Loading...
Psychotherapie-Anfragen enthalten besonders schützenswerte Gesundheitsdaten. Auf den meisten Plattformen liegen sie im Klartext in der Datenbank, im E-Mail-Postfach des Anbieters und in den Server-Logs. Bei uns nicht.
Wenn du auf einer Plattform schreibst „Ich suche Hilfe bei einer Trauma-Therapie nach einem sexuellen Übergriff vor 5 Jahren“, ist das eine Information, die in falschen Händen Versicherungsdiskriminierung, Stigmatisierung im Job oder schlicht peinliche Offenlegung im Bekanntenkreis bedeuten kann. Die DSGVO behandelt das deshalb als „besondere Kategorie“ (Art. 9) — die strengste Schutzklasse. Wir bauen unsere Plattform entsprechend, statt es als Standard-Webformular zu behandeln.
Damit Patient-Daten leaken können, müssten ALLE diese Schichten gleichzeitig kompromittiert werden:
Name, E-Mail, Telefonnummer und Nachricht werden mit AES-256-GCM verschlüsselt, bevor sie in die Datenbank geschrieben werden. Selbst bei einem vollständigen DB-Leak sieht ein Angreifer nur Ciphertext. Der Schlüssel liegt ausschließlich in unserer App-Server-Umgebung — niemals bei Datenbank-, Backup- oder anderen Subprocessoren.
Andere Plattformen senden den vollen Anfrage-Text per Mail an die Therapeut:in. Der E-Mail-Dienstleister (z.B. Resend, SendGrid, Mailgun) hat dann den kompletten Inhalt in seinen Mail-Logs. Bei uns enthält die Mail nur einen Login-Link — der Inhalt bleibt verschlüsselt in unserer DB und wird erst nach Login der Therapeut:in entschlüsselt angezeigt.
Ein täglicher Cron-Job durchsucht Anfragen, die älter als 30 Tage sind, und ersetzt Name, E-Mail, Telefonnummer und Nachrichten-Inhalt durch eindeutig markierte Platzhalter. Aggregierte Daten (Anzahl, Thema, Bundesland) bleiben für Statistik-Zwecke erhalten — Patient-Identifizierbarkeit nicht.
Datenbank (Neon, EU), Hosting (Vercel, Frankfurt), E-Mail-Versand (Brevo, Frankreich), Analytics (PostHog, EU). Persönlich identifizierbare Daten erscheinen NICHT in unseren Server-Logs — wir loggen strukturierte IDs, nie Klartext-E-Mails oder Nachrichten-Inhalte.
Was bei uns Standard ist — und was auf den meisten vergleichbaren Plattformen üblich.
| Sicherheits-Aspekt | So sollte es sein MatchYourTherapy | Typisch auf anderen Plattformen |
|---|---|---|
| Anfrage-Inhalt in der Datenbank | AES-256-GCM verschlüsselt | Klartext |
| Inhalt in der E-Mail an Therapeut:in | Nur Login-Link, kein Inhalt | Voller Inhalt im Mail-Body |
| Aufbewahrung des Klartext-Inhalts | Automatisch gelöscht nach 30 Tagen | Häufig unbegrenzt |
| Server-Standort der DB | EU (Frankfurt) | Oft USA |
| Persönliche Daten in Server-Logs | Redacted (nur IDs) | Oft Klartext |
| Tracking-Cookies | Nur nach aktiver Einwilligung | Oft auto-aktiviert |
| Account-Löschung räumt auch Marketing-Listen | Vollständig + automatisch | Oft nur User-Tabelle |
MatchYourTherapy
AES-256-GCM verschlüsselt
Typisch auf anderen Plattformen
Klartext
MatchYourTherapy
Nur Login-Link, kein Inhalt
Typisch auf anderen Plattformen
Voller Inhalt im Mail-Body
MatchYourTherapy
Automatisch gelöscht nach 30 Tagen
Typisch auf anderen Plattformen
Häufig unbegrenzt
MatchYourTherapy
EU (Frankfurt)
Typisch auf anderen Plattformen
Oft USA
MatchYourTherapy
Redacted (nur IDs)
Typisch auf anderen Plattformen
Oft Klartext
MatchYourTherapy
Nur nach aktiver Einwilligung
Typisch auf anderen Plattformen
Oft auto-aktiviert
MatchYourTherapy
Vollständig + automatisch
Typisch auf anderen Plattformen
Oft nur User-Tabelle
Wir sagen das nicht, weil wir müssen — sondern weil ehrliche Aufklärung mehr Vertrauen schafft als Übersprechen. Du sollst wissen, wo wir helfen und wo wir es nicht können.
Sobald die Mail-Benachrichtigung im Postfach der Therapeut:in landet, sind wir nicht mehr im Spiel. Wenn ihr Mail-Account übernommen wird, kann der Angreifer den Login-Link nutzen — sie müsste sich aber bei uns einloggen können (2FA-fähig). Das Berufsgeheimnis (§ 45 PthG 2024) liegt ohnehin bei ihr.
Der Verschlüsselungsschlüssel liegt als Umgebungsvariable auf unserem App-Server. Wer Vercel-Login + 2FA gleichzeitig kompromittiert, könnte den Schlüssel lesen und alle Anfragen der letzten 30 Tage entschlüsseln. Mitigiert durch: hartes 2FA auf allen unseren Service-Accounts, Audit-Logs intern, kurze Retention.
Echte Zero-Knowledge wäre nur möglich, wenn du als Patient:in einen Schlüssel pro Anfrage erzeugst und nur deiner Therapeut:in zugänglich machst. Das ist UX-aufwendig (Browser-Cryptography, Schlüssel-Recovery, Mobile-Sync) und nicht implementiert. Wir tragen das Risiko, dass unser Server vertrauenswürdig sein muss — und gehen damit transparent um.
Du willst genau wissen, was wir tun? Die Datenschutzerklärung listet alle Subprocessoren mit Standort, Rechtsgrundlage und Schutzmaßnahmen auf. Im AVV (Auftragsverarbeitungsvertrag) findest du die vertraglichen Details für Therapeut:innen.
Wir sind dankbar für verantwortungsvolle Hinweise. Schreib uns an support@matchyourtherapy.at — wir antworten innerhalb von 24 Stunden.
Du musst dich nicht entscheiden zwischen „Hilfe suchen“ und „meine Daten schützen“. Bei uns geht beides.