Datenschutzerklärung für simvoice.online
§ 1 Verantwortliche Stelle
Verantwortliche Stelle im Sinne von Art. 4 Abs. 7 EU-DSGVO ist:
Skills Lab Education
Inhaberin: Anja Teubner
Klaus-Groth-Straße 83
20535 Hamburg
E-Mail: info@skillslab-education.de
Telefon: +49 (0) 176 / 30366126
§ 2 Datenschutzbeauftragte oder Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten bestellt, da die Voraussetzungen nach § 38 BDSG nicht erfüllt sind. Bei Datenschutzanliegen wenden Sie sich bitte an die in § 1 genannte Adresse.
§ 3 Verarbeitete Daten, Übersicht
Im Rahmen der SimVoice-Plattform verarbeiten wir folgende Kategorien personenbezogener Daten:
- Bestandsdaten Lehrkraft-Account (Name, dienstliche E-Mail, Einrichtungs-Zuordnung)
- Inhaltsdaten Konversationen (pseudonyme Transkripte, Konversations-Metadaten)
- Audio-Inhalte der Sprecher:innen (ausschließlich flüchtige Echtzeit-Verarbeitung für Spracherkennung und Sprachsynthese; keine Audio-Aufzeichnung)
- Nutzungs- und Login-Daten (Zeitstempel, Session-IDs, Fall-IDs)
- Technische Daten (IP-Adresse, Browser-Typ, Betriebssystem)
§ 4 Rechtsgrundlagen
Die Verarbeitung erfolgt auf Grundlage von Art. 6 DSGVO:
- Art. 6 Abs. 1 lit. b DSGVO für die Erfüllung des Vertragsverhältnisses mit der Einrichtung (Bereitstellung der Plattform-Funktionen)
- Art. 6 Abs. 1 lit. f DSGVO für berechtigte Interessen (Sicherheit, Logs, Missbrauchsabwehr)
- Art. 6 Abs. 1 lit. a DSGVO für freiwillige Einwilligungen (z.B. Sprachdaten der Auszubildenden, soweit nicht über Vertragserfüllung der Einrichtung abgedeckt)
§ 5 Beim Besuch der Website
Bei jedem Besuch unserer Website werden vom Browser folgende technische Daten an unseren Server übermittelt und in Server-Logs gespeichert:
- IP-Adresse des anfragenden Geräts
- Datum und Uhrzeit des Abrufs
- Inhalt der Anforderung (konkrete Seite)
- Zugriffsstatus, HTTP-Statuscode
- Übertragene Datenmenge
- Referrer-URL
- Browser-Typ und Betriebssystem
Diese Daten werden aus Sicherheitsgründen (Aufklärung von Missbrauch, Stabilität der Plattform) für maximal 7 Tage gespeichert und dann automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
§ 6 Cookies und ähnliche Technologien
Wir verwenden ausschließlich technisch notwendige Cookies und Local-Storage-Einträge, insbesondere ein Session-Cookie für die Authentifizierung angemeldeter Nutzer:innen. Diese sind erforderlich, damit angemeldete Nutzer:innen die Plattform verwenden können. Eine Einwilligung ist hierfür nach § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) nicht erforderlich.
Aktuell setzen wir keine Marketing-, Tracking- oder Analyse-Cookies ein. Falls in Zukunft solche Cookies hinzukommen, werden wir vorher einen entsprechenden Consent-Banner einbinden und die Einwilligung der Nutzer:innen einholen.
§ 7 Account-Anlage und -Nutzung
Für die Anlage eines Lehrkraft-Accounts verarbeiten wir Name, E-Mail-Adresse und Einrichtungs-Zuordnung. Diese Daten werden zur Identifikation, zur Kommunikation und zur Vertragsabwicklung benötigt (Art. 6 Abs. 1 lit. b DSGVO).
Speicherdauer: für die Dauer des Vertragsverhältnisses zwischen der Einrichtung und uns zuzüglich einer Karenzfrist von 30 Tagen. Nach Ablauf werden die personenbezogenen Daten gelöscht oder anonymisiert.
§ 8 Voice-Konversationen, Detailbeschreibung des Datenflusses
Wenn Sie eine Sprachsimulation starten, wird Ihre Stimme in Echtzeit verarbeitet, um Ihre gesprochenen Worte zu verstehen und eine gesprochene Antwort zu erzeugen. Hierfür setzen wir spezialisierte Auftragsverarbeiter für die KI-gestützte Spracherkennung und Sprachsynthese sowie für das Hosting der Plattform ein (Empfänger-Kategorien siehe § 10).
Dabei gelten feste Schutzgrundsätze:
- Audio-Inhalte werden zu keinem Zeitpunkt gespeichert. Sie werden ausschließlich flüchtig in Echtzeit verarbeitet und danach verworfen.
- Es entstehen ausschließlich pseudonyme Gesprächs-Transkripte ohne Klarnamen der Sprecher:innen. Diese werden nach maximal 14 Tagen ab dem Gesprächsdatum automatisch und endgültig gelöscht.
- Die Gespräche werden nicht zum Training von KI-Modellen verwendet.
- Die ruhenden Plattform-Daten werden in der Europäischen Union (Frankfurt) gehostet.
Hinweis zur Sprecher-Verantwortung: Für die Verarbeitung der Sprache von Auszubildenden, Schülerinnen und Schülern oder Studierenden ist die jeweilige Einrichtung (Schule, Hochschule, Klinik) datenschutzrechtlich verantwortlich. Die Einrichtung stellt eine wirksame Rechtsgrundlage (in der Regel die freiwillige Einwilligung nach Art. 6 Abs. 1 lit. a und Art. 7 DSGVO) sicher. SLE stellt der Einrichtung eine Informations- und Einwilligungsvorlage zur Verfügung. SimVoice ist ein reines Übungs-Werkzeug; eine Bewertung, Benotung, Prüfung oder Eignungsbeurteilung der Sprecher:innen findet auf der Plattform nicht statt. Es gilt ein Mindestalter von 16 Jahren für die Nutzung. Echte Patientendaten und eigene Gesundheitsdaten der Sprecher:innen dürfen nicht in das System eingegeben werden.
§ 9 Auswertung und Statistik
Wir erstellen aggregierte Nutzungsstatistiken (Anzahl Sessions, durchschnittliche Sitzungsdauer, Minuten pro Monat), um die Plattform zu verbessern. Diese Statistiken enthalten keine personenbezogenen Daten und ermöglichen keine Rückschlüsse auf Einzelpersonen. Es findet keine Profilbildung und keine automatisierte Einzelfall-Entscheidung im Sinne von Art. 22 DSGVO statt.
Zur Qualitätssicherung der Plattform (technischer Support, Sicherheitsvorfall-Analyse, Prüfung der Plattform-Funktion) kann ein eng begrenzter Kreis administrativer SLE-Konten auf pseudonyme Transkripte zugreifen. Dieser Zugriff ist zweckgebunden, wird mit Anlass im Audit-Log dokumentiert und bleibt zeitlich an die 14-Tage-Retention gebunden. Eine Verwendung der Daten zum Training von KI-Modellen oder zu Werbe-Zwecken findet nicht statt.
§ 10 Empfänger der Daten
Zur Bereitstellung der Plattform setzen wir sorgfältig ausgewählte Auftragsverarbeiter nach Art. 28 DSGVO ein. Die Empfänger lassen sich folgenden Kategorien zuordnen:
- Anbieter für die KI-gestützte Sprachverarbeitung (Spracherkennung, Antwortgenerierung, Sprachsynthese)
- Anbieter für Hosting und Infrastruktur der Plattform, einschließlich der Datenbank mit Hosting in der EU (Frankfurt)
- Anbieter für den Versand transaktionaler E-Mails (z. B. Anmelde-Codes, Passwort-Zurücksetzung)
- Anbieter für die Domain- und DNS-Verwaltung
Mit allen Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO. Die vollständige, namentliche Liste unserer Subprozessoren stellen wir den nutzenden Einrichtungen im Rahmen des Auftragsverarbeitungsvertrags sowie betroffenen Personen auf Anfrage über die in § 1 genannte Adresse bereit.
§ 11 Drittland-Transfers
Ein Teil unserer Auftragsverarbeiter verarbeitet personenbezogene Daten in den USA. Diese Übermittlungen stützen wir je nach Anbieter auf den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF) und/oder auf die EU-Standardvertragsklauseln (SCC) nach dem Durchführungsbeschluss (EU) 2021/914 nebst ergänzenden Schutzmaßnahmen. Die ruhenden Plattform-Daten werden in der EU (AWS-Region Frankfurt) gehostet; der Versand transaktionaler E-Mails erfolgt über einen Anbieter mit Sitz und Hosting in der EU.
Zu den Drittland-Transfers ist ein Transfer Impact Assessment (TIA) nach der EDPB-Recommendation 01/2020 dokumentiert; ein Auszug kann auf Anforderung bereitgestellt werden. Eine Übermittlung in andere Drittländer ohne geeignete Garantie nach Kapitel V DSGVO erfolgt nicht.
§ 12 Ihre Rechte als betroffene Person
Sie haben folgende Rechte:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht, einer ausschließlich automatisierten Entscheidung (einschließlich Profiling) nicht unterworfen zu werden (Art. 22 DSGVO)
- Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Zuständige Aufsichtsbehörde für SLE ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Straße 22, 20459 Hamburg.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die in § 1 genannte Kontaktadresse.
§ 13 Speicher- und Löschfristen, Übersicht
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Server-Logs | 7 Tage |
| Auth-Daten Lehrkraft-Account | Vertragslaufzeit + 30 Tage Karenz |
| Pseudonyme Konversations-Transkripte | max. 14 Tage ab Gespräch, anschließend automatische Löschung |
| Audio-Inhalte der Sprecher:innen | nicht persistiert |
| Aggregierte Statistik (ohne Personenbezug) | unbegrenzt |
| Rechnungen und steuerlich relevante Unterlagen | 6 Jahre (§ 257 HGB) bzw. 10 Jahre (§ 147 AO) |
§ 14 Stand und Änderungen
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 09.06.2026. Bei wesentlichen Änderungen informieren wir die zuständigen Einrichtungen per E-Mail. Sofern die Änderungen Einwilligungen oder Vertragsverhältnisse betreffen, erfolgen sie nur mit der jeweils erforderlichen Zustimmung.
Hinweis zu Sprecher:innen: Die Plattform ist ein reines Übungs- und Reflexions-Werkzeug. Eine Bewertung, Benotung, Prüfung oder Eignungsbeurteilung der Sprecher:innen findet nicht statt. Eine automatisierte Einzelfall-Entscheidung im Sinne von Art. 22 DSGVO erfolgt nicht. SimVoice ist nach derzeitigem Kenntnisstand der Verordnung (EU) 2024/1689 (AI Act) kein Hochrisiko-KI-System im Sinne von Anhang III dieser Verordnung. Es gilt ein Mindestalter von 16 Jahren für die Nutzung.