Datenschutzerklärung
1. Einleitung
Diese Datenschutzerklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen von ZENIT Dental. Sie ersetzt keine individuelle Rechtsberatung; maßgeblich für den Produktivbetrieb ist die finale rechtliche Prüfung durch beauftragte Rechtsberatung (Counsel-Sign-off) als Voraussetzung für den Go-Live.
2. Verantwortlicher & Auftragsverarbeitung
Bei dieser Anwendung bestehen zwei getrennte Verantwortlichkeiten, je nachdem, welche Daten verarbeitet werden:
2.1 Plattformbetrieb (Hosting, Server-Logs, Authentifizierung)
Für die technische Bereitstellung der Anwendung — Hosting, Server-Logs, Auth-Session-Cookies sowie die Anmeldung/Authentifizierung — ist die ZENIT KI GmbH Verantwortlicher im Sinne der DSGVO. Kontaktdaten siehe Impressum.
2.2 Im Auftrag der Praxis verarbeitete Mitarbeiterdaten
Für die im Auftrag der jeweiligen Zahnarztpraxis verarbeiteten Mitarbeiterdaten — insbesondere Zeiterfassung, Schichtplanung und Abwesenheiten (einschließlich Krankmeldungen) — ist die jeweilige Zahnarztpraxis Verantwortlicher im Sinne der DSGVO. Die ZENIT KI GmbH verarbeitet diese Daten als Auftragsverarbeiter nach Art. 28 DSGVO im Auftrag der Praxis. Betroffenenrechte bezüglich dieser Daten sind gegenüber der Praxis geltend zu machen; weitere Einzelheiten enthält die Art.-13-Mitarbeiterinformation der jeweiligen Praxis.
3. Verarbeitete Daten & Zwecke
3.1 Identitäts- und Kontodaten
| Datenkategorie | Beschreibung |
|---|---|
| Name | Vor- und Nachname |
| E-Mail-Adresse | Geschäftliche E-Mail-Adresse (optional — Konten können auch ohne E-Mail-Adresse angelegt werden) |
| Benutzer-ID | Technische Identifikatoren (auth_user_id, interne mitarbeiter-ID) |
| Rolle | Zugewiesene Systemrolle: inhaber, manager, mitarbeiter oder buchhalter |
| Position | Tätigkeitsprofil: behandler, assistenz, rezeption oder verwaltung |
| PIN | Vierstellige Praxis-PIN für das Stempel-Terminal; wird ausschließlich als kryptografischer Hash (argon2id) gespeichert — der Klartext-PIN verlässt das Endgerät nicht und wird nicht gespeichert |
3.2 Zeiterfassungsdaten
| Datenkategorie | Beschreibung |
|---|---|
| Arbeitszeitstempel | Einstempel- und Ausstempel-Zeitpunkte (Server-Zeitstempel) |
| Pausenzeiten | Automatisch berechnete Pflichtpausen nach ArbZG |
| Saldo | Kumulierter Stundenstand (Soll–Ist-Differenz) |
| Korrekturbuchungen | Manuell erfasste Korrekturen mit Notiz und Datum |
3.3 Zugriffs- und Protokolldaten
| Datenkategorie | Beschreibung |
|---|---|
| Audit-Log | Revisionssichere Aufzeichnung von schreibenden Aktionen (Wer hat was wann geändert); append-only — keine nachträgliche Änderung oder Löschung technisch möglich |
| Login-Ereignisse | Zeitpunkt erfolgreicher und fehlgeschlagener Anmeldeversuche (für Sicherheitsprotokoll) |
3.4 Zwecke der Verarbeitung
- Authentifizierung und Zugriffskontrolle — Nachweis der Identität für die sichere Anmeldung am System und Steuerung der Zugriffsrechte entsprechend Ihrer Rolle.
- Zeiterfassung — Gesetzeskonforme und revisionssichere Erfassung von Arbeitszeiten gemäß den Anforderungen des ArbZG und der EuGH-Rechtsprechung (C-55/18).
- Schichtplanung und Soll/Ist-Abgleich — Planung und Dokumentation von Arbeitszeiten im Verhältnis zum vereinbarten Arbeitszeitmodell.
- Revisionssicherheit und Nachweiszweck — Dokumentation für den Streitfall (z. B. bestrittene Überstunden oder ArbZG-Verstöße); das Audit-Log bildet einen belastbaren Nachweis.
4. Rechtsgrundlagen
4.1 Zeiterfassung und Authentifizierung
Die Verarbeitung personenbezogener Daten im Rahmen der Authentifizierung und Zeiterfassung stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen). §26 BDSG wird ausdrücklich nicht als primäre Rechtsgrundlage herangezogen: Der EuGH hat mit Urteil vom 30. März 2023 (C-34/21) klargestellt, dass § 26 BDSG als nationalstaatliche Öffnungsklausel nur insoweit anwendbar ist, als er die Anforderungen von Art. 88 DSGVO vollständig erfüllt.
Die gesetzliche Erfassungspflicht ergibt sich zusätzlich aus zwei Ankerpunkten: Das Bundesarbeitsgericht (BAG) hat im Beschluss 1 ABR 22/21 vom 13. September 2022 festgestellt, dass Arbeitgeber bereits nach geltendem Recht verpflichtet sind, ein System einzuführen, mit dem die von den Arbeitnehmern geleistete Arbeitszeit erfasst werden kann. Der EuGH hat mit Urteil C-55/18 entschieden, dass die Mitgliedstaaten Arbeitgeber zur Einführung objektiver, verlässlicher und zugänglicher Systeme zur Messung der täglichen Arbeitszeit verpflichten müssen.
4.2 Krankmeldungen (besondere Kategorie)
Krankmeldungsdaten fallen unter Art. 9 DSGVO (besondere Kategorien personenbezogener Daten). ZENIT Dental speichert daher ausschließlich, ob ein Mitarbeiter abwesend war (Ja/Nein + Zeitraum) — keine Diagnose, keinen Arztbefund, keine Krankheitsart. Der Lesezugriff auf diese Daten ist zusätzlich verschärft beschränkt: Krankmeldungen sind ausschließlich für Inhaber und Manager der Praxis sowie für die betroffene Person selbst einsehbar; Buchhalter und Verwaltung haben keinen Zugriff.
5. Hosting & Auftragsverarbeiter
Für den Betrieb der Anwendung setzen wir folgende Auftragsverarbeiter (Art. 28 DSGVO) ein:
- Supabase — Postgres-Datenbank, Authentifizierung, Row-Level-Security, Storage. Region: eu-central-1 (Frankfurt).
- Vercel — Hosting der Next.js-Anwendung. Region: fra1 (Frankfurt).
Transaktionale Auth-E-Mails (Einladung, Passwort-Zurücksetzen) werden über den in Supabase integrierten E-Mail-Versand verschickt. Ein Drittland-Transfer personenbezogener Daten findet nicht statt — die genannten Dienstleister verarbeiten Daten ausschließlich innerhalb der EU (Frankfurt).
6. Cookies
Diese Anwendung verwendet ausschließlich technisch notwendige Cookies zur Aufrechterhaltung der Anmelde-Session (Supabase-Auth-Session-Cookies). Es werden keine Tracking- oder Analyse-Tools eingesetzt.
7. Speicherdauer
| Frist | Datensatztyp / Kategorie | Rechtsgrundlage / Begründung |
|---|---|---|
| 2 Jahre | Operative Schicht- und Planungsdaten ohne gesetzlichen Nachweis-Charakter (z.B. reine Schichtvorlagen, nicht ausgeführte Planung) | Datenminimierung; kein gesetzlicher Mindest-Aufbewahrungszeitraum |
| 6 Jahre | Arbeitszeiterfassungsdaten, Stempel-Events, Zeiteinträge, Saldo-Buchungen (Nachweis gegenüber Behörden, EuGH-Arbeitszeiterfassungspflicht) | §257 HGB (Handelsbücher), bindend BAG-Beschluss 13.09.2022, ArbZG §16 |
| 10 Jahre | Lohnrelevante Daten, Korrekturbuchungen mit steuerrechtlichem Bezug, Arbeitszeitnachweise mit Lohnkennzeichnung | §147 AO (steuerrelevante Unterlagen), §257 HGB Abs. 4 |
Es gilt der Grundsatz „Sperrung statt Löschung bei Austritt“: Beim Austritt eines Mitarbeiters erfolgt keine sofortige Löschung der personenbezogenen Daten. Stattdessen wird der Mitarbeiter gesperrt, da Arbeitszeiterfassungsdaten gesetzlich aufbewahrungspflichtig sind (ArbZG §16, §257 HGB, §147 AO) — eine sofortige Löschung würde gegen diese Pflichten verstoßen.
8. Betroffenenrechte
Ihnen stehen als betroffene Person grundsätzlich folgende Rechte zu:
- Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
- Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Bei Zeiterfassungsdaten bestehen in der Regel solche Pflichten (vgl. Abschnitt 7).
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
- Widerspruchsrecht (Art. 21 DSGVO): Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützt wird, können Sie Widerspruch einlegen. Bei Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. b (Vertragserfüllung) besteht kein allgemeines Widerspruchsrecht.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Sie betreffenden Daten in einem strukturierten, maschinenlesbaren Format erhalten.
Zur Ausübung dieser Rechte für die im Auftrag der Praxis verarbeiteten Mitarbeiterdaten (Abschnitt 2.2) wenden Sie sich bitte an die jeweilige Praxis. Für Fragen zum Plattformbetrieb (Abschnitt 2.1) wenden Sie sich an die ZENIT KI GmbH (Kontaktdaten siehe Impressum).
9. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Für Mitarbeiterdaten, die im Auftrag der Praxis verarbeitet werden (Abschnitt 2.2), ist dies in der Regel die Aufsichtsbehörde am Sitz der Praxis.