🔒 Sicherheit & Datenschutz

Patientendaten.
Sicher. Immer.

Gesundheitsdaten nach Art. 9 DSGVO sind die sensibelsten Daten, die eine Praxis verwaltet. Wir behandeln sie entsprechend — mit vollständiger Transparenz darüber, wie und wo Ihre Daten gespeichert und geschützt werden.

Fragen zum Datenschutz → HAL kennenlernen

Grundprinzipien

Sicherheit als Grundlage.

Kein nachträglicher Datenschutz. Keine Compliance-Checkbox. Sicherheit ist von Anfang an in jedes Feature eingebaut.

🇩🇪
Hosting in Deutschland
Alle Daten liegen ausschließlich auf Servern in Frankfurt am Main. Kein US-Cloud-Anbieter. Kein Drittland-Transfer.
ISO-27001-zertifizierte Infrastruktur Supabase EU-Region (Frankfurt) Kein CLOUD Act Risiko
🔐
Zugriffssicherheit
Alle Nutzer müssen 2FA aktivieren, bevor sie auf Patientendaten zugreifen können. Keine Ausnahmen.
TOTP 2-Faktor-Authentifizierung Automatischer Session-Timeout Granulare Rollenrechte
📋
Vollständige Protokollierung
Jeder Datenzugriff wird in unveränderlichen Audit-Logs festgehalten — wer hat was wann gelesen, verändert oder gelöscht.
Unveränderliche Audit-Logs Zeitgestempelt & benutzerbezogen Export auf Anfrage
🔒
Verschlüsselung
Alle Daten sind sowohl in der Übertragung als auch im Ruhezustand verschlüsselt.
TLS 1.3 in der Übertragung AES-256 im Ruhezustand Verschlüsselte Backups
💾
Backup & Recovery
Automatische tägliche Backups mit 30 Tagen Wiederherstellungshistorie. Daten können jederzeit exportiert werden.
Tägliche automatische Backups 30 Tage Wiederherstellung Vollständiger Datenexport
📄
AVV inklusive
Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist in jedem Paket enthalten — ohne Aufpreis, ohne Bürokratie.
Art. 28 DSGVO konform In jedem Paket enthalten Auf Anfrage sofort verfügbar

DSGVO-Konformität

Nicht nachgerüstet. Eingebaut.

Die DSGVO schreibt vor, dass Gesundheitsdaten nach Art. 9 DSGVO mit besonderem Schutz verarbeitet werden müssen. Das ist keine Option — das ist für uns der Ausgangspunkt.

HAL wurde nicht als allgemeine Software entwickelt und dann "DSGVO-kompatibel gemacht". Datenschutz war von der ersten Zeile Code an Teil der Architektur: Row-Level Security, Audit-Logs, Datentrennung zwischen Praxen, kein Cross-Tenant-Datenzugriff.

Sie erhalten von uns auf Anfrage jederzeit die vollständige technisch-organisatorische Maßnahmenliste (TOM) und den Auftragsverarbeitungsvertrag (AVV).

🔒
Datentrennung
Jede Praxis hat vollständig getrennte Datenbereiche. Kein Nutzer kann auf Daten einer anderen Praxis zugreifen — technisch durchgesetzt via Row-Level Security.
🗑️
Recht auf Löschung
Nach Vertragsende erhalten Sie einen vollständigen Datenexport. Danach werden Ihre Daten nach gesetzlicher Aufbewahrungspflicht gemäß DSGVO gelöscht.
📦
Datenportabilität
Alle Patientendaten, Behandlungen, Rechnungen und Dokumente können jederzeit in einem standardisierten Format exportiert werden.
🚨
Meldepflicht bei Vorfällen
Im unwahrscheinlichen Fall einer Datenpanne werden wir Sie sofort informieren — innerhalb der gesetzlichen 72-Stunden-Frist nach Art. 33 DSGVO.

Technisch-Organisatorische Maßnahmen

TOM nach Art. 32 DSGVO.

Auszug unserer implementierten Schutzmaßnahmen. Die vollständige TOM-Liste erhalten Sie auf Anfrage.

Zutrittskontrolle
Physische Infrastruktursicherheit
Rechenzentrum mit Zutrittskontrollen, Überwachung und ISO-27001-Zertifizierung.
Zugangskontrolle
2FA + Session-Management
TOTP-basierte Zwei-Faktor-Authentifizierung für alle Nutzer. Automatischer Logout nach Inaktivität.
Zugriffskontrolle
Rollenbasierte Berechtigungen
Granulare Rechte auf Nutzerebene. Jeder Mitarbeiter sieht nur, was er für seine Rolle benötigt.
Trennungskontrolle
Mandantentrennung
Row-Level Security auf Datenbankebene. Absolute Datenisolation zwischen allen Praxen.
Verschlüsselung
TLS 1.3 + AES-256
Alle Übertragungen via HTTPS/TLS 1.3. Datenbankinhalt und Backups verschlüsselt mit AES-256.
Verfügbarkeit
Backup & Hochverfügbarkeit
Tägliche Backups, 30 Tage Retention, geografische Redundanz der Infrastruktur.
Integrität
Unveränderliche Audit-Logs
Alle Datenzugriffe und -änderungen werden zeitgestempelt protokolliert und können nicht nachträglich verändert werden.
Belastbarkeit
Disaster Recovery
Defined Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Dokumentierte Notfallprozesse.

Fragen?

Wir antworten konkret.

Datenschutzbeauftragte, Praxisinhaber und IT-Verantwortliche stellen uns regelmäßig technische Fragen zu unserem Sicherheitskonzept. Wir beantworten sie gerne — direkt und ohne Marketing-Sprache.

Datenschutz-Anfrage → TOM & AVV anfordern

Oder direkt: administration@hal.care