Datenschutzerklärung
Gemäß Art. 13, 14 DSGVO (Datenschutz-Grundverordnung) und § 25 TTDSG
Serno
Gültig ab: [DATUM]
Zuletzt aktualisiert: [DATUM]
1. Verantwortlicher
Serno
Südliche Ringstraße [HAUSNUMMER], 63225 Langen, Hessen, Deutschland
E-Mail: privacy@notelyx.app
Website: notelyx.app
Datenschutzbeauftragter (DSB):
[NAME des DSB]
E-Mail: dpo@notelyx.app
(Bestellung gemäß Art. 37 DSGVO i.V.m. § 38 BDSG aufgrund der Verarbeitung besonderer Kategorien personenbezogener Daten — Gesundheitsdaten)
2. Kategorien personenbezogener Daten, Zwecke und Rechtsgrundlagen
2.1 Nutzerkontodaten
| Datenkategorie | Beispiele | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Identifikationsdaten | Name, E-Mail-Adresse | Kontoerstellung, Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Berufliche Angaben | Berufsbezeichnung, Lizenznummer | Zulassungsprüfung | Art. 6 Abs. 1 lit. b DSGVO |
| Zahlungsdaten | Kreditkartendaten (verarbeitet durch Zahlungsdienstleister) | Abrechnung | Art. 6 Abs. 1 lit. b DSGVO |
2.2 Gesundheitsdaten (Besondere Kategorien gemäß Art. 9 DSGVO)
Soweit Abonnenten Sitzungsbeobachtungen mit Bezug zu Patienten einreichen, handelt es sich um Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO.
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Anonymisierte/pseudonymisierte Sitzungsbeobachtungen | KI-gestützte Erstellung klinischer Dokumentation | Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG |
| Generierte klinische Notizen (SOAP, DAP, BIRP) | Bereitstellung der Dokumentation für den Therapeuten | Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG |
Wichtiger Hinweis: Wir empfehlen ausdrücklich, keine direkten Patientenidentifikatoren (Name, Geburtsdatum, Sozialversicherungsnummer) in Sitzungseingaben einzugeben. Roheingaben werden automatisch innerhalb von 24 Stunden nach der Notizgenerierung gelöscht.
2.3 Nutzungs- und Protokolldaten
| Datenkategorie | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| IP-Adresse, Browser-Typ, Betriebssystem | Sicherheit, Betrugsprävention | Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) | 90 Tage |
| Serverprotokolle, API-Anfragen | Sicherheit, HIPAA-Auditprotokollierung | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) | 6 Jahre |
| Nutzungsstatistiken (aggregiert, anonymisiert) | Produktverbesserung | Art. 6 Abs. 1 lit. f DSGVO | Unbegrenzt (da anonymisiert) |
2.4 Cookies und ähnliche Technologien
Siehe unsere Cookie-Richtlinie für vollständige Informationen. Technisch notwendige Cookies werden auf Grundlage von § 25 Abs. 2 TTDSG gesetzt. Optionale Cookies nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
3. Empfänger und Auftragsverarbeiter
Wir geben Ihre Daten nur weiter, soweit dies gesetzlich erlaubt oder Sie eingewilligt haben.
3.1 Auftragsverarbeiter (Art. 28 DSGVO)
| Auftragsverarbeiter | Zweck | Sitz | Datenschutzgarantie |
|---|---|---|---|
| Amazon Web Services EMEA SARL | Cloud-Infrastruktur, Datenbank, KI-Verarbeitung, Speicherung, Authentifizierung | Luxemburg / USA | Standardvertragsklauseln (SCC), AWS BAA |
| [Zahlungsdienstleister, z.B. Stripe] | Zahlungsabwicklung (keine Gesundheitsdaten) | USA | SCC |
| [E-Mail-Dienstleister] | Transaktions-E-Mails | [Sitz] | SCC / Angemessenheitsbeschluss |
3.2 Drittlandübermittlungen (Art. 44 ff. DSGVO)
Daten werden in die USA übermittelt. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914). Eine vollständige Liste der Auftragsverarbeiter und angewendeten Garantien ist auf Anfrage erhältlich.
4. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Kontodaten | Dauer des Vertragsverhältnisses + 30 Tage nach Kündigung |
| Roheingaben (Sitzungsbeobachtungen) | 24 Stunden nach Notizgenerierung |
| Generierte klinische Notizen | Dauer des Vertragsverhältnisses + 30 Tage |
| Zahlungsunterlagen | 10 Jahre (§ 147 AO — steuerliche Aufbewahrungspflicht) |
| Sicherheits- und Auditprotokolle | 6 Jahre (HIPAA-Anforderung) |
| Serverprotokolle | 90 Tage |
5. Ihre Rechte als betroffene Person
Sie haben gemäß DSGVO folgende Rechte:
| Recht | Rechtsgrundlage | Kontakt |
|---|---|---|
| Auskunft über verarbeitete Daten | Art. 15 DSGVO | privacy@notelyx.app |
| Berichtigung unrichtiger Daten | Art. 16 DSGVO | privacy@notelyx.app |
| Löschung ("Recht auf Vergessenwerden") | Art. 17 DSGVO | privacy@notelyx.app |
| Einschränkung der Verarbeitung | Art. 18 DSGVO | privacy@notelyx.app |
| Datenübertragbarkeit | Art. 20 DSGVO | privacy@notelyx.app |
| Widerspruch gegen Verarbeitung | Art. 21 DSGVO | privacy@notelyx.app |
| Widerruf einer Einwilligung | Art. 7 Abs. 3 DSGVO | privacy@notelyx.app |
Wir beantworten Anfragen innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).
Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren:
Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Postfach 3163, 65021 Wiesbaden
Website: datenschutz.hessen.de
E-Mail: poststelle@datenschutz.hessen.de
6. Automatisierte Entscheidungsfindung und Profiling
Wir setzen keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO ein. Die KI-generierten Notizen sind Entwürfe, die zwingend von einem lizenzierten Therapeuten geprüft und freigegeben werden müssen. Keine klinische Entscheidung wird automatisiert getroffen.
7. Datensicherheit
Wir setzen folgende technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO ein:
- Verschlüsselung im Ruhezustand (AES-256, AWS KMS)
- Verschlüsselung bei der Übertragung (TLS 1.2+)
- Mehrfaktor-Authentifizierung (MFA) für alle Konten
- Rollenbasierte Zugriffskontrolle (RBAC)
- Automatische Sitzungsabmeldung nach 15 Minuten Inaktivität
- Unveränderliche Auditprotokolle (AWS CloudTrail, 6 Jahre)
- Regelmäßige Sicherheitsbewertungen
8. Änderungen dieser Datenschutzerklärung
Bei wesentlichen Änderungen informieren wir Sie mindestens 30 Tage im Voraus per E-Mail. Die fortgesetzte Nutzung nach dem Inkrafttreten gilt als Zustimmung.
9. Kontakt
Datenschutzbeauftragter: dpo@notelyx.app
Allgemeine Datenschutzanfragen: privacy@notelyx.app
Sicherheitsvorfälle: security@notelyx.app
Anwaltshinweis: Diese Datenschutzerklärung muss vor dem Go-live von einem deutschen Datenschutzanwalt geprüft werden. Insbesondere: (1) Prüfen, ob ein DSB gemäß Art. 37 DSGVO i.V.m. § 38 BDSG verpflichtend zu bestellen ist (bei Verarbeitung von Gesundheitsdaten als Kerntätigkeit sehr wahrscheinlich ja); (2) TTDSG-Konformität der Cookie-Implementierung sicherstellen; (3) Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) intern anlegen; (4) Auftragsverarbeitungsverträge (AVV) mit allen Auftragsverarbeitern abschließen.