UNIVERSITÄTSMEDIZIN Mainz

Datenschutzerklärung SimUM

Stand: Juni 2026 – Version 1.1. Dieses Dokument muss vor dem offiziellen Betrieb durch die/den Datenschutzbeauftragte/n der UM Mainz geprüft und freigegeben werden.

Diese Datenschutzerklärung gilt für beide Bereiche des SimUM-Portals:
TeilnehmerportalInstruktoren- & Verwaltungsportal

1. Verantwortliche Stelle

Universitätsmedizin der Johannes Gutenberg-Universität Mainz
Simulationszentrum (Klinik für Anästhesiologie)
Langenbeckstraße 1, 55131 Mainz
Telefon: +49 (0) 6131 17-0
E-Mail: simulationszentrum@unimedizin-mainz.de

Die Universitätsmedizin der Johannes Gutenberg-Universität Mainz ist eine Körperschaft des öffentlichen Rechts.

2. Datenschutzbeauftragte/r

Universitätsmedizin Mainz – Datenschutzbeauftragte/r
Langenbeckstraße 1, 55131 Mainz
Telefon: +49 (0) 6131 17-4652
E-Mail: datenschutz@unimedizin-mainz.de
Web: www.unimedizin-mainz.de/datenschutzbeauftragter

3. Geltungsbereich

Diese Datenschutzerklärung gilt für das webbasierte Kursmanagementportal SimUM des Simulationszentrums der Universitätsmedizin Mainz, erreichbar unter:

Das Portal umfasst ein Teilnehmerportal (Buchung von Fortbildungskursen, Rechnungen, Zertifikate) und ein Instruktoren- & Verwaltungsportal (Kursverwaltung, Einsatzbuchung, Honorarabrechnung).

4. Verarbeitete Daten

4.1 Teilnehmerportal

Stammdaten (Name, E-Mail, Telefon, Adresse, Berufsgruppe, Kategorie), berufliche Identifikationsnummern (EFN freiwillig, Personalnr. freiwillig), Buchungs- und Veranstaltungsdaten, Rechnungs- und Zahlungsdaten (keine Kreditkarten / Bankdaten gespeichert), Zertifikatsdaten, Messenger-Kommunikation, technische Nutzungsdaten (IP max. 30 Tage, Session-Tokens kurzlebig).

4.2 Instruktoren- & Verwaltungsportal

Stamm- und Kontaktdaten, Rolle & Modalität (KFA intern / KFA intern Honorar / SIM intern / extern), Qualifikationen mit Ablaufdaten, Einsatzbuchungen und -status, Honorar- und Abrechnungsdaten (nur für Administratoren sichtbar), Hiwi-Stunden, Registrierungsdaten und Einwilligungen, interne Nachrichten (Messenger), technische Nutzungsdaten.

5. Rechtsgrundlagen

ZweckRechtsgrundlage
Registrierung, Buchung, KursverwaltungArt. 6 Abs. 1 lit. b DSGVO
Rechnungsstellung und steuerliche AufbewahrungArt. 6 Abs. 1 lit. c DSGVO (§§ 238, 257 HGB, § 147 AO)
Honorarabrechnung Beschäftigte UM§ 26 BDSG i. V. m. Art. 88 DSGVO
IT-Sicherheit (IP-Logs)Art. 6 Abs. 1 lit. f DSGVO
Betriebsplanung / StatistikArt. 6 Abs. 1 lit. f DSGVO
EFN-Verarbeitung / Wartelisten-BenachrichtigungArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Statistik & Auswertung: Um unsere Kurse sinnvoll zu planen, die Auslastung zu verstehen und die Qualität unseres Angebots zu sichern, werten wir Daten aus, die bei der Nutzung des Portals anfallen – etwa Buchungen, Teilnahmen, Absagen und ähnliche Kursaktivitäten. Diese Auswertungen erfolgen intern, in der Regel anonymisiert oder zusammengefasst, und dienen ausschließlich der Betriebsplanung und Qualitätssicherung, nicht der Bewertung einzelner Personen. Rechtsgrundlage ist unser berechtigtes Interesse an einem funktionierenden Kursbetrieb (Art. 6 Abs. 1 lit. f DSGVO).

6. Speicherdauer

DatenkategorieSpeicherdauer
Stammdaten (aktives Konto/Profil)Bis zur Konto-Löschung / Deaktivierung
Stammdaten mit Bezug zu Buchungen/Abrechnung (nach Konto-Löschung)10 Jahre (gesetzl. Aufbewahrung, HGB/AO); danach Löschung
Buchungs-, Abrechnungs- & Rechnungsdaten (inkl. der darin enthaltenen Personendaten)10 Jahre (§§ 238, 257 HGB, § 147 AO)
Honorarunterlagen10 Jahre (HGB/AO)
Zertifikatsdaten10 Jahre nach Ausstellung
Einsatzdaten (ohne Honorar)5 Jahre nach Einsatz
Kommunikationsdaten (Messenger)3 Jahre
Technische Logs (IP, Session)Max. 30 Tage

7. Auftragsverarbeiter und Drittstaatübermittlungen

Deine Daten werden nicht an Dritte zu Werbezwecken weitergegeben. Mit allen unten genannten Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.

Hosting – Vercel Inc. (USA)

Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91723, USA
Funktion: Hosting der Next.js-Webanwendung (Server-seitige Verarbeitung)
Serverstandort: Serverless Functions in Region Frankfurt (fra1), EU
Drittstaatübermittlung: Vercel ist ein US-Unternehmen. Datenübermittlung auf Basis von Standarddatenschutzklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Hinweis CDN: Vercel nutzt ein globales Edge-Netzwerk. Anfrage-Metadaten (IP) können kurzfristig durch Edge-Knoten außerhalb der EU verarbeitet werden (Routing/DDoS-Schutz), werden jedoch nicht dauerhaft außerhalb der EU gespeichert.
DPA / Datenschutz: vercel.com/legal/dpa

Reichweitenmessung – Vercel Web Analytics (cookielos)

Funktion: Zur Verbesserung von Stabilität und Performance setzen wir Vercel Web Analytics ein. Erfasst werden ausschließlich aggregierte, anonyme Aufrufstatistiken (z. B. aufgerufene Seite, ungefähre Herkunftsregion, Gerätetyp).
Keine Cookies, keine Profilbildung: Es werden keine Cookies gesetzt, keine geräteübergreifende Wiedererkennung vorgenommen und keine Daten an Dritte zu Werbezwecken weitergegeben. Es findet keine Zusammenführung mit den von Dir eingegebenen Bestandsdaten statt.
Rechtsgrundlage: berechtigtes Interesse an einem technisch einwandfreien, sicheren und wirtschaftlich betriebenen Online-Angebot (Art. 6 Abs. 1 lit. f DSGVO). Da keine Informationen auf Deinem Endgerät gespeichert oder ausgelesen werden, ist keine Einwilligung nach § 25 TDDDG erforderlich.
Datenschutz: vercel.com/legal/privacy-policy

Datenbank – Neon Inc. (USA, Daten in EU)

Neon Inc. (Neondatabase, Inc.), 548 Market St PMB 93606, San Francisco, CA 94104, USA
Funktion: PostgreSQL-Datenbankverwaltung (alle Nutzer-, Buchungs- und Abrechnungsdaten)
Serverstandort: Ausschließlich eu-central-1 (Frankfurt, AWS), EU
Drittstaatübermittlung: Neon ist ein US-Unternehmen. Datenübermittlung auf Basis von SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO. Alle Daten verbleiben physisch auf EU-Servern.
Datenschutz: neon.tech/privacy

Domain-DNS & E-Mail-Versand – Strato AG (Deutschland)

Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland
Funktion DNS: Verwaltung der Domain (z. B. simum.unimedizin-mainz.de). Strato verwaltet ausschließlich DNS-Einträge; personenbezogene Nutzdaten werden dabei nicht an Strato übermittelt.
Funktion E-Mail: Versand transaktionaler E-Mails (Registrierungsbestätigung, Buchungsbestätigung, Rechnungen, Erinnerungen, automatische 7-Tage-Erinnerungen via Cron)
Serverstandort: Deutschland (EU)
Drittstaatübermittlung: keine – Strato ist ein deutsches Unternehmen.
Datenschutz: strato.de/datenschutz

Ärztekammer (CME-Punkte)

Sofern du der Speicherung deiner Einheitlichen Fortbildungsnummer (EFN) zugestimmt hast und eine CME-anerkannte Veranstaltung absolvierst, kann die Teilnahme mit deiner EFN an die zuständige Ärztekammer gemeldet werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Meldung erfolgt nur auf Basis deiner ausdrücklichen Zustimmung (Opt-in bei Registrierung).

8. Deine Rechte

Du hast gegenüber uns folgende Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21 DSGVO).

Konto-Löschung und Aufbewahrung: Wenn du dein Konto löschst, wird der Zugang sofort und dauerhaft gesperrt. Personenbezogene Daten, die mit Buchungen, Honorar- oder Abrechnungs- bzw. Rechnungsunterlagen verknüpft sind, werden jedoch nicht sofort gelöscht, sondern für die Dauer der gesetzlichen Aufbewahrungsfrist von 10 Jahren (§§ 238, 257 HGB, § 147 AO) weiter gespeichert und in ihrer Verarbeitung auf diesen Zweck beschränkt (Art. 17 Abs. 3 lit. b, Art. 18 DSGVO). Nach Ablauf der Frist werden sie gelöscht. Eine vollständige sofortige Löschung ist nur möglich, soweit keine Aufbewahrungspflicht besteht.

Einwilligungen (z. B. EFN-Nutzung, Wartelisten-Benachrichtigung, Kontakterlaubnis) können jederzeit mit Wirkung für die Zukunft im Profil oder per E-Mail widerrufen werden.

Beschwerderecht – Aufsichtsbehörde

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34, 55116 Mainz
(Postanschrift: Postfach 30 40, 55020 Mainz)
Telefon: +49 (0) 6131 8920-0 | Telefax: +49 (0) 6131 8920-299
E-Mail: poststelle@datenschutz.rlp.de
www.datenschutz.rlp.de

9. Datensicherheit

9a. Eingebettete Videos (YouTube / Vimeo)

Im E-Learning-Bereich können Lernvideos eingebunden sein, die auf den Plattformen YouTube (Google Ireland Ltd., Irland; Mutterkonzern Google LLC, USA) bzw. Vimeo (Vimeo.com Inc., USA) gehostet werden. Diese Videos werden nicht automatisch geladen: Sie sehen zunächst nur einen Platzhalter und müssen das Laden durch einen Klick ausdrücklich bestätigen (Zwei-Klick-Lösung). Erst danach wird eine Verbindung zum jeweiligen Anbieter hergestellt und Ihre IP-Adresse an diesen übermittelt. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG), die Sie mit dem Klick erteilen. YouTube-Videos werden im erweiterten Datenschutzmodus (youtube-nocookie.com) eingebettet.

10. Keine automatisierten Entscheidungen

Es werden keine automatisierten Entscheidungsverfahren oder Profiling im Sinne von Art. 22 DSGVO eingesetzt.

11. Kontakt für Datenschutzanfragen

Simulationszentrum Universitätsmedizin Mainz
E-Mail: simulationszentrum@unimedizin-mainz.de
Telefon: +49 (0) 6131 17-0 (Zentrale)

oder direkt an die/den Datenschutzbeauftragte/n der UM Mainz (siehe Abschnitt 2).

Stand: Juni 2026 – Version 1.1 | Diese Datenschutzerklärung muss vor dem Live-Betrieb durch die/den Datenschutzbeauftragte/n der Universitätsmedizin Mainz geprüft und freigegeben werden. | Impressum