Datenschutzerklärung

Stand: 22.04.2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

MedFaktum UG (haftungsbeschränkt) i. G.
Adalbertstraße 56
80799 München
vertreten durch den Geschäftsführer Manuel Schenck

E-Mail: datenschutz@medfaktum.de

Für die inhaltliche Verarbeitung medizinischer Gutachten sind darüber hinaus der beauftragende Versicherer und der erstellende Gutachter jeweils eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. MedFaktum erbringt für beide Verantwortliche jeweils eine Auftragsverarbeitung nach Art. 28 DSGVO auf Grundlage separater Auftragsverarbeitungsverträge (siehe Ziffer 8).

2. Datenschutzbeauftragter

Wir haben derzeit keinen Datenschutzbeauftragten bestellt. Eine Bestellpflicht besteht in der aktuellen Vorbetriebsphase nicht, weil die Voraussetzungen von § 38 Abs. 1 BDSG (mindestens 20 mit der automatisierten Verarbeitung personenbezogener Daten beschäftigte Personen) nicht erfüllt sind und eine „umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten“ im Sinne von Art. 37 Abs. 1 lit. c DSGVO in der aktuellen Phase ohne Live-Gutachten nicht vorliegt.

§ 38 Abs. 1 BDSG knüpft die Benennungspflicht unabhängig von der Mitarbeiterzahl auch daran, ob für die Verarbeitung eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen ist. Vor Aufnahme der Verarbeitung realer Gesundheitsdaten wird daher eine Datenschutz-Folgenabschätzung durchgeführt. Sofern dadurch oder aus anderen Gründen eine Benennungspflicht nach Art. 37 DSGVO oder § 38 BDSG ausgelöst wird, wird vor Aufnahme des Pilotbetriebs ein externer Datenschutzbeauftragter bestellt; sein Kontakt wird dann in dieser Erklärung bekannt gegeben.

3. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der einschlägigen gesetzlichen Bestimmungen. Wir erheben und verwenden personenbezogene Daten grundsätzlich nur, soweit dies für die Bereitstellung einer funktionsfähigen Plattform, unserer Inhalte und Leistungen erforderlich ist.

Grundsätze der Verarbeitung:

  • Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
  • Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
  • Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO, Art. 32)

4. Bereitstellung der Website und Server-Logs

Bei jedem Aufruf unserer Website werden von unserem Hosting-Dienstleister automatisch Informationen im Server-Log erfasst, die Ihr Browser übermittelt:

  • IP-Adresse
  • Datum und Uhrzeit der Anfrage
  • Zeitzonendifferenz zur Greenwich Mean Time (GMT)
  • Inhalt der Anforderung (konkrete Seite)
  • HTTP-Statuscode
  • Übertragene Datenmenge
  • Referrer-URL
  • Browser / User-Agent, Betriebssystem
  • Sprache und Version der Browsersoftware

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, stabilen und funktionsfähigen Betrieb der Plattform und der Abwehr missbräuchlicher Zugriffe. Die Interessen der Betroffenen treten dahinter zurück, weil die Verarbeitung auf das zur Sicherstellung der Funktionsfähigkeit Erforderliche beschränkt ist und keine Profilbildung erfolgt.

Speicherdauer: 30 Tage; danach automatische Löschung. Eine längere Speicherung erfolgt ausschließlich bei Vorliegen konkreter Anhaltspunkte für einen Sicherheitsvorfall bis zu dessen Aufklärung. Audit-Logs der Plattform (zu differenzieren von Server-Logs) werden mit abweichender Retention gespeichert (siehe Ziffer 7).

Empfänger: Vercel Inc. (Hosting der Anwendung, Primärregion Frankfurt/fra1) sowie Supabase Inc. (Authentifizierungsdienst, der Anmeldevorgänge protokolliert) — näher siehe Ziffer 9.

5. Cookies und ähnliche Technologien

Wir setzen auf dieser Website ausschließlich technisch notwendige Cookies ein, die für die Funktion der Plattform erforderlich sind:

  • Session-Cookie zur Aufrechterhaltung Ihrer Anmeldung nach Login
  • CSRF-Token-Cookie zum Schutz gegen Cross-Site-Request-Forgery-Angriffe

Diese Cookies sind nach § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei zulässig, weil ihr alleiniger Zweck die Bereitstellung eines vom Nutzer ausdrücklich gewünschten Dienstes (Login, sichere Sitzung) ist. Sie werden spätestens mit Beendigung der Browsersitzung bzw. mit Ablauf ihrer Lebensdauer automatisch gelöscht.

Wir setzen keine Analytics-, Tracking- oder Marketing-Cookies ein. Sollte dies künftig geändert werden, werden wir einen TTDSG-konformen Einwilligungsmechanismus einführen und diese Erklärung entsprechend aktualisieren.

6. Registrierung und Nutzerkonto

Für die Registrierung als Gutachter oder als Versicherer-Organisation verarbeiten wir die von Ihnen eingegebenen Daten:

  • Name, dienstliche Kontaktdaten
  • Berufsbezogene Qualifikationsdaten (Fachrichtung, Approbation, Zusatzqualifikationen) — nur Gutachter
  • Organisationsdaten, Vertretungsberechtigte — nur Versicherer
  • Zugangsdaten (E-Mail, Passwort-Hash, Faktor für Zwei-Faktor-Authentifizierung)
  • Nutzungsdaten (Login-Zeitpunkte, letzte Aktivität, IP der Anmeldung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -durchführung).

Verifizierungsdokumente (Approbationsurkunde, Facharzt-Urkunde, Haftpflicht-Nachweise, Gewerbenachweise usw.) werden verschlüsselt abgelegt und nur zum Zweck der Verifizierung eingesehen. Nach erfolgreicher Verifizierung gilt folgendes Konzept:

  • Das Originaldokument wird bis zum Ende der Geschäftsbeziehung zuzüglich einer Nachlauffrist von drei Jahren aufbewahrt. Die Nachlauffrist entspricht der regelmäßigen Verjährung nach § 195 BGB und dient der Nachweisfähigkeit im Streitfall (z. B. Haftungsansprüche wegen fehlerhafter Verifizierung).
  • Ein permanenter kryptografischer Prüf-Hash des Dokuments verbleibt als Verifizierungsnachweis auch nach Löschung des Originals.
  • Dokumente, die typischerweise erneuert werden (z. B. jährliche Berufshaftpflicht-Policen), werden 90 Tage nach Eingang des Nachfolgedokuments gelöscht.

Speicherdauer Nutzerkonto: für die Dauer der Vertragsbeziehung, danach gemäß gesetzlicher Aufbewahrungsfristen (insbesondere § 147 AO, § 257 HGB: sechs bzw. zehn Jahre für handels- und steuerrechtlich relevante Unterlagen).

7. Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO)

Die Plattform verarbeitet im Rahmen der Vermittlung und Abwicklung medizinischer Gutachten besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO, insbesondere Gesundheitsdaten der versicherten Person. Dies betrifft:

  • medizinische Unterlagen, die der Versicherer dem Gutachter über die Plattform zur Verfügung stellt (Befunde, Arztberichte, Bildgebung etc.),
  • das durch den Gutachter erstellte Gutachten selbst,
  • gegebenenfalls ergänzende Kommunikation zur Gutachtenerstellung.

Rechtsgrundlagen für die Verarbeitung:

  • Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung der versicherten Person via Schweigepflichtentbindung, die der Versicherer vor Beauftragung bei der versicherten Person einholt)
  • Art. 9 Abs. 2 lit. f DSGVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen — das Gutachten dient der Bearbeitung eines Versicherungsfalls)
  • Ergänzend Art. 6 Abs. 1 lit. b DSGVO für die Vertragsdurchführung zwischen Gutachter und Versicherer.

Soweit im Einzelfall zusätzliche nationale Erlaubnistatbestände einschlägig sein sollten, werden diese nur im jeweils sachlich gedeckten Rahmen ergänzend herangezogen. Primäre Grundlage für die Verarbeitung von Gesundheitsdaten bleiben die vorgenannten Vorschriften der DSGVO.

Empfänger der Gesundheitsdaten:

  • Der beauftragende Versicherer als Auftraggeber des Gutachtens.
  • Der beauftragte Gutachter zur Erstellung des Gutachtens.
  • MedFaktum ausschließlich in Funktion als Auftragsverarbeiter zur technischen Bereitstellung der Plattform.

Zugriffe auf Gutachten-Inhalte durch MedFaktum sind auf das technisch und organisatorisch Erforderliche beschränkt. Wir unterscheiden:

  • a) Regulärer Zugriff durch Versicherer und beauftragten Gutachter im Rahmen ihrer Rollen — vollständig protokolliert.
  • b) Administrativer Zugriff auf MedFaktum-Seite ausschließlich im Rahmen eines „Break-the-Glass“-Verfahrens mit dokumentierter Begründung (Support-Anfrage, Sicherheitsvorfall, technische Störungsbehebung). Jeder solche Zugriff erfordert eine Kategorie und einen Freitext-Grund und wird nachvollziehbar protokolliert. Eine vollständige Audit-Log-Infrastruktur mit revisionssicherer Aufbewahrung wird mit Welle 20 zum Pilotstart Q3 2026 ausgerollt; bis dahin erfolgt die Protokollierung auf der bestehenden Logging-Schicht.
  • c) Automatisierte Backend-Prozesse (Indexierung, Backup, Migrationen) — mit eindeutiger Prozess-Kennung protokolliert, ohne inhaltliche Auswertung.

Die ärztliche Schweigepflicht nach § 203 StGB bleibt beim Gutachter; die Plattform entbindet nicht von dieser Pflicht. Die Weitergabe medizinischer Unterlagen setzt stets eine wirksame Schweigepflichtentbindung durch die betroffene versicherte Person voraus, die der Versicherer vor Beauftragung einzuholen hat und auf deren Vorliegen er sich MedFaktum gegenüber vertraglich verpflichtet.

Technische und organisatorische Maßnahmen (Art. 32 DSGVO):

  • Transportverschlüsselung (TLS 1.2+) für sämtliche Verbindungen
  • Verschlüsselte Speicherung von Dokumenten im Ruhezustand (AES-256)
  • Rollenbasiertes Zugriffskonzept mit dem Prinzip der geringsten Rechte
  • Protokollierung sämtlicher lesender und schreibender Zugriffe auf Gutachten-Inhalte in getrennten Audit-Logs mit rollenspezifischen Aufbewahrungsfristen (zwischen sechs und zwölf Monaten)
  • Zwei-Faktor-Authentifizierung (TOTP) für alle Gutachter-Logins, verpflichtend
  • Getrennte Produktiv- und Entwicklungsumgebung, mandantengetrennte Datenhaltung (Row-Level-Security auf Datenbankebene)
  • Regelmäßige Überprüfung der Wirksamkeit technischer und organisatorischer Maßnahmen sowie halbjährliche Überprüfung des Zugriffsrechte-Bestands

Aufbewahrungsdauer der Gutachten-Inhalte: Die inhaltliche Aufbewahrung richtet sich nach den gesetzlichen und versicherungsvertraglichen Pflichten des jeweiligen Verantwortlichen (Versicherer, Gutachter). Übliche Fristen liegen zwischen 10 und 30 Jahren, abhängig vom Versicherungsvertragstyp und berufsrechtlichen Vorgaben. MedFaktum orientiert sich an den Weisungen des jeweiligen Verantwortlichen im Auftragsverarbeitungsvertrag.

8. Rolle von MedFaktum als Auftragsverarbeiter und gemeinsamer Verantwortlicher

Für die Verarbeitung von Gutachten-Inhalten und zugehörigen Dokumenten tritt MedFaktum nicht als eigenständiger Verantwortlicher auf, sondern erbringt die Verarbeitung als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die dafür erforderlichen Auftragsverarbeitungsverträge schließen wir jeweils separat:

  • mit dem Versicherer, soweit die Verarbeitung dessen Versicherungsvertragsverwaltung betrifft,
  • mit dem Gutachter, soweit die Verarbeitung dessen berufliche Gutachtentätigkeit betrifft.

Eine Ausnahme bildet das algorithmische Matching von Gutachtern: Da MedFaktum die Gewichtungskriterien des Algorithmus eigenständig bestimmt und damit wesentlich über die Mittel der Verarbeitung mitentscheidet, besteht für diesen Verarbeitungsschritt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen MedFaktum und dem jeweiligen Versicherer bzw. Gutachter. Die wesentlichen Inhalte der Vereinbarung sind unter https://medfaktum.de/joint-controller-info abrufbar. Im Matching-Modul werden ausschließlich Profil- und Anfragemetadaten verarbeitet, keine Gesundheitsdaten der versicherten Personen.

Eine weitere Ausnahme bildet die Verarbeitung zu eigenen Zwecken (Plattformbetrieb, Abrechnung von Lizenz- und Transaktionsentgelten, Wahrung berechtigter Interessen bei der Missbrauchsabwehr). Insoweit ist MedFaktum eigenständiger Verantwortlicher.

9. Subprozessoren und Hosting

Wir setzen für den Betrieb der Plattform folgende Dienstleister ein:

  • Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA — Hosting der Anwendung (Next.js). Der Betrieb der Instanz erfolgt in der Primärregion Frankfurt (fra1). Die Muttergesellschaft hat Sitz in den USA; Drittlandtransfers können in Supportfällen nicht vollständig ausgeschlossen werden. Absicherung: Standardvertragsklauseln der EU-Kommission (SCC, Modul 2) sowie — soweit anwendbar — Selbstzertifizierung unter dem EU-US Data Privacy Framework.
  • Supabase Inc. (in Verbindung mit der regionalen Infrastruktur von Amazon Web Services EMEA SARL) — Datenbank- und Authentifizierungsdienste, Hosting in eu-central-1 (Frankfurt). Supabase ist nach ISO 27001 und SOC 2 Type 2 zertifiziert. Absicherung: Standardvertragsklauseln.

Weitere Subprozessoren werden für den Pilotbetrieb integriert (insbesondere transaktionaler E-Mail-Versand, Fehler-Monitoring) und in dieser Erklärung ergänzt, bevor sie aktiv werden. Eine jeweils aktualisierte Liste der Subprozessoren stellen wir spätestens zum Pilotstart unter https://medfaktum.de/subprozessoren bereit.

10. Drittlandtransfers

Ein Transfer personenbezogener Daten in Drittländer außerhalb des EWR findet nur statt, soweit er zur Erbringung der Plattform-Dienstleistung technisch oder vertraglich erforderlich ist und geeignete Garantien nach Art. 46 DSGVO gewährleistet sind. Dies umfasst insbesondere die oben genannten US-basierten Muttergesellschaften von Subprozessoren mit EU-Infrastruktur. Grundlage der Übermittlung sind Standarddatenschutzklauseln (SCC), ergänzt um technische Maßnahmen (Verschlüsselung im Transit und im Ruhezustand, Zugriffsminimierung) und — soweit anwendbar — die Selbstzertifizierung der Empfänger unter dem EU-US Data Privacy Framework.

11. Betroffenenrechte

Sie haben gegenüber dem Verantwortlichen folgende Rechte bezüglich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung Gesundheitsdaten aus einem Gutachtenauftrag betrifft, sind Betroffenenrechte gegenüber dem Versicherer und dem Gutachter als den jeweils Verantwortlichen auszuüben. Gerne leiten wir entsprechende Anfragen weiter.

Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO).

12. Zuständige Aufsichtsbehörde

Für die MedFaktum UG (haftungsbeschränkt) i. G. ist zuständig:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 180093-0
E-Mail: poststelle@lda.bayern.de

13. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder geänderte Verarbeitungstätigkeiten anzupassen. Die jeweils aktuelle Version ist über die Plattform abrufbar und mit Datum gekennzeichnet.