Datenschutzerklärung

Stand: 23. März 2026

1. Verantwortlicher

Eliana dos Santos Pereira
Wilhelm-Greil-Straße 14
6020 Innsbruck, Österreich
E-Mail: privacy@glimm.app

2. Überblick der Datenverarbeitungen

Die folgenden Angaben geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website nutzen. Wir nehmen den Schutz Ihrer Daten sehr ernst und verarbeiten personenbezogene Daten nur im Einklang mit der DSGVO.

3. Hosting & Server

Diese Website wird bei Hostinger International Ltd. gehostet. Der Hoster erhebt in sogenannten Logfiles Zugriffsdaten (IP-Adresse, Datum, Uhrzeit, Browsertyp, Betriebssystem, Referrer URL). Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs verwendet und nach 14 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).

4. Registrierung & Konto

Bei der Registrierung als Therapeut:in erheben wir:

  • E-Mail-Adresse (verschlüsselt gespeichert, kryptographischer Hash für Login-Abgleich)
  • Vor- und Nachname (verschlüsselt gespeichert)
  • Passwort (sicher gehasht, Klartext wird nie gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Optional: Google OAuth — hierbei erhalten wir Name und E-Mail-Adresse von Google, keine Passwörter.

5. Verschlüsselung

Sensible personenbezogene Inhalte — insbesondere Lichtpunkt-Texte, E-Mail-Adressen, Vor- und Nachnamen sowie Anzeigenamen — werden mittels AES-256-Verschlüsselung in der Datenbank gespeichert. Der Verschlüsselungsschlüssel wird getrennt von der Datenbank aufbewahrt. Selbst bei einem Datenbankzugriff durch Dritte wären diese Inhalte nicht lesbar.

Rechnungsdaten (Name, Adresse, USt-IdNr.) werden gemäß gesetzlicher Aufbewahrungspflichten (BAO § 131, UStG § 11) im Klartext gespeichert und nach Ablauf der gesetzlichen Frist gelöscht. IP-Adressen werden nur als kryptographischer Hash gespeichert (keine Rückführung auf die Original-IP möglich).

6. Personendaten & Sitzungsmodus

Personen authentifizieren sich über einen 6-stelligen Verbindungscode und eine 4-stellige PIN. Optionale Angabe eines Anzeigenamens (Vorname oder Spitzname). Lichtpunkt-Texte werden verschlüsselt gespeichert.

Sitzungsmodus (Privacy by Design): Therapeut:innen erhalten Zugriff auf Lichtpunkt-Inhalte ausschließlich während eines Sitzungsmodus. Dieser wird durch eine Sitzungsanfrage der Therapeut:in eingeleitet und erfordert die ausdrückliche Zustimmung der Person. Erst nach beidseitiger Einwilligung beginnt der Sitzungsmodus:

  • dauert die vereinbarte Sitzungsdauer (konfigurierbar, standardmäßig 90 Minuten),
  • endet automatisch nach Ablauf der Zeit oder durch aktives Beenden seitens der Person,
  • erfordert die Zustimmung der Person — Therapeut:innen können den Sitzungsmodus nicht einseitig starten,
  • gibt Therapeut:innen Lesezugriff auf Text, Farbe und Position der Lichtpunkte — keine Fotos oder Audioinhalte.

Außerhalb des Sitzungsmodus haben Therapeut:innen keinen Zugriff auf Lichtpunkt-Inhalte. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Cookies & Sessions

Wir verwenden ausschließlich technisch notwendige Session-Cookies. Es werden keine Tracking-Cookies, Analyse-Tools oder Werbe-Cookies eingesetzt. Kein Google Analytics, kein Facebook Pixel, keine vergleichbaren Dienste. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

8. Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Stripe verarbeitet Zahlungsdaten (Kartennummer, Ablaufdatum, CVC) als eigener Verantwortlicher. Wir speichern keine Kreditkartendaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutzerklärung von Stripe: https://stripe.com/de/privacy.

9. Cloudflare

Wir nutzen Cloudflare (101 Townsend St, San Francisco, CA 94107, USA) als CDN, für DDoS-Schutz und als Objektspeicher (Cloudflare R2) für hochgeladene Medien (Fotos, Sprachnachrichten). Cloudflare kann dabei Verbindungsdaten (IP-Adresse, Browser) verarbeiten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Datenschutzerklärung: cloudflare.com/privacypolicy.

9a. Cloudflare Turnstile (Bot-Schutz)

Zum Schutz unserer Formulare vor automatisierten Angriffen verwenden wir Cloudflare Turnstile. Dabei werden technische Daten an Cloudflare übermittelt, um zu prüfen, ob die Anfrage von einem Menschen stammt. Es werden keine Cookies gesetzt und kein Fingerprinting durchgeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch).

9b. Amazon Web Services SES (E-Mail-Versand)

Für den Versand von transaktionalen E-Mails nutzen wir Amazon Simple Email Service (SES) von Amazon Web Services EMEA SARL (38 Avenue John F. Kennedy, L-1855 Luxemburg). AWS SES verarbeitet dabei E-Mail-Adressen und E-Mail-Inhalte als Auftragsverarbeiter. Die Verarbeitung erfolgt in der EU-Region (eu-north-1, Stockholm). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzerklärung: aws.amazon.com/privacy.

9c. Google OAuth (optionale Anmeldung)

Optional können Sie sich über Ihr Google-Konto registrieren und anmelden. Dabei erhalten wir von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) Ihren Namen und Ihre E-Mail-Adresse. Wir erhalten keinen Zugriff auf Ihr Google-Passwort, Ihre Kontakte oder sonstige Google-Daten. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Datenschutzerklärung: policies.google.com/privacy.

9d. Therapeutenverzeichnis (Öffentliches Profil)

Registrierte Therapeut:innen können freiwillig ein öffentliches Profil auf Glimm aktivieren. Dieses Profil ist unter einer individuellen URL (z. B. glimm.life/t/ihr-name) öffentlich zugänglich und wird von Suchmaschinen indexiert.

Veröffentlichte Daten:

  • Name und akademischer Titel
  • Praxisname (sofern angegeben)
  • Stadt / Region
  • Fachgebiete und Therapiemethoden
  • Kurzbiografie (sofern angegeben)
  • Website-URL (sofern angegeben)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung). Die Einwilligung wird beim Aktivieren des Profils über ein separates Zustimmungsdialog eingeholt und mit Zeitstempel, IP-Hash und User-Agent protokolliert.

Zweck: Suchmaschinenindexierung, damit Personen Therapeut:innen, die Glimm nutzen, finden und kontaktieren können.

Widerruf: Die Einwilligung kann jederzeit in den Kontoeinstellungen widerrufen werden. Das Profil wird dann sofort aus dem Web entfernt. Der Einwilligungsnachweis bleibt zu Dokumentationszwecken gespeichert.

Löschung: Bei Kontolöschung (DSGVO Art. 17) werden alle Profildaten vollständig gelöscht.

10. Datenübermittlung in Drittländer

Stripe, Cloudflare und Google haben ihren Sitz in den USA. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, Art. 45 DSGVO). Stripe, Cloudflare und Google sind unter dem EU-US DPF zertifiziert. AWS SES wird in der EU-Region (Stockholm, eu-north-1) betrieben. Ergänzend bestehen Standardvertragsklauseln (SVK/SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als zusätzliche Schutzmaßnahme.

11. Auftragsverarbeitung (AVV)

Glimm verarbeitet personenbezogene Daten im Auftrag der registrierten Therapeut:innen (Auftragsverarbeitung gemäß Art. 28 DSGVO). Die Therapeut:innen sind datenschutzrechtlich Verantwortliche für die von ihren Personen eingegebenen Daten. Eine Auftragsverarbeitungsvereinbarung (AVV) kann unter glimm.app/avv eingesehen und heruntergeladen werden.

11a. Biometrische Anmeldung (WebAuthn)

Glimm bietet optional die Möglichkeit, sich per Fingerabdruck oder Gesichtserkennung anzumelden (WebAuthn/FIDO2-Standard). Dabei gilt:

  • Keine biometrischen Daten auf unseren Servern: Ihr Fingerabdruck bzw. Ihr Gesicht verlassen niemals Ihr Gerät. Die biometrische Prüfung findet ausschließlich lokal auf Ihrem Gerät statt.
  • Was wir speichern: Einen kryptografischen öffentlichen Schlüssel und eine Credential-ID. Diese Daten enthalten keinerlei biometrische Informationen.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Freiwillig, jederzeit widerrufbar.
  • Löschung: Bei Kontolöschung werden alle gespeicherten WebAuthn-Credentials automatisch gelöscht.

12. Ihre Rechte (DSGVO)

  • Art. 15: Auskunftsrecht — Sie haben das Recht, Auskunft über Ihre gespeicherten Daten zu erhalten.
  • Art. 16: Berichtigungsrecht — Sie können die Berichtigung unrichtiger Daten verlangen.
  • Art. 17: Recht auf Löschung — Sie können die Löschung Ihrer Daten verlangen (Kontolösch-Funktion in Einstellungen).
  • Art. 18: Recht auf Einschränkung der Verarbeitung.
  • Art. 20: Recht auf Datenübertragbarkeit — Datenexport als JSON in den Einstellungen verfügbar.
  • Art. 21: Widerspruchsrecht gegen die Verarbeitung.

13. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Bei Kontolöschung greift eine 30-tägige Gnadenfrist (Möglichkeit zur Reaktivierung), danach werden alle Daten unwiderruflich gelöscht. Rechnungsdaten werden gemäß gesetzlicher Aufbewahrungspflichten (§ 132 BAO) 7 Jahre aufbewahrt.

14. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
www.dsb.gv.at

Datenschutzanfragen: privacy@glimm.app