Zum Hauptinhalt springenZur Navigation springen
matchyourtherapymatchyourtherapy
MatchingTherapeut:innenWissen
Loading...
MatchYourTherapy Logomatchyourtherapy

Finde die richtige Psychotherapie in Österreich, anonym, kostenlos und verständlich.

Navigation

  • Startseite
  • Über uns
  • Therapeut:innen finden
  • Nach Ort
  • Nach Thema
  • Wissen & Selbsthilfe
  • Preise für Therapeut:innen

Rechtliches

  • Sicherheit
  • Datenschutz
  • Nutzungsbedingungen
  • Impressum
  • Auftragsverarbeitung (AVV)
  • Barrierefreiheit

Kontakt

  • info@matchyourtherapy.at
  • Instagram (öffnet in neuem Tab)

In einer akuten Krise? Hilfe ist sofort erreichbar.

Wenn du oder eine andere Person in akuter Gefahr seid, wende dich JETZT an eine dieser Stellen, sie sind rund um die Uhr kostenlos erreichbar.

  • 142 — Telefonseelsorge (24/7)
  • 147 — Rat auf Draht (Kinder & Jugendliche)
  • 0800 222 555 — Frauenhelpline gegen Gewalt
  • 144 — Rettung / Notruf
Alle Notrufnummern ansehen →

© 2026 MatchYourTherapy. Alle Rechte vorbehalten.

Mit in Österreich entwickelt

Verschlüsselt + DSGVO-konform

Deine Anfrage ist verschlüsselt. Immer.

Psychotherapie-Anfragen enthalten besonders schützenswerte Gesundheitsdaten. Auf den meisten Plattformen liegen sie im Klartext in der Datenbank, im E-Mail-Postfach des Anbieters und in den Server-Logs. Bei uns nicht.

AES-256-GCMDSGVO Art. 9EU-Server30-Tage-Löschung

Warum das bei uns anders ist

Wenn du auf einer Plattform schreibst „Ich suche Hilfe bei einer Trauma-Therapie nach einem sexuellen Übergriff vor 5 Jahren“, ist das eine Information, die in falschen Händen Versicherungsdiskriminierung, Stigmatisierung im Job oder schlicht peinliche Offenlegung im Bekanntenkreis bedeuten kann. Die DSGVO behandelt das deshalb als „besondere Kategorie“ (Art. 9), die strengste Schutzklasse. Wir bauen unsere Plattform entsprechend, statt es als Standard-Webformular zu behandeln.

Vier Schutzschichten, übereinandergelegt

Damit Patient-Daten leaken können, müssten ALLE diese Schichten gleichzeitig kompromittiert werden:

1

AES-256-GCM Verschlüsselung in der Datenbank

Name, E-Mail, Telefonnummer und Nachricht werden mit AES-256-GCM verschlüsselt, bevor sie in die Datenbank geschrieben werden. Selbst bei einem vollständigen DB-Leak sieht ein Angreifer nur Ciphertext. Der Schlüssel liegt ausschließlich in unserer App-Server-Umgebung, niemals bei Datenbank-, Backup- oder anderen Subprocessoren.

2

E-Mail an Therapeut:in enthält keinen Inhalt

Andere Plattformen senden den vollen Anfrage-Text per Mail an die Therapeut:in. Der E-Mail-Dienstleister (z.B. SendGrid, Mailgun) hat dann den kompletten Inhalt in seinen Mail-Logs. Bei uns enthält die Mail nur einen Login-Link, der Inhalt bleibt verschlüsselt in unserer DB und wird erst nach Login der Therapeut:in entschlüsselt angezeigt.

3

Automatische Löschung nach 30 Tagen

Ein täglicher Cron-Job durchsucht Anfragen, die älter als 30 Tage sind, und entfernt Name, E-Mail, Telefonnummer und Nachrichten-Inhalt ebenso wie die Angaben zu Themen, Schweregrad und PLZ-Region. Zurück bleibt nur ein pseudonymer Rest (Therapeut-ID, Zeitstempel, Match-Score und technische Status-Merkmale), der 12 Monate nach der Anonymisierung vollständig gelöscht wird.

4

EU-Infrastruktur + redaktierte Logs

Datenbank (Neon, EU), Hosting (Vercel, Frankfurt), E-Mail-Versand (Brevo, Frankreich), Analytics (PostHog, EU). Persönlich identifizierbare Daten erscheinen NICHT in unseren Server-Logs, wir loggen strukturierte IDs, nie Klartext-E-Mails oder Nachrichten-Inhalte.

Im Vergleich

Was bei uns Standard ist, und was auf den meisten vergleichbaren Plattformen üblich.

Sicherheits-Aspekt
So sollte es sein
MatchYourTherapy
Typisch auf anderen Plattformen
Anfrage-Inhalt in der DatenbankAES-256-GCM verschlüsseltKlartext
Inhalt in der E-Mail an Therapeut:inNur Login-Link, kein InhaltVoller Inhalt im Mail-Body
Aufbewahrung des Klartext-InhaltsAutomatisch gelöscht nach 30 TagenHäufig unbegrenzt
Server-Standort der DBEU (Frankfurt)Oft USA
Persönliche Daten in Server-LogsRedacted (nur IDs)Oft Klartext
Tracking-CookiesNur nach aktiver EinwilligungOft auto-aktiviert
Account-Löschung räumt auch Marketing-ListenVollständig + automatischOft nur User-Tabelle

Anfrage-Inhalt in der Datenbank

MatchYourTherapy

AES-256-GCM verschlüsselt

Typisch auf anderen Plattformen

Klartext

Inhalt in der E-Mail an Therapeut:in

MatchYourTherapy

Nur Login-Link, kein Inhalt

Typisch auf anderen Plattformen

Voller Inhalt im Mail-Body

Aufbewahrung des Klartext-Inhalts

MatchYourTherapy

Automatisch gelöscht nach 30 Tagen

Typisch auf anderen Plattformen

Häufig unbegrenzt

Server-Standort der DB

MatchYourTherapy

EU (Frankfurt)

Typisch auf anderen Plattformen

Oft USA

Persönliche Daten in Server-Logs

MatchYourTherapy

Redacted (nur IDs)

Typisch auf anderen Plattformen

Oft Klartext

Tracking-Cookies

MatchYourTherapy

Nur nach aktiver Einwilligung

Typisch auf anderen Plattformen

Oft auto-aktiviert

Account-Löschung räumt auch Marketing-Listen

MatchYourTherapy

Vollständig + automatisch

Typisch auf anderen Plattformen

Oft nur User-Tabelle

Was wir nicht versprechen können

Marketing-Sprech ist oft „100% sicher“, das ist nicht ehrlich. Hier sind die Grenzen unseres Schutzes:

Wir sagen das nicht, weil wir müssen, sondern weil ehrliche Aufklärung mehr Vertrauen schafft als Übersprechen. Du sollst wissen, wo wir helfen und wo wir es nicht können.

1

Das E-Mail-Postfach der Therapeut:in

Sobald die Mail-Benachrichtigung im Postfach der Therapeut:in landet, sind wir nicht mehr im Spiel. Wenn ihr Mail-Account übernommen wird, kann der Angreifer den Login-Link nutzen, sie müsste sich aber bei uns einloggen können (2FA-fähig). Das Berufsgeheimnis (§ 45 PthG 2024) liegt ohnehin bei ihr.

2

Vollständige Kompromittierung unseres Servers

Der Verschlüsselungsschlüssel liegt als Umgebungsvariable auf unserem App-Server. Wer Vercel-Login + 2FA gleichzeitig kompromittiert, könnte den Schlüssel lesen und alle Anfragen der letzten 30 Tage entschlüsseln. Mitigiert durch: hartes 2FA auf allen unseren Service-Accounts, Audit-Logs intern, kurze Retention.

3

End-to-End-Encryption (Patient-Side-Keys)

Echte Zero-Knowledge wäre nur möglich, wenn du als Patient:in einen Schlüssel pro Anfrage erzeugst und nur deiner Therapeut:in zugänglich machst. Das ist UX-aufwendig (Browser-Cryptography, Schlüssel-Recovery, Mobile-Sync) und nicht implementiert. Wir tragen das Risiko, dass unser Server vertrauenswürdig sein muss, und gehen damit transparent um.

Für die Technik-Interessierten

Du willst genau wissen, was wir tun? Die Datenschutzerklärung listet alle Subprocessoren mit Standort, Rechtsgrundlage und Schutzmaßnahmen auf. Im AVV (Auftragsverarbeitungsvertrag) findest du die vertraglichen Details für Therapeut:innen.

DatenschutzerklärungAVV ansehen

Sicherheitslücke gefunden?

Wir sind dankbar für verantwortungsvolle Hinweise. Schreib uns an support@matchyourtherapy.at, wir antworten innerhalb von 24 Stunden.

Jetzt mit gutem Gefühl Therapie finden.

Du musst dich nicht entscheiden zwischen „Hilfe suchen“ und „meine Daten schützen“. Bei uns geht beides.

Therapeut:in findenWie funktioniert das Matching?
AES-256-GCM
DSGVO Art. 9
EU-Server
30-Tage-Löschung