Datenschutzerklärung

I. Allgemeines

1. Betreiber

Betreiber der Website und Anbieter der Software Sankit ist:

Timo Scharpf
Landauer Str. 37
70499 Stuttgart
E-Mail: info@sankit.de
Telefon: 0156 79792475

2. Geltungsbereich und Rollenverteilung

Diese Datenschutzerklärung gilt für zwei Bereiche mit unterschiedlicher datenschutzrechtlicher Rollenverteilung:

Für die Website ist Timo Scharpf der datenschutzrechtlich Verantwortliche. Für die Software ist die jeweilige Kundenorganisation der Verantwortliche — Sankit verarbeitet die Daten ausschließlich im Auftrag und nach Weisung des Kunden auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO.

3. Grundsätzlicher Hinweis

Sankit verarbeitet keine Patientendaten. Die Software dient ausschließlich der Verwaltung medizinischer Materialien (Produkte, Rucksäcke, Lagerbestände, Geräte). Personenbezogene Daten beschränken sich auf registrierte Benutzer der Software (Name, E-Mail-Adresse, Rolle).

II. Website

1. Hosting und Server-Logfiles

Beim Besuch unserer Website werden automatisch Informationen in sogenannten Server-Logfiles gespeichert, die Ihr Browser automatisch übermittelt. Dies sind:

• Browsertyp und -version
• Verwendetes Betriebssystem
• Referrer-URL (die zuvor besuchte Seite)
• Hostname des zugreifenden Rechners
• IP-Adresse
• Uhrzeit der Serveranfrage

Diese Daten sind nicht bestimmten Personen zuordenbar. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit der Website).

2. Cookies und Google Fonts

Diese Website verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Analyse-Cookies eingesetzt.

Beim ersten Besuch der Website wird ein Cookie-Banner angezeigt. Folgende Cookies werden gesetzt:

Google Fonts: Für die Schriftdarstellung wird die Schriftart „Inter" von Google Fonts geladen. Dies geschieht erst nach Ihrer ausdrücklichen Zustimmung über das Cookie-Banner („Alle akzeptieren"). Wählen Sie „Nur Notwendige", werden keine Verbindungen zu Google-Servern aufgebaut und die Schriftart wird vom System-Fallback bereitgestellt.

Beim Laden von Google Fonts wird Ihre IP-Adresse an Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA übertragen. Weitere Informationen zum Datenschutz bei Google finden Sie unter https://policies.google.com/privacy.

Rechtsgrundlage für Google Fonts: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Rechtsgrundlage für das Consent-Cookie: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Speicherung der Nutzerentscheidung).

3. Kontaktformular

Wenn Sie uns über das Kontaktformular kontaktieren, werden Ihre Angaben (Name, E-Mail-Adresse, Nachricht) zur Bearbeitung Ihrer Anfrage verarbeitet und gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

4. SSL/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

III. Software Sankit (app.sankit.de)

1. Sankit als Auftragsverarbeiter

Für die Software Sankit handelt Timo Scharpf als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die jeweilige Kundenorganisation (z.B. Rettungsdienst, Ortsverein, Hilfsorganisation) ist der datenschutzrechtlich Verantwortliche für die personenbezogenen Daten ihrer Benutzer.

Die Datenverarbeitung erfolgt ausschließlich im Auftrag und nach dokumentierter Weisung des jeweiligen Kunden auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 Abs. 3 DSGVO. Der AVV wird mit jedem Kunden vor Beginn der Datenverarbeitung geschlossen.

Hinweis für Benutzer der Software: Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten bestimmt Ihr Arbeitgeber bzw. Ihre Organisation als Verantwortlicher. Bitte wenden Sie sich bei Fragen zum Datenschutz in der Software zunächst an Ihre Organisation.

2. Plattformen

Sankit wird als Web-App (app.sankit.de), Desktop-App (Windows und macOS), Mobile App (iOS und Android) und im Kiosk-Modus bereitgestellt. Die Datenverarbeitung ist auf allen Plattformen identisch.

3. Kategorien verarbeiteter personenbezogener Daten

Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten der Benutzer verarbeitet:

Wichtig: Es werden keine Patientendaten, Gesundheitsdaten oder sonstige besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet. Die Software verwaltet ausschließlich medizinische Materialien, Geräte und Lagerbestände.

4. Gegenstand und Umfang der Verarbeitung

Die Software dient der Verwaltung medizinischer Materialien im Rettungsdienst und in Hilfsorganisationen. Der Funktionsumfang umfasst insbesondere:

• Benutzerverwaltung und rollenbasierte Zugriffskontrolle (6 Rollen)
• Rucksack-Management mit QR-Code-Identifikation und Soll-/Ist-Vergleich
• Verplombung (Siegel-Tracking) mit Protokollierung von Setzen und Brechen
• Verbrauchsmeldungen mit Benutzer-Zuordnung und optionalen Foto-Anhängen
• Lagerbestand, Chargen-Tracking und Ablaufdaten-Überwachung
• BTM-Verwaltung (digitales Betäubungsmittel-Buch, keine Patientendaten)
• MPG-Geräteverwaltung mit STK-Terminen und Prüfintervallen
• Inventur, Lieferantenverwaltung, Kostenauswertung
• Prüfkalender mit automatischen Erinnerungen
• Berichte und Export (PDF, Excel, CSV) — können Benutzernamen enthalten

Im Rahmen dieser Funktionen wird protokolliert, welcher Benutzer welche Aktion wann durchgeführt hat (z.B. „Verbrauch gemeldet", „Plombe gebrochen", „Inventur durchgeführt"). Dies dient der Nachvollziehbarkeit und ist für den Betrieb im medizinischen Umfeld erforderlich.

5. Audit-Log

Sankit führt einen unveränderlichen Audit-Trail, der bei jeder datenverändernden Aktion folgende Informationen protokolliert: Benutzer-ID, Art der Aktion, betroffene Entität, geänderte Felder (alter/neuer Wert), IP-Adresse, User-Agent und Zeitstempel.

Der Audit-Trail dient der Nachvollziehbarkeit und Revisionssicherheit im Rahmen der Materialverwaltung. Der Zugang ist auf die Rollen „Admin" und „Prüfer" beschränkt.

6. QR-Code-System und Kamerazugriff

Die Mobile App und der Kiosk-Modus nutzen die Gerätekamera zum Lesen von QR-Codes. Es werden dabei keine biometrischen Daten oder Bilder gespeichert — die Kamera wird ausschließlich zum Dekodieren des QR-Codes aktiviert. Der QR-Code enthält lediglich eine technische Identifikationsnummer.

7. Offline-Daten und Synchronisation

Die Mobile App speichert Daten lokal in einer SQLite-Datenbank, um Offline-Nutzung zu ermöglichen (Produktstammdaten, Rucksack-Bestückung, Plomben-Status, Verbrauchsmeldungen). Bei Netzwerkverbindung erfolgt eine automatische Synchronisation über eine verschlüsselte HTTPS-Verbindung. Lokal werden keine Passwörter gespeichert. Das Authentifizierungs-Token wird im Geräteschlüsselbund (iOS Keychain / Android Keystore) abgelegt.

8. Sub-Auftragsverarbeiter

Für die Erbringung der Leistung werden folgende Sub-Auftragsverarbeiter eingesetzt:

Push-Benachrichtigungen können in den Geräteeinstellungen jederzeit deaktiviert werden. Es werden keine Benachrichtigungs-Inhalte bei Google gespeichert. Der Einsatz von Sub-Auftragsverarbeitern ist im AVV geregelt und bedarf der Zustimmung des Kunden.

Alle übrigen Daten (Datenbank, Dateispeicher, Anwendungsserver) werden ausschließlich auf eigener Infrastruktur des Betreibers in Deutschland gehostet. Es findet keine Weitergabe an weitere Dritte statt, es sei denn, dies ist gesetzlich vorgeschrieben.

9. Speicherdauer

Die Speicherdauer personenbezogener Daten richtet sich grundsätzlich nach den Vorgaben und Weisungen des Kunden als Verantwortlichem. Sofern keine abweichenden Weisungen vorliegen, gelten folgende Standard-Speicherfristen:

• Benutzerkonten: Werden bei Deaktivierung als inaktiv markiert (Soft-Delete). Vollständige Löschung durch den Administrator des Kunden möglich.
• Audit-Log-Einträge: 10 Jahre (empfohlene Aufbewahrungsfrist für medizinische Materialdokumentation), sofern vom Kunden nicht anders festgelegt.
• Verbrauchsmeldungen: Gemäß Aufbewahrungsfrist des Kunden.
• BTM-Buchungen: Mindestens 3 Jahre ab letzter Eintragung (BtMVV).
• Refresh Tokens: Automatische Löschung nach Ablauf (Standard: 7 Tage).
• Datei-Uploads: Werden mit der zugehörigen Verbrauchsmeldung gelöscht.
• Offline-Daten: Werden bei Abmeldung aus der App vom Gerät entfernt.

Bei Vertragsende werden alle Daten des Kunden nach Ablauf einer vereinbarten Übergangsfrist vollständig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

10. Technische und organisatorische Maßnahmen (TOM)

Sankit setzt gemäß Art. 32 DSGVO folgende Maßnahmen zum Schutz der verarbeiteten Daten ein:

• Transportverschlüsselung: Alle Datenübertragungen erfolgen über HTTPS/TLS
• Authentifizierung: JWT-basiert mit kurzlebigen Access-Tokens (15 Min.) und Refresh-Tokens (7 Tage)
• Passwort-Sicherheit: Ausschließlich kryptographische Hashes (bcrypt), kein Klartext
• Rollenbasierte Zugriffskontrolle (RBAC): 6 Rollen mit granularen Berechtigungen — Benutzer sehen nur für ihre Rolle relevante Daten
• Multi-Mandanten-Trennung: Strikte Datenisolation auf Datenbankebene durch Organisations-ID
• Datenbankzugriff: Ausschließlich über die API-Schicht, kein direkter Datenbankzugriff
• Sichere Token-Speicherung: Auf Mobilgeräten im Geräteschlüsselbund (iOS Keychain / Android Keystore)
• Unveränderlicher Audit-Trail: Protokollierung aller datenverändernden Aktionen
• Regelmäßige Backups: Automatisierte Datenbank-Sicherungen
• Keine Tracking-Technologien: Weder in der Web-App noch in den nativen Apps werden Analyse-, Marketing- oder Tracking-Tools eingesetzt

11. Auftragsverarbeitungsvertrag (AVV)

Mit jedem Kunden wird vor Beginn der Datenverarbeitung ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO geschlossen. Der AVV regelt insbesondere:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Kategorien betroffener Personen und personenbezogener Daten
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen
• Einsatz von Sub-Auftragsverarbeitern
• Unterstützung bei Betroffenenrechten und Meldepflichten
• Löschung bzw. Rückgabe der Daten nach Vertragsende

Der AVV kann unter datenschutz@sankit.de angefordert werden.

12. Pflichten des Kunden als Verantwortlicher

Die Kundenorganisation ist als datenschutzrechtlich Verantwortlicher verpflichtet:

• Ihre Benutzer (Mitarbeiter, Ehrenamtliche) gemäß Art. 13 DSGVO über die Datenverarbeitung in Sankit zu informieren
• Die Rechtsgrundlage für die Verarbeitung festzulegen (z.B. Art. 6 Abs. 1 lit. b DSGVO — Arbeitsvertrag)
• Sankit in das eigene Verarbeitungsverzeichnis (Art. 30 DSGVO) aufzunehmen
• Den Auftragsverarbeitungsvertrag mit Sankit abzuschließen
• Betroffenenrechte (Auskunft, Löschung etc.) gegenüber den eigenen Benutzern zu gewährleisten

IV. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

1. Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten und weitere Informationen gemäß Art. 15 DSGVO.

2. Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten und die Vervollständigung unvollständiger Daten zu verlangen.

3. Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die Voraussetzungen des Art. 17 DSGVO vorliegen. Dies gilt nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben unter bestimmten Voraussetzungen das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.

5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

6. Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, Widerspruch einzulegen.

7. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart

V. Kontakt zum Datenschutz

Bei Fragen zum Datenschutz bezüglich der Website sankit.de oder zur Auftragsverarbeitung erreichen Sie uns unter:

E-Mail: datenschutz@sankit.de
Postadresse: Timo Scharpf, Landauer Str. 37, 70499 Stuttgart

Für Software-Benutzer: Bitte wenden Sie sich bei Fragen zur Verarbeitung Ihrer Daten in der Sankit-Software zunächst an Ihren Arbeitgeber bzw. Ihre Organisation, da diese als Verantwortlicher für die Datenverarbeitung zuständig ist.