Datenschutzerklärung

1. Wer ist verantwortlich?

Wenn es um deine Daten geht, sind wir dein Ansprechpartner (der sogenannte „Verantwortliche” nach der DSGVO):

Unseren Datenschutzbeauftragten erreichst du ebenfalls unter dieser Adresse (mit dem Zusatz „Datenschutzbeauftragter”) oder direkt per E-Mail.

2. Was macht Befino (und was nicht)?

Befino ist dein intelligenter Übersetzer für medizinisches Fachchinesisch. Wenn du einen Arztbrief oder Laborwerte hochlädst, übersetzt unsere Künstliche Intelligenz (KI) diese in eine Sprache, die jeder versteht.

3. Welche Daten wir verarbeiten und warum

Damit Befino funktioniert, müssen wir bestimmte Daten von dir verarbeiten. Wir erheben dabei immer nur das absolute Minimum:

Deine Kontodaten

Damit du dich einloggen kannst, speichern wir deine E-Mail-Adresse und dein Passwort. Dein Passwort kennen wir dabei nicht – es wird sofort mathematisch verschlüsselt (gehasht). Aus deinem Passwort wird zusätzlich dein persönlicher Verschlüsselungsschlüssel abgeleitet, mit dem deine Befunde geschützt werden (siehe Abschnitt 4).

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Deine Gesundheitsdaten

Wenn du Arztbriefe oder Laborberichte fotografierst oder hochlädst, wird das Dokument an unsere KI (Mistral AI) gesendet, um den Text zu erkennen und in verständliche Sprache zu übersetzen. Das schließt sensible Daten wie Diagnosen, Laborwerte oder Medikamente ein.

Die KI-Übersetzung wird anschließend auf deinem Gerät mit deinem persönlichen Schlüssel verschlüsselt und erst dann auf unserem Server gespeichert. Auf dem Server liegt nur verschlüsselter Text, den niemand außer dir lesen kann.

Rechtsgrundlage: Deine ausdrückliche Einwilligung beim Start der App (Art. 9 Abs. 2 lit. a DSGVO). Ohne diese Einwilligung kann die Scan-Funktion nicht genutzt werden.

Deine Chat-Nachrichten

Befino bietet zwei Chat-Funktionen: den Befund-Chat (Fragen zu einem konkreten Befund) und den allgemeinen MedChat (allgemeine Gesundheitsfragen). Beide werden von Mistral AI verarbeitet. Dabei werden ausschließlich die von Befino erstellten Übersetzungen als Kontext mitgeschickt – diese enthalten in der Regel keine personenbezogenen Daten des Nutzers.

Der allgemeine MedChat-Verlauf wird ausschließlich lokal auf deinem Gerät gespeichert und verlässt dein Handy nicht, außer für die Verarbeitung einzelner Nachrichten durch die KI. Der Befund-Chat wird verschlüsselt auf unseren Servern gespeichert.

Rechtsgrundlage: Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), da Chat-Inhalte gesundheitsbezogene Informationen enthalten können.

Abonnement-Daten

Wenn du ein Akut-Paket oder das Sorglos-Abo kaufst, speichern wir deinen Kaufstatus, um dir die Premium-Funktionen freizuschalten. Deine echten Zahlungsdaten (Kreditkarte etc.) sehen wir dabei nie – das wickelt Apple oder Google für dich ab. Zur Verwaltung des Abo-Status wird deine pseudonyme Nutzer-ID an unseren Dienstleister RevenueCat übermittelt.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Technische Daten und Server-Logfiles

Sobald du die App öffnest, kommuniziert dein Gerät mit unserem Server. Dabei speichern unsere Server (bei Hetzner in Deutschland) für wenige Tage automatisch technische Daten wie deine IP-Adresse, Datum, Uhrzeit und die App-Version. Das ist technisch zwingend nötig, um Hackerangriffe abzuwehren und Fehler zu finden. Diese Logfiles werden nach wenigen Tagen automatisch gelöscht.

Rechtsgrundlage: Berechtigtes Interesse an der IT-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO).

4. So schützen wir deine Befunde (Zero-Knowledge-Verschlüsselung)

Wir haben Befino so gebaut, dass wir deine Befunde nicht lesen können – selbst wenn wir es wollten.

Wie das funktioniert

Aus deinem Passwort wird auf deinem Gerät über ein kryptografisches Verfahren (PBKDF2 mit 150.000 Durchläufen) ein persönlicher Verschlüsselungsschlüssel abgeleitet. Dieser Schlüssel wird ausschließlich auf deinem Gerät gespeichert (im sicheren Bereich des Betriebssystems) und niemals an unseren Server übertragen.

Wenn du einen Befund speicherst, wird er mit diesem Schlüssel und dem Verschlüsselungsstandard AES-256-GCM direkt auf deinem Handy verschlüsselt. Erst der verschlüsselte Text wird an unseren Server gesendet.

Was das bedeutet

Stell dir vor, in deinem Befund steht: „Kopfschmerzen und Verspannung im Nacken.” Auf deinem Handy liest du genau das. Bei uns in der Datenbank steht:

Niemand – kein Mitarbeiter, kein Admin, kein Hacker – kann daraus den Originaltext rekonstruieren, ohne deinen Schlüssel.

Passwort vergessen?

Wenn du dein Passwort zurücksetzt, wird ein neuer Schlüssel abgeleitet. Deine bisherigen verschlüsselten Befunde können mit dem neuen Schlüssel nicht mehr entschlüsselt werden und werden gelöscht. Das klingt unbequem, ist aber genau der Beweis dafür, dass dein Passwort wirklich der einzige Schlüssel ist und wir keinen Ersatzschlüssel besitzen.

Alle Datenübertragungen zwischen deinem Gerät und unseren Servern erfolgen über TLS 1.2 oder höher.

5. Wie die KI arbeitet

Um deine Befunde zu übersetzen und deine Chat-Fragen zu beantworten, nutzen wir das Sprachmodell von Mistral AI (Sitz: Paris, Frankreich).

Bei einem Scan

Wenn du auf „Scannen” drückst, wird das Bild deines Befundes an Mistral AI gesendet. Dort wird der Text erkannt und in verständliche Sprache übersetzt. Dank aktivierter Zero Data Retention (ZDR) werden die Daten ausschließlich für die Dauer der Verarbeitung gehalten und unmittelbar danach gelöscht. Es werden keine Kopien gespeichert.

Bei einem Chat

Wenn du im Befund-Chat oder im MedChat eine Frage stellst, wird diese zusammen mit der bereits übersetzten Befund-Zusammenfassung an Mistral AI gesendet. Auch hier greift die Zero Data Retention: Daten werden nur für die Dauer der Anfrage verarbeitet und danach sofort gelöscht.

Was Mistral AI nicht tut

Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union. Mistral AI verwendet deine Daten nicht, um eigene KI-Modelle zu trainieren.

6. Was wir definitiv NICHT tun

Ehrlichkeit ist die beste Grundlage für Vertrauen. Deshalb hier schwarz auf weiß:

• Wir setzen kein Tracking und keine Analyse-SDKs in der App ein. Kein Firebase, kein Google Analytics, kein Facebook SDK.
• Wir zeigen dir keine Werbung in der App.
• Wir verkaufen deine Daten niemals an Dritte.
• Wir erstellen keine Profile über dich für Werbe- oder Marketingzwecke.
• Weder wir noch Mistral AI trainieren KI-Modelle mit deinen Daten.
• Es werden keine automatisierten Entscheidungen getroffen, die rechtliche Wirkung für dich entfalten oder dich erheblich beeinträchtigen (Art. 22 DSGVO).

7. Wer hilft uns bei der Technik? (Auftragsverarbeiter)

Wir nutzen sorgfältig ausgewählte Partner, mit denen wir Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen haben:

Supabase / Hetzner (Datenbank und Authentifizierung)

Hier liegt unsere Datenbank. Die Server stehen in Deutschland. Hier landet dein verschlüsselter Text. Kein Drittlandtransfer – alle Daten verbleiben in Deutschland.

Mistral AI (KI-Verarbeitung)

Sitzt in Paris, Frankreich. Verarbeitet deine Dokumente und Chat-Nachrichten auf Servern innerhalb der EU. Dank aktivierter Zero Data Retention werden keine Daten über die Verarbeitungsdauer hinaus gespeichert. Kein Drittlandtransfer.

RevenueCat (Abo-Verwaltung)

Ein Dienstleister aus den USA, der für uns prüft, ob du ein aktives Abo hast. Er bekommt ausschließlich eine pseudonyme Nutzer-ID – keine E-Mail-Adresse, keine medizinischen Daten. Die Datenübertragung in die USA ist durch das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) sowie ergänzend durch EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 abgesichert.

Apple und Google (Zahlungsabwicklung)

Sie wickeln deine Zahlungen ab. Wir erhalten lediglich eine Bestätigung des Kaufstatus – keine Kreditkarten- oder Bankdaten. Drittlandtransfer USA, abgesichert durch EU-US Data Privacy Framework und SCCs.

8. Wie lange speichern wir deine Daten?

Wir behalten deine Daten nur so lange, wie du ein Konto bei uns hast.

• Kontodaten (E-Mail, Passwort-Hash): Bis zur Kontolöschung. Werden bei Löschung sofort entfernt.
• Verschlüsselte Befunde: Bis zur Kontolöschung. Werden bei Löschung sofort und unwiderruflich durch eine kaskadierende Datenbankoperation entfernt. Bei einem Passwort-Reset werden vorhandene Befunde ebenfalls gelöscht, da sie mit dem neuen Schlüssel nicht mehr entschlüsselt werden können.
• Lokaler MedChat-Verlauf: Verbleibt auf deinem Gerät, bis du ihn löschst oder die App deinstallierst.
• Befund-Chat-Daten: Verschlüsselt auf dem Server, bis zur Kontolöschung.
• KI-Verarbeitung bei Mistral AI: Ausschließlich für die Dauer des einzelnen Verarbeitungsvorgangs. Dank Zero Data Retention werden keine Daten über diesen Zeitpunkt hinaus gespeichert.
• Technische Server-Logfiles: Wenige Tage, danach automatisch gelöscht.
• Abo-Status bei RevenueCat: Bis zur Kontolöschung. Bei Löschung wird dein RevenueCat-Profil abgemeldet.

9. Welche Berechtigungen braucht die App?

Befino fragt dich nur nach Berechtigungen, die für die jeweilige Funktion zwingend nötig sind:

• Kamera: Um deine Befunde direkt in der App abzufotografieren. Nur bei aktiver Nutzung des Scanners.
• Fotogalerie: Um bereits fotografierte Befunde aus deinem Album hochzuladen. Nur bei Auswahl aus der Galerie.
• Face ID / Fingerabdruck (optional): Um die App zusätzlich vor fremden Blicken zu schützen. Diese biometrischen Daten werden ausschließlich lokal auf deinem Gerät durch das Betriebssystem verarbeitet – wir haben keinen Zugriff darauf.

Was wir nicht anfordern: Standort, Kontakte, Mikrofon, Geräte-IDs.

10. Keine Cookies, kein Tracking in der App

Befino ist eine mobile App. Wir setzen in der App keine Cookies, keine Tracking-Pixel, keine Analyse-SDKs und keine Werbe-Frameworks ein. Es gibt kein App-Tracking im Sinne des § 25 TDDDG.

Website (befino.de)

Auf unserer Website setzen wir ausschließlich Counter.dev ein, einen datenschutzfreundlichen, quelloffenen Analyse-Dienst. Counter.dev verwendet keine Cookies, speichert keine IP-Adressen und erstellt kein Fingerprinting. Es werden lediglich aggregierte Zugriffsdaten erhoben (z.B. Seitenaufrufe, Herkunftsland, Referrer). Eine Identifikation einzelner Nutzer findet nicht statt.

Rechtsgrundlage: Berechtigtes Interesse an der Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO).
Anbieter: Counter.dev (Open Source, AGPL-v3-Lizenz). Weitere Informationen: https://counter.dev

11. Deine Rechte

Du bist der Chef deiner Daten. Du hast jederzeit folgende Rechte:

• Auskunft (Art. 15 DSGVO): Du kannst erfahren, welche Daten wir über dich gespeichert haben.
• Berichtigung (Art. 16 DSGVO): Du kannst die Korrektur falscher Daten verlangen.
• Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen. Am einfachsten direkt in der App unter Profil → Konto löschen. Dabei werden alle Befunde, dein Verschlüsselungsschlüssel, deine Kontodaten und alle Einwilligungsdaten sofort und vollständig gelöscht.
• Einschränkung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Du kannst deine Daten in einem gängigen Format erhalten.
• Widerspruch (Art. 21 DSGVO): Du kannst der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Du kannst deine Einwilligung zur Verarbeitung von Gesundheitsdaten jederzeit mit Wirkung für die Zukunft widerrufen – per Kontolöschung in der App oder per E-Mail. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Zur Ausübung deiner Rechte schreib uns einfach eine formlose E-Mail an datenschutz@befino.de.

Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist:

12. Einwilligungsmanagement

Beim Onboarding in der App holst du aktiv drei separate Einwilligungen ein:

1. KI-Verarbeitung: Erlaubnis, deine gescannten Dokumente und Chat-Nachrichten zur Übersetzung an Mistral AI zu senden.
2. Medizinischer Hinweis: Bestätigung, dass du verstanden hast, dass Befino keinen Arzt ersetzt und die KI Fehler machen kann.
3. Datenschutz und AGB: Akzeptanz dieser Datenschutzerklärung und der Allgemeinen Geschäftsbedingungen.

Diese Einwilligungen werden mit Zeitstempel und Nutzer-ID dokumentiert – sowohl lokal auf deinem Gerät als auch serverseitig.

Du kannst deine Einwilligungen jederzeit widerrufen – per Kontolöschung in der App (Profil → Konto löschen) oder per E-Mail an datenschutz@befino.de.

13. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Zum Schutz deiner Daten – insbesondere deiner Gesundheitsdaten – haben wir folgende Maßnahmen umgesetzt:

• Verschlüsselung: Deine Befunde werden mit AES-256-GCM auf deinem Gerät verschlüsselt, bevor sie gespeichert werden. Der Schlüssel wird mit PBKDF2 (150.000 Iterationen) aus deinem Passwort abgeleitet und verbleibt ausschließlich auf deinem Gerät. Alle Datenübertragungen sind mit TLS 1.2 oder höher geschützt.
• Zero-Knowledge-Architektur: Auf unseren Servern liegen nur verschlüsselte Daten. Selbst unser Entwicklerteam kann deine Befunde nicht entschlüsseln. Der Schlüssel existiert nur auf deinem Gerät.
• Zugriffskontrolle: Authentifizierung über JWT-Token mit begrenzter Gültigkeit. Optionale biometrische Sperre (Face ID / Fingerabdruck) über das Betriebssystem.
• Datensparsamkeit: Wir erheben nur die Daten, die für die jeweilige Funktion zwingend erforderlich sind. Keine unnötigen Berechtigungen, keine Analytics-SDKs, kein Tracking.

14. Pflicht zur Bereitstellung von Daten

Die Bereitstellung deiner E-Mail-Adresse und deines Passworts ist für die Nutzung der App erforderlich (vertragliche Erforderlichkeit). Ohne diese Daten können wir kein Konto erstellen.

Die Einwilligung zur KI-Verarbeitung von Gesundheitsdaten ist freiwillig, aber technisch notwendig für die Scan- und Chat-Funktion. Ohne diese Einwilligung kannst du die Kernfunktionen der App nicht nutzen, das Medizin-Lexikon aber weiterhin kostenlos verwenden.

15. Minderjährige

Befino richtet sich nicht an Personen unter 16 Jahren. Wir erheben nicht wissentlich Daten von Minderjährigen unter 16 Jahren. Sollten wir feststellen, dass Daten eines Minderjährigen erhoben wurden, löschen wir diese umgehend.

16. Änderungen dieser Erklärung

Sollten wir neue Funktionen einbauen oder sich Gesetze ändern, passen wir diese Datenschutzerklärung an. Bei wesentlichen Änderungen informieren wir dich per E-Mail oder In-App-Benachrichtigung. Die aktuellste Version findest du immer in der App und unter befino.de/datenschutz.

17. Kontakt

Bei Fragen zum Datenschutz, zur Ausübung deiner Rechte oder für Anregungen: