1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
2. Website-Besuch
Zugriffsdaten (Server-Logs)
Beim Besuch unserer Website werden durch den Webserver automatisch Daten erfasst: IP-Adresse, Datum und Uhrzeit der Anfrage, Browsertyp und -version, Betriebssystem sowie die aufgerufene URL. Diese Daten werden ausschließlich für den Betrieb und die Sicherheit des Systems benötigt und nach spätestens 7 Tagen gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und fehlerfreien Betrieb).
Webanalyse mit Plausible Analytics
Wir verwenden Plausible Analytics, um anonymisierte Besucherstatistiken zu erheben. Plausible Analytics setzt keine Cookies und erhebt keine personenbezogenen Daten. Die Daten werden ausschließlich aggregiert gespeichert und nicht mit einzelnen Personen in Verbindung gebracht.
Dienstanbieter: Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland. Datenverarbeitung in der EU. Da keine personenbezogenen Daten verarbeitet werden, ist weder eine Einwilligung noch ein Cookie-Banner erforderlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an anonymen Reichweitenmessungen).
Externe Schriftarten
Wir binden Schriftarten über Google Fonts ein. Dabei wird beim Laden der Seite eine Verbindung zu Servern von Google LLC aufgebaut und Ihre IP-Adresse übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer einheitlichen Darstellung unserer Website.
3. Nutzerkonto und SaaS-Dienst
Registrierung und Account-Verwaltung
Wenn Sie ein Konto anlegen, verarbeiten wir folgende Daten: E-Mail-Adresse, Name, verschlüsseltes Passwort sowie ggf. Zahlungsdaten (über Stripe). Diese Daten sind zur Vertragserfüllung erforderlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Bewertungsdaten von Drittplattformen
Unser Dienst aggregiert öffentlich sichtbare Bewertungen von Plattformen wie Google Maps, Jameda und Klinikbewertungen.de. Diese Daten werden im Auftrag unserer Kunden (Verantwortlicher) gemäß einem Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO) verarbeitet. Die Bewertungen enthalten ggf. personenbezogene Daten der Verfasser (Vorname, Avatar), die auf den jeweiligen Plattformen öffentlich zugänglich sind.
Rechtsgrundlage (für den Verantwortlichen): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Pflege der Online-Reputation).
Source-Discovery beim Onboarding
Beim Onboarding ermöglichen wir Ihnen, mit einer einzigen Suche relevante öffentliche Bewertungs-Profile Ihrer Praxis auf den Plattformen Google, Facebook, Instagram, Jameda, Klinikbewertungen.de und Sanego zu finden. Dafür übermitteln wir den von Ihnen eingegebenen Suchbegriff an die Google Places API (Google Ireland Ltd., Irland) und an Serper (USA). Es werden keine Patientendaten übertragen — nur der Suchtext, den Sie selbst eingeben (z.B. „Krankenhaus Geilenkirchen").
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
KI-gestützte Antwortvorschläge
Zur Generierung von Antwortvorschlägen verarbeiten wir Bewertungstexte über Amazon Bedrock in der Region Frankfurt (eu-central-1). Die Verarbeitung erfolgt ausschließlich auf AWS-Servern in Deutschland. Datenverarbeiter ist Amazon Web Services EMEA SARL (Luxemburg), mit der ein Datenschutzvertrag (DPA/AVV) gemäß Art. 28 DSGVO besteht. Bewertungsinhalte werden von AWS nicht zum Training von Foundation Models verwendet. Es werden keine medizinisch relevanten Freitexte im Klartext in Log-Dateien gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4. E-Mail-Kommunikation
Transaktionale E-Mails (Verifizierung, Passwort-Reset, Rechnungen) werden über Mailgun (Sinch, EU-Infrastruktur) versendet. Wir verwenden kein Click-Tracking für transaktionale Mails. Open-Tracking kann aktiv sein; wir weisen darauf in dieser Datenschutzerklärung hin.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
5. Zahlungsabwicklung (Stripe)
Zahlungen werden über Stripe Payments Europe Ltd. (Dublin, Irland) abgewickelt. RatingDoc speichert keine Kreditkarten- oder Bankdaten auf eigenen Servern. Stripe ist nach PCI-DSS Level 1 zertifiziert. Weitere Informationen: stripe.com/de/privacy.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6. Sub-Auftragsverarbeiter
Wir setzen folgende Sub-Auftragsverarbeiter ein, mit denen wir Auftragsverarbeitungsverträge geschlossen haben:
| Anbieter | Zweck | Land |
|---|---|---|
| Apify s.r.o. | Web-Scraping | Tschechien (EU) |
| Amazon Web Services EMEA SARL | KI-Antwortvorschläge (Amazon Bedrock, eu-central-1) | Luxemburg (EU, Verarbeitung Frankfurt) |
| Google Ireland Ltd. (Places API) | Source-Discovery: Geschäftsprofile finden | Irland (EU) |
| Serper Inc. | Source-Discovery: Site-spezifische Web-Suche | USA (SCC nach Art. 46 DSGVO) |
| Mailgun (Sinch) | E-Mail-Versand | EU |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) |
| Hosting-Anbieter | Server-Infrastruktur | Deutschland |
| Plausible Insights OÜ | Anonyme Webanalyse (keine PII) | Estland (EU) |
7. Drittlandtransfer
Die Verarbeitung durch Amazon Bedrock erfolgt ausschließlich in Rechenzentren innerhalb der EU (Frankfurt, eu-central-1). Vertragspartner ist Amazon Web Services EMEA SARL mit Sitz in Luxemburg; ein Drittlandtransfer findet insoweit nicht statt.
Für die Source-Discovery beim Onboarding übermitteln wir den von Ihnen eingegebenen Suchbegriff an Serper Inc. (USA). Dieser Transfer erfolgt auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO. Mit Serper besteht ein entsprechender Auftragsverarbeitungsvertrag inklusive SCCs.
8. Speicherdauer
Wir speichern personenbezogene Daten nur solange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten (z.B. 10 Jahre für Rechnungsbelege gem. § 147 AO) bestehen. Nach Kündigung eines Kundenkontos werden die Daten nach einer Übergangsfrist von 30 Tagen gelöscht.
9. Ihre Rechte
Sie haben folgende Rechte gegenüber uns:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an: datenschutz@ratingdoc.de
10. Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Für uns zuständig ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
11. Automatisierte Entscheidungsfindung
Wir setzen keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO ein.