Datenschutzerklärung
VIA Software
1. Geltungsbereich
Der Schutz personenbezogener Daten ist uns, der VIA HealthTech UG (haftungsbeschränkt),Bredtschneiderstraße 10, 14057 Berlin (im Folgenden „VIA HealthTech“oder “wir“), ein wichtiges Anliegen. Wir verarbeiten Ihre personenbezogenen Daten nur in Übereinstimmung mit den gesetzlichen Regelungen, insbesondere mit der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden „DSGVO“) und dem Bundesdatenschutzgesetz (im Folgenden „BDSG“).
Diese Datenschutzerklärung informiert Sie gemäß den Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten und Ihre Rechte als Betroffener bei der Nutzung unserer Webseite, im Falle von Direktwerbung sowie bei dem Aufsuchen unserer Präsenzen in Sozialen Medien.
Ferner informiert Sie diese Datenschutzerklärung über den Schutz Ihrer Privatsphäre auf der von Ihnen genutzten Endeinrichtung i.S.d. § 25 des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (im Folgenden „TDDDG“).
2. Verantwortlicher und Datenschutzbeauftragter
Verantwortlich für die in dieser Datenschutzerklärung beschriebenen Datenverarbeitungen ist:
VIA HealthTech UG (haftungsbeschränkt)
Bredtschneiderstraße 10
14057 Berlin
manuel@via-health.de
Unsere Datenschutzbeauftragte erreichen Sie unter der E-Mail-Adresse: m.martinsdealmeida@mhl.de
3. Datenverarbeitung bei Nutzung unserer Software
Die Software ermöglicht es unseren Kunden mittels Einsatzes modernster KI-Technologien automatisiert Sitzungsnotizen sowie patientenspezifische psychologische Berichte zu erstellen.
3.1. Datenverarbeitung bei allgemeiner Nutzung unserer Software
Bei der Nutzung der Software werden durch Ihren Internet-Browser automatisch Internetverbindungsdaten sowie bestimmte, im Internet-Browser Ihres Endgeräts gespeicherte Telemedien- und Nutzungsdaten an unsere Server gesendet und von uns verarbeitet.
3.1.1. Internetverbindungsdaten
Wenn Sie unsere Software nutzen, verarbeiten wir die Internetverbindungsdaten, die Ihr Internet-Browser automatisch an unseren Server übermittelt. Bei diesen Daten handelt es sich um Ihre IP-Adresse und weitere Nutzungsdaten (z.B. Datum und Uhrzeit des Aufrufs, Name der aufgerufenen Seite, übertragene Datenmenge und den anfragenden Provider). Wir benötigen diese Informationen, um Ihnen die Nutzung unserer Software zu ermöglichen, zum Beispiel durch Anpassung der Software auf die technischen Voraussetzungen Ihres Endgeräts.
Bei diesen Internetverbindungsdaten kann es sich auch um personenbezogene Daten handeln. Rechtsgrundlage für diese Datenverarbeitung ist unser berechtigtes Interesse, die Sicherheit und Nutzbarkeit unserer Software zu gewährleisten, Art. 6 Abs. 1 Buchst. f DSGVO. Wir speichern die betreffenden personenbezogenen Daten für eine Dauer von bis zu 365 Tagen.
3.1.2. Cookies
Bei der Nutzung unserer Software werden Cookies eingesetzt. Bei Cookies handelt es sich um kleine Textdateien, die dem von Ihnen verwendeten Browser zugeordnet und auf der Festplatte des von Ihnen genutzten Endgerätes gespeichert werden. Cookies können keine Programme ausführen oder Viren übertragen.
Bei der Nutzung unserer Software werden ausschließlich technisch notwendige Cookies eingesetzt. Sie dienen dazu, Ihnen die Nutzung unserer Software zu ermöglichen und die Sicherheit der Software zu gewährleisten. Ohne diese Cookies können bestimmte Services nicht bereitgestellt werden. Der Zugriff auf Ihr Endgerät erfolgt in diesen Fällen auf Grundlage von § 25 Abs. 2 Ziffer 2 TDDDG. Soweit diese Informationen einen Personenbezug aufweisen und von uns weiterverarbeitet werden, ist Rechtsgrundlage dieser Datenverarbeitung unser berechtigtes Interesse an der Bereitstellung unserer Software und der Gewährleistung von Datensicherheit, Art. 6 Abs. 1 Buchst. f DSGVO. Wenn die Datenverarbeitung der Erfüllung eines Vertrages dient, ist ihre Rechtsgrundlage Art. 6 Abs. 1 Buchst. b DSGVO.
3.2. Datenverarbeitung bei der Erstellung automatisierter Sitzungsnotizen
Wenn Sie die Software nutzen, um automatisierte Sitzungsnotizen zu erstellen, wird hierfür zunächst die Audiospur der Therapiesitzung aufgezeichnet und im Anschluss transkribiert. Das Transkript wird dann im nächsten Schritt zu einem Sitzungsprotokoll zusammengefasst.
Dabei werden personenbezogene Daten verarbeitet, die im Rahmen Ihrer Nutzung der Software generiert werden. Dazu zählen insbesondere sämtliche Gesprächsinhalte, die während der Therapiestunde besprochen werden.
Die Transkribierung der Audiospur sowie die Erstellung der Sitzungsprotokolle erfolgen durch den Einsatz von Large Language Models (LLMs) verschiedener Drittanbieter („LLM-Anbieter“). Die ausgewählten LLM-Anbieter verarbeiten Ihre Daten in unserem Auftrag, das heißt ausschließlich nach unseren Weisungen. Wir haben entsprechende Vereinbarungen zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Weitere Informationen über die Einhaltung der Bestimmungen der DSGVO und darüber hinaus können Sie dem Anhang entnehmen.
Die LLMs werden von den jeweiligen LLM-Anbietern in deren alleiniger Verantwortung betrieben. Über unsere Plattform können die LLMs in dem Umfang genutzt werden, in dem die jeweiligen Anbieter ihre Dienste bereitstellen. Wir haben keinen Einfluss auf die technische Gestaltung sowie den Funktionsumfang der von den LLM-Anbietern bereitgestellten Dienste und übernehmen keine Gewährleistung für einen bestimmten Funktionsumfang.
Rechtsgrundlage der Datenverarbeitung ist der mit Ihnen geschlossene Vertrag über die Bereitstellung der Software, Art. 6 Abs. 1 Buchst. b DSGVO sowie unsere berechtigten Interessen an der Bereitstellung der Funktionalitäten der Software, Art. 6 Abs. 1 Buchst. f DSGVO.
3.3. Datenverarbeitung bei der Erstellung psychologischer Berichte
Wenn Sie die Software nutzen, um automatisiert patientenspezifische psychologische Berichte zu erstellen, müssen Sie zunächst relevante Patientendaten wie z.B. Sitzungsprotokolle auswählen. Falls die von Ihnen gewählten Sitzungsprotokolle nicht bereits anonymisiert sind, können diese zunächst optional anonymisiert werden. Die Software erstellt sodann aus den zur Verfügung gestellten Daten einen patientenspezifischen psychologischen Bericht, der im Anschluss gespeichert wird.
Dabei werden personenbezogenen Daten verarbeitet, die im Rahmen Ihrer Nutzung der Software generiert werden. Dazu zählen insbesondere Daten, die Sie bspw. anhand von Sitzungsprotokollen der Software zur Verfügung stellen, um daraus Berichte erstellen zu lassen.
Die Erstellung der patientenspezifischen psychologischen Berichte erfolgt durch den Einsatz von Large Language Models (LLMs) verschiedener Drittanbieter („LLM-Anbieter“). Die ausgewählten LLM-Anbieter verarbeiten Ihre Daten in unserem Auftrag, das heißt ausschließlich nach unseren Weisungen. Wir haben entsprechende Vereinbarungen zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Weitere Informationen über die Einhaltung der Bestimmungen der DSGVO und darüber hinaus können Sie dem Anhang entnehmen.
Die LLMs werden von den jeweiligen LLM-Anbietern in deren alleiniger Verantwortung betrieben. Über unsere Plattform können die LLMs in dem Umfang genutzt werden, in dem die jeweiligen Anbieter ihre Dienste bereitstellen. Wir haben keinen Einfluss auf die technische Gestaltung sowie den Funktionsumfang der von den LLM-Anbietern bereitgestellten Dienste und übernehmen keine Gewährleistung für einen bestimmten Funktionsumfang.
Rechtsgrundlage der Datenverarbeitung ist der mit Ihnen geschlossene Vertrag über die Bereitstellung der Software, Art. 6 Abs. 1 Buchst. b DSGVO sowie unsere berechtigten Interessen an der Bereitstellung der Funktionalitäten der Software, Art. 6 Abs. 1 Buchst. f DSGVO.
3.4. Webhosting
Wir betreiben unsere Software auf Servern des Dienstleisters Amazon Web Services EMEA-SARL, 38 Avenue John F. Kennedy, L-1855, Luxemburg. Amazon Web Services verarbeitet Ihre Daten in unserem Auftrag, d.h. ausschließlich nach unseren Weisungen. Wir haben mit Amazon Web Services eine entsprechende Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Weitere Informationen über die Einhaltung der Bestimmung der DSGVO durch Amazon Web Services finden Sie hier: https://aws.amazon.com/de/compliance/data-privacy/.
3.5. Verarbeitung personenbezogener Daten bei kostenpflichtigen Abonnements
Neben der kostenlosen Testphase haben Sie über Ihr Kundenkonto auch die Möglichkeit kostenpflichtige Leistungen auf der Website zu abonnieren. Wenn Sie über unsere Website ein Abonnement abschließen, verarbeiten wir folgende Daten:
- IP-Adresse des Endgeräts, von dem aus die Bestellung erfolgt;
- Das Datum und die Uhrzeit der Bestellung;
- Kontaktdaten wie Ihre E-Mail-Adresse;
- Zahlungsdaten;
- Das von Ihnen gewählte Abonnement;
- Eventuell weitere, ergänzende Daten, die von Ihnen während des Registrierungsvorgangs angegeben werden (z.B. einen hinzugefügten „Promo-Code“).
Zur Abwicklung von Zahlungen übermitteln wir die erforderlichen Zahlungsdaten an den von uns beauftragten Zahlungsdienstleister Stripe Payments Europe Ltd., Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Irland weiter. Soweit dies erforderlich ist, übermittelt Stripe die Daten auch an die Stripe, Inc. in den USA. Nähere Informationen zum Datenschutz bei Stripe und die entsprechenden Datenschutzhinweise finden Sie unter folgendem Link: https://stripe.com/de/privacy#translation
Wir verarbeiten zur Zahlungsabwicklung lediglich die Stripe Subscription ID. Die Verarbeitung ist für den Abschluss und die Erfüllung des Vertrags erforderlich. Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. b) DSGVO.Die Daten werden gelöscht, wenn der Zweck der Verarbeitung wegfällt, z.B. weil Sie Ihr Abonnement bei Langdock kündigen. Unter Umständen müssen wir diese Daten aufgrund gesetzlicher Aufbewahrungspflichten in einigen Fällen länger speichern. Wir löschen Ihre Daten in diesem Fall spätestens mit Ablauf der gesetzlichen Aufbewahrungsfrist (§ 147 Abs. 3 AO), d. h. nach Ablauf von 10 Jahren, beginnend mit dem Vertragsabschluss, ohne dass Sie uns dazu gesondert auffordern müssen.
4. Datenverarbeitung weiterer Services
Posthog
Wir verwenden auf unserer Plattform außerdem den Service von PostHog, der von der PostHog, Inc., 965 Mission Street, San Francisco, CA 94103, USA („Posthog“) bereitgestellt wird. PostHog hilft uns dabei, die Nutzung unserer Plattform besser zu verstehen und verbessern zu können.
Für die Analyse können die folgenden Daten verarbeitet werden: Name und Nutzername, E-Mail-Adresse, IP- und MAC-Adresse, Browser Footprint, geografische Informationen (Land, gebiet, Stadt) und Informationen über die Nutzung der Plattform, wie Seitenaufrufe, Klicks oder Browsing-Verhalten.
Wir haben mit PostHog einen Auftragsverarbeitungsvertrag gemäß Art. 28 (3) DSGVO sowie die EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern geschlossen. Die Datenschutzhinweise von PostHog können Sie hier abrufen: https://posthog.com/privacy
Sentry
Wir verwenden Sentry zur Sammlung von Fehlermeldungen und Logs auf unserer Plattform. Anbieter ist Functional Software Inc., 45 Fremont Street, 8th Floor, San Francisco, California 94105 („Sentry”).
Sentry erlaubt uns, die Stabilität und Zuverlässigkeit unserer Plattform zu gewährleisten und weiter zu verbessern. Die Fehlermeldungen können die Nutzer-ID, IP- und MAC-Adresse oder kontextspezifische Personenbezogene Daten enthalten (je nach Kontext der Fehlermeldung). Die Daten werden auf Servern in der Europäischen Union gespeichert.
Wir haben mit Sentry einen Auftragsverarbeitungsvertrag gemäß Art. 28 (3) DSGVO abgeschlossen. Sentry ist zertifizierter Teilnehmer des „EU-US Privacy Shield Framework" und hat sich verpflichtet, bei der Verarbeitung von personenbezogenen Daten die EU-Datenschutzbestimmungen einzuhalten. Die Datenschutzhinweise von Sentry finden Sie hier: https://sentry.io/privacy
Die Nutzung von Sentry erfolgt auf Grundlage unseres berechtigten Interesses, unsere Plattform möglichst fehlerfrei und sicher bereitzustellen (Art. 6 Abs. 1 lit. f DSGVO).
5. Ihre Datenschutzrechte
Als betroffene Person der Datenverarbeitung unseres Unternehmens stehen Ihnen unter den jeweiligen gesetzlichen Voraussetzungen Datenschutzrechte zu.
Sie haben gemäß Art. 7 Abs. 3 S. 1 DSGVO das Recht, Einwilligungen, die Sie für die Verarbeitung Ihrer Daten erteilt haben, ohne Angabe von Gründen jederzeit mit Wirkung für die Zukunft zu widerrufen.
Sie haben das Recht, nach Art. 15 Abs. 1 DSGVO auf Antrag Auskunft über die bei uns über Sie gespeicherten personenbezogenen Daten zu erhalten.
Zusätzlich haben Sie ein Recht auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO) in Bezug auf Ihre personenbezogenen Daten.
Für Datenverarbeitungen, die auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) beruhen, steht Ihnen nach Art. 21 DSGVO ein Widerspruchsrecht zu. Soweit Sie der Datenverarbeitung widersprechen, unterbleibt diese zukünftig; es sei denn, wir können zwingende schutzwürdige Gründe für die weitere Verarbeitung nachweisen, die Ihr Interesse am Widerspruch überwiegen.
Sofern Sie selbst die verarbeiteten Daten zur Verfügung gestellt haben, steht Ihnen ein Recht auf Datenübertragung nach Art. 20 DSGVO zu.
Zudem steht Ihnen das Recht zur Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde zu.
Wir bitten Sie, sich in den zuvor genannten Fällen, bei offenen Fragen oder im Falle von Beschwerden per E-Mail an m.martinsdealmeida@mhl.de zu wenden.
6. Kriterien für die Festlegung der Dauer, für die die personenbezogenen Daten gespeichert werden
Wir löschen Ihre personenbezogenen Daten, sobald ihre Verarbeitung für die in dieser Datenschutzerklärung erläuterten Zwecke nicht mehr erforderlich ist, im Falle Ihres Widerspruchs nach Art. 21 Abs. 1 DSGVO der Löschung keine zwingenden schutzwürdigen Gründe unseres Unternehmens entgegenstehen oder im Falle eines Widerrufs einer Einwilligung keine sonstige Rechtsgrundlage für die Verarbeitung besteht.
7. Empfänger Ihrer Daten
Innerhalb unseres Unternehmens erhalten nur solche Personen Zugriff auf Ihre personenbezogenen Daten, die diesen zur Erfüllung unserer gesetzlichen Pflichten benötigen.
Wir lassen außerdem einzelne unternehmensinterne Prozesse und Serviceleistungen durch sorgfältig ausgewählte und datenschutzkonform beauftragte Dienstleister ausführen. Dies sind Unternehmen insbesondere aus den Bereichen IT-Dienstleistungen, die auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO Ihre Daten nach unseren Weisungen verarbeiten. Anderen Dritten legen wir Ihre Daten nur offen, wenn wir hierzu gesetzlich verpflichtet sind oder hierfür eine sonstige Rechtsgrundlage gegeben ist.
8. Datentransfers in Drittstaaten
Wir können Ihre personenbezogenen Daten an Empfänger in Staaten außerhalb der Europäischen Union (im Folgenden „EU“) und des Europäischen Wirtschaftsraumes übermitteln. Sofern das dortige Datenschutzniveau nicht dem Datenschutzniveau innerhalb der EU entspricht oder der Empfänger der Daten nicht in den Anwendungsbereich eines Angemessenheitsbeschlusses der EU-Kommission fällt, stellen wir geeignete Garantien im Sinne des Art. 46 DSGVO sicher. Hierzu können die Vereinbarung von Standardvertragsklauseln der EU-Kommission und gegebenenfalls zusätzlich erforderlicher Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus zählen. In Einzelfällen machen wir die Übermittlung in Drittstaaten davon abhängig, dass Sie in diesen Datentransfer gemäß Art. 49 Abs. 1 S. 1 Buchst. a DSGVO einwilligen.
9. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling statt (Art. 22 DSGVO).
10. Verpflichtung zur Bereitstellung von Daten und mögliche Folgen einer Nichtbereitstellung
Um unsere Software und die spezifischen Funktionen unserer Software nutzen zu können, müssen Sie die in Ziffer 3 genannten Daten bereitstellen. Ohne diese Daten sind wir nicht in der Lage, Ihnen die Nutzung unserer Software und ihrer spezifischen Funktionen zu ermöglichen.
11. Änderung der Datenschutzerklärung
Neue rechtliche Vorgaben, unternehmerische Entscheidungen oder die technische Entwicklung erfordern gegebenenfalls Änderungen in unserer Datenschutzerklärung. Die Datenschutzerklärung wird dann entsprechend angepasst.
Wir werden Sie im Voraus in geeigneter Weise über solche Änderungen informieren. Wenn Sie nach einer entsprechenden Mitteilung von uns die Nutzung unseres Angebots fortsetzen, dürfen wir davon ausgehen, dass Sie die Änderungen der Datenschutzerklärung akzeptieren. Die aktuelle Version finden Sie immer unter: https://www.via-health.de/datenschutz-software.
Anhang
Bei der Auswahl sämtlicher LLM-Anbieter und zugehöriger Services legt VIA HealthTech größten Wert auf die Einhaltung der DSGVO sowie auf eine gültige C5-Zertifizierung, um den höchsten Anforderungen an Datenschutz und Informationssicherheit gerecht zu werden.
Anbieter: Microsoft Azure
LLM: OpenAI Models, Mistral Models, Meta Models
C5-Zertifizierung: Nachweis zu C5-zertifierten Services
Nutzungsbedingungen:
VIA HealthTech hat mit Microsoft einen Kundenvertrag über die Nutzung der Azure Services abgeschlossen. Die Azure Services werden von VIA HealthTech auf Grundlage dieses Kundenvertrags sowie der Produktbestimmungen für Azure genutzt, welche die grundlegenden Datenschutz- und Informationssicherheitspflichten von Microsoft festlegen. Zudem hat VIA HealthTech mit Microsoft einen Auftragsverarbeitungsvertrag geschlossen, der die Datenverarbeitung durch Microsoft regelt. Microsoft verpflichtet sich darin unter anderem, die Daten nicht offenzulegen oder unbefugt zugänglich zu machen. Konkret bedeutet dies, dass sämtliche Prompts, Outputs, Embeddings und eigene Trainingsdaten weder (i) anderen Nutzern zur Verfügung gestellt, noch (ii) an OpenAI oder andere Modell-Entwickler weitergegeben, noch (iii) zum Training der Modelle oder (iv) zur Verbesserung anderer Microsoft-Services verwendet werden. In den Datenschutz- und Sicherheitsbestimmungen für die Azure Core Services sichert Microsoft zudem zu: „Wenn der Kunde einen bestimmten Dienst derart konfiguriert, dass er in einem Rechenzentrum innerhalb einer Großregion (jeweils als „Geo“ bezeichnet) bereitgestellt wird, speichert Microsoft die Kundendaten-at-rest innerhalb dieses bestimmten Geo.“ Für Dienste, die Microsoft für bestimmte Geografien bereitstellt, speichert oder verarbeitet Microsoft die Kundendaten nicht außerhalb der von VIA HealthTech angegebenen Geografie (EU).
Anbieter: Amazon Bedrock
LLM: Anthropic Models, Amazon Models
C5-Zertifizierung: Nachweis zu C5-zertifierten Services
Nutzungsbedingungen:
VIA HealthTech hat mit AWS einen Kundenvertrag abgeschlossen. Die AWS Bedrock-Services werden von VIA HealthTech auf Basis der AWS Service Terms genutzt. AWS verpflichtet sich in diesen Bedingungen, Inhalte, die über die KI-Services verarbeitet werden, weder zum Training der Modelle noch zur Verbesserung anderer AWS-Services zu verwenden. Dass Amazon die Daten nicht zu Trainingszwecken nutzt, ist in den AWS Service Terms, dem Auftragsverarbeitungsvertrag sowie im User Guide ausdrücklich festgehalten: „Amazon Bedrock doesn't store or log your prompts and completions. Amazon Bedrock doesn't use your prompts and completions to train any AWS models and doesn't distribute them to third parties.“ Darüber hinaus hat VIA HealthTech mit AWS einen Auftragsverarbeitungsvertrag abgeschlossen, der die Datenverarbeitung durch AWS regelt. AWS hat sich darin unter anderem verpflichtet, die Daten vertraulich zu behandeln, nicht an Dritte weiterzugeben und die Daten ausschließlich innerhalb der Europäischen Union zu verarbeiten.
Anbieter: Google Cloud Platform
LLM: Anthropic Models, Google Models
C5-Zertifizierung: Nachweis zu C5-zertifierten Services
Nutzungsbedingungen:
VIA HealthTech hat mit Google einen Kundenvertrag abgeschlossen. Die Nutzung der Google Cloud Platform-Services erfolgt durch VIA HealthTech auf Grundlage der Service Specific Terms. Google verpflichtet sich in diesen Bedingungen, Kundendaten nicht ohne vorherige Zustimmung des Kunden zum Trainieren oder zur Verbesserung seiner KI- und ML-Modelle zu verwenden. In einem Leitfaden zu generativen KI-Produkten von Google Cloud sowie in einer Erklärung zu Datenschutzverpflichtungen für Cloud-basierte KI-Produkte bestätigt Google, dass Kundendaten standardmäßig nicht zum Training der Foundation-Modelle eingesetzt werden: „Kunden können die Foundation Models von Google Cloud verwenden, da sie sicher sein können, dass ihre Prompts, Antworten und alle Trainingsdaten für Adaptermodelle nicht zum Trainieren von Foundation Models verwendet werden." Darüber hinaus hat VIA HealthTech mit Google Cloud einen Auftragsverarbeitungsvertrag abgeschlossen, der die Datenverarbeitung durch Google Cloud regelt. In den Service Terms garantiert Google Cloud zudem, dass bei Auswahl einer bestimmten Region oder Multi-Region als Datenstandort die Kundendaten ausschließlich in der gewählten Region bzw. Multi-Region gespeichert werden.
Letzte Aktualisierung: Juli 2025

