Wir freuen uns über Ihr Interesse an OneInRare. Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. In dieser Datenschutzerklärung informieren wir Sie gemäß der Datenschutz-Grundverordnung (DSGVO) und den ergänzenden nationalen Vorschriften (insbesondere BDSG, DDG und TDDDG) darüber, welche personenbezogenen Daten wir beim Besuch und bei der Nutzung dieses Angebots (erreichbar unter oneinrare.org) verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage dies geschieht und welche Rechte Ihnen zustehen. OneInRare ist ein nicht-kommerzielles, privates Informations- und Forschungsprojekt zu seltenen Erkrankungen und derzeit ein Prototyp, der überwiegend mit Demonstrationsdaten arbeitet. Es besteht keine offizielle Verbindung zum Universitätsklinikum Aachen, zur RWTH Aachen oder zum Zentrum für Seltene Erkrankungen Aachen (ZSEA).
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten im Rahmen dieses Angebots ist:
Daniel Truhn (Privatperson)
c/o Universitätsklinikum Aachen
Klinik für Diagnostische und Interventionelle Radiologie
Pauwelsstraße 30
52074 Aachen
Deutschland
Für alle Anliegen rund um den Datenschutz und zur Ausübung Ihrer Rechte erreichen Sie uns am verlässlichsten per E-Mail:
E-Mail: info@oneinrare.org
Die Anschrift dient ausschließlich der postalischen Erreichbarkeit (c/o-Adresse); aus ihr ergibt sich keine offizielle Verbindung des Projekts zum Universitätsklinikum Aachen.
Ein Datenschutzbeauftragter wurde nicht benannt. Bei dem Verantwortlichen handelt es sich um eine Privatperson, für die keine Pflicht zur Benennung eines Datenschutzbeauftragten besteht; die hierfür maßgeblichen Schwellenwerte des § 38 BDSG werden nicht erreicht. Für alle Anliegen rund um den Datenschutz und zur Ausübung Ihrer Rechte können Sie sich jederzeit unter den vorstehenden Kontaktdaten an uns wenden.
Diese Datenschutzerklärung gilt für das Angebot OneInRare und die darüber bereitgestellten Funktionen. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Soweit wir für Verarbeitungsvorgänge die Einwilligung der betroffenen Person einholen, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage. Ist die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der Interessen Dritter erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage. Für das Speichern von Informationen auf Ihrem Endgerät und den Zugriff darauf gilt ergänzend § 25 TDDDG.
Da sich der ganz überwiegende Teil der nachstehend beschriebenen Verarbeitungen auf unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützt, weisen wir Sie auf Ihr besonderes Widerspruchsrecht gesondert und hervorgehoben in Abschnitt 14 hin. Bei welchen Verarbeitungen wir uns konkret auf welche Rechtsgrundlage stützen, erläutern wir in den nachfolgenden Abschnitten.
Das Angebot ist weitgehend durch ein gemeinsames Login geschützt. Es gibt kein personenbezogenes Nutzerkonto pro Person; der Zugang erfolgt über ein gemeinsames Zugangspasswort, sodass keine individuellen Benutzerprofile angelegt werden.
Ohne Anmeldung sind nur wenige öffentliche Seiten abrufbar: die Anmeldeseite (Login), das Impressum (/impressum) und diese Datenschutzerklärung (/datenschutz) sowie das Anwendungssymbol (favicon.svg). Alle weiteren Inhalte und Funktionen sind erst nach Eingabe des gemeinsamen Zugangspassworts zugänglich; Aufrufe nicht freigegebener, geschützter Adressen werden auf die Anmeldeseite umgeleitet.
Das berechtigte Interesse, das wir mit dieser Zugangsschranke verfolgen, ist die Gewährleistung der IT-Sicherheit und die Zugangskontrolle, insbesondere um die nachgelagerten Dienste (z. B. die Chat-Funktion über Cliniva) nicht unbefugt zugänglich zu machen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Wir hosten dieses Angebot bei einem externen Dienstleister. Anbieter ist:
Hetzner Online GmbH
Industriestraße 25
91710 Gunzenhausen
Deutschland
Der eingesetzte Server befindet sich in einem Rechenzentrum innerhalb der EU bzw. des EWR. Eine Übermittlung in ein Drittland findet im Rahmen des Hostings nicht statt.
Bei jedem Aufruf des Angebots verarbeitet der Hosting-Anbieter in unserem Auftrag die technisch übermittelten Daten (insbesondere die nachstehend beschriebenen Server-Logfiles), um einen sicheren und stabilen Betrieb zu gewährleisten. Das hiermit verfolgte berechtigte Interesse ist die zuverlässige, sichere und stabile Bereitstellung des Angebots; Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Mit dem Hosting-Anbieter haben wir einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen, der die datenschutzkonforme Verarbeitung sicherstellt.
Die technische Architektur besteht aus einem Reverse Proxy (Caddy), der die Verbindungsverschlüsselung (TLS) übernimmt, und einem lokalen Python-Dienst, der auf demselben Server betrieben wird.
Beim Aufruf des Angebots erfasst der Reverse Proxy (Caddy) automatisch Informationen in einem Zugriffslog (im JSON-Format, gespeichert im System-Journal/journald). Erfasst werden insbesondere:
Das mit dieser Verarbeitung verfolgte berechtigte Interesse ist der sichere und stabile Betrieb, die Fehleranalyse sowie die Erkennung und Abwehr von Angriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Die Logdaten werden für 7 Tage gespeichert und danach automatisch gelöscht.
Hinweis zur technischen Architektur: Der Python-Anwendungslog protokolliert nicht die tatsächliche IP-Adresse der Besucher, sondern lediglich die lokale Adresse 127.0.0.1, da der Reverse Proxy (Caddy) die Anfragen serverintern an den Anwendungsdienst weiterleitet und diesem die ursprüngliche Besucher-IP nicht übermittelt. Eine Zusammenführung der Logdaten zu Nutzerprofilen findet nicht statt.
Wir setzen genau einen technisch notwendigen Cookie ein: den Session-Cookie "oir_session". Dieser Cookie ist erforderlich, um nach der Anmeldung den geschützten Zugang nutzen zu können.
Der Wert des Cookies besteht ausschließlich aus einem Ablaufzeitstempel und einer kryptographischen Signatur (HMAC-SHA256). Der Cookie enthält selbst keine Klartext-Identifikatoren und keine inhaltlichen Personendaten (z. B. keinen Namen, keine E-Mail-Adresse). Datenschutzrechtlich kann ein signierter Session-Cookie, der ein angemeldetes Endgerät wiedererkennt, gleichwohl einen Personenbezug aufweisen; eine darüber hinausgehende Auswertung oder Profilbildung findet jedoch nicht statt.
Der Cookie weist folgende Eigenschaften auf:
Rechtsgrundlage für die Speicherung und das Auslesen dieses Cookies ist § 25 Abs. 2 Nr. 2 TDDDG, da der Cookie für die Bereitstellung des von Ihnen ausdrücklich gewünschten, angemeldeten Dienstes unbedingt erforderlich ist. Die anschließende Verarbeitung der so gespeicherten Information stützt sich auf unser berechtigtes Interesse an der Zugangskontrolle gemäß Art. 6 Abs. 1 lit. f DSGVO. Da ausschließlich ein unbedingt erforderlicher Cookie eingesetzt wird, ist kein Einwilligungsbanner erforderlich.
Tracking-, Analyse- oder Marketing-Cookies setzen wir nicht ein.
Ein Kontaktformular bieten wir bewusst nicht an. Sie erreichen uns per E-Mail unter info@oneinrare.org. Wenn Sie uns schreiben, verarbeiten wir die von Ihnen mitgeteilten Daten – insbesondere Ihre E-Mail-Adresse, einen ggf. angegebenen Namen sowie den Inhalt Ihrer Nachricht –, um Ihre Anfrage zu bearbeiten und zu beantworten.
Rechtsgrundlage ist unser berechtigtes Interesse an der Beantwortung von Anfragen (Art. 6 Abs. 1 lit. f DSGVO); sofern Ihre Anfrage auf den Abschluss oder die Durchführung eines Vertrags gerichtet ist, zusätzlich Art. 6 Abs. 1 lit. b DSGVO.
Wir verarbeiten diese Daten nur so lange, wie es zur Bearbeitung Ihres Anliegens erforderlich ist, und löschen sie anschließend, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Nach der Anmeldung steht eine KI-Chat-Funktion zur Verfügung. Wenn Sie den Chat nutzen, werden Ihre Chat-Eingabe sowie der bisherige Gesprächsverlauf an "Cliniva" übermittelt. Cliniva ist ein eigener, vom Verantwortlichen betriebener Dienst, der in der EU bzw. im EWR gehostet wird und ein eigenes, selbst gehostetes Sprachmodell verwendet. Es kommt kein externer Anbieter eines Sprachmodells (LLM) zum Einsatz, und es findet keine Drittlandübermittlung statt.
Cliniva ist Auftragsverarbeiter bzw. eigene Infrastruktur des Verantwortlichen. Die Chat-Eingaben werden nicht über die zur Beantwortung Ihrer Anfrage erforderliche Verarbeitung hinaus dauerhaft gespeichert.
Das mit dieser Verarbeitung verfolgte berechtigte Interesse ist die Bereitstellung einer funktionsfähigen, dialogbasierten Recherche- und Auskunftsfunktion zu seltenen Erkrankungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Wichtiger Hinweis: Bitte geben Sie in den Chat keine echten Gesundheits-, Patienten- oder sonstigen identifizierenden Daten ein. Dies gilt insbesondere für besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (z. B. Gesundheitsdaten). Der Chat ist für den Umgang mit solchen Daten nicht vorgesehen. Wir können die Eingaben technisch nicht vorab filtern; geben Sie dennoch solche Daten ein, erfolgt dies in eigener Verantwortung. Wir verarbeiten die Eingaben in diesem Fall ausschließlich zur unmittelbaren Beantwortung und speichern sie nicht darüber hinaus dauerhaft (Grundsatz der Datenminimierung).
Über Cliniva werden Dokument-Metadaten und PDF-Inhalte geladen. Diese werden lediglich kurzzeitig im Arbeitsspeicher zwischengespeichert; ein dauerhafter Personenbezug entsteht dabei nicht.
Dieser Abruf ist Teil derselben eigenen, in der EU bzw. im EWR betriebenen Auftragsverarbeitung wie der KI-Chat. Das hiermit verfolgte berechtigte Interesse ist die Bereitstellung und Anzeige der zur jeweiligen Erkrankung gehörenden Quelldokumente und Belegstellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Zur Darstellung von PDF-Dokumenten verwenden wir den PDF-Betrachter PDF.js. Beim Öffnen eines PDFs veranlassen wir, dass Ihr Browser diese Programmbibliothek aus dem Content-Delivery-Network (CDN) von Cloudflare nachlädt (cdnjs.cloudflare.com, Anbieter: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA).
Technisch bedingt baut Ihr Browser dabei eine direkte Verbindung zu den Servern von Cloudflare auf und übermittelt hierbei Ihre IP-Adresse, Ihren User-Agent und gegebenenfalls den Referrer. Dies ist die einzige browserseitige Verbindung zu einem Drittanbieter im Rahmen dieses Angebots. Da wir das Nachladen durch die Einbindung der Bibliothek veranlassen, behandeln wir diesen Vorgang als von uns mitveranlasste Datenübermittlung und stützen uns auf die nachstehenden Garantien. Hierbei ist eine Übermittlung in die USA (Drittland) möglich.
Das mit dieser Einbindung verfolgte berechtigte Interesse ist die zuverlässige und performante Darstellung von PDF-Inhalten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Für die Übermittlung in die USA stützen wir uns auf geeignete Garantien nach Art. 44 ff. DSGVO. Soweit der Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist, erfolgt die Übermittlung auf dieser Grundlage; andernfalls stützen wir uns auf die von der Europäischen Kommission erlassenen EU-Standardvertragsklauseln. Eine Kopie der herangezogenen geeigneten Garantien können Sie über die im Abschnitt 'Verantwortlicher und Kontakt' angegebenen Kontaktdaten anfordern; die EU-Standardvertragsklauseln sind zudem öffentlich auf den Seiten der Europäischen Kommission verfügbar. Der jeweils aktuelle Status und die zugrunde liegenden Garantien können sich ändern; maßgeblich ist der jeweils gültige Stand.
Diese Drittanbieter-Verbindung ließe sich grundsätzlich vermeiden, indem der PDF-Betrachter direkt vom eigenen Server ausgeliefert (selbst gehostet) wird.
Zur Bereitstellung von Informationen zu seltenen Erkrankungen ruft die Anwendung serverseitig Daten aus externen Quellen ab. Diese Abfragen erfolgen ausschließlich vom Server aus. Dabei werden keine personenbezogenen Nutzerdaten (insbesondere keine Nutzer-IP-Adresse, keine Cookies und keine sonstigen identifizierenden Daten) an diese Quellen übermittelt.
Im Einzelnen handelt es sich um folgende Quellen:
An ClinicalTrials.gov wird zur Abfrage laufender Studien je Erkrankung ausschließlich der Erkrankungsname übermittelt. Eine Verknüpfung dieser serverseitigen Abfrage mit der Identität einzelner Nutzer ist nicht möglich, da weder Nutzer-IP-Adressen noch sonstige identifizierende Merkmale mitgesendet werden. An keine dieser Quellen werden personenbezogene Nutzerdaten gesendet.
Eine Weitergabe Ihrer personenbezogenen Daten erfolgt nur in dem nachfolgend dargestellten Umfang. Im Überblick kommen folgende Empfänger bzw. Verarbeiter in Betracht:
Eine Übermittlung personenbezogener Daten in ein Drittland (außerhalb der EU/des EWR) findet ausschließlich im Zusammenhang mit dem von uns veranlassten Nachladen des PDF-Betrachters PDF.js über das Cloudflare-CDN statt (mögliche Übermittlung in die USA). Die hierfür herangezogenen Garantien sowie der Hinweis, wie Sie eine Kopie davon erhalten, sind im Abschnitt 10 (Eingebundene Inhalte Dritter) beschrieben.
Das Hosting (Hetzner), der KI-Chat und der Dokumentenabruf (Cliniva) sowie die serverseitigen externen Datenquellen führen zu keiner Übermittlung personenbezogener Nutzerdaten in ein Drittland.
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.
Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr auf dieser Grundlage verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Dieses Widerspruchsrecht betrifft insbesondere die in dieser Erklärung beschriebenen, auf Art. 6 Abs. 1 lit. f DSGVO gestützten Verarbeitungen (u. a. Server-Logfiles, Zugangskontrolle, technisch notwendiger Session-Cookie, KI-Chat und Dokumentenabruf über Cliniva sowie das Nachladen des PDF-Betrachters über das Cloudflare-CDN). Den Widerspruch richten Sie bitte formlos an die im Abschnitt 'Verantwortlicher und Kontakt' genannten Kontaktdaten.
Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist. Im Überblick gelten folgende Speicherdauern:
Ihnen stehen nach der DSGVO die folgenden Rechte zu. Zur Ausübung dieser Rechte können Sie sich jederzeit unter den im Abschnitt 'Verantwortlicher und Kontakt' genannten Kontaktdaten an uns wenden. Ihr besonderes Widerspruchsrecht nach Art. 21 DSGVO ist gesondert in Abschnitt 14 dargestellt.
Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt vom Widerruf unberührt.
Den Widerruf richten Sie bitte formlos an die im Abschnitt 'Verantwortlicher und Kontakt' genannten Kontaktdaten.
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.
Die für uns zuständige Aufsichtsbehörde ist (aufgrund des Sitzes in Nordrhein-Westfalen):
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
Deutschland
Sie können sich darüber hinaus auch an die Aufsichtsbehörde Ihres üblichen Aufenthaltsorts oder des Orts des mutmaßlichen Verstoßes wenden.
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.
Ergänzend weisen wir darauf hin: Es werden keine Webanalyse-, Tracking- oder Marketing-Dienste eingesetzt; ebenso werden keine Google Fonts und keine Social-Media-Plugins verwendet. Die einzige browserseitige Verbindung zu einem Drittanbieter ist das in Abschnitt 10 beschriebene Nachladen des PDF-Betrachters PDF.js über das Cloudflare-CDN.
Sie sind nicht gesetzlich oder vertraglich verpflichtet, uns personenbezogene Daten bereitzustellen. Bestimmte Funktionen setzen die Verarbeitung jedoch technisch voraus: Ohne die im Rahmen der Server-Logfiles und des notwendigen Session-Cookies verarbeiteten Daten kann der geschützte Zugang nicht bereitgestellt bzw. genutzt werden. Wenn Sie uns per E-Mail kontaktieren möchten, benötigen wir die von Ihnen mitgeteilten Daten, um Ihre Anfrage bearbeiten und beantworten zu können.
Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre Daten zu schützen (Art. 32 DSGVO). Die Auslieferung des Angebots erfolgt verschlüsselt über HTTPS (TLS).
Das Angebot wird unter der Domain oneinrare.org mit einem vertrauenswürdigen, von einer anerkannten Zertifizierungsstelle (Let's Encrypt) ausgestellten Zertifikat ausgeliefert. Zusätzlich ist HTTP Strict Transport Security (HSTS) aktiviert, sodass Ihr Browser ausschließlich verschlüsselte Verbindungen zu diesem Angebot aufbaut.
Alle personenbezogenen Daten werden unmittelbar bei Ihnen als betroffener Person erhoben (Server-Logfiles, KI-Chat, Kontaktaufnahme per E-Mail). Eine Erhebung personenbezogener Daten aus anderen Quellen findet nicht statt; die Informationspflichten nach Art. 14 DSGVO sind daher nicht einschlägig.
Diese Datenschutzerklärung ist aktuell gültig und hat den unten genannten Stand. Aufgrund der Weiterentwicklung des Angebots oder geänderter rechtlicher Anforderungen kann es erforderlich werden, diese Erklärung anzupassen. Die jeweils aktuelle Datenschutzerklärung kann jederzeit über das Angebot abgerufen werden.
Stand: Juni 2026