Datenschutzerklärung

Stand: now

1. Verantwortliche Stelle

Studio Creare
Sandra & Volker Lang
Poststraße 1
35428 Langgöns
E-Mail: volker@studiocreare.de
Telefon: +49 177 1314013

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (§ 38 BDSG). Bei datenschutzrechtlichen Anliegen wenden Sie sich an die oben genannte Adresse.

2. Erhobene Daten und Verarbeitungszwecke

Wir verarbeiten personenbezogene Daten in folgenden Zusammenhängen:

2.1 Kundenkonto und Raumbuchungen

  • Daten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Anschrift, ggf. Firmenname, Buchungsdaten (Räume, Zeiten, Preise), Rechnungsdaten
  • Zweck: Durchführung und Verwaltung von Raumbuchungen, Erstellung und Versand von Rechnungen, Kommunikation zur Buchung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung für Rechnungsdaten)

2.2 Anmeldungen über Veranstaltungs-Landingpages

  • Daten: die in der jeweiligen Anmeldemaske abgefragten Felder (i. d. R. Name, E-Mail, ggf. Teilnehmerzahl), Zeitstempel der Datenschutzeinwilligung
  • Zweck: Organisation und Bestätigung der Veranstaltungsanmeldung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme)

2.3 Vertragsdokumente

  • Daten: hochgeladene Vertrags-PDFs zwischen Studio Creare und Kund:innen
  • Zweck: Vertragsverwaltung, Nachweisbarkeit
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, ggf. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrung)

3. Cookies und vergleichbare Technologien

Diese Website verwendet ausschließlich technisch notwendige Cookies. Eine Einwilligung hierfür ist nach § 25 Abs. 2 TTDSG nicht erforderlich. Es werden keine Analyse-, Tracking- oder Marketing-Cookies eingesetzt.

Cookie Zweck Lebensdauer
session Anmeldesitzung, Authentifizierung Browser-Sitzung bzw. bis zu 30 Tage bei „Angemeldet bleiben"
_csrf_token (Session-intern) Schutz vor Cross-Site-Request-Forgery Browser-Sitzung
remember_token „Angemeldet bleiben" über Browser-Sessions hinweg bis zu 30 Tage

4. Server-Log-Dateien

Unser Hoster speichert beim Aufruf der Website automatisch Informationen, die der Browser übermittelt (sog. Server-Log-Dateien). Dies umfasst:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit der Anfrage
  • aufgerufene URL und HTTP-Statuscode
  • übertragene Datenmenge
  • Browsertyp und Betriebssystem (User-Agent)
  • Referrer-URL (sofern übermittelt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb, Sicherheit und Fehleranalyse).
Speicherdauer: in der Regel 14 Tage, bei Sicherheitsvorfällen länger.
Eine Zusammenführung der Log-Daten mit Kundenkonten findet nicht statt.

5. Hosting

Wir hosten unsere Website bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Der Server steht in einem Rechenzentrum in Deutschland. Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung der Website).

6. E-Mail-Versand

Zur Versendung von Buchungsbestätigungen, Erinnerungen, Rechnungen und Account-Mails nutzen wir einen externen E-Mail-Anbieter united-domains GmbH, Gautinger Straße 10, 82319 Starnberg . Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

Im Rahmen des Mail-Versands wird Ihre E-Mail-Adresse an den Anbieter übermittelt; die Inhalte der Mails werden technisch beim Anbieter zwischengespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogener Kommunikation, Art. 6 Abs. 1 lit. f DSGVO im Übrigen.

7. Telegram-Benachrichtigungen (intern)

Studio Creare nutzt den Messenger Telegram ausschließlich für interne Benachrichtigungen an unsere Mitarbeitenden (z. B. neue Buchungseingänge). Eine Telegram-Anbindung für Endkund:innen besteht nicht.

Anbieter: Telegram FZ-LLC bzw. die Telegram Messenger Inc. Beim Mitarbeitenden-Setup wird eine Telegram-Chat-ID gespeichert, um Nachrichten zustellen zu können. Die Verarbeitung kann eine Übermittlung an Drittländer beinhalten; geeignete Garantien (Art. 46 DSGVO) sind durch unsere Auswahl und Konfiguration soweit möglich zu gewährleisten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten internen Kommunikation) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung der Mitarbeitenden in die Verknüpfung).
Hinweis für Mitarbeitende: Die Telegram-Verknüpfung ist freiwillig und kann jederzeit im Mitarbeiterprofil widerrufen werden.

8. Externe Inhalte

Schriftarten (Source Sans 3), CSS- und JS-Bibliotheken (Tailwind CSS, Flatpickr) werden ausschließlich von unserem eigenen Server ausgeliefert. Es werden beim Seitenaufruf keine Daten an externe Content-Delivery-Netzwerke oder Schrift-Provider übermittelt.

Kartenanzeige (OpenStreetMap): Auf Wunsch — etwa nach Klick auf „Anfahrt" — laden wir eine Karte von der OpenStreetMap Foundation (St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, Vereinigtes Königreich) nach. Dabei wird Ihre IP-Adresse an OpenStreetMap übermittelt, damit die Kartenkacheln ausgeliefert werden können. Vor diesem Klick erfolgt keinerlei Verbindung zu OpenStreetMap. Für das Vereinigte Königreich liegt ein Angemessenheitsbeschluss der EU-Kommission vor (Beschluss vom 28.06.2021), sodass die Übermittlung auf dieser Grundlage stattfindet. Mehr Informationen: OSMF-Datenschutzrichtlinie.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung der Kartenanzeige).

9. Empfänger der Daten

Personenbezogene Daten werden nur an folgende Empfänger weitergegeben:

  • Auftragsverarbeiter (Hoster, E-Mail-Anbieter; jeweils mit AVV nach Art. 28 DSGVO)
  • Steuerberatung und Finanzbehörden im Rahmen gesetzlicher Pflichten
  • Inkassodienstleister oder Rechtsbeistand bei ausstehenden Forderungen

Eine darüber hinausgehende Übermittlung an Dritte findet nicht statt.

10. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

  • Kundenkonto: bis zur Löschung des Kontos durch die betroffene Person bzw. nach Beendigung der Geschäftsbeziehung
  • Rechnungs- und Buchhaltungsdaten: 10 Jahre (§ 147 AO, § 257 HGB)
  • Landingpage-Anmeldungen: bis zum Ende der Veranstaltung zzgl. angemessener Frist zur Nachbearbeitung, danach Löschung oder Anonymisierung
  • Server-Logs: i. d. R. 14 Tage

Bei Kontolöschung werden personenbezogene Daten anonymisiert; Rechnungsdaten bleiben gemäß gesetzlicher Pflicht erhalten.

11. Ihre Rechte

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Datenexport ist im Profil verfügbar.
  • Berichtigung (Art. 16 DSGVO): jederzeit über das Profil möglich.
  • Löschung (Art. 17 DSGVO): Konto-Löschung im Profil; gesetzlich aufbewahrungspflichtige Daten werden anonymisiert weitergeführt.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO): Export im JSON-Format über das Profil.
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft.

Sie haben ferner das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für Hessen: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden, datenschutz.hessen.de.

12. Datensicherheit

Die Datenübertragung erfolgt verschlüsselt per HTTPS (TLS). Passwörter werden ausschließlich gehasht gespeichert (werkzeug PBKDF2/scrypt). Der Zugriff auf administrative Funktionen ist durch Rollen, Login und CSRF-Schutz abgesichert.

13. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen korrekt abbildet. Für Ihren erneuten Besuch gilt die jeweils aktuelle Fassung.

14. Kontakt in Datenschutzfragen

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Rechte wenden Sie sich an:
E-Mail: volker@studiocreare.de
Postanschrift: siehe Punkt 1.