Datenschutzerklärung

§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

§ 2 Multi-Tenant-Konstellation (mehrseitige Plattform)

MyNiroo ist eine mehrseitige Plattform. Beachten Sie insbesondere die nachstehende Aufteilung der datenschutzrechtlichen Verantwortlichkeiten:

• Plattform-Konten (Endkunden): Für Konto-Stammdaten (E-Mail, Telefonnummer, Vor- und Nachname, Passwort-Hash) und Plattform-übergreifende Funktionen (z. B. Konto-Wiederherstellung) ist der Plattform-Betreiber der Verantwortliche.
• Buchungsdaten bei einem konkreten Salon: Für die mit einem konkreten Salon-Betrieb verknüpften Buchungs-, Termin- und Kundenhistorie-Daten ist der jeweilige Salon-Betrieb datenschutzrechtlich der Verantwortliche; die Plattform fungiert insoweit als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Ein Auftrags­verarbeitungs­vertrag wird mit jedem Salon-Betrieb geschlossen. Soweit die Plattform eigenständig über Mittel und Zwecke der Verarbeitung mitentscheidet, gilt für die betroffenen Verarbeitungs­schritte eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO; eine entsprechende Vereinbarung wird mit dem Salon-Betrieb geschlossen und auf Anfrage zur Verfügung gestellt.

Die Plattform stellt sicher, dass Salon-Betriebe ausschließlich auf die Daten ihrer eigenen Kunden zugreifen können. Eine tenantübergreifende Datenzusammenführung erfolgt nicht.

§ 3 Verarbeitete Datenkategorien

3.1 Konto-Stammdaten (Endkunden und Salon-Mitarbeiter)

• E-Mail-Adresse
• Telefonnummer (normalisiert in E.164-Format zur Duplikat-Erkennung)
• Vor- und Nachname
• Passwort-Hash (Argon2 / bcrypt — niemals im Klartext gespeichert)
• Konto-Verifizierungs-Status (E-Mail-OTP, ggf. Telefon-OTP) und Zeitstempel

3.2 Buchungs- und Termindaten

• Gebuchte Leistungen, Mitarbeiter, Datum und Uhrzeit
• Bevorzugter Mitarbeiter (sofern vom Kunden angegeben)
• Stornierungen, No-Shows, Umbuchungen
• Buchungs-Referenz (BNR) zur Wiederauffindbarkeit
• Optionale Notizen, die der Kunde zum Termin hinterlässt

3.3 Salon-Daten (für Salon-Betreiber)

• Salon-Name, Adresse, Telefonnummer, Eröffnungszeiten
• Leistungskatalog mit Preisen und Dauer
• Mitarbeiter-Profile, Schichten, Spezialisierungen
• Konfigurationen wie Stornierungs­fristen, Walk-In-Zeiten etc.

3.4 Technische Daten und Protokolldaten

• IP-Adresse (zur Sicherheits-Prüfung, OTP-Rate-Limiting, Missbrauchs­prävention)
• User-Agent (Browser und Betriebssystem-Kennung)
• Zeitstempel von Anmeldungen, Aktionen und Buchungs­ereignissen
• Server-seitige Audit-Logs (z. B. Login-Versuche, OTP-Anforderungen, Buchungs-Mutationen) zur Sicherheits- und Fehleranalyse

3.5 Einwilligungs-Daten

• Zeitstempel der Zustimmung zu AGB und Datenschutzerklärung
• Version und SHA-256-Hash der zum Zeitpunkt der Zustimmung gültigen Dokumente
• Sprache der Zustimmung (de/en/tr)
• IP-Adresse und User-Agent zum Zeitpunkt der Einwilligung (Art. 7 Abs. 1 DSGVO)

§ 4 Zwecke und Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):Bereitstellung der Buchungs-, Konto- und Verwaltungs-Funktionen.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): für ausdrücklich zustimmungspflichtige Verarbeitungen (z. B. Marketing-Kommunikation, optionale Google-Calendar-Synchronisation).
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):Aufbewahrung von Buchungsdaten zur Erfüllung handels- und steuerrechtlicher Vorgaben (§ 257 HGB, § 147 AO).
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO):Missbrauchsprävention, IT-Sicherheit, Rate-Limiting, Fraud-Erkennung, Wiederherstellbarkeit von Buchungen, Verbesserung des Plattform-Betriebs.

§ 5 Empfänger / Auftragsverarbeiter

Wir setzen folgende Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten:

• Hostinger (Hosting-Dienstleister) — Bereitstellung der Server-Infrastruktur, auf der Anwendung und Datenbank betrieben werden.
• Sentry (Server-seitiges Fehler-Tracking) — wenn im Backend ein technischer Fehler auftritt, wird ein anonymisierter Bericht an Sentry übermittelt, damit wir den Fehler reproduzieren und beheben können. Die Übermittlung personenbezogener Daten ist durch die Konfiguration send_default_pii=False auf Anwendungs-Ebene deaktiviert — Namen, E-Mail-Adressen, Telefonnummern und ähnliche identifizierende Felder werden nicht an Sentry gesendet. Im Browser läuft kein Sentry-Code.

Mit den oben genannten Auftragsverarbeitern bestehen die nach Art. 28 DSGVO erforderlichen Vereinbarungen, soweit die jeweilige Verarbeitung dies erfordert. Weitere Dienstleister (z. B. für SMS-Versand, Kalender-Synchronisation) werden erst nach Aktivierung der jeweiligen Funktion und Aktualisierung dieser Datenschutzerklärung eingesetzt.

§ 6 Drittlandübermittlung

Aktuell findet keine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/EWR statt. Sämtliche eingesetzten Dienstleister verarbeiten Daten ausschließlich innerhalb der Europäischen Union. Sollte dies künftig durch Aktivierung zusätzlicher Dienste geändert werden, werden wir diese Datenschutzerklärung vorab entsprechend aktualisieren und geeignete Garantien gemäß Art. 46 DSGVO sicherstellen.

§ 7 Speicherdauer

• Konto-Stammdaten: bis zur Löschung Ihres Kontos; nach Löschung erfolgt die Anonymisierung durch unseren Erasure-Mechanismus innerhalb von 30 Tagen.
• Buchungsdaten: 10 Jahre gemäß § 257 HGB / § 147 AO zur Erfüllung steuer- und handelsrechtlicher Aufbewahrungs­pflichten. Nach Ablauf werden personenbezogene Bezüge gelöscht/anonymisiert; aggregierte Statistiken können in pseudonymer Form weiter genutzt werden.
• Einwilligungsnachweise: 3 Jahre nach Ende der Geschäftsbeziehung gemäß § 195 BGB-Verjährungsfristen.
• Sicherheits- und Audit-Logs: bis zu 90 Tage; bei sicherheitsrelevanten Vorfällen länger.

§ 8 Datensicherheit

• HTTPS/TLS-verschlüsselte Verbindung über das gesamte Frontend
• Argon2- bzw. bcrypt-Hashing aller Passwörter
• OTP-basierte Verifizierung der E-Mail-Adresse und (optional) der Telefonnummer
• Rate-Limiting auf Login-, Registrierungs-, OTP- und Passwort-Reset- Endpunkten zur Brute-Force-Abwehr
• Mehr-Tenant-Isolation in der Datenbank (Row-Level Tenant-Filtering)
• Regelmäßige automatisierte Backups
• Hosting innerhalb der Europäischen Union
• Programmatischer GDPR-Art.-17-Erasure-Mechanismus (Customer- Anonymisierung)

§ 9 Daten, die wir NICHT erheben

• Tracking-Cookies oder Werbe-Pixel von Drittanbietern
• Nutzungsanalysen wie Google Analytics, Facebook Pixel, Mixpanel oder vergleichbare Drittanbieter-Telemetrie
• Standortdaten (außer der IP-basierten Grobregion zur Sicherheits-Prüfung)
• Biometrische Identifikatoren
• Gesundheitsdaten
• Werbe-Identifier oder geräteübergreifende Tracking-IDs

§ 10 Keine Datenweitergabe oder -verkauf

Wir verkaufen Ihre personenbezogenen Daten nicht. Eine Weitergabe an Dritte zu Werbe-, Marketing- oder Profilierungs­zwecken findet nicht statt. Übermittlungen erfolgen ausschließlich an die in § 5 genannten Auftragsverarbeiter im Rahmen der dort beschriebenen Zwecke sowie an die zuständigen Behörden, soweit gesetzlich vorgeschrieben.

§ 11 Cookies und ähnliche Technologien

Wir setzen ausschließlich technisch erforderliche Cookies sowie eine durch direkte Nutzeraktion gesetzte Sprachpräferenz ein:

• customer_session (Anmelde-Cookie) und csrftoken (CSRF-Schutz) — technisch erforderlich gemäß Art. 6 Abs. 1 lit. b DSGVO und § 25 Abs. 2 Nr. 2 TTDSG; werden ohne gesonderte Einwilligung gesetzt.
• locale (Sprachpräferenz) — wird ausschließlich nach einem direkten Klick auf den Sprach-Umschalter gesetzt (de / en / tr) und speichert Ihre Auswahl für künftige Besuche. Die Speicherung erfolgt auf direkte Nutzeraktion im Sinne des § 25 Abs. 2 Nr. 2 TTDSG.

Wir verwenden keine Werbe-, Analyse- oder Tracking-Cookies und keine Cookies von Drittanbietern für Werbe-Zwecke. Eine ausführliche Aufstellung aller Cookies, der ergänzend genutzten localStorage- und sessionStorage-Einträge sowie aller Drittdienste mit potenzieller Datenübertragung finden Sie auf der Seite Cookie-Information.

§ 12 Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht auf:

• Auskunft (Art. 15 DSGVO): Sie können eine Kopie der zu Ihrer Person verarbeiteten Daten anfordern.
• Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger oder Vervollständigung unvollständiger Daten.
• Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung erfolgt programmatisch über unseren Anonymisierungs- Mechanismus.
• Einschränkung der Verarbeitung (Art. 18 DSGVO):unter bestimmten Voraussetzungen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruch (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen.
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO):jederzeit möglich, ohne Wirkung auf die bis dahin erfolgten rechtmäßigen Verarbeitungen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an team@myniroo.com. Wir antworten innerhalb von 30 Tagen.

§ 13 Beschwerderecht

Sie haben das Recht, sich bei der für den Verantwortlichen örtlich zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts bzw. Arbeitsplatzes wenden.

§ 14 Datenschutz von Kindern

Die Plattform richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass solche Daten ohne wirksame Einwilligung der Erziehungs­berechtigten erhoben wurden, werden wir diese unverzüglich löschen.

§ 15 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, etwa bei rechtlichen Anpassungen oder bei Aufnahme neuer Funktionen. Die jeweils aktuelle Version ist auf dieser Seite veröffentlicht. Bei wesentlichen Änderungen werden wir Sie über Ihren Plattform- Account und/oder per E-Mail benachrichtigen.

§ 16 Kontakt

Bei Fragen zum Datenschutz wenden Sie sich bitte an: