Zum Hauptinhalt springen
clarahealth

Datenschutzerklärung (App)

Datenschutzerklärung für die Clara Desktop-Anwendung

Clara Desktop-Anwendung


A. Überblick und Verantwortlichkeit

1. Einleitung

Der respektvolle und sichere Umgang mit Ihren Daten – insbesondere sensibler Patientendaten – hat für uns höchste Priorität. Diese Datenschutzerklärung beschreibt, wie die Clara Desktop-Anwendung personenbezogene Daten verarbeitet.

Unser Ansatz ist „Local-First": Das bedeutet, dass Patientendaten primär lokal auf Ihrem Endgerät verarbeitet und gespeichert werden. Eine Übermittlung an Server erfolgt nur dort, wo es für die KI-Funktionalitäten (Transkription/Analyse) zwingend notwendig ist – und auch dort unter strengsten Sicherheitsstandards (Enterprise-Verschlüsselung, kein KI-Training).

Wir halten uns dabei streng an die Vorgaben der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie der BSI-Standards für den medizinischen Bereich.

2. Verantwortliche Stelle

Für die Datenverarbeitung verantwortlich ist:

Adjuva AI GmbH

Vertreten durch:

  • Dr. Dominik Pelzer
  • Philipp Steinmetz

Friedrichstraße 13 70174 Stuttgart Deutschland

Datenschutzbeauftragter: datenschutz@clarahealth.de


B. Technische Bereitstellung der Software

1. Logfiles und technische Metadaten

Bei der Nutzung der Software kommuniziert diese mit unseren Lizenz- und Update-Servern. Hierbei werden technisch notwendige Daten verarbeitet, z. B. IP-Adresse, Zeitstempel, Anzahl und Zeitpunkt der Anmeldungen (Login- & Session-Metriken), Versionsnummer der Software und Betriebssystem-Informationen.

  • Zweck: Lizenzprüfung, Bereitstellung von Updates, Sicherheit des Systems.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).
  • Speicherdauer: Technische Logs werden nach maximal 365 Tagen gelöscht, sofern keine sicherheitsrelevanten Auffälligkeiten bestehen.

2. Hosting (Infrastruktur)

Unsere Backend-Dienste werden bei Microsoft Azure gehostet.

  • Standort: Europa (EU-Rechenzentren).
  • Datenschutz: Microsoft agiert als weisungsgebundener Auftragsverarbeiter (Art. 28 DSGVO).

C. Kernfunktionen: KI-gestützte Dokumentation (Verarbeitung von Gesundheitsdaten)

Die Kernfunktion von Clara ist die Unterstützung bei der Dokumentation durch Künstliche Intelligenz. Hierbei werden Audiodaten und Texte verarbeitet, die besondere Kategorien personenbezogener Daten (Gesundheitsdaten, Art. 9 DSGVO) enthalten können.

1. Transkription, Diktatoptimierung und Analyse (Cloudbasierte KI-Dienste)

Für Transkription, Diktatoptimierung, Analyse und Berichtserstellung nutzen wir cloudbasierte Spracherkennungs-, Cloud- und KI-Dienste der im AVV benannten Anbieter, insbesondere Dienste von Microsoft und Google. Die jeweils eingesetzten Dienste und Anbieter sind in der Unterauftragsverarbeiterliste des AVV benannt.

Sicherheitsgarantien:

  • Serverstandort: Patientenbezogene Audio- und Textinhalte werden für Transkription, Analyse, Diktatoptimierung und Berichtserstellung in EU-Regionen bzw. EU-Standorten der im AVV benannten Anbieter verarbeitet. Technische Betriebs-, Zahlungs-, Support-, Fehleranalyse- oder Webanalysedaten können abweichenden Verarbeitungsorten unterliegen, soweit dies in dieser Datenschutzerklärung oder im AVV offengelegt ist.
  • Kein Training: Die übermittelten Audio- und Textinhalte werden nicht zum Training, Retraining oder zur Verbesserung der Basis-KI-Modelle verwendet.
  • Keine dauerhafte Inhaltspeicherung: Die übermittelten Audio- und Textinhalte werden nach Abschluss der jeweiligen Verarbeitung nicht dauerhaft gespeichert. Audioaufnahmen werden zur Transkription an die im AVV benannten Spracherkennungsdienste in einer EU-Region übermittelt und dort nicht dauerhaft gespeichert; eine dauerhafte Speicherung von Audioaufnahmen auf Servern von Adjuva AI GmbH findet ebenfalls nicht statt. Textinhalte werden zur Analyse, Diktatoptimierung und Berichtserstellung nur an die im AVV benannten KI-Dienste übermittelt und nicht für Modelltraining oder eine dauerhafte Inhaltsablage verwendet. Davon ausgenommen sind technische Verbrauchskennzahlen und Protokolldaten, die getrennt von den Inhalten verarbeitet werden.

2. Lokale Speicherung

Die fertigen Transkripte, Berichte und Patientendaten werden lokal auf Ihrem Endgerät gespeichert (Local-First). Wir als Hersteller haben keinen Zugriff auf diese lokal gespeicherten Inhalte.

3. Rechtsgrundlagen

Für die Verarbeitung von Gesundheitsdaten (Transkription, Analyse):

Soweit wir Gesundheitsdaten verarbeiten, handeln wir ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Weisung des Kunden. Die Rechtsgrundlage für die Verarbeitung von Patientendaten liegt allein beim Kunden (z.B. Behandlungsvertrag, Einwilligung der Patienten). Wir verarbeiten diese Daten nur weisungsgebunden zur Erbringung der vereinbarten Dienstleistung.

Für unsere eigenen Verarbeitungen (technische Daten):

Für die Verarbeitung nicht-medizinischer Daten (z.B. Lizenzprüfung, technische Logfiles, Zahlungsabwicklung) sind wir selbst verantwortlich. Rechtsgrundlagen hierfür sind:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung zur Bereitstellung und Lizenzierung des Tools)
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an sicherer und fehlerfreier Bereitstellung)

D. Vertragsabwicklung & Services

1. Abonnement-Verwaltung

Zur Verwaltung Ihrer Lizenzen verarbeiten wir Ihre Stammdaten (E-Mail, Name, Abo-Typ) sowie Bestelldaten.

Nutzungsanalyse & Quotas:

Zur Sicherstellung der vertraglichen Nutzungsgrenzen und zur Sicherstellung eines wirtschaftlichen Betriebs der Anwendung (z. B. Fair Use Policy) speichern wir Metadaten über den Umfang Ihrer Nutzung. Dazu gehören die Anzahl der Logins, die Sitzungsanzahl sowie die Anzahl der verbrauchten KI-Tokens. Rechtsgrundlage dafür sind Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an Kostenkontrolle und Missbrauchsprävention).

  • Zahlungsdienstleister: Die Abwicklung erfolgt über Stripe Payments Europe Ltd. (Irland). Wir selbst speichern keine vollständigen Kreditkartendaten, sondern nur Referenznummern (Tokens).
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Speicherdauer: Steuerrechtlich relevante Belege werden gemäß § 147 AO für 10 Jahre aufbewahrt.

2. Fehleranalyse und Stabilitätsüberwachung

Zur Überwachung der Stabilität der Applikation und zur Behebung von Abstürzen können spezialisierte Fehleranalyse-Dienste eingesetzt werden, insbesondere Sentry (Functional Software, Inc., USA). Soweit ein solcher Dienst eingesetzt wird, werden im Fehlerfall technische Stack-Traces und vergleichbare technische Diagnosedaten verarbeitet.

  • Datenschutz: Der jeweilige Dienst wird so konfiguriert, dass IP-Adressen nach Möglichkeit maskiert werden und möglichst keine personenbezogenen Daten in den Fehlerberichten enthalten sind.
  • Drittlandtransfer: Soweit eine Übermittlung in die USA erfolgt, erfolgt diese auf Grundlage geeigneter Garantien nach Kapitel V DSGVO, insbesondere eines Angemessenheitsbeschlusses wie des EU-US Data Privacy Frameworks oder Standardvertragsklauseln. Zusätzlich besteht vor Einsatz ein Vertrag zur Auftragsverarbeitung.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an fehlerfreier Software).

3. Produktverbesserung und Nutzungsanalyse

Zur Optimierung der Benutzerfreundlichkeit und Arbeitsabläufe können spezialisierte Produktanalyse-Dienste eingesetzt werden, insbesondere PostHog (PostHog Inc.). Soweit ein solcher Dienst eingesetzt wird, werden technische Interaktionsdaten (z. B. Klickpfade, genutzte Features) pseudonymisiert ausgewertet.

Es werden dabei keinerlei Patientendaten (Patientennamen, Transkripte, Dokumentationen, Audio usw.) übermittelt.

  • Speicherort: Die Verarbeitung erfolgt ausschließlich auf Servern in der EU.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an bedarfsgerechter Gestaltung und Fehlerbehebung der Software).

4. Nutzer-Feedback

Wenn Sie über die Anwendung Feedback einreichen, erfassen wir technische Kontextdaten zum Zeitpunkt der Übermittlung (z. B. verwendetes Template, genutztes KI-Modell, Transkriptionsmethode). Es werden keine Patienten- oder personenbezogenen Daten übermittelt. Diese Daten nutzen wir zur Qualitätssicherung, Weiterentwicklung und Optimierung der Software.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an Produktverbesserung und Optimierung der eingesetzten KI-Modelle).

E. Allgemeine Informationen zur Datenverarbeitung

1. Speicherdauer & Löschung

Wir löschen personenbezogene Daten, sobald der Zweck der Verarbeitung entfällt (z. B. durch Vertragsende), Sie Ihre Einwilligung widerrufen oder wirksam Widerspruch einlegen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

2. Weitergabe an Dritte

Eine Weitergabe Ihrer Daten an Dritte findet nur statt, wenn dies zur Vertragserfüllung notwendig ist (z. B. Hosting, Transkription, Analyse und Berichtserstellung über die im AVV benannten Microsoft- und Google-Dienste, Zahlungsabwicklung über Stripe) oder wir gesetzlich dazu verpflichtet sind. Alle Dienstleister sind vertraglich streng gebunden (Auftragsverarbeitung).

Bei Datentransfers in Länder außerhalb der EU/EWR (Drittstaaten) stellen wir das Schutzniveau sicher, etwa durch Angemessenheitsbeschlüsse der EU-Kommission oder Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO.

3. Keine automatisierte Entscheidungsfindung

Ein Profiling oder eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt.

4. Bereitstellungspflicht

Die Nutzung der Kernfunktionen unserer Software ist ohne die Bereitstellung der oben genannten Daten (insb. unter Abschnitt C) technisch nicht möglich.


F. Ihre Rechte als Betroffener

Sie haben jederzeit das Recht auf:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO).
  • Berichtigung falscher Daten (Art. 16 DSGVO).
  • Löschung Ihrer Daten ("Recht auf Vergessenwerden", Art. 17 DSGVO).
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO).
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

WIDERSPRUCHSRECHT (ART. 21 DSGVO)

SOFERN WIR DATEN AUF BASIS BERECHTIGTER INTERESSEN (ART. 6 ABS. 1 LIT. F DSGVO) VERARBEITEN, HABEN SIE DAS RECHT, JEDERZEIT WIDERSPRUCH GEGEN DIESE VERARBEITUNG EINZULEGEN, SOFERN SICH AUS IHRER BESONDEREN SITUATION GRÜNDE HIERFÜR ERGEBEN.

Beschwerderecht

Beschwerden können Sie an die zuständige Aufsichtsbehörde richten.

Kontakt

Für die Geltendmachung Ihrer Rechte kontaktieren Sie uns bitte unter: datenschutz@clarahealth.de


G. Aktualisierung

Wir passen diese Hinweise bei rechtlichen oder technischen Änderungen an. Die jeweils gültige Fassung ist unter clarahealth.de/datenschutz abrufbar.