Datenschutzerklärung

Stand: März 2026

Diese Datenschutzerklärung gilt für die Website www.duktus-ai.de sowie die Anwendung duktus PRO (erreichbar unter test.duktus-pro.de).

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Joshua B. Quattek (Einzelunternehmer) duktus.ai Rungestraße 25 10179 Berlin, Deutschland

E-Mail: kontakt@duktus-pro.de Datenschutz-Anfragen: datenschutz@duktus-pro.de

2. Datenschutzbeauftragter

Die Bestellung eines externen Datenschutzbeauftragten ist in Vorbereitung. Bis zur formalen Bestellung erreichen Sie uns bei Datenschutzfragen unter: dsb@duktus-pro.de

3. Übersicht der Verarbeitungstätigkeiten

Wir verarbeiten personenbezogene Daten in folgenden Bereichen:

Bereich Beschreibung A. Website Marketing-Website www.duktus-ai.de B. App (duktus.ai) KI-gestützte Dokumentationsplattform für Psychotherapeut:innen

Teil A: Verarbeitungen auf der Website

A.1 Server-Logfiles

Bei jedem Aufruf unserer Website werden folgende Daten automatisch erhoben:

  • IP-Adresse (anonymisiert),

  • Datum und Uhrzeit des Zugriffs,

  • angeforderte URL,

  • Referrer-URL,

  • HTTP-Statuscode,

  • Browser-Typ und -Version,

  • Betriebssystem.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Fehleranalyse).

Speicherdauer: 14 Tage.

A.2 Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse und den Inhalt Ihrer Nachricht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Speicherdauer: 3 Jahre nach Abschluss der Kommunikation, sofern keine längeren gesetzlichen Aufbewahrungsfristen gelten.

A.3 Cookies

Technisch notwendige Cookies: Wir setzen essenzielle Cookies ein, die für den Betrieb der Website erforderlich sind. Rechtsgrundlage ist § 25 Abs. 2 TDDDG.

Analyse- und Marketing-Cookies: Werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit widerrufen.

A.4 Hosting (Squarespace)

Unsere Website wird gehostet von:

Squarespace Inc., 225 Varick Street, New York, NY 10014, USA

Drittlandübermittlung: Squarespace ist unter dem EU-US Data Privacy Framework zertifiziert. Die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO). Ergänzend bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Hinweis: Über die Website werden keine Gesundheitsdaten verarbeitet. Die Website dient ausschließlich der Information und Kontaktaufnahme.

Teil B: Verarbeitungen in der App (duktus.ai)

B.1 Beschreibung der Anwendung

duktus.ai ist eine KI-gestützte Dokumentationsplattform für approbierte Psychotherapeut:innen und Psychotherapeut:innen in Ausbildung (PiA). Die Anwendung unterstützt bei:

  • Erstellung von Sitzungsprotokollen und Verlaufsdokumentationen,

  • Therapieplanung und Antragstellung (z. B. PTV3),

  • Durchführung standardisierter Assessments (PHQ-9, GAD-7, C-SSRS, PCL-5, ISI, AUDIT-C, ORS, SRS),

  • kontextbezogener Dokumentationsunterstützung auf Basis von Sitzungsinhalten,

  • Sprachtranskription von Sitzungsaufnahmen.

Wichtiger Hinweis:duktus.ai ist ein Dokumentationsassistenzsystem. Es ist kein Medizinprodukt im Sinne der Verordnung (EU) 2017/745 (MDR). Es stellt keine medizinischen Diagnosen, gibt keine Behandlungsempfehlungen und ersetzt nicht die eigenständige fachliche Beurteilung durch die Therapeut:innen. Alle KI-generierten Inhalte sind Vorschläge, die vor Verwendung geprüft werden müssen (Human-in-the-Loop-Prinzip).

B.2 Berufsgeheimnisschutz (§ 203 StGB)

Psychotherapeut:innen sind Berufsgeheimnisträger:innen im Sinne des § 203 Abs. 1 Nr. 1 StGB. Der Anbieter handelt als sonstige mitwirkende Person gemäß § 203 Abs. 3 S. 2 StGB und hat eine entsprechende Verschwiegenheitsverpflichtung abgegeben. Der Anbieter unterliegt gemäß § 203 Abs. 4 S. 1 StGB der gleichen Strafandrohung wie die Berufsgeheimnisträger:in. Diese Pflicht besteht zeitlich unbegrenzt, auch über die Vertragsbeendigung hinaus.

B.3 Kategorien verarbeiteter Daten

B.3.1 Nutzerdaten (Therapeut:innen)

Datenart Zweck Rechtsgrundlage Name, E-Mail Kontoerstellung, Kommunikation Art. 6 Abs. 1 lit. b DSGVO Berufsqualifikation Zugangsberechtigung Art. 6 Abs. 1 lit. b DSGVO Nutzungspräferenzen Personalisierung Art. 6 Abs. 1 lit. b DSGVO Login-Daten Authentifizierung Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer: Bis zur Kündigung des Vertrags, danach 3 Jahre (gesetzliche Verjährungsfrist).

B.3.2 Patientendaten (Gesundheitsdaten gemäß Art. 9 DSGVO)

Als Therapeut:in sind Sie datenschutzrechtlich Verantwortliche:r für die Patientendaten, die Sie in duktus.ai eingeben. Wir verarbeiten diese Daten in Ihrem Auftrag (Auftragsverarbeitung gemäß Art. 28 DSGVO).

Datenart Beschreibung Speicherdauer Pseudonymisierte Patientenkennung Zuordnung ohne Klarnamen 10 Jahre Diagnosen (ICD-10/ICD-11) Klinische Diagnosen 10 Jahre Therapienotizen Sitzungsprotokolle, Verlaufsdokumentation 10 Jahre Assessment-Ergebnisse PHQ-9, GAD-7, C-SSRS, PCL-5, ISI, AUDIT-C, ORS, SRS 10 Jahre KI-Konversationen Dokumentationsunterstützung 10 Jahre Memory-Einträge Klinische Fakten, Therapieziele, Fortschritt 10 Jahre Sprachtranskripte Transkribierte Sitzungsaufnahmen 10 Jahre

Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO (Verarbeitung für Zwecke der Gesundheitsversorgung) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: 10 Jahre nach Behandlungsende gemäß § 630f Abs. 3 BGB (therapeutische Dokumentationspflicht). Die Löschung erfolgt automatisch nach Ablauf der Frist, sofern die Nutzer:innen nicht vorab eine Löschung beantragen.

Empfehlung: Geben Sie Patientendaten nur in pseudonymisierter Form ein. duktus.ai stellt hierfür einen automatischen Anonymisierungsmechanismus bereit.

B.4 KI-Verarbeitung

Die KI-Funktionen von duktus PRO basieren auf Large Language Models, die über AWS Bedrock bereitgestellt werden.

Datenschutzgarantien:

  • Serverstandort Deutschland: Die gesamte KI-Verarbeitung erfolgt ausschließlich auf Servern in Frankfurt am Main (AWS eu-central-1). Es findet keine Übermittlung von Therapiedaten an Server außerhalb der EU statt.

  • Keine Trainingsnutzung: Ihre Eingaben und die generierten Inhalte werden nicht zum Training von KI-Modellen verwendet. Das Training-Opt-out ist bei AWS Bedrock aktiviert und dokumentiert.

  • Kontextgedächtnis: Die Plattform verwendet ein lokales Embedding-System (FAISS mit MiniLM-L12-v2) für kontextbezogene Dokumentationsvorschläge. Die Embeddings werden ausschließlich auf der verschlüsselten Plattform-Infrastruktur in Frankfurt gespeichert und nicht an Dritte weitergegeben.

B.5 Auftragsverarbeiter und Empfänger

Wir setzen folgende Auftragsverarbeiter ein:

Dienstleister Zweck Standort Rechtsgrundlage Amazon Web Services EMEA SARL Cloud-Infrastruktur (Datenbank, Server, Authentifizierung) Frankfurt am Main (eu-central-1) Art. 28 DSGVO + AVV Amazon Web Services, Inc. KI-Modellbereitstellung (AWS Bedrock) Frankfurt am Main (eu-central-1) Art. 28 DSGVO + AVV

Zu AWS: Alle Therapie- und Gesundheitsdaten werden ausschließlich auf Servern in Frankfurt am Main verarbeitet und gespeichert. Es findet keine Übermittlung von Gesundheitsdaten in Drittländer statt. AWS verfügt über ein BSI C5-Testat für die eingesetzten Dienste.

Hinweis: Weitere Auftragsverarbeiter (z. B. für Zahlungsabwicklung) werden bei Bedarf ergänzt und in dieser Datenschutzerklärung dokumentiert. Es werden in keinem Fall Gesundheitsdaten an Zahlungsdienstleister übermittelt.

B.6 Technische und organisatorische Maßnahmen

Wir schützen Ihre Daten durch:

  • Verschlüsselung: AES-256 für gespeicherte Daten, TLS 1.3 für Datenübertragung,

  • Authentifizierung: OAuth 2.0 über Amazon Cognito,

  • Zugriffskontrolle: Rollenbasierte Berechtigungen, strikte Mandantentrennung (Multi-Tenant-Isolation),

  • Pseudonymisierung: Automatische Pseudonymisierung von Patientendaten vor der KI-Verarbeitung,

  • Monitoring: Kontinuierliche Sicherheitsüberwachung mit Alarmierung,

  • Audit-Logging: Protokollierung aller Datenzugriffe,

  • Secrets-Management: Regelmäßige Rotation aller kryptografischen Schlüssel und Zugangsdaten.

Details zu unseren technisch-organisatorischen Maßnahmen (TOM) sind im Auftragsverarbeitungsvertrag (AVV) dokumentiert und werden auf Anfrage bereitgestellt.

B.7 Auftragsverarbeitung für Therapeut:innen

Als Therapeut:in, die App nutzt, sind Sie datenschutzrechtlich Verantwortliche:r für die Patientendaten. Wir verarbeiten diese Daten in Ihrem Auftrag.

Der Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist Bestandteil des Nutzungsvertrags und wird im Rahmen der Registrierung abgeschlossen. Der AVV enthält eine Ergänzung zum Schutz von Berufsgeheimnissen gemäß § 203 StGB.

4. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Recht Artikel Beschreibung Auskunft Art. 15 DSGVO Sie können Auskunft über Ihre gespeicherten Daten verlangen. Berichtigung Art. 16 DSGVO Sie können die Berichtigung unrichtiger Daten verlangen. Löschung Art. 17 DSGVO Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen. Einschränkung Art. 18 DSGVO Sie können die Einschränkung der Verarbeitung verlangen. Datenübertragbarkeit Art. 20 DSGVO Sie können Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON) erhalten. Widerspruch Art. 21 DSGVO Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen. Widerruf Art. 7 Abs. 3 DSGVO Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

Ausübung Ihrer Rechte: Senden Sie eine E-Mail an dsb@duktus-pro.de. Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

Beschwerderecht:
Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).
Zuständig ist: Berliner Beauftragte für Datenschutz und Informationsfreiheit Alt-Moabit 59–61, 10555 Berlin https://www.datenschutz-berlin.de

5. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-Funktionen von duktus.ai generieren ausschließlich Vorschläge, die von den Therapeut:innen geprüft und angepasst werden müssen (Human-in-the-Loop-Prinzip). Die finale Entscheidung trifft immer der Mensch.

6. Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne bestimmte Angaben (z. B. E-Mail-Adresse) können wir jedoch keinen Vertrag mit Ihnen abschließen und die Plattform-Funktionen nicht bereitstellen.

7. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten gemäß Art. 32 DSGVO zu schützen:

  • Verschlüsselung aller Datenübertragungen (TLS 1.3),

  • Verschlüsselung gespeicherter Daten (AES-256),

  • Zugriffskontrollen und Berechtigungsmanagement,

  • Strikte Mandantentrennung zwischen Nutzer:innen,

  • Kontinuierliches Monitoring und Alarmierung,

  • Regelmäßige Rotation von Schlüsseln und Zugangsdaten.

8. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung bei Änderungen unserer Datenverarbeitungspraktiken oder der Rechtslage. Die jeweils aktuelle Version finden Sie unter:

Bei wesentlichen Änderungen informieren wir registrierte Nutzer:innen per E-Mail.

9. Kontakt

Bei Fragen zum Datenschutz erreichen Sie uns unter:

E-Mail: dsb@duktus-pro.de

Stand: März 2026