Zum Hauptinhalt springen
Rechtliches

Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG 2018) ist:

Rechenkraft GmbH

Höhengasse 18a

2391 Kaltenleutgeben

Österreich

UID-Nummer: ATU65954899

E-Mail: datenschutz@befundbote.at

2. Datenschutzbeauftragter

Gemäß Art. 37 DSGVO haben wir aufgrund der Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) einen Datenschutzbeauftragten benannt:

Mag. Jakob Perz

E-Mail: hallo@befundbote.at

Sie können sich jederzeit mit datenschutzrechtlichen Anliegen direkt an unseren Datenschutzbeauftragten wenden.

3. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Erbringung unserer Leistungen erforderlich ist oder eine gesetzliche Grundlage besteht. Die Datenverarbeitung erfolgt nach den Grundsätzen der DSGVO:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a DSGVO)
  • Zweckbindung – Daten werden nur für den angegebenen Zweck erhoben (Art. 5 Abs. 1 lit. b DSGVO)
  • Datenminimierung – wir erheben nur die notwendigen Daten (Art. 5 Abs. 1 lit. c DSGVO)
  • Speicherbegrenzung – Daten werden nach Wegfall des Zwecks gelöscht (Art. 5 Abs. 1 lit. e DSGVO)
  • Integrität und Vertraulichkeit – technische und organisatorische Schutzmaßnahmen (Art. 5 Abs. 1 lit. f DSGVO)

4. Website-Besuch

Beim Aufruf dieser Website werden durch Ihren Browser automatisch technische Daten an unseren Webserver übermittelt und in Server-Logs gespeichert:

  • IP-Adresse (anonymisiert nach 24 Stunden)
  • Datum und Uhrzeit des Abrufs
  • Aufgerufene URL
  • Referrer-URL (zuvor besuchte Seite, sofern übermittelt)
  • Browser-Typ und Betriebssystem
  • HTTP-Statuscode

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Systemsicherheit und Fehleranalyse).

Speicherdauer: Server-Logs werden nach 7 Tagen automatisch gelöscht.

Wir setzen keinerlei Tracking- oder Analyse-Tools (z. B. Google Analytics), keine Werbe-Netzwerke und keine Social-Media-Plugins ein. Es werden keine Cookies gesetzt, die eine Identifizierung oder Profilbildung ermöglichen.

5. Kontaktformular

Über das Kontaktformular auf /kontakt können Arztpraxen eine Demo anfragen oder Fragen stellen. Dabei werden folgende Daten erhoben:

  • Name (Vorname, Nachname)
  • Name der Arztpraxis
  • E-Mail-Adresse
  • Nachrichteninhalt

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person).

Speicherdauer: Kontaktanfragen werden für 6 Monate gespeichert und danach datenschutzkonform gelöscht, sofern kein Vertrag zustande gekommen ist.

Ihre Angaben werden ausschließlich zur Beantwortung Ihrer Anfrage verwendet und nicht an Dritte weitergegeben.

6. Plattformnutzung (Arztpraxis)

Für die Nutzung der Befundbote-Plattform als Arztpraxis wird ein Nutzerkonto angelegt. Dabei verarbeiten wir folgende Daten:

  • Name der verantwortlichen Ärztin / des verantwortlichen Arztes
  • Bezeichnung und Adresse der Arztpraxis
  • Ordinationskennung (LANR/Arztnummer, sofern angegeben)
  • E-Mail-Adresse (Zugangsdaten)
  • Vertragsdaten (Lizenzlaufzeit, Rechnungsanschrift)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Aufbewahrungspflichten).

Speicherdauer: Vertragsdaten werden für die Dauer der Geschäftsbeziehung sowie für 7 Jahre nach Vertragsende gemäß den steuerrechtlichen Aufbewahrungsfristen (§ 132 BAO) gespeichert.

7. ID Austria-Authentifizierung

Patienten melden sich bei Befundbote ausschließlich über ID Austria an – Österreichs staatliches digitales Identitätssystem. Es wird kein separates Benutzerkonto oder Passwort erstellt.

7.1 Wie die Authentifizierung funktioniert

Der Authentifizierungsvorgang wird durch die e-Government-Infrastruktur der Republik Österreich abgewickelt, die vom Bundesrechenzentrum GmbH (BRZ GmbH) betrieben wird. Befundbote erhält nach erfolgreicher Authentifizierung ausschließlich folgende bestätigte Identitätsdaten:

  • Vorname und Nachname
  • Geburtsdatum
  • Bereichsspezifisches Personenkennzeichen (bPK) – ein pseudonymisierter, anwendungsspezifischer Identifikator, der sektorübergreifend nicht verknüpft werden kann

Zugangsdaten (PIN, Smartphone-Schlüssel) des ID-Austria-Kontos werden nicht an Befundbote übermittelt und liegen Befundbote zu keinem Zeitpunkt vor.

7.2 Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Identitätsverifikation zur sicheren Zustellung medizinischer Befunde) sowie Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung zur Verarbeitung von Gesundheitsdaten, die im Zusammenhang mit der Befundübermittlung stehen).

7.3 Datenschutzerklärung von ID Austria

Für die Verarbeitung durch die staatliche ID-Austria-Infrastruktur ist das Bundesministerium für Digitalisierung und Wirtschaftsstandort (BMDW) der gesonderte datenschutzrechtliche Verantwortliche. Deren Datenschutzinformationen finden Sie unter www.id.austria.gv.at.

8. Gesundheitsdaten und Befundübermittlung

Befunddaten (z. B. Laborbefunde, Bildgebungen, Arztbriefe) sind besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (Gesundheitsdaten). Wir verarbeiten diese nur unter strengen Voraussetzungen.

8.1 Welche Daten verarbeitet werden

  • Vom Arzt hochgeladene Befunddokumente (PDF, DICOM, JPEG und andere Formate)
  • Zuordnung zum Patienten anhand des bPK (ID Austria-Kennzeichen)
  • Metadaten: Hochladezeitpunkt, Befund-Typ, Ablaufdatum
  • Abrufprotokoll (Zeitpunkt des Befundabrufs durch den Patienten)

8.2 Rechtsgrundlagen

  • Art. 9 Abs. 2 lit. a DSGVO – ausdrückliche Einwilligung des Patienten vor dem erstmaligen Abruf eines Befundes
  • Art. 9 Abs. 2 lit. h DSGVO – Verarbeitung im Rahmen der medizinischen Versorgung durch die behandelnde Arztpraxis
  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung gegenüber der Arztpraxis

8.3 Technische Schutzmaßnahmen

  • Ende-zu-Ende-Verschlüsselung (AES-256) aller Befunddateien
  • Befunde sind ausschließlich für den authentifizierten Patienten zugänglich
  • Vollständiges Audit-Log aller Zugriffe (wer, wann, was abgerufen hat)
  • Automatische Löschung nach Ablauf der von der Praxis konfigurierten Frist

8.4 Speicherdauer

Befunddaten werden auf der Plattform gespeichert, bis die Arztpraxis sie löscht oder die konfigurierte Aufbewahrungsfrist abläuft. Nach Vertragsende der Arztpraxis werden alle zugehörigen Befunddaten spätestens nach 30 Tagen unwiderruflich gelöscht. Auf Anfrage wird der Arztpraxis vorab ein vollständiger Datenexport zur Verfügung gestellt.

8.5 Widerruf der Einwilligung

Patienten können ihre Einwilligung zur Verarbeitung von Gesundheitsdaten jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Nach Widerruf werden Befunddaten des Patienten gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

9. Auftragsverarbeiter

Wir setzen folgende Dienstleister ein, mit denen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen wurden:

Dienstleister Zweck Sitz
BunnyWay d.o.o.
(bunny.net) 		Hosting, Speicherung, CDN Slowenien (EU)
Bundesrechenzentrum GmbH
(BRZ GmbH) 		ID Austria-Authentifizierungsinfrastruktur Österreich

Alle eingesetzten Auftragsverarbeiter haben ihren Sitz in der Europäischen Union und sind vertraglich verpflichtet, personenbezogene Daten ausschließlich entsprechend unserer Weisungen und nach Maßgabe der DSGVO zu verarbeiten.

10. Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) findet nicht statt. Alle Daten werden ausschließlich innerhalb der EU/EWR verarbeitet und gespeichert.

11. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO)

Sie können Auskunft darüber verlangen, welche Daten wir von Ihnen verarbeiten, zu welchen Zwecken und an wen sie ggf. weitergegeben werden.

Berichtigungsrecht (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.

Löschungsrecht (Art. 17 DSGVO)

Sie können unter bestimmten Voraussetzungen die Löschung Ihrer Daten verlangen (Recht auf Vergessenwerden), z. B. wenn der Verarbeitungszweck entfallen ist oder Sie eine Einwilligung widerrufen.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können in bestimmten Fällen die Einschränkung der Verarbeitung verlangen, z. B. während der Prüfung der Richtigkeit Ihrer Daten.

Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übertragen.

Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten widersprechen, soweit die Verarbeitung auf Basis eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) erfolgt.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung beruht (insbesondere bei Gesundheitsdaten), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Ihre Anfrage richten Sie an:

datenschutz@befundbote.at

Wir beantworten Anfragen gemäß Art. 12 DSGVO innerhalb von einem Monat.

12. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich gemäß Art. 77 DSGVO bei der zuständigen österreichischen Datenschutzbehörde zu beschweren:

Österreichische Datenschutzbehörde (DSB)

Barichgasse 40–42

1030 Wien

E-Mail: dsb@dsb.gv.at

Telefon: +43 1 52 152-0

Website: www.dsb.gv.at

Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechts- oder Rechtsprechungslage, neuer Verarbeitungstätigkeiten oder behördlicher Hinweise anzupassen. Die aktuelle Version ist stets unter befundbote.at/datenschutz abrufbar. Für wesentliche Änderungen, die Nutzer der Plattform betreffen, werden wir Sie gesondert informieren.

Zuletzt aktualisiert: Juni 2026