Datenschutz-Folgenabschätzung (DSFA)
gemäß Art. 35 DSGVO · pflegeanruf.de – KI-gestütztes Telefonassistenzsystem für den
Pflegebereich
Zweck dieses Dokuments: Diese DSFA dient dem Nachweis, dass pflegeanruf.de die
datenschutzrechtlichen Risiken seiner Verarbeitungstätigkeiten systematisch bewertet und durch
geeignete Maßnahmen minimiert hat. Sie ist gem. Art. 35 DSGVO Pflicht, weil das System systematisch
besondere Kategorien personenbezogener Daten (Gesundheitsdaten, Art. 9 DSGVO) verarbeitet.
1. Notwendigkeit der DSFA
1.1 Rechtsgrundlage für die Pflicht zur DSFA
Gemäß Art. 35 Abs. 1 DSGVO ist eine DSFA erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes
Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Art. 35 Abs. 3 DSGVO nennt als
Regelbeispiele:
| Rechtsgrundlage |
Einschlägigkeit |
| Art. 35 Abs. 3 lit. b DSGVO |
Umfangreiche Verarbeitung besonderer Kategorien (Art. 9 DSGVO) – ✓ einschlägig: Gesundheitsdaten in Gesprächstranskripten
|
| Art. 35 Abs. 3 lit. a DSGVO |
Systematische und umfassende Bewertung von Aspekten natürlicher Personen (Profiling) – □ prüfen: KI-Sentiment-Analyse |
| WP 248 (DSK-Liste) |
KI-basierte Verarbeitung von Gesundheitsdaten in Pflegekontext – ✓ einschlägig |
Ergebnis: Eine DSFA ist verpflichtend. Sie ist vor Aufnahme des Produktivbetriebs
mit Echtdaten abzuschließen.
2. Systematische Beschreibung der Verarbeitungsvorgänge
2.1 Zwecke der Verarbeitung
| Aspekt |
Beschreibung |
| Primärer Zweck |
Unterstützung ambulanter Pflegedienste bei der telefonischen Erreichbarkeit durch
KI-gestützte Anrufannahme, Transkription und Zusammenfassung |
| Sekundärer Zweck |
Dokumentenmanagement mit KI-Unterstützung (Klassifizierung, Verschlagwortung, interne Suche)
|
| Rechtsgrundlage (Auftraggeber) |
Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) i.V.m. § 22 Abs. 1 Nr. 1b BDSG; ergänzend
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung zwischen Pflegedienst und Patienten) |
| Einwilligung für Aufzeichnung |
Ja – technisch erzwungen: consent_given=true als Pflichtfeld im Webhook;
Einwilligung wird durch smao-KI beim Anrufer eingeholt (Ansage) |
2.2 Art und Kategorien der verarbeiteten Daten
| Kategorie |
Beschreibung |
| Reguläre Daten (Art. 4) |
Rufnummern (pseudonymisiert), Nutzerdaten (E-Mail, Rolle), Metadaten (Zeitstempel, Dauer)
|
| Besondere Kategorien (Art. 9) |
Gesundheitsdaten, Pflegebedarf, Diagnosen, Medikation (soweit in Gesprächen/Dokumenten
enthalten) |
| Abgeleitete Daten (KI) |
Gesprächszusammenfassungen, Sentiment-Analysen – werden als eigenständige personenbezogene
Daten eingestuft; Zweckbindung gilt, kein KI-Training |
| Keine Speicherung von |
Sprachaufnahmen (Audio) – ausschließlich Texttranskripte nach KI-Verarbeitung |
2.3 Betroffene Personengruppen und Anzahl
| Gruppe |
Details |
| Anrufer (Pflegebedürftige, Angehörige, Ärzte) |
Variiert je nach Mandantengröße; typisch 50–500 Anrufe/Monat pro Pflegedienst |
| Mitarbeitende der Pflegedienste |
Typisch 2–20 Mitarbeitende pro Pflegedienst (Pflegedienstleitung, Pflegekräfte) |
| Besondere Verletzlichkeit |
Pflegebedürftige zählen zu den schutzbedürftigen Personengruppen im Sinne von Erwägungsgrund
75 DSGVO – erhöhter Schutzbedarf |
| Geografischer Geltungsbereich |
Deutschland (primär); EU-weiter Einsatz technisch möglich |
2.4 Technologien und Infrastruktur
| Komponente |
Beschreibung |
| Plattform |
SaaS, mandantenfähig, Docker-basiert, Python/FastAPI-Backend, PostgreSQL |
| KI-Komponenten |
smao GmbH (KI-Telefonie, Transkription, Zusammenfassung); Nebius (LLM, EU-basiert) |
| Hosting |
Hetzner Online GmbH, Deutschland (ISO 27001) |
| Stimmgenerierung |
ElevenLabs – ausschließlich für synthetische Ansagen; kein Transfer personenbezogener Daten
|
| Speicherdauer |
30 Tage; automatisierte Löschung per Celery-Scheduled-Task; Backup 30 Tage rollierend |
| Drittlandtransfer |
Kein Transfer durch pflegeanruf.de selbst; smao-seitig: ElevenLabs (USA) nur für
Stimmgenerierung ohne pers. Daten |
3. Notwendigkeit und Verhältnismäßigkeit der Verarbeitung
Die nachfolgende Begründung legt dar, warum die Verarbeitung notwendig ist und nicht durch weniger
eingriffsintensive Mittel ersetzt werden kann.
3.1 Notwendigkeit
Warum ist die Verarbeitung von Gesprächstranskripten notwendig?
Pflegedienste sind auf eine lückenlose telefonische Erreichbarkeit angewiesen. Eingehende Anrufe
außerhalb der Geschäftszeiten oder bei Personalengpässen können nicht immer manuell entgegengenommen
werden. Transkripte ermöglichen eine asynchrone Bearbeitung von Patientenanfragen ohne
Informationsverlust. Die Dokumentation von Patientenanliegen ist zudem für Qualitätssicherung und
Nachverfolgung in der Pflege erforderlich; eine manuelle Nacherfassung wäre fehleranfälliger als die
KI-gestützte Transkription.
3.2 Verhältnismäßigkeit / Datensparsamkeit
| Maßnahme |
Status |
Erläuterung |
| Keine Audio-Speicherung |
✓ |
Sprachaufnahmen werden nicht gespeichert; nur Texttranskripte – minimal invasivstes Mittel
|
| Pseudonymisierung Rufnummern |
✓ |
Rufnummern optional und pseudonymisiert; Konzept vorhanden |
| 30-Tage-Löschfrist |
✓ |
Automatisierte Löschung; kürzer als gesetzliche Aufbewahrungspflichten |
| Einwilligung als Pflichtfeld |
✓ |
Keine Verarbeitung ohne consent_given=true – technisch erzwungen |
| Kein KI-Training auf Kundendaten |
✓ |
Ausdrücklich verboten (AVV, TOM, smao-AVV) |
| Alternative geprüft? |
□ |
Geprüft: (1) Manuelle Anrufannahme – bei Personalengpässen nicht durchgehend sicherstellbar;
(2) Nur Anrufbeantworter – kein strukturierter Rückruf, keine Triage möglich; (3)
Outsourcing an Callcenter – höherer Datenschutzaufwand, höhere Kosten, kein Pflegekontext.
KI-Transkription ist das datenschutzschonendste skalierbare Mittel. |
4. Bewertung der Risiken für Rechte und Freiheiten der Betroffenen
Bewertungsschema (Eintrittswahrscheinlichkeit und Schwere jeweils 1–3):
1 = Niedrig | 2 = Mittel | 3 = Hoch
Risikostufe = Eintrittswahrscheinlichkeit × Schwere: 1–2 = Niedrig
| 3–4 = Mittel | 6–9 = Hoch
Bitte fülle die Spalten „Eintrittswahrscheinlichkeit" und „Schwere" auf Basis deiner eigenen
Einschätzung aus. Die TOM-Verweise zeigen, welche Maßnahmen das Risiko bereits reduzieren.
4.1 Risiken durch unbefugten Zugriff / Datenpanne
| Risiko / Bedrohung |
Eintrittswahr-scheinlichkeit (1–3) |
Schwere (1–3) |
Risikostufe |
Maßnahmen (TOM-Verweis) |
| Unbefugter externer Zugriff auf Transkripte (Hacking) |
1 |
3 |
Mittel |
TOM 2.2 (SSH-Hardening, Firewall), 2.3 (RBAC, JWT), 2.8 (Verschlüsselung), 2.9
(Rate-Limiting – in Umsetzung) |
| Datenpanne beim Hosting-Provider (Hetzner) |
1 |
2 |
Niedrig |
Hetzner ISO 27001, TOM 2.6 (Backup, off-site), Hetzner TOM |
| Datenpanne beim KI-Dienstleister (smao) |
1 |
2 |
Niedrig |
smao-AVV, smao-TOM, TOM 3.7 (Unterauftragn.) |
| Insider-Bedrohung (eigene Mitarbeiter) |
1 |
3 |
Mittel |
TOM 2.3 (RBAC, Need-to-know), 3.2 (NDA), 2.3 (Audit-Log) |
| Mandantübergreifender Datenzugriff (Tenant-Leak) |
1 |
3 |
Mittel |
TOM 2.3 (Row-Level-Security, tenant_id erzwungen), 2.7 (Tenant-Isolation) |
4.2 Risiken durch KI-Verarbeitung
| Risiko / Bedrohung |
Eintrittswahr-scheinlichkeit (1–3) |
Schwere (1–3) |
Risikostufe |
Maßnahmen (TOM-Verweis) |
| Fehlerhafte Transkription mit medizinischen Folgen |
2 |
2 |
Mittel |
Pflegemitarbeiter prüft und gibt Transkript vor Übernahme in Pflegedokumentation frei
(Vier-Augen-Prinzip als Workflow) |
| Unberechtigte Nutzung für KI-Training |
1 |
3 |
Mittel |
TOM 1. (KI-Verbot), AVV Art. 2 Abs. 2, smao-AVV §5 Abs. 6 |
| Sentiment-Analyse als unzulässiges Profiling |
1 |
2 |
Niedrig |
Nur aggregierte Sentiment-Auswertung; kein Einzel-Profiling; Opt-out-Möglichkeit in
Mandanten-Einstellungen vorgesehen |
| Halluzinationen der KI (falsche Zusammenfassungen) |
2 |
2 |
Mittel |
Vier-Augen-Prüfpflicht: Pflegemitarbeiter muss KI-Zusammenfassung prüfen und freigeben bevor
sie in die Pflegedokumentation übernommen wird |
4.3 Risiken für besonders schutzbedürftige Betroffene
| Risiko / Bedrohung |
Eintrittswahr-scheinlichkeit (1–3) |
Schwere (1–3) |
Risikostufe |
Maßnahmen (TOM-Verweis) |
| Weitergabe von Gesundheitsdaten an unberechtigte Dritte |
1 |
3 |
Mittel |
TOM 2.3 (RBAC), 2.4 (TLS, CORS), AVV Art. 2 Abs. 2 |
| Verletzung des Berufsgeheimnisses (§ 203 StGB, § 35 SGB I) |
1 |
3 |
Mittel |
AVV-Weisungsgebundenheit; smao GmbH als Auftragsverarbeiter vertraglich gebunden;
Pflegedienst-Mitarbeitende unterliegen eigenem Berufsgeheimnis und wurden entsprechend
verpflichtet |
| Fehlende oder unwirksame Einwilligung |
1 |
2 |
Niedrig |
TOM 2.5 (consent_given technisch erzwungen); Ansage durch smao-KI |
| Betroffenenrechte nicht erfüllbar (Löschung, Auskunft) |
1 |
2 |
Niedrig |
TOM 3.4 (Lösch-API); AVV Art. 5 Abs. 3; manuelle Löschung möglich |
4.4 Risiken durch Drittlandtransfers
| Risiko / Bedrohung |
Eintrittswahr-scheinlichkeit (1–3) |
Schwere (1–3) |
Risikostufe |
Maßnahmen (TOM-Verweis) |
| ElevenLabs (USA) – kein pers. Datentransfer |
1 |
1 |
Niedrig ✓ |
Nur synthetische Stimmgenerierung; kein Transfer pers. Daten bestätigt |
| smao-seitige Transfers (Integration App, USA) |
1 |
2 |
Niedrig |
SCCs via smao-AVV für Integration App Inc. (USA) abgeschlossen; Nachweis beim
Auftragsverarbeiter anzufordern |
5. Maßnahmen zur Bewältigung der Risiken
Die nachfolgenden Maßnahmen basieren auf dem TOM v1.0. Offene Maßnahmen (Status
„Ausstehend"/„Geplant") sind vor Produktivbetrieb umzusetzen. Die Risikobewertung nach Umsetzung ist
in Abschnitt 6 festzuhalten.
5.1 Bereits implementierte Maßnahmen (aus TOM v1.0)
| Kontrollbereich |
Maßnahmen |
| Zutrittskontrolle |
Hetzner RZ (ISO 27001), remote-only via SSH – TOM 2.1 |
| Zugangskontrolle |
SSH-Key-only, Fail2ban, Firewall (UFW), Session-Timeout – TOM 2.2 |
| Zugriffskontrolle |
RBAC 4-stufig, Row-Level-Security (tenant_id), JWT-Separation, 404-Verschleierung – TOM 2.3
|
| Weitergabekontrolle |
TLS 1.2+, CORS-Whitelist, HMAC-Webhook-Signatur, interne DB-Isolation – TOM 2.4 |
| Eingabekontrolle |
Pydantic-Validierung, ORM/Prepared Statements, Consent-Pflichtfeld, Audit-Log, DSGVO-Logging
– TOM 2.5 |
| Verfügbarkeit |
Tägl. Backups, Off-site (Hetzner Storage Box), Quartalstests, Health-Checks – TOM 2.6 |
| Mandantentrennung |
Alle Tabellen mit tenant_id, architekturell erzwungen, tenant-spezifische Secrets – TOM 2.7
|
| Verschlüsselung |
Bcrypt-12, AES-256 at rest, TLS, HMAC Constant-Time, keine Audio-Speicherung – TOM 2.8 |
| Privacy by Design |
consent_given Pflichtfeld, 30-Tage-Löschung (Celery), kein PII in JWT – TOM 3.4 |
| Organisatorisch |
NDA alle Mitarbeiter, jährl. Schulung, Incident-Response-Plan, AVV mit Mandanten – TOM
3.1–3.5 |
5.2 Maßnahmen in Umsetzung
Die folgenden Maßnahmen sind identifiziert und in Umsetzung. Bis zum Abschluss erhöhen sie das Restrisiko geringfügig; eine Konsultation der Aufsichtsbehörde ist nicht erforderlich.
| Maßnahme |
Priorität |
Frist |
| Rate-Limiting Login-Endpunkt |
DRINGEND |
ASAP |
| Replay-Protection via Redis |
DRINGEND |
ASAP |
| Request-Size-Limiting Webhooks |
Hoch |
< 1 Woche |
| HSTS-Header |
Hoch |
< 1 Woche |
| 2FA für Admin-Zugänge |
Hoch |
< 1 Monat |
| Rufnummern-Pseudonymisierung (Hash-basiert) |
Mittel |
< 3 Monate |
| Rechtliche Prüfung Sentiment-Analyse (Art. 22 DSGVO) |
Mittel |
ASAP |
| SCCs von smao für Integration App Inc. (USA) anfordern |
Mittel |
ASAP |
6. Bewertung des Restrisikos
Das verbleibende Restrisiko nach Umsetzung aller dokumentierten Maßnahmen wird nachfolgend bewertet. Bei hohem Restrisiko ist die Aufsichtsbehörde gem. Art. 36 DSGVO zu konsultieren.
6.1 Restrisikobewertung nach Maßnahmenumsetzung
| Risikobereich |
Restrisiko |
| Unbefugter externer Zugriff |
Restrisiko niedrig nach Umsetzung Rate-Limiting und 2FA |
| Datenpanne Hosting / KI-Dienstleister |
Restrisiko niedrig durch ISO-27001-Zertifizierung (Hetzner)
und AVV mit smao GmbH |
| KI-Fehler / Halluzination |
Restrisiko mittel – Maßnahme: Vier-Augen-Prüfpflicht durch
Pflegemitarbeiter vor Übernahme in Pflegedokumentation |
| Besondere Kategorien (Art. 9) |
Restrisiko niedrig nach vollständiger TOM-Umsetzung und
Consent-Pflichtfeld |
| Gesamt-Restrisiko |
Mittel – nach Umsetzung aller offenen Maßnahmen
(Rate-Limiting, 2FA, Vier-Augen-Workflow) ist Gesamt-Restrisiko akzeptabel; keine
Konsultation der Aufsichtsbehörde erforderlich |
6.2 Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)
| Aspekt |
Details |
| Konsultation erforderlich? |
Nein – Restrisiko ist nach Umsetzung aller Maßnahmen akzeptabel (mittel); keine Konsultation erforderlich |
| Zuständige Behörde |
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Poststraße 14,
65189 Wiesbaden, poststelle@datenschutz.hessen.de |
| Konsultation eingeleitet am |
Entfällt |
| Ergebnis der Konsultation |
Entfällt |
7. Genehmigung und Freigabe
Diese DSFA wurde erstellt und geprüft. Mit Unterschrift wird bestätigt, dass die Verarbeitung auf Basis
der durchgeführten Analyse datenschutzrechtlich vertretbar ist und die beschriebenen Maßnahmen umgesetzt
wurden bzw. bis zum Produktivbetrieb umgesetzt werden.
| Funktion |
Name |
Datum |
Unterschrift |
| Verantwortlicher / Geschäftsführung |
Gerrit Brinkhaus |
|
|
| Datenschutzbeauftragter (DSB) |
Gerrit Brinkhaus (Datenschutzverantwortlicher; kein gesetzl. bestellter DSB gem. § 38 BDSG
erforderlich) |
|
|
| Technischer Leiter |
Gerrit Brinkhaus |
|
|
| Ggf. Aufsichtsbehörde (bei verbleibendem Restrisiko) |
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Wiesbaden |
Entfällt – kein hohes Restrisiko |
|
8. Regelmäßige Überprüfung und Aktualisierung
Eine DSFA ist kein einmaliges Dokument. Sie ist zu aktualisieren, wenn sich die
Verarbeitungstätigkeit wesentlich ändert (Art. 35 Abs. 11 DSGVO). Empfehlung: Überprüfung mindestens
alle 2 Jahre oder bei:
| Auslöser |
Beschreibung |
| Wesentliche Systemänderungen |
Neue KI-Komponenten, neue Datenarten, neue Unterauftragsverarbeiter |
| Neue Rechtsgrundlagen |
Änderungen der DSGVO-Auslegung, neue Aufsichtsbehördenentscheidungen |
| Sicherheitsvorfälle |
Nach jeder Datenpanne ist die DSFA zu prüfen und ggf. anzupassen |
| Neue Risikoerkenntnisse |
Z. B. neue Schwachstellen in eingesetzten Technologien |
| Nächste geplante Prüfung |
März 2027 |
9. Referenzdokumente
| Dokument |
Beschreibung |
| TOM pflegeanruf.de v1.0 |
Technisch-Organisatorische Maßnahmen (tom.html) |
| AVV pflegeanruf.de v3 |
Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO (avv.html) |
| smao-AVV |
AVV der smao GmbH (Unterauftragsverarbeiter) |
| Hetzner DPA |
https://www.hetzner.com/AV/DPA_de.pdf |
| Hetzner TOM |
https://www.hetzner.com/de/AV/TOM.pdf |
| GOLIVE_THREAT_ANALYSIS.md |
Risikoanalyse vor Produktivbetrieb |
| WEBHOOK_SECURITY_EVALUATION.md |
Detailbewertung Webhook-Sicherheit |
| Art.-29-WP 248 / EDSA |
Leitlinien zur Datenschutz-Folgenabschätzung |
| DSK-Liste Art. 35 Abs. 4 DSGVO |
Verarbeitungen, für die eine DSFA durchzuführen ist (Deutschland) |
Stand: März 2026 · Version 1.0 · pflegeanruf.de · Vertraulich
