Datenschutzerklärung

Verantwortlich im Sinne der DSGVO ist:
Robin Andreas Knapp
Würzbacherstraße 23, 66440 Blieskastel, Deutschland
E-Mail: info@verora.de
Telefon: +49 1556 3396718

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO), zur Erfüllung eines Vertrags (lit. b), zur Erfüllung rechtlicher Verpflichtungen (lit. c) oder auf Grundlage berechtigter Interessen (lit. f).

Die Auslieferung der Anwendung erfolgt über Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) als CDN- und Edge-Computing-Provider. Datenverarbeitung in den USA erfolgt auf Grundlage der EU-Standardvertragsklauseln sowie des EU-US Data Privacy Framework. Anwendungsdaten (Datenbank, Authentifizierung, Datei-Speicher) werden über die Plattform Lovable Cloud / Supabase (Supabase Inc., gehostet in der EU, Frankfurt am Main) verarbeitet. Beim Aufruf der Seite werden technisch notwendige Server-Logs (IP-Adresse, Datum und Uhrzeit, User-Agent, Referrer) für maximal 30 Tage gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherstellung des Betriebs und der IT-Sicherheit).

Für die Nutzung von Verora ist die Anlage eines Kontos erforderlich. Wir verarbeiten dabei insbesondere E-Mail-Adresse, Passwort (gehasht), Name, zugeordneten Pflegedienst und Rollenzugehörigkeit. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Optional kann die Anmeldung über Google OAuth erfolgen (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Dabei werden E-Mail-Adresse, Name und Profilbild von Google an uns übermittelt. Eine Übermittlung an Google in den USA ist möglich (Standardvertragsklauseln, EU-US Data Privacy Framework).

Im Rahmen der Kernfunktion verarbeiten wir hochgeladene Verordnungs-PDFs sowie die daraus extrahierten Daten (Patientendaten, Diagnosen, ärztliche Daten, Heil-/Hilfs-/Pflegehilfsmittel). Diese Daten sind als Gesundheitsdaten gemäß Art. 9 DSGVO besonders schützenswert. Die Verarbeitung erfolgt im Auftrag des nutzenden Pflegedienstes (Auftragsverarbeitung gemäß Art. 28 DSGVO); ein entsprechender AVV wird mit jedem Pflegedienst-Kunden geschlossen.

Zur automatischen Extraktion der Verordnungsdaten setzen wir KI-Modelle über das Lovable AI Gateway ein (Modelle u. a. von Google und OpenAI). Die übermittelten Inhalte werden ausschließlich zur Bearbeitung der Anfrage genutzt und nicht zum Modell-Training verwendet. Eine Übermittlung in Drittländer (insb. USA) erfolgt auf Basis der EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 BDSG (Verarbeitung zum Zweck der Gesundheitsversorgung).

Zur Anforderung von Folgeverordnungen versenden wir in Ihrem Auftrag E-Mails und Faxe an die behandelnden Ärzte. Für den E-Mail-Versand nutzen wir Resend (Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA), für den Fax-Versand FaxSuite (FaxSuite GmbH, Deutschland). Übermittelt werden Empfängeradresse, Inhalt der Anforderung sowie ggf. Anhänge. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mit beiden Anbietern bestehen Verträge zur Auftragsverarbeitung; die Übermittlung an Resend in die USA erfolgt auf Basis der EU-Standardvertragsklauseln.

Die Abwicklung kostenpflichtiger Tarife erfolgt über Stripe (Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Bei Vertragsabschluss werden Zahlungs- und Rechnungsdaten direkt bei Stripe verarbeitet; wir erhalten ausschließlich die für Abrechnung und Vertragsverwaltung notwendigen Informationen (Kunden-ID, Status, Rechnungsbeträge). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Weitere Informationen: stripe.com/de/privacy.

Wir verwenden ausschließlich technisch notwendige Cookies und Local-Storage-Einträge (z. B. Sitzungs-Token zur Authentifizierung, Theme-Einstellung, Tenant-Kontext). Eine Einwilligung ist hierfür gemäß § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich. Tracking-, Analyse- oder Marketing-Cookies setzen wir nicht ein.

Personenbezogene Daten werden nur so lange gespeichert, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen es vorschreiben (insb. § 147 AO, § 257 HGB: 6–10 Jahre). Verordnungsdaten werden auf Weisung des verantwortlichen Pflegedienstes gelöscht; nach Vertragsende erfolgt eine vollständige Löschung innerhalb von 90 Tagen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Die Datenübertragung erfolgt ausschließlich verschlüsselt (TLS 1.2+). Daten werden in der Datenbank verschlüsselt gespeichert (Encryption at rest). Der Zugriff auf Mandantendaten ist durch Row-Level-Security strikt auf den jeweiligen Pflegedienst beschränkt.

Sie haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen die Verarbeitung (Art. 21). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an info@verora.de.

Sie haben das Recht, sich gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde zu beschweren. Zuständig für unseren Sitz ist:
Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12, 66111 Saarbrücken
www.datenschutz.saarland.de

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern dies aufgrund neuer Funktionen oder geänderter Rechtslage erforderlich wird. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.