Datenschutzerklärung
Zuletzt aktualisiert: März 2026
1. Überblick
StudioBook („wir“, „uns“) nimmt den Schutz deiner personenbezogenen Daten ernst. Diese Datenschutzerklärung erläutert, welche Daten wir erheben, warum wir sie verarbeiten und welche Rechte du nach der Datenschutz-Grundverordnung (DSGVO) hast.
2. Verantwortlicher
Marcel Jurna
Am Glockenberg 52
51515 Kürten, Deutschland
Telefon: +49 1525 3619145
E-Mail: hello@studiobook.app
3. Erhobene Daten
3.1 Kontodaten (Studioinhaber)
Bei der Erstellung eines StudioBook-Kontos erheben wir:
- Vollständiger Name
- E-Mail-Adresse
- Studioname und Einstellungen
- Sprachpräferenz
3.2 Kontodaten (Mitglieder)
Wenn Mitglieder ein Konto über die Buchungsseite eines Studios erstellen:
- Vollständiger Name
- E-Mail-Adresse
- Kontoerstellung per E-Mail oder Google OAuth
3.3 Buchungsdaten
Wenn Mitglieder Kurse buchen:
- Buchungshistorie (gebuchte Kurse, Stornierungen, Wartelisteneinträge)
- Anwesenheitsaufzeichnungen
- Kredit-/Mitgliedschaftsnutzung
3.4 Zahlungsdaten
- Zahlungstransaktionen werden vollständig über Stripe abgewickelt. Wir speichern keine Kreditkartennummern, Bankdaten oder sonstige Zahlungsinformationen auf unseren Servern.
- Wir speichern eine Referenz zur Stripe-Kunden-/Konto-ID zur Abstimmung.
3.5 Nutzungsdaten
Wir erheben anonyme, aggregierte Nutzungsdaten zur Verbesserung des Dienstes:
- Besuchte Seiten, genutzte Funktionen
- Browsertyp, Gerätetyp
- Es werden keine Werbe- oder Tracking-Cookies verwendet
3.6 Zugriff des Plattformbetreibers
Als Plattformbetreiber hat StudioBook Zugriff auf Statistiken auf Studioebene für den Betrieb, Support und die Produktverbesserung. Dies umfasst: Mitgliederanzahl, Buchungsanzahl, Abonnementstatus und Umsatzdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Diese Daten werden ausschließlich zum Betrieb und zur Verbesserung der Plattform verwendet und niemals zu Marketingzwecken an Dritte weitergegeben.
3.7 Besondere Kategorien personenbezogener Daten (Gesundheitsdaten — Art. 9 DSGVO)
Studio-Inhaber können mithilfe von Aufnahmeformularen gesundheitsbezogene Informationen von ihren Mitgliedern erheben (z. B. Verletzungen, Erkrankungen, Allergien, körperliche Einschränkungen). Diese Daten stellen „besondere Kategorien“ personenbezogener Daten gemäß Art. 9 DSGVO dar.
- Verantwortlicher: Der Studio-Inhaber ist der datenschutzrechtlich Verantwortliche für diese Daten. Er bestimmt, welche Gesundheitsinformationen abgefragt und wie sie verwendet werden.
- Auftragsverarbeiter: StudioBook speichert und verarbeitet diese Daten im Auftrag des Studio-Inhabers als Auftragsverarbeiter (Art. 28 DSGVO).
- Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO — ausdrückliche Einwilligung der betroffenen Person. Durch das Ausfüllen eines Aufnahmeformulars willigt das Mitglied ausdrücklich in die Verarbeitung der abgefragten Gesundheitsinformationen durch das Studio ein.
- Zugriff: Nur der Studio-Inhaber und dessen Personal können Aufnahmeformulare einsehen. StudioBook-Mitarbeiter greifen auf diese Daten nur zu, wenn dies für den technischen Support mit ausdrücklicher Genehmigung des Studio-Inhabers erforderlich ist.
- Aufbewahrung: Aufnahmeformulare werden für die Dauer der aktiven Mitgliedschaft plus 30 Tage aufbewahrt und danach endgültig gelöscht.
- Deine Rechte: Du kannst jederzeit Auskunft über deine Aufnahmeformulardaten verlangen, deren Berichtigung oder Löschung beantragen, indem du dich direkt an das Studio wendest oder dein StudioBook-Konto löschst.
4. Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Bereitstellung des Buchungs- und Studiomanagement-Dienstes, Zahlungsabwicklung, Versand transaktionaler E-Mails (Buchungsbestätigungen, Erinnerungen, Stornierungsbenachrichtigungen).
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Verbesserung des Produkts auf Basis aggregierter Nutzungsmuster, Sicherstellung der Plattformsicherheit.
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: soweit ausdrücklich erteilt (z.B. Marketing-Kommunikation, falls zutreffend).
5. Drittanbieter (Auftragsverarbeiter)
Wir nutzen die folgenden Drittanbieter zum Betrieb von StudioBook. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (Art. 28 DSGVO).
| Dienst | Zweck | Geteilte Daten | Standort |
|---|
|---|---|---|---|
| Supabase | Datenbank, Authentifizierung, Edge Functions | Kontodaten, Buchungsdaten | AWS EU (Frankfurt) |
| Stripe | Zahlungsabwicklung (SaaS-Abos + Mitgliederzahlungen über Stripe Connect) | E-Mail, Zahlungsdetails, Stripe-Konto-IDs | EU/US (Stripe AVV) |
|---|---|---|---|
| Resend | Transaktionale E-Mail-Zustellung | E-Mail-Adresse, Buchungsdetails, Studioname | EU / US (Resend AVV) |
| Vercel | Anwendungshosting und Deployment | IP-Adresse, Request-Metadaten | EU / US (Vercel AVV) |
|---|---|---|---|
| OAuth-Authentifizierung (Anmeldung mit Google) | E-Mail, Name, Profilbild | EU / US (Google AVV, DPF-zertifiziert) |
Stripe Connect
Studioinhaber verbinden ihr eigenes Stripe-Konto über Stripe Connect Express. Mitgliederzahlungen fließen direkt auf das verbundene Stripe-Konto des Studioinhabers. StudioBook fungiert als Plattform, hält oder verarbeitet aber keine Mitgliederzahlungen.
6. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die in dieser Erklärung beschriebenen Zwecke erforderlich ist oder gesetzlich vorgeschrieben wird. Konkrete Aufbewahrungsfristen:
| Datenkategorie | Aufbewahrungsfrist | Rechtsgrundlage |
|---|
|---|---|---|
| Kontodaten (Name, E-Mail, Einstellungen) | Dauer des aktiven Kontos + 30 Tage nach Löschung | Art. 6 Abs. 1 lit. b DSGVO |
| Buchungsdaten (Buchungen, Stornierungen, Anwesenheit) | Dauer des aktiven Kontos. Sofortige Löschung bei Kontolöschung | Art. 6 Abs. 1 lit. b DSGVO |
|---|---|---|
| Zahlungs-/Transaktionsdaten (Stripe-Referenzen, Beträge, Daten) | 10 Jahre ab Ende des Kalenderjahres der Transaktion | Art. 6 Abs. 1 lit. c DSGVO, § 147 AO, § 257 HGB |
| E-Mail-/Benachrichtigungsprotokolle | 90 Tage (vollständige Daten), dann Anonymisierung; Löschung nach 1 Jahr | Art. 6 Abs. 1 lit. f DSGVO |
|---|---|---|
| Wartelisteneinträge | Bis zur Auflösung + 7 Tage nach dem Kurstermin | Art. 6 Abs. 1 lit. b DSGVO |
| Aufnahmeformular-Antworten | Dauer der aktiven Mitgliedschaft + 30 Tage | Art. 6 Abs. 1 lit. b DSGVO |
|---|---|---|
| Credit-/Mitgliedschaftsguthaben | Dauer des aktiven Kontos; Kaufbelege 10 Jahre | Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. c DSGVO |
| Analysedaten | Unbefristet (nur anonymisiert und aggregiert) | Erwägungsgrund 26 DSGVO |
|---|---|---|
| Inaktive Studios | 12 Monate nach Abo-Kündigung, mit Vorankündigung nach 6 und 9 Monaten. Steuerlich relevante Daten gemäß obiger Fristen | Art. 5 Abs. 1 lit. e DSGVO |
Wenn du dein Konto löschst, werden alle personenbezogenen Daten sofort gelöscht. Zahlungs- und Transaktionsdaten (Stripe-Referenzen, Beträge, Daten), die steuerrechtlich aufbewahrt werden müssen, bleiben 10 Jahre gespeichert (§ 147 AO / § 257 HGB). Diese gesetzliche Pflicht überwiegt das Recht auf Löschung (Art. 17 Abs. 3 lit. b DSGVO).
Daten in verschlüsselten Backups werden durch die normale Backup-Rotation innerhalb von 30 Tagen gelöscht.
7. Deine Rechte
Nach der DSGVO hast du folgende Rechte:
- Auskunftsrecht (Art. 15) — eine Kopie deiner personenbezogenen Daten erhalten
- Recht auf Berichtigung (Art. 16) — unrichtige Daten korrigieren lassen
- Recht auf Löschung (Art. 17) — dein Konto und alle damit verbundenen Daten löschen lassen
- Recht auf Einschränkung (Art. 18) — Verarbeitung unter bestimmten Voraussetzungen einschränken
- Recht auf Datenübertragbarkeit (Art. 20) — deine Daten in einem maschinenlesbaren Format erhalten
- Widerspruchsrecht (Art. 21) — der Verarbeitung aufgrund berechtigten Interesses widersprechen
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3) — jederzeit die Einwilligung widerrufen (z. B. Marketing-E-Mails). Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung. Du kannst die Marketing-Einwilligung jederzeit über deine Kontoeinstellungen widerrufen.
Zur Ausübung dieser Rechte kontaktiere uns unter: hello@studiobook.app
Du hast außerdem das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. Die für uns zuständige Behörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2–4, 40213 Düsseldorf
https://www.ldi.nrw.de
8. Cookies
StudioBook verwendet ausschließlich technisch notwendige Cookies:
- Authentifizierungs-Session — hält deinen Anmeldestatus aufrecht
- Sprachpräferenz — speichert deine gewählte Sprache (localStorage, kein Cookie)
Wir verwenden keine Werbe-, Analyse- oder Tracking-Cookies. Ein Cookie-Consent-Banner ist nicht erforderlich, da wir nur essenzielle Cookies verwenden (ausgenommen nach § 25 Abs. 2 TDDDG).
9. Datenübertragung in Drittländer
Einige unserer Auftragsverarbeiter (Stripe, Resend, Vercel) können Daten in den USA verarbeiten. Diese Übertragungen werden abgesichert durch:
- EU-Standardvertragsklauseln (SCCs)
- Das EU-US Data Privacy Framework (sofern anwendbar)
10. Automatisierte Entscheidungsfindung
Wir verwenden keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO.
11. Auftragsverarbeitung für Studioinhaber
StudioBook agiert in einer Doppelrolle:
- StudioBook als Verantwortlicher: Für deine StudioBook-Kontodaten (Authentifizierung, Anmeldedaten, SaaS-Abrechnung, Plattformanalysen) ist StudioBook der Verantwortliche gemäß Art. 4 Nr. 7 DSGVO.
- Studioinhaber als Verantwortlicher, StudioBook als Auftragsverarbeiter: Für personenbezogene Daten von Mitgliedern, die über Studio-Buchungsseiten erhoben werden (Buchungshistorie, Anwesenheit, Credits, studiobasierte Kommunikation), ist der Studioinhaber der Verantwortliche und StudioBook handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO.
Mitgliederzahlungen über Stripe Connect fließen direkt auf das Stripe-Konto des Studioinhabers. StudioBook hält oder verarbeitet keine Mitgliederzahlungen.
Unser Auftragsverarbeitungsvertrag ist verfügbar unter Auftragsverarbeitungsvertrag (AVV).
12. Änderungen
Wir können diese Erklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden den registrierten Nutzern mindestens 14 Tage vor Inkrafttreten per E-Mail mitgeteilt.