Datenschutzerklärung
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Website und in der Carelis-Anwendung ist:
Julian Finn Kontalis
Oerath 137, 41812 Erkelenz, Deutschland
E-Mail: kontalis@l-sin.com
2. Datenschutzbeauftragte/r
Ein Datenschutzbeauftragter ist derzeit nicht bestellt. Bei Fragen zum Datenschutz wenden Sie sich an die im Impressum genannten Kontaktdaten.
3. Rollenverteilung: Verantwortlicher vs. Auftragsverarbeiter
Carelis ist eine Software-as-a-Service-Lösung für ambulante Betreuungsdienste. Hinsichtlich der von unseren Kunden (Betreuungsdiensten) eingegebenen Klienten- und Mitarbeiterdaten handeln wir als Auftragsverarbeiter im Sinne des Art. 28 DSGVO; der jeweilige Betreuungsdienst ist Verantwortlicher. Grundlage hierfür ist der Auftragsverarbeitungsvertrag (AVV). Für die Verarbeitung im Rahmen unserer eigenen Website, der Registrierung und Abrechnung sind wir selbst Verantwortlicher; diese Verarbeitung beschreibt die vorliegende Erklärung.
4. Zwecke und Rechtsgrundlagen der Verarbeitung
| Zweck | Datenarten | Rechtsgrundlage |
|---|---|---|
| Bereitstellung der Website | Server-Logs, IP-Adresse, Zeitpunkt, abgerufene Ressource | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb) |
| Registrierung & Bereitstellung des Nutzerkontos | Name, E-Mail, Login-Daten, Organisationsdaten | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| Vertragsabwicklung & Abrechnung | Rechnungs-/Zahlungsdaten | Art. 6 Abs. 1 lit. b und lit. c DSGVO (Vertrag, gesetzliche Pflichten) |
| Verarbeitung von Klienten-/Gesundheitsdaten in der App | Stammdaten, Pflegegrad, Dokumentation, Leistungsnachweise | im Auftrag des Kunden (Art. 28 DSGVO); beim Kunden i. d. R. Art. 9 Abs. 2 lit. h/b DSGVO |
| Kommunikation / Support | Kontaktdaten, Nachrichteninhalt | Art. 6 Abs. 1 lit. b/f DSGVO |
5. Besondere Kategorien personenbezogener Daten (Gesundheitsdaten)
In der Anwendung werden Gesundheitsdaten i. S. d. Art. 9 DSGVO (z. B. Pflegegrad, Betreuungsdokumentation) verarbeitet. Dies erfolgt ausschließlich im Auftrag des jeweiligen Betreuungsdienstes zum Zweck der Versorgung und Abrechnung. Die Zulässigkeit beim verantwortlichen Betreuungsdienst stützt sich regelmäßig auf Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge/-versorgung) i. V. m. § 22 BDSG sowie ggf. die Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO). Es gelten erhöhte technische und organisatorische Schutzmaßnahmen (siehe Abschnitt 9 und AVV).
6. Empfänger / Auftragsverarbeiter
Zur Erbringung des Dienstes setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestehen:
| Dienstleister | Zweck | Ort der Verarbeitung |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung & Hosting der Anwendungsdaten; serverseitige KI-Funktion (Edge Function) | EU — Irland (AWS eu-west-1) |
| Vercel Inc. | Hosting der Website/Frontend | EU / global (CDN) |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung (kostenpflichtige Tarife) | EU / USA |
| Resend (E-Mail-Versand) | Transaktions-E-Mails (z. B. Rechnungen, Einladungen) | EU / USA |
| Anthropic PBC | KI-Funktionen: zur Erstellung von Textentwürfen (z. B. Betreuungsberichte) und zur Import-Erkennung werden Betreuungs-/Klienteninhalte zur Verarbeitung an Anthropic übermittelt | USA |
Eine Übermittlung erfolgt nur, soweit es für den jeweiligen Zweck erforderlich ist. Beim Einsatz der KI-Funktionen werden nur die für die jeweilige Aufgabe notwendigen Inhalte an Anthropic übermittelt; eine Nutzung der Daten zum Training der Modelle findet vertraglich nicht statt.
7. Drittlandübermittlung
Soweit Daten an Dienstleister mit Sitz oder Verarbeitung in den USA übermittelt werden (z. B. Stripe, Resend, Anthropic), erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. — soweit zertifiziert — des EU-US Data Privacy Framework, jeweils ergänzt um geeignete zusätzliche Schutzmaßnahmen.
8. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen (z. B. handels- und steuerrechtlich bis zu 10 Jahre, § 147 AO) dies vorsehen. Klienten- und Dokumentationsdaten werden nach Maßgabe der Weisungen des verantwortlichen Betreuungsdienstes und der gesetzlichen Aufbewahrungspflichten gelöscht.
9. Datensicherheit (technische und organisatorische Maßnahmen)
Die Datenübertragung erfolgt verschlüsselt über TLS. Die zentrale Datenbank und die Anwendungsdaten werden bei Supabase in der EU-Region Irland (AWS eu-west-1) gehostet und im Ruhezustand verschlüsselt gespeichert. Der Zugriff ist durch Authentifizierung, rollenbasierte Berechtigungen und mandantengetrennte Zugriffsregeln (Row Level Security) beschränkt. Weitere Maßnahmen sind in der Anlage zum AVV beschrieben.
10. Cookies und lokale Speicherung
Die Anwendung verwendet technisch notwendige lokale Speicherung (localStorage) für Anmeldung und Zwischenspeicherung von Anwendungsdaten. Diese ist für den Betrieb erforderlich (§ 25 Abs. 2 TDDDG) und dient nicht der Analyse oder Werbung.
11. Ihre Rechte
Sie haben nach der DSGVO insbesondere folgende Rechte:
- Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17)
- Einschränkung der Verarbeitung (Art. 18) und Datenübertragbarkeit (Art. 20)
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77)
Zur Ausübung Ihrer Rechte genügt eine Nachricht an die im Impressum genannten Kontaktdaten. Betreffen die Daten eine Verarbeitung im Auftrag eines Betreuungsdienstes, leiten wir Ihr Anliegen an den verantwortlichen Betreuungsdienst weiter.
12. Zuständige Aufsichtsbehörde
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, https://www.ldi.nrw.de
13. Keine automatisierte Entscheidung im Einzelfall
Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling mit rechtlicher Wirkung (Art. 22 DSGVO) findet nicht statt. KI-gestützte Funktionen erstellen lediglich Entwürfe oder Vorschläge, die von einem Menschen geprüft werden.
14. Änderungen
Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder die Verarbeitung ändert.