Datenschutzhinweise

Verantwortlicher

Dr. Felix Govaers

Bornheimer Straße 27
53111 Bonn
Deutschland

Kontakt

kontakt@nurelia.de

• Therapeutische Inhalte werden nur für die bereitgestellten Dokumentationsfunktionen verarbeitet.
• KI-Ausgaben ersetzen keine fachliche Prüfung und keine therapeutische Entscheidung.
• Therapeutische Inhalte werden nicht zum KI-Training verwendet.
• Die Anwendung wird auf C5-Zertifizierung vorbereitet.

Beim Aufruf der öffentlichen Website können technisch notwendige Daten verarbeitet werden, etwa IP-Adresse, Datum und Uhrzeit des Zugriffs, Browserinformationen, Betriebssystem und aufgerufene Seiten. Diese Daten dienen dem sicheren Betrieb, der Fehleranalyse und dem Schutz der Systeme.

Wenn du das Kontaktformular nutzt, werden die von dir eingegebenen Angaben verarbeitet: Name, E-Mail-Adresse, Betreff, Nachricht sowie technische Metadaten, die für Sicherheit und Missbrauchsschutz erforderlich sind.

Das Formular darf nicht für Patientendaten, Gesundheitsdaten oder vertrauliche Therapiedaten genutzt werden. Vor dem Absenden musst du dies ausdrücklich bestätigen.

Zum Schutz vor automatisiertem Missbrauch wird ein unsichtbares Honeypot-Feld und eine einfache Rate-Limit-Prüfung eingesetzt. Die Rate-Limit-Prüfung erfolgt temporär im Arbeitsspeicher des Backends.

Im Produktivbetrieb kann der Versand der Kontaktanfrage über AWS SES erfolgen. Die konkrete Konfiguration, Speicherdauer in der Mailbox und die zugehörigen Auftragsverarbeitungsverträge müssen vor Veröffentlichung final geprüft werden.

Zusätzlich kann nurelia intern eine Benachrichtigung über Telegram erhalten, damit Kontaktanfragen zeitnah bemerkt werden. Dabei können die Inhalte der Kontaktanfrage an Telegram übermittelt werden. Bitte nutze das Formular deshalb weiterhin nicht für Patientendaten, Gesundheitsdaten oder vertrauliche Therapiedaten.

• Konto- und Login-Daten wie E-Mail-Adresse, Passwort-Hash und Sitzungsdaten.
• Praxis- und Profileinstellungen, zum Beispiel Datenschutzmodus oder Dokumentationspräferenzen.
• Patienten-, Sitzungs-, Audio-, Transkript-, Notiz- und Berichtsdaten, soweit Nutzer:innen diese in der Anwendung anlegen oder hochladen.
• KI-Aktivitäten wie Verarbeitungstyp, Status, Dauer, Modell- oder Provider-Metadaten und technische Fehlerhinweise.

nurelia kann Audio, Transkripte, Sitzungsnotizen und Berichtsinhalte verarbeiten, um Transkripte, Zusammenfassungen oder Berichtsentwürfe zu erzeugen. Die Ergebnisse sind Arbeitshilfen und müssen fachlich überprüft werden.

Therapeutische Inhalte werden nicht zum KI-Training verwendet. Eine automatisierte Diagnostik oder eigenständige Therapieentscheidung ist nicht Zweck der Anwendung.

Für KI-gestützte Funktionen wie Zusammenfassungen, Strukturierung von Sitzungsinhalten und Berichtsentwürfe nutzt nurelia Amazon Bedrock von Amazon Web Services (AWS). Die Verarbeitung ist auf die AWS-Region Europa (Frankfurt, Deutschland) konfiguriert.

Therapeutische Inhalte werden dabei nur verarbeitet, um die jeweils angeforderte Funktion bereitzustellen. Amazon Bedrock verwendet Prompts, Eingaben und Ausgaben nach Angaben von AWS nicht zum Training von Foundation Models und gibt diese Inhalte nicht an Modellanbieter weiter.

Die Verarbeitung erfolgt auf Grundlage der mit AWS abgeschlossenen Vereinbarungen zur Auftragsverarbeitung. Die fachliche Bewertung und finale Verantwortung für Dokumentation, Zusammenfassungen und Berichtsentwürfe verbleibt immer bei der behandelnden Therapeutin bzw. dem behandelnden Therapeuten.

nurelia ist technisch darauf ausgelegt, KI-Funktionen perspektivisch auch außerhalb von Amazon AWS mit lokal betriebenen Modellen zu nutzen, etwa über Ollama in einer kundeneigenen Infrastruktur.

Diese Form der Bereitstellung ist derzeit nicht Bestandteil des regulären Produktbetriebs. Auf Anfrage können jedoch Möglichkeiten geprüft werden, die Software vor Ort oder remote mit geeigneter technischer Unterstützung so einzurichten, dass die KI-Verarbeitung auf Systemen der jeweiligen Praxis, des MVZ oder der Einrichtung erfolgt.

Ziel einer solchen individuellen Installation wäre, therapeutische Inhalte möglichst innerhalb der eigenen technischen Umgebung zu verarbeiten und externe KI-Dienstleister wie Amazon Bedrock für diese KI-Funktionen nicht einzusetzen. Die konkrete Umsetzbarkeit, Verantwortlichkeiten, Wartung, IT-Sicherheit und Datenschutzbewertung müssten im Einzelfall vorab geklärt werden.

Bei Interesse an einer lokalen KI-Verarbeitung kannst du nurelia unter kontakt@nurelia.de kontaktieren.

Personenbezogene Daten können an technische Dienstleister weitergegeben werden, soweit dies für Betrieb, Wartung, Sicherheit, Authentifizierung, Speicherung oder KI-Verarbeitung erforderlich ist.

Für Betrieb, Speicherung und KI-Verarbeitung nutzt nurelia Dienste von Amazon Web Services (AWS). AWS verarbeitet personenbezogene Daten als technischer Auftragsverarbeiter, soweit dies für Hosting, Sicherheit, Speicherung, Transkription, KI-Verarbeitung und den Versand von System- oder Kontaktformular-Nachrichten erforderlich ist.

Die reguläre Verarbeitung ist auf die AWS-Region Europa (Frankfurt, Deutschland) ausgerichtet. Dazu gehören insbesondere die technische Bereitstellung der Anwendung, die Verarbeitung über Amazon Bedrock sowie weitere AWS-Dienste, die für einen sicheren und zuverlässigen Betrieb notwendig sind.

Grundlage der Verarbeitung sind die mit AWS geltenden Vertragsbedingungen, insbesondere das AWS Data Processing Addendum. AWS kann zur Leistungserbringung eigene Unterauftragsverarbeiter einsetzen; diese werden von AWS dokumentiert und im Rahmen der vertraglichen Datenschutzregelungen eingebunden.

nurelia wählt die eingesetzten Dienste und Regionen bewusst mit Blick auf Datenschutz, Vertraulichkeit und professionelle Nutzbarkeit im therapeutischen Kontext aus. Therapeutische Inhalte werden nicht für KI-Training verwendet.

Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke, vertragliche Pflichten, gesetzliche Aufbewahrungspflichten oder berechtigte Sicherheitsinteressen erforderlich ist.

Betroffene Personen können im Rahmen der gesetzlichen Voraussetzungen Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch verlangen. Außerdem besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde.

Für die öffentliche Website sind keine Marketing-Tracking-Hinweise hinterlegt. Falls Analyse-, Marketing- oder Drittanbieter-Cookies eingesetzt werden, müssen diese vor Aktivierung transparent beschrieben und technisch passend gesteuert werden.