Datenschutzerklärung
Stand: Juni 2026
1. Verantwortlicher
Verantwortlich im Sinne der DSGVO ist:
Docviant · Dr. mult. Dr. h.c. Babak Saravi
Greifweg 156 · 40549 Düsseldorf · Deutschland
E-Mail: kontakt@docviant.de
Kontaktformular: www.docviant.de/kontakt
2. Geltungsbereich und Struktur
Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten bei der Nutzung unserer Website und unserer Dienste. Sie ist gegliedert in:
- Abschnitt A: Websitebesucher und Kontaktanfragen
- Abschnitt B: Kundenkonto, Testphase und Vertragsverhältnis
- Abschnitt C: Produktnutzung durch Praxen (KI-Dienste)
- Abschnitt D: Verarbeitung von Patientendaten im Auftrag
- Abschnitt E: Allgemeines (Rechte, Speicherdauer, Änderungen)
Abschnitt A: Websitebesucher und Kontaktanfragen
3. Hosting und Server-Log-Dateien
Serverstandort: Rechenzentrum in der EU (Region Frankfurt, Deutschland).
Verarbeitete Daten: IP-Adresse, Browsertyp und -version, Betriebssystem, Referrer-URL, aufgerufene Seite, Zeitpunkt des Zugriffs.
Zweck: Bereitstellung und Sicherheit der Website, Erkennung von Missbrauch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Websitebetrieb).
Verarbeitung: Hosting und Betrieb erfolgen über einen spezialisierten Auftragsverarbeiter in einem Rechenzentrum innerhalb der EU (Region Frankfurt) auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.
Speicherdauer: Server-Log-Dateien werden nach 30 Tagen automatisch gelöscht.
Drittlandtransfer: Es findet kein Transfer personenbezogener Daten in Drittländer statt; die Verarbeitung erfolgt ausschließlich in Rechenzentren innerhalb der EU. Soweit der Auftragsverarbeiter einem Konzern mit Muttergesellschaft außerhalb der EU angehört, ist dies zusätzlich durch EU-Standardvertragsklauseln (SCC) und ergänzende Schutzmaßnahmen abgesichert.
4. Cookies
Unsere Website verwendet technisch notwendige Cookies sowie – nach Ihrer ausdrücklichen Einwilligung – Analyse-Cookies. Technisch notwendige Cookies erfordern keine Einwilligung (§ 25 Abs. 2 TDDDG). Analyse-Cookies werden erst nach Ihrer Einwilligung gesetzt (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO).
Technisch notwendige Cookies:
| Cookie | Zweck | Laufzeit |
|---|---|---|
session | Authentifizierung nach Login (enthält verschlüsselten JWT-Token) | 7 Tage |
cookie_consent | Speicherung Ihrer Cookie-Präferenz (akzeptiert/abgelehnt) | 1 Jahr |
Analyse-Cookies (nur nach Einwilligung):
| Cookie | Zweck | Laufzeit |
|---|---|---|
_ga | Google Analytics – Unterscheidung von Nutzern | 2 Jahre |
_ga_BQZ1LZ5CQ5 | Google Analytics – Sitzungsstatus | 2 Jahre |
Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen. Beim nächsten Besuch wird Ihnen der Cookie-Banner erneut angezeigt.
4a. Google Analytics
Dienst: Google Analytics 4 (Mess-ID: G-BQZ1LZ5CQ5).
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Zweck: Analyse des Nutzerverhaltens auf unserer Website (besuchte Seiten, Verweildauer, Herkunft der Besucher), um unser Angebot zu verbessern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den Cookie-Banner). Die Verarbeitung erfolgt erst nach Ihrer ausdrücklichen Einwilligung.
IP-Anonymisierung: Wir setzen die IP-Anonymisierung ein (anonymize_ip). Ihre IP-Adresse wird innerhalb der EU gekürzt, bevor sie an Google-Server übermittelt wird.
Drittlandtransfer: Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Die Datenverarbeitung erfolgt auf dieser Grundlage.
Auftragsverarbeitung: Wir haben mit Google einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.
Speicherdauer: Die Daten werden nach 14 Monaten automatisch gelöscht.
Widerspruch/Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen (Cookie-Banner über Browser-Cookies zurücksetzen). Alternativ können Sie das Browser-Add-on zur Deaktivierung von Google Analytics installieren.
Es werden keine externen Schriftarten (z. B. Google Fonts), eingebettete Karten, Videos oder Chat-Widgets von Drittanbietern geladen.
5. Kontaktformular
Verarbeitete Daten: Name, E-Mail-Adresse, Telefonnummer (optional), Praxisname (optional), Interessengebiet, Nachricht.
Zweck: Bearbeitung Ihrer Kontaktanfrage und ggf. vorvertragliche Kommunikation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Anfrage der betroffenen Person).
Speicherdauer: Bis zur vollständigen Erledigung der Anfrage, maximal 6 Monate, sofern kein Vertragsverhältnis entsteht.
Empfänger: Die Daten werden ausschließlich intern verarbeitet und nicht an Dritte weitergegeben.
Abschnitt B: Kundenkonto, Testphase und Vertragsverhältnis
6. Registrierung und Nutzerkonto
Verarbeitete Daten: Vorname, Nachname, E-Mail-Adresse, Praxisname, Fachrichtung, selbst gewähltes Passwort.
Zweck: Einrichtung und Verwaltung des Nutzerkontos, Bereitstellung der Dienste, Kontoverwaltung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Passwort: Wird ausschließlich als kryptographischer Hash (bcrypt) gespeichert und ist für uns nicht einsehbar.
Speicherdauer: Bis zur Löschung des Accounts durch den Nutzer oder den Administrator.
Pflicht zur Bereitstellung: Die Angabe der Daten ist für den Vertragsschluss erforderlich. Ohne diese Angaben kann kein Nutzerkonto erstellt werden.
7. E-Mail-Kommunikation
Verarbeitete Daten: E-Mail-Adresse des Empfängers.
Zweck: Versand transaktionaler E-Mails (Registrierungsbestätigung, E-Mail-Verifizierung, Passwort-Reset, Account-Freischaltung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Verarbeitung: Der E-Mail-Versand erfolgt über einen spezialisierten E-Mail-Dienst. Es werden ausschließlich die für den Versand notwendigen Daten (E-Mail-Adresse) übermittelt.
Empfänger: Die Daten werden nicht an Dritte weitergegeben. Der E-Mail-Dienstleister verarbeitet die Daten ausschließlich in unserem Auftrag auf Grundlage eines AVV gemäß Art. 28 DSGVO.
Abschnitt C: Produktnutzung durch Praxen (KI-Dienste)
8. KI-gestützte Spracherkennung
Verarbeitete Daten: Audio-Aufnahmen der Diktatfunktion.
Zweck: Transkription von Sprache zu Text als Grundlage für die KI-Dokumentation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Verarbeitung: Die Spracherkennung erfolgt über einen auf Sprache-zu-Text spezialisierten Auftragsverarbeiter, der ausschließlich über einen EU-Endpunkt (Rechenzentren innerhalb der EU) angesprochen wird und weisungsgebunden im Auftrag von Docviant auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO tätig ist. Vertraglich ist eine Zero-Retention-Verarbeitung vereinbart: Audio- und Transkriptionsdaten werden nicht über die unmittelbare Verarbeitung hinaus gespeichert und nicht zur Verbesserung oder zum Training von Modellen verwendet.
Speicherdauer: Audio-Daten werden nach der Transkription unverzüglich gelöscht und nicht dauerhaft gespeichert.
Drittlandtransfer: Keiner. Die Verarbeitung erfolgt ausschließlich in Rechenzentren innerhalb der EU.
9. KI-gestützte Dokumentationserstellung und Abrechnungsoptimierung
Verarbeitete Daten: Transkribierter Text (pseudonymisiert), medizinischer Kontext, Abrechnungsregeln.
Zweck: Erstellung strukturierter medizinischer Dokumentation (SOAP-Format), Generierung von Abrechnungsvorschlägen, automatisierte Arztbrieferstellung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Pseudonymisierung: Patientendaten werden vor der KI-Verarbeitung pseudonymisiert. Es werden keine Klarnamen, Geburtsdaten, Versichertennummern oder andere direkt identifizierende Merkmale an die KI-Modelle übergeben.
Verarbeitung: Die KI-gestützte Textverarbeitung erfolgt über einen spezialisierten Auftragsverarbeiter, der die eingesetzten Sprachmodelle in Rechenzentren innerhalb der EU (Region Frankfurt) bereitstellt und ausschließlich weisungsgebunden im Auftrag von Docviant auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO tätig wird. Die Modelle werden innerhalb der EU-Infrastruktur des Auftragsverarbeiters ausgeführt; eine Weitergabe der Inhalte an den jeweiligen Modellhersteller findet nicht statt.
Speicherdauer: KI-Prompts und Zwischenergebnisse werden nicht dauerhaft gespeichert. Die fertige Dokumentation wird bis zur Löschung durch den Nutzer gespeichert.
KI-Training: Kundendaten werden nicht für das Training von KI-Modellen verwendet. Dies ist mit den eingesetzten Auftragsverarbeitern vertraglich abgesichert.
Drittlandtransfer: Keiner. Die gesamte KI-Verarbeitung erfolgt in Rechenzentren innerhalb der EU (Region Frankfurt).
Abschnitt D: Verarbeitung von Patientendaten im Auftrag
10. Rolle als Auftragsverarbeiter
Soweit bei der Nutzung unserer KI-Dienste personenbezogene Daten von Patienten verarbeitet werden, handelt Docviant als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Der Kunde (die Praxis) bleibt Verantwortlicher im Sinne der DSGVO.
Die Rechtsgrundlage für die Verarbeitung von Patientendaten bestimmt der Kunde als Verantwortlicher. In der Regel ergibt sich diese aus dem Behandlungsvertrag (Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 630a BGB) und der ärztlichen Schweigepflicht (§ 203 StGB).
Mit jedem Kunden wird bei Nutzung der KI-Dienste ein separater Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen, der insbesondere Gegenstand und Dauer der Verarbeitung, Art und Zweck, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die technischen und organisatorischen Maßnahmen (TOMs) regelt.
11. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Bei der Nutzung unserer KI-Dokumentation können Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO verarbeitet werden. Diese unterliegen besonderem Schutz. Die Zulässigkeit der Verarbeitung richtet sich nach der Rechtsgrundlage des Verantwortlichen (der Praxis), typischerweise Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) unter den Bedingungen des Art. 9 Abs. 3 DSGVO.
Docviant trifft umfangreiche technische und organisatorische Maßnahmen zum Schutz dieser Daten:
- Pseudonymisierung vor der KI-Verarbeitung
- Verschlüsselung bei Übertragung (TLS 1.3) und Speicherung (AES-256)
- Zugriffsbeschränkungen nach dem Prinzip der minimalen Berechtigung
- Keine dauerhafte Speicherung von Audio-Daten oder KI-Prompts
- Keine Nutzung von Kundendaten für KI-Training
- Einsatz ausschließlich vertraglich gebundener Auftragsverarbeiter (AVV nach Art. 28 DSGVO) mit Zero-Retention bei der Spracherkennung
- Gesamte Datenverarbeitung in Rechenzentren innerhalb der EU (Region Frankfurt) – kein Transfer von Patientendaten in Drittländer
Abschnitt E: Allgemeines
12. Empfänger personenbezogener Daten und Auftragsverarbeiter
Zur Bereitstellung unserer Dienste setzen wir sorgfältig ausgewählte, vertraglich gebundene Auftragsverarbeiter (Art. 28 DSGVO) ein. Diese verarbeiten personenbezogene Daten ausschließlich weisungsgebunden in unserem Auftrag und ausschließlich in Rechenzentren innerhalb der EU. Es handelt sich um folgende Kategorien von Auftragsverarbeitern:
- Hosting und Betrieb der Anwendung (Rechenzentrum in der EU, Region Frankfurt)
- Spracherkennung (Sprache-zu-Text) über einen EU-Endpunkt mit vereinbarter Zero-Retention
- KI-gestützte Textverarbeitung über in der EU bereitgestellte Sprachmodelle
- Versand transaktionaler E-Mails (EU-Dienstleister)
- Reichweitenmessung (Google Analytics) – ausschließlich nach Ihrer Einwilligung, siehe Ziffer 4a
Mit allen Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Mit Ausnahme der einwilligungsbasierten Reichweitenmessung (Ziffer 4a) findet kein Transfer personenbezogener Daten in Drittländer außerhalb der EU/des EWR statt. Soweit ein Auftragsverarbeiter einem Konzern mit Muttergesellschaft außerhalb der EU angehört, ist dies zusätzlich durch EU-Standardvertragsklauseln (SCC) und ergänzende Schutzmaßnahmen abgesichert.
13. Speicherdauer (Übersicht)
| Datenkategorie | Speicherdauer |
|---|---|
| Server-Log-Dateien | 30 Tage |
| Kontaktanfragen | Bis Erledigung, max. 6 Monate |
| Kontodaten | Bis zur Account-Löschung |
| Abrechnungsdaten | Gesetzliche Aufbewahrungsfristen (bis 10 Jahre) |
| Audio-Aufnahmen | Unmittelbare Löschung nach Transkription |
| KI-generierte Dokumentation | Bis zur Löschung durch den Nutzer |
14. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Die von der KI generierten Dokumentationen und Abrechnungsvorschläge sind stets Vorschläge, die der fachlichen Prüfung und Freigabe durch den behandelnden Arzt bedürfen.
15. Ihre Rechte
Sie haben gegenüber dem Verantwortlichen folgende Rechte:
- Auskunft (Art. 15 DSGVO): Auskunft über Ihre gespeicherten Daten.
- Berichtigung (Art. 16 DSGVO): Berichtigung unrichtiger Daten.
- Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, sofern keine Aufbewahrungspflichten bestehen.
- Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung.
- Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in maschinenlesbarem Format.
- Widerspruch (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit mit Wirkung für die Zukunft.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: kontakt@docviant.de.
16. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2–4 · 40213 Düsseldorf
www.ldi.nrw.de
17. Pflicht zur Bereitstellung von Daten
Für den Besuch unserer Website ist die Bereitstellung personenbezogener Daten weder gesetzlich noch vertraglich vorgeschrieben. Die Bereitstellung der in Abschnitt B genannten Daten ist jedoch für den Vertragsschluss erforderlich. Ohne diese Angaben können wir den Vertrag nicht erfüllen und kein Nutzerkonto einrichten.
18. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.