Datenschutz & DSGVO

Datenschutzkonzept und Datenschutz-Folgenabschätzung (DSFA)

Lernplattform medidactic.de — AI Anwendung in der Medizin, interaktives Lern-Nugget der Charlotte Fresenius Hochschule

1. Einleitung und Gegenstand

Die Plattform medidactic.de ist ein webbasiertes, interaktives Lern-Nugget der Charlotte Fresenius Hochschule (CFH) im Rahmen des Studiengangs Digitale Medizin & Künstliche Intelligenz. Das Modul vermittelt Grundlagen der LLM/AI-Verwendung in der Medizin und richtet sich an Studierende sowie Interessierte, die sich über den Studiengang informieren möchten (Multi-Purpose-Ansatz: Lehre und Studiengangsmarketing).

Das vorliegende Dokument erfüllt die Anforderungen des Art. 35 DSGVO (Datenschutz-Folgenabschätzung) sowie des Art. 24 DSGVO (Datenschutzkonzept als Nachweis der Rechenschaftspflicht). Es beschreibt alle Verarbeitungsvorgänge, bewertet die damit verbundenen Risiken und dokumentiert die getroffenen Schutzmaßnahmen.

Wesentliche Besonderheit: Die in den interaktiven Modulen verwendeten Fallbeispiele (z.B. der fiktive Patient Max Berger in Modul 4) sind vollständig synthetisch generierte Szenarien ohne jeden Bezug zu realen Personen. Einzig die Daten der Nutzenden sowie die Inhalte der Chat-Interaktionen mit dem Studiengangs-Bot stellen personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO dar.

2. Systembeschreibung und Architektur

Lernmodule (anonym nutzbar)

Vier Lernmodule mit Texten, Podcasts, PDFs, Quizzes und KI-gestützten Fallbearbeitungen. Lernfortschritt wird ausschließlich im lokalen Browser-Speicher (localStorage) gespeichert — ohne Serverübertragung.

Interaktiver Medizinfall (Modul 2 & 4)

KI-gestützter Chatbot für fiktive Patientenfälle (OnkoTutor) und Ethik-Dialog. Gesprächsinhalte werden serverseitig für die Dauer der Sitzung verarbeitet und danach nicht personenbezogen gespeichert.

Studiengangs-Chatbot (Chat-Bubble)

LLM-gestützter Chatbot für Fragen zum Masterstudiengang. Kontaktdaten (Name, E-Mail, optional Telefon) werden nur bei freiwilliger Angabe als Lead gespeichert.

Abschlussevaluation

KI-generierte Zusammenfassung der Kursleistungen, ausschließlich im Browser des Nutzers angezeigt. Keine serverseitige Speicherung personenbezogener Leistungsdaten.

Systemarchitektur (vereinfacht)

Nutzender (Browser)
│
▼
Manus-Hosting (AWS EU-Region, Frankfurt)
├── Frontend (React 19 / Vite)
├── Backend (Express 4 / tRPC 11)
├── Datenbank (TiDB/MySQL, EU-Region)
└── Dateispeicher (S3-kompatibel, EU-Region)
│
├──► Manus Forge API → LLM (Gemini 2.5 Flash)
└──► SMTP-Server (all-inkl.com / KAS, Deutschland)

Die Plattform verwendet kein externes Tracking (kein Google Analytics, kein Facebook Pixel, keine Third-Party-Cookies). Der Lernfortschritt verbleibt ausschließlich im localStorage des eigenen Browsers.

3. Verarbeitete Daten und Datenkategorien

3.1 Daten der Nutzenden (personenbezogen)

Datenkategorie	Konkrete Daten	Speicherort	Löschfrist
Kontaktdaten (Leads)	Name, E-Mail-Adresse, optional Telefonnummer	Datenbank (EU)	Auf Anfrage oder nach 12 Monaten
Chat-Gesprächsinhalte (Bot)	Textnachrichten im Studiengangs-Chat	Datenbank (EU)	Nach 90 Tagen (automatisch)
Anonyme Nutzungsstatistiken	Seitenaufrufe, Ereignistypen (ohne Personenbezug)	Datenbank (EU)	Nach 90 Tagen (automatisch)
Lernfortschritt	Modul-Abschlüsse, Quiz-Antworten	Nur localStorage im Browser	Bis Löschung durch Nutzer
Abschlussevaluation	KI-generierte Leistungszusammenfassung	Nur im Browser (kein Server)	Bis Schließen des Browsers
Server-Zugriffslogs	IP-Adresse, Browser-Typ, Betriebssystem, Zeitstempel	Datenbank (EU)	Nach 90 Tagen (automatisch)
Session-Token	Authentifizierungs-Cookie für Admin-Bereich	Browser-Cookie (httpOnly)	Sitzungsende

Wichtiger Hinweis: Die Kernfunktionen — Modulfortschritt, Quiz-Ergebnisse und Abschlussevaluation — werden ausschließlich im localStorage des Browsers gespeichert. Es findet keine Übertragung dieser Daten an den Server statt.

3.2 Synthetische Fallbeispieldaten (nicht personenbezogen)

Die in den Lernmodulen verwendeten Fallbeispiele sind vollständig fiktiv. Der Patient Max Berger (Modul 4) sowie alle weiteren Fallszenarien enthalten ausschließlich erfundene Namen, Altersangaben, Diagnosen und Gesprächsmuster. Da diese Daten keinerlei Bezug zu identifizierbaren natürlichen Personen aufweisen, unterliegen sie nicht dem Schutzbereich der DSGVO.

3.3 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Das System verarbeitet keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO. Insbesondere werden keine echten Gesundheitsdaten der Nutzenden verarbeitet.

4. Rechtsgrundlagen der Verarbeitung

Verarbeitungsvorgang	Rechtsgrundlage	Begründung
Anonyme Nutzung der Lernmodule	Keine (kein Personenbezug)	Lernfortschritt verbleibt im Browser; keine Datenübertragung
Chat-Gesprächsinhalte (Bot)	Art. 6 Abs. 1 lit. f DSGVO	Betrieb und Qualitätssicherung des Chatbot-Dienstes; Löschung nach 90 Tagen
Speicherung von Kontaktdaten (Leads)	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)	Nutzende geben Kontaktdaten freiwillig im Chat an; der Bot weist auf die Verwendung hin
Versand der Lead-Benachrichtigungs-E-Mail	Art. 6 Abs. 1 lit. f DSGVO	Notwendig zur Bearbeitung der Kontaktanfrage durch den Studiengangsverantwortlichen
Anonyme Nutzungsstatistiken	Art. 6 Abs. 1 lit. f DSGVO	Berechtigtes Interesse der Institution an Qualitätssicherung und Systemoptimierung
Server-Zugriffslogs (IP, Browser)	Art. 6 Abs. 1 lit. f DSGVO	Technische Notwendigkeit für Sicherheit und Fehleranalyse; automatische Löschung nach 90 Tagen

5. Datensparsamkeit und Zweckbindung

Maximale Anonymität für Lernende: Alle vier Lernmodule, Quizzes, interaktive Fallbearbeitungen und die Abschlussevaluation sind vollständig anonym nutzbar. Es ist keine Registrierung, kein Login und keine Angabe personenbezogener Daten erforderlich.

Minimale Kontaktdatenerfassung: Kontaktdaten werden ausschließlich dann erfasst, wenn Nutzende diese im Chat-Dialog freiwillig angeben. Es werden keine Matrikelnummern, Adressen, Geburtsdaten oder sonstige Identifikationsmerkmale erhoben.

Keine Weitergabe an Dritte zu Werbezwecken: Nutzerdaten werden ausschließlich zur Bearbeitung der Kontaktanfrage und zum Betrieb der Lernplattform verwendet.

Automatische Datenlöschung: Chat-Gesprächsinhalte, Nutzungsstatistiken und Server-Zugriffslogs werden nach 90 Tagen automatisch gelöscht. Kontaktdaten (Leads) werden nach spätestens 12 Monaten oder auf Anfrage gelöscht.

Pseudonymisierung von LLM-Anfragen: Gesprächsinhalte, die an die Forge API (LLM) übermittelt werden, enthalten keine direkten Identifikatoren wie Name oder E-Mail-Adresse.

Die erhobenen Daten werden ausschließlich für folgende Zwecke verwendet: Bereitstellung und Betrieb der interaktiven Lernplattform, Beantwortung von Anfragen zum Masterstudiengang, Kontaktaufnahme mit Interessenten auf deren ausdrücklichen Wunsch, Qualitätssicherung und technische Optimierung sowie anonymisierte Auswertung der Nutzungsstatistiken. Eine Verwendung für das Training von KI-Modellen ist ausgeschlossen.

6. Technische Infrastruktur und EU-Datenresidenz

Komponente	Anbieter	Sitz	EU-Datenresidenz	Status
Anwendungsserver	AWS (via Manus)	EU-Region Frankfurt	Ja (eu-central-1)	konfiguriert
Datenbank	TiDB Cloud / PingCAP	EU-Region	Ja (Frankfurt)	konfiguriert
LLM (Sprachmodell)	Manus Forge API	EU-Region	Ja (EU-Region)	aktiv
E-Mail-Versand	all-inkl.com (KAS)	Deutschland	Ja (nativ DE)	sichergestellt
Lernfortschritt	Browser localStorage	Gerät des Nutzers	Ja (lokal)	by design

7. Datenschutz-Folgenabschätzung (DSFA)

7.1 Notwendigkeit der DSFA

Kriterium (nach WP248)	Bewertung	Begründung
Bewertung oder Scoring	Nein	Keine Bewertung von Nutzenden; KI-Auswertungen beziehen sich auf fiktive Szenarien
Automatisierte Entscheidung mit Rechtswirkung	Nein	Keine prüfungsrelevanten oder rechtlich bindenden Auswertungen
Systematische Überwachung	Nein	Kein Monitoring von Nutzenden außerhalb freiwilliger Chat-Interaktionen
Sensible Daten (Art. 9 DSGVO)	Nein	Keine Gesundheitsdaten der Nutzenden; Fallbeispiele sind synthetisch
Daten schutzbedürftiger Personen	Gering	Potenziell Studierende; Teilnahme vollständig freiwillig und anonym möglich
Innovative Technologie	Ja	KI-gestützter Chatbot und interaktive Fallbearbeitung
Drittlandtransfer	Begrenzt	Forge API (LLM) mit EU-Datenresidenz; kein direkter Google-Vertrag
Verhinderung der Ausübung von Rechten	Nein	Keine Einschränkung von Betroffenenrechten

7.2 Risikoidentifikation und -bewertung

Risiko	Eintrittswahr.	Schwere	Risikostufe	Maßnahme
Unbefugter Zugriff auf Kontaktdaten	Gering	Mittel	Mittel	Verschlüsselung, rollenbasierte Zugangskontrolle, Admin-Login erforderlich
Datenpanne beim LLM-Anbieter (Forge API)	Gering	Mittel	Mittel	Pseudonymisierung; keine Identifikatoren in LLM-Anfragen
Zweckentfremdung durch Administratoren	Sehr gering	Mittel	Gering	Rollenbasierte Zugriffskontrolle; nur ein Admin-Account
Identifizierung von Nutzenden durch Dritte	Sehr gering	Gering	Sehr gering	Anonyme Nutzung möglich; Kontaktdaten nur auf freiwilliger Basis
Drittlandtransfer ohne angemessenes Schutzniveau	Gering	Mittel	Mittel	EU-Datenresidenz der Forge API; Pseudonymisierung
Missbrauch des Chat-Bots zur Datenexfiltration	Sehr gering	Gering	Sehr gering	Rate Limiting; keine Ausgabe interner Systemdaten durch Bot
Unbeabsichtigte Langzeitspeicherung von Logs	Gering	Gering	Gering	Automatische Löschung nach 90 Tagen implementiert

Gesamtbewertung: Das Restrisiko nach Implementierung der beschriebenen Maßnahmen ist als gering bis mittel einzustufen. Ein hohes Risiko im Sinne des Art. 35 DSGVO liegt nicht vor.

8. Technische und organisatorische Maßnahmen (TOMs)

8.1 Technische Maßnahmen

Verschlüsselung: Alle Datenübertragungen erfolgen ausschließlich über TLS 1.2/1.3 (HTTPS). Datenbankverbindungen sind verschlüsselt. Die Authentifizierung basiert auf signierten JWT-Session-Tokens (HS256). Passwörter werden nicht im System gespeichert (OAuth-basierte Authentifizierung).

Zugangskontrolle: Rollenbasiertes Zugriffsmodell (admin / user). Das Admin-Dashboard ist ausschließlich für authentifizierte Administratoren zugänglich.

Privacy by Design — Lokaler Lernfortschritt: Der Lernfortschritt wird ausschließlich im localStorage des Browsers gespeichert. Es findet keine Übertragung an den Server statt.

Pseudonymisierung: Gesprächsinhalte, die an die Forge API (LLM) übermittelt werden, enthalten keine direkten Identifikatoren (Name, E-Mail, Telefon).

Automatische Datenlöschung: Chat-Gesprächsinhalte, Nutzungsstatistiken und Server-Zugriffslogs werden nach 90 Tagen automatisch durch eine implementierte Cleanup-Routine gelöscht.

8.2 Organisatorische Maßnahmen

Transparenz gegenüber Nutzenden: Der Chatbot weist Nutzende vor der Erfassung von Kontaktdaten explizit darauf hin, dass diese Daten zur Kontaktaufnahme durch die Charlotte Fresenius Hochschule verwendet werden.

Löschkonzept: Kontaktdaten (Leads) werden nach spätestens 12 Monaten oder auf Anfrage des Betroffenen gelöscht. Chat-Gesprächsinhalte und Logs werden nach 90 Tagen automatisch gelöscht.

Datenpannen-Prozess: Im Falle einer Datenpanne wird der Verantwortliche (Christian Elsner) unverzüglich informiert. Meldepflichtige Vorfälle werden innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet (Art. 33 DSGVO).

Auftragsverarbeitungsverträge (AVV): Mit allen Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten (Manus/Butterfly Effect PTE. Ltd., all-inkl.com), werden Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen.

9. Betroffenenrechte

Recht	Rechtsgrundlage	Umsetzung
Auskunft	Art. 15 DSGVO	Auf Anfrage werden alle gespeicherten Daten innerhalb von 30 Tagen bereitgestellt
Berichtigung	Art. 16 DSGVO	Kontaktdaten können auf Anfrage durch den Administrator korrigiert werden
Löschung	Art. 17 DSGVO	Löschung aller Daten auf Anfrage; Lernfortschritt kann durch Löschen des Browser-Caches jederzeit selbst gelöscht werden
Einschränkung	Art. 18 DSGVO	Verarbeitung kann auf Anfrage eingeschränkt werden
Datenübertragbarkeit	Art. 20 DSGVO	Kontaktdaten können auf Anfrage in maschinenlesbarem Format (JSON/CSV) bereitgestellt werden
Widerspruch	Art. 21 DSGVO	Widerspruch gegen die Verarbeitung auf Basis berechtigten Interesses ist jederzeit möglich
Widerruf der Einwilligung	Art. 7 Abs. 3 DSGVO	Jederzeit ohne Angabe von Gründen möglich; keine Nachteile; Löschung der Kontaktdaten erfolgt unverzüglich

Anfragen sind per E-Mail an [email protected] zu richten. Die Bearbeitungsfrist beträgt maximal einen Monat (Art. 12 Abs. 3 DSGVO).

10. DSGVO-Konformitätsnachweis

Maximale Anonymität als Designprinzip: Das System wurde so konzipiert, dass alle Kernfunktionen vollständig anonym nutzbar sind. Der Lernfortschritt verbleibt ausschließlich im localStorage des Browsers. Eine Registrierung ist für die Nutzung der Lernplattform nicht erforderlich.

Synthetische Fallbeispieldaten: Die in den Lernmodulen verwendeten Fallszenarien sind vollständig fiktiv. Das Risiko einer unbeabsichtigten Verarbeitung sensibler Gesundheitsdaten realer Personen ist strukturell ausgeschlossen.

Freiwillige Kontaktdatenangabe: Kontaktdaten werden ausschließlich dann erfasst, wenn Nutzende diese im Chat-Dialog freiwillig angeben. Der Bot weist auf die Verwendung der Daten hin.

EU-Datenverarbeitung: Durch die Nutzung des deutschen all-inkl.com-Mailservers und die Konfiguration der Manus-Plattform auf eine EU-Region (Frankfurt) werden Drittlandtransfers auf ein Minimum reduziert.

Keine automatisierten Entscheidungen mit Rechtswirkung: Die KI-gestützten Interaktionen (OnkoTutor, Ethik-Chat) dienen ausschließlich dem Lernfeedback. Sie haben keine Prüfungsrelevanz und lösen keine rechtlichen Konsequenzen aus. Art. 22 DSGVO ist damit nicht anwendbar.

Automatische Datenlöschung: Die implementierte Cleanup-Routine stellt sicher, dass Chat-Gesprächsinhalte, Nutzungsstatistiken und Zugriffslogs nach 90 Tagen automatisch gelöscht werden (Art. 5 Abs. 1 lit. e DSGVO).

Rechenschaftspflicht: Das vorliegende Dokument, die abzuschließenden AVVs und die verlinkte Datenschutzerklärung dokumentieren die Einhaltung der DSGVO-Grundsätze im Sinne des Art. 5 Abs. 2 DSGVO.

Dieses Dokument wurde auf Basis der zum Zeitpunkt der Erstellung verfügbaren Informationen erstellt. Es ist bei wesentlichen Änderungen der Systemarchitektur, der eingesetzten Drittanbieter oder der rechtlichen Rahmenbedingungen zu aktualisieren.

AI Anwendung in der Medizin

Fortschritt