Auftragsverarbeitungsvereinbarung (AVV)
gem. Art. 28 DSGVO — Stand: 15. März 2026
§ 1 Gegenstand und Dauer
Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (nachfolgend „Anbieter“) im Auftrag des Verantwortlichen (nachfolgend „Therapeut:in“) im Rahmen der Nutzung des Dienstes „Glimm“.
Auftragsverarbeiter: Eliana dos Santos Pereira (Inh.), Wilhelm-Greil-Straße 14, 6020 Innsbruck, Österreich
Die Dauer der Verarbeitung entspricht der Dauer des Nutzungsverhältnisses.
§ 2 Art und Zweck der Verarbeitung
Der Anbieter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung des Dienstes Glimm, insbesondere:
- Speicherung und Anzeige von nutzererstellten Inhalten („Lichtpunkte“: Texte, Fotos, Sprachnachrichten)
- Verwaltung der Verbindungen zwischen Therapeut:innen und Personen
- Bereitstellung des Therapeut:innen-Dashboards
- Verschlüsselte Speicherung und Übertragung von Daten
§ 3 Art der personenbezogenen Daten
- Personen-Anzeigenamen (verschlüsselt)
- Lichtpunkt-Texte (verschlüsselt)
- Fotos und Sprachnachrichten (verschlüsselt)
- Nutzungsstatistiken (Öffnungszeitpunkte, Häufigkeit)
- PIN-Hashes und Verbindungsstatus
§ 4 Kategorien betroffener Personen
- Personen der Therapeut:in (primär)
- Therapeut:innen (als registrierte Nutzer:innen)
§ 5 Pflichten des Auftragsverarbeiters
Der Anbieter verpflichtet sich:
- Personenbezogene Daten nur gemäß den dokumentierten Weisungen des/der Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
- Alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO).
- Geeignete technische und organisatorische Maßnahmen zu ergreifen (Art. 32 DSGVO).
- Den/die Verantwortliche(n) bei der Erfüllung der Rechte betroffener Personen zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO).
- Den/die Verantwortliche(n) unverzüglich über Verletzungen des Schutzes personenbezogener Daten zu informieren (Art. 33 DSGVO).
- Nach Beendigung des Auftrags alle personenbezogenen Daten zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
§ 6 Unterauftragsverarbeiter
Der Anbieter setzt folgende Unterauftragsverarbeiter ein:
| Unternehmen | Zweck | Sitz | Garantie |
|---|---|---|---|
| Hostinger International Ltd | Hosting, Datenbank | Litauen (EU) | EU-Hosting |
| Cloudflare, Inc. | CDN, DDoS-Schutz, Objektspeicher (R2) | USA | EU-US DPF + SCC |
| Stripe, Inc. | Zahlungsabwicklung | USA | EU-US DPF + SCC |
| Amazon Web Services (SES) | E-Mail-Versand | Stockholm (EU) | EU-Hosting (eu-north-1) |
Der/die Verantwortliche wird über Änderungen bei Unterauftragsverarbeitern vorab informiert und hat ein Widerspruchsrecht.
§ 7 Rechte der betroffenen Personen
Der Anbieter unterstützt den/die Verantwortliche(n) bei der Beantwortung von Anfragen betroffener Personen (Art. 15–22 DSGVO). Im Dienst stehen folgende Funktionen zur Verfügung:
- Art. 15 (Auskunft): Datenexport als JSON in den Kontoeinstellungen
- Art. 17 (Löschung): Vollständige Kontolöschung mit Kaskadenlöschung aller verbundenen Daten
- Art. 20 (Portabilität): Strukturierter Datenexport
§ 8 Kontrollrechte
Der/die Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung zu überprüfen — durch Auskünfte, Einsichtnahme oder Audits. Der Anbieter stellt die hierfür notwendigen Informationen zur Verfügung.
§ 9 Laufzeit und Beendigung
Diese Vereinbarung gilt für die gesamte Dauer der Nutzung des Dienstes. Bei Beendigung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. Rechnungsdaten: 7 Jahre gemäß § 132 BAO).
§ 10 Anwendbares Recht
Es gilt österreichisches Recht. Gerichtsstand ist Innsbruck.
Datenschutzanfragen: privacy@glimm.app