Compliance

MDR Klasse I, DSGVO & EU AI Act – Compliance bei SummurAI | Datenschutz
Compliance & Datenschutz

Vertrauen ist
keine Option.
Es ist Standard.

SummurAI ist nach den höchsten medizinischen und datenschutzrechtlichen Standards entwickelt. MDR, DSGVO, EU AI Act — vollständig dokumentiert und zertifiziert.

🏥
MDR Klasse I
EU MDR 2017/745
🇪🇺
DSGVO-konform
On-Premises · AVV
🤖
EU AI Act
Minimales Risiko
🔒
Ende-zu-Ende
Verschlüsselt

Rechtlicher Rahmen

Drei Regelwerke.
Alle vollständig erfüllt.

SummurAI wurde von Anfang an mit einem klaren Compliance-Framework entwickelt. Kein Nachbearbeiten. Keine Lücken.

🏥

EU MDR 2017/745

SummurAI ist als Klasse-I-Medizinprodukt nach der europäischen Medizinprodukteverordnung klassifiziert. Die vollständige technische Dokumentation liegt vor.

  • Klasse-I-Klassifizierung nach Rule 11 MDR
  • Vollständige Zweckbestimmung (Intended Use Statement)
  • Technische Dokumentation (Technical File) erstellt
  • QM-Handbuch nach ISO 13485-Grundsätzen
  • Post-Market Surveillance (PMS) Plan vorhanden
  • Konformitätsbewertung abgeschlossen
🇪🇺

DSGVO / GDPR

Patientendaten sind hochsensibel. Wir behandeln sie entsprechend: Ende-zu-Ende-Verschlüsselung, lokaler Betrieb in Ihrem Praxisnetzwerk, vollständige Transparenz.

  • Lokal betrieben auf dedizierter Mac-Hardware im Praxisnetzwerk
  • Auftragsverarbeitungsvertrag (AVV) bereitgestellt
  • Keine Weitergabe an Dritte
  • Datenschutzfolgenabschätzung (DPIA) durchgeführt
  • Löschkonzept mit klaren Aufbewahrungsfristen
  • Verzeichnis von Verarbeitungstätigkeiten (VVT)
🤖

EU AI Act

SummurAI ist als KI-System mit minimalem Risiko eingestuft. Keine Hochrisiko-Klassifizierung — da keine diagnostischen oder therapeutischen Entscheidungen getroffen werden.

  • Klassifizierung: Minimales Risiko (Artikel 50)
  • Kein Hochrisiko-KI-System (keine Diagnoseentscheidungen)
  • Transparenzanforderungen erfüllt
  • Human Oversight gewährleistet (Arzt entscheidet)
  • Konformitätsdokumentation erstellt

Wie Daten fließen

Vollständige Datentransparenz.
Von Anfang bis Ende.

Jeder Schritt in der Datenverarbeitung ist dokumentiert, verschlüsselt und DSGVO-konform.

📱
Patient füllt aus
Im Praxisnetzwerk · QR-Code-Scan · Versichertennummer + Geburtsdatum
🔄
KI verarbeitet
Lokaler Mac · MedGemma 4B · Kein Cloud-Transfer · Keine Datenpersistenz
🏥
Arzt sieht Ergebnis
Dashboard · Nur autorisierte Nutzer · Rollenbasierter Zugriff
🗑️
Automatische Löschung
Konfigurierbare Aufbewahrungsfristen · DSGVO-konformes Löschkonzept

DSGVO im Detail

Was Sie von uns erwarten können.

Konkrete Maßnahmen — nicht nur Versprechen.

Auftragsverarbeitung
AVV standardmäßig bereitgestellt
Jede Praxis erhält automatisch einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Kein Zusatzaufwand für Sie.
Dokumentiert & unterzeichnungsbereit
Datenspeicherung
Lokal im Praxisnetzwerk
Alle Daten werden ausschließlich lokal auf der dedizierten Mac-Hardware in Ihrem Praxisnetzwerk gespeichert und verarbeitet. Keine Cloud-Übertragung, keine externe Datenweitergabe.
On-Premises · Dedicated Hardware
Löschkonzept
Konfigurierbare Aufbewahrungsfristen
Patientendaten werden automatisch nach konfigurierbaren Fristen gelöscht. Standardmäßig: 30 Tage. Praxisindividuell anpassbar.
Automatisiert & dokumentiert
Datenschutzfolgenabschätzung
DPIA nach Art. 35 DSGVO durchgeführt
Eine Datenschutzfolgenabschätzung wurde für SummurAI durchgeführt. Die Ergebnisse dokumentieren ein akzeptables Risikoprofil für den Einsatz in medizinischen Einrichtungen.
Abgeschlossen · Auf Anfrage einsehbar
Verarbeitungsverzeichnis
VVT nach Art. 30 DSGVO
Ein vollständiges Verzeichnis der Verarbeitungstätigkeiten liegt vor und wird bei Bedarf für Ihren Datenschutzbeauftragten bereitgestellt.
Vollständig dokumentiert
Betroffenenrechte
Auskunft, Korrektur, Löschung
Patientenanfragen nach Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung) können über das Dashboard oder direkt durch uns bearbeitet werden.
Prozess dokumentiert & verfügbar

MDR Klassifizierung

Klasse I — klar klassifiziert.
Vollständig dokumentiert.

SummurAI trifft keine medizinischen Entscheidungen. Es bereitet Informationen auf — und ist daher als Klasse-I-Medizinprodukt klassifiziert.

Kriterium Anforderung Status SummurAI
Klassifizierung Klasse I nach Anhang VIII MDR ✓ Klasse I bestätigt
Technische Dokumentation Vollständiges Technical File nach Annex II/III ✓ Vorhanden
Zweckbestimmung Intended Use Statement nach MDR Art. 2 ✓ Dokumentiert
QM-System Qualitätsmanagementsystem nach ISO 13485 ✓ Implementiert
PMS Post-Market Surveillance Plan nach Art. 83 ✓ Aktiv
UDI Unique Device Identification ✓ Registriert
Konformitätserklärung Declaration of Conformity nach Art. 19 ✓ Ausgestellt

EU AI Act

Minimales Risiko.
Maximale Transparenz.

SummurAI ist kein Hochrisiko-KI-System nach dem EU AI Act — weil es keine Entscheidungen trifft. Der Arzt entscheidet immer.

Risikoklassen EU AI Act
Unannehmbares Risiko
Hohes Risiko (Anhang III)
Begrenztes Risiko
✓ Minimales Risiko → SummurAI

Warum kein Hochrisiko?

Der EU AI Act stuft KI-Systeme, die medizinische Entscheidungen unterstützen oder treffen, als Hochrisiko ein. SummurAI fällt explizit nicht darunter — weil die Software keine Diagnosen stellt, keine Triage-Empfehlungen gibt und keine Priorisierungen vornimmt.

SummurAI ist eine strukturierende und zusammenfassende Lösung. Alle medizinischen Entscheidungen verbleiben beim Arzt.

  • Keine Diagnosevorschläge oder -hypothesen
  • Keine Triage-Empfehlungen oder Dringlichkeitsbewertungen
  • Keine Priorisierung von Patienten durch die Software
  • Vollständige Human Oversight: Arzt entscheidet immer
  • KI-Zusammenfassung ist reine Reformulierung, keine Interpretation

Technische Sicherheit

Sicherheit auf mehreren Ebenen.

Technische und organisatorische Maßnahmen (TOMs) nach Stand der Technik.

🔐
Ende-zu-Ende-Verschlüsselung
Alle Daten werden über TLS 1.3 übertragen. Sensible Patientendaten werden at-rest verschlüsselt (AES-256).
🖥️
On-Premises · Dedicated Hardware
Betrieb auf dedizierter Mac-Hardware direkt in Ihrem Praxisnetzwerk. Keine Verbindung zu externen Servern. Volle Datenkontrolle in Ihrer Praxis.
👤
Rollenbasierter Zugriff (RBAC)
Strikte Zugriffstrennung: Arzt sieht nur eigene Patienten. Admin-Ebene für MVZ-Verwaltung. Audit-Log für alle Zugriffe.
🔍
Penetrationstests & Audits
Regelmäßige Sicherheitsaudits und Penetrationstests durch unabhängige Dritte. Ergebnisse dokumentiert und verfügbar.
📊
Audit-Trail
Vollständige Nachvollziehbarkeit: Wer hat wann auf welche Anamnese zugegriffen? Unveränderlicher Audit-Log für compliance-relevante Nachweise.
🚨
Incident-Management
Dokumentiertes Verfahren bei Datenpannen. Meldung an Aufsichtsbehörden innerhalb 72h gemäß Art. 33 DSGVO.

Vollständige Dokumentation
auf Anfrage.

Technische Dokumentation, AVV, DPIA — wir stellen Ihnen alles bereit, was Ihr Datenschutzbeauftragter benötigt.

Dokumentation anfragen Demo vereinbaren