Zurück zur Startseite

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Verordnung (EU) 2016/679, Datenschutz-Grundverordnung, für die eigene Website, die Registrierung, die Vertragsverwaltung und die Nutzung der Plattform durch unmittelbare Vertragspartner ist:

Büttner Holding GmbH
Karlstraße 57
45661 Recklinghausen
Deutschland

Vertreten durch den Geschäftsführer: Christopher Büttner
E-Mail: datenschutz@sanaviai.de
Support: support@sanaviai.de
Telefon: +49 2361 8908772

Für rechtliche Anfragen steht zusätzlich die E-Mail-Adresse legal@sanaviai.de zur Verfügung.

2. Datenschutzkontakt und Aufsichtsbehörde

Datenschutzanfragen können jederzeit an datenschutz@sanaviai.de gerichtet werden.

Zuständige Datenschutzaufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2–4
40213 Düsseldorf
Deutschland

Betroffene Personen können sich unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe bei einer Datenschutzaufsichtsbehörde beschweren, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

3. Rolle von Sanavi bei der Verarbeitung von Daten der Pflegedienste

Sanavi ist eine B2B-SaaS-Plattform für Pflegedienste, Pflegeeinrichtungen und Betreuungsdienste. Soweit Sanavi personenbezogene Daten von Endkunden, Angehörigen, Bewerbern, Patienten, Pflegebedürftigen oder sonstigen Kommunikationspartnern im Auftrag eines Pflegedienstes verarbeitet, handelt die Büttner Holding GmbH als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.

Der jeweilige Pflegedienst bleibt in diesen Fällen Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Der Pflegedienst entscheidet über Zwecke und Mittel der Verarbeitung, insbesondere über den Einsatz von Sanavi, die Einbindung von WhatsApp-Kommunikation, die Verarbeitung von Gesundheitsdaten, die Nutzung von KI-Funktionen und die Löschung oder Aufbewahrung von Daten.

Zwischen der Büttner Holding GmbH und jedem Kunden wird ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. Die Nutzung von Sanavi setzt die Annahme dieses Auftragsverarbeitungsvertrags voraus.

Endkunden, Pflegebedürftige, Angehörige und Bewerber sollten sich bei Fragen zur konkreten Datenverarbeitung in einem Pflege-, Betreuungs-, Bewerbungs- oder Kommunikationsverhältnis grundsätzlich zunächst an den jeweiligen Pflegedienst wenden. Sanavi unterstützt den Pflegedienst bei der Bearbeitung von Betroffenenrechten im Rahmen des Auftragsverarbeitungsvertrags.

4. Allgemeine Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit hierfür eine Rechtsgrundlage besteht. Maßgebliche Rechtsgrundlagen sind insbesondere:

  • Art. 6 Abs. 1 lit. a DSGVO, sofern eine Einwilligung erteilt wurde;
  • Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Anbahnung, Durchführung oder Beendigung eines Vertrags erforderlich ist;
  • Art. 6 Abs. 1 lit. c DSGVO, soweit wir zur Verarbeitung rechtlich verpflichtet sind;
  • Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist und keine überwiegenden Interessen oder Grundrechte der betroffenen Person entgegenstehen;
  • Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 BDSG, soweit besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, im Kontext von Pflege-, Gesundheits- oder Betreuungsleistungen verarbeitet werden;
  • Art. 88 DSGVO in Verbindung mit § 26 BDSG, soweit Bewerber- oder Beschäftigtendaten verarbeitet werden.

Wir verarbeiten personenbezogene Daten nach den Grundsätzen der Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität, Vertraulichkeit und Rechenschaftspflicht.

5. Bereitstellung der Website und Server-Logs

Beim Aufruf der Website und der Plattform werden technisch notwendige Zugriffsdaten verarbeitet. Dazu gehören insbesondere:

  • IP-Adresse;
  • Datum und Uhrzeit des Zugriffs;
  • angefragte URL;
  • Referrer-URL, sofern übermittelt;
  • Browsertyp und Browserversion;
  • Betriebssystem;
  • User-Agent;
  • übertragene Datenmenge;
  • HTTP-Statuscodes.

Die Verarbeitung erfolgt zur technischen Bereitstellung der Website, zur Sicherstellung der Systemsicherheit, zur Fehleranalyse, zur Missbrauchserkennung und zur Abwehr von Angriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, stabilen und missbrauchsfreien Betrieb der Website und Plattform.

Die Server werden bei Hetzner Online GmbH in Deutschland betrieben. Die Datenübertragung erfolgt verschlüsselt über TLS 1.2 oder TLS 1.3. Server-Logs werden grundsätzlich gelöscht, sobald sie für die genannten Zwecke nicht mehr erforderlich sind, spätestens jedoch nach 30 Tagen.

6. Hosting, Infrastruktur und technische Verarbeitung

Sanavi wird auf Servern in Deutschland betrieben. Die wesentlichen technischen Komponenten umfassen:

  • Server-Hosting bei Hetzner Online GmbH in Deutschland;
  • PostgreSQL-Datenbank auf einem deutschen Server;
  • Redis-basierte Queue- und Cache-Verarbeitung auf einem deutschen Server;
  • API-Server auf Node.js-Basis;
  • Web-Frontend auf Next.js-Basis;
  • Worker-Prozesse zur KI- und Nachrichtenverarbeitung;
  • verschlüsselter lokaler Dateispeicher;
  • tägliche Datenbank-Backups und Volume-Snapshots.

Dateien werden AES-256-GCM-verschlüsselt gespeichert. Der Zugriff auf Server erfolgt beschränkt, insbesondere über SSH-Key-basierte Zugänge ohne Passwort-Login.

7. Cookies, Local Storage und Google Analytics

Sanavi verwendet technisch notwendige Cookies und Local-Storage-Einträge. Darüber hinaus wird Google Analytics nur eingesetzt, wenn hierfür eine Einwilligung erteilt wurde.

7.1 Technisch notwendige Cookies

NameAnbieterZweckEigenschaftenSpeicherdauerRechtsgrundlage
sanavi_sessionBüttner Holding GmbHSession-Authentifizierung, Sicherheit, eingeloggter ZustandHttpOnly, Secure, SameSite=Strict7 Tage§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. b DSGVO
better-auth.session_tokenBüttner Holding GmbHSession-Management und AuthentifizierungHttpOnly, Secure, SameSite=Strict7 Tage§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. b DSGVO

7.2 Local Storage

NameAnbieterZweckInhaltSpeicherdauerRechtsgrundlage
sanavi-cookie-consent-v1Büttner Holding GmbHSpeicherung der Cookie-AuswahlStatus der Einwilligung, Zeitstempelbis zur Löschung durch den Nutzer oder erneuten Abfrage§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. c und lit. f DSGVO

7.3 Google Analytics

Sanavi verwendet Google Analytics zur statistischen Auswertung der Nutzung der Website. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Google Analytics wird nur nach vorheriger Einwilligung aktiviert. Ohne Einwilligung werden keine Google-Analytics-Cookies gesetzt und keine Messdaten verarbeitet.

Rechtsgrundlage für den Zugriff auf das Endgerät ist § 25 Abs. 1 TDDDG. Rechtsgrundlage für die anschließende Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit. a DSGVO.

NameAnbieterZweckSpeicherdauerRechtsgrundlage
_gaGoogle Ireland LimitedUnterscheidung wiederkehrender Nutzer und statistische Reichweitenmessungbis zu 2 JahreEinwilligung, § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO
_ga_*Google Ireland LimitedSitzungs- und Interaktionsmessung innerhalb einer Google-Analytics-Propertybis zu 2 JahreEinwilligung, § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, indem die Cookie-Einstellungen erneut aufgerufen und angepasst werden.

8. Registrierung, Konto und Organisationsdaten

Bei Registrierung und Nutzung der Plattform verarbeiten wir Account- und Organisationsdaten. Dazu gehören insbesondere:

  • Name; E-Mail-Adresse; Telefonnummer; Passwort-Hash;
  • verschlüsseltes MFA-Secret, sofern Multi-Faktor-Authentifizierung aktiviert wird;
  • Rolle und Berechtigungen; IP-Adresse; User-Agent; Login-Zeitpunkte;
  • Organisationsname; Anschrift; Rechnungs-E-Mail-Adresse;
  • Vertragsbeginn und Vertragsende; vereinbarte Monatsgebühr;
  • KI-Einstellungen; Branding-Konfiguration; Wissensdatenbank-Inhalte.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Daten zur Erfüllung gesetzlicher Aufbewahrungspflichten verarbeitet werden, ist Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO.

9. WhatsApp-Kommunikation und Kommunikationsdaten

Sanavi ermöglicht Pflegediensten die strukturierte Bearbeitung von WhatsApp-Kommunikation. Verarbeitet werden können insbesondere:

  • WhatsApp-Nachrichteninhalte; Nachrichtenmetadaten wie Zeitstempel, Richtung und Medientyp;
  • Telefonnummern und Anzeigenamen;
  • Bilder, Audiodateien und Dokumente;
  • Kommunikationsstatus; interne Zuweisungen und Bearbeitungsvermerke.

Direkte Identifikatoren werden, soweit technisch möglich, vor Speicherung und KI-Verarbeitung redigiert oder pseudonymisiert. Mediendateien werden verschlüsselt gespeichert.

Der jeweilige Pflegedienst ist verantwortlich dafür, dass die Kommunikation über WhatsApp rechtmäßig erfolgt, insbesondere dass erforderliche Einwilligungen, Informationspflichten und Opt-out-Möglichkeiten gegenüber Endkunden umgesetzt werden.

Die Verarbeitung erfolgt gegenüber Kunden der Plattform zur Vertragserfüllung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Bei Endkunden- und Bewerberdaten erfolgt die Verarbeitung durch Sanavi im Auftrag des jeweiligen Pflegedienstes auf Grundlage des Auftragsverarbeitungsvertrags.

10. Gesundheitsdaten und besondere Kategorien personenbezogener Daten

Im Rahmen der Pflegekommunikation können besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO verarbeitet werden, insbesondere Gesundheitsdaten. Dazu gehören beispielsweise:

  • Pflegegrad-Informationen; Angaben zum Pflegebedarf; Pflegeanliegen;
  • medizinische Informationen aus Nachrichten;
  • Angaben zu Medikamentenversorgung;
  • Notfallhinweise wie Sturz, Atemnot oder Bewusstlosigkeit.

Sanavi verarbeitet solche Daten ausschließlich im Auftrag des jeweiligen Pflegedienstes und nur zur Durchführung der beauftragten Plattformfunktionen. Der Pflegedienst bleibt Verantwortlicher. In Betracht kommt insbesondere Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 BDSG.

Sanavi trifft besondere technische und organisatorische Maßnahmen zum Schutz dieser Daten, insbesondere Verschlüsselung, Rollen- und Rechtekonzepte, Mandantentrennung, Audit-Logging und Pseudonymisierung.

11. Bewerberdaten

Pflegedienste können Sanavi zur Bearbeitung von Bewerberkommunikation nutzen. Verarbeitet werden können insbesondere Name, Kontaktdaten, Qualifikation, Berufserfahrung, gewünschte Rolle, Verfügbarkeit, Führerschein-Information, Standort sowie Bewerbungsdokumente.

Die Verarbeitung erfolgt durch Sanavi im Auftrag des jeweiligen Pflegedienstes. Rechtsgrundlage beim Pflegedienst ist regelmäßig Art. 88 DSGVO in Verbindung mit § 26 BDSG. Bewerberdaten werden grundsätzlich 6 Monate nach Abschluss des Bewerbungsprozesses gelöscht.

12. Lead-, Interessenten- und Bestandskundendaten

Für die Bearbeitung von Pflegeanfragen und Bestandskundenanliegen können insbesondere folgende Daten verarbeitet werden: Stadt oder Postleitzahl, Pflegebedarf, Pflegegrad, Dringlichkeit, gewünschte Leistung, bevorzugte Kontaktzeit sowie interne Bearbeitungsinformationen.

Die Verarbeitung erfolgt durch Sanavi im Auftrag des jeweiligen Pflegedienstes. Rechtsgrundlage im Verhältnis zwischen Sanavi und dem Kunden ist Art. 6 Abs. 1 lit. b DSGVO.

13. KI-Funktionen und automatisierte Verarbeitung

Sanavi setzt KI-Funktionen ein, um Pflegekommunikation zu strukturieren und Mitarbeitende zu entlasten. Dazu gehören insbesondere:

  • Klassifikation eingehender Nachrichten;
  • Extraktion strukturierter Informationen aus Freitext;
  • Erstellung von Antwortentwürfen;
  • Terminvorschläge auf Grundlage verfügbarer Informationen;
  • Sicherheitsprüfung und Erkennung möglicher Notfälle;
  • OCR-Texterkennung aus Dokumenten und Bildern;
  • Transkription von Sprachnachrichten.

Sanavi nutzt hierfür OpenAI-Modelle. Direkte Identifikatoren werden vor der Übermittlung an OpenAI, soweit technisch möglich, redigiert oder pseudonymisiert.

KI-generierte Inhalte sind maschinell erzeugte Vorschläge und können fehlerhaft oder unvollständig sein. Sanavi ersetzt keine medizinische, pflegerische, rechtliche oder organisatorische Fachentscheidung. Es erfolgen keine ausschließlich automatisierten Entscheidungen im Sinne von Art. 22 DSGVO.

14. Transaktions-E-Mails und Systembenachrichtigungen

Sanavi versendet transaktionale E-Mails und Systembenachrichtigungen, darunter Einladungen, Passwort-zurücksetzen-E-Mails, Systemmeldungen und Benachrichtigungen zu neuen Nachrichten.

Für den E-Mail-Versand wird Resend, Inc. eingesetzt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die E-Mails zur Vertragsdurchführung erforderlich sind.

15. Terminbuchung über Cal.com

Sanavi kann optional Cal.com zur Terminbuchung einsetzen. Wenn ein Kunde diese Funktion aktiviert oder nutzt, können Termin-Slots, Buchungs-URLs, Namen, E-Mail-Adressen, Telefonnummern und Buchungsinhalte verarbeitet werden.

Die Verarbeitung erfolgt zur Terminplanung und Vertragsdurchführung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Soweit Daten in Drittländer übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO.

16. Empfänger und Auftragsverarbeiter

Wir setzen Dienstleister ein, die personenbezogene Daten nur nach Weisung und auf Grundlage geeigneter Datenschutzvereinbarungen verarbeiten.

DienstleisterZweckDatenkategorienStandortDrittlandmechanismus
Hetzner Online GmbHServer-Hosting und InfrastrukturAlle auf der Plattform verarbeiteten Daten, soweit auf Servern gespeichertDeutschlandnicht erforderlich, EU
OpenAI, L.L.C.KI-Klassifikation, Extraktion, Entwurfserstellung, OCR, Audio-Transkriptionpseudonymisierte oder redigierte Nachrichteninhalte, Dokumenteninhalte, Audiodaten, technische IDsUSA; EU-Verarbeitung je nach Einstellung möglichStandardvertragsklauseln und Transfer Impact Assessment
Resend, Inc.Transaktions-E-Mail-VersandE-Mail-Adresse, Name, Nachrichteninhalte, VersanddatenUSAStandardvertragsklauseln und Transfer Impact Assessment
Google Ireland LimitedGoogle Analytics nach EinwilligungNutzungsdaten, Geräteinformationen, Online-KennungenEU/USAEU-US Data Privacy Framework und Standardvertragsklauseln, soweit erforderlich
Cal.com, Inc.optionale TerminbuchungTermin-Slots, Buchungsdaten, Kontaktinformationenabhängig von gewählter Bereitstellungbei Cloud-Nutzung Standardvertragsklauseln

17. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Bei Dienstleistern mit Sitz oder Verarbeitung in den USA stützen wir uns auf Angemessenheitsbeschlüsse, Standardvertragsklauseln, zusätzliche technische Schutzmaßnahmen und Transfer Impact Assessments.

18. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

DatenkategorieStandard-AufbewahrungKonfigurierbarHinweis
Leads und Interessenten6–12 Monateja, pro Mandantabhängig von Vorgaben des Pflegedienstes
Konversationen und WhatsApp-Nachrichten12–24 Monateja, pro Mandantabhängig von Vorgaben des Pflegedienstes
Bewerberdaten6 Monate nach Prozessendelängere Speicherung nur bei Einwilligung oder gesetzlicher Grundlageorientiert an arbeitsrechtlichen Nachweisfristen
Audit-Logs24–36 Monateja, pro MandantNachweis-, Sicherheits- und Compliance-Zwecke
Medien aus Kommunikationsvorgängenkurzfristig; persistent nur bei expliziter Verknüpfungneinverschlüsselte Speicherung
KI-Run-Datenstandardmäßig redigiertjatechnische Nachvollziehbarkeit und Qualitätssicherung
Einladungs-Linksbis AblaufjaAblaufzeit mandantenspezifisch
Privacy-Export-Dateien7 Tage nach Erstellungneinsichere Bereitstellung von Auskunfts- und Exportdaten
Datenlöschungs-Grace-Period14 Tageneinwiderrufbare Löschungsanfrage
Backups30 Tage rollierendneinÜberschreibung im Rahmen der Backup-Rotation

Gesetzliche Aufbewahrungspflichten, insbesondere nach §§ 238, 257 HGB und § 147 AO, bleiben unberührt. Nach Vertragsende werden Kundendaten nach bestätigtem Export grundsätzlich innerhalb von 30 Tagen gelöscht.

19. Technische und organisatorische Maßnahmen

Sanavi setzt technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, insbesondere:

  1. Verschlüsselung in Transit durch TLS 1.2 oder TLS 1.3;
  2. AES-256-GCM-Verschlüsselung für gespeicherte Dateien;
  3. Passwort-Hashing mit scrypt und Salt;
  4. optionale TOTP-basierte Multi-Faktor-Authentifizierung;
  5. rollenbasiertes Zugriffskontrollsystem;
  6. Mandantentrennung auf Datenbankebene;
  7. HttpOnly-, Secure- und SameSite-Strict-Cookies;
  8. Signaturprüfung eingehender Webhooks;
  9. Rate-Limiting auf Versandendpunkten;
  10. Audit-Logging mit redigierten Änderungen;
  11. Redigierung direkter Identifikatoren;
  12. tägliche Datenbank-Backups;
  13. Serverzugriff nur über SSH-Key und ohne Passwort-Login.

20. Einwilligungen und Opt-out

Soweit Verarbeitungen auf Einwilligung beruhen, wird die Einwilligung dokumentiert. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Bei WhatsApp-Kommunikation ist der jeweilige Pflegedienst dafür verantwortlich, eine rechtmäßige Kommunikationsgrundlage sicherzustellen und Opt-out-Wünsche unverzüglich zu beachten.

21. Betroffenenrechte

Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen folgende Rechte:

  • Recht auf Auskunft nach Art. 15 DSGVO;
  • Recht auf Berichtigung nach Art. 16 DSGVO;
  • Recht auf Löschung nach Art. 17 DSGVO;
  • Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO;
  • Recht auf Datenübertragbarkeit nach Art. 20 DSGVO;
  • Recht auf Widerspruch nach Art. 21 DSGVO;
  • Recht auf Widerruf einer Einwilligung nach Art. 7 Abs. 3 DSGVO;
  • Recht auf Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DSGVO.

Datenschutzanfragen können an datenschutz@sanaviai.de gerichtet werden. Soweit Sanavi personenbezogene Daten ausschließlich im Auftrag eines Pflegedienstes verarbeitet, leitet Sanavi Betroffenenanfragen an den zuständigen Pflegedienst weiter.

22. Bereitstellungspflichten

Die Bereitstellung bestimmter Daten ist für Vertragsschluss, Plattformnutzung, Authentifizierung, Sicherheit, Abrechnung und Support erforderlich. Ohne diese Daten kann Sanavi nicht oder nur eingeschränkt genutzt werden.

23. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Datenverarbeitung, die Plattformfunktionen, eingesetzte Dienstleister oder die Rechtslage ändern. Die jeweils aktuelle Fassung ist auf der Website abrufbar.

Stand: Mai 2026