Datenschutz (DSGVO) - Warteliste - Slot Finder v1.3

Datenschutz-Infoblatt

Zweck: Verwaltung von Wartelisten/Terminanfragen (lokal/offline, keine Server).
Verantwortlicher: [Name der Praxis/Einrichtung], [Straße Hausnummer], [PLZ Ort], Tel. [Telefonnummer], E-Mail: [E-Mail-Adresse].
Datenkategorien: Stammdaten (Name, Kontakt), Verfügbarkeit, Status, Kontakt-Historie (Zeitpunkt, Art, Kurznotiz). Beschwerden/Notizen nur mit Einwilligung.
Rechtsgrundlage: Einwilligung oder (bei bestehendem Vertrags-/Behandlungsverhältnis) Vertragserfüllung; freiwillige Felder und Gesundheitsdaten nur mit Einwilligung.
Speicherort/Sicherheit: Nur lokal im Browser-Speicher (IndexedDB/localStorage) auf diesem Gerät; keine Server. App-Verschlüsselung (Passwort, Auto-Lock); OS-Verschlüsselung wird empfohlen (z. B. BitLocker/Benutzerkonto). Bei Browser-Reset/Deinstallation sind Daten nur über Backups wiederherstellbar.
Weitergabe: Keine Übertragung an Server/Dritte.
Aufbewahrung/Löschung: Unbenötigte Personendaten nach 6 Monaten löschen (manuell durch Verantwortliche); Backups sind verschlüsselt und werden nach 3 Monaten gelöscht.
Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Widerruf von Einwilligungen; Beschwerden bei der Aufsichtsbehörde.
Kontakt für Rechte: [Name der Praxis/Einrichtung], [E-Mail-Adresse]; Reaktionsfrist max. 1 Monat.

Tätigkeit: Wartelisten-/Terminverwaltung (lokal/offline).
Betroffen: Interessent:innen/Patient:innen.
Daten: siehe oben; keine besonderen Kategorien außer freiwilligen Notizen.
Zweck/Rechtsgrundlage: siehe Infoblatt.
Speicherdauer: Unbenötigte Personendaten nach 6 Monaten löschen (manuell durch Verantwortliche); Backups nach 3 Monaten entfernen.
Techn./org. Maßnahmen: Geräte-/Volume-Verschlüsselung (empfohlen), App-Daten AES-verschlüsselt (Passwort), Auto-Lock, lokale Konten mit Passwort, verschlüsselte JSON-Backups, Lösch-/Auskunft-Prozess, Incident-Plan (Vorfälle innerhalb von 24 - 72 Stunden bewerten; bei Meldepflicht Meldung an Aufsichtsbehörde und ggf. Betroffene informieren; Maßnahmen dokumentieren).

Auskunft: Nach Entsperren Export (verschlüsseltes JSON-Backup) bereitstellen; Antwort binnen 14 Tagen.
Löschung: Eintrag löschen + Backups nachziehen (älteste Backups nach Frist löschen).
Widerruf: Bei Widerruf/Löschbegehren Daten entfernen; ggf. kurze Notiz, dass gelöscht wurde.

Backup: verschlüsselt (JSON, Passwort = App-Passwort); Hinweis in der App, wenn seit dem letzten Backup Änderungen vorliegen; Aufbewahrung 3 Monate, danach löschen; Speicherort dokumentieren.

Zugriffskontrolle: App-Passwort, kein Mehrbenutzer-Login; Nutzung nur durch befugte Person; Verschlüsselung (App + OS), Auto-Lock, Backup verschlüsselt, Berechtigungen minimal halten.
Incident-Plan: Prüfen, ob meldepflichtig (24 - 72 Stunden); Betroffene informieren falls nötig; Ursachenanalyse + Maßnahmen dokumentieren.