Datenschutzerklärung


1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Slotlify
Inhaber Dmitrii Shapiro
An den Krautgärten 33
65760 Eschborn
Deutschland
Telefon: +49 (0)162 453 61 47
E-Mail: service@slotlify.de

Ein Datenschutzbeauftragter ist nicht bestellt, da hierfür nach unserem derzeitigen Kenntnisstand keine gesetzliche Verpflichtung besteht.


2. Überblick: Worum geht es bei Slotlify?

Slotlify ist eine Plattform, über die sich Veranstalter und sonstige Anbieter buchbarer Leistungen („Merchants“) registrieren und eigene Organisationen bzw. Einheiten („Tenants“) anlegen können. Über die öffentliche Storefront eines Merchants bzw. Tenants können Endkund:innen („Customers“) Veranstaltungen oder sonstige Leistungen buchen.

Diese Datenschutzerklärung gilt für die Nutzung unserer Website, unserer Plattform sowie der damit verbundenen Dienste. Sie richtet sich sowohl an:

  • Merchants, die Slotlify zur Verwaltung ihrer Angebote, Buchungen und Tenants nutzen, als auch an
  • Customers, die über eine Storefront Buchungen vornehmen oder sich über Veranstaltungen informieren.

Wichtiger Hinweis zur Rollenverteilung

Die datenschutzrechtliche Rolle hängt davon ab, in welchem Zusammenhang Daten verarbeitet werden:

a) Plattformbetrieb durch Slotlify

Für den Betrieb der Website und Plattform, die technische Bereitstellung, Hosting, Sicherheit, Accountverwaltung, Support, Vertragsverwaltung, Abrechnung der Merchant-Pläne sowie bestimmte Integrationen mit Zahlungsdienstleistern verarbeiten wir personenbezogene Daten als Verantwortlicher.

b) Buchungsdaten im Verhältnis Merchant ↔ Customer

Wenn Merchants Slotlify nutzen, um Buchungen, Teilnehmerinformationen oder Kundendaten ihrer Customers zu verwalten, ist der jeweilige Merchant in der Regel Verantwortlicher für diese Verarbeitung. Soweit wir diese Daten ausschließlich zur technischen Bereitstellung der Plattformfunktionen für den Merchant verarbeiten, handeln wir typischerweise als Auftragsverarbeiter des jeweiligen Merchants.

Der jeweilige Merchant ist in diesem Fall verpflichtet, seine Customers eigenständig und rechtmäßig über die Verarbeitung ihrer personenbezogenen Daten zu informieren.

c) Zahlungsabwicklung über Zahlungsdienstleister

Für Online-Zahlungen setzen wir Zahlungsdienstleister ein, insbesondere Stripe. Bei Online-Zahlungen von Customers zugunsten eines Merchants können zusätzlich Connected Accounts im Rahmen von Stripe Connect eingesetzt werden. Dabei verarbeitet der jeweilige Zahlungsdienstleister personenbezogene Daten regelmäßig zumindest teilweise in eigener datenschutzrechtlicher Verantwortlichkeit nach seinen eigenen Datenschutzbestimmungen. Weitere Informationen hierzu findest du unten in dieser Datenschutzerklärung sowie in den Datenschutzhinweisen der jeweiligen Anbieter.


3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen)
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. Sicherheit, Missbrauchsprävention, technische Bereitstellung, Systemstabilität)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. für Analyse-/Marketing-Cookies, sofern eingesetzt)

Soweit wir personenbezogene Daten im Auftrag eines Merchants verarbeiten, erfolgt die Verarbeitung außerdem auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO, sofern die gesetzlichen Voraussetzungen vorliegen.

Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.


4. Datenkategorien

Je nach Nutzung verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

a) Merchant-/Tenant-Daten (B2B)

  • Accountdaten: E-Mail-Adresse, Passwort (verschlüsselt / Hash), Vorname, Nachname, Anschrift
  • Organisationsdaten / Tenant-Daten: Firmenname, Anschrift, USt-IdNr. / VAT, Kontaktperson, Unternehmensangaben
  • Vertrags- und Nutzungsdaten: gebuchter Plan, Abrechnungsstatus, Rechnungsinformationen, Laufzeiten, Kündigungsstatus
  • Support- und Kommunikationsdaten
  • Daten im Zusammenhang mit der Aktivierung von Online-Zahlungen, insbesondere Connected-Account-Status, Verifizierungsstatus und Zahlungsfreischaltungen

b) Customer-/Buchungsdaten (B2C)

  • Buchungsdaten: Veranstaltung, Datum/Uhrzeit, Anzahl Plätze, Status, gebuchte Leistungen
  • Kundendaten, soweit für die Buchung erforderlich: Vorname, Nachname, E-Mail-Adresse, Anschrift, Telefonnummer
  • Daten zur Gastbuchung, sofern eine Buchung ohne Kundenkonto möglich ist
  • Teilnehmerinformationen, soweit vom Merchant für die Durchführung des Angebots benötigt

c) Zahlungs- und Transaktionsdaten

  • Zahlungsstatus (z. B. bezahlt, offen, erstattet)
  • Transaktions-IDs, Referenznummern
  • Informationen über die gewählte Zahlungsart
  • Bei Merchant-Plänen: Informationen zur Zahlung an Slotlify
  • Bei Customer-Buchungen: Informationen über Online-Zahlungen zugunsten des Merchants
  • Informationen im Zusammenhang mit Stripe Connect, insbesondere Connected-Account-ID, Onboarding-Status, Capabilities / Freischaltungen, Auszahlungsstatus und ähnliche Kontoinformationen

d) Kommunikationsdaten

  • E-Mail-Kommunikation, z. B. Support-Anfragen, Bestätigungen, Systemhinweise, buchungsbezogene Nachrichten

e) Technische Daten / Server-Logs

Beim Aufruf unserer Website und Plattform werden aus technischen Gründen typischerweise Daten verarbeitet, z. B.:

  • IP-Adresse
  • Datum und Uhrzeit des Abrufs
  • aufgerufene Seiten / Ressourcen
  • User-Agent / Browsertyp / Betriebssystem
  • Referrer-URL
  • Statuscodes / technische Fehlerdaten

Diese Daten sind erforderlich, um die Website bereitzustellen, die Sicherheit zu gewährleisten und die Stabilität des Systems sicherzustellen.


5. Hosting, Infrastruktur, Datenbank, Dateispeicher und E-Mail

a) Hosting

Wir hosten zentrale Systemkomponenten bei Hetzner in Deutschland. Dabei werden die zur Bereitstellung und Sicherung der Plattform erforderlichen Daten sowie Logfiles verarbeitet.

b) Datenbank

Buchungs-, Konto-, Vertrags- und Organisationsdaten werden in einer PostgreSQL-Datenbank gespeichert, die ebenfalls bei Hetzner in Deutschland gehostet wird.

c) Dateispeicher

Für die Speicherung von Fotos, Uploads und sonstigen Dateien nutzen wir Google Cloud Storage, nach unserem derzeitigen Setup in der Region Frankfurt, Deutschland. Dabei werden die hochgeladenen Inhalte sowie ggf. technische Metadaten verarbeitet.

d) E-Mail-Versand

Transaktionsmails und Systemmails, z. B. Bestätigungen, Verifizierungen und technische Hinweise, versenden wir über einen SMTP-Dienst bei Hetzner.

Datenschutzhinweise: https://www.hetzner.com/legal/privacy-policy/


6. Accountregistrierung und Nutzung durch Merchants

Zweck

Anlage und Verwaltung von Merchant-Accounts und Tenants, Vertragsdurchführung, Bereitstellung der Plattform, Abrechnung, Support, Sicherheit, Missbrauchsprävention.

Verarbeitete Daten

Insbesondere Accountdaten, Organisationsdaten, Plan- und Vertragsdaten, technische Nutzungsdaten sowie Supportdaten.

Rechtsgrundlage

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag / Durchführung des Nutzungsvertrags)
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflichten, z. B. steuer- und handelsrechtliche Aufbewahrung)
  • Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsprävention, Systembetrieb)


7. Buchungen durch Customers (Endkund:innen)

Zweck

Durchführung und Verwaltung von Buchungen, Kommunikation im Zusammenhang mit Buchungen, Bereitstellung von Buchungs- und Teilnehmerinformationen für Merchants, technischer Betrieb der Storefront und Buchungsstrecken.

Verarbeitete Daten

Insbesondere Name, E-Mail-Adresse, Telefonnummer, Anschrift, Buchungsdaten, Veranstaltungsdaten und Statusinformationen, soweit dies für die konkrete Buchung erforderlich ist.

Sofern eine Buchung als Gast erfolgt, verarbeiten wir die hierfür erforderlichen Kundendaten zur Durchführung der Buchung und zur Kommunikation, insbesondere für Buchungsbestätigungen oder Rückfragen.

Rechtsgrundlage

  • Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Durchführung der Buchung erforderlich ist
  • Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung für den technischen Betrieb, die Sicherheit und die Integrität der Plattform erforderlich ist

Empfänger

Der jeweilige Merchant erhält die für die Durchführung der Veranstaltung oder Leistung notwendigen Buchungs- und Teilnehmerdaten, soweit diese im Rahmen der Buchung erhoben wurden.

Wichtiger Hinweis

Soweit wir Buchungs- und Kundendaten ausschließlich im Auftrag des Merchants verarbeiten, erfolgt dies als Auftragsverarbeitung für den Merchant. In diesen Fällen ist der jeweilige Merchant in der Regel primär dafür verantwortlich, seine Customers datenschutzrechtlich zu informieren und die entsprechende Rechtsgrundlage sicherzustellen.


8. Zahlungsabwicklung

Wir nutzen Zahlungsdienstleister, insbesondere Stripe. Wir speichern selbst keine vollständigen Kreditkartendaten.

Je nach konkretem Zahlungsprozess erhalten wir von den Zahlungsdienstleistern insbesondere Statusinformationen, z. B.:

  • „bezahlt“
  • „offen“
  • „fehlgeschlagen“
  • „erstattet“
  • Transaktions-ID / Referenzdaten

Diese Informationen benötigen wir zur Vertragsdurchführung, Abrechnung, Zuordnung von Zahlungen und für Supportfälle.

Rechtsgrundlage

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag / Zahlungsabwicklung / Buchung)
  • Art. 6 Abs. 1 lit. c DSGVO (steuer- und handelsrechtliche Pflichten)
  • Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsprävention, Nachweisbarkeit, Systemsicherheit)

Wichtige Hinweise zur Rollenverteilung

Zahlungsdienstleister wie Stripe verarbeiten Zahlungsdaten je nach konkretem Setup regelmäßig ganz oder teilweise als eigenständig Verantwortliche nach ihren eigenen Datenschutzbestimmungen. Dies gilt insbesondere für Zahlungsabwicklung, Betrugsprävention, Risikoprüfungen, regulatorische Anforderungen sowie Identitäts- und Verifizierungsprozesse.

Datenschutzhinweise Stripe: https://stripe.com/privacy

Weitere Informationen zur Datenverarbeitung durch Stripe, einschließlich der Data Processing Agreement (DPA): https://stripe.com/de/legal/dpa


9. Stripe Connect / Connected Accounts

Wenn Merchants Online-Zahlungen für ihre Customers aktivieren, kann hierfür Stripe Connect verwendet werden. In diesem Zusammenhang können wir personenbezogene Daten des Merchants und ggf. vertretungsberechtigter Personen an Stripe übermitteln oder von Stripe abrufen, soweit dies für die Einrichtung, Verifizierung, Verwaltung und Nutzung des Connected Accounts erforderlich ist.

Dabei können insbesondere folgende Daten verarbeitet werden:

  • Name, E-Mail-Adresse und Kontaktdaten des Merchants oder von Ansprechpartnern
  • Unternehmens- und Adressdaten
  • steuerlich oder regulatorisch erforderliche Angaben
  • Statusinformationen zum Connected Account
  • Verifizierungs- und Freischaltungsstatus
  • Informationen über Zahlungsfreigaben, Auszahlungsfähigkeit und Beschränkungen

Zweck

  • Einrichtung und Verwaltung von Online-Zahlungen für Merchants
  • Durchführung des Onboardings bei Stripe
  • Verifizierung und Aktivierung von Zahlungsfunktionen
  • technische Anzeige von Konto- und Statusinformationen im Merchant-Dashboard
  • Missbrauchsprävention und Einhaltung regulatorischer Anforderungen

Rechtsgrundlage

  • Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Vertrags mit dem Merchant)
  • Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Pflichten, soweit einschlägig)
  • Art. 6 Abs. 1 lit. f DSGVO (sicherer und funktionsfähiger Betrieb der Plattform und Zahlungsfunktionen)

Stripe verarbeitet bestimmte personenbezogene Daten im Zusammenhang mit Identitätsprüfung, Verifizierung, Betrugsprävention und Zahlungsabwicklung nach eigenen Datenschutzbestimmungen. Datenschutzhinweise: https://stripe.com/privacy


10. Merchant-Pläne und Zahlungen an Slotlify

Wenn Merchants einen kostenpflichtigen Plan buchen, verarbeiten wir die hierfür erforderlichen Vertrags-, Abrechnungs- und Zahlungsdaten.

Zweck

  • Vertragsdurchführung
  • Rechnungsstellung
  • Nachweis von Zahlungen
  • Verwaltung von Laufzeiten, Kündigungen und Verlängerungen
  • Erfüllung gesetzlicher Aufbewahrungspflichten

Rechtsgrundlage

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. c DSGVO


11. Plattformgebühren bei Customer-Buchungen

Je nach gewähltem Merchant-Plan kann bei Buchungen eine Plattformgebühr zugunsten von Slotlify anfallen. Diese Plattformgebühr kann technisch über den eingesetzten Zahlungsdienstleister verarbeitet werden, z. B. als Application Fee im Rahmen von Stripe Connect.

In diesem Zusammenhang verarbeiten wir die hierfür erforderlichen Transaktions- und Zuordnungsdaten, insbesondere:

  • Buchungsreferenzen
  • Zahlungsstatus
  • Höhe der Plattformgebühr
  • Merchant-Zuordnung
  • abrechnungsrelevante Transaktionsinformationen

Zweck

  • Berechnung und Abrechnung der Plattformgebühr
  • technische Zuordnung von Gebühren zu Buchungen und Merchants
  • Nachweis- und Buchhaltungszwecke

Rechtsgrundlage

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. c DSGVO
  • Art. 6 Abs. 1 lit. f DSGVO


12. Authentifizierung

Für Login und Authentifizierung verwenden wir NextAuth und einen Payload-Auth-Mechanismus. Zusätzlich kann eine Anmeldung über Google (OAuth) möglich sein.

Wenn du dich über Google anmeldest, erhalten wir von Google die zur Anmeldung notwendigen Informationen, z. B. E-Mail-Adresse und ggf. Name, abhängig von den freigegebenen Berechtigungen / Scopes.

Zweck

Bereitstellung von Login- und Accountfunktionen, sichere Authentifizierung, Verwaltung von Sitzungen.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO


13. Webanalyse

Sofern du eingewilligt hast, nutzen wir Google Analytics zur Analyse der Nutzung unserer Website und Plattform.

Dabei können insbesondere Nutzungsdaten verarbeitet werden, z. B.:

  • Seitenaufrufe
  • Interaktionen
  • Geräte- und Browserinformationen
  • ungefähre Standortinformationen
  • technische Nutzungsparameter

IP-Anonymisierung ist aktiviert, soweit dies in der jeweiligen Implementierung vorgesehen ist.

Rechtsgrundlage

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Die Verarbeitung erfolgt nur nach entsprechender Einwilligung über unser Consent-Management.

Google Datenschutzhinweise: https://policies.google.com/privacy

Informationen zu Google Analytics: https://support.google.com/analytics/answer/6004245


14. Fehleranalyse / Monitoring

Wir nutzen Sentry zur technischen Fehleranalyse und Stabilisierung des Systems. Dabei können technische Daten und Fehlerdiagnosen verarbeitet werden, z. B.:

  • Zeitpunkt eines Fehlers
  • Browser / Gerät
  • technische Requests
  • betroffene Seiten oder Komponenten
  • in minimiertem Umfang Kontextinformationen zur Fehlerbehebung

Zweck

Betriebssicherheit, Fehlerbehebung, Systemstabilität, Missbrauchserkennung.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb)

Datenschutzhinweise: https://sentry.io/privacy/


15. Google Places API

Wir nutzen die Google Places API, um ortsbezogene Funktionen bereitzustellen, z. B. Adress- oder Place-Suche. Dabei können Suchanfragen und technische Metadaten an Google übertragen werden.

Rechtsgrundlage

  • Art. 6 Abs. 1 lit. f DSGVO, soweit die Funktion für eine komfortable und zweckmäßige Nutzung erforderlich ist
  • und, sofern die konkrete Implementierung eine Einwilligung erfordert, Art. 6 Abs. 1 lit. a DSGVO über das Consent-Management


16. Externe Links

Unsere Website und Plattform können Links zu externen Diensten enthalten, z. B. LinkedIn oder Discord. Wenn du solche Links anklickst, verlässt du unsere Website. Für die Datenverarbeitung durch die jeweiligen externen Anbieter sind ausschließlich deren Datenschutzhinweise maßgeblich.


17. Cookies, Consent-Management und Endgerätezugriff

Wir verwenden ein Consent-Management, um Einwilligungen für Cookies und ähnliche Technologien zu verwalten.

Cookie-Kategorien können insbesondere sein:

  • notwendige Cookies (z. B. Login, Sicherheit, Session)
  • funktionale Cookies
  • Analyse-Cookies
  • Leistungs-/Performance-Cookies
  • Werbe-Cookies, sofern eingesetzt

Nicht notwendige Cookies oder Technologien setzen wir nur, wenn du zuvor eingewilligt hast. Du kannst deine Einwilligung jederzeit über die Cookie-Einstellungen ändern oder widerrufen.


18. Datenübermittlung in Drittländer

Einige von uns eingesetzte Dienstleister können Daten außerhalb der EU bzw. des EWR verarbeiten oder dorthin übermitteln, insbesondere je nach konkreter Nutzung und Konfiguration z. B. Stripe, Google oder Sentry. Soweit eine Übermittlung in Drittländer erfolgt, stützen wir diese – sofern rechtlich erforderlich – auf geeignete Garantien, z. B. Angemessenheitsbeschlüsse oder Standardvertragsklauseln, sowie ggf. zusätzliche Schutzmaßnahmen.


19. Speicherdauer

Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Orientierungswerte, sofern keine abweichenden Pflichten greifen:

  • Merchant-Accounts: mindestens 12 Monate; darüber hinaus bis zur Löschung / Vertragsbeendigung, soweit erforderlich für Vertragsabwicklung, Nachweis- oder Verteidigungszwecke
  • Buchungs- und Abrechnungsdaten: nach den jeweils geltenden gesetzlichen Aufbewahrungsfristen, je nach Dokumentart in der Regel 6, 8 oder 10 Jahre
  • Server-Logs: ca. 30 bis 90 Tage, sofern keine sicherheitsrelevanten Gründe eine längere Speicherung erfordern
  • Support- und Kommunikationsdaten: solange erforderlich; ggf. längere Speicherung zur Nachvollziehbarkeit, sofern keine Löschungspflicht entgegensteht
  • Analysedaten (Google Analytics): nach der jeweils konfigurierten Speicherdauer, derzeit z. B. 14 Monate, sofern entsprechend eingestellt


20. Deine Rechte

Du hast, soweit die gesetzlichen Voraussetzungen vorliegen, folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf von Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Anfragen kannst du jederzeit an folgende Adresse richten: service@slotlify.de

Wenn sich deine Anfrage auf Buchungsdaten bezieht, die ein Merchant in eigener Verantwortlichkeit verarbeitet, kann es erforderlich sein, dass du dich vorrangig an den jeweiligen Merchant wendest.


21. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für Hessen ist zuständig:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)

Postfach 31 63, 65021 Wiesbaden, Deutschland

E-Mail: poststelle@datenschutz.hessen.de

Telefon: +49 611 1408-0

Website: https://datenschutz.hessen.de/


22. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten zu schützen, insbesondere:

  • TLS-/HTTPS-Verschlüsselung
  • rollen- und berechtigungsbasierte Zugriffskonzepte, soweit technisch umgesetzt
  • Logging zur Sicherheits- und Fehleranalyse
  • regelmäßige Updates und Wartung
  • Maßnahmen zur Absicherung von Accounts und Infrastruktur


23. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich die Rechtslage, unsere Dienste, unsere Integrationen oder die Art der Datenverarbeitung ändern. Es gilt die jeweils aktuelle Version, die auf unserer Website veröffentlicht ist.