meta Platforms Ireland Ltd. – nur bei erteilter Marketing-Einwilligung, pseudonymisiert (SHA-256), für Anzeigenmessung und Retargeting
  • Steuerberater: Bei Beauftragung durch Sie
  • Behörden: Bei rechtlicher Verpflichtung

Drittlandtransfer: Ihre Daten werden grundsätzlich in Deutschland/EU verarbeitet. Bei erteilter Marketing-Einwilligung werden pseudonymisierte Daten an Meta (USA) übermittelt, abgesichert durch das EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023). Details zu Stripe (USA) unter Punkt 7.1.

7.1 Externe Dienste (bei Nutzung der jeweiligen Funktion)

Folgende externe Dienste werden nur dann kontaktiert, wenn Sie die jeweilige Funktion aktiv nutzen. Die Datenübermittlung erfolgt erst bei konkreter Nutzung, nicht automatisch im Hintergrund.

Nominatim / OpenStreetMap Foundation

Funktion: Adress-Suche und Geocoding (Kartendarstellung)

Übermittelte Daten: Eingegebene Adressdaten, IP-Adresse

Empfänger: OpenStreetMap Foundation, Server in der EU

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kartendarstellung)

Datenschutz: wiki.osmfoundation.org/wiki/Privacy_Policy

Google Maps (Google Ireland Limited)

Funktion: Kartendarstellung und Routenplanung im Kurier-/Logistikmodul

Übermittelte Daten: IP-Adresse, Standortdaten (Lieferadressen), Geräteinformationen

Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Lieferlogistik) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Drittlandtransfer: USA — Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert

Datenschutz: policies.google.com/privacy

Firecrawl (Mendable Inc.)

Funktion: Automatisierte Erfassung öffentlich zugänglicher Zahnarztpraxis-Informationen

Übermittelte Daten: Suchanfragen (Praxisnamen, Regionen)

Empfänger: Mendable Inc. (USA) – api.firecrawl.dev

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenakquise)

Drittlandtransfer: USA, auf Basis des EU-US Data Privacy Framework

Datenschutz: firecrawl.dev/privacy

3Shape A/S (DS Core / Dental System)

Funktion: CAD/CAM-Integration – Import von Auftrags- und Scandaten

Übermittelte Daten: Patientenreferenzen (Kürzel), Falldaten, 3D-Scandateien

Empfänger: 3Shape A/S (Dänemark, EU)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung)

Hinweis: Datenfluss erfolgt über die vom Labor eingerichtete DS Core Instanz

Stripe Inc. / Stripe Payments Europe Ltd.

Funktion: Zahlungsabwicklung für Abonnements (Kreditkarte, SEPA-Lastschrift)

Übermittelte Daten: E-Mail-Adresse, Name, gewähltes Paket, Zahlungsdaten (werden direkt bei Stripe eingegeben und nicht auf unseren Servern gespeichert)

Empfänger: Stripe Payments Europe Ltd. (Dublin, Irland) / Stripe Inc. (USA)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Drittlandtransfer: USA, auf Basis des EU-US Data Privacy Framework und Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)

Datenschutz: stripe.com/de/privacy

CK-Label / Picksmart (E-Ink Displays)

Funktion: Ansteuerung von E-Ink Displays zur Auftragskennzeichnung

Übermittelte Daten: Auftragsnummern, Arbeitsbeschreibungen, Farbcodes (via Webhook)

Empfänger: CK-Label Gateway (Webhook-Endpunkt, konfiguriert vom Labor)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Hinweis: Es werden keine personenbezogenen Patientendaten an Displays übermittelt

Bei erstmaliger Nutzung einer Funktion mit externer Datenübermittlung wird in der Benutzeroberfläche ein entsprechender Datenschutzhinweis angezeigt.

8. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunft (Art. 15): Welche Daten wir über Sie speichern
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten
  • Löschung (Art. 17): "Recht auf Vergessenwerden"
  • Einschränkung (Art. 18): Beschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20): Export Ihrer Daten
  • Widerspruch (Art. 21): Gegen bestimmte Verarbeitungen
  • Widerruf (Art. 7): Einwilligungen jederzeit widerrufen

Kontakt für Anfragen: datenschutz@getdent.de

Wir beantworten Anfragen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang. Bei Datenübertragbarkeit (Art. 20) stellen wir Ihre Daten in einem gängigen, maschinenlesbaren Format (z.B. CSV, JSON) zur Verfügung.

9. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Friedrichstr. 219, 10969 Berlin

www.datenschutz-berlin.de

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.

Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden registrierte Nutzer per E-Mail informiert. Das Datum der letzten Änderung wird am Ende dieser Seite ausgewiesen.

Stand: März 2026