PJ-Ranking auch auf famulatur-ranking.de →

Datenschutzerklärung

Mit dieser Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten wir verarbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage und wie lange. Außerdem erklären wir, an welche Dienstleister Daten weitergegeben werden und welche Rechte Sie gegenüber uns haben. Die Verarbeitung erfolgt unter Einhaltung der Datenschutz-Grundverordnung (DSGVO) sowie der ergänzenden bundes- und landesrechtlichen Datenschutzbestimmungen.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Dr. med. Tim Lütkens
Geibelstr. 56
22303 Hamburg
E-Mail: kontakt@pj-ranking.de

2. Überblick über die Verarbeitungen

Wir betreiben mit pj-ranking.de eine community-basierte, nicht kommerzielle Plattform, auf der Medizinstudierende Erfahrungsberichte zu ihrem PJ-Tertial einstellen und lesen können. Im Einzelnen verarbeiten wir:

  • Server-Logdaten beim bloßen Besuch der Seiten (IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Status, User-Agent, Referrer)
  • Inhalte, die Sie uns selbst übermitteln (Berichte, Kommentare, Kontaktanfragen, Meldungen)
  • E-Mail-Adressen, die Sie uns für Bestätigungs-, Bearbeitungs- oder Kontakt-Zwecke angeben
  • Technisch notwendige Session-Cookies (Flask-Sitzung, CSRF-Schutz, Entwurfsspeicherung)

Wir betreiben kein Tracking durch Dritte, kein Google Analytics, keine Social-Media-Plugins und keine personalisierte Werbung. Schriftarten werden selbst gehostet und nicht von einem CDN nachgeladen.

3. Erhobene Datenkategorien

3.1 Beim Besuch der Seiten

Jeder Zugriff auf unsere Webseiten wird vom Webserver (nginx) in einem Server-Logfile protokolliert. Erfasst werden: IP-Adresse des Geräts, Datum und Uhrzeit des Zugriffs, aufgerufene URL, HTTP-Status, übertragene Datenmenge, vom Browser übermittelter User-Agent und Referrer. Zweck dieser Verarbeitung ist die Sicherstellung des ordnungsgemäßen Seitenbetriebs sowie die Abwehr von Angriffen und missbräuchlichem Verhalten (z.B. automatisiertes Scraping, Brute-Force, DDoS). Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Die Logs werden maximal 30 Tage aufbewahrt und danach automatisch gelöscht.

3.2 Beim Einstellen eines Berichts

Wenn Sie einen Erfahrungsbericht einreichen, verarbeiten wir:

  • den Berichtstext und sämtliche Bewertungsangaben (Noten, Daten, Einsatzbereiche etc.)
  • Ihre E-Mail-Adresse – sie ist zwingend notwendig, um den Bericht per Magic-Link zu bestätigen und Ihnen später einen Bearbeitungs-Link zuzusenden
  • optional Ihren Namen oder ein Pseudonym
  • Ihre IP-Adresse zum Zeitpunkt der Einreichung – sie wird spätestens 90 Tage nach Veröffentlichung automatisch gelöscht (Scrubbing) und dient bis dahin ausschließlich der Missbrauchs- und Gefahrenabwehr

Ihre E-Mail-Adresse und Ihr Name werden nur dann öffentlich auf der Seite angezeigt, wenn Sie die entsprechende Option im Einreichungs-Formular ausdrücklich aktivieren. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der Ihnen angebotenen Bericht-Einstell-Funktion).

3.3 Bei Magic-Link-Bestätigung und -Bearbeitung

Um sicherzustellen, dass Sie über die von Ihnen angegebene E-Mail-Adresse tatsächlich verfügen, senden wir Ihnen nach dem Einreichen einen einmal gültigen Bestätigungs-Link mit einer Lebensdauer von einer Stunde. Erst nach dem Klick auf diesen Link gelangt Ihr Bericht in die Moderation. Zusätzlich enthalten E-Mails einen 30-tägigen Bearbeitungs-Link, mit dem Sie Ihren Bericht nachträglich ändern können. Die Tokens werden serverseitig mit einer kryptographischen Signatur erzeugt und nach Ablauf ungültig.

3.4 Beim Nutzen der Kontakt- und Meldeformulare

Unsere Kontakt- und Meldeformulare (Hauptkontakt, Nachricht an Autor:innen, Bericht melden) verarbeiten die von Ihnen angegebene E-Mail-Adresse und Ihre Nachricht. Die Nachricht wird per Transaktions-E-Mail an die Betreiberin oder – im Fall des Proxy-Kontaktformulars – an die Autor:in des Berichts weitergeleitet. Die Empfänger-Adresse der Autor:in wird Ihnen dabei niemals offengelegt. Zusätzlich speichern wir einen Kurzauszug zur Missbrauchsabwehr (gehashte IP-Adresse, Zeitstempel, Zeichenanzahl der Nachricht, Zweck) – niemals den Nachrichtentext. Dieses Audit-Log wird nach 90 Tagen automatisch gelöscht.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung Ihrer Anfrage) bzw. Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsabwehr).

4. Rechtsgrundlagen

Wir stützen die Verarbeitung Ihrer Daten auf folgende Grundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z.B. bei freiwilliger Angabe Ihres Namens oder bei Freigabe Ihrer E-Mail-Adresse für Autor:innen-Kontakte)
  • Art. 6 Abs. 1 lit. b DSGVO – Erfüllung einer quasi-vertraglichen Leistung (Einstellen und Verwalten Ihres Berichts, Bearbeitung Ihrer Kontaktanfrage)
  • Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtungen (z.B. bei steuerlichen oder aufsichtsrechtlichen Aufbewahrungspflichten)
  • Art. 6 Abs. 1 lit. f DSGVO – unsere berechtigten Interessen am ordnungsgemäßen Betrieb der Website, der Missbrauchsabwehr, der Spam-Filterung und der Qualitätssicherung

Für technisch notwendige Cookies ist zusätzlich § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) einschlägig.

5. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

  • ordnungsgemäßer Betrieb und Sicherheit der Website
  • Missbrauchs-, Betrugs- und Gefahrenabwehr (Spam, Scraping, DDoS, Brute-Force)
  • Qualitätssicherung der veröffentlichten Berichte (Vor-Moderation)
  • Bearbeitung und Beantwortung von Anliegen über unsere Kontaktwege
  • Schutz unserer Datenbank vor systematischer Auswertung durch Dritte (§ 87a UrhG)
  • Weiterentwicklung und technische Wartung unseres Dienstes

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck notwendig ist oder gesetzliche Aufbewahrungspflichten dies vorschreiben. Konkret gilt:

  • Berichtsinhalte und Bewertungsdaten: solange der Bericht veröffentlicht ist. Auf Wunsch jederzeit Löschung auf Zuruf (siehe Abschnitt 11).
  • IP-Adresse eines Berichts: spätestens 90 Tage nach Veröffentlichung automatisch gelöscht
  • Server-Logfiles: maximal 30 Tage
  • Kontakt-Audit-Log (gehashte IP, Zeitstempel, keine Nachrichteninhalte): 90 Tage
  • Magic-Link-Bestätigungs-Tokens: 1 Stunde Gültigkeit
  • Bearbeitungs-Tokens: 30 Tage Gültigkeit
  • Entwurfs-Cookie (draft_cookie): 30 Tage, automatisch gelöscht bei Sitzungsende oder bei erfolgreichem Einreichen
  • Flask-Session-Cookie: Sitzungsdauer im Browser

7. Dienstleister / Auftragsverarbeiter

Zur Erbringung unseres Dienstes nutzen wir die folgenden externen Dienstleister. Mit jedem Anbieter, an den personenbezogene Daten fließen, besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO bzw. ein vergleichbares Vertragswerk. Wir verarbeiten Daten nur, wenn wir auf das jeweilige Subsystem angewiesen sind.

7.1 Hetzner Online GmbH (Webhosting)

Für das Hosting der Website inkl. Datenbank und Medien-Speicherung nutzen wir die Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Serverstandort ist Deutschland. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

7.2 Cloudflare, Inc. (DNS, CDN, E-Mail-Routing, Bot-Schutz)

Unsere Domain-Namen werden über Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA verwaltet. Cloudflare fungiert zusätzlich als Content-Delivery-Network (CDN) und Bot-Schutz. Beim Aufruf unserer Seiten werden daher technische Daten (IP-Adresse, Zeitstempel, User-Agent) über die Cloudflare-Infrastruktur geleitet.

Cloudflare erbringt für uns zusätzlich:

  • E-Mail-Routing: Eingehende E-Mails an kontakt@pj-ranking.de werden über Cloudflare Email Routing an unsere Betreiber-Adresse weitergeleitet. Cloudflare sieht dabei die Nachricht und die Absender-Adresse.
  • Cloudflare Turnstile (Captcha): Zur Spam-Abwehr setzen wir auf Kontakt-, Melde- und Berichts-Einreichungs-Formularen das Turnstile-Captcha von Cloudflare ein. Turnstile verzichtet bewusst auf Cookies und Tracking und ist in Deutschland datenschutzrechtlich unkritisch eingestuft.

Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO sowie Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO für die Übermittlung in die USA. Weitere Informationen: cloudflare.com/de-de/privacypolicy/.

7.3 Resend, Inc. (Transaktions-E-Mails)

Zum Versand von Bestätigungs-, Bearbeitungs-, Kontakt- und System-E-Mails nutzen wir den Transaktions-E-Mail-Dienst Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. Beim Versand übermitteln wir an Resend mindestens die Ziel-E-Mail-Adresse, den Betreff und den Nachrichtentext. Resend speichert diese Daten nur für die Dauer, die für die Zustellung und eventuelle Fehleranalysen erforderlich ist.

Mit Resend besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO sowie Standardvertragsklauseln für die Übermittlung in die USA. Weitere Informationen: resend.com/legal/privacy-policy.

7.4 Anthropic PBC (KI-gestützte Vor-Moderation)

Zur automatisierten Vor-Moderation eingereichter Berichte nutzen wir die KI-Schnittstelle (Claude-API) von Anthropic PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA. Dabei wird der Text des eingereichten Berichts (ohne personenbezogene Identifier wie Name oder E-Mail-Adresse) an Anthropic übertragen, damit das KI-System prüft, ob offensichtliche Regelverstöße (Beleidigung, unzulässige personenbezogene Nennungen, Spam) vorliegen. Das Ergebnis fließt als Entscheidungshilfe in die Moderationswarteschlange zurück.

Anthropic verarbeitet die übermittelten Daten unter einem Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO und verpflichtet sich, Inhalte nicht für das Trainieren eigener Modelle zu verwenden. Die Übermittlung in die USA erfolgt unter den Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: anthropic.com/legal/privacy. Zu den Auswirkungen dieser Vor-Moderation auf Ihre Rechte siehe Abschnitt 9.

7.5 OpenStreetMap Foundation (Nominatim) & Wikimedia (Wikidata)

Wir ergänzen unseren Datenbestand gelegentlich um öffentlich verfügbare Daten zu Krankenhäusern und Städten (z.B. geografische Koordinaten, offizielle Website). Dazu fragen wir im Hintergrund – ausschließlich durch die Betreiberin angestoßen, niemals durch einen Seitenbesuch – die Nominatim-API der OpenStreetMap Foundation (Charles Babbage House, 36 Rosebery Avenue, Cambridge CB4 3BQ, United Kingdom) sowie die Wikidata-API der Wikimedia Foundation, Inc. (1 Montgomery Street, Suite 1600, San Francisco, CA 94104, USA) ab.

Dabei werden keine personenbezogenen Daten von Seitenbesucher:innen übermittelt. Der Datenverkehr erfolgt ausschließlich zwischen unserem Hintergrund-Worker und dem jeweiligen Dienst.

7.6 OpenFreeMap (Kartenkacheln)

Auf bestimmten Seiten (Krankenhaus-Detailseite, Bericht-Seite) binden wir eine interaktive Karte ein. Die Kartenkacheln stammen von OpenFreeMap, einem offenen, frei zugänglichen Karten-Dienst auf Basis von OpenStreetMap-Daten. Die Kacheln werden nicht direkt von Ihrem Browser beim OpenFreeMap-Server geladen, sondern über unseren eigenen Server weitergeleitet und dort zwischengespeichert. Dadurch erfährt OpenFreeMap nicht Ihre IP-Adresse. Nur unser Server kommuniziert ggf. in Ihrem Namen mit OpenFreeMap zum erstmaligen Abruf einer Kachel.

8. Datenübermittlung in Drittländer (USA)

Einige der oben genannten Dienstleister (Cloudflare, Resend, Anthropic, teilweise Wikidata) haben ihren Hauptsitz in den Vereinigten Staaten. Die USA sind aus Sicht der DSGVO ein „Drittland" ohne generelles Angemessenheits-Urteil. Die Übermittlung erfolgt in allen Fällen ausschließlich auf Grundlage der Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Die Anbieter sind zusätzlich vertraglich verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) umzusetzen, um Ihre Daten zu schützen. Sämtliche Datenübertragungen erfolgen verschlüsselt (TLS).

9. KI-gestützte Vor-Moderation (Art. 22 DSGVO)

Um die Qualität der veröffentlichten Berichte sicherzustellen, nutzen wir eine automatisierte Vor-Moderation: Jeder eingereichte Bericht wird zunächst durch eine Kombination aus regelbasierten Prüfungen (Duplikatserkennung, Wortlisten, Raten-Begrenzung) und einer KI-gestützten inhaltlichen Einschätzung (Claude-API, siehe Abschnitt 7.4) gefiltert. Die Entscheidung des Vor-Moderations-Systems ist jedoch niemals endgültig – sie dient ausschließlich der Vorsortierung. Die finale Veröffentlichungs-Entscheidung trifft immer ein:e menschliche:r Moderator:in auf Basis der sichtbaren Einzel-Gründe.

Sie haben gemäß Art. 22 Abs. 3 DSGVO insbesondere das Recht,

  • das Eingreifen einer menschlichen Person zu verlangen,
  • Ihren eigenen Standpunkt darzulegen und
  • die Entscheidung anzufechten.

Eine entsprechende Anfrage richten Sie bitte formlos an kontakt@pj-ranking.de.

10. Cookies

Diese Website setzt ausschließlich technisch notwendige Cookies ein. Wir verwenden keine Tracking-Cookies, keine Analyse-Cookies und keine Werbe-Cookies. Rechtsgrundlage für die Speicherung ist § 25 Abs. 2 Nr. 2 TDDDG bzw. Art. 6 Abs. 1 lit. f DSGVO.

Im Einzelnen:

  • session (Erstanbieter, Sitzungsdauer) – Flask-Session-Cookie, unter anderem zur Verwaltung von Meldungen und Formulardaten über mehrere Schritte hinweg
  • csrf_token (Erstanbieter, Sitzungsdauer) – Schutz gegen Cross-Site-Request-Forgery
  • draft_cookie (Erstanbieter, 30 Tage) – anonyme Kennung zum Wiederaufnehmen eines nicht abgeschlossenen Bericht-Entwurfs

Sie können die Speicherung von Cookies über eine entsprechende Einstellung Ihres Browsers jederzeit verhindern. Bei deaktivierten Cookies können Teilfunktionen (z.B. Einreichungs-Assistent oder Anmeldung zum Admin-Bereich) nicht funktionieren.

11. Ihre Rechte

Ihnen stehen – unter den jeweiligen Voraussetzungen – die folgenden Rechte gegenüber uns zu:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen (Art. 21 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Eingreifen einer menschlichen Person bei automatisierter Vor-Moderation (Art. 22 Abs. 3 DSGVO)

Um eines dieser Rechte auszuüben, reicht eine formlose Nachricht an kontakt@pj-ranking.de. Wir antworten innerhalb der gesetzlich vorgesehenen Frist von einem Monat, in Ausnahmefällen mit entsprechender Begründung innerhalb von drei Monaten. Die Bearbeitung ist für Sie kostenlos.

12. Beschwerderecht bei der Aufsichtsbehörde

Sie haben jederzeit das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für den Verantwortlichen ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22
20459 Hamburg
Telefon: +49 40 428 54 - 4040
E-Mail: mailbox@datenschutz.hamburg.de
Web: datenschutz-hamburg.de

13. Profiling und automatisierte Einzelfallentscheidungen

Außerhalb der in Abschnitt 9 beschriebenen Vor-Moderation findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt. Die eingesetzte Vor-Moderation entfaltet keine Rechtswirkung und keine erhebliche Beeinträchtigung im Sinne von Art. 22 Abs. 1 DSGVO, da jede Veröffentlichungsentscheidung durch einen Menschen final geprüft wird.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung an veränderte rechtliche oder technische Rahmenbedingungen anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Der unten angegebene Stand gibt an, wann die Erklärung zuletzt geändert wurde.

15. Anbieter und Kontaktdaten

Dr. med. Tim Lütkens
Geibelstr. 56
22303 Hamburg
E-Mail: kontakt@pj-ranking.de

Stand: April 2026