Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Florian Weise – FloW Software
Rosenstraße 11
29439 Lüchow
Deutschland

E-Mail: florian@flow-software.eu

2. Welche Daten wir verarbeiten

2.1 Beim Besuch der Website

Beim Aufruf von mein-kalendrix.de werden durch den Webserver automatisch erfasst:

IP-Adresse
Datum und Uhrzeit des Zugriffs
Aufgerufene URL
Browser und Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Betriebssicherheit). Speicherung der Webserver-Logs: 7 Tage.

2.2 Bei der Registrierung / Anmeldung (Unternehmenskonto)

Benutzername, Name des Unternehmens
Passwort (mit bcrypt verschlüsselt, nicht im Klartext)
Angelegte Mitarbeiter (Name, ggf. E-Mail/Telefon, Arbeitszeiten)
Leistungen, Preise, Buchungseinstellungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung).

2.3 Buchungsdaten von Endkunden

Wenn Endkunden über das Buchungssystem oder das eingebettete Widget eines Unternehmens einen Termin buchen, werden verarbeitet:

Name, E-Mail-Adresse, Telefonnummer
Gebuchte Leistung, Termin (Datum/Uhrzeit), zugeordneter Mitarbeiter
Optionale Notizen zur Buchung

Diese Daten verarbeiten wir im Auftrag des jeweiligen Unternehmens (siehe Abschnitt 8). Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung) bzw. das berechtigte Interesse des buchenden Unternehmens.

2.4 Zahlungen (optional, Mollie)

Bietet ein Unternehmen Online-Zahlungen/Anzahlungen an, wird die Zahlungsabwicklung über Mollie (PayPal, Kreditkarte) durchgeführt (siehe 4.2). Zahlungsdaten werden ausschließlich bei Mollie verarbeitet und gelangen nicht auf unsere Server; wir speichern nur den Zahlungsstatus und eine Mollie-Referenz-ID.

2.5 SMS-Erinnerungen (optional, seven.io)

Sofern ein Unternehmen SMS-Bestätigungen/-Erinnerungen aktiviert, wird die Telefonnummer des Endkunden zum Versand an den SMS-Dienstleister seven.io (Deutschland) übermittelt (siehe 4.3).

2.6 Google-Kalender-Integration (optional, pro Mitarbeiter aktivierbar)

Ein Unternehmen kann den Google-Kalender eines Mitarbeiters mit Kalendrix verbinden (Zwei-Wege-Synchronisation). Die Verbindung erfolgt ausdrücklich und freiwillig über das offizielle Google-OAuth-Verfahren (Einwilligung im Google-Konto). Dabei gilt:

Lesend: Kalendrix ruft die Belegt-/Frei-Zeiten des verbundenen Kalenders ab, um Doppelbuchungen zu vermeiden. Inhalte/Titel fremder Termine werden nicht ausgewertet und nicht gespeichert.
Schreibend: In Kalendrix bestätigte Termine werden als Kalendereintrag in den Google-Kalender des Mitarbeiters geschrieben.
Gespeichert wird ausschließlich ein von Google ausgestelltes OAuth-Refresh-Token, das die fortlaufende Verbindung ermöglicht. Es werden keine Kalenderinhalte dauerhaft bei uns gespeichert.
Widerruf jederzeit: über die Schaltfläche „Trennen" in Kalendrix (entfernt das Token) sowie unabhängig davon in den Sicherheitseinstellungen des Google-Kontos.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung des verbindenden Mitarbeiters) bzw. lit. b) (Vertragserfüllung).

Google API Services – „Limited Use". Die Nutzung der von Google-APIs erhaltenen Informationen durch Kalendrix entspricht der Google API Services User Data Policy, einschließlich deren „Limited Use"-Anforderungen. Google-Nutzerdaten (Kalenderdaten) werden ausschließlich zur Bereitstellung und Verbesserung der hier beschriebenen Kalender-Synchronisation verwendet. Sie werden nicht an Dritte übertragen (außer soweit zur Diensterbringung erforderlich, gesetzlich vorgeschrieben oder vom Nutzer ausdrücklich gestattet), nicht für Werbung genutzt und nicht zum Training allgemeiner KI-/ML-Modelle verwendet. Kein Mensch liest die Daten, außer mit ausdrücklicher Zustimmung des Nutzers, zu Sicherheitszwecken oder soweit gesetzlich erforderlich.

2.7 WhatsApp-Erinnerungen (optional, nur mit Einwilligung)

Sofern ein Unternehmen WhatsApp-Erinnerungen anbietet und Sie bei der Buchung ausdrücklich eingewilligt haben, erhalten Sie Ihre Terminerinnerung über den Nachrichtendienst WhatsApp (Meta) statt per SMS. Übermittelt werden dabei Ihre Telefonnummer, Ihr Name sowie die Termindaten (Leistung, Datum/Uhrzeit, Name des Unternehmens) innerhalb einer vorab genehmigten Service-Nachricht (siehe 4.5). Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO), die Sie jederzeit mit Wirkung für die Zukunft widerrufen können — formlos gegenüber dem Unternehmen. Ohne Einwilligung erfolgt die Erinnerung ausschließlich per SMS oder E-Mail; es werden dann keine Daten an Meta übermittelt.

3. Speicherdauer

Datenkategorie	Speicherdauer
Unternehmenskonto / Mitarbeiter	Bis zur Kündigung / Löschung des Kontos
Buchungsdaten der Endkunden	Für die Dauer der Geschäftsbeziehung des Unternehmens bzw. gesetzliche Aufbewahrungsfristen
Google-OAuth-Refresh-Token	Bis zur Trennung der Verbindung (durch Mitarbeiter oder im Google-Konto)
Zahlungs-Referenzen (Mollie)	Gemäß handels-/steuerrechtlicher Aufbewahrungspflicht
WhatsApp-Einwilligung (Opt-in) inkl. Zeitstempel	Bis Widerruf bzw. Löschung des Kundenkontos
Webserver-Logs	7 Tage

4. Weitergabe an Dritte / Auftragsverarbeiter

4.1 Hosting (Deutschland)

Die Anwendung und Datenbank werden in einem Rechenzentrum in Deutschland (Frankfurt am Main) betrieben. Es findet keine Drittlandübermittlung durch das Hosting statt.

4.2 Mollie (Zahlungen)

Zahlungsabwicklung durch Mollie B.V. (Keizersgracht 126, 1015 CW Amsterdam, Niederlande, EU). Übermittelt werden Zahlbetrag, Zahlungsmittel und Bezugsdaten der Buchung; die eigentlichen Zahlungsmitteldaten (z. B. Karten-/PayPal-Daten) werden ausschließlich bei Mollie eingegeben und verarbeitet. Mollie verarbeitet diese Zahlungsdaten als eigenständig Verantwortlicher gemäß seiner Datenschutzerklärung. Eine Drittlandübermittlung findet nicht statt (Sitz in der EU).

4.3 seven.io (SMS)

SMS-Versand durch die seven communications GmbH (Deutschland). Übermittelt wird die Telefonnummer des Endkunden sowie der Nachrichtentext. Datenschutz seven.io.

4.4 Google (Kalender-Synchronisation, optional)

Bei aktivierter Google-Kalender-Integration (siehe 2.6) werden Belegt-/Frei-Zeiten von bzw. Termine an Google Ireland Limited übermittelt. Es gilt die Datenschutzerklärung von Google. Eine etwaige Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework bzw. der EU-Standardvertragsklauseln.

4.5 Meta / WhatsApp (optionale WhatsApp-Erinnerungen)

Bei aktivierter und von Ihnen eingewilligter WhatsApp-Erinnerung (siehe 2.7) erfolgt der Versand über die WhatsApp Business Platform der Meta Platforms Ireland Ltd. (Irland, EU). Übermittelt werden Telefonnummer, Name und Termindaten. Eine Verarbeitung durch die Meta Platforms, Inc. (USA) ist dabei nicht ausgeschlossen, es kann also zu einer Übermittlung in die USA (Drittland) kommen. Diese ist abgesichert über die Zertifizierung von Meta unter dem EU-US Data Privacy Framework sowie ergänzend über EU-Standardvertragsklauseln. Rechtsgrundlage der Übermittlung ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a) i. V. m. Art. 49 Abs. 1 lit. a) DSGVO). Datenschutz WhatsApp (EWR).

5. Technische Sicherheitsmaßnahmen

Alle Verbindungen sind TLS-verschlüsselt (HTTPS)
Passwörter werden mit bcrypt gehasht gespeichert
Zugriff nur mit gültigem JWT-Token
Server in einem deutschen Rechenzentrum
Zugriff auf Nutzerdaten ist auf autorisiertes Personal beschränkt

6. Rechte der betroffenen Personen

Sie haben folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO)
Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: florian@flow-software.eu

Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Für Niedersachsen:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
www.lfd.niedersachsen.de

7. Cookies und lokale Speicherung

Kalendrix verwendet keine Tracking-Cookies und keine Analyse-Dienste von Drittanbietern. Der Authentifizierungstoken wird im localStorage des Browsers gespeichert, um die Anmeldung aufrechtzuerhalten.

8. Auftragsverarbeitung durch uns

Sofern Sie Kalendrix als Unternehmen für die Verwaltung Ihrer Termine und Kunden nutzen, verarbeiten wir personenbezogene Daten Ihrer Endkunden in Ihrem Auftrag. In diesem Fall sind Sie der Verantwortliche, wir handeln als Auftragsverarbeiter gemäß Art. 28 DSGVO. Einen Auftragsverarbeitungsvertrag (AVV) stellen wir auf Anfrage zur Verfügung.

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version ist unter mein-kalendrix.de/datenschutz abrufbar.