1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Doppelklick – Agentur für "NEUE" Medien Kevin Kellermann
Kevin Kellermann
Wiemelhauser Straße 381
44799 Bochum
Deutschland
E-Mail: info@terminkasten.de
Website: https://terminkasten.de
2. Übersicht der Verarbeitungen
Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen:
Arten der verarbeiteten Daten
- Bestandsdaten (z.B. Namen, Adressen)
- Kontaktdaten (z.B. E-Mail, Telefonnummern)
- Inhaltsdaten (z.B. Texteingaben, Buchungsinformationen)
- Nutzungsdaten (z.B. besuchte Seiten, Zugriffszeiten)
- Meta-/Kommunikationsdaten (z.B. Geräteinformationen, IP-Adressen)
- Zahlungsdaten (z.B. Kreditkartennummern, Bankverbindungen — werden von Stripe verarbeitet)
Kategorien betroffener Personen
- Nutzer der Website (Besucher)
- Dienstleister (registrierte Geschäftskunden, die TerminKasten nutzen)
- Endkunden (Personen, die über TerminKasten Termine bei Dienstleistern buchen)
Zwecke der Verarbeitung
- Bereitstellung der Website und des Online-Dienstes
- Kontoanmeldung und -verwaltung
- Terminbuchung und -verwaltung
- Zahlungsabwicklung und No-Show-Schutz
- Versand von Terminbestätigungen und -erinnerungen
- Sicherheit und Missbrauchsschutz
- Reichweitenmessung und Website-Optimierung (mit Einwilligung)
3. Rechtsgrundlagen
Im Folgenden informieren wir Sie über die Rechtsgrundlagen der Datenschutz-Grundverordnung (DSGVO), auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass zusätzlich zu den Regelungen der DSGVO die nationalen Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (z.B. optionale Cookies, SMS-Erinnerungen).
- Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (z.B. Registrierung, Terminbuchung, Zahlungsabwicklung).
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (z.B. Server-Logs, Sicherheitsmaßnahmen).
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z.B. Aufbewahrungspflichten).
4. Sicherheitsmaßnahmen
Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten.
Konkrete Maßnahmen
- Verschlüsselung: Alle Daten werden verschlüsselt übertragen (TLS/SSL) und in der Datenbank verschlüsselt gespeichert (encryption at rest).
- Zugriffskontrolle: Row Level Security (RLS) in der Datenbank, rollenbasierte Berechtigungen, sichere Authentifizierung.
- Verfügbarkeit: Redundante Infrastruktur durch Vercel (CDN) und lokale PostgreSQL-Datenbank mit Backups.
- Regelmäßige Überprüfung: Die technischen und organisatorischen Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst.
5. Datenverarbeitung auf dieser Website
Server-Log-Files
Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Files, die Ihr Browser automatisch an uns übermittelt. Dies sind:
- Browsertyp und Browserversion
- Verwendetes Betriebssystem
- Referrer URL
- Hostname des zugreifenden Rechners
- IP-Adresse
- Uhrzeit der Serveranfrage
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website — hierzu müssen die Server-Log-Files erfasst werden.
Kontaktaufnahme per E-Mail
Wenn Sie uns per E-Mail kontaktieren, wird Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (Name, E-Mail-Adresse, Anfrageinhalt) zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen bzw. Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
Registrierung und Nutzerkonto
Dienstleister können auf unserer Website ein Nutzerkonto anlegen. Dabei werden folgende Daten erhoben:
- Name
- E-Mail-Adresse
- Passwort (verschlüsselt gespeichert)
- Geschäftsinformationen (Firmenname, Branche, Adresse)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Registrierung ist für die Nutzung unserer Dienste erforderlich.
6. Hosting (Vercel)
Unsere Website wird bei Vercel gehostet. Anbieter ist die Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA.
Wenn Sie unsere Website besuchen, erfasst Vercel automatisch verschiedene Serverlog-Informationen, darunter Ihre IP-Adresse, Browsertyp und -version, das Datum und die Uhrzeit des Zugriffs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der zuverlässigen Bereitstellung unserer Website.
Die Nutzung von Vercel erfolgt auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses — SCCs) zur Gewährleistung eines angemessenen Datenschutzniveaus bei der Datenübermittlung in die USA.
Weitere Informationen finden Sie in der Datenschutzerklärung von Vercel: https://vercel.com/legal/privacy-policy
7. Datenbank (Self-hosted PostgreSQL)
Wir nutzen eine selbst gehostete PostgreSQL-Datenbank als Datenbank- und Authentifizierungsdienst. Die Datenbank befindet sich auf unserer eigenen Infrastruktur.
Gespeicherte Daten
- Kontodaten (Name, E-Mail, verschlüsseltes Passwort)
- Buchungsdaten (gebuchte Services, Termine, Zeitfenster)
- Kundendaten (Name, E-Mail, Telefonnummer der Endkunden)
- Geschäftsdaten (Services, Preise, Öffnungszeiten der Dienstleister)
Alle Daten werden verschlüsselt gespeichert (encryption at rest) und verschlüsselt übertragen (encryption in transit). Der Zugriff auf Daten wird durch Anwendungslogik beschränkt, sodass jeder Nutzer nur auf seine eigenen Daten zugreifen kann.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
8. Zahlungsabwicklung (Stripe)
Für die Zahlungsabwicklung nutzen wir Stripe. Anbieter innerhalb der EU ist die Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
Stripe ist eigenständiger Verantwortlicher für die Verarbeitung von Zahlungsdaten. TerminKasten speichert keine Kreditkartennummern oder Bankverbindungen. Stripe ist PCI DSS Level 1 zertifiziert, der höchsten Sicherheitsstufe der Zahlungskartenindustrie.
Verarbeitete Daten durch Stripe
- Zahlungsdaten (Kreditkartennummer, Ablaufdatum, CVC)
- Name des Karteninhabers
- E-Mail-Adresse
- IP-Adresse
- Transaktionsdaten (Betrag, Währung, Zeitpunkt)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Zahlungsabwicklung ist für die Erfüllung des Vertrags zwischen Endkunde und Dienstleister erforderlich.
Datenschutzerklärung von Stripe: https://stripe.com/de/privacy
9. E-Mail-Versand (SMTP)
Für den Versand transaktionaler E-Mails (Terminbestätigungen, Erinnerungen, Kontobenachrichtigungen) nutzen wir einen konfigurierbaren SMTP-Server.
Verarbeitete Daten
- E-Mail-Adresse des Empfängers
- Name des Empfängers
- E-Mail-Inhalt (Termindetails, Bestätigungen)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Der E-Mail-Versand ist für die Erbringung unserer Dienste (Terminbestätigungen, Erinnerungen) erforderlich.
10. SMS-Versand (Twilio)
Für den Versand von SMS-Terminerinnerungen nutzen wir Twilio. Anbieter ist die Twilio Inc., 101 Spear Street, Suite 500, San Francisco, CA 94105, USA.
Verarbeitete Daten
- Telefonnummer des Empfängers
- SMS-Inhalt (Terminerinnerung)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Der Versand von SMS-Erinnerungen erfolgt nur nach ausdrücklicher Einwilligung des Endkunden bei der Terminbuchung. Die Einwilligung kann jederzeit widerrufen werden.
Die Datenübermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) und Binding Corporate Rules.
Weitere Informationen: https://www.twilio.com/legal/privacy
11. Cookies und Tracking
Unsere Website verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und die Ihr Browser speichert. Die meisten der von uns verwendeten Cookies sind so genannte "Session-Cookies". Sie werden nach Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen.
Cookie-Kategorien
Technisch notwendige Cookies (immer aktiv): Diese Cookies sind für den Betrieb der Website unbedingt erforderlich und können nicht deaktiviert werden. Sie werden in der Regel nur als Reaktion auf von Ihnen getroffene Maßnahmen gesetzt, wie z.B. das Anmelden oder das Ausfüllen von Formularen.
Statistik-Cookies (optional): Diese Cookies ermöglichen es uns, anonyme Nutzungsstatistiken zu erheben, um unsere Website zu verbessern. Es werden keine personenbezogenen Daten erfasst.
Marketing-Cookies (optional): Diese Cookies können über unsere Website von Werbepartnern gesetzt werden. Sie können von diesen Unternehmen verwendet werden, um ein Profil Ihrer Interessen zu erstellen.
Von uns verwendete Cookies
| Cookie | Kategorie | Zweck | Dauer |
|---|---|---|---|
next-auth.session-token | Notwendig | NextAuth.js Authentifizierungs-Session | Session |
next-auth.csrf-token | Notwendig | NextAuth.js CSRF-Schutz | Session |
tk_consent | Notwendig | Speicherung der Cookie-Einwilligung | 1 Jahr |
tk_sidebar | Notwendig | Sidebar-Status im Dashboard | Persistent |
Rechtsgrundlage: Technisch notwendige Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gesetzt. Für alle anderen Cookies holen wir über unseren Cookie-Banner Ihre Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).
Sie können Ihre Cookie-Einstellungen jederzeit über den Link "Cookie-Einstellungen" im Footer unserer Website ändern.
12. Datenverarbeitung bei Terminbuchung
Wichtiger Hinweis zur Verantwortlichkeit: Wenn ein Endkunde einen Termin über TerminKasten bucht, ist der jeweilige Dienstleister der Verantwortliche im Sinne der DSGVO. TerminKasten (doppelklick.media) handelt in diesem Fall als Auftragsverarbeiter gemäß Art. 28 DSGVO.
Verarbeitete Daten bei der Terminbuchung
- Vor- und Nachname
- E-Mail-Adresse
- Telefonnummer (optional)
- Gebuchter Service, Datum und Uhrzeit
- Zahlungsdaten (werden über Stripe verarbeitet und nicht bei TerminKasten gespeichert)
- IP-Adresse zum Zeitpunkt der Buchung
Zweck der Verarbeitung
- Terminvereinbarung und -verwaltung
- Versand von Terminbestätigungen per E-Mail
- Versand von Terminerinnerungen per E-Mail und ggf. SMS (mit Einwilligung)
- Zahlungsabwicklung (Anzahlungen, No-Show-Gebühren)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und Vertragserfüllung zwischen Endkunde und Dienstleister).
Speicherdauer: Buchungsdaten werden 3 Jahre nach dem Termin gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
13. Newsletter
Derzeit bieten wir keinen Newsletter-Dienst an. Sollte in Zukunft ein Newsletter angeboten werden, erfolgt die Anmeldung ausschließlich mit Ihrer ausdrücklichen Einwilligung im Double-Opt-In-Verfahren. Sie können den Newsletter jederzeit abbestellen. Einen Abmeldelink finden Sie in jedem Newsletter.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
14. Rechte der Betroffenen
Als betroffene Person haben Sie folgende Rechte nach der DSGVO:
- Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO genannten Informationen.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger Daten zu verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Sie betreffender personenbezogener Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gründe zutrifft.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese einem anderen Verantwortlichen zu übermitteln.
- Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hierdurch nicht berührt.
- Beschwerderecht bei der Aufsichtsbehörde: Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@terminkasten.de
15. Auftragsverarbeitung
Wir haben mit unseren Unterauftragsverarbeitern Verträge zur Auftragsverarbeitung (Data Processing Agreements) gemäß Art. 28 DSGVO abgeschlossen.
Für Dienstleister, die TerminKasten nutzen, fungiert TerminKasten als Auftragsverarbeiter gemäß Art. 28 DSGVO. Der Auftragsverarbeitungsvertrag (AVV) kann unter /auftragsverarbeitung eingesehen werden und wird bei der Registrierung akzeptiert.
16. Datenübermittlung in Drittländer
Im Rahmen unserer Datenverarbeitung werden Daten auch an Dienstleister in Drittländern (insbesondere USA) übermittelt. Dies betrifft folgende Dienste:
| Dienst | Sitz | Garantie |
|---|
Die Datenübermittlung in Drittländer erfolgt auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses — SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Diese Klauseln verpflichten die Empfänger zur Einhaltung eines angemessenen Datenschutzniveaus.
Hinweis: Unsere primäre Datenbank wird auf eigener Infrastruktur betrieben.
17. Löschung und Speicherdauer
Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
Konkrete Speicherfristen
- Kontodaten von Dienstleistern: Werden nach Kündigung des Vertrags und Ablauf einer 30-tägigen Frist gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Buchungsdaten: Werden 3 Jahre nach dem Termin gelöscht.
- Rechnungsdaten: Werden gemäß den steuerrechtlichen Aufbewahrungspflichten 10 Jahre aufbewahrt (§ 147 AO, § 14b UStG).
- Server-Logs: Werden nach 30 Tagen automatisch gelöscht.
- Cookie-Consent: Das Consent-Cookie wird 1 Jahr gespeichert.
18. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.
Hinweis: Diese Datenschutzerklärung wurde als Entwurf erstellt und ersetzt keine Rechtsberatung. Bitte lassen Sie die Angaben vor dem Launch von einem Rechtsanwalt prüfen.