Rechtliches

Datenschutzerklärung

Gemäß DSGVO und österreichischem Datenschutzgesetz

1. Verantwortliche Stelle

(1) Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) ist:

Rehavio e.U.
Seitenstettengasse 5/37
1010 Wien

E-Mail: datenschutz@rehavio.at
Website: rehavio.at

2. Überblick

(1) Rehavio ist eine digitale Verwaltungs- und Kommunikationsplattform für Physiotherapeut:innen im DACH-Raum. Die Plattform ermöglicht es Therapeut:innen, individuelle Übungspläne mit Videos zu erstellen und diese über eine App an ihre Patient:innen zu übermitteln.

(2) Rehavio ist kein Medizinprodukt im Sinne der jeweils anwendbaren Medizinprodukteverordnung (MDR oder MepV für Schweiz und Liechtenstein). Die fachliche Verantwortung für Übungen und Übungspläne liegt ausschließlich bei der jeweiligen Therapeut:in.

(3) Rehavio richtet sich ausschließlich an Unternehmer:innen im Sinne des § 1 UGB (Österreichisches Unternehmensgesetzbuch).

3. Welche Daten wir verarbeiten

3.1 Therapeut:innen (Vertragspartner)

(1) Bei der Registrierung und Nutzung des Therapeuten-Web-Dashboards verarbeiten wir:

  • Name und E-Mail-Adresse
  • Passwort (gehasht gespeichert, kein Klartext)
  • Praxisname und Kontaktdaten (optional)
  • Zahlungsdaten (Mandats-ID, Kunden-ID) über unseren Zahlungsdienstleister Mollie
  • Rechnungsdaten (Name, Adresse, Betrag) über Easybill
  • Gerät-Fingerprint beim ersten Login (zur Missbrauchsprävention)
  • Aktivitätsdaten (Anzahl aktiver Patient:innen, Planaktivitäten)

3.2 Patient:innen (indirekte Nutzer:innen)

(1) Patient:innen werden ausschließlich durch ihre Therapeut:in ongeboardet (via QR-Code) und haben kein eigenes Konto bei Rehavio. Folgende Daten werden verarbeitet:

  • Eindeutiger QR-Code-Token zur Verknüpfung mit der Therapeut:in
  • Übungsabschlüsse (Completions) mit Zeitstempel
  • Sätze und Timer-Daten pro Übung
  • Optionale Intensitätsangaben (1–3 Skala, gelegentlich abgefragt)
  • Push-Notification-Token (für Erinnerungen, sofern vom Gerät erteilt)

(2) Da Rehavio im Kontext physiotherapeutischer Behandlungen genutzt wird, können die verarbeiteten Daten als Gesundheitsdaten im Sinne von Art. 9 DSGVO einzustufen sein. Die Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten liegt bei der Therapeut:in als datenschutzrechtlich Verantwortlicher. Im Auftragsverarbeitungsvertrag zwischen Rehavio und der Therapeut:in wird die Verarbeitung von Art. 9-Daten explizit geregelt.

3.3 Datenzugriff im Team-/Praxistarif

(1) Im Team-Tarif können mehrere Therapeut:innen unter einem gemeinsamen Praxiskonto arbeiten. Die Praxisinhaber:in kann optional eine geteilte Patientensicht aktivieren, bei der alle Therapeut:innen der Praxis Patientendaten und Übungsabschlüsse der gesamten Praxis einsehen können. Diese Funktion ist standardmäßig deaktiviert.

(2) Ist die geteilte Patientensicht aktiviert, können alle Therapeut:innen innerhalb desselben Praxiskontos die Daten der gemeinsamen Patient:innen einsehen. Therapeut:innen anderer Praxen haben weiterhin keinen Zugriff.

(3) Die Verantwortung für die datenschutzkonforme Nutzung dieser Funktion – insbesondere die Information der Patient:innen über die erweiterte Datenzugänglichkeit innerhalb der Praxis – liegt bei der Praxisinhaber:in.

3.4 Medien

(1) Rehavio unterscheidet zwei Medienkategorien mit unterschiedlichen Speicherkonzepten:

(2) Therapeutenmedien (dauerhaft): Videos und Fotos, die Therapeut:innen selbst aufnehmen und hochladen (z. B. Demonstrationsvideos für Übungen). Diese enthalten keinen Personenbezug zu Patient:innen und werden dauerhaft gespeichert, damit sie für mehrere Patient:innen wiederverwendet werden können.

(3) Patientenmedien (temporär): Körperfotos oder Bewegungsvideos, die vom Patienten selbst oder von der Therapeut:in aufgenommen wurden. Diese werden nach erfolgreichem Download auf das Patientengerät automatisch und unwiderruflich von unseren Servern gelöscht. Eine dauerhafte Speicherung auf Rehavio-Servern findet nicht statt.

4. Rechtsgrundlagen der Verarbeitung

(1) Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen gemäß DSGVO:

  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung – Verarbeitung zur Bereitstellung der Rehavio-Dienste
  • Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtung – z. B. Aufbewahrungspflichten für Rechnungen gemäß § 132 BAO (7 Jahre)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen – z. B. Missbrauchsprävention und Sicherheitsmaßnahmen
  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung – sofern ausdrücklich erteilt (z. B. Push-Notifications)

5. Datenspeicherung und Sicherheit

5.1 Speicherort

(1) Alle Daten werden ausschließlich auf Servern innerhalb der Europäischen Union gespeichert. Die Datenbankinfrastruktur (Self-Hosted Supabase) betreiben wir auf dedizierten Servern bei Hetzner Online GmbH mit Standort in Deutschland. Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU findet nicht statt.

5.2 Technische Sicherheitsmaßnahmen

  • Verschlüsselte Übertragung aller Daten via HTTPS/TLS
  • Row Level Security (RLS) auf Datenbankebene: Therapeut:in A kann niemals Daten von Therapeut:in B einsehen
  • Patient:innen sehen ausschließlich Übungen ihrer eigenen Therapeut:innen
  • Passwörter werden gehasht und niemals im Klartext gespeichert
  • Zugriffsprotokolle zur Erkennung unberechtigter Zugriffe
  • Verschlüsselung der gespeicherten Daten (Encryption at Rest) auf Serverebene durch Hetzner Online GmbH

5.3 Datentrennung

(1) Rehavio verwendet eine strikte Datentrennung: Jede Therapeut:in sieht ausschließlich ihre eigenen Patient:innen und deren Übungsabschlüsse. Eine Einsicht in fremde Patientendaten ist technisch ausgeschlossen, sofern nicht im Team-Tarif eine geteilte Patientensicht aktiv freigeschaltet wurde (siehe Abschnitt 3.3).

6. Aufbewahrungsfristen

  • Kontodaten von Therapeut:innen: Für die Dauer des Vertragsverhältnisses, danach 3 Jahre (allgemeine Verjährungsfrist gemäß § 1478 ABGB)
  • Rechnungs- und Zahlungsdaten: 7 Jahre (gesetzliche Aufbewahrungspflicht gemäß § 132 BAO)
  • Patientenmedien (Fotos/Videos vom Patienten): Automatische Löschung nach erfolgreichem Download
  • Therapeutenmedien: Dauerhaft bis zur aktiven Löschung durch die Therapeut:in oder Kontolöschung
  • Übungsabschlüsse (Completions): Für die Dauer des Therapeuten-Patienten-Verhältnisses

7. Dienstleister und Auftragsverarbeiter

Wir setzen Dienstleister ein, mit denen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO bestehen.

8. Ihre Rechte als betroffene Person

Gemäß DSGVO und DSG haben Sie folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht zu erfahren, welche Daten wir über Sie verarbeiten.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenportabilität (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@rehavio.at oder besuchen Sie: rehavio.at/dsgvo/auskunft

Sie haben zudem das Recht, Beschwerde bei der österreichischen Datenschutzbehörde (DSB) einzulegen:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
dsb@dsb.gv.at | www.dsb.gv.at

9. Patient:innen – besondere Hinweise

Da Patient:innen kein eigenes Konto bei Rehavio haben, sind deren datenschutzrechtliche Anfragen in Bezug auf Patientendaten ausschließlich an deren Therapeut:in zu richten.

Die Verantwortung für die Rechtmäßigkeit der gesamten Datenerhebung von Patient:innen – insbesondere die Einholung etwaiger Einwilligungen für die Aufnahme von Körperfotos und -videos – liegt bei der jeweiligen Therapeut:in.

10. Cookies und Tracking

Die Therapeuten-Web-App verwendet technisch notwendige Cookies für Session-Management und Authentifizierung. Analyse-Cookies oder Marketing-Cookies werden nicht eingesetzt.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Registrierte Therapeut:innen werden über wesentliche Änderungen per E-Mail informiert. Die aktuelle Version ist stets auf unserer Website abrufbar.

12. Kontakt

Bei datenschutzrechtlichen Fragen oder zur Ausübung Ihrer Rechte:

Rehavio e.U.
Seitenstettengasse 5/37
1010 Wien

E-Mail: datenschutz@rehavio.at

Rehavio e.U. | Seitenstettengasse 5/37, 1010 Wien | datenschutz@rehavio.at
Stand: April 2026

Nutzen Sie die Rehavio-App als Patient:in? Zur App-Datenschutzerklärung