Zurück zur AnmeldungSanadoc Logo

Datenschutzerklärung

Stand: Mai 2026 · Sanadoc UG, Grüne Trift Am Walde 19, 12557 Berlin

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Betreiberdaten (Nutzerkonten, Abrechnung) ist:

Sanadoc UG (haftungsbeschränkt)
Grüne Trift Am Walde 19
12557 Berlin
E-Mail: datenschutz@sanadoc.ai
Telefon: +49 151 72729494

Hinweis zur Auftragsverarbeitung: Für die im Rahmen der ärztlichen Tätigkeit erfassten Patientendaten sind die jeweiligen Arztpraxen und Organisationen als eigenständige Verantwortliche gemäß Art. 4 Nr. 7 DSGVO anzusehen. Sanadoc verarbeitet diese Daten ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrags (AVV), der auf Anfrage zur Verfügung gestellt wird.

2. Welche Daten wir verarbeiten

Im Rahmen der Nutzung von Sanadoc werden folgende Datenkategorien verarbeitet:

Kontodaten (Nutzer & Organisation)

Name, E-Mail-Adresse, verschlüsseltes Passwort, Praxisname, Adresse, Fachrichtung, Bundesland.

Patientenbezogene Daten (Gesundheitsdaten gem. Art. 9 DSGVO)

Vorname, Nachname, Geburtsdatum, Patientennummer, Versicherungsart sowie Konsultationsinhalte (Transkripte, KI-generierte Dokumentation, Diagnose- und Abrechnungscodes). Diese Felder werden mit AES-256-GCM verschlüsselt gespeichert.

Abrechnungs- und Zahlungsdaten

Abonnementstatus, gewählter Plan. Zahlungsmitteldetails (Kreditkartennummer etc.) werden ausschließlich durch Stripe verarbeitet und niemals auf Sanadoc-Servern gespeichert.

Technische Protokolldaten

IP-Adresse, User-Agent, Zeitstempel von Aktionen (Audit-Log). Aufbewahrung: 90 Tage.

3. Rechtsgrundlagen der Verarbeitung

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Bereitstellung der Sanadoc-Plattform, Nutzerverwaltung, Abrechnung.
  • Art. 9 Abs. 2 lit. h DSGVO – Gesundheitsversorgung: Verarbeitung medizinischer Inhalte im Auftrag der Arztpraxis zur Unterstützung der ärztlichen Dokumentation.
  • Art. 6 Abs. 1 lit. c DSGVO – Gesetzliche Pflichten: Aufbewahrung medizinischer Dokumentation gemäß § 10 Abs. 3 Musterberufsordnung für Ärzte (MBO-Ä) und § 630f BGB (mindestens 10 Jahre).
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen: Technische Protokollierung (Audit-Log) zur Sicherstellung der Systemintegrität und Erkennung von Missbrauch.

4. Einsatz von KI-Diensten (Auftragsverarbeiter)

Sanadoc verwendet KI-Dienste zur Sprachtranskription und automatischen Dokumentationsgenerierung. Gesprächsinhalte werden dabei pseudonymisiert (ohne direkte Patientenidentifikatoren im Prompt) übertragen. Alle KI-Dienste werden über die Microsoft Azure-Infrastruktur in der EU (Region: Schweden Mitte) betrieben — die Daten verlassen die Europäische Union nicht.

Microsoft Azure OpenAI Service

Sprachtranskription (Whisper) und Dokumentationsgenerierung (GPT-4o). Betrieben durch Microsoft Ireland Operations Limited, One Microsoft Place, Dublin, Irland. Rechtsgrundlage Drittlandtransfer: entfällt (EU-Rechenzentrum). AVV im Rahmen des Microsoft Online Services Data Protection Addendum (DPA) abgeschlossen.

Stripe Payments Europe Limited

Zahlungsabwicklung und Abonnementverwaltung. 1 Grand Canal Street Lower, Dublin 2, Irland. Verarbeitung gemäß Art. 6 Abs. 1 lit. b DSGVO. Stripe ist für Zahlungsdaten eigenständiger Verantwortlicher.

Twilio Ireland Limited (SendGrid)

Transaktionale E-Mails (Passwort-Reset, Einladungen). 25-28 North Wall Quay, Dublin 1, Irland. AVV gemäß Art. 28 DSGVO abgeschlossen. Übermittlung an US-Muttergesellschaft auf Basis von EU-Standardvertragsklauseln (Art. 46 DSGVO).

5. Datenspeicherung und Hosting

Alle Daten werden ausschließlich auf Servern von Microsoft Azure in der Region Schweden Mitte (EU) gespeichert. Es findet keine Verarbeitung außerhalb der Europäischen Union statt (mit Ausnahme von SendGrid, s. Abschnitt 4). Datenbankverbindungen sind TLS-verschlüsselt. Patientenbezogene Felder werden zusätzlich mit AES-256-GCM auf Anwendungsebene verschlüsselt gespeichert.

6. Aufbewahrungsfristen und Löschung

  • Medizinische Dokumentation: mindestens 10 Jahre gemäß § 10 Abs. 3 MBO-Ä und § 630f BGB. Danach unverzügliche Löschung.
  • Audit-Logs: 90 Tage, danach automatische Löschung.
  • Nutzerdaten nach Vertragskündigung: Löschung innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
  • Zahlungsbelege: 10 Jahre gemäß § 147 AO (steuerrechtliche Aufbewahrungspflicht).

7. Ihre Rechte

Sie haben gegenüber uns folgende Rechte gemäß DSGVO:

  • Auskunft (Art. 15): Welche Daten wir über Sie gespeichert haben
  • Berichtigung (Art. 16): Korrektur unrichtiger oder unvollständiger Daten
  • Löschung (Art. 17): Löschung Ihrer Daten, soweit keine gesetzliche Aufbewahrungspflicht besteht
  • Einschränkung (Art. 18): Einschränkung der Verarbeitung in bestimmten Fällen
  • Datenportabilität (Art. 20): Herausgabe Ihrer Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
  • Beschwerde (Art. 77): Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde

Zur Ausübung Ihrer Rechte: datenschutz@sanadoc.ai

Zuständige Aufsichtsbehörde: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit des jeweiligen Bundeslandes des Verantwortlichen.

8. Technische Sicherheitsmaßnahmen

  • Feldbezogene Verschlüsselung sensitiver Patientendaten mit AES-256-GCM
  • Übertragungsverschlüsselung mit TLS 1.3 für alle Verbindungen
  • Vollständiges Audit-Log aller Datenzugriffe und -änderungen mit Zeitstempel
  • Rollenbasierte Zugriffskontrolle (Nutzer sehen ausschließlich Daten der eigenen Organisation)
  • Automatischer Session-Ablauf nach 24 Stunden
  • Brute-Force-Schutz auf allen Anmeldeendpunkten
  • Regelmäßige Sicherheitsupdates durch automatisierte CI/CD-Pipeline

9. Cookies und Sitzungsverwaltung

Sanadoc verwendet ausschließlich technisch notwendige Cookies für die Sitzungsverwaltung (Session-Token). Es werden weder Tracking- noch Analyse-Cookies noch Cookies von Drittanbietern zu Werbezwecken eingesetzt. Eine gesonderte Einwilligung nach der ePrivacy-Richtlinie ist für rein technisch notwendige Cookies nicht erforderlich.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage oder des Leistungsumfangs anzupassen. Die aktuelle Version ist stets unter app.sanadoc.ai/datenschutz abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

Impressum →

Kein Rechtsrat — bitte anwaltlich prüfen lassen.