Datenschutzerklärung
Verantwortlicher
Datenschutz-Anfragen an datenschutz@ory-berlin.de — Bearbeitung innerhalb von 30 Tagen (Art. 12 DSGVO).
Geltungsbereich & Produkte
Diese Datenschutzerklärung gilt für alle Produkte von ORY Berlin:
| Produkt | Domain | Zielgruppe |
|---|---|---|
| ORY Shop | ory-berlin.de | Patienten |
| ORY Velox | velox.ory-berlin.de | Therapeuten |
| Partner-Netzwerk | digital.ory-berlin.de | ORY-Partner |
| ORY Akademie | akademie.ory-berlin.de | Therapeuten |
ORY Velox wird als SaaS an Praxen bereitgestellt. Therapeuten sind für Patientendaten eigenverantwortlich. ORY Berlin ist Auftragsverarbeiter (Art. 28 DSGVO).
Allgemeine Datenverarbeitung
3.1 Server-Logs
Beim Besuch unserer Websites werden automatisch erfasst: IP-Adresse (anonymisiert nach 7 Tagen), Datum/Uhrzeit, URL, Browser-Typ. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
3.2 Shopify-Shop
Unser Shop läuft über Shopify Inc. Bei Kauf: Name, E-Mail, Lieferanschrift, Bestellhistorie. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: 10 Jahre (§ 147 AO). Mit Shopify besteht ein AVV; US-Datenübermittlung auf Basis von SCC.
3.3 E-Mail
Bestellbestätigungen über Resend (EU-Server). Kontakt-E-Mails werden zur Bearbeitung gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. f DSGVO.
ORY Velox — Praxis-Assistenzsystem
KI-gestütztes Praxis-Assistenzsystem für Ärzte, Heilpraktiker und Therapeuten — aktuell in der Beta-Phase, Zugang nur für eingeladene Praxen.
4.1 Datenverarbeitung
| Datenkategorie | Verarbeitung | Lokal? |
|---|---|---|
| Patientendaten | Nur lokal in der Praxis | ✓ Immer lokal |
| Pseudonymisiert | An KI-APIs | Teilweise |
| Statistiken | ORY-Server Frankfurt | Kein Patientenbezug |
4.2 Pseudonymisierungsprinzip
Vor jeder KI-Übermittlung werden alle persönlichen Daten automatisch ersetzt:
- Lokal: „Frau Müller (geb. 1970) — Rückenschmerzen"
- An KI: „Patientin A — Rückenschmerzen"
Die Praxis muss Patienten über den Einsatz informieren. Zwischen ORY Berlin und der Praxis wird ein AVV gem. Art. 28 DSGVO geschlossen.
ORY Partner-Netzwerk
Das ORY Partner-Netzwerk (digital.ory-berlin.de) ermöglicht Therapeuten, Ärzten und Heilpraktikern die Registrierung als ORY-Partner. Voraussetzung: Teilnahme an der ORY Akademie.
Bei Registrierung: Name, Berufsbezeichnung, Qualifikationsnachweise, Praxisadresse, Kontaktdaten, optional Profilfoto. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. a DSGVO.
Profile sind öffentlich sichtbar. Deaktivierung per E-Mail: datenschutz@ory-berlin.de. Bewerbungsdaten bei Ablehnung nach 6 Monaten gelöscht.
ORY Akademie
Fortbildungen für Therapeuten. Bei Anmeldung: Name, E-Mail, Berufsbezeichnung, Zahlungsdaten (über Shopify), Teilnahmenachweise. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6.1 Terminbuchung (Acuity Scheduling)
Buchungen über Acuity Scheduling (Squarespace Ireland Ltd.). Übermittelt: Name, E-Mail, Termin. Mehr: squarespace.com/privacy
Cookies & Tracking
7.1 Technisch notwendige Cookies
| Cookie | Zweck | Dauer |
|---|---|---|
| _shopify_session | Warenkorb, Login | Session |
| ory-lang | Sprache DE/EN | 1 Jahr |
| sb-* (Supabase) | Auth-Token | 7 Tage |
7.2 Google Analytics
Nur nach ausdrücklicher Einwilligung (§ 25 Abs. 1 TTDSG, Art. 6 Abs. 1 lit. a DSGVO). Jederzeit widerrufbar.
Externe Dienste & Auftragsverarbeiter
| Anbieter | Zweck | Server | AVV |
|---|---|---|---|
| Supabase | Datenbank, Auth | Frankfurt (EU) | ✓ |
| Vercel | Hosting | EU | ✓ |
| Shopify | Shop | EU + USA (SCC) | ✓ |
| Resend | E-Mails | EU | ✓ |
| Mistral AI | KI — pseudonymisiert | Frankreich (EU) | In Prüfung |
| Anthropic | KI — pseudonymisiert | USA (SCC) | In Prüfung |
| Acuity Scheduling | Terminbuchung | EU / USA (SCC) | ✓ |
| Google Analytics | Analyse | EU / USA (SCC) | ✓ |
KI-Systeme & Datenschutz
Wir setzen KI-Sprachmodelle zur Unterstützung medizinischer Dokumentation ein — nach dem Prinzip der Datensparsamkeit und Pseudonymisierung (Art. 5 Abs. 1 lit. c DSGVO).
Was wird übermittelt?
- Anonymisierter Gesprächstext (z.B. „Patientin A klagt über…")
- Medizinische Fragestellungen ohne Personenbezug
- Laborwerte ohne Patientenidentifikation
Was wird NICHT übermittelt?
- Klarnamen, Geburtsdaten, Adressen
- Diagnosen mit direktem Patientenbezug
- Original-Gesprächstranskripte
Keine automatisierten Entscheidungen (kein Profiling gem. Art. 22 DSGVO). Alle KI-Ausgaben sind Vorschläge — die Entscheidung liegt beim Therapeuten.
Ihre Rechte
Welche Daten wir über Sie verarbeiten.
Unrichtige Daten korrigieren lassen.
Löschung Ihrer Daten verlangen.
Daten als JSON/CSV erhalten.
Einwilligungen jederzeit widerrufen.
Bei der Berliner Beauftragten für Datenschutz (BlnBDI).
Antrag an datenschutz@ory-berlin.de — Bearbeitung innerhalb von 30 Tagen. Datenexport innerhalb von 14 Tagen.
Datensicherheit
| Maßnahme | Umsetzung |
|---|---|
| Transport | HTTPS/TLS via Cloudflare |
| Speicherung | Supabase AES-256 at-rest |
| Zugriffskontrolle | Row Level Security |
| Pseudonymisierung | Vor jeder KI-Übermittlung automatisch |
| Serverstandorte | Supabase Frankfurt, Vercel EU |
Bei Datenschutzverletzungen informieren wir innerhalb von 72 Stunden (Art. 33 DSGVO).
Änderungen
Wir aktualisieren diese Erklärung bei Änderungen unserer Dienste oder der Rechtslage. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.
Version 1.2 — Stand: Juni 2026
Kontakt & Beschwerderecht
Auguste-Viktoria-Str. 91, 14193 Berlin
z.H. Datenschutz
Friedrichstr. 219, 10969 Berlin — www.datenschutz-berlin.de
© 2026 bloomers communication GmbH
Datenschutzerklärung für alle ORY Berlin Produkte — Version 1.2