← zurück

Datenschutz — Stand: Mai 2026 (Entwurf)

Hinweis: Dieser Text ist ein interner Arbeitsentwurf. Vor produktivem Einsatz muss eine externe Datenschutzbeauftragte (DSB) den Text prüfen und freigeben. Die zugehörige Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO findest du unter /datenschutz/dsfa.

1. Verantwortlicher

Solo-Verantwortlicher (Art. 4 Nr. 7 DSGVO) ist Gero Strauß. Kontakt siehe Impressum. Sobald Klinikmitarbeiter eingebunden werden, wird die App auf gemeinsame Verantwortlichkeit nach Art. 26 DSGVO umgestellt — bis dahin ist das Modul „Therapeut" deaktiviert.

2. Zweck der Verarbeitung

Selbsthilfe-Werkzeug für Patient*innen einer Suchtreha-Klinik: Pseudonyme Reflektion, Übersetzung in Leichte Sprache, Triage-Hinweise. Keine medizinische Diagnose, kein Therapieersatz, keine DiGA nach § 139e SGB V.

3. Rechtsgrundlage

Verarbeitung von Art-9-Daten (besondere Kategorien) erfolgt ausschließlich auf Grundlage einer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Die Einwilligung ist jederzeit widerrufbar.

4. Auftragsverarbeiter (Art. 28 DSGVO)

  • Supabase (Datenbank, Auth, Storage) — Standard-DPA, EU-Region Frankfurt (eu-central-1). Konzernmutter in den USA, daher EU-SCCs + Transfer-Impact-Assessment.
  • Amazon Web Services (Bedrock-EU, Anthropic Claude) — AWS-DPA mit EU-SCCs, Inferenz in EU-Geographie (Frankfurt / Irland / Paris) via Cross-Region-Inference-Profile `eu.anthropic.*`.
  • Vercel (Hosting der Web-App) — geplant. EU-Region, AVV.

5. Speicherdauer

Reflexionen und Übersetzungen werden NICHT serverseitig persistiert. Pseudonym + Recovery-Email-Hash werden bis zur Löschung des Kontos gespeichert. Audit-Logs maximal 12 Monate.

6. Sicherheitsmaßnahmen (Art. 32 DSGVO)

  • Keine Klarnamen, kein Geburtsdatum, keine Diagnosen in der DB
  • Pseudonym + Geräte-Passwort als Hauptlogin
  • Recovery-Email nur als SHA-256-Hash, nie als Klartext
  • Row-Level Security auf allen Patiententabellen
  • TLS 1.3 in Transit
  • Bedrock-Aufrufe ausschließlich über EU-Inference-Profile
  • Push-Notifications, falls aktiviert, ohne Klartext-Inhalt

7. Betroffenenrechte (Art. 13–22 DSGVO)

Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Widerruf. Anfragen unter dem im Impressum genannten Kontakt. Beschwerderecht bei der zuständigen Aufsichtsbehörde (Hessischer Landesdatenschutzbeauftragter).

8. Krisensituation

Diese App ersetzt keine ärztliche Hilfe. Bei akuter Krise: Pflege oder Bereitschafts-Therapeut der Klinik (vor Ort). Innerhalb der App: Akut-Raum unter /notfall und Gruppenchat.

Stand: 9. Mai 2026 — Arbeitsentwurf, nicht freigegeben.