Datenschutzerklärung

1. Verantwortlicher

MYBDY GmbH
Rudolf Jungmair-Gasse 2
4840 Vöcklabruck, Österreich
E-Mail: [email protected]
Telefon: +43 681 81526930

Ein Datenschutzbeauftragter ist aufgrund der Unternehmensgröße derzeit nicht bestellt (Art. 37 DSGVO). Für datenschutzrechtliche Anfragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Welche Daten verarbeiten wir?

Wir verarbeiten folgende personenbezogene Daten:

• Kontodaten: Name, E-Mail-Adresse, Passwort (gehasht), Praxisname, Praxis-Slug bei der Registrierung
• Praxisdaten: Praxisname, Adresse, Telefonnummer, Logo, Leistungen, Verfügbarkeiten, Standorte, Räume
• Mitarbeiterdaten: Name, E-Mail, Rolle, Profilbild bei Team-Mitgliedern
• Kundendaten der Praxis: Name, E-Mail, Telefon, Geburtsdatum, Geschlecht (freiwillig), Adresse, Notizen
• Gesundheitsdaten (Art. 9 DSGVO): Anamneseformulare, Behandlungsnotizen, Behandlungspläne, Bodychart-Markierungen
• Buchungsdaten: Termine, Status, Stornierungsgründe, wiederkehrende Buchungen, Wartelisten-Einträge
• Rechnungsdaten: Rechnungen (Honorarnoten), Beträge, Zahlungsstatus, Bankverbindung, Belege
• Zahlungsdaten: Stripe-Kundennummer, Abonnement-Status, Zahlungsmethode (Kreditkarten- und Bankdaten werden ausschließlich bei Stripe gespeichert, nicht auf unseren Servern)
• Kommunikationsdaten: E-Mail-Zustellstatus, SMS-Versandprotokoll, Newsletter-Anmeldungen, Erinnerungspräferenzen
• Dokumente: Hochgeladene Dateien (Befunde, Bilder, Dokumente) in der Patientenakte
• Nutzungsdaten: IP-Adresse, Browsertyp, Zugriffszeitpunkt, Fehlerprotokolle (Server-Logs)

3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Vertragsdurchführung (Bereitstellung der Software, Abonnement, Zahlungsabwicklung)
• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (z. B. Anamneseformulare, Newsletter-Anmeldung, SMS-Erinnerungs-Opt-in)
• Art. 9 Abs. 2 lit. a DSGVO: Ausdrückliche Einwilligung für Gesundheitsdaten (über Anamnese-Formulare mit DSGVO-Zustimmungsfeld)
• Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtung (steuerliche Aufbewahrungspflichten für Rechnungen gem. § 132 BAO)
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen (Sicherheit, Fehlerüberwachung, Missbrauchsverhinderung)

4. Auftragsverarbeiter und Hosting

Wir setzen folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV).

Kreditkarten- und Bankdaten werden ausschließlich bei Stripe gespeichert und verarbeitet. Wir haben keinen Zugriff auf vollständige Zahlungsmittelinformationen.

5. Datenübermittlung in Drittländer

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF) gemäß Art. 45 DSGVO (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023).

Alle genannten US-Anbieter (Cloudflare, Resend, Stripe, Sentry) sind beim U.S. Department of Commerce unter dem Data Privacy Framework zertifiziert. Ergänzend bestehen Standard-Vertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als zusätzliche Schutzmaßnahme.

Die Kerndatenbank mit allen Praxis-, Kunden- und Gesundheitsdaten wird ausschließlich in Frankfurt, Deutschland (EU) bei Supabase gehostet.

6. Cookies und lokale Speicherung

Wir verwenden technisch notwendige Cookies für die Authentifizierung, Sitzungsverwaltung und Fehlerüberwachung. Es werden keine Tracking-Cookies oder Werbe-Cookies eingesetzt. Über unser Cookie-Consent-System können Sie Ihre Einstellungen jederzeit anpassen.

Essenzielle Cookies (immer aktiv)

Fehlerüberwachung (Sentry)

Zur Sicherstellung der Stabilität und Qualität unserer Anwendung setzen wir Sentry als Fehlerüberwachungsdienst ein. Sentry erfasst technische Fehlerprotokolle und nutzt Session Replay, um Fehlerursachen nachzuvollziehen. Dabei werden keine personenbezogenen Daten übermittelt (sendDefaultPii: false). Sentry wird als essenzielle Technologie auf Grundlage unseres berechtigten Interesses an der Fehlerbehebung und Betriebssicherheit eingesetzt (Art. 6 Abs. 1 lit. f DSGVO).

Analyse & Statistik (optional)

Derzeit setzen wir keine Analyse- oder Statistik-Tools ein. Sollten wir künftig solche Dienste einführen, werden diese nur nach Ihrer ausdrücklichen Einwilligung aktiviert. Sie können Ihre Einstellungen jederzeit über den Link „Cookie-Einstellungen" im Footer anpassen.

Rechtsgrundlage für essenzielle Cookies: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionsfähigkeit und Sicherheit der Anwendung) sowie § 165 Abs. 3 Z 2 TKG 2021 (unbedingt erforderliche Cookies).

7. E-Mail- und SMS-Kommunikation

Transaktionale E-Mails

Buchungsbestätigungen, Erinnerungen, Rechnungen und Systembenachrichtigungen werden über Resend versendet. Diese E-Mails sind für die Vertragsdurchführung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Absender-Domain: email.mybdy.io.

Newsletter

Praxisinhaber können Newsletter an ihre Kunden versenden. Der Versand erfolgt nur an Kunden mit explizitem Marketing-Opt-in (marketing_opt_in). Jeder Newsletter enthält einen HMAC-gesicherten Abmeldelink. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

SMS-Erinnerungen

Terminerinnerungen per SMS werden über LINK Mobility (websms.at) versendet. Der Versand erfolgt nur an Kunden mit aktivem SMS-Opt-in und ausschließlich an österreichische Mobilnummern (+43). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (separate Einwilligung, unabhängig vom Marketing-Opt-in).

8. Zahlungsverarbeitung

Die Abonnement-Verwaltung und Zahlungsabwicklung erfolgt über Stripe. Bei Abschluss eines Abonnements werden Sie auf eine von Stripe gehostete Checkout-Seite weitergeleitet. Ihre Zahlungsdaten (Kreditkartennummer, Bankverbindung) werden ausschließlich von Stripe verarbeitet und gespeichert — wir erhalten lediglich eine Referenznummer und den Zahlungsstatus.

Stripe ist PCI DSS Level 1 zertifiziert (höchste Sicherheitsstufe der Kreditkartenbranche) und unter dem EU-U.S. Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

9. Datensicherheit

• Verschlüsselte Übertragung aller Daten (TLS/HTTPS)
• Verschlüsselte Datenspeicherung (AES-256, encryption at rest)
• Row-Level Security (mandantenisolierte Datenbank — kein Mandant kann auf Daten eines anderen zugreifen)
• Passwörter werden ausschließlich als bcrypt-Hash gespeichert
• Cookie-basierte Authentifizierung mit Supabase Auth (PKCE-Flow)
• Audit-Log für alle administrativen Aktionen
• Automatische Fehlerüberwachung via Sentry (ohne personenbezogene Daten — sendDefaultPii: false)
• Regelmäßige Sicherheitsupdates und Dependency-Monitoring

10. Ihre Rolle als Verantwortlicher (Praxisinhaber)

Als Praxisinhaber sind Sie gemäß DSGVO Verantwortlicher für die personenbezogenen Daten Ihrer Patienten und Klienten. MYPRXS agiert als Ihr Auftragsverarbeiter gemäß Art. 28 DSGVO.

Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird bei der Registrierung automatisch geschlossen und kann jederzeit unter [email protected] angefordert werden.

11. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) — Welche Daten speichern wir über Sie?
• Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten, soweit keine Aufbewahrungspflichten bestehen
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten in maschinenlesbarem Format
• Widerspruch (Art. 21 DSGVO) — Gegen Verarbeitung auf Basis berechtigter Interessen
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Jederzeit mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: [email protected]

Wir werden Ihre Anfrage innerhalb eines Monats beantworten (Art. 12 Abs. 3 DSGVO).

12. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne des Art. 22 DSGVO statt. Alle Entscheidungen, die Ihre Daten betreffen, werden von Menschen getroffen.

13. Beschwerderecht

Sie haben das Recht, sich bei der österreichischen Datenschutzbehörde zu beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
E-Mail: [email protected]
Website: www.dsb.gv.at

14. Aufbewahrungsfristen

15. Datenpanne (Data Breach)

Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen (Art. 33 DSGVO), sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen darstellt.

Besteht ein hohes Risiko, werden auch die betroffenen Personen unverzüglich informiert (Art. 34 DSGVO).

16. Änderungen

Diese Datenschutzerklärung kann von Zeit zu Zeit aktualisiert werden. Wesentliche Änderungen werden per E-Mail an registrierte Nutzer angekündigt. Die aktuelle Version ist stets auf dieser Seite verfügbar.

Stand: März 2026