Sind meine Daten bei der Online-Therapeutensuche sicher?

Das hängt vollständig von der jeweiligen Plattform ab. Sicher sind Plattformen mit EU-Hosting, verschlüsselter Datenbank-Speicherung sensibler Felder, Login-Link-only-Benachrichtigungen statt Klartext-Mails und automatischer Löschung nach klaren Fristen. Wer diese vier Punkte transparent dokumentiert, hat Datenschutz ernst genommen.

Was ist DSGVO Art. 9 und warum betrifft er meine Therapie-Anfrage?

Artikel 9 DSGVO definiert „besondere Kategorien personenbezogener Daten" — darunter Gesundheitsdaten. Die bloße Information, dass Sie eine Therapeut:in suchen, fällt bereits in diese Kategorie, weil sie einen Gesundheitszustand andeutet. Verarbeitung ist nur mit Ihrer ausdrücklichen Einwilligung und mit strengen technischen Schutzmaßnahmen erlaubt.

Was bedeutet das Schrems-II-Urteil für mich als Patient:in?

Das EuGH-Urteil von Juli 2020 erklärte das Privacy-Shield-Abkommen für ungültig und stellte fest, dass US-Anbieter Ihre Daten nicht ausreichend vor US-Geheimdiensten schützen können. Praktisch heißt das: Eine Plattform mit Datenbank in den USA bewegt sich datenschutzrechtlich in einer Grauzone, eine mit EU-Hosting ist auf der sicheren Seite.

Welche drei Fragen sollte ich einer Plattform vor der Nutzung stellen?

Erstens — wo steht die Datenbank? Antwort sollte ein konkretes EU-Land sein. Zweitens — was steht in der Benachrichtigungs-E-Mail an die Therapeut:in? Idealerweise nur ein Login-Link, kein voller Anfrage-Text. Drittens — wie lange werden meine Daten gespeichert? Eine automatische Löschung nach 30 bis 90 Tagen ist ein Qualitätsmerkmal.

Was kann ich tun, wenn eine Plattform meine Daten nicht löscht?

Sie haben nach Art. 17 DSGVO ein Recht auf Löschung. Formlose Mail an die im Impressum angegebene Adresse genügt — die Plattform hat 30 Tage Zeit zu reagieren. Bei Untätigkeit oder Verweigerung können Sie sich kostenlos an die österreichische Datenschutzbehörde wenden (dsb.gv.at). Beschwerden dort sind ein etabliertes und wirkungsvolles Mittel.

Greift das Berufsgeheimnis der Therapeut:in auch für die Plattform, über die ich Kontakt aufnehme?

Nein. Paragraph 45 Psychotherapiegesetz 2024 und Paragraph 121 Strafgesetzbuch binden ausschließlich die Therapeut:in selbst, nicht den Plattform-Betreiber. Für die Plattform gilt „nur" die DSGVO. Das ist ein nennenswert niedrigeres Schutzniveau, weil hier keine strafrechtliche Sanktionierung droht, sondern nur Bußgelder.

Therapie online suchen: Wie sicher sind Ihre Daten? 2026

Wenn der erste Satz schon eine Diagnose ist

Eine Therapie-Anfrage beginnt fast immer mit einem einzelnen Satz wie diesem: „Ich suche eine Therapeut:in nach einer Trauma-Erfahrung." Dieser eine Satz enthält bereits zwei Informationen, die in den falschen Händen folgenreich sein können — Ihre Identität, vermittelt über die E-Mail-Adresse, und einen klaren Hinweis auf Ihren Gesundheitszustand. Genau deshalb behandelt das europäische Datenschutzrecht solche Daten als „besondere Kategorien personenbezogener Daten" nach Artikel 9 der Datenschutzgrundverordnung — die strengste Schutzklasse, die die DSGVO überhaupt kennt.

Was nicht jeder weiß: Auf dem Weg vom Eingabefeld zur Therapeut:in kann diese Information theoretisch an mehreren Stellen mitgelesen werden. Wer hier genauer hinschaut, trifft eine bessere Entscheidung über die Plattform — und gibt sich selbst mehr Sicherheit.

Was die DSGVO unter Gesundheitsdaten versteht

Artikel 9 DSGVO listet acht Kategorien besonders schützenswerter Daten auf — darunter „Daten über die Gesundheit" sowie „Daten zum Sexualleben oder zur sexuellen Orientierung". Bereits die Tatsache, dass jemand nach einer Therapeut:in sucht, fällt in diese Kategorie, weil sie auf einen physischen oder psychischen Gesundheitszustand schließen lässt. Die österreichische Datenschutzbehörde folgt dieser strengen Auslegung.

Die praktische Konsequenz: Eine Plattform, die solche Daten verarbeitet, darf das nur auf einer von wenigen ausdrücklich genannten Rechtsgrundlagen tun. Bei Online-Therapeutensuchen ist das in der Regel Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Und sie muss „angemessene technische und organisatorische Maßnahmen" zum Schutz dieser Daten ergreifen — vorgeschrieben in Art. 32 DSGVO.

Die vier Stationen Ihrer Anfrage

Wenn Sie auf einer Therapie-Plattform auf „Absenden" klicken, durchläuft Ihre Nachricht typischerweise vier Systeme. Jedes davon hat potenziell Zugriff auf den Klartext.

Erstens die Datenbank der Plattform. Standard ist, dass Ihr Name, Ihre E-Mail-Adresse und Ihr Anfrage-Text in einer Datenbank gespeichert werden, damit die Therapeut:in sie über ein Login einsehen kann. Sicherheitstechnisch entscheidend ist, ob diese Felder dort im Klartext liegen oder verschlüsselt. Ohne Verschlüsselung wäre bei einem Datenbank-Leak — durch Hack, Fehlkonfiguration oder Insider-Zugriff — der gesamte Inhalt direkt lesbar. Eine Verschlüsselung auf Applikationsebene, etwa mit dem etablierten Verfahren AES-256-GCM, sorgt dafür, dass ein Angreifer auch bei einem vollständigen Daten-Dump nur unbrauchbaren Ciphertext sieht, solange der Schlüssel nicht zusätzlich kompromittiert wird.

Zweitens der E-Mail-Provider. Damit die Therapeut:in über eine neue Anfrage informiert wird, sendet die Plattform eine E-Mail an deren Postfach. Hier gibt es zwei sehr unterschiedliche Ansätze: Entweder enthält die E-Mail den vollständigen Anfrage-Text — bequem, aber datenschutztechnisch problematisch — oder sie enthält nur einen Login-Link auf die Plattform, wo die Anfrage geschützt einsehbar bleibt. Im ersten Fall hat zusätzlich der Mail-Dienstleister, etwa Resend, SendGrid, Mailgun oder Brevo, den Inhalt in seinen Protokollen. Typische Aufbewahrungsfristen dieser Logs liegen zwischen sieben und dreißig Tagen.

Drittens die Server-Logs. Web-Server protokollieren standardmäßig jeden Request — Zeitstempel, IP-Adresse, aufgerufene URL und oft auch übergebene Parameter. Wenn eine Plattform schlampig programmiert ist und Anfrage-Inhalte in URL-Parametern überträgt oder in Fehlermeldungen mitloggt, landen sensible Daten im Klartext in den Log-Dateien — wo sie oft monatelang gespeichert bleiben und für Betriebs- und Entwicklerteams einsehbar sind.

Viertens Backups und Subdienstleister. Datenbanken werden regelmäßig gesichert. Diese Backups liegen häufig länger und an anderen Orten als die Live-Datenbank — etwa in einem AWS-S3-Bucket oder bei einem spezialisierten Backup-Provider. Auch CDN-Anbieter, Analytics-Tools und Fehler-Monitoring-Dienste sind sogenannte Subprocessoren, die je nach Konfiguration Daten zu Gesicht bekommen.

Warum der Server-Standort eine Rolle spielt

Im Juli 2020 hat der Europäische Gerichtshof im Urteil Schrems II das transatlantische Privacy-Shield-Abkommen für ungültig erklärt. Begründung: US-Geheimdienste haben zu weitgehende Zugriffsrechte auf Daten europäischer Bürger:innen, die in den USA verarbeitet werden. Seitdem ist der Transfer personenbezogener Daten in die USA nur unter erschwerten Bedingungen möglich — bei Gesundheitsdaten gilt das umso strenger.

Für Sie als therapiesuchende Person bedeutet das praktisch: Eine Plattform, deren Datenbank in Frankfurt oder Amsterdam steht, unterliegt vollständig der DSGVO. Eine Plattform, die auf US-Cloud-Infrastruktur läuft — etwa Standard-AWS-Regionen in Virginia oder Oregon — bewegt sich in einer Grauzone. Selbst wenn sie mit Standardvertragsklauseln arbeitet, hat das EuGH-Urteil diese als alleinige Schutzmaßnahme als unzureichend eingestuft.

Das Berufsgeheimnis schützt — aber erst ab einem bestimmten Punkt

In Österreich bindet Paragraph 45 Psychotherapiegesetz 2024 Psychotherapeut:innen an eine strenge Verschwiegenheitspflicht. Ein Verstoß ist nach Paragraph 121 Strafgesetzbuch sogar strafbar. Diese Pflicht greift jedoch erst bei der Therapeut:in selbst — die Plattform, über die der Erstkontakt läuft, ist davon nicht erfasst. Sie ist „nur" an die DSGVO gebunden, was ein nennenswert niedrigeres Schutzniveau bedeutet, weil hier keine strafrechtliche Sanktionierung droht, sondern nur datenschutzrechtliche.

Das ist kein Argument gegen Online-Plattformen. Aber es ist ein Argument dafür, sich die Plattform anzusehen, statt blind anzunehmen, dass alle Vermittlungen gleich vertrauenswürdig sind.

Drei Fragen, die eine Plattform schnell qualifizieren

Wenn Sie wissen wollen, wie ernst eine Plattform Datenschutz wirklich nimmt, helfen drei Fragen, die in jeder Datenschutzerklärung oder auf einer „Sicherheit"-Unterseite beantwortbar sein sollten:

Wo steht die Datenbank: Idealerweise in der EU, etwa Frankfurt, Amsterdam oder Paris. „Cloud" allein reicht nicht als Antwort
Was steht in der Benachrichtigungs-E-Mail an die Therapeut:in: Nur ein Login-Link ist deutlich sicherer als der volle Anfrage-Text
Wie lange werden Anfragen gespeichert: Eine automatische Löschung nach 30, 60 oder 90 Tagen ist ein gutes Zeichen. „Unbegrenzt" oder eine Antwort, die diese Frage gar nicht adressiert, ist ein schlechtes

Wir haben auf unserer Sicherheitsseite alle drei Fragen offen beantwortet — das ist nicht selbstverständlich, sollte aber unserer Meinung nach Standard sein.

Ihre Rechte — und wie Sie sie nutzen

Auch wenn Sie den Datenschutzerklärungen einer Plattform zugestimmt haben, behalten Sie zwei wichtige Rechte:

Auskunftsrecht nach Art. 15 DSGVO: Sie können jederzeit eine vollständige Kopie aller über Sie gespeicherten Daten verlangen. Die Plattform muss innerhalb eines Monats antworten, kostenlos
Recht auf Löschung nach Art. 17 DSGVO: Sie können verlangen, dass alle Daten zu Ihrer Person gelöscht werden. Bei sensiblen Gesundheitsdaten ohne legitimen weiteren Zweck — etwa eine aktive Therapie-Anbahnung — muss diese Löschung in der Regel erfolgen

Beide Anfragen lassen sich formlos per E-Mail an die im Impressum angegebene Adresse stellen. Wenn eine Plattform binnen 30 Tagen nicht reagiert oder die Auskunft verweigert, können Sie sich kostenlos an die österreichische Datenschutzbehörde wenden — unter dsb.gv.at werden Beschwerden über mangelhafte Datenverarbeitung untersucht.

Fazit: Vertrauen ist gut, Nachfragen ist besser

Online-Therapeutensuche ist ein riesiger Fortschritt gegenüber dem stundenlangen Durchtelefonieren von Praxen — gerade in Zeiten, in denen viele Menschen lieber niederschwellig per Formular Kontakt aufnehmen als am Telefon. Aber die Bequemlichkeit hat einen Preis: Mehr Stellen sehen Ihre Daten, als wenn Sie direkt anrufen würden.

Die gute Nachricht: Sie haben die Wahl. Eine Plattform, die EU-Hosting, verschlüsselte Speicherung, Benachrichtigungen ohne Inhaltstext und kurze Aufbewahrungsfristen kombiniert, ist im Jahr 2026 technisch problemlos realisierbar — und wer sich an solchen Standards orientiert, bewegt sich auf der sicheren Seite.

Ihre Therapie-Suche ist eine private Angelegenheit. Sie verdient eine Plattform, die das auch technisch so behandelt.

Datenschutz bei der Online-Therapeutensuche: Wer sieht Ihre Anfrage wirklich?

Wenn der erste Satz schon eine Diagnose ist

Was die DSGVO unter Gesundheitsdaten versteht

Die vier Stationen Ihrer Anfrage

Warum der Server-Standort eine Rolle spielt

Das Berufsgeheimnis schützt — aber erst ab einem bestimmten Punkt

Drei Fragen, die eine Plattform schnell qualifizieren

Ihre Rechte — und wie Sie sie nutzen

Fazit: Vertrauen ist gut, Nachfragen ist besser

Finding the Right Path

Sources & Scientific References

You might also like

Therapeut:innen-Profil optimieren: 7 Stellschrauben für mehr qualifizierte Anfragen

Psychotherapeut:in, Psycholog:in, Lebens- und Sozialberater:in: Die Unterschiede in Österreich 2026

Kassenplatz, Wahltherapie oder Selbstzahler? Die richtige Wahl 2026