TimeBoss TB logoTimeBossZurück
TimeBoss TB logoDatenschutz

Datenschutzerklärung für TimeBoss.

Hier findest du alle Informationen darüber, welche Daten TimeBoss erhebt, wie sie verwendet werden und welche Rechte du hast.

Stand: 27.05.2026 · Kontakt: info@timeboss.eu

Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist:

TimeBoss

Oeffentlicher Kontakt fuer Datenschutzanfragen, Betroffenenrechte und Fragen zur Datenverarbeitung.

info@timeboss.eu / +43 660 5077469

Die vollstaendigen Anbieterangaben findest du im Impressum. Impressum.

Was ist TimeBoss

TimeBoss ist eine SaaS-Plattform für Online-Buchung und Terminverwaltung. Saloninhaber (Friseure, Kosmetiker usw.) nutzen das Web-Dashboard zur Verwaltung von Terminen, Personal und Leistungen. Salonkunden können Termine über die mobile App buchen.

Im Sinne der DSGVO: Der Saloninhaber ist „Verantwortlicher" (Controller) für die Daten seiner Kunden – TimeBoss agiert als „Auftragsverarbeiter" (Processor). Für die Daten der Saloninhaber selbst ist TimeBoss der Verantwortliche.

Welche Daten wir erheben

A) Daten der Saloninhaber (Web-Dashboard)

  • Vor- und Nachname
  • E-Mail-Adresse
  • Passwort (gespeichert als bcrypt-Hash – niemals im Klartext)
  • Firebase-UID (bei Google- oder Apple-Anmeldung)
  • Salondaten: Name, Adresse, Logo, Galerie, Öffnungszeiten
  • Abonnementdaten (Plan, Verlängerungsdatum)

B) Daten der Salongäste (Mobile App)

  • Telefonnummer (optional)
  • Vor- und Nachname
  • E-Mail-Adresse (optional)
  • Profilfoto (optional, gespeichert auf ImageKit CDN)
  • FCM-Push-Token (für Terminbenachrichtigungen)
  • Firebase-UID (bei Google- oder Apple-Anmeldung)

C) Terminbezogene Daten

  • Datum und Uhrzeit des Termins
  • Leistungsbezeichnung und Preis
  • Name des Mitarbeiters
  • Kundennotiz (optional)
  • Terminstatus (gebucht, abgeschlossen, storniert)
  • Stornierungsgrund (falls vorhanden)

D) Technische Daten (automatisch)

  • IP-Adresse (für Sicherheitszwecke und Audit-Log)
  • Browser-Typ und -Version / Betriebssystem
  • Cookies – Details auf der Cookie-Richtlinien-Seite
  • Login/Logout-Protokolldaten (Datum, IP, Gerät)

Zweck der Datenverarbeitung

Erbringung der Dienstleistung

Grundlegende Daten (Name, E-Mail) sind erforderlich, um ein Konto zu erstellen, zu verwalten und das Buchungssystem zu betreiben. Die Telefonnummer ist optional.

Rechtsgrundlage: DSGVO Art. 6(1)(b) – Vertragserfüllung

Push-Benachrichtigungen für Termine

Der FCM-Push-Token wird ausschließlich für Terminbenachrichtigungen (Bestätigung, Erinnerung, Stornierung) verwendet. Der Nutzer kann Benachrichtigungen in den Telefoneinstellungen deaktivieren.

Rechtsgrundlage: DSGVO Art. 6(1)(b) – Vertragserfüllung

Sicherheit und Missbrauchsprävention

IP-Adressen und Log-Daten werden zur Erkennung unbefugter Zugriffe, Brute-Force-Angriffe und Missbrauchsprävention verwendet. Diese Daten werden im Audit-Log gespeichert und nach Ablauf der Aufbewahrungsfrist automatisch gelöscht.

Rechtsgrundlage: DSGVO Art. 6(1)(f) – berechtigtes Interesse

Abrechnung und Abonnementverwaltung

Abrechnungsdaten (E-Mail, Plan, Datum) werden über die Stripe-Zahlungsplattform verarbeitet, um Abonnements für Saloninhaber zu verwalten.

Rechtsgrundlage: DSGVO Art. 6(1)(b) – Vertragserfüllung

Drittanbieter & Auftragsverarbeiter

TimeBoss nutzt die folgenden externen Dienste und Infrastrukturpartner zur Erbringung der Leistung. Nicht jeder genannte Dienst ist in jeder Umgebung aktiv; den aktuellen Status, die vertragliche Einordnung und den Nachweisstand führen wir in unserem internen Compliance-Register und legen ihn auf Anfrage offen.

Firebase (Google Ireland Ltd.)Irland / EU + USA

Nutzerauthentifizierung (E-Mail/Passwort, Google-Anmeldung), Push-Benachrichtigungen (Firebase Cloud Messaging) und technischer Betrieb einzelner App-Funktionen.

Daten: E-Mail, Passwort (Hash), UID, FCM-Token

EU / Transfermechanismen nach Google-Vertragslage soweit einschlaegigDatenschutzerklärung des Dienstes
Stripe, Inc.Irland / globale Infrastruktur

Zahlungsabwicklung und Abonnementverwaltung für Saloninhaber

Daten: E-Mail, Name, Abonnementplan, Abrechnungsdatum

EU / providerseitige Transfer-Safeguards soweit einschlaegigDatenschutzerklärung des Dienstes
Render Services, Inc.EU (Frankfurt, Deutschland)

Hosting des Backend-API-Servers und der PostgreSQL-Datenbank in der EU-Region Frankfurt. Alle Nutzerdaten werden in der verschlüsselten Datenbank innerhalb der EU gespeichert. Render ist eine US-Gesellschaft — US-Support-Mitarbeiter können im Rahmen technischen Supports gelegentlich auf Systeme zugreifen; diese Zugriffe sind durch Standardvertragsklauseln (SCC) abgedeckt.

Daten: Alle Nutzerdaten, Termine, Logs

EU-Hosting (Frankfurt) · SCC für US-SupportDatenschutzerklärung des Dienstes
ImageKit.ioIndien / globales CDN

Speicherung und Auslieferung von Bildern: Profilfotos der Kunden, Salonlogos und Galerien

Daten: Profil- und Salonbilder

SCC / dokumentierte TransfermechanismenDatenschutzerklärung des Dienstes
Cloudflare, Inc.USA / Edge-Infrastruktur

Edge-Schicht vor der öffentlichen Website und API, einschließlich Auslieferung und Schutzfunktionen.

Daten: IP-Adresse und kurzlebige Request-Metadaten

Delivery-Chain / providerseitige SafeguardsDatenschutzerklärung des Dienstes
Google LLC (Gemini API)USA

KI-Hilfen für Onboarding sowie interne Legal-/Content-Entwürfe. Vorgesehen für Salonbeschreibungen, Kategorien, Service-Bilder und operatorseitige Vorlagen.

Daten: Operator-Prompts; Kundendaten sind nicht vorgesehen

SCC / DPF soweit nach Google-Vertragsstruktur einschlaegigDatenschutzerklärung des Dienstes
Hostinger International Ltd.EU (Litauen / Niederlande)

Domain- und E-Mail-Hosting (info@timeboss.eu).

Daten: DNS-Einträge, E-Mail-Metadaten

Innerhalb der EUDatenschutzerklärung des Dienstes
Apple Distribution International Ltd. / Google LLC (Play)Irland (EU) / USA

Verteilung der mobilen Apps über App Store und Google Play, inklusive Download-Analytik des jeweiligen Stores.

Daten: Store-Account-Daten (nur innerhalb des Stores), Download-Zahlen

Standard Contractual Clauses (SCC)Datenschutzerklärung des Dienstes

Der aktuelle Nachweisstand zu AVV/DPA, SCC/DPF und Transferbewertungen wird in unserem Compliance-Register gepflegt. Dienste, die nur vorbereitet, optional oder derzeit inaktiv sind, werden erst bei tatsächlicher Live-Aktivierung in den aktiven Nachweisbestand übernommen.

Speicherung und Löschung

Aktive NutzerDaten werden gespeichert, solange das Konto aktiv ist.
Gelöschtes Konto (Salongäste)Personenbezogene Daten (Name, Telefon, E-Mail, Avatar, Push-Token) werden sofort anonymisiert. Der verbleibende Datensatz wird nach 30 Tagen endgültig gelöscht.
Gelöschtes Konto (Saloninhaber)Vollständige Löschung aller Salondaten (kaskadierend): Nutzer, Kunden, Termine, Leistungen, Mitarbeiter, Bilder. Keine Archivierung.
Audit-Log (Sicherheitsprotokolle)Einwilligungs-Logs werden 13 Monate aufbewahrt (ePrivacy-Richtlinie). DSR-Aktions-Logs (Löschung, Export) werden 3 Jahre aufbewahrt (österreichisches Recht). Automatische Löschung nach Ablauf.
IP-Adressen und Login-LogsWerden für Sicherheitszwecke aufbewahrt und automatisch gemäß den obigen Fristen gelöscht. Nicht an Dritte weitergegeben ohne gesetzliche Verpflichtung.

Deine Rechte (DSGVO)

Gemäß DSGVO hast du folgende Rechte bezüglich deiner personenbezogenen Daten:

Auskunftsrecht (Art. 15)

Du kannst Auskunft über die bei uns gespeicherten Daten verlangen.

Direkt in der App: Mein Profil → Meine Daten herunterladen

Recht auf Berichtigung (Art. 16)

Du kannst unrichtige oder unvollständige Daten berichtigen.

Direkt in der App in den Profileinstellungen

Recht auf Löschung (Art. 17)

Du kannst die Löschung deines Kontos und aller personenbezogenen Daten verlangen.

Direkt in der App oder über die Delete-Account-Seite

Recht auf Datenübertragbarkeit (Art. 20)

Du kannst alle deine Daten in einem strukturierten, maschinenlesbaren Format (JSON) herunterladen.

Direkt in der App: Mein Profil → Meine Daten herunterladen

Recht auf Einschränkung (Art. 18)

In bestimmten Fällen kannst du die Einschränkung der Verarbeitung deiner Daten verlangen.

Schriftlich an: info@timeboss.eu

Widerspruchsrecht (Art. 21)

Du kannst der Verarbeitung widersprechen, die auf berechtigtem Interesse beruht.

Schriftlich an: info@timeboss.eu

Antwortfrist

Auf alle Anfragen zu Betroffenenrechten antworten wir innerhalb von 30 Tagen (DSGVO Art. 12). Kontaktiere uns unter info@timeboss.eu.

Cookies

TimeBoss verwendet notwendige Session-/Kontext-Cookies für Owner- und Admin-Login, ein Sprach-Cookie sowie einen separaten Consent-Eintrag für Datenschutzeinstellungen. Präferenz-Speicherung wird erst nach entsprechender Einwilligung aktiviert. Analyse und Marketing sind nicht aktiviert.

Cookie-Richtlinie

Beschwerden und Aufsichtsbehörde

Du hast das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen. Die zuständige Behörde für Österreich ist:

Österreichische Datenschutzbehörde (DSB)

Barichgasse 40–42, 1030 Wien, Österreich

www.dsb.gv.at

Wir empfehlen, uns zunächst direkt unter info@timeboss.eu zu kontaktieren, bevor du eine Beschwerde einreichst – wir bemühen uns, alle Probleme schnell und ohne formale Verfahren zu lösen.

Einwilligungsnachweis (Art. 7 DSGVO)

Jede Zustimmung zu AGB, Datenschutzerklärung und AVV wird bei der Registrierung in unserer append-only-Tabelle LegalAcceptance in der PostgreSQL-Datenbank (Frankfurt) mit folgenden Feldern gespeichert: Dokumenttyp, Version, SHA-256-Hash des kanonischen Dokumenttextes, Zeitstempel (UTC), IP-Adresse und User-Agent. Das ist ein dauerhafter, manipulationssicherer Nachweis, den du in deinem Dashboard unter „Verträge & Rechtsdokumente" jederzeit einsehen kannst.

Die technische und organisatorische Grundlage dieses beweisbaren Loggings ist in unserem TOMs-Dokument (Art. 32 DSGVO) als AVV-Anlage 3 ausführlich beschrieben.

Kontolöschung

Du kannst dein Konto direkt in der App löschen. Beim Löschen werden alle personenbezogenen Daten sofort anonymisiert und innerhalb von 30 Tagen endgültig gelöscht. Hinweise zur Löschung findest du auf der entsprechenden Seite.

Anleitung zur Kontolöschung