Datenschutzerklärung

Gemäß DSGVO (EU) 2016/679 · TTDSG · Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Noor Ventures UG (haftungsbeschränkt)
Website: capitasmedici.de
E-Mail (allgemein): kontakt@capitasmedici.de
E-Mail (Datenschutz): datenschutz@capitasmedici.de

2. Erhobene Datenkategorien

Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten:

Accountdaten: E-Mail-Adresse, Passwort (gehasht, nicht im Klartext gespeichert), Vorname, Nachname, Praxisname, Fachrichtung
Finanzdaten: Jahresreinertrag, Vermögenswerte, Verbindlichkeiten, Versorgungswerk-Beiträge, Rürup-Beiträge, Risikoprofil sowie weitere im Finanz-Assessment eingegebene Angaben
Assessment-Daten: Im Onboarding-Prozess eingegebene Angaben zur finanziellen Situation (zwischengespeichert im LocalStorage des Browsers bis zur abschließenden Speicherung)
KI-generierte Inhalte: Finanzpläne, Orientierungswerte, Action Items und Chatverläufe mit dem KI-Assistenten
Versicherungsvertrags-PDFs: Hochgeladene Dokumente zur KI-gestützten Analyse (werden ausschließlich für die Dauer der jeweiligen Session verarbeitet und nicht persistent gespeichert – siehe Abschnitt 8)
Technische Daten: IP-Adresse, Browser-Typ, Betriebssystem, Zeitstempel der Anfragen
Protokolldaten: Server-Logs zur Fehlerdiagnose (max. 30 Tage)

Hinweis: Bitte geben Sie keine Patientendaten (Namen, Geburtsdaten, Versichertennummern o. Ä.) in die Plattform ein. CapitasMedici ist ausschließlich für die Verwaltung Ihrer eigenen Finanzdaten als Arzt/Ärztin konzipiert.

3. Rechtsgrundlagen (Art. 6 DSGVO)

Die Verarbeitung erfolgt auf Basis folgender Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Bereitstellung der Kernfunktionen (Finanz-Cockpit, Score, KI-Analyse) auf Basis des zwischen Ihnen und Noor Ventures UG geschlossenen Nutzungsvertrags
Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Aufbewahrungspflichten nach HGB/AO
Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen: IT-Sicherheit, Missbrauchsprävention, Fehlerdiagnose, Weiterentwicklung des Dienstes
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Versand von Marketing-E-Mails (Quartals-Digest, Rürup-Erinnerungen) – nur bei ausdrücklichem Opt-in bei der Registrierung; jederzeit widerrufbar

4. Auftragsverarbeiter

Wir haben mit allen nachfolgenden Dienstleistern Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen:

Supabase Inc.EU-Hosting · Frankfurt

Datenbankdienst und Authentifizierung. Daten werden ausschließlich auf Servern in der EU (AWS eu-central-1, Frankfurt/Main) gespeichert. AVV abgeschlossen gemäß Art. 28 DSGVO. Da Supabase Inc. ein US-Unternehmen ist, erfolgt die Absicherung der Datenverarbeitung zusätzlich über EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Supabase Inc., 970 Toa Payoh North, Singapur · supabase.com/privacy

Anthropic, PBCUSA · SCCs + DPF

KI-Analysedienst (Claude API). Zur Erstellung von Finanzplänen und Analysen werden die von Ihnen eingegebenen Finanzdaten an Anthropic übermittelt und dort verarbeitet. Die Übermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie des EU-U.S. Data Privacy Frameworks (DPF). AVV abgeschlossen. Anthropic verwendet API-Eingabedaten nicht zum Training von KI-Modellen.

Anthropic, PBC · 548 Market St, San Francisco, CA 94104, USA · anthropic.com/privacy

Vercel Inc.USA · SCCs · EU-Edges

Hosting der Web-Applikation. Vercel betreibt ein weltweites Edge-Network; für europäische Nutzer werden Anfragen primär über EU-Knoten verarbeitet. Die Absicherung des Datentransfers in die USA erfolgt über SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO. AVV abgeschlossen.

Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA · vercel.com/legal/privacy-policy

Brevo SA (ehem. Sendinblue)EU · Frankreich

Transaktionale E-Mails (Willkommensmail, Passwort-Reset) und optionale Marketing-E-Mails (Quartals-Digest, Rürup-Erinnerung bei Opt-in). Brevo ist ein in Frankreich ansässiges Unternehmen und unterliegt direkt der DSGVO. AVV abgeschlossen.

Brevo SA, 7 rue de Madrid, 75008 Paris, Frankreich · brevo.com/de/legal/privacypolicy

5. Cookies und lokaler Speicher (§ 25 TTDSG)

Wir verwenden ausschließlich technisch notwendige Cookies und LocalStorage-Einträge, die für den Betrieb der Anwendung unbedingt erforderlich sind:

Session-Cookie (sb-access-token): Authentifizierungstoken, Gültigkeit für die Dauer der Sitzung
Refresh-Cookie (sb-refresh-token): Automatische Verlängerung der Anmeldung, max. 7 Tage
LocalStorage (Onboarding-Draft): Zwischenspeicherung Ihrer im Onboarding eingegebenen Daten bis zum Abschluss des Registrierungsprozesses. Technisch notwendig, damit Ihre Eingaben bei einem versehentlichen Seitenwechsel nicht verloren gehen.

Analyse- oder Marketing-Cookies, Google Analytics, Meta Pixel oder vergleichbare Tracking-Technologien werden nicht eingesetzt. Eine Cookie-Einwilligung ist daher für den Grundbetrieb nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

6. E-Mail-Kommunikation und Marketing

Wir versenden zwei Arten von E-Mails:

Transaktionale E-Mails (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO): Willkommensmail nach Registrierung, Passwort-Reset, sicherheitsrelevante Benachrichtigungen. Diese E-Mails sind für die Vertragserfüllung notwendig; eine Abmeldung ist nicht möglich.
Marketing-E-Mails (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO): Quartals-Digest mit Finanzüberblick, Rürup-Erinnerungen vor Jahresende. Diese E-Mails werden nur bei ausdrücklichem Opt-in während der Registrierung versendet. Sie können Ihre Einwilligung jederzeit widerrufen – entweder über den Abmelde-Link in der E-Mail oder per E-Mail an datenschutz@capitasmedici.de.

7. KI-Verarbeitung durch Anthropic Claude

Welche Daten werden an die KI übertragen?

Zur Erstellung von Finanzanalysen, Orientierungswerten und KI-Antworten werden folgende Daten an die Claude API von Anthropic übermittelt: Ihre eingegebenen Finanzdaten (Reinertrag, Vermögen, Verbindlichkeiten, Risikoprofil etc.), Ihre Fachrichtung sowie Inhalte aus dem Chat-Verlauf. Es werden keine direkt identifizierenden Daten wie vollständiger Name oder E-Mail-Adresse an die KI übertragen.

Training-Ausschluss: Anthropic verwendet Daten, die über die API übermittelt werden, ausdrücklich nicht zum Training von KI-Modellen. Dies ist vertraglich vereinbart (AVV).

8. Versicherungsvertrags-PDFs

Nutzer können Versicherungsvertrags-PDFs zur KI-gestützten Analyse hochladen. Diese Dokumente werden ausschließlich für die Dauer der jeweiligen Analyse-Session verarbeitet. Es erfolgt keine persistente Speicherung in unserer Datenbank. Nach Abschluss der Analyse werden die Dokumente aus dem Arbeitsspeicher gelöscht. Die zur Analyse notwendige Übermittlung an Anthropic erfolgt ebenfalls nur während der Session.

Wir empfehlen, vor dem Hochladen alle persönlichen Daten Dritter (z. B. Angaben zu mitversicherten Personen) zu schwärzen, sofern dies technisch möglich ist.

9. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte:

Auskunft (Art. 15 DSGVO): Welche personenbezogenen Daten wir über Sie verarbeiten, für welche Zwecke und wie lange
Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger oder unvollständiger Daten
Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
Einschränkung der Verarbeitung (Art. 18 DSGVO): Einschränkung der Verarbeitung in bestimmten Situationen (z. B. bei bestrittener Richtigkeit)
Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format
Widerspruch (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen
Widerruf (Art. 7 Abs. 3 DSGVO): Widerruf einer erteilten Einwilligung (z. B. für Marketing-E-Mails) mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@capitasmedici.de. Wir beantworten Anfragen innerhalb von 30 Tagen.

10. Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
www.lda.bayern.de

11. Datenschutz-Folgenabschätzung (DSFA)

Aufgrund der Verarbeitung von Finanzdaten in Kombination mit KI-gestützter Analyse haben wir gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt. Die DSFA hat ergeben, dass durch die getroffenen technischen und organisatorischen Maßnahmen (TOMs) – insbesondere verschlüsselte Speicherung, Zugriffsbeschränkung, Pseudonymisierung der KI-Eingaben sowie Nicht-Persistenz von PDF-Uploads – ein angemessenes Schutzniveau gewährleistet ist.

12. Speicherdauer

Accountdaten: Bis zur Löschung des Nutzerkontos. Nach Kontoauflösung werden Daten innerhalb von 30 Tagen endgültig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
Finanzdaten und KI-Analysen: Solange das Konto besteht; abgelaufene Analysen werden nach 3 Jahren automatisch gelöscht.
Versicherungs-PDFs: Nicht persistent gespeichert; Löschung unmittelbar nach Abschluss der Session-Analyse.
Server-Logs und Protokolldaten: Max. 30 Tage, dann automatische Löschung.
E-Mail-Marketing-Einwilligungen: Bis zum Widerruf; der Widerruf-Nachweis wird für 3 Jahre aufbewahrt.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unseres Dienstes oder bei Änderungen der Rechtslage anzupassen. Die aktuelle Version ist stets auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

Stand dieser Datenschutzerklärung: April 2026