Datenschutz für unsere Apps

1. Verantwortlicher

2. Für welche Anwendungen gilt diese Erklärung?

Diese Datenschutzerklärung gilt für:

• unsere Mitarbeiter-App (erreichbar unter heballtagsbegleitungapp.de), die unsere Beschäftigten für ihre tägliche Arbeit nutzen,
• unsere Verwaltungs-/Backoffice-Plattform, mit der die Geschäftsführung und das Büro die Einsätze, Klient:innen- und Personaldaten organisieren,
• unsere Schulungs- und E-Learning-Plattform („Heb Schulungen“) für die Aus- und Weiterbildung unserer Beschäftigten,
• die öffentlichen Online-Formulare zur Neukunden-Registrierung, zur Bewerbung und für Feedback.

3. Welche Daten wir verarbeiten – und warum

a) Klient:innen und Angehörige

Zur Erbringung und Abrechnung unserer Betreuungs- und Pflegeleistungen verarbeiten wir insbesondere:

• Stammdaten: Name, Anschrift, Geburtsdatum, Kontaktdaten, Angehörige/Ansprechpersonen,
• Vertrags- und Abrechnungsdaten: Pflegekasse, Versichertennummer, Pflegegrad, Bescheide, Leistungsnachweise (mit Unterschrift),
• Gesundheits- und Pflegedaten: Pflegedokumentation, Betreuungsverlauf, biografische Angaben, Notizen zum Einsatz.

Rechtsgrundlagen sind die Erfüllung des Betreuungsvertrags (Art. 6 Abs. 1 lit. b DSGVO), gesetzliche Pflichten etwa zur Dokumentation und Abrechnung (Art. 6 Abs. 1 lit. c DSGVO) sowie für die besonderen Kategorien von Daten (Gesundheitsdaten) Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge/Pflege) bzw. Ihre ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), die wir bei Vertragsbeginn einholen und dokumentieren.

Die Daten von Angehörigen und Ansprechpersonen erheben wir in der Regel nicht bei diesen selbst, sondern erhalten sie von unseren Klient:innen bzw. deren Vertretungen im Rahmen der Vertragsanbahnung (Information nach Art. 14 DSGVO).

b) Beschäftigte

Für die Organisation des Beschäftigungsverhältnisses verarbeiten wir in unseren Apps:

• Stamm- und Zugangsdaten (Name, Kontaktdaten, Login),
• Einsatz- und Tourenplanung, Vertretungen und Dienstdokumentation,
• Arbeitszeiten (auch Lernzeiten in der Schulungsplattform), Urlaubsanträge (mit Unterschriften), Krank-/Abwesenheitsmeldungen,
• Schulungs- und Qualifikationsnachweise (Teilnahme, Quiz-Ergebnisse, signierte Leistungsnachweise),
• Geräte-/Push-Daten für Benachrichtigungen (siehe Abschnitt 5).

Rechtsgrundlage ist die Durchführung des Beschäftigungsverhältnisses (§ 26 BDSG, Art. 6 Abs. 1 lit. b DSGVO) sowie die Erfüllung gesetzlicher Nachweis- und Aufzeichnungspflichten (Art. 6 Abs. 1 lit. c DSGVO). Unsere Beschäftigten erhalten vor der Nutzung der Apps gesonderte Beschäftigten-Datenschutzhinweise.

c) Bewerber:innen

Über unser Online-Bewerbungsformular verarbeiten wir die von Ihnen angegebenen Bewerbungsdaten (z. B. Name, Kontaktdaten, Angaben zur Qualifikation) ausschließlich zur Durchführung des Bewerbungsverfahrens (§ 26 BDSG, Art. 6 Abs. 1 lit. b DSGVO). Kommt kein Beschäftigungsverhältnis zustande, löschen wir die Daten spätestens sechs Monate nach Abschluss des Verfahrens, sofern Sie nicht in eine längere Speicherung (z. B. Bewerberpool) eingewilligt haben.

d) Neukunden-Registrierung und Feedback

Wenn Sie sich über unsere Online-Plattform als Neukund:in registrieren oder uns Feedback geben, verarbeiten wir die dabei angegebenen Kontakt- und Anliegen-Daten zur Aufnahme und Bearbeitung Ihrer Anfrage (Art. 6 Abs. 1 lit. a und b DSGVO). Gesundheitsbezogene Angaben verarbeiten wir nur auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).

4. Empfänger und eingesetzte Dienstleister

Wir geben personenbezogene Daten nur weiter, soweit dies zur Leistungserbringung erforderlich oder gesetzlich vorgesehen ist (z. B. an Pflegekassen zur Abrechnung). Zum technischen Betrieb setzen wir sorgfältig ausgewählte Auftragsverarbeiter ein, mit denen Verträge nach Art. 28 DSGVO bestehen:

• Supabase (Datenbank und Datei-Speicher) – Verarbeitung in der EU-Region.
• Vercel (Betrieb/Hosting der Anwendungen) – Betrieb über EU-Rechenzentren; ggf. Datenübermittlung in die USA, abgesichert über das EU-US Data Privacy Framework und Standardvertragsklauseln.
• Mistral AI SAS (Frankreich) – KI-gestützte Funktionen (siehe Abschnitt 6); Verarbeitung in der EU.
• Brevo SAS (106 Boulevard Haussmann, 75008 Paris, Frankreich) – Versand von Benachrichtigungs- und Transaktions-E-Mails; Verarbeitung in der EU.
• Google (Google Ireland/LLC) – sofern Kalender-Synchronisation genutzt wird; mögliche Übermittlung in die USA, abgesichert über Data Privacy Framework und Standardvertragsklauseln.
• Eigene Speicher-Infrastruktur (Synology-Server in unseren Räumen) für bestimmte Dokumente, ausschließlich unter unserer Kontrolle.

Eine Übermittlung in Drittländer findet nur unter den oben genannten Garantien (Art. 44 ff. DSGVO) statt.

5. Push-Benachrichtigungen

Unsere Apps können Push-Benachrichtigungen senden (z. B. zu neuen Aufgaben oder Terminen). Dafür wird – nach Ihrer Zustimmung im Gerät/Browser – eine technische Kennung gespeichert, über die das jeweilige Endgerät erreichbar ist. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bzw. die Durchführung des Beschäftigungsverhältnisses. Sie können den Empfang jederzeit in den Geräteeinstellungen deaktivieren. Die Kennung speichern wir nur, solange die Benachrichtigungen aktiv sind; nach der Deaktivierung bzw. spätestens mit dem Ende des Nutzungs- oder Beschäftigungsverhältnisses wird sie gelöscht.

6. Einsatz von künstlicher Intelligenz

Für unterstützende Funktionen (z. B. Texterkennung in Dokumenten, Aufbereitung von Schulungsinhalten und Vorschläge) setzen wir den europäischen KI-Anbieter Mistral AI SAS (Frankreich) als Auftragsverarbeiter ein; die Verarbeitung erfolgt innerhalb der EU. Die Ergebnisse dienen ausschließlich als Hilfestellung. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO findet nicht statt – relevante Entscheidungen treffen stets Menschen.

7. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Insbesondere:

• Pflegedokumentation bewahren wir entsprechend den gesetzlichen Vorgaben auf (regelmäßig bis zu zehn Jahre) und löschen sie anschließend.
• Abrechnungs- und Buchhaltungsunterlagen unterliegen den steuer- und handelsrechtlichen Fristen (in der Regel sechs bis zehn Jahre).
• Bewerbungsdaten löschen wir spätestens sechs Monate nach Abschluss des Verfahrens (außer bei Einwilligung in eine längere Speicherung).
• Beschäftigtendaten löschen wir nach Ende des Beschäftigungsverhältnisses, soweit keine Aufbewahrungspflicht besteht.

8. Datensicherheit

Wir schützen Ihre Daten durch technische und organisatorische Maßnahmen (Art. 32 DSGVO), unter anderem durch durchgängige Transportverschlüsselung (TLS/HTTPS), strenge Zugriffsbeschränkungen auf Datenbankebene, Verschlüsselung besonders sensibler Felder, rollenbasierte Berechtigungen, Protokollierung von Zugriffen sowie Zwei-Faktor-Schutz für administrative Zugänge.

9. Ihre Rechte

Ihnen stehen die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) zu; erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). In unserer Schulungsplattform können Beschäftigte ihre Daten zudem direkt als Export abrufen und einen Löschantrag stellen.

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an info@heb-service.de. Unabhängig davon haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO):

10. Aktualität dieser Erklärung

Diese Datenschutzerklärung hat den Stand 12. Juni 2026. Bei Weiterentwicklung unserer Anwendungen oder geänderter Rechtslage passen wir sie an. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.