Datenschutzrichtlinie

Gültig ab: 2026-03-06

Veleiras („wir", „uns") ist eine digitale Gedenkplattform. Wir nehmen die Privatsphäre der Menschen, die unseren Dienst nutzen — und der Menschen, an die sie erinnern — sehr ernst.

1. Verantwortlicher

Der für die Verarbeitung deiner personenbezogenen Daten Verantwortliche ist:

Eliana dos Santos Pereira (Einzelunternehmen)
6020 Innsbruck, AT
Email: privacy@veleiras.com

Da wir als Kleinunternehmen mit weniger als 10 Mitarbeitenden operieren, besteht keine Pflicht zur Benennung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO. Für datenschutzrechtliche Anfragen kontaktiere uns unter: privacy@veleiras.com.

2. Was wir erheben und unsere Rechtsgrundlage

Wenn du eine Gedenkseite erstellst, erheben wir:

• Deine E-Mail-Adresse (für Anmeldung und Benachrichtigungen)
• Ein Passwort (mit Argon2id gehasht, wird niemals im Klartext gespeichert)
• Den Namen, die Daten und die Geschichte der Person, an die du erinnerst
• Fotos, die du der Galerie hinzufügst
• Gästebucheinträge von Besuchern

Wir erheben keine Namen, E-Mail-Adressen oder sonstige identifizierende Informationen von Besuchern, die Kerzen anzünden oder eine Gedenkseite über einen geteilten Link aufrufen.

Gemäß Art. 6(1) DSGVO stützen wir uns auf folgende Rechtsgrundlagen für jede Verarbeitungstätigkeit:

Verarbeitungstätigkeit	Rechtsgrundlage
Kontodaten (E-Mail, Passwort)	Vertragserfüllung — Art. 6(1)(b)
Gedenkseiten-Inhalte (Namen, Daten, Fotos, Geschichten)	Vertragserfüllung — Art. 6(1)(b)
Zahlungsdaten (Transaktionsaufzeichnungen)	Vertragserfüllung — Art. 6(1)(b) + Gesetzliche Pflicht (steuerliche Aufbewahrung) — Art. 6(1)(c)
Cookie-Einwilligungsprotokolle	Berechtigtes Interesse (Compliance-Dokumentation) — Art. 6(1)(f)
Serverseitige Statistiken (aggregiert)	Berechtigtes Interesse (Dienstverbesserung) — Art. 6(1)(f)
E-Mail-Benachrichtigungen	Vertragserfüllung — Art. 6(1)(b)
Session-Cookies (PHPSESSID, CSRF)	Unbedingt erforderlich — keine Einwilligung nötig (Art. 5(3) ePrivacy-Richtlinie)

3. Wie wir deine Daten schützen

Verschlüsselung im Ruhezustand: Alle sensiblen personenbezogenen Daten — einschließlich Namen, E-Mail-Adressen, Epitaphe, Lebensgeschichten, Gästebuchnachrichten und Wertschätzungseinträge (Namen und persönliche Geschichten über Menschen, die dir wichtig waren) — werden vor der Speicherung in unserer Datenbank mit AES-256-GCM-authentifizierter Verschlüsselung (über die Bibliothek defuse/php-encryption) verschlüsselt. Das bedeutet: Selbst bei einem Datenbankeinbruch sind die Daten ohne die Verschlüsselungsschlüssel nicht lesbar.

Passwort-Hashing: Passwörter werden mit Argon2id und speicherintensiven Parametern gehasht, was Brute-Force-Angriffe rechnerisch unausführbar macht. Wir speichern Passwörter niemals im Klartext.

Verschlüsselung bei der Übertragung: Die gesamte Kommunikation zwischen deinem Browser und unseren Servern ist durch HTTPS/TLS-Verschlüsselung geschützt. Wir erzwingen HTTPS auf allen Seiten und API-Endpunkten.

4. Linkbasierter Zugang

Gedenkseiten werden über kryptographisch sichere Freigabelinks aufgerufen, nicht über ein öffentliches Verzeichnis. Es gibt drei Zugangsstufen:

• Eigentümer — Volle Kontrolle, nur dem Ersteller der Gedenkseite vorbehalten
• Familie — Kann Fotos hinzufügen und Nachrichten moderieren
• Gast — Kann ansehen, Kerzen anzünden und Nachrichten hinterlassen

Ohne gültigen Link sehen Besucher nur eine minimale Schwellenseite mit dem Vornamen der Person und einer Kerze. Keine Geschichte, Fotos oder Nachrichten sind ohne Einladung sichtbar.

5. Was wir nicht tun

• Wir verkaufen deine Daten nicht, niemals
• Wir schalten keine Werbung
• Wir verwenden keine Analyse-Tracker (kein Google Analytics, kein Facebook Pixel)
• Wir verwenden keine Tracking-Cookies oder Werbe-Cookies von Drittanbietern
• Wir geben Gedenkseiten-Daten nicht an Dritte weiter
• Wir verwenden Gedenkseiten-Inhalte nicht zum Trainieren von KI-Modellen
• Wir erstellen keine Besucherprofile und keine Verhaltensmodelle

6. Cookies

Wir verwenden ausschließlich unbedingt erforderliche Cookies. Wir setzen keine Tracking-Cookies, Analyse-Cookies oder Werbe-Cookies von Drittanbietern ein.

Cookie	Zweck	Dauer
PHPSESSID	Sitzungsverwaltung (Anmeldestatus). Unbedingt erforderlich.	Läuft ab beim Schließen des Browsers
CSRF-Token	Schutz vor Cross-Site-Request-Forgery. Unbedingt erforderlich für die Sicherheit.	Sitzung
__cf_bm und ähnliche	Von Cloudflare gesetzt für Bot-Management und DDoS-Schutz. Unbedingt erforderlich für die Sicherheit.	Bis zu 30 Minuten

Da alle von uns verwendeten Cookies für den Betrieb und die Sicherheit des Dienstes unbedingt erforderlich sind, sind sie gemäß Art. 5(3) der ePrivacy-Richtlinie von der Einwilligungspflicht ausgenommen.

7. Cookie-Einwilligungsbanner

Wir zeigen allen Besuchern ein Cookie-Einwilligungsbanner an. Obwohl unsere Cookies unbedingt erforderlich sind und keine Einwilligung benötigen, sorgt das Banner für Transparenz und ermöglicht eine informierte Entscheidung. Deine Einstellung wird im localStorage deines Browsers und serverseitig für unsere Compliance-Dokumentation gespeichert.

Der serverseitige Einwilligungsdatensatz speichert: Benutzer-ID (falls angemeldet) oder anonyme Besucher-ID, Einwilligungsaktion (Akzeptieren/Ablehnen), Einwilligungsversion, einen Einweg-Hash deiner IP-Adresse (nicht die IP-Adresse selbst) und Zeitstempel.

Cookie-Einwilligungsdatensätze werden gemäß Art. 7(1) DSGVO 3 Jahre lang aufbewahrt, da der Verantwortliche nachweisen können muss, dass eine Einwilligung erteilt wurde.

8. Serverseitige Statistiken

Wir erheben aggregierte Besuchsstatistiken, um zu verstehen, wie der Dienst genutzt wird, und um ihn zu verbessern. Dies geschieht vollständig serverseitig, ohne Cookies, ohne JavaScript-Tracking und ohne individuelle Besucheridentifikation.

Wir speichern nur:

• Besuchsdatum
• Ländercode (abgeleitet aus dem Cloudflare CF-IPCountry-Header)
• Seitenpfad
• Aggregierte Besuchszahl

Es werden keine IP-Adressen, Browser-Fingerabdrücke oder sonstige personenbezogene Informationen als Teil der Statistiken gespeichert. Einzelne Besucher können weder identifiziert noch verfolgt werden. Statistikdaten werden 2 Jahre aufbewahrt.

9. Zahlungsdaten

Alle Zahlungen werden von Stripe abgewickelt. Wir sehen, speichern oder verarbeiten niemals deine Kreditkartendaten. Stripe wickelt alle Zahlungsdaten in Übereinstimmung mit PCI DSS Level 1 ab.

Wir speichern eine Aufzeichnung deiner Transaktion (Stripe-Zahlungs-ID, Betrag, Datum, Status) zur Vertragserfüllung und um unserer gesetzlichen Pflicht zur Aufbewahrung von Finanzunterlagen nach der österreichischen Bundesabgabenordnung (BAO §132) nachzukommen. Zahlungsaufzeichnungen werden 7 Jahre nach der Transaktion aufbewahrt.

10. Datenaufbewahrung

Datenkategorie	Aufbewahrungszeitraum
Kontodaten (E-Mail, Passwort-Hash)	Bis zur Kontolöschung + 30 Tage
Gedenkseiten-Daten (Für-immer-Plan)	Solange Veleiras betrieben wird (siehe Für-immer-Plan Bedingungen)
Gedenkseiten-Daten (kostenlose Stufe)	Unbegrenzt; kann nach 5 Jahren Inaktivität archiviert werden (90 Tage vorherige E-Mail-Benachrichtigung an den Eigentümer)
Zahlungsaufzeichnungen	7 Jahre (österreichisches Steuerrecht, BAO §132)
Cookie-Einwilligungsprotokolle	3 Jahre (Art. 7(1) DSGVO)
Serverseitige Statistiken	2 Jahre
Sitzungsdaten (PHPSESSID)	Bis zum Schließen des Browsers
DSGVO-Löschanfragen	Daten werden innerhalb von 30 Tagen gelöscht; E-Mail-Hash wird beibehalten, um Probleme bei erneuter Registrierung zu vermeiden

Wenn du deine Gedenkseite löschst oder eine Löschung beantragst, werden alle zugehörigen Daten (Fotos, Nachrichten, Geschichten, Kerzen) innerhalb von 30 Tagen dauerhaft von unseren Servern entfernt.

11. Auftragsverarbeiter

Wir nutzen die folgenden Drittanbieter (Auftragsverarbeiter) für den Betrieb von Veleiras. Mit jedem besteht ein Auftragsverarbeitungsvertrag (AVV):

Auftragsverarbeiter	Zweck	Standort & Schutzmaßnahmen
Stripe, Inc.	Zahlungsabwicklung	Vereinigte Staaten — EU-Standardvertragsklauseln (SCCs) + AVV
Cloudflare, Inc.	CDN, DDoS-Schutz, Sicherheit, Medienspeicher (R2), Edge-Datenbank (D1)	US-Unternehmen — EU-Datenstandorte, EU-US Data Privacy Framework + AVV
Hostinger International Ltd.	Webhosting und Datenbank	Server in der Europäischen Union — AVV

12. Internationale Übermittlungen

Deine Daten werden auf Servern in der Europäischen Union gespeichert. Unsere Hauptdatenbank wird von Hostinger (EU) gehostet, und Cloudflare D1 (Datenbank) sowie R2 (Medienspeicher) sind für EU-Datenstandorte konfiguriert. Das CDN von Cloudflare kann Anfragen aus Leistungs- und Sicherheitsgründen über globale Edge-Server leiten, aber gespeicherte Daten verbleiben in der EU. Stripe (Zahlungsabwicklung) hat seinen Sitz in den Vereinigten Staaten und ist unter dem EU-US Data Privacy Framework zertifiziert. Alle Übermittlungen außerhalb der EU sind durch Auftragsverarbeitungsverträge gemäß Kapitel V DSGVO geschützt.

13. Deine Rechte (DSGVO)

Wenn du dich im Europäischen Wirtschaftsraum befindest, hast du das Recht auf:

• Auskunft (Art. 15) — Fordere eine Kopie aller personenbezogenen Daten an, die wir über dich gespeichert haben
• Berichtigung (Art. 16) — Korrigiere unrichtige personenbezogene Daten
• Löschung (Art. 17) — Fordere die Löschung deiner Daten und Gedenkseite an
• Einschränkung (Art. 18) — Fordere eine Einschränkung der Verarbeitung an
• Datenübertragbarkeit (Art. 20) — Erhalte deine Daten in einem strukturierten, maschinenlesbaren Format
• Widerspruch (Art. 21) — Widersprich der Verarbeitung auf Grundlage berechtigter Interessen

Um eines dieser Rechte auszuüben, kontaktiere uns unter privacy@veleiras.com. Wir antworten innerhalb von 30 Tagen gemäß Art. 12(3) DSGVO.

14. Profiling und automatisierte Entscheidungsfindung

Wir betreiben kein Profiling und keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO. Es werden keine Entscheidungen, die dich betreffen, durch automatisierte Mittel getroffen. Wir erstellen keine Verhaltensprofile von Nutzern oder Besuchern.

15. Kinder

Veleiras richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Gedenkseiten dürfen von Eltern oder Erziehungsberechtigten für Kinder erstellt werden.

16. Änderungen dieser Richtlinie

Wir können diese Richtlinie von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden per E-Mail an Gedenkseiten-Eigentümer mitgeteilt. Das Datum des Inkrafttretens am Anfang dieser Seite zeigt immer die aktuelle Version.

17. Kontakt und Beschwerden

Bei datenschutzbezogenen Fragen oder Anfragen:
privacy@veleiras.com

Wir bemühen uns, alle Datenschutzanliegen direkt zu klären. Wenn du mit unserer Antwort nicht zufrieden bist, hast du das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen:

Österreichische Datenschutzbehörde
(Österreichische Datenschutzbehörde)
Barichgasse 40-42, 1030 Vienna, Austria
Email: dsb@dsb.gv.at
Website: www.dsb.gv.at

← Zurück zu Veleiras