Datenschutzerklärung
Stand: Februar 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten auf dieser Plattform ist:
Relativity GmbH
Breite Straße 25
13597 Berlin
E-Mail: info@relativitygmbh.de
Geschäftsführer: Noel Lorenz
Registergericht: Amtsgericht Berlin Charlottenburg, HRB 215011 B
2. Überblick der Datenverarbeitung
ArztGPT ist eine KI-gestützte Dokumentationsunterstützungs- und Informationsaufbereitungsplattform, die ausschließlich für approbierte Ärztinnen und Ärzte sowie medizinisches Fachpersonal bestimmt ist. Die Plattform bietet Werkzeuge für klinische Dokumentation, Literaturrecherche, Kodierung, Medikamenteninformationen, Leitliniensuche und weitere ärztliche Informationsbedürfnisse. Die Nutzung unterliegt unseren Allgemeinen Geschäftsbedingungen (AGB).
KI-Transparenzhinweis (EU AI Act, VO (EU) 2024/1689): Sämtliche Textantworten der Plattform werden von einem KI-System generiert (derzeit via OpenRouter). ArztGPT ist kein zugelassenes Medizinprodukt. Alle Ausgaben dienen ausschließlich der Informationsaufbereitung und bedürfen der fachlichen Überprüfung durch den Nutzer.
Wichtiger Hinweis zum Patientendatenschutz
Arzt AI ist kein System zur Verarbeitung von Patientendaten. Nutzerinnen und Nutzer sind ausdrücklich angehalten, keine personenbezogenen Daten von Patientinnen und Patienten in die Plattform einzugeben. Eingegebene Anfragen werden an externe KI-Dienste übermittelt (siehe Abschnitt 7). Die Verantwortung für die Einhaltung der ärztlichen Schweigepflicht und des Datenschutzes gegenüber Patientinnen und Patienten liegt beim jeweiligen Nutzer.
3. Welche Daten wir verarbeiten
3.1 Registrierungsdaten
Bei der Erstellung eines Nutzerkontos erheben wir folgende Daten:
- Name – vollständiger Name (z. B. „Dr. Max Mustermann")
- E-Mail-Adresse – wird kleingeschrieben gespeichert und dient als eindeutiger Login-Identifier
- Passwort – wird ausschließlich als bcrypt-Hash (12 Runden) gespeichert; das Klartext-Passwort wird niemals gespeichert
3.2 Konversations- und Nutzungsdaten
Während der Nutzung der Plattform speichern wir:
- Gesprächsinhalte – Anfragen des Nutzers und Antworten der KI, gespeichert als Nachrichtenverläufe
- Gesprächstitel – automatisch aus den ersten 80 Zeichen der ersten Nutzernachricht generiert
- Modus – der verwendete Funktionsbereich (z. B. klinische Anfrage, Arztbrief, ICD-Kodierung)
- Zeitstempel – Erstellungs- und Änderungsdatum jeder Konversation
3.3 Abonnement- und Zahlungsdaten
Im Zusammenhang mit kostenpflichtigen Abonnements speichern wir:
- Stripe-Kunden-ID – technischer Identifier zur Zuordnung beim Zahlungsdienstleister Stripe
- Abonnementstatus – z. B. Testphase, aktiv, gekündigt, überfällig
- Abrechnungszeitraum – Enddatum des aktuellen Abrechnungszeitraums
Zahlungsinformationen (z. B. Kreditkartennummern) werden nicht auf unseren Servern gespeichert, sondern ausschließlich von Stripe verarbeitet.
3.4 Sitzungsdaten
Nach der Anmeldung wird eine Sitzung mittels JSON Web Token (JWT) verwaltet. Das Token enthält Nutzer-ID, E-Mail-Adresse und Name. Es wird im Browser gespeichert und bei jeder Anfrage an den Server zur Authentifizierung übermittelt.
3.5 Serverzugriffsdaten
Beim Abruf unserer Plattform werden automatisch technische Zugriffsdaten protokolliert, darunter IP-Adresse, Browser-Typ, Betriebssystem, Datum und Uhrzeit des Zugriffs sowie aufgerufene URLs. Diese Daten dienen der Sicherheit und dem störungsfreien Betrieb und werden nicht mit Nutzerprofilen verknüpft.
4. Zwecke und Rechtsgrundlagen der Verarbeitung
| Verarbeitungszweck | Daten | Rechtsgrundlage |
|---|---|---|
| Nutzerkonto erstellen und verwalten | Name, E-Mail, Passwort-Hash | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Authentifizierung und Sitzungsverwaltung | JWT-Token, E-Mail | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| KI-Anfragen bearbeiten und Antworten liefern | Gesprächsinhalte | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Gesprächsverlauf speichern und anzeigen | Konversationsdaten | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Zahlungsabwicklung und Abonnementverwaltung | E-Mail, Name, Stripe-Kunden-ID, Abonnementstatus | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Betrieb, Sicherheit und Fehlerdiagnose | Zugriffslogs | Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen) |
| Erfüllung rechtlicher Pflichten | Alle relevanten Daten | Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung) |
5. Speicherdauer
- Kontodaten – werden gespeichert, solange das Nutzerkonto besteht. Nach Löschung des Kontos werden personenbezogene Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Konversationsdaten – werden dem Nutzerkonto zugeordnet gespeichert und können jederzeit vom Nutzer gelöscht werden. Mit Löschung des Kontos werden alle zugehörigen Konversationen gelöscht.
- Serverprotokolle – werden in der Regel nach 14 Tagen automatisch gelöscht.
6. Datenweitergabe an Dritte
Wir geben personenbezogene Daten nur weiter, soweit dies zur Erbringung unserer Leistungen erforderlich ist, eine gesetzliche Verpflichtung besteht oder Sie eingewilligt haben.
Im Rahmen des Plattformbetriebs setzen wir die folgenden Dienstleister ein:
MongoDB Atlas (Datenbankhosting)
Anbieter: MongoDB, Inc., New York, USA
Alle strukturierten Daten (Nutzerkonten, Konversationen) werden in einer MongoDB-Atlas-Datenbank gespeichert. Die Datenbank ist mit Zugriffsbeschränkungen gesichert. Die Datenverarbeitung kann in EU- oder US-Rechenzentren erfolgen. MongoDB Atlas bietet Standardvertragsklauseln (SCCs) als Grundlage für Drittlandübermittlungen.
OpenRouter (KI-API-Gateway)
Anbieter: OpenRouter, Inc., USA
Alle Texteingaben und Konversationsverläufe, die Sie in die KI-Funktionen eingeben, werden an OpenRouter übermittelt und dort an das zugrunde liegende KI-Modell weitergeleitet. OpenRouter verarbeitet diese Daten als Auftragsverarbeiter. Die Verarbeitung erfolgt in den USA; Grundlage für die Drittlandübermittlung sind Standardvertragsklauseln (SCCs). Wir weisen ausdrücklich darauf hin, dass keine Patientendaten eingegeben werden dürfen.
Stripe, Inc. (Zahlungsabwicklung)
Anbieter: Stripe, Inc., San Francisco, USA
Für die Abwicklung kostenpflichtiger Abonnements setzen wir Stripe als Zahlungsdienstleister ein. Im Rahmen des Zahlungsprozesses werden Ihre E-Mail-Adresse, Ihr Name sowie eine Stripe-Kunden-ID an Stripe übermittelt. Zahlungsdaten (z. B. Kreditkartennummern) werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: stripe.com/de/privacy.
Externe Medizin-APIs (nur lesend, ohne Nutzerdaten)
Für Funktionen wie PubMed-Suche, ICD-Kodierung, Medikamenteninteraktionen und Impfempfehlungen werden öffentliche APIs externer Anbieter angefragt (u. a. NCBI/PubMed, NLM Clinical Tables, WHO ICD-11, RxNorm, OpenFDA, BfArM). Bei diesen Anfragen werden keine personenbezogenen Nutzerdaten übermittelt – lediglich die eingegebenen Suchbegriffe oder Codes.
BfArM Terminologieserver (ICD-10-GM, OPS, ATC-GM)
Anbieter: Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), Bonn
Für die Kodierungsmodule (ICD-10-GM, OPS, ATC-GM) werden die offiziellen FHIR-Terminologiepakete des BfArM Terminologieservers (terminologien.bfarm.de) verwendet. Die Daten werden zum Build-Zeitpunkt heruntergeladen und lokal in der Anwendung vorgehalten. Bei der Nutzung der Kodierungsfunktionen findet keine Datenübermittlung an den BfArM-Server statt. Quelle: BfArM – Zentraler Terminologieserver (terminologien.bfarm.de).
7. Übermittlung in Drittländer
Teile der Datenverarbeitung (insbesondere durch OpenRouter und MongoDB Atlas) finden in den USA statt. Die USA gelten nach DSGVO als Drittland ohne angemessenes Datenschutzniveau im Sinne des Art. 45 DSGVO.
Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Soweit verfügbar, stützen wir uns zusätzlich auf das EU-US Data Privacy Framework (Art. 45 DSGVO), sofern der jeweilige Anbieter dort zertifiziert ist. Auf Anfrage stellen wir Ihnen weitere Informationen zu den Garantien zur Verfügung.
8. Ihre Rechte als betroffene Person
Nach der DSGVO stehen Ihnen folgende Rechte zu. Zur Ausübung dieser Rechte wenden Sie sich bitte an info@relativitygmbh.de:
Auskunftsrecht (Art. 15 DSGVO)
Sie können Auskunft über die von uns gespeicherten personenbezogenen Daten verlangen.
Berichtigungsrecht (Art. 16 DSGVO)
Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Löschungsrecht (Art. 17 DSGVO)
Sie können die Löschung Ihrer personenbezogenen Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
Datenübertragbarkeit (Art. 20 DSGVO)
Sie können Ihre Daten in einem maschinenlesbaren Format erhalten oder deren Übertragung an einen anderen Verantwortlichen verlangen.
Widerspruchsrecht (Art. 21 DSGVO)
Sie können der Verarbeitung Ihrer personenbezogenen Daten widersprechen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützt wird.
Beschwerderecht (Art. 77 DSGVO)
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit.
9. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten gegen unbefugten Zugriff, Verlust oder Zerstörung zu schützen. Zu den eingesetzten Sicherheitsmechanismen gehören:
- Passwort-Hashing mit bcrypt (Kostenfaktor 12)
- Verschlüsselte Übertragung per HTTPS/TLS
- JWT-basierte Sitzungsverwaltung mit kryptografisch signierten Tokens
- Zugriffsbeschränkte Datenbankverbindungen (MongoDB Atlas)
- API-Schlüssel werden ausschließlich serverseitig verwendet und nicht an Clients übermittelt
- Keine Speicherung von Klartext-Passwörtern
10. Cookies und Sitzungs-Tokens
Arzt AI verwendet technisch notwendige Cookies und lokale Speichertechnologien ausschließlich für die Authentifizierung und den sicheren Betrieb der Plattform. Es werden keine Tracking-Cookies, Werbe-Cookies oder Analyse-Cookies eingesetzt.
Sitzungs-Cookie (NextAuth.js)
Zweck: Authentifizierung und Sitzungsverwaltung nach dem Login
Inhalt: Signiertes JWT mit Nutzer-ID, E-Mail und Name
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technisch notwendig für die Vertragserfüllung)
Lebensdauer: Bis zum Logout oder Ablauf der Sitzung
11. Minderjährige
Arzt AI richtet sich ausschließlich an approbierte Ärztinnen und Ärzte sowie medizinisches Fachpersonal. Die Nutzung durch Minderjährige ist nicht vorgesehen und nicht gestattet. Wir verarbeiten wissentlich keine personenbezogenen Daten von Personen unter 18 Jahren.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version ist unter dieser URL abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzerinnen und Nutzer per E-Mail informiert.
13. Kontakt
Bei Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder zu dieser Erklärung wenden Sie sich bitte an: