Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

SlotIQ
[VORNAME NACHNAME / FIRMA]
[STRASSE HAUSNUMMER]
[PLZ ORT]
Deutschland

E-Mail: [E-MAIL-ADRESSE]
Telefon: [TELEFONNUMMER]
Website: [DOMAIN]

2. Datenschutzbeauftragter

[FALLS ZUTREFFEND: Unseren Datenschutzbeauftragten erreichen Sie unter:]

[NAME DES DATENSCHUTZBEAUFTRAGTEN]
E-Mail: [E-MAIL-ADRESSE DSB]

Hinweis: Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO i.V.m. § 38 BDSG erforderlich, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

3. Übersicht der Verarbeitungstätigkeiten

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten, die Zwecke ihrer Verarbeitung und die betroffenen Personen zusammen.

Arten der verarbeiteten Daten

• Bestandsdaten (Name, Benutzername, E-Mail-Adresse)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer)
• Vertragsdaten (Abonnement-Typ, Vertragslaufzeit, Zahlungsstatus)
• Zahlungsdaten (werden direkt bei Stripe verarbeitet)
• Nutzungsdaten (Terminbuchungen, Verfügbarkeiten, Termintypen)
• Inhaltsdaten (Notizen, Beschreibungen, benutzerdefinierte Felder)
• Kommunikationsdaten (Kontaktformular-Nachrichten)
• Meta- und Kommunikationsdaten (IP-Adressen, Zeitstempel, Zeitzonen)
• Protokolldaten (Fehlerberichte, Performance-Metriken)

Betroffene Personen

• Registrierte Nutzer (Dienstanbieter, die SlotIQ zur Terminverwaltung nutzen)
• Gäste (Personen, die über SlotIQ Termine bei Dienstanbietern buchen)
• Interessenten (Besucher der Website, Warteliste-Einträge)
• Kontaktpersonen (Personen, die das Kontaktformular nutzen)

4. Rechtsgrundlagen der Verarbeitung

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten erteilt (z. B. Cookie-Einwilligung, Webanalyse, Warteliste).
• Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich (z. B. Kontoerstellung, Terminbuchung, Zahlungsabwicklung, E-Mail-Benachrichtigungen zu Buchungen).
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (z. B. steuerliche Aufbewahrungspflichten für Zahlungsdaten).
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich (z. B. Fehlerüberwachung, Sicherheit, Missbrauchsprävention, Performance-Optimierung).

5. Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser bzw. das Endgerät der Nutzer zu übermitteln.

Vercel (Hosting & Deployment)

Unsere Website wird auf der Plattform von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet. Beim Besuch unserer Website werden automatisch Informationen (Server-Logfiles) erhoben, die Ihr Browser automatisch an unseren Hosting-Anbieter übermittelt. Dies umfasst u. a. IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Zeitpunkt des Zugriffs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung unseres Onlineangebots).
Drittlandtransfer: USA. Es bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

6. Registrierung, Benutzerkonto und Authentifizierung

Nutzer können ein Benutzerkonto anlegen. Im Rahmen der Registrierung werden folgende personenbezogene Daten erhoben:

• E-Mail-Adresse (Pflichtfeld)
• Passwort (Pflichtfeld, wird ausschließlich gehasht gespeichert)
• Vollständiger Name (Pflichtfeld)
• Benutzername (Pflichtfeld, 3–50 Zeichen)
• Zeitzone (automatisch ermittelt, Standard: Europe/Berlin)

Im weiteren Verlauf der Nutzung können zusätzlich gespeichert werden:

• Profilbild (Avatar-URL)
• Biografie
• Logo-URL und Branding-Farbe (für individuelle Buchungsseiten)
• Benutzerdefiniertes CSS
• Einstellungen für E-Mail-Erinnerungen (24h/1h vor Termin)
• Onboarding-Status

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Die Daten werden für die Dauer der Kontoführung gespeichert und bei Kontolöschung vollständig entfernt.

Supabase (Datenbank & Authentifizierung)

Für die Speicherung der Nutzerdaten und die Authentifizierung nutzen wir den Dienst Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992. Supabase stellt eine PostgreSQL-Datenbank sowie Authentifizierungsdienste bereit. Die Datenbank wird in der EU-Region betrieben.

Bei der Authentifizierung werden Session-Cookies gesetzt, die für die Aufrechterhaltung der Anmeldesitzung erforderlich sind. Passwörter werden von Supabase mittels bcrypt-Hashing gespeichert und sind für uns nicht einsehbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Datenkategorien: Bestandsdaten, Authentifizierungsdaten, Nutzungsdaten.
Serverstandort: EU.

7. Terminbuchungen und Gästebuchungen

SlotIQ ermöglicht es registrierten Nutzern, Terminbuchungsseiten bereitzustellen. Gäste (Endkunden) können über diese Seiten Termine buchen. Dabei werden folgende personenbezogene Daten erhoben:

• Name des Gastes (Pflichtfeld)
• E-Mail-Adresse des Gastes (Pflichtfeld)
• Telefonnummer des Gastes (optional)
• Notizen des Gastes (optional, Freitextfeld)
• Gewählter Terminzeitpunkt und Zeitzone
• Antworten auf benutzerdefinierte Felder (sofern vom Dienstanbieter konfiguriert)
• Buchungsstatus (wartend, bestätigt, storniert, abgeschlossen)
• Stornierungsgrund (bei Stornierung)

Darüber hinaus speichern wir technische Daten zu Buchungen:

• Meeting-URL und Meeting-Passwort (bei Video-Terminen)
• Status der gesendeten Erinnerungen
• Zahlungsstatus und Zahlungs-ID (bei kostenpflichtigen Terminen)
• Gezahlter Betrag

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – die Buchung stellt einen Vertrag zwischen Gast und Dienstanbieter dar).
Speicherdauer: Buchungsdaten werden für die Dauer der Geschäftsbeziehung gespeichert. Nach Abschluss oder Stornierung des Termins werden die Daten gemäß den gesetzlichen Aufbewahrungsfristen (bis zu 10 Jahre bei steuerlich relevanten Daten) aufbewahrt und danach gelöscht.

Verfügbarkeiten und Termintypen

Registrierte Nutzer können Verfügbarkeitszeiten (Wochentag, Uhrzeit) und Termintypen (Titel, Beschreibung, Dauer, Preis, Standorttyp, Pufferzeiten) konfigurieren. Zudem können datumsbasierte Überschreibungen mit optionalem Grund hinterlegt werden. Diese Daten sind für die Bereitstellung des Buchungsdienstes erforderlich.

8. E-Mail-Kommunikation (Resend)

Für den Versand transaktionaler E-Mails nutzen wir den Dienst Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.

Folgende E-Mail-Typen werden versendet:

• Buchungsbestätigungen an Gäste und Dienstanbieter
• Buchungsanfragen (bei manueller Bestätigung)
• Buchungserinnerungen (24 Stunden und 1 Stunde vor dem Termin)
• Stornierungsbenachrichtigungen
• Ablehnungsbenachrichtigungen
• Antworten auf Kontaktformular-Anfragen

Dabei werden folgende personenbezogene Daten an Resend übermittelt: Name, E-Mail-Adresse, Termindetails (Datum, Uhrzeit, Art des Termins), Buchungs-URL.

Die automatischen Erinnerungen können vom Nutzer in den Profileinstellungen individuell aktiviert bzw. deaktiviert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Benachrichtigungen zu gebuchten Terminen).
Drittlandtransfer: USA. Es bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

9. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen im Rahmen kostenpflichtiger Abonnements (Pro- und Business-Pläne) nutzen wir den Zahlungsdienstleister Stripe Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA (in der EU vertreten durch Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland).

Bei der Zahlungsabwicklung werden folgende Daten an Stripe übermittelt bzw. von Stripe verarbeitet:

• E-Mail-Adresse
• Gewählter Abonnement-Plan und Abrechnungszeitraum
• Zahlungsmethode und Zahlungsinformationen (werden direkt von Stripe erhoben und verarbeitet)
• Stripe-Kunden-ID und Stripe-Abonnement-ID (in unserer Datenbank gespeichert)

Wir speichern keine vollständigen Kreditkarten- oder Bankdaten. Diese werden ausschließlich von Stripe gemäß dem PCI DSS-Standard verarbeitet.

Wir verarbeiten folgende Stripe-Webhook-Events:

• Abschluss einer Checkout-Sitzung
• Aktualisierung eines Abonnements
• Kündigung eines Abonnements
• Fehlgeschlagene Rechnungszahlung

In unserer Datenbank speichern wir pro Nutzer: Abonnement-Plan, Status, Stripe-Kunden-ID, Stripe-Abonnement-ID, aktuelle Abrechnungsperiode und ob eine Kündigung zum Periodenende vorgemerkt ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: USA/Irland. Stripe ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Zudem bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Speicherdauer: Zahlungsdaten werden gemäß den steuerrechtlichen Aufbewahrungsfristen (§ 147 AO, § 257 HGB) für 10 Jahre aufbewahrt.

10. Webanalyse und Performance-Überwachung

Vercel Analytics

Wir nutzen Vercel Analytics (Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA) zur Analyse des Nutzungsverhaltens auf unserer Website. Vercel Analytics erfasst Seitenaufrufe und aggregierte Nutzungsdaten. Die Erhebung erfolgt datenschutzfreundlich ohne den Einsatz von Cookies und ohne die Speicherung personenbezogener Daten wie IP-Adressen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse und Optimierung unseres Onlineangebots).
Drittlandtransfer: USA. Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Vercel Speed Insights

Wir nutzen Vercel Speed Insights zur Überwachung der Website-Performance (Core Web Vitals). Es werden Performance-Metriken wie Ladezeiten, Interaktivität und visuelle Stabilität erfasst. Es werden keine personenbezogenen Daten gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Optimierung).
Drittlandtransfer: USA. Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

11. Fehlerüberwachung (Sentry)

Wir nutzen Sentry (Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) zur Erkennung und Analyse technischer Fehler in unserer Anwendung.

Sentry erfasst bei Auftreten eines Fehlers technische Informationen wie:

• Art und Ort des Fehlers im Quellcode
• Browser- und Betriebssystem-Informationen
• URL, auf der der Fehler aufgetreten ist

Wir haben Maßnahmen zur Minimierung personenbezogener Daten implementiert: Cookies und Autorisierungs-Header werden aus Fehlerberichten automatisch entfernt. In der Produktionsumgebung werden nur 10 % der Fehler-Events an Sentry übermittelt (Sampling).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung der Funktionsfähigkeit und Sicherheit unserer Anwendung).
Drittlandtransfer: USA. Es bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Sentry ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

12. Kontaktformular

Wenn Sie uns über das Kontaktformular Anfragen zukommen lassen, werden folgende Daten erhoben:

• Name
• E-Mail-Adresse
• Betreff
• Nachricht (Freitext)

Die Daten werden per E-Mail (über den Dienst Resend, siehe Abschnitt 8) an uns weitergeleitet und nicht separat in einer Datenbank gespeichert. Zur Missbrauchsprävention wird die IP-Adresse des Absenders vorübergehend zur Ratenbegrenzung verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
Speicherdauer: Die Daten werden im E-Mail-Postfach gespeichert und nach vollständiger Bearbeitung der Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

13. Warteliste

Interessenten können sich mit ihrer E-Mail-Adresse auf unsere Warteliste eintragen. Dabei wird ausschließlich die E-Mail-Adresse sowie der Zeitpunkt der Eintragung gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: Bis zur Bereitstellung des Dienstes oder bis zum Widerruf der Einwilligung.

14. Cookies und lokale Speicherung

Unsere Website verwendet Cookies und vergleichbare Technologien. Ein Cookie ist eine kleine Textdatei, die von Ihrem Browser auf Ihrem Endgerät gespeichert wird.

Technisch notwendige Cookies

• Supabase-Authentifizierungs-Cookies: Für die Aufrechterhaltung Ihrer Anmeldesitzung. Diese Cookies sind für den Betrieb der Website zwingend erforderlich und können nicht deaktiviert werden.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. § 25 Abs. 2 Nr. 2 TDDDG.

Lokale Speicherung (localStorage)

• cookie-consent: Speichert Ihre Cookie-Einstellungspräferenz (Wert: "accepted" oder "rejected"). Bleibt bestehen, bis Sie die Browserdaten löschen.

Weitere Informationen finden Sie in unserer Cookie-Richtlinie.

15. Datenübermittlung in Drittländer

Im Rahmen unserer Datenverarbeitung werden personenbezogene Daten an Dienstleister übermittelt, die ihren Sitz in den USA haben. Die USA gelten als Drittland im Sinne der DSGVO. Die Übermittlung erfolgt auf Grundlage folgender Garantien:

• EU-U.S. Data Privacy Framework (DPF): Sofern der Empfänger unter dem DPF zertifiziert ist, besteht ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO (Durchführungsbeschluss (EU) 2023/1795).
• Standardvertragsklauseln (SCC): Mit allen Dienstleistern, bei denen eine DPF-Zertifizierung nicht vorliegt oder als ergänzende Maßnahme, bestehen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

16. Auftragsverarbeiter

Wir setzen die folgenden Auftragsverarbeiter gemäß Art. 28 DSGVO ein, mit denen entsprechende Auftragsverarbeitungsverträge (AVV) abgeschlossen wurden:

17. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

18. Ihre Rechte als betroffene Person

Ihnen stehen unter den jeweiligen gesetzlichen Voraussetzungen folgende Rechte zu:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO genannten Informationen.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung Sie betreffender unrichtiger personenbezogener Daten und die Vervollständigung unvollständiger Daten zu verlangen. Viele Daten können Sie direkt in Ihren Profileinstellungen selbst berichtigen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Sie betreffender personenbezogener Daten zu verlangen, sofern die in Art. 17 DSGVO genannten Voraussetzungen vorliegen. Sie können Ihr Konto jederzeit in den Profileinstellungen vollständig löschen. Dabei werden alle zugehörigen Daten (Profil, Buchungen, Termintypen, Verfügbarkeiten, Abonnements) unwiderruflich gelöscht und etwaige aktive Stripe-Abonnements storniert.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Zur Ausübung dieses Rechts kontaktieren Sie uns bitte unter der unten angegebenen Kontaktadresse.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, Widerspruch einzulegen. Dies betrifft insbesondere die Datenverarbeitung zu Analysezwecken (Vercel Analytics, Sentry).

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die für Sie zuständige Aufsichtsbehörde richtet sich nach Ihrem Wohnort bzw. Bundesland. Eine Liste der Aufsichtsbehörden mit Kontaktdaten finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [E-MAIL-ADRESSE]

19. Datensicherheit

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zu den Maßnahmen gehören insbesondere:

• Verschlüsselte Datenübertragung (TLS/HTTPS)
• Passwort-Hashing mittels bcrypt (Supabase Auth)
• Row Level Security (RLS) auf Datenbankebene zur Zugriffskontrolle
• Filterung sensibler Daten in Fehlerberichten (Sentry)
• Zugriffsbeschränkung durch API-Schlüssel und Service-Role-Keys
• Webhook-Signaturvalidierung (Stripe)
• Ratenbegrenzung bei API-Endpunkten

20. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt. Automatisierte Prozesse (wie das Versenden von Erinnerungs-E-Mails durch Cron-Jobs) dienen ausschließlich der Vertragserfüllung und stellen keine Entscheidungsfindung dar, die rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

21. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu lesen, um über den Schutz der von uns erfassten persönlichen Daten auf dem Laufenden zu bleiben.

22. Kontakt zum Datenschutz

Bei Fragen zum Datenschutz, zur Ausübung Ihrer Betroffenenrechte oder bei Beschwerden können Sie uns jederzeit kontaktieren:

SlotIQ
[VORNAME NACHNAME / FIRMA]
[STRASSE HAUSNUMMER]
[PLZ ORT]
Deutschland

E-Mail: [E-MAIL-ADRESSE]
Telefon: [TELEFONNUMMER]