Datenschutzerklärung SimUM
Diese Datenschutzerklärung gilt für beide Bereiche des SimUM-Portals:
TeilnehmerportalInstruktoren- & Verwaltungsportal
1. Verantwortliche Stelle
Simulationszentrum (Klinik für Anästhesiologie)
Langenbeckstraße 1, 55131 Mainz
Telefon: +49 (0) 6131 17-0
E-Mail: simulationszentrum@unimedizin-mainz.de
Die Universitätsmedizin der Johannes Gutenberg-Universität Mainz ist eine Körperschaft des öffentlichen Rechts.
2. Datenschutzbeauftragte/r
Langenbeckstraße 1, 55131 Mainz
Telefon: +49 (0) 6131 17-4652
E-Mail: datenschutz@unimedizin-mainz.de
Web: www.unimedizin-mainz.de/datenschutzbeauftragter
3. Geltungsbereich
Diese Datenschutzerklärung gilt für das webbasierte Kursmanagementportal SimUM des Simulationszentrums der Universitätsmedizin Mainz, erreichbar unter:
https://simum.unimedizin-mainz.de(bei Verwendung der eigenen Domain)- alternativ
https://[projektname].vercel.app
Das Portal umfasst ein Teilnehmerportal (Buchung von Fortbildungskursen, Rechnungen, Zertifikate) und ein Instruktoren- & Verwaltungsportal (Kursverwaltung, Einsatzbuchung, Honorarabrechnung).
4. Verarbeitete Daten
4.1 Teilnehmerportal
Stammdaten (Name, E-Mail, Telefon, Adresse, Berufsgruppe, Kategorie), berufliche Identifikationsnummern (EFN freiwillig, Personalnr. freiwillig), Buchungs- und Veranstaltungsdaten, Rechnungs- und Zahlungsdaten (keine Kreditkarten / Bankdaten gespeichert), Zertifikatsdaten, Messenger-Kommunikation, technische Nutzungsdaten (IP max. 30 Tage, Session-Tokens kurzlebig).
4.2 Instruktoren- & Verwaltungsportal
Stamm- und Kontaktdaten, Rolle & Modalität (KFA intern / KFA intern Honorar / SIM intern / extern), Qualifikationen mit Ablaufdaten, Einsatzbuchungen und -status, Honorar- und Abrechnungsdaten (nur für Administratoren sichtbar), Hiwi-Stunden, Registrierungsdaten und Einwilligungen, interne Nachrichten (Messenger), technische Nutzungsdaten.
5. Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Registrierung, Buchung, Kursverwaltung | Art. 6 Abs. 1 lit. b DSGVO |
| Rechnungsstellung und steuerliche Aufbewahrung | Art. 6 Abs. 1 lit. c DSGVO (§§ 238, 257 HGB, § 147 AO) |
| Honorarabrechnung Beschäftigte UM | § 26 BDSG i. V. m. Art. 88 DSGVO |
| IT-Sicherheit (IP-Logs) | Art. 6 Abs. 1 lit. f DSGVO |
| Betriebsplanung / Statistik | Art. 6 Abs. 1 lit. f DSGVO |
| EFN-Verarbeitung / Wartelisten-Benachrichtigung | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
Statistik & Auswertung: Um unsere Kurse sinnvoll zu planen, die Auslastung zu verstehen und die Qualität unseres Angebots zu sichern, werten wir Daten aus, die bei der Nutzung des Portals anfallen – etwa Buchungen, Teilnahmen, Absagen und ähnliche Kursaktivitäten. Diese Auswertungen erfolgen intern, in der Regel anonymisiert oder zusammengefasst, und dienen ausschließlich der Betriebsplanung und Qualitätssicherung, nicht der Bewertung einzelner Personen. Rechtsgrundlage ist unser berechtigtes Interesse an einem funktionierenden Kursbetrieb (Art. 6 Abs. 1 lit. f DSGVO).
6. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Stammdaten (aktives Konto/Profil) | Bis zur Konto-Löschung / Deaktivierung |
| Stammdaten mit Bezug zu Buchungen/Abrechnung (nach Konto-Löschung) | 10 Jahre (gesetzl. Aufbewahrung, HGB/AO); danach Löschung |
| Buchungs-, Abrechnungs- & Rechnungsdaten (inkl. der darin enthaltenen Personendaten) | 10 Jahre (§§ 238, 257 HGB, § 147 AO) |
| Honorarunterlagen | 10 Jahre (HGB/AO) |
| Zertifikatsdaten | 10 Jahre nach Ausstellung |
| Einsatzdaten (ohne Honorar) | 5 Jahre nach Einsatz |
| Kommunikationsdaten (Messenger) | 3 Jahre |
| Technische Logs (IP, Session) | Max. 30 Tage |
7. Auftragsverarbeiter und Drittstaatübermittlungen
Deine Daten werden nicht an Dritte zu Werbezwecken weitergegeben. Mit allen unten genannten Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.
Hosting – Vercel Inc. (USA)
Funktion: Hosting der Next.js-Webanwendung (Server-seitige Verarbeitung)
Serverstandort: Serverless Functions in Region Frankfurt (fra1), EU
Drittstaatübermittlung: Vercel ist ein US-Unternehmen. Datenübermittlung auf Basis von Standarddatenschutzklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Hinweis CDN: Vercel nutzt ein globales Edge-Netzwerk. Anfrage-Metadaten (IP) können kurzfristig durch Edge-Knoten außerhalb der EU verarbeitet werden (Routing/DDoS-Schutz), werden jedoch nicht dauerhaft außerhalb der EU gespeichert.
DPA / Datenschutz: vercel.com/legal/dpa
Reichweitenmessung – Vercel Web Analytics (cookielos)
Keine Cookies, keine Profilbildung: Es werden keine Cookies gesetzt, keine geräteübergreifende Wiedererkennung vorgenommen und keine Daten an Dritte zu Werbezwecken weitergegeben. Es findet keine Zusammenführung mit den von Dir eingegebenen Bestandsdaten statt.
Rechtsgrundlage: berechtigtes Interesse an einem technisch einwandfreien, sicheren und wirtschaftlich betriebenen Online-Angebot (Art. 6 Abs. 1 lit. f DSGVO). Da keine Informationen auf Deinem Endgerät gespeichert oder ausgelesen werden, ist keine Einwilligung nach § 25 TDDDG erforderlich.
Datenschutz: vercel.com/legal/privacy-policy
Datenbank – Neon Inc. (USA, Daten in EU)
Funktion: PostgreSQL-Datenbankverwaltung (alle Nutzer-, Buchungs- und Abrechnungsdaten)
Serverstandort: Ausschließlich eu-central-1 (Frankfurt, AWS), EU
Drittstaatübermittlung: Neon ist ein US-Unternehmen. Datenübermittlung auf Basis von SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO. Alle Daten verbleiben physisch auf EU-Servern.
Datenschutz: neon.tech/privacy
Domain-DNS & E-Mail-Versand – Strato AG (Deutschland)
Funktion DNS: Verwaltung der Domain (z. B.
simum.unimedizin-mainz.de). Strato verwaltet ausschließlich DNS-Einträge; personenbezogene Nutzdaten werden dabei nicht an Strato übermittelt.Funktion E-Mail: Versand transaktionaler E-Mails (Registrierungsbestätigung, Buchungsbestätigung, Rechnungen, Erinnerungen, automatische 7-Tage-Erinnerungen via Cron)
Serverstandort: Deutschland (EU)
Drittstaatübermittlung: keine – Strato ist ein deutsches Unternehmen.
Datenschutz: strato.de/datenschutz
Ärztekammer (CME-Punkte)
8. Deine Rechte
Du hast gegenüber uns folgende Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21 DSGVO).
Konto-Löschung und Aufbewahrung: Wenn du dein Konto löschst, wird der Zugang sofort und dauerhaft gesperrt. Personenbezogene Daten, die mit Buchungen, Honorar- oder Abrechnungs- bzw. Rechnungsunterlagen verknüpft sind, werden jedoch nicht sofort gelöscht, sondern für die Dauer der gesetzlichen Aufbewahrungsfrist von 10 Jahren (§§ 238, 257 HGB, § 147 AO) weiter gespeichert und in ihrer Verarbeitung auf diesen Zweck beschränkt (Art. 17 Abs. 3 lit. b, Art. 18 DSGVO). Nach Ablauf der Frist werden sie gelöscht. Eine vollständige sofortige Löschung ist nur möglich, soweit keine Aufbewahrungspflicht besteht.
Einwilligungen (z. B. EFN-Nutzung, Wartelisten-Benachrichtigung, Kontakterlaubnis) können jederzeit mit Wirkung für die Zukunft im Profil oder per E-Mail widerrufen werden.
Beschwerderecht – Aufsichtsbehörde
Hintere Bleiche 34, 55116 Mainz
(Postanschrift: Postfach 30 40, 55020 Mainz)
Telefon: +49 (0) 6131 8920-0 | Telefax: +49 (0) 6131 8920-299
E-Mail: poststelle@datenschutz.rlp.de
www.datenschutz.rlp.de
9. Datensicherheit
- HTTPS/TLS-Verschlüsselung aller Datenübertragungen
- Passwörter ausschließlich als bcrypt-Hashwerte gespeichert
- Rollenbasierte Zugriffskontrolle – Finanzdaten ausschließlich für Administratoren sichtbar; Sim-Team sieht keine Geldbeträge
- Regelmäßige verschlüsselte Datenbankbackups
- Datenspeicherung ausschließlich in der EU (Frankfurt)
- Kein Cookie- oder Werbe-Tracking, keine Profilbildung, keine automatisch geladenen Social-Media-Inhalte (zur cookielosen Reichweitenmessung siehe Abschnitt 7)
9a. Eingebettete Videos (YouTube / Vimeo)
Im E-Learning-Bereich können Lernvideos eingebunden sein, die auf den Plattformen YouTube (Google Ireland Ltd., Irland; Mutterkonzern Google LLC, USA) bzw. Vimeo (Vimeo.com Inc., USA) gehostet werden. Diese Videos werden nicht automatisch geladen: Sie sehen zunächst nur einen Platzhalter und müssen das Laden durch einen Klick ausdrücklich bestätigen (Zwei-Klick-Lösung). Erst danach wird eine Verbindung zum jeweiligen Anbieter hergestellt und Ihre IP-Adresse an diesen übermittelt. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG), die Sie mit dem Klick erteilen. YouTube-Videos werden im erweiterten Datenschutzmodus (youtube-nocookie.com) eingebettet.
10. Keine automatisierten Entscheidungen
Es werden keine automatisierten Entscheidungsverfahren oder Profiling im Sinne von Art. 22 DSGVO eingesetzt.
11. Kontakt für Datenschutzanfragen
E-Mail: simulationszentrum@unimedizin-mainz.de
Telefon: +49 (0) 6131 17-0 (Zentrale)
oder direkt an die/den Datenschutzbeauftragte/n der UM Mainz (siehe Abschnitt 2).
Stand: Juni 2026 – Version 1.1 | Diese Datenschutzerklärung muss vor dem Live-Betrieb durch die/den Datenschutzbeauftragte/n der Universitätsmedizin Mainz geprüft und freigegeben werden. | Impressum