DSGVO Art. 13 & 14

Datenschutzerklärung

Transparente Information darüber, wie MedklarAI personenbezogene Daten erhebt, verarbeitet und schützt.

Stand: April 2026Verantwortlicher: Stevan Ursulovic

Inhaltsübersicht

  1. Verantwortlicher
  2. Grundsätze der Verarbeitung
  3. Websiteaufruf & Serverlogs
  4. Kontaktaufnahme
  5. Warteliste / Demo-Anfragen
  6. Cookies & lokaler Speicher
  7. E-Mail-Dienst (Brevo / Sendinblue)
  8. Ihre Rechte als betroffene Person
  9. Datensicherheit
  10. Änderungen dieser Erklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:

Stevan Ursulovic
Östliche Karl-Friedrich-Straße 77
75175 Pforzheim
E-Mail: urstech.dev@gmail.com

Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

2. Grundsätze der Verarbeitung

MedklarAI verarbeitet personenbezogene Daten nur, soweit dies gesetzlich erlaubt ist oder Sie eingewilligt haben. Wir erheben nur die Daten, die für den jeweiligen Zweck tatsächlich erforderlich sind (Datensparsamkeit, Art. 5 DSGVO).

Rechtsgrundlagen der Verarbeitung:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung der betroffenen Person
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung oder vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen des Verantwortlichen

3. Websiteaufruf & Server-Logs

Beim Besuch dieser Website werden durch den Hosting-Provider automatisch folgende Daten in Server-Logfiles erfasst:

  • IP-Adresse (anonymisiert nach 24 Stunden)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • Browser-Typ und Betriebssystem (User-Agent)
  • HTTP-Statuscode

Zweck: Sicherstellung des Betriebs und der technischen Stabilität der Website.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: 7 Tage, danach automatische Löschung.

Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt. Die Daten werden nicht an Dritte weitergegeben.

4. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden die von Ihnen übermittelten Daten (Name, E-Mail-Adresse, Nachrichteninhalt) zum Zweck der Bearbeitung Ihrer Anfrage gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung).
Speicherdauer: Bis zur abschließenden Bearbeitung der Anfrage, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Die Daten werden nicht an Dritte weitergegeben.

5. Warteliste & Demo-Anfragen

Über das Formular auf unserer Website können sich Interessenten in die Warteliste eintragen. Dabei erheben wir:

  • Name
  • E-Mail-Adresse (Pflichtfeld)
  • Praxistyp (freiwillig)
  • Fachrichtung (freiwillig)

Zweck: Kontaktaufnahme bei Produktverfügbarkeit sowie Verbesserung des Produktangebots.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Absenden des Formulars).
Speicherdauer: Bis zum Widerruf der Einwilligung. Eine Abmeldemöglichkeit ist in jeder Folge-E-Mail enthalten.

Die Daten werden zur technischen Verarbeitung an Brevo (Sendinblue) übermittelt — siehe Abschnitt 7.

6. Cookies & lokaler Speicher

MedklarAI verwendet minimale Cookies und den lokalen Browserspeicher (localStorage):

Essenzielle Cookies

Diese sind für den Betrieb der Website zwingend erforderlich und werden ohne Einwilligung gesetzt:

  • medklar_cookie_consent — Speichert Ihre Cookie-Präferenz (localStorage), damit das Banner nicht bei jedem Besuch erscheint. Kein Ablaufdatum (bis zur manuellen Löschung).

Dashboard-Login-Sitzung

Für die Anmeldung des Praxispersonals am Dashboard setzen wir ein HTTP-only, Secure, SameSite=Lax Cookie mit einem signierten JSON Web Token (JWT). Das Cookie ist ein reines Sitzungs-Cookieohne Expires-Attribut und wird vom Browser beim Schließen aller Fenster automatisch gelöscht; eine erneute Anmeldung ist dann erforderlich. Das JWT hat zusätzlich eine serverseitige Maximalgültigkeit von 12 Stunden.

Da innerhalb dieses Zeitraums keine anwendungsseitige Leerlauf-Abmeldung erfolgt, ist als organisatorische Maßnahme gemäß Art. 32 Abs. 1 lit. b DSGVO eine Bildschirmsperre durch das Praxispersonal beim Verlassen des Arbeitsplatzes vorgesehen (Windows+L bzw. Ctrl+Cmd+Q). Beim Schließen eines Browserfensters mit einer geöffneten Patienten-Aufklärung zeigt der Browser zusätzlich einen Warnhinweis, um unbeabsichtigten Datenverlust zu verhindern.

Keine Tracking-Cookies

MedklarAI verwendet kein Google Analytics, keine Meta-Pixel, keine Werbe-Cookies und keine sonstigen Tracking-Dienste, die Ihr Verhalten über mehrere Websites hinweg verfolgen.

Rechtsgrundlage essenzielle Cookies: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) i.V.m. § 25 Abs. 2 TTDSG.

Sie können Cookies jederzeit über die Einstellungen Ihres Browsers löschen oder blockieren. Beachten Sie, dass dies die Funktionalität der Website einschränken kann.

7. E-Mail-Dienst: Brevo (Sendinblue)

Für den Versand von Transaktions- und Benachrichtigungs-E-Mails sowie die Verwaltung der Warteliste nutzen wir den Dienst Brevo (ehemals Sendinblue), betrieben von der Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland.

Brevo verarbeitet dabei E-Mail-Adressen und optional Name sowie Praxistyp auf unsere Weisung hin. Wir haben mit Brevo einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Die Daten werden auf Servern innerhalb der EU gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Newsletter/Warteliste; Art. 6 Abs. 1 lit. b DSGVO für Transaktionsmails.
Datenschutzinformationen Brevo: brevo.com/de/legal/privacypolicy/

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Abmeldelink in einer unserer E-Mails nutzen oder uns direkt kontaktieren.

7a. Dokumentenspeicherung (Vercel Blob)

Einwilligungsdokumente (PDF) werden in Vercel Blob Storage gespeichert, einem Dienst der Vercel Inc. (San Francisco, USA). Vercel ist SOC 2 Type II zertifiziert. Die Dokumente sind ausschließlich über authentifizierte API-Zugriffe erreichbar und nicht öffentlich zugänglich.

Die Speicherung erfolgt gemäß der gesetzlichen Aufbewahrungsfrist für medizinische Behandlungsunterlagen (§630f BGB, 10 Jahre). Nach Ablauf dieser Frist werden die Dokumente automatisch gelöscht.

Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO (Verarbeitung für Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin).

Auftragsverarbeitungsvertrag: Mit allen eingesetzten Dienstleistern (Stripe, Vercel, Brevo, Neon) bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

8. Ihre Rechte als betroffene Person

Gemäß DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, soweit keine Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung verlangen.
  • Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
  • Datenportabilität (Art. 20 DSGVO) — Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: urstech.dev@gmail.com

Selbstbedienung für Patienten: Mit Ihrem Session-Code und dem HMAC-Sitzungstoken (automatisch in der Aufklärungsanwendung gespeichert) können Sie folgende Rechte direkt ausüben:

  • Datenauskunft — Einsicht in Ihre gespeicherten Daten (GET /api/p/session-data mit sessionCode und Header x-session-token)
  • Datenexport — Maschinenlesbarer Download (JSON, GET /api/p/data-export mit sessionCode und Header x-session-token)
  • Einwilligung widerrufen — Widerruf Ihrer Einwilligung (POST mit sessionCode): /api/p/consent-withdraw
  • Datenlöschung — Pseudonymisierung Ihrer Daten (POST mit sessionCode): /api/p/erasure-request

Alle Endpunkte sind auf 3 Anfragen pro 15 Minuten begrenzt, um Missbrauch zu verhindern.

Hinweis: Abgeschlossene medizinische Einwilligungen unterliegen der gesetzlichen Aufbewahrungspflicht gem. §630f BGB (10 Jahre). Auf Löschungsanfrage werden Ihre personenbezogenen Daten (Name, Geburtsdatum) pseudonymisiert, die Aufklärungsdokumentation bleibt in anonymisierter Form erhalten.

Sie haben außerdem das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde für Deutschland ist der jeweilige Landesdatenschutzbeauftragte Ihres Bundeslandes bzw. der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): www.bfdi.bund.de

9. Datensicherheit

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol.

Unsere Server befinden sich ausschließlich in Deutschland und werden von einem nach ISO 27001 zertifizierten Rechenzentrum betrieben. Ein Transfer in Drittländer außerhalb der EU findet nicht statt — mit Ausnahme von Brevo, für das entsprechende Garantien nach Art. 46 DSGVO bestehen.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie stets den aktuellen rechtlichen Anforderungen oder Änderungen unserer Dienste entsprechen zu lassen. Das Datum der letzten Aktualisierung finden Sie im Kopfbereich dieser Seite. Wir empfehlen, diese Seite regelmäßig zu prüfen.