Datenschutzerklärung
Informationen gemäß Art. 13 und 14 DSGVO für die Nutzung der Reanimations-Simulationsplattform VitalSim (Lern-Patientenmonitor und Reanimationstrainer nach ERC-/GRC-Leitlinien 2025).
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Lernwerkstatt-Pflege GmbH
Liebigstraße 14–16, 35390 Gießen, Deutschland
Vertreten durch den Geschäftsführer: Stephan Ronneburg
Handelsregister: HRB 10528, Amtsgericht Gießen
Telefon: +49 171 2104285
E-Mail: info@lernwerkstatt-pflege.de
2. Zwecke und Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten, um VitalSim als sichere Schulungs- und Simulationsplattform bereitzustellen. Rechtsgrundlagen sind insbesondere:
- Art. 6 Abs. 1 lit. b DSGVO – Erfüllung vertraglicher Schulungs- und Nutzungsbeziehungen (individuelle Benutzerkonten).
- Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an Betriebssicherheit, Missbrauchsabwehr, Audit-Protokollierung administrativer Vorgänge sowie an einer stabilen, performanten Bereitstellung.
- Art. 6 Abs. 1 lit. c DSGVO – Erfüllung gesetzlicher Pflichten (z. B. handels- und steuerrechtliche Aufbewahrung).
- Art. 6 Abs. 1 lit. a DSGVO – soweit Sie ausdrücklich einwilligen.
3. Kategorien personenbezogener Daten
- Kontodaten: bei individuellen Konten E-Mail-Adresse, Anzeigename, gesetzte Rolle (Trainee, Pflegepädagog:in, Admin) sowie Freigabestatus.
- Authentifizierungsdaten: verschlüsselt gespeicherte Passwort-Hashes, Sitzungstoken (Access-/Refresh-Token im Local Storage des Browsers zur Sitzungsverwaltung).
- Schnellzugangs-Sammelkonten: die Sammelkonten „Trainee" und „Pflegepädagog:in" werden ohne persönliche E-Mail-Adresse genutzt und sind keiner einzelnen natürlichen Person zugeordnet. Beim Login über diese Konten verarbeiten wir keine personenbezogenen Stammdaten.
- Simulationsdaten: Szenarien, eingestellte Vitalwerte, EKG-Rhythmen, Defibrillations- und Medikamentenereignisse, CPR-Zyklen, Debrief-Notizen sowie Ereignis-Zeitlinien einer laufenden Übung.
- Admin-Audit-Log: sicherheitsrelevante administrative Aktionen (z. B. Anlegen/Löschen von Konten, Rollenänderungen, Passwort-Resets, Änderung von Schnellzugangs-Passwörtern und Handbuch-Texten) werden zur Nachvollziehbarkeit mit Zeitstempel und ausführendem Konto protokolliert.
- Nutzungs- und Server-Logdaten:technische Protokolldaten (z. B. IP-Adresse, Zeitstempel, User-Agent, abgerufene Ressourcen) zur Gewährleistung von Sicherheit und Verfügbarkeit gemäß Art. 32 DSGVO.
4. Echtzeit-Übertragung (Realtime)
Damit Steuerungs- und Monitor-Ansicht synchron bleiben, baut VitalSim eine permanente WebSocket-Verbindung zur Datenbank-Infrastruktur auf. Übertragen werden ausschließlich Simulationszustände (Vitalwerte, Rhythmen, Ereignisse) – keine Audio- oder Videoaufzeichnungen, keine biometrischen Daten realer Patient:innen.
5. Cookies und lokale Speicherung
VitalSim setzt keine Tracking- oder Marketing-Cookies. Für die Sitzungsverwaltung werden ausschließlich technisch notwendige Einträge im Local Storage des Browsers gesetzt (Auth-Tokens). Diese Verarbeitung ist nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei, da sie zur Bereitstellung des ausdrücklich gewünschten Dienstes erforderlich ist.
6. Empfänger und Auftragsverarbeitung
Zur Bereitstellung der Plattform setzen wir folgende Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein, mit denen entsprechende Verträge bestehen:
- Datenbank und Authentifizierung:Supabase (gehostet in der EU, Frankfurt/AWS) – Speicherung der Konto-, Simulations- und Audit-Daten, verschlüsselt im Ruhezustand.
- Hosting und Edge-Auslieferung:Cloudflare Workers – Auslieferung der Anwendung und serverseitige Funktionen über ein global verteiltes Edge-Netz; Verbindungen sind TLS-verschlüsselt.
Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet nur statt, wenn ein angemessenes Datenschutzniveau im Sinne von Art. 44 ff. DSGVO sichergestellt ist (z. B. EU-Standardvertragsklauseln).
7. Speicherdauer
Personenbezogene Konto- und Simulationsdaten werden gelöscht, sobald der Zweck entfällt oder das Konto gelöscht wird, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Einträge im Admin-Audit-Log werden zu Sicherheits- und Nachweiszwecken in der Regel 12 Monate aufbewahrt und anschließend gelöscht. Technische Server-Logs werden nach maximal 30 Tagen anonymisiert oder gelöscht.
8. Rechte der betroffenen Personen
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerruf erteilter Einwilligungen (Art. 7 Abs. 3), Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21) sowie Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).
9. Beschwerderecht bei der Aufsichtsbehörde
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
Telefon: +49 611 1408-0
E-Mail: poststelle@datenschutz.hessen.de
Web: https://datenschutz.hessen.de
10. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt. VitalSim verarbeitet keine Daten realer Patient:innen.
11. Technische und organisatorische Maßnahmen
Wir setzen u. a. ein Rollen- und Berechtigungskonzept (Trainee, Pflegepädagog:in, Admin) mit Row-Level-Security in der Datenbank, TLS-Verschlüsselung sämtlicher Verbindungen, sichere Passwort-Hashing-Verfahren, Protokollierung administrativer Aktionen sowie regelmäßige Updates und Sicherheits-Scans ein (Art. 32 DSGVO).
12. Kontakt Datenschutz
Lernwerkstatt-Pflege GmbH, Liebigstraße 14–16, 35390 Gießen
Telefon: +49 171 2104285
E-Mail: info@lernwerkstatt-pflege.de