Deine Daten gehören dir. Punkt.
Slotara betreibt Hauptinfrastruktur und primäre Anwendungsdaten in Deutschland, liefert AVV automatisch inklusive, setzt keine Tracking-Cookies ein und verschlüsselt alle Verbindungen mit TLS 1.3. Auch die Zahlungsabwicklung läuft komplett in der EU: Mollie (Niederlande) ist unser Zahlungsdienstleister — DSGVO-konform, kein US-Cloud-Act, keine Datenübermittlung in die USA.
8 Sicherheitsmaßnahmen die bei Slotara Standard sind.
Keine kostenpflichtigen Sicherheits-Add-ons für den Kernbetrieb. Die beschriebenen Grundmaßnahmen gehören zum Produktstandard.
Hauptinfrastruktur in Deutschland
Hauptinfrastruktur und primäre Anwendungsdaten werden auf Servern in Deutschland verarbeitet.
Rechenzentrumsbetrieb in Deutschland. Zahlungsabwicklung über Mollie B.V. (Niederlande, EU) — keine Datenübermittlung in die USA. Optional aktivierte KI-Funktionen (Anthropic) nutzen SCCs nach Art. 46 Abs. 2 lit. c DSGVO.
TLS 1.3 Verschlüsselung
Alle Verbindungen sind mit TLS 1.3 verschlüsselt — Dashboard, Buchungs-Widget und API.
HSTS aktiviert, Certificate Transparency, automatische Zertifikatserneuerung. Kein unverschlüsselter HTTP-Zugriff möglich.
AVV automatisch inklusive
Die Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO) ist bei Registrierung automatisch aktiv.
Kein Papierkram, keine separate Anfrage. Deutschsprachig, rechtskonform, sofort gültig. Kein englischsprachiges DPA.
Keine Tracking-Cookies
Keine Tracking-, Analyse- oder Werbe-Cookies im Produktbetrieb.
Das Buchungs-Widget setzt keine Marketing- oder Analyse-Cookies. Technisch notwendige Cookies für Sicherheit und Anmeldung bleiben davon unberührt.
Mandantentrennung
Jeder Kunde hat einen vollständig isolierten Datenbereich. Kein Zugriff auf fremde Daten möglich.
Technisch: automatischer Tenant-Scope auf jede Datenbankabfrage. Kein Cross-Tenant-Zugriff — auch nicht für Administratoren.
Passwort-Sicherheit (bcrypt)
Passwörter werden nie im Klartext gespeichert. Bcrypt-Hashing mit individuellem Salt pro Nutzer.
Brute-Force-Schutz durch Rate-Limiting. Kein Passwort-Reset per Klartext-E-Mail. Sichere Reset-Prozesse und verschlüsselte Übertragung sind Standard.
Recht auf Löschung (Art. 17)
Löschanfragen werden nach fest definierten Prozessen bearbeitet und umgesetzt.
Nach Kündigung gilt eine 30-tägige Karenzzeit. Danach werden Daten aus produktiven Systemen gelöscht; gesetzliche Aufbewahrungspflichten und technische Backup-Zyklen bleiben zu berücksichtigen.
API-Sicherheit
API-Zugriff über Bearer Tokens mit Tenant-Isolation. Kein Cross-Tenant-Zugriff möglich.
Rate-Limiting (60 Requests/Minute), Webhook-Signatures für Payload-Integrität, Token-Rotation empfohlen.
DSGVO-Anforderungen — alles erfüllt.
Die für den aktuellen Produktbetrieb wesentlichen Anforderungen aus Art. 5, 6, 12–23, 25, 28 und 32–34 DSGVO sind in Prozessen und Systemen abgebildet.
Bei Registrierung aktiv, deutschsprachig, keine Anfrage nötig.
Verschlüsselung, Zugriffskontrolle, Pseudonymisierung, Verfügbarkeit.
Export aller Daten als CSV/JSON jederzeit im Dashboard möglich.
Auf Anfrage einsehbar für Datenschutzbeauftragte.
Fakt
Über 60 % der deutschen Unternehmen nennen Datenschutz als entscheidendes Kriterium bei der Software-Auswahl (Bitkom 2024). Das Buchungs-Widget ist oft der erste Datenschutz-Kontaktpunkt für Kunden.
DSGVO-konform starten — in 5 Minuten.
Keine Kreditkarte. Keine Vertragsbindung. AVV ist automatisch aktiv. Hauptinfrastruktur in Deutschland. Keine Tracking-Cookies.
Datenschutzbeauftragte erhalten auf Anfrage das vollständige TOM-Dokument.
FAQ: Datenschutz & Sicherheit
Hauptinfrastruktur und primäre Anwendungsdaten werden in Deutschland betrieben. Zahlungsabwicklung erfolgt über Mollie B.V. (Niederlande, EU) — kein US-Transfer im Standardbetrieb. Optional aktivierte KI-Funktionen (Anthropic, USA) nutzen Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO. Details stehen transparent in der Datenschutzerklärung.
Nein. Die AVV ist bei Registrierung automatisch aktiv. Du musst nichts unterschreiben oder anfordern. Deutschsprachig, Art. 28 DSGVO-konform. Auf Anfrage erhältst du eine signierte Kopie.
Nein. Slotara setzt keine Tracking-, Analyse- oder Werbe-Cookies ein. Für den sicheren Betrieb der Plattform können technisch notwendige Cookies verwendet werden. Das Buchungs-Widget setzt keine Marketing- oder Analyse-Cookies.
Ja. Alle Buchungen, Kunden, Rechnungen und Einstellungen können jederzeit als CSV oder JSON exportiert werden (Art. 20 DSGVO). Kein Vendor-Lock-in.
Nach Kündigung gibt es 30 Tage Karenzzeit, in der Daten noch exportiert werden können. Danach werden personenbezogene Daten aus den produktiven Systemen gelöscht. Gesetzliche Aufbewahrungspflichten und technische Backup-Zyklen bleiben dabei zu berücksichtigen.
Slotara speichert Buchungsdaten (Name, Kontakt, Termin), keine medizinischen Diagnosen oder Patientenakten. Für die Terminbuchung ist Slotara DSGVO-konform. Medizinische Patientenakten gehören in die Praxissoftware.