Sicherheit

Tierarztsoftware DSGVO-konform: Sicherheit auf deutschen Servern.

Patientendaten gehören zu den sensibelsten Informationen, die eine Praxis hält. Petflare ist technisch und organisatorisch so gebaut, dass Sie jederzeit erklären können, wo die Daten liegen, wer sie sehen kann und wie sie geschützt sind.

Datenschutz-Dokumente anfragen 30-Minuten-Demo

Sechs Säulen

Worauf Sie sich verlassen können.

Hosting in Deutschland

Alle produktiven Systeme laufen in deutschen Rechenzentren von Hetzner. Keine Datenübertragung in Drittländer ausserhalb der EU.

BSI-C5-Infrastruktur

Hetzners Rechenzentrums-Infrastruktur ist BSI-C5-testiert. Das Testat liegt der Unterauftragsverarbeitungs-Dokumentation bei.

Ende-zu-Ende-Verschlüsselung

TLS 1.3 im Transport, AES-256 at rest. Verschlüsselungsschlüssel werden täglich rotiert.

DSGVO nach Artikel 32

Auftragsverarbeitungsvertrag nach DSGVO-Standard, verfügbar im Self-Service aus der Anwendung heraus.

Tägliche Backups

Verschlüsselte Backups stündlich, 30 Tage Retention. Restore-Tests quartalsweise dokumentiert.

Rollenbasierte Zugriffe

Jede Funktion an Rollen gebunden (Inhaber:in, Ärzt:in, TFA, Assistenz). Audit-Log über jeden Zugriff auf Patientendaten.

Wo Ihre Daten liegen

Hosting und Infrastruktur.

Die produktiven Petflare-Systeme laufen in den Hetzner-Rechenzentren in Falkenstein (primär) und Nürnberg (sekundär). Patientendaten verlassen den EU-Raum nicht. Standard-Vertragsklauseln (SCC) kommen nur für einzelne Sub-Auftragsverarbeiter wie Transaktions-E-Mail zum Einsatz – mit Opt-Out-Möglichkeit für sensitive Praxen.

Primärer Standort
Falkenstein, Sachsen
Sekundärer Standort
Nürnberg, Bayern
Replikations-Intervall
max. 5 Min RPO
RTO bei Vollausfall
unter 2 Stunden
Backup-Frequenz
stündlich
Backup-Retention
30 Tage

Verschlüsselung

Wie verschlüsselt wird.

Ebene	Verfahren	Rotation
Transport	TLS 1.3	kontinuierlich, Forward Secrecy
Datenbank at rest	AES-256-GCM	täglich
Backups	AES-256, separater Schlüssel-Kreis	Backup-Rotation
E-Mail-Versand (Transaktional)	Opportunistic TLS + DKIM + SPF + DMARC	laufend
Passwörter	Argon2id, 32-Byte-Salt	n/a (Einweg)

Zugriffskontrolle

Wer was sehen darf.

MFA pflichtbar pro PraxisMulti-Faktor-Authentifizierung als Default für alle Praxis-Konten, nicht abschaltbar.
SSO via OIDC ab 3 StandortenSingle-Sign-On-Anbindung an Microsoft 365, Google Workspace und Keycloak möglich.
Rollen-Matrix konfigurierbarPro Rolle granulare Rechte: Lesen, Schreiben, Löschen, Exportieren – pro Modul getrennt.
Audit-Log über Patientendaten-EinsichtJede Öffnung einer Patientenakte wird mit Zeitstempel, Nutzer und IP protokolliert.
Session-Timeout konfigurierbarPro Praxis 5 bis 120 Minuten Inaktivitäts-Timeout, danach Re-Login pflichtig.
IP-Allowlist optionalFür Praxen mit fester IP nur Login aus erlaubten Bereichen.

Datenportabilität

Ihre Daten sind Ihre Daten.

Vollständiger Export per KlickZIP mit JSON-Stammdaten plus alle Anhänge, lokal entpackbar.
DSGVO-Auskunft pro Halter:inAutomatisch generiertes PDF auf Knopfdruck, mit allen relevanten Datensätzen.
Bulk-Export-APIREST-Endpunkt für Migration zu anderer Software, dokumentiert in den API-Docs.
Monats-Rohdaten-ExportBuchungen, Termine, Behandlungen als CSV für eigenes BI oder Excel.
Kündigung ohne ZusatzkostenDatenmitnahme jederzeit kostenlos, auch nach Vertragsende verfügbar für 90 Tage.

Zertifikate und Audits

Was wir belegen können.

Hetzner als Infrastruktur-Partner liefert ein BSI C5 Typ-2-Testat für die Rechenzentrums-Ebene. Das Testat ist Teil unseres Unterauftrags-Pakets und wir reichen es auf Anfrage weiter.

Interne Audits prüfen wir uns quartalsweise gegen das BSI-IT-Grundschutz-Kompendium und liefern die Berichte auf Anfrage an Unternehmenskunden aus.

Externe Penetrationstests führen wir jährlich über einen zertifizierten Dienstleister durch. Die Management-Summary des letzten Tests liegt unter NDA vor.

Sub-Auftragsverarbeiter

Wen wir dafür brauchen.

Anbieter	Zweck	Rechtsgrundlage	Sitz
Hetzner Online GmbH	Hosting	AVV nach Art. 28 DSGVO	Deutschland
Postmark (ActiveCampaign)	Transaktions-E-Mail	Standardvertragsklauseln	USA (auf Wunsch durch Mailjet EU ersetzbar)
Twilio / MessageBird	SMS-Versand	SCC, EU-Sub-Processor wählbar	EU / USA
Stripe Payments Europe	Zahlungsabwicklung	Art. 28 DSGVO	Irland
Sentry (self-hosted)	Error-Monitoring	eigene Instanz auf Hetzner, keine Daten ausser Log-Meta	Deutschland

Aktuelle vollständige Liste als PDF bei Vertragsabschluss. Änderungen werden mit 30 Tagen Vorlauf angekündigt.

Häufige Fragen

Antworten zur Sicherheit.

Petflare ist Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Verantwortliche Stelle sind als Praxisinhaber:in Sie. Den Auftragsverarbeitungsvertrag stellen wir aus der Anwendung heraus zur Verfügung.

Noch Fragen zur Sicherheit?

Sie erreichen unseren Datenschutzbeauftragten oder das Technik-Team direkt.

Termin mit DSB Technische Fragen

Tierarztsoftware DSGVO-konform: Sicherheit auf deutschen Servern.

Hosting in Deutschland

BSI-C5-Infrastruktur

Ende-zu-Ende-Verschlüsselung

DSGVO nach Artikel 32

Tägliche Backups

Rollenbasierte Zugriffe

Gilt Petflare als Auftragsverarbeiter oder als Verantwortlicher?

Wie lange werden Patientendaten gespeichert?

Was passiert mit meinen Daten bei Kündigung?

Kann ich selbst definieren, wer in der Praxis was sieht?

Wie wird ein Datenabfluss erkannt und gemeldet?

Gibt es einen Datenschutzbeauftragten bei Petflare?

Noch Fragen zur Sicherheit?

Das könnte auch relevant sein