Datenschutz

Datenschutzkonzept und Datenschutz-Folgenabschätzung (DSFA)

MedTeaching Falltrainer — Pilotbetrieb mit studentischen Lerngruppen

Version 1.5Februar 2026Autor: Christian Elsner
Inhaltsverzeichnis
1. Einleitung und Gegenstand

Der MedTeaching Falltrainer ist eine webbasierte Lernplattform für medizinische und kommunikative Ausbildungszwecke. Im Rahmen eines Pilotversuchs wird das System mit drei kleinen, freiwilligen Studierendengruppen erprobt. Ziel ist die Simulation von Patientengesprächen durch KI-gestützte Charaktere, um kommunikative Kompetenzen in klinischen und manageriellen Kontexten zu trainieren.

Das vorliegende Dokument erfüllt die Anforderungen des Art. 35 DSGVO (Datenschutz-Folgenabschätzung) sowie des Art. 24 DSGVO (Datenschutzkonzept als Nachweis der Rechenschaftspflicht). Es beschreibt alle Verarbeitungsvorgänge, bewertet die damit verbundenen Risiken und dokumentiert die getroffenen Schutzmaßnahmen.

Wesentliche Besonderheit: Die im System abgebildeten Patientenfiguren (z.B. „Petra Fuhrmann", „Markus Becker") sind vollständig synthetisch generierte Charaktere ohne jeden Bezug zu realen Personen. Einzig die Daten der Lernenden sowie die Auswertungen ihrer Gesprächsführungen stellen personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO dar.

2. Systembeschreibung und Architektur

Der Falltrainer ermöglicht es Lernenden, in simulierten Gesprächssituationen mit KI-gesteuerten Patientencharakteren zu interagieren. Das System umfasst folgende Kernfunktionen:

  • Simulationsgespräche: Lernende führen textbasierte oder sprachgestützte Gespräche mit synthetischen Patientencharakteren. Die KI passt das Verhalten des Charakters dynamisch an den Gesprächsverlauf an (Phasenprogression).
  • Auswertung: Nach jedem Gespräch wird eine KI-gestützte Analyse der Gesprächsführung erstellt, die Stärken und Verbesserungspotenziale aufzeigt.
  • Autorenbereich: Lehrende können Patientencharaktere, Gesprächsphasen und Bewertungskriterien konfigurieren.
  • Administrationsfunktionen: Nutzerverwaltung, Zugangskontrolle und Nutzungsstatistiken.

Systemarchitektur (vereinfacht)

Lernender (Browser)
        │
        ▼
Manus-Hosting (EU-Region)
├── Frontend (React/Vite)
├── Backend (Express/tRPC)
├── Datenbank (TiDB/MySQL)
└── Dateispeicher (S3-kompatibel)
        │
        ├──► OpenAI API (EU-Datenresidenz aktiv)
        ├──► ElevenLabs API (EU-Datenresidenz aktiv)
        └──► SMTP-Server (KAS, Deutschland)
3. Verarbeitete Daten und Datenkategorien

3.1 Daten der Lernenden (personenbezogen)

Dies sind die einzigen echten personenbezogenen Daten im System:

DatenkategorieKonkrete DatenSpeicherortLöschfrist
IdentifikationsdatenE-Mail-AdresseDatenbank (EU)Nach Pilotende + 30 Tage
AuthentifizierungsdatenOAuth-Session-Token (gehashed)Datenbank (EU)Sitzungsende
NutzungsmetadatenAnzahl Logins, letzter Login, ZeitstempelDatenbank (EU)Nach Pilotende + 30 Tage
GesprächsinhalteTextnachrichten im SimulationsgesprächDatenbank (EU)Nach Pilotende + 30 Tage
SprachaufnahmenAudio-Eingaben (falls Sprachfunktion genutzt)Temporär (max. 1h), kein LangzeitspeicherSofort nach Transkription
AuswertungsdatenKI-generierte Feedback-Texte zur GesprächsführungDatenbank (EU)Nach Pilotende + 30 Tage
Token-VerbrauchsdatenAggregierte Nutzungsstatistiken (LLM, TTS, STT)Datenbank (EU)Nach Pilotende + 30 Tage
FeedbackFreiwillig gemeldete Bugs / Feature-AnfragenDatenbank (EU)Nach Pilotende + 30 Tage

3.2 Synthetische Patientendaten (nicht personenbezogen)

Die Patientencharaktere sind vollständig fiktiv und enthalten keine personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO. Sie wurden von Autoren (Lehrenden) manuell erstellt und umfassen fiktive Namen, Altersangaben und Berufsbezeichnungen, erfundene Krankengeschichten und Gesprächsmuster sowie KI-generierte Verhaltensprofile und Phasenkonfigurationen.

Da diese Daten keinerlei Bezug zu identifizierbaren natürlichen Personen aufweisen, unterliegen sie nicht dem Schutzbereich der DSGVO. Dies reduziert das datenschutzrechtliche Risikoprofil des Systems erheblich.

3.3 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Das System verarbeitet keine besonderen Kategorien personenbezogener Daten. Insbesondere werden keine echten Gesundheitsdaten der Lernenden verarbeitet. Die in den Simulationen thematisierten Krankheitsbilder beziehen sich ausschließlich auf die synthetischen Patientencharaktere.

4. Rechtsgrundlagen der Verarbeitung
VerarbeitungsvorgangRechtsgrundlageBegründung
Registrierung und LoginArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)Freiwillige Teilnahme am Pilotversuch; Einwilligung wird vor Registrierung eingeholt
Durchführung der SimulationArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)Explizite Einwilligung zur Aufzeichnung und Auswertung der Gespräche
Auswertung der GesprächsführungArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)Einwilligung umfasst die KI-gestützte Analyse
Versand der Willkommens-E-MailArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)Notwendig zur Bereitstellung des Zugangs
Nutzungsstatistiken (Admin-Dashboard)Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)Berechtigtes Interesse der Institution an Qualitätssicherung und Systemoptimierung

Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO wird durch eine informierte, freiwillige und dokumentierte Einverständniserklärung eingeholt, die vor der Registrierung zu unterzeichnen ist. Die Teilnahme am Pilotversuch ist nicht mit dem Studium verknüpft und hat keine Auswirkungen auf Prüfungsleistungen oder Beurteilungen.

5. Datensparsamkeit und Zweckbindung

5.1 Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO)

Das System wurde nach dem Prinzip Privacy by Design (Art. 25 DSGVO) konzipiert. Folgende Maßnahmen zur Datensparsamkeit sind implementiert:

Minimale Identifikation: Von den Lernenden wird ausschließlich die E-Mail-Adresse erfasst. Kein Klarname, keine Matrikelnummer, keine Adresse, kein Geburtsdatum.
Keine Weitergabe an Dritte zu Werbezwecken: Nutzerdaten werden ausschließlich zur Bereitstellung des Lerndienstes verwendet und nicht an Dritte zu kommerziellen Zwecken weitergegeben.
Automatische Datenlöschung: Alle personenbezogenen Daten werden nach Abschluss des Pilotversuchs innerhalb von 30 Tagen gelöscht.
Keine dauerhaften Sprachaufnahmen: Audio-Eingaben werden ausschließlich zur Echtzeit-Transkription an die Whisper-API übermittelt und nicht dauerhaft gespeichert.

5.2 Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)

Die erhobenen Daten werden ausschließlich für folgende Zwecke verwendet:

  1. Bereitstellung und Betrieb der Lernplattform im Rahmen des Pilotversuchs
  2. KI-gestützte Auswertung der Gesprächsführung zum unmittelbaren Lernfeedback
  3. Qualitätssicherung und technische Optimierung des Systems durch die verantwortliche Institution
  4. Wissenschaftliche Auswertung der Pilotphase (ausschließlich in anonymisierter Form)

Eine Verwendung für andere Zwecke, insbesondere für das Training von KI-Modellen, ist ausgeschlossen.

6. Technische Infrastruktur und EU-Datenresidenz

Ein zentrales Argument für die DSGVO-Konformität des Systems ist der Aufbau, alle Verarbeitungsschritte innerhalb des Europäischen Wirtschaftsraums (EWR) zu halten.

6.1 Manus-Hosting-Plattform

Die Anwendung wird auf der Manus-Plattform (Butterfly Effect PTE. Ltd.) gehostet. Die Plattform nutzt Cloud-Infrastruktur auf Basis von AWS und TiDB Cloud. Für den Pilotbetrieb ist die Konfiguration auf eine EU-Region (Frankfurt, eu-central-1) hinterlegt. Die TiDB Cloud (PingCAP) unterstützt explizit EU-Regionen und bietet DSGVO-konforme Konfigurationen mit Datenverschlüsselung at-rest und in-transit.

6.2 OpenAI API (Sprachmodell / LLM)

OpenAI hat im Februar 2025 die europaeische Datenresidenz fuer API-Kunden eingefuehrt. Durch Anlegen eines neuen API-Projekts mit der Region 'Europe' werden Daten innerhalb des EWR verarbeitet und gespeichert. Seit dem 1. Maerz 2023 werden ueber die API uebermittelte Daten nicht fuer das Training von OpenAI-Modellen verwendet. OpenAI Ireland Limited (Dublin) fungiert als Datenverantwortlicher fuer EWR-Nutzer. Ein Data Processing Addendum (DPA) mit EU-Standardvertragsklauseln (SCC) gemaess Durchfuehrungsbeschluss (EU) 2021/914 liegt vor.

6.3 ElevenLabs API (Text-to-Speech / Sprachausgabe)

ElevenLabs hat im Mai 2025 die europäische Datenresidenz für Enterprise-Kunden eingeführt. ElevenLabs ist nach dem französischen Gesundheitsdatenstandard HDS zertifiziert und dem EU-US Data Privacy Framework beigetreten. Die an ElevenLabs übermittelten Texte sind ausschließlich die synthetisch generierten Antworten der Patientencharaktere — kein Personenbezug.

6.4 SMTP-E-Mail-Server (KAS / all-inkl.com)

Der E-Mail-Versand erfolgt über den Server kasserver.com des deutschen Hosting-Anbieters all-inkl.com (KAS). Dieser Anbieter hat seinen Sitz in Deutschland und betreibt seine Rechenzentren ausschließlich in Deutschland. Der Datentransfer unterliegt damit vollständig deutschem und europäischem Datenschutzrecht.

6.5 Zusammenfassung EU-Datenresidenz

KomponenteAnbieterSitzEU-DatenresidenzStatus
AnwendungsserverManus / AWSSingapur / EU-RegionJa (EU-Region)konfiguriert
DatenbankTiDB Cloud / PingCAPUSA / EU-RegionJa (Frankfurt)konfiguriert
LLM (Sprachmodell)OpenAI Ireland Ltd.Irland (EWR)Ja (EU-Projekt aktivieren)aktiviert
Text-to-SpeechElevenLabsUSA / EU EnterpriseJa (Enterprise)DPA OK
E-Mail-Versandall-inkl.com (KAS)DeutschlandJa (nativ)sichergestellt
7. Datenschutz-Folgenabschätzung (DSFA)

7.1 Notwendigkeit der DSFA

Kriterium (nach WP248)BewertungBegründung
Bewertung oder ScoringJa (begrenzt)KI-Auswertung der Gesprächsführung
Automatisierte Entscheidung mit RechtswirkungNeinAuswertungen haben keine Prüfungsrelevanz
Systematische ÜberwachungNeinKein Monitoring außerhalb der Simulation
Sensible Daten (Art. 9)NeinKeine Gesundheitsdaten der Lernenden
Daten schutzbedürftiger PersonenBegrenztStudierende (volljährig, freiwillig)
Innovative TechnologieJaKI-gestützte Simulation
DrittlandtransferJa (begrenzt)OpenAI/ElevenLabs mit SCCs
Verhinderung der Ausübung von RechtenNeinKeine Einschränkung von Betroffenenrechten

7.2 Risikoidentifikation und -bewertung

RisikoEintrittsw.SchwereRisikostufeMaßnahme
Unbefugter Zugriff auf GesprächsinhalteGeringMittelMittelVerschlüsselung, Zugangskontrolle
Datenpanne beim Drittanbieter (OpenAI)GeringMittelMittelDPA, EU-Datenresidenz
Zweckentfremdung durch AdministratorenSehr geringMittelGeringRollenbasierte Zugriffskontrolle
Identifizierung von Lernenden durch DritteSehr geringGeringSehr geringPseudonymisierung
Drittlandtransfer ohne angemessenes SchutzniveauGeringMittelMittelSCCs, EU-Datenresidenz

Gesamtbewertung: Das Restrisiko nach Implementierung der beschriebenen Maßnahmen ist als gering bis mittel einzustufen. Ein hohes Risiko im Sinne des Art. 35 DSGVO liegt nicht vor, da keine besonderen Datenkategorien verarbeitet werden, die Teilnahme freiwillig ist und die Auswertungen keine rechtlichen Konsequenzen haben.

8. Technische und organisatorische Maßnahmen (TOMs)

8.1 Technische Maßnahmen

Verschlüsselung: Alle Datenübertragungen erfolgen ausschließlich über TLS 1.2/1.3 (HTTPS). Datenbankverbindungen sind verschlüsselt. Passwörter werden nicht gespeichert (OAuth-basierte Authentifizierung).
Zugangskontrolle: Das System implementiert ein rollenbasiertes Zugriffsmodell (Admin, Author, Learner). Lernende können ausschließlich ihre eigenen Gesprächsdaten einsehen.
Pseudonymisierung: Gesprächsinhalte, die an OpenAI übermittelt werden, enthalten keine direkten Identifikatoren (Name, E-Mail).
Automatische Sitzungsverwaltung: Session-Tokens laufen automatisch ab. Eine manuelle Abmeldung ist jederzeit möglich.
Audit-Logging: Systemzugriffe werden protokolliert. Logs werden nach 90 Tagen automatisch gelöscht.

8.2 Organisatorische Maßnahmen

Einwilligungsmanagement: Vor der Registrierung wird eine informierte Einwilligung eingeholt, die den Verarbeitungszweck, die beteiligten Drittanbieter und die Löschfristen transparent kommuniziert.
Schulung: Alle Personen mit Administratorzugang werden in den Grundsätzen des Datenschutzes geschult.
Löschkonzept: Nach Abschluss des Pilotversuchs werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht. Der Löschvorgang wird dokumentiert.
Datenpannen-Prozess: Im Falle einer Datenpanne wird der Datenschutzbeauftragte unverzüglich informiert. Meldepflichtige Vorfälle werden innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet (Art. 33 DSGVO).
9. Betroffenenrechte

Lernende haben folgende Rechte, die durch entsprechende Prozesse gewährleistet werden:

RechtRechtsgrundlageUmsetzung
AuskunftArt. 15 DSGVOAuf Anfrage werden alle gespeicherten Daten innerhalb von 30 Tagen bereitgestellt
BerichtigungArt. 16 DSGVOE-Mail-Adresse kann durch Administrator geändert werden
LöschungArt. 17 DSGVOAuf Anfrage werden alle Daten sofort gelöscht; Widerruf der Einwilligung möglich
EinschränkungArt. 18 DSGVOVerarbeitung kann auf Anfrage eingeschränkt werden
DatenübertragbarkeitArt. 20 DSGVOGesprächsauswertungen können als PDF exportiert werden
WiderspruchArt. 21 DSGVOWiderruf der Einwilligung beendet die Verarbeitung sofort
Widerruf der EinwilligungArt. 7 Abs. 3 DSGVOJederzeit ohne Angabe von Gründen möglich; keine Nachteile

Anfragen sind an den Datenschutzbeauftragten zu richten. Die Bearbeitungsfrist beträgt maximal einen Monat (Art. 12 Abs. 3 DSGVO). Informationen erhalten Sie unter https://www.charlotte-fresenius-uni.de/datenschutz/informationspflichten/

10. DSGVO-Konformitätsnachweis

Argumente für die DSGVO-Konformität:

Minimale Datenerhebung: Das System erhebt ausschließlich die E-Mail-Adresse als Identifikationsmerkmal. Alle anderen Daten entstehen erst durch die aktive Nutzung des Systems und sind für die Erbringung des Lerndienstes zwingend erforderlich.
Synthetische Patientendaten: Die im System abgebildeten Patientencharaktere sind vollständig fiktiv. Das Risiko einer unbeabsichtigten Verarbeitung sensibler Gesundheitsdaten realer Personen ist strukturell ausgeschlossen.
Freiwillige Teilnahme: Der Pilotversuch basiert auf einer freiwilligen, informierten Einwilligung. Die Teilnahme hat keine Auswirkungen auf Prüfungsleistungen oder Beurteilungen, was die Freiwilligkeit im Sinne des Erwägungsgrunds 43 DSGVO gewährleistet.
EU-Datenverarbeitung: Durch die Aktivierung der EU-Datenresidenz bei OpenAI (EU-Projekt), die Nutzung des deutschen KAS-Mailservers und die Konfiguration der Manus-Plattform auf eine EU-Region werden Drittlandtransfers auf ein Minimum reduziert oder durch SCCs abgesichert.
Keine automatisierten Entscheidungen mit Rechtswirkung: Die KI-Auswertungen der Gesprächsführung dienen ausschließlich dem Lernfeedback. Sie haben keine Prüfungsrelevanz und lösen keine rechtlichen Konsequenzen aus. Art. 22 DSGVO ist damit nicht anwendbar.
Rechenschaftspflicht: Das vorliegende Dokument, die abzuschließenden AVVs und das Einwilligungsformular dokumentieren die Einhaltung der DSGVO-Grundsätze im Sinne des Art. 5 Abs. 2 DSGVO.
11. Referenzen
  1. PingCAP: TiDB Cloud Security (2025)
  2. OpenAI: Introducing data residency in Europe (Februar 2025)
  3. OpenAI: Data controls in the OpenAI platform (2026)
  4. OpenAI: US Privacy Policy — OpenAI Ireland Limited (2026)
  5. OpenAI: Data Processing Addendum (Dezember 2025)
  6. ElevenLabs: Introducing European Data Residency (Mai 2025)
  7. ElevenLabs: Data Processing Addendum (November 2025)
  8. ElevenLabs: HDS Certification Announcement (2025)
  9. ElevenLabs: EU-US Data Privacy Framework Policy
  10. all-inkl.com (KAS): Datenschutz und Rechenzentrum Deutschland
  11. Europäische Kommission: Durchführungsbeschluss (EU) 2021/914 — Standardvertragsklauseln
  12. Artikel-29-Datenschutzgruppe: Leitlinien zur DSFA (WP248)

Dieses Dokument wurde auf Basis der zum Zeitpunkt der Erstellung verfügbaren Informationen erstellt. Es ist bei wesentlichen Änderungen der Systemarchitektur, der eingesetzten Drittanbieter oder der rechtlichen Rahmenbedingungen zu aktualisieren.