Datenschutzerklärung

1. Verantwortlicher (Art. 13 DSGVO)

Yusuf Ferhat Demir
Schillerstraße 31, 60313 Frankfurt am Main
Deutschland
E-Mail: legal@chairmatch.de
Web: chairmatch.de

Ein gesetzlicher Datenschutzbeauftragter ist derzeit nicht benannt. Alle Datenschutz-Anfragen richten Sie bitte direkt an den oben genannten Verantwortlichen unter legal@chairmatch.de.

2. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten für folgende Zwecke:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Registrierung, Buchungsabwicklung, Zahlungsverarbeitung, Anbieterverwaltung.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Marketing-E-Mails, Statistik-Cookies, Push-Benachrichtigungen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): IT-Sicherheit, Betrugsabwehr, technisch notwendige Logs.
• Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO): DAC7-Meldepflichten, steuerliche Aufbewahrung.

3. Kategorien personenbezogener Daten

• Stammdaten: Name, E-Mail, Telefon (bei Registrierung)
• Buchungsdaten: Datum, Uhrzeit, Dienstleistung, Salon, Preis
• Zahlungsdaten: Stripe verarbeitet Kartendaten; wir speichern nur Referenz-IDs und Betrag
• Anbieter: IBAN und Steuernummer für DAC7/Auszahlungsabrechnung
• Bewertungen und Kommentare
• Technische Daten: IP-Adresse, User-Agent, Seitenpfad (visit_logs) für Betrieb und Sicherheit
• Einwilligungs-Log (consent_logs): AGB-, Datenschutz- und Marketing-Einwilligung mit Timestamp und Version
• Cookie-Einwilligung (cookie_consents): Ihre gewählten Cookie-Kategorien

4. Speicherdauer

• Aktive Konten: bis zur Löschung durch Nutzer oder durch uns
• Inaktive Konten: Anonymisierung nach 3 Jahren ohne Anmeldung
• Soft-Delete: 30 Tage Aufbewahrung, dann automatischer Hard-Delete
• Buchungshistorie: anonymisiert für 7 Jahre (steuerliche Pflicht / DAC7)
• Server-Logs: 30 Tage, danach automatische Löschung
• Einwilligungs-Log: bis zur Kontoauflösung (Nachweiszweck)

5. Empfänger und Auftragsverarbeiter

Wir setzen folgende Dienstleister ein (Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen bzw. in Vorbereitung):

• Vercel Inc. (San Francisco, USA) — Hosting der Web-App. Grundlage: EU-Standardvertragsklauseln (SCC). Datenschutz
• Supabase Inc. (San Francisco, USA, EU-Datenhaltung) — Datenbank und Authentifizierung. Grundlage: AVV + SCC. Datenschutz
• Stripe, Inc. (Dublin, Irland / USA) — Zahlungsabwicklung. Grundlage: AVV + SCC. Datenschutz
• Resend, Inc. (USA) — Transaktionale E-Mails (Buchungsbestätigungen, Benachrichtigungen). Grundlage: SCC. Datenschutz
• web-push / VAPID — Push-Benachrichtigungen über Browser-Push-Dienste (z. B. Google FCM). Grundlage: Einwilligung.

6. Übermittlung in Drittländer

Einige der o. g. Anbieter haben ihren Sitz in den USA (Drittland ohne Angemessenheitsbeschluss). Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und ggf. ergänzender Garantien der Anbieter.

7. Ihre Rechte (Art. 15–21 DSGVO)

• Auskunft (Art. 15): Was wir über Sie gespeichert haben
• Berichtigung (Art. 16): Falsche Daten korrigieren lassen
• Löschung (Art. 17): Konto löschen — Soft-Delete, Hard-Delete nach 30 Tagen (in-App verfügbar)
• Datenübertragbarkeit (Art. 20): JSON/CSV/ZIP-Export — in-App als "Daten exportieren" verfügbar
• Einschränkung (Art. 18): Verarbeitung einschränken — Anfrage per E-Mail
• Widerspruch (Art. 21): Gegen Verarbeitung auf Basis berechtigter Interessen widersprechen
• Widerruf der Einwilligung (Art. 7 Abs. 3): Einwilligungen (z. B. Marketing-E-Mails, Cookies) jederzeit widerrufbar — Abmeldelink in jeder E-Mail, Cookie-Einstellungen im Footer

Anfragen an: legal@chairmatch.de — Antwort innerhalb von 30 Tagen.

8. Beschwerderecht bei Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Für uns zuständig ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163 · 65021 Wiesbaden
datenschutz.hessen.de

9. Automatisierte Entscheidungsfindung und Profiling

Wir setzen keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO ein. Suchergebnisse und Rankings basieren auf sachlichen Kriterien (Bewertung, Distanz, Verfügbarkeit).

10. Cookies und Tracking (§ 25 TTDSG)

Technisch notwendig (immer aktiv): Session-Cookie, CSRF-Schutz, Authentifizierungs-Token. Keine Einwilligung erforderlich (§ 25 Abs. 2 TTDSG).

Statistik/Performance (Opt-in): Aggregierte Besuchsstatistiken für Betrieb und Optimierung. Einwilligung erforderlich.

Marketing (Opt-in): Derzeit nicht aktiv. Bei Aktivierung: erneute Einwilligung erforderlich.

Cookie-Einstellungen können Sie jederzeit über Cookie-Einstellungen im Footer ändern.

11. Änderungen dieser Erklärung

Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder In-App-Hinweis. Die jeweils aktuelle Version ist unter chairmatch.de/datenschutz abrufbar.