IT ConceptCareITCC ISMSZur Anmeldung →

Datenschutzerklärung

Diese Datenschutzerklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten beim Betrieb des Informationssicherheits-Managementsystems (ISMS) der IT ConceptCare GmbH (im Folgenden „ITCC“). Sie gilt für die Plattform unter isms.itcc.de.

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

IT ConceptCare GmbH, Reichsritterstraße 4, 67105 Schifferstadt, E-Mail: isms@itcc.de. Geschäftsführer: Andreas Englert.

2. Auftragsverarbeitung

ITCC betreibt die Plattform als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für die jeweiligen Mandanten (Praxen, MVZs, Dialysezentren und andere Organisationen). Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO bleibt der Mandant. Auftragsverarbeitungsverträge werden vor der ersten Datenverarbeitung mit jedem Mandanten geschlossen.

3. Erhobene Daten

Beim Anlegen eines Nutzer-Kontos verarbeiten wir Name, dienstliche E-Mail-Adresse, Rolle und das gesetzte Passwort (ausschließlich als bcrypt-Hash). Bei der Anmeldung werden zusätzlich IP-Adresse, Datum und User-Agent-String protokolliert (Audit-Log).

Inhaltlich verarbeitet die Plattform die für ein ISMS erforderlichen Daten: Stammdaten der Organisation, Asset-Inventar, Risiken, Statement-of-Applicability, Richtlinien-Dokumente, Vorfälle, Lieferanten-Verzeichnis, Schulungen und Quittierungen, Notfallpläne, Audits und Findings, Management-Reviews, Prozesse und Verarbeitungsverzeichnis nach DSGVO Art. 30. Diese Daten gehören dem jeweiligen Mandanten.

Für die optionale KI-gestützte Generierung von Richtlinien werden vom Nutzer freiwillig eingegebene Antworten und ggf. hochgeladene Bestandsdokumente an Anthropic (USA) übermittelt. Vor jedem Upload prüft eine Heuristik auf personenbezogene Daten (KVK-Nummern, Geburtsdaten, IBAN, Mailadressen-Listen) und bricht den Upload bei Verdacht ab. Hochgeladene Dateien werden ausschließlich auf Servern in Deutschland (Hetzner) gespeichert.

4. Zwecke und Rechtsgrundlagen

  • Bereitstellung der Plattform — Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
  • Sicherheit und Audit-Logging — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), Art. 32 DSGVO (Sicherheitsmaßnahmen).
  • Erfüllung gesetzlicher Pflichten (insbesondere ISO 27001, NIS2 § 30 BSIG, DSGVO Art. 30, Art. 32, Art. 33) — Art. 6 Abs. 1 lit. c DSGVO.

5. Empfänger und Drittlandtransfer

Die Plattform-Daten werden auf einem Server der Hetzner Online GmbH in Deutschland gespeichert (Auftragsverarbeitung). Bei Nutzung der KI-Funktionen werden die jeweils zur Generierung relevanten Inhalte an Anthropic PBC, San Francisco, USA übermittelt. Anthropic ist nach Standardvertragsklauseln (SCC) nach Art. 46 DSGVO eingebunden.

Mandanten können ihre KI-Anfragen alternativ über einen eigenen Anthropic-API-Schlüssel laufen lassen, der dann AES-256-GCM-verschlüsselt in der Datenbank gespeichert wird.

6. Speicherdauer

Mandantendaten werden für die Dauer der Geschäftsbeziehung gespeichert. Nach Beendigung erhält der Mandant einen Daten-Export; anschließend werden die Daten innerhalb von 90 Tagen gelöscht (sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen). Backup-Snapshots werden gemäß Backup-Konzept maximal 12 Monate vorgehalten.

7. Ihre Rechte

Sie haben jederzeit das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Anfragen richten Sie bitte an isms@itcc.de. Es besteht außerdem ein Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde (Art. 77).

8. Cookies

Die Plattform setzt ausschließlich technisch notwendige Cookies (Session-Cookie für die Anmeldung, CSRF-Schutz). Es findet kein Tracking, keine Analyse und kein Marketing statt.

Stand: 1. Mai 2026