Datenschutz & Sicherheit

Ihr digitaler Schutzschild gegen Datenverlust und Haftungsrisiken

AesthOS liefert die technische Sicherheit für DSGVO, GoBD und IfSG ab Werk. Damit Sie Arzt bleiben und nicht zum Datenschutzbeauftragten werden müssen.

On-Premise FirstAES-256 VerschlüsselungManipulationssicherer Audit-Trail

Entwickelt nach den Standards für DSGVO-Zertifizierungen (Privacy-by-Design).

Sicherheits-Architektur besprechen

Cloud oder On-Premise — Sie entscheiden

Gleiche Software, gleicher Funktionsumfang. Sie entscheiden, wo Ihre Daten liegen.

“Cloud-Zwang bedeutet Kontrollverlust. Was passiert, wenn der Anbieter seine Server in die USA migriert? Oder der Dienst ausfällt?”

Deutsche Cloud

  • Sofort einsatzbereit
  • Automatische Updates & Backups
  • Kein IT-Aufwand
  • Hosting in Deutschland (ISO 27001)

On-Premise

Empfohlen
  • Volle Datenkontrolle
  • Eigene Server & Infrastruktur
  • Maximale Datensouveränität
  • Individuelle Konfiguration

Warum On-Premise schneller ist als Cloud

50 hochauflösende Fotos (RAW/HEIC) laden: Ihr lokales Gigabit-Netzwerk ist physikalisch schneller als jeder Cloud-Server.

Lokales Netzwerk (Gigabit-LAN)1,25 GB in ~10 Sekunden

1.000 Mbit/s Durchsatz

Cloud Download (typisch)1,25 GB in ~2 Minuten

100 Mbit/s Durchsatz

Cloud Upload (typisch)1,25 GB in ~4 Minuten

50 Mbit/s Durchsatz

Beispiel: 50 RAW-Fotos à 25 MB = 1,25 GB Datenmenge pro Termin. AesthOS nutzt diese Physik zu Ihrem Vorteil.

Unterstützte Hardware

Browser-basiert. Im Gegensatz zu Tomedo nicht an Apple gebunden.

Windows PC

Chrome, Edge, Firefox. Jeder PC am Empfang oder im Büro.

Mac

Safari, Chrome. Keine zusätzliche Software nötig.

iPad / iPad Pro

Safari oder Chrome. Im OP, im Behandlungsraum, am Empfang.

Android Tablet

Chrome. Samsung, Lenovo — jedes Android-Gerät.

Drucker und Scanner — Standard-USB und Netzwerk-Peripherie. Keine Vendor Lock-in.

Docker-Isolation · Self-Hosted · Multi-Tenant-Architektur · TLS 1.2+ · HSTS

Verschlüsselung

Der digitale Tresor — Verschlüsselung auf zwei Ebenen

“Was passiert, wenn ein Server gestohlen wird oder ein Backup in falsche Hände gerät? Sind meine Patientendaten dann im Darknet?”

Ihre Patientendaten liegen nicht im Klartext auf der Festplatte. Selbst wenn jemand physischen Zugriff auf Ihren Server erlangt, sieht er nur verschlüsselte Daten.

Datenbank-Verschlüsselung

Die komplette Datenbank ist mit AES-256 verschlüsselt (Transparent Data Encryption). Festplatte gestohlen? Daten unlesbar. Backup-Medium verloren? Keine Lesbarkeit ohne Key.

  • TLS 1.2+ für Übertragung
  • AES-256 at Rest
  • Automatische Backup-Verschlüsselung

Feld-Verschlüsselung

AES-256-GCM

Besonders sensible Felder werden zusätzlich auf Anwendungsebene verschlüsselt — unabhängig von der Datenbank-Verschlüsselung.

  • IBAN / BIC der Klinik
  • Krankenversicherungsnummer (KVNR)
  • Kontoinhaber-Daten
  • Versioniertes Prefix (enc:v1:)
Technische Details für IT-Verantwortliche

Cipher: AES-256-GCM (Galois/Counter Mode) mit randomisiertem IV pro Eintrag

Key-Storage: Environment Injection (Docker Secrets). Keys getrennt von Daten — kein Key in der Datenbank.

Format: Versioniertes Prefix enc:v1:<base64> für Key-Rotation

Fail-Safe: FieldDecryptionError bei fehlerhafter Entschlüsselung — kein stilles Versagen

DSGVO Art. 32(1)(a): “Dem Stand der Technik entsprechende Verschlüsselung personenbezogener Daten”

AES-256-GCM · TDE Ready · Field-Level Encryption · bcrypt (12 Rounds)

Audit-Trail

Der unbestechliche Zeuge — manipulationssicheres Protokoll

“Was passiert, wenn ein Mitarbeiter unbefugt eine Promi-Akte öffnet — oder Daten manipuliert? Ohne Nachweis stehen Sie bei einer Prüfung blank da.”

Jeder Klick wird dokumentiert. Unser Audit-Log erfasst nicht nur Änderungen, sondern auch Lesezugriffe auf Patientenakten. Durch kryptographische Verkettung ist das Protokoll technisch unmöglich nachträglich zu manipulieren — selbst von IT-Administratoren nicht.

HMAC-Chain V2: Jeder Eintrag verkettet — Inhalte manipulationssicher

VIEW

User A öffnet Patient #1234

HMAC: a3f5…

UPDATE

User B ändert IBAN

HMAC: 7d92… (inkl. prev)

EXPORT

User A exportiert Akte

HMAC: e1a8… (inkl. prev)

Wird ein Eintrag nachträglich geändert, bricht die Chain — die Manipulation ist sofort erkennbar.

Read-Access Logging

Nicht nur Änderungen — jeder Zugriff auf Patientendaten wird protokolliert. Wer hat wann welche Akte geöffnet?

HMAC V2 Verkettung

Nicht nur die Chain ist geschützt — auch Zusammenfassung, Vorher- und Nachher-Werte jedes Eintrags sind kryptographisch gesiegelt. Manipulation erkennt das System automatisch.

10 Jahre Aufbewahrung

Konfigurierbare Fristen. Standard: 6 Jahre (HGB), SSI-Daten: 10 Jahre (§ 23 IfSG).

Automatische Integritätsprüfung

Wird ein Log-Eintrag nachträglich manipuliert, erkennt das System die Verletzung automatisch und protokolliert den Vorfall als eigenen Audit-Eintrag.

Technische Details für IT-Verantwortliche

Hash: SHA-256 HMAC mit dedizierten Secret (min. 32 Zeichen)

Concurrency: pg_advisory_xact_lock für Chain-Integrität bei parallelen Writes

Verifikation: POST /api/audit-logs/verify — gesamte Chain wird neu berechnet

HMAC V2: Schützt summary, oldValues und newValues — nicht nur die Chain-Integrität

Integritätsverletzung: Automatischer System-Audit-Eintrag bei erkannter Manipulation

13 Aktionstypen: CREATE, UPDATE, DELETE, VIEW, EXPORT, ANONYMIZE, MERGE, STATUS_CHANGE, LOGIN, LOGOUT, DOWNLOAD, IMPORT, RESEAL

Erfasste Daten: userId, Timestamp, IP-Adresse, User-Agent, oldValues/newValues

SHA-256 HMAC V2 · Read-Access Logging · Blockchain-inspirierte Verkettung · 13 Aktionstypen

Zugriffskontrolle

Zugriff unter Kontrolle — wer darf was sehen?

“Meine Mitarbeiter nutzen 'Passwort123' und haben Zugriff auf alles. Der Empfang kann Rechnungen stornieren. Die Pflege kann Stammdaten löschen.”

Bestimmen Sie exakt, wer was darf. Erzwingen Sie sichere Passwörter und regelmäßige Wechsel — das System übernimmt die Rolle des strengen Wächters.

Passwort-Richtlinie

  • Konfigurierbare Mindestlänge (8–32)
  • Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen
  • Automatischer Ablauf (z.B. alle 90 Tage)
  • Passwort-Historie (letzte 5 nicht wiederverwendbar)
  • Live-Stärke-Meter im UI

Zwei-Faktor-Authentifizierung

  • TOTP (Google/MS Authenticator)
  • Passkeys (Face ID, YubiKey)
  • Hardware-Sicherheitsschlüssel (FIDO2)
  • 2FA-Pflicht für Admin-Rollen
  • Trusted Devices (30 Tage)

Granulare Berechtigungen

  • 19 Berechtigungen in 5 Gruppen
  • Ärzte, Empfang, Abrechnung, Admin
  • Art. 18: Notfall-Sperrung von Patientenakten
  • Messaging-Block bei gesperrten Patienten
  • Privacy by Default (Opt-In für Marketing)

Art. 18 DSGVO — Einschränkung der Verarbeitung

Ein Patient fordert: “Sperren Sie meine Daten, bis der Streitfall geklärt ist.” Mit einem Klick wird die Akte eingeschränkt: Keine automatischen SMS/E-Mails mehr, Warnung bei Terminbuchung, orange Lock-Icon in der Patientenliste. Medizinische Behandlung bleibt möglich — Datenverarbeitung wird gestoppt.

Technische Details für IT-Verantwortliche

Permission Enforcement: 3-Layer (API Route, Server Action, UI Component)

JWT Refresh: Permissions automatisch alle 5 Min. refreshed via JWT-Callback

Session-Timeout: Konfigurierbar — Standard 20 Min. Inaktivität, max. 10 Std.

Passwort-Hashing: bcrypt mit 12 Rounds, Auto-Migration von Legacy-Hashes

Rate Limiting: Brute-Force-Schutz mit Exponential Backoff

RBAC · TOTP/WebAuthn/FIDO2 · Art. 18 DSGVO · Privacy by Default (Art. 25) · bcrypt-12

DSGVO-Automatisierung

Fristen vergessen? Unmöglich.

“Ich vergesse, alte Patientendaten nach 10 Jahren zu löschen. Chaos bei den Foto-Einwilligungen. Wer hat wofür zugestimmt? Keine Ahnung.”

Implementiert

Einwilligungs-Management

Erfassen Sie granulare Einwilligungen direkt im Patientenprofil. Das System weiß genau, wer wofür zugestimmt hat — und warnt Sie, wenn eine Einwilligung fehlt.

  • Datenverarbeitung (Behandlung)
  • Foto-Dokumentation
  • Fotos für Marketing/Website
  • SMS-Terminerinnerungen
  • E-Mail-Terminerinnerungen
  • Marketing & Newsletter

Jede Erteilung und jeder Widerruf wird im Audit-Trail mit Zeitstempel und IP-Adresse dokumentiert.

Automatisierte Löschung

Patienten, deren Aufbewahrungsfrist abgelaufen ist, werden vom System automatisch erkannt und rechtssicher gelöscht. Keine Kalendererinnerungen mehr nötig.

  • Patientendaten: 10 Jahre (ärztl. Aufbewahrungspflicht)
  • Rechnungsdaten: 10 Jahre (GoBD)
  • Audit-Logs: 6 Jahre (HGB § 257)
  • Messaging-Inhalte: 90-Tage-Cleanup
  • Automatische Frist-Erkennung & Dashboard

Einwilligungsmanagement — Live-Demo

DSGVO-Löschautomatisierung — Live-Demo

DSGVO-Lebenszyklus eines Patienten

Schritt 1Einwilligung erteilt
Schritt 2Behandlung dokumentiert
Schritt 3Rechnung archiviert (10 J.)
Schritt 4Auto-Löschung nach Frist
Technische Details für IT-Verantwortliche

Consent Storage: patient_consents Tabelle mit Unique-Constraint (tenantId, patientId, consentType)

Status: GRANTED / REVOKED (Upsert-Pattern, kein Löschen — vollständige Historie)

Lösch-Strategie: Soft-Delete → geplante Löschung → Hard-Delete + Storage-Bereinigung via Cleanup-Job

Messaging-Cleanup: Nachrichtentext, Betreff und Empfänger-Kontaktdaten nach 90 Tagen gelöscht. Metadaten bleiben für Audit.

GDPR-Automation · Consent Audit-Trail · Retention Policy Engine · 90-Tage Messaging-Cleanup

DSGVO-Compliance auf einen Blick

Welche Artikel der DSGVO unterstützt AesthOS technisch?

ArtikelAnforderungStatus
Art. 5(1)(c)Datensparsamkeit
Art. 5(1)(f)Integrität & Vertraulichkeit
Art. 6/7Einwilligung
Art. 15Auskunftsrecht
Art. 17Recht auf Löschung
Art. 18Einschränkung der Verarbeitung
Art. 20Datenübertragbarkeit
Art. 25Privacy by Design & Default
Art. 30Verarbeitungsverzeichnis
Art. 32Sicherheit der Verarbeitung
Art. 33/34Meldepflicht bei Datenpannen

AesthOS stellt technische Grundlagen bereit und ersetzt keine rechtliche Beratung. Sprechen Sie mit Ihrem Datenschutzbeauftragten über die organisatorischen Maßnahmen.

Entwickelt mit IT-Sicherheits-Expertise

Powered by Shoobridge IT-Security

AesthOS wurde nicht von einem Startup gebaut, sondern von einem IT-Systemhaus mit 15+ Jahren Erfahrung in Infrastruktur, Sicherheit und Cyberabwehr. Diese DNA steckt in jeder Zeile Code.

15+

Jahre IT-Security Erfahrung

2.000+

Betreute Systeme

100%

Privacy by Design

Externer Penetration-Test (Januar 2026) — alle Findings behoben
Mehr über Shoobridge und die Geschichte von AesthOS →

Compliance geht weiter als DSGVO

Datenschutz ist nur ein Teil. Ästhetische Chirurgie hat spezifische regulatorische Anforderungen.

Medizinische Compliance

Implantatdokumentation nach IRegG, SSI-Surveillance nach § 23 IfSG, CDC-Klassifikation.

Mehr erfahren →

Abrechnung nach GoBD

Unveränderbare Rechnungen, Split-Tax (§4 Nr.14 UStG), Vorschuss-Verrechnung, DATEV-Export.

Mehr erfahren →
Rollenbasierte Zugriffskontrolle →Audit-Trail Live-Demo →Ratgeber: DSGVO für Arztpraxen →Sichere Datenmigration →Security-Audit anfragen →

Erleben Sie AesthOS live — in 30 Minuten

Wir zeigen Ihrem gesamten Team, wie AesthOS den Alltag vereinfacht. Kostenlos und unverbindlich.

Jetzt Demo-Termin sichern

All-inclusive · Deutsche Cloud oder eigener Server · Monatlich kündbar

Für Ärzte

48 Min. weniger Admin pro OP — von der Akte bis zur Rechnung →

Für Empfang & Verwaltung

Wartezimmer, Termine, Dokumente — ein Dashboard statt fünf Systeme →

Für IT & Datenschutz

Eigener Server, AES-256, RBAC — Architektur im Detail →

Für Klinikinhaber

Auslastung, Conversion und Compliance — statt Bauchgefühl →