Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten bei der Nutzung von Speedicus.
Gültig ab: 01.01.2026
1. Begriffsbestimmungen
Im Rahmen unserer Dienstleistungen stellen wir die Plattform Speedicus (nachfolgend „Speedicus") qualifizierten Ärztinnen und Ärzten (einschließlich ihrer jeweiligen medizinischen Einrichtung) sowie anderen Angehörigen der Gesundheitsberufe (nachfolgend „Fachkräfte") zur Verfügung. Speedicus unterstützt die Erbringung von Gesundheitsdienstleistungen durch KI-gestützte Verwaltungs- und Dokumentationsfunktionen.
In diesen Datenschutzhinweisen gelten folgende Begriffsbestimmungen:
- „Wir", „uns" oder „unser" – bezeichnet W&M IT-Solutions UG (haftungsbeschränkt), Kaiserin-Augusta-Allee 111, 10553 Berlin, AG Charlottenburg HRB 202200, USt-IdNr. DE 320 062 770.
- „Unsere Dienste" – bezeichnet die Bereitstellung von Speedicus an Sie als Fachkraft sowie damit verbundene Dienstleistungen.
- „Sie" – bezeichnet Sie als Leserin oder Leser dieser Datenschutzhinweise.
- „Ihre Daten" – bezeichnet Ihre personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO.
- „Datenschutzgesetze" – bezeichnet alle anwendbaren Datenschutz- und Datensicherheitsvorschriften, insbesondere die DSGVO, das BDSG, das TDDDG sowie anwendbare Gesundheitsdatenschutzvorschriften.
Speedicus umfasst folgende Produkte und Funktionen:
- Speedicus Übersetzer – KI-gestützte Übersetzung medizinischer Texte, Patientengespräche, Bilder und PDFs aus Text-, Audio-, Bild- oder Dokumentupload
- Speedicus Arztbriefgenerator – KI-gestützte, schrittweise Erstellung von Arztbriefen, die Befunde und Kontextinformationen Abschnitt für Abschnitt strukturiert zusammenführt
- Speedicus Sprechstundenassistent – Aufnahme von Patientengesprächen mit automatischer Übersetzung und Strukturierung zu einem fertigen Arztbrief
- Speedicus MedAssist – datenschutzkonformer KI-Chat für Atteste, Gutachten und sonstige medizinische Schreibarbeit (keine Diagnosen, kein Medizinprodukt)
- Speedicus Editor – Editor zur Erstellung und Bearbeitung medizinischer Dokumente aus wiederverwendbaren Bausteinen und Vorlagen im Stil der jeweiligen Einrichtung
Speedicus ist ein Werkzeug zur Unterstützung der administrativen und dokumentarischen Tätigkeit von Fachkräften. Es ist nicht dazu bestimmt, das klinische Urteil, Diagnosen oder Behandlungsentscheidungen zu ersetzen.
2. Welche Daten erheben wir?
Wir erheben und verarbeiten personenbezogene Daten, von Fachkräften eingegebene Gesundheitsdaten, Geräte- und Nutzungsdaten zur Erbringung und Verbesserung unserer Dienste.
Wenn Sie auf unsere Website, Plattform oder andere Dienste zugreifen, erheben und verarbeiten wir die nachfolgend dargestellten Datenkategorien. Die Verarbeitung erfolgt zur Erbringung des Vertrags, auf Grundlage berechtigter Interessen sowie gegebenenfalls auf Grundlage Ihrer ausdrücklichen Einwilligung, die zum Zeitpunkt der Datenerhebung transparent eingeholt wird.
Soweit Sie die erbetenen Angaben nicht bereitstellen, kann dies dazu führen, dass wir unsere Dienste Ihnen gegenüber nicht oder nicht vollständig erbringen können.
| Kategorie | Erläuterung | Betroffene Produkte |
|---|---|---|
| Konto- und Identitätsdaten | Bei Registrierung und Anmeldung über unseren Identitäts-/Authentifizierungsdienstleister erhobene Daten: Vor- und Nachname sowie E-Mail-Adresse, zusammen mit den für die Authentifizierung technisch erforderlichen Angaben (z. B. Kennung/Provider-User-ID und Token-Angaben). | Alle |
| Optionale Anschrift | Eine Anschrift (z. B. Praxis- bzw. Rechnungsanschrift) kann freiwillig angegeben werden. Die Angabe ist optional und keine Voraussetzung für die Nutzung von Speedicus. | Alle |
| Von Fachkräften eingegebene Inhalts- und Gesundheitsdaten | Von Ihnen eingegebene Freitexte (z. B. Anamnese, Vitalparameter, Untersuchungsbefunde, Befunde, Diagnosen, Medikation, Epikrise) sowie Inhalte hochgeladener Dokumente, Bilder und Audioaufnahmen. Diese können besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (Gesundheitsdaten) enthalten. Diese Daten werden zur Erbringung der Funktion verarbeitet und nicht dauerhaft auf unseren Servern gespeichert (siehe Abschnitte 4 und 6). Es werden keine Patientendaten zum Trainieren, Entwickeln oder Verbessern von KI-Modellen verwendet. | Übersetzer, Arztbriefgenerator, Sprechstundenassistent, MedAssist, Editor |
| Vorlagen- und Konfigurationsdaten | Von Ihnen erstellte oder angepasste Vorlagen (z. B. Arztbrief-, Untersuchungs- und Abschnittsvorlagen) sowie deren Nutzung. Diese können von Ihnen hinterlegte medizinische Textbausteine enthalten. | Arztbriefgenerator, Editor |
| Sicherheits- und Datenschutzeinstellungen | Von Ihnen verwaltete Einstellungen (z. B. Einstellungen zu Marketing-E-Mails und Aktivitätsverfolgung). | Alle |
| Geräte- und Verbindungsdaten | Technische Daten, die bei der Nutzung anfallen, wie IP-Adresse, Browsertyp, Geräte-/Verbindungsinformationen und Standard-Webprotokollinformationen. | Alle |
| Nutzungs- und Sitzungsdaten | Sitzungsinformationen zur Authentifizierung (siehe Abschnitt 8) sowie technische Nutzungsangaben (z. B. ob eine Generierung oder Inhaltsextraktion erfolgreich war, genutzte Funktionen, anfallende Verarbeitungs-/Token-Mengen). | Alle |
3. Wie erheben wir Ihre Daten?
Wir erheben Ihre personenbezogenen Daten überwiegend unmittelbar bei der Interaktion mit uns. Die wichtigsten Erhebungswege sind:
| Erhebungsweg | Erläuterung |
|---|---|
| Registrierung und Anmeldung | Bei der Registrierung und Anmeldung über unseren Identitäts-/Authentifizierungsdienstleister. |
| Kommunikation | Bei der Kommunikation mit uns, z. B. per E-Mail oder über Speedicus. |
| Nutzung | Bei der Interaktion mit unserer Website, Speedicus, unseren Diensten und Inhalten (einschließlich Ihrer Texteingaben und hochgeladenen Dateien). |
Darüber hinaus können wir Daten über Sie von Dienstleistern erhalten, die wir zur Bereitstellung von Speedicus einsetzen, insbesondere von unserem Identitäts-/Authentifizierungsdienstleister, der die Anmeldung abwickelt und uns die hierfür erforderlichen Konto- und Identitätsdaten übermittelt.
4. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten, um unsere Produkte und Dienstleistungen bereitzustellen und weiterzuentwickeln.
Wir verfolgen den Grundsatz Privacy by Design und integrieren den Datenschutz von Beginn an in die Gestaltung unserer Systeme und Geschäftsprozesse. Unsere Maßnahmen umfassen Verschlüsselung, strenge Zugriffskontrollen und eine datenminimierende Architektur (siehe Abschnitt 9). Von Fachkräften eingegebene Inhalts- und Gesundheitsdaten werden ausschließlich zur Erbringung der jeweils angeforderten Funktion verarbeitet und nicht dauerhaft auf unseren Servern gespeichert.
Sollten wir bereits erhobene personenbezogene Daten zu einem anderen als dem in diesen Datenschutzhinweisen genannten Zweck verwenden wollen, werden wir Sie vorab benachrichtigen und Ihnen Wahlmöglichkeiten einräumen.
| Zweck | Beschreibung | Produkte | Rechtsgrundlage |
|---|---|---|---|
| Bereitstellung | Ermöglichung des Zugangs zu und der Nutzung unserer Website, Speedicus und anderer Dienste, einschließlich Konto-/Profilverwaltung und Authentifizierung. | Alle | Art. 6 Abs. 1 lit. b DSGVO |
| KI-gestützte Verarbeitung | Verarbeitung Ihrer Texteingaben, hochgeladenen Dokumente, Bilder und Audioaufnahmen zur Texterstellung, Inhaltsextraktion, Transkription, Strukturierung und Übersetzung. Soweit hierbei Gesundheitsdaten verarbeitet werden, erfolgt dies in Ihrem Auftrag (siehe Abschnitt 6). | Übersetzer, Arztbriefgenerator, Sprechstundenassistent, MedAssist, Editor | Art. 6 Abs. 1 lit. b DSGVO; bei Gesundheitsdaten Art. 9 Abs. 2 lit. h/i.V.m. Abs. 3 DSGVO sowie auf Grundlage Ihrer Verantwortlichkeit und Einwilligungen gegenüber Ihren Patient:innen |
| Verbesserung | Gestaltung, Bereitstellung, Verbesserung und Verwaltung von Speedicus, z. B. auf Grundlage technischer Nutzungs- und Fehlerdaten. Hierfür werden keine Patienten- bzw. Gesundheitsdaten und keine Inhalte zum Training von KI-Modellen verwendet. | Alle | Art. 6 Abs. 1 lit. f DSGVO |
| Sicherheit | Gewährleistung der Sicherheit von Konten und Plattform, Missbrauchs- und Betrugsprävention. | Alle | Art. 6 Abs. 1 lit. f DSGVO |
| Support und Kontaktaufnahme | Versand von Service-, Support- und Verwaltungsnachrichten, technischen Hinweisen, Updates und Sicherheitswarnungen sowie Benachrichtigung über wichtige Angelegenheiten betreffend Speedicus oder Ihre Daten. | Alle | Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO |
| Marketing | Versand von Marketing- und Werbemitteilungen, soweit Sie eingewilligt haben (siehe Abschnitt 5). | Alle | Art. 6 Abs. 1 lit. a DSGVO |
| Rechtliche Pflichten | Erfüllung gesetzlicher Verpflichtungen und Unterstützung von Behörden, soweit gesetzlich vorgeschrieben oder zulässig. | Alle | Art. 6 Abs. 1 lit. c DSGVO |
Sofern nicht gesetzlich zulässig oder vorgeschrieben, verarbeiten wir Gesundheitsdaten nicht ohne die erforderliche Rechtsgrundlage bzw. Einwilligung.
5. Marketing und Abmeldemöglichkeiten
Sie können sich jederzeit von unserer Marketingkommunikation abmelden.
Wir können Ihnen Direktmarketing-Mitteilungen über unsere Dienstleistungen und Produkte zusenden, etwa per E-Mail. Die Verarbeitung Ihrer Daten für Marketingzwecke erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit widerrufen, über die Abmeldefunktion in der jeweiligen Nachricht, über Ihre Datenschutzeinstellungen im Konto oder durch Kontaktaufnahme gemäß Abschnitt 12.
Ohne Ihre Einwilligung werden wir weder Gesundheitsdaten für Marketingzwecke verwenden noch Ihre Daten an Dritte zu deren Marketingzwecken weitergeben.
6. Datenspeicherung und internationale Datenübermittlung
6.1 Speicherung und Auftragsverarbeitung
Ihre Konto- und Vorlagendaten sowie eine ggf. optional angegebene Anschrift werden in einer von uns betriebenen Datenbank gespeichert, die bei einem Datenbank-Hosting-Dienstleister gehostet wird. Von Fachkräften eingegebene Inhalts- und Gesundheitsdaten (Freitexte, hochgeladene Dokumente, Bilder, Audio) werden zur Erbringung der jeweiligen Funktion verarbeitet und nicht dauerhaft auf unseren Servern gespeichert; sie werden nach der Verarbeitung nicht in unserer Datenbank abgelegt.
Soweit wir bei der Bereitstellung von Speedicus Gesundheits- und Patientendaten in Ihrem Auftrag verarbeiten, geschieht dies auf Grundlage eines Vertrags zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO. Sie bleiben datenschutzrechtlich Verantwortlicher für die von Ihnen eingebrachten Patienten- und Falldaten.
6.2 Verarbeitung innerhalb der EU/Deutschlands
Die Verarbeitung Ihrer Daten erfolgt ausschließlich innerhalb der EU bzw. des EWR; derzeit findet die KI-Verarbeitung in Deutschland statt. Der überwiegende Teil der Funktionen wird mit unseren eigenen KI-Modellen verarbeitet, die auf Servern in Deutschland (AWS-Region Deutschland) gehostet werden. Ausschließlich für die Funktion MedAssist setzen wir für die KI-Verarbeitung einen externen Dienst über Amazon Bedrock ein; auch diese Verarbeitung findet innerhalb Deutschlands statt. Eine Übermittlung von Patienten- und Gesundheitsdaten in Länder außerhalb der EU/des EWR (Drittländer) erfolgt nicht.
Lediglich bei der Zahlungsabwicklung über unseren Zahlungsdienstleister Stripe kann eine Verarbeitung von Zahlungs- und Abrechnungsdaten außerhalb der EU/des EWR (insbesondere in den USA) erfolgen. In diesem Fall stellen wir sicher, dass geeignete Garantien gemäß Art. 44–49 DSGVO (z. B. EU-Standardvertragsklauseln) vorliegen. Patienten- und Gesundheitsdaten werden hierbei nicht übermittelt.
Sollte sich dies künftig ändern, informieren wir Sie und schaffen die erforderlichen Rechtsgrundlagen.
6.3 Eingesetzte Subunternehmer (Auftragsverarbeiter)
Zur Bereitstellung von Speedicus setzen wir die folgenden Kategorien von Subunternehmern ein:
| Infrastruktur | Dienstleister | Zweck |
|---|---|---|
| KI-Verarbeitung | AWS (Region Deutschland), Amazon Bedrock (nur MedAssist) | KI-Verarbeitung mit unseren eigenen Modellen sowie, ausschließlich für MedAssist, über Amazon Bedrock |
| Authentifizierung | Kinde | Registrierung, Anmeldung und Verwaltung von Zugangsdaten |
| Datenbank | Neon | Speicherung von Konto- und Vorlagendaten |
| Hosting | Render, AWS, Cloudflare | Betrieb und Auslieferung der Software/Service |
| Zahlungsabwicklung | Stripe | Abwicklung von Zahlungen und Abonnements |
Eine aktuelle Liste unserer Unterauftragsverarbeiter stellen wir auf Anfrage zur Verfügung bzw. veröffentlichen wir unter [Link zur Subprozessor-Liste].
6.4 Mobiler Upload (Audio/Dokumente)
Wenn Sie Audioaufnahmen oder Dateien von einem mobilen Endgerät übertragen, werden diese kurzzeitig zwischengespeichert, um sie an Ihre aktive Sitzung auszuliefern. Diese Zwischenspeicherung ist zeitlich eng begrenzt; die Daten werden nach der Übertragung bzw. nach Ablauf einer kurzen Frist (im Minutenbereich) automatisch gelöscht.
7. Empfänger Ihrer Daten
Wir können Ihre personenbezogenen Daten an die nachfolgend genannten Empfänger weitergeben, soweit dies für die in diesen Datenschutzhinweisen genannten Zwecke erforderlich ist:
- unsere Beschäftigten und – soweit vorhanden – verbundene Unternehmen;
- externe Dienstleister und Auftragsverarbeiter (siehe Abschnitt 6, einschließlich KI-, Authentifizierungs-, Hosting- und Datenbankanbieter);
- fachliche Berater, Vertreter und Bevollmächtigte;
- Erwerber im Falle einer Unternehmensübertragung, sofern der Empfänger sich zur Einhaltung vergleichbarer Datenschutzstandards verpflichtet;
- von Ihnen ausdrücklich autorisierte Dritte;
- staatliche Stellen, Aufsichtsbehörden und Strafverfolgungsbehörden, soweit gesetzlich vorgeschrieben oder zulässig.
8. Cookies, lokale Speicherung und Webseiten-Nutzung
8.1 Cookies
In der Anwendung (Service) setzen wir ausschließlich technisch notwendige Cookies ein. Auf unserer Marketing-Website setzen wir zusätzlich – nur mit Ihrer Einwilligung – Analyse-Cookies ein.
| Cookie | Zweck | Rechtsgrundlage |
|---|---|---|
Sitzungs-Cookie (icarus_bff) | Technisch notwendig zur Aufrechterhaltung Ihrer angemeldeten Sitzung im Service. Gültigkeit bis zu 30 Tage. | Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TDDDG |
| Google Analytics | Reichweitenmessung und Analyse der Nutzung unserer Marketing-Website. Wird ausschließlich auf der Marketing-Website und nur nach Ihrer Einwilligung gesetzt; im Service (Anwendung) kommt Google Analytics nicht zum Einsatz. | Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG |
Analyse-Cookies (Google Analytics) setzen wir nur auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
8.2 Lokale Speicherung im Browser
Zur Bereitstellung der Funktionalität speichert Speedicus bestimmte Daten (z. B. Entwürfe, Vorlagen und hochgeladene Dateien) während Ihrer aktiven Sitzung nur flüchtig lokal in Ihrem Browser. Diese Daten können medizinische Inhalte enthalten. Beim Abmelden werden sie gelöscht; Sie können sie zudem jederzeit über die Funktionen Ihres Browsers entfernen.
9. Technische und organisatorische Maßnahmen
Wir ergreifen umfangreiche Maßnahmen zum Schutz Ihrer Daten. Unsere Website, Speedicus und unsere Arbeitsumgebung verfügen über integrierte technische und organisatorische Maßnahmen zum Schutz vor Missbrauch, Manipulation, Verlust und unbefugtem Zugriff.
| Maßnahme | Erläuterung |
|---|---|
| Verschlüsselung bei der Übertragung | Übertragung von Daten ausschließlich über verschlüsselte Verbindungen (HTTPS/TLS). |
| Verschlüsselung sensibler Zugangsdaten | Authentifizierungs-Token werden vor der Speicherung verschlüsselt; Sitzungskennungen werden nur als Hash gespeichert. |
| Datenminimierende Architektur | Von Fachkräften eingegebene Inhalts- und Gesundheitsdaten werden transient verarbeitet und nicht dauerhaft serverseitig gespeichert. |
| Zugriffskontrollen | Zugriff auf die Plattform nur nach Authentifizierung; Schutz vor websiteübergreifenden Anfragefälschungen (CSRF) bei verändernden Anfragen. |
| Sichere Speicherung | Kombinierte technische und organisatorische Maßnahmen zur Gewährleistung der Plattformsicherheit und zum Schutz Ihres Kontos. |
| Datenminimierung und Löschung | Daten werden nur so lange aufbewahrt, wie es für die genannten Zwecke erforderlich oder gesetzlich vorgeschrieben ist; anschließend erfolgt die Löschung. Kurzlebige Zwischenspeicher (z. B. für mobilen Upload) werden automatisch nach kurzer Zeit gelöscht. |
10. Ihre Rechte als betroffene Person
Sie haben umfassende Rechte in Bezug auf Ihre personenbezogenen Daten. Im Rahmen der DSGVO stehen Ihnen die folgenden Rechte zu:
| Recht | Erläuterung |
|---|---|
| Auskunft (Art. 15) | Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen. |
| Berichtigung (Art. 16) | Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen. |
| Löschung (Art. 17) | Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die gesetzlichen Voraussetzungen vorliegen. |
| Einschränkung (Art. 18) | Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen. |
| Datenübertragbarkeit (Art. 20) | Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln. |
| Widerruf der Einwilligung (Art. 7 Abs. 3) | Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. |
| Beschwerde (Art. 77) | Sie haben das Recht auf Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde. |
Zur Ausübung Ihrer Rechte teilen Sie uns bitte Ihren Namen und Ihre Kontaktdaten mit und beschreiben Sie Ihr Anliegen. Wir bestätigen den Eingang Ihrer Anfrage umgehend und streben eine Beantwortung innerhalb von 30 Tagen an. Soweit wir Ihrer Anfrage nicht entsprechen können, werden wir Ihnen die Gründe erläutern. Eine Identitätsprüfung kann zum Schutz Ihrer Daten erforderlich sein.
Widerspruchsrecht gemäß Art. 21 DSGVO
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen. Legen Sie Widerspruch ein, verarbeiten wir Ihre Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Bei Fragen oder Bedenken zum Datenschutz wenden Sie sich bitte an [email protected].
11. Verantwortlicher und Kontakt
Angaben zum Verantwortlichen und zu Ihren Kontaktmöglichkeiten gemäß Art. 13 Abs. 1 DSGVO.
Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO:
W&M IT-Solutions UG (haftungsbeschränkt)
AG Charlottenburg HRB 202200
Kaiserin-Augusta-Allee 111
10553 Berlin
Deutschland
[email protected]
Datenschutzbeauftragter gemäß Art. 37 DSGVO:
E-Mail: [email protected]
Für alle datenschutzrechtlichen Anfragen, insbesondere zur Ausübung Ihrer Betroffenenrechte, wenden Sie sich bitte an die/den Datenschutzbeauftragten.
Gültig ab: 01.01.2026