ClinicVi
Startseite
Rechtliches

Datenschutzerklärung

Diese Erklärung beschreibt, wie UDY Digital als Betreiberin von ClinicVi personenbezogene Daten verarbeitet. Sie ist gemäß der EU-Datenschutz-Grundverordnung (DSGVO) erstellt.

Zuletzt aktualisiert: 2026-04-27

1. Verantwortlicher

UDY Digital
Rissenerstr. 42, 22880 Wedel, Deutschland
Umut Deniz Yorulmaz
[email protected]

Für datenschutzrechtliche Fragen, Auskunfts- und Löschungswünsche: [email protected]. Ein Datenschutzbeauftragter ist nicht gesetzlich erforderlich.

2. Welche Daten wir verarbeiten

a) Konto- und Vertragsdaten

Bei der Registrierung erfassen wir Name, E-Mail-Adresse, Passwort (gehasht), Klinikname, Standort und Rolle. Rechtsgrundlage: Vertragserfüllung, Art. 6 (1) (b) DSGVO.

b) Nutzungs- und Protokolldaten

Beim Aufruf des Dienstes verarbeiten unsere Hosting-Anbieter automatisch IP-Adresse, Zeitstempel, User-Agent und URL. Rechtsgrundlage: berechtigtes Interesse (IT-Sicherheit, Missbrauchserkennung), Art. 6 (1) (f) DSGVO.

c) Patientendaten in Auftragsverarbeitung

Kliniken nutzen ClinicVi, um Patientenanfragen, Termine und Kommunikation zu verwalten. Wir verarbeiten dabei Patientendaten — einschließlich Gesundheitsdaten im Sinne von Art. 9 DSGVO — ausschließlich im Auftrag der jeweiligen Klinik (Art. 28 DSGVO). Verantwortlicher gegenüber Patienten ist die Klinik. Wir schließen mit jeder Klinik einen Auftragsverarbeitungsvertrag (AVV).

d) Marketing-Kommunikation

Wenn Sie sich aktiv eingetragen haben, erhalten Sie Produktneuigkeiten an Ihre E-Mail-Adresse. Rechtsgrundlage: Einwilligung, Art. 6 (1) (a) DSGVO. Sie können die Einwilligung jederzeit über den Abmeldelink in jeder E-Mail oder per E-Mail an uns widerrufen.

3. Auftragsverarbeiter und Empfänger

Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen wir DSGVO-konforme Verträge geschlossen haben:

ServicePurposeRegion
Supabase Inc.Datenbank, Authentifizierung, Datei-StorageEU (Frankfurt)
Resend, Inc.Transaktionale & Marketing-E-MailsEU / US (SCC)
Coolify (Self-Hosted)Anwendungs-HostingEU (Deutschland)

Eine Übermittlung in Drittländer (USA) erfolgt nur, wenn der Empfänger ein angemessenes Schutzniveau bietet, z.B. durch Standardvertragsklauseln (SCC) und zusätzliche technische Maßnahmen.

4. Speicherdauer

  • Konto- und Vertragsdaten: Während der Vertragslaufzeit + bis zu 10 Jahre für handels- und steuerrechtliche Aufbewahrung (§§ 147 AO, 257 HGB).
  • Nutzungs- und Protokolldaten: Bis zu 90 Tage zur Sicherheits- und Fehleranalyse.
  • Patientendaten in Auftragsverarbeitung: Nach Weisung der Klinik; gesetzliche Aufbewahrungsfristen für medizinische Dokumentation richten sich nach dem Recht der Klinik.
  • Marketing-Daten: Bis zum Widerruf der Einwilligung.

5. Ihre Rechte

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 (3) DSGVO)

Anfragen richten Sie bitte an [email protected]. Sie haben zudem das Recht auf Beschwerde bei einer Aufsichtsbehörde, in Schleswig-Holstein: Unabhängiges Landeszentrum für Datenschutz (ULD).

6. Cookies und vergleichbare Technologien

Details zu eingesetzten Cookies, deren Zweck und Speicherdauer finden Sie in unserer Cookie-Richtlinie. Nicht zwingend erforderliche Cookies werden nur mit Ihrer Einwilligung gesetzt.

7. Automatisierte Verarbeitung & KI-Assistent (Art. 22 DSGVO)

ClinicVi enthält einen KI-Assistenten, der Kliniken bei der Beantwortung von Patientenanfragen unterstützt. Final werden Antworten von einer:einem Mitarbeiter:in der Klinik geprüft und freigegeben; eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung gegenüber Patient:innen findet nicht statt. Sie können jederzeit eine menschliche Überprüfung gemäß Art. 22 Abs. 3 DSGVO verlangen.

8. Sicherheit (Art. 32 DSGVO)

Technische und organisatorische Maßnahmen (TOM):

  • TLS 1.2+ Verschlüsselung im Transit; AES-256 Verschlüsselung ruhender Daten.
  • Row-Level-Security (RLS) auf jeder Multi-Tenant-Tabelle — Klinik-Daten sind logisch isoliert.
  • Mehrfaktor-Authentifizierung für administrative Zugänge; Prinzip der minimalen Rechte.
  • Zugriffs- und Audit-Protokolle zur Aufklärung von Sicherheitsvorfällen.
  • Regelmäßiges Schwachstellen- und Abhängigkeitsmonitoring.
  • Verschlüsselte, geo-redundante Backups (ausschließlich EU).

9. Datenschutzverletzung (Art. 33 / 34 DSGVO)

Eine Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für Rechte und Freiheiten natürlicher Personen führt, melden wir binnen 72 Stunden nach Kenntnis der zuständigen Aufsichtsbehörde (Art. 33 DSGVO). Bei voraussichtlich hohem Risiko benachrichtigen wir die betroffene Klinik bzw. — als Auftragsverarbeiter — den Verantwortlichen unmittelbar (Art. 34 DSGVO bzw. Art. 33 Abs. 2).

10. Änderungen dieser Erklärung

Wir aktualisieren diese Erklärung, sobald sich Verarbeitungen oder rechtliche Anforderungen ändern. Die jeweils gültige Fassung ist auf dieser Seite abrufbar.