Datenschutzerklärung

2026-04-05: 2026-03-30

1. Verantwortliche Stelle

Der Verantwortliche für Ihre personenbezogenen Daten.

GatherMatter e.U., Meierhof 222, 8112 Gratwein-Straßengel, Österreich. E-Mail: support@gathermatter.org. GatherMatter e.U. ist Verantwortliche/r im Sinne der DSGVO für alle personenbezogenen Daten, die über die Gathermatter-Plattform verarbeitet werden.

2. Welche personenbezogenen Daten wir erheben

Eine transparente Aufschlüsselung aller erhobenen Datenarten.

2.1 Konto- und Identitätsdaten

Vollständiger Name
Nutzername (öffentlich sichtbar)
E-Mail-Adresse
Profilfoto (optional)
Geburtsdatum (optional)
Telefonnummer (optional)

2.2 Authentifizierungsdaten

Verschlüsselter Passwort-Hash (wir sehen Ihr Passwort nie im Klartext)
OAuth-Verbindungsidentifikatoren (nur Referenz-ID, nicht Ihre Google/Apple-Zugangsdaten)
Aktive Sitzungs-Token (in httpOnly-Cookies gespeichert)

2.3 Einstellungen und Präferenzen

Sprachpräferenz
Cookie-Einwilligung und Zeitstempel
Benachrichtigungseinstellungen
Plattform-UI-Präferenzen

2.4 Push-Benachrichtigungsdaten

Browser/Gerät-Push-Abonnementdaten (VAPID-Token) — für den Versand von Benachrichtigungen, die Sie aktiviert haben.

2.5 Kalenderintegrationsdaten

Google-Kalender-OAuth-Token — nur bei Verbindung Ihres Google-Kalenders. Sie können die Verbindung jederzeit in Ihren Kontoeinstellungen trennen.

2.6 Zahlungs- und Finanzdaten

Wir speichern niemals vollständige Zahlungskarteninformationen. Kartendaten werden ausschließlich von Stripe verarbeitet.

SEPA-Mandatsdaten (IBAN und Kontoinhaber) — bei Einrichtung einer Lastschrift
Zahlungsmittelart und letzte 4 Ziffern — von Stripe gespeichert, nicht von uns
Kaufhistorie (Ticketbestellungen, Bestellbeträge, Zahlungsdaten)
Rechnungs- und Transaktionsunterlagen (für steuerliche Compliance)

2.7 Veranstaltungs- und Aktivitätsdaten

Gekaufte Tickets und besuchte Veranstaltungen
QR-Check-in-Aufzeichnungen
Veranstaltungsanmeldungen und -registrierungen
Umfrageantworten

2.8 Workspace- und Mitgliedschaftsdaten

Workspace-Mitgliedschaften und Rollen
Von Workspace-Administrator/innen eingegebene Datenfelder
Zahlungsunterlagen zu Mitgliedsbeiträgen

2.9 Kommunikationsdaten

Im Workspace-Team-Messaging gesendete und empfangene Nachrichten
Von Ihnen geteilte Dateianhänge
Newsletter-Öffnungs- und Klickereignisse (bei Abonnement eines Veranstalter-Newsletters)

2.10 Plattformnutzungsdaten

Letzte 100 Plattformseiten-Besuche (für Navigationsvorschläge — nicht mit Dritten geteilt, nicht für Werbung)
Funktionsnutzungsmuster (aggregiert, zur Plattformverbesserung)

3. Zwecke und Rechtsgrundlagen

Warum wir Ihre Daten verarbeiten und welche Rechtsgrundlage gilt.

Wir verarbeiten Ihre personenbezogenen Daten nur bei gültiger Rechtsgrundlage:

Zweck	Verwendete Daten	Rechtsgrundlage (Art. 6 DSGVO)
Kontoverwaltung	Konto-/Identitätsdaten, Auth-Daten	Art. 6(1)(b) — Vertrag
Plattformdienste	Alle Konto- und Aktivitätsdaten	Art. 6(1)(b) — Vertrag
Zahlungsabwicklung	Zahlungs-, Bestelldaten	Art. 6(1)(b) — Vertrag
Transaktionale E-Mails	E-Mail-Adresse	Art. 6(1)(b) — Vertrag
Steuerunterlagen (7 Jahre)	Anonymisierte Finanzdaten	Art. 6(1)(c) — Rechtliche Verpflichtung (BAO §132)
Navigationsvorschläge	Seitenbesuchsdaten	Art. 6(1)(f) — Berechtigtes Interesse
Betrugprävention	Kontodaten, Aktivitätsmuster	Art. 6(1)(f) — Berechtigtes Interesse
Marketing-E-Mails	E-Mail-Adresse	Art. 6(1)(a) — Einwilligung
Push-Benachrichtigungen	VAPID-Push-Token	Art. 6(1)(a) — Einwilligung
Google-Kalender-Sync	Kalender-OAuth-Token	Art. 6(1)(a) — Einwilligung
KI-Funktionen	Von Ihnen eingegebene Inhalte	Art. 6(1)(b) — Vertrag
Vercel Analytics	Anonyme Seitenaufrufe	Art. 6(1)(a) — Einwilligung

4. Empfänger und Auftragsverarbeiter

Mit wem wir Ihre Daten teilen und warum.

Wir verkaufen keine personenbezogenen Daten an Dritte. Wir geben keine Daten an Werbetreibende weiter.

Alle Auftragsverarbeiter sind durch Auftragsverarbeitungsverträge (Art. 28 DSGVO) gebunden:

Auftragsverarbeiter	Funktion	Übermittelte Daten	Standort
Convex, Inc.	Datenbank und Backend	Alle Plattformdaten	USA
Stripe, Inc.	Zahlungsabwicklung	Zahlungsdaten, KYC, Transaktionen	USA / Irland
Postmark (ActiveCampaign)	E-Mail-Versand	E-Mail-Adresse, E-Mail-Inhalt	USA
Bunny.net	Medien-CDN und Video-Streaming	Hochgeladene Mediendateien	Slowenien / EU
Vercel, Inc.	Web-Hosting	IP-Adresse, anonyme Analysen (bei Opt-in)	USA
OpenRouter	KI-Modell-Routing	In KI-Funktionen eingegebene Inhalte	USA
Google LLC	OAuth, Kalender, Places API	OAuth-ID, Kalender-Token, Standortabfragen	USA
Apple Inc.	OAuth-Anmeldung	OAuth-Kennung	USA

5. Internationale Datenübermittlungen

Wie wir Ihre Daten bei grenzüberschreitender Übertragung schützen.

Einige unserer Auftragsverarbeiter befinden sich in den USA. Diese Übermittlungen sind durch Standardvertragsklauseln (SCC) und, soweit anwendbar, den EU–US-Datenschutzrahmen abgesichert.

Für Bunny.net verbleiben die Daten primär in der EU/EWR (Sitz in Slowenien).

6. Speicherdauer

Wie lange wir Ihre Daten aufbewahren.

Nach der Kontolöschung: Alle persönlichen Identifikatoren werden innerhalb von 14 Tagen gelöscht. Gemäß BAO §132 erforderliche Finanzunterlagen werden anonymisiert.

Datenkategorie	Aufbewahrungsdauer	Grundlage
Kontodaten	Bis Kontolöschung + 14-Tage-Deaktivierung	Vertrag / Art. 17 DSGVO
Authentifizierungsdaten	Sitzungen: bis Abmeldung; Passwort: bis Löschung	Vertrag
Ticketkaufbelege und Rechnungen	7 Jahre (anonymisiert nach Löschung)	BAO §132
Finanzunterlagen	7 Jahre (anonymisiert nach Löschung)	BAO §132
Seitenbesuchshistorie	Rollierende Periode (letzte 100 Einträge)	Berechtigtes Interesse
Push-Token	Bis Deaktivierung oder Kontolöschung	Einwilligung
Google-Kalender-Token	Bis Trennung der Verbindung	Einwilligung
SEPA-Mandatsdaten	Bis Kündigung + 14 Monate	Vertrag / Rechtliche Verpflichtung
Chat-Nachrichten und Dateien	Bis Konto- oder Workspace-Löschung	Vertrag
KI-Funktionseingaben	Nicht über die aktuelle Sitzung hinaus	Vertrag
Newsletter-Analysen	2 Jahre	Berechtigtes Interesse

7. Ihre Rechte

Welche Rechte Ihnen die DSGVO gibt.

Zur Ausübung Ihrer Rechte wenden Sie sich an support@gathermatter.org. Wir antworten innerhalb von 30 Tagen. Die Ausübung ist kostenfrei.

Auskunftsrecht (Art. 15) — Kopie aller über Sie gespeicherten Daten anfordern
Recht auf Berichtigung (Art. 16) — Unrichtige Daten korrigieren
Recht auf Löschung (Art. 17) — Löschung Ihres Kontos und Ihrer Daten beantragen
Recht auf Einschränkung (Art. 18) — Verarbeitung einschränken lassen
Recht auf Datenübertragbarkeit (Art. 20) — Ihre Daten im JSON-Format herunterladen
Widerspruchsrecht (Art. 21) — Verarbeitung auf Basis berechtigten Interesses widersprechen
Rechte bei automatisierten Entscheidungen (Art. 22) — Wir treffen keine automatisierten Entscheidungen mit rechtlichen Auswirkungen

8. Cookies und ähnliche Technologien

Minimale Cookies. Kein Tracking, keine Werbung.

Wir verwenden keine Werbe-Cookies, keine Cross-Site-Tracking-Cookies und keine Drittanbieter-Marketing-Pixel.

Unsere Cookie-Nutzung unterliegt §165 TKG 2021. Essenzielle Cookies werden auf Grundlage strikter Notwendigkeit gesetzt. Optionale Analyse-Cookies nur mit Ihrer ausdrücklichen Einwilligung.

Cookie / Speicher	Art	Zweck	Einwilligung erforderlich?
Auth-Sitzungs-Cookie	Essenziell	Hält Sie eingeloggt	Nein (technisch notwendig)
lang-Cookie	Essenziell	Speichert Sprachpräferenz	Nein (technisch notwendig)
Cookie-Einwilligung	Essenziell	Speichert Cookie-Auswahl	Nein (technisch notwendig)
Vercel Analytics	Optional	Anonyme aggregierte Analyse	Ja (Opt-in)

9. Newsletter und Marketing

Wie wir E-Mail-Kommunikation handhaben.

9.1 Transaktionale E-Mails

Bestellbestätigungen, Quittungen, Kontobenachrichtigungen und Sicherheitswarnungen werden auf Grundlage der Vertragserfüllung (Art. 6(1)(b)) versendet und können nicht abbestellt werden.

9.2 Marketing-E-Mails

Marketing-E-Mails nur mit Ihrer ausdrücklichen Einwilligung (Art. 6(1)(a), §174 TKG 2021). Abmeldung jederzeit über den Link in der E-Mail oder Ihre Kontoeinstellungen.

9.3 Newsletter von Veranstalter/innen

Wenn Sie den Newsletter einer Veranstalterin/eines Veranstalters abonnieren, ist diese/r der/die Verantwortliche. Gathermatter übernimmt die Auslieferung im Auftrag.

10. Daten von Kindern

Wir erheben keine Daten von Kindern unter 16.

Die Gathermatter-Plattform richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16.

Wenn Sie vermuten, dass wir Daten eines Kindes unter 16 erhoben haben, kontaktieren Sie support@gathermatter.org.

11. Datensicherheit

Wie wir Ihre Daten schützen.

Im Falle einer Datenverletzung mit hohem Risiko benachrichtigen wir Sie unverzüglich (Art. 34 DSGVO). Die österreichische Datenschutzbehoerde wird innerhalb von 72 Stunden informiert (Art. 33 DSGVO).

Verschlüsselung während der Übertragung (TLS 1.3)
Verschlüsselte Speicherung von Authentifizierungsdaten
Zugriffskontrollen für autorisiertes Personal und Auftragsverarbeiter
Regelmäßige Sicherheitsupdates und Patch-Management
Verfahren zur Reaktion auf Sicherheitsvorfälle

12. Beschwerderecht und Aufsichtsbehörde

An wen Sie sich wenden können.

Sie haben das Recht, eine Beschwerde bei der österreichischen Aufsichtsbehörde einzulegen:

Datenschutzbehoerde (DSB), Barichgasse 40–42, 1030 Wien, Österreich. Web: dsb.gv.at. E-Mail: dsb@dsb.gv.at.

Wir empfehlen, uns zunächst unter support@gathermatter.org zu kontaktieren — wir bemühen uns um zeitnahe und transparente Klärung.

13. Automatisierte Entscheidungsfindung und KI

KI-Funktionen unterstützen Sie, treffen aber keine Entscheidungen für Sie.

KI-Funktionen (Übersetzung, Navigationsassistent, Inhaltsgenerierung) erstellen Vorschläge und treffen keine Entscheidungen mit rechtlichen Auswirkungen.

Von Ihnen eingegebene Inhalte werden an den jeweiligen KI-Modellanbieter über OpenRouter übermittelt. Wir verwenden Ihre Eingaben nicht zum Modelltraining.

Alle KI-Funktionen sind gemäß KI-Verordnung (Art. 50) klar gekennzeichnet.

14. Änderungen dieser Datenschutzerklärung

Wie wir Sie über Aktualisierungen informieren.

Wir können diese Datenschutzerklärung aktualisieren. Über wesentliche Änderungen informieren wir Sie per E-Mail oder durch einen Plattformhinweis.