← Blackfort Praxisassistenz

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Blackfort Technology Unternehmergesellschaft (haftungsbeschränkt)

Ernst-Robert-Curtius-Str. 8a, 53117 Bonn, Deutschland

Vertreten durch: Christian Gebhardt

E-Mail: christian.gebhardt@blackfort-tec.de

2. Allgemeines

Blackfort Praxisassistenz ist eine Software, die ausschließlich für den internen Einsatz in psychotherapeutischen Praxen und Einrichtungen bereitgestellt wird. Ein öffentlicher Zugang für Patienten ist nicht vorgesehen. Alle Nutzer sind Mitarbeitende oder Inhaber der jeweiligen Praxis.

Wir verarbeiten personenbezogene Daten nur in dem Umfang, der für den Betrieb der Software erforderlich ist. Rechtsgrundlagen sind insbesondere:

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung bzw. vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen (Sicherheit, Protokollierung)
  • Art. 9 Abs. 2 lit. h DSGVO – Gesundheitliche Versorgung (pseudonymisierte Patientendaten)

3. Nutzerdaten (Login und Session)

Für den Zugang zur Software werden folgende personenbezogene Daten verarbeitet:

  • Name und E-Mail-Adresse (für Anmeldung und Benutzerverwaltung)
  • Passwort (gespeichert als sicherer Hash, nicht im Klartext)
  • Benutzerrolle (Therapeut/in oder Administrator)
  • Session-Token (kurzlebig, serverseitig validiert)

Zweck und Speicherdauer

Die Daten dienen ausschließlich der Authentifizierung und dem sicheren Betrieb der Software. Sie werden für die Dauer des Beschäftigungs- oder Vertragsverhältnisses gespeichert und nach Beendigung auf Anforderung oder nach Ablauf gesetzlicher Aufbewahrungsfristen gelöscht.

4. Patientendaten

Blackfort Praxisassistenz ist bewusst so gestaltet, dass keine identifizierenden Patientendaten in die Software eingegeben werden müssen. Konkret gilt:

  • Patienten werden ausschließlich über eine Chiffre (z. B. „M.K./24") erfasst.
  • Es werden keine Klarnamen, Geburtsdaten, Adressen oder sonstige direkt identifizierenden Merkmale gespeichert.
  • Diagnosen, Symptombeschreibungen und klinische Angaben sind dem Pseudonym zugeordnet.
  • Die Zuordnung von Chiffre zu Person verbleibt ausschließlich beim verantwortlichen Therapeuten in der Praxis.

Rechtsgrundlage und besondere Kategorien

Klinische Angaben (Diagnosen, Symptome) sind gemäß Art. 9 DSGVO besondere Kategorien personenbezogener Daten. Da sie ausschließlich pseudonymisiert verarbeitet werden und die Re-Identifizierung nur durch den behandelnden Therapeuten möglich ist, der selbst der datenschutzrechtlichen Schweigepflicht unterliegt, ist die Verarbeitung auf Basis von Art. 9 Abs. 2 lit. h DSGVO zulässig.

5. KI-gestützte Textgenerierung

Zur Unterstützung der Berichtserstellung kann die Software auf externe KI-Sprachmodelle zurückgreifen. Je nach Konfiguration des Betreibers werden folgende Dienste eingesetzt:

  • OpenAI, LLC, 3180 18th St, San Francisco, CA 94110, USA
  • Anthropic, PBC, 548 Market St, San Francisco, CA 94104, USA

Was übermittelt wird

An die KI-Dienste werden ausschließlich die vom Therapeuten eingegebenen Stichpunkte und klinischen Beschreibungen übermittelt — stets in pseudonymisierter Form. Klarnamen, vollständige Diagnose-Codes oder andere direkt identifizierende Merkmale sind nicht Bestandteil der Übermittlung.

Rechtsgrundlage und Drittlandtransfer

Die Übermittlung an US-amerikanische Anbieter erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ggf. dem EU-U.S. Data Privacy Framework. Betreiber der Software sind verpflichtet, mit dem jeweiligen Anbieter einen Auftragsverarbeitungsvertrag (AVV) abzuschließen.

Kein Training mit Ihren Daten

Sowohl OpenAI als auch Anthropic verwenden Daten, die über die API-Schnittstelle übermittelt werden, standardmäßig nicht zum Training ihrer Modelle (sofern kein gesondertes Training vereinbart wurde). Die jeweils aktuellen Datenschutzbestimmungen der Anbieter sind maßgeblich.

6. Audit-Protokollierung

Die Software protokolliert sicherheitsrelevante Aktionen (z. B. Login, Berichterstellung, Datenlöschung) in einem internen Audit-Log. Dieses Log enthält:

  • Benutzerkennung und Zeitstempel der Aktion
  • Art der Aktion (z. B. REPORT_CREATED, PATIENT_DELETED)
  • Betroffene Datensätze (Chiffre, keine Klarnamen)

Das Audit-Log dient der Nachvollziehbarkeit und der Sicherheit des Praxisbetriebs. Es wird für mindestens 12 Monate aufbewahrt und ist nur für Administratoren einsehbar.

7. Hosting und technischer Betrieb

Blackfort Praxisassistenz wird auf einem vom Betreiber (der jeweiligen Praxis oder Einrichtung) kontrollierten Server betrieben. Es erfolgt keine automatische Übermittlung von Daten an externe Cloud-Dienste über den im Betrieb konfigurierten KI-Dienst hinaus.

Für den Betrieb anfallende Server-Logs (IP-Adressen, Anfrage-Zeitstempel) werden ausschließlich zur Fehlerdiagnose und Sicherheit genutzt und nach spätestens 30 Tagen automatisch gelöscht.

8. Datenweitergabe an Dritte

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur in folgenden Fällen:

  • An den konfigurierten KI-Dienstleister im Rahmen der Textgenerierung (ausschließlich pseudonymisierte Daten, siehe Abschnitt 5)
  • Wenn eine gesetzliche Verpflichtung zur Weitergabe besteht
  • Mit ausdrücklicher Einwilligung der betroffenen Person

Ein Verkauf oder eine kommerzielle Weitergabe von Nutzerdaten findet nicht statt.

9. Ihre Rechte als betroffene Person

Als betroffene Person stehen Ihnen nach der DSGVO folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Auskunft über gespeicherte Daten
  • Berichtigungsrecht (Art. 16 DSGVO): Berichtigung unrichtiger Daten
  • Löschungsrecht (Art. 17 DSGVO): Löschung unter den gesetzlichen Voraussetzungen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: christian.gebhardt@blackfort-tec.de

10. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für Nordrhein-Westfalen ist dies:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW

Kavalleriestr. 2–4, 40213 Düsseldorf

www.ldi.nrw.de

11. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte Rechtslage, technische Weiterentwicklungen oder neue Verarbeitungsvorgänge anzupassen. Die jeweils aktuelle Version ist unter /datenschutz abrufbar.