Datenschutzerklärung

Stand: 12.11.2025

Informationen zum Schutz Ihrer persönlichen Daten

Diese Datenschutzerklärung informiert Sie darüber, wie wir personenbezogene Daten auf unserer Website und im Rahmen der Online-Terminbuchung sowie des digitalen Wartezimmers verarbeiten.

1. Verantwortliche Stelle und Kontakt

Verantwortliche:

Praxis Dr. Maria Anderwald

Hauptstraße 123, 8010 Graz, Österreich

Telefon:

+43 316 58 36 16

E-Mail:

ordination@dr-anderwald.at

Ein/e Datenschutzbeauftragte/r ist nicht bestellt, da die gesetzlichen Voraussetzungen hierfür nicht vorliegen. Für Datenschutzanfragen wenden Sie sich bitte an die obigen Kontaktdaten.

2. Zwecke, Datenkategorien, Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten ausschließlich zur Bereitstellung unserer Website, zur Online-Terminbuchung, zum Check-in und zur Organisation des Praxisablaufs (Einreihung/Zuordnung in Behandlungsräume). Es gibt keine öffentliche Anzeige (kein Monitor/TV-Aufruf).

2.1 Website-Besuch (Server-Logs & technisch notwendige Cookies)

Daten:

IP-Adresse, Datum/Zeit, URL, Referrer, User-Agent, Statuscodes; technisch notwendige Cookies (z. B. Consent-Status, Sitzungscookies).

Zwecke:

Auslieferung der Website, Stabilität/Sicherheit, Consent-Verwaltung.

Rechtsgrundlagen:

berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) am sicheren Betrieb; für notwendige Cookies § 165 TKG iVm Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer:

Server-Logs i. d. R. 14 Tage; technisch notwendige Cookies gemäß jeweiliger Laufzeit.

2.2 Online-Terminbuchung & Digitales Wartezimmer (Name = Pflicht)

Daten:

Name (Pflicht), Telefonnummer (Pflicht), ggf. E-Mail (optional; derzeit nicht im Einsatz), Terminzeit, interne Ticket-ID, Praxis-/Klinik-ID, Status/Timestamps.

Zwecke:

Terminvergabe, Terminänderung/Storno via Magic-Link/OTP, Check-in, Aufruf durch das Empfangsteam, Raumzuordnung, Termin-Organisation.

Rechtsgrundlagen:

Vertragserfüllung/Termindurchführung (Art. 6 Abs. 1 lit. b DSGVO) und Gesundheitsversorgung/Betrieb eines Gesundheitsdienstes (Art. 9 Abs. 2 lit. h DSGVO iVm ärztlicher Verschwiegenheit).

Speicherdauer:

Termin + 14 Tage (organisatorischer Puffer), danach Löschung oder irreversible Anonymisierung.

Hinweis: Es werden keine medizinischen Inhalte (Diagnosen, Symptome etc.) erfasst oder versandt.

2.3 Benachrichtigungen (SMS; keine Werbung)

Daten:

Name, Telefonnummer, Terminbezug.

Zwecke:

Terminbestätigung, Erinnerungen, organisatorische Informationen per SMS.

Rechtsgrundlagen:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); keine Werbezwecke.

Opt-out:

Abmeldung jederzeit über den Link in jeder Nachricht.

2.4 Missbrauchsschutz (Cloudflare Turnstile)

Daten:

technische Signale (z. B. IP-Adresse, Browser-/Geräteinformationen, Challenge-Antwort).

Zwecke:

Bot-/Missbrauchsabwehr bei Formularen (z. B. OTP/Ticket-Anfrage).

Rechtsgrundlagen:

berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO – Schutz unserer Systeme und Ihres Kontos).

Anbieter:

Cloudflare Turnstile (Cloudflare, Inc., USA).

2.5 Reichweitenmessung/Analytics (nur mit Einwilligung – derzeit deaktiviert)

Status: Derzeit deaktiviert.

Daten:

pseudonyme Nutzungsdaten (Seitenaufrufe, Interaktionen, Device/Browser-Infos, ggf. IP-Kürzung), Cookie/Speicher-IDs.

Zwecke:

Auswertung der Nutzung unserer Website zur Verbesserung von Inhalten und Usability.

Rechtsgrundlagen:

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO iVm § 165 TKG) – nur nach Opt-in; widerruflich jederzeit unter „Cookie-Einstellungen".

Anbieter:

z. B. Google Analytics 4 (siehe Empfänger/Übermittlungen).

Hinweis: Ohne Einwilligung findet keine Reichweitenmessung statt.

2.6 Karten (Google Maps – eingebettetes IFrame, nur nach Einwilligung)

Daten:

IP-Adresse, Browser-/Geräteinformationen, ggf. Standortdaten, Cookie/Speicher-IDs; Abruf von Inhalten/Schriften/Maps-APIs von Google-Servern.

Zwecke:

Anzeige unseres Praxisstandorts direkt auf der Website.

Rechtsgrundlagen:

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO iVm § 165 TKG).

Hinweis: Die Karte wird erst nach Ihrem Opt-in über das Cookie/Consent-Banner geladen („2-Klick-Lösung"). Ohne Einwilligung zeigen wir stattdessen einen externen Link zu Google Maps.

3. Empfänger, Auftragsverarbeiter, Datenübermittlungen

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter ein. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge (Art. 28 DSGVO).

Hosting/Technik (EU):

•Frontend-Hosting: Vercel (EU-Region, soweit technisch verfügbar; andernfalls SCC/EU-US DPF)
•Backend/Server: Railway (EU) – API-Compute
•Datenbank: Neon (EU) – Serverless Postgres
•Backups: Cloudflare R2 (EU-Bucket)

Kommunikation:

•SMS-Gateway: Spryng B.V. (NL/EU) – 1-Way, alphanumerische Sender-ID

Schutz vor Missbrauch:

•Cloudflare Turnstile (Cloudflare, Inc., USA)

Analytics/Maps (nur mit Einwilligung):

•Google Analytics 4 (Google Ireland Ltd.; Verarbeitung u. U. durch Google LLC, USA) – derzeit deaktiviert
•Google Maps (Google Ireland Ltd.; Darstellung/Inhalte von Google LLC, USA) – eingebettetes IFrame, wird erst nach Einwilligung geladen

Datenübermittlungen in Drittländer: Sofern Dienstleister außerhalb der EU/EWR verarbeiten (z. B. Cloudflare, Inc.; Google LLC bei Analytics/Maps), erfolgt dies auf Basis geeigneter Garantien (z. B. EU-US Data Privacy Framework und/oder EU-Standardvertragsklauseln). Details stellen wir auf Anfrage bereit.

4. Cookies, Einwilligungen und Widerruf

Für nicht technisch notwendige Dienste (z. B. Google Maps-Embed, Analytics) holen wir vorher Ihre Einwilligung über ein Consent-Banner ein. Sie können Ihre Entscheidung jederzeit unter „Cookie-Einstellungen" ändern (Widerruf mit Wirkung für die Zukunft).

Kategorien im Banner (mind.): „Notwendig", „Karten (Google Maps)", „Analytics (optional)".

Cookie-Einstellungen: Einstellungen öffnen

5. Speicherdauern

Termin/Ticketdaten: Termin + 14 Tage, danach Löschung/Anonymisierung.

Benachrichtigungsprotokolle: i. d. R. ≤ 30 Tage.

Server-Logs: i. d. R. 14 Tage.

Backups: verschlüsselt, 14 Tage; danach automatische Löschung.

Abweichende gesetzliche Aufbewahrungspflichten der medizinischen Dokumentation betreffen nur die Praxisakte und nicht das Termin-/Ticketsystem.

6. Sicherheit (Art. 32 DSGVO – Kurzüberblick)

TLS/HTTPS, HSTS, Content Security Policy, Schutz vor Clickjacking/CSRF.

Systemzugriffe ausschließlich für berechtigte Personen (RBAC), 2-Faktor-Authentisierung.

Keine öffentliche Anzeige von Patientendaten; Aufruf nur am Empfangs-PC.

Verschlüsselte Backups; feldweise Verschlüsselung von Stammdaten ist optional vorgesehen und derzeit nicht aktiv.

Protokollierung von administrativen Zugriffen/Statuswechseln/Exports; regelmäßige Sicherheits-Updates.

Regelmäßige automatische Löschung gemäß Abschnitt 5.

7. Pflicht zur Bereitstellung / Erforderlichkeit

Die Angabe von Name und Telefonnummer ist für die Terminabwicklung erforderlich. Ohne diese Angaben kann keine Online-Terminvergabe erfolgen; alternativ können Sie Termine persönlich oder telefonisch vereinbaren.

8. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling statt.

9. Ihre Rechte (Art. 12–22 DSGVO)

Sie haben – im Rahmen der gesetzlichen Voraussetzungen – das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen, die wir auf berechtigtes Interesse stützen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die in Abschnitt 1 genannten Kontaktdaten.

Beschwerderecht: Sie haben das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen. Zuständig in Österreich ist die Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien, dsb@dsb.gv.at.

10. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund technischer oder rechtlicher Entwicklungen erforderlich ist. Die jeweils aktuelle Fassung finden Sie auf dieser Seite.

Fragen zum Datenschutz?

Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an unsere Praxis.

+43 316 58 36 16 E-Mail senden