Datenschutzerklärung
Letzte Aktualisierung: Mai 2026
1. Verantwortlicher
Belle („wir“, „unser Unternehmen“) betreibt die Plattform hellobelle.app. Bei Fragen zu dieser Datenschutzerklärung oder zu Ihren Daten wenden Sie sich bitte an [email protected].
2. Erhobene Daten
Studio-Personal (Kontoinhaber)
- Name, E-Mail-Adresse, Passwort (gehasht mit Argon2id)
- Spracheinstellung
- Mitgliedschaft und Rolle in jedem Studio
Kunden (die über ein Studio buchen)
- Name (erforderlich)
- Telefonnummer (erforderlich, gespeichert im Format E.164)
- E-Mail-Adresse (optional)
- Geburtsdatum (optional, wird ausschließlich für Geburtstagsglückwünsche verwendet)
Wir wenden den Grundsatz der Datenminimierung an: Wir erheben nur Daten, die für die Terminbuchung und die Kommunikation erforderlich sind.
3. Zwecke und Rechtsgrundlage
| Zweck | Daten | Rechtsgrundlage |
|---|---|---|
| Terminbuchung | Name, Telefon, E-Mail | Einwilligung (Art. 6 Abs. 1 lit. a) bei öffentlichen Buchungen; Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) bei Einträgen durch das Personal |
| Terminerinnerungen | Telefon, E-Mail | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Kontoauthentifizierung | E-Mail, Passwort-Hash | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Abrechnung und Abonnement | E-Mail, Studioname | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Verbesserung des Dienstes | Anonymisierte Nutzungsdaten | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
4. Empfänger und Auftragsverarbeiter
Wir geben personenbezogene Daten ausschließlich an die folgenden Dienstleister weiter, jeweils auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO:
| Anbieter | Zweck | Standort | Schutzmaßnahmen |
|---|---|---|---|
| Railway | Hosting, Datenbank, Redis | EU | EU-Hosting |
| Cloudflare | CDN, DNS, Objektspeicher | Global | Standardvertragsklauseln |
| Resend | Transaktions-E-Mail | USA | Standardvertragsklauseln |
| Twilio | SMS und WhatsApp | USA | Standardvertragsklauseln |
5. Internationale Datenübermittlungen
Ihre Daten werden vorrangig in der EU gehostet (Railway). Soweit Daten von Auftragsverarbeitern mit Sitz in den USA verarbeitet werden (Resend, Twilio), stützen wir uns auf die von der Europäischen Kommission genehmigten Standardvertragsklauseln (SVK), um ein angemessenes Schutzniveau zu gewährleisten.
6. Speicherdauer
| Daten | Speicherdauer |
|---|---|
| Kundendaten | Bis zur Löschung durch den Studio-Inhaber oder bis zur Löschung des Studios |
| Terminaufzeichnungen | Bis zur Löschung des Studios (können auf Antrag des Kunden anonymisiert werden) |
| Benachrichtigungsprotokolle | 12 Monate |
| Auditprotokolle | 24 Monate |
| Vorläufig gelöschte Termine | 90 Tage bis zur endgültigen Löschung |
| Studio-Daten nach Löschantrag | 30 Tage Nachfrist, danach endgültige Löschung |
7. Ihre Rechte
Nach der DSGVO stehen Ihnen folgende Rechte zu:
- Auskunft (Art. 15): Auskunft über die bei uns gespeicherten personenbezogenen Daten verlangen.
- Berichtigung (Art. 16): Unrichtige Daten korrigieren lassen.
- Löschung (Art. 17): Die Löschung Ihrer Daten verlangen. Sofern Terminaufzeichnungen aus gesetzlichen Gründen aufbewahrt werden müssen, werden diese anonymisiert.
- Einschränkung (Art. 18): Die Verarbeitung unter bestimmten Voraussetzungen einschränken.
- Datenübertragbarkeit (Art. 20): Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten (JSON).
- Widerspruch (Art. 21): Der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3): Ihre Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an [email protected]. Wir antworten innerhalb von 30 Tagen (Art. 12).
Studio-Inhaber können Kunden- und Studio-Daten direkt über das Belle-Dashboard exportieren.
8. Cookies
Belle verwendet ausschließlich technisch notwendige Cookies:
| Cookie | Zweck | Typ | Dauer |
|---|---|---|---|
| belle_refresh | Authentifizierungssitzung (Aktualisierungstoken) | Technisch notwendig | Sitzung |
Wir verwenden keine Analyse-, Werbe- oder Tracking-Cookies. Für technisch notwendige Cookies ist gemäß der e-Privacy-Richtlinie (Art. 5 Abs. 3) kein Cookie-Banner erforderlich.
9. Sicherheit
Wir setzen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um:
- Passwort-Hashing mit Argon2id (64 MB Arbeitsspeicher, 3 Iterationen)
- TLS 1.3 für alle Verbindungen
- Row-Level Security zur Isolierung der Daten jedes Studios auf Datenbankebene
- JWT-Authentifizierung mit kurzlebigen Zugriffstokens (15 Min.) und rotierenden Aktualisierungstokens
- Ratenbegrenzung (Rate Limiting) und strenge Content-Security-Policy-Header
10. Automatisierte Entscheidungsfindung
Belle nutzt keine automatisierte Entscheidungsfindung und kein Profiling im Sinne von Art. 22 DSGVO.
11. Beschwerde
Sie haben das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen. In Deutschland: BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) unter bfdi.bund.de oder der zuständige Landesdatenschutzbeauftragte Ihres Bundeslandes.
12. Änderungen
Diese Datenschutzerklärung kann aktualisiert werden. Wesentliche Änderungen werden den Kontoinhabern per E-Mail mitgeteilt.