Compliance · Datenschutz

Jede Änderung
bleibt
nachweisbar.

Compliance in AesthOS bündelt Datenschutz und Revisionssicherheit für ästhetische Praxen und Kliniken in DACH. Jede schreibende Änderung wird in einem manipulationssicheren Audit-Trail (HMAC-SHA256-verkettet) protokolliert. DSGVO-Betroffenenrechte — Auskunft, Löschung, Einschränkung und Einwilligung —, AES-256-Verschlüsselung, konfigurierbare Aufbewahrungsfristen und über 60 granulare Zugriffsrechte sind eingebaut. Der Betrieb ist On-Premise möglich, zwei externe Penetrationstests wurden bestanden.

Kommt es zur Prüfung — Datenschutzbehörde, Betriebsprüfung, Patientenstreit —, müssen Sie belegen, wer wann was geändert hat. AesthOS protokolliert jede Änderung fälschungssicher, setzt DSGVO-Rechte technisch durch und verschlüsselt sensible Daten. Kein nachträglich geschöntes Protokoll: Die Kette fällt auf, sobald jemand sie anrührt.

HMAC-SHA256-Kette DSGVO Art. 15–18
Audit-Log · Privatklinik Schäfer
Protokoll
Integritätsprüfung bestanden
14.302 Einträge · lückenlos · unverändert
14:32
Rechnung erstellt
M. Schäfer · RE-2048
14:18
Akte geändert
Dr. Berg · P. 1042
13:57
Export erstellt
M. Schäfer · P. 0987
11:24
Einwilligung widerrufen
System · P. 1042
09:03
Termin verschoben
L. Roth · T. 5521
HMAC-SHA256
pro Klinik verkettet
Klinikleitung prüft am iMac das revisionssichere AesthOS-Audit-Log — Tabelle mit Datum, Benutzer, Aktion und „Integrität prüfen“
Prüfung? Sie liefern sofort.
„Wer wann was geändert hat — auf Knopfdruck belegbar.“
Kennen Sie das?

Was im Ernstfall zählt. Und was AesthOS absichert.

Wenn die Prüfung kommt

Wer hat das
geändert?

Datenschutzbehörde, Betriebsprüfer oder ein Patient im Streit fragen nach Nachweisen. Wer in Ordnern und Excel-Listen sucht, verliert. AesthOS zeigt jede Änderung mit Person, Zeit und altem Wert — fälschungssicher verkettet.

Ordner durchsuchen1 Klick belegt
Auskunftsersuchen

Patient will seine Daten.

Auskunft nach Art. 15 in Minuten statt Tagen: ein vollständiger, strukturierter Export aller Daten eines Patienten — auf Knopfdruck.

Mitarbeiter geht

Zugriff sauber entzogen.

Wer was darf, steuern Sie über Berechtigungsgruppen. Beim Austritt ein Klick — kein vergessener Vollzugriff, kein Login aus fremden Netzen.

Versehentlich gelöscht?

Nichts verschwindet spurlos.

Löschungen, Änderungen, Exporte — alles bleibt im Protokoll. Patientendaten werden nach Art. 17 pseudonymisiert, nicht hart gelöscht.

Drei Säulen

Nachweisen, schützen, kontrollieren.

Compliance ist kein Dokument im Ordner, sondern im System eingebaut. Drei Bereiche greifen ineinander: ein lückenloses Protokoll, technischer Datenschutz und feingranulare Zugriffsrechte.

Audit-Trail

Jede Änderung,
versiegelt.

Patientenakteprotokolliert
Rechnung & Zahlungprotokolliert
Terminprotokolliert
Dokumentprotokolliert
Einwilligungprotokolliert
Fotoprotokolliert
Login & Exportprotokolliert

13 Aktionstypen, von Anlegen bis Export. Jeder Eintrag mit Person, Zeit, altem und neuem Wert.

Schutz & Fristen

Verschlüsselt,
fristgerecht gelöscht.

AES-256
IBAN & BIC
Versichertennr.
Dateispeicher
TLS 1.2+
HSTS
2-Faktor
+ Isolation
  • Patientenakte(10 Jahre)
  • Rechnung(§ 147 AO)
  • Protokoll(6 Jahre)
Berechtigungen

Über 60 Rechte,
pro Gruppe.

Termine bearbeitenan
Rechnung erstellenan
Fotos sehenan
Protokoll einsehenaus
Akte löschenaus
Einstellungenaus
Daten exportierenaus

Beispiel-Rolle Empfang. Vom Empfang bis zur Leitung sieht jede Rolle nur, was sie darf — Login auf interne Netze beschränkbar.

Ohne AesthOS

Protokoll in Excel pflegen · Löschfristen im Kalender notieren · Zugriff per Zuruf verwalten · Im Ernstfall Ordner wälzen.

Mit AesthOS
Eingebaut → automatisch → belegbar
Funktionsumfang

Was im System steckt. Sichtbar, wenn Sie es brauchen.

Vom fälschungssicheren Protokoll bis zur Selbstauskunft für Patienten — alles greift in Akte, Abrechnung und Termin, ohne Zusatz-Werkzeug.

Integritätsprüfung

Ein Klick und die Kette stimmt.

Jeder Eintrag ist mit dem vorherigen kryptografisch verkettet. Auf Knopfdruck rechnet das System die ganze Kette nach. Wurde nachträglich etwas verändert, gelöscht oder eingefügt, fällt es sofort auf.

HMAC-SHA256Pro Klinik verkettetNachträglich unveränderbar

Lesezugriff im Protokoll

Auch das bloße Öffnen einer Akte wird festgehalten — mit Schutz gegen doppelte Einträge, damit das Protokoll schlank bleibt.

Neu versiegelt nach Restore

Nach einem Backup-Restore wird die Kette mit Pflichtbegründung neu versiegelt — der Bruch bleibt dokumentiert, nicht versteckt.

Einwilligungen verwalten

Sechs Einwilligungstypen je Patient — erteilen, widerrufen, jede Änderung im Verlauf nachvollziehbar (Art. 6/7).

Aufbewahrung automatisch

Konfigurierbare Fristen pro Datentyp, gesetzliche Mindestwerte erzwungen. Ein täglicher Lauf räumt Abgelaufenes auf.

Betroffenenrechte

Patient fragt, Sie liefern.

Auskunft, Datenübertragbarkeit, Löschung, Einschränkung — die DSGVO-Rechte sind eingebaut. Auskunft als strukturierter Export, Löschung als Pseudonymisierung nach Art. 17, Sperrung der Verarbeitung nach Art. 18.

Auskunft Art. 15Löschung Art. 17Sperrung Art. 18vier Rechte, ein System

2-Faktor & Passkeys

Anmeldung mit zweitem Faktor — App-Code, Passkey oder vertrautem Gerät. Passwort-Regeln pro Klinik einstellbar.

Bildschirmsperre

Strg + L sperrt sofort. Verlässt das Personal den Raum, sieht niemand fremde Patientendaten — auch nicht im Kalender.

Login nur aus der Klinik

Pro Benutzer lässt sich der Zugang aus externen Netzen sperren — Anmeldung dann nur noch aus dem Praxisnetz.

Eigener Server möglich

On-Premise in Ihrer Klinik oder im deutschen Rechenzentrum. Daten getrennt pro Mandant, zwei externe Pentests bestanden.

Sechs Schritte — lückenlos

Vom Ereignis bis zum Nachweis.

  1. 01

    Aktion passiert

    Jemand legt eine Rechnung an, ändert einen Termin oder öffnet eine Akte. Das System hält fest, wer gerade angemeldet ist.

  2. 02

    Eintrag versiegelt

    Die Änderung wird mit Person, Zeit, altem und neuem Wert gespeichert — und mit dem vorherigen Eintrag kryptografisch verkettet.

  3. 03

    Kette wächst

    Jeder neue Eintrag hängt am vorigen. Pro Praxis oder Klinik entsteht eine durchgehende, fälschungssichere Kette.

  4. 04

    Prüfung angefordert

    Behörde, Betriebsprüfer oder Patient verlangt einen Nachweis. Sie öffnen das Protokoll und filtern nach Patient, Zeitraum oder Aktion.

  5. 05

    Integrität bestätigt

    Ein Klick rechnet die ganze Kette nach. Grün heißt: lückenlos und unverändert. Bei einem Bruch zeigt das System genau, wo.

  6. 06

    Export als Beleg

    Das Protokoll geht als PDF heraus — datiert, vollständig, vorlagefertig für Behörde oder Gericht.

Monitor in einer Privatklinik zeigt die AesthOS-Berechtigungen — 65 Rechte in Gruppen, kritische Aktionen orange markiert
Berechtigungen im Detail

Wer was darf. Bis ins einzelne Recht.

65 einzelne Rechte bündeln Sie zu Benutzergruppen — vom Empfang über die Behandlung bis zur Leitung sieht und ändert jede Rolle nur, was sie darf.

  • In Gruppen gebündelt
    Empfang, Klinikleitung, Station — jede Gruppe bekommt genau ihr Set an Rechten. Sogar die Dashboard-Ansicht hängt an der Rolle.
  • Kritische Aktionen markiert
    Stornieren, Patient löschen, Protokoll einsehen oder Daten exportieren sind eigene, klar als kritisch gekennzeichnete Rechte.
  • Beim Austritt entzogen
    Wer geht, verliert die Gruppe mit einem Klick — kein vergessener Vollzugriff. Logins lassen sich zusätzlich auf das interne Praxisnetz beschränken.
Sicherheit im Detail

Eingebaut, nicht nachgerüstet.

Zwei-Faktor, Passkeys und eine zentrale Passwort-Richtlinie gelten für die ganze Klinik — kombiniert mit Verschlüsselung auf Feldebene. Sicherheit nach DSGVO Art. 32, ohne Zusatzmodul.

  • 2-Faktor & Passkeys
    2FA mandantenweit verpflichtend machen, Anmeldung per Passkey (TouchID, FaceID, Windows Hello) statt Code. Vertrauenswürdige Geräte mit Ablaufzeit.
  • Zentrale Passwort-Richtlinie
    Mindestlänge und Komplexität — Groß-, Kleinbuchstaben, Ziffern, Sonderzeichen — geben Sie einmal für alle Benutzer vor.
  • Feld-Verschlüsselung (AES-256)
    IBAN, BIC und Versichertennummer liegen feldverschlüsselt; die Übertragung läuft ausschließlich über TLS 1.2+ mit HSTS.
Monitor in einer Privatklinik zeigt die AesthOS-Sicherheitseinstellungen — 2-Faktor-Authentifizierung, Passkeys und Passwort-Richtlinie
iMac in einer Privatklinik zeigt das DSGVO-Menü einer Patientenakte — Verarbeitung einschränken, Daten exportieren, pseudonymisieren, löschen
Betroffenenrechte im Detail

Auskunft, Sperre, Löschung. Aus der Akte.

Die zentralen DSGVO-Rechte erledigen Sie direkt aus dem Patienten-Menü — jede Aktion wird selbst wieder protokolliert.

  • Auskunft & Export (Art. 15/20)
    Alle Daten eines Patienten als strukturierter Export — auf Knopfdruck, in Minuten statt Tagen.
  • Verarbeitung einschränken (Art. 18)
    Patient sperren statt verarbeiten — mit Begründung, jederzeit wieder aufhebbar.
  • Pseudonymisieren statt löschen (Art. 17)
    Der Personenbezug wird unkenntlich, die buchhalterisch nötigen Daten bleiben erhalten (§ 147 AO). Kein hartes Löschen.
In den Einstellungen

Alle Kennzahlen auf einen Blick.

Das Datenschutz-Dashboard zeigt Aufbewahrungsfristen, die Lösch-Warteschlange, fehlende Einwilligungen und den Status der Protokoll-Kette — für Praxisleitung und Datenschutzbeauftragte.

AesthOS DSGVO-Compliance-Dashboard auf einem iMac am Klinik-Empfang — Lösch-Warteschlange, Consent-Lücken, Audit-Integrität und Aufbewahrungsfristen
Rechtsrahmen

Belegbar nach Gesetz und Norm.

AesthOS bildet die Nachweis- und Schutzpflichten technisch ab, die für Praxen und Kliniken gelten — vom Datenschutz über die Buchführung bis zur gesetzlichen Meldepflicht.

  • DSGVO Art. 5(2) & 30
    Nachweispflicht und Verarbeitungsverzeichnis: Jede Verarbeitung ist protokolliert und jederzeit belegbar.
  • GoBD §§ 145, 146 AO
    Manipulationssichere, lückenlose Aufzeichnung fürs Rechnungswesen — die verkettete Kette erfüllt die Unveränderbarkeit.
  • § 630f BGB
    Ärztliche Dokumentationspflicht: Änderungen an der Akte bleiben mit Zeitpunkt und Urheber nachvollziehbar.
  • DSGVO Art. 32
    Sicherheit der Verarbeitung: AES-256-Verschlüsselung, 2-Faktor, Zugriffskontrolle und TLS sind eingebaut.
  • iRegG § 16
    Meldepflicht ans Deutsche Implantateregister (IRD): jede meldepflichtige Implantation wird fristgerecht und pseudonym übertragen und belegt.

Die Implantatregister-Meldung nach iRegG erzeugt AesthOS direkt aus den OP- und Lagerdaten — mehr zur Implantatregister-Software.

Beispiel — eine Auskunftsanfrage
  1. 09:02 · Anfrage geht ein
    Ein Patient verlangt Auskunft über seine gespeicherten Daten nach Art. 15 DSGVO.
  2. 09:05 · Export erstellt
    Die Leitung öffnet die Akte und startet den Datenexport — strukturiert und vollständig.
  3. 09:06 · Export protokolliert
    Der Export wird selbst als Aktion festgehalten: wer, wann, für welchen Patienten.
  4. 09:10 · Integrität geprüft
    Ein Klick bestätigt: die Protokoll-Kette ist lückenlos. Grüner Status.
  5. 09:12 · Nachweis verschickt
    Der Patient erhält seine Auskunft, die Klinik den dokumentierten Beleg dafür.
Fragen & Antworten

Häufige Fragen zu Compliance & Datenschutz.

Was ist ein revisionssicherer Audit-Trail?

Ein Audit-Trail ist ein lückenloses Protokoll jeder Änderung. In AesthOS ist er revisionssicher, weil jeder Eintrag kryptografisch (HMAC-SHA256) mit dem vorherigen verkettet wird — pro Praxis oder Klinik eine durchgehende Kette. Wird ein Eintrag nachträglich verändert, gelöscht oder eingefügt, stimmt die Kette nicht mehr und der Bruch wird bei der Integritätsprüfung sichtbar. Erfasst werden Person, Zeitpunkt, alter und neuer Wert für jede schreibende Aktion.

Welche DSGVO-Betroffenenrechte deckt AesthOS ab?

AesthOS bildet die zentralen Betroffenenrechte technisch ab: Auskunft und Datenübertragbarkeit (Art. 15/20) als strukturierten Export, Löschung (Art. 17) als Pseudonymisierung, Einschränkung der Verarbeitung (Art. 18) als Sperre, sowie Einwilligungen (Art. 6/7) mit lückenlosem Verlauf. Eine automatische Meldung von Datenpannen an die Aufsichtsbehörde (Art. 33/34) ist bewusst nicht als eigener Workflow enthalten — diesen Schritt verantwortet die Klinik organisatorisch.

Werden gelöschte Patientendaten wirklich entfernt?

Patientendaten werden bei einer Löschung nach Art. 17 DSGVO pseudonymisiert, nicht hart aus der Datenbank entfernt. Grund: Rechnungen unterliegen der gesetzlichen Aufbewahrungspflicht (§ 147 AO, zehn Jahre), Behandlungsdaten der ärztlichen Dokumentationspflicht. AesthOS löst diesen Konflikt, indem personenbezogene Merkmale unkenntlich gemacht werden, die buchhalterisch nötigen Daten aber erhalten bleiben. Aufbewahrungsfristen sind pro Datentyp konfigurierbar; ein täglicher Lauf entfernt, was wirklich ablaufen darf.

Wie werden sensible Daten verschlüsselt?

Besonders sensible Felder wie IBAN, BIC und Versichertennummer werden mit AES-256-GCM auf Feldebene verschlüsselt — sie sind selbst in der Datenbank nicht im Klartext lesbar. Hochgeladene Dateien liegen verschlüsselt im Speicher, die Übertragung läuft ausschließlich über TLS 1.2 oder höher mit HSTS. So sind die Daten sowohl im Ruhezustand als auch auf dem Transportweg geschützt.

Kann ich steuern, wer was sehen und ändern darf?

Ja. AesthOS hat über 60 granulare Berechtigungen, die Sie zu Benutzergruppen bündeln — vom Empfang über die Behandlung bis zur Leitung sieht und ändert jede Rolle nur, was sie darf. Kritische Aktionen wie das Löschen von Patienten oder das Einsehen des Protokolls sind eigene Rechte. Zusätzlich lässt sich der Login pro Benutzer auf das interne Praxisnetz beschränken, sodass Anmeldungen aus fremden Netzen abgewiesen werden.

Läuft AesthOS auch auf einem eigenen Server?

AesthOS kann On-Premise auf einem eigenen Server in Ihrer Praxis oder Klinik betrieben werden, alternativ in einem deutschen Rechenzentrum. Die Daten jeder Klinik sind voneinander isoliert. Die Plattform wurde zweimal extern durch unabhängige Penetrationstests geprüft; die Befunde wurden behoben. Server-seitig sind unter anderem strikte Sicherheits-Header, eine restriktive Firewall und Schutz gegen Brute-Force-Anmeldungen eingerichtet.

Was passiert nach einem Backup-Restore mit dem Protokoll?

Wird eine Datenbank aus einem Backup wiederhergestellt, kann die Protokoll-Kette technisch bedingt brechen. AesthOS versteckt das nicht: Die Integritätsprüfung zeigt den Bruch an, und die Kette muss mit einer Pflichtbegründung neu versiegelt werden. Der alte Stand und der Grund bleiben dokumentiert. So bleibt nachvollziehbar, dass und warum ein kontrollierter Schnitt stattgefunden hat — statt eines stillen, verdächtigen Lochs im Protokoll.

Bereit, im Ernstfall zu liefern?

Compliance, die im Hintergrund mitläuft.

30 Minuten Demo. Wir zeigen den echten Audit-Trail, die Integritätsprüfung und das Datenschutz-Dashboard — mit Ihren Anforderungen.

Demo anfragenPreise ansehen