Zum Hauptinhalt springen
HPP-Bestehen

Datenschutzerklärung

Stand: 20. Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Jonathan Brinkmann

Wittekindallee 1, 32423 Minden

E-Mail:

2. Überblick der Datenverarbeitung

HPP-Bestehen ist eine Lernplattform für angehende Heilpraktiker für Psychotherapie. Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist.

3. Hosting und Infrastruktur

Vercel

Diese Website wird bei Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Beim Besuch unserer Website werden automatisch Informationen (z.B. IP-Adresse, Zeitpunkt des Zugriffs) in Server-Logfiles gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung der Website).

Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Mit Vercel wurde ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) geschlossen. Server-Logs werden nach maximal 30 Tagen gelöscht.

Vercel Web Analytics (Reichweitenmessung)

Zur Auswertung der Seitenreichweite (Anzahl Seitenaufrufe, besuchte Seiten, ungefähre Herkunftsregion, Geräteklasse, Referrer) setzen wir Vercel Web Analytics ein. Der Dienst arbeitet ohne Cookies, ohne Browser-Fingerprinting und ohne Speicherung von IP-Adressen oder anderen direkt identifizierenden Merkmalen. Für die Wiedererkennung wiederkehrender Besuche innerhalb eines Tages wird ein täglich rotierender, anonymer Hash-Wert verwendet, der nicht mit Ihrem Konto oder Ihrer Identität verknüpft werden kann.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Reichweitenanalyse zur Verbesserung des Angebots). Da keine Informationen im Endgerät gespeichert oder ausgelesen werden, ist eine Einwilligung nach § 25 TDDDG nicht erforderlich. Die aggregierten Auswertungsdaten werden bei Vercel gespeichert; Vercel ist EU-US-Data-Privacy-Framework-zertifiziert, ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist geschlossen.

4. Authentifizierung und Benutzerkonto

Supabase

Für die Benutzerregistrierung und -anmeldung verwenden wir Supabase (Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992). Dabei werden folgende Daten verarbeitet:

  • E-Mail-Adresse
  • Benutzername
  • Verschlüsseltes Passwort (gehashter Wert)
  • Zeitpunkt der Registrierung und letzten Anmeldung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mit Supabase wurde ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) geschlossen. Konto- und Anmeldedaten werden bis zur Löschung Ihres Kontos gespeichert. Nach Kontolöschung werden die Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Google OAuth

Optional können Sie sich über Ihr Google-Konto anmelden. Dabei erhalten wir von Google Ihren Namen und Ihre E-Mail-Adresse. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

5. KI-Verarbeitung

Nebius AI Studio

Für die Simulation von Patientengesprächen, Hinweisen, Prüfer- Interaktion und Auswertung nutzen wir Open-Weight-KI-Modelle (z. B. Llama- und Qwen-Modellfamilien), die über die Nebius B.V. (Schiphol-Rijk, Niederlande) bereitgestellt werden. Die Inferenz erfolgt in Rechenzentren innerhalb der EU (Standort Finnland). Beim Anstoßen einer Simulation werden Ihre Gesprächsnachrichten an die Nebius-API übermittelt.

  • Es werden keine echten Patientendaten verarbeitet.
  • Die Verarbeitung findet ausschließlich innerhalb der EU statt — kein Drittlandtransfer.
  • Die Gesprächsdaten werden nicht dauerhaft bei Nebius gespeichert und nicht für das Training von Modellen verwendet (vertraglich ausgeschlossen).
  • Die Übertragung erfolgt verschlüsselt (TLS).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Kernfunktionalität).

Mit Nebius besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Einzelne Sitzungsprotokolle werden auf unseren Servern höchstens 30 Tage zu Auswertungszwecken vorgehalten und danach gelöscht bzw. anonymisiert.

Hinweis: Geben Sie in den Simulationen dennoch keine realen Gesundheits- oder Patientendaten ein — auch keine eigenen. Die Patientinnen und Patienten sind vollständig fiktiv; reale Gesundheitsdaten fallen unter Art. 9 DSGVO (besondere Kategorien) und sollen nur dann verarbeitet werden, wenn dies für die Diensterbringung tatsächlich notwendig ist.

4a. Mail-Hosting

Netcup

Die E-Mail-Postfächer info@, kontakt@ und support@hpp-bestehen.de werden bei der netcup GmbH (Daimlerstraße 25, 76185 Karlsruhe, Deutschland) gehostet. Wenn Sie uns eine E-Mail schreiben, verarbeitet Netcup als Auftragsverarbeiter Absenderadresse, Inhalte und Metadaten des Mailverkehrs zur Zustellung und Speicherung der Nachricht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kontaktanfrage) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation). Mit Netcup wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen; der Serverstandort liegt in Deutschland.

5a. Automatisierte Entscheidungsfindung

Die KI-gestützte Auswertung Ihrer Übungsgespräche (z. B. Empathie-Score, Diagnose-Rückmeldung) ist eine automatisierte Verarbeitung im weiteren Sinne. Sie entfaltet jedoch keine rechtliche Wirkung und keine ähnlich erhebliche Beeinträchtigung im Sinne von Art. 22 Abs. 1 DSGVO — die Ergebnisse dienen ausschließlich Ihrer persönlichen Übung und fließen nicht in Prüfungs-, Zulassungs- oder Behandlungsentscheidungen ein.

Involvierte Logik: Ein Large-Language-Model vergleicht Ihre Gesprächsführung mit vorgegebenen Musterlösungen und bewertet Kategorien wie Anamnesequalität, Differenzialdiagnostik und rechtliche Abklärung. Die Bewertung kann fehlerhaft sein und ersetzt keine Rückmeldung durch ausbildende Fachpersonen. Sie können der KI-Auswertung jederzeit widersprechen und eine Löschung der Bewertungsergebnisse verlangen.

6. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies und lokalen Speicher (localStorage) für:

  • Authentifizierung und Session-Management
  • Speicherung Ihrer Cookie-Einstellungen
  • Zustandsverwaltung der Anwendung

Marketing- oder Tracking-Cookies werden nicht eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. § 25 Abs. 2 TDDDG (technisch notwendige Cookies).

7. Sitzungsdaten und Fortschritt

Wenn Sie ein Benutzerkonto erstellen, speichern wir Ihre abgeschlossenen Simulationssitzungen (Diagnose, Bewertung, Zeitpunkt), um Ihren Lernfortschritt darzustellen. Diese Daten sind ausschließlich für Sie sichtbar.

Speicherdauer: Fortschrittsdaten werden bis zur Löschung Ihres Kontos gespeichert. Sie können einzelne Sitzungen jederzeit in Ihrem Profil löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Text-to-Speech (TTS)

Optional können Patientenantworten per Sprachausgabe vorgelesen werden. Die Sprachsynthese erfolgt vollständig lokal in Ihrem Browser über die Web Speech API (SpeechSynthesis). Es werden dafür keine Texte an einen externen Dienst übermittelt; welche Stimme zur Verfügung steht, hängt von Ihrem Betriebssystem ab.

8a. Hinweis nach EU-KI-Verordnung (AI Act)

HPP-Bestehen ist ein KI-basiertes Lernsystem. Gemäß Art. 50 der Verordnung (EU) 2024/1689 weisen wir ausdrücklich darauf hin, dass Sie in den Simulationen mit einem KI-System interagieren und dass sämtliche Patientenäußerungen, Bewertungen und Auswertungstexte vollständig KI-generiert sind. Es handelt sich nicht um echte Personen oder reale Fälle.

9. Ihre Rechte

Sie haben nach der DSGVO folgende Rechte:

  • Auskunft (Art. 15 DSGVO) — welche Daten wir über Sie speichern
  • Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten
  • Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten
  • Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung
  • Widerruf — erteilte Einwilligungen jederzeit widerrufen

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter der oben genannten E-Mail-Adresse.

10. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren.

11. Datenübermittlung in Drittländer

Die KI-Inferenz (Nebius) und die Authentifizierungs-/Daten-Schicht (Supabase, Region Frankfurt) finden innerhalb der EU statt. Vercel (Hosting/CDN) und ggf. Google (nur bei aktivem OAuth-Login) haben ihren Sitz in den USA. Für diese US-Übermittlungen erfolgt die Übertragung auf Grundlage des EU-US Data Privacy Framework bzw. der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

11a. Transparenz-Übersicht

Eine zusammenfassende Darstellung des Datenflusses, der Anbieter und der Speicherfristen — inklusive Datenfluss-Diagramm — finden Sie auf unserer Transparenzseite.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes oder der Datenverarbeitung anzupassen. Die aktuelle Fassung ist stets auf dieser Seite abrufbar.