DATENSCHUTZERKLÄRUNG

Datenschutzerklärung für die Website www.therapieraum-graz.at

Verantwortlicher für die Datenverarbeitung

TherapieRaum Graz
Praxisleitung: Stefan Just, MSc.
Volksgartenstraße 22
8020 Graz
Österreich

Telefon: 0660/721 7711
E-Mail: just@therapieraumlend.at
Website: www.therapieraum-graz.at

Zweck und Rechtsgrundlagen der Datenverarbeitung

Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten auf unserer Website gemäß der Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG).

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

Bereitstellung und Betrieb der Website
Beantwortung von Kontaktanfragen
Statistische Auswertung der Website-Nutzung (anonymisiert)

1. Datenverarbeitungen

1.1 Besuch der Website und technische Daten

Beim Besuch unserer Website werden automatisch technische Daten erfasst, die Ihr Webbrowser übermittelt. Diese Daten dienen der Sicherstellung der Funktionsfähigkeit, der Verbesserung der Website und statistischen Zwecken.

Verarbeitete Daten:

Browsertyp und -version
Betriebssystem
Referrer-URL (zuvor besuchte Seite)
Hostname des zugreifenden Rechners
Uhrzeit und Datum der Serveranfrage
IP-Adresse (anonymisiert)
Geolocation (Land/Region, nicht präzise)
Gerät (Desktop, Tablet, Mobile)
Seiten-URL und dynamischer Pfad
Abfrageparameter (soweit nicht sensibel)

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Sicherstellung der Systemsicherheit und statistischer Auswertung)

Speicherdauer:

IP-Adressen: werden umgehend anonymisiert
Vercel Web Analytics: Session-Hashes werden nach 24 Stunden verworfen
Aggregierte Statistiken: unbegrenzt (vollständig anonymisiert)

1.2 Vercel Web Analytics (Privacy-First Analytics)

Zur Analyse der Website-Nutzung verwenden wir Vercel Web Analytics, ein datenschutzfreundliches Analysewerkzeug, das keine Cookies verwendet und keine personenbezogenen Daten dauerhaft speichert.

Funktionsweise:

Keine Cookies: Es werden keine Tracking-Cookies gesetzt
Keine Cross-Site-Verfolgung: Nutzer:innen werden nicht über verschiedene Websites hinweg verfolgt
Hash-basierte Identifikation: Zur Unterscheidung von Sitzungen wird ein temporärer Hash verwendet, der nach 24 Stunden automatisch gelöscht wird
Aggregierte Daten: Alle erfassten Daten sind anonymisiert und werden nur in aggregierter Form ausgewertet

Erfasste Daten:

Event-Zeitstempel
Seiten-URL und dynamischer Pfad
Referrer-URL
Abfrageparameter (bei Bedarf redaktiert)
Geolocation (Land/Region, nicht präzise)
Betriebssystem und Version
Browser und Version
Gerätetyp (Desktop, Tablet, Mobile)

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an statistischer Auswertung)

Datenübermittlung in Drittstaaten:
Die Server von Vercel Inc. befinden sich teilweise in den USA. Vercel Inc. ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert und gewährleistet ein angemessenes Datenschutzniveau.

Zertifizierung: https://www.dataprivacyframework.gov/list
Vercel Privacy Policy: https://vercel.com/legal/privacy-policy
Vercel Analytics Privacy: https://vercel.com/docs/analytics/privacy-policy
Vercel DPA: https://vercel.com/legal/dpa

Widerspruchsmöglichkeit:
Da Vercel Web Analytics keine personenbezogenen Daten dauerhaft speichert und keine Cookies verwendet, ist ein Widerspruch technisch nicht erforderlich. Falls gewünscht, können Sie JavaScript in Ihrem Browser deaktivieren, wodurch die Datenerfassung verhindert wird.

1.3 Cookies

Diese Website verwendet keine Cookies für Tracking- oder Analysezwecke.

Technische Cookies:
Es werden lediglich technisch notwendige Session-Cookies verwendet, die nach Beendigung Ihrer Browser-Sitzung automatisch gelöscht werden.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der Website)

1.4 Kontaktaufnahme per E-Mail

Wenn Sie per E-Mail oder über ein Kontaktformular mit uns in Kontakt treten, werden Ihre Angaben (Name, E-Mail-Adresse, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage gespeichert.

Verarbeitete Daten:

Name
E-Mail-Adresse
Inhalt Ihrer Nachricht
Zeitpunkt der Kontaktaufnahme

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b) DSGVO (Vertragsanbahnung) und Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

Speicherdauer:

Ohne Vertragsabschluss: 3 Jahre nach Eingang der Anfrage
Bei Vertragsabschluss: Für die Dauer der Geschäftsbeziehung sowie darüber hinaus gemäß gesetzlicher Aufbewahrungspflichten (z. B. steuerrechtliche Aufbewahrungsfristen von 7 Jahren)

2. Speicherfristen

Wir speichern Ihre Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist:

Datenart	Speicherdauer
Kontaktanfragen ohne Vertragsabschluss	3 Jahre
Vertragsdaten bei Raumvermietung	Dauer der Geschäftsbeziehung + 7 Jahre (steuerrechtliche Aufbewahrungspflicht)
Vercel Analytics Session-Hashes	24 Stunden (danach automatisch gelöscht)
Aggregierte Website-Statistiken	Unbegrenzt (vollständig anonymisiert)
Technische Logdaten (IP anonymisiert)	Unmittelbar nach Verarbeitung (keine Speicherung)

3. Weitergabe von Daten an Dritte

3.1 Grundsatz

Ihre personenbezogenen Daten werden nicht an Dritte verkauft oder weitergegeben, es sei denn:

Sie haben ausdrücklich eingewilligt (Art. 6 Abs. 1 lit. a) DSGVO)
Es besteht eine gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO)
Die Weitergabe ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b) DSGVO)

3.2 Datenübermittlung in Drittstaaten (USA)

Für den Betrieb unserer Website setzen wir Dienstleister ein, die teilweise in den USA ansässig sind und dort Daten verarbeiten:

Vercel Inc. (Hosting und Analytics)

Sitz: San Francisco, CA, USA
Zweck: Hosting der Website, Web Analytics
Garantien: EU-U.S. Data Privacy Framework (DPF)-Zertifizierung
Weitere Informationen:
- Zertifizierung: https://www.dataprivacyframework.gov/list
- Privacy Policy: https://vercel.com/legal/privacy-policy
- DPA: https://vercel.com/legal/dpa

GitHub Inc. (Code-Repository)

Sitz: San Francisco, CA, USA
Zweck: Speicherung und Versionierung des Website-Quellcodes
Garantien: EU-U.S. Data Privacy Framework (DPF)-Zertifizierung
Weitere Informationen:
- Privacy Statement: https://docs.github.com/en/site-policy/privacy-policies/github-privacy-statement
- DPA: https://github.com/customer-terms/github-data-protection-agreement

4. Auftragsverarbeiter (Art. 28 DSGVO)

Zur Bereitstellung unserer Website setzen wir folgende Auftragsverarbeiter ein:

4.1 Hosting und Infrastruktur

Vercel Inc.

Sitz: San Francisco, CA, USA
Zweck: Hosting der Website, Content Delivery Network (CDN), SSL/TLS-Verschlüsselung, DDoS-Schutz
Garantien: EU-U.S. Data Privacy Framework (DPF), SOC 2 Type II, ISO 27001:2022
Weitere Informationen:
- Security & Compliance: https://vercel.com/docs/security/compliance
- Trust Center: https://security.vercel.com/

GitHub Inc.

Sitz: San Francisco, CA, USA
Zweck: Versionskontrolle und Code-Repository
Garantien: EU-U.S. Data Privacy Framework (DPF), SOC 2

4.2 Datenbank

Neon (Neon.tech)

Zweck: Serverlose PostgreSQL-Datenbank für Kontaktanfragen und Buchungsverwaltung (falls zutreffend)
Garantien: SOC 2 Type II, Verschlüsselung im Ruhezustand (AES-256)
Weitere Informationen:
- Security: https://neon.tech/security
- Privacy Policy: https://neon.tech/privacy-policy

4.3 Content Management System (CMS)

Sumaq Sites (Eigenentwicklung)

Entwickler: Juan Eduardo Lingán Cubas
Sitz: Graz, Österreich
Zweck: Proprietäres CMS zur Verwaltung von Website-Inhalten
Technologie: SvelteKit, deployed auf Vercel
Datenverarbeitung: Läuft auf Vercel-Infrastruktur (siehe 4.1)

4.4 E-Mail-Dienste

Outlook.com (Microsoft Corporation) oder Gmail (Google LLC)

Zweck: E-Mail-Kommunikation für Kontaktanfragen
Garantien:
- Microsoft: EU-Standard-Vertragsklauseln (SCCs), GDPR-konform
- Google: EU-Standard-Vertragsklauseln (SCCs), GDPR-konform
Weitere Informationen:
- Microsoft Privacy: https://privacy.microsoft.com/
- Google Privacy: https://policies.google.com/privacy

5. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten vor Verlust, Zerstörung, Manipulation und unbefugtem Zugriff zu schützen:

5.1 Verschlüsselung

TLS 1.3 / HTTPS: Die gesamte Kommunikation zwischen Ihrem Browser und unseren Servern ist durch eine sichere TLS 1.3-Verschlüsselung geschützt
AES-256-Verschlüsselung: Ruhende Daten (z. B. in der Datenbank) werden mit AES-256 verschlüsselt

5.2 Backups und Wiederherstellung

Automatische Backups: Alle 2 Stunden
Aufbewahrungsdauer: 30 Tage
Geografische Replikation: Backups werden in mehreren Rechenzentren gespeichert

5.3 Schutz vor Angriffen

DDoS-Schutz: Vercel bietet integrierten Schutz vor Distributed-Denial-of-Service-Angriffen
Firewall und Intrusion Detection: Netzwerk-Sicherheitsmaßnahmen auf Infrastrukturebene

5.4 Zugriffskontrolle

Berechtigungskonzept: Zugriff auf Datenbanken und CMS nur für autorisierte Personen
Multi-Faktor-Authentifizierung (MFA): Für Admin-Zugänge
Regelmäßige Software-Updates: Sicherheits-Patches werden zeitnah eingespielt

5.5 Auftragsverarbeiter-Verpflichtungen

Alle Auftragsverarbeiter sind vertraglich gemäß Art. 28 DSGVO verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.

5.6 Incident Response

Im Falle einer Datenschutzverletzung werden betroffene Personen und die zuständige Aufsichtsbehörde (Österreichische Datenschutzbehörde) innerhalb von 72 Stunden benachrichtigt, sofern ein Risiko für Ihre Rechte und Freiheiten besteht.

6. Rechte der betroffenen Personen

Sie haben gemäß der DSGVO folgende Rechte in Bezug auf Ihre personenbezogenen Daten:

6.1 Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, jederzeit Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten, einschließlich:

Verarbeitungszwecke
Kategorien der Daten
Empfänger der Daten
Speicherdauer
Herkunft der Daten

6.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unrichtige personenbezogene Daten berichtigen zu lassen.

6.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern:

Die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind
Sie Ihre Einwilligung widerrufen haben und keine andere Rechtsgrundlage besteht
Sie Widerspruch gegen die Verarbeitung eingelegt haben
Die Daten unrechtmäßig verarbeitet wurden
Eine gesetzliche Verpflichtung zur Löschung besteht

Ausnahmen:
Das Recht auf Löschung besteht nicht, wenn die Verarbeitung erforderlich ist zur:

Erfüllung rechtlicher Verpflichtungen (z. B. steuerrechtliche Aufbewahrungsfristen von 7 Jahren)
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

6.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn:

Die Richtigkeit der Daten bestritten wird
Die Verarbeitung unrechtmäßig ist, Sie aber eine Löschung ablehnen
Wir die Daten nicht mehr benötigen, Sie diese aber zur Geltendmachung von Rechtsansprüchen benötigen
Sie Widerspruch eingelegt haben und noch nicht feststeht, ob unsere berechtigten Gründe überwiegen

6.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln.

6.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. e) oder f) DSGVO beruht.

6.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

6.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Österreichische Datenschutzbehörde:
Barichgasse 40-42
1030 Wien
Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: https://www.dsb.gv.at/

7. Ausübung Ihrer Rechte und Kontakt

Für Auskünfte, Berichtigungen, Löschungen oder andere Anfragen bezüglich Ihrer personenbezogenen Daten wenden Sie sich bitte an:

TherapieRaum Graz
Stefan Just, MSc.
Volksgartenstraße 22
8020 Graz
Österreich

E-Mail: just@therapieraumlend.at
Telefon: just@therapieraumlend.at

Bei Anfragen zur Ausübung Ihrer Rechte kann ein Identitätsnachweis erforderlich sein, um Missbrauch zu verhindern.

8. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder Änderungen unserer Datenverarbeitung anzupassen. Die aktuelle Fassung finden Sie stets auf unserer Website unter:
https://www.therapieraum-graz.at/datenschutz

Stand dieser Datenschutzerklärung: Januar 2026