Medudy ReviewZur Anmeldung

Datenschutzerklärung – Medudy Review

Stand: April 2026

1. Einleitung

Im Folgenden informieren wir über die Verarbeitung personenbezogener Daten bei der Nutzung des Medudy-Review-Tools (im Folgenden „Tool" oder „Plattform"). Personenbezogene Daten sind alle Daten, die auf eine konkrete natürliche Person beziehbar sind, z. B. Name, E-Mail-Adresse oder IP-Adresse.

Diese Datenschutzerklärung gilt ausschließlich für das Medudy-Review-Tool. Für die Marketing-Website https://medudy.com gilt eine separate Datenschutzerklärung.

1.1. Verantwortlicher

Verantwortlicher gem. Art. 4 Abs. 7 DSGVO ist:

medudy GmbH
Nobistor 16
22767 Hamburg
Deutschland
E-Mail: info@medudy.com

Gesetzlich vertreten werden wir durch Felix Stockmar, Felix Leimer, Lucas Krauße.

1.2. Datenschutzbeauftragter

Unser Datenschutzbeauftragter ist über die heyData GmbH, Schützenstraße 5, 10117 Berlin, www.heydata.eu, E-Mail: datenschutz@heydata.eu erreichbar.

1.3. Rechtsgrundlagen der Verarbeitung

Als Rechtsgrundlage für eine Datenverarbeitung kommen grundsätzlich die folgenden in Betracht:

  • Art. 6 Abs. 1 S. 1 lit. a DSGVO – Einwilligung der betroffenen Person (z. B. wenn ein Reviewer auf den Einladungslink klickt und Feedback gibt).
  • Art. 6 Abs. 1 S. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (z. B. interne Mitarbeitende, die das Tool im Rahmen ihrer Tätigkeit nutzen).
  • Art. 6 Abs. 1 S. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (z. B. handels- oder steuerrechtliche Aufbewahrungspflichten).
  • Art. 6 Abs. 1 S. 1 lit. f DSGVO – Berechtigtes Interesse (z. B. für den technischen Betrieb des Tools, Server-Logfiles zur IT-Sicherheit).

1.4. Speicherdauer

Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, werden die bei uns gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird ihre Verarbeitung eingeschränkt, d. h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet.

1.5. Rechte der Betroffenen

Betroffene haben gegenüber uns folgende Rechte hinsichtlich der sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO),
  • Recht auf Berichtigung oder Löschung (Art. 16, 17 DSGVO),
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  • Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO).

Betroffene haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung ihrer personenbezogenen Daten zu beschweren. Kontaktdaten der Datenschutz-Aufsichtsbehörden sind unter https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html abrufbar.

Anfragen zu diesen Rechten richten Sie bitte an info@medudy.com oder an unseren Datenschutzbeauftragten (siehe 1.2).

1.6. Pflicht zur Bereitstellung von Daten

Mitarbeitende und externe Reviewer müssen uns nur diejenigen personenbezogenen Daten bereitstellen, die für die Begründung, Durchführung und Beendigung der Geschäftsbeziehung oder für die Nutzung des Tools erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten ist eine Nutzung des Tools in der Regel nicht möglich.

1.7. Keine automatische Entscheidungsfindung im Einzelfall

Wir nutzen im Tool keine vollautomatisierte Entscheidungsfindung gemäß Art. 22 DSGVO. Akzeptierte Textänderungen können auf Wunsch des Projektmanagers durch ein KI-Modell (siehe 3.3) in den Sprechertext eingearbeitet werden – dies ist jedoch eine reine Textbearbeitung und keine Entscheidungsfindung mit rechtlicher Wirkung.

1.8. Datenverarbeitung außerhalb des EWR

Soweit wir Daten an Dienstleister oder sonstige Dritte außerhalb des EWR übermitteln, garantieren Angemessenheitsbeschlüsse der EU-Kommission nach Art. 45 Abs. 3 DSGVO die Sicherheit der Daten bei der Weitergabe, soweit diese vorhanden sind. Für die USA findet zusätzlich das EU-US-Data Privacy Framework Anwendung, soweit der jeweilige Anbieter zertifiziert ist.

Wo kein Angemessenheitsbeschluss greift, sind Rechtsgrundlage für die Datenweitergabe die EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO, ergänzt um geeignete technische und organisatorische Maßnahmen wie Verschlüsselung in Transit und at-rest.

2. Welche Daten wir im Tool verarbeiten

2.1. Daten interner Mitarbeitender (Accounts)

Für die Nutzung des Tools durch Medudy-Mitarbeitende (Admins, Projektmanager, Medical Writer, Designer) verarbeiten wir:

  • E-Mail-Adresse (Pflicht, dient als Login)
  • Name (optional, vom Mitarbeitenden selbst angegeben)
  • Rolle im Tool (Admin / PM / Writer / Designer)
  • Passwort (nur als kryptographischer Hash, das Klartext-Passwort wird niemals gespeichert)
  • Zeitstempel der Account-Erstellung und letzten Anmeldung
  • Projekt-Mitgliedschaften (welcher Mitarbeitende ist welchem Projekt in welcher Rolle zugeordnet)

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertrag bzw. Beschäftigungsverhältnis) bzw. Art. 88 DSGVO i. V. m. § 26 BDSG.

2.2. Daten externer Nutzer (Reviewer)

Externe Nutzer erhalten einen individuellen, tokenbasierten Magic Link zum Tool und benötigen keinen eigenen Account. Wir verarbeiten:

  • Name
  • E-Mail-Adresse
  • Zugriffstoken und Zeitpunkt des Zugriffs
  • Inhalt des abgegebenen Feedbacks (Kommentare, Textänderungs-Vorschläge)
  • Zeitpunkt der Freigabe einer Feedback-Runde

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an der Durchführung des Review-Prozesses) sowie Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung durch Annahme der Einladung).

2.3. Inhaltsdaten

Im Tool werden inhaltlich verarbeitet:

  • Hochgeladene Präsentationsfolien (PNG/JPG-Bilddateien); diese enthalten in der Regel keine personenbezogenen Daten, können aber z. B. Bilder von Kursleitenden oder Studienautoren enthalten.
  • Sprechertexte zu den Folien (medizinische Fortbildungsinhalte).
  • Versionen-Snapshots, die für jede abgeschlossene Review-Runde als Archiv gespeichert werden.
  • Kommentare und Antworten von Reviewern und Mitarbeitenden.

Diese Inhalte werden ausschließlich im Auftrag der Medudy GmbH zur Erstellung medizinischer Fortbildungsmaterialien verarbeitet. Es werden keine Patienten- oder Gesundheitsdaten im Sinne von Art. 9 DSGVO im Tool verarbeitet.

2.4. Server-Logdaten

Beim Zugriff auf das Tool werden technische Daten erhoben, die zur Bereitstellung und IT-Sicherheit erforderlich sind:

  • IP-Adresse (gekürzt soweit möglich)
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • Browser-Typ und Betriebssystem
  • Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit des Tools). Diese Daten werden spätestens nach 30 Tagen gelöscht oder anonymisiert.

3. Eingesetzte Auftragsverarbeiter

Mit allen unten genannten Anbietern haben wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

3.1. Vercel (Hosting)

Wir hosten das Tool bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Die Anwendung läuft in der EU-Region Frankfurt (fra1).

Verarbeitete Daten: alle vom Browser an die Anwendung übermittelten Daten (Inhalts-, Nutzungs-, Meta-/Kommunikationsdaten, IP-Adressen) während der Auslieferung. Server-Logs werden bis zu 30 Tage durch Vercel gespeichert. Vercel speichert keine Inhaltsdaten persistent (diese liegen in unserer Datenbank bei Supabase, siehe 3.2).

Drittlandübermittlung: Während die Compute-Region in der EU liegt, kann es zu Datenübermittlungen an die Vercel-Konzernmutter in den USA kommen (z. B. für Support oder Auditing). Rechtsgrundlage hierfür sind die EU-Standardvertragsklauseln im DPA von Vercel.

Datenschutzerklärung des Anbieters: https://vercel.com/legal/privacy-policy.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse, das Tool zuverlässig bereitzustellen).

3.2. Supabase (Datenbank, Authentifizierung, Datei-Speicher)

Datenbank, Authentifizierungsdienst und Datei-Speicher (Slide-Bilder) werden betrieben durch Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992. Die Daten werden in der AWS-Region eu-central-1 (Frankfurt am Main) verarbeitet und gespeichert.

Verarbeitete Daten: alle in 2.1, 2.2 und 2.3 genannten personenbezogenen Daten und Inhaltsdaten. Daten werden im Ruhezustand (at-rest) und während der Übertragung (in-transit) verschlüsselt.

Datenschutzerklärung des Anbieters: https://supabase.com/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. b und f DSGVO (Vertragserfüllung und berechtigtes Interesse am sicheren Datenbankbetrieb).

3.3. Anthropic (KI-gestützte Texteinarbeitung)

Auf Wunsch des Projektmanagers können angenommene Text-Kommentare durch das KI-Sprachmodell „Claude" der Anthropic PBC, 548 Market St., PMB 90375, San Francisco, CA 94104, USA in die Sprechertexte eingearbeitet werden.

Verarbeitete Daten: der jeweilige Sprechertext einer Folie sowie die akzeptierten Text-Kommentare als Prompt-Eingabe. Es werden keine Account- oder Identifikationsdaten mit-übermittelt. Die Verarbeitung erfolgt ausschließlich, wenn der PM die Funktion explizit auslöst.

Anthropic speichert API-Eingaben standardmäßig 30 Tage zu Trust-&-Safety-Zwecken und nutzt sie nicht zum Trainieren ihrer Modelle (Anthropic Commercial Terms).

Drittlandübermittlung: USA, gestützt auf EU-Standardvertragsklauseln. Datenschutzerklärung: https://www.anthropic.com/legal/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Bearbeitung von Reviewer-Feedback).

3.4. Postmark (transaktionaler E-Mail-Versand)

Einladungen, Account-Bestätigungen und Benachrichtigungen über abgeschlossene Feedback-Runden versenden wir über Postmark, einen Dienst der ActiveCampaign LLC, 1 N Dearborn St, 5th Floor, Chicago, IL 60602, USA.

Verarbeitete Daten: Empfänger-E-Mail-Adresse, Betreff, Inhalt der E-Mail (mit Namen, Projektnamen, Versions-/Feedback-Zahlen). Postmark speichert versendete E-Mails bis zu 45 Tage zu Diagnose-Zwecken.

Drittlandübermittlung: USA, gestützt auf EU-Standardvertragsklauseln. Datenschutzerklärung: https://postmarkapp.com/privacy-policy.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. b und f DSGVO (Vertragserfüllung gegenüber Mitarbeitenden bzw. berechtigtes Interesse an der Information von Reviewern).

3.5. GitHub (Quellcode-Verwaltung)

Der Quellcode des Tools wird in einem privaten Repository bei der GitHub, Inc., 88 Colin P. Kelly Jr. Street, San Francisco, CA 94107, USA verwaltet. Im Quellcode selbst sind keine personenbezogenen Daten unserer Nutzer enthalten.

Verarbeitete Daten: technische Code-Inhalte, Commit-Metadaten der Entwickler (E-Mail-Adressen, Namen). Keine Nutzerdaten des Review-Tools.

Drittlandübermittlung: USA, gestützt auf EU-Standardvertragsklauseln. Datenschutzerklärung: GitHub General Privacy Statement.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an einer professionellen Source-Code-Verwaltung).

4. Cookies und lokale Speicherung

Das Tool setzt ausschließlich technisch notwendige Cookies und Local-Storage-Einträge zur Aufrechterhaltung der Anmelde-Session und der Anwendungsfunktion (z. B. Spracheinstellung, Schließen des Hilfe-Banners für Reviewer). Tracking- oder Analyse-Cookies werden nicht eingesetzt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG i. V. m. Art. 6 Abs. 1 S. 1 lit. f DSGVO.

5. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um die Sicherheit der personenbezogenen Daten zu gewährleisten, unter anderem:

  • Verschlüsselung der Datenübertragung per TLS (HTTPS)
  • Verschlüsselung der Datenbank- und Storage-Inhalte at-rest bei Supabase
  • Rollen- und rechtebasiertes Zugriffskonzept (Admins, PMs, Writer, Designer mit unterschiedlichen Rechten)
  • Token-basierter Reviewer-Zugang mit Möglichkeit zur sofortigen Deaktivierung
  • Regelmäßige Backups der Datenbank durch Supabase mit Point-in-Time-Recovery
  • Trennung von Produktions- und Entwicklungs-Umgebung mit getrennten Datenbeständen

6. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung mit Wirkung für die Zukunft zu ändern, insbesondere wenn sich der eingesetzte Technologie-Stack oder die Auftragsverarbeiter ändern. Eine aktuelle Version ist jeweils auf dieser Seite verfügbar.

7. Fragen und Kommentare

Für Fragen oder Kommentare zu dieser Datenschutzerklärung stehen wir unter info@medudy.com oder über unseren Datenschutzbeauftragten (siehe 1.2) gerne zur Verfügung.

ImpressumDatenschutz