Datenschutzerklärung
Gemäß Art. 13 & 14 Datenschutz-Grundverordnung (DSGVO)
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze:
GetDent Gesellschaft für Onlineanwendungen mbH
Geschäftsführer: Nicola Willi Maisto
Düsterhauptstr. 41, 13469 Berlin
Telefon: 030-75439059
E-Mail: info@getdent.de
Externer Datenschutzbeauftragter:
Florian Schweitzer
Manager Compliance Delivery
ext. Datenschutzbeauftragter / Compliance Officer
E-Mail: datenschutz@getdent.de
2. Übersicht der Verarbeitungen
Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage dies erlaubt. Folgende Daten werden verarbeitet:
- Bestandsdaten: Name, Adresse, Kontaktdaten
- Nutzungsdaten: Zugriffszeiten, besuchte Seiten
- Vertragsdaten: Aufträge, Rechnungen, Kommunikation
- Kommunikationsdaten: E-Mail-Korrespondenz, Support-Anfragen
- Patientendaten: Patientendaten aus Laboraufträgen: Name, Geburtsdatum bzw. Geburtsjahr, praxisinterne Patientennummer, Versichertenart (GKV/PKV), Zahnschema/Arbeitsdaten sowie Fotos und Scans der Arbeiten. Die Verarbeitung erfolgt im Auftrag des jeweiligen Labors (Art. 28 DSGVO).
3. Rechtsgrundlagen der Verarbeitung
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung
Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen
4. Sicherheitsmaßnahmen
Wir treffen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:
- TLS/SSL-Verschlüsselung aller Datenübertragungen
- Verschlüsselte Datenspeicherung in EU-Rechenzentren
- Rollenbasierte Zugriffskontrolle (RBAC)
- Regelmäßige Sicherheitsaudits
- Multi-Faktor-Authentifizierung für Admin-Zugänge
- Automatische Backups mit Verschlüsselung
5. Verarbeitungstätigkeiten im Detail
5.1 Nutzerkonto und Registrierung
Daten: E-Mail, Name, Laborname, Adresse, Telefon
Zweck: Bereitstellung der Software-Dienste
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Bis zur Löschung des Accounts + gesetzliche Aufbewahrungsfristen
5.2 Auftragsverarbeitung
Daten: Auftragsdaten inkl. Patientendaten (Name, Geburtsdatum bzw. -jahr, praxisinterne Patientennummer, Versichertenart GKV/PKV), Zahnschema, Arbeitsdaten sowie Anhänge (Scans, Fotos, Auftragsscheine)
Zweck: Durchführung der zahntechnischen Auftragsabwicklung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Speicherdauer: 10 Jahre (§ 147 AO, § 257 HGB)
5.3 E-Mail-Kommunikation
Daten: E-Mail-Adresse, Inhalt, Anhänge
Zweck: Geschäftliche Kommunikation, Support
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO
Speicherdauer: 6 Jahre
5.4 Abrechnungsdaten
Daten: Rechnungen, Zahlungsdaten, IBAN (bei SEPA)
Zweck: Rechnungsstellung, Buchhaltung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO
Speicherdauer: 10 Jahre (steuerrechtlich)
5.5 KI-gestützte Datenverarbeitung (Externe Dienste)
Wichtiger Hinweis: GetDent nutzt externe KI-Dienste zur Unterstützung verschiedener Funktionen. Dabei werden Daten an Drittanbieter übermittelt. Bitte stellen Sie sicher, dass keine unverschlüsselten Patientendaten (Name, Geburtsdatum, Versichertennummer) in KI-verarbeitete Felder eingegeben werden.
Betroffene Funktionen:
- KI-Auftragsassistent: Analyse von Arbeitstyp, Zahnpositionen, Material und Farbe zur Erstellung von Zusammenfassungen und Empfehlungen. Textdaten werden automatisch anonymisiert. Bilder (Röntgen, Auftragsscheine) werden vollständig übertragen und können sichtbare Patientendaten enthalten.
- KI-E-Mail-Assistent: E-Mail-Inhalte werden zur Generierung von Antwortvorschlägen an den KI-Dienst übermittelt. E-Mails können personenbezogene Daten enthalten – bitte prüfen Sie den Inhalt vor der KI-Verarbeitung.
- KI-Bildanalyse (Qualitätsprüfung): Fotos und Röntgenbilder werden vollständig zur Analyse an den KI-Dienst übertragen. Bilder können technisch bedingt sichtbare Patientendaten enthalten (z.B. eingebrannte Namen auf Röntgenaufnahmen). Eine Rechtsgrundlage (z.B. Einwilligung) muss vorliegen.
- KI-Abrechnungsvorschau: Arbeitstyp, Material und Zahnpositionen werden zur Berechnung von Abrechnungspositionen (BEL II/BEB) übermittelt. Keine Patientennamen in Zusatznotizen eingeben.
- KI-Dokumentenanalyse: Hochgeladene Auftragsformulare werden vollständig analysiert. Auftragsscheine enthalten typischerweise Patientennamen und Praxisdaten — diese werden mit dem Bild übertragen. Eine Rechtsgrundlage muss vorliegen.
Technische und rechtliche Grundlagen:
KI-Anbieter: Google LLC (Gemini API), OpenAI Inc. (GPT API) und Anthropic PBC (Claude API) – Verarbeitung gemäß EU-US Data Privacy Framework und Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Auftragsverarbeitung: Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — KI-Funktionen müssen pro Mandant aktiviert werden)
Drittlandtransfer: USA — Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
Pseudonymisierung: Textdaten werden vor der Übermittlung an KI-Dienste automatisch pseudonymisiert (Patientennamen, Adressen etc. durch Platzhalter ersetzt). Bilder und Dokumente (z.B. Auftragsscheine, Röntgenbilder) werden vollständig übertragen und können sichtbare Patientendaten enthalten.
Datenspeicherung: Übermittelte Daten werden vom KI-Anbieter nicht dauerhaft gespeichert und nicht zum Training von KI-Modellen verwendet
Verschlüsselung: Alle Datenübertragungen erfolgen TLS-verschlüsselt
Deaktivierung: Alle KI-Funktionen können unter Einstellungen → Mein Account → KI-Features individuell deaktiviert werden
Anthropic PBC (Claude API):
Anbieter: Anthropic PBC, 548 Market St, San Francisco, CA 94104, USA
Zweck: KI-gestützte Unterstützung bei Befundanalyse, Abrechnungsvorschlägen und Dokumentenauswertung
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Aktivierung pro Mandant erforderlich)
Drittlandtransfer: USA — Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
Hinweis: Textdaten werden vor der Übermittlung automatisch pseudonymisiert (Patientennamen, Adressen etc. durch Platzhalter ersetzt). Vollständig übertragene Dokumente und Bilder können dennoch sichtbare Patientendaten enthalten.
Belehrung und Nutzerpflichten:
Der Nutzer wird hiermit ausdrücklich belehrt:
• Es ist untersagt, Patientendaten in Bild- oder Dokumentenform an KI-Funktionen zu übermitteln, sofern dies nicht für den konkreten Verarbeitungszweck (z.B. Auftragszettel-OCR) ausdrücklich vorgesehen ist.
• Insbesondere dürfen keine Befundberichte, Arztbriefe, Krankenakten, Röntgenbilder mit Patientenbezug oder sonstige Gesundheitsdaten (Art. 9 DSGVO) hochgeladen werden.
• Verwenden Sie ausschließlich Patientenkürzel statt Klarnamen.
• Fotos dürfen keine erkennbaren Personen zeigen.
• KI-generierte Abrechnungsvorschläge müssen immer manuell geprüft werden — der Nutzer trägt die alleinige Verantwortung für die korrekte Abrechnung.
• Der Nutzer stellt sicher, dass alle Mitarbeiter, die KI-Funktionen nutzen, über diese Vorgaben informiert und belehrt sind.
Haftung und Verantwortung:
• Der Nutzer trägt die alleinige Verantwortung für sämtliche Inhalte, die er an KI-Dienste übermittelt (Art. 82 Abs. 2 DSGVO).
• GetDent haftet nicht für Datenschutzverstöße, die durch vom Nutzer hochgeladene oder eingegebene Inhalte entstehen.
• Verstößt der Nutzer gegen die vorstehenden Vorgaben und entstehen daraus Schäden, Bußgelder oder Schadensersatzansprüche Dritter (insb. gem. Art. 82 DSGVO), so stellt der Nutzer GetDent von sämtlichen Ansprüchen frei.
• GetDent stellt technische Schutzmaßnahmen bereit (automatische Anonymisierung, Eingabefilter, AVV mit KI-Anbietern), übernimmt jedoch keine Haftung für deren Umgehung durch den Nutzer.
Gemäß KI-Verordnung (EU) 2024/1689 – Transparenzpflicht für KI-Systeme. GetDent kennzeichnet alle KI-gestützten Funktionen mit einem entsprechenden Datenschutzhinweis direkt in der Benutzeroberfläche. Die erstmalige Nutzung jeder KI-Funktion erfordert eine explizite Einwilligung nach vorheriger Belehrung. Siehe auch § 8a der AGB.
5.6 Server-Logfiles
Bei jedem Zugriff auf unsere Anwendung werden automatisch Informationen in Server-Logfiles gespeichert:
- IP-Adresse (anonymisiert nach 7 Tagen)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL / Ressource
- HTTP-Statuscode
- Übertragene Datenmenge
- Browsertyp und -version (User-Agent)
Zweck: Sicherheit, Fehleranalyse, Serveroptimierung
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit)
Speicherdauer: 7 Tage, dann automatische Löschung
5.7 Fehler- und Performance-Monitoring (HyperDX)
Wir setzen HyperDX zur Erkennung von Anwendungsfehlern und zur Sicherstellung der Systemstabilität ein.
Anbieter: HyperDX — Self-hosted auf eigener Infrastruktur (Hetzner, Deutschland)
Zweck: Fehlererkennung, Performance-Monitoring und Systemstabilität
Verarbeitete Daten: Fehlerprotokolle, Browser-Informationen (User-Agent, Bildschirmauflösung), Seitenaufrufe bei Fehlern, technische Fehlermeldungen
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität) nach Einwilligung gemäß § 25 Abs. 1 TTDSG (Kategorie "Analyse")
Speicherdauer: 30 Tage
Drittlandtransfer: Keiner — die Verarbeitung erfolgt ausschließlich auf eigener Infrastruktur in Deutschland
Es werden keine HTTP-Request/Response-Inhalte oder personenbezogene Nutzdaten erfasst.
5.8 Frontend-Fehlerprotokollierung
Zur Qualitätssicherung werden Frontend-Fehler (JavaScript-Ausnahmen, Laufzeitfehler) automatisch protokolliert.
Zweck: Protokollierung von Frontend-Fehlern zur Qualitätssicherung
Verarbeitete Daten: Fehlermeldungen, aufgerufene URL, Browser-Typ, Mandanten-ID
Speicherort: Eigene Datenbank (Hetzner, Deutschland)
Speicherdauer: 90 Tage
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität)
6. Cookies und Tracking
Wir verwenden Cookies für den Betrieb unserer Anwendung:
- Session-Cookies (notwendig): Für Anmeldung und Sitzungsverwaltung.
Anbieter: GetDent (eigener Server) | Speicherdauer: Sitzungsende | Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG - Präferenz-Cookies (notwendig): Speichern Ihre Einstellungen (z.B. Theme, Sidebar-Zustand).
Anbieter: GetDent (LocalStorage) | Speicherdauer: unbegrenzt (bis manuelles Löschen) | Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG - Cookie-Consent (notwendig): Speichert Ihre Cookie-Einstellungen.
Anbieter: GetDent (LocalStorage) | Speicherdauer: unbegrenzt | Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG - Analyse-Cookies: Nur mit Ihrer ausdrücklichen Einwilligung. Derzeit werden keine externen Analyse-Dienste eingesetzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG - Marketing-Cookies (Meta/Facebook Pixel): Nur mit Ihrer ausdrücklichen Einwilligung. Wir setzen das Meta Pixel ein, um die Effektivität unserer Werbeanzeigen auf Facebook und Instagram zu messen und Ihnen relevantere Werbung anzuzeigen. Das Pixel erfasst pseudonymisiert Seitenaufrufe und bestimmte Aktionen (z.B. Kontaktformular-Absendung). Die Daten werden an Meta Platforms Ireland Ltd. (4 Grand Canal Square, Dublin 2, Irland) übermittelt.
Anbieter: Meta Platforms Ireland Ltd. | Speicherdauer: bis zu 180 Tage | Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG | Drittlandtransfer: USA (EU-US Data Privacy Framework, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) | Datenschutz Meta: facebook.com/privacy/policy - Conversions API (Server-seitig): Ergänzend zum Meta Pixel nutzen wir die Meta Conversions API, um Conversion-Daten serverseitig und pseudonymisiert (SHA-256-gehasht) an Meta zu übermitteln. Dies dient der genaueren Messung der Werbewirksamkeit. Die Verarbeitung erfolgt nur bei erteilter Marketing-Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO | Deduplizierung mit Pixel via event_id
Sie können Ihre Cookie-Einstellungen jederzeit über den Link "Cookie-Einstellungen" im Footer der Seite anpassen oder Cookies in Ihren Browsereinstellungen verwalten. Bei Widerruf der Marketing-Einwilligung wird das Meta Pixel deaktiviert und keine weiteren Daten an Meta übermittelt.
7. Empfänger von Daten
Ihre Daten werden nur an folgende Empfänger weitergegeben:
- Hosting-Anbieter: Hetzner Online GmbH (Gunzenhausen, Deutschland) – Rechenzentren in Deutschland/Finnland, AVV gemäß Art. 28 DSGVO abgeschlossen, ISO/IEC 27001:2022 zertifiziert, BSI-C5:2020-Typ-2-Testat (u.a. Dedicated Server)
- Zahlungsdienstleister: Stripe Inc. (USA) / Stripe Payments Europe Ltd. (Dublin, Irland) – Verarbeitung von Zahlungsdaten bei Abo-Abschluss, Details siehe Punkt 7.1
- E-Mail-Versand: Über eigenen SMTP-Mailserver (kein externer Dienst)
- Werbeplattformen: Meta Platforms Ireland Ltd. – nur bei erteilter Marketing-Einwilligung, pseudonymisiert (SHA-256), für Anzeigenmessung und Retargeting
- Steuerberater: Bei Beauftragung durch Sie
- Behörden: Bei rechtlicher Verpflichtung
Drittlandtransfer: Ihre Daten werden grundsätzlich in Deutschland/EU verarbeitet. Bei erteilter Marketing-Einwilligung werden pseudonymisierte Daten an Meta (USA) übermittelt, abgesichert durch das EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023). Details zu Stripe (USA) unter Punkt 7.1.
7.1 Externe Dienste (bei Nutzung der jeweiligen Funktion)
Folgende externe Dienste werden nur dann kontaktiert, wenn Sie die jeweilige Funktion aktiv nutzen. Die Datenübermittlung erfolgt erst bei konkreter Nutzung, nicht automatisch im Hintergrund.
Nominatim / OpenStreetMap Foundation
Funktion: Adress-Suche und Geocoding (Kartendarstellung)
Übermittelte Daten: Eingegebene Adressdaten, IP-Adresse
Empfänger: OpenStreetMap Foundation, Server in der EU
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kartendarstellung)
Datenschutz: wiki.osmfoundation.org/wiki/Privacy_Policy
Google Maps (Google Ireland Limited)
Funktion: Kartendarstellung und Routenplanung im Kurier-/Logistikmodul
Übermittelte Daten: IP-Adresse, Standortdaten (Lieferadressen), Geräteinformationen
Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Lieferlogistik) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Drittlandtransfer: USA — Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert
Datenschutz: policies.google.com/privacy
Firecrawl (Mendable Inc.)
Funktion: Automatisierte Erfassung öffentlich zugänglicher Zahnarztpraxis-Informationen
Übermittelte Daten: Suchanfragen (Praxisnamen, Regionen)
Empfänger: Mendable Inc. (USA) – api.firecrawl.dev
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenakquise)
Drittlandtransfer: USA, auf Basis des EU-US Data Privacy Framework
Datenschutz: firecrawl.dev/privacy
3Shape A/S (DS Core / Dental System)
Funktion: CAD/CAM-Integration – Import von Auftrags- und Scandaten
Übermittelte Daten: Patientenreferenzen (Kürzel), Falldaten, 3D-Scandateien
Empfänger: 3Shape A/S (Dänemark, EU)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung)
Hinweis: Datenfluss erfolgt über die vom Labor eingerichtete DS Core Instanz
Stripe Inc. / Stripe Payments Europe Ltd.
Funktion: Zahlungsabwicklung für Abonnements (Kreditkarte, SEPA-Lastschrift)
Übermittelte Daten: E-Mail-Adresse, Name, gewähltes Paket, Zahlungsdaten (werden direkt bei Stripe eingegeben und nicht auf unseren Servern gespeichert)
Empfänger: Stripe Payments Europe Ltd. (Dublin, Irland) / Stripe Inc. (USA)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Drittlandtransfer: USA, auf Basis des EU-US Data Privacy Framework und Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Datenschutz: stripe.com/de/privacy
CK-Label / Picksmart (E-Ink Displays)
Funktion: Ansteuerung von E-Ink Displays zur Auftragskennzeichnung
Übermittelte Daten: Auftragsnummern, Arbeitsbeschreibungen, Farbcodes (via Webhook)
Empfänger: CK-Label Gateway (Webhook-Endpunkt, konfiguriert vom Labor)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Hinweis: Es werden keine personenbezogenen Patientendaten an Displays übermittelt
Bei erstmaliger Nutzung einer Funktion mit externer Datenübermittlung wird in der Benutzeroberfläche ein entsprechender Datenschutzhinweis angezeigt.
8. Ihre Rechte
Sie haben gemäß DSGVO folgende Rechte:
- Auskunft (Art. 15): Welche Daten wir über Sie speichern
- Berichtigung (Art. 16): Korrektur unrichtiger Daten
- Löschung (Art. 17): "Recht auf Vergessenwerden"
- Einschränkung (Art. 18): Beschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20): Export Ihrer Daten
- Widerspruch (Art. 21): Gegen bestimmte Verarbeitungen
- Widerruf (Art. 7): Einwilligungen jederzeit widerrufen
Kontakt für Anfragen: datenschutz@getdent.de
Wir beantworten Anfragen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang. Bei Datenübertragbarkeit (Art. 20) stellen wir Ihre Daten in einem gängigen, maschinenlesbaren Format (z.B. CSV, JSON) zur Verfügung.
9. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.
Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden registrierte Nutzer per E-Mail informiert. Das Datum der letzten Änderung wird am Ende dieser Seite ausgewiesen.
Stand: März 2026