duktus
KontaktKostenlos starten
DSGVO Art. 13

Datenschutzerklärung

Stand: Juni 2026

Diese Datenschutzerklärung gilt für die Website www.duktus-pro.de sowie die Anwendung duktus PRO (erreichbar unter test.duktus-pro.de).

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Joshua B. Quattek (Einzelunternehmer) duktus
Rungestraße 25
10179 Berlin, Deutschland
E-Mail: kontakt@duktus-pro.de
Datenschutz-Anfragen: datenschutz@duktus-pro.de

2. Datenschutzbeauftragter

Die Bestellung eines externen Datenschutzbeauftragten ist in Vorbereitung. Bis zur formalen Bestellung erreichen Sie uns bei Datenschutzfragen unter: dsb@duktus-pro.de

3. Übersicht der Verarbeitungstätigkeiten

Wir verarbeiten personenbezogene Daten in folgenden Bereichen:

  • Bereich A: Website - Marketing-Website www.duktus-pro.de
  • Bereich B: App (duktus) - KI-gestützte Dokumentationssoftware für Psychotherapeut:innen

Teil A: Verarbeitungen auf der Website

A.1 Server-Logfiles

Bei jedem Aufruf unserer Website werden folgende Daten automatisch erhoben:

  • IP-Adresse (anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • angeforderte URL
  • Referrer-URL
  • HTTP-Statuscode
  • Browser-Typ und -Version
  • Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Fehleranalyse).
Speicherdauer: 14 Tage.

A.2 Kontaktaufnahme

Wenn Sie uns per E-Mail oder über das Kontaktformular auf dieser Website kontaktieren, verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse und den Inhalt Ihrer Nachricht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
Speicherdauer: 3 Jahre nach Abschluss der Kommunikation, sofern keine längeren gesetzlichen Aufbewahrungsfristen gelten.

Formspree (Kontaktformular): Das Kontaktformular auf dieser Website wird über den Dienst Formspree (Formspree, Inc., 2711 Centerville Road, Suite 400, Wilmington, DE 19808, USA) verarbeitet. Formspree leitet Ihre Formulardaten per E-Mail an uns weiter und speichert sie vorübergehend auf seinen Servern. Mit Formspree besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO. Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission, Art. 45 DSGVO). Weitere Informationen: formspree.io/legal/privacy-policy.

A.3 Cookies & Einwilligung

Diese Website setzt standardmäßig keine Cookies. Plausible Analytics (siehe A.4) arbeitet vollständig cookielos.

Sofern Sie über unseren Cookie-Banner zustimmen, setzen wir zusätzlich Cookies für Google Analytics 4 und Microsoft Clarity (Details siehe A.6 und A.7). Diese Cookies sind nicht notwendig für den Betrieb der Website und werden ausschließlich auf Basis Ihrer Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Ihre Entscheidung speichern wir 12 Monate in einem lokalen Speichereintrag und können Sie jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.

A.4 Webanalyse (Plausible Analytics)

Wir verwenden zur Reichweitenmessung Plausible Analytics (Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland). Plausible ist eine cookielose Webanalyse, die keine personenbezogenen Daten speichert und kein User-Tracking durchführt. IP-Adressen werden auf den Servern gehasht und sofort verworfen. Es entstehen keine eindeutig zuordenbaren Profile.

Erfasste Informationen sind ausschließlich aggregiert: Seitenaufrufe pro URL, Referrer-Domain (z. B. „google.com"), grobe Geolocation auf Länderebene, Browser- und Geräte-Typ, Besuchsdauer. Es werden weder Cookies noch LocalStorage-Einträge gesetzt; ein Cross-Site- oder Cross-Device-Tracking findet nicht statt.

Hosting der Plausible-Server: Hetzner Online GmbH (Falkenstein, Deutschland). Die Daten verlassen die EU nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung und Optimierung des Angebots). Eine Einwilligung ist mangels personenbezogener Datenverarbeitung und mangels Cookies (§ 25 TDDDG) nicht erforderlich.

Weitere Informationen: plausible.io/privacy-focused-web-analytics · Data Policy.

A.5 Google Analytics 4 (nur mit Einwilligung)

Mit Ihrer Einwilligung verwenden wir Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; für US-Verarbeitung: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA), um Nutzungsdaten zu analysieren und die Website zu verbessern.

Verarbeitete Daten: gekürzte IP-Adresse (IP-Anonymisierung aktiv), Geräte- und Browser-Informationen, besuchte Seiten, Verweildauer, Klickpfade, Referrer, ungefähre Region (Land). Eine Verknüpfung mit Google-Werbedienstleistungen erfolgt nicht („allow_google_signals = false", „allow_ad_personalization_signals = false").

Drittlandübermittlung: Übermittlungen in die USA erfolgen auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO, Angemessenheitsbeschluss der EU-Kommission); ergänzend bestehen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Cookies: _ga, _ga_<ID> (Speicherdauer max. 24 Monate).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung). Widerruf: jederzeit über „Cookie-Einstellungen" (Footer). Datenschutzerklärung Google: policies.google.com/privacy.

A.6 Microsoft Clarity (nur mit Einwilligung)

Mit Ihrer Einwilligung verwenden wir Microsoft Clarity (Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland; für US-Verarbeitung: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA). Clarity erstellt aggregierte Heatmaps und anonymisierte Sitzungsaufzeichnungen, um die Benutzererfahrung der Website zu analysieren.

Verarbeitete Daten: pseudonymisierte Maus- und Scrollbewegungen, Klicks, besuchte Seiten, Browser- und Geräte-Informationen, ungefähre Region. Eingabefelder werden vor der Aufzeichnung serverseitig maskiert; personenbezogene Eingaben werden nicht erfasst.

Drittlandübermittlung: USA, auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO) sowie Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung). Widerruf: jederzeit über „Cookie-Einstellungen" (Footer). Datenschutzerklärung Microsoft: privacy.microsoft.com/de-de/privacystatement.

A.7 Hosting (AWS)

Unsere Website wird gehostet auf Amazon Web Services (AWS):
Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg
Speicherung der Inhalte: S3-Bucket in der Region eu-central-1 (Frankfurt am Main).
Auslieferung über Amazon CloudFront (Content Delivery Network): die Auslieferung erfolgt von dem Edge-Standort, der dem Besucher am nächsten liegt.
Es besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO. Mögliche Drittlandübermittlungen erfolgen auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO) sowie ergänzender Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Hinweis: Über die Website werden keine Gesundheitsdaten verarbeitet. Die Website dient ausschließlich der Information und Kontaktaufnahme.

Teil B: Verarbeitungen in der App (duktus)

B.1 Beschreibung der Anwendung

duktus ist eine KI-gestützte Dokumentationssoftware für approbierte Psychotherapeut:innen und Psychotherapeut:innen in Ausbildung (PiA). Die Anwendung unterstützt bei Erstellung von Sitzungsprotokollen und Verlaufsdokumentationen, Therapieplanung und Antragstellung (z. B. PTV3), Durchführung standardisierter Assessments (PHQ-9, GAD-7, C-SSRS, PCL-5, ISI, AUDIT-C, ORS, SRS), kontextbezogener Dokumentationsunterstützung auf Basis von Sitzungsinhalten sowie Sprachtranskription von Sitzungsaufnahmen.

Wichtiger Hinweis: duktus ist ein Dokumentationsassistenzsystem. Es ist kein Medizinprodukt im Sinne der Verordnung (EU) 2017/745 (MDR). Es stellt keine medizinischen Diagnosen, gibt keine Behandlungsempfehlungen und ersetzt nicht die eigenständige fachliche Beurteilung durch die Therapeut:innen. Alle KI-generierten Inhalte sind Vorschläge, die vor Verwendung geprüft werden müssen (Human-in-the-Loop-Prinzip).

B.2 Berufsgeheimnisschutz (§ 203 StGB)

Psychotherapeut:innen sind Berufsgeheimnisträger:innen im Sinne des § 203 Abs. 1 Nr. 1 StGB. Der Anbieter handelt als sonstige mitwirkende Person gemäß § 203 Abs. 3 S. 2 StGB und hat eine entsprechende Verschwiegenheitsverpflichtung abgegeben. Der Anbieter unterliegt gemäß § 203 Abs. 4 S. 1 StGB der gleichen Strafandrohung wie die Berufsgeheimnisträger:in. Diese Pflicht besteht zeitlich unbegrenzt, auch über die Vertragsbeendigung hinaus.

B.3 Kategorien verarbeiteter Daten

B.3.1 Nutzerdaten (Therapeut:innen)

  • Name, E-Mail - Kontoerstellung, Kommunikation - Art. 6 Abs. 1 lit. b DSGVO
  • Berufsqualifikation - Zugangsberechtigung - Art. 6 Abs. 1 lit. b DSGVO
  • Nutzungspräferenzen - Personalisierung - Art. 6 Abs. 1 lit. b DSGVO
  • Login-Daten - Authentifizierung - Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer: Bis zur Kündigung des Vertrags, danach 3 Jahre (gesetzliche Verjährungsfrist).

B.3.2 Patientendaten (Gesundheitsdaten gemäß Art. 9 DSGVO)

Als Therapeut:in sind Sie datenschutzrechtlich Verantwortliche:r für die Patientendaten, die Sie in duktus eingeben. Wir verarbeiten diese Daten in Ihrem Auftrag (Auftragsverarbeitung gemäß Art. 28 DSGVO).

  • Pseudonymisierte Patientenkennung - Zuordnung ohne Klarnamen - Speicherdauer 10 Jahre
  • Diagnosen (ICD-10/ICD-11) - Klinische Diagnosen - Speicherdauer 10 Jahre
  • Therapienotizen - Sitzungsprotokolle, Verlaufsdokumentation - Speicherdauer 10 Jahre
  • Assessment-Ergebnisse - PHQ-9, GAD-7, C-SSRS, PCL-5, ISI, AUDIT-C, ORS, SRS - Speicherdauer 10 Jahre
  • KI-Konversationen - Dokumentationsunterstützung - Speicherdauer 10 Jahre
  • Memory-Einträge - Klinische Fakten, Therapieziele, Fortschritt - Speicherdauer 10 Jahre
  • Sprachtranskripte - Transkribierte Sitzungsaufnahmen - Speicherdauer 10 Jahre

Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO (Verarbeitung für Zwecke der Gesundheitsversorgung) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: 10 Jahre nach Behandlungsende gemäß § 630f Abs. 3 BGB (therapeutische Dokumentationspflicht). Die Löschung erfolgt automatisch nach Ablauf der Frist, sofern die Nutzer:innen nicht vorab eine Löschung beantragen.
Empfehlung: Geben Sie Patientendaten nur in pseudonymisierter Form ein. duktus stellt hierfür einen automatischen Anonymisierungsmechanismus bereit.

B.4 KI-Verarbeitung

Die KI-Funktionen von duktus PRO basieren auf Large Language Models, die über AWS Bedrock bereitgestellt werden.

Datenschutzgarantien:

  • Serverstandort Deutschland: Die gesamte KI-Verarbeitung erfolgt ausschließlich auf Servern in Frankfurt am Main (AWS eu-central-1). Es findet keine Übermittlung von Therapiedaten an Server außerhalb der EU statt.
  • Keine Trainingsnutzung: Ihre Eingaben und die generierten Inhalte werden nicht zum Training von KI-Modellen verwendet. Das Training-Opt-out ist bei AWS Bedrock aktiviert und dokumentiert.
  • Kontextgedächtnis: Das System verwendet ein lokales Embedding-System (FAISS mit MiniLM-L12-v2) für kontextbezogene Dokumentationsvorschläge. Die Embeddings werden ausschließlich auf der verschlüsselten System-Infrastruktur in Frankfurt gespeichert und nicht an Dritte weitergegeben.

B.5 Auftragsverarbeiter und Empfänger

Wir setzen folgende Auftragsverarbeiter ein:

  • Amazon Web Services EMEA SARL - Cloud-Infrastruktur (Datenbank, Server, Authentifizierung) - Frankfurt am Main (eu-central-1) - Art. 28 DSGVO + AVV
  • Amazon Web Services, Inc. - KI-Modellbereitstellung (AWS Bedrock) - Frankfurt am Main (eu-central-1) - Art. 28 DSGVO + AVV
  • Gladia SAS - Sprach-zu-Text-Transkription im Diktat-Modus - Frankreich (EU) - Art. 28 DSGVO + AVV, Zero Data Retention (Audio wird nach der Transkription gelöscht)

Zu AWS: Alle Therapie- und Gesundheitsdaten werden ausschließlich auf Servern in Frankfurt am Main verarbeitet und gespeichert. Es findet keine Übermittlung von Gesundheitsdaten in Drittländer statt. AWS verfügt über ein BSI C5-Testat für die eingesetzten Dienste.
Hinweis: Weitere Auftragsverarbeiter (z. B. für Zahlungsabwicklung) werden bei Bedarf ergänzt und in dieser Datenschutzerklärung dokumentiert. Es werden in keinem Fall Gesundheitsdaten an Zahlungsdienstleister übermittelt.

B.6 Technische und organisatorische Maßnahmen

Wir schützen Ihre Daten durch:

  • Verschlüsselung: AES-256 für gespeicherte Daten, TLS 1.3 für Datenübertragung
  • Authentifizierung: OAuth 2.0 über Amazon Cognito
  • Zugriffskontrolle: Rollenbasierte Berechtigungen, strikte Mandantentrennung (Multi-Tenant-Isolation)
  • Pseudonymisierung: Automatische Pseudonymisierung von Patientendaten vor der KI-Verarbeitung
  • Monitoring: Kontinuierliche Sicherheitsüberwachung mit Alarmierung
  • Audit-Logging: Protokollierung aller Datenzugriffe
  • Secrets-Management: Regelmäßige Rotation aller kryptografischen Schlüssel und Zugangsdaten

Details zu unseren technisch-organisatorischen Maßnahmen (TOM) sind im Auftragsverarbeitungsvertrag (AVV) dokumentiert und werden auf Anfrage bereitgestellt.

B.7 Auftragsverarbeitung für Therapeut:innen

Als Therapeut:in, die App nutzt, sind Sie datenschutzrechtlich Verantwortliche:r für die Patientendaten. Wir verarbeiten diese Daten in Ihrem Auftrag.
Der Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist Bestandteil des Nutzungsvertrags und wird im Rahmen der Registrierung abgeschlossen. Der AVV enthält eine Ergänzung zum Schutz von Berufsgeheimnissen gemäß § 203 StGB.

4. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen.
  • Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON) erhalten.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
  • Widerruf (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

Ausübung Ihrer Rechte: Senden Sie eine E-Mail an dsb@duktus-pro.de. Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).
Beschwerderecht: Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).
Zuständig ist: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59-61, 10555 Berlin, https://www.datenschutz-berlin.de

5. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-Funktionen von duktus generieren ausschließlich Vorschläge, die von den Therapeut:innen geprüft und angepasst werden müssen (Human-in-the-Loop-Prinzip). Die finale Entscheidung trifft immer der Mensch.

6. Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne bestimmte Angaben (z. B. E-Mail-Adresse) können wir jedoch keinen Vertrag mit Ihnen abschließen und die Funktionen des Systems nicht bereitstellen.

7. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten gemäß Art. 32 DSGVO zu schützen:

  • Verschlüsselung aller Datenübertragungen (TLS 1.3)
  • Verschlüsselung gespeicherter Daten (AES-256)
  • Zugriffskontrollen und Berechtigungsmanagement
  • Strikte Mandantentrennung zwischen Nutzer:innen
  • Kontinuierliches Monitoring und Alarmierung
  • Regelmäßige Rotation von Schlüsseln und Zugangsdaten

8. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung bei Änderungen unserer Datenverarbeitungspraktiken oder der Rechtslage. Die jeweils aktuelle Version finden Sie unter:
Website: www.duktus-pro.de/
App: test.duktus-pro.de
Bei wesentlichen Änderungen informieren wir registrierte Nutzer:innen per E-Mail.

9. Kontakt

Bei Fragen zum Datenschutz erreichen Sie uns unter:
E-Mail: dsb@duktus-pro.de

Stand: Juni 2026