Datenschutzerklärung

Vorwort Diese Datenschutzerklärung dient der Information der Nutzer der MESHwerk Plattform (verteilt auf die Produktbereiche mediMESH und workMESH) und der zugehörigen Webseiten (z. B. meshwerk.ai, medi.meshwerk.ai, work.meshwerk.ai sowie der zugehörigen Apps) über die Art, den Umfang und den Zweck der Verarbeitung personenbezogener Daten durch uns.

Wir nehmen den Datenschutz sehr ernst. Die Verarbeitung und Nutzung von personenbezogenen Daten erfolgt durch die MESHwerk GmbH stets vertraulich und nur, soweit gesetzliche Bestimmungen dies erlauben oder vorsehen oder Sie darin eingewilligt haben.

Hinweis zur SaaS-Bereitstellung: Da die Bereitstellung unserer cloudbasierten Software-Lösung (Capture, Convert, Communicate) die Verarbeitung von Daten auf Servern zwingend voraussetzt, können wir unsere vertraglich geschuldeten Leistungen ohne diese Verarbeitung (insb. Hosting, KI-Analyse) Ihnen gegenüber nicht erbringen. Die Nutzung der Plattform unterliegt den geltenden Nutzungsbedingungen. Soweit wir personenbezogene Daten im Auftrag von Geschäftskunden verarbeiten, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung (AVV).

A. Verantwortliche Stelle; Ansprechpartner

Verantwortliche Stelle im Sinne der Datenschutzgesetze ist:

MESHwerk GmbH Vertreten durch die Geschäftsführer: Dr.-Ing. Enrico Pannicke und PD Dr. med. Bennet Hensen Otto-Hahn-Str. 2, 39106 Magdeburg

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte an unseren externen Datenschutzbeauftragten: Henning Lüdecke (hl-iuris) E-Mail: datenschutz@hl-iuris.de Tel.: +49 5137 1472503

B. Verarbeitung personenbezogener Daten; Zwecke; Löschung

(1) Begriffsbestimmungen Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z.B. Name, E-Mail-Adresse, IP-Adresse, Videoaufnahmen eines Gesichts).

(2) Rechtsgrundlagen Soweit wir personenbezogene Daten in eigener Verantwortlichkeit verarbeiten (z. B. Betrieb der Website und der Plattform, Registrierung und Account-Verwaltung, Abrechnung, IT-Sicherheit sowie Support), erfolgt dies -- sofern im Folgenden nichts Abweichendes genannt wird -- auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und, soweit erforderlich, auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und störungsfreien Betrieb).

Soweit wir personenbezogene Daten im Auftrag eines Geschäftskunden verarbeiten (insbesondere Inhaltsdaten wie Videos, Audio, Dokumente sowie damit verbundene Nutzungs- und Metadaten im jeweiligen Kunden-Account), erfolgt die Verarbeitung als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage des mit dem Geschäftskunden geschlossenen Vertrags zur Auftragsverarbeitung (AVV); die Rechtsgrundlage auf Seiten des Verantwortlichen richtet sich nach dessen datenschutzrechtlicher Bewertung.

(3) Server-Logfiles (Technische Bereitstellung) Beim Zugriff auf unsere Webseiten erheben wir automatisch technische Zugriffsdaten (IP-Adresse, Browser, OS, Referrer, Zeitstempel). Diese dienen der Datensicherheit und Fehlerbehebung (Art. 6 Abs. 1 f DSGVO) und werden kurzfristig gespeichert.

(4) Vertrags- und Kontaktdaten (Account) Für die Registrierung und Nutzung (gemäß Ziff. 2 der Nutzungsbedingungen) verarbeiten wir:

• Stammdaten: Vorname, Nachname, Profilname, E-Mail-Adresse.
• Organisationsdaten: Firmenname, Branche, Rolle/Position.
• Inhaltsdaten: Videos, Bilder, Dokumente, Audioaufnahmen, die Sie hochladen (= "Capture").
• Authentifizierungsdaten: Passwörter (als Hash), Login-Token.

(5) Kategorien von Empfängern (Dritte) Wir geben Ihre Daten grundsätzlich nicht an Dritte weiter, außer an spezialisierte Dienstleister (Auftragsverarbeiter), die zur Erbringung der Leistung technisch notwendig sind. Hierzu gehören Dienstleister aus folgenden Kategorien:

• Cloud-Hosting & Infrastruktur: Anbieter für Serverkapazität, Datenbanken und Speicherplatz.
• KI-Dienste: Anbieter für Generative KI (Text, Audio, Video, "Convert"-Funktionen).
• Zahlungsabwicklung: Reseller für den Checkout-Prozess (siehe Punkt G).
• Kommunikation: Anbieter für den Versand von System-E-Mails (z.B. Passwort-Reset).

(6) Drittland-Transfers (USA) Einige unserer Dienstleister sitzen in den USA oder verarbeiten Daten dort. Wir stellen sicher, dass diese Anbieter entweder unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind (Angemessenheitsbeschluss) oder wir haben mit ihnen EU-Standardvertragsklauseln (SCC) vereinbart.

(7) Löschung Daten werden gelöscht, sobald der Zweck entfällt (z.B. Kündigung des Accounts gemäß Ziff. 11 der Nutzungsbedingungen), sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

C. Anonymisierung und Datenschutzpflichten (Nutzer)

Gemäß Ziff. 10 unserer Nutzungsbedingungen weisen wir darauf hin:

• Inhalte, die Patienten (mediMESH) oder Personen ohne Einwilligung (workMESH) zeigen, müssen zwingend anonymisiert werden.
• Die Plattform bietet hierfür Funktionen an, oder Sie beauftragen MESHwerk damit.
• Für die Rechtmäßigkeit der hochgeladenen personenbezogenen Daten ist gemäß Nutzungsbedingungen primär der Nutzer verantwortlich.

D. Registrierung und Sicherheit

Für die sichere Anmeldung nutzen wir ein zentrales Identity-Management-System. Passwörter werden niemals im Klartext gespeichert, sondern kryptografisch gehasht. Wir empfehlen die Aktivierung der 2-Faktor-Authentifizierung (2FA).

E. Cookies und Tracking

(1) Technisch notwendig: Wir setzen Cookies ein, die für den Login und die Sicherheit zwingend nötig sind (Session-Cookies). (2) Reichweitenmessung: Wir nutzen datenschutzfreundliche Tools (z.B. Umami, self-hosted) zur Analyse der Plattformnutzung, ohne dabei personenbezogene Profile zu erstellen. (3) Einwilligung: Für sonstige nicht-notwendige Cookies holen wir Ihre Einwilligung über einen Consent-Manager ein.

F. Einsatz von Künstlicher Intelligenz (KI) & Opt-In

(1) Funktionen: Wir nutzen generative KI für Features wie Transkription, Übersetzung und Video-Bearbeitung. Soweit möglich, wählen wir für KI-Verarbeitungen Dienstleister mit Verarbeitung in der EU/EWR; im Übrigen gelten die in Abschnitt F genannten Regelungen entsprechend.

(2) Vertraulichkeit: Wir haben mit unseren Providern vereinbart, dass Ihre Daten nicht zum Training deren allgemeiner Modelle verwendet werden („Zero Data Retention"). (3) Training der MESHwerk-KI (Opt-In): Gemäß Ziff. 4.2 der Nutzungsbedingungen nutzen wir Ihre Inhalte zur Verbesserung unserer eigenen KI-Modelle nur dann, wenn Sie oder Ihr Administrator dies in den Einstellungen explizit aktiviert haben (Opt-In). Ist das Opt-In deaktiviert, findet kein Training mit Ihren Inhalten statt.

G. Zahlungsabwicklung (Paddle)

Bei Abschluss kostenpflichtiger Tarife im Self-Service erfolgt die Zahlungsabwicklung und Rechnungsstellung über Paddle als Zahlungsdienstleister/Reseller und Merchant of Record („MoR"). Paddle verarbeitet die für Checkout, Abrechnung, Steuerberechnung und Rechnungsstellung erforderlichen Daten in eigener Verantwortlichkeit.

Kategorien betroffener Daten (Beispiele):

• Stammdaten/Kontaktdaten: Name, E-Mail-Adresse (ggf. Firmenname)
• Rechnungsdaten: Rechnungsadresse, Land, ggf. USt-ID/VAT-ID
• Zahlungsdaten: Zahlungsart und Transaktionsdaten (wir speichern keine Kreditkartendaten)
• Steuer-/Compliance-Daten: Informationen zur steuerlichen Einordnung/Belegausgabe

Rechtsgrundlage: Die Übermittlung dieser Daten an Paddle erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Soweit erforderlich, zudem zur Erfüllung rechtlicher Pflichten im Steuer-/Abgabenrecht (Art. 6 Abs. 1 lit. c DSGVO).

Datenrückfluss an MESHwerk: Wir erhalten von Paddle insbesondere Abrechnungs-/Statusinformationen (z. B. ob ein Abo aktiv ist, Laufzeit, Tarif, Zahlstatus) zur Freischaltung und Verwaltung Ihres Accounts.

Vertragspartner für die Nutzung der Plattformleistungen (SaaS) und Ansprechpartner für die Leistungserbringung bleibt die MESHwerk GmbH; Paddle wird nicht Anbieter der Plattformfunktionen.

Drittlandtransfer: Paddle sitzt im Vereinigten Königreich (UK). Das UK ist durch einen Angemessenheitsbeschluss der EU als datenschutzrechtlich sicher eingestuft.

H. Ihre Rechte als Betroffener

Sie haben gemäß DSGVO das Recht auf:

• Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20) (Export-Funktion in der App)
• Widerspruch (Art. 21)
• Beschwerde (Art. 77) bei der zuständigen Aufsichtsbehörde.

Hinweis für Firmennutzer (B2B): Wenn Sie einen Firmen-Account nutzen, ist Ihr Arbeitgeber der Verantwortliche für die Verwaltung Ihrer Daten. Bitte wenden Sie sich für Löschanträge primär an Ihren Administrator.

I. Aktualisierung

Wir behalten uns vor, diese Erklärung anzupassen, wenn sich unsere Dienste (gemäß Ziff. 5 der Nutzungsbedingungen) oder die Rechtslage ändern.