Zum Inhalt springen

Datenschutzerklaerung

================================================================================
  DATENSCHUTZERKLÄRUNG
  für die Online-Terminbuchungsplattform „Revobook"
================================================================================

Stand: 2026-01-15


================================================================================
  1. Verantwortlicher
================================================================================

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):

    Revobook, e.K.
    Hardenbergstraße 10
    47198 Duisburg
    Deutschland

    E-Mail: contact@revobook.io
    Telefon: 01629225742


================================================================================
  2. Überblick über die Datenverarbeitung
================================================================================

Wir betreiben die SaaS-Plattform „Revobook", eine Online-Terminbuchungs-
und Unternehmensverwaltungslösung. Diese Datenschutzerklärung informiert
Sie darüber, welche personenbezogenen Daten wir bei der Nutzung unserer
Plattform und Website erheben, zu welchem Zweck und auf welcher
Rechtsgrundlage.


================================================================================
  3. Rechtsgrundlagen der Verarbeitung
================================================================================

Wir verarbeiten personenbezogene Daten auf Grundlage folgender
Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung bzw. vorvertragliche
    Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen


================================================================================
  4. Datenverarbeitung bei Nutzung der Website
================================================================================

4.1 Server-Logfiles
    Die Zugriffsprotokollierung auf Ebene unseres Reverse-Proxy ist
    deaktiviert; es werden dort keine Client-IP-Adressen oder
    User-Agent-Daten dauerhaft gespeichert.

    Die Anwendung selbst speichert keine personenbezogenen
    Zugriffsprotokolle. Die IP-Adresse wird ausschließlich zur
    Missbrauchsabwehr (Rate-Limiting) flüchtig im Arbeitsspeicher
    verarbeitet und nicht dauerhaft gespeichert; lediglich im Falle
    eines erkannten Missbrauchs- oder Manipulationsversuchs kann ein
    kurzzeitiger Protokolleintrag erfolgen.

    Zur Sicherstellung des Betriebs und zur Fehleranalyse führt die
    Anwendung technische Protokolle (Anwendungs- und Fehlerprotokolle).
    E-Mail-Adressen werden darin ausschließlich maskiert gespeichert.
    Diese Protokolle werden automatisch gelöscht: Fehlerprotokolle
    spätestens nach 90 Tagen, Warn- und Betriebsprotokolle spätestens
    nach 30 Tagen, Diagnoseprotokolle spätestens nach 7 Tagen.

    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse
    an Betriebssicherheit und Missbrauchsabwehr).


================================================================================
  5. Datenverarbeitung bei Registrierung und Kontonutzung
================================================================================

5.1 Registrierung (Unternehmen / Account-Inhaber)
    Bei der Registrierung erheben wir:
    • E-Mail-Adresse
    • Passwort (gespeichert als Argon2id-Hash, nicht im Klartext)
    • Vor- und Nachname (optional, bei Mitarbeiteranlage)

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.2 Unternehmensprofil
    • Firmenname, Adresse, Telefonnummer, E-Mail
    • Logo und Bannerbild
    • Öffnungszeiten und Pausenzeiten

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.3 Mitarbeiterverwaltung
    • Vor- und Nachname
    • E-Mail-Adresse
    • Profilbild (optional)
    • Arbeitszeiten, Pausen, zugewiesene Services
    • Rolle im System (Inhaber, Admin, Mitarbeiter)

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.4 Registrierung von Endkunden (B2C-Nutzerkonto)
    Endkunden können sich unentgeltlich ein eigenes Nutzerkonto
    anlegen, um Termine zu buchen und ihre bei uns gespeicherten
    Daten einzusehen. Hierbei erheben wir:
    • E-Mail-Adresse
    • Passwort (gespeichert als Argon2id-Hash, nicht im Klartext)
    • Vor- und Nachname (sofern angegeben)

    Für diese Zugangs- und Stammdaten des B2C-Nutzerkontos sind WIR
    (der Plattformbetreiber) der datenschutzrechtlich Verantwortliche
    im Sinne von Art. 4 Nr. 7 DSGVO. Das B2C-Konto dient der
    plattformweiten An- und Abmeldung sowie der Einsicht in die
    eigenen Daten und ist nicht an ein einzelnes Unternehmen gebunden.

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzungsvertrag über
    das kostenlose Konto, siehe B2C-Nutzungsbedingungen).

    Abzugrenzen hiervon sind die im Rahmen einer konkreten Buchung bei
    einem Unternehmen anfallenden Termindaten (siehe Ziffer 6): Für
    diese Inhalte ist das jeweilige Unternehmen Verantwortlicher und
    wir handeln als Auftragsverarbeiter.


================================================================================
  6. Datenverarbeitung bei Terminbuchung (Endkunden)
================================================================================

Wenn Endkunden über die Plattform einen Termin buchen, werden folgende
Daten erhoben:

    • Vor- und Nachname
    • E-Mail-Adresse
    • Telefonnummer (je nach Konfiguration des Unternehmens)
    • Gewählter Service, Datum und Uhrzeit des Termins
    • Ggf. weitere vom Unternehmen konfigurierte Pflichtfelder

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung
    zwischen Endkunde und Unternehmen) bzw. Art. 6 Abs. 1 lit. f DSGVO
    (berechtigtes Interesse des Unternehmens an der Terminverwaltung).

    Hinweis zur Rollenverteilung (Doppelrolle): Für die Verarbeitung
    der konkreten Termin- und Buchungsdaten ist das jeweilige
    Unternehmen (unser Kunde) als Verantwortlicher zuständig. Wir
    handeln insoweit ausschließlich als Auftragsverarbeiter
    (Art. 28 DSGVO) auf Weisung des Unternehmens; die Einzelheiten
    regelt der Auftragsverarbeitungsvertrag (AVV). Für das hiervon zu
    trennende plattformweite B2C-Nutzerkonto (Zugangs- und Stammdaten,
    siehe Ziffer 5.4) sind hingegen wir der Verantwortliche.

    Es liegt in der Verantwortung des buchenden Unternehmens, in das
    Buchungsformular keine besonderen Kategorien personenbezogener
    Daten (Art. 9 DSGVO, z. B. Gesundheitsdaten) aufzunehmen oder
    abzufragen (siehe § 4 unserer AGB sowie Ziffer 13).


================================================================================
  7. Datenverarbeitung bei Zahlungsabwicklung und Rechnungsstellung
================================================================================

Die in dieser Ziffer beschriebenen Verarbeitungen betreffen
ausschließlich die Abrechnung des kostenpflichtigen Abonnements
gegenüber unseren gewerblichen Kunden (B2B-Account-Inhaber). Hierfür
sind WIR der datenschutzrechtlich Verantwortliche. Endkunden (B2C)
zahlen nicht über die Plattform; Termin- und Buchungsdaten werden weder
an den Zahlungsdienstleister noch an den Buchhaltungsdienst übermittelt.

7.1 Zahlungsabwicklung (Mollie)
    Für den Einzug der Abonnementgebühren nutzen wir:

        Mollie B.V.
        Keizersgracht 126
        1015 CW Amsterdam, Niederlande
        https://www.mollie.com/de/privacy

    An Mollie übermittelte bzw. dort verarbeitete Daten:
        • Zahlungsreferenz
        • Rechnungsdaten (Betrag, Datum, Rechnungsnummer)
        • Zahlungsstatus

    Hinweis zur Rolle: Mollie verarbeitet die zur Zahlungsabwicklung
    erforderlichen Zahlungsdaten (z. B. Bank-/Kartendaten, die der
    Zahler unmittelbar bei Mollie eingibt) als eigenständig
    datenschutzrechtlich Verantwortlicher. Auf diese Verarbeitung haben
    wir keinen Einfluss; es gilt insoweit die Datenschutzerklärung von
    Mollie. Vollständige Zahlungsmittel-Daten (z. B. Kartennummern)
    erhalten und speichern wir nicht.

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 Rechnungsstellung und Buchhaltung (sevDesk)
    Zur Erstellung gesetzeskonformer (elektronischer) Rechnungen
    (XRechnung/ZUGFeRD) und für die Buchhaltung nutzen wir:

        sevDesk GmbH
        Hauptstraße 115
        77652 Offenburg, Deutschland
        https://sevdesk.de/datenschutz

    An sevDesk übermittelte bzw. dort verarbeitete Daten:
        • Rechnungs- und Stammdaten des Kunden (Name, Anschrift,
          ggf. USt-ID)
        • Rechnungspositionen, Beträge, Rechnungsnummer und -datum
        • Zahlungsstatus

    Hinweis zur Rolle: sevDesk verarbeitet diese Daten als unser
    Auftragsverarbeiter; ein Auftragsverarbeitungsvertrag gemäß
    Art. 28 DSGVO ist abgeschlossen. Standort der Verarbeitung ist
    Deutschland.

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
    sowie Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO, § 257 HGB
    (gesetzliche Aufbewahrungs- und Rechnungspflichten).


================================================================================
  8. E-Mail-Kommunikation
================================================================================

Wir versenden transaktionale E-Mails für folgende Zwecke:
    • Buchungsbestätigungen und -erinnerungen
    • Registrierungs- und Verifizierungs-E-Mails (PIN-Codes)
    • Rechnungen
    • Passwort-Reset
    • Datenexport-Benachrichtigungen
    • Systembenachrichtigungen

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
    bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

    Es werden keine Marketing-E-Mails versendet.

    Der E-Mail-Versand erfolgt über unsere eigene, selbst betriebene
    Mail-Infrastruktur. Ein externer E-Mail-Versanddienstleister wird
    nicht eingesetzt.


================================================================================
  9. Cookies und Session-Management
================================================================================

Wir verwenden ausschließlich technisch notwendige Cookies bzw.
Session-Token zur Authentifizierung und Sitzungsverwaltung.

    • Session-Cookie: Dient der Zuordnung zu Ihrem Nutzerkonto nach
      dem Login. Wird bei Abmeldung oder nach Ablauf der Sitzung
      gelöscht.

    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse
    an der Bereitstellung der Plattform).

    Es werden keine Tracking-, Analyse- oder Marketing-Cookies
    eingesetzt.


================================================================================
  10. Hosting und Infrastruktur
================================================================================

Unsere Plattform wird gehostet bei:

    Hetzner Online GmbH
    Industriestr. 25, 91710 Gunzenhausen, Deutschland
    Standort: Deutschland

    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Ein
    Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist
    abgeschlossen.

Dateispeicherung (S3-kompatibler Objektspeicher):
    Hetzner Object Storage
    Standort: Deutschland

Übermittlung in Drittländer:
    Die von uns verantwortete Verarbeitung personenbezogener Daten
    findet ausschließlich innerhalb der EU bzw. des EWR statt; eine
    Übermittlung in Länder außerhalb der EU/des EWR (Drittländer) durch
    uns erfolgt nicht. Der Zahlungsdienstleister Mollie (vgl. Ziffer 7.1)
    verarbeitet die dort eingegebenen Zahlungsdaten als eigenständig
    Verantwortlicher; für eine etwaige Drittlandübermittlung im Rahmen
    der Zahlungsabwicklung ist Mollie selbst verantwortlich, es gilt
    insoweit dessen Datenschutzerklärung.


================================================================================
  11. Speicherdauer
================================================================================

Wir speichern personenbezogene Daten nur so lange, wie es für den
jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche
Aufbewahrungspflichten bestehen:

  | Datenkategorie               | Speicherdauer                        |
  |------------------------------|--------------------------------------|
  | Nutzerkonto / Profildaten    | Bis zur Löschung des Kontos          |
  | Termindaten                  | Bis zur Löschung durch den Kunden    |
  | Rechnungsdaten               | 10 Jahre (§ 147 AO, § 257 HGB)       |
  | Zugriffsprotokolle           | Keine dauerhafte Speicherung         |
  | Anwendungs-/Fehlerprotokolle | Max. 90 Tage (automatische Löschung) |
  | Session-Daten (Redis)        | Bis Abmeldung oder Session-Ablauf    |
  | Datenexport-Dateien (S3)     | 8 Tage nach Erstellung (automatisch) |

  Nach Löschung des Nutzerkontos werden alle personenbezogenen Daten
  gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.


================================================================================
  12. Ihre Rechte als betroffene Person
================================================================================

Sie haben folgende Rechte gemäß DSGVO:

  a) Auskunftsrecht (Art. 15 DSGVO)
     Sie können Auskunft über Ihre bei uns gespeicherten
     personenbezogenen Daten verlangen.

  b) Recht auf Berichtigung (Art. 16 DSGVO)
     Sie können die Berichtigung unrichtiger Daten verlangen.

  c) Recht auf Löschung (Art. 17 DSGVO)
     Sie können die Löschung Ihrer Daten verlangen, sofern keine
     gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Plattform
     bietet hierfür eine Self-Service-Funktion (Account-Löschung).

  d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
     Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.

  e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
     Sie können die Sie betreffenden personenbezogenen Daten in einem
     strukturierten, gängigen und maschinenlesbaren Format (JSON)
     erhalten. Registrierte Nutzer (B2B-Account-Inhaber wie auch
     B2C-Endkunden) können hierfür eine Selbstexport-Funktion im
     Profilbereich der Plattform nutzen (siehe Ziffer 16).

  f) Widerspruchsrecht (Art. 21 DSGVO)
     Sie können der Verarbeitung Ihrer Daten auf Grundlage von
     Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen.

  g) Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)
     Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten
     gegen die DSGVO verstößt, können Sie sich bei einer
     Datenschutz-Aufsichtsbehörde beschweren. Zuständig ist
     unbeschadet eines anderweitigen Rechtsbehelfs insbesondere die
     Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres
     Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:
    E-Mail: contact@revobook.io


================================================================================
  13. Besondere Kategorien personenbezogener Daten
================================================================================

Die Plattform ist nicht auf die Verarbeitung besonderer Kategorien
personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO ausgelegt.
Wir erheben oder verlangen solche Daten nicht aktiv. Hierzu zählen
sämtliche Kategorien des Art. 9 Abs. 1 DSGVO:

    • Daten, aus denen die rassische oder ethnische Herkunft hervorgeht
    • politische Meinungen
    • religiöse oder weltanschauliche Überzeugungen
    • Gewerkschaftszugehörigkeit
    • genetische Daten
    • biometrische Daten zur eindeutigen Identifizierung
    • Gesundheitsdaten
    • Daten zum Sexualleben oder zur sexuellen Orientierung

Die Plattform richtet sich ausdrücklich nicht an Anbieter, deren
Tätigkeit typischerweise die Verarbeitung einer dieser Kategorien mit
sich bringt (z. B. aus dem Gesundheits- bzw. Heilbehandlungsbereich
oder vergleichbaren sensiblen Bereichen). Unsere Kunden (Unternehmen)
sind vertraglich verpflichtet, über die Plattform keine besonderen
Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO
einzugeben oder abzufragen (siehe § 4 unserer AGB sowie den AVV).

Soweit sich im Einzelfall gleichwohl aus dem gebuchten Angebot oder
aus freiwilligen Angaben Rückschlüsse auf solche Daten ergeben
können, ist allein das jeweilige Unternehmen als Verantwortlicher für
die datenschutzrechtliche Zulässigkeit verantwortlich (insbesondere
für eine etwaige Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO); wir
handeln insoweit ausschließlich als weisungsgebundener
Auftragsverarbeiter.

Die Plattform ist technisch und organisatorisch nicht gezielt für die
Verarbeitung solcher Daten ausgelegt.


================================================================================
  13a. Keine automatisierte Entscheidungsfindung (Art. 22 DSGVO)
================================================================================

Eine ausschließlich auf einer automatisierten Verarbeitung —
einschließlich Profiling — beruhende Entscheidung, die Ihnen gegenüber
rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich
beeinträchtigt, findet im Sinne von Art. 22 DSGVO nicht statt.


================================================================================
  14. Datensicherheit
================================================================================

Wir treffen angemessene technische und organisatorische Maßnahmen zum
Schutz Ihrer personenbezogenen Daten, insbesondere:

    • TLS-Verschlüsselung aller Datenübertragungen (HTTPS)
    • Passwort-Hashing mit Argon2id
    • Strikte Mandantentrennung (Multi-Tenant-Isolation)
    • Rate-Limiting zum Schutz vor Brute-Force-Angriffen
    • Automatische Datenbank-Backups
    • Continuous Monitoring und strukturiertes Logging

Nähere Informationen finden Sie in Anlage 1 des
Auftragsverarbeitungsvertrages (AVV).


================================================================================
  15. Änderungen dieser Datenschutzerklärung
================================================================================

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf
anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer
Plattform anzupassen. Die aktuelle Fassung ist stets auf unserer
Website abrufbar.


================================================================================
  16. Datenexport-Funktionen
================================================================================

Die Plattform stellt zwei voneinander getrennte Export-Funktionen
bereit. Beide Exporte werden asynchron im Hintergrund erstellt und nach
Fertigstellung per E-Mail mit einem zeitlich begrenzten Download-Link
zugestellt. Der Download-Link ist 7 Tage gültig; die Exportdatei wird
spätestens 8 Tage nach Erstellung automatisch gelöscht. Ein Export kann
jeweils einmal pro 24 Stunden angefordert werden.

16.1 Unternehmensdaten-Export (für B2B-Account-Inhaber)
     Account-Inhaber von Unternehmenskonten können einen vollständigen
     Export der von ihnen verwalteten Unternehmensdaten im JSON-Format
     anfordern. Dieser Export dient der Bereitstellung der vom
     Unternehmen verantworteten Auftragsdaten (z. B. zur Datenmitnahme
     bei Vertragsende) und ist nicht mit dem Recht auf
     Datenübertragbarkeit einer einzelnen betroffenen Person (Art. 20
     DSGVO) gleichzusetzen: Er umfasst auch personenbezogene Daten
     Dritter (insbesondere Endkundendaten), für die das Unternehmen
     selbst Verantwortlicher ist.

     Der Export umfasst:
         • Unternehmensprofil und Adressen
         • Mitarbeiter, Rollen und Arbeitszeiten
         • Services und Verfügbarkeiten
         • Kundendaten und Verknüpfungen
         • Termine und Erinnerungen
         • Rechnungen und Abrechnungsdaten
         • Nachrichten

16.2 Persönlicher Datenexport (Art. 20 DSGVO)
     Alle registrierten Nutzer — sowohl B2B-Account-Inhaber als auch
     B2C-Endkunden — können im Profilbereich einen Export der zu ihrer
     eigenen Person gespeicherten Daten im JSON-Format (strukturiert,
     gängig, maschinenlesbar) anfordern. Dieser Export setzt das Recht
     auf Datenübertragbarkeit nach Art. 20 DSGVO um und umfasst
     ausschließlich die Daten der anfragenden Person:
         • Konto-/Stammdaten
         • Profildaten bei den genutzten Unternehmen
         • eigene Termine und Erinnerungen
         • eigene Benachrichtigungen
         • erteilte Sichtbarkeits-Freigaben