Datenschutzerklärung

Stand: 22.05.2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform ist:

[Vor- und Nachname]
[Straße Hausnummer]
[PLZ Ort]
E-Mail: kontakt@pramundi.de

2. Grundlegendes

Pramundi ist eine Lernplattform zur Vorbereitung auf die amtsärztliche Heilpraktikerprüfung. Wir verarbeiten personenbezogene Daten ausschließlich zur Bereitstellung dieses Lerndienstes und auf Grundlage der DSGVO sowie des BDSG. Die Plattform speichert keine medizinischen Daten der Nutzer im Sinne von Art. 9 DSGVO — gespeichert wird ausschließlich der Lernfortschritt zu Prüfungsfragen.

3. Welche Daten wir verarbeiten

3.1 Registrierte Nutzer

  • E-Mail-Adresse (für Login, Passwort-Reset und ggf. Benachrichtigungen)
  • Anzeigename (optional, frei wählbar)
  • Passwort — gespeichert ausschließlich als gesalzener argon2id-Hash, niemals im Klartext
  • Zeitstempel der Registrierung und der letzten Änderung des Profils

3.2 Lernfortschritt

  • Beantwortungs-Versuche pro Frage (gewählte Antworten, richtig/ falsch, Zeitstempel) — für die persönlichen Statistiken und den Wiederhol-Modus
  • Klausur-Sessions (Start-/End-Zeit, gewählte Fragen, Ergebnis) — für die Klausur-Historie

3.3 Passwort-Reset-Token

  • SHA-256-Hash des per Mail versendeten Reset-Tokens (Klartext-Token kennt nur der Nutzer aus der Mail)
  • Gültigkeitsdauer 1 Stunde, danach automatisch invalide; nach Verbrauch als „used" markiert
  • IP-Adresse des Reset-Antrags (Missbrauchserkennung, 7 Tage)

3.4 Technische Protokolldaten

Zur Fehleranalyse und Missbrauchserkennung speichert der Server technische Logdaten (Zeitstempel, IP-Adresse, User-Agent, aufgerufene URL). Diese Daten werden nach 14 Tagen gelöscht, sofern sie nicht für konkrete Sicherheitsvorfälle benötigt werden.

4. Zwecke und Rechtsgrundlagen

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Bereitstellung der Lernplattform, Speicherung des Lernfortschritts, Bearbeitung von Passwort-Resets.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — IT-Sicherheit, Fehleranalyse, Missbrauchserkennung.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — gesetzliche Aufbewahrungsfristen sobald zahlungspflichtige Funktionen aktiv werden (Buchhaltung nach AO, 10 Jahre).

5. Auftragsverarbeiter und Drittanbieter

Wir setzen folgende Auftragsverarbeiter zur Bereitstellung des Dienstes ein — alle mit Sitz in der Europäischen Union:

  • Hosting: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland (Server-Standort: Frankfurt)
  • E-Mail-Versand (SMTP): IONOS SE — für Passwort-Reset-Mails und ggf. Benachrichtigungen

Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Eine Datenübermittlung in Drittländer findet nicht statt.

6. Speicherdauer

  • Aktive Nutzerkonten: solange das Konto besteht
  • Gelöschte Konten: unverzüglich gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen
  • Protokolldaten: 14 Tage
  • Passwort-Reset-Token: 1 Stunde, danach automatisch invalide
  • Backups: verschlüsselt, rollierend 30 Tage

7. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO) — Anfrage per E-Mail an kontakt@pramundi.de
  • Berichtigung (Art. 16 DSGVO) — direkt im Profil oder per E-Mail
  • Löschung (Art. 17 DSGVO) — per E-Mail, wir bestätigen innerhalb von 7 Tagen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — JSON-Export auf Anfrage
  • Widerspruch (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

8. Cookies und lokale Speicher

Wir verwenden ausschließlich technisch notwendige Cookies:

  • pramundi_token — HttpOnly-Session-Cookie nach Login, gültig 7 Tage, SameSite=Lax, Secure-Flag in Produktion

Es werden keine Tracking-, Werbe- oder Analyse-Cookies eingesetzt. Schriftarten (Newsreader, Funnel Sans) werden lokal vom eigenen Server ausgeliefert — es findet keine Verbindung zu Google Fonts oder anderen Drittanbietern statt.

9. Sicherheit

Die Verbindung zur Plattform ist durchgängig mit TLS verschlüsselt (Let's Encrypt). Passwörter werden ausschließlich als argon2id- Hash gespeichert. Die Datenbank läuft auf einem Server mit verschlüsseltem Volume und ist nicht direkt aus dem Internet erreichbar.

10. Änderungen dieser Erklärung

Wir passen die Datenschutzerklärung an, sobald sich die Rechtslage oder unsere Dienste ändern. Die aktuelle Fassung ist jederzeit unter dieser URL abrufbar.

Hinweis (intern): Diese Vorlage spiegelt den aktuellen technischen Stand der Plattform wider. Vor Public-Launch bitte durch rechtliche Beratung prüfen lassen, insbesondere wenn Payment-Integration (Stripe / Lemon Squeezy) hinzukommt — dann müssen die jeweiligen Auftragsverarbeiter ergänzt werden.