Datenschutzerklärung

Stand: Dezember 2025

Diese Datenschutzerklärung gilt für die Website www.duktus-ai.de sowie die Anwendung DUKTUS PRO (erreichbar unter app.duktus-ai.de).

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

duktus.ai Josh Quattek
Rungestraße 25
10179 Berlin, Deutschland

E-Mail: duktus-ai@posteo.de
Datenschutz-Anfragen: duktus.datenschutz@posteo.de

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist derzeit nicht bestellt. Bei Fragen zum Datenschutz wenden Sie sich bitte an: duktus.datenschutz@posteo.de

3. Übersicht der Verarbeitungstätigkeiten

Wir verarbeiten personenbezogene Daten in folgenden Bereichen:

Bereich Beschreibung A. Website Marketing-Website www.duktus-ai.de B. App (DUKTUS PRO) KI-gestützte Dokumentationsplattform für Psychotherapeut:innen C. Zahlungsabwicklung Abonnement-Verwaltung über Stripe

Teil A: Verarbeitungen auf der Website

A.1 Server-Logfiles

Bei jedem Aufruf unserer Website werden folgende Daten automatisch erhoben:

  • IP-Adresse (anonymisiert)

  • Datum und Uhrzeit des Zugriffs

  • Angeforderte URL

  • Referrer-URL

  • HTTP-Statuscode

  • Browser-Typ und -Version

  • Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Fehleranalyse)

Speicherdauer: 14 Tage

A.2 Kontaktaufnahme

Wenn Sie uns per E-Mail oder Kontaktformular kontaktieren, verarbeiten wir:

  • Ihren Namen

  • Ihre E-Mail-Adresse

  • Den Inhalt Ihrer Nachricht

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

Speicherdauer: 3 Jahre nach Abschluss der Kommunikation, sofern keine längeren gesetzlichen Aufbewahrungsfristen gelten.

A.3 Cookies

Technisch notwendige Cookies: Wir setzen essenzielle Cookies ein, die für den Betrieb der Website erforderlich sind. Rechtsgrundlage ist § 25 Abs. 2 TDDDG.

Analyse- und Marketing-Cookies: Werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit über das Cookie-Banner widerrufen.

A.4 Hosting (Squarespace)

Unsere Website wird gehostet von:

Squarespace Inc. 225 Varick Street New York, NY 10014, USA

Drittlandübermittlung: Squarespace ist unter dem EU-US Data Privacy Framework zertifiziert. Die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO). Ergänzend bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Teil B: Verarbeitungen in der App (DUKTUS PRO)

B.1 Beschreibung der Anwendung

DUKTUS PRO ist eine KI-gestützte Dokumentationsplattform für approbierte Psychotherapeut:innen. Die Anwendung unterstützt bei:

  • Erstellung von Sitzungsprotokollen und Verlaufsdokumentationen

  • Therapieplanung und Antragsstellung (z.B. PTV3)

  • Durchführung standardisierter Assessments (PHQ-9, GAD-7, C-SSRS, ORS, SRS)

  • Evidenzbasierte Interventionsvorschläge

Wichtiger Hinweis: DUKTUS PRO ist ein Assistenzsystem. Es stellt keine medizinischen Diagnosen und ersetzt nicht die eigenständige fachliche Beurteilung durch die Therapeut:innen. Alle KI-generierten Inhalte sind Vorschläge, die vor Verwendung geprüft werden müssen (Human-in-the-Loop-Prinzip).

B.2 Kategorien verarbeiteter Daten

B.2.1 Nutzerdaten (Therapeut:innen)

Datenart Zweck Rechtsgrundlage Name, E-Mail Kontoerstellung, Kommunikation Art. 6 Abs. 1 lit. b DSGVO Berufsqualifikation Zugangsberechtigung Art. 6 Abs. 1 lit. b DSGVO Nutzungspräferenzen Personalisierung Art. 6 Abs. 1 lit. b DSGVO Login-Daten Authentifizierung Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer: Bis zur Kündigung des Vertrags, danach 3 Jahre (gesetzliche Verjährungsfrist).

B.2.2 Patientendaten (Gesundheitsdaten gemäß Art. 9 DSGVO)

Als Therapeut:in sind Sie datenschutzrechtlich verantwortlich für die Patientendaten, die Sie in DUKTUS PRO eingeben. Wir verarbeiten diese Daten in Ihrem Auftrag (Auftragsverarbeitung gemäß Art. 28 DSGVO).

Datenart Beschreibung Speicherdauer Pseudonymisierte Patientenkennung Zuordnung ohne Klarnamen 10 Jahre Diagnosen (ICD-10) Klinische Diagnosen 10 Jahre Therapienotizen Sitzungsprotokolle, Verlaufsdokumentation 10 Jahre Assessment-Ergebnisse PHQ-9, GAD-7, C-SSRS, ORS, SRS Scores 10 Jahre KI-Konversationen Dokumentationsunterstützung 10 Jahre Memory-Einträge Klinische Fakten, Therapieziele, Fortschritt 10 Jahre

Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO (Verarbeitung für Zwecke der Gesundheitsversorgung) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: 10 Jahre nach Behandlungsende gemäß § 630f Abs. 3 BGB (ärztliche Dokumentationspflicht).

Empfehlung: Geben Sie Patientendaten nur in pseudonymisierter Form ein. DUKTUS PRO stellt hierfür einen automatischen Anonymisierungsmechanismus bereit.

B.3 KI-Verarbeitung

Die KI-Funktionen von DUKTUS PRO basieren auf Large Language Models. Ihre Eingaben werden zur Generierung von Vorschlägen verarbeitet.

Wichtige Datenschutzgarantien:

  • Serverstandort Deutschland: Die KI-Verarbeitung erfolgt ausschließlich auf deutschen Servern (IONOS). Es findet keine Übermittlung von Therapiedaten an Server außerhalb der EU statt.

  • Keine Trainingsnutzung: Ihre Daten werden nicht zum Training von KI-Modellen verwendet.

  • Anonymisierung: Vor der KI-Verarbeitung werden personenbezogene Daten automatisch anonymisiert.

B.4 Auftragsverarbeiter und Empfänger

Wir setzen folgende Auftragsverarbeiter ein:

Dienstleister Zweck Standort Rechtsgrundlage Amazon Web Services (AWS) Cloud-Infrastruktur (Datenbank, Server) Frankfurt, Deutschland (eu-central-1) Art. 28 DSGVO + AVV IONOS SE KI-API-Verarbeitung Deutschland Art. 28 DSGVO + AVV Stripe Inc. Zahlungsabwicklung USA Art. 28 DSGVO + SCCs

Zu AWS und IONOS: Alle Therapie- und Gesundheitsdaten werden ausschließlich auf Servern in Deutschland bzw. der EU verarbeitet und gespeichert. Es findet keine Übermittlung von Gesundheitsdaten in Drittländer statt.

Zu Stripe: Für die Zahlungsabwicklung werden ausschließlich E-Mail-Adresse und Zahlungsinformationen an Stripe übermittelt. Keine Gesundheitsdaten werden an Stripe übermittelt. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert; zusätzlich bestehen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

B.5 Technische und organisatorische Maßnahmen

Wir schützen Ihre Daten durch:

  • Verschlüsselung: AES-128 für gespeicherte Daten, TLS 1.3 für Datenübertragung

  • Authentifizierung: OAuth 2.0 mit Multi-Faktor-Authentifizierung

  • Zugriffskontrolle: Rollenbasierte Berechtigungen, Multi-Tenant-Isolation

  • Anonymisierung: Automatische Pseudonymisierung von Patientendaten

  • Monitoring: Kontinuierliche Sicherheitsüberwachung mit Alarmierung

  • Audit-Logging: Protokollierung aller Datenzugriffe

Details zu unseren technisch-organisatorischen Maßnahmen (TOM) stellen wir auf Anfrage bereit.

Teil C: Zahlungsabwicklung

C.1 Stripe

Für die Abwicklung von Zahlungen und die Verwaltung von Abonnements nutzen wir Stripe:

Stripe Payments Europe, Ltd. 1 Grand Canal Street Lower, Grand Canal Dock Dublin, D02 H210, Irland

Stripe Inc. 510 Townsend Street San Francisco, CA 94103, USA

Verarbeitete Daten:

  • E-Mail-Adresse

  • Zahlungsinformationen (Kreditkarte, SEPA-Lastschrift)

  • Transaktionshistorie

  • Abonnement-Status

Keine Gesundheitsdaten werden an Stripe übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Drittlandübermittlung: Stripe ist unter dem EU-US Data Privacy Framework zertifiziert (Art. 45 DSGVO). Zusätzlich bestehen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Speicherdauer: 10 Jahre nach Vertragsende (§ 147 AO).

Weitere Informationen: https://stripe.com/de/privacy

4. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Recht Artikel Beschreibung Auskunft Art. 15 DSGVO Sie können Auskunft über Ihre gespeicherten Daten verlangen. Berichtigung Art. 16 DSGVO Sie können die Berichtigung unrichtiger Daten verlangen. Löschung Art. 17 DSGVO Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen. Einschränkung Art. 18 DSGVO Sie können die Einschränkung der Verarbeitung verlangen. Datenübertragbarkeit Art. 20 DSGVO Sie können Ihre Daten in einem maschinenlesbaren Format erhalten. Widerspruch Art. 21 DSGVO Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen. Widerruf Art. 7 Abs. 3 DSGVO Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

Ausübung Ihrer Rechte: Senden Sie eine E-Mail an duktus.datenschutz@posteo.de

Beschwerderecht: Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für uns ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit Alt-Moabit 59-61 10555 Berlin https://www.datenschutz-berlin.de

5. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-Funktionen von DUKTUS PRO generieren ausschließlich Vorschläge, die von den Therapeut:innen geprüft und angepasst werden müssen (Human-in-the-Loop-Prinzip). Die finale Entscheidung trifft immer der Mensch.

6. Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne bestimmte Angaben (z.B. E-Mail-Adresse) können wir jedoch:

  • Ihre Anfragen nicht beantworten

  • Keinen Vertrag mit Ihnen abschließen

  • Die App-Funktionen nicht bereitstellen

7. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten gemäß Art. 32 DSGVO zu schützen:

  • Verschlüsselung aller Datenübertragungen (TLS 1.3)

  • Verschlüsselung gespeicherter Daten (AES-128)

  • Regelmäßige Sicherheitsaudits

  • Zugriffskontrollen und Berechtigungsmanagement

  • Kontinuierliches Monitoring und Alarmierung

8. Auftragsverarbeitung für Therapeut:innen

Als Therapeut:in, der/die DUKTUS PRO nutzt, sind Sie datenschutzrechtlich Verantwortliche:r für die Patientendaten. Wir verarbeiten diese Daten in Ihrem Auftrag.

Auf Anfrage schließen wir mit Ihnen einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab. Bitte kontaktieren Sie uns unter duktus.datenschutz@posteo.de

9. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung bei Änderungen unserer Datenverarbeitungspraktiken oder der Rechtslage. Die jeweils aktuelle Version finden Sie unter:

  • Website: www.duktus-ai.de/datenschutz

  • App: app.duktus-ai.de/datenschutz

Bei wesentlichen Änderungen informieren wir registrierte Nutzer:innen per E-Mail.

10. Kontakt

Bei Fragen zum Datenschutz erreichen Sie uns unter:

E-Mail: duktus.datenschutz@posteo.de

Stand: Dezember 2025