Datenschutzerklärung – clarathy Software

1. Geltungsbereich

Der Schutz personenbezogener Daten ist uns, der clarathy Tech UG (haftungsbeschränkt), Doormannsweg 23, 20259 Hamburg (im Folgenden „clarathy“ oder „wir“), ein wichtiges Anliegen. Wir verarbeiten Ihre personenbezogenen Daten nur in Übereinstimmung mit den gesetzlichen Regelungen, insbesondere mit der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden „DSGVO“) und dem Bundesdatenschutzgesetz (im Folgenden „BDSG“).

Diese Datenschutzerklärung informiert Sie gemäß den Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten und Ihre Rechte als Betroffene:r bei der Nutzung unserer Software „clarathy“. Ferner informiert Sie diese Datenschutzerklärung über den Schutz Ihrer Privatsphäre auf der von Ihnen genutzten Endeinrichtung i.S.d. § 25 des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (im Folgenden „TDDDG“).

Diese Datenschutzerklärung gilt ausschließlich für die Nutzung der clarathy Software. Die Datenschutzerklärung für unsere Webseite finden Sie unter: https://clarathy.de/datenschutz.

Hinweis zur Schweigepflicht: Psychotherapeut:innen unterliegen der strafrechtlichen Schweigepflicht gemäß § 203 StGB. clarathy ist sich dieser besonderen Verantwortung bewusst und hat alle technischen und organisatorischen Maßnahmen darauf ausgerichtet, die Vertraulichkeit der im Rahmen der therapeutischen Behandlung verarbeiteten Daten zu schützen. Alle Mitarbeiter:innen und Unterauftragsverarbeiter sind entsprechend zur Vertraulichkeit verpflichtet.

2. Verantwortlicher und Datenschutzbeauftragter

Verantwortlich für die in dieser Datenschutzerklärung beschriebenen Datenverarbeitungen ist:

clarathy Tech UG (haftungsbeschränkt)

Doormannsweg 23

20259 Hamburg

E-Mail: hello@clarathy.de

Telefon: +49 (0) 15222906012

Unser externer Datenschutzbeauftragter ist:

Jan Klein

DURATOS GmbH

Jahnplatz 7c, 50171 Kerpen

E-Mail: klein@duratos.de

3. Datenverarbeitung bei Nutzung unserer Software

Die Software unterstützt Psychotherapeut:innen und Heilpraktiker:innen für Psychotherapie bei der digitalen Verwaltung ihrer Praxis.

3.1. Datenverarbeitung bei allgemeiner Nutzung unserer Software

Bei der Nutzung der Software werden durch Ihren Internet-Browser automatisch Internetverbindungsdaten sowie bestimmte Telemedien- und Nutzungsdaten an unsere Server gesendet und von uns verarbeitet.

3.1.1. Internetverbindungsdaten

Wenn Sie unsere Software nutzen, verarbeiten wir die Internetverbindungsdaten, die Ihr Internet-Browser automatisch an unseren Server übermittelt. Bei diesen Daten handelt es sich um Ihre IP-Adresse und weitere Nutzungsdaten.

Wir benötigen diese Informationen, um Ihnen die Nutzung unserer Software zu ermöglichen, zum Beispiel durch Anpassung der Software auf die technischen Voraussetzungen Ihres Endgeräts.

Rechtsgrundlage: Art. 6 Abs. 1 Buchst. f DSGVO (berechtigtes Interesse an der Sicherheit und Nutzbarkeit unserer Software).

Speicherdauer: Systemprotokolle werden in der Regel für 90 Tage gespeichert und danach gelöscht.

3.1.2. Cookies

Bei der Nutzung unserer Software werden ausschließlich technisch notwendige Cookies eingesetzt. Diese dienen dazu, Ihnen die Nutzung unserer Software zu ermöglichen und die Sicherheit der Software zu gewährleisten. Ohne diese Cookies können bestimmte Services nicht bereitgestellt werden.

Rechtsgrundlage für den Zugriff auf das Endgerät: § 25 Abs. 2 Ziffer 2 TDDDG (technisch notwendig).

3.1.3. Registrierung und Kundenkonto

Um die Software nutzen zu können, müssen Sie ein Kundenkonto anlegen. Dabei verarbeiten wir die folgenden Daten:

  • Name
  • E-Mail-Adresse
  • Berufsbezeichnung
  • Praxisbezeichnung und -anschrift
  • Telefonnummer (optional)
  • Passwort (verschlüsselt gespeichert)

Rechtsgrundlage:Art. 6 Abs. 1 Buchst. b DSGVO (Vertragserfüllung).

Speicherdauer: Für die Dauer der Vertragsbeziehung und bis zu 3 Jahre nach Vertragsende (regelmäßige Verjährungsfrist nach §§ 195, 199 BGB); danach werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

3.2. KI-gestützte Dokumentation (Sitzungsnotizen und Berichte)

Die Software ermöglicht die automatisierte Erstellung von Sitzungsnotizen und psychologischen Berichten mittels KI-Diensten. Hierfür wird die Audiospur der Therapiesitzung aufgezeichnet, transkribiert und zu einem Sitzungsprotokoll zusammengefasst. Audiodateien werden unverzüglich nach erfolgreicher Transkription unwiderruflich gelöscht. Darüber hinaus können aus vorhandenen Sitzungsprotokollen automatisiert psychologische Berichte erstellt werden.

Dabei werden personenbezogene Daten verarbeitet, insbesondere Gesprächsinhalte der Therapiesitzungen. Es handelt sich dabei regelmäßig um besondere Kategorien personenbezogener Daten (Gesundheitsdaten) im Sinne des Art. 9 DSGVO.

Die Verarbeitung erfolgt durch KI-Dienste unserer Auftragsverarbeiter innerhalb der EU/des EWR. Diese verarbeiten Ihre Daten ausschließlich nach unseren Weisungen auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO. Die KI-Dienste werden von den jeweiligen Anbietern in deren alleiniger Verantwortung betrieben. Kundendaten werden von den KI-Anbietern nicht zum Training ihrer Modelle verwendet.

Rechtsgrundlage:Art. 6 Abs. 1 Buchst. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 Buchst. f DSGVO (berechtigtes Interesse). Für die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten): Art. 9 Abs. 2 Buchst. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 Buchst. b BDSG.

Speicherdauer:Die erstellten Sitzungsnotizen und Berichte werden für die Dauer der Vertragsbeziehung gespeichert. Nach Kündigung werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die gesetzliche Aufbewahrungspflicht für Behandlungsdokumentation (§ 630f Abs. 3 BGB — 10 Jahre) obliegt den Therapeut:innen; wir stellen hierfür eine Exportfunktion bereit.

3.3. Praxismanagement und Kommunikation

Die Software ermöglicht die zentrale Verwaltung des Praxisbetriebs einschließlich Patientenverwaltung, Terminplanung, Abrechnung sowie ein sicheres Patientenportal und Kommunikation zwischen Therapeut:innen und Patient:innen. Dabei werden insbesondere Stammdaten, therapiebezogene Daten, Termin- und Rechnungsdaten sowie Kommunikationsinhalte verarbeitet.

Rechtsgrundlage:Art. 6 Abs. 1 Buchst. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 Buchst. f DSGVO (berechtigtes Interesse an effizientem Praxismanagement). Für die Verarbeitung besonderer Kategorien personenbezogener Daten: Art. 9 Abs. 2 Buchst. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 Buchst. b BDSG. Für die Verarbeitung besonderer Kategorien personenbezogener Daten im Patientenportal: Art. 9 Abs. 2 Buchst. a DSGVO (ausdrückliche Einwilligung der Patient:innen). Für Rechnungsdaten zusätzlich: Art. 6 Abs. 1 Buchst. c DSGVO (gesetzliche Aufbewahrungspflicht gemäß § 147 Abs. 3 AO, § 257 HGB — 10 Jahre).

Speicherdauer:Stamm- und therapiebezogene Daten werden für die Dauer der Vertragsbeziehung gespeichert. Rechnungsdaten unterliegen gesetzlichen Aufbewahrungspflichten (§ 147 Abs. 3 AO, § 257 HGB — 10 Jahre). Im Übrigen gelten die in Ziffer 7 genannten Kriterien.

3.4. Kostenpflichtige Abonnements

Wenn Sie ein kostenpflichtiges Abonnement abschließen, verarbeiten wir:

  • IP-Adresse des Endgeräts
  • Datum und Uhrzeit der Bestellung
  • E-Mail-Adresse
  • Das von Ihnen gewählte Abonnement

Rechtsgrundlage:Art. 6 Abs. 1 Buchst. b DSGVO (Vertragserfüllung).

Speicherdauer:Nach Kündigung des Abonnements löschen wir die Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Rechnungsdaten unterliegen einer Aufbewahrungspflicht von 10 Jahren ab Ende des Kalenderjahres, in dem die Rechnung erstellt wurde (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB).

3.5. Webhosting

Wir betreiben unsere Software auf Servern der Google Cloud EMEA Limited (EU-Vertreter: Google Ireland Limited). Die Datenverarbeitung erfolgt innerhalb der EU/des EWR. Google LLC als US-Muttergesellschaft ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Google Cloud verarbeitet Ihre Daten in unserem Auftrag, d.h. ausschließlich nach unseren Weisungen. Wir haben eine entsprechende Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

3.6. Optionale Integrationen

Die Software bietet optionale Integrationen zur Anbindung externer Dienste (z.B. E-Mail, Kalender, Dokumentenerkennung). Die Nutzung ist freiwillig und wird individuell aktiviert. Dabei können Kommunikations-, Termin- und Dokumentendaten verarbeitet werden. Soweit KI-Dienste eingesetzt werden, erfolgt die Verarbeitung durch Auftragsverarbeiter innerhalb der EU/des EWR.

Rechtsgrundlage:Art. 6 Abs. 1 Buchst. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 Buchst. f DSGVO (berechtigtes Interesse an effizientem Praxismanagement). Für die Verarbeitung besonderer Kategorien personenbezogener Daten: Art. 9 Abs. 2 Buchst. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 Buchst. b BDSG.

Speicherdauer: Synchronisierte Daten werden für die Dauer der aktiven Integration gespeichert. Nach Deaktivierung werden die synchronisierten Daten gelöscht.

4. Datenverarbeitung weiterer Services

4.1. Fehlerverfolgung (Sentry)

Anbieter: Functional Software, Inc. (Sentry), San Francisco, CA, USA

Zweck:Erkennung und Analyse von Software-Fehlern zur Gewährleistung der Systemstabilität. Es werden ausschließlich technische Fehlerdaten und Performance-Metriken erfasst; keine Patientendaten oder Gesundheitsdaten.

Verarbeitete Daten: Technische Fehlermeldungen, Performance-Metriken, anonymisierte Nutzungsinformationen.

Auftragsverarbeitung: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen; EU-US Data Privacy Framework, Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 Buchst. f DSGVO (berechtigtes Interesse an der fehlerfreien Bereitstellung der Software).

Datenschutzerklärung des Anbieters: https://sentry.io/privacy

4.2. Produktanalysen (PostHog)

Anbieter: PostHog, Inc., San Francisco, CA, USA

Zweck: Nutzungsanalysen zur Verbesserung der Software.

Verarbeitete Daten: Anonymisierte Nutzungsinformationen. Die Erfassung erfolgt ohne Einsatz von Cookies oder vergleichbarer Speichertechnologien auf Ihrem Endgerät; es werden keine Gesundheitsdaten erfasst.

Auftragsverarbeitung: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen; EU-US Data Privacy Framework, Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 Buchst. f DSGVO (berechtigtes Interesse an der Verbesserung der Software).

Datenschutzerklärung des Anbieters: https://posthog.com/privacy

4.3. E-Mail-Versand

Für den Versand transaktionaler E-Mails setzen wir einen spezialisierten E-Mail-Dienstleister mit Sitz in den USA als Auftragsverarbeiter ein. Der Dienstleister ist unter dem EU-US Data Privacy Framework zertifiziert; zusätzlich bestehen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Es erfolgt keine dauerhafte Speicherung von E-Mail-Inhalten; es werden lediglich Zustellprotokolle geführt.

Rechtsgrundlage:Art. 6 Abs. 1 Buchst. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 Buchst. f DSGVO (berechtigtes Interesse).

5. Verschlüsselung und Sicherheitsmaßnahmen

Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein, darunter:

  • Transportverschlüsselung für alle Datenübertragungen und Verschlüsselung im Ruhezustand für sensible Datenfelder, jeweils dem Stand der Technik entsprechend
  • Hosting innerhalb der EU/des EWR bei einem zertifizierten Cloud-Anbieter
  • Regelmäßige Sicherheitsaudits und Penetrationstests
  • Zugangskontrolle und Berechtigungsmanagement
  • Regelmäßige Backups

6. Ihre Datenschutzrechte

Als betroffene Person stehen Ihnen unter den jeweiligen gesetzlichen Voraussetzungen folgende Datenschutzrechte zu:

  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
  • Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die bei uns über Sie gespeicherten personenbezogenen Daten zu erhalten.
  • Berichtigung (Art. 16 DSGVO): Sie haben das Recht auf Berichtigung unrichtiger Daten.
  • Löschung (Art. 17 DSGVO): Sie haben das Recht auf Löschung Ihrer Daten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Soweit Sie die Daten selbst bereitgestellt haben, können Sie deren Übertragung in einem strukturierten, gängigen und maschinenlesbaren Format verlangen.
  • Widerspruch (Art. 21 DSGVO): Für Datenverarbeitungen auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 Buchst. f DSGVO) steht Ihnen ein Widerspruchsrecht zu.

Beim Auskunftsrecht und beim Löschungsrecht gelten die Beschränkungen aus §§ 33, 34 BDSG.

Zudem steht Ihnen das Recht zur Beschwerde bei einer Datenschutzaufsichtsbehörde zu (Art. 77 DSGVO i.V.m. § 19 BDSG). Die für uns zuständige Datenschutzaufsichtsbehörde ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Ludwig-Erhard-Str. 22, 20459 Hamburg

Wir bitten Sie, sich bei Fragen oder Beschwerden per E-Mail an hello@clarathy.de zu wenden.

7. Kriterien für die Festlegung der Speicherdauer

Wir löschen Ihre personenbezogenen Daten, sobald ihre Verarbeitung für die in dieser Datenschutzerklärung erläuterten Zwecke nicht mehr erforderlich ist, im Falle Ihres Widerspruchs nach Art. 21 Abs. 1 DSGVO der Löschung keine zwingenden schutzwürdigen Gründe entgegenstehen oder im Falle eines Widerrufs einer Einwilligung keine sonstige Rechtsgrundlage für die Verarbeitung besteht.

8. Empfänger Ihrer Daten

Innerhalb unseres Unternehmens erhalten nur solche Personen Zugriff auf Ihre personenbezogenen Daten, die diesen zur Erfüllung ihrer Aufgaben benötigen. Wir lassen außerdem einzelne unternehmensinterne Prozesse und Serviceleistungen durch sorgfältig ausgewählte und datenschutzkonform beauftragte Dienstleister ausführen. Diese verarbeiten Ihre Daten auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO ausschließlich nach unseren Weisungen. Anderen Dritten legen wir Ihre Daten nur offen, wenn wir hierzu gesetzlich verpflichtet sind oder hierfür eine sonstige Rechtsgrundlage gegeben ist.

9. Datentransfers in Drittstaaten

Einzelne von uns eingesetzte Dienstleister haben ihren Sitz außerhalb der EU/des EWR (insbesondere in den USA). Soweit ein Datentransfer in Drittländer stattfindet, ist dieser durch geeignete Garantien abgesichert. Alle betroffenen US-Dienstleister sind unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Soweit möglich, erfolgt die Datenverarbeitung auf EU-Servern der jeweiligen Dienstleister.

Die vollständige Auflistung der eingesetzten Unterauftragsverarbeiter finden Sie in Anlage 2 des mit Ihnen geschlossenen Auftragsverarbeitungsvertrags (AVV).

10. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt. Die durch die KI erstellten Zusammenfassungen und Berichte werden stets durch die Therapeut:innen überprüft und freigegeben, bevor sie weiterverwendet werden.

11. Verpflichtung zur Bereitstellung von Daten

Um unsere Software und ihre spezifischen Funktionen nutzen zu können, müssen Sie die in Ziffer 3 genannten Daten bereitstellen. Ohne diese Daten sind wir nicht in der Lage, Ihnen die Nutzung unserer Software und ihrer spezifischen Funktionen zu ermöglichen.

12. Änderung der Datenschutzerklärung

Neue rechtliche Vorgaben, unternehmerische Entscheidungen oder die technische Entwicklung erfordern gegebenenfalls Änderungen in unserer Datenschutzerklärung. Wir werden Sie im Voraus in geeigneter Weise über solche Änderungen informieren.

Die aktuelle Version finden Sie immer unter: https://clarathy.de/datenschutz-software

Stand: April 2026