Datenschutzerklärung

Datenschutz ist uns sehr wichtig! Wir haben hier sämtliche Informationen zur Art, Menge, Dauer und Verwendung sätmlicher personenbezogenen eventuell gespeicherten Daten zusammengetragen.

An wen ist diese Datenschutzerklärung gerichtet?

Diese Datenschutzerklärung ist an registrierte Nutzer der TheraPsy Dienste und allgemeine Besucher gerichtet. Sie finden hier Informationen darüber welche Informationen von Ihnen gespeichert werden, welche absolut notwendig sind und welche optional sind. Sollten Sie die Datenschutzerklärung für Klienten und Klientinnen suchen, welche TheraPsy Connect für die Videotelefonie mit Ihren PsychotherapeutInnen nutzen, klicken Sie hier.

Ihre Betroffenenrechte

Unter den angegebenen Kontaktdaten unseres Datenschutzbeauftragten können Sie jederzeit folgende Rechte ausüben:

  • Auskunft über Ihre bei uns gespeicherten Daten und deren Verarbeitung,
  • Berichtigung unrichtiger personenbezogener Daten,
  • Löschung Ihrer bei uns gespeicherten Daten,
  • Einschränkung der Datenverarbeitung, sofern wir Ihre Daten aufgrund gesetzlicher Pflichten noch nicht löschen dürfen und
  • Widerspruch gegen die Verarbeitung Ihrer Daten bei uns einlegen.

Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Gesammelte Daten und Formate

Um die Dienstleistungen von TheraPsy zur Verfügung zu stellen, werden folgende personenbezogene Daten bei der Erstellung eines Accounts auf unserer Website gespeichert:

Von Ihnen eingegebene erforderliche personenbezogene Daten sind:

  • Email-Adresse
  • Benutzername

Von Ihnen eingegebene personenbezogenen Daten im Falle eines Erwerbs eines kostenpflichtigen Produkts welche an Stripe* weitergegeben werden:

  • Kreditkarteninformationen
  • Vorname, Nachname
  • IBAN
  • Email-Adresse
  • Rechnungsadresse
Das Weiterleiten diese Daten ist absolut notwendig für das Bearbeiten des Lizenzkaufs.

*Um die Sicherheit Ihrer Bankdaten bzw. Kreditkarteninformationen zu gewährleisten, sind wir eine Partnerschaft mit Stripe (www.stripe.com) eingegangen. Ihre Bankdaten werden NICHT auf unseren Servern gespeichert, sondern gehen direkt an unseren Partner Stripe.

Sämtliche gesammelten Daten werden in einer oder mehreren nicht öffentlichen SQL-Datenbanken hinterlegt.

Zwecke der Datenverarbeitung durch die verantwortliche Stelle und Dritte

Wir verarbeiten Ihre personenbezogenen Daten nur zu den in dieser Datenschutzerklärung genannten Zwecken. Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den genannten Zwecken findet nicht statt. Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:

  • Sie Ihre ausdrückliche Einwilligung dazu erteilt haben,
  • die Verarbeitung zur Abwicklung eines Vertrags mit Ihnen erforderlich ist,
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

Ihre personenbezogenen Daten werden für folgende Zwecke verwendet:

  • Benutzername: Anmeldung und Identifikation in der Software und auf der Website.
  • Email-Adresse: Direkte Kontaktaufnahme und zur Verifikation
  • Bezahlinformationen (Bankinformationen oder Kreditkarteninformationen, Adresse, Email-Adresse): Abwickeln von Bezahlvorgängen oder dem Erstellen von SEPA-Mandaten.
 
 

Weiterleitung von Daten an Stripe

Das Abwickeln von Bezahlvorgängen ist auf der technischer Seite unglaublich kompliziert. Um Ihre Bankdaten deshalb sicher zu behandeln, führen wir Bezahlvorgänge nicht selbst aus, sondern sind eine Partnerschaft mit Stripe eingegangen. Stripe ist genau darauf spezialisiert. Bezahlvorgänge an Amazon und Google werden z.B. auch mit Stripe durchgeführt. Ihre Daten werden also sicher behandelt!

Wenn Sie sich dazu entscheiden ein kostenpflichtiges Produkt von uns zu erwerben, werden Ihre Bankdaten direkt an Stripe gesendet und dort gespeichert

Bei einem Einkauf müssen Sie deshalb zustimmen, dass wir diese Daten an Dritte (Stripe) weiterleiten und dass diese dort gespeichert werden.

Zu stripe

TheraPsy Praxisverwaltung

Die Praxisverwaltung namens “TheraPsy” speichert standardmäßig sämtliche Daten verschlüsselt, lokal auf dem Gerät auf welchem die Software installiert ist. Zu diesen verschlüsselt, lokal gespeicherten Daten gehören sämtliche Informationen, welche in der Praxisverwaltung eingegeben werden (z.B. Klient*innen Informationen, Einheitendokumentation, Buchhaltung etc.). Keine dieser Daten wird jemals von uns direkt an unsere oder andere Server hochgeladen. Die Windows und macOS Versionen der TheraPsy Praxisverwaltung sind dabei so entwickelt, dass die Datenbank zu keinem Zeitpunkt unverschlüsselt auf der Festplatte liegt, sodass ein unvorhergesehener Absturz des Programms die Sicherheit der Daten nicht in Gefahr stellt.
 
Mit der Windows Version von TheraPsy kann man optional den Datenspeicherort verändern. Diese Funktion muss allerdings explizit von uns pro Account freigeschaltet werden, sobei Sie nochmals zusätzliche detaillierte Informationen dazu bekommen. Abhängig davon wie Sie dann TheraPsy konfigurieren, kann es sein, dass die Datenbank auf einem Server hochgeladen wird. Das wäre zum Beispiel der Fall, wenn Sie den Datenspeicherort so konfigurieren, dass TheraPsy die Datenbank in einem von Google Drive / OneDrive synchronisierten Ordner speichert. Allerdings ist auch in diesem Fall die Datenbank verschlüsselt.
 
Wenn Sie mit der Praxisverwaltung Daten aus TheraPsy hinaus exportieren, geschieht dies in den meisten Fällen in Form von Excel-Dokumenten (z.B.: Rechnungen, Protokollexporte etc.). Diese Exporte sind dann allerdings unverschlüsselt (also ganz normale Excel Dateien) und es liegt in Ihrer Verantwortung diese entsprechend zu behandeln.
 

TheraPsy Connect

TheraPsy Connect (unsere Videotelefonie) kann in zwei Modis betrieben werden. Im ersten Modus findet der komplette Anruf über unsere eigene Infrastruktur mit Servern in Deutschland statt. Im zweiten Modus verwendet TheraPsy Connect die Infrastruktur von einem Drittanbieter namens “Vonage” (ehemals TokBox Inc.). Die Videotelefonie startet immer im ersten Modus und nutzt anfänglich nur unsere interne Infrastruktur. Dabei wird zuerst versucht eine ende-zu-ende verschlüsselte “Peer to Peer” Verbindung zwischen den Anrufteilnehmer*innen herzustellen. Bei Peer-to-Peer Anrufen werden die Video und Audio Daten direkt von einem Computer über den kürzesten Weg zu den anderen Anrufteilnehmern gesendet, und nicht über unsere Server geleitet. Hierbei dient unser Server nur zum einmaligen Verbinden der teilnehmenden Geräte. Aus unterschiedlichen technisch bedingten Gründen kann es sein, dass peer-to-peer Verbindungen nicht möglich sind. In diesem Fall schaltet TheraPsy Connect automatisch auf einen “Turn-Server” um. Hierbei werden die Audio und Video-Signale (immer noch ende-zu-ende verschlüsselt) über einen unserer Server geleitet. Weder wir von TheraPsy, noch irgendeine andere Drittpartei hat dabei Zugriff auf den Inhalt der Anrufe, da diese ende-zu-ende verschlüsselt sind.

Sollte die Internetverbindung allerdings zu schlecht sein, sodass unsere eigene Server Infrastruktur die Anrufe nicht herstellen kann, besteht die optionale Option in den zweiten Modus umzuschalten, wo wir die Server Infrastruktur und APIs von Vonage (ehemals TokBox Inc.) verwenden. Auch in diesem Modus sind die Anrufe Ende-zu-Ende verschlüsselt. Um diesen zweiten, optionalen Modus zu verwenden, muss allerdings die IP Adresse der teilnehmenden Geräte mit Vonage geteilt werden, damit TheraPsy Connect den Anruf herstellen kann.

Um die Verbindung für die Audio und Videoübertragung aufzubauen wird die API des Unternehmens TokBox Inc. (Tochterunternehmen von Vonage) verwendet. Hier wird einmalig beim Verbindunsaufbau die IP-Adresse an TokBox Inc weitergegeben.

Unabhängig ob ein Anruf im Modus eins (über eigene Infrastruktur) oder zwei (via Vonage) läuft, werden folgende Daten auf TheraPsy Servern gespeichert (davon sind alle technisch notwendig):

  • Authentifizierungstokens der Video-telefonie-Session
  • Der vom Nutzer / von der Nutzerin eingegebene Code
  • Welcher TheraPsy-Nutzer / Welche TheraPsy Nutzerin den Anruf gestartet hat
  • Wann der aktuelle Link abläuft

Der oben beschriebene Modus (“Peer to Peer”) wird in rund 90% der Fälle angewendet. Wenn die Netzwerkarchitektur der Clients (“Endgeräte der Benutzer”) die eigene öffentliche IP-Adresse nicht kennen (Das kann in größeren Firmen mit einen Netzwerken und Firewalls z.B. der Fall sein) wird ein TURN Server verwendet. In diesem Fall werden auch die Audio und Video Streams Server geleitet. Die Datenstreams sind nach wie vor verschlüsselt und werden nach wie vor nicht aufgezeichnet.

Weiterleiten von Daten an CloudConvert

Therapsy bietet die Möglichkeit, verschlüsselte Excel-Dateien in PDF-Dateien umzuwandeln, damit sie einfacher an KlientInnen versendet oder übergeben werden können. Da dieser Vorgang technisch sehr komplex ist, sendet Therapsy die Excel Datei an einen Anbieter namens “CloudConvert”, der Therapsy dann ein PDF zurücksendet.

Therapsy hat CloudConvert als Partner ausgewählt, da das Unternehmen ebenfalls großen Wert auf Datensicherheit legt. Alle Daten in diesem Prozess werden SSL-verschlüsselt und nach der Bearbeitung sofort gelöscht. Die Server von CloudConvert stehen in Deutschland und sind nach den höchsten Sicherheitsstandards (ISO 27001) ausgezeichnet, sodass die Daten die DACH-Region nie verlassen. Selbst die Mitarbeiter von CloudConvert haben keine Möglichkeit, auf die Dateien zuzugreifen oder sie zu lesen. Therapsy hat mit CloudConvert eine Auftragsverarbeitung Vereinbarung unterzeichnet, um sicherzustellen, dass die Daten von ihnen und ihren KlientInnen so sicher wie möglich sind.

Obwohl dieser Prozess den DSGVO-Anforderungen entspricht, ist es verständlich, wenn Sie Bedenken haben, diesen Service zu nutzen. In diesem Fall können Sie entweder einfach die Standard-PDF-Vorlagen von Therapsy verwenden, die lokal auf Ihrem Computer generiert werden, oder sie führen die Umwandlung direkt in Excel durch (File -> Export -> Create PDF/XPS Document).

Weitere Informationen zu den Sicherheitsstandards von CloudConvert finden Sie in der Datenschutzerklärung des Unternehmens, die hier abrufbar ist: https://cloudconvert.com/security.


Erfassung allgemeiner Informationen beim Besuch unserer Website

Wenn Sie auf unsere Website zugreifen, werden automatisch mittels Cookies Informationen allgemeiner Natur erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers und ähnliches. Hierbei handelt es sich ausschließlich um Informationen, welche keine Rückschlüsse auf Ihre Person zulassen.

Diese Informationen sind technisch notwendig, um von Ihnen angeforderte Inhalte von Webseiten korrekt auszuliefern. Sie werden insbesondere zu folgenden Zwecken verarbeitet:

  • Sicherstellung eines problemlosen Verbindungsaufbaus der Website,
  • Sicherstellung einer reibungslosen Nutzung unserer Website,
  • Auswertung der Systemsicherheit und -stabilität sowie
  • zu weiteren administrativen Zwecken.

Die Verarbeitung Ihrer personenbezogenen Daten basiert auf unserem berechtigten Interesse aus den vorgenannten Zwecken zur Datenerhebung. Wir verwenden Ihre Daten nicht, um Rückschlüsse auf Ihre Person zu ziehen.

Anonyme Informationen dieser Art werden von uns ggfs. statistisch ausgewertet, um unseren Internetauftritt und die dahinterstehende Technik zu optimieren.

Cookies

Wir verwenden Cookies. Cookies sind kleine Textdateien, die von einem Websiteserver auf Ihre Festplatte übertragen werden.

Weite Informationen zur Natur von Cookies finden Sie unter Wikipedia

In keinem Fall werden die von uns erfassten Daten ohne Ihrer expliziten Einwilligung an Dritte weitergegeben oder ohne Ihre Einwilligung eine Verknüpfung mit personenbezogenen Daten hergestellt.

Natürlich können Sie unsere Website grundsätzlich auch ohne Cookies betrachten. Internet-Browser sind in der Regel so eingestellt, dass sie Cookies akzeptieren. Im Allgemeinen können Sie die Verwendung von Cookies jederzeit über die Einstellungen Ihres Browsers deaktivieren. Bitte beachten Sie, dass einzelne Funktionen unserer Website möglicherweise nicht funktionieren, wenn Sie die Verwendung von Cookies deaktiviert haben.

Registrierung auf unserer Webseite

Bei der Registrierung für die Nutzung unserer personalisierten Leistungen werden einige personenbezogene Daten wie oben genannt erhoben. Sind Sie bei uns registriert, können Sie auf Inhalte und Leistungen zugreifen, die wir nur registrierten Nutzern anbieten. Selbstverständlich erteilen wir Ihnen darüber hinaus jederzeit Auskunft über die von uns über Sie gespeicherten personenbezogenen Daten. Gerne berichtigen bzw. löschen wir diese auch auf Ihren Wunsch, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Zur Kontaktaufnahme in diesem Zusammenhang nutzen Sie bitte die am Ende dieser Datenschutzerklärung angegebenen Kontaktdaten.

Hosting

Amazon Web Services (AWS)

Wir hosten unsere Website und Datenbanken bei AWS. Anbieter ist die Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, 1855 Luxemburg (nachfolgend AWS).

Wenn Sie unsere Website besuchen, werden Ihre personenbezogenen Daten auf den Servern von AWS verarbeitet. Hierbei können auch personenbezogene Daten an das Mutterunternehmen von AWS in die USA übermittelt werden. Die Datenübertragung in die USA wird auf die EU-Standardvertragsklauseln gestützt. Details finden Sie hier: https://aws.amazon.com/de/blogs/security/aws-gdpr-data-processing-addendum/.

Weitere Informationen entnehmen Sie der Datenschutzerklärung von AWS: https://aws.amazon.com/de/privacy/?nc1=f_pr.

Die Verwendung von AWS erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unserer Website. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TTDSG umfasst. Die Einwilligung ist jederzeit widerrufbar.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) mit dem oben genannten Anbieter geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Google reCaptcha

Wir verwenden den Google-Dienst reCaptcha, um festzustellen, ob ein Mensch oder ein Computer eine bestimmte Eingabe in unserem Kontakt- oder Newsletter-Formular macht. Google prüft anhand folgender Daten, ob Sie ein Mensch oder ein Computer sind: IP-Adresse des verwendeten Endgeräts, die Webseite, die Sie bei uns besuchen und auf der das Captcha eingebunden ist, das Datum und die Dauer des Besuchs, die Erkennungsdaten des verwendeten Browser- und Betriebssystem-Typs, Google-Account, wenn Sie bei Google eingeloggt sind, Mausbewegungen auf den reCaptcha-Flächen sowie Aufgaben, bei denen Sie Bilder identifizieren müssen. Rechtsgrundlage für die beschriebene Datenverarbeitung ist Art. 6 Abs. 1 lit. f Datenschutz-Grundverordnung. Es besteht ein berechtigtes Interesse auf unserer Seite an dieser Datenverarbeitung, die Sicherheit unserer Webseite zu gewährleisten und uns vor automatisierten Eingaben (Angriffen) zu schützen.

Google Ads

Wir verwenden außerdem von Zeit zu Zeit den Anbieter Google Ads. Google Ads ist ein Online-Werbeprogramm der Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland.

Google Ads ermöglicht es uns Werbeanzeigen in der Google-Suchmaschine oder auf Drittwebseiten auszuspielen, wenn der Nutzer bestimmte Suchbegriffe bei Google eingibt (Keyword-Targeting). Ferner können zielgerichtete Werbeanzeigen anhand der bei Google vorhandenen Nutzerdaten (z. B. Standortdaten und Interessen) ausgespielt werden (Zielgruppen-Targeting). Wir als Websitebetreiber können diese Daten quantitativ auswerten, indem wir beispielsweise analysieren, welche Suchbegriffe zur Ausspielung unserer Werbeanzeigen geführt haben und wie viele Anzeigen zu entsprechenden Klicks geführt haben.

Die Nutzung dieses Dienstes erfolgt auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG. Die Einwilligung ist jederzeit widerrufbar.

Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details finden Sie hier: https://policies.google.com/privacy/frameworks und https://privacy.google.com/businesses/controllerterms/mccs/.

 

Browser Plugin

Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare BrowserPlugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de

 

Matomo (ehemals Piwik)

Diese Website benutzt den Open Source Webanalysedienst Matomo. Matomo verwendet Technologien, die die seitenübergreifende Wiedererkennung des Nutzers zur Analyse des Nutzerverhaltens ermöglichen (z.B. Cookies oder Device-Fingerprinting). Die durch Matomo erfassten Informationen über die Benutzung dieser Website werden auf unserem Server gespeichert. Die IP-Adresse wird vor der Speicherung anonymisiert.

Mit Hilfe von Matomo sind wir in der Lage Daten über die Nutzung unserer Website durch die Websitebesucher zu erfassen und zu analysieren. Hierdurch können wir u. a. herausfinden, wann welche Seitenaufrufe getätigt wurden und aus welcher Region sie kommen. Außerdem erfassen wir verschiedene Logdateien (z.B. IP-Adresse, Referrer, verwendete Browser und Betriebssysteme) und können messen, ob unsere Websitebesucher bestimmte Aktionen durchführen (z.B. Klicks, Käufe u. Ä.).

Die Nutzung dieses Analyse-Tools erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der anonymisierten Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren. Sofern eine entsprechende Einwilligung abgefragt wurde (z. B. eine Einwilligung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung ist jederzeit widerrufbar.

IP-Anonymisierung

Bei der Analyse mit Matomo setzen wir IP-Anonymisierung ein. Hierbei wird Ihre IP-Adresse vor der Analyse gekürzt, sodass Sie Ihnen nicht mehr eindeutig zuordenbar ist.

Hosting

Wir hosten Matomo ausschließlich auf unseren eigenen Servern, sodass alle Analysedaten bei uns verbleiben und nicht weitergegeben werden.

Widerspruch gegen Datenerfassung

Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: Google Analytics deaktivieren

 

Google Web Fonts

Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen.

Zu diesem Zweck muss der von Ihnen verwendete Browser Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde. Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Wenn Ihr Browser Web Fonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt.

Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: https://policies.google.com/privacy?hl=de.

 

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

TheraSoft GmbH
Pachergasse 17/Top 11,
4400, Steyr
E-Mail: kontakt@therapsy.at

Information Klient*innen:

Sie sind bereits Therapsy Kunde?