Datenschutzerklärung
Informationen zum Schutz Ihrer personenbezogenen Daten gemäß DSGVO
1. Verantwortlicher
MYBDY GmbH
Rudolf Jungmair-Gasse 2
4840 Vöcklabruck, Österreich
E-Mail: [email protected]
Telefon: +43 681 81526930
Ein Datenschutzbeauftragter ist aufgrund der Unternehmensgröße derzeit nicht bestellt (Art. 37 DSGVO). Für datenschutzrechtliche Anfragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
2. Welche Daten verarbeiten wir?
Wir verarbeiten folgende personenbezogene Daten:
- Kontodaten: Name, E-Mail-Adresse, Passwort (gehasht), Praxisname, Praxis-Slug bei der Registrierung
- Praxisdaten: Praxisname, Adresse, Telefonnummer, Logo, Leistungen, Verfügbarkeiten
- Kundendaten der Praxis: Name, E-Mail, Telefon, Geburtsdatum, Adresse, Tags, Notizen
- Gesundheitsdaten (Art. 9 DSGVO): Anamneseformulare, Ernährungspläne, Fortschrittsdokumentation
- Buchungsdaten: Termine, Status, Stornierungsgründe
- Zahlungsdaten: Stripe-Kundennummer, Abonnement-Status, Zahlungsmethode (Kreditkarten- und Bankdaten werden ausschließlich bei Stripe gespeichert)
- Kommunikationsdaten: E-Mail-Zustellstatus, Newsletter-Anmeldungen, Erinnerungspräferenzen
- Inhaltsdaten: Blog-Beiträge, Rezepte, Online-Kurse, Dokumente
- Nutzungsdaten: IP-Adresse, Browsertyp, Zugriffszeitpunkt, Fehlerprotokolle
3. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Vertragsdurchführung (Bereitstellung der Software, Abonnement, Zahlungsabwicklung)
- Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (z. B. Anamneseformulare, Newsletter-Anmeldung)
- Art. 9 Abs. 2 lit. a DSGVO: Ausdrückliche Einwilligung für Gesundheitsdaten (über Anamnese-Formulare mit DSGVO-Zustimmungsfeld)
- Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtung (steuerliche Aufbewahrungspflichten gem. § 132 BAO)
- Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen (Sicherheit, Fehlerüberwachung, Missbrauchsverhinderung)
4. Auftragsverarbeiter und Hosting
Wir setzen folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV).
| Dienst | Zweck | Standort |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Dateispeicher | Frankfurt, Deutschland (EU) |
| Cloudflare Inc. | Web-Hosting (Workers & Pages), CDN, DDoS-Schutz | USA — DPF-zertifiziert |
| Resend Inc. | Transaktions- und Marketing-E-Mail-Versand | USA — DPF-zertifiziert |
| Stripe Inc. | Zahlungsabwicklung (Kreditkarte, SEPA), Abonnement-Verwaltung | USA — DPF-zertifiziert |
| Sentry (Functional Software Inc.) | Fehlerüberwachung und Performance-Monitoring | USA — DPF-zertifiziert |
Kreditkarten- und Bankdaten werden ausschließlich bei Stripe gespeichert und verarbeitet. Wir haben keinen Zugriff auf vollständige Zahlungsmittelinformationen.
5. Datenübermittlung in Drittländer
Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF) gemäß Art. 45 DSGVO (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023).
Alle genannten US-Anbieter (Cloudflare, Resend, Stripe, Sentry) sind beim U.S. Department of Commerce unter dem Data Privacy Framework zertifiziert. Ergänzend bestehen Standard-Vertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als zusätzliche Schutzmaßnahme.
Die Kerndatenbank mit allen Praxis-, Kunden- und Gesundheitsdaten wird ausschließlich in Frankfurt, Deutschland (EU) bei Supabase gehostet.
6. Cookies und lokale Speicherung
Wir verwenden technisch notwendige Cookies für die Authentifizierung, Sitzungsverwaltung und Fehlerüberwachung. Es werden keine Tracking-Cookies oder Werbe-Cookies eingesetzt. Über unser Cookie-Consent-System können Sie Ihre Einstellungen jederzeit anpassen.
Essenzielle Cookies (immer aktiv)
| Cookie / Speicher | Zweck | Dauer |
|---|---|---|
| sb-*-auth-token | Supabase-Authentifizierung (Sitzungscookie) | Sitzung / max. 1 Stunde |
| sb-*-auth-token-code-verifier | PKCE-Code-Verifier für sichere Auth-Flows | Sitzung |
| __cf_bm | Cloudflare Bot-Management (DDoS-Schutz) | 30 Minuten |
| mybdy_consent | Speicherung Ihrer Cookie-Einstellungen (localStorage) | 12 Monate |
Fehlerüberwachung (Sentry)
Zur Sicherstellung der Stabilität und Qualität unserer Anwendung setzen wir Sentry als Fehlerüberwachungsdienst ein.
Sentry erfasst technische Fehlerprotokolle und nutzt Session Replay, um Fehlerursachen
nachzuvollziehen. Dabei werden keine personenbezogenen Daten übermittelt (sendDefaultPii: false). Sentry wird als essenzielle Technologie auf Grundlage unseres berechtigten
Interesses an der Fehlerbehebung und Betriebssicherheit eingesetzt (Art. 6
Abs. 1 lit. f DSGVO).
Analyse & Statistik (optional)
Derzeit setzen wir keine Analyse- oder Statistik-Tools ein. Sollten wir künftig solche Dienste einführen, werden diese nur nach Ihrer ausdrücklichen Einwilligung aktiviert. Sie können Ihre Einstellungen jederzeit über den Link „Cookie-Einstellungen" im Footer anpassen.
Rechtsgrundlage für essenzielle Cookies: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionsfähigkeit und Sicherheit der Anwendung) sowie § 165 Abs. 3 Z 2 TKG 2021 (unbedingt erforderliche Cookies).
7. E-Mail-Kommunikation
Transaktionale E-Mails
Buchungsbestätigungen, Erinnerungen und Systembenachrichtigungen werden über Resend versendet. Diese E-Mails sind für die
Vertragsdurchführung erforderlich (Art. 6 Abs. 1 lit. b DSGVO).
Absender-Domain: email.mybdy.io.
Newsletter
Ernährungsberater können Newsletter an ihre Kunden versenden. Der Versand erfolgt nur an Kunden mit explizitem Marketing-Opt-in. Jeder Newsletter enthält einen HMAC-gesicherten Abmeldelink. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
8. Zahlungsverarbeitung
Die Abonnement-Verwaltung und Zahlungsabwicklung erfolgt über Stripe. Bei Abschluss eines Abonnements werden Sie auf eine von Stripe gehostete Checkout-Seite weitergeleitet. Ihre Zahlungsdaten (Kreditkartennummer, Bankverbindung) werden ausschließlich von Stripe verarbeitet und gespeichert — wir erhalten lediglich eine Referenznummer und den Zahlungsstatus.
Stripe ist PCI DSS Level 1 zertifiziert (höchste Sicherheitsstufe der Kreditkartenbranche) und unter dem EU-U.S. Data Privacy Framework zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
9. Datensicherheit
- Verschlüsselte Übertragung aller Daten (TLS/HTTPS)
- Verschlüsselte Datenspeicherung (AES-256, encryption at rest)
- Row-Level Security (mandantenisolierte Datenbank — kein Mandant kann auf Daten eines anderen zugreifen)
- Passwörter werden ausschließlich als bcrypt-Hash gespeichert
- Cookie-basierte Authentifizierung mit Supabase Auth (PKCE-Flow)
- Automatische Fehlerüberwachung via Sentry (ohne personenbezogene Daten —
sendDefaultPii: false) - Regelmäßige Sicherheitsupdates und Dependency-Monitoring
10. Ihre Rolle als Verantwortlicher (Ernährungsberater)
Als Ernährungsberater sind Sie gemäß DSGVO Verantwortlicher für die personenbezogenen Daten Ihrer Kunden und Klienten. MYBDY Nutrition agiert als Ihr Auftragsverarbeiter gemäß Art. 28 DSGVO.
Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird bei der Registrierung automatisch geschlossen und kann jederzeit unter [email protected] angefordert werden.
11. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO) — Welche Daten speichern wir über Sie?
- Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
- Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten, soweit keine Aufbewahrungspflichten bestehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten in maschinenlesbarem Format
- Widerspruch (Art. 21 DSGVO) — Gegen Verarbeitung auf Basis berechtigter Interessen
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Jederzeit mit Wirkung für die Zukunft
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: [email protected]
Wir werden Ihre Anfrage innerhalb eines Monats beantworten (Art. 12 Abs. 3 DSGVO).
12. Automatisierte Entscheidungsfindung
Unsere Software verwendet KI-Technologien zur Unterstützung bei der Erstellung von Rezepten und Ernährungsplänen. Diese KI-gestützten Funktionen haben ausschließlich unterstützenden Charakter und führen keine automatisierten Entscheidungen im Sinne des Art. 22 DSGVO durch. Die finale Entscheidung liegt stets beim jeweiligen Ernährungsberater.
13. Beschwerderecht
Sie haben das Recht, sich bei der österreichischen Datenschutzbehörde zu beschweren:
Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
E-Mail: [email protected]
Website: www.dsb.gv.at
14. Aufbewahrungsfristen
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Kontodaten | Bis zur Kontolöschung |
| Rechnungen & Buchungsdaten | 7 Jahre (§ 132 BAO — steuerliche Aufbewahrungspflicht) |
| Gesundheitsdaten | Bis zur Löschung durch den Ernährungsberater |
| Dokumente & Dateien | Bis zur Löschung durch den Ernährungsberater |
| Daten nach Kündigung | 30 Tage, danach unwiderrufliche Löschung |
| Server-Logs | 30 Tage |
| Stripe-Zahlungsdaten | Gemäß Stripe-Aufbewahrungsrichtlinien |
15. Datenpanne (Data Breach)
Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen (Art. 33 DSGVO), sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen darstellt.
Besteht ein hohes Risiko, werden auch die betroffenen Personen unverzüglich informiert (Art. 34 DSGVO).
16. Änderungen
Diese Datenschutzerklärung kann von Zeit zu Zeit aktualisiert werden. Wesentliche Änderungen werden per E-Mail an registrierte Nutzer angekündigt. Die aktuelle Version ist stets auf dieser Seite verfügbar.
Stand: März 2026