Technische und organisatorische Maßnahmen

gemäß Art. 32 DSGVO · Anlage 1 zum Auftragsverarbeitungsvertrag

Auftragsverarbeiter: Mosaic Medical UG (haftungsbeschränkt), Stubbenhof 16, 21147 Hamburg, betrieben unter der Marke „Dermalia"

Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die Dermalia zum Schutz personenbezogener Daten getroffen hat. Es ist als Anlage Bestandteil des Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Dermalia betreibt keine eigenen Server. Die gesamte Datenverarbeitung erfolgt in zertifizierten Rechenzentren der eingesetzten Cloud-Anbieter (Vercel, Neon) in der EU-Region Frankfurt am Main. Der physische Zutritt zu diesen Rechenzentren wird durch die jeweiligen Betreiber kontrolliert (u. a. AWS-Infrastruktur, ISO-27001-zertifizierte Standorte). Mitarbeitende von Dermalia haben keinen physischen Zugang zu den Servern.

Zugangskontrolle

(1) Der Zugang zu allen administrativen Systemen erfolgt ausschließlich über persönliche Konten mit starker Authentifizierung.

(2) Für interne Administrations-Oberflächen wird Better Auth mit Magic-Link, Passkey (WebAuthn) oder Google-OAuth eingesetzt; klassische Passwörter werden nicht für administrative Zugänge verwendet.

(3) Der Zugang zur Datenbank und zum Hosting erfolgt über die Konten-Verwaltung der Cloud-Anbieter mit Zwei-Faktor-Authentifizierung.

Zugriffskontrolle

(1) Patient:innen-Befunde sind nicht öffentlich auffindbar. Der Zugriff erfolgt ausschließlich über eine nicht erratbare Report-ID, die als Zugriffs-Token wirkt. Es gibt keinen Patient:innen-Login.

(2) Für Praxis-Nutzer:innen gilt ein rollenbasiertes Berechtigungs-Modell (Owner, Admin, Member) mit mandantengetrennter Datenhaltung über das Organisations-Konzept. Eine Praxis sieht ausschließlich ihre eigenen Befunde.

(3) Super-Admin-Zugriffe sind auf einen kleinen, namentlich bekannten Personenkreis beschränkt und werden protokolliert.

Trennungskontrolle

Daten verschiedener Praxen werden logisch über Mandanten-Kennungen (Organization-ID) getrennt. Jede Datenbank-Abfrage ist auf den Mandanten des anfragenden Nutzers eingeschränkt.

Pseudonymisierung und Datenminimierung

(1) Es werden keine Geburtsdaten, Krankenakten, Versicherungs- oder Abrechnungsdaten verarbeitet.

(2) Patient:innen sind im System lediglich über Report-ID und optional Vorname und E-Mail-Adresse bekannt. Eine Verknüpfung zu anderen Systemen findet nicht statt.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

(1) Sämtliche Datenübertragung erfolgt ausschließlich über TLS-verschlüsselte Verbindungen (HTTPS).

(2) Daten ruhend werden durch die eingesetzten Cloud-Anbieter verschlüsselt gespeichert (Encryption at Rest auf Datenbank- und Datei-Speicher-Ebene).

(3) Der Abruf der Scan-Rohdaten aus dem Isemeco-Quellsystem erfolgt über einen dedizierten technischen Zugang, getrennt von den Zugangsdaten der Praxis.

Eingabekontrolle

Sicherheitsrelevante und datenschutzrelevante Vorgänge (Befund-Löschung, Daten-Export, Praxis-Anlage, Rollen-Änderungen, Identitätswechsel durch Super-Admins) werden in einem Audit-Log mit Zeitstempel und auslösendem Konto protokolliert.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

Verfügbarkeitskontrolle

(1) Die Infrastruktur wird auf hochverfügbaren, mehrfach redundanten Cloud-Plattformen betrieben.

(2) Die PostgreSQL-Datenbank wird als Managed Service betrieben; Backups und Point-in-Time-Recovery werden durch den Datenbank-Anbieter bereitgestellt.

Rasche Wiederherstellbarkeit

Durch den Managed-Service-Betrieb der Datenbank und die deklarative, versionierte Infrastruktur kann der Dienst nach einem Ausfall zeitnah wiederhergestellt werden.

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management

(1) Verarbeitungstätigkeiten werden gemäß Art. 30 DSGVO dokumentiert.

(2) Eingesetzte Unterauftragsverarbeiter werden im Auftragsverarbeitungsvertrag transparent benannt und auf DSGVO-Konformität geprüft.

Incident-Response

Datenpannen werden dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme, gemeldet (Art. 33 DSGVO).

Auftragskontrolle

(1) Auftragsverarbeitung außerhalb der EU/des EWR erfolgt ausschließlich auf Basis der EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914).

(2) Auf Anforderung stellt Dermalia dem Verantwortlichen die jeweils aktuelle Fassung dieser TOM zur Verfügung.

5. Datenlöschung

(1) Patient:innen-Befunde werden standardmäßig 24 Monate nach Erstellung automatisch gelöscht.

(2) Der Verantwortliche kann jederzeit die sofortige Löschung einzelner Befunde oder seines gesamten Datenbestands über das Praxis-Dashboard oder per Anfrage veranlassen.

(3) Bei Vertragsende werden sämtliche Daten innerhalb von 30 Tagen gelöscht oder herausgegeben.

Version 1.0.0 · Veröffentlicht am 2026-05-28