ProcequalProcequal
AnmeldenAnfrage stellen

Datenschutzerklärung

Information nach Art. 13 + 14 DSGVO sowie § 25 DSG (Österreich). Stand: April 2026.

Was Procequal nicht ist

  • Kein Medizinprodukt nach MDR / IVDR / MPG. Nicht durch BfArM (DE) oder BASG (AT) reguliert.
  • Kein Patientenverwaltungssystem (PVS), keine elektronische Krankenakte (ePA), keine klinische Entscheidungsunterstützung.
  • Nicht für Echtzeit-Notfall-Entscheidungen konzipiert. Kein Ersatz für etablierte klinische Prozesse.
  • Wir verarbeiten Organisations- und Checklisten-Daten — keine Patienten- oder Behandlungsdaten.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist [Betreiber — wird konfiguriert]. Kontakt für Datenschutzanfragen: [contact@example.invalid]. Vollständige Anbieterkennzeichnung im Impressum.

Eine bestellte Datenschutz­beauftragte gibt es nicht — die Voraussetzungen nach Art. 37 DSGVO bzw. § 5 DSG (regelmäßige Verarbeitung sensibler Daten in großem Umfang oder > 10 Beschäftigte) sind im V1-Beta-Solo-Betrieb nicht erfüllt.

2. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

  • Bereitstellung der Web-Anwendung für angemeldete Organisationen — Authentifizierung, Sitzungsverwaltung, Auslieferung der Inhalte. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Bearbeitung von Org-Anfragen über das öffentliche Antrags­formular. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).
  • Versand transaktionaler E-Mails (Einladungen, Reminder, Mängel-Benachrichtigungen). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Sicherheits-Logs und Fehlerdiagnose (Audit-Log, optionales Fehler-Tracking). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler und nachvollziehbarer Plattform-Operation).

3. Verarbeitete Daten

  • Stammdaten von Mitgliedern: Name, E-Mail-Adresse, Org-Zugehörigkeit, Rolle, Tags.
  • Authentifizierungs-Daten: Argon2id-Passwort-Hashes (niemals als Klartext), Sitzungs-Cookies (HttpOnly, Secure, SameSite=Lax).
  • Anwendungsdaten: Checklisten-Definitionen, Submissions inklusive Antworten, Kommentare, optionale Foto-/Signatur-Anhänge, Mängel-Datensätze.
  • Public-Fill-Daten (QR-Code-Pfad): optionaler Klarname, IP-Adresse für Rate-Limiting (in-memory, kurzlebig), keine sonstigen Tracking-Daten.
  • Audit-Log-Einträge: Aktion, Akteur-ID, Zeitstempel, IP-Adresse, User-Agent — append-only, auf DB-Privilege-Ebene gegen UPDATE/DELETE geschützt.
  • Server-Logs: HTTP-Request-Metadaten, Stack-Traces bei Fehlern. Keine Inhalts- Daten der Submissions in Fehler-Tracking.

Wir verarbeiten keine Patientendaten, keine klinischen Daten, keine Behandlungsdaten. Procequal ist kein Medizinprodukt (siehe Hinweis oben).

4. Empfänger und Auftragsverarbeiter

Personenbezogene Daten werden ausschließlich an folgende Kategorien von Empfängern weitergegeben — alle vertraglich nach Art. 28 DSGVO gebunden:

KategorieZweckJurisdiktion
Hosting (Web, Datenbank, Hintergrund-Tasks)
Bereitstellung der Web-Anwendung, Speicherung der Org- und Submission-Daten, Ausführung geplanter Aufgaben (Reminder-Mails).EU (Deutschland)
Transaktionale E-Mail
Versand von Einladungen, Reminder-Mails und Mängel-Benachrichtigungen.EU oder USA mit Standardvertragsklauseln (Art. 46 DSGVO)
Fehler-Tracking
Erfassung von Stack-Traces zur Fehlerdiagnose. Pro Deployment deaktivierbar; keine Inhalts-Daten.EU oder USA mit Standardvertragsklauseln (Art. 46 DSGVO)
Object-Storage für Anhänge
vorgesehen, in V1 nicht aktiv		Speicherung von Bild-Uploads und Datei-Anhängen (für Foto-Antworten und Mängel-Anhänge).EU

Die vollständige, namentliche Liste der eingesetzten Auftragsverarbeiter ist Bestandteil des Auftragsverarbeitungsvertrags (AVV) und wird Organisationen vor der Aktivierung ausgehändigt — gemäß Art. 28.4 DSGVO mit Widerspruchsrecht.

5. Internationale Datenübertragung

Primär-Verarbeitung (Web-Anwendung, Datenbank, Hintergrund-Worker) findet ausschließlich innerhalb der EU statt. Soweit Hilfs-Dienste (z. B. transaktionale E-Mail, Fehler-Tracking) auf US-Anbieter mit EU-Region oder Standardvertrags­klauseln zurückgreifen, erfolgt die Übertragung auf Grundlage von Art. 46 Abs. 2 lit. c DSGVO (Standard­vertrags­klauseln der EU-Kommission).

6. Speicherdauer

  • Aktive Org-Daten: für die Dauer der Vertrags­beziehung.
  • Nach Konto- oder Org-Löschung: Soft-Delete für 90 Tage (Wiederherstellungs-Fenster), anschließend Hard-Delete inkl. Backup-Rotation.
  • Audit-Log-Einträge: 24 Monate ab Erstellung. Verlängert sich, wenn gesetzliche Aufbewahrungs­pflichten greifen.
  • Server-Logs (Access/Error): bis zu 30 Tage rotierend.
  • Public-Fill-IPs: kurzlebig im Rate-Limiter (Minuten-Window), keine persistente Speicherung.

7. Cookies und ähnliche Technologien

Procequal setzt ausschließlich essentielle Cookies, die für den Betrieb der Anwendung technisch erforderlich sind:

  • Auth-Sitzung (HttpOnly + Secure + SameSite=Lax) — nach Anmeldung, kurzlebig, nicht für Tracking.
  • CSRF-Token (für Server-Actions und Formulare).

Es werden keine Analytics-, Marketing- oder Profiling-Cookies gesetzt; keine Drittanbieter-Tracker; keine Session-Replay-Werkzeuge. Eine Cookie-Consent-Bannerpflicht nach § 165 Abs. 3 TKG (Österreich) bzw. § 25 TTDSG (Deutschland) besteht für rein essentielle Cookies nicht.

8. Rechte der betroffenen Personen

Betroffene haben gegenüber dem Verantwortlichen folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16)
  • Löschung (Art. 17), soweit keine vorrangigen Pflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21)
  • Beschwerde bei einer Aufsichtsbehörde — in Österreich: Österreichische Datenschutzbehörde.

Anfragen sind formfrei an [contact@example.invalid] möglich. Bearbeitungsfrist gemäß Art. 12 Abs. 3 DSGVO: ein Monat.

Wenn Mitglieder einer Organisation ihre Rechte gegenüber Daten ausüben, die wir als Auftragsverarbeiter für die Organisation verarbeiten, leiten wir die Anfrage an die zuständige Org weiter — sie ist Verantwortliche im Sinne der DSGVO und der AVV regelt die operative Unterstützung durch uns.

9. Kinder

Procequal richtet sich ausschließlich an Organisationen und ihre Mitarbeitenden. Eine Nutzung durch Kinder unter 16 Jahren ist weder vorgesehen noch erlaubt; wir verarbeiten wissentlich keine Daten von Kindern.

10. Auftragsverarbeitung durch Procequal

Sobald eine Organisation Procequal nutzt, ist die Organisation Verantwortliche im Sinne der DSGVO und Procequal Auftragsverarbeiter nach Art. 28 DSGVO. Der vollständige Auftragsverarbeitungsvertrag (mit namentlicher Liste der konkreten Sub-Auftrags­verarbeiter, technisch-organisatorischen Maßnahmen und 72-Stunden-Breach-Notification) wird vor Aktivierung ausgehändigt — Vorlage einsehbar unter /avv.

11. Änderungen dieser Datenschutzerklärung

Diese Erklärung wird angepasst, wenn sich die Verarbeitungs­tätigkeiten ändern oder gesetzliche Vorgaben dies erfordern. Erhebliche Änderungen werden registrierten Organisationen mit angemessener Vorwarnung kommuniziert.

Datenschutzerklärung · Procequal