Datenschutzerklärung – Bookra

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Mawaldi, Abdulrahman und Mhjazi, Moaz GbR
Wimmelstraße 2a, 34125 Kassel
E-Mail: support@ahmtimus.com
Telefon: +49 163 6934217
Website: www.ahmtimus.com

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten zur Bereitstellung der Plattform (Terminbuchung, Kalender, Kundenverwaltung, Bewertungen, Nachrichten/Chat), zur Vertragserfüllung und zur Erfüllung gesetzlicher Pflichten. Die Erhebung erfolgt über die Plattform, E-Mails und ggf. über eingebundene Dienste (Hosting, Analyse). Eine Weitergabe an Dritte erfolgt nur im unten beschriebenen Umfang (Auftragsverarbeiter, Behörden bei gesetzlicher Verpflichtung).

3. Erhobene Daten und Zwecke

3.1 Kontodaten und Authentifizierung

Bei Registrierung bzw. Einladung werden E-Mail-Adresse, Passwort (verschlüsselt), Name und ggf. weitere von Ihnen angegebene Angaben (z. B. Telefon, Profilbild) verarbeitet. Zweck: Anlage und Verwaltung Ihres Kontos, Anmeldung, Zuordnung zu Salons/Rollen. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. bei Einladung auch berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Bei der Registrierung werden Sie aufgefordert, den AGB und dieser Datenschutzerklärung ausdrücklich zuzustimmen. Diese Zustimmung wird mit Zeitstempel serverseitig protokolliert, um unserer Nachweispflicht (Art. 7 Abs. 1 DSGVO) nachzukommen.

3.2 Buchungen und Kalender

Terminbuchungen, Kalenderdaten, zugeordnete Kunden- und Mitarbeiterdaten sowie Anmerkungen werden verarbeitet. Zweck: Durchführung und Verwaltung von Buchungen, Erinnerungen, Kommunikation zu Terminen. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

3.3 Bewertungen und Kommunikation

Bewertungen, Chat- und Nachrichteninhalte sowie Metadaten (Zeitpunkt, Teilnehmer) werden verarbeitet. Zweck: Bereitstellung der Bewertungs- und Chatfunktion, Qualitätssicherung, ggf. Rechtsdurchsetzung. Rechtsgrundlage: Vertragserfüllung und berechtigtes Interesse (Art. 6 Abs. 1 lit. b, f DSGVO).

3.4 Nutzungs- und technische Daten

Beim Aufruf der Plattform können IP-Adresse, Browsertyp, Geräteinformationen, Zugriffszeiten und referenzierte Seiten (Zugriffslogs) sowie ggf. anonymisierte Nutzungsstatistiken anfallen. Zweck: Betrieb, Sicherheit, Fehleranalyse, Optimierung. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) und ggf. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), sofern Sie in Analyse-Tools eingewilligt haben.

3.5 E-Mail-Versand (Auftragsverarbeiter Resend)

Zum Versand von E-Mails im Rahmen unserer Dienste (z. B. Buchungsbestätigungen, Terminerinnerungen, Passwort-Zurücksetzen, Einladungen an Mitarbeiter und – sofern Sie eingewilligt haben – Bewertungsanfragen und vergleichbare Nachrichten) setzen wir den Dienst Resend ein.

Anbieter: Plus Five Five, Inc. (Handelsmarke: Resend), 2261 Market Street #5039, San Francisco, CA 94114, USA.

Verarbeitete Daten: E-Mail-Adressen der Empfänger, in den Nachrichten enthaltene personenbezogene Angaben (z. B. Name, Termindaten) sowie technische Versandmetadaten.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); bei Marketing-E-Mails (z. B. Bewertungsanfragen): Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Marketing-E-Mails werden nur versendet, wenn Sie dies in Ihren Datenschutz-Einstellungen aktiviert haben.

Übermittlung in Drittländer: Die Verarbeitung kann in den USA erfolgen. Es bestehen ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO sowie EU-Standardvertragsklauseln (SCC). Zusätzlich ist der Anbieter unter dem EU-U.S. Data Privacy Framework zertifiziert. Eine Liste der Unterauftragsverarbeiter: resend.com/legal/subprocessors. Datenschutzerklärung des Anbieters: resend.com/legal/privacy-policy.

3.6 Einwilligungsnachweise

Wir protokollieren Ihre Einwilligungen (z. B. AGB-Akzeptanz, Cookie-Consent, Marketing-Opt-In) mit Zeitstempel und Version serverseitig, um unserer Nachweispflicht gemäß Art. 7 Abs. 1 DSGVO nachzukommen. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) und gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).

3.7 Automatische Datensicherungen

Zur Sicherstellung des Betriebs und zur Notfallwiederherstellung (Disaster Recovery) werden täglich automatische Backups der Datenbankinhalte erstellt. Dabei werden zwei Kategorien unterschieden:

• Personenbezogene Daten (u. a. Profildaten, Buchungen, Chat-Nachrichten, Bewertungen): werden ausschließlich AES-256-GCM verschlüsselt gesichert. Der Entschlüsselungsschlüssel wird getrennt vom Backup aufbewahrt. Aufbewahrung: maximal 14 Tage, danach automatische unwiderrufliche Löschung.
• Operative Daten (Dienstleistungskatalog, Öffnungszeiten, Plattform-Einstellungen – ohne Personenbezug): werden unverschlüsselt gesichert. Aufbewahrung: maximal 30 Tage.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – die Datensicherung dient der Betriebskontinuität und dem Schutz vor Datenverlust. Die 14-tägige Aufbewahrungsfrist ist das Minimum, das eine Wiederherstellung nach einem spät erkannten Vorfall ermöglicht, und steht im Verhältnis zum Schutzbedarf Ihrer Daten.

Bei einer Löschanfrage gemäß Art. 17 DSGVO werden Ihre Daten unverzüglich aus der Produktionsdatenbank entfernt. Backups, die Ihre personenbezogenen Daten noch enthalten, werden spätestens nach Ablauf der 14-tägigen Aufbewahrungsfrist vollständig und automatisch gelöscht.

4. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Erfüllung der genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Im Einzelnen:

• Kontodaten (Profil): Bis zur Löschung Ihres Kontos durch Sie selbst oder durch den Anbieter. Bei dauerhafter Inaktivität (kein Login innerhalb von 36 Monaten) behalten wir uns vor, Sie zu kontaktieren und das Konto nach angemessener Frist zu löschen.
• Buchungsdaten: 3 Jahre nach dem Buchungstermin. Danach werden personenbezogene Angaben (Name, E-Mail, Telefon) anonymisiert; anonymisierte Buchungsdaten können für Salon-Statistiken erhalten bleiben.
• Bewertungen: Bis zur Löschung durch Sie oder bis zur Löschung Ihres Kontos.
• Chat-Nachrichten: Bis zur Löschung Ihres Kontos. Bei Kontolöschung wird der Nachrichteninhalt entfernt; die Struktur (Zeitstempel, Raum) kann für den Salon erhalten bleiben.
• Einwilligungsnachweise: Mindestens 3 Jahre nach Ende der zugehörigen Verarbeitung (Nachweis gemäß Art. 7 DSGVO).
• E-Mail-Daten bei Resend: Bis zur Beendigung des Vertrags mit Resend; danach Löschung innerhalb von 90 Tagen.
• Zugriffslogs: In der Regel wenige Wochen, sofern keine Sicherheitsvorfälle vorliegen.
• Automatische Backups (personenbezogene Daten): Maximal 14 Tage ab Erstellungsdatum, danach automatische Löschung. Im Falle einer Kontolöschung (Art. 17 DSGVO) werden betroffene Backup-Dateien spätestens nach Ablauf dieser Frist vollständig entfernt.

Bei Kontolöschung durch Sie werden Ihre personenbezogenen Daten unverzüglich gelöscht oder anonymisiert, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. handels- oder steuerrechtlich).

5. Empfänger und Auftragsverarbeiter

Die kernbezogene Verarbeitung personenbezogener Daten (Datenbank, Authentifizierung, Speicher) erfolgt auf Servern in Deutschland (EU). Wir setzen dazu Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Auftragsverarbeiter nach Art. 28 DSGVO). Mit diesen bestehen Verträge über die Auftragsverarbeitung (AVV) mit den gesetzlich vorgesehenen Pflichten.

• Supabase (Datenbank, Authentifizierung, Speicher): Verarbeitung u. a. von Kontodaten, Buchungen, Chats und Bewertungen. Serverstandort: Deutschland (EU-Region Frankfurt am Main). Datenschutzerklärung: supabase.com/privacy
• Vercel (Hosting, Auslieferung der Anwendung, ggf. Analytics): Verarbeitung technischer Zugriffsdaten (z. B. IP, User-Agent). Serverstandort: Deutschland (EU-Region Frankfurt am Main). Datenschutzerklärung: vercel.com/legal/privacy-policy
• Resend (E-Mail-Versand): Versand transaktionaler und – bei Einwilligung – marketing-bezogener E-Mails. Serverstandort: USA. AVV, EU-SCC und EU-U.S. Data Privacy Framework. Datenschutzerklärung: resend.com/legal/privacy-policy

Eine Weitergabe an Behörden erfolgt nur bei gesetzlicher Verpflichtung (z. B. Art. 6 Abs. 1 lit. c DSGVO).

6. Übermittlung in Drittländer

Soweit Daten in Drittländer (z. B. USA) übermittelt werden, erfolgt dies auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission, geeigneter Garantien (insbesondere EU-Standardvertragsklauseln gemäß Durchführungsbeschluss 2021/914) und/oder der Zertifizierung des Empfängers unter dem EU-U.S. Data Privacy Framework. Aktuell betrifft dies den Dienst Resend (siehe Abschnitt 3.5 und 5).

7. Ihre Rechte

Sie haben gegenüber dem Verantwortlichen u. a. folgende Rechte:

• Auskunft (Art. 15 DSGVO) über Ihre gespeicherten Daten
• Berichtigung (Art. 16 DSGVO) unrichtiger Daten
• Löschung (Art. 17 DSGVO) oder Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO), soweit technisch möglich
• Widerspruch (Art. 21 DSGVO) gegen die Verarbeitung aus berechtigtem Interesse
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) für die Zukunft
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), z. B. der für Ihren Wohnsitz zuständigen Datenschutzbehörde

7.1 Selbstservice: Datenexport und Kontolöschung

Um Ihnen die Ausübung Ihrer Rechte zu erleichtern, bieten wir in der Plattform unter „Datenschutz-Einstellungen" (erreichbar über Ihr Profil) folgende Funktionen:

• Datenexport (Art. 20 DSGVO): Sie können eine Kopie aller bei uns gespeicherten personenbezogenen Daten (Profil, Buchungen, Bewertungen, Nachrichten, Einwilligungshistorie) als maschinenlesbares JSON-Format herunterladen.
• Kontolöschung (Art. 17 DSGVO): Sie können Ihr Konto selbstständig löschen. Dabei werden Ihre personenbezogenen Daten sofort aus der Produktionsdatenbank gelöscht und Buchungen anonymisiert. Automatische Backups, die Ihre Daten noch enthalten, werden spätestens nach 14 Tagen unwiderruflich gelöscht (siehe Abschnitt 3.7).
• Marketing-Einstellungen: Sie können jederzeit steuern, ob Sie Marketing-E-Mails (z. B. Bewertungsanfragen) erhalten. Die Einstellung ist standardmäßig deaktiviert (Opt-In).

Darüber hinaus können Sie Ihre Rechte jederzeit per E-Mail an support@ahmtimus.com geltend machen.

8. Cookies und lokale Speicherung

Die Plattform verwendet technisch notwendige lokale Speicher (z. B. Local Storage, Session Storage), um Anmeldestatus, Theme-Einstellungen, Cookie-Einwilligung und ähnliche technische Zwecke zu gewährleisten. Diese sind für den Betrieb erforderlich und können nicht deaktiviert werden.

Darüber hinaus setzen wir Analyse-Tools (Vercel Analytics, Vercel Speed Insights) nur mit Ihrer ausdrücklichen Einwilligung ein. Sie können Ihre Cookie-Einstellungen jederzeit über das Cookie-Banner oder die Datenschutz-Einstellungen ändern. Ihre Entscheidung wird lokal und serverseitig protokolliert.

9. Marketing-E-Mails und Bewertungsanfragen

Wir versenden E-Mails zu Bewertungsanfragen und vergleichbare Marketing-Nachrichten nur an Nutzer:innen, die dem in ihren Datenschutz-Einstellungen ausdrücklich zugestimmt haben (Opt-In). Transaktionale E-Mails (Buchungsbestätigung, Terminerinnerung, Passwort-Reset, Einladungen) sind für den Betrieb notwendig und werden unabhängig von dieser Einstellung versandt; Rechtsgrundlage hierfür ist Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

10. Auftragsverarbeitung durch Salons

Wenn Sie als Salon bzw. Salon-Administrator:in Kundendaten (z. B. Namen, Kontaktdaten, Buchungshistorie) über die Plattform verarbeiten, handeln Sie in eigener Verantwortung als Verantwortliche:r für diese Daten. Wir verarbeiten diese Daten als Auftragsverarbeiter im Auftrag des Salons. Die Einzelheiten regeln die AGB und ggf. ein gesonderter Auftragsverarbeitungsvertrag (AVV).

11. Mindestalter

Die Plattform richtet sich an Personen ab 16 Jahren. Minderjährige unter 16 Jahren dürfen die Plattform nur mit Einwilligung einer personensorgeberechtigten Person nutzen (Art. 8 DSGVO i. V. m. § 2 Abs. 5 BDSG).

12. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen (z. B. bei Änderung der Verarbeitungen, der eingesetzten Dienstleister oder der Rechtslage). Die aktuelle Version ist auf dieser Seite abrufbar; bei wesentlichen Änderungen werden wir Sie angemessen informieren.

---

AHMTIMUS Automation Human Machine | Mawaldi, Abdulrahman und Mhjazi, Moaz GbR
Wimmelstraße 2a, 34125 Kassel | support@ahmtimus.com | +49 163 6934217
Stand: März 2026