Datenschutzerklärung

1. Verantwortlicher

2. Erhobene Daten und Verarbeitungszwecke

2.1 Terminbuchung

Wenn Sie über die Buchungsseite eines Unternehmens einen Termin buchen, verarbeiten wir:

• Vorname, Nachname
• E-Mail-Adresse (optional)
• Telefonnummer (optional)
• Gebuchte Dienstleistung, Datum, Uhrzeit
• IP-Adresse (Rate-Limiting, Missbrauchsschutz)
• DSGVO-Einwilligung (Zeitstempel)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufzeichnungspflicht der Einwilligung).

2.2 Warteliste

Kontaktdaten und Terminpräferenzen werden gespeichert, um bei Verfügbarkeit zu benachrichtigen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

2.3 E-Mail-Versand

Terminbestätigungen und Erinnerungen werden per E-Mail versendet. Der Versand erfolgt über einen SMTP-Dienst ([BITTE ERGÄNZEN: SendGrid / Mailgun / eigener Server]).

2.4 Nutzerkonto (Dashboard)

Mitarbeiter und Administratoren melden sich mit E-Mail-Adresse und Passwort an. Passwörter werden als bcrypt-Hash gespeichert. Session-Daten werden als signiertes JWT im Browser-Cookie abgelegt (next-auth.session-token, httpOnly, sameSite=lax). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.5 Demo-Anfragen

Kontaktdaten aus dem Demo-Formular werden ausschließlich zur Bearbeitung der Anfrage verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).

3. Speicherdauer

Terminbuchungen und Kundendaten werden für die Dauer der Geschäftsbeziehung sowie für die gesetzlich vorgeschriebene Aufbewahrungsfrist (7 Jahre gem. § 212 UGB) gespeichert, soweit steuerliche Relevanz besteht. Daten ohne gesetzliche Aufbewahrungspflicht werden auf Anfrage gelöscht.

4. Datenweitergabe und Auftragsverarbeitung

Ihre Daten werden nicht an Dritte zu Werbezwecken weitergegeben. Für den Betrieb der Plattform setzen wir folgende Auftragsverarbeiter ein, mit denen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bestehen:

• Hosting / Deployment: Vercel Inc., 340 Pine Street Suite 1200, San Francisco, CA 94104, USA. Serverstandort: EU-Region (Frankfurt).
• Datenbank: Neon Inc. — serverless PostgreSQL. Daten werden in EU-Region gespeichert.
• Rate-Limiting: Upstash Inc. — Redis-Dienst für Anfragenbegrenzung. Verarbeitet anonymisierte IP-Adressen, kein Rückschluss auf Personen.
• E-Mail: [BITTE ERGÄNZEN: SMTP-Anbieter] — für transaktionale E-Mails (Bestätigungen, Erinnerungen, Passwort-Reset).
• SMS (optional, nur wenn aktiviert): Twilio Inc. — SMS-Benachrichtigungen, nur wenn vom Unternehmen aktiviert und vom Kunden eingewilligt.
• Authentifizierung: NextAuth.js — selbstgehostet, kein externer Auth-Provider. Keine Weitergabe von Anmeldedaten an Dritte.

Auftragsverarbeitungsvertrag (AVV): Unternehmen, die Joda für die Verwaltung von Kundendaten einsetzen, schließen mit uns einen AVV gemäß Art. 28 DSGVO ab. [BITTE ERGÄNZEN: AVV-Link oder Bestellprozess]

5. Cookies und Session

Wir verwenden ausschließlich technisch notwendige Cookies:

• next-auth.session-token — Authentifizierungs-Session (httpOnly, sameSite=lax)
• joda-impersonate — temporäres Impersonation-Cookie für SUPER_ADMIN (httpOnly, sameSite=strict)

Es werden keine Tracking-Cookies, Analytics-Dienste oder Drittanbieter-Skripte eingesetzt.

6. Ihre Rechte (DSGVO)

Sie haben das Recht auf:

• –Auskunft (Art. 15 DSGVO): welche Daten wir über Sie gespeichert haben
• –Berichtigung (Art. 16 DSGVO): unrichtige Daten korrigieren lassen
• –Löschung (Art. 17 DSGVO): soweit keine gesetzliche Aufbewahrungspflicht besteht
• –Einschränkung (Art. 18 DSGVO): Verarbeitung einschränken lassen
• –Datenübertragbarkeit (Art. 20 DSGVO): Ihre Daten in maschinenlesbarem Format erhalten
• –Widerspruch (Art. 21 DSGVO): gegen die Verarbeitung Widerspruch einlegen

Zur Ausübung Ihrer Rechte: office@joda.at

7. Beschwerderecht bei der Aufsichtsbehörde