← Back to home

Datenschutzerklärung

1. Verantwortlicher

Fabian Bartels
Zum Hochgericht 18, 89597 Munderkingen, Deutschland
E-Mail: info@mail.slotpilot.link

2. Überblick der Datenverarbeitungen

SlotPilot ist eine Online-Plattform zur Terminbuchung. Nutzer erstellen Buchungslinks, über die ihre Kunden ohne eigenes Konto Termine buchen können. Nachfolgend informiere ich Sie über die Verarbeitung personenbezogener Daten bei Nutzung dieses Dienstes.

3. Erhobene personenbezogene Daten

3.1 Registrierte Nutzer (Kontoinhaber)

Bei der Registrierung über Google OAuth oder E-Mail/Passwort werden erhoben:

  • Name und E-Mail-Adresse (aus dem Google-Profil bzw. bei E-Mail-Registrierung)
  • Passwort-Hash (nur bei E-Mail-Registrierung, gespeichert durch Supabase Auth)
  • Organisationsdaten (Buchungslinks, Vorlagen, Verfügbarkeitsregeln)
  • Kalender-OAuth-Tokens (verschlüsselt mit AES-256-GCM gespeichert) — nur wenn eine Kalenderintegration aktiviert wird (Google Calendar, Outlook, CalDAV/Apple Calendar)
  • Stripe-Kundennummer — nur bei Abschluss eines kostenpflichtigen Abonnements
  • Branding-Daten (Farben, Logo) — nur bei Nutzung des individuellen Brandings (Unlimited-Plan)
  • Buchungslink-Inhalte — Titel, Beschreibung, Ortsangaben, Bilder und Übersetzungen, die vom Nutzer frei eingegeben und auf öffentlich zugänglichen Buchungsseiten angezeigt werden

Hinweis: Die vom Nutzer eingegebenen Buchungslink-Inhalte (Titel, Beschreibung, Ort, Bilder) werden auf öffentlich zugänglichen Buchungsseiten angezeigt. Der Nutzer ist selbst dafür verantwortlich, keine personenbezogenen Daten Dritter ohne deren Einwilligung in diesen Feldern zu veröffentlichen. Sämtliche Inhalte werden bei Kontolöschung vollständig und unwiderruflich gelöscht.

3.2 Buchungsgäste (öffentliche Nutzer)

Gäste, die über einen Buchungslink einen Termin buchen, geben folgende Daten an:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Telefonnummer (optional)
  • Persönliche Notizen zum Termin (optional, Freitextfeld)
  • Gewählter Zeitslot (Datum, Uhrzeit)
  • Bei Stornierung oder Verschiebung: Grund der Stornierung bzw. Verschiebung (optional) sowie alternative Kontaktdaten (optional)

Zusätzlich wird ein zufälliger Verwaltungstoken generiert, über den Gäste ihren Termin stornieren oder verschieben können — ohne ein Konto erstellen zu müssen.

Die Buchungsdaten werden dem jeweiligen Kontoinhaber (Geschäftskunden) zur Terminverwaltung übermittelt.

3.3 Automatisch erhobene Daten

  • IP-Adresse (durch den Hosting-Anbieter in Server-Logs)
  • Browser-Typ und Betriebssystem (HTTP-Header)
  • Zugriffszeitpunkt

4. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung erfolgt auf Grundlage von:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Die Verarbeitung ist zur Erbringung des Buchungsdienstes erforderlich (Terminerstellung, Benachrichtigungen, Kalendereinträge). Für Buchungsgäste ergibt sich die Rechtsgrundlage aus der Durchführung vorvertraglicher Maßnahmen (Terminbuchung auf Anfrage des Gastes).
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Server-Logs zur Sicherstellung der IT-Sicherheit und Fehlerdiagnose.
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Die Verbindung eines Kalenders erfolgt nur nach expliziter Einwilligung über eine Einwilligungs-Checkbox im Dashboard sowie anschließender OAuth-Autorisierung (Google, Outlook) bzw. Formular-Einwilligung (Apple Calendar/CalDAV). Die Einwilligung kann jederzeit durch Trennen der Kalenderverbindung widerrufen werden. Die Nutzungsanalyse (Umami Analytics) wird nur nach ausdrücklicher Einwilligung über den Cookie-Einstellungsdialog aktiviert. Der Versand von Marketing-E-Mails erfolgt nur nach Double-Opt-In-Verfahren gemäß § 7 UWG. Beide Einwilligungen können jederzeit widerrufen werden.
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Soweit gesetzliche Aufbewahrungspflichten bestehen (z.B. steuerliche Pflichten), können Daten für die gesetzlich vorgeschriebene Dauer aufbewahrt werden.

5. Cookies und Local Storage

SlotPilot verwendet:

  • Authentifizierungs-Cookies (sb-*) — technisch notwendig für die Sitzungsverwaltung über Supabase Auth (PKCE-Verfahren). Diese Cookies werden nur für angemeldete Nutzer gesetzt.
  • Einwilligungsverwaltung (slotpilot_consent) — speichert Ihre Einwilligungsentscheidungen für verschiedene Cookie-Kategorien (notwendig, Analyse, Marketing) als JSON-Objekt mit Zeitstempel (365 Tage).
  • Theme-Einstellung (Local Storage, Schlüssel theme) — speichert die gewählte Darstellung (hell/dunkel/automatisch). Kein personenbezogenes Datum.
  • Analyse-Cookie (nur bei Einwilligung) — wird durch die selbst gehostete Analyse-Software Umami gesetzt, um anonyme Nutzungsstatistiken zu erheben. Enthält keine personenbezogenen Daten und wird nicht an Dritte weitergegeben.

Tracking- oder Werbe-Cookies von Drittanbietern werden nicht eingesetzt. Die Analyse-Funktion wird nur nach ausdrücklicher Einwilligung aktiviert.

6. Drittanbieter und Auftragsverarbeitung

Zur Erbringung des Dienstes werden folgende Drittanbieter eingesetzt. Die Datenübermittlung in die USA erfolgt jeweils auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

6.1 Supabase (Datenbank & Authentifizierung)

Supabase, Inc. (USA) — Speicherung aller Anwendungsdaten in einer PostgreSQL-Datenbank mit Row-Level-Security. Authentifizierung über Supabase Auth (Google OAuth und E-Mail/Passwort, PKCE-Verfahren).

6.2 Stripe (Zahlungsabwicklung)

Stripe, Inc. (USA) — Abwicklung von Abonnement-Zahlungen für kostenpflichtige Pläne (Plus und Unlimited). Stripe erhält die Kundennummer und Zahlungsinformationen. Kreditkartendaten werden ausschließlich von Stripe verarbeitet und nie auf meinen Servern gespeichert.

6.3 Kalender-Integration

Zur Verfügbarkeitsprüfung und automatischen Terminerstellung werden Kalenderdaten verarbeitet. Die Integration erfolgt über folgende Dienste:

  • Google Calendar — Google LLC (USA). Zugriff über die Google Calendar API nach OAuth-Autorisierung. OAuth-Tokens werden mit AES-256-GCM verschlüsselt gespeichert.
  • Microsoft Outlook — Microsoft Corporation (USA). Zugriff über die Microsoft Graph API nach OAuth-Autorisierung. OAuth-Tokens werden mit AES-256-GCM verschlüsselt gespeichert.
  • Apple Calendar (CalDAV) — Zugriff über das CalDAV-Protokoll mit app-spezifischem Passwort. Zugangsdaten werden mit AES-256-GCM verschlüsselt auf unserem Server gespeichert.
  • Generisches CalDAV — Zugriff auf selbst gehostete oder andere CalDAV-kompatible Kalender (z.B. Fastmail, Nextcloud). Zugangsdaten werden mit AES-256-GCM verschlüsselt gespeichert.

Nach der Verbindung synchronisiert SlotPilot den Kalender im Hintergrund (ca. alle 2 Minuten). Dabei werden ausschließlich Terminzeiten (Start/Ende) und Belegtstatus (belegt/frei) zwischengespeichert — niemals Titel, Beschreibungen, Teilnehmer, Orte oder sonstige Inhalte. Alle zwischengespeicherten Daten werden sofort und vollständig gelöscht, sobald die Kalenderverbindung im Dashboard getrennt wird.

6.4 Echtzeit-Verfügbarkeit

Buchungsseiten nutzen eine WebSocket-Verbindung (Supabase Realtime), um die Verfügbarkeit in Echtzeit zu aktualisieren. Dabei wird ausschließlich eine Versionsnummer übertragen, die signalisiert, dass sich die Verfügbarkeit geändert hat. Es werden keine personenbezogenen Daten über diese Verbindung übertragen. Die Verbindung wird beim Verlassen der Buchungsseite automatisch geschlossen.

6.5 Resend (E-Mail-Versand)

Resend, Inc. (USA) — Versand transaktionaler E-Mails (Buchungsbestätigung, Stornierung, Terminänderung). Resend erhält den Namen und die E-Mail-Adresse des Empfängers sowie Buchungsdetails (Datum, Uhrzeit, Buchungslinkname). Sofern vom Gast angegeben, werden auch persönliche Notizen, Telefonnummer, Stornierungsgründe, Verschiebungsgründe und alternative Kontaktdaten in den E-Mails an beide Parteien übermittelt.

6.6 Hostinger (Hosting)

Hostinger International B.V. (Niederlande) — Hosting der Webanwendung auf einem dedizierten VPS. Hostinger verarbeitet IP-Adressen und HTTP-Anfragedaten in Server-Logs.

6.7 Umami Analytics (selbst gehostet)

Umami ist eine datenschutzfreundliche, quelloffene Analyse-Software, die auf unserem eigenen Server (Hostinger VPS, Niederlande) betrieben wird. Es erfolgt keine Datenübermittlung an Dritte. Umami erhebt anonyme Nutzungsstatistiken (Seitenaufrufe, Ereignisse). Die clientseitige Analyse wird nur nach ausdrücklicher Einwilligung über den Cookie-Einstellungsdialog aktiviert (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung kann jederzeit über die Cookie-Einstellungen widerrufen werden.

Für eingeloggte Nutzer wird ein pseudonymes Kennzeichen (HMAC-SHA256-Hash der Organisations-ID) an Umami übermittelt, um Analyseereignisse sitzungsübergreifend einer Organisation zuzuordnen. Dieses Kennzeichen ist nicht umkehrbar — ohne den serverseitig gespeicherten Schlüssel kann aus dem Hash keine Organisations-ID abgeleitet werden. Es handelt sich um pseudonymisierte Daten im Sinne von Art. 4 Nr. 5 DSGVO. Rechtsgrundlage für die sitzungsübergreifende Zuordnung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes). Sie können der Verarbeitung jederzeit widersprechen (siehe § 9).

Serverseitige Analyseereignisse (z.B. Registrierung, Planwechsel) werden ohne Einwilligung erhoben, da sie vollständig anonymisiert und keiner natürlichen Person zuordenbar sind (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse). Analysedaten werden nach 24 Monaten automatisch gelöscht.

7. Datensicherheit

Es werden folgende technische und organisatorische Maßnahmen getroffen:

  • Verschlüsselte Übertragung aller Daten via HTTPS/TLS
  • AES-256-GCM-Verschlüsselung sensibler Drittanbieter-Tokens (z.B. Kalender-OAuth-Tokens und CalDAV-Zugangsdaten)
  • Row-Level-Security (RLS) in der Datenbank — jeder Datensatz ist an eine Organisation gebunden und nur für autorisierte Nutzer zugänglich
  • Verwaltung von Geheimnissen (API-Schlüssel, Verschlüsselungsschlüssel) über serverseitige Umgebungsvariablen
  • Passwörter werden niemals im Klartext gespeichert (Hashing durch Supabase Auth)

8. Speicherdauer

  • Kontodaten — werden gespeichert, solange das Konto aktiv ist. Nach Löschung des Kontos werden die Daten unverzüglich gelöscht.
  • Buchungsdaten — werden für die Dauer des aktiven Kontos gespeichert und bei Kontolöschung vollständig gelöscht.
  • Gastdaten — personenbezogene Daten von Buchungsgästen (Name, E-Mail, Telefon) werden für die Dauer des Kontos des Geschäftskunden gespeichert. Gäste können die Löschung ihrer Daten jederzeit per E-Mail an info@mail.slotpilot.link beantragen.
  • Kalender-Cache-Daten — werden sofort und vollständig gelöscht, sobald die Kalenderverbindung im Dashboard getrennt wird.
  • Server-Logs — werden gemäß den Richtlinien des Hosting-Anbieters (Hostinger) nach maximal 30 Tagen gelöscht.
  • Analysedaten — anonyme Nutzungsstatistiken (Umami Analytics) werden nach 24 Monaten automatisch gelöscht.
  • Marketing-Einwilligung — die Einwilligung zum Erhalt von Marketing-E-Mails wird gespeichert, solange das Konto aktiv ist oder bis der Widerruf erfolgt. Bei Kontolöschung wird die Einwilligung vollständig gelöscht.

9. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO) — Recht auf Auskunft über die verarbeiteten Daten
  • Berichtigung (Art. 16 DSGVO) — Recht auf Korrektur unrichtiger Daten
  • Löschung(Art. 17 DSGVO) — Recht auf Löschung Ihrer Daten ("Recht auf Vergessenwerden"). Registrierte Nutzer können ihr Konto jederzeit über die Kontoeinstellungen löschen. Buchungsgäste können die Löschung ihrer Daten per E-Mail beantragen.
  • Einschränkung (Art. 18 DSGVO) — Recht auf Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO) — Recht auf Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format
  • Widerspruch (Art. 21 DSGVO) — Recht auf Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Eine erteilte Einwilligung (z.B. Kalenderverbindung) kann jederzeit widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an: info@mail.slotpilot.link

10. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

11. Änderungen dieser Datenschutzerklärung

Ich behalte mir vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.

Stand: März 2026