← Zur Startseite

Datenschutzerklärung

Stand: 24. Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Vladimir Michel
Bohnebergerring 41
75305 Neuenbürg
Deutschland
E-Mail: info@proxido.com

2. Welche Daten wir erheben

2.1 Kontodaten

Bei der Registrierung erheben wir: E-Mail-Adresse, optional ein Name und ein Passwort. Das Passwort wird nicht im Klartext gespeichert, sondern als bcrypt-Hash mit Cost-Faktor 12. Zusätzlich speichern wir den Verifikationsstatus deiner E-Mail-Adresse.

2.2 Lern- und Übungsdaten

Wenn du Übungsfälle bearbeitest oder die Prüfungssimulation nutzt, speichern wir deinen Fortschritt sowie die Inhalte deiner Übung — insbesondere die Transkripte des Arzt-Patienten-Gesprächs, der Patientenvorstellung, deine Doku-Entwürfe sowie die KI-Bewertung (Punktzahl, Feedbacktext). Diese Daten sind ausschließlich für dich sichtbar und werden zur Wiederaufnahme deiner Übungen und zur Anzeige deiner Bewertung verwendet.

2.3 Sicherheitsbezogene Daten

Zur Abwehr von Brute-Force-Angriffen und Bot-Registrierungen speichern wir pro Login-Versuch einen Eintrag mit Zeitstempel, der verwendeten E-Mail-Adresse (in Kleinschreibung als Schlüssel) und einem gehashten IP-Indikator (sha256(ip + salt)) — die rohe IP-Adresse wird nicht gespeichert. Diese Einträge werden nach spätestens 30 Tagen automatisch gelöscht.

2.4 Technische Daten (Server-Logs)

Beim Zugriff auf die Website werden technische Daten in den Server-Logs unseres Reverse-Proxies erfasst: IP-Adresse, Browsertyp, Betriebssystem, Datum/Uhrzeit und aufgerufene Seiten. Diese Logs werden maximal 30 Tage aufbewahrt und dienen ausschließlich der Systemsicherheit (Fehler-Diagnose, Missbrauchsabwehr).

3. Zweck und Rechtsgrundlage der Verarbeitung

ZweckRechtsgrundlage
Bereitstellung der Plattform, NutzerkontoArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
E-Mail-Verifikation, WiederherstellungArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
KI-Prüfungssimulation, SprachausgabeArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Bot-Schutz (Turnstile, Pwned-Password-Check)Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Server-Logs, Login-AttemptsArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Google Ads (Reichweiten-/Conversion-Messung)Art. 6 Abs. 1 lit. a DSGVO & § 25 Abs. 1 TDDDG (Einwilligung)

4. Eingesetzte Drittanbieter

4.1 MailerSend (E-Mail-Versand)

Für transaktionale E-Mails (Konto-Verifikation, Wiederherstellung, Hinweise zu Anmeldeversuchen) nutzen wir MailerSend (Anbieter: MailerSend Limited, Malta, EU). Übertragen werden E-Mail-Adresse, optional der Name des Empfängers sowie der Inhalt der jeweiligen Nachricht. Datenschutzerklärung: mailersend.com/legal/privacy-policy

4.2 Cloudflare Turnstile (Bot-Schutz)

Zum Schutz des Registrierungsformulars vor automatisierten Zugriffen setzen wir Cloudflare Turnstile (Anbieter: Cloudflare, Inc., USA) ein. Turnstile sammelt Verhaltenssignale deines Browsers (z. B. Mausbewegungen, Hardware-Eigenschaften) und stellt unserem Server ein Bot-Bewertungs-Token bereit. Im Gegensatz zu klassischen Captcha-Lösungen werden keine Cookies gesetzt und keine personalisierten Profile gebildet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Plattformsicherheit). Übermittlung in die USA auf Basis der EU-Standardvertragsklauseln. Datenschutzerklärung: cloudflare.com/de-de/privacypolicy

4.3 Google Gemini (KI-Dialog und Bewertung)

Für die Prüfungssimulation (KI-Patient, KI-Oberarzt und KI-Bewertung) übermitteln wir die Inhalte deines Übungsdialogs an die Gemini-API (Anbieter: Google Ireland Limited / Google LLC, USA). Dabei werden je nach Übung übertragen: dein Übungstext, deine Doku-Entwürfe sowie der Fall-Kontext. Es werden keine Kontodaten (E-Mail, Name) übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework. Google hat gemäß seinen Geschäftsbedingungen zugesichert, API-Daten nicht zum Modelltraining zu verwenden. Datenschutzerklärung: policies.google.com/privacy

4.4 Sprachausgabe (Text-to-Speech)

Für die Sprachausgabe der KI-Patienten- und Oberarzt-Stimmen in der Prüfungssimulation wird je nach Konfiguration einer der folgenden Dienste eingesetzt:

Übermittelt wird der zu sprechende Text (kein Klartext deiner Kontodaten). Sollte der Sprach-Dienst nicht erreichbar sein, fällt der Browser stillschweigend auf die lokale Browser-Sprachausgabe (Web Speech Synthesis API) zurück, bei der keine externe Übertragung stattfindet. Übermittlung in die USA auf Grundlage des EU-US Data Privacy Framework bzw. der EU-Standardvertragsklauseln.

4.5 Have I Been Pwned (Passwort-Sicherheits-Check)

Beim Anlegen oder Ändern eines Passworts prüfen wir mit Have I Been Pwned (Anbieter: Superlative Enterprises Pty Ltd, Australien), ob dein Passwort in bekannten Datenleaks aufgetaucht ist. Aus Datenschutzgründen wird dein Passwort dabei niemals an Have I Been Pwned übertragen: lokal wird ein SHA-1-Hash gebildet, und nur die ersten 5 Zeichen dieses Hashes verlassen unseren Server (k-Anonymität-Verfahren). Der tatsächliche Hash deines Passworts kann daraus nicht rekonstruiert werden. Datenschutzerklärung: haveibeenpwned.com/PrivacyPolicy

4.6 Google Ads (Reichweiten- und Conversion-Messung)

Zur Messung des Erfolgs unserer Werbeanzeigen setzen wir Google Ads mit dem Dienst „Google-Tag" (gtag.js) ein (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Damit können wir nachvollziehen, ob ein Besuch über eine unserer Anzeigen zustande kam und ob anschließend eine gewünschte Aktion (z. B. eine Registrierung) erfolgt ist. Dabei werden Cookies gesetzt und Daten wie deine gekürzte IP-Adresse, Geräte- und Browserinformationen sowie die aufgerufenen Seiten an Google übermittelt; die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework.

Das Google-Tag wird erst geladen, nachdem du im Cookie-Banner aktiv eingewilligt hast. Ohne deine Einwilligung wird kein Google-Script geladen und kein entsprechendes Cookie gesetzt. Rechtsgrundlage ist deine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — über den Link „Cookie-Einstellungen" im Seitenfuß. Datenschutzerklärung: policies.google.com/privacy

5. Hosting und Serverstandort

Die Plattform wird in einem Rechenzentrum innerhalb der Europäischen Union betrieben. Alle Nutzerdaten (Konto, Übungen, Sicherheitsprotokolle) werden ausschließlich auf diesem Server in einer PostgreSQL-Datenbank gespeichert.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

  • Kontodaten: bis zur Löschung des Nutzerkontos.
  • Übungsfortschritt, Prüfungssimulations-Transkripte und Doku-Entwürfe: bis zur Löschung durch dich oder zum Wegfall des Kontos.
  • Verifikations-Tokens: 24 Stunden (technische TTL).
  • Login-Versuche, Rate-Limit-Buckets: maximal 30 Tage.
  • Server-Logs des Reverse-Proxies: maximal 30 Tage.
  • Gesetzliche Aufbewahrungspflichten bleiben unberührt.

7. Deine Rechte

Du hast uns gegenüber folgende Rechte hinsichtlich deiner personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Auskunft über die zu deiner Person gespeicherten Daten.
  • Berichtigungsrecht (Art. 16 DSGVO): Berichtigung unrichtiger Daten.
  • Recht auf Löschung (Art. 17 DSGVO): Löschung deiner Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung in bestimmten Fällen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Bereitstellung deiner Daten in einem maschinenlesbaren Format.
  • Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen.

Zur Ausübung deiner Rechte wende dich per E-Mail an info@proxido.com.

8. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für unseren Sitz ist:

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

9. Cookies und lokale Speicherung

Technisch notwendige Speicher-Mechanismen setzen wir ohne deine Einwilligung ein; Marketing-Cookies (Google Ads) nur, wenn du im Cookie-Banner zugestimmt hast:

  • Auth-Cookie (Session-JWT, HttpOnly, Same-Site): erforderlich, damit du nach dem Login als angemeldeter Nutzer erkannt wirst. Wird beim Logout gelöscht.
  • Turnstile-Cookie: Cloudflare Turnstile setzt beim Bot-Schutz auf der Registrierungsseite kurzzeitig technisch notwendige Anti-Missbrauchs-Daten, jedoch keine Tracking-Cookies.
  • Einwilligungs-Speicher (lokaler Browser-Speicher, Schlüssel gads-consent): speichert technisch notwendig deine Cookie-Entscheidung, damit der Banner nicht bei jedem Besuch erneut erscheint.
  • Google-Ads-Cookies (Marketing): werden nur nach deiner Einwilligung gesetzt und dienen der Reichweiten- und Conversion-Messung (siehe Abschnitt 4.6). Du kannst deine Einwilligung jederzeit über „Cookie-Einstellungen" im Seitenfuß widerrufen.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Plattform oder der Rechtslage anzupassen. Die jeweils aktuelle Version findest du stets unter fspkurs.de/datenschutz.