Zum Hauptinhalt springenZur Navigation springen
matchyourtherapymatchyourtherapy
MatchingTherapeut:innenWissen
Kostenlos startenStarten
Loading...
MatchYourTherapy Logomatchyourtherapy

Finde die richtige Psychotherapie in Österreich – anonym, kostenlos und verständlich.

Navigation

  • Startseite
  • Über uns
  • Wissen & Selbsthilfe
  • Preise für Therapeut:innen

Rechtliches

  • Sicherheit
  • Datenschutz
  • Nutzungsbedingungen
  • Impressum
  • Auftragsverarbeitung (AVV)
  • Barrierefreiheit

Kontakt

  • info@matchyourtherapy.at
  • Instagram (öffnet in neuem Tab)

In einer akuten Krise? Hilfe ist sofort erreichbar.

Wenn du oder eine andere Person in akuter Gefahr seid, wende dich JETZT an eine dieser Stellen — sie sind rund um die Uhr kostenlos erreichbar.

  • 142 — Telefonseelsorge (24/7)
  • 147 — Rat auf Draht (Kinder & Jugendliche)
  • 0800 222 555 — Frauenhelpline gegen Gewalt
  • 144 — Rettung / Notruf
Alle Notrufnummern ansehen →

© 2026 MatchYourTherapy. Alle Rechte vorbehalten.

Mit in Österreich entwickelt

Verschlüsselt + DSGVO-konform

Deine Anfrage ist verschlüsselt. Immer.

Psychotherapie-Anfragen enthalten besonders schützenswerte Gesundheitsdaten. Auf den meisten Plattformen liegen sie im Klartext in der Datenbank, im E-Mail-Postfach des Anbieters und in den Server-Logs. Bei uns nicht.

AES-256-GCMDSGVO Art. 9EU-Server30-Tage-Löschung

Warum das bei uns anders ist

Wenn du auf einer Plattform schreibst „Ich suche Hilfe bei einer Trauma-Therapie nach einem sexuellen Übergriff vor 5 Jahren“, ist das eine Information, die in falschen Händen Versicherungsdiskriminierung, Stigmatisierung im Job oder schlicht peinliche Offenlegung im Bekanntenkreis bedeuten kann. Die DSGVO behandelt das deshalb als „besondere Kategorie“ (Art. 9) — die strengste Schutzklasse. Wir bauen unsere Plattform entsprechend, statt es als Standard-Webformular zu behandeln.

Vier Schutzschichten — übereinandergelegt

Damit Patient-Daten leaken können, müssten ALLE diese Schichten gleichzeitig kompromittiert werden:

1

AES-256-GCM Verschlüsselung in der Datenbank

Name, E-Mail, Telefonnummer und Nachricht werden mit AES-256-GCM verschlüsselt, bevor sie in die Datenbank geschrieben werden. Selbst bei einem vollständigen DB-Leak sieht ein Angreifer nur Ciphertext. Der Schlüssel liegt ausschließlich in unserer App-Server-Umgebung — niemals bei Datenbank-, Backup- oder anderen Subprocessoren.

2

E-Mail an Therapeut:in enthält keinen Inhalt

Andere Plattformen senden den vollen Anfrage-Text per Mail an die Therapeut:in. Der E-Mail-Dienstleister (z.B. Resend, SendGrid, Mailgun) hat dann den kompletten Inhalt in seinen Mail-Logs. Bei uns enthält die Mail nur einen Login-Link — der Inhalt bleibt verschlüsselt in unserer DB und wird erst nach Login der Therapeut:in entschlüsselt angezeigt.

3

Automatische Löschung nach 30 Tagen

Ein täglicher Cron-Job durchsucht Anfragen, die älter als 30 Tage sind, und ersetzt Name, E-Mail, Telefonnummer und Nachrichten-Inhalt durch eindeutig markierte Platzhalter. Aggregierte Daten (Anzahl, Thema, Bundesland) bleiben für Statistik-Zwecke erhalten — Patient-Identifizierbarkeit nicht.

4

EU-Infrastruktur + redaktierte Logs

Datenbank (Neon, EU), Hosting (Vercel, Frankfurt), E-Mail-Versand (Brevo, Frankreich), Analytics (PostHog, EU). Persönlich identifizierbare Daten erscheinen NICHT in unseren Server-Logs — wir loggen strukturierte IDs, nie Klartext-E-Mails oder Nachrichten-Inhalte.

Im Vergleich

Was bei uns Standard ist — und was auf den meisten vergleichbaren Plattformen üblich.

Sicherheits-Aspekt
So sollte es sein
MatchYourTherapy
Typisch auf anderen Plattformen
Anfrage-Inhalt in der DatenbankAES-256-GCM verschlüsseltKlartext
Inhalt in der E-Mail an Therapeut:inNur Login-Link, kein InhaltVoller Inhalt im Mail-Body
Aufbewahrung des Klartext-InhaltsAutomatisch gelöscht nach 30 TagenHäufig unbegrenzt
Server-Standort der DBEU (Frankfurt)Oft USA
Persönliche Daten in Server-LogsRedacted (nur IDs)Oft Klartext
Tracking-CookiesNur nach aktiver EinwilligungOft auto-aktiviert
Account-Löschung räumt auch Marketing-ListenVollständig + automatischOft nur User-Tabelle

Anfrage-Inhalt in der Datenbank

MatchYourTherapy

AES-256-GCM verschlüsselt

Typisch auf anderen Plattformen

Klartext

Inhalt in der E-Mail an Therapeut:in

MatchYourTherapy

Nur Login-Link, kein Inhalt

Typisch auf anderen Plattformen

Voller Inhalt im Mail-Body

Aufbewahrung des Klartext-Inhalts

MatchYourTherapy

Automatisch gelöscht nach 30 Tagen

Typisch auf anderen Plattformen

Häufig unbegrenzt

Server-Standort der DB

MatchYourTherapy

EU (Frankfurt)

Typisch auf anderen Plattformen

Oft USA

Persönliche Daten in Server-Logs

MatchYourTherapy

Redacted (nur IDs)

Typisch auf anderen Plattformen

Oft Klartext

Tracking-Cookies

MatchYourTherapy

Nur nach aktiver Einwilligung

Typisch auf anderen Plattformen

Oft auto-aktiviert

Account-Löschung räumt auch Marketing-Listen

MatchYourTherapy

Vollständig + automatisch

Typisch auf anderen Plattformen

Oft nur User-Tabelle

Was wir nicht versprechen können

Marketing-Sprech ist oft „100% sicher“ — das ist nicht ehrlich. Hier sind die Grenzen unseres Schutzes:

Wir sagen das nicht, weil wir müssen — sondern weil ehrliche Aufklärung mehr Vertrauen schafft als Übersprechen. Du sollst wissen, wo wir helfen und wo wir es nicht können.

1

Das E-Mail-Postfach der Therapeut:in

Sobald die Mail-Benachrichtigung im Postfach der Therapeut:in landet, sind wir nicht mehr im Spiel. Wenn ihr Mail-Account übernommen wird, kann der Angreifer den Login-Link nutzen — sie müsste sich aber bei uns einloggen können (2FA-fähig). Das Berufsgeheimnis (§ 45 PthG 2024) liegt ohnehin bei ihr.

2

Vollständige Kompromittierung unseres Servers

Der Verschlüsselungsschlüssel liegt als Umgebungsvariable auf unserem App-Server. Wer Vercel-Login + 2FA gleichzeitig kompromittiert, könnte den Schlüssel lesen und alle Anfragen der letzten 30 Tage entschlüsseln. Mitigiert durch: hartes 2FA auf allen unseren Service-Accounts, Audit-Logs intern, kurze Retention.

3

End-to-End-Encryption (Patient-Side-Keys)

Echte Zero-Knowledge wäre nur möglich, wenn du als Patient:in einen Schlüssel pro Anfrage erzeugst und nur deiner Therapeut:in zugänglich machst. Das ist UX-aufwendig (Browser-Cryptography, Schlüssel-Recovery, Mobile-Sync) und nicht implementiert. Wir tragen das Risiko, dass unser Server vertrauenswürdig sein muss — und gehen damit transparent um.

Für die Technik-Interessierten

Du willst genau wissen, was wir tun? Die Datenschutzerklärung listet alle Subprocessoren mit Standort, Rechtsgrundlage und Schutzmaßnahmen auf. Im AVV (Auftragsverarbeitungsvertrag) findest du die vertraglichen Details für Therapeut:innen.

DatenschutzerklärungAVV ansehen

Sicherheitslücke gefunden?

Wir sind dankbar für verantwortungsvolle Hinweise. Schreib uns an support@matchyourtherapy.at — wir antworten innerhalb von 24 Stunden.

Jetzt mit gutem Gefühl Therapie finden.

Du musst dich nicht entscheiden zwischen „Hilfe suchen“ und „meine Daten schützen“. Bei uns geht beides.

Therapeut:in findenWie funktioniert das Matching?
AES-256-GCM
DSGVO Art. 9
EU-Server
30-Tage-Löschung