Bei Fragen zum Datenschutz erreichen Sie uns unter der oben genannten E-Mail-Adresse.
2. Übersicht der Verarbeitungen
Healthdesk verarbeitet personenbezogene Daten in folgenden Kontexten:
Website-Besuch: Technische Daten (IP-Adresse, Browsertyp, Zugriffszeiten) zur Bereitstellung und Absicherung der Website.
Kontoanlegung & Nutzung: Name, E-Mail-Adresse, Praxisdaten und Zahlungsinformationen zur Bereitstellung des Dienstes.
Patientendaten: Von Nutzern eingegebene Patientendaten (Name, Kontaktdaten, Behandlungsdaten, Befunde, Verordnungen) im Rahmen der Auftragsverarbeitung.
Zahlungsabwicklung: Zahlungsdaten werden an unseren Zahlungsdienstleister Stripe weitergegeben.
3. Rechtsgrundlagen
Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Sie uns eine Einwilligung zur Verarbeitung erteilt haben, z. B. für nicht-essenzielle Cookies.
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Zur Erfüllung unseres Vertrags mit Ihnen, insbesondere zur Bereitstellung der Healthdesk-Plattform.
Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Zur Erfüllung gesetzlicher Pflichten, z. B. steuer- und handelsrechtlicher Aufbewahrungspflichten.
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Zur Wahrung unserer berechtigten Interessen, z. B. IT-Sicherheit und Betrugsprävention.
4. Verarbeitung von Gesundheitsdaten
Healthdesk ermöglicht es Therapeuten, Patientendaten einschließlich Gesundheitsdaten (Behandlungen, Befunde, Diagnosen, Schmerzskalen) zu verwalten. Diese Daten fallen unter Art. 9 DSGVO (besondere Kategorien personenbezogener Daten) und unterliegen einem erhöhten Schutzniveau.
Rolle von Healthdesk
Healthdesk agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Der Therapeut bzw. die Praxis bleibt Verantwortlicher für die Patientendaten. Mit jedem Kunden wird ein Auftragsverarbeitungsvertrag (AVV) geschlossen.
Schutzmaßnahmen
Verschlüsselung: Alle Gesundheitsdaten werden mit AES-256 verschlüsselt gespeichert (Encryption at Rest) und ausschließlich über TLS 1.2+ übertragen (Encryption in Transit).
Zugangskontrolle: Rollenbasiertes Berechtigungssystem — Nutzer sehen nur Daten, für die sie berechtigt sind.
Audit-Trail: Änderungen an Behandlungsdokumentation werden protokolliert.
Datenisolierung: Daten verschiedener Praxen sind strikt voneinander getrennt.
EU-Datenstandort: Alle Daten werden ausschließlich in Rechenzentren innerhalb der Europäischen Union gespeichert.
Rechtsgrundlage
Die Verarbeitung von Gesundheitsdaten erfolgt auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) in Verbindung mit dem österreichischen Datenschutzgesetz (DSG) und dem Gesundheitstelematikgesetz (GTelG 2012).
5. Webhosting & Infrastruktur
Scaleway (Hosting & Datenbank)
Die Healthdesk-Plattform wird bei Scaleway (Scaleway SAS, 8 rue de la Ville l'Evêque, 75008 Paris, Frankreich) gehostet. Scaleway betreibt Rechenzentren ausschließlich innerhalb der EU (Paris, Amsterdam, Warschau).
HDS (Hébergeur de Données de Santé) — Zertifizierung für das Hosting von Gesundheitsdaten
Die Datenbanken nutzen Verschlüsselung at Rest. Die Kommunikation zwischen allen Systemkomponenten erfolgt ausschließlich über verschlüsselte Verbindungen (TLS 1.2+).
Wir nutzen Cloudflare (Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA) zum Schutz vor DDoS-Angriffen, zur Optimierung der Ladezeiten und zur Absicherung des Datenverkehrs.
Cloudflare verarbeitet dabei technische Verbindungsdaten (IP-Adresse, Zugriffszeiten, Browserinformationen). Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert und hat verbindliche Standardvertragsklauseln (SCCs) mit uns vereinbart.
Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:
Transportverschlüsselung: Alle Verbindungen zu Healthdesk sind mit TLS 1.2 oder höher verschlüsselt. Eine unverschlüsselte Übertragung ist nicht möglich.
Speicherverschlüsselung: Alle gespeicherten Daten — einschließlich Datenbanken, Dateien und Backups — werden mit AES-256 verschlüsselt (Encryption at Rest).
Zugangsschutz: Passwörter werden ausschließlich als gesalzene, gehashte Werte gespeichert und sind für niemanden — auch nicht für Healthdesk — im Klartext einsehbar.
DDoS-Schutz: Cloudflare schützt die Infrastruktur vor Distributed-Denial-of-Service-Angriffen.
Regelmäßige Backups: Automatisierte, verschlüsselte Backups stellen die Verfügbarkeit und Wiederherstellbarkeit der Daten sicher.
7. Zahlungsabwicklung
Für die Abwicklung von Zahlungen nutzen wir den Dienst Stripe (Stripe Technology Europe Ltd, 1 Grand Canal Street Lower, Dublin 2, Irland).
Bei einem Zahlungsvorgang werden folgende Daten an Stripe übermittelt:
Name des Kontoinhabers
E-Mail-Adresse
Zahlungsinformationen (Kreditkartendaten oder SEPA-Daten)
Rechnungsbetrag
Stripe verarbeitet diese Daten als eigenständiger Verantwortlicher gemäß Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Kreditkartendaten werden ausschließlich von Stripe verarbeitet — Healthdesk hat zu keinem Zeitpunkt Zugriff auf vollständige Kartennummern.
Stripe ist PCI DSS Level 1 zertifiziert und hat seinen europäischen Sitz in Irland (EU).
Diese Website verwendet Google Fonts (Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irland) zur Darstellung von Schriftarten. Beim Aufruf der Seite wird eine Verbindung zu Google-Servern hergestellt, wobei Ihre IP-Adresse an Google übermittelt wird.
Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen Darstellung).
Healthdesk verwendet ausschließlich technisch notwendige Cookies, die für die Funktion der Website und der Anwendung erforderlich sind. Dazu gehören:
Session-Cookies: Zur Aufrechterhaltung Ihrer Anmeldesitzung.
CSRF-Token: Zum Schutz vor Cross-Site-Request-Forgery-Angriffen.
Präferenz-Cookies: Zur Speicherung Ihrer Einstellungen (z. B. Sprache, Workspace).
Wir verwenden keine Tracking-Cookies, keine Werbe-Cookies und keine Analyse-Tools von Drittanbietern. Es werden keine Daten an Werbenetzwerke oder Social-Media-Plattformen übermittelt.
Die Rechtsgrundlage für technisch notwendige Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) sowie § 165 Abs. 3 TKG 2021 (Österreich).
10. Speicherdauer & Löschung
Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
Datenkategorie
Speicherdauer
Kontodaten
Dauer der Nutzung + 90 Tage nach Kündigung
Patientendaten
Bis zur Löschung durch den Nutzer (Verantwortlichen)
Rechnungsdaten
7 Jahre (gesetzliche Aufbewahrungspflicht gem. BAO)
Server-Logdateien
14 Tage
Zahlungsdaten bei Stripe
Dauer der Geschäftsbeziehung + gesetzliche Pflichten
Nach Ablauf der Speicherdauer werden Daten gelöscht oder anonymisiert. Sie können die Löschung Ihrer Daten jederzeit über die Datenexport-Funktion in Healthdesk oder per E-Mail an uns anfordern.
11. Ihre Rechte
Als betroffene Person haben Sie gemäß DSGVO folgende Rechte:
Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht zu erfahren, welche personenbezogenen Daten wir über Sie verarbeiten.
Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten. Healthdesk bietet hierfür eine integrierte Exportfunktion.
Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt, haben Sie das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen:
Hinweis: Diese Datenschutzerklärung wird regelmäßig überprüft und bei Bedarf aktualisiert. Die jeweils aktuelle Version ist auf dieser Seite verfügbar.