„When something feels off, Buoy it“
Buoy Health ist ein US-amerikanisches Digital-Health-/KI-Tool für Symptom-Check, erste klinische Einordnung, Triage und Care-Navigation.
Endnutzer können Symptome per Chat/Quiz eingeben und erhalten mögliche Ursachen, Hinweise zur Dringlichkeit und Empfehlungen für nächste Versorgungsschritte. Zusätzlich bietet Buoy klinisch redaktionell betreute Gesundheitsinhalte, krankheitsspezifische KI-Quizzes sowie eine API für die Integration in Apps, Websites und Patient Portals.
Buoy Health
When something feels off, Buoy it
Standort: USA ⓘ Buoy Health, Inc., 580 Harrison Ave., Suite 1W, Boston, MA 02118, USA
Third-Party Services / Care Navigation Buoy kann Nutzer zu Drittanbietern, Gesundheitsdiensten oder Versorgungspfaden weiterleiten; Verfügbarkeit und Bedingungen hängen vom jeweiligen Partner ab.
Zielgruppe
Buoy Health richtet sich primär an Menschen, die Symptome schnell einordnen und den nächsten sinnvollen Versorgungsschritt verstehen möchten. Darüber hinaus adressiert Buoy laut den offiziellen Seiten auch Arbeitgeber, Health Plans, Provider, Patient-Portale und Entwicklerteams, die die Triage-Logik per API in eigene digitale Journeys integrieren wollen. Für klassische EU-Compliance-getriebene Unternehmen ist die Zielgruppenpassung funktional zwar gegeben, datenschutzrechtlich aber öffentlich nicht ausreichend abgesichert.
Herausragende Funktionen
Zu den auffälligsten Funktionen zählen der kostenlose KI-Symptom-Checker, krankheitsspezifische KI-Quizzes, clinician-reviewed Gesundheitsartikel, Hinweise zur passenden Versorgungsebene und die API zur Einbettung des Symptom- und Triage-Engines in Apps und Portale. Buoy positioniert sein System als klinisch informiert, nennt eine Inhouse-Ärzte-/Klinikersteuerung und verweist auf veröffentlichte Forschung bzw. eine JAMA-bezogene Ergebnisdarstellung auf der Produktseite.
Wichtigste Anwendungsfelder
Buoy eignet sich vor allem für die digitale Ersteinschätzung von Symptomen, die patientennahe Navigation zu passender Versorgung, die Vorqualifikation von Gesundheitsanliegen in Patient-Portalen sowie die Ergänzung von Arbeitgeber- oder Health-Plan-Angeboten. Zusätzlich kann es als Content-/Rechercheoberfläche für symptom- und krankheitsbezogene Gesundheitsinformationen dienen. Für medizinische Notfälle oder verbindliche Diagnosen ist das Tool laut Terms ausdrücklich nicht gedacht.
Nutzung & Hinweise
Die Nutzung erfolgt webbasiert: Nutzer geben Symptome ein, beantworten Folgefragen und erhalten eine erste Einordnung samt Handlungsempfehlungen. Dabei sollte man die rechtlichen und fachlichen Grenzen ernst nehmen: Buoy ist kein Arzt, begründet kein Arzt-Patient-Verhältnis, ist nicht für Notfälle gedacht und laut Terms nur für in den USA ansässige Nutzer vorgesehen; für Säuglinge unter zwei Jahren soll der Dienst nicht genutzt werden. Datenschutzseitig ist wichtig, dass Buoy zwar „private“ kommuniziert, die Privacy Notice aber zugleich Website-Analytics, Werbungspartner und ML-Nutzung de-identifizierter Daten beschreibt.
| Zielgruppe | Einschätzung |
|---|---|
| Privatpersonen in den USA | Geeignet – für erste Orientierung bei Symptomen, mögliche Ursachen und Hinweise auf passende Versorgung. |
| Patienten mit einfachen Gesundheitsfragen | Bedingt geeignet – als Informations- und Triage-Hilfe, aber nicht als Ersatz für medizinische Diagnose oder Behandlung. |
| Gesundheitsanbieter / Versicherer / digitale Gesundheitsprodukte | Geeignet – Buoy bietet eine API für Symptom-Checking und Triage-Integration in eigene Anwendungen. |
| EU-Privatpersonen | Eher nicht geeignet – die Terms richten sich ausdrücklich an Nutzer mit Wohnsitz in den USA und erklären US-Recht als maßgeblich. |
| EU-Unternehmen / regulierte Healthcare-Anbieter | Eher kritisch – wegen US-Fokus, Gesundheitsdaten, unklarer DSGVO-Vertragslage und fehlender EU-Datenresidenz. |
Hosting & Daten
1) On-Prem / lokales Hosting
Bedeutung: Die Firma betreibt die Lösung auf eigener Hardware oder in der eigenen Infrastruktur. Im strengsten Sinn läuft dabei nicht nur die Anwendung, sondern idealerweise auch das Modell lokal.
2) Private Cloud / RZ
Bedeutung: Die Lösung läuft in einer dedizierten oder stärker abgegrenzten Cloud-Umgebung, oft bei einem Hosting-Anbieter oder Hyperscaler, aber in einem deutschen Rechenzentrum oder in einer besonders kontrollierten Umgebung.
3) EU-SaaS / Managed
Bedeutung: Der Anbieter betreibt die Lösung selbst als Dienst. Die Firma nutzt das Tool als fertigen Cloud-Service, idealerweise mit EU-Datenresidenz.
4) Hybrid
Bedeutung: Ein Teil der Verarbeitung bleibt intern / lokal / in privater Cloud, ein anderer Teil läuft in einer externen Cloud oder EU-SaaS.
5) AVV / DPA
Bedeutung: Das ist der Auftragsverarbeitungsvertrag bzw. Data Processing Addendum.
Er regelt, dass der Anbieter personenbezogene Daten im Auftrag verarbeitet und an die Weisungen des Kunden gebunden ist.
6) Kein Training
Bedeutung: Der Anbieter nutzt deine Prompts, Uploads, Anhänge, Chatverläufe oder Outputs nicht zum Training oder zur Verbesserung des allgemeinen Modells — idealerweise vertraglich ausgeschlossen.
7) Open-Source-/Transparenz-Pfad
Bedeutung: Es gibt einen Weg zu mehr technischer Transparenz und Souveränität, etwa durch:
- offene Modelle
- dokumentierte Komponenten
- self-hostbare Teile
- nachvollziehbare Architektur
- Export-/Wechselmöglichkeiten
| On-prem / local hosting | ❓ |
| Private cloud / data center | ❓ |
| EU SaaS / Managed | ❓ |
| Hybrid | ❓ |
| DPA / AVV | ❓ |
| No training on customer data | ❓ |
| Open source / transparency path | ❓ |
On-Prem / lokales Hosting: indirekt / nicht verfuegbar
Auf der Website wurde keine On-Prem-, lokale oder Self-Hosting-Option gefunden. Beschrieben werden Web-Service und API, aber kein Betrieb auf Kundeninfrastruktur.
Private Cloud / RZ: unklar
Es gibt keine konkreten Angaben zu dedizierten Kundenumgebungen, Private-Cloud-Modellen oder abgegrenzten EU-/EWR-Rechenzentren.
EU-SaaS / Managed: indirekt / nicht verfuegbar
Eine EU-/EWR-Datenresidenz oder ein EU-betriebener SaaS wird auf der Website nicht angegeben. Stattdessen verweist die Datenschutzerklaerung auf US-Steuerung und US-Recht.
Hybrid: unklar
Auf der Website gibt es keine belastbare Beschreibung eines Hybrid-Modells mit teilweise interner/lokaler und teilweise externer Verarbeitung.
AVV / DPA: indirekt / nicht verfuegbar
Ein AVV/DPA wurde auf der Website nicht gefunden. Erwaehnt wird nur fuer bestimmte US-Enterprise-Programme ein HIPAA-'Business Associate Agreement', was kein Nachweis fuer einen DSGVO-AVV fuer EU-/EWR-Kunden ist.
Kein Training: indirekt / nicht verfuegbar
Ein belastbares Opt-out oder vertraglicher Ausschluss der Nutzung von Eingaben/Verlaeufen fuer allgemeines KI-Training wurde auf der Website nicht gefunden. Im Gegenteil erwaehnt die Website, dass Buoys medizinische Modelle regelmaessig auch anhand von 'Buoy user data and feedback' aktualisiert werden; zudem raeumen die Nutzungsbedingungen Buoy weitreichende Nutzungsrechte an 'Your Information' ein, ausser soweit HIPAA/PII-Ausnahmen greifen.
Open-Source / Transparenz-Pfad: indirekt / nicht verfuegbar
Auf der Website wurden keine Open-Source-Komponenten, offenen Modelle, self-hostbaren Teile oder ein dokumentierter Transparenz-/Souveraenitaetspfad gefunden.
Datenverarbeitung
Die Website beschreibt Buoy als webbasierte Loesung mit Symptom-Checker, Chat-Interaktion und API-Integration. Es werden Gesundheitsinformationen, Standortinformationen ueber IP sowie weitere personenbezogene Daten verarbeitet. Es gibt allgemeine Sicherheitsangaben und eine HITRUST-Aussage, aber keine konkreten Angaben zu EU-/EWR-Datenresidenz, Rechenzentrumsstandorten, Subprozessoren oder DSGVO-Datenuebermittlungsmechanismen.
Fazit
Fuer ein deutschsprachiges Tool-Verzeichnis mit Bewertung fuer den gesamten EU-/EWR-Raum ist die dokumentierte Basis auf der Anbieter-Website fuer eine DSGVO-positive Einstufung nicht ausreichend. Der Anbieter dokumentiert US-Bezug und US-Rechtsrahmen, aber keine EU-Datenresidenz, keinen AVV/DPA und keine transparente Hosting- bzw. Subprozessorenstruktur. Damit ist aus Website-Sicht keine belastbare DSGVO-konforme Nutzung fuer EU-/EWR-Nutzer belegt.
Quellen
| On-prem / local hosting | ❓ |
| Private cloud / data center | ❓ |
| EU SaaS / Managed | ❓ |
| Hybrid | ❓ |
| DPA / AVV | ❓ |
| No training on customer data | ❓ |
| Open source / transparency path | ❓ |
On-Prem / lokales Hosting: indirekt / nicht verfuegbar
Auf der Website wurde keine On-Prem-, lokale oder Self-Hosting-Option gefunden. Beschrieben werden Web-Service und API, aber kein Betrieb auf Kundeninfrastruktur.
Private Cloud / RZ: unklar
Es gibt keine konkreten Angaben zu dedizierten Kundenumgebungen, Private-Cloud-Modellen oder abgegrenzten EU-/EWR-Rechenzentren.
EU-SaaS / Managed: indirekt / nicht verfuegbar
Eine EU-/EWR-Datenresidenz oder ein EU-betriebener SaaS wird auf der Website nicht angegeben. Stattdessen verweist die Datenschutzerklaerung auf US-Steuerung und US-Recht.
Hybrid: unklar
Auf der Website gibt es keine belastbare Beschreibung eines Hybrid-Modells mit teilweise interner/lokaler und teilweise externer Verarbeitung.
AVV / DPA: indirekt / nicht verfuegbar
Ein AVV/DPA wurde auf der Website nicht gefunden. Erwaehnt wird nur fuer bestimmte US-Enterprise-Programme ein HIPAA-'Business Associate Agreement', was kein Nachweis fuer einen DSGVO-AVV fuer EU-/EWR-Kunden ist.
Kein Training: indirekt / nicht verfuegbar
Ein belastbares Opt-out oder vertraglicher Ausschluss der Nutzung von Eingaben/Verlaeufen fuer allgemeines KI-Training wurde auf der Website nicht gefunden. Im Gegenteil erwaehnt die Website, dass Buoys medizinische Modelle regelmaessig auch anhand von 'Buoy user data and feedback' aktualisiert werden; zudem raeumen die Nutzungsbedingungen Buoy weitreichende Nutzungsrechte an 'Your Information' ein, ausser soweit HIPAA/PII-Ausnahmen greifen.
Open-Source / Transparenz-Pfad: indirekt / nicht verfuegbar
Auf der Website wurden keine Open-Source-Komponenten, offenen Modelle, self-hostbaren Teile oder ein dokumentierter Transparenz-/Souveraenitaetspfad gefunden.
Datenverarbeitung
Die Website beschreibt Buoy als webbasierte Loesung mit Symptom-Checker, Chat-Interaktion und API-Integration. Es werden Gesundheitsinformationen, Standortinformationen ueber IP sowie weitere personenbezogene Daten verarbeitet. Es gibt allgemeine Sicherheitsangaben und eine HITRUST-Aussage, aber keine konkreten Angaben zu EU-/EWR-Datenresidenz, Rechenzentrumsstandorten, Subprozessoren oder DSGVO-Datenuebermittlungsmechanismen.
Fazit
Fuer ein deutschsprachiges Tool-Verzeichnis mit Bewertung fuer den gesamten EU-/EWR-Raum ist die dokumentierte Basis auf der Anbieter-Website fuer eine DSGVO-positive Einstufung nicht ausreichend. Der Anbieter dokumentiert US-Bezug und US-Rechtsrahmen, aber keine EU-Datenresidenz, keinen AVV/DPA und keine transparente Hosting- bzw. Subprozessorenstruktur. Damit ist aus Website-Sicht keine belastbare DSGVO-konforme Nutzung fuer EU-/EWR-Nutzer belegt.
Quellen
Stärken & Schwächen im Überblick
| Stärken | Schwächen |
|---|---|
| • Niedrige Einstiegshürde: kostenloser Symptom-Checker und kostenloser Account. | • Kein medizinischer Diagnose- oder Behandlungsdienst; ausdrücklich kein Arzt-Patient-Verhältnis. |
| • Klinische Einbettung: Inhalte werden laut Buoy von Ärzten/Klinikern geprüft bzw. gesteuert. | • Terms setzen US-Residency voraus; das begrenzt internationale/EU-Nutzung. |
| • Breiter Funktionsmix aus KI-Triage, Gesundheitscontent, Quizzes und Care-Navigation. | • Datenschutzseitig heikel: Gesundheitsdaten + US-Rechtsbezug + Analytics/Advertising + ML-Nutzung de-identifizierter Daten. |
| • API/Enterprise-Eignung für Gesundheitsorganisationen und Patient-Portale. | • Keine öffentlich auffindbare EU-Compliance-Dokumentation wie SCC-Hinweise, EU-Vertreter, EU-Hosting oder öffentliche AVV/DPA. |
| • Verweis auf peer-reviewed JAMA paper auf der Produktseite. | • Nicht für Kinder unter 13 und laut Terms nicht für Säuglinge unter 2 Jahren gedacht. |
Bewertungen
0 Bewertungen insgesamt
Für dieses Tool liegen noch keine bestätigten Bewertungen vor.
Bewertung absenden
Deine Bewertung wird erst nach der Bestätigung per E-Mail sichtbar. Damit schützen wir das Portal vor Missbrauch.
Bewertung melden
Bitte wähle den Grund aus, warum diese Bewertung geprüft werden soll.
DSGVO-konforme Nutzung möglich?
Auf der Website finden sich zwar eine Datenschutzerklaerung und allgemeine Sicherheitsangaben, aber keine belastbaren Angaben zu EU-/EWR-Datenresidenz, EU-Rechenzentren, AVV/DPA, Subprozessoren oder einem DSGVO-spezifischen Verarbeitungsrahmen. Im Gegenteil verweist die Datenschutzerklaerung ausdruecklich darauf, dass Buoy aus den USA betrieben wird und die Datenverarbeitung US-Recht unterliegt. Fuer Nutzer im gesamten EU-/EWR-Raum ist damit auf Basis der Website keine vollumfaenglich DSGVO-konforme Nutzung belegt.
Positiv
Positiv belegt sind eine oeffentlich zugaengliche Datenschutzerklaerung, Hinweise auf technische und organisatorische Schutzmassnahmen wie Verschluesselung, Firewalls, Identity Management sowie Intrusion Prevention/Detection und eine genannte HITRUST-Zertifizierung. Zudem beschreibt Buoy Loesch- und Kontaktmoeglichkeiten per E-Mail.
Negativ
Negativ fuer eine EU-/EWR-DSGVO-Bewertung ist insbesondere, dass die Website Buoy als in den USA kontrolliert und angeboten beschreibt und die Datenschutzerklaerung ausdruecklich festhaelt, dass US-Recht und nicht das Recht anderer Jurisdiktionen gilt. Ausserdem heisst es in den Nutzungsbedingungen, dass Nutzer bei Verwendung der Services in den USA ansaessig sein muessen. Auf der Website nicht angegeben sind EU-Serverstandorte, EU-Datenresidenz, SCCs/Transfermechanismen, AVV/DPA, Subprozessorenliste, Opt-out aus KI-Training fuer allgemeine Modelle sowie On-Prem-/Self-Hosting-Optionen.
Serverstandort
Auf der Website nicht angegeben. Die Datenschutzerklaerung sagt lediglich, dass Buoy aus den USA kontrolliert und angeboten wird; konkrete Server- oder Rechenzentrumsstandorte in der EU/im EWR werden nicht genannt.