Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten beim Besuch dieser Website (dentasign.io) sowie bei Nutzung der DentaSign-Plattform gemäß Art. 13, 14 DSGVO.

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website sowie im Rahmen der DentaSign-Plattform im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

„DentaSign" ist ein Produkt der medialightsystems GmbH. Weitere Angaben entnehmen Sie unserem Impressum.

2. Erfassung allgemeiner Informationen beim Besuch der Website

Wenn Sie auf unsere Website zugreifen, werden durch einen automatisierten Vorgang allgemeine Informationen erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa:

• IP-Adresse (in gekürzter Form)
• Datum und Uhrzeit des Zugriffs
• Browser-Typ und -Version
• verwendetes Betriebssystem
• Referrer-URL (die zuvor besuchte Seite)

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) zum Zweck der Gewährleistung eines reibungslosen Verbindungsaufbaus, einer komfortablen Nutzung unserer Website sowie zur Auswertung der Systemsicherheit und -stabilität.

Speicherdauer: Server-Logs werden nach spätestens 30 Tagen gelöscht, soweit keine Anhaltspunkte für rechtswidrige Nutzung bestehen.

3. Hosting

Diese Website wird auf Servern innerhalb der Europäischen Union gehostet. Der Hosting-Anbieter verarbeitet im Rahmen der Bereitstellung der Website die oben genannten Server-Logdaten in unserem Auftrag auf Basis eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO.

4. Cookies und ähnliche Technologien

Cookies sind kleine Textdateien, die beim Besuch unserer Website auf Ihrem Endgerät gespeichert werden. Wir setzen Cookies und vergleichbare Technologien (z. B. localStorage) in folgendem Umfang ein:

• Technisch notwendige Cookies für den Betrieb der Website (z. B. Session-Cookies). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TDDDG.
• Cookies durch Drittanbieter (insbesondere HubSpot Live-Chat – siehe Punkt 6) zur Bereitstellung des Chat-Widgets und zur Wiedererkennung wiederkehrender Besucher.

Sie können Cookies in Ihrem Browser jederzeit löschen oder das Setzen von Cookies generell unterbinden. Hinweise zur Verwaltung von Cookies finden Sie in der Hilfe Ihres Browsers. Eine Deaktivierung kann dazu führen, dass nicht mehr alle Funktionen dieser Website verfügbar sind.

5. Kontaktformular (formsubmit.co)

Auf unserer Website bieten wir ein Formular an, über das Sie unverbindlich eine Testteilnahme für DentaSign anfragen können. Wir erheben dabei folgende Daten:

• Name
• Name der Praxis
• E-Mail-Adresse
• Telefonnummer
• Angaben zu vorhandenen Monitoren (optional)
• freie Nachricht (optional)

Zur Verarbeitung und Zustellung des Formulars nutzen wir den Dienst formsubmit.co, angeboten von Archie Tech LLC, USA. Die Formulareingaben werden über formsubmit.co an unsere E-Mail-Adresse info@dentasign.io weitergeleitet. Es erfolgt keine dauerhafte Speicherung bei formsubmit.co; die Daten werden nach Zustellung automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung vertraglicher Beziehungen) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch bewusstes Absenden des Formulars).

Drittlandübermittlung: Bei der Nutzung von formsubmit.co kann es zu einer Übermittlung personenbezogener Daten in die USA kommen. Rechtsgrundlage hierfür ist Ihre ausdrückliche Einwilligung durch Absenden des Formulars (Art. 49 Abs. 1 lit. a DSGVO). Ein angemessenes Datenschutzniveau im Sinne von Art. 45 DSGVO kann nicht garantiert werden.

Speicherdauer: Die bei uns eingehenden Anfragen speichern wir so lange, wie es für die Bearbeitung Ihres Anliegens erforderlich ist. Nach Erledigung werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. aus § 147 AO, § 257 HGB) bestehen.

Weitere Informationen: https://formsubmit.co/privacy

6. HubSpot Live-Chat

Auf unserer Website nutzen wir den Live-Chat-Dienst HubSpot, angeboten von HubSpot, Inc., 2 Canal Park, Cambridge, MA 02141, USA, sowie für Nutzer aus dem EWR durch HubSpot Ireland Limited, Ground Floor, Two Dockland Central, Guild Street, Dublin 1, Irland.

Beim Aufruf einer Seite mit eingebundenem Chat-Widget wird automatisch eine Verbindung zu Servern von HubSpot aufgebaut. Hierbei werden technische Daten (insbesondere IP-Adresse, Browser-Typ, Betriebssystem, Datum und Uhrzeit, besuchte Unterseiten) sowie ggf. von Ihnen freiwillig im Chat eingegebene Inhalte (z. B. Name, E-Mail-Adresse, Nachricht) verarbeitet. HubSpot setzt Cookies, um wiederkehrende Besucher zu erkennen und Chat-Verläufe zuzuordnen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer schnellen, unkomplizierten Kommunikation mit Interessenten und Kunden). Soweit Sie aktiv den Chat starten oder Daten eingeben, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).

Drittlandübermittlung: Eine Übermittlung in die USA kann nicht ausgeschlossen werden. HubSpot, Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert; die EU-Kommission hat hierfür einen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen.

Speicherdauer: Chat-Verläufe und Kontaktdaten werden für die Dauer der Geschäftsbeziehung sowie zur Einhaltung gesetzlicher Aufbewahrungsfristen gespeichert.

Mit HubSpot besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Weitere Informationen: https://legal.hubspot.com/privacy-policy

7. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Bestellungen und Abonnements nutzen wir den Zahlungsdienstleister Stripe. Vertragspartner für Nutzer aus dem EWR ist Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland.

Wenn Sie auf unserer Website einen Kauf oder ein Abonnement starten, werden Sie auf eine von Stripe bereitgestellte Zahlungsseite (z. B. buy.stripe.com) weitergeleitet. Die Erhebung und Verarbeitung Ihrer Zahlungsdaten (z. B. Name, Adresse, E-Mail, Zahlungsmittelinformationen) erfolgt ausschließlich durch Stripe; wir selbst erhalten keine vollständigen Karten- oder Kontodaten. Stripe übermittelt uns nach Abschluss der Zahlung lediglich die zur Zuordnung des Vertrags notwendigen Informationen (Transaktions-ID, Status, Betrag, Kontaktdaten).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Pflichten, z. B. handels- und steuerrechtliche Aufbewahrung).

Drittlandübermittlung: Eine Übermittlung in die USA an Stripe, Inc. kann nicht ausgeschlossen werden. Stripe, Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.

Weitere Informationen zur Datenverarbeitung durch Stripe: https://stripe.com/de/privacy

8. Google Fonts

Diese Website nutzt zur einheitlichen Darstellung von Schriftarten sogenannte Google Fonts, bereitgestellt von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Beim Aufruf einer Seite lädt Ihr Browser die benötigten Schriftarten, um Texte und Schriftarten korrekt anzuzeigen. Zu diesem Zweck muss Ihr Browser Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen und ansprechenden Darstellung unserer Website).

Drittlandübermittlung: Eine Übermittlung in die USA ist nicht ausgeschlossen. Google ist unter dem EU-US Data Privacy Framework zertifiziert.

Weitere Informationen: https://policies.google.com/privacy

9. Allgemeines zur Plattform-Nutzung

Die DentaSign-Plattform ist eine Software-as-a-Service-Lösung für Zahnarztpraxen. Sie ermöglicht das Verwalten von Behandlungsraum-Monitoren (DentaSign Player), das Hochladen und Steuern von Inhalten sowie Live-Übertragungen (Presenter-Funktion).

Wichtig: Die Plattform ist ausschließlich für das Praxis-Personal bestimmt. Patienten registrieren sich nicht und legen keine Konten an. Es werden über die Plattform standardmäßig keine Patientendaten erhoben oder verarbeitet. Die Praxis ist verpflichtet, vor dem Hochladen von Inhalten sicherzustellen, dass diese keine personenbezogenen Patientendaten enthalten oder dass eine entsprechende Einwilligung der Patienten vorliegt (siehe Abschnitt 14).

Rechtsgrundlage für die Verarbeitung im Rahmen der Plattform-Nutzung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit den AGB sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb).

10. Registrierung und Authentifizierung (Supabase Auth)

Für die Nutzung der Plattform ist ein Nutzerkonto erforderlich. Wir nutzen für die Authentifizierung den Dienst Supabase Auth, betrieben von Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992, mit europäischem Datenstandort (AWS Region eu-west-2, Dublin, Irland).

Bei der Registrierung und beim Login werden folgende Daten verarbeitet:

• E-Mail-Adresse (Pflicht – dient als Login)
• Passwort (verschlüsselt gespeichert) oder Magic-Link-Token (kurzlebig)
• Name, Praxis-Name (optional, vom Nutzer selbst eingegeben)
• Zeitzone, hochgeladenes Praxis-Logo (optional)
• Session-Token (JWT, im Browser gespeichert)
• Zeitstempel der Registrierung und Anmeldungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Speicherort: Supabase, AWS-Rechenzentrum Dublin (Irland, EU). Backups können nach Stand der Technik kurzzeitig in andere AWS-Regionen repliziert werden.

Mit Supabase Inc. besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Weitere Informationen: https://supabase.com/privacy.

11. Datenbank und Datei-Speicherung (Supabase)

Sämtliche von der Praxis erzeugten Plattform-Daten werden in einer PostgreSQL-Datenbank sowie im zugehörigen Object-Storage von Supabase verarbeitet. Hierzu gehören insbesondere:

• Konto-Daten: wie unter Punkt 10 beschrieben.
• Abonnement-Daten: Stripe-Customer-ID, Stripe-Subscription-ID, Tarif, Status (active/trial/cancelled), Anzahl gekaufter Lizenzen, Trial-Ende, Start-/Endzeit.
• Geräte-Daten: Seriennummer und Pairing-Code des Players, Geräte-Name, lokale IP-Adresse innerhalb des Praxis-Netzwerks (zur Diagnose), letzter Sync-Zeitpunkt, aktueller Status, derzeit abgespielter Inhalt, ggf. Vorschau-Screenshot der Bildschirmausgabe.
• Inhalts-Daten: hochgeladene Mediendateien (Videos, Bilder, Logos), Dateiname, Kategorie, Dauer, Vorschaubild, Verknüpfung zu Playlists/Räumen.
• Konfigurations-Daten: angelegte Räume, Playlists, Templates.

Speicherort: AWS-Rechenzentrum Dublin (Irland, EU).

Zugriffsschutz: Die Datenbank ist durch Row-Level-Security so abgesichert, dass jede Praxis ausschließlich auf ihre eigenen Daten zugreifen kann. Datei-Zugriffe erfolgen über zeitlich begrenzte signierte URLs.

Hinweis zu Vorschau-Screenshots: Die Plattform kann auf Anforderung des Praxis-Personals einen Screenshot des aktuellen Player-Bildschirms erzeugen, um den ordnungsgemäßen Betrieb zu prüfen. Diese Screenshots werden im Praxis-Account gespeichert; die Praxis ist dafür verantwortlich, dass im Bildschirm keine Patientendaten sichtbar sind, wenn ein Screenshot ausgelöst wird.

12. Geräte-Kommunikation (HiveMQ Cloud / MQTT)

Zur Echtzeit-Kommunikation zwischen der Plattform und den DentaSign Playern in Ihren Behandlungsräumen nutzen wir einen MQTT-Broker des Anbieters HiveMQ GmbH, Schloss-Rahe-Str. 15, 52072 Aachen, Deutschland (Cloud-Region: EU).

Über MQTT werden ausschließlich technische Steuer- und Statusdaten übertragen, insbesondere:

• Heartbeat- und Status-Meldungen der Player (Geräte-Online-Status, lokale IP, Speicherauslastung)
• Befehle der Plattform an die Player (z. B. Wiedergabe starten/stoppen, Playlist wechseln, Logo aktualisieren)
• Download-Fortschritts-Meldungen beim Synchronisieren neuer Medien

Die Verbindung zum Broker ist TLS-verschlüsselt (Port 8883/MQTTS). Der Datenverkehr enthält keine Patientendaten und keine Klartext-Inhalte hochgeladener Mediendateien (sondern nur Referenzen/IDs).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Steuerung der vom Kunden eingesetzten Geräte).

Mit HiveMQ besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Weitere Informationen: https://www.hivemq.com/datenschutz/.

13. Hosting der Plattform (CapRover)

Die Plattform wird auf Servern eines deutschen bzw. europäischen Hosting-Providers innerhalb der EU betrieben; die Verwaltung erfolgt über die Open-Source-Plattform CapRover. Im Rahmen des Betriebs werden Server-Logfiles (IP-Adressen der zugreifenden Clients, Zeitstempel, aufgerufene Endpunkte, HTTP-Statuscodes) für Sicherheits- und Diagnosezwecke verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb).

Speicherdauer: Server-Logs werden nach spätestens 30 Tagen gelöscht.

14. Auftragsverarbeitung von Praxis-Inhalten

Soweit die Praxis im Rahmen der Plattform-Nutzung personenbezogene Daten Dritter (insbesondere Patientendaten) verarbeiten lässt – z. B. durch das Hochladen patientenbezogener Inhalte, das Verwenden personalisierter Logos oder das Zuweisen einzelner Behandlungsräume zu Patienten – tritt die medialightsystems GmbH als Auftragsverarbeiter im Sinne von Art. 28 DSGVO auf; die Praxis bleibt der Verantwortliche.

Wir stellen Ihnen hierzu auf Anfrage einen Auftragsverarbeitungsvertrag (AVV) zur Verfügung, der den Umfang, die Dauer und die technisch-organisatorischen Maßnahmen der Verarbeitung regelt. Anfrage per E-Mail an info@dentasign.io.

Wichtig: Wir empfehlen ausdrücklich, die Plattform nicht zur Verarbeitung von Gesundheitsdaten oder anderen besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ohne ausdrückliche Einwilligung der betroffenen Patienten zu nutzen. Die DentaSign-Plattform ist primär für die Anzeige von Praxis-, Aufklärungs- und Entspannungsinhalten ausgelegt – nicht für die Patientendokumentation.

15. Übersicht der Auftragsverarbeiter

Folgende Auftragsverarbeiter unterstützen uns beim Betrieb der DentaSign-Plattform und der Website:

Eine aktualisierte Liste senden wir Ihnen auf Anfrage zu. Drittlandtransfers (USA) werden auf Grundlage des EU-US Data Privacy Framework, ergänzender Standardvertragsklauseln oder Ihrer ausdrücklichen Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO durchgeführt.

16. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um Ihre Daten gegen unbefugten Zugriff, Verlust und Manipulation zu schützen, insbesondere:

• durchgehende TLS-Verschlüsselung (HTTPS) für alle Plattform-Zugriffe und MQTT-Verbindungen
• Verschlüsselung gespeicherter Passwörter (Hash-Verfahren) sowie verschlüsselte Datenbank-Backups
• Trennung der Datensätze einzelner Praxen über Row-Level-Security in der Datenbank
• signierte, zeitlich begrenzte Zugriffs-URLs für Mediendateien
• regelmäßige Sicherheits-Updates der eingesetzten Komponenten
• Beschränkung des administrativen Zugriffs auf einen kleinen Kreis berechtigter Personen

17. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorschreiben:

• Server-Logs: max. 30 Tage
• Konto- und Plattform-Daten: für die Dauer der Vertragsbeziehung
• Nach Vertragsende: 30 Tage Lese-Zugang für Datenexport, anschließend Löschung der Konto- und Inhalts-Daten
• Buchhaltungsrelevante Unterlagen (Rechnungen, Stripe-Transaktionsdaten): 10 Jahre gemäß § 147 AO / § 257 HGB
• Kontaktanfragen außerhalb eines Vertrags: max. 12 Monate nach abschließender Bearbeitung

18. Ihre Rechte als betroffene Person

Ihnen stehen hinsichtlich der Sie betreffenden personenbezogenen Daten folgende Rechte gegenüber uns zu:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
• Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an info@dentasign.io.

Sie haben außerdem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für die medialightsystems GmbH ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2–4, 40213 Düsseldorf.

19. Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Stand: Mai 2026