Privacy Policy (GDPR)

Last updated: 10 February 2026

Controller

This website is provided by Heidelberg University Hospital (Universitätsklinikum Heidelberg) – Department of Hematology, Oncology and Rheumatology (Medizinische Klinik V).

Responsible for content: Prof. Dr. med. Carsten Müller-Tidow

Address: Im Neuenheimer Feld 410, 69120 Heidelberg, Germany

Email: sfb1709ORGA@med.uni-heidelberg.de

Project coordination contact: Aynur Yu Huang

Phone: +49 6221 56-311039

Email: sfb1709ORGA@med.uni-heidelberg.de

Data Protection Officer (DPO)

If you have questions regarding data protection, you may contact the Data Protection Officer (DPO) of Heidelberg University Hospital:

Email: datenschutz@med.uni-heidelberg.de

General information

We process personal data in accordance with the EU General Data Protection Regulation (GDPR) and applicable German law. Personal data means any information relating to an identified or identifiable natural person.

Hosting and server log files

This website is hosted on webspace rented by Heidelberg University Hospital and technically provided by Mittwald CM Service GmbH & Co. KG (Germany) as a hosting service provider.

When you visit this website, technical data is processed automatically to deliver the website, ensure security and stability, and troubleshoot technical issues. Web server access logs may include (among others): anonymised IP address, date and time of access, requested page, protocol, status code, amount of data transferred, referrer, user agent, requested hostname, and (if applicable) a directory-protection user.

IP anonymisation: IP addresses are stored in anonymised form. The last one to three digits are removed (e.g., “127.0.0.1” becomes “127.0.0.0”); IPv6 addresses are anonymised accordingly.

Retention periods (Mittwald):

Web server access logs: anonymised IP addresses are retained for 60 days. Directory-protection user information is anonymised after 1 day.

Error logs: deleted after 7 days (may contain the accessing IP address and, depending on the error, the requested webpage).

FTP logs: stored with anonymised username and IP address and retained for 60 days.

Mail logs (sending emails from the web environment): anonymised after 1 day and retained for 60 days; during anonymisation all sender/recipient data is removed (only sending time and processing status remain).

Mail logs (sending via Mittwald mail servers): deleted after 4 weeks; retention supports functionality and spam prevention.

No individual retention setting: Mittwald states that an individual definition of these retention periods is not possible.

Purpose: secure operation, stability, error analysis, abuse prevention, and ensuring the proper functioning of hosting/mail services.

Legal basis: Art. 6(1)(e) GDPR (task carried out in the public interest) and/or Art. 6(1)(f) GDPR (legitimate interest in secure operation), as applicable.

Recipients: Mittwald and (where applicable) further IT service providers acting as processors under Art. 28 GDPR.

Contacting us (email and telephone)

If you contact us by email or phone, we process the data you provide (e.g., name, email address/phone number, and the content of your request).

Purpose: handling your enquiry and follow-up communication.

Legal basis: Art. 6(1)(b) GDPR (where communication relates to a contract/pre-contract) and otherwise Art. 6(1)(e) and/or Art. 6(1)(f) GDPR depending on the context.

Retention: enquiries are deleted when they are no longer required and no statutory retention obligations apply.

This website uses essential technologies required to operate the site securely. In addition, we use optional technologies (in particular Google Analytics and embedded third-party media) which are activated only with your consent, where required.

You can manage your preferences at any time via [Cookie settings] (link in the footer or consent banner).

Google Analytics (GA4)

We use Google Analytics 4 (GA4) to understand how visitors use our website and to improve content and performance.

Provider: Google (Google Ireland Limited and/or Google LLC, depending on processing context).

Processed data: usage data (e.g., pages viewed, interactions), device/browser information, approximate location derived from IP, and online identifiers (cookies or similar technologies), depending on configuration.

Purpose: statistical analysis and optimisation of the website.

Legal basis: your consent (Art. 6(1)(a) GDPR).

Data retention (default): user-level / event-level data used for Explorations is retained for 2 months by default in GA4 (property setting).

International transfers: Data may be transferred to countries outside the EEA (e.g., the USA). Where required, appropriate safeguards are used (e.g., adequacy decision and/or other GDPR mechanisms made available by the provider).

Data processing terms: We use Google’s applicable data processing terms for Analytics-related processing.

Embedded videos (YouTube and Vimeo)

We embed videos from YouTube and may also embed videos from Vimeo. When you view a page containing an embedded video, the provider may receive technical information such as your IP address and device/browser information. Depending on the provider and your settings, cookies/identifiers may be stored on your device.

Legal basis: We load embedded videos only after you provide consent (Art. 6(1)(a) GDPR) via our consent mechanism, where required.

Implementation note (recommended): click-to-load and/or privacy-enhanced configuration (e.g., YouTube privacy-enhanced mode) can be used to minimise data transfer before consent.

Our website contains links to our social media profiles (e.g., Instagram, Bluesky, LinkedIn). These are outbound links. No data is transmitted to these services merely by displaying the link. Data processing by the respective platform occurs only if you click the link and visit the platform.

Recipients and processors

We share personal data only where permitted by law. Where external service providers process personal data on our behalf, we conclude data processing agreements in accordance with Art. 28 GDPR.

Your rights

You have the right to request:

access (Art. 15 GDPR)

rectification (Art. 16 GDPR)

erasure (Art. 17 GDPR)

restriction of processing (Art. 18 GDPR)

data portability (Art. 20 GDPR)

objection (Art. 21 GDPR)

You may withdraw consent at any time with effect for the future (Art. 7(3) GDPR).

Right to lodge a complaint

You have the right to lodge a complaint with a supervisory authority (Art. 77 GDPR).

Changes to this Privacy Policy

We may update this Privacy Policy from time to time. The current version is published on this website.

To manage the cookies and similar technologies used (tracking pixels, web beacons, etc.) and related consents, we use the consent tool “Real Cookie Banner”. Details on how “Real Cookie Banner” works can be found at https://devowl.io/rcb/data-processing/.

The legal basis for the processing of personal data in this context are Art. 6 (1) (c) GDPR and Art. 6 (1) (f) GDPR. Our legitimate interest is the management of the cookies and similar technologies used and the related consents.

The provision of personal data is neither contractually required nor necessary for the conclusion of a contract. You are not obliged to provide the personal data. If you do not provide the personal data, we will not be able to manage your consents.

Stand: 10. Februar 2026

Verantwortlicher

Verantwortlich für diese Website ist das Universitätsklinikum Heidelberg, Medizinische Klinik V – Hämatologie, Onkologie und Rheumatologie.

Inhaltlich Verantwortlicher: Prof. Dr. med. Carsten Müller-Tidow
Anschrift: Im Neuenheimer Feld 410, 69120 Heidelberg
E-Mail: sfb1709ORGA@med.uni-heidelberg.de
Telefon: +49 6221 56-8001

Projektkoordination / Kontakt: Anyur Yu Huang
Telefon: +49 6221 56-311039
E-Mail: sfb1709ORGA@med.uni-heidelberg.de

Datenschutzbeauftragter

Den Datenschutzbeauftragten des Universitätsklinikums Heidelberg erreichen Sie unter:

E-Mail: datenschutz@med.uni-heidelberg.de

Allgemeine Hinweise

Wir verarbeiten personenbezogene Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem anwendbaren deutschen Datenschutzrecht. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Hosting und Server-Logfiles

Der Webspace für diese Website wird vom Universitätsklinikum Heidelberg angemietet und technisch über Mittwald CM Service GmbH & Co. KG (Deutschland) bereitgestellt.

Beim Aufruf dieser Website werden zur Auslieferung der Inhalte sowie zur Gewährleistung von Sicherheit und Stabilität automatisiert technische Zugriffsdaten verarbeitet (Server-Logfiles). Dazu können insbesondere gehören: (anonymisierte) IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seite/Datei, Protokoll, Statuscode, übertragene Datenmenge, Referrer, User-Agent, aufgerufener Hostname sowie ggf. ein Verzeichnisschutz-Benutzer.

IP-Anonymisierung: IP-Adressen werden anonymisiert gespeichert. Hierzu werden die letzten ein bis drei Ziffern entfernt (z. B. wird aus „127.0.0.1“ „127.0.0.0“). IPv6-Adressen werden entsprechend anonymisiert.

Speicherdauer bei Mittwald:

Access-Logs: anonymisierte IP-Adressen werden 60 Tage vorgehalten. Angaben zum verwendeten Verzeichnisschutzbenutzer werden nach 1 Tag anonymisiert.

Error-Logs: werden nach 7 Tagen gelöscht (beinhalten neben Fehlermeldungen die zugreifende IP-Adresse und je nach Fehler die aufgerufene Webseite).

FTP-Logs: werden mit anonymisierter Angabe zu Benutzername und IP-Adresse protokolliert und 60 Tage aufbewahrt.

Mail-Logs aus der Webumgebung: werden nach 1 Tag anonymisiert und anschließend 60 Tage vorgehalten; bei der Anonymisierung werden Absender/Empfänger etc. entfernt (es verbleiben Versandzeitpunkt und Verarbeitungsinformation).

Mail-Logs über Mittwald-Mailserver: werden nach 4 Wochen gelöscht (u. a. zur Sicherstellung der Funktionalität und Spambekämpfung).

Hinweis: Eine individuelle Festlegung der Speicherdauer ist nach Angaben von Mittwald nicht möglich.

Zwecke: Sicherer Betrieb, Fehleranalyse, Missbrauchs-/Angriffserkennung, Gewährleistung der Funktionalität der Hosting- und Mail-Services.

Rechtsgrundlage: Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse) und/oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb), je nach Einordnung.

Empfänger: Mittwald und ggf. weitere IT-Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO).

Kontaktaufnahme per E-Mail oder Telefon

Wenn Sie uns per E-Mail oder Telefon kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten (z. B. Name, Kontaktdaten, Inhalt der Anfrage).

Zweck: Bearbeitung der Anfrage und Anschlusskommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (sofern vertrags-/vorvertraglich) und ansonsten Art. 6 Abs. 1 lit. e und/oder lit. f DSGVO, abhängig vom Kontext.

Speicherdauer: Löschung, sobald die Daten für den Zweck nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Cookies, Einwilligungsmanagement und ähnliche Technologien

Diese Website verwendet technisch erforderliche Technologien für einen sicheren Betrieb. Zusätzlich nutzen wir optionale Technologien (insbesondere Google Analytics sowie eingebettete Videos), die – soweit erforderlich – erst nach Ihrer Einwilligung aktiviert werden.

Ihre Einstellungen können Sie jederzeit über [Cookie-Einstellungen] anpassen.

Google Analytics (GA4)

Wir nutzen Google Analytics 4 (GA4), um die Nutzung der Website statistisch auszuwerten und Inhalte zu optimieren.

Anbieter: Google (Google Ireland Limited und/oder Google LLC, abhängig vom Verarbeitungskontext).

Verarbeitete Daten: Nutzungsdaten (z. B. Seitenaufrufe, Interaktionen), Geräte-/Browserinformationen, ungefähre Standortinformation (abgeleitet), sowie Online-Kennungen (Cookies oder ähnliche Technologien), abhängig von der Konfiguration.

Zweck: Reichweitenmessung, Statistik und Optimierung.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Datenaufbewahrung (Default): nutzer-/ereignisbezogene Daten für Explorations werden in GA4 standardmäßig 2 Monate vorgehalten (Property-Einstellung).

Drittlandübermittlung: Eine Verarbeitung/Übermittlung in Länder außerhalb des EWR (z. B. USA) kann nicht ausgeschlossen werden; geeignete Garantien werden – soweit erforderlich – durch den Anbieter bereitgestellt.

Eingebettete Videos (YouTube und ggf. Vimeo)

Wir binden Videos von YouTube ein und ggf. zusätzlich von Vimeo. Beim Aufruf einer Seite mit eingebettetem Video können an den jeweiligen Anbieter technische Informationen (z. B. IP-Adresse, Geräte-/Browserdaten) übertragen werden; je nach Anbieter können Cookies/Identifier gesetzt werden.

Rechtsgrundlage: Einbindung/Laden solcher Inhalte erfolgt – soweit erforderlich – erst nach Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) über unser Einwilligungsmanagement.

Empfehlung (technisch): Click-to-load und/oder datenschutzfreundliche Einbettung (z. B. „privacy enhanced mode“) zur Minimierung von Datenübertragungen vor Einwilligung.

Unsere Website enthält Links zu Social-Media-Profilen (z. B. Instagram, Bluesky, LinkedIn). Es handelt sich um reine Links. Bereits durch die Anzeige der Links werden keine Daten an die Plattformen übertragen. Eine Verarbeitung findet erst statt, wenn Sie den Link anklicken und die jeweilige Plattform aufrufen.

Ihre Rechte

Sie haben nach der DSGVO insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch. Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.