Vertrauen · Trust Center
Datenschutz & DSGVO
Gesundheitsdaten sind keine normalen Daten. Sie verlassen unseren europäischen Geltungsbereich nicht — und werden nur so verarbeitet, wie es das jeweilige Anliegen erfordert.
Stand: 25. April 2026
Daten bleiben in Europa
Verarbeitung und Speicherung ausschließlich in Rechenzentren innerhalb der EU. Kein Datentransfer in Drittländer ohne ausdrückliche Grundlage.
DSGVO als Mindestschwelle
Wir erfüllen die DSGVO – und gehen darüber hinaus. Verfahrensverzeichnis, DPIA und TOMs sind dokumentiert und auditierbar.
Verschlüsselung auf jeder Ebene
TLS 1.3 in der Übertragung, AES-256 im Ruhezustand. Schlüsselverwaltung getrennt von Anwendungsdaten.
Granulare Zugriffe
Rollenbasierte Berechtigungen, Vier-Augen-Prinzip für sensible Operationen, revisionssichere Audit-Logs.
Wenn jemand in einer Praxis anruft, vertraut sie oder er der Praxis nicht nur das Anliegen an, sondern auch sehr persönliche Informationen. Ordicall arbeitet als Auftragsverarbeiter im Sinne von Art. 28 DSGVO — das heißt: Ihre Praxis bleibt verantwortlich für die Daten, wir verarbeiten sie ausschließlich auf Ihre Weisung und nach klaren Regeln.
Daten bleiben in Europa
Sämtliche personenbezogenen Daten werden in Rechenzentren innerhalb der Europäischen Union verarbeitet und gespeichert. Wir wählen Anbieter danach aus, ob sie diesen Anspruch glaubwürdig erfüllen können — und nicht danach, was am bequemsten ist. Wo Drittland-Anbieter unverzichtbar sind (etwa für sehr spezifische Modellinfrastruktur), nutzen wir sie ausschließlich auf Basis der EU-Standardvertragsklauseln, mit zusätzlichen technischen Schutzmaßnahmen und transparent dokumentiert in unserer Subprocessor-Liste.
Praktisch bedeutet das: Anrufaufzeichnungen, Transkripte, Patientenstammdaten und Kalenderinformationen werden in der EU gespeichert und nicht zu Trainingszwecken verwendet — weder von uns noch von unseren Modellanbietern.
Was wir verarbeiten — und was nicht
Wir verarbeiten nur, was für das jeweilige Anliegen nötig ist. Das umfasst typischerweise: Name, Geburtsdatum, Telefonnummer, das Anliegen sowie das, was im Gespräch zur Bearbeitung erforderlich ist. Was nicht zur Bearbeitung gehört, fragt Mia nicht ab und speichert es auch nicht. Aufzeichnungen werden zweckgebunden aufbewahrt und nach Ablauf der vereinbarten Frist automatisch gelöscht.
Wir nutzen Anrufdaten nicht für Profilbildung, nicht für Werbung und nicht für das Training von KI-Modellen. Punkt.
Wie wir schützen
Verschlüsselung ist der einfache Teil — und für uns selbstverständlich: TLS 1.3 in der Übertragung, AES-256 im Ruhezustand, getrennte Schlüsselverwaltung. Wichtiger ist, was darunter liegt: Zugriffe nach dem Prinzip der minimalen Berechtigung, Vier-Augen-Prinzip bei sensiblen Operationen, revisionssichere Protokolle und regelmäßige interne wie externe Sicherheitsüberprüfungen.
Unsere technisch-organisatorischen Maßnahmen sind dokumentiert und Bestandteil jedes Auftragsverarbeitungsvertrags. Wir übergeben sie auf Anfrage gerne vorab.
Ihre Rechte als Betroffene
Anruferinnen und Anrufer haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung und Widerspruch sowie auf Datenübertragbarkeit (Art. 15–21 DSGVO). Anfragen werden in der Regel von der verantwortlichen Praxis bearbeitet; wir unterstützen sie als Auftragsverarbeiter bei der technischen Umsetzung.
Für Hinweise zu möglichen Datenschutzverletzungen oder allgemeine Fragen erreichen Sie unsere Datenschutzbeauftragten direkt:
Datenschutzkontakt: datenschutz@ordicall.ai
Zertifizierungen & Status
Wir sind ehrlich darüber, wo wir stehen — bereits erreicht und in Arbeit:
| DSGVO / GDPR | Konform |
| DSG (Österreich) | Konform |
| ISO 27001 | In Vorbereitung |
| C5 (BSI) | Auf Roadmap |
Dokumente
Verträge und Unterlagen zum Download
Die wichtigsten Datenschutzdokumente stellen wir Ihrer Praxis auf Anfrage zur Verfügung — kurzfristig und ohne Hürden.
Auftragsverarbeitungsvertrag (AVV)
Mustervertrag nach Art. 28 DSGVO zwischen Ihrer Praxis und Ordicall – inkl. Anlagen.
Technisch-organisatorische Maßnahmen
Übersicht unserer TOMs: Zutritts-, Zugangs-, Zugriffs-, Weitergabe- und Trennungskontrollen.
Datenschutzhinweise für Anrufende
Aushang und Online-Hinweis nach Art. 13 DSGVO – fertig zur Veröffentlichung in Ihrer Praxis.
Liste der Subprocessors
Aktuelle Übersicht aller Unterauftragsverarbeiter, die Ordicall einsetzt – mit Sitz und Zweck.
Noch eine Frage zum Datenschutz?
Schreiben Sie uns — Antworten kommen direkt von einem Menschen aus dem Datenschutzteam, nicht aus einer Vorlage.