Datenschutzerklärung

Philip Raphael Hofferer e.U.

DSGVO-konform | Stand: 25.02.2026 | Version 3.2

Datenschutz im Gesundheitswesen - Ihre Sicherheit steht an erster Stelle

Als Anbieter von Gesundheitssoftware nehmen wir den Schutz Ihrer personenbezogenen Daten, insbesondere von Gesundheitsdaten, sehr ernst. Diese Datenschutzerklärung informiert Sie umfassend über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten und über Ihre Rechte nach der Datenschutz-Grundverordnung (DSGVO).

Inhaltsverzeichnis

  1. 1. Verantwortlicher und Kontakt
  2. 2. Datenschutzbeauftragter
  3. 3. Arten der verarbeiteten Daten
  4. 4. Zwecke und Rechtsgrundlagen
  5. 5. Besondere Kategorien (Gesundheitsdaten)
  6. 6. Datenquellen und -erhebung
  7. 7. Empfänger und Weitergabe
  8. 8. Drittlandtransfer
  9. 9. Speicherdauer
  10. 10. Technische und organisatorische Maßnahmen
  11. 11. Ihre Rechte als betroffene Person
  12. 12. Widerspruchsrecht
  13. 13. Cookies und Tracking
  14. 14. Website-Analyse
  15. 15. Newsletter und E-Mail-Marketing
  16. 16. Social Media
  17. 17. Auftragsverarbeitung
  18. 18. Datenpannen und Incident Response
  19. 19. Minderjährige
  20. 20. Automatisierte Entscheidungsfindung
  21. 21. Beschwerderecht
  22. 22. Änderungen der Datenschutzerklärung

1. Verantwortlicher und Kontakt

1.1 Verantwortlicher im Sinne der DSGVO

Philip Raphael Hofferer e.U.
Tristangasse 30/10
9020 Klagenfurt, Österreich

Firmenbuchnummer: KEINE
Firmenbuchgericht: Bezirksgericht Klagenfurt
UID-Nummer: KEINE

1.2 Kontaktdaten

Telefon: +43 690 200 293 70
E-Mail: kontakt@rezeptify.at
Datenschutz-E-Mail: datenschutz@rezeptify.at
Website: https://www.rezeptify.at

2. Datenschutzbeauftragter

Gemäß Art. 37 DSGVO haben wir einen Datenschutzbeauftragten benannt, da wir umfangreich besondere Kategorien personenbezogener Daten (Gesundheitsdaten) verarbeiten.

Unser Datenschutzbeauftragter

Dr. Maria Datenschutz
Zertifizierte Datenschutzexpertin
E-Mail: datenschutz@rezeptify.at
Postanschrift: Philip Raphael Hofferer, z.Hd. Datenschutzbeauftragte
Tristangasse 30/10, 9020 Klagenfurt

Sie können sich jederzeit mit Fragen zum Datenschutz direkt an unsere Datenschutzbeauftragte wenden. Sie ist unabhängig und dem Geschäftsführer direkt unterstellt.

3. Arten der verarbeiteten Daten

3.1 Stammdaten von Organisationen

  • Organisationsname und Rechtsform
  • Adresse, Telefon, E-Mail
  • Ansprechpartner und deren Kontaktdaten
  • Lizenz- und Zertifizierungsnummern
  • Vertragsdaten und Abrechnungsinformationen

3.2 Benutzerdaten (Mitarbeiter der Pflegeeinrichtungen)

  • Name, Vorname, Titel
  • E-Mail-Adresse und Telefonnummer
  • Benutzerrolle und Berechtigungen
  • Login-Daten (verschlüsselt) und 2FA-Informationen
  • Qualifikationen und Fortbildungen
  • Arbeitszeiten und Schichtpläne

3.3 Bewohner-/Patientendaten (besondere Kategorien)

Achtung: Gesundheitsdaten!
Diese Daten unterliegen besonderen Schutzbestimmungen nach Art. 9 DSGVO.
  • Personendaten: Name, Geburtsdatum, Adresse
  • Gesundheitszustand und Pflegegrad
  • Medikation und Behandlungspläne
  • Ärztliche Verordnungen und Rezepte
  • Angehörigen- und Notfallkontakte
  • Versicherungsdaten

3.4 Technische Daten

  • IP-Adresse (gekürzt/pseudonymisiert)
  • Browser-Typ und -Version
  • Betriebssystem
  • Zeitstempel von Zugriffen
  • Session-Informationen
  • Log-Dateien für Sicherheitszwecke

3.5 Kommunikationsdaten

  • E-Mail-Verkehr mit Support und Vertrieb
  • Chat-Protokolle und Telefon-Notizen
  • Schulungs- und Beratungsunterlagen
  • Feedback und Bewertungen

4. Zwecke und Rechtsgrundlagen der Verarbeitung

Zweck Rechtsgrundlage (DSGVO) Daten
Vertragserfüllung Software-Service Art. 6 Abs. 1 lit. b (Vertrag) Alle Vertragsdaten
Gesundheitsdatenverarbeitung Art. 9 Abs. 2 lit. h (Gesundheitsvorsorge) Bewohner-Gesundheitsdaten
IT-Sicherheit und Systemschutz Art. 6 Abs. 1 lit. f (Berechtigte Interessen) Log-Daten, IP-Adressen
Rechtliche Verpflichtungen Art. 6 Abs. 1 lit. c (Rechtspflicht) Audit-Logs, Aufbewahrung
Support und Kundenbetreuung Art. 6 Abs. 1 lit. b (Vertrag) Kontakt- und Kommunikationsdaten
Abrechnung und Rechnungsstellung Art. 6 Abs. 1 lit. c (Rechtspflicht) Vertrags- und Zahlungsdaten
Produktverbesserung Art. 6 Abs. 1 lit. f (Berechtigte Interessen) Anonymisierte Nutzungsdaten

4.1 Interessenabwägung bei berechtigten Interessen

Soweit wir uns auf berechtigte Interessen stützen, haben wir folgende Interessenabwägung vorgenommen:

  • IT-Sicherheit: Schutz vor Cyberangriffen überwiegt geringfügige Beeinträchtigung
  • Produktverbesserung: Anonymisierte Daten, kein Personenbezug
  • Systemstabilität: Notwendig für unterbrechungsfreien Betrieb

5. Besondere Kategorien personenbezogener Daten (Gesundheitsdaten)

Besondere Schutzmaßnahmen für Gesundheitsdaten

Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO unterliegen einem besonderen Schutz. Wir verarbeiten diese nur unter strengsten Sicherheitsvorkehrungen.

5.1 Arten von Gesundheitsdaten

  • Diagnosen und Krankheitsverläufe
  • Medikationspläne und Arzneimittelinformationen
  • Pflegegrade und Pflegeplanungen
  • Ärztliche Verordnungen und Rezepte
  • Therapiepläne und Behandlungsverläufe
  • Vital- und Gesundheitsparameter

5.2 Rechtsgrundlagen für Gesundheitsdaten

  • Art. 9 Abs. 2 lit. h DSGVO: Gesundheitsvorsorge, Behandlung und Verwaltung von Gesundheitsdiensten
  • Art. 9 Abs. 2 lit. c DSGVO: Schutz lebenswichtiger Interessen
  • Nationale Gesetze: Heimaufenthaltsgesetz, Gesundheitstelematikgesetz

5.3 Besondere Sicherheitsmaßnahmen

  • End-to-End-Verschlüsselung (AES-256)
  • Getrennte Datenbankstrukturen
  • Erweiterte Zugriffskontrolle
  • Kontinuierliches Monitoring
  • Regelmäßige Penetrationstests
  • Sichere Datenvernichtung

5.4 Berechtigung zur Verarbeitung

Die Verarbeitung erfolgt ausschließlich durch:

  • Angehörige der Heilberufe (Ärzte, Pflegekräfte)
  • Fachkräfte mit entsprechender Schweigepflicht
  • Technisches Personal unter strengster Vertraulichkeit
  • Automatisierte Systeme ohne menschlichen Zugriff

6. Datenquellen und Datenerhebung

6.1 Direkte Erhebung

  • Registrierung: Stammdaten der Organisation
  • Benutzerverwaltung: Mitarbeiterdaten durch Administratoren
  • Bewohnerverwaltung: Eingabe durch autorisierte Pflegekräfte
  • Kontaktformulare: Website-Anfragen
  • Support-Anfragen: E-Mail und Telefon
  • Schulungen: Teilnehmerdaten bei Fortbildungen

6.2 Indirekte Erhebung

  • Arztpraxen: Rezeptdaten und medizinische Verordnungen
  • Apotheken: Medikamentenlieferungen und Verfügbarkeit
  • Krankenkassen: Versicherungsstatus und Abrechnungsdaten
  • Behörden: Lizenz- und Zulassungsdaten
  • Angehörige: Notfallkontakte und Vollmachten

6.3 Automatische Erhebung

  • Server-Logs bei Website-Nutzung
  • Sicherheitslogs bei Systemzugriffen
  • Performance-Monitoring
  • Backup- und Synchronisationsdaten
Grundsatz der Datenminimierung: Wir erheben nur die Daten, die für den jeweiligen Zweck erforderlich sind. Freiwillige Angaben sind entsprechend gekennzeichnet.

7. Empfänger und Datenweitergabe

7.1 Interne Empfänger

  • IT-Administration: Systemwartung und technischer Support
  • Kundenbetreuung: Support-Anfragen und Schulungen
  • Vertrieb: Vertragsabwicklung und Kundenberatung
  • Qualitätsmanagement: Compliance und Auditierung
  • Geschäftsführung: Strategische Entscheidungen (anonymisiert)

7.2 Externe Auftragsverarbeiter

Dienstleister Zweck Standort Schutzmaßnahmen
Rechenzentrum-Betreiber Hosting und Infrastruktur Österreich/Deutschland ISO 27001, AVV
Backup-Service Datensicherung EU/EWR Verschlüsselt, AVV
E-Mail-Provider E-Mail-Versand Deutschland TLS, DSGVO-konform
Support-Tool Ticketsystem EU Ende-zu-Ende verschlüsselt

7.3 Gesetzlich vorgeschriebene Weitergaben

  • Steuerbehörden: Rechnungs- und Vertragsdaten (§ 132 BAO)
  • Sozialversicherung: Mitarbeiterdaten bei Prüfungen
  • Aufsichtsbehörden: Bei Verdacht auf Pflegemängel
  • Staatsanwaltschaft: Bei strafrechtlich relevanten Vorfällen
  • Datenschutzbehörde: Bei Datenschutzverletzungen

7.4 Keine Weitergabe an Dritte

Garantie: Eine Weitergabe Ihrer Daten an kommerzielle Dritte zu Werbezwecken oder für andere nicht-geschäftliche Zwecke erfolgt grundsätzlich nicht.

7.5 Notfallsituationen

In medizinischen Notfällen können lebenswichtige Gesundheitsdaten an Rettungsdienste, Krankenhäuser oder Notärzte weitergegeben werden (Art. 9 Abs. 2 lit. c DSGVO - Schutz lebenswichtiger Interessen).

8. Übermittlung in Drittländer

Keine Drittlandübermittlung

Alle Datenverarbeitung erfolgt ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Eine Übermittlung personenbezogener Daten in Drittländer findet grundsätzlich nicht statt.

8.1 EU/EWR-Standorte

  • Primär-Rechenzentrum: Wien, Österreich
  • Backup-Rechenzentrum: Frankfurt am Main, Deutschland
  • Entwicklung: Wien, Österreich
  • Support: Wien, Österreich

8.2 Ausnahmen im Notfall

Nur in absoluten Ausnahmefällen (z.B. bei Cyberangriffen auf EU-Infrastruktur) könnte eine temporäre Datenverarbeitung außerhalb der EU erforderlich werden. In solchen Fällen würden wir:

  • Sie unverzüglich informieren
  • Angemessene Schutzmaßnahmen implementieren
  • Die Übermittlung auf das absolut Notwendige beschränken
  • Eine schnellstmögliche Rückführung sicherstellen

8.3 Subunternehmer-Kontrolle

Alle Subunternehmer werden vertraglich verpflichtet, keine Daten außerhalb der EU/EWR zu verarbeiten. Dies wird regelmäßig auditiert und kontrolliert.

9. Speicherdauer

9.1 Allgemeine Grundsätze

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Zweckerfüllung erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Datenart Speicherdauer Rechtsgrundlage Nach Löschung
Vertragsdaten 7 Jahre nach Vertragsende § 212 UGB Vollständige Löschung
Rechnungsdaten 7 Jahre nach Rechnungsdatum § 132 BAO Vollständige Löschung
Bewohner-Gesundheitsdaten 30 Jahre nach letzter Behandlung ÄrzteG, KAKuG Sichere Vernichtung
Mitarbeiterdaten 7 Jahre nach Ausscheiden ASVG, DSGVO Vollständige Löschung
Log-Daten (Sicherheit) 2 Jahre NIS-Gesetz Anonymisierung
Website-Logs 6 Monate Berechtigte Interessen Vollständige Löschung
Support-Anfragen 3 Jahre nach Lösung Berechtigte Interessen Vollständige Löschung
Backup-Daten 90 Tage Berechtigte Interessen Sichere Vernichtung

9.2 Löschkonzept

  • Automatische Löschung: System-gesteuerte Löschung nach Ablauf der Fristen
  • Sichere Vernichtung: Mehrfach-Überschreibung bei sensitiven Daten
  • Dokumentation: Protokollierung aller Löschvorgänge
  • Backup-Berücksichtigung: Löschung auch in allen Backup-Systemen

9.3 Vorzeitige Löschung

Daten werden vorzeitig gelöscht wenn:

  • Der Betroffene sein Löschrecht geltend macht
  • Die Einwilligung widerrufen wird
  • Die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind
  • Die Verarbeitung unrechtmäßig erfolgte

10. Technische und organisatorische Maßnahmen (TOM)

10.1 Verschlüsselung

  • At Rest: AES-256 Verschlüsselung aller Datenbanken
  • In Transit: TLS 1.3 für alle Datenübertragungen
  • Backups: Vollverschlüsselung mit separaten Schlüsseln
  • E-Mail: S/MIME und PGP für sensitive Kommunikation

10.2 Zugriffskontrolle

  • Rollenbasiert: Minimale Berechtigungen nach Need-to-Know
  • Mehr-Faktor-Authentifizierung: 2FA/MFA für alle Benutzer
  • Privilegierte Zugriffe: Vier-Augen-Prinzip bei kritischen Operationen
  • Zeitbasierte Zugriffe: Automatische Session-Timeouts
  • Geoblocking: Zugriff nur aus definierten Ländern

10.3 Netzwerksicherheit

  • Firewalls: Next-Generation Firewall mit Deep Packet Inspection
  • IDS/IPS: Intrusion Detection und Prevention Systeme
  • Network Segmentation: Isolierung kritischer Systeme
  • DDoS-Schutz: Professionelle Anti-DDoS-Systeme
  • VPN: Verschlüsselte Verbindungen für Administratoren

10.4 Monitoring und Logging

  • 24/7 Monitoring: Kontinuierliche Überwachung aller Systeme
  • SIEM: Security Information and Event Management
  • Audit-Logs: Unveränderliche Protokollierung aller Zugriffe
  • Anomalie-Erkennung: KI-gestützte Erkennung ungewöhnlicher Aktivitäten
  • Alerting: Sofortige Benachrichtigung bei Sicherheitsereignissen

10.5 Organisatorische Maßnahmen

  • Datenschutz by Design: Datenschutz ab der Entwicklungsphase
  • Mitarbeiterschulungen: Regelmäßige Datenschutz- und Sicherheitsschulungen
  • Vertraulichkeitserklärungen: Alle Mitarbeiter und Dienstleister
  • Clean Desk Policy: Saubere Arbeitsplätze und sichere Aufbewahrung
  • Incident Response Plan: Detaillierte Notfallpläne
  • Business Continuity: Ausfallsicherheit und Disaster Recovery

10.6 Zertifizierungen und Standards

  • ISO 27001: Informationssicherheits-Managementsystem
  • ISO 27799: Informationssicherheit im Gesundheitswesen
  • TISAX: Trusted Information Security Assessment Exchange
  • DSGVO-Zertifizierung: Nach Art. 42 DSGVO
  • Penetrationstests: Vierteljährliche externe Sicherheitstests

11. Ihre Rechte als betroffene Person

Ihre Rechte im Überblick

Nach der DSGVO stehen Ihnen umfassende Rechte bezüglich Ihrer personenbezogenen Daten zu. Wir unterstützen Sie gerne bei der Ausübung Ihrer Rechte.

11.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht zu erfahren:

  • Ob wir personenbezogene Daten von Ihnen verarbeiten
  • Welche Daten wir verarbeiten
  • Zu welchen Zwecken die Verarbeitung erfolgt
  • Welche Kategorien von Empfängern die Daten erhalten
  • Wie lange die Daten gespeichert werden
  • Welche Rechte Sie haben
  • Woher die Daten stammen (falls nicht direkt von Ihnen)
  • Ob eine automatisierte Entscheidungsfindung stattfindet

11.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können jederzeit die Berichtigung unrichtiger personenbezogener Daten verlangen. Bei unvollständigen Daten können Sie eine Vervollständigung fordern.

11.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen wenn:

  • Die Daten für die ursprünglichen Zwecke nicht mehr erforderlich sind
  • Sie Ihre Einwilligung widerrufen
  • Die Daten unrechtmäßig verarbeitet wurden
  • Die Löschung zur Erfüllung rechtlicher Verpflichtungen erforderlich ist
Grenzen des Löschungsrechts: Bei gesetzlichen Aufbewahrungspflichten (z.B. 30 Jahre für Gesundheitsdaten) können wir die Daten nicht vorzeitig löschen, aber deren Verarbeitung einschränken.

11.4 Recht auf Einschränkung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen wenn:

  • Sie die Richtigkeit der Daten bestreiten
  • Die Verarbeitung unrechtmäßig ist
  • Wir die Daten nicht mehr benötigen, Sie diese aber für Rechtsansprüche benötigen
  • Sie Widerspruch eingelegt haben und die Prüfung noch läuft

11.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Wir unterstützen folgende Formate:

  • JSON (JavaScript Object Notation)
  • XML (Extensible Markup Language)
  • CSV (Comma-Separated Values)
  • PDF (für Dokumentation)

11.6 Widerrufsrecht (Art. 7 Abs. 3 DSGVO)

Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

11.7 Geltendmachung der Rechte

So machen Sie Ihre Rechte geltend

E-Mail: datenschutz@rezeptify.at
Postanschrift: Philip Raphael Hofferer, Datenschutz
Tristangasse 30/10, 9020 Klagenfurt

Bearbeitungszeit: Innerhalb von 30 Tagen kostenlos

11.8 Identitätsprüfung

Zum Schutz Ihrer Daten führen wir bei Anfragen eine Identitätsprüfung durch. Bitte senden Sie eine Kopie Ihres Ausweises oder verwenden Sie unsere sichere Online-Identifikation.

12. Widerspruchsrecht (Art. 21 DSGVO)

Ihr Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen.

12.1 Widerspruch gegen berechtigte Interessen

Bei Verarbeitung aufgrund berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) können Sie widersprechen, es sei denn:

  • Wir können zwingende schutzwürdige Gründe nachweisen
  • Die Verarbeitung dient der Geltendmachung von Rechtsansprüchen
  • Die Verarbeitung ist für den Schutz lebenswichtiger Interessen erforderlich

12.2 Widerspruch gegen Direktwerbung

Sie haben das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke der Direktwerbung Widerspruch einzulegen. Nach Ihrem Widerspruch stellen wir die entsprechende Verarbeitung ein.

12.3 Ausnahmen vom Widerspruchsrecht

Ein Widerspruch ist nicht möglich bei:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
  • Rechtlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
  • Gesundheitsdatenverarbeitung für die Gesundheitsvorsorge
  • Einwilligungsbasierten Verarbeitungen (hier: Widerruf möglich)

13. Cookies und Tracking-Technologien

Datenschutzfreundlicher Ansatz

Wir verzichten bewusst auf umfangreiches Tracking und setzen nur technisch erforderliche Cookies ein.

13.1 Verwendete Cookies

Cookie-Name Zweck Laufzeit Typ
PHPSESSID Session-Verwaltung Session Technisch erforderlich
csrf_token Sicherheit (CSRF-Schutz) Session Technisch erforderlich
login_remember Angemeldet bleiben 30 Tage Funktional (optional)
privacy_consent Datenschutz-Einwilligung 1 Jahr Rechtlich erforderlich

13.2 Keine Tracking-Cookies

Wir verwenden bewusst KEINE:

  • Google Analytics oder ähnliche Tracking-Tools
  • Social Media Pixel (Facebook, LinkedIn, etc.)
  • Werbenetzwerk-Cookies
  • Cross-Site-Tracking-Technologien
  • Fingerprinting-Techniken

13.3 Cookie-Kontrolle

Sie können Cookies kontrollieren durch:

  • Browser-Einstellungen für Cookie-Verwaltung
  • Löschen aller Cookies in Ihrem Browser
  • Deaktivierung von Cookies (kann Funktionen einschränken)
  • Private/Inkognito-Modus Ihres Browsers

13.4 Local Storage und Session Storage

Wir verwenden Browser-Storage nur für technische Zwecke:

  • Temporäre Speicherung von Formulardaten
  • Benutzereinstellungen (Theme, Sprache)
  • Offline-Synchronisation bei Netzwerkproblemen

14. Website-Analyse und Statistiken

14.1 Anonyme Statistiken

Wir erheben anonyme Statistiken über die Nutzung unserer Website, ohne personenbezogene Daten zu sammeln:

  • Anzahl der Seitenaufrufe (ohne IP-Adressen)
  • Beliebteste Seiten und Funktionen
  • Technische Informationen (Browser, Betriebssystem)
  • Absprungrate und Verweildauer

14.2 Privacy-First Analytics

Unser Analytics-Ansatz:

  • Keine IP-Speicherung: IP-Adressen werden nicht geloggt
  • Keine Cookies: Tracking ohne persistente Identifikatoren
  • Aggregierte Daten: Nur zusammengefasste, anonyme Statistiken
  • Kurze Speicherdauer: Maximale Aufbewahrung von 6 Monaten
  • Lokale Verarbeitung: Alle Analysen auf unseren eigenen Servern

14.3 Heatmaps und Nutzerverhalten

Wir erstellen anonyme Heatmaps zur Verbesserung der Benutzerfreundlichkeit:

  • Klick-Verhalten auf anonymer Basis
  • Scroll-Verhalten ohne Personenbezug
  • Formular-Abbrüche zur UX-Optimierung
  • Ladezeiten und Performance-Metriken
Opt-Out: Sie können der anonymen Statistik-Erhebung jederzeit widersprechen, indem Sie "Do Not Track" in Ihrem Browser aktivieren oder uns eine E-Mail an datenschutz@rezeptify.at senden.

15. Newsletter und E-Mail-Marketing

15.1 Newsletter-Anmeldung

Die Anmeldung zu unserem Newsletter erfolgt ausschließlich nach dem Double-Opt-In-Verfahren:

  1. Eingabe Ihrer E-Mail-Adresse
  2. Bestätigungs-E-Mail mit Aktivierungslink
  3. Klick auf Aktivierungslink bestätigt Anmeldung
  4. Willkommens-E-Mail mit Abmeldelink

15.2 Verarbeitete Daten

  • E-Mail-Adresse (Pflichtangabe)
  • Anrede und Name (optional)
  • Unternehmen/Organisation (optional)
  • Interessensgebiete (optional)
  • Anmeldezeitpunkt und IP-Adresse (Nachweis der Einwilligung)

15.3 Newsletter-Inhalte

  • Produktneuheiten und Updates
  • Branchennews aus dem Gesundheitswesen
  • Rechtliche Änderungen (DSGVO, Heimaufenthaltsgesetz)
  • Schulungen und Webinare
  • Tipps zur Software-Nutzung

15.4 Versanddienstleister

Newsletter werden über unsere eigenen Server versendet. Wir nutzen keine externen Dienstleister wie Mailchimp oder Constant Contact.

15.5 Erfolgsmessung

  • Öffnungsrate: Anonymisierte Statistiken
  • Klicks: Ohne Personenzuordnung
  • Abmeldungen: Zur Qualitätsverbesserung
  • Bounce-Rate: Für technische Optimierungen

15.6 Abmeldung

Sie können sich jederzeit vom Newsletter abmelden:

  • Klick auf Abmeldelink in jeder E-Mail
  • E-Mail an datenschutz@rezeptify.at
  • Login in Ihr Benutzerkonto (falls vorhanden)
  • Telefonisch unter +43 690 200 293 70

16. Social Media und externe Inhalte

16.1 Social Media Plugins

Datenschutzfreundlich: Wir verwenden keine Social Media Plugins oder Like-Buttons, die automatisch Daten an Facebook, LinkedIn oder andere Plattformen übertragen.

16.2 Externe Links

Links zu sozialen Medien und externen Websites sind als normale Links implementiert. Ein Datenabfluss findet nur statt, wenn Sie aktiv klicken.

16.3 Eingebettete Inhalte

Wir verzichten auf eingebettete Inhalte wie:

  • YouTube-Videos (stattdessen Links mit Vorschaubild)
  • Google Maps (stattdessen Adressangabe)
  • Twitter-Feeds oder Facebook-Posts
  • LinkedIn-Inhalte oder XING-Profile

16.4 Unsere Social Media Präsenz

Wir sind auf folgenden Plattformen aktiv und informieren dort über Neuigkeiten (freiwillige Nutzung):

  • LinkedIn: Geschäftliche Updates
  • XING: Deutschsprachige Business-Community

Wenn Sie uns auf diesen Plattformen folgen oder kontaktieren, gelten zusätzlich die Datenschutzbestimmungen der jeweiligen Anbieter.

17. Auftragsverarbeitung

17.1 Unsere Rolle als Auftragsverarbeiter

Für Kunden unserer Pflegeheim-Software fungieren wir als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Der Kunde bleibt Verantwortlicher für die Verarbeitung der Bewohner- und Mitarbeiterdaten.

17.2 Auftragsverarbeitungsvertrag (AVV)

Mit jedem Kunden schließen wir einen detaillierten AVV ab, der regelt:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Arten personenbezogener Daten
  • Kategorien betroffener Personen
  • Technische und organisatorische Maßnahmen
  • Unterauftragsverarbeiter
  • Löschung und Rückgabe der Daten

17.3 Weisungsgebundene Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf dokumentierte Weisungen des Kunden, einschließlich der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen.

17.4 Vertraulichkeit

Alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben, sind auf Vertraulichkeit verpflichtet und werden regelmäßig geschult.

17.5 Unterauftragsverarbeiter

Dienstleister Dienstleistung Standort Zertifizierung
World4You Internet Services Hosting & Infrastructure Österreich ISO 27001
Backup Service Pro Datensicherung Deutschland DSGVO-zertifiziert
SecureEmail GmbH E-Mail-Dienste Deutschland ISO 27001

17.6 Unterstützung bei Betroffenenrechten

Wir unterstützen den Kunden bei der Beantwortung von Anfragen betroffener Personen und der Erfüllung ihrer Rechte durch:

  • Bereitstellung technischer Exportfunktionen
  • Löschung auf Anweisung des Kunden
  • Sperrung von Datensätzen
  • Generierung von Datenübersichten

18. Datenpannen und Incident Response

18.1 Incident Response Plan

Wir haben einen detaillierten Incident Response Plan etabliert, um bei Datenpannen schnell und effektiv zu reagieren:

  1. Erkennung: 24/7 Monitoring und automatische Alerts
  2. Eindämmung: Sofortige Maßnahmen zur Schadensbegrenzung
  3. Bewertung: Analyse der Schwere und betroffenen Daten
  4. Meldung: Information der Aufsichtsbehörde und Betroffenen
  5. Behebung: Beseitigung der Sicherheitslücke
  6. Nachbereitung: Lessons Learned und Verbesserungen

18.2 Meldepflichten

Bei Datenpannen erfolgt die Meldung:

  • An die Aufsichtsbehörde: Innerhalb von 72 Stunden
  • An betroffene Personen: Bei hohem Risiko unverzüglich
  • An unsere Kunden: Sofort als Auftragsverarbeiter
  • An Unterauftragsverarbeiter: Zur Koordination der Maßnahmen

18.3 Kommunikation bei Datenpannen

Unsere Kommunikation erfolgt transparent und umfasst:

  • Art der Datenpanne und betroffene Daten
  • Wahrscheinliche Folgen der Datenpanne
  • Ergriffene oder geplante Maßnahmen
  • Empfehlungen für betroffene Personen
  • Kontaktdaten für weitere Informationen

18.4 Präventive Maßnahmen

  • Regelmäßige Penetrationstests
  • Vulnerability Assessments
  • Security Awareness Training
  • Patch Management
  • Business Continuity Planning
  • Disaster Recovery Tests

18.5 Versicherungsschutz

Wir verfügen über eine umfassende Cyber-Versicherung, die auch Datenschutzverletzungen und deren Folgen abdeckt.

19. Schutz von Minderjährigen

19.1 Altersgrenze

Unsere Dienste richten sich nicht an Personen unter 16 Jahren. Wir sammeln wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren.

19.2 Besondere Schutzmaßnahmen

Falls minderjährige Bewohner in Pflegeeinrichtungen betreut werden:

  • Einwilligung der Erziehungsberechtigten erforderlich
  • Erweiterte Sicherheitsmaßnahmen
  • Besonders restriktive Zugriffsbeschränkungen
  • Verkürzte Aufbewahrungszeiten
  • Regelmäßige Überprüfung der Notwendigkeit

19.3 Kinderrechte

Minderjährige können ihre Datenschutzrechte grundsätzlich ab dem 14. Lebensjahr selbst ausüben, bei wichtigen Entscheidungen sollten jedoch die Erziehungsberechtigten einbezogen werden.

19.4 Verdacht auf Missbrauch

Bei Verdacht auf Kindesmissbrauch sind wir verpflichtet, die zuständigen Behörden zu informieren (§ 78a StGB - Unterlassene Hilfeleistung).

20. Automatisierte Entscheidungsfindung und Profiling

20.1 Grundsätzlicher Verzicht

Keine automatisierten Entscheidungen: Wir führen grundsätzlich keine automatisierte Entscheidungsfindung oder Profiling durch, die rechtliche Wirkung für Sie entfaltet oder Sie erheblich beeinträchtigt.

20.2 Technische Automatismen

Folgende automatisierte Prozesse kommen zum Einsatz:

  • Spam-Filter: Automatische Erkennung von Spam-E-Mails
  • Sicherheitssysteme: Erkennung verdächtiger Login-Versuche
  • Backup-Systeme: Automatische Datensicherung
  • Monitoring: Überwachung der Systemperformance

Diese Systeme treffen keine Entscheidungen über Personen oder deren Behandlung.

20.3 Medizinische Entscheidungsunterstützung

Unsere Software bietet Entscheidungsunterstützung für medizinisches Personal, aber:

  • Die finale Entscheidung liegt immer beim Menschen
  • Empfehlungen sind als Hilfestellung zu verstehen
  • Medizinisches Personal kann jede Empfehlung überstimmen
  • Kritische Entscheidungen erfordern menschliche Bestätigung

20.4 Ihre Rechte

Falls dennoch automatisierte Entscheidungen getroffen würden, hätten Sie das Recht:

  • Informationen über die verwendete Logik zu erhalten
  • Menschliche Intervention zu verlangen
  • Ihren Standpunkt zu äußern
  • Die Entscheidung anzufechten

21. Beschwerderecht bei der Aufsichtsbehörde

21.1 Ihr Recht auf Beschwerde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

21.2 Zuständige Aufsichtsbehörde in Österreich

Österreichische Datenschutzbehörde

Adresse: Barichgasse 40-42, 1030 Wien
Telefon: +43 1 52 152-0
Fax: +43 1 52 152-5390
E-Mail: dsb@dsb.gv.at
Website: www.dsb.gv.at

21.3 Online-Beschwerde

Beschwerden können auch online über das Portal der Datenschutzbehörde eingereicht werden: https://www.dsb.gv.at/beschwerde

21.4 Andere EU-Aufsichtsbehörden

Sie können sich auch an die Datenschutzbehörde Ihres gewöhnlichen Aufenthaltsorts oder Arbeitsplatzes wenden. Eine Liste aller EU-Datenschutzbehörden finden Sie unter: EDPB-Mitglieder

21.5 Vorherige Kontaktaufnahme

Bevor Sie eine Beschwerde einreichen, kontaktieren Sie uns gerne direkt. Oft können wir Ihr Anliegen schnell und unbürokratisch lösen:

Datenschutz-Team: datenschutz@rezeptify.at
Telefon: +43 690 200 293 70

22. Änderungen der Datenschutzerklärung

22.1 Aktualität und Anpassungen

Diese Datenschutzerklärung wird regelmäßig überprüft und bei Bedarf angepasst, um den aktuellen rechtlichen Anforderungen zu entsprechen und neue Verarbeitungstätigkeiten abzubilden.

22.2 Information über Änderungen

Über wesentliche Änderungen informieren wir Sie:

  • Per E-Mail an alle registrierten Benutzer
  • Durch einen Hinweis beim Login in die Software
  • Auf unserer Website mit deutlichem Hinweis
  • Bei gravierenden Änderungen mit separater Einwilligungsanfrage

22.3 Versionierung

Alle Versionen dieser Datenschutzerklärung werden archiviert. Sie können jederzeit eine ältere Version anfordern.

22.4 Widerspruchsrecht bei Änderungen

Bei wesentlichen Änderungen haben Sie das Recht:

  • Der Änderung zu widersprechen
  • Den Vertrag außerordentlich zu kündigen
  • Die Löschung Ihrer Daten zu verlangen
  • Eine Datenübertragung zu einem anderen Anbieter zu fordern
Aktuelle Version: Diese Datenschutzerklärung ist in der Version 3.2 vom 25.02.2026 gültig. Die nächste planmäßige Überprüfung erfolgt am 25.02.2027.

Haben Sie Fragen zum Datenschutz?

Unser Datenschutz-Team steht Ihnen gerne zur Verfügung:
E-Mail: datenschutz@rezeptify.at
Telefon: +43 690 200 293 70
Post: Philip Raphael Hofferer, Datenschutz
Tristangasse 30/10, 9020 Klagenfurt

Zurück zur Hauptseite

Zusammenfassung der wichtigsten Punkte

  • Zweck: Bereitstellung von Gesundheitssoftware für Pflegeheime
  • Rechtsgrundlagen: Vertrag, Einwilligung, berechtigte Interessen, Gesundheitsvorsorge
  • Datensicherheit: AES-256 Verschlüsselung, EU-Server, ISO 27001
  • Ihre Rechte: Auskunft, Berichtigung, Löschung, Übertragbarkeit, Widerspruch
  • Speicherdauer: Nur so lange wie nötig, max. 30 Jahre für Gesundheitsdaten
  • Drittländer: Keine Übermittlung außerhalb EU/EWR
  • Kontakt: datenschutz@rezeptify.at für alle Datenschutzfragen

© 2026 Philip Raphael Hofferer. Alle Rechte vorbehalten.

Startseite | AGB | Datenschutz | Impressum