← Back to HealthGPT home
de/data_security_statement_v1.5.md
Terms & Conditions Privacy Policy Refund Policy Cookie & Ad Preference Policy Data Security Statement Membership Terms Suppliers & Partners Policy

Data Security Statement

# 🔐 2Zone Therapy / HealthGPT – Erklärung zur Datensicherheit v1.5

**Gültig ab:** 6. August 2025  
**Zuletzt aktualisiert:** 27. Februar 2026  

---

## 1. Unser Engagement

2Zone Therapy und HealthGPT wurden mit einer sicherheitsorientierten Architektur entwickelt.

Wir schützen Nutzerdaten durch:

- Starke Verschlüsselung  
- Infrastruktur mit eingeschränktem Zugriff  
- Kontinuierliche Überwachung  
- Zero-Knowledge-Zugangsdatenverwaltung  
- Strenge interne Zugriffskontrollen  

Gesundheitsdaten und KI-generierte Daten werden als sensible personenbezogene Informationen behandelt und entsprechend verarbeitet.

---

## 2. Hosting & Infrastruktur

- Produktionsserver werden in sicheren **EU-Rechenzentren** gehostet.
- Server sind durch gehärtete Firewalls und eingeschränkte Zugriffsebenen geschützt.
- Administrativer Zugriff ist ausschließlich autorisiertem Personal vorbehalten.
- Verschlüsselte, redundante Backups werden gepflegt.
- Regelmäßige Wiederherstellungstests stellen die Integrität der Daten sicher.

Entwicklungs- und Produktionsumgebungen sind strikt getrennt.

---

## 3. Verschlüsselungsstandards

### 3.1 Daten im Ruhezustand
- Datenbanken und gespeicherte Dateien werden mit **AES-256** oder gleichwertigen Standards verschlüsselt.
- Sensible Konfigurationsdateien werden außerhalb öffentlich zugänglicher Webverzeichnisse gespeichert.

### 3.2 Datenübertragung
- HTTPS/TLS 1.3 wird auf allen Domains erzwungen.
- HSTS-Header sind aktiviert, sofern unterstützt.
- API-Kommunikation mit externen Anbietern erfolgt verschlüsselt.

---

## 4. Sicherheit der Zugangsdaten

Wir arbeiten mit einem **Zero-Knowledge-Modell** für Zugangsdaten:

- Geheime Passphrasen werden niemals im Klartext gespeichert.
- Passphrasen werden mit **Argon2 oder bcrypt** gehasht.
- Schutz vor Brute-Force-Angriffen und Rate-Limiting sind implementiert.
- Sitzungstokens werden sicher generiert und regelmäßig erneuert.

Administrativer Zugriff erfordert:

- Multi-Faktor-Authentifizierung (MFA)
- IP-Überwachung
- Aktivitätsprotokollierung

---

## 5. Zugriffskontrolle & Audit-Logging

Wir wenden ein **Least-Privilege-Zugriffsmodell** an:

- Rollenbasierte Berechtigungen  
- Eingeschränkte Datenbankrechte  
- Segmentierte interne Dienste  

Kritische Vorgänge werden protokolliert, darunter:

- Kontoaktivierung  
- Datenlöschung  
- Protokollgenerierung  
- GC-Saldoanpassungen  
- Zahlungsbestätigungen  

Protokolle werden sicher zu Sicherheits- und Compliance-Zwecken gespeichert.

---

## 6. KI- & Drittanbieter-Verarbeitung

HealthGPT nutzt Drittanbieter-KI-Dienste zur Generierung von Antworten.

### 6.1 OpenAI-Verarbeitung
- Es werden nur die minimal erforderlichen Nutzereingaben übertragen.
- Kein vollständiger Datenbankzugriff wird gewährt.
- Daten werden sicher über verschlüsselte API-Kanäle übertragen.
- Die Verarbeitung folgt den Enterprise-Datenstandards von OpenAI.

### 6.2 Text-to-Speech (TTS)
Wenn Sprachausgabe generiert wird:
- Es werden OpenAI-TTS-Dienste (z. B. Onyx-Modelle) verwendet.
- Texte werden sicher übertragen.
- Audiodateien werden in kontrollierten Serververzeichnissen gespeichert.

Drittanbieter erhalten keinen dauerhaften Datenbankzugriff.

---

## 7. Zahlungssicherheit

- Zahlungen werden über sichere Drittanbieter (z. B. Stripe) verarbeitet.
- Wir speichern keine vollständigen Kreditkartendaten.
- Zahlungsbestätigungen werden über sichere Webhooks validiert.
- Transaktionsmetadaten werden zur Abstimmung und Betrugsprävention protokolliert.

---

## 8. Datenminimierung

Wir erfassen nur die Daten, die notwendig sind, um:

- KI-generierte Gesundheitsinformationen bereitzustellen  
- Guidance Credits (GCs) zu verwalten  
- Zahlungen zu verarbeiten  
- Kontosicherheit zu gewährleisten  

Wir erfassen nicht:

- Staatliche Identifikationsnummern  
- Biometrische Identifikatoren  
- Bankzugangsdaten  

---

## 9. Incident-Response- & Datenschutzverletzungsprotokoll

Wir überwachen kontinuierlich:

- Unbefugte Zugriffsversuche  
- Ungewöhnliche Login-Aktivitäten  
- Zahlungsanomalien  
- Missbrauch von APIs  

Im Falle einer bestätigten Datenschutzverletzung:

- Werden betroffene Nutzer unverzüglich informiert.
- Werden zuständige Behörden innerhalb von **72 Stunden** benachrichtigt, sofern gesetzlich erforderlich (DSGVO Art. 33).
- Werden sofortige Eindämmungs- und Behebungsmaßnahmen eingeleitet.

---

## 10. Nutzerkontrollierte Datenlöschung

Nutzer können beantragen:

- Vollständige Kontolöschung  
- Löschung von Protokollen  
- Löschung von KI-Logs  
- Löschung von Sprachaufzeichnungen  

Die Löschung erfordert:

1. Bestätigung der geheimen Passphrase  
2. E-Mail-Verifizierung  
3. Abschließende Bestätigung  

Nach Abschluss ist die Löschung dauerhaft und unwiderruflich.

---

## 11. Sicherheitstests & Updates

Wir:

- Aktualisieren regelmäßig Serversoftware  
- Beheben bekannte Sicherheitslücken  
- Überwachen Abhängigkeitsupdates  
- Prüfen Zugriffprotokolle  

Sicherheitsmaßnahmen werden kontinuierlich weiterentwickelt.

---

## 12. Responsible Disclosure

Wenn Sie eine Sicherheitslücke entdecken, melden Sie diese bitte verantwortungsvoll an:

**security@2zonetherapy.com**

Wir prüfen alle Meldungen sorgfältig und reagieren angemessen.

---

## 13. Kontinuierliche Verbesserung

Sicherheit ist kein statischer Zustand.

Mit der Weiterentwicklung von HealthGPT — einschließlich TEL-Analysen, KI-Optimierungen und Protokollgenerierung — wird die Sicherheitsarchitektur regelmäßig überprüft und angepasst.

---

**2Zone Therapy / HealthGPT**  
Verpflichtet zum Schutz Ihrer Gesundheitsdaten und digitalen Identität.
Tip: change language using ?lang=xx (example: ?type=terms&lang=fr). If a language folder doesn’t exist, it falls back to English.