beautyflowZur Anmeldung

Datenschutzerklärung

BeautyFlow · Complete-Digital · Stand: 23. Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

Complete-Digital (Dennis Friesen)
Ringstraße 36, 32423 Minden, Deutschland
E-Mail: info@complete-digital.de

2. Geltungsbereich

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung der Software-as-a-Service-Plattform BeautyFlow (Web-Anwendung und native App), einschließlich Registrierung, Login, Abonnementverwaltung und technischer Bereitstellung. Sie gilt nicht für Datenverarbeitungen, die Salonbetreiber (unsere Kunden) im Rahmen ihrer eigenen Geschäftstätigkeit gegenüber ihren Endkunden durchführen; hierfür sind die Salonbetreiber eigenständig verantwortlich.

3. Kategorien betroffener Personen und Daten

3.1 Salonbetreiber und Mitarbeiter (Nutzerkonten)

  • Stammdaten: Name, E-Mail-Adresse, Salon-/Unternehmensdaten, Adresse, Telefon
  • Authentifizierungsdaten: Passwort-Hash, Sitzungs- und Sicherheitstoken
  • Nutzungs- und Protokolldaten: Login-Zeitpunkte, IP-Adresse, Geräte-/Browserinformationen
  • Abonnement- und Zahlungsbezugsdaten (über Stripe; keine vollständigen Kartendaten bei uns)
  • Optionale Einstellungen: Logo, Branding, Öffnungszeiten, Benachrichtigungseinstellungen

3.2 Von Salonbetreibern eingegebene Daten (Auftragsverarbeitung)

Salonbetreiber können über BeautyFlow personenbezogene Daten ihrer Kunden, Mitarbeiter und Termine verarbeiten (z. B. Kontaktdaten, Terminhistorie, Formularantworten, Einwilligungen, Behandlungsdokumentation, Allergieangaben). Wir verarbeiten diese Daten im Auftrag des jeweiligen Salonbetreibers gemäß Art. 28 DSGVO auf Basis des mit dem Salonbetreiber geschlossenen Nutzungsvertrags.

4. Zwecke und Rechtsgrundlagen

  • Bereitstellung der Plattform, Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Registrierung, Authentifizierung, Mandantenfähigkeit, Speicherung von Salon- und Geschäftsdaten, Bereitstellung von Kalender, Kundenverwaltung, Formularen, Online-Buchung, Behandlungsdokumentation, Arbeitszeiterfassung und Push-Benachrichtigungen.
  • Abrechnung und Zahlungsabwicklung (Art. 6 Abs. 1 lit. b DSGVO): Verwaltung von Testphasen, Abonnements und Rechnungsstellung über Stripe.
  • Kommunikation (Art. 6 Abs. 1 lit. b und f DSGVO): System-E-Mails (z. B. Buchungsbestätigungen, Formularlinks, Erinnerungen), soweit der Salonbetreiber diese Funktionen nutzt; technische und sicherheitsrelevante Mitteilungen an Nutzer.
  • Sicherheit und Betrieb (Art. 6 Abs. 1 lit. f DSGVO): Schutz vor Missbrauch, Fehleranalyse, Rate Limiting, Backups, Verfügbarkeit der Infrastruktur.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Push-Benachrichtigungen im Browser oder in der nativen App, sofern der Nutzer ausdrücklich zustimmt; freiwillige Marketing-Kommunikation, falls angeboten und angenommen.
  • Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung steuer- und handelsrechtlich relevanter Unterlagen.

5. E-Mail-Versand (Resend)

Transaktionale E-Mails werden über Resend versendet. Details zum Anbieter, verarbeiteten Daten und Rechtsgrundlagen finden Sie in Abschnitt 9.4. Als Antwort-Adresse (Reply-To) kann der Salonbetreiber eine eigene Kontakt-E-Mail hinterlegen.

6. Push-Benachrichtigungen (nur native App)

Push-Mitteilungen werden ausschließlich in der BeautyFlow App für iOS und Android über Firebase Cloud Messaging (FCM) bereitgestellt — nicht im Browser. Details finden Sie in Abschnitt 9.5. Die Aktivierung erfolgt nur nach ausdrücklicher Einwilligung in der App.

7. Künstliche Intelligenz (OpenAI, optional)

Die optionale KI-Funktion zur Formular-Extraktion nutzt OpenAI. Details finden Sie in Abschnitt 9.6. Der Salonbetreiber ist für die Zulässigkeit hochgeladener Inhalte verantwortlich.

8. Cookies und lokale Speicherung

Wir verwenden technisch notwendige Cookies bzw. vergleichbare Technologien, insbesondere zur Authentifizierung über Supabase Auth (siehe Abschnitt 9.1), Sitzungsverwaltung und Sicherheit. Diese sind für den Betrieb der Anwendung erforderlich. Optionale lokale Speicherung (z. B. Mitarbeiter-PIN-Sperre in der App) dient der Nutzerfreundlichkeit auf dem jeweiligen Gerät.

Sofern künftig Analyse- oder Marketing-Cookies eingesetzt werden, holen wir vorab eine Einwilligung ein und aktualisieren diese Erklärung entsprechend.

9. Empfänger und Auftragsverarbeiter

Zur Bereitstellung von BeautyFlow setzen wir spezialisierte Dienstleister ein. Soweit diese personenbezogene Daten in unserem Auftrag verarbeiten, erfolgt dies auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO bzw. den von den Anbietern bereitgestellten Datenverarbeitungsbedingungen.

9.1 Supabase (Datenbank, Authentifizierung, Dateispeicher)

Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992
Website: supabase.com · Datenschutz: supabase.com/privacy

Eingesetzte Leistungen: PostgreSQL-Datenbank, Benutzerauthentifizierung (Supabase Auth), Speicherung hochgeladener Dateien (z. B. Logos, Formularanhänge, Unterschriften, Behandlungsdokumentationen), Row-Level-Security für mandantenfähige Datentrennung.

Verarbeitete Daten (Auswahl): Nutzerkonten, Salon-Stammdaten, Kunden- und Termindaten, Formularantworten, Mitarbeiterdaten, Abonnement-Metadaten, Sitzungstoken, hochgeladene Medien und Dokumente.

Zweck: Zentrale Speicherung und Bereitstellung aller Anwendungsdaten, Authentifizierung und Autorisierung, sichere Mandantentrennung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für Salon-Endkundendaten zusätzlich Art. 28 DSGVO (Auftragsverarbeitung zugunsten des Salonbetreibers).

Speicherort: Die Datenbank und der Dateispeicher werden in einer von uns konfigurierten Region betrieben (in der Regel innerhalb der Europäischen Union). Details zur gewählten Region können auf Anfrage mitgeteilt werden.

9.2 Vercel (Hosting, Anwendungsbetrieb, CDN)

Anbieter: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA
Website: vercel.com · Datenschutz: vercel.com/legal/privacy-policy

Eingesetzte Leistungen: Hosting der Webanwendung, Ausführung serverseitiger API-Routen und Hintergrundfunktionen (Serverless Functions), Content Delivery Network (CDN), TLS-Verschlüsselung, Deployment-Infrastruktur, technische Protokollierung.

Verarbeitete Daten (Auswahl): IP-Adresse, Zeitstempel, aufgerufene URLs, Request-Header, Geräte- und Browserinformationen, Fehler- und Performance-Logs, soweit für Betrieb und Sicherheit erforderlich; Inhalte von API-Anfragen während der Verarbeitung im Arbeitsspeicher.

Zweck: Bereitstellung, Skalierung und Absicherung der BeautyFlow-Anwendung; Auslieferung statischer Assets; Ausführung von Backend-Logik (z. B. E-Mail-Versand, Zahlungs-Callbacks, Formularverarbeitung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f DSGVO (berechtigtes Interesse an sicherem und performantem Betrieb).

Drittlandübermittlung: Vercel kann Daten auch in den USA verarbeiten. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzender technischer und organisatorischer Maßnahmen des Anbieters.

9.3 Stripe (Zahlungs- und Abonnementabwicklung)

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (für europäische Zahlungen); Stripe, Inc., USA
Website: stripe.com · Datenschutz: stripe.com/de/privacy

Eingesetzte Leistungen: Abonnementverwaltung, Zahlungsabwicklung, Kundenportal für Rechnungen und Zahlungsmethoden, Webhooks zur Statusaktualisierung.

Verarbeitete Daten (Auswahl): Name, E-Mail-Adresse, Zahlungsstatus, Abonnement- und Rechnungsdaten, Transaktions-IDs; Zahlungskartendaten werden direkt bei Stripe erfasst und nicht vollständig auf unseren Servern gespeichert.

Zweck: Entgeltliche Abonnements, Testphasen, Rechnungsstellung und Zahlungsabwicklung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9.4 Resend (transaktionaler E-Mail-Versand)

Anbieter: Resend, Inc., USA
Website: resend.com · Datenschutz: resend.com/legal/privacy-policy

Eingesetzte Leistungen: Versand systemgenerierter E-Mails im Auftrag des Salonbetreibers (z. B. Formulareinladungen, Buchungsbestätigungen, Terminerinnerungen, Formular-Kopien).

Verarbeitete Daten (Auswahl): Empfänger-E-Mail-Adresse, Absenderbezeichnung, Reply-To-Adresse des Salons, Betreff, HTML-Inhalt der Nachricht, technische Versandprotokolle.

Zweck: Zuverlässiger Versand transaktionaler Kundenkommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f DSGVO (Kommunikation im Rahmen des Salonbetriebs).

Drittlandübermittlung: Soweit erforderlich, Übermittlung in die USA auf Basis von EU-Standardvertragsklauseln.

9.5 Google Firebase (Push-Benachrichtigungen, native App)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Website: firebase.google.com · Datenschutz: policies.google.com/privacy

Eingesetzte Leistungen: Firebase Cloud Messaging (FCM) für Push-Benachrichtigungen ausschließlich in der nativen BeautyFlow App (iOS/Android). Im Browser werden keine Push-Nachrichten versendet.

Verarbeitete Daten (Auswahl): Geräte-Token, Plattform (iOS/Android/Web), Benachrichtigungstitel und -inhalt, Zustellstatus, Nutzerpräferenzen zu Benachrichtigungen.

Zweck: Zusendung von Push-Mitteilungen über Termine, Formulare, Abwesenheiten und andere relevante Ereignisse — nur nach ausdrücklicher Einwilligung des Nutzers.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Widerruf jederzeit in den Geräte- oder App-Einstellungen möglich.

9.6 OpenAI (optionale KI-Funktionen)

Anbieter: OpenAI, L.L.C., USA
Website: openai.com · Datenschutz: openai.com/policies/privacy-policy

Eingesetzte Leistungen: KI-gestützte Extraktion von Formularfeldern aus hochgeladenen PDF- oder Bilddateien — nur wenn der Salonbetreiber diese Funktion aktiv nutzt.

Verarbeitete Daten: Inhalt der vom Salonbetreiber hochgeladenen Dokumente (kann personenbezogene Daten enthalten, sofern der Salonbetreiber solche Dokumente hochlädt).

Zweck: Unterstützung bei der Erstellung digitaler Formularvorlagen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzung der Plattform durch den Salonbetreiber); der Salonbetreiber ist für die Zulässigkeit der übermittelten Inhalte verantwortlich.

Drittlandübermittlung: Verarbeitung u. a. in den USA; Übermittlung auf Basis geeigneter Garantien (z. B. EU-Standardvertragsklauseln), soweit vom Anbieter bereitgestellt.

9.7 Weitere technische Dienste

Je nach Nutzung können ergänzend folgende Kategorien zum Einsatz kommen: DNS- und Domain-Dienstleister, Zertifikatsanbieter (TLS), Fehlerüberwachung und Schutz vor automatisiertem Missbrauch (Rate Limiting in der Anwendung). Diese Dienste verarbeiten in der Regel nur technisch notwendige Verbindungsdaten.

Mit allen genannten Auftragsverarbeitern werden die jeweils erforderlichen vertraglichen Regelungen zur Datenverarbeitung abgeschlossen. Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter kann auf Anfrage an info@complete-digital.de bereitgestellt werden, soweit uns dies möglich ist.

10. Drittlandübermittlung

Soweit die in Abschnitt 9 genannten Dienstleister Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten (insbesondere in den USA), erfolgt die Übermittlung auf Grundlage geeigneter Garantien, insbesondere EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und/oder Angemessenheitsbeschlüsse, sofern vorhanden. Betroffen sind insbesondere Vercel, Resend und — bei Nutzung der jeweiligen Funktion — OpenAI sowie Teile der Infrastruktur von Supabase und Stripe.

Kopien der einschlägigen Garantien oder weitergehende Informationen können auf Anfrage an info@complete-digital.de bereitgestellt werden, soweit uns dies möglich ist.

11. Speicherdauer

  • Nutzerkonten und Salon-Daten: für die Dauer des Nutzungsvertrags
  • Nach Vertragsende: Löschung oder Anonymisierung innerhalb angemessener Frist, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Server- und Sicherheitsprotokolle: in der Regel maximal 90 Tage, sofern nicht längere Aufbewahrung zur Beweissicherung erforderlich ist
  • Abrechnungsunterlagen: gemäß handels- und steuerrechtlichen Vorgaben (in der Regel bis zu 10 Jahre)

12. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte genügt eine Nachricht an info@complete-digital.de. Wir werden Anfragen unverzüglich, spätestens innerhalb eines Monats, bearbeiten.

Hinweis für Endkunden von Salons: Wenn Sie Kunde eines Salonbetreibers sind und dessen Daten betroffen sind, wenden Sie sich primär an den jeweiligen Salon. Wir unterstützen Salonbetreiber als Auftragsverarbeiter bei der Erfüllung von Betroffenenanfragen, soweit vertraglich vereinbart.

13. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Zuständig in Nordrhein-Westfalen ist u. a. die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW).

14. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter Daten ist für den Abschluss und die Durchführung des Nutzungsvertrags erforderlich. Ohne Registrierungsdaten kann kein Zugang zu BeautyFlow eingerichtet werden. Eine gesetzliche Verpflichtung zur Bereitstellung besteht im Übrigen nicht.

15. Automatisierte Entscheidungsfindung

Eine ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhende Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung findet nicht statt.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Rechtslage, angebotene Funktionen oder eingesetzte Dienstleister ändern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer in geeigneter Form.