Datenschutzerklärung

Privacy Policy - MedicXam

Datenschutzerklärung (Privacy Policy)

MedicXam – Medizinische Wissensplattform

Stand: 25. März 2026
Version: 2.2

1. Verantwortlicher für die Datenverarbeitung

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) ist:

Dr. Wolfgang Kuch
Am Mühlbach 9
7201 Neudörfl
Österreich

E-Mail: [email protected]
Telefon: +43 720 072 706

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der Plattform MedicXam (erreichbar unter der jeweiligen Domain) und informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten. Die Datenschutzerklärung gilt für alle Nutzerinnen und Nutzer der Plattform, unabhängig davon, ob Sie registriert sind oder die Plattform als Gast besuchen.

3. Grundsätze der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten nach folgenden Grundsätzen gemäß Art. 5 DSGVO:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Ihre Daten werden nur auf rechtlicher Grundlage und transparent verarbeitet
  • Zweckbindung: Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben
  • Datenminimierung: Es werden nur die für den jeweiligen Zweck notwendigen Daten erhoben
  • Richtigkeit: Wir bemühen uns, Ihre Daten aktuell und korrekt zu halten
  • Speicherbegrenzung: Daten werden nur so lange gespeichert, wie es für den Zweck erforderlich ist
  • Integrität und Vertraulichkeit: Ihre Daten werden durch technische und organisatorische Maßnahmen geschützt

4. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:

4.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung Ihrer Daten ist erforderlich zur Erfüllung des Nutzungsvertrags, den Sie durch die Registrierung und Nutzung der Plattform mit uns eingehen. Dies umfasst insbesondere die Bereitstellung der Quiz-Funktionen, Speicherung Ihres Lernfortschritts und Verwaltung Ihres Nutzerkontos.

4.2 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Für bestimmte Verarbeitungen (z.B. Cookies, Newsletter falls zukünftig implementiert) holen wir Ihre ausdrückliche Einwilligung ein. Diese können Sie jederzeit widerrufen.

4.3 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

In bestimmten Fällen sind wir gesetzlich verpflichtet, Daten zu speichern (z.B. steuerrechtliche Aufbewahrungsfristen bei kostenpflichtigen Angeboten).

4.4 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Zur Gewährleistung der IT-Sicherheit, Fehleranalyse und Verbesserung der Plattform verarbeiten wir bestimmte Daten auf Basis unseres berechtigten Interesses.

5. Erhobene Daten und Verarbeitungszwecke

5.1 Registrierung und Authentifizierung

Die Plattform verwendet ein eigenes Authentifizierungssystem mit E-Mail/Passwort-Login sowie optionaler Anmeldung über Google OAuth. Es wird kein Manus-OAuth oder Apple-Login verwendet.

Erhobene Daten:

  • Name
  • E-Mail-Adresse
  • Passwort-Hash (bcrypt, nie im Klartext gespeichert) — nur bei E-Mail/Passwort-Registrierung
  • Login-Methode (local / google)
  • Zeitstempel der Registrierung und letzten Anmeldung
  • E-Mail-Verifizierungsstatus

Zweck der Verarbeitung:

  • Eindeutige Identifikation Ihres Nutzerkontos
  • Authentifizierung bei der Anmeldung
  • Kommunikation mit Ihnen (z.B. bei Rückfragen oder wichtigen Änderungen)
  • Verwaltung von Zugriffsrechten (Nutzer, Reviewer, Admin)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Bis zur Löschung Ihres Nutzerkontos plus 30 Tage für Backup-Zwecke

5.2 Quiz- und Lerndaten

Erhobene Daten:

  • Quiz-Sitzungen (Kategorie, Anzahl Fragen, Modus, Zeitstempel)
  • Antworten auf Quiz-Fragen (richtig/falsch, gewählte Antwort, Zeitstempel)
  • Lernfortschritt und Statistiken (Erfolgsquote, Spaced-Repetition-Daten)
  • Lesezeichen und gespeicherte Fragen

Zweck der Verarbeitung:

  • Bereitstellung der Quiz-Funktionalität
  • Speicherung Ihres Lernfortschritts
  • Spaced-Repetition-Algorithmus (Wiederholung falsch beantworteter Fragen)
  • Statistische Auswertung Ihrer Lernleistung
  • Verbesserung der Fragenqualität durch Analyse von Antwortmustern

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Bis zur Löschung Ihres Nutzerkontos plus 30 Tage für Backup-Zwecke

5.3 KI-generierte Inhalte und LLM-Nutzung (OpenRouter)

Erhobene Daten:

  • Anfragen an KI-Systeme (Fragengenerierung, DocNavi-Anfragen, Lernen+ Rückfragen, Fallbeispiele)
  • Generierte Inhalte und Antworten
  • Nutzungsstatistiken (Anzahl Anfragen, Token-Verbrauch, Zeitstempel)
  • Retrieval-Augmented Generation (RAG): Abgerufene Leitlinien-Chunks (Text-Abschnitte aus medizinischen Leitlinien)
  • Chat-Verläufe (letzte 10 Nachrichten für Kontext-Erhaltung bei DocNavi)

Verwendete KI-Anbieter:

  • OpenRouter (API-Gateway): Alle KI-Anfragen werden über OpenRouter geleitet, das als einheitliche Schnittstelle zu verschiedenen Modellen dient
  • Modelle (über OpenRouter): openai/gpt-oss-120b (Fragengenerierung, DocNavi, Lernen+), openai/text-embedding-3-small (Vektorisierung/Embeddings), meta-llama/llama-guard-2-8b (Prompt-Sicherheit)

Zero Data Retention: OpenRouter verarbeitet Anfragen ausschließlich im Arbeitsspeicher. Es erfolgt keine Speicherung, keine Protokollierung und kein Training der KI-Modelle mit Ihren Daten. OpenRouter hat eine Zero Data Retention Policy für alle API-Anfragen.

Zweck der Verarbeitung:

  • Generierung von Quiz-Fragen basierend auf medizinischen Leitlinien
  • Bereitstellung der DocNavi-Funktion (leitlinienbasierte Suchmaschine)
  • Lernen+ Rückfragen (Follow-Up-Fragen zu Erklärungen)
  • Fallbeispiel-Generierung und -Feedback
  • RAG-System: Semantische Suche in Leitlinien-Datenbank zur Vermeidung von Halluzinationen
  • Vektorisierung von Texten (Embeddings) für Similarity Search
  • Kostenüberwachung und Optimierung der KI-Nutzung
  • Qualitätssicherung der generierten Inhalte
  • Prompt-Sicherheit (Erkennung von Prompt-Injection, Jailbreaks, Manipulation)

Technische Funktionsweise (RAG):

  1. User-Anfrage wird in einen mathematischen Vektor umgewandelt (Embedding)
  2. Similarity Search in Vektordatenbank (TiDB Cloud) findet relevante Leitlinien-Chunks
  3. Top-50 ähnlichste Chunks werden an das LLM gesendet (zusammen mit System-Prompt und User-Frage)
  4. LLM generiert Antwort basierend auf den bereitgestellten Chunks (keine Halluzinationen)
  5. Antwort enthält Citations ([CHUNK-ID]), die zu Quellen-Links konvertiert werden

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Qualitätssicherung und IT-Sicherheit)

Speicherdauer:

  • Generierte Fragen: Dauerhaft (anonymisiert, ohne Nutzerbezug)
  • Nutzungsstatistiken: 12 Monate
  • Chat-Verläufe (DocNavi): Bis zur Löschung durch Nutzer oder Account-Löschung plus 30 Tage
  • RAG-Retrieval-Logs: 30 Tage (für Fehleranalyse)
  • Embeddings (Vektoren): Dauerhaft (für Similarity Search)

Datenübermittlung an Drittländer:

  • OpenRouter: Server in den USA, Standardvertragsklauseln gemäß Art. 46 DSGVO
  • Garantien: OpenRouter hat Auftragsverarbeitungsverträge (Data Processing Agreements) abgeschlossen und verpflichtet sich zur Einhaltung der DSGVO

Wichtiger Hinweis: Ihre Anfragen werden über OpenRouter an KI-Modelle übermittelt. OpenRouter verwendet Ihre Daten nicht für das Training von Modellen und speichert keine Anfragen (Zero Data Retention). Weitere Informationen: OpenRouter Privacy Policy

5.4 Technische Daten und Cookies

Erhobene Daten:

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Browser-Typ und Version
  • Betriebssystem
  • Referrer-URL (von welcher Seite Sie kamen)
  • Zeitstempel des Zugriffs
  • Session-Cookie zur Authentifizierung

Zweck der Verarbeitung:

  • Bereitstellung der Plattform und technische Funktionalität
  • Sicherstellung der IT-Sicherheit und Erkennung von Missbrauch
  • Fehleranalyse und technische Optimierung
  • Session-Management (Anmeldung aufrechterhalten)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Funktionalität)

Speicherdauer:

  • Session-Cookie: Bis zum Abmelden oder Schließen des Browsers
  • Server-Logs: 30 Tage
  • Anonymisierte IP-Adressen: 90 Tage

Cookie-Hinweis: Wir verwenden ausschließlich technisch notwendige Cookies zur Authentifizierung. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Weitere Informationen finden Sie in unserem Cookie-Banner.

5.5 Kontaktformular und Support-Anfragen

Erhobene Daten:

  • Name
  • E-Mail-Adresse
  • Nachrichteninhalt
  • Zeitstempel der Anfrage

Zweck der Verarbeitung:

  • Beantwortung Ihrer Anfragen
  • Technischer Support
  • Verbesserung der Plattform basierend auf Nutzer-Feedback

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenkommunikation) bzw. Art. 6 Abs. 1 lit. b DSGVO bei Support-Anfragen

Speicherdauer: 24 Monate nach Abschluss der Kommunikation

5.6 Zustimmung zu Nutzungsbedingungen (Terms of Service)

Erhobene Daten:

  • Zeitstempel der Zustimmung
  • Akzeptierte Version der Nutzungsbedingungen
  • IP-Adresse zum Zeitpunkt der Zustimmung (anonymisiert nach 7 Tagen)

Zweck der Verarbeitung:

  • Nachweis der Zustimmung zu den Nutzungsbedingungen
  • Rechtliche Absicherung
  • Benachrichtigung bei Änderungen der Nutzungsbedingungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Speicherdauer: Dauer der Nutzung plus 3 Jahre nach Account-Löschung (Verjährungsfrist)

5.7 User-Dokument-Uploads (DocNavi)

Erhobene Daten:

  • Hochgeladene PDF-Dokumente (medizinische Leitlinien, Fachliteratur, persönliche Notizen)
  • Dateiname, Dateigröße, MIME-Type, Upload-Zeitstempel
  • Extrahierter Text aus PDF (via minerU-Tool)
  • Generierte Chunks (Text-Abschnitte) mit Metadaten (Kapitel, Seite, Chunk-ID)
  • Vektorisierte Embeddings (mathematische Repräsentationen für Similarity Search)
  • S3-Speicherpfad und öffentliche URL

Zweck der Verarbeitung:

  • Erweiterung der DocNavi-Funktion um persönliche Dokumente
  • Semantische Suche in hochgeladenen Dokumenten (RAG-System)
  • Zitierung hochgeladener Dokumente in DocNavi-Antworten
  • Speicherung und Verwaltung Ihrer Dokumente
  • Sicherheitsüberprüfung (Malware-Scan, Prompt-Injection-Erkennung)

Technische Verarbeitung:

  1. Upload: Datei wird auf AWS S3 gespeichert (verschlüsselt)
  2. Extraktion: Text wird aus PDF extrahiert (minerU-Tool)
  3. Chunking: Text wird in sinnvolle Abschnitte unterteilt (Kapitel, Absatz)
  4. Vektorisierung: Chunks werden in mathematische Vektoren umgewandelt (OpenRouter / text-embedding-3-small)
  5. Speicherung: Chunks und Vektoren werden in TiDB Cloud Vektordatenbank gespeichert
  6. Retrieval: Bei DocNavi-Anfragen werden relevante Chunks aus Ihren Dokumenten abgerufen

Sicherheitsüberprüfung:

  • Dateigrößen-Limit: 16 MB (verhindert Missbrauch)
  • MIME-Type-Validierung: Nur PDF-Dateien erlaubt
  • Malware-Scan: Automatische Überprüfung auf Schadcode (geplant)
  • Prompt-Injection-Erkennung: Chunks werden auf verderbliche Inhalte geprüft (geplant)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit)

Speicherdauer:

  • Original-PDF: Bis zur manuellen Löschung durch Nutzer oder Account-Löschung plus 30 Tage
  • Extrahierter Text und Chunks: Bis zur manuellen Löschung durch Nutzer oder Account-Löschung plus 30 Tage
  • Embeddings (Vektoren): Bis zur manuellen Löschung durch Nutzer oder Account-Löschung plus 30 Tage
  • S3-Backup: 30 Tage nach Löschung

Wichtiger Hinweis: Ihre hochgeladenen Dokumente sind privat und nur für Sie sichtbar. Sie werden nicht mit anderen Nutzern geteilt oder für das Training von KI-Modellen verwendet. Die Dokumente werden ausschließlich für Ihre persönliche DocNavi-Nutzung verarbeitet.

5.8 Cloud-Speicherung (AWS S3)

Erhobene Daten:

  • User-Dokumente (PDF-Dateien)
  • Datei-Metadaten (Dateiname, Größe, Upload-Zeitstempel, S3-Pfad)
  • Öffentliche URLs (für Zugriff auf hochgeladene Dateien)

Zweck der Verarbeitung:

  • Persistente Speicherung hochgeladener Dokumente
  • Bereitstellung von Download-Links
  • Backup und Wiederherstellung

Verwendeter Dienstleister:

  • Amazon Web Services (AWS S3): Cloud-Speicher in der EU-Region (Frankfurt)
  • Standort: Deutschland (eu-central-1)
  • Verschlüsselung: AES-256 (Server-Side Encryption)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Speicherung)

Speicherdauer: Bis zur manuellen Löschung durch Nutzer oder Account-Löschung plus 30 Tage (Backup-Retention)

Datenübermittlung: Keine Übermittlung in Drittländer (Server in Deutschland). AWS hat einen Auftragsverarbeitungsvertrag (Data Processing Agreement) gemäß Art. 28 DSGVO abgeschlossen.

6. Empfänger und Weitergabe von Daten

6.1 Keine Weitergabe an Dritte

Wir geben Ihre personenbezogenen Daten nicht an Dritte weiter, außer:

  • Es besteht eine gesetzliche Verpflichtung (z.B. behördliche Anordnung)
  • Sie haben ausdrücklich eingewilligt
  • Es ist zur Vertragserfüllung erforderlich (siehe 6.2)

6.2 Auftragsverarbeiter

Zur Bereitstellung der Plattform nutzen wir folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO:

Manus Platform (Hosting, Infrastruktur):

  • Zweck: Hosting der Plattform, Bereitstellung der Web-Infrastruktur
  • Standort: USA / EU (Serverstandort gemäß Manus-Infrastruktur)
  • Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung)
  • Datenschutzerklärung: Manus Privacy Policy
  • Hinweis: Die Authentifizierung erfolgt über das eigene Auth-System der Plattform, nicht über Manus-OAuth

Google LLC (Google OAuth, optionaler Login):

  • Zweck: Optionale Anmeldung über Google-Konto (falls genutzt)
  • Erhobene Daten: Name, E-Mail-Adresse, Google-Nutzer-ID
  • Standort: USA (Server in den USA)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung des Google-Logins), Art. 46 DSGVO (Standardvertragsklauseln)
  • Datenschutzerklärung: Google Privacy Policy
  • Hinweis: Google OAuth ist optional — bei Registrierung mit E-Mail/Passwort werden keine Daten an Google übermittelt

TiDB Cloud / PingCAP (Datenbank, Vektorsuche):

  • Zweck: Speicherung von Nutzerdaten, Quiz-Daten, Lernfortschritt, Leitlinien-Chunks, Embeddings (Vektoren)
  • Standort: EU-Region (Frankfurt, Deutschland)
  • Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung)
  • Datenschutzerklärung: TiDB Cloud Privacy Policy

OpenRouter Inc. (KI-Modelle, API-Gateway):

  • Zweck: Fragengenerierung, DocNavi-Antworten, Lernen+ Rückfragen, Vektorisierung (Embeddings), Prompt-Sicherheit
  • Modelle: openai/gpt-oss-120b, openai/text-embedding-3-small, meta-llama/llama-guard-2-8b
  • Standort: USA (Server in den USA)
  • Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung), Art. 46 DSGVO (Standardvertragsklauseln)
  • Datenschutzerklärung: OpenRouter Privacy Policy
  • Garantien: Data Processing Agreement (DPA), Zero Data Retention (keine Speicherung, keine Protokollierung, kein Modell-Training)

Amazon Web Services (AWS S3) (Cloud-Speicher):

  • Zweck: Speicherung hochgeladener User-Dokumente (PDFs)
  • Standort: Deutschland (eu-central-1, Frankfurt)
  • Verschlüsselung: AES-256 (Server-Side Encryption)
  • Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung)
  • Datenschutzerklärung: AWS Privacy Notice
  • Garantien: Data Processing Agreement (DPA), DSGVO-konform

Mit allen Auftragsverarbeitern wurden Verträge gemäß Art. 28 DSGVO abgeschlossen, die die Einhaltung der Datenschutzbestimmungen sicherstellen.

6.3 Datenübermittlung in Drittländer (USA)

OpenRouter (USA):

Ihre Anfragen an KI-Systeme (Fragengenerierung, DocNavi, Lernen+ Rückfragen) werden über OpenRouter an KI-Modelle in den USA übermittelt. Dies erfolgt auf Grundlage von:

  • Standardvertragsklauseln (Art. 46 DSGVO): OpenRouter hat Standardvertragsklauseln abgeschlossen, die ein angemessenes Datenschutzniveau gewährleisten
  • Data Processing Agreement (DPA): Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO
  • Zero Data Retention: Ihre Daten werden nicht gespeichert, nicht protokolliert und nicht für das Training von KI-Modellen verwendet
  • Verschlüsselung: Alle Datenübertragungen erfolgen verschlüsselt (TLS 1.3)

Risiken: Die Übermittlung in die USA birgt theoretische Risiken (z.B. Zugriff durch US-Behörden gemäß FISA 702, Executive Order 12333). Wir haben jedoch technische und organisatorische Maßnahmen getroffen, um diese Risiken zu minimieren (Verschlüsselung, Zero Data Retention, Standardvertragsklauseln).

AWS S3 (Deutschland):

User-Dokumente werden ausschließlich auf AWS-Servern in Deutschland (Frankfurt, eu-central-1) gespeichert. Es erfolgt keine Übermittlung in Drittländer.

7. Ihre Rechte als betroffene Person

Gemäß DSGVO haben Sie folgende Rechte bezüglich Ihrer personenbezogenen Daten:

7.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, jederzeit Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten. Dies umfasst:

  • Welche Daten wir über Sie speichern
  • Zu welchen Zwecken diese verarbeitet werden
  • An wen diese Daten weitergegeben wurden
  • Wie lange diese gespeichert werden

So machen Sie Ihr Recht geltend: Senden Sie eine E-Mail an [email protected] mit dem Betreff "Auskunftsanfrage DSGVO".

7.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

So machen Sie Ihr Recht geltend: Kontaktieren Sie uns per E-Mail an [email protected] oder korrigieren Sie Ihre Daten direkt in Ihren Account-Einstellungen (falls verfügbar).

7.3 Recht auf Löschung / "Recht auf Vergessenwerden" (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn:

  • Die Daten für die Zwecke nicht mehr notwendig sind
  • Sie Ihre Einwilligung widerrufen haben
  • Sie Widerspruch gegen die Verarbeitung eingelegt haben
  • Die Daten unrechtmäßig verarbeitet wurden
  • Eine rechtliche Verpflichtung zur Löschung besteht

Einschränkungen: Das Löschrecht besteht nicht, wenn die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen oder zur Geltendmachung von Rechtsansprüchen erforderlich ist.

So machen Sie Ihr Recht geltend: Senden Sie eine E-Mail an [email protected] mit dem Betreff "Löschung meiner Daten". Wir löschen Ihre Daten innerhalb von 30 Tagen.

7.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn:

  • Sie die Richtigkeit der Daten bestreiten
  • Die Verarbeitung unrechtmäßig ist, Sie aber keine Löschung wünschen
  • Wir die Daten nicht mehr benötigen, Sie diese aber zur Geltendmachung von Rechtsansprüchen benötigen
  • Sie Widerspruch eingelegt haben und noch nicht feststeht, ob unsere Interessen überwiegen

7.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

So machen Sie Ihr Recht geltend: Kontaktieren Sie uns per E-Mail an [email protected]. Wir stellen Ihnen Ihre Daten im JSON-Format zur Verfügung.

7.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.

7.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

7.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Zuständige Aufsichtsbehörde in Österreich:

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Österreich

Telefon: +43 1 52 152-0
E-Mail: [email protected]
Website: https://www.dsb.gv.at

8. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen.

8.1 Technische Maßnahmen

  • Verschlüsselung: Alle Datenübertragungen erfolgen über HTTPS (TLS 1.3), S3-Speicherung mit AES-256
  • Zugriffskontrolle: Passwortgeschützte Nutzerkonten (bcrypt-Hashing), Session-Cookies (HttpOnly, Secure, SameSite=Strict), optionaler Google OAuth-Login
  • Datenbank-Sicherheit: Verschlüsselte Datenbank-Verbindungen, regelmäßige Backups (TiDB Cloud)
  • Firewall und Netzwerksicherheit: Schutz vor unbefugtem Zugriff, DDoS-Schutz
  • Regelmäßige Updates: Sicherheitsupdates für alle Systemkomponenten
  • Prompt-Sicherheit (KI-Schutz):
    • Zwei-Schicht-Architektur: promptGuardian (Basis-Validierung) + promptGuard (erweiterte Analyse)
    • Pattern-basierte Injection-Erkennung: Regex-basierte Erkennung von Prompt-Injection-Versuchen
    • Eingabe-Sanitization: Entfernung verderblicher Zeichen, Whitespace-Normalisierung
    • Längenbeschränkung: Maximale Eingabelänge 10.000 Zeichen (verhindert Überlastung)
    • Kategorisierung verderblicher Eingaben: Injection, Jailbreak, Off-Topic, Manipulation
    • Admin-Benachrichtigung: Automatische Benachrichtigung bei verderblichen Eingaben
    • Llama Guard 2 (via OpenRouter): KI-basierte Prompt-Injection-Erkennung (99,5% Genauigkeit, mehrsprachig)
    • Medizinische Sicherheitsrichtlinien: Anti-Halluzination, Fakten-Genauigkeit, Leitlinien-Treue
    • System-Prompt-Integrity: Automatische Anhängung von Sicherheitsrichtlinien an alle LLM-Prompts

8.2 Organisatorische Maßnahmen

  • Zugriffsbeschränkung: Nur autorisierte Personen haben Zugriff auf personenbezogene Daten
  • Vertraulichkeitsverpflichtung: Alle Mitarbeiter sind zur Vertraulichkeit verpflichtet
  • Datenschutz-Folgenabschätzung: Regelmäßige Überprüfung der Datenverarbeitung
  • Incident Response: Verfahren zur Meldung und Behebung von Datenschutzverletzungen

8.3 Datenschutzverletzungen

Im Falle einer Datenschutzverletzung werden wir:

  • Die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren (Art. 33 DSGVO)
  • Betroffene Nutzer unverzüglich benachrichtigen, wenn ein hohes Risiko für ihre Rechte besteht (Art. 34 DSGVO)
  • Maßnahmen zur Schadensbegrenzung ergreifen

9. Speicherdauer und Löschung

9.1 Allgemeine Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.

9.2 Speicherfristen im Detail

| Datenart | Speicherdauer | Rechtsgrundlage | |----------|---------------|-----------------| | Registrierungsdaten | Bis Account-Löschung + 30 Tage | Vertragserfüllung | | Quiz- und Lerndaten | Bis Account-Löschung + 30 Tage | Vertragserfüllung | | Chat-Verläufe | Bis Löschung durch Nutzer oder Account-Löschung + 30 Tage | Vertragserfüllung | | Kontaktanfragen | 24 Monate nach Abschluss | Berechtigtes Interesse | | ToS-Zustimmung | Bis Account-Löschung + 3 Jahre | Rechtliche Verpflichtung | | Server-Logs | 30 Tage | Berechtigtes Interesse (IT-Sicherheit) | | Session-Cookies | Bis Abmeldung oder Browser-Schließung | Technische Notwendigkeit |

9.3 Löschung nach Account-Löschung

Nach Löschung Ihres Nutzerkontos werden Ihre personenbezogenen Daten wie folgt behandelt:

  • Sofortige Löschung: Ihr Konto wird deaktiviert und ist nicht mehr zugänglich
  • 30-Tage-Frist: Ihre Daten verbleiben 30 Tage in Backups zur Wiederherstellung bei versehentlicher Löschung
  • Endgültige Löschung: Nach 30 Tagen werden alle personenbezogenen Daten unwiderruflich gelöscht
  • Anonymisierung: Statistische Daten (z.B. Antwortmuster bei Fragen) werden anonymisiert und ohne Personenbezug aufbewahrt

Ausnahme: ToS-Zustimmungsdaten werden 3 Jahre aufbewahrt (Verjährungsfrist für rechtliche Ansprüche).

10. Minderjährige

Die Plattform richtet sich an Erwachsene (Mindestalter 18 Jahre) in medizinischer Ausbildung. Wir verarbeiten wissentlich keine Daten von Personen unter 18 Jahren. Sollten wir feststellen, dass wir versehentlich Daten von Minderjährigen erhoben haben, werden diese unverzüglich gelöscht.

11. Automatisierte Entscheidungsfindung und Profiling

11.1 Spaced-Repetition-Algorithmus

Wir setzen einen automatisierten Algorithmus ein, um Ihnen Fragen zur Wiederholung vorzuschlagen (Spaced Repetition). Dieser Algorithmus analysiert Ihre Antworthistorie und berechnet optimale Wiederholungszeitpunkte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung - Kernfunktion der Plattform)

Keine nachteiligen Folgen: Diese automatisierte Verarbeitung hat keine rechtlichen oder ähnlich erheblichen Auswirkungen auf Sie. Sie dient ausschließlich der Verbesserung Ihres Lernerfolgs.

11.2 Kein Profiling für Werbezwecke

Wir erstellen keine Profile für Werbe- oder Marketingzwecke. Es erfolgt keine Analyse Ihres Verhaltens für kommerzielle Zwecke außerhalb der Plattform.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienstleistungen anzupassen.

Benachrichtigung bei Änderungen:

  • Wesentliche Änderungen werden Ihnen per E-Mail mitgeteilt (sofern E-Mail-Adresse hinterlegt)
  • Die aktuelle Version ist stets unter /datenschutz abrufbar
  • Das Datum der letzten Aktualisierung finden Sie am Anfang dieses Dokuments

Ihre Rechte bei Änderungen:

  • Sie können der geänderten Datenschutzerklärung widersprechen
  • Im Falle des Widerspruchs müssen wir die Nutzung Ihres Accounts beenden

13. Kontakt und Fragen

Bei Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder bei Beschwerden kontaktieren Sie uns bitte:

E-Mail: [email protected]
Postanschrift:
Dr. Wolfgang Kuch
Am Mühlbach 9
7201 Neudörfl
Österreich

Antwortzeit: Wir bemühen uns, Ihre Anfrage innerhalb von 14 Tagen zu beantworten. Bei komplexen Anfragen kann die Frist auf maximal 3 Monate verlängert werden (Art. 12 Abs. 3 DSGVO).

14. Salvatorische Klausel

Sollten einzelne Bestimmungen dieser Datenschutzerklärung unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.

Letzte Aktualisierung: 24. Dezember 2025
Version: 1.0
Verantwortlicher: Dr. Wolfgang Kuch

Bei Fragen zum Datenschutz kontaktieren Sie uns über [email protected].

Aufsichtsbehörde: Österreichische Datenschutzbehörde

Cookie-Hinweis

medicxam.eu verwendet ausschließlich einen technisch notwendigen Session-Cookie (app_session_id) für die sichere Benutzeranmeldung. Ohne diesen Cookie ist eine Anmeldung nicht möglich. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Eine Einwilligung ist für technisch notwendige Cookies gemäß § 165 Abs. 3 TKG 2021 nicht erforderlich. Datenschutzerklärung