← Zurück

Datenschutz

Datenschutz

Datenschutzerklärung

Diese Erklärung beschreibt, welche personenbezogenen Daten MedPrüf erhebt, auf welcher Rechtsgrundlage wir sie verarbeiten, mit welchen Auftragsverarbeitern wir sie teilen und welche Rechte Sie nach der DSGVO und dem österreichischen DSG haben.

Zuletzt aktualisiert: 22. April 2026

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

[Vorläufig: MedPrüf / NeuraScale — Rechtsform wird bei Registrierung der österreichischen Niederlassung finalisiert]
Inhaber: Omar G. Nagy
Anschrift: wird bei Launch finalisiert (siehe /impressum)
E-Mail: privacy@medpruf.com (vorläufig auch: omar@medpruf.com)
Allgemeiner Kontakt: contact@medpruf.com

Für den laufenden Betrieb ist kein verpflichtender Datenschutzbeauftragter bestellt (Art. 37 DSGVO); für alle Datenschutzanliegen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

2. Welche Daten wir erheben

2.1 Kontodaten

  • E-Mail-Adresse und Passwort (gehasht mit bcrypt) bei Registrierung über das Login-Formular.
  • Telegram-ID, Vorname, optional Benutzername und Profilbild-URL, wenn Sie sich über den Telegram-Bot oder die Mini-App anmelden.
  • Von Ihnen freiwillig angegebene Felder: Prüfungsdatum, tägliches Lernziel, bevorzugte Prüfungsart.

2.2 Lern- und Nutzungsdaten

  • Beantwortete Fragen, Antworten, richtig/falsch, Zeitaufwand, XP, Streaks, Lesezeichen, Notizen, Markierungen, Meldungen zu Fragen.
  • Feedback- und Supportnachrichten, die Sie über das In-App-Feedback-Widget senden.

2.3 Zahlungsdaten

  • Bei kostenpflichtigen Tarifen (Pro, Group): Rechnungsname, -adresse und Transaktions-ID. Kartendaten verarbeiten wir niemals selbst; diese werden ausschließlich durch einen zertifizierten Zahlungsdienstleister (Stripe — Integration in Vorbereitung) entgegengenommen.

2.4 Technische Daten

  • IP-Adresse (gekürzt/anonymisiert sobald technisch möglich), Browser, Betriebssystem, Bildschirmauflösung, Zeitzone, Referrer, Request-Zeitstempel.
  • Bei Fehlern: Stack-Traces und App-Kontext (nur bei tatsächlichem Laufzeitfehler) via Sentry.

2.5 Analysedaten (einwilligungspflichtig)

  • Nur nach Ihrer aktiven Zustimmung über das Cookie-Banner: aggregierte Seitenaufrufe, Sitzungsdauer, Klickpfade (Google Analytics 4) sowie Heatmaps und Sitzungswiedergaben ohne Erfassung von Passwörtern und Zahlungseingaben (Microsoft Clarity).

3. Zu welchen Zwecken wir Ihre Daten verarbeiten (Art. 6 DSGVO)

3.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

  • Bereitstellung des Nutzerkontos, Authentifizierung und Speicherung Ihres Lernfortschritts.
  • Abwicklung kostenpflichtiger Pro- und Group-Tarife einschließlich Rechnungsstellung.

3.2 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

  • Fehler- und Absturzüberwachung via Sentry zur Sicherstellung eines stabilen Dienstes.
  • Schutz vor Missbrauch, Betrug und Rate-Limit-Umgehung (z.B. anonymisiertes IP-Logging bei Login-Versuchen).
  • Aggregierte, anonymisierte Produktverbesserung (z.B. welche Fragen am häufigsten gemeldet werden).

3.3 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

  • Ausspielen von Google Analytics 4 und Microsoft Clarity erst nach Bestätigung des Cookie-Banners.
  • Versand von Marketing- oder Produkt-News-E-Mails (Opt-In, jederzeit widerrufbar).

3.4 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

  • Aufbewahrung von Rechnungs- und Buchhaltungsdaten gem. § 132 BAO (österreichische Bundesabgabenordnung, 7 Jahre; vorsorglich 10 Jahre).
  • Beantwortung behördlicher Auskunftsersuchen.

4. Mit wem wir Daten teilen

Wir verkaufen oder vermieten Ihre Daten nicht. Wir setzen ausschließlich die folgenden Auftragsverarbeiter und Sub-Prozessoren ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO, und bei Anbietern außerhalb des EWR zusätzlich Standardvertragsklauseln (SCCs) nach Art. 46 DSGVO.

Supabase

Zweck: Datenbank (Konto- und Lernfortschrittsdaten), Objektspeicher (Fragebilder).

Rechtsträger: Supabase Inc., USA — EU-Region (Frankfurt).

Datenschutz: supabase.com/privacy

Vercel

Zweck: Hosting der Webanwendung und API-Routen, Edge-Caching.

Rechtsträger: Vercel Inc., USA — EU-Edge-Knoten. SCCs in Kraft.

Datenschutz: vercel.com/legal/privacy-policy

Sentry

Zweck: Fehler- und Absturzüberwachung (Stack-Traces, Anfrage-Kontext, User-ID als Hash).

Rechtsträger: Functional Software, Inc. (Sentry), USA — EU-Ingest-Endpunkt (de.sentry.io).

Datenschutz: sentry.io/privacy

OpenAI

Zweck: KI-gestützte Erklärungen und Übersetzungen (Fallback-Modell für /api/ai-chat und /api/translate).

Rechtsträger: OpenAI OpCo, LLC, USA. SCCs in Kraft; API-Eingaben werden nicht für Modelltraining verwendet.

Datenschutz: openai.com/policies/privacy-policy

Anthropic

Zweck: KI-gestützte Erklärungen und Übersetzungen (primäres Modell für /api/ai-chat und /api/translate).

Rechtsträger: Anthropic PBC, USA. SCCs in Kraft; API-Eingaben werden nicht für Modelltraining verwendet.

Datenschutz: anthropic.com/legal/privacy

Zoho Mail

Zweck: Ausgehender E-Mail-Versand (z.B. Antworten auf Feedback, Benachrichtigungen zu gemeldeten Fragen) über omar@medpruf.com.

Rechtsträger: Zoho Corporation, Indien (EU-Rechenzentrum verfügbar).

Datenschutz: zoho.com/privacy

Telegram

Zweck: Login per Telegram-Bot (Deep-Link) und Mini-App, Push-Benachrichtigungen.

Rechtsträger: Telegram FZ-LLC, Vereinigte Arabische Emirate. Nur übermittelt: Telegram-ID, Vorname, optional Benutzername.

Datenschutz: telegram.org/privacy

Google Analytics 4

Zweck: Aggregierte Nutzungsanalyse (Seitenaufrufe, Sitzungsdauer) — lädt nur nach Einwilligung.

Rechtsträger: Google LLC, USA (EU-Daten über Google Ireland Ltd.). SCCs + IP-Anonymisierung aktiv.

Datenschutz: policies.google.com/privacy

Microsoft Clarity

Zweck: UX-Analyse (Heatmaps, Sitzungswiedergabe, Dead-Clicks) — lädt nur nach Einwilligung.

Rechtsträger: Microsoft Corporation, USA. SCCs in Kraft.

Datenschutz: privacy.microsoft.com/privacystatement

5. Übermittlungen in Drittländer

Einige unserer Auftragsverarbeiter haben ihren Hauptsitz außerhalb des Europäischen Wirtschaftsraums (EWR) — insbesondere in den USA (OpenAI, Anthropic, Vercel, Google, Microsoft, Sentry), in den Vereinigten Arabischen Emiraten (Telegram) und in Indien (Zoho). Wir übermitteln personenbezogene Daten in diese Drittländer nur auf Grundlage geeigneter Garantien:

  • Für US-Anbieter: EU-US Data Privacy Framework (DPF) soweit zertifiziert, ergänzend Standardvertragsklauseln (SCCs) der EU-Kommission gem. Art. 46 Abs. 2 lit. c DSGVO.
  • Für Telegram und Zoho: Standardvertragsklauseln (SCCs) und technische Schutzmaßnahmen (Transportverschlüsselung, Datenminimierung).
  • Bei allen KI-Anbietern (OpenAI, Anthropic): Deaktivierung des Modelltrainings über API-Eingaben vertraglich zugesichert.

Eine Kopie der SCCs stellen wir Ihnen auf Anfrage an privacy@medpruf.com zur Verfügung.

6. Speicherdauer

  • Kontodaten: 3 Jahre ab letztem Login, danach automatische Löschung bzw. vollständige Anonymisierung. Eine Löschung auf Anfrage ist jederzeit möglich.
  • Lern- und Antwortverlauf: Solange das Konto aktiv ist; wird zusammen mit dem Konto gelöscht.
  • Zahlungs- und Rechnungsdaten: 10 Jahre gem. § 132 BAO (Österreich), unabhängig von einer Kontolöschung.
  • Fehlerprotokolle (Sentry): 90 Tage, danach automatische Löschung.
  • Analytics (GA4, Clarity): Google Analytics 4: 14 Monate. Microsoft Clarity: 1 Jahr. Beides nur bei Einwilligung.
  • E-Mail-Korrespondenz: 3 Jahre ab letzter Kommunikation, sofern keine längere gesetzliche Aufbewahrungspflicht greift.

7. Ihre Rechte

Als betroffene Person stehen Ihnen die folgenden Rechte zu. Sie können diese formlos per E-Mail an privacy@medpruf.com geltend machen; wir antworten in der Regel innerhalb eines Monats.

  • Auskunft (Art. 15 DSGVO): Sie können eine Kopie der über Sie gespeicherten personenbezogenen Daten anfordern.
  • Berichtigung (Art. 16 DSGVO): Sie können verlangen, dass unrichtige Daten korrigiert oder unvollständige Daten ergänzt werden.
  • Löschung (Art. 17 DSGVO): Sie haben das Recht auf Löschung Ihrer Daten („Recht auf Vergessenwerden“), soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Verarbeitung Ihrer Daten auf reine Speicherung einschränken lassen, z.B. während der Prüfung eines Widerspruchs.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie erhalten Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON) und können sie einem anderen Verantwortlichen übermitteln.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen (insb. Fehlermonitoring, Missbrauchsschutz) jederzeit widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen (Analytics, Marketing) können Sie jederzeit mit Wirkung für die Zukunft widerrufen — über das Cookie-Banner, die Einstellungen oder formlos per E-Mail.
  • Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Details siehe Abschnitt 8).

8. Beschwerderecht

Sie haben nach Art. 77 DSGVO das Recht, sich über die Verarbeitung Ihrer personenbezogenen Daten bei einer Aufsichtsbehörde zu beschweren. Für Nutzer mit Sitz in Österreich ist die zuständige Behörde:

Österreichische Datenschutzbehörde (DSB)
Barichgasse 40–42
1030 Wien, Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: www.dsb.gv.at

Alternativ können Sie sich an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Arbeitsplatzes oder des mutmaßlichen Verstoßes wenden.

9. Cookies und Tracking

MedPrüf verwendet technisch notwendige Cookies für die Sitzungsverwaltung (Login, Sprache, Theme). Diese sind nach § 165 Abs. 3 TKG 2021 einwilligungsfrei.

Alle Analyse- und Komfort-Tracker (Google Analytics 4, Microsoft Clarity) werden ausschließlich geladen, nachdem Sie im Cookie-Banner aktiv eingewilligt haben. Bis zur Einwilligung sind keine Tracking-Skripte aktiv — Sie können die Anwendung ohne Einwilligung vollständig nutzen. Die Einwilligung können Sie jederzeit widerrufen, indem Sie die Cookies Ihres Browsers löschen oder auf den Link „Cookie-Einstellungen“ im Seitenfuß klicken.

10. Kinder

MedPrüf richtet sich ausschließlich an volljährige, in der Regel akademisch gebildete Nutzer (Ärztinnen und Ärzte mit nichtösterreichischem Studienabschluss). Die Dienste sind nicht für Personen unter 18 Jahren bestimmt. Wir erheben wissentlich keine Daten von Minderjährigen. Sollten wir Kenntnis davon erlangen, dass wir Daten einer minderjährigen Person verarbeiten, löschen wir diese unverzüglich.

11. Änderungen dieser Erklärung

Wir aktualisieren diese Datenschutzerklärung, wenn sich unsere Dienste, Auftragsverarbeiter oder die gesetzliche Lage ändern. Die jeweils aktuelle Fassung finden Sie stets unter /privacy. Bei wesentlichen Änderungen (z.B. neue Kategorien personenbezogener Daten oder neue Empfänger) informieren wir Sie zusätzlich per E-Mail an Ihre registrierte Adresse oder über ein deutlich sichtbares In-App-Banner, bevor die Änderung wirksam wird.

12. Kontakt

Bei Fragen zu dieser Datenschutzerklärung, zur Ausübung Ihrer Rechte oder zu konkreten Verarbeitungsvorgängen erreichen Sie uns unter:

E-Mail: privacy@medpruf.com
Support: contact@medpruf.com
Verantwortlicher: omar@medpruf.com

Rechtlicher Hinweis

Diese Datenschutzerklärung wurde sorgfältig vorbereitet, ersetzt jedoch keine individuelle Rechtsberatung. Letzte Aktualisierung: 22. April 2026.