duktus
KontaktPilotprogramm
DSGVO Art. 13

Datenschutzerklärung

Stand: März 2026

Diese Datenschutzerklärung gilt für die Website www.duktus-pro.de sowie die Anwendung duktus PRO (erreichbar unter test.duktus-pro.de).

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Joshua B. Quattek (Einzelunternehmer) duktus.ai
Rungestraße 25
10179 Berlin, Deutschland
E-Mail: kontakt@duktus-pro.de
Datenschutz-Anfragen: datenschutz@duktus-pro.de

2. Datenschutzbeauftragter

Die Bestellung eines externen Datenschutzbeauftragten ist in Vorbereitung. Bis zur formalen Bestellung erreichen Sie uns bei Datenschutzfragen unter: dsb@duktus-pro.de

3. Übersicht der Verarbeitungstätigkeiten

Wir verarbeiten personenbezogene Daten in folgenden Bereichen:

  • Bereich A: Website - Marketing-Website www.duktus-ai.de
  • Bereich B: App (duktus.ai) - KI-gestützte Dokumentationsplattform für Psychotherapeut:innen

Teil A: Verarbeitungen auf der Website

A.1 Server-Logfiles

Bei jedem Aufruf unserer Website werden folgende Daten automatisch erhoben:

  • IP-Adresse (anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • angeforderte URL
  • Referrer-URL
  • HTTP-Statuscode
  • Browser-Typ und -Version
  • Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Fehleranalyse).
Speicherdauer: 14 Tage.

A.2 Kontaktaufnahme

Wenn Sie uns per E-Mail oder über das Kontaktformular auf dieser Website kontaktieren, verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse und den Inhalt Ihrer Nachricht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
Speicherdauer: 3 Jahre nach Abschluss der Kommunikation, sofern keine längeren gesetzlichen Aufbewahrungsfristen gelten.

Formspree (Kontaktformular): Das Kontaktformular auf dieser Website wird über den Dienst Formspree (Formspree, Inc., 2711 Centerville Road, Suite 400, Wilmington, DE 19808, USA) verarbeitet. Formspree leitet Ihre Formulardaten per E-Mail an uns weiter und speichert sie vorübergehend auf seinen Servern. Mit Formspree besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO. Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission, Art. 45 DSGVO). Weitere Informationen: formspree.io/legal/privacy-policy.

A.3 Cookies

Technisch notwendige Cookies: Wir setzen essenzielle Cookies ein, die für den Betrieb der Website erforderlich sind. Rechtsgrundlage ist § 25 Abs. 2 TDDDG.
Analyse- und Marketing-Cookies: Werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit widerrufen.

A.4 Hosting (Squarespace)

Unsere Website wird gehostet von:
Squarespace Inc., 225 Varick Street, New York, NY 10014, USA
Drittlandübermittlung: Squarespace ist unter dem EU-US Data Privacy Framework zertifiziert. Die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO). Ergänzend bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Hinweis: Über die Website werden keine Gesundheitsdaten verarbeitet. Die Website dient ausschließlich der Information und Kontaktaufnahme.

Teil B: Verarbeitungen in der App (duktus.ai)

B.1 Beschreibung der Anwendung

duktus.ai ist eine KI-gestützte Dokumentationsplattform für approbierte Psychotherapeut:innen und Psychotherapeut:innen in Ausbildung (PiA). Die Anwendung unterstützt bei Erstellung von Sitzungsprotokollen und Verlaufsdokumentationen, Therapieplanung und Antragstellung (z. B. PTV3), Durchführung standardisierter Assessments (PHQ-9, GAD-7, C-SSRS, PCL-5, ISI, AUDIT-C, ORS, SRS), kontextbezogener Dokumentationsunterstützung auf Basis von Sitzungsinhalten sowie Sprachtranskription von Sitzungsaufnahmen.

Wichtiger Hinweis: duktus.ai ist ein Dokumentationsassistenzsystem. Es ist kein Medizinprodukt im Sinne der Verordnung (EU) 2017/745 (MDR). Es stellt keine medizinischen Diagnosen, gibt keine Behandlungsempfehlungen und ersetzt nicht die eigenständige fachliche Beurteilung durch die Therapeut:innen. Alle KI-generierten Inhalte sind Vorschläge, die vor Verwendung geprüft werden müssen (Human-in-the-Loop-Prinzip).

B.2 Berufsgeheimnisschutz (§ 203 StGB)

Psychotherapeut:innen sind Berufsgeheimnisträger:innen im Sinne des § 203 Abs. 1 Nr. 1 StGB. Der Anbieter handelt als sonstige mitwirkende Person gemäß § 203 Abs. 3 S. 2 StGB und hat eine entsprechende Verschwiegenheitsverpflichtung abgegeben. Der Anbieter unterliegt gemäß § 203 Abs. 4 S. 1 StGB der gleichen Strafandrohung wie die Berufsgeheimnisträger:in. Diese Pflicht besteht zeitlich unbegrenzt, auch über die Vertragsbeendigung hinaus.

B.3 Kategorien verarbeiteter Daten

B.3.1 Nutzerdaten (Therapeut:innen)

  • Name, E-Mail - Kontoerstellung, Kommunikation - Art. 6 Abs. 1 lit. b DSGVO
  • Berufsqualifikation - Zugangsberechtigung - Art. 6 Abs. 1 lit. b DSGVO
  • Nutzungspräferenzen - Personalisierung - Art. 6 Abs. 1 lit. b DSGVO
  • Login-Daten - Authentifizierung - Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer: Bis zur Kündigung des Vertrags, danach 3 Jahre (gesetzliche Verjährungsfrist).

B.3.2 Patientendaten (Gesundheitsdaten gemäß Art. 9 DSGVO)

Als Therapeut:in sind Sie datenschutzrechtlich Verantwortliche:r für die Patientendaten, die Sie in duktus.ai eingeben. Wir verarbeiten diese Daten in Ihrem Auftrag (Auftragsverarbeitung gemäß Art. 28 DSGVO).

  • Pseudonymisierte Patientenkennung - Zuordnung ohne Klarnamen - Speicherdauer 10 Jahre
  • Diagnosen (ICD-10/ICD-11) - Klinische Diagnosen - Speicherdauer 10 Jahre
  • Therapienotizen - Sitzungsprotokolle, Verlaufsdokumentation - Speicherdauer 10 Jahre
  • Assessment-Ergebnisse - PHQ-9, GAD-7, C-SSRS, PCL-5, ISI, AUDIT-C, ORS, SRS - Speicherdauer 10 Jahre
  • KI-Konversationen - Dokumentationsunterstützung - Speicherdauer 10 Jahre
  • Memory-Einträge - Klinische Fakten, Therapieziele, Fortschritt - Speicherdauer 10 Jahre
  • Sprachtranskripte - Transkribierte Sitzungsaufnahmen - Speicherdauer 10 Jahre

Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO (Verarbeitung für Zwecke der Gesundheitsversorgung) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: 10 Jahre nach Behandlungsende gemäß § 630f Abs. 3 BGB (therapeutische Dokumentationspflicht). Die Löschung erfolgt automatisch nach Ablauf der Frist, sofern die Nutzer:innen nicht vorab eine Löschung beantragen.
Empfehlung: Geben Sie Patientendaten nur in pseudonymisierter Form ein. duktus.ai stellt hierfür einen automatischen Anonymisierungsmechanismus bereit.

B.4 KI-Verarbeitung

Die KI-Funktionen von duktus PRO basieren auf Large Language Models, die über AWS Bedrock bereitgestellt werden.

Datenschutzgarantien:

  • Serverstandort Deutschland: Die gesamte KI-Verarbeitung erfolgt ausschließlich auf Servern in Frankfurt am Main (AWS eu-central-1). Es findet keine Übermittlung von Therapiedaten an Server außerhalb der EU statt.
  • Keine Trainingsnutzung: Ihre Eingaben und die generierten Inhalte werden nicht zum Training von KI-Modellen verwendet. Das Training-Opt-out ist bei AWS Bedrock aktiviert und dokumentiert.
  • Kontextgedächtnis: Die Plattform verwendet ein lokales Embedding-System (FAISS mit MiniLM-L12-v2) für kontextbezogene Dokumentationsvorschläge. Die Embeddings werden ausschließlich auf der verschlüsselten Plattform-Infrastruktur in Frankfurt gespeichert und nicht an Dritte weitergegeben.

B.5 Auftragsverarbeiter und Empfänger

Wir setzen folgende Auftragsverarbeiter ein:

  • Amazon Web Services EMEA SARL - Cloud-Infrastruktur (Datenbank, Server, Authentifizierung) - Frankfurt am Main (eu-central-1) - Art. 28 DSGVO + AVV
  • Amazon Web Services, Inc. - KI-Modellbereitstellung (AWS Bedrock) - Frankfurt am Main (eu-central-1) - Art. 28 DSGVO + AVV

Zu AWS: Alle Therapie- und Gesundheitsdaten werden ausschließlich auf Servern in Frankfurt am Main verarbeitet und gespeichert. Es findet keine Übermittlung von Gesundheitsdaten in Drittländer statt. AWS verfügt über ein BSI C5-Testat für die eingesetzten Dienste.
Hinweis: Weitere Auftragsverarbeiter (z. B. für Zahlungsabwicklung) werden bei Bedarf ergänzt und in dieser Datenschutzerklärung dokumentiert. Es werden in keinem Fall Gesundheitsdaten an Zahlungsdienstleister übermittelt.

B.6 Technische und organisatorische Maßnahmen

Wir schützen Ihre Daten durch:

  • Verschlüsselung: AES-256 für gespeicherte Daten, TLS 1.3 für Datenübertragung
  • Authentifizierung: OAuth 2.0 über Amazon Cognito
  • Zugriffskontrolle: Rollenbasierte Berechtigungen, strikte Mandantentrennung (Multi-Tenant-Isolation)
  • Pseudonymisierung: Automatische Pseudonymisierung von Patientendaten vor der KI-Verarbeitung
  • Monitoring: Kontinuierliche Sicherheitsüberwachung mit Alarmierung
  • Audit-Logging: Protokollierung aller Datenzugriffe
  • Secrets-Management: Regelmäßige Rotation aller kryptografischen Schlüssel und Zugangsdaten

Details zu unseren technisch-organisatorischen Maßnahmen (TOM) sind im Auftragsverarbeitungsvertrag (AVV) dokumentiert und werden auf Anfrage bereitgestellt.

B.7 Auftragsverarbeitung für Therapeut:innen

Als Therapeut:in, die App nutzt, sind Sie datenschutzrechtlich Verantwortliche:r für die Patientendaten. Wir verarbeiten diese Daten in Ihrem Auftrag.
Der Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist Bestandteil des Nutzungsvertrags und wird im Rahmen der Registrierung abgeschlossen. Der AVV enthält eine Ergänzung zum Schutz von Berufsgeheimnissen gemäß § 203 StGB.

4. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen.
  • Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON) erhalten.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
  • Widerruf (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

Ausübung Ihrer Rechte: Senden Sie eine E-Mail an dsb@duktus-pro.de. Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).
Beschwerderecht: Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).
Zuständig ist: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59-61, 10555 Berlin, https://www.datenschutz-berlin.de

5. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-Funktionen von duktus.ai generieren ausschließlich Vorschläge, die von den Therapeut:innen geprüft und angepasst werden müssen (Human-in-the-Loop-Prinzip). Die finale Entscheidung trifft immer der Mensch.

6. Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne bestimmte Angaben (z. B. E-Mail-Adresse) können wir jedoch keinen Vertrag mit Ihnen abschließen und die Plattform-Funktionen nicht bereitstellen.

7. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten gemäß Art. 32 DSGVO zu schützen:

  • Verschlüsselung aller Datenübertragungen (TLS 1.3)
  • Verschlüsselung gespeicherter Daten (AES-256)
  • Zugriffskontrollen und Berechtigungsmanagement
  • Strikte Mandantentrennung zwischen Nutzer:innen
  • Kontinuierliches Monitoring und Alarmierung
  • Regelmäßige Rotation von Schlüsseln und Zugangsdaten

8. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung bei Änderungen unserer Datenverarbeitungspraktiken oder der Rechtslage. Die jeweils aktuelle Version finden Sie unter:
Website: www.duktus-pro.de/
App: test.duktus-pro.de
Bei wesentlichen Änderungen informieren wir registrierte Nutzer:innen per E-Mail.

9. Kontakt

Bei Fragen zum Datenschutz erreichen Sie uns unter:
E-Mail: dsb@duktus-pro.de

Stand: März 2026