Datenschutzerklärung
für die Website praxisfinanz.de und die zugehörige SaaS-Anwendung
Vorlage Version 2026-05 · Stand: 13. Mai 2026
§ 1 Verantwortlicher
Verantwortlich im Sinne der DSGVO und des TTDSG für die Verarbeitung personenbezogener Daten auf dieser Website und in der PraxisFinanz-Anwendung ist:
MPP Technologies GmbH i.Gr.
Ahlbecker Str. 6
10437 Berlin
Deutschland
E-Mail: hallo@meinpraxispartner.de
Vertretungsberechtigt: Paul Tosetti
§ 2 Erhobene und verarbeitete Daten
Wichtig: PraxisFinanz verarbeitet keine patientenbezogenen Inhaltsdaten. Patienten erscheinen ausschließlich als pseudonymisierte ID-Referenz aus dem PVS, nicht mit Klartextnamen oder Versichertennummern.
2.1 Marketing-Seite (Besucher)
- Server-Logs (IP-Adresse, User-Agent, Referrer, Zeitstempel) — gespeichert maximal 30 Tage zur Abwehr von Angriffen
- Cookie-Consent-Status (technisch notwendig, 1 Jahr Speicherung)
- Bei E-Mail- oder Demo-Anfragen: Name, E-Mail, Praxisname, Nachricht
2.2 SaaS-Anwendung (Kunden)
- Stammdaten der Praxis (Firmierung, Anschrift, USt-IdNr.)
- Stammdaten der Lieferanten (Firmierung, Anschrift, IBAN, USt-IdNr., Kontakt-E-Mail)
- Eingangsrechnungs-Inhalte (PDF/Bild und extrahierte Felder wie Beträge, Positionen, Skonti)
- Bank-Transaktionen, soweit über CSV-Import oder PSD2-Schnittstelle bereitgestellt
- User-Profile (E-Mail, Rolle, Login-Sessions, Authentifizierungs- Faktoren)
- Zahlungsdaten via Stripe (tokenisiert, keine Klartext-Karten- oder Kontodaten beim Verantwortlichen)
- Audit-Logs (Wer hat was wann getan, IP, User-Agent, Trace-IDs)
- Pseudonymisierte Patient-IDs zur PVS-Verknüpfung (keine Klartextnamen)
§ 3 Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten auf folgenden Grundlagen:
- Art. 6 Abs. 1 lit. b DSGVO (Vertrag oder vorvertragliche Maßnahmen): Anlage und Verwaltung des Kunden-Accounts, Bereitstellung der SaaS-Leistung, Rechnungsstellung
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): GoBD-Aufbewahrung von Geschäftsbelegen (§§ 145 ff. AO, 10 Jahre)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): IT-Sicherheit, Missbrauchsabwehr, anonymisierte Produkt-Analytik, Cashflow-Aggregation
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): nur für optionale Funktionen (z. B. Marketing-Newsletter, externer Anomalie-Erklär-Service via Claude)
§ 4 Subprozessoren und Empfänger der Daten
Für den Betrieb der Plattform setzen wir folgende Auftragsverarbeiter ein. Mit allen Anbietern bestehen Datenschutzverträge nach Art. 28 DSGVO. Für Übermittlungen in Drittländer (insbesondere USA) gelten EU-Standard-Vertragsklauseln (SCC); zusätzliche Schutzmaßnahmen sind im jeweiligen DPA dokumentiert.
| Anbieter | Sitz | Zweck | Daten | Region/Transfer |
|---|---|---|---|---|
| Vercel Inc. | USA | Hosting | Server-Logs, gesamter Anwendungs-Traffic | Hosting EU (fra1), DPA + EU-SCC |
| Supabase Inc. | USA | Datenbank, Authentifizierung, Storage | Alle Anwendungsdaten | Region EU (eu-west-1, Frankfurt), DPA + EU-SCC |
| Stripe Payments Europe Ltd. | Irland (EU) | Zahlungsabwicklung | Praxis-Stammdaten, Zahlungs-Token, Belegdaten | EU, DPA + EU-Vertreter |
| Anthropic PBC | USA | KI-OCR und Anomalie-Erklärung (Claude API) | Rechnungs-PDFs/Bilder, extrahierte Felder | USA, DPA + EU-SCC, Zero-Retention-Konfiguration |
| Resend, Inc. | USA | Transaktionale Outbound-E-Mails | E-Mail-Adresse, Mail-Inhalte | EU-Region wählbar, DPA + EU-SCC |
| Postmark (ActiveCampaign LLC) | USA | Inbound-E-Mail für Rechnungs-Forwarding | Eingehende Mails inkl. Anhänge | USA, DPA + EU-SCC |
| Functional Software, Inc. (Sentry) | USA / Deutschland (Sentry GmbH) | Error-Monitoring | Stack-Traces, User-ID (pseudonym), Request-Metadaten | EU-Hosting verfügbar, DPA + EU-SCC, PII-Strip in beforeSend |
| Upstash, Inc. | USA | Rate-Limiting (Redis) | Gehashte IP-Adressen, API-Counter | EU-Region verfügbar, DPA + EU-SCC |
| Strato AG | Deutschland | Domain-Registrar | Domain-Inhaberdaten (öffentlich) | DE |
Eine jeweils aktuelle, interne Reference-Liste mit DPA-Links und Einsatz-Datum wird zusätzlich in docs/subprozessoren.mdgeführt und auf Anfrage übermittelt.
§ 5 Datentransfers in Drittländer
Soweit oben angegeben, werden Daten an Anbieter mit Sitz in den USA übertragen. Da das EU-US-Privacy-Shield mit dem Urteil des EuGH („Schrems II", C-311/18) für ungültig erklärt wurde, stützen wir solche Transfers auf:
- EU-Standard-Vertragsklauseln (Beschluss (EU) 2021/914 vom 04.06.2021) mit allen US-Anbietern;
- zusätzliche technische Schutzmaßnahmen (Transport-Verschlüsselung TLS, Verschlüsselung at-rest, Pseudonymisierung, PII-Strip in Sentry);
- soweit verfügbar Hosting in EU-Regionen (Vercel fra1, Supabase eu-west-1, Resend EU-Region).
Im Einzelfall stützen wir uns ergänzend auf das EU-US Data Privacy Framework (Beschluss vom 10.07.2023), soweit der jeweilige Anbieter dort zertifiziert ist.
§ 6 Speicherdauer
- Eingangsrechnungen (Original-PDF): 90 Tage im Hot-Storage
pf-inbox-raw, anschließend Übergabe in den GoBD-Archive-Bucketpf-archive-gobdmit 10-Jahres-Object-Lock (§ 147 AO) - Audit-Log: 10 Jahre append-only mit Hash-Chain
- User-Profile und Stammdaten: bis Vertragsende, danach 30 Tage Übergangsfrist, anschließend Löschung
- Server-Logs: 30 Tage rolling
- Sentry-Events: 30 Tage rolling, danach automatische Löschung
- Marketing-Anfragen ohne Vertragsschluss: 6 Monate, danach Löschung
§ 7 Ihre Rechte als Betroffene Person
- Auskunft (Art. 15 DSGVO) über die zu Ihrer Person gespeicherten Daten
- Berichtigung (Art. 16 DSGVO) unrichtiger oder unvollständiger Daten
- Löschung (Art. 17 DSGVO), soweit keine gesetzliche Aufbewahrungspflicht entgegensteht
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) als strukturierter Export
- Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Anfragen richten Sie bitte an: datenschutz@meinpraxispartner.de. Wir bearbeiten Anfragen innerhalb der gesetzlichen Frist von einem Monat.
§ 8 Cookies und Tracking
PraxisFinanz setzt ausschließlich technisch notwendige Cookies ein:
- Session-Cookie für die Authentifizierung (Supabase-Auth, HttpOnly, Secure, SameSite=Lax)
- Cookie-Consent-Status (technisch notwendig, 12 Monate Speicherung)
- CSRF-Schutz-Cookie pro Session (ablaufend mit Session)
Standardmäßig kein Marketing-Tracking.Wir verwenden weder Google Analytics noch Meta-Pixel oder andere Werbe-Tracker. Falls Produkt-Analytik (z. B. PostHog) zukünftig eingeführt wird, geschieht dies ausschließlich auf Basis einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG).
§ 9 Beschwerderecht bei der Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde — insbesondere im Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
Zuständige Behörde für uns als verantwortliche Stelle in Berlin ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)
Alt-Moabit 59-61
10555 Berlin
Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Web: datenschutz-berlin.de
§ 10 SSL-/TLS-Verschlüsselung
Diese Seite und die SaaS-Anwendung nutzen aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine TLS-Verschlüsselung (TLS 1.2 oder höher, moderne Cipher-Suiten). Eine verschlüsselte Verbindung erkennen Sie am Schloss-Symbol in der Adresszeile des Browsers.
§ 11 Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen (z. B. neue Subprozessoren). Wesentliche Änderungen kündigen wir mit angemessenem Vorlauf an. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
§ 12 Datenschutzbeauftragter
Ein externer Datenschutzbeauftragter wird nach Abschluss der Anwalts-Konsultation benannt. Bis dahin richten Sie Anfragen zum Datenschutz bitte an: datenschutz@meinpraxispartner.de. Anfragen werden vom Geschäftsführer Paul Tosetti persönlich bearbeitet.