Datenschutzerklärung

1. Verantwortlicher

Arndt & Somm GbR

Lichtstr. 26-28
50825 Köln
Vertretungsberechtigte Gesellschafter: Alexander Arndt, Dr. Irene Somm

E-Mail: support@commtrain.de

Wir sind derzeit nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Datenschutzanfragen richten Sie bitte an die oben genannte Kontaktadresse.

2. Zweck der Anwendung

CommTrain ist ein KI-gestütztes Trainingswerkzeug für professionelle Gesprächsführung. Die Anwendung simuliert Gesprächssituationen und gibt Lernfeedback. CommTrain ersetzt keine medizinische Diagnose, Behandlung, Supervision oder Prüfung.

3. Keine echten Patientendaten eingeben

Bitte geben Sie in CommTrain keine echten Patientennamen, keine identifizierenden Angaben zu Dritten und keine vertraulichen Behandlungsdaten ein. Trainingsinhalte, eigene Patientenszenarien und Spracheingaben sollen fiktiv oder ausreichend anonymisiert sein.

4. Welche Daten verarbeitet werden

a) Konto- und Lizenzdaten

Wir verarbeiten E-Mail-Adresse, Authentifizierungsdaten, Rolle, Organisationszuordnung, Einladungsstatus, Lizenz- bzw. Slotdaten, Kontingente, Ablaufdaten und Login-Zeitpunkte.

b) Trainingsdaten

Während der Nutzung speichern wir Gesprächsverläufe, Nutzereingaben, KI-Antworten, Selbstreflexionen, Auswertungen, Scores, Gesprächsstatus und technische Nutzungsdaten wie Modell-/Dienstnutzung und geschätzte Kosten.

c) Audio und Transkription

Wenn Sie Spracheingabe verwenden, wird die Audioaufnahme zur Transkription verarbeitet. Die Audiodatei wird von CommTrain nicht dauerhaft gespeichert; der transkribierte Text kann Teil des Trainingsverlaufs werden.

d) Kontaktformular

Bei Kontaktanfragen verarbeiten wir Name, E-Mail-Adresse, Nachricht und technische Versanddaten, um die Anfrage zu beantworten.

e) Fehler- und Sicherheitsdaten

Zur Fehleranalyse und Sicherheit können technische Daten wie Fehlermeldung, betroffene Route, gekürzte URL, Zeitstempel und technische Kennungen verarbeitet werden. Wir begrenzen diese Daten auf das für Betrieb und Fehlerbehebung erforderliche Maß.

5. Rechtsgrundlagen

  • Konto, Login, Lizenzverwaltung und Training: Art. 6 Abs. 1 lit. b DSGVO.
  • Kontaktanfragen: Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage auf Vertrags- oder Testnutzung gerichtet ist, sonst Art. 6 Abs. 1 lit. f DSGVO.
  • Sicherheit, Fehleranalyse, Missbrauchsvermeidung und technischer Betrieb: Art. 6 Abs. 1 lit. f DSGVO.
  • Technisch notwendige Cookies und lokale Speicherung: erforderlich für Authentifizierung, Sitzungsverwaltung und App-Funktion.

6. Empfänger und eingesetzte Dienste

Wir setzen Dienstleister ein, die personenbezogene Daten ausschließlich für die unten beschriebenen Zwecke verarbeiten. Bei Anbietern außerhalb der EU/des EWR stützen wir Übermittlungen auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), Angemessenheitsbeschlüsse (insbesondere EU-US Data Privacy Framework, soweit der Anbieter zertifiziert ist) oder vergleichbare Garantien gemäß Art. 46 DSGVO.

Supabase

Authentifizierung, Datenbank, Sessionverwaltung, Profile, Lizenzdaten und Einladungs-/Passwortprozesse. Nach unserer Konfiguration werden Projekt- und Datenbankdienste in der EU betrieben.

Vercel

Hosting, Serverless-Funktionen, Auslieferung der Website und technische Serverlogs. Dabei können IP-Adresse, Request-Metadaten und Fehlerdaten verarbeitet werden.

Anthropic (Claude API)

KI-basierte Patientensimulation, Auswertung, Coaching und Erstellung eigener Szenarien. Übermittelt werden die für den jeweiligen KI-Aufruf erforderlichen Texte.
Anbieter: Anthropic, PBC, San Francisco, USA.
Anthropic verarbeitet über die API übermittelte Daten gemäß seinen Commercial Terms zur Erbringung der angefragten Leistung und verwendet sie nach unserem Verständnis nicht zum Training eigener Modelle. Eine kurzfristige Speicherung zu Sicherheits- und Missbrauchsprüfungszwecken kann erfolgen.

Groq (Whisper API)

Speech-to-Text-Transkription von Spracheingaben. Übermittelt werden die für die Transkription erforderlichen Audiodaten.
Anbieter: Groq, Inc., Mountain View, USA.

ElevenLabs

Text-to-Speech und optionaler Conversational-AI-Sprachmodus. Übermittelt werden Texte bzw. Audio-/Dialogdaten, die für Sprachausgabe oder Sprachdialog erforderlich sind.
Anbieter: ElevenLabs, Inc., New York, USA.

Resend

Versand von Kontaktformular-E-Mails sowie transaktionalen E-Mails, soweit entsprechend konfiguriert. Übermittelt werden Empfängeradresse, Inhalt und technische Versanddaten.
Anbieter: Resend, Inc., San Francisco, USA.

Plausible Analytics (selbst betrieben)

Datenschutzfreundliche Reichweitenmessung zur Verbesserung des Angebots. Wir betreiben Plausible Analytics selbst auf eigener Infrastruktur in der EU (Hetzner Online GmbH, Deutschland) unter der Domain stats.tripleadigital.de. Es werden keine Cookies gesetzt, keine geräteübergreifende Wiedererkennung durchgeführt und keine personenbezogenen Daten an Dritte übermittelt. Erfasst werden ausschließlich aggregierte Nutzungsdaten wie Seitenaufrufe, Verweildauer und Herkunftsland. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

7. Cookies und lokale Speicherung

CommTrain verwendet technisch notwendige Cookies für Authentifizierung und Sitzungsverwaltung, insbesondere Supabase-Cookies nach dem Muster sb-*-auth-token und temporär sb-*-code-verifier für Authentifizierungsflüsse. Die Speicherdauer richtet sich nach der jeweiligen Supabase-Session- und Refresh-Token-Konfiguration. Der Browser-Speicher (localStorage bzw. sessionStorage) kann für Kursfortschritt, lokale Historie, Einstellungen und temporäre Sitzungszustände verwendet werden. Tracking-Cookies setzen wir nicht ein.

8. Speicherdauer

Konto- und Lizenzdaten speichern wir für die Dauer der Nutzung bzw. solange dies für Vertragsdurchführung, Nachweis, Sicherheit oder gesetzliche Pflichten erforderlich ist. Trainingsdaten bleiben im Nutzerkonto sichtbar, solange das Konto bzw. der Trainingszugang besteht. Nach Ablauf oder Beendigung eines Lizenzzugangs kann ein Konto nach einer Frist von bis zu 180 Tagen gelöscht werden. Dabei können personenbezogene Bezüge entfernt werden, während anonymisierte oder aggregierte Statistikdaten erhalten bleiben.

9. Sichtbarkeit für Administratoren

Administratoren von CommTrain und, je nach Nutzungskontext, berechtigte Akademie-Administratoren können Konto-, Lizenz-, Nutzungs- und Trainingsdaten einsehen, soweit dies für Verwaltung, Support, Auswertung oder Betrieb erforderlich ist.

10. Datensicherheit und technisch-organisatorische Maßnahmen

Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um Ihre Daten vor Verlust, Missbrauch und unberechtigtem Zugriff zu schützen. Hierzu zählen insbesondere:

  • verschlüsselte Datenübertragung über TLS (HTTPS) für die Kommunikation zwischen Browser, Anwendung und eingebundenen Diensten,
  • Verschlüsselung der Datenbankinhalte im Ruhezustand (Encryption at Rest) bei unserem Datenbankanbieter Supabase,
  • rollenbasierte Zugriffskontrollen und Row-Level Security auf Datenbankebene,
  • regelmäßige Sicherheitsupdates der eingesetzten Frameworks,
  • automatisierte Backups der Datenbank durch den Anbieter Supabase,
  • Datenminimierung bei Fehler- und Telemetriedaten, insbesondere keine vollständigen Anfrageinhalte und keine personenbezogenen Identifier in Stacktraces.

Die Maßnahmen werden regelmäßig überprüft und an den Stand der Technik angepasst.

11. Einsatz künstlicher Intelligenz

CommTrain nutzt generative KI-Modelle zur Simulation von Gesprächen, zur Auswertung und für Lernfeedback. Sie interagieren nicht mit einem echten Patienten. Diese Transparenzinformation erfolgt auch im Sinne von Art. 50 Abs. 1 der Verordnung (EU) 2024/1689 (EU AI Act). KI-generierte Inhalte und Bewertungen können unvollständig oder fehlerhaft sein und haben keine rechtliche, diagnostische, therapeutische oder sonstige verbindliche Wirkung. Eine automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung findet nicht statt.

Nach unserer derzeitigen Einschätzung ist CommTrain kein Hochrisiko-KI-System im Sinne von Art. 6 EU AI Act und Anhang III, da die Anwendung ausschließlich der freiwilligen Aus- und Weiterbildung dient und keine medizinischen, diagnostischen, therapeutischen, prüfungs- oder zugangsrelevanten Entscheidungen trifft.

12. Ihre Rechte

Sie haben nach der DSGVO insbesondere folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an support@commtrain.de.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist insbesondere:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
www.ldi.nrw.de

14. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich technische, organisatorische oder rechtliche Rahmenbedingungen ändern.

Stand: Mai 2026

← Zurück zur Startseite