Funktioniert Mosaic mit meinem bestehenden Praxissystem?

Ja. Mosaic integriert sich nahtlos mit gängigen Systemen wie Doctolib, Samson und den meisten deutschen PVS-Systemen. Wir übernehmen die komplette Integration — in der Regel ist alles innerhalb von 30 Tagen eingerichtet.

Wie schnell sehe ich Ergebnisse?

Die ersten Reaktivierungsbuchungen kommen typischerweise innerhalb der ersten 2–4 Wochen. Im Schnitt sehen unsere Kliniken +22% Umsatzsteigerung im ersten Quartal.

Sind meine Patientendaten sicher?

Absolut. Mosaic ist vollständig DSGVO-konform. Alle Daten werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert.

Der Preis richtet sich nach der Größe Ihrer Klinik und den gewählten Modulen. In der kostenlosen Demo zeigen wir Ihnen konkrete Zahlen und eine ROI-Berechnung für Ihren Standort.

Gibt es eine Vertragsbindung?

Nein. Mosaic ist monatlich kündbar mit einer 30-Tage-Ergebnis-Garantie.

DSGVO und Patientendaten: Was ästhetische Kliniken wissen müssen

Warum DSGVO bei Klinik-Software besonders kritisch ist

Patientendaten in der ästhetischen Medizin sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Das umfasst:

Gesundheitsdaten (Behandlungshistorie, Allergien)
Biometrische Daten (Vorher/Nachher-Fotos)
Kontaktdaten in Kombination mit Gesundheitsinformationen

Für diese Daten gelten verschärfte Anforderungen. Ein Verstoß kann bis zu 20 Millionen Euro oder 4% des Jahresumsatzes kosten.

Das Problem mit US-Anbietern

Viele Klinik-Softwarelösungen kommen aus den USA oder nutzen US-Infrastruktur (AWS US, Google Cloud US). Das ist problematisch:

Privacy Shield ist Geschichte

Das EU-US Privacy Shield wurde 2020 vom EuGH gekippt (Schrems II). Seitdem ist die Übertragung personenbezogener Daten in die USA nur unter strengen Auflagen möglich.

Standardvertragsklauseln reichen nicht

Viele US-Anbieter argumentieren mit Standard Contractual Clauses (SCCs). Aber der EuGH hat klargestellt: SCCs allein reichen nicht, wenn US-Behörden Zugriff auf die Daten haben können (FISA 702, CLOUD Act).

Konkret betroffen

Anbieter wie RepeatMD, BoomCloud oder Zenoti speichern Daten auf US-Servern. Für deutsche Arztpraxen bedeutet das: Du bist in der Verantwortung sicherzustellen, dass die Datenverarbeitung DSGVO-konform ist.

Worauf du bei Klinik-Software achten musst

1. Server-Standort Deutschland oder EU

Die einfachste Lösung: Daten bleiben in Deutschland. Kein Drittlandtransfer, keine komplizierten Auftragsverarbeitungsverträge mit US-Unternehmen.

2. Auftragsverarbeitungsvertrag (AVV)

Jeder Software-Anbieter, der Patientendaten verarbeitet, braucht einen AVV nach Art. 28 DSGVO. Dieser muss:

Zweck und Dauer der Verarbeitung definieren
Art der Daten und Kategorien betroffener Personen nennen
Technische und organisatorische Maßnahmen (TOMs) beschreiben
Subunternehmer auflisten

3. Technische Maßnahmen

Verschlüsselung in Transit (TLS) und at Rest (AES-256)
Zugangskontrolle mit Rollen und Rechten
Audit-Logs für alle Datenzugriffe
Löschkonzept nach Ende der Aufbewahrungsfrist

4. Einwilligung der Patienten

Für Marketing-Kommunikation (Reaktivierung, Angebote, Newsletter) brauchst du eine explizite Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO — getrennt von der Behandlungseinwilligung.

Checkliste: Ist deine Klinik-Software DSGVO-konform?

[ ] Server in Deutschland oder EU?
[ ] Auftragsverarbeitungsvertrag (AVV) vorhanden?
[ ] Verschlüsselung in Transit und at Rest?
[ ] Keine Datenübertragung in die USA?
[ ] Löschkonzept definiert?
[ ] Patienteneinwilligung für Marketing dokumentiert?
[ ] Subunternehmer des Anbieters bekannt und geprüft?
[ ] Recht auf Auskunft und Löschung technisch umsetzbar?

Wenn du bei einer dieser Fragen "Nein" oder "Weiß nicht" antwortest, besteht Handlungsbedarf.

Was passiert bei einem Verstoß?

Die Landesdatenschutzbehörden sind in den letzten Jahren deutlich aktiver geworden:

2024: Hamburger Datenschutzbehörde verhängt 50.000 € Bußgeld gegen eine Arztpraxis wegen unverschlüsselter Patientendaten-Übertragung
2023: Bayerisches Landesamt: 35.000 € gegen eine Klinik wegen fehlenden AVVs mit einem Cloud-Anbieter
Laufend: Hunderte Verwarnungen wegen fehlender oder unzureichender Datenschutzerklärungen

Das Risiko ist real — und die Beweislast liegt bei dir als Praxisbetreiber.

Wie Mosaic das löst

Mosaic ist von Grund auf für den deutschen Markt gebaut:

Server in Deutschland — alle Daten bleiben in deutschen Rechenzentren
AVV inklusive — wird automatisch bei Vertragsabschluss bereitgestellt
Verschlüsselung — TLS 1.3 in Transit, AES-256 at Rest
Einwilligungs-Management — Patienten geben ihre Marketing-Einwilligung direkt in der App
Löschkonzept — automatische Löschung nach konfigurierbarer Frist
Keine US-Subunternehmer für Patientendatenverarbeitung

Fazit

DSGVO-Konformität ist kein Nice-to-have für ästhetische Kliniken — es ist Pflicht. Und es ist einfacher als du denkst, wenn du von Anfang an den richtigen Anbieter wählst.

Die Faustregel: Server in Deutschland, deutscher Anbieter, AVV vorhanden — dann bist du auf der sicheren Seite.