DATENSCHUTZERKLÄRUNG
Datenschutzerklärung für die Website www.therapieraum-graz.at
Verantwortlicher für die Datenverarbeitung
TherapieRaum Graz
Praxisleitung: Stefan Just, MSc.
Volksgartenstraße 22
8020 Graz
Österreich
Telefon: 0660/721 7711
E-Mail: just@therapieraumlend.at
Website: www.therapieraum-graz.at
Zweck und Rechtsgrundlagen der Datenverarbeitung
Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten auf unserer Website gemäß der Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG).
Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:
- Bereitstellung und Betrieb der Website
- Beantwortung von Kontaktanfragen
- Statistische Auswertung der Website-Nutzung (anonymisiert)
1. Datenverarbeitungen
1.1 Besuch der Website und technische Daten
Beim Besuch unserer Website werden automatisch technische Daten erfasst, die Ihr Webbrowser übermittelt. Diese Daten dienen der Sicherstellung der Funktionsfähigkeit, der Verbesserung der Website und statistischen Zwecken.
Verarbeitete Daten:
- Browsertyp und -version
- Betriebssystem
- Referrer-URL (zuvor besuchte Seite)
- Hostname des zugreifenden Rechners
- Uhrzeit und Datum der Serveranfrage
- IP-Adresse (anonymisiert)
- Geolocation (Land/Region, nicht präzise)
- Gerät (Desktop, Tablet, Mobile)
- Seiten-URL und dynamischer Pfad
- Abfrageparameter (soweit nicht sensibel)
Rechtsgrundlage:
Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Sicherstellung der Systemsicherheit und statistischer Auswertung)
Speicherdauer:
- IP-Adressen: werden umgehend anonymisiert
- Vercel Web Analytics: Session-Hashes werden nach 24 Stunden verworfen
- Aggregierte Statistiken: unbegrenzt (vollständig anonymisiert)
1.2 Vercel Web Analytics (Privacy-First Analytics)
Zur Analyse der Website-Nutzung verwenden wir Vercel Web Analytics, ein datenschutzfreundliches Analysewerkzeug, das keine Cookies verwendet und keine personenbezogenen Daten dauerhaft speichert.
Funktionsweise:
- Keine Cookies: Es werden keine Tracking-Cookies gesetzt
- Keine Cross-Site-Verfolgung: Nutzer:innen werden nicht über verschiedene Websites hinweg verfolgt
- Hash-basierte Identifikation: Zur Unterscheidung von Sitzungen wird ein temporärer Hash verwendet, der nach 24 Stunden automatisch gelöscht wird
- Aggregierte Daten: Alle erfassten Daten sind anonymisiert und werden nur in aggregierter Form ausgewertet
Erfasste Daten:
- Event-Zeitstempel
- Seiten-URL und dynamischer Pfad
- Referrer-URL
- Abfrageparameter (bei Bedarf redaktiert)
- Geolocation (Land/Region, nicht präzise)
- Betriebssystem und Version
- Browser und Version
- Gerätetyp (Desktop, Tablet, Mobile)
Rechtsgrundlage:
Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an statistischer Auswertung)
Datenübermittlung in Drittstaaten:
Die Server von Vercel Inc. befinden sich teilweise in den USA. Vercel Inc. ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert und gewährleistet ein angemessenes Datenschutzniveau.
- Zertifizierung: https://www.dataprivacyframework.gov/list
- Vercel Privacy Policy: https://vercel.com/legal/privacy-policy
- Vercel Analytics Privacy: https://vercel.com/docs/analytics/privacy-policy
- Vercel DPA: https://vercel.com/legal/dpa
Widerspruchsmöglichkeit:
Da Vercel Web Analytics keine personenbezogenen Daten dauerhaft speichert und keine Cookies verwendet, ist ein Widerspruch technisch nicht erforderlich. Falls gewünscht, können Sie JavaScript in Ihrem Browser deaktivieren, wodurch die Datenerfassung verhindert wird.
1.3 Cookies
Diese Website verwendet keine Cookies für Tracking- oder Analysezwecke.
Technische Cookies:
Es werden lediglich technisch notwendige Session-Cookies verwendet, die nach Beendigung Ihrer Browser-Sitzung automatisch gelöscht werden.
Rechtsgrundlage:
Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der Website)
1.4 Kontaktaufnahme per E-Mail
Wenn Sie per E-Mail oder über ein Kontaktformular mit uns in Kontakt treten, werden Ihre Angaben (Name, E-Mail-Adresse, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage gespeichert.
Verarbeitete Daten:
- Name
- E-Mail-Adresse
- Inhalt Ihrer Nachricht
- Zeitpunkt der Kontaktaufnahme
Rechtsgrundlage:
Art. 6 Abs. 1 lit. b) DSGVO (Vertragsanbahnung) und Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)
Speicherdauer:
- Ohne Vertragsabschluss: 3 Jahre nach Eingang der Anfrage
- Bei Vertragsabschluss: Für die Dauer der Geschäftsbeziehung sowie darüber hinaus gemäß gesetzlicher Aufbewahrungspflichten (z. B. steuerrechtliche Aufbewahrungsfristen von 7 Jahren)
2. Speicherfristen
Wir speichern Ihre Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist:
| Datenart | Speicherdauer |
|---|---|
| Kontaktanfragen ohne Vertragsabschluss | 3 Jahre |
| Vertragsdaten bei Raumvermietung | Dauer der Geschäftsbeziehung + 7 Jahre (steuerrechtliche Aufbewahrungspflicht) |
| Vercel Analytics Session-Hashes | 24 Stunden (danach automatisch gelöscht) |
| Aggregierte Website-Statistiken | Unbegrenzt (vollständig anonymisiert) |
| Technische Logdaten (IP anonymisiert) | Unmittelbar nach Verarbeitung (keine Speicherung) |
3. Weitergabe von Daten an Dritte
3.1 Grundsatz
Ihre personenbezogenen Daten werden nicht an Dritte verkauft oder weitergegeben, es sei denn:
- Sie haben ausdrücklich eingewilligt (Art. 6 Abs. 1 lit. a) DSGVO)
- Es besteht eine gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO)
- Die Weitergabe ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b) DSGVO)
3.2 Datenübermittlung in Drittstaaten (USA)
Für den Betrieb unserer Website setzen wir Dienstleister ein, die teilweise in den USA ansässig sind und dort Daten verarbeiten:
Vercel Inc. (Hosting und Analytics)
- Sitz: San Francisco, CA, USA
- Zweck: Hosting der Website, Web Analytics
- Garantien: EU-U.S. Data Privacy Framework (DPF)-Zertifizierung
- Weitere Informationen:
- Zertifizierung: https://www.dataprivacyframework.gov/list
- Privacy Policy: https://vercel.com/legal/privacy-policy
- DPA: https://vercel.com/legal/dpa
GitHub Inc. (Code-Repository)
- Sitz: San Francisco, CA, USA
- Zweck: Speicherung und Versionierung des Website-Quellcodes
- Garantien: EU-U.S. Data Privacy Framework (DPF)-Zertifizierung
- Weitere Informationen:
4. Auftragsverarbeiter (Art. 28 DSGVO)
Zur Bereitstellung unserer Website setzen wir folgende Auftragsverarbeiter ein:
4.1 Hosting und Infrastruktur
Vercel Inc.
- Sitz: San Francisco, CA, USA
- Zweck: Hosting der Website, Content Delivery Network (CDN), SSL/TLS-Verschlüsselung, DDoS-Schutz
- Garantien: EU-U.S. Data Privacy Framework (DPF), SOC 2 Type II, ISO 27001:2022
- Weitere Informationen:
- Security & Compliance: https://vercel.com/docs/security/compliance
- Trust Center: https://security.vercel.com/
GitHub Inc.
- Sitz: San Francisco, CA, USA
- Zweck: Versionskontrolle und Code-Repository
- Garantien: EU-U.S. Data Privacy Framework (DPF), SOC 2
4.2 Datenbank
Neon (Neon.tech)
- Zweck: Serverlose PostgreSQL-Datenbank für Kontaktanfragen und Buchungsverwaltung (falls zutreffend)
- Garantien: SOC 2 Type II, Verschlüsselung im Ruhezustand (AES-256)
- Weitere Informationen:
- Security: https://neon.tech/security
- Privacy Policy: https://neon.tech/privacy-policy
4.3 Content Management System (CMS)
Sumaq Sites (Eigenentwicklung)
- Entwickler: Juan Eduardo Lingán Cubas
- Sitz: Graz, Österreich
- Zweck: Proprietäres CMS zur Verwaltung von Website-Inhalten
- Technologie: SvelteKit, deployed auf Vercel
- Datenverarbeitung: Läuft auf Vercel-Infrastruktur (siehe 4.1)
4.4 E-Mail-Dienste
Outlook.com (Microsoft Corporation) oder Gmail (Google LLC)
- Zweck: E-Mail-Kommunikation für Kontaktanfragen
- Garantien:
- Microsoft: EU-Standard-Vertragsklauseln (SCCs), GDPR-konform
- Google: EU-Standard-Vertragsklauseln (SCCs), GDPR-konform
- Weitere Informationen:
- Microsoft Privacy: https://privacy.microsoft.com/
- Google Privacy: https://policies.google.com/privacy
5. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten vor Verlust, Zerstörung, Manipulation und unbefugtem Zugriff zu schützen:
5.1 Verschlüsselung
- TLS 1.3 / HTTPS: Die gesamte Kommunikation zwischen Ihrem Browser und unseren Servern ist durch eine sichere TLS 1.3-Verschlüsselung geschützt
- AES-256-Verschlüsselung: Ruhende Daten (z. B. in der Datenbank) werden mit AES-256 verschlüsselt
5.2 Backups und Wiederherstellung
- Automatische Backups: Alle 2 Stunden
- Aufbewahrungsdauer: 30 Tage
- Geografische Replikation: Backups werden in mehreren Rechenzentren gespeichert
5.3 Schutz vor Angriffen
- DDoS-Schutz: Vercel bietet integrierten Schutz vor Distributed-Denial-of-Service-Angriffen
- Firewall und Intrusion Detection: Netzwerk-Sicherheitsmaßnahmen auf Infrastrukturebene
5.4 Zugriffskontrolle
- Berechtigungskonzept: Zugriff auf Datenbanken und CMS nur für autorisierte Personen
- Multi-Faktor-Authentifizierung (MFA): Für Admin-Zugänge
- Regelmäßige Software-Updates: Sicherheits-Patches werden zeitnah eingespielt
5.5 Auftragsverarbeiter-Verpflichtungen
Alle Auftragsverarbeiter sind vertraglich gemäß Art. 28 DSGVO verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.
5.6 Incident Response
Im Falle einer Datenschutzverletzung werden betroffene Personen und die zuständige Aufsichtsbehörde (Österreichische Datenschutzbehörde) innerhalb von 72 Stunden benachrichtigt, sofern ein Risiko für Ihre Rechte und Freiheiten besteht.
6. Rechte der betroffenen Personen
Sie haben gemäß der DSGVO folgende Rechte in Bezug auf Ihre personenbezogenen Daten:
6.1 Recht auf Auskunft (Art. 15 DSGVO)
Sie haben das Recht, jederzeit Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten, einschließlich:
- Verarbeitungszwecke
- Kategorien der Daten
- Empfänger der Daten
- Speicherdauer
- Herkunft der Daten
6.2 Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, unrichtige personenbezogene Daten berichtigen zu lassen.
6.3 Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern:
- Die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind
- Sie Ihre Einwilligung widerrufen haben und keine andere Rechtsgrundlage besteht
- Sie Widerspruch gegen die Verarbeitung eingelegt haben
- Die Daten unrechtmäßig verarbeitet wurden
- Eine gesetzliche Verpflichtung zur Löschung besteht
Ausnahmen:
Das Recht auf Löschung besteht nicht, wenn die Verarbeitung erforderlich ist zur:
- Erfüllung rechtlicher Verpflichtungen (z. B. steuerrechtliche Aufbewahrungsfristen von 7 Jahren)
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
6.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn:
- Die Richtigkeit der Daten bestritten wird
- Die Verarbeitung unrechtmäßig ist, Sie aber eine Löschung ablehnen
- Wir die Daten nicht mehr benötigen, Sie diese aber zur Geltendmachung von Rechtsansprüchen benötigen
- Sie Widerspruch eingelegt haben und noch nicht feststeht, ob unsere berechtigten Gründe überwiegen
6.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln.
6.6 Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. e) oder f) DSGVO beruht.
6.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Sofern die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
6.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)
Sie haben das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Österreichische Datenschutzbehörde:
Barichgasse 40-42
1030 Wien
Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: https://www.dsb.gv.at/
7. Ausübung Ihrer Rechte und Kontakt
Für Auskünfte, Berichtigungen, Löschungen oder andere Anfragen bezüglich Ihrer personenbezogenen Daten wenden Sie sich bitte an:
TherapieRaum Graz
Stefan Just, MSc.
Volksgartenstraße 22
8020 Graz
Österreich
E-Mail: just@therapieraumlend.at
Telefon: just@therapieraumlend.at
Bei Anfragen zur Ausübung Ihrer Rechte kann ein Identitätsnachweis erforderlich sein, um Missbrauch zu verhindern.
8. Änderungen dieser Datenschutzerklärung
Wir behalten uns das Recht vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder Änderungen unserer Datenverarbeitung anzupassen. Die aktuelle Fassung finden Sie stets auf unserer Website unter:
https://www.therapieraum-graz.at/datenschutz
Stand dieser Datenschutzerklärung: Januar 2026
© 2026 TherapieRaum Graz