Datenschutz
Teil A: Verarbeitung als eigener Verantwortlicher
Die folgenden Verarbeitungen führen wir als eigener Verantwortlicher im Sinne der DSGVO durch.
Der Schutz personenbezogener Daten ist uns wichtig. Wir verarbeiten personenbezogene Daten vertraulich und entsprechend den anwendbaren datenschutzrechtlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten beim Besuch unserer Website, bei der Kontaktaufnahme, bei der Registrierung und Nutzung unseres Portals sowie im Zusammenhang mit der Übermittlung von Falldaten an Hersteller.
Verantwortlicher
Denta Services GmbH i. Gr.
Kasernenstraße 15
40213 Düsseldorf
Deutschland
Vertreten durch die Geschäftsführer:
Kristian Popovski, Gemma Voces Pons, Christoph Wolff
Telefon: 0211 / 923237338
E-Mail: info@aligner-services.com
Website: https://aligner-services.com
Datenschutzbeauftragter
Unser Datenschutzbeauftragter ist die heyData GmbH, Schützenstraße 5, 10117 Berlin, www.heydata.eu, datenschutz@heydata.eu.
Rechtsgrundlagen der Verarbeitung
Soweit wir für die Verarbeitung personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) dient Art. 9 Abs. 2 lit. a DSGVO als Rechtsgrundlage.
Soweit die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für vorvertragliche Maßnahmen.
Soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Soweit lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person die Verarbeitung erfordern, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
Soweit die Verarbeitung zur Wahrung berechtigter Interessen unseres Unternehmens oder eines Dritten erforderlich ist und die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.
Hosting
Unsere Website und das Portal werden bei der Hetzner Online GmbH, Gunzenhausen, Deutschland, gehostet. Die Server befinden sich in Nürnberg (EU). Datenbank-Backups werden zusätzlich Off-Site auf einer Hetzner Storage Box in Falkenstein (EU) gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Bereitstellung).
Server-Logfiles
Beim Aufruf unserer Website werden automatisch Verbindungsdaten erfasst (IP-Adresse, Zeitpunkt, aufgerufene Seite, Browsertyp, Betriebssystem, Referrer-URL, übertragene Datenmenge). Diese Daten dienen der Systemsicherheit, Fehleranalyse und technischen Administration. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Die Logfiles werden nach 30 Tagen gelöscht.
TLS-Verschlüsselung
Unsere Website und unser Portal verwenden eine Transportverschlüsselung (TLS), um die Übertragung vertraulicher Inhalte zu schützen.
Kontaktaufnahme
Wenn Sie uns per E-Mail oder auf anderem Wege kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten (Name, Kontaktdaten, Inhalt der Anfrage) zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung). Die Daten werden nach abschließender Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
Registrierung und Nutzerkonto
Für die Nutzung des Portals ist eine Registrierung erforderlich. Dabei werden Name, E-Mail-Adresse, Passwort, Praxisname (optional), Nationalität, Nutzertyp und Spracheinstellung erhoben. Das Passwort wird ausschließlich in verschlüsselter Form gespeichert. Nach der Registrierung ist eine E-Mail-Verifizierung sowie eine Freischaltung durch einen Administrator erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Kontodaten werden für die Dauer des Nutzungsverhältnisses gespeichert. Nach Kontolöschung werden die Nutzerdaten gelöscht.
E-Mail-Benachrichtigungen
Für den Versand von System- und Statusbenachrichtigungen (Verifizierung, Passwort-Zurücksetzung, Fallstatus-Mitteilungen) nutzen wir Brevo (Sendinblue SAS), Paris, Frankreich. Patientendaten werden in keiner E-Mail übermittelt. Fallbezogene Mitteilungen an den Zahnarzt enthalten Fallnummer und Herstellername. Interne Benachrichtigungen an Mitarbeiter mit Administrations- oder Country-Manager-Rolle (siehe Abschnitt „Datenschutzrechtliche Rollen bei Patientendaten") enthalten zusätzlich den Namen und die E-Mail-Adresse des einreichenden Zahnarztes, das ISO-Land sowie ggf. einen Hersteller-Kommentar zum Fall — Patientendaten werden auch in diesen internen Mitteilungen nicht übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO.
Bot-Schutz
Zum Schutz vor automatisierten Zugriffen setzen wir auf den Registrierungs- und Anmeldeseiten Cloudflare Turnstile ein. Dabei können IP-Adresse und Browser-Informationen an Cloudflare übermittelt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch).
Cookies und Speichertechnologien
Unser Portal verwendet ausschließlich technisch erforderliche Cookies für die Authentifizierung (Session-Cookie, 24 Stunden Gültigkeit). Darüber hinaus werden im Browser nicht-personenbezogene Einstellungen gespeichert (z. B. Spracheinstellung, Gelesen-Markierungen). Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich. Rechtsgrundlage: § 25 Abs. 2 TDDDG.
KI-Chat-Assistent
Wir bieten eingeloggten Nutzern einen optionalen KI-Chat-Assistenten an, der Fragen zur Bedienung des Portals und zu allgemeinen Aligner-Themen beantwortet. Der Chat ist freiwillig — eine Nutzung des Portals ohne den Chat ist jederzeit möglich.
Für die Beantwortung wird die vom Nutzer eingegebene Frage an OpenAI Ireland Limited, Dublin, Irland (Anbieter des Sprachmodells GPT-4o-mini) übermittelt. Die Verarbeitung kann auf US-Servern erfolgen; mit OpenAI bestehen EU-Standardvertragsklauseln nach Art. 46 DSGVO. Falls die Online-Verbindung nicht verfügbar ist, kommt ersatzweise ein lokal auf unserem Server in Nürnberg betriebenes Sprachmodell (Microsoft Phi-3.5-mini) zum Einsatz; in diesem Fall verlassen die Daten unseren Server nicht.
Übermittelt werden ausschließlich der Text der vom Nutzer eingegebenen Frage sowie ein technischer System-Prompt zur Themen-Eingrenzung. Patientendaten, Falldaten, Patientennamen, Fallnummern oder Hersteller-Antworten werden NICHT übermittelt — der Chat hat keinen technischen Zugriff auf die Patientendatenbank. Der Nutzer wird im Chat-Fenster sichtbar darauf hingewiesen, keine personenbezogenen Daten von Patienten in den Chat einzugeben.
OpenAI verarbeitet die übermittelten Eingaben nach eigenen Angaben nicht zum Training seiner Modelle, wenn die Übermittlung über die offizielle API erfolgt (was bei uns der Fall ist). Eine Speicherung erfolgt bei OpenAI für maximal 30 Tage zu Missbrauchsschutz-Zwecken und wird anschließend gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines Hilfetools). Der Nutzer kann den Chat jederzeit ungenutzt lassen.
Teil B: Verarbeitung von Patientendaten im Auftrag der Zahnarztpraxis
Die folgenden Verarbeitungen führen wir als Auftragsverarbeiter im Auftrag der jeweiligen Zahnarztpraxis durch, die das Portal nutzt. Die Zahnarztpraxis ist insoweit Verantwortlicher im Sinne der DSGVO. Einzelheiten sind in der Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO geregelt, die Bestandteil der Nutzungsbedingungen ist.
Datenschutzrechtliche Rollen bei Patientendaten
Die Zahnarztpraxis ist gegenüber dem Patienten Verantwortlicher für die Verarbeitung der Patientendaten. Sie entscheidet, ob und welche Patientendaten sie in das Portal einstellt, und stellt als Berufsgeheimnisträger (§ 203 StGB) sicher, dass die erforderlichen datenschutzrechtlichen und berufsrechtlichen Voraussetzungen für die Übermittlung vorliegen.
Die Denta Services GmbH i. Gr. verarbeitet die vom Zahnarzt eingestellten Patientendaten als Auftragsverarbeiter ausschließlich zur technischen Bereitstellung des Portals, zur Speicherung und Verwaltung der Falldaten sowie zur Weiterleitung an den vom Zahnarzt ausgewählten Hersteller. Innerhalb der Denta Services GmbH haben Administratoren (alle Fälle aller Nutzer), Planer (Fälle der ihnen zugewiesenen Hersteller) und Country-Manager (Fälle und Nutzer in den ihnen zugewiesenen Ländern) im erforderlichen Umfang Zugriff auf Falldaten. Die Einzelheiten der Auftragsverarbeitung — insbesondere die Zugriffsberechtigungen — sind in der AVV geregelt.
Der Hersteller ist eigenständiger Verantwortlicher für die Verarbeitung der ihm übermittelten Patientendaten. Er erstellt eigenständig Behandlungsplanungen, Simulationen und die Fertigung und entscheidet selbst über die Mittel und Verfahren.
Umfang der Auftragsverarbeitung
Im Rahmen der Portalnutzung verarbeiten wir im Auftrag der Zahnarztpraxis insbesondere folgende Datenkategorien:
- Patientenstammdaten: Vorname, Nachname, Geburtsdatum, Geschlecht, E-Mail-Adresse (optional)
- Klinische Daten: Behandlungsparameter, ärztliche Anweisungen, Patientenbeschwerden
- Klinische Dateien: intraorale 3D-Scans, klinische Fotos, Röntgenbilder
- Einwilligungsdaten: Behandlungs- und Datenschutzeinwilligung (Zeitstempel)
Hierbei handelt es sich teilweise um Gesundheitsdaten im Sinne des Art. 9 DSGVO. Die Verarbeitung erfolgt auf Grundlage der Weisung der Zahnarztpraxis, die ihrerseits die Einwilligung des Patienten (Art. 9 Abs. 2 lit. a DSGVO) oder eine andere Rechtsgrundlage sicherstellt.
Art der Verarbeitung
Die Verarbeitung der Patientendaten umfasst ausschließlich: Speicherung der vom Zahnarzt eingegebenen Falldaten, Anzeige gegenüber dem eingebenden Zahnarzt, Weiterleitung an den vom Zahnarzt ausgewählten Hersteller, Entgegennahme und Speicherung von Hersteller-Rückmeldungen (Planungsdaten, Produktionsstatus, Versandinformationen, Lab Reports), Dateiverwaltung, Erstellung und Verwaltung von Nutzerkonten bei angebundenen Herstellern (im Auftrag des Nutzers bei Kontofreischaltung) sowie Löschung nach Vertragsende oder auf Weisung des Zahnarztes. Bei Kontolöschung werden auch die beim Hersteller angelegten Konten gelöscht.
Wir verwenden die Patientendaten nicht für eigene Zwecke, insbesondere nicht für Marketing, Produktverbesserung, statistische Auswertung auf Patientenebene, Profiling oder automatisierte Entscheidungsfindung.
Weitergabe an Hersteller
Auf Veranlassung des Zahnarztes werden Falldaten an den ausgewählten Hersteller übermittelt. Dabei werden Patientenstammdaten, klinische Daten, hochgeladene Dateien, Lieferanschrift und ärztliche Anweisungen übermittelt. Je nach Hersteller können zusätzlich Name und Kontaktdaten des Zahnarztes übermittelt werden. Die Patientendaten werden nicht anonymisiert übermittelt, da der vollständige Datensatz für Planung und Fertigung erforderlich ist. Der Hersteller ist eigenständiger Verantwortlicher für die bei ihm stattfindende Verarbeitung.
Empfänger und Auftragsverarbeiter
Personenbezogene Daten werden nur weitergegeben, wenn dies rechtlich zulässig und erforderlich ist. Empfänger können insbesondere sein:
- Hosting-Anbieter (Hetzner Online GmbH, Deutschland)
- E-Mail-Dienstleister (Brevo / Sendinblue SAS, Frankreich)
- Bot-Schutz-Anbieter (Cloudflare, Inc.)
- KI-Chat-Anbieter (OpenAI Ireland Limited, Irland — nur bei optionaler Online-Nutzung des Chat-Assistenten, siehe Punkt KI-Assistent)
- Aligner-Hersteller (je nach Auswahl durch den Zahnarzt)
- Steuerberater, Rechtsberater und Behörden (soweit gesetzlich erforderlich)
Soweit wir Dienstleister als Unterauftragsverarbeiter einsetzen, schließen wir die hierfür erforderlichen Verträge gemäß Art. 28 DSGVO.
Teil C: Allgemeine Bestimmungen
Datenübermittlung in Drittländer
Eine Übermittlung personenbezogener Daten in Staaten außerhalb der EU/des EWR kann insbesondere bei der Nutzung externer Dienstleister oder bei Herstellern mit Sitz oder Serverstandort außerhalb der EU/des EWR erfolgen. Soweit eine Drittlandübermittlung erfolgt, geschieht dies nur auf Grundlage der gesetzlichen Voraussetzungen, insbesondere bei Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien.
Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
- Nutzerkonto: Dauer des Nutzungsverhältnisses; nach Kontolöschung Löschung der Nutzerdaten
- Falldaten / Patientendaten: Dauer der Portalnutzung; nach Beendigung des Nutzungsverhältnisses spätestens innerhalb von 6 Monaten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Kontaktanfragen: Nach abschließender Bearbeitung, sofern keine Aufbewahrungspflicht
- Server-Logfiles: 30 Tage
- Handels- und steuerrechtliche Daten: 6 bzw. 10 Jahre (§ 257 HGB, § 147 AO)
Pflicht zur Bereitstellung von Daten
Die Bereitstellung von Name, E-Mail-Adresse und Passwort ist für die Registrierung und Nutzung des Portals erforderlich. Ohne diese Angaben kann kein Nutzerkonto erstellt werden. Die Bereitstellung von Patientendaten erfolgt durch den Zahnarzt auf Grundlage der Patienteneinwilligung. Ohne die erforderlichen Daten kann kein Fall an einen Hersteller übermittelt werden.
Betroffenenrechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
Hinweis für Patienten: Soweit wir Ihre Daten als Auftragsverarbeiter im Auftrag Ihrer Zahnarztpraxis verarbeiten, richten Sie Ihre Anfragen bitte an Ihre Zahnarztpraxis als Verantwortlichen. Wir unterstützen Ihre Zahnarztpraxis bei der Bearbeitung Ihrer Anfragen gemäß den Vereinbarungen in der AVV.
Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Automatisierte Entscheidungsfindung
Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Behandlungsentscheidungen werden stets vom Zahnarzt getroffen.
Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, darunter Transportverschlüsselung, verschlüsselte Passwortspeicherung, authentifizierter Dateizugriff und rollenbasierte Zugriffskontrolle.
Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Leistungen anzupassen. Es gilt die jeweils aktuelle Fassung.
Stand: März 2026