RUDI

Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Mirza Karamehmedovic
Elberfelder Straße 29
10555 Berlin
Deutschland
E-Mail: m.karamehmedovic@gmail.com

Ein Datenschutzbeauftragter ist derzeit nicht bestellt. Bei Fragen zum Datenschutz wenden Sie sich direkt an die oben genannte E-Mail-Adresse.

2. Geltungsbereich und Rollenverteilung

Diese Datenschutzerklärung beschreibt, wie RUDI personenbezogene Daten von Therapeuten-Nutzern und Website-Besuchern verarbeitet.

Patientendaten: Wenn Therapeuten RUDI für die Sitzungsdokumentation verwenden, verarbeitet RUDI Inhalte, die Patientendaten enthalten können. In dieser Funktion handelt RUDI ausschließlich als Auftragsverarbeiter im Auftrag des jeweiligen Therapeuten, der als Verantwortlicher fungiert. Die Rechtsgrundlage für die Verarbeitung von Patientendaten obliegt dem Therapeuten. Die Einzelheiten dieser Auftragsverarbeitung werden im Auftragsverarbeitungsvertrag (AVV) geregelt, den RUDI mit jedem Therapeuten-Nutzer abschließt.

3. Verarbeitete Daten, Zwecke und Rechtsgrundlagen

3.1 Nutzerkonto (Therapeuten-Konto)

Bei der Registrierung und Nutzung von RUDI verarbeiten wir folgende Daten:

  • E-Mail-Adresse (Pflichtfeld)
  • Telefonnummer (für SMS-Zwei-Faktor-Authentifizierung)
  • Interne Nutzer-ID (UUID, automatisch generiert)
  • Zeitstempel der Konto-Erstellung und letzten Aktualisierung
  • Kontostatus (aktiv, gesperrt, gelöscht)
  • Einstellungen (Standard-Vorlagen, Präferenzen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verarbeitung ist für die Bereitstellung des RUDI-Dienstes erforderlich.

3.2 Sitzungsdokumentation (als Auftragsverarbeiter)

Im Rahmen der Nutzung des Kerndienstes verarbeitet RUDI im Auftrag des Therapeuten:

  • Audiodaten: Sitzungsaudio wird ausschließlich in Echtzeit zur Transkription gestreamt und nicht gespeichert.
  • Transkripte: Rohe und bereinigte Sprachtranskripte werden temporär gespeichert und nach Freigabe der Notiz automatisch gelöscht.
  • KI-generierte Notizen: Vom Therapeuten freigegebene finale Sitzungsnotizen werden dauerhaft gespeichert. Nicht freigegebene Entwürfe werden nach 30 Tagen automatisch gelöscht.
  • Interne Patienten-ID: Vom Therapeuten zugewiesene pseudonyme Kennung. RUDI speichert keine echten Patientennamen, Geburtsdaten oder sonstigen direkt identifizierenden Patienteninformationen.
  • Einwilligungsbestätigung: Zeitstempel der vom Therapeuten bestätigten mündlichen Einwilligung des Patienten.

Rechtsgrundlage: Verarbeitung im Auftrag des Therapeuten (Art. 28 DSGVO). Der Therapeut trägt die Verantwortung für die Rechtsgrundlage gegenüber dem Patienten (in der Regel Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit der berufsrechtlichen Schweigepflicht gemäß § 203 StGB).

3.3 Sicherheitsprotokollierung (Audit-Trail)

Für Sicherheitszwecke und zur Nachvollziehbarkeit von Änderungen protokollieren wir alle relevanten Aktionen (z. B. Anmeldung, Notizgenerierung, Freigabe, Löschung) mit Nutzer-ID, Zeitstempel und Aktionstyp. IP-Adressen werden zur Missbrauchserkennung und Ratenbegrenzung verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an Systemsicherheit und Nachvollziehbarkeit) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Datensicherheit gemäß Art. 32 DSGVO).

3.4 Kontaktformular

Bei Kontaktaufnahme über das Formular auf unserer Website verarbeiten wir Name, E-Mail-Adresse und den Inhalt Ihrer Nachricht, um Ihre Anfrage zu beantworten. Diese Daten werden über den Dienstleister Brevo SAS (Paris, Frankreich) zugestellt und nicht für andere Zwecke verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

4. Auftragsverarbeiter und Empfänger

RUDI setzt für die Erbringung seiner Dienste sorgfältig ausgewählte Auftragsverarbeiter ein, mit denen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen wurden oder werden. Alle Auftragsverarbeiter verarbeiten Daten ausschließlich innerhalb der Europäischen Union.

Cloud-Infrastruktur, Authentifizierung und KI-Verarbeitung

Hosting, Datenbankspeicherung, Nutzerverwaltung, KI-gestützte Notizerstellung und Systemprotokollierung werden von einem Cloud-Infrastrukturanbieter mit Sitz in der EU erbracht.

Verarbeitungsort: Deutschland (Frankfurt) · AVV geschlossen

Spracherkennung (Speech-to-Text)

Die Echtzeit-Transkription von Sitzungsaudio erfolgt durch einen EU-basierten Spracherkennungsdienst. Audio wird ausschließlich als Echtzeit-Stream verarbeitet und nicht gespeichert. Der Anbieter verwendet keine Kundendaten für das Training eigener Modelle.

Verarbeitungsort: Europäische Union · AVV in Vorbereitung

Transaktionaler E-Mail-Versand

Der Versand von Kontaktformular-Nachrichten erfolgt über einen EU-basierten E-Mail-Dienstleister. Sitzungs- oder Patientendaten werden über diesen Dienst nicht verarbeitet.

Verarbeitungsort: Europäische Union · AVV geschlossen

Eine Weitergabe personenbezogener Daten an Dritte außerhalb der oben genannten Kategorien von Auftragsverarbeitern oder außerhalb der EU/des EWR findet nicht statt. Die vollständige Liste der eingesetzten Auftragsverarbeiter ist Therapeuten-Kunden im Rahmen des Auftragsverarbeitungsvertrags (AVV) zugänglich.

5. Datenübermittlung in Drittländer

Alle Daten werden auf Servern innerhalb der Europäischen Union verarbeitet und gespeichert. Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet nicht statt.

6. Speicherdauer und Löschung

DatenkategorieSpeicherdauer
SitzungsaudioWird nicht gespeichert (Echtzeit-Streaming)
Rohe und bereinigte TranskripteAutomatische Löschung nach Notizfreigabe, spätestens nach 2 Stunden
Nicht freigegebene Notizentwürfe30 Tage nach Erstellung
Freigegebene finale Notizen10 Jahre (gemäß Berufsordnungen für Psychotherapeuten)
Audit-Protokolle7 Jahre
Nutzerkonto-DatenBis zur Löschung des Kontos, vorbehaltlich gesetzlicher Aufbewahrungspflichten
Kontaktformular-DatenNach abschließender Bearbeitung der Anfrage, in der Regel innerhalb von 3 Monaten

7. Ihre Rechte als betroffene Person

Als betroffene Person stehen Ihnen folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten.
  • Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine Aufbewahrungspflichten entgegenstehen.
  • Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich an: m.karamehmedovic@gmail.com. Wir beantworten Anfragen innerhalb von 30 Tagen.

Hinweis zu Patientendaten: Soweit es sich um Daten handelt, die RUDI im Auftrag eines Therapeuten verarbeitet, richten Sie Ihre Anfrage bitte an den jeweiligen Therapeuten als Verantwortlichen. RUDI unterstützt den Therapeuten bei der Erfüllung solcher Anfragen im Rahmen des AVV.

8. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
www.datenschutz-berlin.de

9. Sicherheitsmaßnahmen

RUDI setzt technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen, darunter: Verschlüsselung aller Verbindungen (TLS), Verschlüsselung gespeicherter Daten, Zwei-Faktor-Authentifizierung, Zugriffsbeschränkungen, automatische Löschung temporärer Daten und lückenlose Protokollierung aller Datenzugriffe. Einzelheiten finden sich in unseren Technisch-Organisatorischen Maßnahmen (TOMs), die Bestandteil des AVV sind.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen des Dienstes oder der rechtlichen Anforderungen zu aktualisieren. Die jeweils aktuelle Version ist unter dieser URL abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.