Rechtliches · octobooking.com
Datenschutzerklärung
Version 2.0 · Zuletzt aktualisiert 30. Juni 2026
Diese Datenschutzerklärung erläutert, wie Octobooking, ein Beta-Dienst betrieben von Tomas Bardhi („wir“), betrieben unter octobooking.com, personenbezogene Daten gemäß der Verordnung (EU) 2016/679 („DSGVO“) erhebt, verwendet und schützt.
1. Wer wir sind
Der Verantwortliche für diese Plattform ist Octobooking, ein Beta-Dienst betrieben von Tomas Bardhi, erreichbar unter privacy@octobooking.com.
Octobooking ist derzeit eine kostenlose Beta, die von einer Privatperson betrieben wird. Nach der DSGVO kann eine natürliche Person Verantwortlicher sein. Sobald die Betreibergesellschaft gegründet ist, werden hier ihre vollständigen Angaben (Firmenname, Sitz, USt-IdNr.) veröffentlicht.
2. Was Octobooking ist
Octobooking ist eine cloudbasierte Plattform für die Termin- und Buchungsverwaltung für Betriebe wie Friseure, Salons und ähnliche Dienstleister („Betriebe“). Sie wird derzeit als kostenlose Beta angeboten. Sie ist ein Planungswerkzeug — sie wickelt keine Zahlungen für Betriebe ab, stellt keine Rechnungen oder Steuerdokumente aus und steht in keiner Verbindung zu einer Steuerbehörde.
Diese Erklärung gilt für zwei unterschiedliche Gruppen:
- Betriebsinhaber und ihr Personal, die sich registrieren und die Octobooking-Plattform direkt nutzen; und
- Endkunden dieser Betriebe, die mit den öffentlichen Buchungsseiten interagieren.
Für die Daten der Endkunden ist der Betriebsinhaber der eigenständige Verantwortliche; Octobooking handelt nur als Auftragsverarbeiter in seinem Auftrag (Art. 28 DSGVO). Siehe Abschnitt 11.
3. Welche Daten wir erheben
3.1 Betriebsinhaber und Personal
- Name, E-Mail-Adresse, Telefonnummer
- Betriebsname, Standort, Zeitzone, Öffnungszeiten
- Abonnement-Abrechnung — verarbeitet durch Stripe; wir speichern nur die Stripe-Kunden-ID (während der kostenlosen Beta nicht aktiv)
- Profil- und Betriebsbilder über UploadThing
- Sitzungs-Token und IP-Adressen (nur zur Authentifizierungssicherheit und Ratenbegrenzung)
3.2 Endkunden der Betriebe
Erhoben durch Betriebe, die Octobooking nutzen, und durch Octobooking als Auftragsverarbeiter im Auftrag des Betriebs verarbeitet:
- Name, Telefonnummer, E-Mail-Adresse (optional)
- Buchungsverlauf: Daten, Uhrzeiten, Leistungen, Mitarbeiter
- Freitextnotizen, die vom Betrieb hinzugefügt werden
- Zahlungsstatus (bezahlt / unbezahlt — nur zur Referenz; Octobooking wickelt keine Zahlung ab)
3.3 Automatische technische Daten
- Sitzungs-Cookies (Authentifizierung)
- Einwilligungs-Cookie — speichert deine Cookie-Einstellungen
- Aggregierte, anonyme Nutzungsstatistiken über Vercel Analytics (nur mit deiner Einwilligung — keine personenbezogenen Daten)
4. Besondere Kategorien von Daten
Octobooking fragt keine besonderen Kategorien personenbezogener Daten ab (Art. 9 DSGVO — etwa Gesundheits-, Religions- oder biometrische Daten). Die Freitextnotizen, die ein Betrieb einem Kunden oder einer Buchung hinzufügen kann, könnten jedoch grundsätzlich solche Daten enthalten (z. B. eine von einem Salon notierte Allergie).
Betriebsinhaber dürfen als Verantwortliche dieser Daten keine besonderen Kategorien von Daten erfassen, sofern sie keine gültige Rechtsgrundlage nach Art. 9 DSGVO haben. Octobooking verwendet diese Notizen ausschließlich zur Anzeige gegenüber dem Betrieb, der sie eingegeben hat.
5. Rechtsgrundlage und Zwecke
Die nachstehende Tabelle betrifft Verarbeitungen, bei denen Octobooking als Verantwortlicher handelt — d. h. für die Daten der Betriebsinhaber und ihres Personals. Für die Daten der Endkunden handelt Octobooking ausschließlich als Auftragsverarbeiter auf Weisung des Betriebsinhabers; dieser ist für seine eigene Rechtsgrundlage verantwortlich (siehe Abschnitt 11).
| Zweck | Rechtsgrundlage (Art. 6 DSGVO) |
|---|---|
| Bereitstellung des Buchungsverwaltungsdienstes für Betriebsinhaber | Art. 6(1)(b) — Erfüllung eines Vertrags |
| Authentifizierung und Kontosicherheit (Ratenbegrenzung, OTP über Twilio Verify, IP-Prüfungen, Bot-Erkennung über Cloudflare Turnstile, Telefonnummern-Risikobewertung über Twilio Lookup V2) | Art. 6(1)(f) — berechtigtes Interesse (Plattformintegrität und Betrugsprävention) |
| Abonnement-Abrechnung über Stripe (während der kostenlosen Beta nicht aktiv) | Art. 6(1)(b) — Erfüllung eines Vertrags |
| Anonyme Nutzungsanalyse über Vercel Analytics | Art. 6(1)(a) — Einwilligung (über das Cookie-Banner) |
| Aufbewahrung anonymisierter Buchungsdaten nach Kontolöschung | Art. 6(1)(f) — berechtigtes Interesse (betriebliche Historie; keine personenbezogenen Daten aufbewahrt) |
6. Unterauftragsverarbeiter
Wir geben personenbezogene Daten nur an die nachstehenden Anbieter weiter, die jeweils durch einen schriftlichen Auftragsverarbeitungsvertrag gebunden sind:
| Anbieter | Zweck | Standort / Grundlage |
|---|---|---|
| Vercel Inc. | Anwendungs-Hosting, CDN, anonyme Analyse | USA — SVK |
| Neon Inc. | PostgreSQL-Datenbank (Speicherort deiner Daten) | EU (Frankfurt, Deutschland) |
| Resend Inc. | Versand transaktionaler E-Mails | USA — SVK |
| Twilio Inc. | Transaktionale SMS; OTP-Versand und -Verifizierung (Twilio Verify); Telefonnummern-Risikobewertung (Twilio Lookup V2) | USA — SVK |
| Cloudflare Inc. | Bot- und Betrugsprävention (Turnstile — verarbeitet IP-Adresse und Browsersignale bei der Registrierung) | USA — SVK |
| Upstash Inc. | Verteilte Ratenbegrenzung (speichert vorübergehend IP-Adressen / Telefonnummern, max. 10 Minuten, zur Vermeidung von SMS-Missbrauch) | USA — SVK |
| Stripe Inc. | Abonnement-Zahlungsabwicklung (nur Betriebsinhaber; während der kostenlosen Beta nicht aktiv) | USA — SVK |
| UploadThing (Ping Labs Inc.) | Bild- und Dateispeicherung (Profil- und Betriebsbilder) | Singapur — SVK |
| OpenFreeMap | Kartenkacheln auf der öffentlichen Buchungsseite (erhält die IP-Adresse des Besuchers zur Bereitstellung der Karte; nur bei funktionaler Einwilligung geladen) | EU (Deutschland) |
SVK = Standardvertragsklauseln, Beschluss der Europäischen Kommission 2021/914/EU (Art. 46(2)(c) DSGVO).
7. Internationale Datenübermittlungen
Deine Daten werden in der EU gespeichert (Neon, Frankfurt). Mehrere Unterauftragsverarbeiter haben ihren Sitz in den USA, und unsere Bildspeicherung (UploadThing) befindet sich in Singapur — beide profitieren nicht von einem EU-Angemessenheitsbeschluss. Alle derartigen Übermittlungen erfolgen auf Grundlage der Standardvertragsklauseln (Kommissionsbeschluss 2021/914/EU), ergänzt durch Verschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256). Es werden keine Daten in Länder ohne Angemessenheitsbeschluss oder geeignete Garantien übermittelt.
8. Speicherdauer
- Kontodaten des Betriebsinhabers:Für die Dauer des Kontos, zuzüglich 30 Tage nach Löschung, danach endgültig gelöscht.
- Personenbezogene Daten von Endkunden (Name, E-Mail, Telefon, Notizen):Bei Kontolöschung oder einem gültigen Löschantrag sofort gelöscht — durch anonyme Platzhalter ersetzt.
- Anonymisierte Buchungsdaten (keine personenbezogenen Daten):Bis zu 2 Jahre ab dem letzten Buchungsdatum, danach endgültig gelöscht.
- Sitzungs- und Authentifizierungsprotokolle:Maximal 90 Tage.
- Analysedaten:Nur aggregiert, keine personenbezogenen Daten, gemäß Vercels Aufbewahrungsrichtlinie.
9. Kontolöschung und Löschung
Wenn ein Betriebsinhaber oder Endkunde sein Konto löscht oder einen gültigen Löschantrag stellt, wenden wir ein Pseudonymisierungsverfahren an:
- Alle persönlichen Identifikatoren — Name, E-Mail, Telefonnummer, Notizen — werden sofort mit anonymen Platzhaltern überschrieben.
- Der Authentifizierungs-Kontodatensatz wird endgültig gelöscht.
- Buchungsdaten werden in anonymisierter Form (Daten, Leistungsnamen, keine Identifikatoren) bis zu 2 Jahre aufbewahrt und dann gelöscht.
Betriebsinhaber können die Löschung in ihren Kontoeinstellungen veranlassen. Endkunden können die Löschung unter privacy@octobooking.com beantragen.
10. Cookies
Nicht notwendige Cookies werden erst gesetzt, nachdem du über das Cookie-Banner eingewilligt hast. Du kannst deine Auswahl jederzeit über den Link „Cookie-Einstellungen“ in der Fußzeile der Website ändern oder widerrufen.
| Cookie | Kategorie | Zweck | Dauer |
|---|---|---|---|
| better-auth.session_token | Notwendig | Verwaltung der authentifizierten Sitzung | 7 Tage |
| better-auth.session_data | Notwendig | Verschlüsselte Sitzungsdaten | 7 Tage |
| NEXT_LOCALE | Notwendig | Speichert deine Spracheinstellung | 1 Jahr |
| octopus_consent | Notwendig | Speichert deine Cookie-Einwilligungsentscheidungen | 1 Jahr |
| sidebar_state | Notwendig | Speichert den Zustand der Dashboard-Seitenleiste (nur Betriebsinhaber) | 7 Tage |
| Vercel Analytics (_va_*) | Analyse — Einwilligung erforderlich | Anonyme, aggregierte Seitenaufruf-Statistiken; keine personenbezogenen Daten | Sitzung / 1 Jahr |
Die Einwilligungsoption „Funktional“ setzt kein Cookie; sie steuert, ob die Standortkarte auf der öffentlichen Buchungsseite eines Betriebs geladen wird. Das Laden der Karte teilt deine IP-Adresse mit unserem Kartenkachel-Anbieter OpenFreeMap (mit Sitz in der EU). Wird die funktionale Einwilligung abgelehnt, wird anstelle der Karte ein Platzhalter angezeigt.
11. Betriebsinhaber als eigenständige Verantwortliche
Wenn ein Betriebsinhaber Octobooking nutzt, um die Daten seiner Kunden zu erheben und zu verwalten, ist er der eigenständige Verantwortliche für diese Daten (Art. 4(7) DSGVO). Octobooking handelt ausschließlich als Auftragsverarbeiter (Art. 28 DSGVO) und verarbeitet ausschließlich nach den Weisungen des Betriebsinhabers.
Betriebsinhaber sind verantwortlich für:
- die Festlegung einer Rechtsgrundlage für die Erhebung der Daten ihrer Kunden;
- die Bereitstellung einer angemessenen Datenschutzerklärung an ihre Kunden;
- die Bearbeitung von Betroffenenanfragen ihrer eigenen Kunden.
Die vollständigen Bedingungen dieses Verhältnisses sind im Auftragsverarbeitungsvertrag (AVV) geregelt, den jeder Betriebsinhaber bei der Erstellung eines Betriebs akzeptiert.
12. Deine Rechte (Art. 15–22 DSGVO)
- Auskunft (Art. 15):Eine Kopie der über dich gespeicherten personenbezogenen Daten anfordern.
- Berichtigung (Art. 16):Uns bitten, unrichtige oder unvollständige Daten zu korrigieren.
- Löschung (Art. 17):Uns bitten, deine personenbezogenen Daten zu löschen. Siehe Abschnitt 9.
- Einschränkung (Art. 18):Uns bitten, die Verarbeitung unter bestimmten Umständen einzuschränken.
- Übertragbarkeit (Art. 20):Deine Daten in einem strukturierten, maschinenlesbaren Format erhalten, sofern die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt.
- Widerspruch (Art. 21):Der auf berechtigtem Interesse beruhenden Verarbeitung widersprechen.
- Widerruf der Einwilligung:Soweit die Verarbeitung auf Einwilligung beruht (z. B. Analyse-Cookies), diese jederzeit widerrufen, ohne die bisherige Verarbeitung zu berühren.
Wende dich an privacy@octobooking.com, um ein Recht auszuüben. Wir antworten innerhalb eines Monats, der bei komplexen Anfragen um bis zu zwei weitere Monate verlängert werden kann; in diesem Fall informieren wir dich.
13. Aufsichtsbehörden
Du hast das Recht, bei der Datenschutzbehörde deines Wohnsitzlandes Beschwerde einzureichen:
- Italien — Garante per la protezione dei dati personali (garanteprivacy.it)
- Österreich — Datenschutzbehörde (dsb.gv.at)
- Alle anderen EU/EWR-Länder — die Aufsichtsbehörde deines Mitgliedstaats. Vollständige Liste auf der Website des Europäischen Datenschutzausschusses.
14. Sicherheit
- Alle Daten bei der Übertragung mit TLS 1.2+ verschlüsselt
- Ruhende Daten vom Datenbankanbieter verschlüsselt (AES-256)
- Passwörter als bcrypt-Hashes gespeichert — niemals im Klartext
- Produktionszugriff durch MFA geschützt, beschränkt auf autorisiertes Personal
- Auth-APIs durch mehrschichtige Kontrollen geschützt: Cloudflare Turnstile (Bot-Erkennung), verteilte IP-Ratenbegrenzung (Upstash Redis), Telefonnummern-Risikobewertung (Twilio Lookup V2) und OTP-Versand über Twilio Verify mit Fraud Guard
- Mandantentrennung: jeder Betrieb greift nur auf seine eigenen Daten zu
15. Änderungen dieser Erklärung
Wir können diese Erklärung aktualisieren, um Änderungen unseres Dienstes oder des geltenden Rechts widerzuspiegeln. Bei wesentlichen Änderungen benachrichtigen wir registrierte Nutzer mindestens 30 Tage vor Inkrafttreten per E-Mail. Version und Datum oben auf dieser Seite spiegeln stets die aktuelle Fassung wider.
Kontakt
Für Datenschutzfragen oder zur Ausübung deiner Rechte: privacy@octobooking.com
Unterliegt der Verordnung (EU) 2016/679 (DSGVO) und dem geltenden Recht des EU-Mitgliedstaats.