Datenschutzerklärung

Stand: April 2026

📄 Auftragsverarbeitungsvertrag (AVV)
Auf Anfrage Ihres Unternehmens schließen wir gerne einen formalen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab. AVV-PDF herunterladen

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Florian Weise
Rosenstrasse 11
29439 Lüchow
Deutschland

E-Mail: info.doku.hilfe@gmail.com

1a. Datenschutzbeauftragter

Ein Datenschutzbeauftragter (DSB) wurde aktuell nicht benannt, da die gesetzlichen Voraussetzungen für eine Pflichtbenennung derzeit nicht vorliegen:

Art. 37 Abs. 1 lit. a DSGVO (öffentliche Stelle) — nicht einschlägig
Art. 37 Abs. 1 lit. b DSGVO (Kerntätigkeit = systematische, umfangreiche Überwachung) — nicht einschlägig
Art. 37 Abs. 1 lit. c DSGVO (Kerntätigkeit = umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO) — derzeit nicht erfüllt: DokuHilfe verarbeitet zwar Gesundheitsdaten i.S.d. Art. 9 DSGVO, befindet sich aber in einer Pilotphase mit eingeschränktem Kundenkreis. Die Schwelle der „umfangreichen" Verarbeitung im Sinne von Erwägungsgrund 91 DSGVO ist noch nicht überschritten.
§ 38 Abs. 1 BDSG (mindestens 20 Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind) — nicht einschlägig: der Anbieter ist Einzelunternehmer ohne Beschäftigte

Der Anbieter prüft die DSB-Pflicht laufend und wird einen externen Datenschutzbeauftragten benennen, sobald die Schwelle „umfangreiche Verarbeitung" überschritten wird — spätestens jedoch bei Aufnahme des ersten zahlenden Pflege-/Sozial-Kunden mit produktivem Klienten-Datenbestand. Die Kontaktdaten des DSB werden dann an dieser Stelle ergänzt und im AVV (§ 4) hinterlegt.

Bis zur Benennung des DSB richten Sie alle datenschutzrechtlichen Anfragen, Auskunftsbegehren (Art. 15 DSGVO), Löschungsersuchen (Art. 17 DSGVO) und sonstige Betroffenenrechte (Art. 15–22 DSGVO) direkt an den unter Punkt 1 genannten Verantwortlichen per E-Mail. Antwortfrist: max. 30 Tage gem. Art. 12 Abs. 3 DSGVO.

2. Welche Daten wir verarbeiten

2.1 Beim Besuch der Website

Beim Aufruf von doku-hilfe.de werden durch den Webserver automatisch folgende Daten erfasst:

IP-Adresse (anonymisiert nach 7 Tagen)
Datum und Uhrzeit des Zugriffs
Aufgerufene URL
Browser und Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Betriebssicherheit).

2.2 Bei der Registrierung / Anmeldung

Benutzername
Passwort (verschlüsselt gespeichert, nicht im Klartext)
Zugehöriges Unternehmen
Registrierungsdatum

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung).

2.3 Bei der Nutzung der KI-Dokumentationsfunktion

Je nach Konfiguration des Betriebs durch den Unternehmens-Administrator (Cost-Routing-Modus) erfolgt die KI-Verarbeitung der Texteingaben auf einem von zwei Wegen — beide innerhalb der EU bzw. Deutschlands:

EU-Cloud-Variante (Mistral, Frankreich — Standard): Texteingaben werden an die Mistral AI-API in Frankreich (EU) übermittelt. Keine Drittlandübermittlung — Verarbeitung innerhalb des EWR-Gebiets unter direkter Anwendung der DSGVO ohne SCC-Notwendigkeit.
Lokale Variante (Deutschland, optional): Texteingaben werden auf einem in Deutschland gehosteten Server mit lokal betriebenen Open-Source-Modellen (Qwen-3, Qwen-2.5-Coder, Gemma-4 u.a.) verarbeitet; die Texteingaben verlassen das EWR-Gebiet nicht und verlassen Deutschland nicht. Die konkrete Auswahl erfolgt je nach gewähltem Modus:
- EU-Cloud (Standard): immer Mistral (Frankreich). DSGVO-konform ohne SCC-Krücke.
- DSGVO-Strict: ausschließlich lokale Verarbeitung in Deutschland.
- Cost-Save / Auto: lokale Variante wenn die Anfrage eindeutig einer lokalen Wissensdomäne zugeordnet werden kann, sonst EU-Cloud (Mistral).
Eine Übermittlung an KI-Anbieter außerhalb der EU findet nicht statt.
Im Frontend ist nach jeder Antwort sichtbar (Badge "🇩🇪 lokal" oder "🇪🇺 EU-Cloud (Mistral)"), welche Variante tatsächlich verwendet wurde.
Erstellte Dokumentationsentwürfe werden temporär für 12 Stunden gespeichert und danach automatisch gelöscht.
Nutzungsstatistiken (Anzahl der Anfragen, gewählte Variante, kein Inhalt) werden für Abrechnungszwecke und Transparenz-Reports erfasst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung) i. V. m. Art. 9 Abs. 2 lit. h) DSGVO (Verarbeitung zum Zweck der Gesundheitsversorgung) bei der Verarbeitung gesundheitsbezogener Daten.

2.4 Bei der Nutzung der Spracheingabe (optional)

Je nach Konfiguration durch den Unternehmens-Administrator (Audio-Provider) werden Audio-Aufnahmen auf einem von zwei Wegen transkribiert:

EU-Cloud-Variante (Standard, Voxtral / Mistral, Frankreich): Audio-Aufnahmen werden an Mistral AI SAS (Paris, Frankreich) übermittelt — Modell: Voxtral. Keine Drittlandübermittlung, Verarbeitung innerhalb des EWR ohne SCC-Notwendigkeit. Mistral nutzt API-Daten ausschließlich zur Erbringung der Transkriptionsleistung und speichert keine Inhalte dauerhaft.
Lokale Variante (Deutschland, optional): Audio-Aufnahmen werden auf einem in Deutschland gehosteten Server mit lokal betriebener Whisper-Large-V3-Instanz (RTX 4070, Rosenstr. 11, 29439 Lüchow) transkribiert. Die Audio-Daten verlassen das EWR-Gebiet nicht und werden nach Transkription verworfen.
Audio-Daten werden in beiden Varianten nach der Transkription nicht persistiert; auf unseren Servern entsteht ausschließlich der Transkriptionstext (auch dieser nur temporär für 12 h, siehe Speicherdauer 2.3).
Die Sprache wird automatisch erkannt; Eingaben in Polnisch, Rumänisch, Ukrainisch u.a. sind möglich.
Bei lokalem Whisper-Ausfall (RTX-Hardware offline) erfolgt ein automatischer Fallback auf die Cloud-Variante; das Frontend zeigt einen Hinweis, welche Variante tatsächlich verwendet wurde.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung).

2.5 Bei der Nutzung der Bildanalyse (Beta, optional & pro Betrieb aktivierbar)

Sofern der Betrieb die Bildanalyse durch seinen Unternehmens-Administrator aktiviert hat, kann zusätzlich zu Stichworten ein Foto (z. B. einer Wunde, Hautstelle, Verletzung) hochgeladen werden:

Vor dem Versand werden auf unseren Servern EXIF-Metadaten (insbesondere GPS-Koordinaten, Kameramodell, Aufnahmezeitpunkt) entfernt und die Bilddatei auf maximal 2048 × 2048 Pixel verkleinert.
Bilder werden nicht persistiert — sie verbleiben ausschließlich im flüchtigen Arbeitsspeicher während der Analyse und werden danach verworfen. Es findet keine Speicherung in Datenbanken, Backups oder Logfiles statt.
Je nach Konfiguration des Betriebs erfolgt die Analyse:
- EU-Cloud-Variante (Mistral, Frankreich): Das vorverarbeitete Bild wird einmalig an die Mistral AI-API (Mistral Medium, multimodal) in Frankreich (EU) übermittelt (siehe Abschnitt 4). Keine Drittlandübermittlung — Verarbeitung innerhalb des EWR.
- Lokale Variante (Deutschland): Die Analyse erfolgt auf einem in Deutschland gehosteten Server mit lokal betriebenem Open-Source-Modell (gemma4); das Bild verlässt das EWR-Gebiet nicht.
Die fertige Pflegedokumentation wird anschließend wie unter 2.3 beschrieben durch Mistral (EU) erstellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung) i. V. m. Art. 9 Abs. 2 lit. h) DSGVO (Verarbeitung zum Zweck der Gesundheitsversorgung) und der ärztlichen Schweigepflicht-Wahrung gemäß § 203 StGB durch organisatorische Maßnahmen des verantwortlichen Betriebs.

Wichtiger Hinweis zur Eingabe: Nutzer werden ausdrücklich darauf hingewiesen, keine Namen, Geburtsdaten oder sonstige direkt identifizierenden Merkmale von Klienten in die Texteingabe einzutragen. Bei Bildaufnahmen sind ausschließlich die betroffenen Stellen zu fotografieren — keine Gesichter, Tätowierungen, Schmuck oder andere identifizierende Merkmale. Dokumentationen sind vor der Eingabe zu pseudonymisieren (z. B. „Klient A" statt vollständiger Name).

3. Speicherdauer

Datenkategorie	Speicherdauer
Zugangsdaten (Account)	Bis zur Kündigung / Löschung des Accounts
Gespeicherte Dokumentationsentwürfe	12 Stunden, dann automatische Löschung
API-Nutzungsstatistiken	12 Monate, dann automatische Löschung
Webserver-Logs	7 Tage

4. Weitergabe an Dritte

4.1 Mistral AI (Frankreich, EU) — KI-Verarbeitung (Text, Bild, Sprache)

Zur KI-gestützten Erstellung von Dokumentationsentwürfen, zur optionalen Bildanalyse (siehe 2.5) sowie zur Sprache-zu-Text-Transkription bei der Spracheingabe (siehe 2.4) werden die jeweiligen Eingaben an Mistral AI SAS übermittelt:

Mistral AI SAS
15 rue des Halles, 75001 Paris, Frankreich
E-Mail: privacy@mistral.ai

Mistral AI ist innerhalb des EWR ansässig — eine Drittlandübermittlung findet nicht statt, Standardvertragsklauseln sind nicht erforderlich. Die Verarbeitung unterliegt unmittelbar der DSGVO. Für Text, Bild und Sprache wird ausschließlich Mistral (Modelle Mistral Medium und Voxtral) eingesetzt; eine Übermittlung an KI-Anbieter außerhalb der EU erfolgt nicht. Mistral nutzt API-Daten ausschließlich zur Erbringung der API-Leistung und trainiert seine Modelle nicht mit Pay-as-you-go-Inhalten.

Weitere Informationen: mistral.ai/terms/#privacy-policy

4.2 Optionale lokale Verarbeitung (Deutschland)

Im Routing-Modus „dsgvo_strict" erfolgt die KI-Verarbeitung vollständig lokal auf Hardware in Deutschland (RTX-4070-Server, Lüchow), ebenso die Sprache-zu-Text-Transkription bei audio_provider='local' (faster-whisper). In diesem Fall verlässt der Inhalt das DE/EU-Hosting nicht.

4.3 Mollie (Zahlungsabwicklung kostenpflichtiger Pläne)

Die kostenlose Testphase ist ohne Hinterlegung von Zahlungsdaten nutzbar. Erst beim Abschluss eines kostenpflichtigen Abonnements wird die Zahlungsabwicklung über Mollie B.V. (Keizersgracht 126, 1015 CW Amsterdam, Niederlande, EU) durchgeführt. Die eigentlichen Zahlungsmitteldaten (z. B. Karten-/PayPal-Daten) werden ausschließlich bei Mollie eingegeben und verarbeitet und gelangen nicht auf unsere Server; wir speichern nur den Zahlungsstatus und eine Mollie-Referenz-ID. Mollie verarbeitet diese Zahlungsdaten als eigenständig Verantwortlicher gemäß seiner Datenschutzerklärung. Eine Drittlandübermittlung findet nicht statt (Sitz in der EU). Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung).

5. Technische Sicherheitsmaßnahmen

Alle Verbindungen sind TLS-verschlüsselt (HTTPS)
Passwörter werden mit bcrypt gehasht gespeichert
Zugriff nur mit gültigem JWT-Token (8 Stunden Gültigkeit)
Der Server befindet sich in einem deutschen Rechenzentrum
Zugriff auf Nutzerdaten ist auf autorisiertes Personal beschränkt

6. Rechte der betroffenen Personen

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: info.doku.hilfe@gmail.com

Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Für Niedersachsen ist dies:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstrasse 5
30159 Hannover
www.lfd.niedersachsen.de

7. Cookies und lokale Speicherung

DokuHilfe verwendet keine Tracking-Cookies und keine Analyse-Dienste von Drittanbietern.

Der JWT-Authentifizierungstoken wird im localStorage des Browsers gespeichert, um die Anmeldung aufrechtzuerhalten. Er enthält keine sensiblen personenbezogenen Daten und wird nach 8 Stunden automatisch ungültig.

8. Auftragsverarbeitung durch uns

Sofern Sie DokuHilfe als Unternehmen oder Einrichtung für Ihre Mitarbeiter nutzen, verarbeiten wir personenbezogene Daten Ihrer Mitarbeiter in Ihrem Auftrag. In diesem Fall sind Sie der Verantwortliche, wir handeln als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Ein entsprechender Auftragsverarbeitungsvertrag (AVV) wird Ihnen im Rahmen des Vertragsabschlusses zur Verfügung gestellt.

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version ist unter doku-hilfe.de/datenschutz abrufbar. Das Datum der letzten Aktualisierung ist oben angegeben.