Datenschutzerklärung

Stand 8. Juni 2026

Diese Datenschutzerklärung gilt für die Software-Plattform Medi.Vision, erreichbar unter aesthetik-vid-akademie.lovable.app und medi-vision-stream.lovable.app.

1. Verantwortliche Stelle

Verantwortlich nach DSGVO und BDSG: Maria Romanski (Einzelunternehmerin), Geschäftsbezeichnung Medi.Vision, Am Dreispitz 28, 63741 Aschaffenburg, Deutschland, E-Mail [DATENSCHUTZ-EMAIL EINTRAGEN]. Eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht aktuell nicht (§ 38 BDSG).

2. Rollen

• Kliniken sind datenschutzrechtlich Verantwortliche für Patient:innen-Daten (Art. 4 Nr. 7 DSGVO). Medi.Vision ist Auftragsverarbeiterin nach Art. 28 DSGVO.
• Patient:innen rufen das Patienten-Portal auf — Verantwortliche ist die jeweilige Klinik.
• Besucher:innen der öffentlichen Webseite sind Betroffene gegenüber Medi.Vision.

3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
• Art. 28 DSGVO (Auftragsverarbeitung)

4. Server-Logs

Bei jedem Zugriff erfassen wir IP-Adresse (gekürzt), Datum/Uhrzeit, Seite, Browser, Betriebssystem, Referrer und Datenmenge. Zweck: Auslieferung, Stabilität, Sicherheit. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer 30 Tage.

5. Klinik-Konto

Verarbeitet werden: E-Mail, Passwort-Hash (bcrypt), Klinikname, Anzahl Ärzte, Tarif. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Vertragsdauer plus gesetzliche Aufbewahrung (bis 10 Jahre nach § 147 AO).

6. Patient:innen-Portal

Beim Erstellen eines Patient-Links werden gespeichert: UUID-Token (pseudonym), Video-Auswahl, Sprache, Klinik-ID, optional Patient-E-Mail, viewed_at, confirmed_at, Ablaufdatum. Medi.Vision verarbeitet diese Daten ausschließlich im Auftrag der Klinik (Art. 28 DSGVO). Patient:innen wenden sich vorrangig direkt an ihre Klinik. Speicherdauer: 30 Tage nach Ablauf/Bestätigung.

7. Eingesetzte Dienste

Mit allen Anbietern bestehen Auftragsverarbeitungsverträge.

7.1 Supabase (Datenbank, Auth)

Supabase Inc., Singapur. Rechenzentrum EU (Frankfurt). https://supabase.com/privacy

7.2 Bunny.net (Video-Hosting)

BunnyWay d.o.o., Slowenien. EU-Rechenzentren. Daten: IP-Adresse beim Video-Abruf. https://bunny.net/privacy

7.3 Stripe (Zahlungen)

Stripe Payments Europe Ltd., Irland. Zertifiziert nach EU-US Data Privacy Framework. https://stripe.com/de/privacy

7.4 Resend (E-Mails)

Resend Inc., USA. Standardvertragsklauseln. https://resend.com/legal/privacy-policy

7.5 Make.com (Workflows)

Celonis s.r.o., Tschechien. Verarbeitet Stripe-Webhook-Events, keine Patient:innen-Daten. https://www.make.com/en/privacy-notice

7.6 Lovable (Hosting)

Lovable AB, Schweden. Server-Logs, technische Zugriffsdaten. https://lovable.dev/privacy

8. Cookies

Wir setzen folgende Cookies ein:

8.1 Notwendige Cookies (immer aktiv)

Keine Einwilligung erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

• sb-access-token (Supabase, Auth-Session, Session-Dauer)
• sb-refresh-token (Supabase, Session-Erneuerung, 30 Tage)
• lang (Medi.Vision, Sprachpräferenz, 12 Monate)
• cookie-consent (Medi.Vision, Cookie-Auswahl, 12 Monate)

8.2 Statistik / Marketing

Aktuell nicht aktiv. Bei künftigem Einsatz: nur nach Einwilligung.

8.3 Einwilligung verwalten

Anpassung jederzeit über Footer-Link Cookie-Einstellungen.

9. Betroffenenrechte

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Tel 0981 180093-0, E-Mail poststelle@lda.bayern.de, Web https://www.lda.bayern.de.

10. Sicherheit

• TLS 1.2/1.3 Verschlüsselung
• Passwort-Hashes mit bcrypt
• Row-Level-Security (Mandantentrennung)
• Zugriff nur durch berechtigte Personen
• Regelmäßige Sicherheitsupdates

11. Änderungen

Aktuelle Fassung jederzeit hier abrufbar.

Stand: 8. Juni 2026