Datenschutz Praxissoftware
Datenschutz, Verantwortlichkeit und Geltungsbereich
Wir verpflichten uns, Ihre personenbezogenen Daten nach den Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz zu schützen und zu verarbeiten. Diese Erklärung gilt für die Software app.freudio.com.
Verantwortlich für die Datenverarbeitung ist:
Float Plattform FlexCo (FN 637424),
Zieglergasse 1/24, 1070 Wien, Österreich.
Ansprechpartner: Lenz Husmann (Datenschutzbeauftragter), lenz@freudio.at , Tel. +43 670 2006065
Unser Datenschutzbeauftragter Lenz Husmann steht Ihnen bei allen datenschutzrechtlichen Fragen unter lenz@freudio.at zur Verfügung.
Im Folgenden wird erklärt
zu welchem Zweck personenbezogene Daten erfasst und verarbeitet werden.
welche Kategorien personenbezogener Daten von der Erfassung und Verarbeitung betroffen sind.
unter welcher Rechtsgrundlage wir personenbezogene Daten verarbeiten.
welche involvierten Dritte als Auftragsverarbeiter an der Verarbeitung personenbezogener Daten beteiligt sind.
an welche Drittparteien personenbezogene Daten übermittelt werden.
weitere Informationen wie Speicherdauer, Betroffenenrechte und andere Informationen, welche helfen, über die beschriebene Datenverarbeitung zu informieren.
Diese Datenschutzerklärung berücksichtigt die Anforderungen der seit 25. März 2025 geltenden EHDS-Verordnung sowie der Gesundheitstelematik-Anpassungsverordnung 2025 hinsichtlich verschärfter Sicherheitsanforderungen für Gesundheitsdatenverarbeitung.
Zielgruppe dieser Datenschutzerklärung
Diese Datenschutzerklärung richtet sich ausschließlich an alle Nutzer:innen, die unsere Praxisverwaltungssoftware app.freudio.com verwenden, sowie an deren Klient:innen. Sie gilt nicht für die Nutzung unserer allgemeinen Website freudio.com, sondern ausschließlich für die Erhebung und Verarbeitung personenbezogener Daten im Rahmen der Software-Anwendung.
Datenverarbeitung in der Software-Anwendung
freudio verarbeitet personenbezogene Daten ausschließlich:
zur Erfüllung des Vertrags mit seinen Nutzer:innen (Art. 6 Abs. 1 lit. b DSGVO)
auf Grundlage berechtigter Interessen in den Bereichen Betriebssicherheit, Support und Weiterentwicklung (Art. 6 Abs. 1 lit. f DSGVO)
zur medizinischen Versorgung, Dokumentation und Abrechnung von Gesundheitsdaten (Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 9 Abs. 2 lit. h DSGVO; § 16a PsychotherapieG)
Daten von Nutzer:innen
Der folgende Abschnitt beschreibt, welche personenbezogenen und beruflichen Daten der Therapeut:innen im Rahmen der Nutzung der freudio-Software erhoben und verarbeitet werden.
Kontaktdaten
Name, E-Mail-Adresse, Telefonnummer und postalische Anschrift von Nutzer:innen Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Abrechnungsdaten
Angaben zu Datum, Leistungsart, Honorarhöhe, Zahlungsstatus, Rechnungsnummern und Bankverbindungen zur automatisierten Abrechnung und Buchhaltung sowie Logos, Signaturen und Stempel
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Kommunikationsdaten
Inhalte und Metadaten von Support-E-Mails, Videoterminen (Verbindungsstatistiken, Teilnehmer-IDs) sowie Transaktionsnachrichten (Terminbestätigungen, Passwort-Resets)
Rechtsgrundlagen:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale Benachrichtigungen
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Support-Kommunikation und Systembetrieb
Nutzungsdaten
Technische Protokolldaten wie IP-Adresse, Browser- und Geräteinformationen sowie Seitenaufrufe, Klick-Events und Verweildauer (pseudonymisiert)
Rechtsgrundlagen:
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Analyse- und Optimierungszwecke
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Betriebssicherheit und Performance
Gesundheitsdaten
Alle im Therapieverlauf erfassten Informationen wie Diagnosen (ICD-10-Codes), Dokumentation, klinische Befunde, hochgeladene Therapiematerialien etc.
Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Art. 9 Abs. 2 lit. h DSGVO (Verhütung, Diagnose und Behandlung medizinischer Maßnahmen)
Klient:innendaten
Alle personenbezogenen Daten der Klient:innen, die im Rahmen der psychotherapeutischen Behandlung erhoben und verarbeitet werden. Dies umfasst neben den bereits erwähnten Gesundheitsdaten auch umfangreiche persönliche und administrative Informationen.
Grunddaten der Klient:innen:
Vollständiger Name (Titel, Vor- und Nachname), Geburtsdatum, Geschlecht, Familienstand, aktuelle Wohnadresse (Straße, PLZ, Ort), Telefonnummer(n), E-Mail-Adresse etc.
Versicherungs- und Sozialversicherungsdaten:
Sozialversicherungsnummer (SVNR), Versicherungsträger (z.B. ÖGK, SVS, BVAEB etc.), Kostenträger für die Therapie
Kontakt- und Notfalldaten:
Kontaktpersonen und deren Kontaktdaten, Notfallkontakte mit Beziehungsangabe, Hausarzt/Hausärztin mit Kontaktdaten, weitere behandelnde Ärzt:innen oder Therapeut:innen
Verweisende Stellen:
Überweisende Ärzt:innen oder Einrichtungen, Kontaktdaten verweisender Fachkräfte
Rechtsgrundlagen:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Art. 9 Abs. 2 lit. h DSGVO (medizinische Zwecke)
§ 16a Psychotherapiegesetz (Dokumentationspflicht)
Die Sozialversicherungsnummer (SVNR) gilt seit Inkrafttreten der DSGVO als besondere Kategorie personenbezogener Daten (Gesundheitsdatum) und unterliegt daher verschärften Schutzbestimmungen. Wir verwenden die SVNR sowohl zur eindeutigen Identifikation und zur Erstellung von Abrechnungen als auch zur Verschlüsselung dieser Dokumente. Auf Ihren Rechnungen wird die SVNR ausgewiesen, um eine korrekte Abrechnung mit den Versicherungsträgern sicherzustellen. Alle Klient:innendaten werden ausschließlich zur Durchführung der psychotherapeutischen Behandlung, zur Erfüllung gesetzlicher Dokumentationspflichten (§ 16a PsychThG) und zur Abrechnung mit den Versicherungsträgern verarbeitet.
Die nachfolgende Übersicht fasst sämtliche Datenkategorien zusammen, die in der freudio-Software verarbeitet werden. Sie zeigt auf einen Blick, welche personenbezogenen und technischen Informationen verarbeitet werden, auf welcher Rechtsgrundlage dies geschieht, wie lange die Daten gespeichert werden und aus welchen Gründen die Verarbeitung erfolgt.
Verschlüsselung und Speicherung
Als Anbieter von Praxisverwaltungssoftware unterliegen wir besonderen Anforderungen nach dem österreichischen Psychotherapiegesetz (§ 15–16 PsychThG) sowie nach der EHDS- und Gesundheitstelematikgesetzgebung 2025. Seit 1. Jänner 2025 ist die Übermittlung von Gesundheitsdaten per Telefax untersagt – wir verwenden ausschließlich verschlüsselte Übertragungswege.
Alle sensiblen Daten – insbesondere Therapieinhalte (Diagnosen, Befunde, Materialien etc.), Kontaktdaten, Abrechnungs- und Systemprotokolle – werden bei der Speicherung serverseitig mit AES-256-Bit-Verschlüsselung geschützt (Encryption at Rest). Zusätzlich werden alle personenbezogenen Daten, die den Gesundheitszustand der Klient:in betreffen mittels Envelope Encryption abgesichert. Dabei werden diese Daten zunächst mit einem Data Encryption Key (DEK) verschlüsselt, der seinerseits durch einen Master Key verschlüsselt wird. freudio nutzt hierfür den AWS Key Management Service (KMS) in EU-Regionen für die sichere Verwaltung der Verschlüsselungsschlüssel.
Technische Umsetzung der Ende-zu-Ende-Verschlüsselung:
Ende-zu-Ende-Verschlüsselung: AES-256-GCM mit AEAD-Verfahren sichert Vertraulichkeit und Integrität während Videositzungen.
Schlüsselverwaltung & Rotation: Master-Keys werden im AWS Key Management Service (KMS) in EU-Regionen (Irland, Frankfurt) verwaltet; Schlüsselrotation erfolgt in regelmäßigen Abständen oder ereignisgesteuert bei Verdacht auf Kompromittierung.
Ihre uneingeschränkten Rechte auf Ihre Daten
Wichtiger Hinweis: Unabhängig von allen nachfolgend genannten Fristen haben Sie jederzeit vollständigen Zugriff auf alle Ihre in freudio gespeicherten Daten. Sie können diese jederzeit einsehen, exportieren, berichtigen oder löschen lassen.
Sofortiger Datenexport – Ihre Daten gehören Ihnen
Vollständiger Export: Alle Ihre Daten (Klient:innen, Termine, Notizen, Abrechnungen) können jederzeit in gängigen Formaten (CSV, PDF) exportiert werden
Keine Wartezeiten: Der Export erfolgt unmittelbar nach Ihrer Anfrage über die Einstellung in freudio
Portabilität: Daten sind so strukturiert, dass sie problemlos in andere Software übernommen werden können
Kostenfrei: Der Datenexport ist für Sie vollständig kostenfrei – auch bei Vertragsende
Löschung auf Wunsch
Sie können jederzeit die vollständige Löschung Ihrer Daten aus freudio verlangen. Die Löschung erfolgt unverzüglich, soweit keine gesetzlichen Aufbewahrungspflichten für uns als Software-Anbieter entgegenstehen.
Wichtig: Die Einhaltung berufsrechtlicher Aufbewahrungsfristen liegt stets beim Auftraggeber (insbesondere § 51 PsychotherapieG, § 132 BAO, § 212 UGB) und bleibt auch seine Verantwortung nach dem Datenexport.
Kontaktaufnahme über E-Mail
In der Praxisverwaltungssoftware freudio stellen wir eine Kontakt-E-Mail-Adresse (info@freudio.com) zur Verfügung, über die Sie uns beispielsweise zur technischen Unterstützung oder für allgemeines Feedback kontaktieren können. Bei Kontaktaufnahme per E-Mail (info@freudio.com) verarbeiten wir Ihre E-Mail-Adresse und Ihre Mitteilung auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), insbesondere zur Beantwortung Ihrer Anfragen und zur Sicherstellung eines effizienten Kommunikationsprozesses. Bitte übermitteln Sie im Zuge der Kontaktaufnahme keine besonderen Kategorien personenbezogener Daten (zB. Gesundheitsdaten, religiöse Überzeugungen, genetische oder biometrische Daten).
Eingesetzte Drittanbieter und Auftragsverarbeiter
Im Folgenden finden Sie eine vollständige Übersicht aller externen Dienstleister, die im Rahmen der freudio Praxisverwaltungssoftware personenbezogene Daten als Auftragsverarbeiter verarbeiten. Für alle genannten Anbieter bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bzw. werden bei Datenübermittlungen in Drittländer Standardvertragsklauseln oder das EU-US Data Privacy Framework angewendet:
Web-App-Hosting über Vercel Inc.
Unsere Praxisverwaltungssoftware wird als Single-Page-Application über Vercel Inc. bereitgestellt. Dabei verarbeitet Vercel technische Verbindungsdaten wie IP‐Adresse, Zeitstempel, Browser‐ und Geräteinformationen, um Performance und Verfügbarkeit sicherzustellen. Unsere Web-App wird über Vercel Edge Network bereitgestellt; freudio hat Region-Pinning auf fra1 (Frankfurt) und dub1 (Dublin) aktiviert, Ende-zu-Ende-TLS und Private Network für PoP-zu-Region-Verkehr.
Erhobene und verarbeitete Daten: IP-Adresse, TLS-Logs, User-Agent, Request-Metadaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb)
Involvierte Auftragsverarbeiter: Vercel Inc., USA; Datenübermittlung auf Basis des EU-US Data Privacy Framework
Vercel Inc. hat sich bei der US-Handelskammer zertifizieren lassen und erfüllt damit die Anforderungen des EU-US Data Privacy Framework, das laut Angemessenheitsbeschluss der EU-Kommission ein ausreichendes Datenschutzniveau gewährleistet.
Nähere Informationen zum Datenschutz bei Vercel Inc. (100 1st Street, 24th Floor, San Francisco, CA 94105, USA) finden Sie in der Vercel Privacy Policy.
Datenbank und Backend über Supabase Inc.
Die Speicherung und Verwaltung aller in der Software erfassten Daten erfolgt verschlüsselt via Supabase Inc. in EU-Rechenzentren. Supabase übernimmt keine Einsicht in unverschlüsselte Gesundheitsdaten.
Erhobene und verarbeitete Daten: verschlüsselte Gesundheits- und Kontaktdaten, Log-Einträge, Authentifizierungs-Token
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Involvierte Auftragsverarbeiter: Supabase Inc., EU-Rechenzentren (Frankfurt); Standardvertragsklauseln
Die Datenbank und das Backend laufen ausschließlich in EU-Rechenzentren in Frankfurt mit serverseitiger Verschlüsselung und kundenseitigem Schlüssel-Management
Nähere Informationen zum Datenschutz bei Supabase Inc. (65 Chulia Street, #38-02/03, OCBC Centre, Singapore 049513) finden Sie in der Supabase Privacy Policy.
Videokommunikation über LiveKit Inc.
Für Tele- und Videotermine nutzt freudio LiveKit Inc. LiveKit wird als Turn-Server basierend auf dem WebRTC Protokoll verwendet, um eine stabile Kommunikation zwischen Teilnehmer:innen zu gewährleisten. Freudio nutzt LiveKit-Server wahlweise in der EU (Irland oder Niederlande) mit SRTP/TLS; DPA mit EU-Standardvertragsklauseln sichert alle Datenverarbeitungen ab. Die Inhalte einer Videokonferenz selbst werden dabei Ende-zu-Ende verschlüsselt und sind daher für LiveKit nicht ersichtlich. Livekit verarbeitet ausschließlich Metadaten wie Verbindungsstatistiken und Teilnehmer-IDs, um Qualität und Stabilität der Übertragung zu gewährleisten.
Erhobene und verarbeitete Daten: Session-IDs, Jitter- und Packet-Loss-Statistiken, Verbindungsdauer
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Involvierte Auftragsverarbeiter: LiveKit Inc., USA; DPA mit EU-Standardvertragsklauseln
Nähere Informationen zum Datenschutz bei LiveKit Inc. (4285 Payne Avenue, Suite 9154, San Jose, CA 95157, USA) finden Sie in der LiveKit Privacy Policy.
Fehlerdiagnose über Sentry (Functional Software, Inc.)
Anonyme Fehlermeldungen und Absturzberichte werden von Sentry erfasst, um die Anwendung zu überwachen und weiterzuentwickeln. Es werden keine sensiblen Daten, insbesondere keine Gesundheitsdaten, übermittelt. Alle Telemetrie- und Absturzdaten werden ausschließlich in der EU-Region Frankfurt am Main gehostet (EU-Datenzentrum) mit aktivem Region-Pinning und Ende-zu-Ende-TLS, sodass keine Daten außerhalb der EU übertragen werden.
Erhobene und verarbeitete Daten: anonymisierte Stack-Traces, Zeitstempel, App-Version
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerbehebung)
Involvierte Auftragsverarbeiter: Functional Software, Inc., USA; EU-US Data Privacy Framework
Nähere Informationen zum Datenschutz bei Functional Software, Inc. dba Sentry (45 Fremont St, 8th Floor, San Francisco, CA 94105, USA) finden Sie in der Sentry Privacy Policy.
Cloud-Infrastruktur und Verschlüsselung über AWS EMEA Sarl
Unsere Software nutzt AWS-Dienste (S3, KMS, ECS) ausschließlich innerhalb der EU-Region (Frankfurt) zur verschlüsselten Speicherung und Schlüsselverwaltung. Unsere Cloud-Infrastruktur und Verschlüsselung werden über AWS EMEA SARL betrieben; sämtliche Kundendaten verbleiben in EU-Regionen (Irland eu-west-1 und Frankfurt eu-central-1).
Erhobene und verarbeitete Daten: ruhende Datenobjekte, KMS-Keys-Metadaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO
Involvierte Auftragsverarbeiter: AWS EMEA Sarl, Irland; Standardvertragsklauseln
Nähere Informationen zum Datenschutz bei AWS EMEA Sarl (38 Avenue John F. Kennedy, L-1855, Luxemburg) finden Sie in der AWS Privacy Policy.
Transaktions-E-Mails über Resend
Für Terminbestätigungen, Erinnerungen und Passwort-Resets verwenden wir Resend. Hierbei werden Name, E-Mail-Adresse und E-Mail-Inhalt übertragen.
Erhobene und verarbeitete Daten: E-Mail-Adresse, Name, Betreff, Body
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Involvierte Auftragsverarbeiter: Resend, USA; EU-US Data Privacy Framework
Nähere Informationen zum Datenschutz bei Resend (2261 Market Street #5039, San Francisco, CA 94114, USA) finden Sie in der Resend Privacy Policy.
Nutzerverhaltensanalyse über PostHog Inc.
Pseudonymisierte Nutzungs- und Performance-Daten dienen der kontinuierlichen Optimierung der Software. IP-Adressen werden anonymisiert. Hosting und Verarbeitung ausschließlich auf EU-Servern (Frankfurt am Main) oder auf Grundlage der Standardvertragsklauseln der Europäischen Kommission (Art. 46 DSGVO)
Erhobene und verarbeitete Daten: Seitenaufrufe, Klick-Events, Verweildauer
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Involvierte Auftragsverarbeiter: PostHog Inc., USA; EU-Hosting oder Standardvertragsklauseln
Nähere Informationen zum Datenschutz bei PostHog Inc. (2261 Market Street #4008, San Francisco, CA 94114, USA) finden Sie in der PostHog Privacy Policy.
Entwicklungs- und Testumgebung über Postman, Inc.
Interne Entwicklungs- und Test-Metadaten werden in Postman-Workspaces gespeichert. Es handelt sich ausschließlich um systeminterne Testdaten ohne Personenbezug. Entwicklungs- und Testumgebungen nutzen die Postman EU Data Residency in aws-eu-central-1 (Frankfurt), damit alle PII und Anwendungsdaten ausschließlich in Deutschland gespeichert werden.
Erhobene und verarbeitete Daten: API-Test-Requests, Collections-Metadaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an ordnungsgemäßer Software-Entwicklung)
Involvierte Auftragsverarbeiter: Postman, Inc., USA; EU-US Data Privacy Framework
Nähere Informationen zum Datenschutz bei Postman, Inc. (600 Northeastern Blvd, #200, Nashua, NH 03062, USA) finden Sie in der Postman Privacy Policy.
System-Monitoring über Grafana Labs
Zur Sicherstellung von Stabilität, Sicherheit und Performance unserer Infrastruktur setzen wir Grafana Labs als internes Monitoring-Tool ein. Über anonymisierte Systemmetriken gewinnen unsere technischen Teams Einblicke in Auslastungstrends. Anomalien oder Ausfälle werden frühzeitig erkannt, sodass Kapazitätsplanung und Incident-Management effizient optimiert werden können. Dashboards sind individuell anpassbar und ermöglichen zusammen mit weiteren Sicherheitstools ein umfassendes Performance- und Verfügbarkeitsmanagement.
System-Monitoring erfolgt über Grafana Cloud mit wählbarer EU-Region (AWS eu-central-1 in Frankfurt oder GCP europe-west1 in Belgien), durchgehend Ende-zu-Ende-TLS verschlüsselt.
Erhobene und verarbeitete Daten: CPU-Auslastung, Speichernutzung, Netzwerkverkehr, Datenbank- und Server-Performance, Antwortzeiten, System- und Anwendungslogs (anonymisiert) sowie weitere Performance- und Verfügbarkeitsmetriken
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit)
Involvierte Auftragsverarbeiter: Grafana Labs, USA; EU-Standardvertragsklauseln
Nähere Informationen zum Datenschutz bei Grafana Labs (165 Broadway, 23rd Floor, New York, NY 10006, USA) finden Sie in der Grafana Privacy Policy.
Einsatz von Loom für Erklär- und Marketing-Videos
Für die Erstellung, Aufzeichnung und das Hosting von Erklär- und Marketing-Videos (z. B. für Onboarding) nutzen wir Loom, Inc., 140 2nd Street, Floor 3, San Francisco, CA 94105, USA. Bei jedem Video werden Metadaten wie Ihr Name, Ihre E-Mail-Adresse und technische Aufnahmedetails (z. B. Länge, Zeitstempel) zur Vertragserfüllung und auf Grundlage unseres berechtigten Interesses an effizienter Schulung und Kundenkommunikation (Art. 6 Abs. 1 lit. b und f DSGVO) erfasst und verarbeitet.
Alle Loom-Daten werden in EU-Regionen (Frankfurt eu-central-1 und Dublin eu-west-1) von AWS gehostet und durchgehend mit Ende-zu-Ende-TLS verschlüsselt. Übermittlungen in Drittländer erfolgen ausschließlich auf Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO).
Weitere Informationen zum Datenschutz finden Sie in der Data Processing Addendum von Loom und in der Privacy Policy.
CRM und Nutzerverwaltung über Attio Ltd.
freudio setzt Attio Limited (Unit 120, Exmouth House, 3-11 Pine Street, London EC1R 0JH, Vereinigtes Königreich) ausschließlich für interne CRM-Zwecke ein. Attio verarbeitet hierbei nur Daten zu den freudio-Kund:innen, wie Kontaktdaten, Unternehmensinformationen um den Support, das Onboarding und die kontinuierliche Produktentwicklung zu optimieren. Es werden ausdrücklich keine Patient:innen- oder Klient:innen-Daten über Attio verarbeitet oder gespeichert.
Erhobene und verarbeitete Daten: Name, E-Mail-Adresse, Praxisname, Nutzungsmetriken der Software
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenbetreuung)
Involvierte Auftragsverarbeiter: Attio Limited, Vereinigtes Königreich; Datenübermittlung auf Basis der EU-Standardvertragsklauseln
Attio betreibt seine CRM-Plattform auf Google Cloud-Servern in Dublin mit aktivem Region-Pinning und Ende-zu-Ende-TLS.
Nähere Informationen zum Datenschutz bei Attio Ltd. (Unit 120, Exmouth House, 3-11 Pine Street, London EC1R 0JH, Vereinigtes Königreich) finden Sie in der Attio Privacy Policy.
Integration von Kalenderdiensten
In der freudio Praxisverwaltungssoftware haben Sie die Möglichkeit, Ihren Google- und Outlook-Kalender nahtlos zu integrieren, um Termine und Verfügbarkeiten automatisch zu synchronisieren. Für diese Funktion erfolgt eine direkte Anbindung an die Kalender-APIs über Nylas Inc. als technischen Vermittler:
Nylas Inc. (2100 Geng Rd. #2100, Palo Alto, CA 94303, USA) als Kalendersynchronisationsdienst für die Verbindung zu den Kalender-APIs; sämtliche Nutzerdaten werden über Nylas’ EU-Server in Irland gehostet und verarbeitet
Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, D04 E5W5, Ireland) für Google Calendar
Microsoft Ireland Operations Ltd (Carmanhall Road, Building 3, Sandyford Industrial Estate, Dublin 18, Ireland) für Outlook/Office 365 Calendar
Nylas fungiert als kommunikationsplattform und stellt APIs zur Verfügung, die eine einheitliche Schnittstelle zu verschiedenen Kalenderanbietern ermöglichen. Dabei werden ausschließlich Metadaten zu Kalendereinträgen abgefragt (z. B. Datum, Uhrzeit, Titel, Dauer) und in pseudonymisierter Form in Ihrem freudio-Account verarbeitet.
Nähere Informationen zum Datenschutz bei Google Ireland Limited finden Sie in der Google Privacy Policy.
Nähere Informationen zum Datenschutz bei Microsoft Ireland Operations Ltd finden Sie in der Microsoft Privacy Policy.
Nähere Informationen zum Datenschutz bei Nylas Inc. finden Sie in der Nylas Privacy Policy.
Rechtliche Grundlagen:
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die Kalendersynchronisation.
Datenübermittlung: Nylas Inc. nutzt das EU-US Data Privacy Framework für Übermittlungen in die USA; sämtliche Nutzerdaten werden darüber hinaus ausschließlich auf EU-Servern in Irland gehostet und verarbeitet.
Auftragsverarbeitung: Grundlage sind die Standardvertragsklauseln der Europäischen Kommission (Art. 46 DSGVO) sowie das Nylas Data Processing Agreement.
Wichtig für Nutzer:innen:
Es werden keine E-Mail-Inhalte oder Kontaktdaten aus Ihrem Kalender importiert
Änderungen oder Löschungen von Terminen in freudio werden bidirektional mit dem angebundenen Kalender abgeglichen, sofern Sie dies aktiviert haben
Zur Synchronisation wird eine verschlüsselte OAuth-2.0-Verbindung genutzt, sodass freudio keinen Zugriff auf Ihre Login-Daten erhält
Sämtliche Kalenderzugriffe erfolgen nur nach ausdrücklicher Einwilligung und können jederzeit in den Einstellungen widerrufen werden
Verzeichnis der AV-Verträge
Für alle Dienstleister bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Ein vollständiges Verzeichnis aller Auftragsverarbeitungsverträge nach Art. 30 Abs. 2 DSGVO führen wir intern und stellen es Betroffenen auf Anfrage unentgeltlich zur Verfügung.
Die Übermittlung personenbezogener Daten an die genannten Anbieter erfolgt nur, soweit dies für die jeweiligen Zwecke erforderlich ist. Alle Anbieter sind vertraglich zur Einhaltung der DSGVO verpflichtet. Die Datenübermittlung in Drittländer erfolgt ausschließlich unter Einhaltung der gesetzlichen Vorgaben und mit geeigneten Schutzmaßnahmen.
Eine Übersicht zu allen Auftragsverarbeitungsverträgen finden Sie in unseren AGB.
Cookies und lokaler Speicher
Unsere freudio-Praxisverwaltungssoftware nutzt sowohl Cookies als auch lokale Speichertechnologien (Local Storage und Session Storage), um zentrale Funktionen bereitzustellen und Ihre Nutzererfahrung zu optimieren. Sie haben jederzeit die volle Kontrolle über nicht zwingend erforderliche Speicherobjekte und können alle optionalen Technologien in den Einstellungen deaktivieren oder löschen.
Im Detail unterscheiden wir:
Technisch notwendige Cookies und lokale Speicherobjekte
Beispiele: Sitzungskennungen, Authentifizierungsdaten, Sicherheitseinstellungen
Zweck: Betrieb der Software (Login, Dokumentenspeicherung, Schutz vor CSRF-Angriffen)
Löschung: Nicht deaktivierbar, da sonst essenzielle Funktionen nicht verfügbar wären
„Performance- und UX-Cookies (optional)
Verarbeitung: Diese Cookies erfassen pseudonymisierte Nutzungs- und Performance-Daten (z. B. Seitenaufrufe, Klick-Events, Ladezeiten), um die Software-Performance und Nutzererfahrung zu optimieren.
Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO
Löschung: Entfällt bei Widerruf der Einwilligung; alle nicht zwingend erforderlichen Objekte können Sie jederzeit löschen
Alle Datenübertragungen erfolgen ausschließlich über TLS-gesicherte Verbindungen, und lokal gespeicherte Daten unterliegen denselben Sicherheitsstandards wie serverseitige Informationen.
Cookie Übersicht für freudio Praxisverwaltungssoftware (app.freudio.com)
Datenübermittlung
Vor jeder Datenübermittlung prüfen wir, ob zusätzliche Schutzmaßnahmen erforderlich sind, um ein dem EU-Recht gleichwertiges Schutzniveau sicherzustellen (z. B. Verschlüsselung, Pseudonymisierung). Dabei orientieren wir uns an den Empfehlungen des Europäischen Datenschutzausschusses zu ergänzenden Maßnahmen.
Fast alle von freudio eingesetzten Dienstleister verarbeiten personenbezogene Daten ausschließlich in der Europäischen Union. Übermittlungen in Drittländer erfolgen nur
auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission (Art. 45 DSGVO), z. B. für Andorra, Argentinien, Kanada (gewerbliche Unternehmen), Israel, Japan, Republik Korea, Schweiz, Vereinigtes Königreich sowie die im EU-US Data Privacy Framework eingeschriebenen US-Unternehmen;
oder mit angemessenen Garantien wie den Standardvertragsklauseln der Europäischen Kommission (Art. 46 DSGVO).
Besondere Regelungen für Minderjährige
Gemäß Art. 8 DSGVO in Verbindung mit § 4 Abs. 4 DSG beträgt die Altersgrenze für die Einwilligung zu Diensten der Informationsgesellschaft in Österreich 14 Jahre. Kinder im Alter ab 14 Jahren gelten als einsichts- und urteilsfähig und können ihre Einwilligung selbst erteilen. Bei Minderjährigen unter 14 Jahren ist eine wirksame Einwilligung nur mit Zustimmung oder Einwilligung der gesetzlichen Vertreter:innen möglich.
Datensicherheit
Zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten setzt freudio technische und organisatorische Maßnahmen um, die dem Stand der Technik und dem Risiko angemessen sind (Art. 32 DSGVO).
freudio wendet das Prinzip Privacy by Design und Privacy by Default gemäß Art. 25 DSGVO an. Bereits in der Planungs- und Entwicklungsphase wurden technische und organisatorische Maßnahmen implementiert, um datenschutzfreundliche Voreinstellungen sicherzustellen.
Umfassender Schutz aller übrigen Daten
Alle in freudio hinterlegten Daten (z. B. Kontaktdaten, Abrechnungsdaten, Kalender- und Sitzungsdaten, Log- und Analysedaten) werden im Ruhezustand mittels AES-256-Bit-Verschlüsselung in zertifizierten EU-Rechenzentren abgesichert.
Verschlüsselung während der Übertragung (Transport Layer Security)
Alle Datenübertragungen zwischen Ihrem Endgerät und den freudio-Servern erfolgen ausschließlich über TLS 1.2+ (Transport Layer Security) verschlüsselte Verbindungen. Diese Transportverschlüsselung gewährleistet, dass personenbezogene Daten während der Übertragung vor unbefugtem Zugriff, Manipulation oder Mithören geschützt sind. Da die DSGVO Verschlüsselung nach dem Stand der Technik fordert, verwenden wir nur TLS-Versionen 1.2 oder höher, wodurch das erforderliche Sicherheitsniveau gemäß Art. 32 DSGVO sichergestellt wird.
Verschlüsselung ruhender Daten (Encryption at Rest)
Sämtliche in der freudio-Datenbank gespeicherten personenbezogenen Daten werden mit AES-256-Bit-Verschlüsselung im Ruhezustand geschützt. Diese Verschlüsselungsmethode entspricht dem aktuellen Stand der Technik und macht es selbst bei einem physischen Zugriff auf die Speichermedien praktisch unmöglich, die Daten ohne die entsprechenden Verschlüsselungsschlüssel zu entschlüsseln. Alle Daten werden dabei ausschließlich in zertifizierten EU-Rechenzentren gespeichert, wodurch eine vollständige Kontrolle über den Speicherort gewährleistet ist.
Backup- und Wiederherstellungsverfahren für alle kritischen Systeme
Wir sichern alle wichtigen Systeme nach dem bewährten 3-2-1-Prinzip: täglich vollständige Backups. Zwei Kopien liegen verschlüsselt in EU-Rechenzentren, eine weitere an einem externen Standort. Die Datenübertragung ist per TLS geschützt, ruhende Daten mit AES-256 verschlüsselt. Die Wiederherstellung testen wir regelmäßig in praxisgerechten Abständen, um eine zügige Verfügbarkeit im Störfall sicherzustellen.
Lokale Backups
Zusätzlich erstellt freudio täglich vollständige Backup-Archive aller Nutzerdaten, die Nutzer:innen im Benutzerbereich herunterladen und lokal speichern können. So behalten Sie jederzeit eine eigenständige Datensicherung und können im Bedarfsfall Ihre gesamte Datenhistorie schnell wiederherstellen.
Incident-Response-Prozess
Interne Benachrichtigung und Zuständigkeiten
Im Falle einer Verletzung des Schutzes personenbezogener Daten wird unverzüglich ein strukturierter Incident-Response-Prozess aktiviert. Die erste Benachrichtigung erfolgt an den Datenschutzbeauftragten Lenz Husmann( lenz@freudio.at), der als zentrale Koordinationsstelle für alle datenschutzrechtlichen Vorfälle fungiert. Ein internes Incident-Team wird binnen 2 Stunden nach Kenntnisnahme zusammengestellt und beginnt mit der Dokumentation sowie Bewertung des Vorfalls.
Meldung an die Österreichische Datenschutzbehörde
Datenschutzvorfälle, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen, werden gemäß Art. 33 DSGVO unverzüglich und spätestens binnen 72 Stunden nach Kenntnisnahme der Österreichischen Datenschutzbehörde gemeldet. Die Meldung erfolgt über das offizielle Online-Formular der DSB. Falls die 72-Stunden-Frist nicht eingehalten werden kann, wird eine detaillierte Begründung für die Verzögerung beigefügt.
Information der betroffenen Personen
Bei Datenschutzvorfällen mit voraussichtlich hohem Risiko für die persönlichen Rechte und Freiheiten werden die betroffenen Personen unverzüglich über den Vorfall informiert. Die Benachrichtigung erfolgt in klarer und einfacher Sprache und enthält eine Beschreibung der Art der Verletzung, die wahrscheinlichen Folgen sowie die ergriffenen Maßnahmen zur Behebung und Schadensbegrenzung. Eine Information der Betroffenen entfällt nur dann, wenn die Daten durch geeignete technische Sicherheitsvorkehrungen wie Verschlüsselung geschützt waren oder das Risiko durch nachträgliche Maßnahmen beseitigt wurde.
Gesetzliche Aufbewahrungsfristen
Soweit gesetzliche Aufbewahrungspflichten bestehen, werden personenbezogene Daten für die entsprechenden Zeiträume gespeichert:
Steuerrechtliche Unterlagen: 7 Jahre gemäß § 132 BAO
Handelsrechtliche Unterlagen: 7 Jahre gemäß § 212 UGB
Konkrete Speicherfristen:
Abrechnungsdaten: 7 Jahre (§ 132 BAO)
Kommunikationsdaten: 3 Jahre nach letztem Kontakt
Nutzungsstatistiken: 2 Jahre (bei Einwilligung)
Technische Logs: 6 Monate
Automatische Löschung und Löschkonzept
Wir haben technische und organisatorische Maßnahmen implementiert, um die Einhaltung der Speicherfristen sicherzustellen. Nach Ablauf der jeweiligen Speicherfrist werden die Daten automatisch und irreversibel gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen. Die Löschung erfolgt nach dem Prinzip der Datenminimierung und unter Berücksichtigung der technischen Möglichkeiten zur sicheren Vernichtung digitaler Daten.
Vorzeitige Löschung
Unabhängig von den oben genannten Fristen haben Sie jederzeit das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die Voraussetzungen des Art. 17 DSGVO erfüllt sind. Wir werden Ihrem Löschungsantrag unverzüglich nachkommen, es sei denn, gesetzliche Aufbewahrungspflichten oder andere zwingende rechtliche Gründe stehen dem entgegen.
Widerruf einer erteilten Einwilligung
Sollten Sie zu einem bestimmten Zweck auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten gegeben haben, können Sie jederzeit diese Einwilligung zurücknehmen (Widerruf). Die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten bis zum Widerruf wird durch den Widerruf nicht berührt.
Verpflichtende Datenbereitstellung und Folgen der Nichtbereitstellung beim Webseitenbesuch
Die Bereitstellung personenbezogener Daten für den Besuch unserer Webseite ist weder gesetzlich noch vertraglich vorgeschrieben. Die Nichtbereitstellung Ihrer personenbezogenen Daten ist möglich, wenn ein Besuch auf dieser Website unterbleibt. Für gewisse Funktionen auf unserer Webseite hat eine Nichtbereitstellung zur Folge, dass diese Funktionen nicht genutzt werden können.
Ihre Rechte laut Datenschutzgrundverordnung
Ihnen stehen gemäß Artikel 13 der Datenschutz-Grundverordnung (DSGVO) verschiedene Rechte zu, die eine faire und transparente Verarbeitung Ihrer personenbezogenen Daten gewährleisten. Nach Artikel 15 DSGVO haben Sie das Recht, von uns Auskunft darüber zu verlangen, ob und in welchem Umfang wir personenbezogene Daten von Ihnen verarbeiten. Sofern dies der Fall ist, können Sie eine Kopie dieser Daten anfordern und erhalten darüber hinaus Informationen zu den Zwecken der Verarbeitung, den Kategorien der verarbeiteten Daten sowie den Empfängern, an die diese Daten weitergegeben werden. Wenn eine Übermittlung in Drittländer stattfindet, informieren wir Sie auch darüber, wie ein angemessenes Schutzniveau sichergestellt wird. Sie erfahren außerdem, wie lange Ihre Daten gespeichert werden, und werden über Ihre Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie Ihr Widerspruchsrecht aufgeklärt. Darüber hinaus teilen wir Ihnen mit, dass Sie das Recht haben, sich bei einer Aufsichtsbehörde zu beschweren. Sollten die Daten nicht direkt bei Ihnen erhoben worden sein, informieren wir Sie über deren Herkunft. Sie werden zudem darüber unterrichtet, ob eine automatisierte Entscheidungsfindung einschließlich Profiling stattfindet.
Gemäß Artikel 16 DSGVO steht Ihnen das Recht auf Berichtigung Ihrer personenbezogenen Daten zu. Das bedeutet, dass Sie von uns verlangen können, unrichtige oder unvollständige Daten unverzüglich zu korrigieren.
Nach Artikel 17 DSGVO haben Sie das Recht auf Löschung Ihrer personenbezogenen Daten, auch bekannt als „Recht auf Vergessenwerden“. Sie können unter bestimmten Voraussetzungen verlangen, dass wir Ihre Daten löschen.
Artikel 18 DSGVO gibt Ihnen das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen. In diesem Fall dürfen wir Ihre Daten nur noch speichern, aber nicht weiterverarbeiten.
Sie haben nach Artikel 19 DSGVO das Recht auf Datenübertragbarkeit. Auf Anfrage stellen wir Ihnen Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung, sodass Sie diese an einen anderen Verantwortlichen übertragen können.
Artikel 21 DSGVO gewährt Ihnen das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen. Im Falle eines Widerspruchs prüfen wir umgehend, ob wir der Verarbeitung weiterhin nachkommen dürfen oder müssen diese entsprechend anpassen. Insbesondere wenn wir Ihre Daten auf Grundlage von Artikel 6 Abs. 1 lit. e DSGVO (öffentliches Interesse) oder Artikel 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) verarbeiten, können Sie jederzeit Widerspruch einlegen. Werden Ihre Daten für Direktwerbung verwendet, können Sie dieser Nutzung jederzeit widersprechen; in diesem Fall dürfen wir Ihre Daten nicht mehr für Werbezwecke verwenden. Auch einer Verwendung Ihrer Daten für Profiling können Sie jederzeit widersprechen.
Nach Artikel 22 DSGVO steht Ihnen unter bestimmten Voraussetzungen das Recht zu, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.
Widerspruch gegen Datenverarbeitung: Sie können jederzeit der Verarbeitung Ihrer personenbezogenen Daten widersprechen, die auf berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) beruht. Dies betrifft insbesondere:
Nutzungsanalysen über PostHog (deaktivierbar in den Einstellungen)
Support-Kommunikation (außer bei aktiven Supportfällen)
System-Monitoring (soweit personenbezogene Daten betroffen)
Sollten Sie der Auffassung sein, dass die Verarbeitung Ihrer personenbezogenen Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche in anderer Weise verletzt worden sind, können Sie sich an die zuständige Aufsichtsbehörde wenden. Für Österreich ist dies die Österreichische Datenschutzbehörde, Wickenburggasse 8, 1080 Wien dsb.gv.at.
Bitte zögern Sie nicht, uns über die in dieser Datenschutzerklärung genannten Kontaktmöglichkeiten zu erreichen, wenn Sie von Ihren Rechten Gebrauch machen möchten.
Besondere Regelungen für Gesundheitsdaten:
Das Recht auf Löschung (Art. 17 DSGVO) kann eingeschränkt sein, wenn die Aufbewahrung für Zwecke der Gesundheitsvorsorge oder zur Erfüllung rechtlicher Verpflichtungen erforderlich ist. In solchen Fällen werden die Daten stattdessen gesperrt und nur für die gesetzlich vorgeschriebenen Zwecke verwendet.
Keine Automatisierte Entscheidungsfindung und Profiling
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling statt, die rechtliche Wirkung gegenüber Ihnen entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt insbesondere im Sinne von Artikel 22 DSGVO und der Definition von Profiling nach Artikel 4 Nummer 4 DSGVO.
Ausübung Ihrer Betroffenenrechte - Verfahren und Modalitäten
Zur Geltendmachung Ihrer Betroffenenrechte können Sie sich jederzeit an uns wenden:
E-Mail: lenz@freudio.at (bevorzugter Kontaktweg)
Postanschrift: Float Plattform FlexCo, z.H. Datenschutzbeauftragter Lenz Husmann, Zieglergasse 1/24, 1070 Wien, Österreich
Telefon: +43 670 2006065 (für Rückfragen und mündliche Anträge nach vorheriger Identitätsfeststellung)
Sie können Ihren Antrag formlos stellen und müssen sich dabei nicht ausdrücklich auf die DSGVO beziehen. Bereits einfache Fragen wie "Woher haben Sie meine Daten?" oder "Ich möchte wissen, welche Daten Sie über mich gespeichert haben" stellen wirksame Betroffenenanfragen dar.
Bearbeitungsfristen
Wir werden Ihre Anfrage unverzüglich, spätestens jedoch binnen eines Monats nach Eingang bearbeiten. Bei komplexen Anfragen oder einer größeren Anzahl von Anträgen können wir diese Frist um weitere zwei Monate verlängern. In diesem Fall informieren wir Sie innerhalb der ersten Monatsfrist über die Verlängerung und deren Gründe.
Identitätsnachweis
Grundsätzlich ist kein Identitätsnachweis erforderlich, wenn Ihre Anfrage von einer uns bekannten E-Mail-Adresse oder Anschrift stammt. Nur bei begründeten Zweifeln an Ihrer Identität können wir zusätzliche Informationen zur Identitätsfeststellung anfordern. In solchen Fällen können geeignete Mittel zur Identifikation sein:
Telefonische Abfrage bereits bekannter Daten (z.B. Geburtsdatum, letzte Bestellung)
Personalausweis oder Reisepass (nur in Ausnahmefällen und mit Ihrer Einwilligung)
Authentifizierung über bereits bestehende Kundenkonten
Andere uns bekannte personenbezogene Daten
Kostenfreiheit und Frist
Anfragen werden grundsätzlich kostenfrei bearbeitet. Sie erhalten eine Rückmeldung innerhalb eines Monats nach Eingang Ihres Antrags. Bei komplexen oder zahlreichen Anträgen kann die Frist gemäß Art. 12 Abs. 3 DSGVO einmalig um maximal zwei weitere Monate verlängert werden. In diesem Fall informieren wir Sie innerhalb der ersten Monatsfrist schriftlich über die Fristverlängerung und die Gründe dafür. Nur in Ausnahmefällen, wenn Anträge offenkundig unbegründet oder exzessiv sind, können wir eine angemessene Gebühr verlangen oder den Antrag ablehnen.
Form der Antwort
Sofern Sie nichts anderes angeben, beantworten wir elektronische Anfragen auf elektronischem Weg. Auf Wunsch können Informationen auch mündlich erteilt werden, sofern Ihre Identität in anderer Form nachgewiesen wurde
Änderungen an diesem Datenschutzhinweis
Wir werden diesen Datenschutzhinweis von Zeit zu Zeit aktualisieren. Alle Änderungen werden auf dieser Seite mit einem aktualisierten Änderungsdatum veröffentlicht.
Datum der Veröffentlichung der aktuellen Version: 29.06.2025
