← Zur Startseite

SimDoc • simdoc.de

Hinweise zur Verarbeitung personenbezogener Daten (DSGVO)

Diese Datenschutzerklärung gilt für die Simulationssoftware „SimDoc“ unter https://simdoc.de (nachfolgend „Plattform“). Sie dient Informationspflichten gemäß Art. 13 bzw. 14 DSGVO. Für die abschließende Konformität – insbesondere bei besonderen Kategorien personenbezogener Daten – ist eine Abstimmung mit einem Datenschutzbeauftragten oder einer Kanzlei dringend angeraten.

1. Verantwortliche Stelle

Ivan Lukic
Fasanenstraße 5, 79110 Freiburg, Deutschland
E-Mail: info@simdoc.de

Für datenschutzrechtliche Anfragen nutzen Sie bitte dieselbe E-Mail-Adresse; gegebenenfalls kann eine dedizierte Datenschutz-Adresse ergänzt werden.

2. Überblick über die Datenverarbeitungen

Wir erheben nur solche Daten, die erforderlich sind, um Ihnen die Plattform bereitzustellen, diese zu verbessern sowie gesetzliche Pflichten zu erfüllen. Dazu gehören insbesondere:

  • Stammdaten und Accountdaten (z. B. E-Mail, ggf. Name, akademischer Status, Zugangs­schutz).
  • Von Ihnen eingegebene Übungsinhalte (z. B. Gesprächsverläufe mit simulierten Patienten, Symptombeschreibungen, Diagnosevorschläge, eigene reflexive Notizen).
  • Nutzungs- und Kommunikationsmetadaten (z. B. Zeitpunkt einer Sitzung, technisch notwendige Protokolle, Fehler-/Performance-/Sicherungsprotokolle, soweit erhoben).
  • Informationen zur Abrechnung und Vertragsdurchführung, wenn ein kostenpflichtiges Angebot genutzt wird (Rechnungs- und Zahlungs­daten, Vertragslaufzeit).

3. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Gesundheitsbezogene Angaben („besondere Kategorien“)

Diese Plattform richtet sich an medizinische Aus- und Weiterbildung. Bei der Eingabe realistischer Kasuistiken oder bei der beschreibenden Erörterung medizinischer Sachverhalte können Sie unbeabsichtigt oder bewusst Inhalte mitteilen, aus denen sich unmittelbar oder mittelbar Angaben zur Gesundheit Dritter oder eigener Daten ableiten können.

Für die Bearbeitung solcher Daten benötigt der Verantwortliche – sofern sie nicht vollständig synthetisch, offensichtlich fiktional und ohne Personenbezug sind – in der Regel eine ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO i. V. m. Art. 7 DSGVO oder eine andere zulässige Rechtsgrundlage. Bei Registrierung holen wir die für den jeweiligen Umfang erforderliche Einwilligung zu Nutzungsumfang und KI-Verarbeitung ein (siehe Checkbox im Registrierungsformular).

Ermutigen Sie Nutzer:innen, keine echten Patientendaten einzugeben. Technische und organisatorische Maßnahmen reduzieren Risiken, ersetzen aber keine angemessene datenschutzrechtliche und inhaltliche Konzeption.

4. Rechtsgrundlagen (Art. 6 und Art. 9 DSGVO)

Im Einzelnen verlassen wir uns – je nach Vorgang – auf:

  • Art. 6 Abs. 1 lit. b DSGVO – Vertrag und vorvertragliche Maßnahmen (Bereitstellung der Plattform im Rahmen der Nutzungsvereinbarung).
  • Art. 6 Abs. 1 lit. c DSGVO – gesetzliche Pflichten (z. B. handels- und steuerrechtliche Aufbewahrung).
  • Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (IT-Sicherheit, Missbrauchsprävention, qualitätsbezogene, pseudonymisierte Produktverbesserungen, soweit mit den Rechten Betroffener vereinbar und mit Transparenz und Widerspruchsmöglichkeit gestaltet).
  • Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO, soweit für besondere Kategorien Daten eine Einwilligung eingeholt wird (z. B. bei sensiblen freitextlichen Eingaben oder optionalen Zusatzfunktionen).

Die Zuordnung jeder Verarbeitung zu einer Rechtsgrundlage sollte in Ihrem Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden.

5. Künstliche Intelligenz, Schnittstellen und Auftragsverarbeiter

5.1 OpenRouter (KI-Schnittstelle)

Zur Erzeugung simulierter Patientenantworten, Bewertungen und verwandter Texte werden Eingaben unseres Backends über die Schnittstelle von OpenRouter, Inc. (USA) an sprachbasierte Modelle übermittelt. OpenRouter fungiert dabei als Vermittler („Router“): Je nach Konfiguration werden die Inhalte an den jeweils eingesetzten Modellanbieter (z. B. verschiedene Anbieter großer Sprachmodelle) weitergeleitet und dort verarbeitet. Welches Modell im Einzelfall genutzt wird, ergibt sich aus der technischen Konfiguration der Plattform; die Auswahl kann sich ändern.

Kategorien betroffener Daten: insbesondere von Nutzer:innen eingegebene Texte (z. B. Chatverläufe, Anamnese-Felder, Diagnoseentwürfe) sowie technisch mitgesendete Metadaten, soweit für die API erforderlich.

Drittlandübermittlung: OpenRouter und Teile der angebundenen Modellanbieter können Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten (insbesondere in den USA). Soweit keine Angemessenheitsentscheidung der Kommission vorliegt, stützen wir uns – soweit erforderlich und vertraglich vereinbart – auf die in Art. 46 DSGVO vorgesehenen Geeigneten Garantien (z. B. EU-Standardvertragsklauseln) im Rahmen der Auftragsverarbeitung bzw. der von OpenRouter und den Modellanbietern angebotenen vertraglichen Regelungen. Details und Aktualisierungen finden sich in den Datenschutzhinweisen von OpenRouter.

Weitere Informationen und die aktuelle Fassung der Datenschutzerklärung von OpenRouter: https://openrouter.ai/privacy – Nutzungsbedingungen: https://openrouter.ai/terms. Hinweise der Modellanbieter zu Speicherung, Logging und ggf. Modelltraining entnehmen Sie bitte den jeweiligen Anbieterbedingungen (über OpenRouter werden unterschiedliche Anbieter erreichbar).

5.2 Supabase (Hosting, Auth, Datenbank)

Für Hosting, Authentifizierung, Datenbank und ggf. Dateispeicher setzen wir Supabase Inc. ein. Unser Supabase-Projekt ist in der Region EU (Frankfurt am Main / AWS eu-central-1) betrieben; die Speicherung und Verarbeitung der dort gehosteten Daten erfolgt damit in der Regel innerhalb der Europäischen Union bzw. des EWR, soweit nicht durch einzelne Supabase-Dienstleistungen oder Supportvorgänge etwas Abweichendes vereinbart ist (siehe aktuelle Dokumentation und Subprozessorliste von Supabase).

Zwischen uns und Supabase besteht – soweit die Voraussetzungen des Art. 28 DSGVO erfüllt sind – ein Vertrag zur Auftragsverarbeitung (Data Processing Addendum, DPA). Datenschutzerklärung: https://supabase.com/privacy – Informationen zum DPA: https://supabase.com/legal/dpa.

Die von Supabase benannten Subprozessoren und etwaige Änderungen der Infrastruktur sollten Sie regelmäßig in deren Dokumentation prüfen und diese Erklärung bei wesentlichen Änderungen anpassen.

6. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Nach Wegfall des Zwecks oder nach Ablauf gesetzlicher Fristen werden Daten gelöscht oder anonymisiert, soweit keine berechtigten Einwände oder Archivierungspflichten entgegenstehen. Nutzerkonto- und Profildaten bleiben grundsätzlich bestehen, bis Sie die Löschung verlangen oder das Konto endgültig gelöscht wird. Sitzungs- und Chatinhalte werden für die Dauer der Nutzung der jeweiligen Fall-Simulation benötigt; nach Löschung des Kontos oder auf gesonderte Löschanfrage werden sie im Rahmen der technischen Möglichkeiten und gesetzlicher Vorgaben entfernt bzw. anonymisiert, unter Berücksichtigung üblicher Backup-Fenster bei Supabase.

7. Betroffenenrechte

Sie haben – vorbehaltlich der gesetzlichen Voraussetzungen – insbesondere:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
  • Recht, eine erteilte Einwilligung mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO)
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO, z. B. beim für den Verantwortlichen zuständigen Landesdatenschutzbeauftragten)

Anfragen richten Sie bitte an die oben genannte Kontaktadresse. Zur Identitätsprüfung können wir zusätzliche Informationen verlangen.

8. Cookies und ähnliche Technologien

Wir setzen technisch notwendige Cookies bzw. vergleichbare lokale Speicherungen (z. B. für die Sitzung der Supabase-Authentifizierung) ein, soweit dies für Anmeldung, Sitzungssteuerung und Sicherheit erforderlich ist. Optionale Analyse- oder Marketing-Cookies setzen wir derzeit nicht ein. Sollte sich dies ändern, werden wir vor Aktivierung eine Einwilligung gemäß § 25 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO einholen und diese Datenschutzerklärung anpassen.

9. Profiling und automatisierte Entscheidungen

KI-gestützte Auswertungen dienen ausschließlich Lern- und Trainingszwecken. Eine allein automatisierte Entscheidung im Sinne von Art. 22 DSGVO mit Rechtswirkung oder vergleichbar erheblicher Beeinträchtigung findet nicht statt, es sei denn, dies ändert sich künftig ausdrücklich und wird gesondert begründet und informiert.

10. Aktualität

Wir passen diese Erklärung an, wenn sich Rechtslage, Produkte oder Verarbeitungstätigkeiten ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Wesentliche Änderungen werden – soweit erforderlich – gesondert mitgeteilt.

Stand: 3. Mai 2026