Zuletzt geändert: 30. Oktober 2025
Umgang mit Kundendaten
Wie gehen wir mit Ihren Daten um?
Luscii gewährleistet die Einhaltung der GDPR in Bezug auf die Datenverarbeitung, sowohl als Datenverantwortlicher als auch als Datenverarbeiter im Namen seiner Kunden. Innerhalb von Luscii halten wir uns an die Grundsätze der Verarbeitung personenbezogener Daten gemäß Artikel 5 der GDPR:
- Rechtmäßigkeit, Fairness und Transparenz: Die Verarbeitung personenbezogener Daten durch Luscii steht im Einklang mit der GDPR und ist für externe Parteien transparent.
- Zweckbindung: Luscii darf Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erfassen und nicht in einer Weise weiterverarbeiten, die mit diesen Zwecken unvereinbar ist. Der Zweck der Datenverarbeitung muss jederzeit klar sein und ist in unserer Datenschutzrichtlinie und den Datenverarbeitungsverträgen mit unseren Kunden enthalten.
- Datenminimierung: Die von Luscii erhobenen Daten müssen angemessen und relevant sein und sich auf das beschränken, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Luscii verarbeitet nur die Daten, die es für das Funktionieren seiner Produkte und seiner internen Organisation benötigt.
- Korrektheit: Die Daten sind richtig und werden, soweit erforderlich, auf den neuesten Stand gebracht; Luscii ergreift Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
- Begrenzung der Aufbewahrung: Die Daten werden in einer Form aufbewahrt, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten können länger aufbewahrt werden, sofern sie ausschließlich zu wissenschaftlichen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden, vorausgesetzt, es werden die geeigneten technischen und organisatorischen Maßnahmen ergriffen, die nach der Datenschutz-Grundverordnung erforderlich sind, um die Rechte und Freiheiten von Personen zu schützen.
- Integrität und Vertraulichkeit (Sicherheit): Luscii muss die Daten so verarbeiten, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch geeignete technische oder organisatorische Maßnahmen.
- Rechenschaftspflicht: Luscii stellt sicher, dass sie als für die Verarbeitung Verantwortlicher wie auch als Datenverarbeiter in der Lage ist, die Einhaltung der vorgenannten Grundsätze nachzuweisen.
Welche Daten sammelt Luscii im Namen seiner Kunden?
Um unseren Service anbieten zu können, sammelt Luscii personenbezogene Daten von Ihren Patienten und Gesundheitsdienstleistern. Was die Patienten betrifft, so umfasst dies (sensible) Gesundheitsdaten, die sich auf das spezifische Programm beziehen, für das der Patient eingeschrieben ist. Die vollständige Liste der für Ihre Organisation verarbeiteten Daten ist in der Datenverarbeitungsvereinbarung aufgeführt.
Wer kontrolliert die Daten?
Die von Luscii im Auftrag seiner Kunden verarbeiteten personenbezogenen Daten bleiben stets unter der Kontrolle des Gesundheitsdienstleisters, der als Datenverantwortlicher benannt ist. Luscii ist der Datenverarbeiter.
Wo speichert Luscii Ihre Daten?
Die in der Luscii-app verarbeiteten Daten werden hauptsächlich auf virtuellen privaten Servern gespeichert, die von Amazon Web Services (AWS) verwaltet werden. AWS ist nach ISO9001, ISO27001, ISO27017, ISO27018 zertifiziert und bietet somit umfassende Sicherheitsgarantien. Die Daten, einschließlich sensibler personenbezogener Daten, werden physisch in AWS-Rechenzentren in Frankfurt (Deutschland) gespeichert. Die Weitergabe von Datenexporten, einschließlich sensibler personenbezogener Daten, erfolgt auf Wunsch des Kunden über Google-Server, die sich ausschließlich im Europäischen Wirtschaftsraum befinden.
Neben AWS setzt Luscii weitere Unterauftragsverarbeiter ein, um unsere Dienste bereitzustellen und bestimmte personenbezogene Daten zu verarbeiten. Wir stellen sicher, dass die personenbezogenen Daten, die von Unterauftragsverarbeitern verarbeitet werden, ordnungsgemäß und im Einklang mit dem geltenden Recht behandelt werden. Zu diesem Zweck haben wir mit allen unseren Unterauftragsverarbeitern Datenverarbeitungsverträge (DPAs) abgeschlossen.
Luscii überträgt in einigen Fällen Daten außerhalb des Europäischen Wirtschaftsraums (EWR). Zusätzlich zu den Verträgen mit den Unterauftragsverarbeitern über Standardvertragsklauseln (SCC) verlangt Luscii, dass diese Unterauftragsverarbeiter zusätzliche Sicherheitsvorkehrungen getroffen haben. Bei der Übermittlung personenbezogener Daten in Länder außerhalb des EWR prüft Luscii von Fall zu Fall und in Zusammenarbeit mit den Unterauftragsverarbeitern, ob diese ein Schutzniveau für die personenbezogenen Daten gewährleisten, das dem des EWR entspricht.
Nachstehend finden Sie eine Liste der von Luscii genutzten Dienste:
| Unternehmen | Personenbezogene Daten | Übertragung außerhalb des EWR? | SCCs? | Sicherheitsmaßnahmen |
|---|---|---|---|---|
| Amazon Web Services (AWS) | Ja | Nein | N.A. | https://aws.amazon.com/products/security/ |
| Branch Metrics | Nein | Ja | Ja | https://branch.io/security/ |
| Google Firebase/Analytics | Nein | Ja | Ja | https://firebase.google.com/support/privacy?authuser=0 |
| Google Workspace | Ja | Nein | N.A. | https://services.google.com/fh/files/misc/google-cloud-security-foundations-guide.pdf |
| Hubspot | Ja | Nein | N.A. | https://legal.hubspot.com/security |
| Instatus | Nein | Ja | Ja | https://instatus.com/policies/security |
| Notion | Nein | Ja | Ja | https://www.notion.so/security |
| Omron Academy | Nein | Ja | Ja | https://www.omron-healthcare.com/privacy-policy |
| Productboard | Nein | Ja | Ja | https://www.productboard.com/product/security/ |
| Rocket Science Group | Nein | Ja | Ja | https://mailchimp.com/about/security/ |
| Slack | Nein | Ja | Ja | https://slack.com/trust/security |
| Vidyo | Nein | Nein | N.A. | vidyo.com/video-conferencing-solutions/product/desktop-video-calling/secure-video-conferencing |
| Voys | Nein | Nein | N.A. | https://www.voys.nl/security-responsible-disclosure/ |
| Zapier | Nein | Ja | Ja | https://zapier.com/help/account/data-management/data-privacy-at-zapier |
| Zivver | Ja | Nein | N.A. | https://www.zivver.com/security |
Welche Aufbewahrungsfristen hält Luscii in Bezug auf personenbezogene Daten ein?
Standardmäßig speichert Luscii personenbezogene Daten, die auf der Luscii-Plattform verarbeitet werden, für zwei Jahre nach Beendigung des Vertrags mit dem Gesundheitsdienstleister. Die Gesundheitsorganisation kann Luscii als Teil der Datenverarbeitungsvereinbarung anweisen, andere Aufbewahrungsfristen zu verwenden. Nach Ablauf der Aufbewahrungsfrist überträgt Luscii die personenbezogenen Daten an die Gesundheitsversorgungseinrichtung und löscht sie dauerhaft. Die Organisation des Gesundheitswesens ist für die Aufbewahrung der personenbezogenen Daten in den medizinischen Akten in Übereinstimmung mit den geltenden (Gesundheits-)Gesetzen verantwortlich.
Wer hat Zugang zu den Daten?
Der Zugang zu Informationen wird immer nach dem Grundsatz "Kenntnis nur, wenn nötig" gewährt und regelmäßig gemäß dem Grundsatz der ISO 27001 über Zugangsrechte überprüft. Alle Mitarbeiter erhalten Schulungen zum Datenschutz und zur Datensicherheit.
Die Ingenieure von Luscii haben vollen Zugang zu unseren Datenbanken. Dies ist für die Entwicklung und Wartung unserer Systeme erforderlich. Alle Ingenieure haben einen Bachelor- und/oder Master-Abschluss in Informatik oder einer verwandten Disziplin und haben eine Vertraulichkeitsvereinbarung unterzeichnet.
Mitarbeiter mit spezifischen unterstützenden Funktionen haben Zugang zu den Informationen Ihrer Nutzer (Patienten und Angehörige der Heilberufe), um sie bei der Nutzung der Plattform zu unterstützen.
Alle anderen Mitarbeiter haben in der Regel keinen Zugang zu den Informationen Ihrer Nutzer.
Wie werden die Daten im Zusammenhang mit der EMR-Integration weitergegeben?
Wenn die Luscii App für die Integration mit Ihrer EMR-Software eingerichtet ist, gibt es zwei Datenströme:
- Patienteninformationen (Name, Geburtsdatum usw.) aus dem EMR an die Luscii App für das Onboarding des Patienten. Dies wird mit TLS (https) gesichert und mit SAML authentifiziert.
- Alarme und Messungen von der Luscii App zum EMR, gesichert mit TLS (https) und authentifiziert mit SAML.
Wir arbeiten eng mit EMR-Anbietern zusammen, um unsere Produkte verantwortungsvoll und sicher zu integrieren.
Kann Luscii ein DPIA erstellen?
Gemäß der Allgemeinen Datenschutzverordnung (DSGVO) ist ein für die Datenverarbeitung Verantwortlicher verpflichtet, eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen, wenn eine beabsichtigte Datenverarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten von Personen führt. Luscii verarbeitet die personenbezogenen Daten von Patienten als Datenverarbeiter. Die einzelnen Gesundheitsdienstleister fungieren als Datenverantwortliche. Wir haben ein DPIA-Factsheet entwickelt, um unsere Kunden bei der Einhaltung dieser Verpflichtung zu unterstützen. Dieses Dokument ist auf Anfrage erhältlich.
Wie werden Datenlecks entdeckt und behandelt?
Wir verwenden die folgenden Systeme für die Protokollierung, Überwachung und Prüfung: Kibana-Protokollierung, AWS CloudTrail und AWS CloudWatch. So können wir schnell erkennen, wenn ein Datenleck aufgetreten ist.
Im Falle eines Datenlecks erfüllen wir die Anforderungen der GDPR: Luscii benachrichtigt die betroffenen Organisationen des Gesundheitswesens unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten und, wenn möglich, spätestens 24 Stunden nach dem Datenleck.
Besucher der Website und Bewerber
Alle Informationen zur Datenverarbeitung durch Luscii als Datenverantwortlichen finden Sie in der Datenschutzrichtlinie hier.