Nutzungsbedingungen und Datenschutzhinweise für den KI-Companion „Clara“ (WhatsApp-Service)

1. Anbieter, Geltungsbereich

Die ectocare GmbH, Carlo‑Schmid‑Allee 5, 44263 Dortmund (nachfolgend „Anbieter“) bietet über WhatsApp den KI-Companion „Clara“ zur Unterstützung von Patient:innen mit Neurodermitis und Psoriasis an.

2. Leistungsbeschreibung

Clara beantwortet allgemeine Fragen zur Hauterkrankung und gibt Tipps für den Alltag. Sie ist kein Medizinprodukt und stellt keine medizinische Beratung dar, ersetzt diese nicht.

3. Rechtsgrundlagen der Datenverarbeitung

Verarbeitung personenbezogener Daten (z. B. Telefonnummer) aufgrund ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Verarbeitung von Gesundheitsdaten als „besondere Kategorie personenbezogener Daten“ erfolgt nur nach spezifischer, informierter Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).

Privacy by Design und Pseudonymisierung gemäß Art. 25 DSGVO: Telefonnummer und Konversationsdaten werden strikt getrennt gespeichert.

4. Datenarten & Speicherung

Telefonnummer: Nur für Versand und Empfang von Nachrichten; nicht in das KI-System eingespeist.

Konversationsdaten: Gesundheitsdaten, anonymisiert/pseudonymisiert und verschlüsselt gespeichert.

Speicherung erfolgt ausschließlich auf deutschen Servern der ectocare GmbH.

5. Verschlüsselung

WhatsApp bietet Ende-zu-Ende-Verschlüsselung (E2EE) für alle Nachrichteninhalte und Anrufe – somit sind Inhalte beim Versand vor Dritten (inkl. WhatsApp selbst) geschützt.

Hinweis: Metadaten (z. B. Zeit, Gesprächspartner, Häufigkeit) werden dennoch verarbeitet und gespeichert.

Nutzer:innen sind selbst verantwortlich, Cloud-Backups zu deaktivieren, da diese Inhalte unverschlüsselt ablegen könnten.

Die Telefonnummer wird niemals an das KI-System übermittelt und geht nicht in die Verarbeitung ein – zur Maximierung der Privatsphäre.

6. Nutzung eines externen LLM

Gesundheitsdaten werden nur anonymisiert an ein in Europa gehostetes LLM von OpenAI übermittelt.

Das Modell wird nicht für weiteres Training verwendet – zweckgebundene Verarbeitung.

Es besteht ein gültiger AV-Vertrag (Art. 28 DSGVO) mit OpenAI.

7. Einwilligung & Transparenz

Vor der Nutzung erfolgt eine umfassende Information über Art, Umfang, Zweck und Rechtsgrundlagen der Datenverarbeitung.

Nutzer:innen müssen aktiv zustimmen – getrennt für Telefonnummer (Art. 6) und Gesundheitsdaten (Art. 9).

8. Betroffenenrechte

Nutzer:innen haben jederzeit Anspruch auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Widerspruch (Art. 21) und Datenübertragbarkeit (Art. 20).

Ein Widerruf der Einwilligung ist jederzeit ohne Nachteile möglich (Art. 7 Abs. 3).

Löschung: erfolgt auf Anfrage unverzüglich in allen Systemen.

9. Datensicherheit

Es gelten technische und organisatorische Maßnahmen nach Art. 32 DSGVO: Verschlüsselung, Zugangskontrolle, regelmäßige Back-ups, Audit-Mechanismen, Pseudonymisierung usw.

10. Datenschutz-Folgenabschätzung (DPIA)

Wegen Verarbeitung von Gesundheitsdaten wird eine DPIA gemäß Art. 35 DSGVO durchgeführt und dokumentiert.

11. Verbotene Datenverarbeitung

Keine automatisierten Entscheidungen mit rechtlich relevanter Wirkung (Art. 22 DSGVO).

Keine Diagnosen, Therapieanweisungen oder Risikoanalysen durch Clara.

12. Haftungsausschluss

Clara dient ausschließlich informativen Zwecken und ersetzt keine medizinische Diagnose oder Behandlung. Bei gesundheitlichen Beschwerden ist ärztliche Betreuung erforderlich.

13. Änderungen der Nutzungsbedingungen

Änderungen werden transparent mitgeteilt und bedürfen ggf. erneuter Einwilligung.

14. Kontakt & Beschwerden

Für Datenschutzanliegen:
ectocare GmbH, Datenschutzbeauftragte:r, Carlo‑Schmid‑Allee 5, 44263 Dortmund, E‑Mail: info@ectocare.de

Beschwerden können auch bei der zuständigen Aufsichtsbehörde eingereicht werden.