Datenschutzerklärung

Diese Datenschutzerklärung informiert dich über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten auf MedTrain AI gemäß der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

1. Verantwortliche Person

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Alexander Wortmann
Glückaufstraße 12
52134 Herzogenrath
Deutschland
E-Mail: medifall@alexwrtm.de

MedTrain AI wird als privates, nicht-kommerzielles Projekt betrieben. Es besteht keine Pflicht zur Bestellung eines Datenschutzbeauftragten gemäß §38 BDSG.

2. Welche Daten werden erhoben?

2.1 Beim Aufruf der Website (Server-Logs)

Beim Aufruf der Website werden durch den Hosting-Provider automatisch Informationen in Server-Logfiles gespeichert, die dein Browser übermittelt:

IP-Adresse
Datum und Uhrzeit der Anfrage
Aufgerufene Seite / URL
Browser-Typ, Browser-Version, verwendetes Betriebssystem
Referrer-URL (zuvor besuchte Seite)

Die Verarbeitung erfolgt zur Sicherstellung des stabilen Betriebs sowie zur Abwehr von Angriffen. Server-Logs werden vom Hoster üblicherweise nach 7-14 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Website).

2.2 Bei der Registrierung

Wenn du einen MedTrain-Account erstellst, werden folgende Daten erhoben:

E-Mail-Adresse (Pflicht, für Login und Verifikation)
Selbstgewählter Anzeigename (optional)
Passwort (gespeichert ausschließlich als bcrypt-Hash, niemals im Klartext)
Datum der Registrierung, Datum des letzten Logins

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der Plattform).

2.3 Bei der Nutzung der Plattform

Bei der aktiven Nutzung der Anwendung werden folgende Daten gespeichert, die du selbst eingibst oder die durch deine Interaktion entstehen:

Erstellte (fiktive) Patientenfälle mit Diagnosen, Allergien, Dauermedikation
Generierte Notfall-Szenarien, Live-Simulationsverläufe und deren Auswertungen
Hochgeladene Regelwerke (BPR/SAA als PDF-Dokumente)
Optional von dir hinterlegte API-Keys für KI-Anbieter (verschlüsselt gespeichert)
Persönliche Einstellungen und Konfigurationen

Diese Daten sind durch dein Login geschützt und nur für dich sowie für berechtigte Administratoren der Plattform zu Verwaltungszwecken zugänglich.

⚠️ Wichtiger Hinweis zu Patientendaten: MedTrain ist ausschließlich für fiktive Trainingsfälle gedacht. Bitte gib keine echten Patientendaten in die Plattform ein. Reale Gesundheitsdaten gelten als besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO und erfordern besondere Schutzmaßnahmen, die in dieser privaten Trainingsumgebung nicht in der erforderlichen Tiefe gewährleistet werden können.

3. Cookies und Sessions

Es werden ausschließlich technisch notwendige Session-Cookies verwendet, um dich nach dem Login eingeloggt zu halten und um Sicherheit gegen Cross-Site-Request-Forgery (CSRF) zu gewährleisten. Es werden keine Tracking-, Werbe- oder Analyse-Cookies eingesetzt. Es findet keine Profilbildung statt.

Rechtsgrundlage: §25 Abs. 2 Nr. 2 TTDSG (technisch notwendige Cookies bedürfen keiner Einwilligung) i.V.m. Art. 6 Abs. 1 lit. f DSGVO.

4. KI-Verarbeitung durch Google Gemini

Für die Generierung von Szenarien, Live-Simulationen, Medikamentenplänen und Arztbriefen werden Eingaben an die Google Gemini API übermittelt. Dies ist der einzige für die KI-Generierung genutzte Drittanbieter.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
(Mutterkonzern: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA)
Datenschutzerklärung: https://policies.google.com/privacy

4.1 Welche Daten werden übermittelt?

An die Google Gemini API werden ausschließlich die für die jeweilige Funktion notwendigen Inhalte übertragen:

Generator: Vom Nutzer ausgewählte Parameter (Leitsymptom, Schwierigkeit, Crew-Type, Qualifikationen, optional Patientenname/Alter — auch fiktiv).
Live-Simulation: Die im aktuellen Szenario eingegebenen Maßnahmen-Beschreibungen sowie der Verlauf der Simulation. Die Namen oder E-Mail-Adressen der Trainees werden NICHT an die KI übermittelt — lediglich die in der Simulation aktiv eingegebenen Texte.
Medikamentenplan / Arztbrief: Diagnose- und Patientendaten des fiktiven Falls.
Referenzdokumente (SAA/BPR): Inhalt eines Admin-hochgeladenen Regelwerks, falls als Quelle ausgewählt.

Trainee-Stammdaten (Name, E-Mail, Trainer-Bewertungen, Login-Verlauf) werden niemals an die Google Gemini API gesendet. Diese verbleiben ausschließlich in der MedTrain-Datenbank beim Hoster All-Inkl.

4.2 Wo werden die Daten verarbeitet?

Die Anfragen werden über den Google AI Studio Endpoint (Free Tier) abgewickelt. Google verarbeitet diese Anfragen weltweit, einschließlich auf Servern in den USA. Eine garantierte EU-Datenresidenz bietet dieser Tier nicht.

Die Datenübermittlung in die USA stützt sich auf folgende rechtliche Grundlagen:

EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, Az. C(2023) 4745). Google LLC ist unter dem Framework zertifiziert.
Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als ergänzende Garantie.
Auftragsverarbeitungsvertrag mit Google nach Art. 28 DSGVO.

4.3 Speicherung bei Google

Bei der Nutzung der unbezahlten Variante (AI Studio Free Tier) kann Google nach eigenen Angaben Anfragen zur Verbesserung seiner Modelle nutzen. Aus diesem Grund werden über MedTrain keine echten Patientendaten verarbeitet — alle Patientenfälle sind fiktiv und ausschließlich für Trainingszwecke generiert.

4.4 Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — die KI-gestützte Generierung ist die Kernfunktion der Plattform und ohne diese Übermittlung nicht möglich. Da die KI-Anfragen Teil der Plattform-Funktionalität sind, kann der Übermittlung nicht widersprochen werden, ohne auf die zentralen Funktionen zu verzichten.

Wer keine US-Datenverarbeitung wünscht, sollte MedTrain nicht nutzen.

5. Hosting

Diese Website wird gehostet bei:

ALL-INKL.COM – Neue Medien Münnich
Inhaber: René Münnich
Hauptstraße 68, 02742 Friedersdorf, Deutschland
Datenschutzhinweise: https://all-inkl.com/datenschutzinformationen/

Mit dem Hoster wurde ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) gemäß Art. 28 DSGVO geschlossen. Die Server stehen ausschließlich in Deutschland.

6. E-Mail-Versand

Für den Versand von System-E-Mails (z.B. Account-Verifikation, Passwort-Reset) wird der SMTP-Dienst des Hosters All-Inkl genutzt. Es findet kein Versand über externe Marketing-Tools wie Mailchimp o.ä. statt. Es wird kein Newsletter angeboten.

7. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist:

Account-Daten: bis zur Löschung deines Accounts auf deinen Wunsch
Erstellte Inhalte (Patientenfälle, Szenarien, Simulationen): bis du sie selbst löschst oder bis zur Account-Löschung
Hochgeladene Regelwerke (PDFs): bis sie vom Administrator entfernt werden
Audit-Log (Sicherheits-Ereignisse): 90 Tage, danach automatische Löschung
Login-Versuche-Protokoll (Brute-Force-Schutz): 24 Stunden, danach automatische Löschung
Server-Logs: 7-14 Tage gemäß Hoster-Richtlinie, danach automatische Löschung
Session-Cookies: bis zum Logout oder nach Inaktivität

8. Deine Rechte als Betroffene:r

Du hast jederzeit folgende Rechte gegenüber mir:

Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
Löschung deiner Daten („Recht auf Vergessenwerden", Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit in einem maschinenlesbaren Format (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig ist der Landesdatenschutzbeauftragte deines Bundeslandes oder der Sitz-Bundeslandes des Verantwortlichen.

Zur Ausübung deiner Rechte genügt eine formlose E-Mail an die im Impressum bzw. unter Punkt 1 angegebene Kontaktadresse. Eine Antwort erfolgt grundsätzlich innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

9. Datensicherheit

Es werden technische und organisatorische Maßnahmen eingesetzt, um deine Daten vor unberechtigtem Zugriff zu schützen:

HTTPS/TLS-Verschlüsselung für alle Verbindungen, mit HSTS-Header (Strict-Transport-Security)
Passwörter ausschließlich als bcrypt-Hash gespeichert
API-Keys und SMTP-Zugangsdaten symmetrisch verschlüsselt in der Datenbank (XSalsa20-Poly1305)
Brute-Force-Bremse beim Login (max. 5 Fehlversuche pro 15 Minuten)
Re-Authentication mit Passwort vor besonders kritischen Aktionen (z.B. User-Löschung)
CSRF-Schutz (Cross-Site-Request-Forgery) für alle formbasierten Aktionen
Content-Security-Policy zur Mitigation von XSS-Angriffen
Session-Management mit zeitlich begrenzten Tokens und HttpOnly+SameSite-Cookies
Audit-Log für sicherheitsrelevante Ereignisse (Logins, Rollen-Änderungen, Daten-Änderungen)
Datei-Uploads außerhalb des Web-Roots mit Magic-Bytes-Validierung
Regelmäßige Sicherheits-Updates der Server-Software durch den Hoster All-Inkl

10. Änderungen dieser Datenschutzerklärung

Ich behalte mir vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen der Plattform-Funktionen umzusetzen. Für deinen erneuten Besuch gilt dann die jeweils aktuelle Version.

Stand: 07.05.2026