Datenschutzerklärung

Stand: 10. April 2026 · PrivPay

Information gemäß Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten beim Betrieb der PrivPay-Plattform.

AES-256 Verschlüsselung

Sensible Daten verschlüsselt gespeichert

Server in Deutschland

Hosting in der EU (Nürnberg)

DSGVO & § 203 StGB

Berufsgeheimnis-konform

Inhalt

  1. ·1. Verantwortlicher
  2. ·2. Begriffsbestimmungen
  3. ·3. Rolle: Verantwortlicher und Auftragsverarbeiter
  4. ·4. Erhobene Datenkategorien
  5. ·5. Zwecke und Rechtsgrundlagen
  6. ·6. Empfänger und Auftragsverarbeiter
  7. ·7. Übermittlung in Drittländer
  8. ·8. Berufsgeheimnis (§ 203 StGB)
  9. ·9. Cookies und Sessions
  10. ·10. Aufbewahrungsfristen
  11. ·11. Datensicherheit (TOMs)
  12. ·12. Audit-Log und Protokollierung
  13. ·13. Ihre Rechte
  14. ·14. Beschwerderecht bei der Aufsichtsbehörde
  15. ·15. Keine automatisierte Entscheidungsfindung
  16. ·16. Datenschutzvorfälle
  17. ·17. Änderungen dieser Erklärung
1

Verantwortlicher

Verantwortlicher für die Datenverarbeitung im Sinne der DSGVO ist:

Steven Bobrzik

Einzelunternehmen — Geschäftsbezeichnung: PrivPay

Katernbergerstraße 6

45327 Essen

Deutschland

Telefon: +49 176 66681951

E-Mail: info@privpay.de

Datenschutz-Kontakt: datenschutz@privpay.de

PrivPay wird als nicht im Handelsregister eingetragenes Einzelunternehmen geführt. Inhaber und allein vertretungsberechtigt ist Steven Bobrzik.

Sofern für Ihre Praxis ein Datenschutzbeauftragter benannt ist, finden Sie dessen Kontaktdaten in Ihren Praxis-Stammdaten unter Verwaltung → Sicherheit.

2

Begriffsbestimmungen

Diese Erklärung verwendet die Begriffe der DSGVO. Die wichtigsten kurz erklärt:

  • Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, Adresse, IBAN, Diagnose).
  • Besondere Kategorien (Art. 9 DSGVO) umfassen Gesundheitsdaten. Hierzu zählen Versicherungs- und Diagnoseinformationen sowie Behandlungs-bezogene Rechnungspositionen, die in PrivPay verarbeitet werden.
  • Verantwortlicher ist die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet (in der Regel Ihre Praxis bzw. Verwaltung).
  • Auftragsverarbeiter ist eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (PrivPay handelt für die Praxis-Daten als Auftragsverarbeiter im Sinne von Art. 28 DSGVO).
3

Rolle: Verantwortlicher und Auftragsverarbeiter

a) PrivPay als Verantwortlicher

Für die Daten von Praxis- und Verwaltungs-Nutzern (Account, Login, Zwei-Faktor, Audit-Log) sowie für Webseiten-Aufrufe ist PrivPay selbst Verantwortlicher.

b) PrivPay als Auftragsverarbeiter

Für Patienten-, Rechnungs-, Bank- und Korrespondenzdaten, die Sie als Praxis bzw. Verwaltung in der Plattform speichern, handeln wir weisungsgebunden als Auftragsverarbeiter gemäß Art. 28 DSGVO. Verantwortlich bleibt Ihre Praxis bzw. Verwaltung. Den entsprechenden Auftragsverarbeitungsvertrag (AVV) stellen wir kostenfrei zur Verfügung und schließen ihn vor produktiver Nutzung mit jedem Kunden ab.

Anforderung des AVV: datenschutz@privpay.de

4

Erhobene Datenkategorien

Wir verarbeiten — abhängig von Ihrer Rolle und Nutzung — die folgenden Datenkategorien:

a) Praxis- und Verwaltungs-Nutzer (Verantwortlicher: PrivPay)

  • ·Stammdaten: Name, dienstliche E-Mail-Adresse, Praxis-Zuordnung, Rolle
  • ·Zugangsdaten: gehashtes Passwort (bcrypt), Zwei-Faktor-Geheimnis (TOTP, falls aktiviert)
  • ·Token: E-Mail-Verifizierungs- und Passwort-Reset-Token (zeitlich begrenzt)
  • ·Sitzungsinformationen: JSON Web Token (NextAuth, max. 8 Stunden Gültigkeit)
  • ·Audit-Trail: durchgeführte Aktionen mit Zeitstempel und IP-Adresse

b) Patientendaten (Verantwortlicher: Praxis / Verwaltung)

Art. 9 DSGVO – Gesundheitsdaten
  • ·Stammdaten: Anrede, Vor- und Nachname, Geburtsdatum, Anschrift
  • ·Kontaktdaten: E-Mail, Telefon, bevorzugte Versandwege (Post, E-Mail, App)
  • ·Versicherungsdaten: Versicherungsname, Versicherungsnummer, Versicherungsart (privat / gesetzlich)
  • ·Patienten- und Kundennummern, Verknüpfung zu einer oder mehreren Praxen
  • ·Rechnungs- und Behandlungsbezogene Daten (siehe c)
  • ·Optionale Notizen, die durch die Praxis hinterlegt werden
  • ·Bei Nutzung der Patienten-App: gehashtes App-Passwort, Push-Token (Expo), Login-Zeitpunkt

c) Rechnungs- und Behandlungsdaten

  • ·Rechnungsnummer, Status, Beträge (Netto, Brutto, Steuer)
  • ·Rechnungspositionen mit Bezeichnung, Anzahl, Einzelpreis und ggf. Diagnose-/GOÄ-Bezug
  • ·Zustelldaten: Versandweg, Sende-, Mahnungs- und Zahlungszeitpunkte
  • ·Hochgeladene Original-Rechnungs-PDFs (Auto-Import)
  • ·Praxis- und Patientenadresse zum Zeitpunkt der Rechnungsstellung

d) Zahlungs- und Bankdaten

  • ·Stammdaten Praxis-Bankkonto: IBAN, BIC, Kontoinhaber
  • ·Bankbewegungen über GoCardless / PSD2 (nur Lesezugriff zum Rechnungs-Abgleich)
  • ·Transaktionsmetadaten von Stripe / PayPal (Transaktions-ID, Status, Betrag, Datum)
  • ·Verschlüsselte API-Schlüssel der Zahlungsdienstleister (AES-256-GCM)

e) E-Mail-Versand

  • ·Empfänger-, Absender- und Inhaltsdaten gesendeter Rechnungs- und Erinnerungs-E-Mails
  • ·Zustellstatus und Zeitpunkt zur Nachvollziehbarkeit
  • ·SMTP-Zugangsdaten der Praxis (verschlüsselt gespeichert)

f) Push-Benachrichtigungen (Patienten-App)

  • ·Expo-Push-Token des Endgeräts
  • ·Inhalt der Push-Nachricht (z. B. „Neue Rechnung verfügbar")
  • ·Zustell- und Quittungsdaten für die Auslieferung

g) Technische Zugriffsdaten beim Aufruf der Website

  • ·IP-Adresse (gekürzt / pseudonymisiert in Logs)
  • ·Datum und Uhrzeit des Zugriffs
  • ·aufgerufene URL und HTTP-Status
  • ·User-Agent (Browser, Betriebssystem)
  • ·Referrer-URL (sofern übertragen)
5

Zwecke und Rechtsgrundlagen

Für jede Verarbeitungstätigkeit benötigen wir eine Rechtsgrundlage. Konkret:

ZweckRechtsgrundlage
Bereitstellung des Nutzer-Accounts (Praxis/Verwaltung), Login, 2FAArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Verarbeitung von Patientendaten zur Rechnungsstellung (Auftragsverarbeitung)Art. 6 Abs. 1 lit. b und Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 BDSG
Versand von Rechnungen und Zahlungserinnerungen per E-Mail/Post/AppArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Zahlungsabwicklung über Stripe/PayPal/GoCardlessArt. 6 Abs. 1 lit. b DSGVO
Erfüllung steuer- und handelsrechtlicher AufbewahrungspflichtenArt. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO, § 257 HGB
Audit-Log und Sicherheits-ProtokollierungArt. 6 Abs. 1 lit. c und f DSGVO, § 630f BGB
Push-Benachrichtigungen in der Patienten-AppArt. 6 Abs. 1 lit. a DSGVO (Einwilligung des Patienten beim Aktivieren der App)
Webserver-Logs zur Sicherstellung des BetriebsArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Optionale automatische Betragserkennung mittels KIArt. 6 Abs. 1 lit. f DSGVO; Aktivierung optional und konfigurierbar
Geltendmachung, Ausübung und Verteidigung von RechtsansprüchenArt. 6 Abs. 1 lit. f DSGVO, Art. 9 Abs. 2 lit. f DSGVO
6

Empfänger und Auftragsverarbeiter

Wir geben Ihre Daten nur dann an Dritte weiter, wenn dies zur Erfüllung des Vertrags erforderlich ist, Sie eingewilligt haben oder eine gesetzliche Pflicht besteht. Folgende Auftragsverarbeiter und Empfänger kommen zum Einsatz:

Hosting-Provider

Nürnberg / EU

Bereitstellung der Plattform, Datenbank, Dateispeicher

Art. 28 DSGVO – Auftragsverarbeitungsvertrag liegt vor

Stripe Payments Europe Ltd.

Dublin, Irland

Karten- und SEPA-Zahlungen, PCI-DSS Level 1

Art. 6 Abs. 1 lit. b DSGVO · stripe.com/de/privacy

PayPal (Europe) S.à r.l. et Cie, S.C.A.

Luxemburg

PayPal-Zahlungen und Gastzahlung

Art. 6 Abs. 1 lit. b DSGVO · paypal.com/de/webapps/mpp/ua/privacy-full

GoCardless Ltd.

London, UK (EU-Adäquanzbeschluss)

Open Banking / PSD2 – nur lesender Zugriff auf Bankbewegungen zum Rechnungsabgleich

Art. 6 Abs. 1 lit. b DSGVO · gocardless.com/legal/privacy

SMTP-Provider Ihrer Praxis

Konfigurierbar (Praxis hinterlegt eigenen Mail-Server)

Versand der Rechnungs- und Erinnerungs-E-Mails

Art. 6 Abs. 1 lit. b DSGVO · die Verantwortlichkeit für den SMTP-Provider liegt beim Praxis-Betreiber

Expo (Push-Service)

USA – Standardvertragsklauseln (SCC)

Auslieferung von Push-Nachrichten an die Patienten-App

Art. 6 Abs. 1 lit. a DSGVO · Aktivierung erfolgt durch den Patienten in der App

OpenAI, L.L.C.

USA – Standardvertragsklauseln (SCC)

Optional: KI-gestützte Erkennung des Rechnungsbetrags aus PDF-Uploads (Vision-Modell). Es werden ausschließlich Bild-/PDF-Inhalte der Rechnung übermittelt, keine Patienten-Stammdaten. OpenAI nutzt API-Daten laut eigener Erklärung nicht zum Training.

Dieser Dienst ist optional und nur aktiv, wenn ein API-Schlüssel hinterlegt wurde.

Art. 6 Abs. 1 lit. f DSGVO · openai.com/policies/privacy-policy

Mit allen Auftragsverarbeitern haben wir einen Vertrag nach Art. 28 DSGVO geschlossen. Die jeweils aktuelle Liste der Subprozessoren stellen wir auf Anfrage bereit.

7

Übermittlung in Drittländer

Eine Übermittlung in Länder außerhalb der EU/des EWR findet ausschließlich in den folgenden Fällen statt:

  • ·Expo Push-Service (USA): notwendige Übermittlung des Push-Tokens und der Nachricht zur Auslieferung an das Endgerät der Patientin / des Patienten. Grundlage: EU-Standardvertragsklauseln und Einwilligung im Rahmen der Patienten-App-Aktivierung.
  • ·OpenAI (USA, optional): Übermittlung des Rechnungs-Bildes/PDF an das Vision-Modell, sofern der KI-Fallback aktiviert ist. Grundlage: EU-Standardvertragsklauseln; OpenAI verpflichtet sich vertraglich, API-Inhalte nicht für Trainingszwecke zu verwenden.

Hinweis

Sie können den optionalen OpenAI-Fallback in den Einstellungen jederzeit deaktivieren. Ohne API-Schlüssel findet keine Übermittlung an OpenAI statt.

8

Berufsgeheimnis (§ 203 StGB)

PrivPay verarbeitet im Auftrag von Heilberuflern Daten, die der ärztlichen Schweigepflicht (§ 203 StGB) unterliegen. Wir sind uns dieser besonderen Verantwortung bewusst und stellen sicher, dass:

  • · alle Mitarbeitenden mit Zugang zu Kundendaten schriftlich auf das Berufsgeheimnis verpflichtet sind (§ 203 Abs. 4 StGB);
  • · nur ausdrücklich berechtigte Personen Zugriff auf Kundeninstanzen erhalten und alle Zugriffe protokolliert werden;
  • · externe Subprozessoren (siehe Ziffer 6) ebenfalls auf die Verschwiegenheit verpflichtet sind, soweit sie mit geheimnisgeschützten Daten in Berührung kommen können;
  • · Wartung und Fernzugriff ausschließlich auf Anforderung des Verantwortlichen und nachvollziehbar im Audit-Log erfolgen.
9

Cookies und Sessions

Wir setzen ausschließlich technisch notwendige Cookies für Authentifizierung und Session-Verwaltung ein. Es werden keine Tracking-, Analyse- oder Marketing-Cookies geladen.

NameZweckLaufzeit
next-auth.session-tokenAuthentifizierter Login (JWT)max. 8 Stunden
next-auth.csrf-tokenSchutz vor CSRF-AngriffenSession
next-auth.callback-urlWeiterleitung nach LoginSession

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderliche Cookies).

10

Aufbewahrungsfristen

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Rechnungs- und Buchhaltungsdaten

10 Jahre

§ 147 AO, § 257 HGB

Behandlungsbezogene Patientendaten

10 Jahre

§ 630f Abs. 3 BGB

Account-Daten der Praxis-/Verwaltungs-Nutzer

bis Vertragsende + Aufbewahrungsfristen

Art. 17 DSGVO

Audit-Log-Einträge

1 Jahr (länger bei sicherheitsrelevanten Vorfällen)

Art. 32 DSGVO

Web-Server-Logs

max. 14 Tage

Art. 6 Abs. 1 lit. f DSGVO

Passwort-Reset / E-Mail-Verifizierungs-Token

max. 24 Stunden

Art. 5 Abs. 1 lit. e DSGVO

Fehlgeschlagene Login-Versuche / Rate-Limiting

max. 24 Stunden

Art. 32 DSGVO

Kontaktanfragen per E-Mail

6 Monate nach abschließender Bearbeitung

Art. 6 Abs. 1 lit. f DSGVO

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert, sofern keine anderen gesetzlichen Pflichten entgegenstehen.

11

Datensicherheit (technische und organisatorische Maßnahmen)

Wir setzen umfangreiche technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein, um die Sicherheit der Verarbeitung zu gewährleisten. Dazu zählen insbesondere:

TLS 1.2/1.3-Verschlüsselung der gesamten Datenübertragung
AES-256-GCM-Verschlüsselung sensibler Felder (SMTP-Pass, API-Keys, Bank-Zugänge)
AES-256-GCM-Verschlüsselung der Diagnosen, Notizen, Leistungspositionen und Patientenadressen at-rest
Pseudonymisierung aller Patienten-Identitäten in Admin-Sichten (HMAC-SHA256, Art. 4 Nr. 5 DSGVO)
Passwort-Hashing mit bcrypt (Cost-Faktor ≥ 12)
Optionale Zwei-Faktor-Authentifizierung (TOTP) für alle Nutzer
Session-Timeout nach 8 Stunden und Re-Authentifizierung bei sicherheitskritischen Aktionen
Rollen- und mandantenbasierte Zugriffskontrolle (Praxis / Verwaltung / Superadmin)
4-Augen-Prinzip (zwei autorisierte Personen) bei Patienten-Identitätszusammenführungen
Zweistufige Freigabe bei App-Praxis-Verknüpfungen (automatische Identitätsprüfung + manuelle Zweitprüfung)
Rate-Limiting auf Login, Registrierung und Versand von Verifizierungs-Codes
Vollständige Mandantentrennung in der Datenbank (Tenant-Isolation, automatisierte Tests)
Backups in der EU mit verschlüsselter Übertragung und Aufbewahrung
Tägliche automatische Datenminimierung (Auto-Retention via Cron) gemäß Art. 5 Abs. 1 lit. e DSGVO
Automatische DSB-Benachrichtigung bei Sicherheitsvorfällen (Art. 33 DSGVO)
Zentrales Audit-Log mit Quellen-Erkennung (App / Praxis / Verwaltung / Admin)
Self-Service-Datenexport für Patienten (JSON, Art. 15 + 20 DSGVO) direkt aus der App
Dokumentierter Incident-Response-Prozess inklusive Meldung an Aufsichtsbehörden
12

Audit-Log und Protokollierung

Zur Erfüllung unserer Pflichten aus Art. 32 DSGVO und § 630f BGB protokollieren wir sicherheits- und datenschutzrelevante Vorgänge in einem Audit-Log. Erfasst werden:

  • · Zeitpunkt, Benutzer-Kennung, IP-Adresse
  • · Aktion (Anlegen, Ändern, Löschen, Versand, Login, Export)
  • · betroffene Ressource (Patient, Rechnung, Einstellung, Konto)
  • · kurze Beschreibung der durchgeführten Änderung

Das Audit-Log ist für die jeweilige Praxis bzw. Verwaltung über die Oberfläche einsehbar (Verwaltung → Audit-Log) und unterstützt damit den Nachweis der Einhaltung der DSGVO (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

13

Ihre Rechte als betroffene Person

Ihnen stehen jederzeit die folgenden Rechte zu:

Art. 15

Auskunft

Welche Daten zu Ihrer Person gespeichert sind

Art. 16

Berichtigung

Korrektur unrichtiger oder unvollständiger Daten

Art. 17

Löschung

Recht auf Vergessenwerden, soweit keine Aufbewahrungspflicht entgegensteht

Art. 18

Einschränkung

Einschränkung der Verarbeitung in bestimmten Fällen

Art. 20

Datenübertragbarkeit

Export der Daten in einem strukturierten, gängigen Format

Art. 21

Widerspruch

Widerspruch gegen eine auf berechtigtem Interesse gestützte Verarbeitung

Art. 7 Abs. 3

Widerruf der Einwilligung

Jederzeit mit Wirkung für die Zukunft widerrufbar

Art. 77

Beschwerde

Beschwerderecht bei einer Aufsichtsbehörde (siehe Ziffer 14)

Direkter Selbst-Service in der Patient-App

Patienten können ihre vollständigen Daten jederzeit selbst in der PrivPay-App exportieren: Einstellungen → Sicherheit → „Meine Daten exportieren". Der Export liefert ein strukturiertes JSON mit Stammdaten, Rechnungen, Benachrichtigungen und Praxis-Verknüpfungen und erfüllt damit Art. 15 + 20 DSGVO. Jeder Export wird im Audit-Log protokolliert.

Anfrage an uns richten

Nutzen Sie für Anfragen datenschutz@privpay.de. Wir bearbeiten Anfragen innerhalb eines Monats ab Eingang. Bei Patientenanfragen leiten wir die Anfrage in der Regel an die jeweils verantwortliche Praxis weiter, da diese unmittelbar Verantwortlicher im Sinne der DSGVO ist.

14

Beschwerderecht bei der Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Für den Verantwortlichen mit Sitz in Nordrhein-Westfalen ist folgende Aufsichtsbehörde zuständig:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Kavalleriestraße 2–4

40213 Düsseldorf

Telefon: +49 211 38424-0

Telefax: +49 211 38424-999

E-Mail: poststelle@ldi.nrw.de

Web: www.ldi.nrw.de

15

Keine automatisierte Entscheidungsfindung

Wir setzen keine automatisierten Einzelentscheidungen einschließlich Profiling im Sinne des Art. 22 DSGVO ein, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

Die optionale KI-gestützte Betragserkennung (siehe Ziffern 5 und 6) dient ausschließlich der Vorbefüllung eines Eingabefeldes — die endgültige Entscheidung trifft immer ein Mensch.

16

Datenschutzvorfälle und Meldungen

Wird uns ein Datenschutzvorfall bekannt, dokumentieren wir diesen im internen Incident-Tracking und informieren — sofern erforderlich — die zuständige Aufsichtsbehörde innerhalb von 72 Stunden(Art. 33 DSGVO) und gegebenenfalls die betroffenen Personen (Art. 34 DSGVO).

Als Praxis bzw. Verwaltung erhalten Sie bei Vorfällen, die Ihre Mandantendaten betreffen, eine unverzügliche Meldung über die im Account hinterlegten Kontaktdaten.

17

Aktualität und Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um geänderten rechtlichen Vorgaben oder Änderungen der Plattform Rechnung zu tragen. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar. Wesentliche Änderungen kommunizieren wir aktiv an unsere Kunden.

Stand: 10. April 2026

18

Kontakt

Für Fragen rund um den Datenschutz, AVV-Anforderungen oder Betroffenenrechte erreichen Sie uns unter datenschutz@privpay.de.