Es handelt sich um eine Frage, die selten explizit gestellt wird, doch wiederkehrend in der Reflexion jedes Unternehmers vor Vertragsunterzeichnung mit einem Cloud-Anbieter: Wo landet mein Kundenstamm?
Jedes Kundenlabor von CadCamCloud bildet einen getrennten Tenant. EU-Kundenstamm, STL-Dateien, Verordnungen, Volumina, Bestellfrequenzen: alles residiert in einem isolierten logischen Raum. Die Plattform ist multi-tenant strict — jede Datenbankabfrage filtert nach tenant_id, ohne Ausnahme. Kein anderes Labor auf der Plattform visualisiert Ihre Daten.
Unsere Administrationskonsole greift ausschließlich auf aggregierte Systemkennzahlen zu — wie viele Praxen aktiv sind, in welchen Ländern, Makrovolumina. Diese Daten haben einen einzigen Zweck: Server und Hosting in Abhängigkeit des realen Arbeitsvolumens der Plattform zu dimensionieren. Niemals einen Namen, niemals eine E-Mail-Adresse, niemals eine Datei. Jeder administrative Zugriff wird in einem append-only Audit-Log erfasst, das vom Enterprise-Partner auf Anfrage verifizierbar ist.
Die Infrastruktur operiert auf Hetzner-Servern, Rechenzentrum Mailand. Keine Gesundheitsdaten verlassen den EU-Perimeter. Der Cloud-Speicheranbieter operiert in EU-Rechenzentren. Keine amerikanische CDN für klinische Daten, kein Backup auf Extra-EU-Cloud. DSGVO by design, nicht als Fassadenerklärung.
DICOM-Dateien (DVT, CT, intraorale Röntgenserien) stellen PHI dar — Protected Health Information gemäß Art. 9 DSGVO: Sie enthalten Patientenname, Identifikationscode, Gesundheitseinrichtung, behandelnden Arzt. Aus diesem Grund ist der DICOM-Upload ausschließlich auf den Premium- und Enterprise-Tarifen verfügbar, wo die Plattform einen dedizierten Hintergrund-Antivirus-Scan mit automatischer Quarantäne, einen beim Onboarding unterzeichneten spezifischen PHI-Hinweis und eine Opt-in-Anonymisierungsoption auf Praxisseite anwendet.
Auf den Basic- und Pro-Tarifen ist der DICOM-Upload nicht aktiviert: Die Plattform blockiert den Fluss mit einer expliziten Upgrade-Meldung. Die Erkennung erfolgt über Erweiterung (.dcm, .dicom, .dic, .ima, .img) oder DICM-Magic-Byte und kann nicht durch Umbenennen von Dateien eines anderen Typs umgangen werden. Alle anderen Formate bleiben auf allen Tarifen innerhalb der Standardgrenzen zugänglich.
Jede eingegangene Einreichung erzeugt ein PDF/A — ISO-19005-Standard, konform mit den AGID-Richtlinien — mit Kundenstamm, ausgefülltem Formular, beigefügten Dateien mit kryptografischer Prüfsumme, Zeitstempel und eindeutiger UUID. Die form_data verfügt über keinen Endpunkt zur Änderung nach der Einreichung: Was übermittelt wurde, kann nicht verändert werden.
Das Dokument wird zehn Jahre aufbewahrt, gemäß den Anforderungen, die die EU-Verordnung 2017/745 an den Hersteller maßgefertigter Medizinprodukte stellt. Ein QR auf dem PDF verweist auf eine öffentliche Verifizierungsseite, die ohne Anmeldung zugänglich ist.
Tägliche Momentaufnahme von Datenbank und Speicher, rollierende dreißigtägige Aufbewahrung. Off-site-Backup bei einem separaten EU-Anbieter für Disaster Recovery. Periodische interne Restore-Tests; für Enterprise-Verträge ist ein unabhängiges Audit in einer SLA-Klausel vereinbar.
Für jene, die sensible Daten in erheblichem Umfang verwalten (Multi-Standort-Netzwerke, Enterprise) ist die Erstellung einer dedizierten technischen Analyse, eines personalisierten DPA und von SLA-Klauseln möglich.