Gesundheitsdaten verdienen den höchsten Schutz.
Keine Patientendaten verlassen Ihre Praxis. duktus arbeitet ausschließlich mit anonymisierten Texten.
TL; DR
DSGVO-konform
Art. 9, Art. 28, Art. 32 DSGVO. Verarbeitung besonderer Kategorien personenbezogener Daten.
Server in Deutschland
Hosting bei IONOS und AWS Frankfurt. Kein Drittlandtransfer. ISO 27001-zertifizierte Rechenzentren.
Automatische Anonymisierung
Der TherapyAnonymizer entfernt personenbezogene Daten vor jeder KI-Verarbeitung.
Kein KI-Training
Ihre Daten werden niemals zum Training von KI-Modellen verwendet. Nicht von uns, nicht von Dritten.
EU AI Act-konform
Transparente KI-Offenlegung gemäß den Anforderungen der EU-KI-Verordnung.
Verschlüsselung & Infrastruktur
Transportverschlüsselung
Alle Daten zwischen Ihrem Browser und unseren Servern werden mit TLS 1.3 verschlüsselt — dem aktuellen Standard für sichere Internetkommunikation. Kein Dritter kann Ihre Daten während der Übertragung mitlesen.
Speicherverschlüsselung
Gespeicherte Daten (Patientenprofile, Dokumente, Chatverläufe) werden mit AES-256 verschlüsselt — demselben Standard, den Banken und Behörden verwenden. Auch im unwahrscheinlichen Fall eines Serverzugriffs wären Ihre Daten nicht lesbar.
Unsere Datenschutzprinzipien
Datensparsamkeit
duktus speichert nur, was Sie aktiv eingeben. Keine Hintergrund-Datensammlung, kein Tracking, keine Analyse Ihres Nutzungsverhaltens für Marketing-Zwecke.
Kein Training mit Ihren Daten
Ihre Patientendaten, Chatverläufe und Dokumente werden zu keinem Zeitpunkt zum Training oder zur Verbesserung von KI-Modellen verwendet — weder von uns noch von unseren Infrastruktur-Partnern. Das ist vertraglich zugesichert.
Audit-Protokollierung
Alle sicherheitsrelevanten Aktionen (Login, Datenzugriff, Export, Löschung) werden protokolliert. Das Audit-Log ist für Sie einsehbar und unterstützt Ihre eigene Compliance-Dokumentation.
Hosting
Alle Server stehen in Deutschland (AWS Frankfurt, IONOS). ISO 27001-zertifizierte Rechenzentren. Kein Datentransfer in Drittländer. Keine US-Cloud-Abhängigkeit für die Verarbeitung Ihrer Patientendaten.
Authentifizierung
Sicherer Login über AWS Cognito mit JWT-Token. Passwörter werden gehasht gespeichert — selbst wir können Ihr Passwort nicht einsehen. Optionale Zwei-Faktor-Authentifizierung für zusätzliche Sicherheit.
Löschung und Export
Sie können Ihre Daten jederzeit vollständig exportieren (Art. 20 DSGVO) oder unwiderruflich löschen lassen (Art. 17 DSGVO). Auf Anfrage erhalten Sie eine Bestätigung der Löschung.
Transparenz
Wir erklären offen, wie unsere KI funktioniert, welche Modelle wir einsetzen und wie Daten verarbeitet werden. Keine Black Box. Wenn Sie technische Fragen haben, beantworten wir sie.
Compliance-Dokumentation
Wir wissen, dass Einrichtungen und Praxen konkrete Dokumente für ihre Datenschutz-Compliance benötigen. Alle relevanten Unterlagen stehen für Sie bereit.
Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO — generische B2B-Version, sofort unterzeichnungsbereit.
Technisch-Organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO — detaillierte Beschreibung aller Sicherheitsmaßnahmen.
Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO — durchgeführt und dokumentiert für die Verarbeitung von Gesundheitsdaten.
Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO — vollständige Übersicht aller Datenverarbeitungen.
Technische Systembeschreibung Architektur, eingesetzte KI-Modelle, Datenflüsse und Schnittstellen.
Datenschutz- und Sicherheitskonzept Risikoanalyse, Maßnahmenkatalog und Notfallprozeduren.
Benötigen Sie ein individuell angepasstes Dokument oder haben Fragen zu unserer Compliance? Wir stehen für die Zusammenarbeit mit Ihrem Datenschutzbeauftragten und für Audit-Anfragen zur Verfügung.
Externer Datenschutzbeauftragter
Für duktus ist ein externer Datenschutzbeauftragter bestellt, der die Einhaltung aller datenschutzrechtlichen Anforderungen überwacht.
Kontakt: E-Mail: dsb@duktus-pro.de
Der Datenschutzbeauftragte steht Ihnen und Ihrem DSB für Rückfragen, Audit-Anfragen und die Abstimmung von Auftragsverarbeitungsvereinbarungen zur Verfügung.
KI-Transparenz:
Unsere Modelle und Datenquellen
Welche KI-Modelle setzt duktus ein?
duktus nutzt eine Kombination aus Open-Source-Sprachmodellen, die speziell für den therapeutischen Kontext optimiert wurden. Alle Modelle laufen auf deutschen Servern (IONOS) — keine Anfragen werden an US-amerikanische KI-Anbieter weitergeleitet.
Unsere Modelle werden nicht mit Ihren Patientendaten trainiert. Das Training basiert ausschließlich auf öffentlich zugänglicher Fachliteratur, Leitlinien und kuratierter therapeutischer Wissensbasis.
Worauf basieren die Empfehlungen?
Die Wissensdatenbank von duktus wird von einem interdisziplinären Fachteam gepflegt und umfasst:
S3-Leitlinien: Unipolare Depression (DGPPN, 2022), Angststörungen (2021), Zwangsstörungen, PTBS und weitere
DGPPN-Standards: Suizidprävention (2023), Notfallpsychiatrie
Klassifikationssysteme: ICD-10-GM 2026, ICD-11, DSM-5-TR — mit Leitsymptomen, Differentialkriterien und Komorbiditätshinweisen
Psychometrische Verfahren: PHQ-9, GAD-7, BDI-II, SKID-5, C-SSRS und weitere — mit Normen, Cut-Off-Werten und Durchführungshinweisen
Therapiemanuale: Störungsspezifische Behandlungsprotokolle für VT, TP und Systemische Therapie
Aktuelle Forschung: Regelmäßige Aktualisierung auf Basis peer-reviewter Publikationen
Letzte Aktualisierung der Wissensbasis: Februar 2026
EU AI Act-Konformität
duktus ist als KI-gestütztes Unterstützungstool für medizinisches Fachpersonal konzipiert. Gemäß der EU-KI-Verordnung legen wir offen:
duktus trifft keine eigenständigen klinischen Entscheidungen
Alle KI-generierten Inhalte sind als solche erkennbar
Die letzte Entscheidung liegt immer beim behandelnden Therapeuten
Wir dokumentieren Risikobewertungen und Qualitätssicherungsmaßnahmen gemäß den Anforderungen der Verordnung
Überzeugen Sie sich selbst.
Testen Sie duktus kostenlos — mit automatischer Anonymisierung, deutscher Serverinfrastruktur und vollständiger DSGVO-Konformität.
Fragen zur Compliance?
Sprechen Sie mit uns · dsb@duktus-pro.de