FFSPkurs
← Zur Startseite

Datenschutzerklärung

Stand: 14. Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Vladimir Michel
Bohnebergerring 41
75305 Neuenbürg
Deutschland
E-Mail: info@proxido.com

2. Welche Daten wir erheben

2.1 Kontodaten

Bei der Registrierung erheben wir: E-Mail-Adresse, optional ein Name und ein Passwort. Das Passwort wird nicht im Klartext gespeichert, sondern als bcrypt-Hash mit Cost-Faktor 12. Zusätzlich speichern wir den Verifikationsstatus deiner E-Mail-Adresse.

2.2 Lern- und Übungsdaten

Wenn du Übungsfälle bearbeitest oder die Prüfungssimulation nutzt, speichern wir deinen Fortschritt sowie die Inhalte deiner Übung — insbesondere die Transkripte des Arzt-Patienten-Gesprächs, der Patientenvorstellung, deine Doku-Entwürfe sowie die KI-Bewertung (Punktzahl, Feedbacktext). Diese Daten sind ausschließlich für dich sichtbar und werden zur Wiederaufnahme deiner Übungen und zur Anzeige deiner Bewertung verwendet.

2.3 Sicherheitsbezogene Daten

Zur Abwehr von Brute-Force-Angriffen und Bot-Registrierungen speichern wir pro Login-Versuch einen Eintrag mit Zeitstempel, der verwendeten E-Mail-Adresse (in Kleinschreibung als Schlüssel) und einem gehashten IP-Indikator (sha256(ip + salt)) — die rohe IP-Adresse wird nicht gespeichert. Diese Einträge werden nach spätestens 30 Tagen automatisch gelöscht.

2.4 Technische Daten (Server-Logs)

Beim Zugriff auf die Website werden technische Daten in den Server-Logs unseres Reverse-Proxies erfasst: IP-Adresse, Browsertyp, Betriebssystem, Datum/Uhrzeit und aufgerufene Seiten. Diese Logs werden maximal 30 Tage aufbewahrt und dienen ausschließlich der Systemsicherheit (Fehler-Diagnose, Missbrauchsabwehr).

3. Zweck und Rechtsgrundlage der Verarbeitung

ZweckRechtsgrundlage
Bereitstellung der Plattform, NutzerkontoArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
E-Mail-Verifikation, WiederherstellungArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
KI-Prüfungssimulation, SprachausgabeArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Bot-Schutz (Turnstile, Pwned-Password-Check)Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Server-Logs, Login-AttemptsArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

4. Eingesetzte Drittanbieter

4.1 MailerSend (E-Mail-Versand)

Für transaktionale E-Mails (Konto-Verifikation, Wiederherstellung, Hinweise zu Anmeldeversuchen) nutzen wir MailerSend (Anbieter: MailerSend Limited, Malta, EU). Übertragen werden E-Mail-Adresse, optional der Name des Empfängers sowie der Inhalt der jeweiligen Nachricht. Datenschutzerklärung: mailersend.com/legal/privacy-policy

4.2 Cloudflare Turnstile (Bot-Schutz)

Zum Schutz des Registrierungsformulars vor automatisierten Zugriffen setzen wir Cloudflare Turnstile (Anbieter: Cloudflare, Inc., USA) ein. Turnstile sammelt Verhaltenssignale deines Browsers (z. B. Mausbewegungen, Hardware-Eigenschaften) und stellt unserem Server ein Bot-Bewertungs-Token bereit. Im Gegensatz zu klassischen Captcha-Lösungen werden keine Cookies gesetzt und keine personalisierten Profile gebildet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Plattformsicherheit). Übermittlung in die USA auf Basis der EU-Standardvertragsklauseln. Datenschutzerklärung: cloudflare.com/de-de/privacypolicy

4.3 Google Gemini (KI-Dialog und Bewertung)

Für die Prüfungssimulation (KI-Patient, KI-Oberarzt und KI-Bewertung) übermitteln wir die Inhalte deines Übungsdialogs an die Gemini-API (Anbieter: Google Ireland Limited / Google LLC, USA). Dabei werden je nach Übung übertragen: dein Übungstext, deine Doku-Entwürfe sowie der Fall-Kontext. Es werden keine Kontodaten (E-Mail, Name) übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework. Google hat gemäß seinen Geschäftsbedingungen zugesichert, API-Daten nicht zum Modelltraining zu verwenden. Datenschutzerklärung: policies.google.com/privacy

4.4 Sprachausgabe (Text-to-Speech)

Für die Sprachausgabe der KI-Patienten- und Oberarzt-Stimmen in der Prüfungssimulation wird je nach Konfiguration einer der folgenden Dienste eingesetzt:

Übermittelt wird der zu sprechende Text (kein Klartext deiner Kontodaten). Sollte der Sprach-Dienst nicht erreichbar sein, fällt der Browser stillschweigend auf die lokale Browser-Sprachausgabe (Web Speech Synthesis API) zurück, bei der keine externe Übertragung stattfindet. Übermittlung in die USA auf Grundlage des EU-US Data Privacy Framework bzw. der EU-Standardvertragsklauseln.

4.5 Have I Been Pwned (Passwort-Sicherheits-Check)

Beim Anlegen oder Ändern eines Passworts prüfen wir mit Have I Been Pwned (Anbieter: Superlative Enterprises Pty Ltd, Australien), ob dein Passwort in bekannten Datenleaks aufgetaucht ist. Aus Datenschutzgründen wird dein Passwort dabei niemals an Have I Been Pwned übertragen: lokal wird ein SHA-1-Hash gebildet, und nur die ersten 5 Zeichen dieses Hashes verlassen unseren Server (k-Anonymität-Verfahren). Der tatsächliche Hash deines Passworts kann daraus nicht rekonstruiert werden. Datenschutzerklärung: haveibeenpwned.com/PrivacyPolicy

5. Hosting und Serverstandort

Die Plattform wird in einem Rechenzentrum innerhalb der Europäischen Union betrieben. Alle Nutzerdaten (Konto, Übungen, Sicherheitsprotokolle) werden ausschließlich auf diesem Server in einer PostgreSQL-Datenbank gespeichert.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

  • Kontodaten: bis zur Löschung des Nutzerkontos.
  • Übungsfortschritt, Prüfungssimulations-Transkripte und Doku-Entwürfe: bis zur Löschung durch dich oder zum Wegfall des Kontos.
  • Verifikations-Tokens: 24 Stunden (technische TTL).
  • Login-Versuche, Rate-Limit-Buckets: maximal 30 Tage.
  • Server-Logs des Reverse-Proxies: maximal 30 Tage.
  • Gesetzliche Aufbewahrungspflichten bleiben unberührt.

7. Deine Rechte

Du hast uns gegenüber folgende Rechte hinsichtlich deiner personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Auskunft über die zu deiner Person gespeicherten Daten.
  • Berichtigungsrecht (Art. 16 DSGVO): Berichtigung unrichtiger Daten.
  • Recht auf Löschung (Art. 17 DSGVO): Löschung deiner Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung in bestimmten Fällen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Bereitstellung deiner Daten in einem maschinenlesbaren Format.
  • Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen.

Zur Ausübung deiner Rechte wende dich per E-Mail an info@proxido.com.

8. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für unseren Sitz ist:

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

9. Cookies und lokale Speicherung

Wir setzen keine Tracking- oder Marketing-Cookies ein. Folgende technisch notwendige Speicher-Mechanismen verwenden wir:

  • Auth-Cookie (Session-JWT, HttpOnly, Same-Site): erforderlich, damit du nach dem Login als angemeldeter Nutzer erkannt wirst. Wird beim Logout gelöscht.
  • Turnstile-Cookie: Cloudflare Turnstile setzt beim Bot-Schutz auf der Registrierungsseite kurzzeitig technisch notwendige Anti-Missbrauchs-Daten, jedoch keine Tracking-Cookies.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Plattform oder der Rechtslage anzupassen. Die jeweils aktuelle Version findest du stets unter fspkurs.de/datenschutz.

← ImpressumZur Startseite →