Zum Inhalt springen

Datenschutzerklärung

Stand: April 2026

Der Schutz Ihrer personenbezogenen Daten ist uns besonders wichtig - insbesondere da MyRetinaGene mit genetischen Gesundheitsdaten arbeitet. Diese gelten nach Art. 9 DSGVO als besondere Kategorien personenbezogener Daten und genießen einen erhöhten Schutz.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist der Betreiber von MyRetinaGene. Die vollständigen Kontaktdaten (Anschrift, Telefon, E-Mail, ggf. Vertretungsberechtigte) finden Sie im Impressum.

2. Datenschutzbeauftragter

Sie erreichen unseren Datenschutzbeauftragten (DSB) unter:

E-Mail: [Platzhalter - finale Kontaktadresse wird vor Produktivbetrieb gesetzt]

Für alle Anfragen zu Ihren Rechten nach Art. 15 bis Art. 22 DSGVO wenden Sie sich bitte an diese Adresse.

3. Zwecke der Verarbeitung & Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich zu festgelegten, eindeutigen und legitimen Zwecken (Art. 5 Abs. 1 lit. b DSGVO):

3.1 Bereitstellung der Website

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und stabilen Bereitstellung der Website).

3.2 Upload und Analyse genetischer Befunde

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO - Ihre ausdrückliche Einwilligung in die Verarbeitung genetischer Daten (besondere Kategorie). Sie erteilen diese Einwilligung aktiv vor dem Upload durch eine Checkbox. Eine Analyse ohne Einwilligung findet nicht statt. Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen) für die Bereitstellung eines Nutzerkontos.

4. Kategorien personenbezogener Daten

  • Kontaktdaten: E-Mail-Adresse (für Magic-Link und Benachrichtigungen)
  • Technische Daten: IP-Adresse, Browser-Kennung, Zeitstempel (Server-Logs)
  • Genetische Daten (besondere Kategorie nach Art. 9 DSGVO): Gen-Befund-Dateien (PDF/TXT), extrahierte Angaben (Gen, Mutation, Erbgang, Zygotie)
  • Report-Metadaten: Generierter Analysebericht, Erstellungszeitpunkt, pseudonymisierte Session-Kennung

5. Empfänger & Auftragsverarbeiter

Eine Weitergabe Ihrer Daten erfolgt nur an sorgfältig ausgewählte Auftragsverarbeiter, mit denen ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) nach Art. 28 DSGVO geschlossen wurde.

5.1 Anthropic PBC (USA) - Report-Generation via Claude API

Für die Erstellung des laienverständlichen Analyseberichts übermitteln wir ausschließlich die extrahierten Fachangaben (Gen-Symbol, Mutationsbezeichnung, Erbgang) an die Claude-Schnittstelle (API) von Anthropic PBC mit Sitz in San Francisco, USA. Klartextdateien, Namen oder sonstige direkte Identifikatoren werden dabei nicht übertragen.

  • AV-Vertrag: gemäß Art. 28 DSGVO geschlossen (Data Processing Addendum von Anthropic).
  • Drittland-Transfer (USA): Rechtsgrundlage ist Art. 46 Abs. 2 lit. c DSGVO in Verbindung mit den Standardvertragsklauseln (Standard Contractual Clauses, SCC) der EU-Kommission in der Fassung vom 04.06.2021. Ergänzend bewerten wir regelmäßig die Rechtslage im Drittland (Transfer Impact Assessment).

5.2 Hosting-Provider

Die Website wird auf Servern von [Platzhalter: Hosting-Provider-Name, Anschrift - wird im Impressum konkretisiert] innerhalb der EU/des EWR gehostet. Auch hier besteht ein AV-Vertrag nach Art. 28 DSGVO.

6. Speicherdauer

  • Gen-Befunde & zugehörige Analysen: werden 30 Tage nach dem Upload automatisch gelöscht. Die Session-Kennung wird dabei mit SHA-256 pseudonymisiert, die Originaldatei wird endgültig entfernt (Art. 17 DSGVO - „Recht auf Vergessenwerden" technisch umgesetzt).
  • Account-Daten (E-Mail): bis zum Widerruf Ihrer Einwilligung bzw. bis zur Löschung des Kontos.
  • Server-Logs (IP, Zeitstempel): 7 Tage, danach automatische Löschung.

7. Ihre Rechte als betroffene Person

Nach der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO) - welche Daten wir über Sie verarbeiten
  • Berichtigung (Art. 16 DSGVO) - Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO) - „Recht auf Vergessenwerden"
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) - Herausgabe in maschinenlesbarem Format
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) - jederzeit mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an unseren Datenschutzbeauftragten (siehe Abschnitt 2) oder eine Nachricht über das Kontaktaufnahme per E-Mail.

Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren - insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

8. Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein (Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TTDSG):

  • Session-Cookie (JWT, HttpOnly, Secure, SameSite=Lax) - erforderlich für die Authentifizierung nach Magic-Link-Login.
  • Dark-Mode-Preference (localStorage/Cookie) - speichert Ihre Anzeige-Präferenz (hell/dunkel).

Diese Cookies sind für den Betrieb der Website zwingend erforderlich und unterliegen keiner Einwilligungspflicht.

9. Kein Tracking, keine Analytics

Wir verzichten bewusst auf jegliche Form von Tracking und Reichweitenmessung. Insbesondere setzen wir nicht ein:

  • kein Google Analytics, Matomo oder sonstige Analyse-Tools
  • kein Facebook Pixel, kein LinkedIn Insight Tag, keine Social-Media-Tracker
  • keine externen Content Delivery Networks (CDN), die Ihre IP-Adresse erfassen
  • kein personalisiertes Werbe-Targeting

Da ausschließlich technisch notwendige Cookies eingesetzt werden, ist ein Cookie-Banner nicht erforderlich.

10. Magic-Link-Authentifizierung

Wir speichern keine Passwörter. Die Anmeldung erfolgt über einen sogenannten Magic Link: Sie geben Ihre E-Mail-Adresse ein und erhalten einen einmalig gültigen Login-Link. Nach erfolgreicher Anmeldung wird ein JSON Web Token (JWT) in einem HttpOnly-Cookie gesetzt, auf das aus JavaScript nicht zugegriffen werden kann (Schutz vor Cross-Site-Scripting). Das Token ist zeitlich begrenzt gültig.

11. Verschlüsselung & Pseudonymisierung

  • Transportverschlüsselung: Der gesamte Datenverkehr erfolgt ausschließlich über HTTPS (TLS 1.2 oder höher).
  • Pseudonymisierung genetischer Daten: Session-Kennungen werden nach 30 Tagen mit einem kryptografischen Hash-Verfahren (SHA-256) pseudonymisiert (Art. 32 Abs. 1 lit. a DSGVO).
  • Lokale OCR: Die Texterkennung aus PDF-Befunden (PDF → JPG → Tesseract OCR) erfolgt ausschließlich auf unserem Server. Es werden keine Bilddaten an externe Dienste übermittelt.

11a. PII-Vault & Upload-Pipeline

Jeder Datei-Upload durchläuft eine feste fünfstufige Verarbeitung, bevor Daten den lokalen Server verlassen:

  1. Format-Router prüft den Datei-Typ anhand der Magic-Bytes (nicht nur der Endung) und lehnt unbekannte Formate mit klarer Fehlermeldung ab. Maximale Dateigröße: 20 MB.
  2. OCR/Extraktion erfolgt lokal mit Tesseract (PDF/Bilder) oder python-docx/LibreOffice (Word). Keine Cloud-OCR, keine externen Dienste.
  3. Cross-Check: Bei PDFs mit Textebene wird der eingebettete Text zusätzlich extrahiert und mit dem OCR-Ergebnis abgeglichen - die Audit-Spur dokumentiert, welche Version übernommen wurde.
  4. Lokale Pseudonymisierung: Regex-Regeln (Adressen, Geburtsdatum, IBAN, Versicherungsnummer, Arzt-/Klinik-Muster) kombiniert mit spaCy-Named-Entity-Recognition (de_core_news_sm) identifizieren personenbezogene Daten. Diese werden durch Platzhalter (z. B. {{USER_NAME}}, {{DOCTOR_1}}) ersetzt. Die Original-Werte werden in einer separaten Tabelle (PII-Vault) mit Ihrer User-ID verknüpft lokal gespeichert.
  5. KI-Analyse: Nur der pseudonymisierte Text wird an Anthropic/Claude übermittelt. Die API erhält keine Namen, Adressen, Ärzte oder weitere identifizierende Daten.

Audit-Log: Jeder Upload wird in einer lokalen JSONL-Datei (/tmp/myretinagene-uploads.jsonl) protokolliert - mit Zeitstempel, Dateigröße, Format, Extraktions-Engine, Anzahl redigierter PII-Treffer und Status. Die Audit-Spur enthält keine Originaldaten und dient ausschließlich der Fehlersuche und DSGVO-Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

Löschkonzept: Beim Account-Löschen werden (a) der PII-Vault, (b) alle Upload-Dateien und (c) die pseudonymisierten Textrepräsentationen über einen kaskadierenden DELETE (ON DELETE CASCADE) automatisch entfernt. Die Löschung ist technisch unwiderruflich.

12. Minderjährige

Unser Angebot richtet sich nicht an Kinder unter 16 Jahren (Altersgrenze nach Art. 8 Abs. 1 DSGVO). Wir verarbeiten wissentlich keine Daten von Minderjährigen unter 16 ohne nachweisbare Einwilligung der Erziehungsberechtigten.

13. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. Der generierte Analysebericht ist rein informativ und stellt ausdrücklich keine medizinische Diagnose dar. Für Diagnosen und Therapieentscheidungen wenden Sie sich bitte an Ihre Ärztin bzw. Ihren Arzt oder eine humangenetische Beratungsstelle.

14. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage oder Verarbeitungsprozesse ändern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.

Stand: April 2026.

15. Barrierefreiheit dieser Erklärung

Diese Datenschutzerklärung ist in möglichst einfacher Sprache verfasst; Fachbegriffe sind in Klammern erläutert. Sie ist mit Screen-Readern vollständig zugänglich. Bei Fragen zur Barrierefreiheit wenden Sie sich bitte an uns.