Kontakt
NuvaFace
Demo vereinbaren
NuvaFace Practice

Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

NuvaFace
Unter Linden 223
50859 Köln, Deutschland
E-Mail: info@nuvaface.com
Vertreten durch: Catalina Maibaum, Philipp Staufenberger

2. Übersicht der Datenverarbeitungen

NuvaFace ist eine cloudbasierte Praxismanagement-Software für ästhetische Medizin. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der Bereitstellung unserer Software-Dienstleistung und auf Grundlage der geltenden Datenschutzgesetze, insbesondere der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Bereitstellung der Software und des Nutzerkontos
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Sicherheit und Verbesserung des Dienstes
  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Soweit Sie uns eine Einwilligung erteilt haben
  • Art. 9 Abs. 2 lit. h DSGVO – Gesundheitsdaten: Verarbeitung zum Zweck der Gesundheitsvorsorge im Auftrag der Praxis

4. Arten der verarbeiteten Daten

4.1 Kontodaten (Praxisnutzer)

  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert, Bcrypt-Hash)
  • Praxis-/Klinikname, Arzttitel
  • Praxisadresse (Straße, PLZ, Stadt, Land)
  • Telefonnummer und Website
  • Praxis-Logo und Branding-Einstellungen
  • Öffnungszeiten und Behandlungsangebot
  • Bankdaten für die Rechnungsstellung (Kontoinhaber, IBAN, BIC)
  • Steuerliche Angaben (Steuernummer/USt-IdNr)

4.2 Patientendaten (im Auftrag der Praxis)

NuvaFace verarbeitet Patientendaten ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO im Auftrag der jeweiligen Praxis. Die Praxis bleibt Verantwortlicher für die Patientendaten. Folgende Daten können erfasst werden:

  • Vor- und Nachname, Geburtsdatum
  • E-Mail-Adresse, Telefonnummer, Anschrift
  • Patientennummer und Profilbild
  • Medizinische Fotos (standardisierte Aufnahmen aus 5 Perspektiven: Frontal, Links/Rechts sehend, Links/Rechts Profil)
  • Diagnosen, Medikationen, Allergien
  • Vitalparameter und Risikofaktoren
  • Impfstatus
  • Klinische Notizen und Behandlungsverlauf
  • Einwilligungserklärungen und digitale Unterschriften (als PDF und Bilddatei)
  • Terminvereinbarungen
  • Rechnungen und Abrechnungsdaten (GOÄ-Codes)

4.3 Technische Daten

  • IP-Adresse (bei Zugriff auf den Dienst)
  • Browser-Typ und -Version
  • Geräteinformationen (für Performance-Optimierung)
  • Zugriffszeitpunkte

5. Besondere Kategorien personenbezogener Daten

Im Rahmen der Patientenverwaltung können Gesundheitsdaten (Art. 9 DSGVO) verarbeitet werden. Diese Verarbeitung erfolgt ausschließlich im Auftrag der Praxis zum Zweck der Gesundheitsvorsorge (Art. 9 Abs. 2 lit. h DSGVO) und unterliegt besonders strengen Sicherheitsmaßnahmen.

6. Kamera- und Medienzugriff

NuvaFace kann auf die Kamera und das Mikrofon Ihres Geräts zugreifen, sofern Sie dies ausdrücklich erlauben.

  • Kamerazugriff: Wird ausschließlich für die Erstellung standardisierter medizinischer Patientenfotos genutzt. Die Bildverarbeitung (Gesichtserkennung zur Positionsvalidierung mittels 468 Gesichtslandmarken) erfolgt lokal auf Ihrem Gerät mittels MediaPipe-Technologie. Keine Bilddaten werden ohne explizite Aktion an externe Server übertragen.
  • Mikrofonzugriff: Wird für den optionalen Sprach-Assistenten (NUVA Voice) benötigt. Audiodaten werden verschlüsselt an unseren Backend-Server und von dort an Azure OpenAI (Rechenzentrum EU) zur Echtzeit-Sprachverarbeitung weitergeleitet. Audiodaten werden nicht dauerhaft gespeichert.

7. Einsatz von Künstlicher Intelligenz

NuvaFace nutzt KI-gestützte Funktionen für den Praxis-Assistenten (NUVA):

  • Mistral AI (EU-gehostet): Textbasierter Assistent für Praxisorganisation und allgemeine Anfragen. Es werden keine Patientendaten direkt an den KI-Dienst übermittelt.
  • Azure OpenAI (Rechenzentrum Schweden/EU): Echtzeit-Sprachassistent für Sprachbefehle. Die Kommunikation erfolgt verschlüsselt über WebSocket-Verbindungen. Audiodaten werden nicht dauerhaft gespeichert.

Alle KI-Dienste werden auf EU-Servern betrieben und unterliegen der DSGVO. Die Kommunikation erfolgt verschlüsselt (TLS).

8. E-Mail-Versand

Für den Versand von Terminbestätigungen, Erinnerungen, Stornierungen und Rechnungen nutzen wir den E-Mail-Dienstleister Brevo (ehemals Sendinblue). Dabei werden die für den Versand notwendigen Daten (E-Mail-Adresse, Name, Termindetails) an Brevo übermittelt. Brevo verarbeitet die Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO mit Serverstandort in der EU.

9. Datenweitergabe an Dritte

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur:

  • Im Rahmen der Auftragsverarbeitung an unsere Hosting- und Infrastrukturdienstleister
  • An KI-Dienstleister (Mistral AI, Azure OpenAI) für den Betrieb des Praxis-Assistenten – jeweils EU-Server
  • An den E-Mail-Dienstleister Brevo für den Versand von Benachrichtigungen
  • Soweit gesetzlich erforderlich (z. B. auf Anfrage von Behörden)
  • Mit ausdrücklicher Einwilligung des Betroffenen

Ein Verkauf personenbezogener Daten an Dritte findet nicht statt.

10. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein:

  • Verschlüsselte Datenübertragung (TLS/SSL)
  • Passwort-Hashing mit Bcrypt
  • JWT-basierte Authentifizierung mit Token-Ablauf
  • Rollenbasierte Zugriffskontrolle
  • Regelmäßige Sicherheitsupdates
  • Serverstandort: EU (DSGVO-konform)

11. Cookies und lokale Speicherung

NuvaFace verwendet keine Cookies. Stattdessen nutzen wir den lokalen Speicher des Browsers (localStorage) für folgende Zwecke:

  • Authentifizierung: JWT Access-Token und Refresh-Token (bei aktiviertem „Angemeldet bleiben” bis zu 30 Tage gültig)
  • Benutzeroberfläche: Zustand der Seitenleiste und aktuelle Seitennavigation
  • Praxis-Assistent: Letzte Chat-Nachrichten für Gesprächskontinuität (max. 50 Nachrichten)
  • Patientenakten-Tabs: Geöffnete Patientenregisterkarten (nur Metadaten: Name, Patientennummer)
  • Kalender: Gewählte Zeitzone

Es werden keine Tracking-Cookies, Analyse-Cookies oder Cookies von Drittanbietern eingesetzt. Sie können den lokalen Speicher jederzeit über die Browsereinstellungen löschen.

12. Aufbewahrungsdauer

Kontodaten werden für die Dauer des Vertragsverhältnisses gespeichert und nach Kündigung innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Patientendaten unterliegen den ärztlichen Aufbewahrungspflichten (in der Regel 10 Jahre gemäß § 630f BGB) und werden von der jeweiligen Praxis verwaltet.

13. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO) – Auskunft über Ihre gespeicherten Daten
  • Berichtigungsrecht (Art. 16 DSGVO) – Korrektur unrichtiger Daten
  • Löschungsrecht (Art. 17 DSGVO) – Löschung Ihrer Daten
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenportabilität (Art. 20 DSGVO) – Übertragung Ihrer Daten
  • Widerspruchsrecht (Art. 21 DSGVO) – Widerspruch gegen Verarbeitung
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@nuvaface.com

14. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4, 40213 Düsseldorf
www.ldi.nrw.de

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite.

Create your account