THROMIC GMBH

Medizinische Fortbildungsplattform

Datenschutzinformation gemäß Art. 13 und 14 DSGVO

Stand: 27. Juni 2026

Geltung und Hinweise zu dieser Datenschutzinformation

Diese Datenschutzinformation gilt für alle Personen, deren personenbezogene Daten Thromic im Zusammenhang mit der Website und der Plattform verarbeitet. Sie richtet sich an drei Personengruppen:

– Besucher der Website, die kein Vertragsverhältnis eingehen und sich nicht auf der Plattform anmelden;

– die vertragsschließende medizinische Einrichtung (nachfolgend "Kunde" oder "Einrichtung");

– die einzelnen Teilnehmer der Fortbildung (Ärzte, Pflege- und Transportpersonal sowie sonstige Nutzer).

Für Sie als Besucher der Website sind insbesondere die Angaben in Abschnitt 3 (Datenverarbeitung beim Besuch der Website), Abschnitt 8 (Speicherdauer) und Abschnitt 9 (Ihre Rechte) maßgeblich.

Für Sie als Teilnehmer sind insbesondere die Angaben zu den Nutzerdaten (Abschnitt 4.2), den technischen Nutzungsdaten (Abschnitt 4.3), den Verarbeitungszwecken (Abschnitt 5), der Speicherdauer (Abschnitt 8) und Ihren Rechten (Abschnitt 9) maßgeblich. Die Angaben zu Vertrags-, Zahlungs- und Buchhaltungsdaten betreffen die vertragsschließende Einrichtung.

Soweit in dieser Information von "Kunde" oder "Einrichtung" die Rede ist, ist die vertragsschließende medizinische Einrichtung gemeint. Mit "Sie" sind je nach Zusammenhang Sie als Besucher oder als Teilnehmer angesprochen.

Diese Information wird Ihnen als Teilnehmer beim ersten Login zur Kenntnis gebracht und ist für Besucher jederzeit auf der Website abrufbar. Beim ersten Login stimmen Sie als Teilnehmer den Nutzungsregeln zu und bestätigen die Kenntnisnahme dieser Datenschutzinformation. Diese Zustimmung zu den Nutzungsregeln ist eine vertragliche Zustimmung (vergleichbar mit dem Akzeptieren von Nutzungsbedingungen), keine datenschutzrechtliche Einwilligung. Die Datenverarbeitung selbst stützt sich nicht auf Ihre Einwilligung, sondern auf die Durchführung des Nutzungsverhältnisses sowie auf berechtigte Interessen (Art. 6 Abs. 1 lit. b und f DSGVO). Eine Ausnahme bildet das Kontaktformular, dessen Nutzung freiwillig ist.

1. Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Thromic GmbH

Krummbogen 16

35039 Marburg

Deutschland

Geschäftsführer: Dr. Holger Hackstein

E-Mail: info@thromic.de

Handelsregister: Amtsgericht Marburg, HRB 9012

2. Grundsätze der Datenverarbeitung

Thromic verarbeitet personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie den einschlägigen bereichsspezifischen Datenschutzvorschriften. Die Datenverarbeitung erfolgt nach den Grundsätzen der Rechtmäßigkeit, Zweckbindung, Datensparsamkeit, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.

3. Datenverarbeitung beim Besuch der Website

Dieser Abschnitt betrifft alle Personen, die unsere Website besuchen, ohne sich auf der Plattform anzumelden oder einen Vertrag abzuschließen.

3.1 Server-Logfiles

Bei jedem Aufruf unserer Website werden durch den Browser automatisch Informationen an den Server unserer Website übermittelt und vorübergehend in sogenannten Logfiles gespeichert. Erfasst werden:

– IP-Adresse des anfragenden Endgeräts (gekürzt bzw. pseudonymisiert gespeichert)

– Datum und Uhrzeit des Zugriffs

– Name und URL der abgerufenen Seite

– Browsertyp und -version sowie Betriebssystem

– Referrer-URL (zuvor besuchte Seite)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Gewährleistung eines technisch fehlerfreien und sicheren Betriebs der Website. Die Logfiles werden nach 30 Tagen automatisch gelöscht. Die öffentliche Website wird durch den Hosting-Dienstleister Hostinger (Sitz und Speicherort in der EU) betrieben; zur Beschleunigung der Auslieferung kommt zusätzlich das Content-Delivery-Network von Cloudflare zum Einsatz. Einzelheiten siehe Abschnitt 6.4.

3.2 Kontaktformular

Auf unserer Website können Sie über ein Kontaktformular mit uns in Verbindung treten. Dabei verarbeiten wir die von Ihnen freiwillig angegebenen Daten, insbesondere:

– Name

– E-Mail-Adresse

– Inhalt Ihrer Nachricht sowie ggf. weitere von Ihnen angegebene Daten

Diese Daten verwenden wir ausschließlich zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf den Abschluss oder die Durchführung eines Vertrags gerichtet ist, andernfalls Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Die im Zusammenhang mit Ihrer Anfrage erhobenen Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

4. Kategorien verarbeiteter personenbezogener Daten

4.1 Vertragsdaten des Kunden (Einrichtung)

Im Rahmen des Vertragsschlusses und der Vertragsdurchführung werden folgende Daten der vertragsschließenden Einrichtung verarbeitet:

– Name und Anschrift der Einrichtung

– Name und Funktion der vertretungsberechtigten Person(en)

– Rechnungsanschrift und Zahlungsdaten (z. B. Bankverbindung, SEPA-Mandatsdaten)

– Umsatzsteuer-Identifikationsnummer

– E-Mail-Adressen und Telefonnummern für die Vertragskommunikation

4.2 Nutzerdaten der Fortbildungsteilnehmer

Für die Verwaltung von Zugängen und die Dokumentation von Fortbildungsleistungen werden zu den einzelnen Nutzern innerhalb der Mitgliedseinrichtung folgende Daten verarbeitet:

– Vorname und Nachname

– E-Mail-Adresse (als Benutzername)

– im Rahmen der passwortlosen Anmeldung erzeugter Einmalcode sowie Zeitpunkt und Ergebnis des Anmeldevorgangs

– Funktion oder Berufsbezeichnung (sofern von der Einrichtung übermittelt)

– Zugehörige Einrichtung

– Kursfortschritt (aufgerufene Inhalte, Videofortschritt, Abschluss-Status, Bearbeitungszeiten)

– Quiz-Antworten (konkrete Antwortauswahl pro Frage als Nachweis der Prüfungsgrundlage)

– Ergebnisse von Wissensabfragen und Abschlussquizzes

– Datum und Uhrzeit des Abschlusses von Fortbildungseinheiten

– Ausgestellte Teilnahmebestätigungen und Fortbildungszertifikate

– Nachweis der Akzeptanz der Nutzungsregeln und der Kenntnisnahme dieser Datenschutzinformation (Zeitstempel und jeweilige Dokumentversion)

– Anmelde- und Aktivitätsprotokoll (E-Mail-Adresse, Aktionstyp, Zeitstempel; keine Inhalte oder Passwörter)

4.3 Technische Nutzungsdaten der Plattform

Bei Nutzung der Plattform (nach Anmeldung) werden automatisch folgende technische Daten erhoben:

– IP-Adresse (zum Schutz vor Missbrauch und automatisierten Angriffen, Speicherung 24 Stunden)

– Browsertyp und -version, Betriebssystem

– Datum, Uhrzeit und Dauer des Zugriffs

– Aufgerufene Seiten und Inhalte

– Referrer-URL

4.4 Speicherort und Hosting

Alle personenbezogenen Daten werden ausschließlich in Rechenzentren innerhalb der Europäischen Union gespeichert. Die Daten der Schulungsplattform liegen in Deutschland (Frankfurt am Main), die Daten der öffentlichen Website in der EU (in der Regel Niederlande oder Litauen).

Die Daten der Plattform werden bei den in Abschnitt 6.4 genannten Auftragsverarbeitern gespeichert und verarbeitet. Die Datenhaltung erfolgt in Rechenzentren innerhalb der Europäischen Union, konkret in Frankfurt am Main, Deutschland. Im Einzelnen:

– Nutzerkonten, Anmeldesitzungen, Kursfortschritt, Quiz-Antworten und Nachweise werden in der Cloud-Datenbank (Google Firebase / Cloud Firestore) gespeichert.

– Zertifikat-PDFs und Kursvideos werden im zugehörigen Dateispeicher (Firebase Storage) abgelegt.

– Die Auslieferung der Webanwendung erfolgt über einen Hosting-Dienstleister (Vercel).

– Der Versand von Anmeldecodes und Teilnahmebescheinigungen per E-Mail erfolgt über einen E-Mail-Versanddienst (Brevo, EU-Anbieter).

Soweit diese Dienstleister ihren Hauptsitz in den USA haben, ist mit ihnen ein Drittlandtransfer auf Grundlage von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO abgesichert (siehe Abschnitt 6.4 und 6.6).

5. Zwecke und Rechtsgrundlagen der Verarbeitung

5.1 Vertragsabschluss und -durchführung (Mitgliedschaft)

Datenkategorien: Vertragsdaten der Einrichtung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung)

Speicherdauer: Vertragsdauer + 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflicht)

5.2 Bereitstellung und Sicherung des Zugangs für Teilnehmer

Datenkategorien: Nutzerdaten der Teilnehmer (E-Mail-Adresse, Einmalcode, Anmeldeprotokolle)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung)

Speicherdauer: Dauer der Mitgliedschaft + 90 Tage

5.3 Dokumentation von Fortbildungsleistungen und Ausstellung von Zertifikaten

Datenkategorien: Kursfortschritt, Prüfungsergebnisse, Zertifikate

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung)

Speicherdauer: Dauer der aktiven Mitgliedschaft + 90 Tage nach Vertragsende; danach vollständige Löschung

5.4 Weitergabe der Fortbildungsnachweise an die Einrichtung

Datenkategorien: Kursfortschritt, Prüfungsergebnisse, Zertifikate

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Einrichtung an der Dokumentation)

Speicherdauer: Entsprechend der Aufbewahrungspflicht der Einrichtung; Thromic speichert diese Daten maximal für die Vertragsdauer + 90 Tage

5.5 Zahlungsabwicklung

Datenkategorien: Vertragsdaten, Zahlungsdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung)

Speicherdauer: 10 Jahre (steuerrechtliche Aufbewahrungspflicht gemäß § 147 AO)

5.6 Steuer- und Buchhaltungsunterlagen

Datenkategorien: Vertragsdaten, Rechnungsdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (§ 147 AO, § 257 HGB)

Speicherdauer: 10 Jahre

5.7 Technischer Betrieb und Sicherheit

Datenkategorien: Technische Nutzungsdaten, Server-Logfiles, technische Fehler- und Sicherheitslogs

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit)

Speicherdauer: Server-Logfiles und technische Logs: 30 Tage

5.8 Schutz vor Missbrauch (Rate Limiting)

Datenkategorien: IP-Adresse

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Systemsicherheit)

Speicherdauer: 24 Stunden, danach automatische Löschung

5.9 Sicherheits- und Aktivitätsprotokoll

Datenkategorien: E-Mail-Adresse, Aktionstyp, Zeitstempel (Anmeldungen, Zertifikatsausstellungen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachvollziehbarkeit und Sicherheit)

Speicherdauer: 2 Jahre, danach automatische Löschung

5.10 Nachweis der Akzeptanz und Kenntnisnahme

Datenkategorien: Zeitstempel und Version der akzeptierten Nutzungsregeln und Datenschutzinformation

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Dokumentation der Vertragsannahme)

Speicherdauer: Für die Dauer des Nutzungsverhältnisses zuzüglich der gesetzlichen Verjährungsfristen

5.11 Bearbeitung von Kontaktanfragen

Datenkategorien: Name, E-Mail-Adresse, Inhalt der Anfrage

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO

Speicherdauer: Bis zur abschließenden Bearbeitung der Anfrage, soweit keine Aufbewahrungspflichten bestehen

6. Weitergabe personenbezogener Daten

6.1 Weitergabe an die Mitgliedseinrichtung

Kursfortschritte, Prüfungsergebnisse und Fortbildungszertifikate der Teilnehmer werden an die jeweilige Mitgliedseinrichtung übermittelt. Dies dient der einrichtungsinternen Dokumentation gesetzlich oder berufsrechtlich vorgeschriebener Fortbildungsnachweise.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Einrichtung an der Dokumentation).

Die Einrichtung ist für den Umgang mit den ihr übermittelten Daten eigenverantwortlich und handelt insoweit als eigenständig Verantwortliche im Sinne der DSGVO.

Jedem Teilnehmer wird das Fortbildungszertifikat unmittelbar nach erfolgreichem Abschluss automatisch per E-Mail zugestellt. Thromic speichert Kursfortschritte, Abschlussdaten und Zertifikate ausschließlich für die Dauer der aktiven Mitgliedschaft der Einrichtung sowie für einen Zeitraum von 90 Tagen nach Vertragsende. Nach Ablauf dieser Frist werden sämtliche diesbezüglichen Daten vollständig und unwiederbringlich gelöscht. Eine Wiederherstellung oder Neuausstellung von Zertifikaten durch Thromic ist nach diesem Zeitpunkt nicht mehr möglich. Teilnehmer sind daher für die eigene langfristige Aufbewahrung ihres Zertifikats verantwortlich.

6.2 Weitergabe an Zahlungsdienstleister

Zur Durchführung des Zahlungsverkehrs werden Vertragsdaten und Zahlungsinformationen (z. B. Name der Einrichtung, Rechnungsadresse, Betrag, SEPA-Mandatsdaten oder sonstige Zahlungsdaten) an den jeweils eingesetzten Zahlungsdienstleister übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung). Eine Weitergabe erfolgt ausschließlich in dem Umfang, der zur Abwicklung des Zahlungsvorgangs erforderlich ist. Die eingesetzten Zahlungsdienstleister sind vertraglich verpflichtet, die Daten ausschließlich zur Zahlungsabwicklung zu verwenden.

6.3 Weitergabe an Steuer- und Buchhaltungsdienstleister

Rechnungs- und Vertragsdaten werden an externe Dienstleister für Steuerberatung, Buchhaltung und Jahresabschlusserstellung weitergegeben, soweit dies zur Erfüllung gesetzlicher Buchführungs- und Aufbewahrungspflichten erforderlich ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 147 AO und § 257 HGB. Die Dienstleister sind als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich gebunden.

6.4 Auftragsverarbeiter

Thromic setzt für den Betrieb der Website und der Plattform technische Dienstleister ein, die als Auftragsverarbeiter im Sinne des Art. 28 DSGVO tätig werden. Mit diesen Dienstleistern bestehen Auftragsverarbeitungsverträge. Eine Verarbeitung personenbezogener Daten erfolgt ausschließlich gemäß den Weisungen von Thromic. Im Einzelnen werden folgende Dienstleister eingesetzt:

Hostinger (öffentliche Website)

Anbieter: Hostinger International Ltd., Sitz in Kaunas, Litauen (Europäische Union).

Einsatzzweck: Hosting und Auslieferung der öffentlichen Website (ohne Schulungsplattform), einschließlich der Verarbeitung von Server-Logfiles und Kontaktformular-Anfragen.

Die Website und die über das Kontaktformular erhobenen Daten werden in Rechenzentren innerhalb der Europäischen Union gespeichert (in der Regel Niederlande oder Litauen). Sowohl der Unternehmenssitz als auch der Speicherort der Daten liegen innerhalb der EU. Datenschutzinformation: https://www.hostinger.de/datenschutzrichtlinie

Cloudflare, Inc. (Content Delivery Network der Website)

Anbieter: Cloudflare, Inc., Sitz in San Francisco, USA. Zur Beschleunigung der Ladezeiten werden statische Inhalte der öffentlichen Website über das internationale Content-Delivery-Network (CDN) von Cloudflare ausgeliefert, das auch Knotenpunkte in Deutschland (Frankfurt) nutzt.

Dabei können technische Verbindungsdaten (insbesondere die IP-Adresse des Besuchers) durch Cloudflare verarbeitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und performanten Bereitstellung der Website). Da Cloudflare ein US-Unternehmen ist, ist ein Zugriff aus einem Drittland (USA) nicht vollständig auszuschließen; dieser ist durch EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO abgesichert. Datenschutzinformation: https://www.cloudflare.com/privacypolicy/

Google LLC (Firebase / Google Cloud)

Sitz: Mountain View, USA. Datenhaltung im Rechenzentrum Frankfurt am Main, Deutschland (EU-Region europe-west3).

Einsatzzweck: Verwaltung der Nutzerkonten und Anmeldesitzungen (Firebase Authentication), Speicherung aller Nutzerdaten (Cloud Firestore), Speicherung der Zertifikat-PDFs und Kursvideos (Firebase Storage), Verarbeitung der Geschäftslogik (Cloud Functions) sowie technische Fehler- und Sicherheitslogs (Cloud Logging, 30 Tage).

Drittlandtransfer USA: abgesichert durch Google Cloud Datenverarbeitungsvereinbarung und EU-Standardvertragsklauseln (SCC). Datenschutzinformation: https://firebase.google.com/support/privacy

Vercel Inc.

Sitz: San Francisco, USA. Datenhaltung im Rechenzentrum Frankfurt am Main, Deutschland (EU-Region fra1).

Einsatzzweck: Hosting und Auslieferung der Webanwendung. Ergänzend kommt eine cookie-lose Reichweitenmessung (Vercel Analytics) zum Einsatz, die Seitenaufrufe, Referrer, Browsertyp, Betriebssystem und eine grobe Geolokalisierung aus der IP-Adresse erfasst, ohne die IP-Adresse selbst zu speichern. Eine Messung der Ladezeiten (Speed Insights) erfolgt ohne Personenbezug.

Drittlandtransfer USA: abgesichert durch EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO. Datenschutzinformation: https://vercel.com/legal/privacy-policy

Brevo SAS (E-Mail-Versand)

Anbieter: Brevo SAS (ehemals Sendinblue), Sitz in Paris, Frankreich (Europäische Union).

Einsatzzweck: Versand von Transaktions-E-Mails, konkret der Anmeldecodes (E-Mail-Adresse und zeitlich begrenzter Code) sowie der Teilnahmebescheinigungen (E-Mail-Adresse, Name und Zertifikat als PDF-Anhang). Brevo verarbeitet hierbei die Empfänger-E-Mail-Adresse, bei Zertifikatsversand den Namen, den Zeitpunkt des Versands sowie den technischen Zustellstatus (z. B. zugestellt, nicht zustellbar). Die Versandprotokolle werden von Brevo nach 60 Tagen automatisch gelöscht.

Drittlandtransfer: Keiner. Brevo ist ein EU-Unternehmen mit Rechenzentren in Deutschland und Frankreich. Die Daten verlassen die EU nicht; ein SCC-Mechanismus ist daher nicht erforderlich. Der Auftragsverarbeitungsvertrag ist gemäß Art. 28 DSGVO über die Nutzungsbedingungen abgedeckt. Datenschutzinformation: https://www.brevo.com/de/legal/privacypolicy/

6.5 Keine Weitergabe an Dritte zu Werbezwecken

Thromic gibt personenbezogene Daten nicht zu Werbezwecken an Dritte weiter und verkauft keine Nutzerdaten.

6.6 Datenhaltung in Deutschland und Übermittlung in Drittländer

Die Datenhaltung erfolgt ausschließlich in Rechenzentren innerhalb Deutschlands (Frankfurt am Main). Sämtliche Nutzerdaten, Zertifikate und Kursinhalte werden auf Servern in der Bundesrepublik Deutschland gespeichert und verarbeitet.

Die eingesetzten Dienstleister für die Schulungsplattform (Google Firebase, Vercel) sowie das für die Website genutzte Content-Delivery-Network (Cloudflare) haben ihren Unternehmenssitz in den USA. Allein hierdurch kann ein Zugriff aus einem Drittland (USA) nicht vollständig ausgeschlossen werden, weshalb rechtlich ein Drittlandbezug im Sinne der DSGVO vorliegt – auch wenn die Daten physisch in Deutschland bzw. innerhalb der EU verbleiben. Für diesen Fall ist ein angemessenes Datenschutzniveau durch EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO vertraglich abgesichert. Der E-Mail-Versanddienst Brevo ist demgegenüber ein EU-Unternehmen mit Servern in der EU, sodass insoweit kein Drittlandtransfer stattfindet.

Thromic informiert den Kunden auf Anfrage über die Einzelheiten dieser Absicherung und stellt auf Wunsch eine Kopie der geeigneten Garantien zur Verfügung.

7. Cookies und Tracking

Die Website und die Plattform verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb und die Aufrechterhaltung der Anmeldesitzung unbedingt erforderlich sind. Diese Cookies werden ohne gesonderte Einwilligung gesetzt, da sie für die Bereitstellung des Dienstes technisch notwendig sind (Art. 6 Abs. 1 lit. b DSGVO bzw. § 25 Abs. 2 TTDSG). Im Einzelnen handelt es sich um:

– thromic_session: Aufrechterhaltung der Anmeldesitzung, Laufzeit 7 Tage (HttpOnly, Secure, SameSite=Lax)

– thromic_refresh: automatische Sitzungserneuerung ohne erneute Anmeldung, Laufzeit 7 Tage (HttpOnly, Secure, SameSite=Lax, verschlüsselter Inhalt)

Diese Cookies werden beim Abmelden oder nach Ablauf der Laufzeit automatisch gelöscht. Ein Cookie-Banner ist nicht erforderlich, da ausschließlich technisch notwendige Cookies eingesetzt werden.

Tracking- oder Werbe-Cookies werden nicht eingesetzt. Zur Reichweitenmessung kommt lediglich eine cookie-lose Analyse des Hosting-Dienstleisters (Vercel Analytics) zum Einsatz, die ohne Speicherung der IP-Adresse arbeitet (siehe Abschnitt 6.4). Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen Reichweitenmessung).

8. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder wie gesetzliche Aufbewahrungspflichten dies verlangen.

– Server-Logfiles und technische Logdaten: 30 Tage

– IP-Adresse (Missbrauchsschutz / Rate Limiting): 24 Stunden, danach automatische Löschung

– Einmalige Anmeldecodes (E-Mail-Code beim Login): 10 Minuten, danach automatische Löschung

– Daten aus Kontaktanfragen: bis zur abschließenden Bearbeitung, soweit keine Aufbewahrungspflichten bestehen

– Vertragsdaten und Rechnungsdaten: 10 Jahre ab Entstehung (§ 147 AO, § 257 HGB)

– Nutzerdaten der Teilnehmer (Zugangsverwaltung, Kursfortschritt, Quiz-Antworten): für die Dauer der aktiven Mitgliedschaft der Einrichtung sowie 90 Tage nach Vertragsende

– Kursfortschritt, Abschlussdaten und Zertifikate: für die Dauer der aktiven Mitgliedschaft der Einrichtung sowie 90 Tage nach Vertragsende; nach Ablauf dieser Frist vollständige und unwiederbringliche Löschung. Teilnehmer erhalten ihr Zertifikat unmittelbar nach Abschluss per E-Mail und sind für die eigene Aufbewahrung verantwortlich.

– Sicherheits- und Aktivitätsprotokoll (Anmelde- und Aktivitätslogs): 2 Jahre, danach automatische Löschung

– Nachweis der Akzeptanz der Nutzungsregeln und Kenntnisnahme: für die Dauer des Nutzungsverhältnisses zuzüglich der gesetzlichen Verjährungsfristen

– Technische Verarbeitungsjobs (z. B. Zertifikatserstellung): 30 Tage nach Abschluss, danach automatische Löschung

Nach Ablauf der Speicherdauer werden die Daten routinemäßig gelöscht, sofern keine gesetzliche Pflicht zur weiteren Aufbewahrung besteht.

9. Rechte der betroffenen Personen

Ihnen stehen gegenüber Thromic folgende Rechte zu:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten Thromic verarbeitet.

Recht auf Berichtigung (Art. 16 DSGVO)

Unrichtige oder unvollständige personenbezogene Daten können jederzeit berichtigt werden.

Recht auf Löschung (Art. 17 DSGVO)

Personenbezogene Daten können unter den Voraussetzungen des Art. 17 DSGVO gelöscht werden, insbesondere wenn sie für den ursprünglichen Zweck nicht mehr erforderlich sind. Das Recht auf Löschung besteht nicht, soweit gesetzliche Aufbewahrungspflichten entgegenstehen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Unter den Voraussetzungen des Art. 18 DSGVO kann die Verarbeitung personenbezogener Daten eingeschränkt werden.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Soweit die Verarbeitung auf einem Vertrag (oder einer Einwilligung) beruht und mithilfe automatisierter Verfahren erfolgt, können die betreffenden Daten in einem gängigen, maschinenlesbaren Format herausverlangt werden.

Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung personenbezogener Daten, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gestützt wird, jederzeit widersprechen.

Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde für Thromic ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Postfach 3163

65021 Wiesbaden

E-Mail: poststelle@datenschutz.hessen.de

Ausübung der Rechte

Zur Ausübung der vorgenannten Rechte genügt eine formlose Mitteilung per E-Mail an info@thromic.de. Thromic beantwortet Anfragen unverzüglich, spätestens jedoch innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

Die Anwendung verfügt über keine automatisierte Self-Service-Funktion zur Ausübung dieser Rechte. Anfragen werden manuell durch den Verantwortlichen bearbeitet. Ein Widerruf der Zustimmung zu den Nutzungsregeln führt zur Löschung des Nutzungskontos, da eine weitere Nutzung der Plattform ohne diese Zustimmung nicht möglich ist.

10. Pflichten der Mitgliedseinrichtung als Verantwortliche

Die Mitgliedseinrichtung ist eigenverantwortliche Verantwortliche im Sinne der DSGVO, soweit sie personenbezogene Daten ihrer Mitarbeiter (Teilnehmer) an Thromic übermittelt oder von Thromic erhaltene Daten (z. B. Fortbildungsnachweise) weiterverarbeitet.

Die Einrichtung ist insbesondere verpflichtet:

– den Teilnehmern die erforderlichen Datenschutzinformationen gemäß Art. 13 DSGVO zu erteilen, soweit die Datenverarbeitung durch Thromic nicht bereits durch diese Datenschutzinformation abgedeckt ist;

– sicherzustellen, dass für die Übermittlung von Teilnehmerdaten an Thromic eine geeignete Rechtsgrundlage vorliegt (z. B. Einwilligung der Teilnehmer oder Notwendigkeit zur Erfüllung des Arbeitsverhältnisses gemäß § 26 BDSG);

– Thromic unverzüglich zu informieren, wenn Teilnehmer Rechte nach der DSGVO gegenüber der Einrichtung geltend machen, die eine Aktion durch Thromic erfordern.

11. Datensicherheit

Thromic trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um personenbezogene Daten gegen unbefugten Zugriff, Verlust, Vernichtung oder Manipulation zu schützen. Dazu zählen insbesondere:

– Verschlüsselung der Datenübertragung mittels TLS/HTTPS

– Zugriffskontrolle durch rollenbasiertes Berechtigungsmanagement

– Pseudonymisierung und Verschlüsselung gespeicherter Daten, soweit technisch möglich

– Regelmäßige Sicherheitsüberprüfungen und Updates

– Vertraulichkeitsverpflichtungen für alle Mitarbeiter mit Datenzugang

12. Änderungen dieser Datenschutzinformation

Thromic behält sich vor, diese Datenschutzinformation bei Änderungen der Rechtslage, der Verarbeitungstätigkeit oder der eingesetzten Systeme anzupassen. Die jeweils aktuelle Fassung ist auf der Website und der Plattform abrufbar. Wesentliche Änderungen werden den Kunden per E-Mail mitgeteilt.

13. Kontakt für Datenschutzanfragen

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich an: info@thromic.de

Thromic ist nicht verpflichtet, einen Datenschutzbeauftragten zu benennen, sofern die gesetzlichen Schwellenwerte gemäß § 38 BDSG nicht überschritten werden. Sollte ein Datenschutzbeauftragter bestellt werden, werden dessen Kontaktdaten an dieser Stelle veröffentlicht.

Thromic GmbH

Krummbogen 16 | 35039 Marburg | E-Mail: info@thromic.de

Geschäftsführer: Dr. Holger Hackstein

Marburg, 27. Juni 2026