Datenschutzerklaerung

Hinweis: Diese Datenschutzerklaerung ist ein technischer Entwurf und wird vor dem Launch durch einen Datenschutz-Anwalt geprueft. Aufgrund der Verarbeitung gesundheitsbezogener Daten (ADHS-Profil) ist eine Datenschutz-Folgenabschaetzung (DSFA) nach Art. 35 DSGVO vorgesehen.

1. Verantwortlicher

[Name und Anschrift des Betreibers]
E-Mail: kontakt@phokuz.de

2. Ueberblick der Datenverarbeitung

Phokuz ist eine KI-gestuetzte Web-Applikation (PWA), die Menschen mit ADHS bei Buerokratie, Dokumentenverwaltung und Alltagsorganisation unterstuetzt. Dabei werden folgende Datenkategorien verarbeitet:

• Account- und Profildaten (Name, E-Mail, Profilbild via Google)
• Gesundheitsbezogene Daten (ADHS-Profil, Stimmung, Energielevel, Medikation)
• Dokumente und deren Inhalte (Briefe, PDFs, Rechnungen)
• Aufgaben, Notizen und Sprachaufnahmen
• Technische Daten (IP-Adresse, Browser, Geraetetyp)

3. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Basis folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (insb. fuer gesundheitsbezogene Daten, Art. 9 Abs. 2 lit. a)
• Art. 6 Abs. 1 lit. b DSGVO — Vertragsdurchfuehrung (Account, Kernfunktionen)
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Sicherheit, Missbrauchsschutz)

4. Account und Authentifizierung

4.1 Google OAuth

Die Anmeldung erfolgt ueber Google OAuth 2.0. Dabei werden Name, E-Mail-Adresse und Profilbild von Google uebermittelt. Wir speichern diese Daten zur Kontoerstellung und -verwaltung. Die Datenschutzerklaerung von Google findest du unter policies.google.com/privacy.

4.2 Sessions

Wir verwenden datenbankgestuetzte Sessions (kein JWT). Ein Session-Cookie (authjs.session-token) wird gesetzt, das fuer die Authentifizierung noetig ist (technisch notwendig, kein Tracking).

5. Dokumente und OCR-Verarbeitung

Hochgeladene Dokumente (Bilder, PDFs) werden verschluesselt in einem S3-kompatiblen Objektspeicher (MinIO) auf unserem Server gespeichert. Die Verarbeitung umfasst:

• OCR (Texterkennung): Tesseract.js erkennt Text aus Bildern — die Verarbeitung erfolgt auf unserem Server, nicht bei Drittanbietern.
• KI-Analyse: Extrahierter Text wird an die Anthropic API (Claude) uebermittelt, um Fristen, Betraege und Aufgaben zu erkennen. Es werden keine Bilddaten, sondern nur der erkannte Text uebertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).

6. KI-Verarbeitung (Anthropic/Claude)

Fuer die Dokumentenanalyse nutzen wir die API von Anthropic (Claude). Dabei wird ausschliesslich extrahierter Text uebermittelt — keine Originalbilder oder -dateien. Anthropic verarbeitet diese Daten gemaess ihrer Datenschutzerklaerung und nutzt API-Daten nicht zum Training ihrer Modelle.

7. Gesundheitsbezogene Daten

Phokuz verarbeitet besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO:

• ADHS-Diagnose-Status und Medikation (Onboarding)
• Taegliche Stimmungs- und Energie-Check-ins
• Produktivitaets- und Wohlbefinden-Trends

Die Verarbeitung erfolgt ausschliesslich auf Grundlage deiner ausdruecklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Du kannst diese Angaben jederzeit in den Einstellungen aendern oder loeschen. Eine Datenschutz-Folgenabschaetzung (DSFA) wird vor dem oeffentlichen Launch durchgefuehrt.

8. Push-Benachrichtigungen

Mit deiner Zustimmung senden wir Push-Benachrichtigungen ueber die Web Push API. Dein Browser generiert dabei einen Endpunkt (Push-Subscription), den wir auf unserem Server speichern. Es werden keine Daten an Dritte uebermittelt — die Zustellung erfolgt ueber standardisierte Web-Push-Protokolle. Du kannst Benachrichtigungen jederzeit in den Einstellungen deaktivieren.

9. Sprachaufnahmen

Die Spracheingabe nutzt die Web Speech API deines Browsers. Die Spracherkennung erfolgt lokal oder ueber den Speech-Service deines Browsers (z. B. Google Chrome Speech Services). Phokuz speichert nur den erkannten Text, nicht die Audioaufnahme selbst.

10. Hosting und Infrastruktur

Unsere Anwendung wird auf Servern der Hetzner Online GmbH in Deutschland gehostet. Alle Daten werden in deutschen Rechenzentren verarbeitet und gespeichert.

• Webserver: Hetzner Cloud (Standort: Deutschland)
• Datenbank: PostgreSQL (selbst gehostet bei Hetzner)
• Dateispeicher: MinIO S3 (selbst gehostet bei Hetzner)
• Cache: Redis (selbst gehostet bei Hetzner)

11. Cookies und lokaler Speicher

Wir verwenden ausschliesslich technisch notwendige Cookies:

• authjs.session-token — Authentifizierung (Session-Cookie)
• Service Worker Cache — Offline-Faehigkeit der PWA (lokaler Speicher)

Es werden keine Tracking-Cookies, Analyse-Tools oder Werbenetzwerke eingesetzt.

12. Datenuebermittlung an Drittlaender

Die Nutzung der Anthropic API kann eine Datenuebermittlung in die USA beinhalten. Dies erfolgt auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und betrifft ausschliesslich extrahierten Dokumententext — keine Nutzerdaten oder Gesundheitsdaten. Die Google OAuth-Authentifizierung unterliegt den Datenschutzbestimmungen von Google.

13. Speicherdauer

• Account-Daten: Bis zur Kontolöschung
• Dokumente: Bis zur manuellen Loeschung durch den Nutzer
• Check-in-Daten: Bis zur Kontolöschung
• Server-Logs: 30 Tage
• Push-Subscriptions: Bis zur Abmeldung oder Kontolöschung

14. Deine Rechte

Du hast folgende Rechte gegenueber uns:

• Auskunft (Art. 15 DSGVO) — Welche Daten wir ueber dich gespeichert haben
• Berichtigung (Art. 16 DSGVO) — Korrektur falscher Daten
• Loeschung (Art. 17 DSGVO) — Loeschung deiner Daten („Recht auf Vergessenwerden“)
• Einschraenkung (Art. 18 DSGVO) — Einschraenkung der Verarbeitung
• Datenuebertragbarkeit (Art. 20 DSGVO) — Export deiner Daten
• Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Jederzeit mit Wirkung fuer die Zukunft

Wende dich dafuer an kontakt@phokuz.de. Du hast ausserdem das Recht, dich bei einer Aufsichtsbehoerde zu beschweren.

15. Datensicherheit

Wir setzen technische und organisatorische Massnahmen zum Schutz deiner Daten ein:

• Transportverschluesselung (TLS/HTTPS) fuer alle Verbindungen
• Verschluesselte Datenbankverbindungen
• Rate-Limiting zum Schutz vor Missbrauch
• Sichere Session-Verwaltung (datenbankgestuetzt, nicht JWT)
• Minimale Datenerhebung (Privacy by Design)

16. Aenderungen

Wir behalten uns vor, diese Datenschutzerklaerung bei Bedarf anzupassen. Die aktuelle Version ist stets unter dieser Seite verfuegbar. Bei wesentlichen Aenderungen informieren wir dich per E-Mail oder In-App-Benachrichtigung.