Diese Erklärung beschreibt, welche personenbezogenen Daten die Peoples Doctor ApS verarbeitet, zu welchem Zweck wir sie verarbeiten, wie wir sie schützen und welche Rechte Sie haben. Die Erklärung gilt sowohl für die Nutzung der Peoples-Clinic-Plattform als auch für den Besuch von peoplesdoctor.com.
1 Wer wir sind
Peoples Clinic wird von der Peoples Doctor ApS, Teglværksvej 2, 5600 Faaborg, Dänemark (CVR 40930809) bereitgestellt.
Anfragen können gerichtet werden an:
- Allgemeiner Kontakt: compliance@peoplesdoctor.com
- Datenschutzangelegenheiten und Betroffenenrechte: privacy@peoplesdoctor.com
- Sicherheitsvorfälle: security-incident@peoplesdoctor.com
- DSB (extern): Søren Tang Hansen, sth@peoplesdoctor.com
- CEO: Michael Hein, mhe@peoplesdoctor.com
2 Rollen — Verantwortlicher und Auftragsverarbeiter
Im Hinblick auf Patientendaten, Transkriptionen und KI-generierte Zusammenfassungen ist die Klinik der Verantwortliche, und die Peoples Doctor ApS ist Auftragsverarbeiter. Wir verarbeiten diese Daten ausschließlich nach den dokumentierten Weisungen der Klinik im Rahmen eines Auftragsverarbeitungsvertrags (DSGVO Art. 28).
Im Hinblick auf Nutzerkonten, Abrechnung und technische Sicherheitslogs ist die Peoples Doctor ApS selbst Verantwortlicher.
3 Welche Daten wir verarbeiten
- Sprechstundendaten: Live-Audio während der Sprechstunde (wird unmittelbar nach der Transkription gelöscht und niemals dauerhaft gespeichert), Transkription und KI-generierte Zusammenfassung im PSOAP-Format.
- Nutzerdaten: Name, Berufsausweisnummer, E-Mail-Adresse, Telefonnummer und Login-Daten des Klinikpersonals.
- Technische Logs: IP-Adresse, Zeitstempel, Systemaktivität und Login-Versuche.
- Abrechnungsdaten: Ansprechpartner, Rechnungsadresse, Steuernummer und Zahlungshistorie.
- Website-Daten: minimal — siehe Abschnitt 16.
Wir speichern keine Patientenkennungen (Personenkennziffern, Name, Kontaktdaten) in der Sprechstunden-Datenbank. Sprechstunden werden durch eine interne Sprechstunden-ID und einen Zeitstempel identifiziert. Die Verknüpfung zum einzelnen Patienten erfolgt ausschließlich im Patientenverwaltungssystem der Klinik.
4 Zwecke und Rechtsgrundlagen
Jede Kategorie von Daten wird zu einem bestimmten Zweck auf einer bestimmten Rechtsgrundlage verarbeitet:
- Sprechstundendaten — Zweck: Bereitstellung KI-gestützter Dokumentation. Rechtsgrundlage: DSGVO Art. 9 Abs. 2 lit. h (Verarbeitung erforderlich für medizinische Diagnostik und Gesundheitsversorgung), über die Verarbeitung durch die Klinik.
- Nutzerdaten — Zweck: Einrichtung und Verwaltung von Nutzerkonten sowie Bereitstellung des Dienstes. Rechtsgrundlage: DSGVO Art. 6 Abs. 1 lit. b (Vertragserfüllung).
- Technische Logs — Zweck: Aufrechterhaltung der Betriebssicherheit, Erkennung von Missbrauch und Dokumentation von Zugriffen. Rechtsgrundlage: DSGVO Art. 6 Abs. 1 lit. f (berechtigtes Interesse). Interessenabwägung: Das Interesse am Schutz von Gesundheitsdaten vor unbefugtem Zugriff wiegt schwerer als das Interesse der Klinikbenutzer, keine Aktivitäten protokollieren zu lassen. Logs enthalten keine Patientendaten, werden maximal 185 Tage gespeichert und ausschließlich zu Sicherheitszwecken verwendet.
- Abrechnungsdaten — Zweck: Erfüllung vertraglicher Pflichten und gesetzlicher Aufbewahrungspflichten. Rechtsgrundlage: DSGVO Art. 6 Abs. 1 lit. b und lit. c in Verbindung mit dem Buchführungsgesetz (5-jährige Aufbewahrungspflicht).
5 Besondere Hinweise zu Gesundheitsdaten
Gesundheitsdaten sind eine besondere Kategorie personenbezogener Daten mit verschärftem Schutz nach DSGVO Art. 9. Die Verarbeitung erfolgt im Rahmen der §§ 40-46a des dänischen Gesundheitsgesetzes zur Schweigepflicht und Weitergabe sowie der Verordnung zur Patientenaktenführung.
Die Klinik trägt die volle Verantwortung für die Patientenakte gegenüber dem Patienten. Die Peoples Doctor ApS liefert das technische Werkzeug und unterliegt den Weisungen der Klinik. Der endgültige Text der Patientenakte und die redaktionelle Verantwortung liegen beim behandelnden Arzt.
6 KI, Automatisierung und menschliche Kontrolle
Peoples Clinic ist nach dem EU AI Act (Verordnung (EU) 2024/1689 Art. 6 Abs. 3) als Nicht-Hochrisiko-System klassifiziert — der Zweck ist administrative Unterstützung, keine klinischen Entscheidungen.
Konkrete Maßnahmen:
- Menschliche Kontrolle (AI Act Art. 14): Der Arzt prüft und genehmigt jede KI-generierte Notiz vor der Speicherung. Ein Entwurf wird niemals ohne ausdrückliche Genehmigung als finale Patientenakte gespeichert.
- Keine automatisierte Entscheidung (DSGVO Art. 22): Die Ausgabe der KI ist ein Entwurf zur Beurteilung durch den Arzt, keine Entscheidung für sich.
- Eingefrorene Modell-Baseline: Das KI-Modell läuft auf einer validierten, versionsfixierten Baseline. Ein Modellwechsel erfordert interne Validierung vor Inbetriebnahme.
- Modellauswahl und Risikobewertung werden nach AI Act Art. 53 (Pflichten für Downstream-Anbieter) dokumentiert.
7 Kein Training mit Patientendaten
Unsere KI-Modelle werden auf eigenen Servern bei unserem Hosting-Anbieter gehostet (siehe Abschnitt 9). Patientendaten werden niemals an externe KI-APIs gesendet — weder an OpenAI, Anthropic, Google noch an andere Drittanbieter.
Das Modell läuft im Inference-only-Modus. Sprechstundendaten werden nicht für Training, Fine-Tuning oder Modelloptimierung verwendet — auch nicht in anonymisierter oder aggregierter Form. Modellaktualisierungen stammen aus externen, dokumentierten Quellen und durchlaufen eine interne Validierung vor der Produktivsetzung.
8 Speicherung und Löschung
Wir speichern Daten nur so lange, wie es für den Zweck, zu dem sie erhoben wurden, erforderlich ist:
| Datenkategorie | Aufbewahrungszeit |
|---|---|
| Live-Audio | Wird bei der Transkription gelöscht (Sekunden-Lebensdauer; nicht dauerhaft gespeichert) |
| Transkription | Maximal 90 Tage, automatische Löschung |
| KI-generierte Zusammenfassung | Maximal 90 Tage, automatische Löschung |
| Nutzerkonto | Vertragsdauer + bis zu 30 Tage zur Offboarding-Abwicklung |
| Abrechnungsdaten | 5 Jahre (Buchführungsgesetz) |
| Technische Logs (Standard) | 185 Tage |
| Technische Logs (verschärfte Prüfungsanforderungen) | Bis zu 730 Tage — im Auftragsverarbeitungsvertrag festgelegt |
| Verschlüsselte Backups | In den oben genannten Zeiträumen enthalten; Löschanfragen werden über unser Löschregister auf wiederhergestellte Backups angewendet |
Die Löschung ist nach Ablauf der Aufbewahrungsfrist technisch unwiderruflich. Die Klinik kann eine frühere Löschung über die Peoples-Clinic-Plattform oder schriftlich an privacy@peoplesdoctor.com beantragen.
9 Unterauftragsverarbeiter
Wir setzen folgende Unterauftragsverarbeiter zur Erbringung des Dienstes ein:
| Partei | Rolle | Standort |
|---|---|---|
| netcup GmbH |
IaaS-Hosting (Server, Speicher, KI-Inferenz) für Sprechstundendaten, Nutzerdaten, Logs und Backups | Rechenzentrum Nürnberg, Deutschland (EU). ISO/IEC 27001 und ISO/IEC 27701 zertifiziert, jährlich verifiziert. |
| Google Ireland Ltd |
Corporate E-Mail (Google Workspace) für Kunden- und Lieferantenkorrespondenz — keine Patientendaten | EU/EWR. Eine etwaige technische Übertragung in die USA ist durch die EU-Standardvertragsklauseln und den EU-US Data Privacy Framework abgedeckt. |
Klinikkunden erhalten über Servicebenachrichtigungen eine aktualisierte Liste der Unterauftragsverarbeiter bei Änderungen, mit mindestens 30 Tagen Vorankündigung bei Ergänzungen gemäß Auftragsverarbeitungsvertrag.
10 Datenstandort
Sprechstundendaten, Transkriptionen, KI-Zusammenfassungen, Nutzerdaten, Logs und Backups werden ausschließlich auf Servern in der EU (Deutschland) gespeichert.
Wir nutzen keine von den USA kontrollierte Cloud-Infrastruktur (AWS, Azure, Google Cloud) und keine von den USA kontrollierten KI-APIs als Teil des Dienstes. Peoples Clinic ist daher nicht den Anfragen nach dem US CLOUD Act in Bezug auf Kunden- oder Patientendaten ausgesetzt.
11 Übermittlungen außerhalb EU/EWR
Für den Kerndienst erfolgen keine Übermittlungen außerhalb der EU/des EWR.
Für die Corporate-Kommunikation über Google Workspace können theoretisch Datenübermittlungen in die USA über die globale Infrastruktur von Google erfolgen. Derartige Übermittlungen sind durch die EU-Standardvertragsklauseln (SCC) in den Google Cloud Data Processing and Security Terms sowie durch den EU-US Data Privacy Framework abgedeckt, bei dem die Google LLC zertifiziert ist. Wir haben für diese Verwendung eine Transfer Impact Assessment durchgeführt.
12 Technische und organisatorische Sicherheitsmaßnahmen
Wir haben die Maßnahmen getroffen, die nach DSGVO Art. 32 im Verhältnis zum Risiko der Verarbeitung besonderer Kategorien personenbezogener Daten angemessen sind:
Verschlüsselung:
- In Transit: TLS 1.2 oder neuer für den gesamten Netzwerkverkehr.
- At Rest: LUKS-Vollverschlüsselung auf Datenbankservern.
- Backups: AES-256-Verschlüsselung auf separater EU-Speicherung.
Zugriffskontrolle:
- Rollenbasierte Zugriffskontrolle (RBAC) nach dem Prinzip der minimal erforderlichen Rechte.
- MFA/TOTP erforderlich für alle privilegierten Zugriffe.
- WireGuard-VPN erforderlich für den administrativen Zugriff auf die Produktion.
- Vier-Augen-Prinzip bei Produktionsänderungen.
Überwachung und Integrität:
- Tägliches File-Integrity-Monitoring (AIDE) auf Produktionsknoten.
- Zentral erfasste Systemlogs.
- SHA-256-Hashing kritischer Transaktionslogs (unveränderlicher Audit-Trail).
- Antivirus auf Workstations und Servern.
Organisatorisch:
- Das Personal hat grundsätzlich keinen Zugriff auf Sprechstundendaten (No-Access-Support-Modell). Zugriff in konkreten Support-Fällen erfordert die vorherige Zustimmung der Klinik und wird dokumentiert.
- Verschwiegenheitserklärungen für alle Mitarbeiter mit Zugriff auf die Produktionsumgebung.
- Regelmäßige Sicherheitsschulungen.
13 Prüfung und Zertifizierung
Unsere Kontrollen sind nach ISAE 3000 Type 1 von BDO geprüft. Der Bericht ist für Klinikkunden und Interessenten auf Anfrage unter Vertraulichkeitsvereinbarung verfügbar.
Unser Hosting-Anbieter netcup GmbH ist nach ISO/IEC 27001 und ISO/IEC 27701 zertifiziert und wird jährlich verifiziert.
14 Ihre Rechte
Sie haben folgende Rechte nach DSGVO. Auf welchem Weg Ihre Anfrage behandelt wird, hängt davon ab, ob wir Ihre Daten als Verantwortlicher (Nutzerkonto, Abrechnung, Logs) oder als Auftragsverarbeiter (Sprechstundendaten) verarbeiten:
- Auskunft (Art. 15): Bestätigung erhalten, ob wir Daten über Sie verarbeiten, sowie eine Kopie der Daten.
- Berichtigung (Art. 16): Unrichtige Daten berichtigen lassen. Hinweis: Eine Transkription ist eine objektive Aufzeichnung des Gesagten und kann inhaltlich nicht berichtigt — nur gelöscht — werden.
- Löschung (Art. 17): Daten ohne unangemessene Verzögerung löschen lassen, wenn eine der Bedingungen in Art. 17 Abs. 1 erfüllt ist.
- Einschränkung (Art. 18): Unsere Verarbeitung in bestimmten Situationen einschränken lassen.
- Datenübertragbarkeit (Art. 20): Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
- Widerspruch (Art. 21): Widerspruch gegen eine auf berechtigtem Interesse basierende Verarbeitung erheben.
- Widerruf der Einwilligung (Art. 7 Abs. 3): Sofern die Verarbeitung auf Einwilligung beruht, kann die Einwilligung mit Wirkung für die Zukunft widerrufen werden.
Wie Sie Ihre Rechte ausüben:
- Für Sprechstundendaten (wir sind Auftragsverarbeiter): Kontaktieren Sie die Klinik. Die Klinik kann Daten über die Peoples-Clinic-Plattform anhand der Sprechstunden-ID löschen oder exportieren.
- Für Nutzerkonto, Abrechnung und Logs (wir sind Verantwortlicher): Wenden Sie sich an privacy@peoplesdoctor.com.
Wir antworten innerhalb von 30 Tagen gemäß DSGVO Art. 12 Abs. 3. Komplexe Anfragen können mit begründeter Vorankündigung innerhalb dieser Frist um bis zu zwei Monate verlängert werden. Wir erheben keine Gebühr, es sei denn, die Anfrage ist offenkundig unbegründet oder exzessiv (Art. 12 Abs. 5).
15 Sicherheitsverletzungen
Wenn eine Verletzung des Schutzes personenbezogener Daten auftritt:
- Die dänische Datenschutzbehörde wird innerhalb von 72 Stunden nach Feststellung gemäß DSGVO Art. 33 benachrichtigt.
- Betroffene Kliniken (Verantwortliche) werden so schnell wie möglich benachrichtigt — internes Ziel: 48 Stunden ab Feststellung des Vorfalls.
- Betroffene Personen werden gemäß Art. 34 durch die Klinik benachrichtigt, wenn der Verstoß voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten birgt.
- Unser DSB trägt die alleinige Verantwortung für die Bewertung, ob ein Vorfall eine Verletzung im Sinne von Art. 33 darstellt.
Sicherheitsvorfälle können an security-incident@peoplesdoctor.com gemeldet werden.
16 Cookies und Website-Tracking
peoplesdoctor.com verwendet ausschließlich strikt erforderliche Cookies (Session-ID und Spracheinstellung). Wir setzen auf unserer öffentlichen Website keine Marketing-Tracker, Fingerprinting oder Cross-Site-Tracking ein.
Die Peoples-Clinic-Plattform selbst verwendet Session-Cookies zur Authentifizierung und Funktion — keine Tracking-Cookies.
17 Beschwerde bei der Datenschutzbehörde
Sie können sich bei der dänischen Datenschutzbehörde beschweren, wenn Sie der Auffassung sind, dass unsere Verarbeitung Ihrer Daten gegen die Datenschutzvorschriften verstößt:
Datatilsynet
Carl Jacobsens Vej 35
2500 Valby
Telefon: +45 33 19 32 00
dt@datatilsynet.dk
www.datatilsynet.dk
Sie müssen sich nicht zuerst an uns wenden, wir möchten Ihnen jedoch die Möglichkeit geben, eine Lösung zu finden, bevor Sie sich beschweren.
18 Änderungen dieser Erklärung
Wesentliche Änderungen werden registrierten Klinikkunden mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Geringfügige Änderungen (Klarstellungen, aktualisierte Kontaktdaten) können ohne gesonderte Vorankündigung veröffentlicht werden.
Frühere Versionen können über privacy@peoplesdoctor.com angefordert werden. Die Versionshistorie wird in unserem ISAE-3000-Dokumentationssystem gepflegt.