Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung dieser Plattform.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist der Betreiber des Massage-Studios. Die genauen Kontaktdaten entnehmen Sie bitte dem Impressum.

2. Welche Daten werden verarbeitet

  • Karten-Account: zugeordnete Karte (Token), Rolle (Master/Member), Typ (anonym/registriert), optional Name und E-Mail-Adresse.
  • Buchungen: Termine, gewählte Leistungen, Ort, Stornierungen und Bezahlstatus.
  • Anamnese / Intake: freiwillige gesundheitsbezogene Angaben zur Behandlung. Diese werden verschlüsselt gespeichert.
  • Zahlungsdaten: Vorgangsnummern, Zahlart, Beträge; Kartendaten werden nicht bei uns gespeichert.
  • Geräte- und Session-Daten: Cookie-Identifier zur Karten-Sitzung sowie Audit-Logs technischer Vorgänge.
  • Rechnungen: Rechnungs- und Buchungsdokumente nach handels- und steuerrechtlichen Aufbewahrungsfristen.

3. Zwecke und Rechtsgrundlagen

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Plattform, Buchung, Stornierung, Abrechnung und Versand von Bestätigungen.
  • Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Rechnungen und steuerrelevanten Belegen (§§ 147 AO, 257 HGB).
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Betrieb sicherer und stabiler Infrastruktur, Missbrauchsabwehr, technisches Audit.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Hinterlegen einer E-Mail-Adresse zur Personalisierung des Accounts; freiwillige Anamnese-Angaben.

4. Empfänger / Tagesbericht an den Praktiker

Bestandteil des Plattform-Betriebs ist der tägliche Versand eines Tagesberichts an den behandelnden Praktiker. Dieser Bericht wird werktags um 08:00 Uhr (Europe/Berlin) erzeugt und enthält pro Termin des Tages folgende Daten: Uhrzeit, Name der gebuchten Leistung, Behandlungsort sowie den Namen des Karten-Accounts. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Speicherdauer

Technische Änderungsprotokolle (Audit-Logs) werden dauerhaft aufbewahrt, soweit dies zur Nachvollziehbarkeit unserer Buchführung erforderlich ist (§ 147 AO i. V. m. Art. 6 Abs. 1 lit. c DSGVO). Personenbezogene Felder dieser Protokolle (Benutzer-Referenz, IP-Adresse, aufgerufene URL, User-Agent) werden nach 180 Tagen automatisch pseudonymisiert; der eigentliche Protokoll-Inhalt (geänderte Werte) bleibt zur Wahrung der gesetzlichen Aufbewahrungspflichten erhalten. Rechnungs- und Buchhaltungsdaten selbst werden gemäß den gesetzlichen Aufbewahrungs- pflichten zehn Jahre archiviert. Eine Kontolöschung kann jederzeit über die Plattform beantragt werden und wird innerhalb von 30 Tagen gemäß Art. 17 DSGVO bearbeitet, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. Auftragsverarbeiter und Drittdienste

Zur Erbringung der Plattform-Leistungen werden folgende Dienste eingesetzt. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO; Drittlandtransfers sind durch EU-Standardvertragsklauseln sowie ggf. das EU-US Data Privacy Framework abgesichert.

  • Amazon Web Services EMEA SARL (AWS S3, Region Frankfurt eu-central-1) — Speicherung von Rechnungen, Belegen und Anhängen; Compliance-Archiv mit Object Lock im Compliance Mode. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO. Datenverarbeitung erfolgt innerhalb der EU; aufgrund der US-Konzernmutter sind EU-Standardvertragsklauseln vereinbart.
  • Amazon Web Services EMEA SARL (AWS SES, Region eu-central-1) — optionaler Transport von Transaktions- und Benachrichtigungs-E-Mails (z. B. Verifizierungs-PIN, Tagesbericht). Gleiche Bedingungen wie für AWS S3.
  • Postmark (ActiveCampaign LLC, USA) — optionaler Mail-Transport. Bei Aktivierung erfolgt der Versand über Server in den USA; abgesichert durch EU-Standardvertragsklauseln und das EU-US Data Privacy Framework.
  • Sentry / GlitchTip (Error-Tracking) — optionales Fehler-Monitoring zur Stabilitätssicherung. In der Standardkonfiguration werden keine personenbezogenen Daten übermittelt (SENTRY_SEND_DEFAULT_PII=false). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg — Abwicklung von Online-Zahlungen. Es gelten zusätzlich die Datenschutzbestimmungen von PayPal. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7. Cookies und lokale Sitzung

Für die Funktion der Karten-Sitzung werden technisch notwendige Cookies gesetzt (Karten-Session, Geräte-Erkennung). Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 TDDDG); Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

8. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Soweit die Verarbeitung auf einer Einwilligung beruht, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden.

Diese Rechte können Sie für Ihren Karten-Account direkt in der Plattform ausüben: Ein vollständiger Datenexport (JSON) sowie ein Löschantrag stehen unter „Datenschutz" innerhalb Ihrer Karte zur Verfügung.

9. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist die Aufsichtsbehörde Ihres Wohnorts oder des Sitzes des Verantwortlichen.

10. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei wesentlichen Änderungen aktualisiert. Bei laufenden Karten-Accounts werden Sie beim nächsten Aufruf der Plattform um eine erneute Bestätigung gebeten.