Sicherheit & Datenschutz bei Arvis

Arvis wurde so entwickelt, dass niemals identifizierende Patientendaten das Gerät der Nutzerin oder des Nutzers verlassen. Diese Seite erklärt das technische Konzept und die rechtliche Einordnung, kurz und prüfbar.

Stand: April 2026

Kernprinzip: Anonymisierung vor dem Upload

Jedes in Arvis geladene Dokument durchläuft vor der KI-Analyse eine technisch erzwungene Anonymisierungsstufe. Name, Geburtsdatum, Fallnummer, Adresse und weitere direkte Identifikatoren müssen im Browser geschwärzt werden, bevor das Dokument zur Analyse freigegeben wird.

So sieht das im Produkt aus

Vor jeder Analyse erscheint ein rotes Banner: „Bitte alle Patientendaten schwärzen, bevor Sie fortfahren."

Die Schaltfläche „Analysieren" ist solange deaktiviert, bis entweder mindestens ein Bereich geschwärzt wurde oder die Nutzerin / der Nutzer explizit per Checkbox bestätigt: „Ich bestätige: Es gibt keine zu anonymisierenden Patientendaten." Ohne diese aktive Handlung verlässt kein Dokumentinhalt das Gerät.

Nach diesem Schritt werden ausschließlich anonymisierte Inhalte an die Analyse-Infrastruktur übertragen. Im Sinne von Art. 4 Nr. 1 DSGVO handelt es sich dabei nicht mehr um personenbezogene Daten, ein wesentlicher Unterschied für die rechtliche Einordnung.

Rechtliche Einordnung

Die Original-Dokumente bleiben beim Verantwortlichen (Klinik bzw. Träger). Arvis erhält nur anonymisierte Texte und Bilder. Da keine personenbezogenen Daten an Arvis übertragen werden, liegt keine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Ein Auftragsverarbeitungsvertrag (AVV) zwischen Klinik und Arvis ist daher rechtlich nicht erforderlich.

Die Verantwortung für eine korrekte und vollständige Anonymisierung liegt bei der Nutzerin oder dem Nutzer. Arvis stellt die dafür erforderlichen technischen Mittel bereit, erzwingt den Schritt blockierend und dokumentiert ihn durch die verpflichtende Bestätigung.

Kurzformel für das Gespräch im Kollegium:
„Arvis sieht niemals Patientendaten. Die Anonymisierung erfolgt auf meinem Gerät im Browser, bevor irgendetwas hochgeladen wird. Was an die KI geht, ist rechtlich keine personenbezogene Information mehr."

Technische und organisatorische Maßnahmen

Hosting und Datenstandort

Infrastruktur bei Supabase, Datenstandort EU (Frankfurt am Main)
Auslieferung der Anwendung über Vercel (Edge Network) und Cloudflare DNS
Domain arvis-app.de unterliegt deutschem Recht

Verschlüsselung

Transport: TLS 1.3 für alle Verbindungen (HTTPS erzwungen)
Ruhend: AES-256 Verschlüsselung der Datenbank- und Speicherinhalte bei Supabase

KI-Verarbeitung

Analyse über die OpenAI API (Enterprise-Konditionen)
Eingaben und Ausgaben werden nicht zum Training verwendet (vertragliche Zusicherung, data-retention opt-out)
Ausschließlich anonymisierte Inhalte werden übertragen

Zugriff und Authentifizierung

Zugang ausschließlich für authentifizierte Nutzer (Supabase Auth)
Row-Level-Security auf allen Tabellen: jede Person sieht nur ihre eigenen Inhalte
Passwörter werden gesalted und gehasht gespeichert (nie im Klartext)

Datenminimierung und Löschung

Sensible Inhalte bleiben in der Session (sessionStorage), niemals im localStorage
Historie von Scans / Briefen vom Nutzer jederzeit löschbar
Konto-Löschung über Mein Profil, Konto löschen entfernt alle zugehörigen Daten unverzüglich

Monitoring und Protokollierung

Fehler-Monitoring über Sentry (IP-Anonymisierung aktiviert)
Keine Protokollierung von Dokumentinhalten oder Analyseergebnissen

Grenzen der Nutzung

Arvis ist ein Hilfswerkzeug für die Nachbearbeitung bereits anonymisierter medizinischer Inhalte. Folgendes ist ausdrücklich nicht vorgesehen:

✗Upload unanonymisierter Originaldokumente
✗Direkter Dialog mit Patientinnen oder Patienten über die Plattform
✗Verwendung als alleinige Grundlage einer Diagnose oder Therapieentscheidung
✗Speicherung von Originaldokumenten, die die Klinik verlassen

Vorgesehen ist Arvis ausdrücklich für:

✓Dokumentations-Unterstützung auf Grundlage bereits anonymisierter Texte
✓Briefkorrektur und Zusammenfassung anonymisierter Befunde
✓Interne fachliche Recherche ohne Patientenbezug

Für Oberärztinnen, Oberärzte und Datenschutzbeauftragte

Dürfen Mitarbeitende Arvis im Klinikalltag verwenden?

Ja, sofern die Anonymisierung vor Upload vollständig erfolgt. Die Plattform erzwingt diesen Schritt technisch; er kann nicht umgangen werden.

Welche Daten verlassen die Klinik?

Ausschließlich anonymisierte Textinhalte und, im Fall von Bild-Scans, anonymisierte Bildbereiche. Namen, Geburtsdaten, Fallnummern, Adressen und weitere Identifikatoren müssen vor dem Upload im Browser geschwärzt sein.

Wer ist Verantwortlicher im Sinne der DSGVO?

Für die Original-Patientenakte bleibt die Klinik der Verantwortliche. Arvis erhält keine personenbezogenen Daten und ist daher kein Auftragsverarbeiter.

Ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich?

Nein. Da nur anonymisierte Inhalte übertragen werden, liegt rechtlich keine Auftragsverarbeitung nach Art. 28 DSGVO vor. Ein AVV ist für die individuelle Nutzung nicht vorgesehen.

Wer haftet bei einem Datenleck?

Für die korrekte Anonymisierung vor Upload: die Nutzerin oder der Nutzer. Für Systembetrieb und Infrastruktur-Sicherheit: Arvis. Im Extremfall eines Leaks auf Arvis-Seite gelangen keine identifizierenden Patientendaten in Umlauf, da solche Daten technisch bedingt nicht im System vorhanden sind.

Wie erfolgt eine Löschung auf Anfrage?

Über die Konto-Löschung im Profil werden alle zugehörigen Daten (Historie, gespeicherte Bausteine, Konto-Metadaten) unmittelbar entfernt. Alternativ genügt eine formlose E-Mail an datenschutz@arvis-app.de.

Kontakt

Fragen zur Datenverarbeitung, zur Anonymisierungsarchitektur oder zur rechtlichen Einordnung richten Sie bitte an:

Arvis
Amine Mabtoul, Burgstall 9, 72160 Horb am Neckar
E-Mail: datenschutz@arvis-app.de
Allgemeine Anfragen: hello@arvis-app.de

Weiterführend: Datenschutzerklärung · Impressum · AGB