Datenschutz

Stand: 29. April 2026 · Diese Erklärung informiert Sie nach Art. 13 / 14 DSGVO und § 25 TDDDG.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und im Bookflow-Dienst ist:

2. Allgemeine Hinweise

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vorvertragliche Maßnahme), lit. c DSGVO (rechtliche Verpflichtung), lit. f DSGVO (berechtigtes Interesse) sowie lit. a DSGVO (Einwilligung), soweit eine solche erteilt wurde.

3. Hosting

Diese Website und der Bookflow-Dienst werden über den Hosting-Reseller Matthias Jansen (Marke „p-7.net"), Buschstr. 326, 47800 Krefeld, Deutschland, Kontakt mattes@p-7.net, bereitgestellt.

Die physische Server-Infrastruktur wird von der STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland (Tochterunternehmen der United Internet AG) betrieben. Server-Standort: Deutschland. Mit beiden Stellen wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

Beim Aufruf der Website werden technisch notwendige Verbindungsdaten (siehe Punkt 4 Server-Logfiles) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse besteht in einer technisch fehlerfreien und sicheren Bereitstellung des Dienstes.

4. Server-Logfiles

Beim Aufruf dieser Website erhebt unser Hoster automatisch Informationen, die der Browser an den Server übermittelt:

• IP-Adresse (gekürzt/anonymisiert sobald technisch möglich)
• Datum und Uhrzeit der Anfrage
• Inhalt der Anforderung (URL)
• Zugriffsstatus / HTTP-Statuscode
• Übertragene Datenmenge
• Referrer-URL
• Browser-Typ und -Version, Betriebssystem

Diese Daten sind technisch erforderlich (Art. 6 Abs. 1 lit. f DSGVO) und werden nach maximal 14 Tagen gelöscht, sofern nicht ein konkreter Sicherheitsvorfall eine längere Speicherung erfordert.

5. Cookies und lokaler Speicher

Bookflow setzt ausschließlich technisch notwendige Cookies und lokalen Speicher ein. Eine Einwilligung ist hierfür nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich.

Verwendete Cookies

• Session-Cookie (bookflow_session): hält die Anmeldung. Lebensdauer: Browser-Session bzw. max. 2 Stunden Inaktivität.
• XSRF-Token (XSRF-TOKEN): schützt Formulare vor Cross-Site-Request-Forgery. Lebensdauer: 2 Stunden.

Lokaler Speicher (LocalStorage)

• Theme-Einstellung (color-scheme): merkt Hell/Dunkel-Modus. Verbleibt bis zur manuellen Löschung im Browser.

Es findet kein Tracking, keine Reichweitenmessung und keine Profilbildung statt. Es werden keine Marketing- oder Analyse-Cookies Dritter eingebunden.

6. Kontaktaufnahme per E-Mail / Beta-Formular

Wenn Sie uns per E-Mail oder über das Beta-Formular auf der Startseite kontaktieren, verarbeiten wir Ihre Angaben (z. B. E-Mail-Adresse, Name, Branche, Nachrichtentext) zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich) bzw. lit. f DSGVO (berechtigtes Interesse an Beantwortung). Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Registrierung als Bookflow-Anbieter (Tenant)

Wenn Sie ein Bookflow-Konto als Anbieter (Tenant) anlegen, verarbeiten wir folgende Daten:

• Name, E-Mail-Adresse, Passwort (gehasht)
• Firmen-/Tenant-Bezeichnung, Slug
• Optional: Telefonnummer, Logo, Branding-Farbe, Adresse der Standorte, Bundesland (für gesetzliche Feiertage)
• Mitarbeiter-Daten (Name, optional Foto), Service-Definitionen, Arbeitszeiten
• Abrechnungs-/Plan-Status

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags). Die Daten werden für die Dauer des Vertragsverhältnisses gespeichert und nach Vertragsende unter Beachtung gesetzlicher Aufbewahrungsfristen (insbesondere § 147 AO, § 257 HGB) gelöscht.

8. Buchungen über Bookflow (Endkunden)

Bei einer Buchung über die öffentliche Buchungsseite eines Tenants verarbeiten wir die vom Endkunden angegebenen Daten: Name, E-Mail-Adresse, optional Telefonnummer, gewünschter Termin, gewählter Service. Diese Daten werden im Auftrag und auf Weisung des jeweiligen Tenants verarbeitet (Auftragsverarbeitung nach Art. 28 DSGVO, siehe Punkt 13). Verantwortlicher gegenüber dem Endkunden ist der jeweilige Tenant; Bookflow ist Auftragsverarbeiter.

9. Zahlungsabwicklung — Stripe

Für die Zahlungsabwicklung (Subscriptions des Tenants gegenüber Bookflow sowie optional Endkunden-Zahlungen über Stripe Connect) nutzen wir den Dienst Stripe der Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (für Nutzer im EWR). Bei Zahlungen werden Name, E-Mail-Adresse, Rechnungsanschrift sowie Zahlungsdaten (z. B. Karteninformationen) direkt an Stripe übermittelt. Bookflow erhält die Karten-/Konto-Daten nicht im Klartext.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags). Stripe verarbeitet die Daten als eigener Verantwortlicher zur Abwicklung der Zahlung sowie zur Betrugsprävention. Datenschutzerklärung von Stripe: https://stripe.com/de/privacy.

Drittlandtransfer (USA): Stripe kann personenbezogene Daten an die Stripe Inc. (USA) übermitteln. Stripe Inc. ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend sind EU-Standardvertragsklauseln (SCC) abgeschlossen. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.

10. E-Mail-Versand (SMTP)

Transaktionale E-Mails (Buchungsbestätigungen, Erinnerungen, Magic-Link-Logins, Storno-Mails) werden über den SMTP-Dienst unseres Hosters versendet. Der Versand erfolgt von der Adresse noreply@bookflow.0-7.eu. Verarbeitet werden: Empfänger-E-Mail, Betreff, Inhalt der E-Mail, Zeitstempel des Versands. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

11. SMS-Versand — Vonage

Für SMS-Erinnerungen vor Terminen nutzen wir den Dienst der Vonage Holdings Corp. bzw. der für EU-Kunden zuständigen Vonage-Tochtergesellschaft (TeleSign / Vonage UK Ltd.). Übermittelt werden ausschließlich die Mobilfunknummer des Endkunden sowie der Nachrichtentext. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag mit dem Tenant) sowie Einwilligung des Endkunden bei der Buchung (Art. 6 Abs. 1 lit. a DSGVO).

Datenschutzerklärung Vonage: https://www.vonage.com/legal/privacy-policy/. Drittlandtransfer kann stattfinden; Vonage hat EU-Standardvertragsklauseln implementiert.

12. Embed-Widget auf Drittseiten

Tenants können das Bookflow-Buchungswidget auf ihrer eigenen Website einbinden (iframe). In diesem Fall ist der jeweilige Tenant Verantwortlicher für die Datenverarbeitung gegenüber dem Endkunden; Bookflow ist Auftragsverarbeiter. Beim Aufruf des Widgets werden ausschließlich die unter Punkt 4 (Server-Logfiles) und Punkt 5 (technische Cookies) genannten Daten verarbeitet.

13. Auftragsverarbeitung

Mit Hostern, Versanddienstleistern (E-Mail, SMS) und sonstigen Dienstleistern, die für uns personenbezogene Daten verarbeiten, haben wir Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Eine separate AVV mit Bookflow für Tenants kann auf Anfrage zur Verfügung gestellt werden (siehe /avv).

14. Speicherdauer

• Konto-/Tenant-Daten: für die Dauer des Vertrags; danach Löschung unter Beachtung gesetzlicher Aufbewahrungsfristen (max. 10 Jahre für steuerrelevante Belege gemäß § 147 AO).
• Buchungen: für die Dauer des Vertrags des Tenants mit dem Endkunden, längstens jedoch 3 Jahre nach dem Termin (Verjährung allgemeiner Ansprüche, § 195 BGB).
• Server-Logs: max. 14 Tage.
• Notification-Logs (E-Mail/SMS-Versand): max. 90 Tage zur Fehleranalyse.

15. Ihre Rechte als Betroffene/r

Sie haben jederzeit das Recht auf:

• Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Wenden Sie sich hierfür an uns über die unter Punkt 1 genannten Kontaktdaten.

16. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die für uns zuständige Aufsichtsbehörde ist: