Freiwillige Sicherheitspraktiken
Stand: 23. März 2026
1. Einleitung
Glimm orientiert sich freiwillig an international anerkannten Sicherheits- und Datenschutzstandards. Wir halten keine formalen Zertifizierungen (kein ISO 27001 Zertifikat, kein SOC 2 Audit, keine vergleichbaren Prüfungen durch Dritte). Die nachfolgend aufgeführten Maßnahmen beschreiben, was wir tatsächlich implementiert haben.
Sicherheitsforscher und Personen, die Schwachstellen melden möchten, finden unsere Kontaktdaten unter /.well-known/security.txt (RFC 9116).
2. DSGVO-Konformität
Als in Österreich ansässiges Unternehmen unterliegen wir der Datenschutz-Grundverordnung (DSGVO). Folgende Maßnahmen sind implementiert:
- Art. 5 (Grundsätze) — Datenminimierung, Verschlüsselung aller personenbezogenen Daten, Zweckbindung dokumentiert, automatische Bereinigung abgelaufener Daten.
- Art. 6 (Rechtsgrundlagen) — Jede Verarbeitung hat eine dokumentierte Rechtsgrundlage: Vertragserfüllung, Einwilligung oder berechtigtes Interesse.
- Art. 7 (Einwilligung) — AGB-Versionierung mit erzwungener Neuzustimmung bei Änderungen.
- Art. 13/14 (Informationspflichten) — Vollständige Offenlegung aller Auftragsverarbeiter in der Datenschutzerklärung.
- Art. 15–22 (Betroffenenrechte) — Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität (JSON-Export), Widerspruch.
- Art. 25 (Privacy by Design) — Verschlüsselung ab Tag 1, pseudonymisierte E-Mail-Speicherung, minimale Datenhaltung.
- Art. 28 (Auftragsverarbeitung) — AVV mit allen Auftragsverarbeitern vorhanden.
- Art. 30 (Verarbeitungsverzeichnis) — Internes Verarbeitungsverzeichnis geführt. Automatisierte Steuerberichte für EU-OSS-Meldungen.
- Art. 32 (Sicherheit) — Verschlüsselung aller personenbezogenen Daten, sicheres Passwort-Hashing, HTTPS/TLS, Sicherheitsheader, Zugriffsbeschränkung, Audit Logging.
- Art. 33/34 (Meldepflicht) — Dokumentierte Verfahren zur Erkennung und Meldung von Datenschutzverletzungen innerhalb der gesetzlichen 72-Stunden-Frist.
- Art. 35 (Folgenabschätzung) — Interne Risikobewertung für die Verarbeitung therapeutischer Inhalte durchgeführt.
3. Deutsches & Österreichisches Recht
BGB — Bürgerliches Gesetzbuch
- §312k BGB (Kündigungsbutton) — Kündigungsmöglichkeit direkt in den Einstellungen, maximal 2 Klicks. Bestätigung per E-Mail.
- §355 BGB (Widerrufsrecht) — 14-Tage-Widerrufsfrist dokumentiert und implementiert.
TMG / DDG — Impressumspflicht
- Vollständiges Impressum unter /impressum. Physische Adresse in allen transaktionalen E-Mails.
TTDSG — Cookies
- Ausschließlich technisch notwendige Session-Cookies. Keine Tracking- oder Analyse-Cookies.
PAngV — Preisangabenverordnung
- Alle Preise inklusive USt. angezeigt. Gesamtpreis vor Kaufabschluss deutlich sichtbar.
ODR-Verordnung
- Link zur EU-Streitbeilegungsplattform: ec.europa.eu/consumers/odr
EU-OSS (One-Stop-Shop)
- Automatisierte Umsatzsteuererfassung pro EU-Land. Monatliche und quartalsweise Berichte für die Zusammenfassende Meldung.
4. Regulatorische Einordnung
Glimm ist ein reines Dokumentationswerkzeug. Es führt keinerlei inhaltliche Analyse, algorithmische Bewertung, Krisenerkennung oder diagnostische Auswertung von Nutzerinhalten durch. Daraus ergibt sich die folgende regulatorische Einordnung:
- Kein Medizinprodukt (EU MDR 2017/745) — Glimm trifft keine klinischen Entscheidungen, unterstützt keine Diagnosen und gibt keine therapeutischen Empfehlungen. Es fällt daher nicht unter die EU-Medizinprodukteverordnung.
- Keine DiGA (SGB V § 33a) — Glimm analysiert keine Gesundheitsdaten und weist keinen nachgewiesenen Versorgungseffekt auf. Eine Listung beim BfArM ist nicht erforderlich.
- Keine Ausübung der Heilkunde (HeilprG § 1) — Glimm nimmt keine Bewertung des psychischen Zustands vor und leitet keine therapeutischen Maßnahmen ein. Es handelt sich nicht um Heilkunde im Sinne des Heilpraktikergesetzes.
- Keine Ausübung der Psychotherapie (PthG § 1, Psychologengesetz 2013) — Krisenintervention, klinisch-psychologische Diagnostik und Behandlung obliegen ausschließlich der betreuenden Fachperson. Glimm greift nicht in den therapeutischen Prozess ein.
- Keine Verarbeitung besonderer Datenkategorien zu analytischen Zwecken (DSGVO Art. 9) — Nutzerinhalte werden verschlüsselt gespeichert und weder gelesen, klassifiziert noch algorithmisch verarbeitet. Es findet kein Profiling im Sinne von Art. 22 DSGVO statt.
Die gesamte klinische Verantwortung — einschließlich Erkennung von Krisensituationen, Fürsorgepflicht, Krisenintervention und Überweisung an Notdienste — verbleibt bei der registrierten Fachperson gemäß den jeweils geltenden berufsrechtlichen Vorschriften (insbesondere österr. PthG, dt. PsychThG, HeilprG).
5. Sicherheitsstandards (freiwillige Orientierung)
Glimm orientiert sich freiwillig an den Prinzipien von ISO 27001 und den SOC 2 Trust Service Criteria. Es liegen keine formalen Zertifizierungen oder externe Audits vor.
Unsere Sicherheitsmaßnahmen umfassen:
- Verschlüsselung: Alle personenbezogenen Daten werden im Ruhezustand mit AES-256 verschlüsselt. Daten in Transit sind durch TLS geschützt.
- Zugriffskontrolle: Rollenbasierte Zugriffssteuerung mit strikter Datenbesitzvalidierung. Multi-Faktor-Authentifizierung für administrative Zugänge.
- Sichere Authentifizierung: Passwörter werden mit branchenüblichen adaptiven Hashing-Verfahren gespeichert. Cryptographisch sichere CSRF-Tokens schützen alle zustandsändernden Endpunkte.
- Überwachung: Umfassendes Audit-Logging sicherheitsrelevanter Ereignisse. Automatisierte Erkennung und Filterung von verdächtigen Zugriffen.
- Sichere Entwicklung: Parametrisierte Datenbankabfragen, serverseitige Eingabevalidierung, kontextabhängiges Output-Encoding, umfassende Sicherheitsheader.
- Datei-Uploads: Typ- und Größenvalidierung, sichere Dateinamen, Verzeichnisisolation.
- Bot-Schutz: Automatisierte Erkennung und Filterung von Bot-Zugriffen auf sensiblen Formularen.
Detaillierte Sicherheitsinformationen stellen wir auf Anfrage unter NDA zur Verfügung.
6. Infrastruktur & Auftragsverarbeiter
| Dienst | Anbieter | Zweck | Standort |
|---|---|---|---|
| Hosting | Hostinger | Webserver, Datenbank | EU |
| CDN & Sicherheit | Cloudflare | CDN, WAF, DDoS, Turnstile | USA (DPF) |
| Dateispeicher | Cloudflare R2 | Medienspeicher (Fotos, Sprachnachrichten) | EU |
| Zahlungen | Stripe | Zahlungsabwicklung (PCI DSS L1) | USA (DPF) |
| AWS SES | Transaktionale E-Mails | EU (Stockholm) | |
| OAuth | Optionale Anmeldung | USA (DPF) |
DPF = EU-US Data Privacy Framework zertifiziert
Kein Tracking: Glimm setzt keine Analyse- oder Tracking-Cookies ein. Es werden keine Daten an Google Analytics, Facebook oder vergleichbare Dienste übermittelt.
7. Datenspeicherung & Aufbewahrung
| Datentyp | Aufbewahrung | Rechtsgrundlage |
|---|---|---|
| Audit-Logs | 180 Tage | Art. 6(1)(f) Berechtigtes Interesse |
| Gelöschte Konten | 30-Tage-Gnadenfrist | Art. 6(1)(b) Vertragserfüllung |
| Rechnungen | 7 Jahre (gesetzlich) | Art. 6(1)(c) §132 BAO / §147 AO |
| Steuerberichte | 7 Jahre (gesetzlich) | Art. 6(1)(c) §132 BAO / §147 AO |
8. Incident Response
Für den Fall einer Sicherheitsverletzung oder eines Datenschutzvorfalls bestehen dokumentierte Verfahren zur Erkennung, Eindämmung, Meldung und Behebung — in Übereinstimmung mit Art. 33 DSGVO (72-Stunden-Frist).
Kontakt für Sicherheitsvorfälle
- E-Mail: security@glimm.app
- Datenschutz: privacy@glimm.app
- Vulnerability Disclosure: /.well-known/security.txt
9. Kontakt
Für Fragen zur Sicherheit, Datenschutz oder Compliance:
Eliana dos Santos Pereira
E-Mail: privacy@glimm.app
Sicherheit: security@glimm.app
Transparenzhinweis: Diese Seite beschreibt ausschließlich tatsächlich implementierte Maßnahmen. Glimm hält keine formalen Zertifizierungen (ISO 27001, SOC 2 o.ä.). Die Orientierung an diesen Standards ist freiwillig und wurde nicht durch externe Prüfungen verifiziert. Detaillierte Sicherheitsdokumentation stellen wir auf Anfrage unter NDA zur Verfügung.