Datenschutzerklärung
Stand: Mai 2026

  1. Verantwortlicher

    Verantwortlich für die Datenverarbeitung auf dieser Website und in der zugehörigen Buchungs-App ist:
    Sarah Lerch
    Fuldaer Str. 7
    63628 Bad Soden-Salmünster
    E-Mail: Mail@yogamitsarah.me
  2. Allgemeine Hinweise zur Datenverarbeitung

    Umfang der Verarbeitung personenbezogener Daten
    Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, unserer Buchungs-App sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers oder zur Erfüllung eines Vertrages.

    Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
    Soweit wir eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.
    Bei der Verarbeitung von Daten zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage.
    Ist die Verarbeitung zur Wahrung berechtigter Interessen unseres Unternehmens oder eines Dritten erforderlich, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

    Datenlöschung und Speicherdauer
    Die personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine darüber hinausgehende Speicherung kann erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften vorgesehen wurde. Konkrete Aufbewahrungsfristen finden Sie in den jeweiligen nachfolgenden Abschnitten.
  3. Website-Hosting, App-Infrastruktur und Server-Logfiles

    Art und Umfang der Datenverarbeitung
    Unsere Online-Angebote nutzen eine aufgeteilte technische Infrastruktur, um eine schnelle und sichere Bereitstellung der Hauptwebsite sowie unserer Buchungs-App zu gewährleisten:

    1. Hosting der Hauptwebsite (WordPress): Unsere Website yogamitsarah.me wird gehostet bei der united-domains AG (Gautinger Str. 10, 82319 Starnberg, Deutschland). Die Datenverarbeitung erfolgt ausschließlich in der Europäischen Union. Datenschutzbeauftragter des Anbieters ist Daniel Dingeldey (datenschutz@united-domains.de).

    2. Hosting der Buchungs-App (Frontend): Das Interface unserer Buchungs-App unter kurse.yogamitsarah.me wird über den Cloud-Dienst Vercel bereitgestellt (Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA). Wir betreiben die App auf EU-Servern (Frankfurt/Paris).

    3. Datenbank und Authentifizierung (Backend): Zur sicheren Speicherung Ihrer Nutzerdaten (z. B. Profil und Kursbuchungen) nutzen wir das Backend-System von Supabase (Supabase Inc., 970 Summer St, Stamford, CT 06905, USA). Die Datenbank wird in der EU-Region (Frankfurt am Main, Deutschland) betrieben; Ihre Daten werden physisch innerhalb der EU gespeichert.

    Erfassung von Server-Logfiles
    Bei jedem Aufruf der Website oder App erfassen die Systeme unserer Dienstleister automatisiert Informationen in sogenannten Server-Logfiles, die Ihr Browser oder Ihr Endgerät automatisch übermittelt:
    – IP-Adresse des zugreifenden Rechners/Endgeräts
    – Datum und Uhrzeit des Zugriffs
    – Name und URL der abgerufenen Datei/Schnittstelle
    – Website, von der aus der Zugriff erfolgte (Referrer-URL)
    – Verwendeter Browsertyp und dessen Version
    – Das Betriebssystem des Nutzers sowie der Name des Internet-Service-Providers

    Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

    Zweck der Datenverarbeitung
    Die vorübergehende Speicherung dieser Daten durch die Systeme ist notwendig, um eine fehlerfreie Auslieferung und Funktionsfähigkeit der Website und App zu ermöglichen, die Stabilität und Sicherheit der informationstechnischen Systeme zu gewährleisten (z. B. zur Abwehr von Cyberangriffen) sowie zur Optimierung des Angebots.

    Rechtsgrundlage
    Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der fehlerfreien Darstellung, Stabilität und Sicherheit unserer Online-Infrastruktur.

    Datenübertragung in Drittländer
    Da Vercel Inc. und Supabase Inc. ihren Hauptsitz außerhalb der EU haben, kann es im Rahmen von Wartung, Support oder Diagnose technisch zu einem Zugriff oder einer Übertragung von Metadaten in die USA bzw. das Ausland kommen. Beide Anbieter sind nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert und nutzen von der EU-Kommission anerkannte Standardvertragsklauseln (SCCs), wodurch ein angemessenes Datenschutzniveau gewahrt bleibt.

    Speicherdauer Server-Logfiles
    Die Aufbewahrungsdauer der Server-Logfiles unterscheidet sich nach Anbieter und richtet sich nach deren jeweiliger Default-Konfiguration:
    united-domains AG (Hauptseite yogamitsarah.me): max. 30 Tage
    Vercel Inc. (App-Frontend kurse.yogamitsarah.me): max. 30 Tage
    Supabase Inc. (Datenbank, Auth, API): max. 7 Tage
    Nach Ablauf werden die Logfiles automatisch und unwiderruflich gelöscht.

    Auftragsverarbeitung
    Mit allen drei Anbietern (united-domains AG, Vercel Inc. und Supabase Inc.) bestehen zwingend erforderliche Verträge zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO.
  4. Verwendung von Cookies und lokalen Speichermedien

    WordPress-Hauptseite (yogamitsarah.me)
    Auf unserer WordPress-Seite verwenden wir Cookies. Detaillierte Informationen — inklusive unseres Consent-Managements via Complianz und einer Liste aller eingesetzten Anbieter (WordPress, Facebook, WhatsApp, Google Maps, YouTube, OptinMonster) — finden Sie in unserer separaten Cookie-Richtlinie unter: https://yogamitsarah.me/cookie-richtlinie-eu/

    Buchungs-App (kurse.yogamitsarah.me)
    Die Buchungs-App verwendet ausschließlich technisch notwendige Cookies und lokalen Speicher (Local Storage). Es werden keine Tracking- oder Marketing-Cookies eingesetzt, weshalb in der App kein Consent-Banner erforderlich ist. Folgende Daten werden verarbeitet:
    – Supabase-Auth-Cookie (essenziell): Hält Sie nach dem Login auf Ihrem Gerät eingeloggt. Lebensdauer maximal 7 Tage. Wird beim manuellen Logout sofort gelöscht.
    – localStorage (Onboarding-Status): Speichert rein lokal im Browser, dass Sie die einmalige Einführungs-Tour gesehen haben.
    – localStorage (Ausgeblendete Hinweise): Speichert rein lokal, welche In-App-Hinweise (z. B. „Credits laufen bald ab“) Sie weggeklickt haben.
    – Service-Worker-Cache (PWA): Speichert Teile der App offline auf Ihrem Gerät, damit die App auch bei schlechter Netzverbindung schnell lädt.
    Diese Daten verbleiben ausschließlich lokal in Ihrem Browser und werden nicht an uns übermittelt. Sie können sie jederzeit über Ihre Browser-Einstellungen selbst löschen.

    Rechtsgrundlagen
    Rechtsgrundlage für den Einsatz dieser technisch notwendigen Funktionen ist § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der Bereitstellung einer funktionsfähigen und komfortablen App).
  5. YouTube-Videos

    Art und Umfang der Datenverarbeitung
    Auf unserer Website sind YouTube-Videos eingebettet. Betreiber von YouTube ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Wenn Sie eine unserer Webseiten besuchen, auf denen YouTube eingebunden ist, wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei wird dem YouTube-Server mitgeteilt, welche unserer Seiten Sie besucht haben.
    Zudem kann YouTube Cookies auf Ihrem Endgerät speichern oder vergleichbare Wiedererkennungstechnologien verwenden, um Videostatistiken zu erfassen, die Anwenderfreundlichkeit zu verbessern und Betrugsversuchen vorzubeugen. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, ermöglichen Sie YouTube, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem YouTube-Account ausloggen.

    Rechtsgrundlage
    Die Aktivierung und Datenverarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie über unser Cookie-Banner erteilen. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen mit Wirkung für die Zukunft widerrufen.

    Speicherdauer und Drittlandstransfer
    YouTube bzw. die Google LLC speichert Daten so lange, wie es für den jeweiligen Zweck erforderlich ist. Daten können in die USA übertragen werden. Google LLC ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Nähere Informationen finden Sie in der Datenschutzerklärung von Google: https://policies.google.com/privacy
  6. Schriftarten (lokale Einbindung)

    Diese Website nutzt zur einheitlichen Darstellung von Schriftarten sogenannte Web Fonts (Schriftart „Mulish“). Diese Schriftarten sind lokal auf unserem Server eingebunden und werden von dort ausgeliefert. Es findet keine Verbindung zu Servern von Google oder anderen Drittanbietern statt; Ihre IP-Adresse wird zu diesem Zweck nicht an Dritte übertragen. Eine Einwilligung ist hierfür nicht erforderlich.
  7. SSL- bzw. TLS-Verschlüsselung

    Diese Website und unsere App nutzen zur Sicherung der Übertragung vertraulicher Inhalte (wie z. B. Kursbuchungen, Login-Daten oder Kontaktanfragen) eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
  8. Kursanmeldung und Vertragsabwicklung (analog)

    Art und Umfang der Datenverarbeitung
    Für die analoge Anmeldung zu unseren Yogakursen via Papier-Formular erheben wir folgende personenbezogene Daten:
    Vor- und Nachname
    E-Mail-Adresse
    Telefonnummer
    Geburtsdatum
    Optional Name und Telefonnummer einer Notfallkontaktperson (für medizinische Notfälle während der Kursstunden)
    Unterschrift

    Zweck der Datenverarbeitung
    Durchführung der Vertragsabwicklung (Kursanmeldung, Teilnahmebestätigung), Kommunikation bezüglich der Kurse (Bestätigungen, Erinnerungen, Absagen), Bereithalten eines Notfallkontakts während der Kursstunden, Erfüllung rechtlicher Verpflichtungen (Haftung, Versicherung) sowie Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

    Rechtsgrundlage
    Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, insbesondere die schnelle Kontaktaufnahme bei medizinischen Notfällen in Stunden).

    Speicherdauer
    Papier-Anmeldebögen: 10 Jahre nach Ende der Kursteilnahme (aufgrund gesetzlicher Aufbewahrungsfristen und potenzieller Haftungsansprüche).
    Digitale Kontaktdaten: 3 Jahre nach der letzten Kursteilnahme bzw. nach Account-Löschung in der App (siehe § 9).
    Allgemeine E-Mail-Kommunikation: Bis zu 3 Jahre nach Ende des Kalenderjahres, in dem die Geschäftsbeziehung endete.
  9. Yoga-App: Nutzerkonto und Online-Buchungssystem

    Was die App ist

    Unter kurse.yogamitsarah.me betreiben wir eine Buchungs-App (Progressive Web App, PWA), über die Teilnehmer ihre Kursteilnahmen, Einzelstunden und Credits selbstständig digital verwalten können.

    Art und Umfang der Datenverarbeitung
    Im Rahmen Ihres digitalen Nutzerkontos verarbeiten wir folgende Daten:
    Stammdaten: Vorname, Nachname, E-Mail-Adresse,Telefonnummer, Geburtsdatum
    Notfallkontakt: Name und Telefonnummer einer Vertrauensperson (freiwillige Angabe)
    Login-Daten: E-Mail-Adresse und gehashtes Passwort (verschlüsselt verwaltet durch Supabase Auth)
    Zustimmung zu Dokumenten: Versionsnummer und Zeitstempel der Akzeptanz von AGB oder Datenschutzänderungen
    Status- und Einstellungen: Tag der Registrierung, Onboarding-Status, gewünschte Zeiten für automatisierte Kurs-Erinnerungen
    Buchungs- und Leistungsdaten: Gebuchte Stunden, Stornierungen, Wartelisten-Einträge, erworbene und verbrauchte Credits sowie deren Gültigkeitszeiträume
    Bild-Inhalte (Storage): Bilder zu Kursen und Stunden werden im Supabase-Storage (Frankfurt) gespeichert und sind in der App öffentlich abrufbar. Es werden ausschließlich Stock- bzw. Symbolbilder ohne erkennbare Personen verwendet — mit einer Ausnahme: das Profilbild der Verantwortlichen (Sarah Lerch) als Avatar in der Sarah-Sprechblase. Bilder erkennbarer Yogis oder Dritter werden grundsätzlich nicht verarbeitet. Der Upload erfolgt ausschließlich durch die Verantwortliche.

    Zweck der Datenverarbeitung
    Die Verarbeitung dient der Bereitstellung und Verwaltung Ihres Nutzerkontos, der Durchführung der digitalen Vertragsabwicklung (Buchungen, Stornierungen, Guthabenverwaltung), dem Versand notwendiger Transaktions-E-Mails sowie der Kommunikation bei Kursausfällen oder Wartelisten-Nachrückern.

    Rechtsgrundlagen
    Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für optionale, vom Nutzer gesetzte Einstellungen (z. B. Erinnerungszeiten) gilt Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Für die rechtssichere Dokumentation und Nachweisbarkeit der AGB-Zustimmung nutzen wir Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der Rechtsdurchsetzung).

    Account-Löschung und Recht auf Vergessenwerden (Art. 17 DSGVO)
    Da unsere Buchungs-App ein reines Organisationstool darstellt und keine eigenständigen Zahlungs- oder Rechnungsdaten verarbeitet, können Sie Ihren Account jederzeit selbstständig in der App löschen unter: Profil → „Account löschen“. Bei der Löschung erfolgt automatisiert:
    Alle zukünftigen Buchungen und Wartelisten-Einträge werden gelöscht (Plätze werden freigegeben).
    Ihre Profildaten und Ihr Login werden unwiderruflich aus der produktiven Datenbank entfernt.
    Der App-interne Protokollverlauf wird vollständig anonymisiert (siehe unten).
    Alternativ können Sie die Löschung jederzeit formlos per E-Mail an Mail@yogamitsarah.me verlangen.

    Speicherdauer
    Aktive Nutzerkonten: Für die gesamte Dauer des Bestehens Ihres Kontos.

    Automatische Löschung bei Inaktivität: Konten, die länger als 24 Monate nicht genutzt werden (kein Login), werden aus Gründen der Datensparsamkeit (Art. 5 Abs. 1 lit. e DSGVO) automatisch gelöscht bzw. anonymisiert. Sie werden vorab per E-Mail informiert und können die Löschung jederzeit durch erneutes Anmelden verhindern. Konten mit noch offenen Credits/Guthaben oder zukünftigen Buchungen sind hiervon ausgenommen, solange ein gültiger Anspruch besteht. Die Löschung erfolgt automatisiert nach demselben Verfahren wie die manuelle Account-Löschung (siehe oben).

    Nach Account-Löschung: Alle personenbezogenen Daten (Stammdaten, Buchungshistorie, Credits, Wartelisten-Einträge, Enrollments) werden unverzüglich und unwiderruflich aus unserer Datenbank entfernt. Einzige Ausnahme: das interne Audit-Log wird anonymisiert und verbleibt für maximal 24 Monate (siehe nachfolgenden Abschnitt „Protokollierung in der App“).
    Hinweis zu steuerlichen Aufbewahrungspflichten: Die Buchungs-App selbst verarbeitet keine Rechnungs-, Preis- oder Zahlungsdaten — Zahlungen erfolgen außerhalb der App. Steuer- und handelsrechtliche Aufbewahrungspflichten (insbesondere § 147 AO, § 257 HGB) bestehen damit ausschließlich für die außerhalb der App gehaltenen Belege (z. B. Papier-Anmeldebögen, Rechnungen, Quittungen) und werden von der Verantwortlichen gesondert erfüllt.

    Protokollierung in der App (Audit-Log)
    Zur Nachvollziehbarkeit und Gewährleistung der IT-Sicherheit führen wir ein internes, technisches Protokoll (Audit-Log) über betriebene Vorgänge (z. B. Zeitpunkt von Buchungen, Stornierungen, Credit-Zuweisungen oder erfolgten System-E-Mails).
    Zweck: Nachvollziehbarkeit von Buchungsänderungen bei Konflikten, Bug-Analyse und Erkennen von Missbrauch (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an System-Integrität).
    Anonymisierung: Bei einer Account-Löschung wird die Nutzer-ID in diesen Protokollen gelöscht. Die Einträge verbleiben maximal 24 Monate in rein nicht-personenbeziehbarer Form im System und werden danach vollständig gelöscht.
  10. WhatsApp Business-Kommunikation und WhatsApp-Kanal

    Art und Umfang der Datenverarbeitung
    Wir nutzen für die Kommunikation mit unseren Kursteilnehmern sowie für Updates den Messenger-Dienst „WhatsApp Business“ sowie die Funktion der „WhatsApp-Kanäle“. Anbieterin dieses Dienstes innerhalb der Europäischen Union ist die Meta Platforms Ireland Ltd. (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland).
    Direkte Kommunikation & Kurschats: Bei der direkten Kontaktaufnahme (z. B. via WhatsApp-Chat für individuelle Kursabsprachen oder in spezifischen Kursgruppen) werden Ihre Telefonnummer, Ihr Profilname, Nachrichteninhalte sowie technische Metadaten verarbeitet.
    WhatsApp-Kanal: Bei der Nutzung unseres offiziellen Infokanals erhalten Sie Updates von uns. Weder wir als Betreiber noch andere Abonnenten des Kanals können dabei Ihre Telefonnummer, Ihren Namen oder Ihr Profilbild einsehen.

    Rechtsgrundlage
    Die Verarbeitung Ihrer Daten im Rahmen der direkten WhatsApp-Kommunikation, der Kursgruppen sowie für das freiwillige Abonnieren unseres WhatsApp-Kanals erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (z. B. durch Verlassen einer Gruppe, Deabonnieren des Kanals oder per E-Mail an Mail@yogamitsarah.me).

    Datenübertragung in Drittländer
    Da WhatsApp zur Meta Platforms, Inc. (USA) gehört, kann eine Übermittlung von Daten (insbesondere technischen Metadaten) in die USA nicht ausgeschlossen werden. Meta Platforms, Inc. ist jedoch nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert, wodurch ein angemessenes Datenschutzniveau gewahrt bleibt.

    Auftragsverarbeitung
    Wir haben mit Meta Platforms Ireland Ltd. einen Vertrag zur Auftragsverarbeitung (AVV) für die Nutzung von WhatsApp Business abgeschlossen.
  11. E-Mail-Kommunikation und Newsletter via Brevo

    11.1 Transaktions-E-Mails (System-Mails)
    Für den automatisierten Versand aller systemrelevanten E-Mails rund um Ihre Kursbuchungen und App-Nutzung nutzen wir den technischen Dienstleister Brevo. Dies umfasst:
    Anmeldebestätigungen und Verifizierungen
    Buchungs- und Stornierungsbestätigungen
    Wartelisten-Nachrichten und kurzfristige Kursabsagen
    Passwort-Reset-Anfragen
    Verarbeitete Daten: Vorname, Nachname, E-Mail-Adresse sowie die jeweiligen Kursdetails.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ein Erfolgs-Tracking (Analyse von Öffnungs- oder Klickraten) findet bei diesen rein funktionalen System-E-Mails nicht statt.

    11.2 Automatisierte Stunden-Erinnerungen
    Die App kann Ihnen vor einer gebuchten Stunde eine Erinnerungs-E-Mail senden. Sie können in Ihrem App-Profil selbst festlegen, ob und wie viele Stunden vorher Sie erinnert werden möchten – oder diese Funktion komplett deaktivieren.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Ihre Profil-Einstellung). Ein Widerruf ist jederzeit durch Ändern der Einstellung oder per E-Mail möglich.

    11.3 Marketing-Newsletter
    Für den Versand unseres optionalen Newsletters nutzen wir ebenfalls den Dienst Brevo. Bei der Anmeldung erheben wir Ihren Vornamen, Nachnamen und Ihre E-Mail-Adresse.
    Double-Opt-in-Verfahren: Die Anmeldung erfolgt über ein Double-Opt-in-Verfahren (Bestätigungs-Link per E-Mail), um unbefugte Anmeldungen durch Dritte auszuschließen.
    Analyse und Tracking: Unser Newsletter umfasst ein integriertes Erfolgs-Tracking, bei dem statistisch erfasst wird, ob E-Mails geöffnet werden, welche Links angeklickt werden sowie der Zeitpunkt und das verwendete Endgerät. Dies dient ausschließlich der Optimierung unseres Informationsangebots.
    Rechtsgrundlage & Widerruf: Der Newsletter-Versand sowie das Tracking erfolgen ausschließlich auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können sich jederzeit über den Abmelde-Link am Ende jeder E-Mail oder per Nachricht an Mail@yogamitsarah.me abmelden.
    Anbieter-Details und Auftragsverarbeitung (Brevo)
    Anbieter ist die Brevo GmbH (Köpenicker Straße 126, 10179 Berlin; Tochtergesellschaft der Sendinblue SAS, Frankreich). Die Daten werden auf Servern innerhalb der Europäischen Union gespeichert. Mit der Brevo GmbH besteht ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO, welcher den Schutz Ihrer Daten bei allen Versandarten vertraglich garantiert.
  12. Allgemeine Kontaktaufnahme (E-Mail / Kontaktlinks)

    Wenn Sie per E-Mail oder über bereitgestellte Kontaktlinks (z. B. WhatsApp-Direktlink) Kontakt mit uns aufnehmen, werden Ihre Angaben inklusive der angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
    Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Daten verbleiben bei uns, bis der Zweck für die Datenspeicherung entfällt, Sie uns zur Löschung auffordern oder Ihre Einwilligung widerrufen. Zwingende gesetzliche Bestimmungen — insbesondere Aufbewahrungsfristen — bleiben unberührt.
  13. Ihre Rechte als Betroffener

    Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
    Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten Daten zu verlangen. Selbstbedienung in der App: Über Ihr Nutzerkonto können Sie jederzeit alle Ihre Stammdaten und Ihre Buchungshistorie einsehen.
    Recht auf Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten korrigieren oder vervollständigen lassen (Stammdaten und Einstellungen können Sie direkt in der App selbst bearbeiten).
    Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Ihren App-Account können Sie direkt unter Profil → „Account löschen“ entfernen).
    Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Datenverarbeitung verlangen.
    Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Auf Anfrage stellen wir Ihnen Ihre App-Daten gern in einem strukturierten Format (z. B. JSON) bereit.
    Widerspruchsrecht (Art. 21 DSGVO): Sie können einer Datenverarbeitung, die auf Basis eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) erfolgt, aus besonderen Gründen jederzeit widersprechen.
    Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Einmal erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft uns gegenüber widerrufen.

    Beschwerderecht bei der Aufsichtsbehörde
    Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Für Hessen ist die zuständige Behörde:
    Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
    Postfach 3163
    65021 Wiesbaden
    Telefon: +49 611 1408-0
    E-Mail: poststelle@datenschutz.hessen.de
  14. Aktualität und Änderungen der Datenschutzerklärung

    Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen (z. B. bei der Einführung neuer App-Funktionen) umzusetzen. Bei wesentlichen Änderungen werden registrierte Nutzer in der App über einen Hinweis informiert und um erneute Bestätigung gebeten. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.