Datenschutzerklärung
Informationen zur Datenverarbeitung gemäß Art. 13/14 DSGVO
1. Verantwortlicher
| Unternehmen | duktus AI |
| Vertreten durch | Joshua Quattek |
| Kontakt | kontakt@duktus-pro.de |
| Datenschutzbeauftragter | dsb@duktus-pro.de |
2. Verarbeitung über die API
Die DUKTUS PRO API verarbeitet Daten ausschließlich im Auftrag des integrierenden Softwareanbieters (B2B-Partner). Die Rechtsgrundlage ist Art. 28 DSGVO (Auftragsverarbeitung).
Verarbeitete Daten pro Endpoint
| Endpoint | Daten | Verarbeitung |
|---|---|---|
/chat | Klinischer Freitext | Automatische PII-Anonymisierung vor KI-Verarbeitung |
/voice/transcribe | Audio-Dateien | Transkription, optionale PII-Anonymisierung |
/anonymize | Freitext mit PII | Erkennung und reversible Ersetzung personenbezogener Daten |
/assessments/score | Numerische Antworten | Scoring ohne Personenbezug |
/evidence/* | Suchanfragen | Abfrage klinischer Leitlinien (kein Personenbezug) |
/generate/document | Klinischer Kontext | Dokumentenerstellung mit KI |
/text/improve | Klinischer Kurztext | Sprachliche Aufwertung mit KI |
3. Automatische Anonymisierung
[PERSON_1], [DATUM_1] etc.). Die Originalwerte werden in der Antwort wiederhergestellt.
| Datentyp | Beispiel | Anonymisiert zu |
|---|---|---|
| Namen | Maria Müller | [PERSON_1] |
| Adressen | Berliner Str. 123 | [ADRESSE_1] |
| Telefonnummern | 030-12345678 | [TELEFON_1] |
| E-Mail-Adressen | maria@email.de | [EMAIL_1] |
| Versichertennummern | A123456789 | [VERSICHERT_1] |
| Geburtsdaten | 15.03.1985 | [DATUM_1] |
Klinische Fachbegriffe (ICD-10-Codes, Testscores, Therapieverfahren) bleiben vollständig erhalten.
4. Technische Infrastruktur
| Aspekt | Details | DSGVO |
|---|---|---|
| Hosting | AWS EU (Frankfurt, eu-central-1) | EU |
| KI-Modell | AWS Bedrock (Frankfurt) — kein Training mit Kundendaten | EU |
| Datenbank | PostgreSQL (AWS RDS Frankfurt) | EU |
| Voice (private) | EU-Transkriptionsservice (Frankfurt) | EU |
| Voice (fast) | Externer Dienst — Daten verlassen die EU | Nicht für PII |
| Verschlüsselung | AES-128-CBC (Fernet), HMAC-SHA256, TLS 1.2+ | Art. 32 |
5. Aufbewahrungsfristen
| Datentyp | Frist | Rechtsgrundlage |
|---|---|---|
| API-Anfragen (Logs) | 90 Tage | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Audit-Logs | 7 Jahre | DSGVO Art. 30 |
| Temporäre Dateien (Audio) | 24 Stunden | Automatische Löschung |
| Anonymisierungs-Mappings | Nur in API-Response | Nicht serverseitig gespeichert |
6. Rechte der betroffenen Personen
Die Rechte der betroffenen Personen (Patient:innen) werden gegenüber dem integrierenden Softwareanbieter (B2B-Partner) geltend gemacht. Als Auftragsverarbeiter unterstützen wir bei:
| Recht | Artikel | Umsetzung |
|---|---|---|
| Auskunft | Art. 15 | Export aller Daten als verschlüsselte ZIP-Datei |
| Löschung | Art. 17 | Vollständige Löschung (Soft-Delete mit 90-Tage-Frist) |
| Datenübertragung | Art. 20 | JSON-Export |
| Widerspruch | Art. 21 | Deaktivierung der KI-Verarbeitung pro Patient |
7. Auftragsverarbeitung
Für die Nutzung der DUKTUS PRO API wird ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Dieser regelt:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Technisch-organisatorische Maßnahmen (TOMs)
- Unterauftragsverarbeiter (AWS EU)
Den AVV erhalten Sie bei Vertragsschluss. Kontakt: api@duktus-pro.de
8. Cookies & Tracking
Diese Dokumentationsseiten verwenden keine Cookies, kein Tracking und keine Analytics. Es werden keine personenbezogenen Daten der Seitenbesucher erhoben.
Beim Laden der Seite werden externe Ressourcen abgerufen:
- Google Fonts (fonts.googleapis.com) — Schriftarten. Datenschutzhinweise
- jsDelivr CDN (cdn.jsdelivr.net) — Redoc Library (nur auf der API Reference Seite)
9. Kontakt
| Allgemeiner Kontakt | kontakt@duktus-pro.de |
| API-Kontakt | api@duktus-pro.de |
| Datenschutzbeauftragter | dsb@duktus-pro.de |
| Sicherheitsvorfälle | security@duktus-pro.de |
10. Aufsichtsbehörde
Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.
Stand: März 2026 · Dokumentationsversion 2.0