Datenschutzerklärung

Version 1.7 · Stand: Mai 2026 · gemäß Art. 13 DSGVO

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Patrik Lakatos
Gabelsbergerstraße 1
95028 Hof
E-Mail: privacy@remissio.online

2. Datenschutzbeauftragter und Aufsichtsbehörde

Ein Datenschutzbeauftragter ist derzeit nicht benannt. Ob eine gesetzliche Pflicht zur Benennung besteht, wird vor einer breiteren Beta oder einem Praxis-Pilot rechtlich geprüft.

Zuständige Datenschutzaufsichtsbehörde für nicht-öffentliche Stellen in Bayern:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 180093-0
Website: www.lda.bayern.de

3. Datenverarbeitung

3.1 Kontodaten

Wir verarbeiten E-Mail-Adresse, Passwort-Hash, Sitzungsdaten und Kontometadaten zur Bereitstellung des Nutzerkontos und zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

3.2 Gesundheitsdaten

Tagebucheinträge und strukturierte Gesundheitsangaben können besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO enthalten. Die Verarbeitung erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) und zur Bereitstellung der von Ihnen gewünschten Tagebuch-, Übersichts- und Berichtsfunktionen.

Remissio kann Einträge innerhalb der eigenen Anwendung regelbasiert strukturieren, z. B. um klar genannte Symptome, Schlaf, Essen, Medikamente oder Stuhlveränderungen für einfache Übersichten und Berichte zu ordnen. Diese lokale Strukturierung nutzt kein externes KI-System und führt nicht zu einer Übermittlung an OpenAI.

3.3 Optionale KI-Verarbeitung durch OpenAI

Wenn Sie den KI-Modus aktivieren, können Freitexte und daraus abgeleitete Daten ausschließlich zum Zweck der automatischen Strukturierung an OpenAI übermittelt werden. Ohne aktivierten KI-Modus findet keine Übermittlung Ihrer Tagebuchtexte an OpenAI statt.

Die Einwilligung in den KI-Modus umfasst die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 lit. a DSGVO sowie die Übermittlung an einen Dienstleister außerhalb der EU, soweit dies zur KI-Verarbeitung erforderlich ist. Die Einwilligung ist freiwillig und kann jederzeit in den Einstellungen widerrufen werden; der Widerruf wirkt für die Zukunft.

Wenn die KI-Funktion in der produktiven Umgebung verfügbar ist, erfolgt der Einsatz der OpenAI API auf Grundlage des in die OpenAI-Services-Vereinbarung einbezogenen OpenAI Data Processing Addendum nach Art. 28 DSGVO. Die jeweils geltende Fassung und die relevanten Transfer- und Sicherheitshinweise werden intern dokumentiert. Internationale Übermittlungen erfolgen nur auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, eines anwendbaren Angemessenheitsbeschlusses oder anderer rechtlich zulässiger Transfermechanismen.

API-Daten werden nicht für das Training von Modellen verwendet, soweit dies durch die für Remissio geltenden OpenAI-API-Datenkontrollen und Vertragsunterlagen ausgeschlossen ist. Remissio aktiviert die produktive KI-Verarbeitung nur, wenn diese Nachweise intern dokumentiert sind.

3.4 Hosting, E-Mail und internationale Übermittlungen

Remissio nutzt Supabase für Authentifizierung und Datenbank, Vercel für Hosting und Deployment sowie Resend für transaktionale E-Mails, soweit die jeweilige Funktion aktiviert ist. Diese Dienstleister werden produktiv nur eingesetzt, wenn die erforderlichen Auftragsverarbeitungsverträge bzw. Data Processing Addenda abgeschlossen und dokumentiert sind. Bei Anbietern mit Sitz oder Zugriffsmöglichkeiten außerhalb der EU werden zusätzlich geeignete Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln, Angemessenheitsbeschlüsse und erforderliche Transfer Impact Assessments, geprüft und dokumentiert.

3.5 Geteilte Berichte, Share-Links und Care-Anfragen

Sie können aus Ihren Tagebucheinträgen Berichte erstellen und diese aktiv über einen Link teilen oder eine konkrete Anfrage eines Care-Teams ausdrücklich annehmen. Eine Weitergabe erfolgt nicht stillschweigend. Rohe Tagebuchnotizen bleiben standardmäßig privat, sofern sie nicht ausdrücklich Teil einer Freigabe sind.

Bei einer Freigabe können Gesundheitsdaten im Sinne von Art. 9 DSGVO offengelegt werden. Vor dem Teilen werden Zweck, Empfänger, Umfang und Widerrufsmöglichkeit angezeigt. Bei Care-Anfragen wird ein Einwilligungsbeleg mit Zeitpunkt, angezeigtem Einwilligungstext, Berichtsumfang und Rechtsversionsständen gespeichert.

Die rechtliche Rollenverteilung zwischen Remissio und realen Care-Organisationen (getrennte Verantwortliche, gemeinsame Verantwortlichkeit nach Art. 26 DSGVO oder Auftragsverarbeitung) wird vor jedem echten Praxis-Pilot gesondert geprüft und vertraglich geregelt.

3.6 Nutzungs- und Aktivierungsmetadaten

Zur Verwaltung des invite-only Zugangs, zur Verbesserung der Onboarding-Qualität, zur Fehleranalyse und zur Missbrauchsprävention verarbeiten wir begrenzte Nutzungsmetadaten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO). Dazu gehören z. B. Registrierungszeitpunkt, letzter Login, Tarifstatus, KI-Modus-Status, Anzahl der Einträge, Zeitpunkt des letzten Eintrags, ob Onboarding, Insights, Berichtserstellung, Teilen oder Care-Anfragen genutzt wurden sowie die Herkunft eines Invite-Codes. Zusätzlich können rein produktbezogene Ereignisse wie Registrierung, Onboarding-Abschluss, erster Eintrag, aktivierter KI-Modus, erster Insights-Aufruf oder Berichtserstellung als interne Produktmetadaten gespeichert werden.

Interessenabwägung: Das Interesse liegt in sicherem Beta-Betrieb, Support, Produktverbesserung und Zugangskontrolle. Die Verarbeitung ist auf operative Metadaten beschränkt; Admin-Übersichten enthalten keine Tagebuchtexte, Symptome, strukturierten Gesundheitsereignisse oder Berichtsinhalte. Sie können dieser Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, nach Art. 21 DSGVO widersprechen.

3.7 Feedback und Support

Wenn Sie Feedback senden oder Support kontaktieren, verarbeiten wir die von Ihnen übermittelten Inhalte sowie technische Kontextinformationen zur Bearbeitung, Verbesserung und Fehleranalyse. Bitte tragen Sie keine Notfallinformationen in Feedbackfelder ein.

3.8 Keine automatisierten Entscheidungen

Remissio trifft keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Insights und Reports sind Beobachtungen aus Ihren Eingaben und keine Diagnose, Vorhersage eines Krankheitsverlaufs, Überwachung einer Erkrankung, Behandlungsempfehlung oder medizinische Entscheidung.

3.9 Analyse- und Trackingdienste

Derzeit werden keine externen Marketing- oder Web-Analyse-Skripte und keine Analyse-Cookies eingesetzt. Interne Produkt- und Aktivierungsereignisse werden nur wie unter Ziffer 3.6 beschrieben verarbeitet. Wenn künftig externe Analysewerkzeuge wie PostHog, Vercel Web Analytics oder ähnliche Dienste eingesetzt werden, werden diese Datenschutzerklärung, die Cookie-Richtlinie und - sofern erforderlich - ein Einwilligungsbanner vor dem Einsatz aktualisiert.

4. Empfänger und Auftragsverarbeiter

  • Supabase - Authentifizierung und Datenbank, mit EU-Datenregion soweit konfiguriert und Vereinbarung zur Auftragsverarbeitung.
  • Vercel - Hosting und Deployment, mit vertraglichen und technischen Schutzmaßnahmen für Hosting- und Logdaten.
  • OpenAI - optionale KI-Verarbeitung bei aktivem KI-Modus, nur auf Grundlage dokumentierter Vereinbarungen und Transfergarantien.
  • Resend - transaktionale E-Mails, soweit aktiviert, nur auf Grundlage dokumentierter Vereinbarungen zur Auftragsverarbeitung und internationalen Datenübermittlung.

5. Speicherdauer

  • Kontodaten: bis zur Kontolöschung; gesetzliche Nachweis- oder Sicherheitsfristen bleiben vorbehalten.
  • Gesundheits- und Tagebuchdaten: bis zur Löschung durch Sie oder Kontolöschung; Export und Löschung sind in der App vorgesehen.
  • Access Requests: grundsätzlich bis zu 12 Monate nach letzter Bearbeitung, sofern keine Einladung oder Vertragsbeziehung entsteht.
  • Invite-Daten: bis zu 24 Monate zur Missbrauchsprävention und Nachvollziehbarkeit der Private-Beta-Zugänge.
  • Feedback und Support: grundsätzlich bis zu 24 Monate nach Abschluss der Bearbeitung.
  • Care Requests: bis zur Kontolöschung oder bis der Zweck der Anfrage entfällt; abgelehnte Anfragen werden grundsätzlich spätestens nach 12 Monaten gelöscht oder anonymisiert.
  • Einwilligungsbelege für Care-Freigaben: bis zu 3 Jahre nach Widerruf, Ablauf oder Kontolöschung zur Nachweisführung, soweit rechtlich erforderlich.
  • Share Tokens: standardmäßig 90 Tage, sofern nicht vorher widerrufen oder gelöscht.
  • Technische Logdaten: grundsätzlich bis zu 30 Tage, soweit keine längere Aufbewahrung zur Sicherheit, Fehleranalyse oder Rechtsdurchsetzung erforderlich ist.
  • Produkt-Events: bis zu 24 Monate in pseudonymisierter/operativer Form; sie enthalten keine Tagebuchtexte oder Symptomdetails.

6. Ihre Rechte

Sie haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

  • Auskunft über Ihre personenbezogenen Daten (Art. 15 DSGVO),
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO),
  • Löschung Ihrer Daten (Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO),
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
  • Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO), insbesondere beim BayLDA.

Zur Ausübung Ihrer Rechte können Sie sich an privacy@remissio.online wenden.

7. Pflichtangaben und Freiwilligkeit

Für die Nutzung des Kontos sind E-Mail-Adresse, Passwort und die erforderlichen Einwilligungen notwendig. Die Nutzung des KI-Modus ist freiwillig. Ohne KI-Modus können Sie Remissio mit strukturierter Eingabe verwenden.

Zurück