Datensicherheit
Begrifflichkeiten
Für diese Richtlinien wird unterschieden zwischen:
Website: Die statische, clientseitig ausgeführte Seite, zugänglich unter www.dokubot.app und www.dokubot.com.
App: Eine Anwendung, die als iframe in die Website eingebettet ist und serverseitig ausgeführt wird. Sie dient der Erstellung generischer Arztbriefvorlagen für Übungs- und Lehrzwecke, richtet sich an Ärztinnen, Ärzte sowie Medizinstudierende und ist darauf ausgelegt, ausschließlich fiktive Eingaben zu verarbeiten.
Sicherheit der statischen Website
Die statische Website wird über Cloudflare Pages bereitgestellt. Cloudflare, ein führendes Content-Delivery-Network (CDN), stellt Funktionen wie DDoS-Schutz, Bot-Management und eine Web Application Firewall (WAF) zur Verfügung. Cloudflare ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert, wodurch ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA gewährleistet ist. Beim Aufruf der Website werden technisch notwendige Daten (z. B. IP‑Adresse) zur sicheren Bereitstellung verarbeitet; es gibt keine Registrierung, kein Nutzertracking und keine Werbung.
Einbettung der App
Die App ist in die Website eingebettet, ohne dass eine direkte Datenkommunikation zwischen Website und App stattfindet. Sämtliche Nutzereingaben erfolgen direkt in der App-Umgebung. Die statische Website speichert keine Profil- oder Trackingdaten.
Umgang mit Eingaben (Privacy by Design)
Nutzerinnen und Nutzer sind vertraglich verpflichtet, ausschließlich fiktive oder anonymisierte Informationen einzugeben. Die App ist technisch so gestaltet (z. B. keine Freitextfelder), dass die Eingabe identifizierender Daten Dritter bestmöglich unterbunden wird.
Flüchtige Verarbeitung: Alle Eingaben werden ausschließlich flüchtig im Arbeitsspeicher (RAM) verarbeitet. Es findet keine persistente Speicherung von Nutzereingaben in einer Datenbank oder auf Festplatten statt ("Stateless Design"). Mit Beendigung der Sitzung oder Neuladen der Seite werden alle Daten unwiderruflich gelöscht. Request‑Bodies (Inhalte der Anfragen) werden in den Server-Logs nicht gespeichert.
Kein Einsatz von Künstlicher Intelligenz
Dokubot basiert auf einem fest definierten, regelbasierten Algorithmus und verwendet keine Verfahren des maschinellen Lernens oder anderer KI-Technologien. Da das System deterministisch arbeitet (gleiche Eingabe führt stets zu gleichem Ergebnis), fällt Dokubot nicht in den Anwendungsbereich des EU Artificial Intelligence Act (AI Act).
Dokubot ist kein Medizinprodukt
Da Dokubot ausschließlich zur Erstellung generischer Arztbriefvorlagen zu Übungs- und Lernzwecken eingesetzt wird und keine medizinische Diagnose oder Therapie unterstützt, fällt Dokubot nicht unter die Definition eines Medizinprodukts. Die Nutzung im klinischen Kontext ist untersagt.
Übertragungssicherheit
Sämtliche Anfragen werden ausschließlich via HTTPS mit mindestens TLS 1.2 (präferiert TLS 1.3) übertragen. Ein HTTP Strict Transport Security (HSTS)-Header und Perfect-Forward-Secrecy-fähige Cipher-Suites gewährleisten Vertraulichkeit, Integrität und Authentizität der Daten auf dem Transportweg.
Serverstandort und Infrastruktur
Die App wird in der EU-Region (Dublin, Irland) auf Heroku (Salesforce) betrieben. Die zugrundeliegenden Amazon-Web-Services-Rechenzentren sind nach ISO 27001:2022 zertifiziert. Soweit systemseitige Logs anfallen (ohne Nutzer-Content), sind diese „at rest“ verschlüsselt. Für Nutzereingaben besteht mangels Datenbank-Speicherung kein Risiko eines Datenbank-Leaks.
Weiterführende Sicherheitsmaßnahmen
Unsere Infrastrukturpartner (Salesforce, Cloudflare) verfügen über umfangreiche Zertifizierungen (z. B. SOC 2 Typ II, ISO 27001). Netzsegmentierung, Firewalls und automatisiertes Patch-Management vervollständigen das Sicherheitskonzept der Hosting-Provider.
Responsible Disclosure
Wenn Sie eine Sicherheitslücke entdecken, informieren Sie uns bitte vertraulich unter security@dokubot.com (PGP-Schlüssel auf Anfrage). Wir bestätigen den Eingang innerhalb von 72 Stunden.
Verantwortung der Nutzenden
Nutzerinnen und Nutzer tragen die alleinige Verantwortung dafür, keine realen personenbezogenen Daten (insb. keine Patientennamen) in die App einzugeben. Ein Verstoß gegen die ärztliche Schweigepflicht (§ 203 StGB) durch Eingabe echter Daten liegt im Verantwortungsbereich des Nutzers.
Anpassungen dieser Richtlinien
Wir behalten uns vor, diese Richtlinien zur Datensicherheit an geänderte rechtliche, technische oder organisatorische Rahmenbedingungen anzupassen. Änderungen werden auf dieser Seite veröffentlicht und gelten ab dem Zeitpunkt der Veröffentlichung. Bitte überprüfen Sie diese Richtlinien in regelmäßigen Abständen, um über den aktuellen Stand informiert zu bleiben.
Zuletzt aktualisiert: Dezember 2025