Anbieterwechsel & DatenportabilitätEU Data Act

Informationen nach Art. 26 und Art. 28 der Verordnung (EU) 2023/2854

Stand: 07.07.2026

Diese Informationen stellt die AesthOS UG (haftungsbeschränkt), Maubisstraße 26, 41564 Kaarst (Amtsgericht Neuss, HRB 25467), als Anbieterin des Cloud-Dienstes „AesthOS“ nach Art. 26 und Art. 28 der Verordnung (EU) 2023/2854 (Data Act) bereit. Sie gelten für die Cloud-Variante von AesthOS; bei der On-Premise-Variante betreibt der Kunde die Software auf eigener Infrastruktur.

1. Wechsel des Anbieters und Datenübertragung (Art. 26 Data Act)

Ihr Wechselrecht

Als Kunde der Cloud-Variante können Sie jederzeit in Textform (z. B. E-Mail an info@aesthos.de) verlangen, zu einem anderen Anbieter zu wechseln, in eine eigene IT-Infrastruktur (On-Premise) zu wechseln, mehrere Anbieter parallel zu nutzen oder — statt eines Wechsels — die Löschung Ihrer exportierbaren Daten zu verlangen.

Ablauf und Fristen

  • Ankündigungsfrist für die Einleitung des Wechsels: höchstens zwei Monate.
  • Durchführung innerhalb eines Übergangszeitraums von 30 Kalendertagen; ist das technisch nicht machbar, informieren wir Sie innerhalb von 14 Arbeitstagen, und der Zeitraum verlängert sich einmalig (höchstens auf sieben Monate). Sie selbst können den Übergangszeitraum einmal um einen für Ihre Zwecke geeigneteren Zeitraum verlängern.
  • Nach Ablauf des Übergangszeitraums bleiben Ihre Daten mindestens 30 Kalendertage zum Abruf bereit; danach werden sie vollständig gelöscht, auf Wunsch mit Löschbestätigung.
  • Für die Unterstützung des Wechsels berechnen wir keine Wechselentgelte.
  • Während des Wechsels führen wir den Dienst vertragsgemäß fort, unterstützen Sie und von Ihnen beauftragte Dritte angemessen und stellen alle einschlägigen Informationen (insbesondere die Formatdokumentation des Gesamtexports) bereit.

Verfahren und Methoden der Datenübertragung

  • Selbstständiger Gesamtexport direkt in der Anwendung (Self-Service, jederzeit, ohne Mitwirkung von AesthOS) sowie Einzel-Exporte je Fachbereich.
  • Übergabe als verschlüsseltes ZIP-Archiv (AES-256) zum Download.
  • Auf Wunsch begleiteter Export im Rahmen des Wechselverfahrens.

Bekannte Beschränkungen und technische Grenzen

  • Das Export-Archiv ist AES-256-verschlüsselt; zum Entpacken ist ein AES-fähiges Programm erforderlich (z. B. 7-Zip, Keka, WinRAR). Die macOS-Bordmittel öffnen AES-verschlüsselte ZIP-Archive nicht.
  • Die Entschlüsselungs-Passphrase wird einmalig angezeigt und nicht gespeichert; bei Verlust ist ein neuer Export zu erstellen.
  • Nicht exportiert werden für den internen Betrieb des Dienstes spezifische Bestandteile (Programmcode, Plattform-Konfiguration, systeminterne Protokolle der gemeinsamen Infrastruktur); dies behindert den Wechsel nicht.

2. Register der Datenstrukturen, Datenformate und Standards

Online-Register nach Art. 26 Buchst. b Data Act

Der Gesamtexport enthält alle von Ihnen eingebrachten und durch die Nutzung erzeugten Daten sowie Ihre digitalen Vermögenswerte (z. B. selbst erstellte Vorlagen und Konfigurationen). Struktur des Export-Archivs:

InhaltStruktur / FormatStandard
Fachdaten je Datendomäne (u. a. Patientenstammdaten, Termine/Kalender, Behandlungs- und OP-Dokumentation, Einwilligungen, Abrechnung/Rechnungen, Aufgaben, Vorlagen und Konfigurationen)data/<domäne>.ndjson — ein Datensatz je Zeile als JSON (NDJSON)JSON (RFC 8259), NDJSON; UTF-8
Originaldateien (Fotos, Dokumente, PDF-Belege)files/… in den UrsprungsformatenJPEG, PNG, PDF u. a.
Inhaltsverzeichnis und Integritätsnachweismanifest.json mit SHA-256-Prüfsumme je Datei, Exportzeitpunkt und HinweisenJSON, SHA-256 (FIPS 180-4)
Erläuterung des ArchivsREADME.mdMarkdown
Archiv-ContainerZIP, AES-256-verschlüsseltZIP (APPNOTE), AES-256 (WinZip-AES)
Buchhaltungs-Export (zusätzlich, laufend)DATEV-kompatibler ExportDATEV-Format (CSV)

Es kommen ausschließlich offene, dokumentierte Formate zum Einsatz; proprietäre Formate werden nicht verwendet. Eine detaillierte Formatdokumentation liegt dem Export bei (README.md, manifest.json) und ist Teil der Benutzerdokumentation. Dieses Register wird bei Format-Änderungen aktualisiert (siehe „Stand“ oben).

3. Jurisdiktion der IKT-Infrastruktur (Art. 28 Abs. 1 Buchst. a Data Act)

Die für den Cloud-Dienst AesthOS eingesetzte IKT-Infrastruktur befindet sich ausschließlich in Rechenzentren in der Bundesrepublik Deutschland (Hetzner Online GmbH, Rechenzentren Falkenstein und Nürnberg, ISO-27001-zertifiziert). Sie unterliegt damit ausschließlich der Jurisdiktion der Bundesrepublik Deutschland und dem Recht der Europäischen Union. Es werden keine Infrastrukturanbieter mit Sitz oder Konzernobergesellschaft in einem Drittland eingesetzt.

4. Maßnahmen gegen unzulässigen internationalen Behördenzugriff (Art. 28 Abs. 1 Buchst. b Data Act)

Zur Verhinderung eines internationalen behördlichen Zugriffs auf oder einer Übermittlung von in der Union gespeicherten Daten, soweit dieser Zugriff oder diese Übermittlung im Widerspruch zum Unionsrecht oder zum deutschen Recht stünde, hat AesthOS insbesondere folgende technische, organisatorische und vertragliche Maßnahmen getroffen:

  • Ausschließliche EU-Verarbeitung: Speicherung und Verarbeitung finden ausschließlich in Deutschland statt; eine Verarbeitung in Drittländern findet nicht statt (vertraglich zugesichert im Auftragsverarbeitungsvertrag).
  • Anbieterauswahl: Es werden ausschließlich Dienstleister mit Sitz in Deutschland/der EU ohne Drittstaats-Konzernbindung eingesetzt; sie sind vertraglich auf die Verarbeitung im Auftrag und in der EU verpflichtet.
  • Technische Sicherung: Transportverschlüsselung (TLS), AES-256-Verschlüsselung besonders sensibler Datenfelder, granulares Rollen- und Berechtigungskonzept, manipulationsgeschützter Audit-Trail.
  • Verfahren bei Behördenersuchen: Ersuchen von Behörden aus Drittländern ohne Rechtsgrundlage im Unionsrecht oder im Recht eines Mitgliedstaats werden nicht befolgt. Jedes Ersuchen wird rechtlich geprüft; die Herausgabe wird zunächst verweigert, der betroffene Kunde wird — soweit rechtlich zulässig — unverzüglich informiert, und es werden nur solche Daten herausgegeben, zu deren Herausgabe eine vollstreckbare Verpflichtung nach EU- oder deutschem Recht besteht (Grundsatz der Minimalherausgabe). Bei Kunden, die Berufsgeheimnisträger (§ 203 StGB) sind, werden zusätzlich die Schutzrechte nach § 53a und § 97 StPO geltend gemacht.

5. Kontakt

AesthOS UG (haftungsbeschränkt)

Maubisstraße 26 · 41564 Kaarst
E-Mail: info@aesthos.de · Geschäftsführer: Neils Shoobridge
Amtsgericht Neuss, HRB 25467