Datenschutzerklärung

1. Präambel und Verantwortlicher

Diese Datenschutzerklärung beschreibt, wie Marco D'Arminio (nachfolgend auch «ZenBookr», «wir», «unser») als Verantwortlicher der Datenverarbeitung die personenbezogenen Daten der Nutzer erhebt, verwendet, weitergibt und schützt, die mit der ZenBookr-Plattform interagieren — verfügbar unter den Domains zenbookr.app, app.zenbookr.app, book.zenbookr.app — sowie mit den zugehörigen mobilen iOS- und Android-Anwendungen (gemeinsam die «Plattform»).

Durch die Nutzung der Plattform bestätigen Sie, dass Sie diese Erklärung gelesen und verstanden haben. Bitte lesen Sie diese sorgfältig, bevor Sie sich registrieren oder personenbezogene Daten übermitteln.

2. Definitionen

• Fachkraft: registrierter Nutzer (Friseur, Kosmetikerin, Spa, Personal Trainer usw.), der die Plattform zur Verwaltung von Terminen, Kunden und Zahlungen als Gewerbetreibender oder freier Beruf nutzt.
• Endkunde: Nutzer, der Dienstleistungen bei einer Fachkraft über die öffentlichen Seiten book.zenbookr.app oder über die mobile App bucht.
• Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, gemäß Art. 4 Abs. 1 DSGVO.
• Verarbeitung: jeder auf personenbezogene Daten angewandte Vorgang, gemäß Art. 4 Abs. 2 DSGVO.
• Verantwortlicher: die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet (ZenBookr für eigene Verarbeitungen; die Fachkraft für die Daten ihrer eigenen Kunden, die auf der Plattform hochgeladen werden).
• Auftragsverarbeiter: die Person, die Daten im Auftrag des Verantwortlichen verarbeitet (ZenBookr agiert als Auftragsverarbeiter für die Daten der Kunden der Fachkräfte — siehe Abschnitt 13).

3. Kategorien erhobener Daten

3.1 Von Nutzern freiwillig bereitgestellte Daten

Wir erheben die Daten, die Sie uns während der Registrierung, der Nutzung der Plattform oder der Kommunikation mit uns direkt zur Verfügung stellen:

Für Fachkräfte:

• Identifikations- und Kontaktdaten: Vorname, Nachname, E-Mail, Telefonnummer, Passwort (in verschlüsselter Form gespeichert)
• Geschäftsdaten: Firmenname, USt-IdNr., Steuer-ID, Anschrift des Geschäftssitzes, Branche, angebotene Dienstleistungen, Fotos des Salons/Studios, Öffnungszeiten
• Daten des Stripe-Connect-Onboardings (für den Empfang von Zahlungen von Kunden): Vorname, Nachname, Geburtsdatum, Steuer-ID oder Äquivalent, Anschrift, IBAN, ggf. Ausweisdokument — diese Daten werden direkt von Stripe im Rahmen des KYC (Know Your Customer) erhoben und niemals auf unseren Servern gespeichert
• Abonnement-Abrechnungsdaten: über Stripe verwaltet (Karten-Tokenisierung); wir speichern keine Kartennummern auf unseren Servern
• Hochgeladene Inhalte: Profil- und Dienstleistungsfotos, Beschreibungen, Preise, Preislisten, technische Datenblätter, interne Notizen
• Daten Ihrer Kunden: Vorname, Nachname, E-Mail, Telefon, Geburtsdatum, Notizen (Allergien, Vorlieben), Terminhistorie — diese Daten gehören zu Ihrer Verarbeitung, bei der Sie Verantwortlicher und wir Auftragsverarbeiter sind (siehe Abschnitt 13)

Für Endkunden:

• Identifikationsdaten: Vorname, Nachname, E-Mail, Telefon
• Buchungsdaten: Datum und Uhrzeit, angeforderte Dienstleistung, gewählte Fachkraft, Anschrift (für mobile Dienstleistungen), Anmerkungen an die Fachkraft
• Zahlungsdaten: ausschließlich über Stripe verarbeitet; wir empfangen und speichern keine Kartendaten
• Bewertungen und Inhalte: Text etwaiger Bewertungen oder Rückmeldungen an die Fachkräfte

Für alle, die uns kontaktieren (Kontaktformular, Warteliste, KI-Chat, Angebotsformular):

• Name, E-Mail, ggf. Telefon, Inhalt der Nachricht, Art der Tätigkeit (für Warteliste), Interessenskategorie
• reCAPTCHA v3-Token (Anti-Spam) — siehe Abschnitt 11

3.2 Automatisch erhobene Daten

• Nutzungsdaten: besuchte Seiten, verwendete Bereiche, Verweildauer, Navigationsabfolge, durchgeführte Suchen, Klicks auf Elemente
• Gerätedaten: Gerätetyp, Betriebssystem, Browserversion, Bildschirmauflösung, eingestellte Sprache, Zeitzone
• IP-Adresse (anonymisiert für Analytics)
• Ungefähre Standortdaten (auf Stadtebene, aus IP abgeleitet) — verwendet, um Ihnen in der Nähe befindliche Fachkräfte vorzuschlagen. Eine genaue Standortbestimmung wird nur mit Ihrer ausdrücklichen Einwilligung auf dem Gerät angefragt.
• Cookie-Kennungen und ähnliche Technologien — siehe Cookie-Richtlinie
• Sicherheitslogs: Anmeldeversuche, Zugriffs-IPs, Zeitstempel — zur Verhinderung von Betrug, Missbrauch und unbefugtem Zugriff

4. Zwecke und Rechtsgrundlage der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten zu den nachstehend aufgeführten Zwecken stets auf Grundlage einer gültigen Rechtsgrundlage gemäß Art. 6 DSGVO. Für Daten besonderer Kategorien (Art. 9 DSGVO) wenden wir spezifische Rechtsgrundlagen wie angegeben an. Wo das deutsche BDSG zusätzliche Anforderungen vorsieht, beachten wir diese ergänzend.

Profilbildung und automatisierte Entscheidungen: Die einzige Form der automatisierten Verarbeitung, die wir durchführen, ist der Vorschlag optimierter Preise ("Smart Pricing") für Fachkräfte. Es handelt sich um eine Funktion des erworbenen Dienstes: Die Vorschläge sind indikativ, und die Fachkraft behält die volle Entscheidungskontrolle. Wir treffen keine automatisierten Entscheidungen mit erheblichen rechtlichen Auswirkungen Ihnen gegenüber im Sinne von Art. 22 DSGVO.

4bis. DAC7-Verarbeitung (nur Fachkräfte)

Für ausschließlich als Fachkräfte registrierte Nutzer erhebt und verarbeitet ZenBookr die folgenden Daten zur Erfüllung der Meldepflichten gemäß EU-Richtlinie 2021/514 (DAC7), in Italien umgesetzt durch D.Lgs. 32/2023:

• Steueridentifikationsnummer (TIN) und Staat der steuerlichen Ansässigkeit;
• USt-IdNr. (falls vorhanden);
• Firmenname oder Vor- und Nachname;
• Hauptanschrift; Handelsregisternummer (für juristische Personen);
• IBAN oder Kontoidentifikator (von Stripe Connect beim KYC erhoben);
• jährlich aggregierte Einnahmen und Transaktionszahl über die Plattform;
• Zeitstempel der DAC7-Bestätigung.

Rechtsgrundlage: rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO + D.Lgs. 32/2023). Aufbewahrung: mindestens 10 Jahre (Art. 4 Abs. 4 D.Lgs. 32/2023). Empfänger: italienische Steuerbehörde; andere EU-/Nicht-EU-Steuerbehörden im Rahmen des automatischen Informationsaustauschs. Rechte: Auskunft und Berichtigung (Art. 15-16 DSGVO) bleiben uneingeschränkt; Löschung (Art. 17) und Widerspruch (Art. 21) sind während der gesetzlichen Aufbewahrungsfrist beschränkt (Art. 17 Abs. 3 lit. b DSGVO).

Vor dem jährlichen Bericht (bis 31. Januar) erhält die Fachkraft eine Kopie ihrer Daten mit 10 Tagen Frist zur Berichtigungsanforderung.

5. Art der Verarbeitung

Ihre personenbezogenen Daten werden mit elektronischen Mitteln verarbeitet und auf der Google-Firebase-Cloud-Infrastruktur (Firestore, Cloud Storage, Cloud Functions, Authentication) mit Servern hauptsächlich in der Europäischen Union (Region europe-west1, Belgien) gehostet.

Wir treffen geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere:

• Verschlüsselung bei der Übertragung: alle Kommunikation erfolgt über HTTPS/TLS 1.2+
• Verschlüsselung im Ruhezustand: Daten sind auf den Google-Cloud-Servern mit verwalteten Schlüsseln verschlüsselt
• Passwort-Hashing: bcrypt mit nutzereindeutigem Salt
• Mehrfaktor-Authentifizierung (MFA) verfügbar über TOTP und Passkey/WebAuthn
• Firebase App Check zur Verhinderung von API-Missbrauch durch nicht autorisierte Clients
• reCAPTCHA v3 auf öffentlichen Formularen zur Verhinderung von Bots und Spam
• Firewall, aktives Monitoring und automatische Alerts bei verdächtigen Zugriffen
• Automatische tägliche Backups mit 30-tägiger Aufbewahrung
• Minimal-Zugriffsrichtlinien: Nur autorisiertes Personal hat Zugriff auf die Daten, ausschließlich zu Support-, Sicherheits- oder Wartungszwecken, mit Logs der Vorgänge
• Vertragliche Vertraulichkeitsverpflichtungen mit allen internen Mitarbeitern und externen Anbietern

6. Empfängerkategorien und Datenweitergabe

Wir geben Ihre personenbezogenen Daten nur dann weiter, wenn dies für die genannten Zwecke erforderlich ist, und nur an die folgenden Empfängerkategorien, die ggf. durch vertragliche Vereinbarungen zum Datenschutz (Art. 28 DSGVO) gebunden sind:

Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte. Wir teilen Ihre Daten nicht mit Werbetreibenden oder Daten-Brokern. Unsere Einnahmequelle ist ausschließlich das von Fachkräften gezahlte Abonnement.

7. Übermittlung von Daten außerhalb der Europäischen Union

Ihre personenbezogenen Daten werden hauptsächlich innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet. Einige Anbieter (insbesondere Stripe für Zahlungen, einige Google-Dienste im Fallback, die KI-Anbieter des Chatbots) können Daten in die USA oder andere Länder außerhalb der EU übertragen.

In solchen Fällen stellen wir sicher, dass die Übermittlung erfolgt auf der Grundlage von:

• Angemessenheitsbeschluss der Europäischen Kommission (z. B. EU-US Data Privacy Framework, wo anwendbar)
• Standardvertragsklauseln (Standard Contractual Clauses, SCCs), genehmigt von der Europäischen Kommission mit Beschluss 2021/914
• Ergänzende Maßnahmen, wo erforderlich (Verschlüsselung, Pseudonymisierung usw.)

Sie können eine Kopie der anwendbaren Garantien anfordern, indem Sie uns an privacy@zenbookr.app schreiben.

8. Speicherdauer der Daten

Wir bewahren Ihre personenbezogenen Daten nur so lange auf, wie dies für die genannten Zwecke erforderlich ist (siehe Tabelle in Abschnitt 4). Zusammenfassend:

• Kontodaten: für die gesamte Dauer des Vertragsverhältnisses. Bei Löschung des Kontos löschen wir die personenbezogenen identifizierenden Daten innerhalb von 30 Tagen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
• Buchungs-, Rechnungs- und Steuerdaten: 10 Jahre ab dem Datum des Vorgangs (Art. 2220 ital. ZGB und italienische Steuergesetzgebung).
• Marketing-Daten: bis zum Widerruf der Einwilligung oder 24 Monate Inaktivität des Nutzers.
• Zugriffs- und Sicherheitslogs: 12 Monate.
• Analytics-Daten: nach 26 Monaten aggregiert und anonymisiert (Google Analytics 4 Einstellung).
• E-Mail-Kommunikationsdaten: 24 Monate, sofern kein spezifisches berechtigtes Interesse an längerer Aufbewahrung besteht (z. B. laufende Rechtsstreitigkeiten).
• Backups: 30 Tage mit automatischer Rotation.

Am Ende der Speicherdauer werden die Daten sicher gelöscht oder anonymisiert (irreversibel nicht auf eine Person rückführbar).

9. Ihre Rechte als betroffene Person

Als betroffene Person haben Sie gemäß Art. 15-22 DSGVO sowie den entsprechenden Bestimmungen des BDSG das Recht auf:

• Auskunft (Art. 15) — Bestätigung zu erhalten, ob eine Verarbeitung stattfindet, und eine Kopie Ihrer personenbezogenen Daten sowie zugehöriger Informationen zu erhalten
• Berichtigung (Art. 16) — unrichtige Daten korrigieren oder unvollständige Daten vervollständigen
• Löschung / Recht auf Vergessenwerden (Art. 17) — die Löschung Ihrer Daten zu erwirken, wenn die gesetzlichen Voraussetzungen erfüllt sind
• Einschränkung (Art. 18) — die Verarbeitung in bestimmten Fällen einzuschränken (z. B. Bestreiten der Richtigkeit)
• Datenübertragbarkeit (Art. 20) — die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und einem anderen Verantwortlichen zu übermitteln
• Widerspruch (Art. 21) — gegen die auf berechtigtem Interesse beruhende Verarbeitung Widerspruch einzulegen, insbesondere für Direktmarketingzwecke, jederzeit und ohne Begründung
• Widerruf der Einwilligung (Art. 7 Abs. 3) — die erteilte Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der vorherigen Verarbeitung berührt wird
• Keine automatisierten Entscheidungen (Art. 22), die erhebliche rechtliche Auswirkungen haben

So üben Sie Ihre Rechte aus

Um eines dieser Rechte auszuüben, können Sie:

• An privacy@zenbookr.app schreiben
• Per E-Mail an info@zenbookr.app schreiben
• An die Anschrift schreiben: Vico Malvina 9, 70042 Mola di Bari (BA), Italien
• Bei vielen Aktionen (Kontolöschung, Datenexport, Marketing-Einstellungen) können Sie direkt in den Einstellungen Ihres ZenBookr-Kontos handeln

Wir antworten ohne unangemessene Verzögerung und in jedem Fall innerhalb von 30 Tagen nach Eingang (verlängerbar um weitere 60 Tage bei komplexen Anfragen oder einer hohen Anzahl von Anfragen, gemäß Art. 12 Abs. 3 DSGVO). Der Dienst ist kostenlos; bei offensichtlich unbegründeten oder exzessiven Anfragen können wir ein angemessenes Entgelt verlangen.

10. Marketing und Werbekommunikation

Nur mit Ihrer ausdrücklichen und freien Einwilligung (bei der Registrierung oder nachträglich über ein dediziertes Kontrollkästchen, niemals vorangekreuzt) können wir Ihnen Folgendes zusenden:

• Newsletter zu Neuigkeiten der Plattform
• Werbeangebote und Rabattcodes
• Personalisierte Vorschläge basierend auf der Nutzung (z. B. neue für Ihre Kategorie relevante Funktionen)
• Einladungen zu Umfragen, Beta-Tests, Veranstaltungen

Sie können die Einwilligung jederzeit widerrufen, ohne Begründung:

• Durch Klick auf den Link «Abmelden» in jeder Marketing-E-Mail
• Durch Anpassung der Einstellungen in Ihrem ZenBookr-Konto (Bereich «Benachrichtigungen»)
• Durch eine E-Mail an privacy@zenbookr.app

Service-Mitteilungen (Buchungsbestätigungen, Rechnungen, Sicherheitswarnungen, Passwort-Zurücksetzen, Änderungen der Nutzungsbedingungen) unterliegen NICHT der Marketing-Einwilligung: Sie sind für die Erfüllung des Vertrags erforderlich und laufen weiter, solange Ihr Konto aktiv ist.

11. Cookies und ähnliche Technologien

Wir verwenden technische Cookies (immer aktiv, notwendig für den Betrieb der Plattform) und nicht-technische Cookies (Analytics und Marketing) nach Ihrer Einwilligung. Für vollständige Informationen zu den Kategorien, zu den einzelnen verwendeten Cookies, zu den Modalitäten der Einwilligung und des Widerrufs siehe unsere Cookie-Richtlinie.

12. Minderjährige

Die Dienste von ZenBookr richten sich nicht an Minderjährige unter 16 Jahren. Wir erheben nicht wissentlich personenbezogene Daten von Minderjährigen unter 16 Jahren ohne die Einwilligung des Inhabers der elterlichen Verantwortung (Art. 8 DSGVO und §§ 8 BDSG sowie Art. 2-quinquies italienisches Datenschutzgesetz).

Sollten wir Kenntnis davon erhalten, dass wir Daten eines Minderjährigen unter 16 Jahren ohne diese Einwilligung erhoben haben, werden wir diese unverzüglich löschen. Wenn Sie Elternteil oder Erziehungsberechtigter sind und der Auffassung sind, dass Ihr Minderjähriger uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns unter privacy@zenbookr.app.

13. Doppelrolle: ZenBookr als Verantwortlicher und als Auftragsverarbeiter

Aufgrund der Architektur der Plattform agiert ZenBookr im Sinne der DSGVO in zwei verschiedenen Rollen:

13.1 ZenBookr als Verantwortlicher der Verarbeitung

Für Daten betreffend: Konten der Fachkräfte, Konten von direkt registrierten Endkunden, Zahlungsdaten des Abonnements, von uns versandte Marketing-Kommunikation, Sicherheits- und Nutzungsdaten der Plattform. Diese Datenschutzerklärung informiert Sie über diese Verarbeitungen.

13.2 ZenBookr als Auftragsverarbeiter

Für Daten, die Fachkräfte auf der Plattform bezüglich ihrer eigenen Kunden hochladen (Kundenkarteien, Notizen, Leistungshistorie, Vorher/Nachher-Fotos usw.), agiert ZenBookr als Auftragsverarbeiter im Auftrag der Fachkraft, die der Verantwortliche ist.

Die Beziehungen zwischen der Fachkraft (Verantwortlicher) und ZenBookr (Auftragsverarbeiter) werden durch den Auftragsverarbeitungsvertrag (DPA) geregelt, den die Fachkraft als integralen Bestandteil der AGB für Fachkräfte akzeptiert.

Als Endkunde, der eine Dienstleistung bei einer Fachkraft gebucht hat, ist für die Verarbeitung Ihrer Daten durch die Fachkraft im Zusammenhang mit der vereinbarten Leistung die Fachkraft selbst der Verantwortliche, und Sie müssen Ihre DSGVO-Rechte direkt ihr gegenüber ausüben. Wir können Sie auf Anfrage bei der Identifizierung der für die Verarbeitung verantwortlichen Fachkraft unterstützen.

14. Änderungen der Datenschutzerklärung

Wir können diese Datenschutzerklärung regelmäßig aktualisieren, um Weiterentwicklungen der Plattform, neue Dienste oder rechtliche Änderungen widerzuspiegeln.

• Wesentliche Änderungen (z. B. neue Verarbeitungszwecke, neue Empfänger, Änderungen der Nutzerrechte): Wir benachrichtigen Sie mit mindestens 30 Tagen Vorankündigung per E-Mail an die mit Ihrem Konto verknüpfte Adresse und per In-App-Hinweis vor dem Inkrafttreten.
• Geringfügige Änderungen (z. B. Formatkorrekturen, Klarstellungen, Aktualisierung eines Anbieters): werden auf dieser Seite mit Aktualisierung des Datums «Letzte Aktualisierung» veröffentlicht.

Das Datum der letzten Aktualisierung ist stets oben auf der Seite angegeben. Die fortgesetzte Nutzung der Plattform nach dem Inkrafttreten einer Änderung gilt als Annahme derselben.

15. Beschwerden bei der Aufsichtsbehörde

Unbeschadet jedes anderen verwaltungs- oder gerichtlichen Rechtsbehelfs haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen (Art. 77 DSGVO). Sie können sich an die für Sie zuständige deutsche Landesdatenschutzbehörde, an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), oder an die für ZenBookr primär zuständige italienische Datenschutzbehörde Garante per la Protezione dei Dati Personali wenden.

Wir bitten Sie, sich vor Einreichung einer Beschwerde direkt an uns zu wenden unter privacy@zenbookr.app: Wir werden versuchen, konstruktiv auf Ihre Bedenken einzugehen.

16. Kontakt

Für jede Frage, Anfrage oder Klarstellung zu dieser Datenschutzerklärung oder der Verarbeitung Ihrer personenbezogenen Daten schreiben Sie uns an:

Wir sind nicht verpflichtet, einen Datenschutzbeauftragten (DSB) gemäß Art. 37 DSGVO bzw. § 38 BDSG zu benennen, da wir nicht unter die Kriterien der verpflichtenden Benennung fallen. Alle Anfragen werden dennoch von unserem Datenschutzteam unter der oben angegebenen E-Mail-Adresse bearbeitet. Sollten wir in Zukunft einen DSB benennen, werden wir dies durch Aktualisierung dieser Seite mitteilen. Verweis auch auf den Auftragsverarbeitungsvertrag (DPA).