Datenschutzerklärung

Informationen zum Schutz Ihrer personenbezogenen Daten

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website ist:

MMag. Dr. Gregor Studlar BA (MatchYour GmbH i.G.)

Domgasse 14

4020 Linz, Österreich

datenschutz@matchyourtherapy.at

2. Erhobene Daten

Account-Daten

Bei der Registrierung erheben wir: Name, E-Mail-Adresse, verschlüsseltes Passwort. Bei Therapeut:innen zusätzlich: Berufsqualifikationen, Praxisadresse, Spezialisierungen.

Matching-Daten

Für das Therapie-Matching erheben wir Informationen zu: Therapiewünschen, Präferenzen (Online/Vor-Ort), Standort, bevorzugte Sprache. Diese Daten werden anonymisiert verarbeitet und nicht an Therapeut:innen weitergegeben, es sei denn, Sie erteilen ausdrücklich Ihre Einwilligung.

Nutzungsdaten

IP-Adressen verarbeiten wir ausschließlich temporär aus den Request-Headern zur Rate-Limit-Prüfung und Spam-Abwehr; sie werden nicht in unserer Datenbank gespeichert. Browser-Typ, Betriebssystem, Zugriffszeiten und besuchte Seiten fallen als Standard-Hosting-Logs beim Hosting-Provider Vercel an (Speicherdauer siehe Abschnitt 9).

3. Rechtsgrundlagen

Art. 6 (1) a DSGVO:Einwilligung (z.B. Newsletter, Matching-Ergebnisse teilen)
Art. 6 (1) b DSGVO:Vertragserfüllung (Account-Verwaltung, Matching-Service)
Art. 6 (1) c DSGVO:Rechtliche Verpflichtungen (Rechnungsaufbewahrung)
Art. 6 (1) f DSGVO:Berechtigte Interessen (Sicherheit, Betrugsprävention)

4. Besondere Kategorie: Gesundheitsdaten

Im Rahmen des Matching-Prozesses können Sie freiwillig Informationen zu Ihrem psychischen Wohlbefinden angeben. Diese Daten unterliegen besonderem Schutz gemäß Art. 9 DSGVO.

Verarbeitung nur mit Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 a DSGVO)
Inhalte von Kontaktanfragen (Name, E-Mail, Telefon, Nachricht, Matching-Antworten) werden in unserer Datenbank mit AES-256-GCM verschlüsselt gespeichert; der Schlüssel wird ausschließlich auf unserem Anwendungs-Server gehalten und nicht an Subprocessor übermittelt
Kein Zugriff durch Dritte ohne Ihre Freigabe
Löschung jederzeit auf Anfrage möglich

5. Drittanbieter & Datentransfer

Wir setzen folgende Dienstleister ein, die Daten in unserem Auftrag verarbeiten:

Vercel Inc.

Hosting (Server in Frankfurt, EU). Zusätzlich Vercel Web Analytics und Speed Insights für Seitenaufrufe und Performance-Metriken – beides nur mit Ihrer Einwilligung.

Stripe Inc.

Zahlungsabwicklung (SCC, zertifiziert)

Brevo (Sendinblue SAS)

E-Mail-Versand transaktionaler E-Mails (Registrierungs-Bestätigung, Kontaktanfrage-Benachrichtigung, Passwort-Reset) sowie E-Mail-Marketing-Listen für angemeldete Therapeut:innen (Server in Frankreich, EU). Sie können sich jederzeit über den Abmeldelink in jeder Marketing-Mail oder durch Account-Löschung austragen.

Cloudinary

Bildoptimierung & -speicherung

Neon

Datenbank (PostgreSQL, EU-Server)

Anthropic PBC

KI-Analyse für das Matching mittels Claude-Modellen (USA/SCC) – nur pseudonymisierte Therapiepräferenzen, siehe "Besonderer Schutz bei KI-Verarbeitung" unten

Unsplash Inc.

Eingebundene Stockfotos (USA/SCC) – beim Laden der Bilder kann Ihre IP-Adresse an Unsplash übermittelt werden

PostHog Inc.

Webanalyse (EU-Server) – sowohl client- als auch serverseitig nur mit Ihrer Einwilligung

Besonderer Schutz bei KI-Verarbeitung

Für das KI-gestützte Matching setzen wir Anthropic PBC (USA) ein. Um Ihre Privatsphäre zu schützen, haben wir folgende technische Maßnahmen implementiert:

Automatische Pseudonymisierung: Vor jedem API-Aufruf werden strukturierte Felder (Name, Stadt) durch Platzhalter (z.B. [NAME], [STADT_T]) ersetzt. Freitext-Eingaben werden zusätzlich per Regex-Filter bereinigt: E-Mail-Adressen, österreichische Telefonnummern (+43/06xx), Straßenadressen und Postleitzahl-Ort-Kombinationen werden automatisch erkannt und durch Platzhalter wie [EMAIL], [TELEFON], [ADRESSE] und [ORT] ersetzt.
Reduzierte Identifizierbarkeit: Anthropic erhält nur pseudonymisierte Therapiepräferenzen (Kategorien, Scores, Methoden), aus denen typische Identifikationsmerkmale entfernt wurden. Bei gleicher Stadt wird dies als Kontextinformation übermittelt, ohne den tatsächlichen Ortsnamen preiszugeben.
Kein Training mit Ihren Daten: Ihre Daten werden gemäß Anthropics Geschäftsbedingungen für API-Kunden nicht zum Training der Claude-Modelle verwendet.
Begrenzte Speicherung: Anthropic speichert API-Eingaben standardmäßig bis zu 30 Tage zur Missbrauchsüberwachung; danach werden sie gelöscht. Da wir vor jedem Aufruf pseudonymisieren, enthalten diese Logs keine identifizierenden Patientendaten.

Diese technischen Maßnahmen sind darauf ausgelegt, die Übermittlung identifizierender personenbezogener Daten an Anthropic zu verhindern. Strukturierte Felder (Name, Stadt) werden durch feste Platzhalter ersetzt, Freitext-Eingaben werden zusätzlich durch reguläre Ausdrücke gefiltert. Die Filterung wird durch automatisierte Tests verifiziert.

Mit allen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bzw. entsprechende Datenschutzvereinbarungen.

Internationale Datenübermittlung (Schrems II)

Einige unserer Dienstleister haben ihren Sitz in den USA oder anderen Drittländern. Für diese Übermittlungen haben wir folgende Schutzmaßnahmen implementiert:

EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
Ergänzende technische Maßnahmen (Verschlüsselung, Pseudonymisierung)
Transfer Impact Assessments (TIA) für jeden US-Anbieter
Bevorzugung von EU-Serverstandorten wo möglich

Anbieter in der EU/EWR: Vercel (Hosting in Frankfurt), Brevo (Frankreich, EU), Neon (EU), PostHog (EU). Anbieter mit SCC: Stripe, Cloudinary, Anthropic, Unsplash, Vercel (Analytics/Speed Insights läuft über US-Infrastruktur). Bild-Uploads erfolgen ausschließlich über unseren Server — Ihre IP-Adresse wird nicht an Cloudinary übermittelt. Für Anthropic setzen wir zusätzlich technische Filtermaßnahmen ein (siehe oben). Analyse-Tools (PostHog, Vercel Web Analytics, Vercel Speed Insights) werden sowohl client- als auch serverseitig nur mit Ihrer Einwilligung aktiviert.

6. Automatisierte Entscheidungsfindung

Gemäß Art. 22 DSGVO informieren wir Sie über den Einsatz automatisierter Entscheidungsfindung:

KI-gestütztes Matching

Unser Matching-Algorithmus verwendet künstliche Intelligenz, um Ihnen passende Therapeut:innen vorzuschlagen. Diese Vorschläge basieren auf Ihren Angaben zu Therapiewünschen, Präferenzen und Standort.

Ihre Rechte

Die Matching-Ergebnisse sind Empfehlungen, keine verbindlichen Entscheidungen
Sie entscheiden frei, welche Therapeut:innen Sie kontaktieren
Sie können jederzeit eine manuelle Überprüfung der Ergebnisse verlangen
Sie können Ihren Standpunkt darlegen und die Entscheidung anfechten

Für eine manuelle Überprüfung oder Fragen zu unseren automatisierten Systemen kontaktieren Sie uns unter: datenschutz@matchyourtherapy.at

7. Cookies

Unsere Website verwendet Cookies. Dabei unterscheiden wir zwischen:

Notwendige Cookies

Session-Cookies für Login und Sicherheit. Diese sind für den Betrieb der Website erforderlich.

Funktionale Cookies

Speichern Ihre Präferenzen wie Sprache und Theme. Nur mit Ihrer Einwilligung.

Analyse-Cookies (optional)

Mit Ihrer ausdrücklichen Einwilligung verwenden wir folgende Analyse-Tools zur Verbesserung unseres Services:

PostHog (EU-Server): Analyse des Nutzerverhaltens zur Optimierung des Matching-Prozesses. Anbieter: PostHog Inc., Daten werden auf EU-Servern verarbeitet.

Diese Tools werden erst nach Ihrer aktiven Einwilligung im Cookie-Banner aktiviert. Sie können Ihre Einwilligung jederzeit widerrufen.

Sie können Ihre Cookie-Einstellungen jederzeit über den Cookie-Banner oder in Ihrem Browser ändern.

8. Ihre Rechte

Gemäß DSGVO haben Sie folgende Rechte:

Auskunftsrecht (Art. 15)
Recht auf Berichtigung (Art. 16)
Recht auf Löschung (Art. 17)
Recht auf Einschränkung (Art. 18)
Recht auf Datenübertragbarkeit (Art. 20)
Widerspruchsrecht (Art. 21)

Beschwerderecht

Sie haben das Recht, sich bei der österreichischen Datenschutzbehörde zu beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
dsb@dsb.gv.at

9. Speicherdauer

Account-DatenBis zur Kontolöschung
Kontaktanfragen – Inhalt (Name, E-Mail, Telefon, Nachricht, Symptom-Freitext)30 Tage nach Eingang; danach werden diese Felder automatisch durch einen täglichen Cron-Job in unserer Datenbank gelöscht. Die E-Mail-Benachrichtigung, die zum Zeitpunkt der Anfrage an die Therapeut:in ging, unterliegt deren beruflicher Verschwiegenheitspflicht und ist von dieser Löschung nicht erfasst.
Kontaktanfragen – pseudonymisierte Metadaten (Therapeut-ID, Zeitstempel, Themen-Buckets, Schweregrad-Bucket, 2-stelliger PLZ-Bucket)Unbegrenzt für aggregierte Statistik – enthält keine identifizierenden Patientendaten, gilt aber datenschutzrechtlich weiterhin als pseudonymisiert (Art. 4 Z 5 DSGVO).
Rechnungsdaten7 Jahre (gesetzliche Aufbewahrungspflicht)
Server-LogsVercel-Hobby-Plan: ca. 1 Stunde; bei Plan-Upgrade entsprechend länger

10. Kontakt für Datenschutzanfragen

Für Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter:

datenschutz@matchyourtherapy.at

Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten.

Stand: Mai 2026