Datenschutzerklärung
[…]). Vor dem Go-Live müssen die Angaben vervollständigt und durch einen
Datenschutzbeauftragten/Rechtsbeistand freigegeben werden.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
[Firma / Inhaber], [Straße Nr.], [PLZ Ort], [Land]
E-Mail: [datenschutz@…] · Telefon: [Telefonnummer]
Datenschutzbeauftragter (sofern bestellt): [Name, Kontakt] – andernfalls diesen Absatz entfernen.
2. Zweck und Rechtsgrundlagen der Verarbeitung
Das BOS Portal dient dem sicheren Austausch von Geschäftsdokumenten (z. B. Rechnungen, Kostenvoranschläge, Sammelaufstellungen) zwischen einem Dentallabor und den von ihm betreuten Zahnarztpraxen. Verarbeitet wird auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO – Bereitstellung des Portals und Durchführung des Vertragsverhältnisses.
- Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Pflichten (z. B. Aufbewahrung).
- Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an Sicherheit/Missbrauchsabwehr (Protokollierung).
3. Kategorien verarbeiteter Daten
- Stammdaten der Nutzer: Name, E-Mail-Adresse, Rolle, Zugehörigkeit zu Labor/Praxis.
- Zugangsdaten: Passwort (nur als kryptografischer Hash), optionale Zwei-Faktor-Daten (verschlüsselt).
- Inhaltsdaten: hochgeladene Belege (verschlüsselt gespeichert) inkl. zugehöriger Metadaten.
- Protokolldaten: Anmeldungen, Dokumenten-Downloads, Zeitpunkt, gekürzte (anonymisierte) IP-Adresse.
4. Empfänger / Auftragsverarbeiter
Eine Übermittlung erfolgt nur an die am Dokumentenaustausch beteiligten Stellen (einladendes Labor bzw. eingeladene Praxis) sowie an technische Dienstleister im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO (Hosting/Server: [Anbieter], E-Mail-Versand: [Anbieter]). Mit diesen bestehen Auftragsverarbeitungsverträge. Eine Übermittlung in Drittländer findet [nicht statt / nur auf Grundlage geeigneter Garantien] statt.
5. Speicherdauer
- Hochgeladene Belege: Nach dem ersten Abruf werden die Dateien nach [3] Monaten automatisch und physisch gelöscht.
- Protokolldaten (Audit-/Download-Protokolle): automatische Löschung nach [12] Monaten.
- Konten: Bei Löschung werden personenbezogene Daten anonymisiert; gesetzlich aufzubewahrende Daten verbleiben bis Fristablauf.
6. Ihre Rechte als betroffene Person
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Auskunft und Löschung können angemeldete Nutzer direkt im Portal unter Profil → Meine Daten & Datenschutz selbst auslösen; alternativ wenden Sie sich an den unter Ziffer 1 genannten Verantwortlichen.
Zudem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (zuständig: [Aufsichtsbehörde des Bundeslandes]).
7. Technische und organisatorische Maßnahmen
- Verschlüsselte Speicherung der Belege (AES) außerhalb des öffentlich erreichbaren Bereichs.
- Verschlüsselte Übertragung (TLS/HTTPS) inkl. HSTS und Content-Security-Policy.
- Strikte Mandantentrennung: Zugriff nur auf Belege der eigenen Praxis bzw. des eigenen Labors.
- Zwei-Faktor-Authentifizierung (für administrative Zugänge verpflichtend), Anmeldeversuch-Begrenzung.
- Datensparsamkeit: Kürzung/Anonymisierung von IP-Adressen, befristete Protokollierung.
8. Cookies
Das Portal setzt ausschließlich technisch notwendige Cookies (Session, CSRF-Schutz). Eine Einwilligung ist hierfür nicht erforderlich; es findet kein Tracking und keine Analyse durch Dritte statt.
Stand: 12.07.2026