Datenschutzerklärung

Docmic — Stand: 22. Mai 2026

1. Verantwortlicher

Dmytro Shelkov
Berlin, Deutschland
E-Mail: shelkovd@gmail.com

2. Zweck der App

Docmic ist eine iOS-Anwendung zur sprachgestützten Erfassung klinischer Notizen durch Ärztinnen und Ärzte im deutschsprachigen Krankenhausbetrieb. Die App ermöglicht das Diktieren, die automatische Strukturierung des Textes in eine klinische Notiz und die Übertragung des fertigen Textes an einen Browser auf dem Klinik-PC zur Übernahme in klinische Dokumentationssysteme (KAS / KIS).

3. Welche Daten verarbeitet werden

3.1 Sprachaufnahmen (Audio)

Wo: ausschließlich auf dem iPhone des Nutzers.
Wie: die Transkription erfolgt vollständig lokal auf dem Gerät über WhisperKit (Apple Neural Engine). Audio-Dateien verlassen das Gerät niemals.
Speicherung: temporär im App-Sandbox-Cache, automatisch begrenzt auf 200 MB und nach Bedarf gelöscht (FIFO).

3.2 Klinischer Text (transkribiert und formatiert)

Übertragung an LLM-Backend: Der transkribierte Text wird an unseren Backend-Dienst (Server in Deutschland, IONOS Frankfurt) übermittelt, der ihn an ein Large-Language-Model (Google Gemini bzw. Anthropic Claude als Fallback) zur Formatierung weiterleitet.
Keine Patienten-Identifikatoren: Die App und der Server-Prompt weisen die Modelle explizit an, keine personenidentifizierenden Daten zu enthalten oder zu erfinden. Ärztinnen und Ärzte sind angehalten, klinische Beschreibungen (Symptome, Befunde, Verlauf) zu diktieren — nicht Namen, Geburtsdaten oder andere Identifikatoren.
Server-Speicherung: Während der Testphase (Pilot-Studie) werden Eingabe-Text, formatierter Output und vom Arzt vorgenommene Edits in einer PostgreSQL-Datenbank auf demselben deutschen Server gespeichert. Zweck: Verbesserung der Formatierungs-Qualität. Die Datenbank enthält ausschließlich klinische Sätze ohne Patienten-Identifikatoren.
Roh-Diktattext (nur Pilot-Phase, befristet): Zur Qualitätssicherung (Erkennung von Transkriptions- und Formatierungsfehlern) wird der unformatierte Diktattext für teilnehmende Pilot-Nutzer:innen vorübergehend gespeichert. Dieser Roh-Text wird spätestens nach 7 Tagen automatisch und unwiderruflich gelöscht; der formatierte Output bleibt für die laufende Auswertung erhalten. Diese befristete Roh-Speicherung erfolgt ausschließlich während der Pilot-Phase und kann jederzeit deaktiviert werden.
Übertragung an Browser-Empfänger: Der fertige Text wird per gesicherter WebSocket-Verbindung (WSS, TLS) an einen einmaligen, sitzungsbasierten Browser-Empfänger gesendet, der durch QR-Code-Pairing autorisiert ist. Sitzungen laufen nach 30 Minuten Inaktivität automatisch ab.

3.3 Konto-Daten

E-Mail-Adresse und Passwort-Hash (bcrypt) — zur Authentifizierung in der App.
Keine weiteren personenbezogenen Daten (kein Name, keine Telefonnummer, keine Tracking-IDs).

3.4 Auf welche Daten nicht zugegriffen wird

Kontakte, Kalender, Fotos, Standort — niemals.
Werbe-IDs, Analytics-IDs — werden nicht erhoben.
Crash-Reports — nur freiwillig über Apples TestFlight-Mechanismus während der Pilot-Phase, ohne Patient-Daten.

4. Rechtsgrundlage (DSGVO)

Art. 6 Abs. 1 lit. b DSGVO — Vertrag (Bereitstellung der App-Funktion).
Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (für die Speicherung von Eingabe/Output während der Testphase, mit jederzeitigem Widerruf in den App-Einstellungen).

5. Dienstleister

IONOS SE (Montabaur, DE) — VPS-Hosting für Backend und Datenbank.
Google LLC / Google Ireland Ltd. — Gemini API als primärer LLM-Anbieter. Übertragung von klinischem Text ohne Patienten-Identifikatoren.
Anthropic, PBC (USA) / Anthropic Ireland Ltd. — Claude API als Fallback. Übertragung von klinischem Text ohne Patienten-Identifikatoren.
Apple Inc. — TestFlight für Pilot-Beta-Verteilung.

Für Übermittlungen in Drittstaaten (USA) bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO mit den jeweiligen Anbietern.

6. Ihre Rechte (Art. 15–22 DSGVO)

Auskunft (Art. 15)
Berichtigung (Art. 16)
Löschung / „Recht auf Vergessenwerden" (Art. 17)
Einschränkung der Verarbeitung (Art. 18)
Datenübertragbarkeit (Art. 20)
Widerspruch (Art. 21)
Widerruf einer Einwilligung (Art. 7 Abs. 3)

Zur Ausübung Ihrer Rechte: shelkovd@gmail.com. Beschwerderecht bei der zuständigen Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin.

7. Speicherdauer

Audio-Dateien: lokal auf dem Gerät, automatische Begrenzung 200 MB (FIFO).
Klinischer Text in der Backend-DB: während der Pilot-Phase bis maximal 24 Monate nach Eingabe; danach Anonymisierung oder Löschung.
Roh-Diktattext (Pilot-Phase): maximal 7 Tage, danach automatische Löschung.
Konto-Daten: bis zur Löschung des Kontos durch den Nutzer oder den Administrator.

8. Sicherheit

Alle Verbindungen ausschließlich über TLS 1.2+ (HTTPS, WSS).
JWT-basierte Authentifizierung mit kurzlebigen Access-Tokens.
PIN-Schutz beim QR-Pairing mit Brute-Force-Limit (5 Fehlversuche → Sperre).
Strict-Transport-Security, Content-Security-Policy aktiv.

9. Änderungen dieser Erklärung

Diese Datenschutzerklärung wird bei Bedarf aktualisiert. Wesentliche Änderungen werden Pilot-Teilnehmern per E-Mail mitgeteilt.

10. Kontakt

Dmytro Shelkov, Resident in Cardiac Surgery, Berlin
shelkovd@gmail.com
https://docmic.de

Privacy Policy

Docmic — Last updated: 22 May 2026

1. Controller

Dmytro Shelkov
Berlin, Germany
Email: shelkovd@gmail.com

2. Purpose

Docmic is an iOS application for voice-driven clinical note capture by physicians in German-speaking hospitals. It enables dictation, automatic structuring of the text into a clinical note, and secure transfer of the finished text to a browser on the hospital PC for transfer into the clinical documentation system (EHR).

3. Data Processed

3.1 Voice recordings

Where: on the iPhone only.
How: transcription happens entirely on-device via WhisperKit (Apple Neural Engine). Audio files never leave the device.

3.2 Clinical text

Sent over TLS to our backend in Germany (IONOS Frankfurt), which forwards it to a Large Language Model (Google Gemini / Anthropic Claude) for formatting.
No patient identifiers: the system prompt instructs the LLM not to include or fabricate any names, dates of birth, or other identifiers. Physicians dictate clinical descriptions only.
During the pilot, input text, formatted output, and physician edits are stored in a PostgreSQL database on the same German server, to improve formatting quality.
Raw dictation text (pilot only, time-limited): for quality assurance (detecting transcription and formatting errors), the unformatted dictation text is temporarily stored for participating pilot users and automatically and permanently deleted after at most 7 days; the formatted output is retained for ongoing review. This can be disabled at any time.

3.3 Account data

Email address and bcrypt password hash — for authentication only.

4. Legal basis (GDPR)

Art. 6(1)(b) — performance of contract.
Art. 6(1)(a) — consent (for storage of input/output during the test phase).

5. Subprocessors

IONOS SE (Germany) — VPS hosting.
Google (Gemini API) — primary LLM. SCCs in place per Art. 46 GDPR.
Anthropic (Claude API) — fallback LLM. SCCs in place per Art. 46 GDPR.
Apple Inc. — TestFlight for pilot distribution.

6. Your rights (GDPR Art. 15–22)

Access, rectification, erasure, restriction, portability, objection, withdrawal of consent. Contact: shelkovd@gmail.com. You may lodge a complaint with the Berlin Data Protection Authority.

7. Retention

Audio: device-local, FIFO-capped at 200 MB.
Clinical text in DB: up to 24 months from the date of input, then anonymized or deleted.
Raw dictation text (pilot): at most 7 days, then automatically deleted.
Account data: until the user or administrator deletes the account.

8. Security

TLS 1.2+ for all connections, short-lived JWT, PIN pairing with brute-force lockout, HSTS and CSP enabled.

9. Contact

Dmytro Shelkov, Resident in Cardiac Surgery, Berlin · shelkovd@gmail.com