Rechtliches
Datenschutzerklärung der Plattform (App)
für die Web-App und die mobilen Apps von Upliso (portal.upliso.de). Diese Erklärung betrifft die Nutzung der Software. Für den Besuch der Website www.upliso.de gilt die separate Datenschutzerklärung.
Stand: 10. Juli 2026
Verantwortlicher: InnovaCore UG (haftungsbeschränkt) · Goethestraße 24 · 99096 Erfurt. Es gilt die jeweils aktuelle, unter portal.upliso.de veröffentlichte Fassung.
Hinweis zu den beiden Rollen: Upliso wird in zwei unterschiedlichen datenschutzrechtlichen Rollen genutzt. Diese Datenschutzerklärung betrifft die Verarbeitung, für die wir – die InnovaCore UG (haftungsbeschränkt) – selbst Verantwortliche sind (Konto-, Nutzungs- und Abrechnungsdaten der Personen, die Upliso beruflich nutzen). Für die Inhaltsdaten, die ein Mandant über seine eigenen Kund:innen bzw. Patient:innen in Upliso eingibt, ist der jeweilige Mandant Verantwortlicher und wir handeln als Auftragsverarbeiter (Art. 28 DSGVO); Näheres dazu in Ziffer 16.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
InnovaCore UG (haftungsbeschränkt)
Goethestraße 24, 99096 Erfurt
Vertreten durch den Geschäftsführer Martin Maack
E-Mail (Datenschutz-Kontakt): datenschutz@upliso.de
Telefon: 0152 22708841
Handelsregister: Amtsgericht Jena, HRB 510449 · Steuernummer: 151/111/08746
2. Datenschutzbeauftragter
Wir haben einen Datenschutzbeauftragten benannt:
Michael Menzel, Goethestraße 24, 99096 Erfurt
E-Mail: datenschutz@upliso.de
3. Zuständige Aufsichtsbehörde
Zuständige Datenschutz-Aufsichtsbehörde für die InnovaCore UG (haftungsbeschränkt) ist (nach dem Sitz in Erfurt):
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI), Häßlerstraße 8, 99096 Erfurt, poststelle@datenschutz.thueringen.de, Tel. +49 361 57 3112900
4. Welche Daten wir verarbeiten
Je nach Nutzung verarbeiten wir folgende Kategorien personenbezogener Daten:
- Konto-/Nutzerdaten der App-Nutzer:innen: Name, E-Mail-Adresse, zugewiesene Rolle, Login-Zeitpunkte, Status der Zwei-Faktor-Authentifizierung (2FA), Passwort (ausschließlich als kryptografischer Hash).
- Inhaltsdaten, die Nutzer:innen eingeben (überwiegend in der Rolle B – Verantwortung beim Mandanten): Stammdaten von Kund:innen/Interessent:innen, Kontaktdaten, Bank-/Zahlungsdaten, Vertrags- und Sparten-Daten, Steuer-Identifikationsdaten, Gesprächsaufnahmen einschließlich Transkripten und KI-Analysen, hochgeladene Dokumente, E-Mail-Daten sowie – im Modul für Ärzte & Kliniken – Gesundheitsdaten (besondere Kategorien nach Art. 9 DSGVO).
- Nutzungs- und Protokolldaten: Audit-Log sicherheits- und datenschutzrelevanter Aktionen, Login-Versuche einschließlich IP-Adresse (zur Missbrauchs-/Brute-Force-Abwehr), Cron-/Systemprotokolle.
- Server-Logfiles (beim Hoster): IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene Ressource, User-Agent. Näheres in Ziffer 10.
5. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten nur auf Grundlage einer gesetzlichen Erlaubnis. Die folgende Übersicht ordnet den wesentlichen Verarbeitungen ihre Zwecke und Rechtsgrundlagen zu:
| Verarbeitung | Zweck | Rechtsgrundlage |
|---|---|---|
| Registrierung, Login, Kontoverwaltung | Bereitstellung und Verwaltung des Nutzerkontos | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| Nutzung der CRM-/Dokumentationsfunktionen | Erbringung der vertraglich geschuldeten Leistung | Art. 6 Abs. 1 lit. b DSGVO; für Inhaltsdaten der Rolle B: Weisung des Mandanten (Art. 28 DSGVO) |
| Speicherung von Kunden-/Vertragsdaten | Kernfunktion der Anwendung | Art. 6 Abs. 1 lit. b/f DSGVO; Mandant als Verantwortlicher |
| Gesundheitsdaten (Modul Ärzte & Kliniken) | Dokumentation im Heilberufe-Kontext | Art. 9 Abs. 2 DSGVO (insb. lit. h i.V.m. § 22 BDSG bzw. lit. a – Einwilligung); Verantwortung beim Mandanten |
| KI-Transkription und -Analyse (AWS Bedrock EU / Deepgram EU) | Auswertung von Gesprächen/Dokumenten, Erstellung von Entwürfen | Art. 6 Abs. 1 lit. b/f DSGVO; bei Art.-9-Daten zusätzlich Rechtsgrundlage nach Art. 9 DSGVO |
| E-Mail-Versand an Kund:innen | Kundenkommunikation des Mandanten | Art. 6 Abs. 1 lit. b/f DSGVO |
| Sicherheit (Brute-Force-Schutz, Audit-Log, IP) | Gewährleistung der IT-Sicherheit | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Zwei-Faktor-Authentifizierung | Kontosicherheit | Art. 6 Abs. 1 lit. f/b DSGVO |
| Abrechnung und Rechnungsstellung | Vertragsabwicklung, gesetzliche Pflichten | Art. 6 Abs. 1 lit. b/c DSGVO |
| Server-Logfiles | Betrieb und Sicherheit der Systeme | Art. 6 Abs. 1 lit. f DSGVO |
6. Empfänger und Auftragsverarbeiter
Zur Erbringung unserer Leistung setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen jeweils ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) besteht:
- keymachine.de – Hosting und Datenbank (Server in Deutschland) – Auftragsverarbeitung.
- Hostinger – Server-/VPS-Infrastruktur für unsere Automatisierungs-Instanz (n8n) – Auftragsverarbeitung.
- Amazon Web Services (AWS), Region Frankfurt / EU – Bereitstellung von Amazon Bedrock für die KI-Analyse und -Erstellung mit Anthropic Claude über ein EU-Inference-Profil (Verarbeitung in der EU) – AWS-DPA.
- Deepgram, Inc. – Audio-Transkription über den EU-Endpunkt (api.eu.deepgram.com; Verarbeitung in der EU) – Auftragsverarbeitung; das Unternehmen hat seinen Sitz in den USA (siehe Ziffer 7).
- SMTP-/IMAP-Anbieter – vom jeweiligen Mandanten selbst hinterlegter Mailserver für den E-Mail-Versand/-Empfang – Auftragsverarbeitung mit dem jeweiligen Anbieter.
- Apple App Store und Google Play – Distribution der mobilen Apps.
Eine Weitergabe zu Werbezwecken findet nicht statt; wir verkaufen keine Daten.
7. Übermittlung in Drittländer
Die KI-Verarbeitung erfolgt innerhalb der EU: Anthropic Claude läuft über AWS Bedrock in der Region Frankfurt (EU-Inference-Profil), die Audio-Transkription über den EU-Endpunkt von Deepgram. Ein direkter Transfer in die USA – wie bei einer früher genutzten US-API – findet nicht mehr statt.
Restrisiko Deepgram: Deepgram ist ein US-Unternehmen. Auch wenn die Verarbeitung über den EU-Endpunkt in der EU stattfindet, sichern wir Drittland-Garantien ab (Standardvertragsklauseln bzw. EU-US Data Privacy Framework) und führen ein Transfer-Impact-Assessment. Das Modelltraining ist deaktiviert.
AWS ist EU-Auftragsverarbeiter (AWS-DPA); nach den AWS-Bedingungen werden Prompts nicht zum Training von Modellen verwendet. Die KI-Module sind pro Mandant zuschaltbar – ohne Buchung erfolgt keine solche Verarbeitung. Der Demo-Zugang löst keine KI-Aufrufe aus.
8. Speicherdauer und Löschung
- Inhaltsdaten: Speicherung nach der je Mandant konfigurierbaren Aufbewahrungsfrist (Standard 5 Jahre) bzw. nach den gesetzlichen Fristen (GoBD, HGB, AO); danach Löschung oder Anonymisierung.
- Konto-/Nutzerdaten: für die Dauer der Nutzung zuzüglich gesetzlicher Aufbewahrungsfristen.
- Gesprächs-Audio: verschlüsselt gespeichert; eine kurzlebige Klartext-Kopie für die Transkription wird automatisch nach 2 Stunden gelöscht.
- Login-Versuche: automatische Löschung nach 1 Tag.
Betroffenenrechte (Export, Löschung, Anonymisierung) sind in der Anwendung technisch umgesetzt.
9. Cookies und lokale Speicherung
- Wir setzen ausschließlich ein technisch notwendiges Session-Cookie (upliso_sess) mit den Attributen Secure, HttpOnly, SameSite=Lax ein (Art. 6 Abs. 1 lit. f DSGVO / § 25 Abs. 2 TDDDG – keine Einwilligung erforderlich).
- Es werden keine Tracking-/Marketing-Cookies und keine Cookies von Drittanbietern gesetzt.
- localStorage speichert nur UI-Einstellungen; der Service-Worker-/PWA-Cache verbleibt rein lokal im Browser.
10. Server-Logfiles
Beim Aufruf der Anwendung werden serverseitig technische Zugriffsdaten (IP-Adresse, Zeitpunkt, aufgerufene Ressource, User-Agent) zu Zwecken des Betriebs und der Sicherheit verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Speicherung erfolgt für einen kurzen, zur Zweckerreichung erforderlichen Zeitraum und wird anschließend gelöscht.
11. KI-gestützte Verarbeitung / keine automatisierte Entscheidung
Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO statt. KI-Ergebnisse (Transkripte, Analysen, Dokumententwürfe) sind Vorschläge, die von Menschen geprüft und verantwortet werden. Eingesetzt werden Deepgram (Transkription) und Anthropic Claude über AWS Bedrock (Analyse und Erstellung).
12. Ihre Rechte
Sie haben nach der DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie ein Widerspruchsrecht (Art. 21). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3). Ferner haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77), insbesondere der in Ziffer 3 genannten.
Hinweis zur Rolle B: Betreffen Ihre Daten Angaben, die ein Mandant über Sie in Upliso eingegeben hat, richten Sie Ihr Anliegen bitte an den jeweiligen Mandanten als Verantwortlichen; wir unterstützen diesen als Auftragsverarbeiter.
Kontakt für die Wahrnehmung Ihrer Rechte: datenschutz@upliso.de bzw. der Datenschutzbeauftragte (Ziffer 2).
13. Pflicht zur Bereitstellung von Daten
Für die Nutzung der Anwendung sind bestimmte Daten (z. B. Zugangsdaten) erforderlich. Ohne diese Daten ist eine Nutzung nicht möglich.
14. Datensicherheit
Wir treffen umfangreiche technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten zu schützen – u. a. Verschlüsselung ruhender und übertragener Daten, Zwei-Faktor-Authentifizierung, feingranulare Zugriffskontrolle, strikte Mandantentrennung, Brute-Force-Schutz, Datei-Integritätsüberwachung und Audit-Logging. Eine ausführliche Darstellung dieser Maßnahmen ist Bestandteil unseres Auftragsverarbeitungsvertrags (Anlage 1).
15. Besonderheiten der mobilen Apps
- Die iOS- und Android-App laden ausschließlich portal.upliso.de über HTTPS; die App selbst erhebt keine zusätzlichen Daten.
- Mikrofon: Zugriff nur für die von Ihnen aktiv gestartete Gesprächsaufnahme.
- Es findet kein Tracking statt, es werden keine Werbe-IDs verwendet. Die Datenschutzangaben in den App-Stores sind entsprechend ausgefüllt.
16. Hinweise für Mandanten (Auftragsverarbeitung, Rolle B)
Mandanten, die Upliso zur Verarbeitung von Daten ihrer eigenen Kund:innen bzw. Patient:innen nutzen, sind hierfür eigenständig Verantwortliche. Sie müssen insbesondere:
- einen Auftragsverarbeitungsvertrag mit uns abschließen (dieser wird über den Login bereitgestellt),
- eine eigene Datenschutzerklärung gegenüber ihren Endkund:innen bereitstellen,
- die erforderlichen Rechtsgrundlagen bzw. Einwilligungen sicherstellen (insbesondere Art. 9 DSGVO im Gesundheitsbereich).
17. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich Verarbeitungen oder die Rechtslage ändern. Es gilt die jeweils aktuelle, veröffentlichte Fassung.