Rechtliches

Datenschutzerklärung

Stand: Januar 2026 · gemäß DSGVO und BDSG

Inhalt

  1. Verantwortlicher
  2. Grundsätze der Datenverarbeitung
  3. Erhobene Daten
  4. Zwecke der Verarbeitung
  5. Rechtsgrundlagen
  6. Speicherung und Löschung
  7. Weitergabe an Dritte
  8. KI-Verarbeitung
  9. Ihre Rechte
  10. Cookies und Tracking
  11. Datenschutzbeauftragter

exart.io verarbeitet hochsensible medizinische und personenbezogene Daten. Wir haben unsere Infrastruktur und Prozesse von Grund auf nach den strengsten Anforderungen der DSGVO, des BDSG und der ärztlichen Schweigepflicht konzipiert.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

K. Schlaaff — exart.io
[Adresse]
E-Mail: datenschutz@exart.io

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung unserer Dienste erforderlich ist. Es gelten folgende Grundsätze:

  • Datenminimierung: Wir erheben nur die Daten, die für den jeweiligen Zweck unbedingt notwendig sind.
  • Zweckbindung: Daten werden ausschließlich für den Zweck verwendet, für den sie erhoben wurden.
  • Speicherbegrenzung: Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt.
  • Kein KI-Training: Ihre Falldaten und Gutachten werden niemals zum Training von KI-Modellen verwendet.
  • EU-Datenhaltung: Alle Verarbeitungs- und Speichervorgänge finden ausschließlich auf Servern in der EU statt.

3. Erhobene Daten

Kontodaten

Bei der Registrierung erheben wir: Name, E-Mail-Adresse, Berufsbezeichnung sowie den Nachweis der ärztlichen Approbation (Verifikationsdokument). Diese Daten sind zur Bereitstellung des Dienstes und zur Sicherstellung der ausschließlichen Nutzung durch approbierte Ärzte erforderlich.

Falldaten und Gutachten

Im Rahmen der Nutzung der Plattform laden Sie Patientenunterlagen, Arztbriefe, Befundberichte und weitere Dokumente hoch sowie generierte Gutachten. Diese Daten sind besonders schutzbedürftig und werden nach den Grundsätzen unter Ziffer 2 behandelt.

Nutzungsdaten

Wir erfassen anonymisierte Nutzungsstatistiken (Seitenaufrufe, Fehlermeldungen) zur Verbesserung des Dienstes. Diese Daten lassen keinen Rückschluss auf einzelne Nutzer zu.

Zahlungsdaten

Zahlungsdaten werden ausschließlich durch unseren Zahlungsdienstleister Stripe verarbeitet. exart.io speichert keine Kreditkarten- oder Bankdaten.

4. Zwecke der Verarbeitung

  • Bereitstellung und Betrieb der Plattform
  • Identitäts- und Approbationsverifizierung
  • KI-gestützte Erstellung von Betreuungsgutachten
  • Abrechnung und Zahlungsabwicklung
  • Sicherheit und Missbrauchsprävention
  • Gesetzlich vorgeschriebene Aufbewahrungspflichten

5. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung gesetzlicher Pflichten
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen
  • Art. 9 Abs. 2 lit. h DSGVO — Verarbeitung besonderer Kategorien personenbezogener Daten für medizinische Zwecke

6. Speicherung und Löschung

Kontodaten werden für die Dauer der Geschäftsbeziehung gespeichert und nach Ablauf gesetzlicher Aufbewahrungsfristen (i. d. R. 10 Jahre für steuerrelevante Daten) gelöscht. Falldaten und Gutachten werden auf Wunsch des Nutzers oder nach Kontoauflösung unverzüglich gelöscht. Anonymisierte Nutzungsstatistiken werden nach 12 Monaten gelöscht.

7. Weitergabe an Dritte

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, soweit dies zur Vertragserfüllung notwendig ist. Folgende Auftragsverarbeiter werden eingesetzt:

  • Supabase Inc. — Datenbankdienste (Server-Standort: Frankfurt, EU)
  • Stripe Inc. — Zahlungsabwicklung (AVV abgeschlossen)
  • Anthropic PBC — KI-Verarbeitung (Datenverarbeitungsvereinbarung ohne Training-Nutzung)

Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Eine Weitergabe in Drittstaaten außerhalb der EU erfolgt nur auf Basis geeigneter Garantien (Standardvertragsklauseln).

8. KI-Verarbeitung

exart.io nutzt KI-Modelle von Anthropic zur Erstellung von Gutachtenentwürfen. Folgendes gilt verbindlich:

Ihre Dokumente und Falldaten werden niemals zum Training, zur Feinabstimmung oder zur Verbesserung von KI-Modellen verwendet. Dies ist vertraglich mit Anthropic vereinbart und gilt ohne Ausnahme.

Die KI-Verarbeitung erfolgt in isolierten Pipelines. Generierte Gutachten sind Entwürfe und ersetzen nicht die eigenverantwortliche fachliche Prüfung durch den Arzt.

9. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@exart.io. Sie haben außerdem das Recht, Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzulegen.

10. Cookies und Tracking

exart.io verwendet ausschließlich technisch notwendige Cookies zur Aufrechterhaltung der Sitzung und Authentifizierung. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Eine Einwilligung ist daher nicht erforderlich.

11. Datenschutzbeauftragter

Bei Fragen zum Datenschutz erreichen Sie uns unter: datenschutz@exart.io