benisa GmbH
Gspannberg 20
92348 Berg bei Neumarkt i.d. Oberpfalz
Bayern, Deutschland
Geschäftsführer: Arne Westphal, Dr. Markus Sandrock
E-Mail: info@benisa-ai.de
Die benisa GmbH ist Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten auf dieser Website sowie im Rahmen der heydok-Patienten-Anwendung.
Die heydok-Webseite und heydok-Patienten-Anwendung werden auf Servern in Deutschland gehostet. Der Hosting-Anbieter verarbeitet Zugriffsdaten im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO.
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt auf Grundlage folgender Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:
Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Dazu gehören insbesondere:
Unsere Sicherheitsmaßnahmen werden fortlaufend überprüft und bei Bedarf angepasst.
Wenn Sie uns per E-Mail (info@benisa-ai.de; datenschutz@benisa-ai.de) oder über ein Kontaktformular kontaktieren, werden Ihre Angaben (Name, E-Mail-Adresse, Praxis oder Unternehmen, Anliegen und Nachricht) zur Bearbeitung Ihrer Anfrage bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung Ihrer Anfrage). Die Daten werden gelöscht, sobald der Zweck der Speicherung entfällt.
Kontaktaufnahme, Terminvereinbarung und -änderung
Wir verarbeiten Ihre personenbezogenen Daten, um mit Ihnen in Kontakt zu treten. Hierbei kann es sich um eine Kontaktaufnahme zur Beantwortung von Rückfragen sowie zur Terminorganisation handeln. Die Kontaktaufnahme kann per Telefon oder Email erfolgen.
Zweck der Verarbeitung ist das Management und die Koordination von Kontaktanfragen.
Die Verarbeitung personenbezogener Daten für die Kontaktaufnahme und Terminorganisation erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO sowie Art. 9 Abs. 2 lit. h DSGVO.
Erhobene Daten werden gemäß den einschlägigen gesetzlichen Bestimmungen solange gespeichert, als zur Erfüllung der vorgenannten Zwecke notwendig ist.
Im Rahmen der Systemkonfiguration und -administration können Mitarbeitende externer IT-Dienstleister (z. B. Dr. Sandrock & Partner Fachärzte, Dr. Sandrock Service & Management GmbH) auf personenbezogene Daten zugreifen, soweit dies zur Wartung, Fehlerbehebung, Anpassung oder Sicherstellung der Funktionsfähigkeit der IT-Systeme notwendig ist. Die Verarbeitung umfasst das kurzzeitige Einsehen, Prüfen und gegebenenfalls temporäre Verarbeiten der Daten innerhalb der eingesetzten Systeme, um technische Abläufe und die Sicherheit der datenverarbeitenden Infrastruktur zu gewährleisten. Der Zugriff erfolgt ausschließlich zu administrativen und technischen Zwecken unter strikter Wahrung der Vertraulichkeit und innerhalb des im jeweiligen Auftrag vorgegebenen Umfangs.
Der Zugriff externer IT-Dienstleister auf personenbezogener Daten dient ausschließlich der technischen Wartung, Systemkonfiguration, Fehlerbehebung sowie der Sicherstellung von Betriebssicherheit und Funktionsfähigkeit der IT. Ziel ist die Aufrechterhaltung eines sicheren und leistungsfähigen IT-Betriebs zum Schutz und zur Verfügbarkeit der personenbezogenen Daten.
Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO sowie Art. 9 Abs. 2 lit. h DSGVO. Die externen Dienstleister handeln dabei im Rahmen eines Vertrages zur Auftragsverarbeitung nach Art. 28 DSGVO und sind zur Vertraulichkeit verpflichtet.
Erhobene Daten werden gemäß den einschlägigen gesetzlichen Bestimmungen solange gespeichert, als zur Erfüllung der vorgenannten Zwecke notwendig ist.
Verwendung pseudonymisierter Daten zur KI-Analyse
Sie haben gegenwärtig oder haben in der Vergangenheit die heydok-Patienten-Anwendung verwendet. Zu Erklärzwecken werden oder wurden von Ihnen personenbezogene Daten in Form von Text und Bild preisgegeben. Diese Daten werden in einem Rechenzentrum in Deutschland gespeichert (Server bzw. Anwendungssystem des Anwendungs-Betreibers).
Zur Verarbeitung der Daten in der Web-Anwendung werden zudem Large Language Modelle (LLM) verwendet, welche den Datentransfer auf Microsoft-Azure-Server in West-Europa erfordern. Azure verarbeitet Daten ausschließlich nach Anweisung und speichert sie nur zur Bereitstellung der gebuchten Dienste. Es findet kein Data Mining oder Werbung statt.
Daher sind die besonderen Nutzerpflichten unter h) zur eigenverantwortlichen Anonymisierung von besonderer Bedeutung, um zu verhindern, dass eine Identifizierung erfolgen könnte.
Wir verarbeiten die folgenden aktuellen und historischen personenbezogenen Daten von Ihnen:
Mithilfe Künstlicher Intelligenz (KI) erfolgt eine automatisierte Erklärung von EKG- sowie Lungenfunktionsberichten. Künstliche Intelligenz umschreibt dabei Methoden, die auf die Automatisierung von Entscheidungsvorgängen abzielen, die gewöhnlich den Einsatz menschlicher Intelligenz erfordern. Die IT-Lösung soll eine patientenfreundliche Erklärung der EKG- und Lungenfunktionsberichte ermöglichen.
Zum Zwecke der Qualitätssicherung übertragen und speichern wir Ihre pseudonymisierten Daten in geschützte Datenbanken und analysieren Ihre Daten im KI-System, um daraus bestimmte Schlussfolgerungen zu ziehen und ggf. bestimmte Erklärungen zu treffen.
Zugriff auf Ihre gespeicherten Daten zum Zwecke der Qualitätssicherung der IT-Lösung und des KI-Systems haben ausschließlich Mitarbeiter der Benisa GmbH.
Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a, 9 Abs. 2 lit. a DSGVO.
Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen schriftlich oder per E-Mail über die unter Punkt I. angegebenen Kontaktdaten widerrufen, ohne dass Ihnen hieraus ein Nachteil entsteht. Wenn Sie Ihre Einwilligung widerrufen, findet keine weitere Verarbeitung Ihrer Daten mehr statt. Die bis zum Widerruf erfolgte Datenverarbeitung bleibt jedoch rechtmäßig. Sie können im Falle des Widerrufs auch die Löschung Ihrer Daten verlangen.
Wir bewahren Ihre Daten nur solange in den gesonderten KI-Datenbanken und KI-Systemen auf, wie sie für die unter Punkt c) genannten Zwecke erforderlich sind. Anschließend werden sie unverzüglich gelöscht, soweit wir sie nicht aufgrund gesetzlicher Aufbewahrungspflichten länger aufbewahren müssen.
Bei jeder Erhebung, Speicherung und Nutzung von Daten bestehen Vertraulichkeitsrisiken. Diese Risiken lassen sich nicht völlig ausschließen und steigen, je mehr Daten miteinander verknüpft werden können. Wir setzen jedoch entsprechende Maßnahmen nach dem Stand der Technik zum Schutz Ihrer Privatsphäre ein. Hierzu gehören insbesondere die pseudonymisierte Speicherung der Daten sowie ein explizites Zugriffsmanagement nur für die berechtigten Personen nach Punkt d). Medizinische Risiken sind mit der Datenverarbeitung nicht verbunden.
Diese Anwendung ermöglicht es Nutzern, eigene Daten in Microsoft-Azure-Diensten und in einer lokalen Datenbank zu speichern. Der Nutzer ist selbst dafür verantwortlich, die von ihm eingegebenen oder hochgeladenen Daten zu anonymisieren, sofern diese personenbezogene Informationen enthalten. Dies umfasst insbesondere die Entfernung oder Unkenntlichmachung von Namen, Kontaktdaten, Identifikatoren oder anderen sensiblen Daten.
Der Anbieter übernimmt keine Haftung für personenbezogene Daten, die durch den Nutzer selbst ohne ausreichende Anonymisierung eingegeben wurden.
Im Rahmen der Systemkonfiguration und -administration können Mitarbeitende externer IT-Dienstleister auf personenbezogene Daten zugreifen, soweit dies zur Wartung, Fehlerbehebung, Anpassung oder Sicherstellung der Funktionsfähigkeit der IT-Systeme notwendig ist. Die Verarbeitung umfasst das kurzzeitige Einsehen, Prüfen und gegebenenfalls temporäre Verarbeiten der Daten innerhalb der eingesetzten Systeme, um technische Abläufe und die Sicherheit der datenverarbeitenden Infrastruktur zu gewährleisten. Der Zugriff erfolgt ausschließlich zu administrativen und technischen Zwecken unter strikter Wahrung der Vertraulichkeit und innerhalb des im jeweiligen Auftrag vorgegebenen Umfangs.
Der Zugriff externer IT-Dienstleister auf personenbezogener Daten dient ausschließlich der technischen Wartung, Systemkonfiguration, Fehlerbehebung sowie der Sicherstellung von Betriebssicherheit und Funktionsfähigkeit der IT. Ziel ist die Aufrechterhaltung eines sicheren und leistungsfähigen IT-Betriebs zum Schutz und zur Verfügbarkeit der personenbezogenen Daten.
Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO sowie Art. 9 Abs. 2 lit. h DSGVO. Die externen Dienstleister handeln dabei im Rahmen eines Vertrages zur Auftragsverarbeitung nach Art. 28 DSGVO und sind zur Vertraulichkeit verpflichtet.
Erhobene Daten werden gemäß den einschlägigen gesetzlichen Bestimmungen solange gespeichert, als zur Erfüllung der vorgenannten Zwecke notwendig ist.
Ihnen stehen einige Rechte nach der DSGVO zu. Diese sind:
Sie haben gemäß Art. 15 DSGVO jederzeit das Recht, von uns Auskunft über alle Daten zu verlangen, die wir über Sie speichern. Das beinhaltet insbesondere die Auskunft über
Sollten Ihre Daten, die bei uns verarbeitet werden, unrichtig oder unvollständig sein, so können Sie von uns jederzeit die Berichtigung oder Vervollständigung dieser Daten nach Art. 16 DSGVO verlangen.
Sollte die ursprüngliche Rechtsgrundlage für die Datenverarbeitung nicht mehr greifen oder haben Sie Ihre Einwilligung widerrufen oder der Verarbeitung widersprochen oder dürfen wir Ihre Daten aus einem anderen der in Art. 17 Abs. 1 DSGVO genannten Gründe nicht weiter verarbeiten, so können Sie von uns nach Art. 17 DSGVO die Löschung der Sie betreffenden personenbezogenen Daten verlangen.
Dieses Recht steht Ihnen nicht zu, wenn die Verarbeitung zur Ausübung der Meinungs- und Informationsfreiheit oder zur Wahrung öffentlicher Interessen erforderlich ist, eine dahingehende Rechtspflicht besteht oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist.
Gemäß Art. 18 DSGVO können Sie auch die Einschränkung der Verarbeitung verlangen. Dieses Recht steht Ihnen zu, wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist, wir die Daten für die angegebenen Zwecke nicht mehr benötigen oder Sie der Verarbeitung widersprochen haben und wir die Daten in den beiden letztgenannten Fällen nicht anderweitig rechtmäßig weiterverarbeiten dürfen.
Außerdem können Sie von uns nach Art. 20 DSGVO die Übertragung Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format an sich selbst oder einen anderen Verantwortlichen verlangen.
Haben Sie als Rechtsgrundlage für die Verarbeitung Ihrer Daten durch uns Ihre Einwilligung zum Beispiel nach Art. 6 Abs. 1 S. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO erklärt, so können Sie gemäß Art. 7 Abs. 3 DSGVO diese Einwilligung jederzeit widerrufen. Wenn Sie dies tun, stellen wir die Verarbeitung Ihrer Daten ein, allerdings bleibt die Rechtmäßigkeit der Verarbeitung bis zum Widerruf von dem Widerruf unberührt.
Sie können sich gemäß Art. 77 DSGVO auch mit einer Beschwerde an eine Aufsichtsbehörde wenden. In der Regel sollte dies die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes sein; wahlweise können Sie Ihre Beschwerde auch an die Aufsichtsbehörde unseres Unternehmenssitzes richten. Deren Anschrift lautet:
Landesamt für Datenschutzaufsicht, Promenade 27 (Schloss), 91522 Ansbach
Telefon: 0981 / 53-13 00; Telefax: 0981 / 53-53 00;
E-Mail: poststelle@lda.bayern.de
Diese Datenschutzerklärung kann künftig aktualisiert werden, um gesetzliche Anforderungen oder Änderungen an der heydok-Webseite sowie heydok-Patienten-Anwendung abzubilden.
Stand: April 2026