← medbotwien

Datenschutz

Was wir mit dei'm Zeig machen

Informationen nach Art. 13 DSGVO

Der Schutz deiner Daten is uns wichtig. In dera Erklärung steht, was wir wann warum speichern — einmal für die Website, einmal für den Telegram-Bot.

Verantwortlicher (für beide Bereiche):

Markus Fischer
1100 Wien, Österreich
frage@medbotwien.at

A. Website und Warteliste

Zwecke der Verarbeitung:

  • Auswahl eines Zustellkanals (Telegram, WhatsApp, Signal, E-Mail) und Weiterleitung zum Telegram-Bot.
  • Einmalige Benachrichtigung per E-Mail, sobald ein von dir gewählter Wartelisten-Kanal (WhatsApp, Signal) tatsächlich verfügbar ist.
  • Zustellung der Job-Benachrichtigungen per E-Mail (E-Mail-Kanal): Versand einer Bestätigungs-E-Mail im Double-Opt-In-Verfahren, Versand von Anmelde-Links (passwortloser Login per Magic-Link) zur Verwaltung deiner Einstellungen sowie Versand der personalisierten Job-Zusammenfassungen (Digests, täglich oder wöchentlich) entsprechend deinen Filtern.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die Speicherung deiner E-Mail-Adresse zur einmaligen Wartelisten-Benachrichtigung.

Für den E-Mail-Kanal (Bestätigungs-, Anmelde- und Benachrichtigungs-E-Mails) stützen wir uns auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 174 TKG 2021. Die Einwilligung wird im Double-Opt-In-Verfahren eingeholt: Erst nach Bestätigung des per E-Mail zugesandten Links wird der E-Mail-Kanal aktiviert. Vor dieser Bestätigung wird keine Benachrichtigungs-E-Mail mit Job-Inhalten versendet; die Bestätigungs-E-Mail selbst enthält ausschließlich den Bestätigungslink und die Impressumsangabe, keine Werbeinhalte. Die Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen; jede Benachrichtigungs-E-Mail enthält hierfür einen Ein-Klick-Abmeldelink. Ergänzend kannst du die Zustellung jederzeit vorübergehend pausieren (z. B. während eines Urlaubs); die Zustellung setzt danach automatisch wieder ein.

Für die mit der Einwilligung gemeinsam erfassten Begleitdaten (IP-Adresse, User-Agent, Zeitstempel) stützen wir uns auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Das berechtigte Interesse besteht in der Nachweisbarkeit der erteilten Einwilligung (Art. 7 Abs. 1 i.V.m. Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht) sowie in der Abwehr automatisierter Missbrauchsversuche (Bot-Spam, Massenanmeldungen). Eine Interessenabwägung wurde durchgeführt; die Verarbeitung beschränkt sich auf das für diese Zwecke unbedingt Erforderliche. Für die reine Telegram-Weiterleitung wird auf unserem Server keine personenbezogene Information gespeichert.

Verarbeitete Datenkategorien:

  • E-Mail-Adresse (nur bei Wahl eines Wartelisten-Kanals)
  • Gewählter Zustellkanal
  • Attribution (ref_source, z. B. Kampagnen-Kennzeichen)
  • IP-Adresse (zum Nachweis der Einwilligung und zur Missbrauchsabwehr)
  • User-Agent des Browsers
  • Zeitstempel der Einwilligung
  • Bei aktiviertem E-Mail-Kanal zusätzlich: Filterpräferenzen (Trägerorganisationen, Häuser, Berufsfelder, Beschäftigungsausmaß, Keywords, Mindestgehalt), Zustellhäufigkeit (täglich/wöchentlich), Bestätigungs- und Pausenstatus
  • Vorname (optional, frei wählbar — wird in der persönlichen Anrede der Job-Mails verwendet)
  • Aktuelles Bruttogehalt (optional, freiwillig — ausschließlich für den Vergleichshinweis in der Job-Mail; 0 = nicht angegeben, wird nicht angezeigt)
  • Benachrichtigungs-Einstellungen (Pause-Zeitraum von bis zu 180 Tagen, Opt-in für Hinweise zu offline gegangenen Stellen) sowie ein interner Zeitstempel der letzten Digest-Zustellung (steuert das Zeitfenster der nächsten Mail)

Empfänger / Auftragsverarbeiter:

Cloudflare, Inc. (Hosting der statischen Seiten, CDN, Cloudflare Tunnel zum Pi-Server). Datentransfer auf Basis der EU-Standardvertragsklauseln und Cloudflares Zertifizierung unter dem EU-US Data Privacy Framework; Auftragsverarbeitungsvertrag (Cloudflare DPA) ist abgeschlossen. Eine Kopie der geeigneten Garantien (Standardvertragsklauseln) kannst du formlos per E-Mail an frage@medbotwien.at anfordern.

Brevo (Sendinblue SAS, Paris, Frankreich) für den Versand der E-Mails des E-Mail-Kanals (Double-Opt-In-Bestätigung, Anmelde-Links sowie Job-Zusammenfassungen). Die Verarbeitung erfolgt auf Servern innerhalb der EU (OVH in Frankreich/Deutschland und Google Cloud in Belgien gemäß Brevos Auftragsverarbeitungsvertrag); eine Übermittlung in ein Drittland findet hierbei nicht statt. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist abgeschlossen. An Brevo werden hierbei die E-Mail-Adresse sowie — soweit von dir angegeben — dein Vorname zur persönlichen Anrede und der vom Digest erzeugte Mailinhalt (inklusive eines etwaigen Gehaltsvergleichs aus deinem optional angegebenen aktuellen Gehalt) übermittelt. Die Filterkriterien selbst verbleiben auf unserem Server.

Hinweis zu Öffnungs- und Klick-Tracking: Brevo fügt den versendeten E-Mails technisch bedingt einen unsichtbaren Zählpixel hinzu und leitet Links über eine eigene Tracking-Domäne um, um Zustellbarkeit und Bounce-Verarbeitung zu ermöglichen. Wir haben in unserem Brevo-Konto die Option „Anonymous email tracking“ aktiviert: Brevo speichert dadurch kein personenbezogenes Öffnungs- oder Klickverhalten pro Empfänger (E-Mail-Adresse und IP werden in den Tracking-Berichten anonymisiert). Eine vollständige Abschaltung von Pixel und Link-Wrapping bietet Brevo nur in einer kostenpflichtigen Enterprise-Stufe an; im Sinne der Transparenz weisen wir darauf hin, dass auf der technischen Ebene (HTTP-Request beim Bildaufruf bzw. beim Klick auf einen umgeleiteten Link) eine kurzzeitige Verarbeitung durch Brevo stattfindet. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Zustellung); die anonymisierte Konfiguration setzt den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) um.

Speicherdauer:

Wartelisten-E-Mail-Adressen werden längstens 24 Monate ab Eintragung oder bis zum Widerruf gespeichert — danach automatische Löschung. Adressen, deren Double-Opt-In-Bestätigung ausbleibt, werden nicht zur Zustellung verwendet und nach kurzer Frist gelöscht. Bei aktiviertem E-Mail-Kanal werden E-Mail-Adresse, Vorname, aktuelles Gehalt, Filtereinstellungen und Einwilligungsnachweise bis zum Widerruf bzw. zur Abmeldung gespeichert; nach Widerruf/Abmeldung werden Vorname, aktuelles Gehalt, Filtereinstellungen und Benachrichtigungs-Status gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Telegram-Weiterleitungen erzeugen keinen dauerhaften Datenbankeintrag.

Der Einwilligungsnachweis (Wortlaut der Zustimmung, Versionskennung, IP-Adresse, User-Agent, Zeitstempel) wird auch nach Abmeldung für die Dauer der zivilrechtlichen Verjährungsfrist (drei Jahre, § 1489 ABGB) aufbewahrt, da wir nach Art. 7 Abs. 1 i.V.m. Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) die einmal erteilte Einwilligung nachweisen können müssen. Eine darüber hinausgehende Verarbeitung dieser Nachweis-Daten erfolgt nicht.

Cookies und Tracking:

Wir selbst setzen keine Cookies, kein Web-Tracking, kein Analytics, keine externen Schriften oder sonstige Drittanbieter-Skripte. Cloudflare als Hoster kann in Ausnahmefällen ein strikt notwendiges Sicherheits-Cookie (z. B. cf_clearance) setzen, wenn eine Anfrage als auffällig eingestuft und eine Sicherheitsprüfung ausgelöst wird. Diese Cookies dienen ausschließlich der Missbrauchsabwehr und sind nach § 165 Abs. 3 TKG 2021 (unbedingt erforderlich) zustimmungsfrei. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt.

Serverseitige Zugriffsprotokolle:

Beim Aufruf der API-Endpunkte (/api/preview, /api/signup, /t/…) werden technisch notwendige Zugriffsdaten (IP-Adresse, Zeitpunkt, abgerufene Ressource, HTTP-Status, User-Agent) im Rahmen der Cloudflare-Tunnel- und der FastAPI-Standardprotokollierung verarbeitet. Die Protokolle werden zur Aufrechterhaltung des Betriebs und zur Abwehr von Angriffen benötigt und spätestens nach 14 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, missbrauchssicheren Betrieb).

B. Telegram-Bot

Zweck der Verarbeitung:

Bereitstellung personalisierter Job-Benachrichtigungen aus öffentlich zugänglichen Karriereportalen Wiener Spitäler und Trägerorganisationen (Wiener Gesundheitsverbund, Vinzenz Gruppe, Evangelisches Krankenhaus Wien, Mavie u. a.) entsprechend deiner Filter.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des — unentgeltlichen — Nutzungsverhältnisses), hilfsweise Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, erteilt durch das Starten des Bots). Die Bereitstellung der Daten ist freiwillig; ohne sie kann der Benachrichtigungsdienst nicht erbracht werden.

Verarbeitete Datenkategorien:

  • Telegram-User-ID
  • Anzeigename (selbst gewählt, kann frei gestaltet werden)
  • Filterpräferenzen (Trägerorganisationen, Häuser, Berufsfelder, Beschäftigungsausmaß, Keywords, Mindestgehalt)
  • Lesezeichen für Jobs
  • Bewerbungs- und Pausenstatus
  • Einladungs-Attribution (Empfehlungscode der einladenden Person)
  • Zeitpunkt der letzten Aktivität (für das Inaktivitätslimit)

Empfänger:

Telegram FZ-LLC (Dubai, Vereinigte Arabische Emirate) als Anbieter der Messenger-Plattform. Die Nutzung erfolgt über die offizielle Bot-API; Telegram verarbeitet die Nachrichten zur Zustellung auf Basis seiner eigenen Datenschutzerklärung (telegram.org/privacy).

Drittlandtransfer:

Die Nutzung des Bots erfordert zwangsläufig die Übermittlung von Kommunikationsdaten an Telegram FZ-LLC in die Vereinigten Arabischen Emirate. Die Vereinigten Arabischen Emirate verfügen über keinen Angemessenheitsbeschluss der EU-Kommission. Es besteht keine direkte Vertragsbeziehung zwischen uns und Telegram, weshalb Standardvertragsklauseln nicht zur Anwendung kommen. Der Transfer stützt sich auf Art. 49 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung in die Datenübermittlung in das Drittland nach Unterrichtung über die möglichen Risiken eines fehlenden Angemessenheitsbeschlusses). Diese Einwilligung holen wir vor der ersten Nutzung im Bot durch eine gesonderte, ausdrückliche Bestätigung ein; ohne sie findet keine Übermittlung statt. Da die gesamte Bot-Kommunikation über Telegram läuft, widerrufst du die Einwilligung mit Wirkung für die Zukunft, indem du die Nutzung des Telegram-Bots einstellst; mit dem Befehl /deletedata löschst du zugleich alle bei uns gespeicherten Daten. Der Widerruf berührt die Rechtmäßigkeit der bis dahin erfolgten Übermittlung nicht. Geeignete Garantien im Sinne der Art. 45/46 DSGVO liegen für die VAE nicht vor; der Transfer stützt sich allein auf die Ausnahme des Art. 49.

Speicherdauer:

Bis zur Löschung über den Befehl /deletedata im Bot oder automatisch nach längerer Inaktivität (derzeit 12 Monate ab letzter Interaktion). Eine Warnung wird etwa einen Monat vor automatischer Löschung im Bot zugestellt.

Automatisierte Entscheidung / Profiling:

Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Das Matching zwischen Jobs und Filtern ist eine rein regelbasierte Auswahl ohne Bewertung deiner Person.

Zielgruppe

Das Angebot richtet sich an erwachsene Personen mit Interesse an einer Beschäftigung im Gesundheitswesen. Eine gezielte Ansprache von Personen unter 16 Jahren findet nicht statt.

Deine Rechte (für beide Bereiche)

Du hast jederzeit Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Für die Website-Warteliste kannst du deine Einwilligung jederzeit formlos per E-Mail an frage@medbotwien.at widerrufen — die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt. Für den E-Mail-Kanal kannst du dich zusätzlich über den Ein-Klick-Abmeldelink in jeder Benachrichtigungs-E-Mail abmelden oder die Zustellung dort vorübergehend pausieren. Vorname, aktuelles Gehalt und Filtereinstellungen kannst du außerdem jederzeit unter „Mei Konto“ selbst ändern oder leeren (Art. 16 DSGVO). Für den Telegram-Bot löscht der Befehl /deletedata deine gesamten gespeicherten Daten unwiderruflich.

Beschwerderecht

Wenn du der Meinung bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt, kannst du dich bei der zuständigen Aufsichtsbehörde beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
dsb@dsb.gv.at

Start · Impressum · Nutzungsbedingungen