desaloni

Datenschutzerklärung

Stand: 10. Mai 2026

Diese Erklärung informiert Sie nach Art. 13 und Art. 14 DSGVO darüber, welche personenbezogenen Daten wir bei der Nutzung unserer Plattform verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage und welche Rechte Sie als betroffene Person haben.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf den unter desaloni.com abrufbaren Seiten ist:

Mike Heinbuch (Inhaber)
desaloni
c/o Online-Impressum.de #6263
Europaring 90
53757 Sankt Augustin
Deutschland

E-Mail: info@desaloni.com
Telefon: +49 162 3740566
Vollständige Anbieterkennzeichnung im Impressum.

2. Datenschutzbeauftragter

Wir haben aktuell keinen Datenschutzbeauftragten benannt, weil keiner der gesetzlichen Verpflichtungstatbestände nach Art. 37 DSGVO bzw. § 38 BDSG erfüllt ist (insbesondere keine ständige Verarbeitung besonderer Kategorien personenbezogener Daten und weniger als 20 ständig mit der automatisierten Verarbeitung beschäftigte Personen). Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

3. Wessen Daten wir verarbeiten

Wir verarbeiten personenbezogene Daten von vier Personenkreisen. Welche Abschnitte für Sie relevant sind, hängt davon ab, wie Sie unsere Plattform nutzen:

  • Salon-Inhaber und Mitarbeiter mit eigenem Konto in der Pro-App unter /app
  • Endkunden, die über eine Salon-Mikroseite unter /salon/[slug] einen Termin buchen
  • Besucher der Marketing-Seiten (Startseite, Preise, Blog, Kontakt usw.)
  • Kontakt-Formular-Nutzer

4. Datenkategorien, Zwecke und Rechtsgrundlagen

a) Salon-Inhaber und Mitarbeiter

Wir verarbeiten Account- und Stammdaten, die im Rahmen der Anmeldung und Salon-Verwaltung erhoben werden: Name, E-Mail-Adresse, gehashtes Passwort (verwaltet über unseren Auth-Anbieter, siehe Abschnitt 6), gewählter Tarif, Salon-Name und -Adresse, Öffnungszeiten, optional Logo und Foto, Stripe-Customer- und -Connect-Account-IDs (sofern Online-Zahlung aktiviert), iCal-Token, 2FA-Status und Login-Zeitstempel. Zweck: Bereitstellung der Pro-App, Abrechnung, Sicherheit, Audit-Log. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Missbrauchsprävention).

b) Endkunden des Salons

Wenn ein Endkunde über die öffentliche Salon-Mikroseite einen Termin bucht, verarbeiten wir Name, E-Mail-Adresse, optional Telefonnummer sowie die gewählten Services, Mitarbeiter und Termin-Daten. Optional erfasste Notizen werden nur dann gespeichert, wenn der Endkunde sie selbst einträgt. Zweck: Erstellung und Verwaltung der Buchung, Versand von Bestätigung und Erinnerung, Stornierungs-Abwicklung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Verantwortlicher ist hier in der Regel der jeweilige Salon, desaloni handelt als Auftragsverarbeiter (siehe Abschnitt 9).

c) Besucher der Marketing-Seiten

Beim Aufruf unserer Webseiten verarbeitet unser Hosting-Anbieter technische Verbindungsdaten (IP-Adresse, User-Agent, Referer, Pfad, HTTP-Status, Zeitstempel). Diese Daten werden nur in Server-Logs zur Stabilität und Missbrauchsprävention verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Die IP-Adresse wird nicht länger als 30 Tage in den Logs vorgehalten. Zusätzlich betreiben wir eine eigene, datensparsame Reichweitenmessung (aggregierte Seitenaufrufe ohne Personenbezug sowie, nur mit Ihrer Einwilligung, anonyme Nutzungsstatistiken); Details in Abschnitt 8.

d) Kontaktformular

Bei Nutzung unseres Kontaktformulars verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail, optional Salon-Name, gewähltes Thema, Nachrichtentext) zur Bearbeitung der Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. lit. f DSGVO.

e) Online-Zahlungen

Sofern ein Salon Stripe Connect aktiviert hat und Sie als Endkunde eine Online-Anzahlung leisten oder ein Salon-Inhaber den Pro-Tarif kostenpflichtig abonniert, werden die zur Zahlungsabwicklung notwendigen Daten direkt an Stripe übermittelt. Wir selbst speichern keine Karten- oder Konto-Daten, sondern lediglich eine pseudonyme Stripe-Referenz (Customer-, PaymentIntent- bzw. Subscription-IDs) und den Zahlungs-Status. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Details zur Stripe-Verarbeitung in Abschnitt 6.

5. Bereitstellung der Daten

Die Bereitstellung der oben genannten Daten ist weder gesetzlich noch vertraglich generell vorgeschrieben. Sie ist jedoch erforderlich, um Ihnen die jeweilige Funktion (Konto, Buchung, Online-Zahlung) zur Verfügung zu stellen. Ohne die Daten können wir die Leistung in der Regel nicht erbringen.

6. Empfänger und Sub-Prozessoren

Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen jeweils ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO besteht. Eine Übersicht:

  • Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992, mit Datenverarbeitung in der EU (eu-central-1, Frankfurt am Main). Zweck: Datenbank (PostgreSQL), Authentifizierung, Datei-Speicher für Salon-Fotos. AVV mit Standardvertragsklauseln liegt vor. Datenschutzerklärung: supabase.com/privacy.
  • Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Zweck: Hosting der Webseiten und API. Edge-Anfragen werden durch Cloudflare-Infrastruktur in Frankfurt geleitet, Server-seitige Render-Funktionen laufen in der Region Frankfurt (fra1). Drittlandtransfer in die USA findet bei administrativem Zugriff statt und ist durch das EU-US Data Privacy Framework (Vercel ist zertifiziert) sowie zusätzliche EU-Standardvertragsklauseln abgesichert. Datenschutzerklärung: vercel.com/legal/privacy-policy.
  • Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (Mutter: Stripe, Inc., USA). Zweck: Abwicklung von Pro-Subscriptions und Endkunden-Anzahlungen über Stripe Connect. Stripe ist eigener Verantwortlicher für die Zahlungsabwicklung (Art. 4 Nr. 7 DSGVO). Drittlandtransfer in die USA wird durch das EU-US Data Privacy Framework (Stripe ist zertifiziert) und EU-Standardvertragsklauseln abgesichert. Datenschutzerklärung: stripe.com/de/privacy.
  • Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. Zweck: Versand von transaktionalen E-Mails (Bestätigung, Reminder, Magic-Link). Wird nur genutzt, wenn der zugehörige API-Key gesetzt ist; ansonsten bleiben Mail-Versuche im Server-Log. Drittlandtransfer durch Standardvertragsklauseln abgesichert. Datenschutzerklärung: resend.com/legal/privacy-policy.
  • Twilio Ireland Limited, 25-28 North Wall Quay, Dublin 1, Irland (Mutter: Twilio Inc., USA). Zweck: optionaler SMS-Versand für Termin-Reminder. Diese Funktion ist derzeit in Vorbereitung und nicht aktiv; ein SMS-Versand findet aktuell nicht statt. Sobald aktiviert, wird der Drittlandtransfer durch Standardvertragsklauseln abgesichert. Datenschutzerklärung: twilio.com/de/legal/privacy.
  • Plausible Insights OU, Vainu 5, Tallinn 10146, Estland. Zweck: cookie-freie, datensparsame Reichweiten- Statistik für die Marketing-Seiten. Wird nur geladen, wenn Sie im Cookie-Banner der Statistik zugestimmt haben. Datenverarbeitung in der EU. Datenschutzerklärung: plausible.io/privacy.
  • Functional Software, Inc. (Sentry), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Zweck: Error-Tracking zur Stabilität der Plattform. Optional, nur aktiv, wenn die zugehörige DSN gesetzt ist. Drittlandtransfer durch Standardvertragsklauseln und Data Privacy Framework abgesichert. Datenschutzerklärung: sentry.io/privacy.

Eine aktuelle Liste der von uns eingesetzten Sub-Prozessoren stellen wir Salon-Inhabern auf Anfrage und im Rahmen des AVV (abrufbar unter /app/legal/avv) zur Verfügung.

7. Drittlandtransfer

Eine Übermittlung personenbezogener Daten in Drittländer (insbesondere USA) findet ausschließlich statt, soweit dies in Abschnitt 6 ausdrücklich angegeben ist. Wir stützen diese Übermittlung auf das EU-US Data Privacy Framework (Art. 45 DSGVO, soweit der Empfänger zertifiziert ist) und auf EU- Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Der jeweilige aktuelle Status der Zertifizierung kann der verlinkten Datenschutzerklärung des Empfängers entnommen werden. Auf Wunsch stellen wir Ihnen eine Kopie der abgeschlossenen Standardvertragsklauseln per E-Mail bereit.

8. Cookies und vergleichbare Technologien

Wir setzen ausschließlich technisch notwendige Cookies sowie, mit Ihrer Einwilligung, ein Statistik-Skript (Plausible). Eine Werbe- oder Tracking-Infrastruktur ist nicht im Einsatz.

CookieZweckLaufzeitRechtsgrundlage
sb-...-auth-tokenAnmeldung Salon-Inhaber (Supabase Auth)Session bzw. Refresh-LifetimeArt. 6 Abs. 1 lit. b DSGVO, § 25 Abs. 2 Nr. 2 TDDDG
desaloni_customerAnmeldung Endkunde via Magic-Link (/me)30 TageArt. 6 Abs. 1 lit. b DSGVO, § 25 Abs. 2 Nr. 2 TDDDG
desaloni_consentSpeichert Ihre Cookie-Banner-Entscheidung12 MonateArt. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TDDDG
desaloni_betaBeta-Zugangsschlüssel (sofern aktiv)30 TageArt. 6 Abs. 1 lit. b DSGVO, § 25 Abs. 2 Nr. 2 TDDDG
desaloni_localeSprache der Marketing-Seiten12 MonateArt. 6 Abs. 1 lit. b DSGVO, § 25 Abs. 2 Nr. 2 TDDDG
ds_vidAnonyme, einwilligungsbasierte Reichweitenmessung (kein Personenbezug, keine Weitergabe an Dritte)12 MonateArt. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG

Plausible Analytics setzt nach eigenen Angaben keine Cookies und verarbeitet IP-Adressen nur kurzzeitig zur Sitzungs-Erkennung. Wir laden das Plausible-Skript dennoch nur nach aktiver Einwilligung im Cookie-Banner, weil es sich rechtlich um optionale Reichweitenmessung handelt (§ 25 Abs. 1 TDDDG). Rechtsgrundlage in dem Fall: Art. 6 Abs. 1 lit. a DSGVO.

Darüber hinaus betreiben wir eine eigene, datensparsame Reichweitenmessung auf unseren Webseiten. Aggregierte Seitenaufrufe je Seite und Tag erheben wir ohne Personenbezug und ohne Speicherung auf Ihrem Endgerät (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an einer datensparsamen Statistik). Nur mit Ihrer Einwilligung setzen wir zusätzlich einen anonymen, nicht personenbezogenen Kennwert (Cookie ds_vid), um neue von wiederkehrenden Besuchen zu unterscheiden und den Anmelde-Verlauf auszuwerten. Es werden keine IP-Adressen im Klartext gespeichert und keine Daten an Dritte weitergegeben (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).

Sie können Ihre Cookie-Entscheidung jederzeit ändern, indem Sie das Cookie desaloni_consent in Ihrem Browser löschen oder die Seite im privaten Modus erneut aufrufen.

9. Mehrstufige Verantwortlichkeit (Salon-Mikroseiten)

Salons können über desaloni eine eigene Buchungs-Mikroseite unter /salon/[slug] sowie ein Embed-Widget für ihre eigene Webseite betreiben. Für die in diesem Rahmen vom Endkunden eingegebenen Daten ist der jeweilige Salon eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. desaloni handelt als Auftragsverarbeiter nach Art. 28 DSGVO. Den entsprechenden Auftragsverarbeitungsvertrag mit allen Pflichtangaben (Sub-Prozessoren, technische und organisatorische Maßnahmen, Drittlandtransfer) können Salon-Inhaber im Pro-Bereich unter /app/legal/avv mit ihren Daten vorgefüllt herunterladen.

Endkunden, die Fragen zur Verarbeitung ihrer Termin-Daten haben, wenden sich bitte vorrangig direkt an den Salon, bei dem sie gebucht haben. desaloni unterstützt Salons bei der Bearbeitung solcher Anfragen.

10. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die in Abschnitt 4 genannten Zwecke erforderlich ist und gesetzliche Aufbewahrungsfristen es zulassen.

  • Account-Daten Salon-Inhaber: bis zur Löschung des Accounts; bei rechnungsrelevanten Daten zusätzlich bis zum Ende der gesetzlichen Aufbewahrungsfrist (in der Regel bis zu 10 Jahre nach Ablauf des betreffenden Geschäftsjahres, § 147 AO, § 257 HGB).
  • Termin- und Kunden-Daten: während der aktiven Geschäftsbeziehung mit dem Salon, danach ggf. steuerrechtliche Aufbewahrungsfristen (siehe oben). Salons können einzelne Kunden-Datensätze jederzeit löschen (Art. 17 DSGVO).
  • Audit-Log: 24 Monate, danach automatische Löschung.
  • Server-Logs (IP, Pfad, Status, User-Agent): maximal 30 Tage, außer bei einem Sicherheitsvorfall, in dem wir die betroffenen Einträge für die Dauer der Aufklärung gesondert aufbewahren.
  • Stripe-Referenzen (Customer-/PaymentIntent-IDs): für die Dauer der Geschäftsbeziehung sowie zur Erfüllung gesetzlicher Aufbewahrungsfristen.
  • Kontaktformular-Anfragen: bis zur abschließenden Bearbeitung Ihrer Anfrage, ggf. zzgl. der gesetzlichen Aufbewahrungsfristen.

11. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, darunter insbesondere:

  • Verschlüsselte Übertragung sämtlicher Daten via TLS 1.2 oder höher (HTTPS).
  • Datenbank-Verschlüsselung im Ruhezustand (AES-256 über Supabase / AWS RDS).
  • Server-Standort innerhalb der EU (Frankfurt am Main).
  • Strikte Mandanten-Trennung im Datenmodell (jeder Datensatz ist an eine Salon-ID gebunden).
  • Optionale Zwei-Faktor-Authentifizierung für Salon-Konten.
  • Rate-Limiting und Audit-Log für alle ändernden Aktionen.
  • Zeitnahe Sicherheitsupdates an Frameworks und Bibliotheken.

12. Automatisierte Entscheidungen, Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO oder ein Profiling findet nicht statt. Wir nutzen weder Scoring-Verfahren noch automatisierte Bonitätsprüfungen.

13. Ihre Rechte als betroffene Person

Sie haben uns gegenüber jederzeit folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung, „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO), insbesondere bei Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Salon-Inhaber können im Pro-Bereich unter „Einstellungen“ ihren Account jederzeit selbst löschen sowie pro Kundeneintrag einen DSGVO-Datenexport oder eine vollständige Löschung anstoßen. Endkunden können unter desaloni.com/me per Magic-Link auf ihre eigenen Termin-Daten zugreifen. Anfragen, die nicht im Self-Service abgedeckt sind, beantworten wir formlos und kostenlos per E-Mail an info@desaloni.com.

14. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmasslichen Verstoßes (Art. 77 DSGVO). Für uns zuständig ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: ldi.nrw.de

15. Widerspruch gegen Direktwerbung

Soweit wir Ihre Daten zur Direktwerbung verarbeiten, können Sie der Verarbeitung jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widersprechen. Eine Mitteilung in Textform an info@desaloni.com genügt.

16. Daten Minderjähriger

Unser Angebot richtet sich an Salon-Inhaber und volljährige Endkunden. Wir verarbeiten wissentlich keine Daten von Personen unter 16 Jahren. Sollten Sie davon Kenntnis erlangen, dass uns entgegen unseren Anstrengungen Daten Minderjähriger übermittelt wurden, bitten wir Sie um kurze Information, damit wir die betroffenen Daten umgehend löschen können.

17. Datenquellen (Art. 14 DSGVO)

Wir erheben in der Regel ausschließlich Daten direkt bei Ihnen. In bestimmten Fällen erhalten wir Daten zu Endkunden über den Salon, der die Buchung im Pro-Bereich anlegt (z. B. bei telefonisch entgegengenommenen Terminen). In diesem Fall verweisen wir Sie auf den Salon als ursprünglichen Verantwortlichen.

18. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage, unsere technische Infrastruktur oder unser Angebot wesentlich ändert. Die jeweils aktuelle Version ist unter desaloni.com/legal/datenschutz abrufbar. Wesentliche Änderungen kommunizieren wir Salon-Inhabern zusätzlich per E-Mail.

Diese Datenschutzerklärung wurde mit Sorgfalt verfasst. Sie ersetzt keine individuelle Rechtsberatung. Bei spezifischen Fragen zur Anwendung der DSGVO im Salon-Alltag empfehlen wir die Konsultation einer auf Datenschutzrecht spezialisierten Kanzlei.