Datenschutzerklärung
Stand: Mai 2026 · Gültig ab 01.06.2026
1. Verantwortliche Stelle
Schülé Beratung GmbH
Rebhalde 16
8903 Birmensdorf
Schweiz
E-Mail: lschule@gmail.com
Bei Fragen zum Datenschutz oder zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an diese Adresse.
2. Welche Daten wir erheben und warum
2.1 Plattformnutzer (Unternehmen / Tenant-Admins)
Wenn Sie FreshBooking als Unternehmen nutzen, erheben wir folgende Daten zur Vertragserfüllung:
- E-Mail-Adresse (für Login, Benachrichtigungen)
- Unternehmensname, Subdomain, Logo, Beschreibung, Adresse, Telefon
- Verbindung zu Ihrem Stripe-Express-Konto (Zahlungsabwicklung)
- Mitarbeiter- und Servicedaten, die Sie selbst hinterlegen
- Terminhistorie und Umsatzdaten
Rechtsgrundlage: Vertragserfüllung (DSG Art. 6 Abs. 2 lit. b / DSGVO Art. 6 Abs. 1 lit. b).
2.2 Endkunden (terminbuchende Personen)
Bei der Buchung eines Termins über eine FreshBooking-Seite erheben wir:
- Vollständiger Name
- E-Mail-Adresse
- Telefonnummer
- Optionale Notizen zur Buchung
- Buchungshistorie, Zahlungsstatus (Anzahlung / Restzahlung)
- Freiwillige Bewertungen (Sternebewertung und Kommentar)
Diese Daten werden im Auftrag des jeweiligen Unternehmens (Tenant) verarbeitet. Zweck ist die Durchführung der Buchung und Zahlungsabwicklung (DSG Art. 6 Abs. 2 lit. b / DSGVO Art. 6 Abs. 1 lit. b). Der Tenant ist für seine Kundendaten datenschutzrechtlich eigenverantwortlich; die Schülé Beratung GmbH handelt als Auftragsverarbeiterin.
2.3 Websitebesucher
Beim Aufruf von freshbooking.ch werden technische Zugriffsdaten erfasst (IP-Adresse, Browser, Betriebssystem, Referrer, Zugriffszeit). Diese werden durch unseren Hosting-Anbieter Vercel als Server-Logs gespeichert (max. 30 Tage) und dienen ausschliesslich dem sicheren Betrieb der Plattform. Rechtsgrundlage: berechtigtes Interesse (DSG Art. 6 Abs. 2 lit. d / DSGVO Art. 6 Abs. 1 lit. f).
2.4 Social Login (Google & Facebook OAuth)
Endkunden können sich wahlweise mit ihrem Google-Konto oder ihrem Facebook-Konto anmelden. Dabei wird eine Verbindung zum jeweiligen Anbieter hergestellt:
- Google-Login: Google LLC (USA) übermittelt uns Ihren Namen und Ihre E-Mail-Adresse. Wir erhalten keinen Zugriff auf Ihr Google-Passwort.
- Facebook-Login: Meta Platforms Ireland Ltd. (Irland) bzw. Meta Platforms Inc. (USA) übermittelt uns Ihren Namen und Ihre E-Mail-Adresse. Wir erhalten keinen Zugriff auf Ihr Facebook-Passwort und rufen keine weiteren Profildaten ab.
In beiden Fällen ist Ihre ausdrückliche Einwilligung Rechtsgrundlage (DSG Art. 6 Abs. 2 lit. a / DSGVO Art. 6 Abs. 1 lit. a). Sie können die Verknüpfung jederzeit in Ihren Google- bzw. Facebook-Kontoeinstellungen widerrufen.
2.5 Zugang via FreshNow / FreshNew
Der Zugang zu FreshBooking kann über die Partnerplattformen FreshNow oder FreshNew (Websites-Erstelldienste) gewährt werden. In diesem Fall verarbeiten wir zusätzlich Informationen über den Status des jeweiligen Partner-Vertrags (aktiv / beendet), um die in den AGB für Unternehmen (Abschnitt 3) beschriebene Zugangskopplung technisch umzusetzen. Rechtsgrundlage: berechtigtes Interesse (DSG Art. 6 Abs. 2 lit. d / DSGVO Art. 6 Abs. 1 lit. f).
2.6 Plattform-Administratorzugang (Super Admin Portal)
Gemäss dem Transparenzprinzip (DSG Art. 19 / DSGVO Art. 13–14) weisen wir ausdrücklich darauf hin, dass autorisierte Mitarbeitende der Schülé Beratung GmbH («FreshBooking- Administratoren») über ein internes Super-Admin-Portal Zugriff auf alle Daten sämtlicher Nutzerkonten haben. Dieser Zugriff betrifft:
- Terminkalender, Buchungshistorie und Kundendaten aller auf der Plattform registrierten Unternehmen (Tenants)
- Kundendaten der Endkunden (Name, E-Mail, Telefon), die über FreshBooking Termine gebucht haben
- Zahlungs- und Transaktionsdaten sowie Konto- und Konfigurationseinstellungen
Der Zugriff erfolgt ausschliesslich zu folgenden Zwecken: technischer Support, Sicherheitsüberwachung, Betrugsprävention, Datenbankwartung und Compliance-Prüfung. FreshBooking-Administratoren unterliegen einer strikten Vertraulichkeitspflicht; Zugriffe werden protokolliert.
Rechtsgrundlage: berechtigtes Interesse (DSG Art. 6 Abs. 2 lit. d / DSGVO Art. 6 Abs. 1 lit. f) — nämlich der sichere und ordnungsgemässe Betrieb der Plattform sowie die Verhinderung von Missbrauch.
3. Auftragsverarbeiter und Drittdienstleister
Wir setzen folgende Dienstleister ein, mit denen Auftragsverarbeitungsverträge (AVV) bestehen:
| Anbieter | Zweck | Sitz / Server | Schutzgarantie |
|---|---|---|---|
| Supabase Inc. | Datenbankhosting, Authentifizierung, Datenspeicherung | USA (Daten in EU/Frankfurt via AWS) | Standardvertragsklauseln (SCCs), Supabase DPA |
| Stripe Inc. | Zahlungsabwicklung, Stripe Connect (Tenant-Auszahlungen) | USA | EU-US Data Privacy Framework (DPF), Stripe DPA |
| Resend Inc. | Transaktionaler E-Mail-Versand (Buchungsbestätigungen, OTP-Codes) | USA | Standardvertragsklauseln (SCCs), Resend DPA |
| Gtx GmbH (seven.io) | SMS-Versand (Terminbestätigungen, Erinnerungen) | Deutschland (EU) | EU-Datenschutzstandard, DSGVO-konform |
| Google LLC | OAuth-Authentifizierung, Google Fonts (Schriftarten) | USA | EU-US Data Privacy Framework (DPF) |
| Meta Platforms Ireland Ltd. / Meta Platforms Inc. | OAuth-Authentifizierung (Facebook-Login) | Irland (EU) / USA | EU-US Data Privacy Framework (DPF), Meta DPA |
| Vercel Inc. | Webhosting, Content Delivery Network, Subdomain-Verwaltung | USA (Edge-Knoten weltweit) | Standardvertragsklauseln (SCCs), Vercel DPA |
Kein Anbieter darf Ihre Daten zu eigenen Zwecken ausserhalb unserer Beauftragung nutzen.
4. Datenübermittlung in Drittstaaten
Supabase, Stripe, Resend, Google, Meta und Vercel haben ihren Hauptsitz in den USA. Datenübermittlungen in die USA erfolgen auf der Grundlage des EU-US Data Privacy Framework (DPF, soweit der Anbieter zertifiziert ist) oder auf Basis von EU-Standardvertragsklauseln (SCCs) gemäss DSGVO Art. 46 Abs. 2 lit. c. Diese Garantien sind von der EU-Kommission als angemessenes Schutzniveau anerkannt. Seven.io verarbeitet Daten ausschliesslich innerhalb der EU.
5. Cookies und lokaler Speicher
5.1 Technisch notwendige Cookies
FreshBooking setzt ausschliesslich funktionale Session-Cookies ein, die für die Authentifizierung und den sicheren Betrieb der Plattform erforderlich sind. Diese Cookies erfordern keine Einwilligung (DSG Art. 45c FMG). Sie werden beim Abmelden oder Schliessen des Browsers gelöscht.
| Name / Schlüssel | Typ | Zweck | Lebensdauer |
|---|---|---|---|
sb-*-auth-token | Cookie (Session) | Authentifizierungs-Session (Supabase Auth) | Session / 7 Tage |
fb_last_email | localStorage | Letzte verwendete E-Mail (Komfort-Feature im Login-Formular) | Bis manuelle Löschung |
fb_cookie_consent | localStorage | Speichert Ihre Cookie-Einwilligung | 1 Jahr |
5.2 Analyse-Cookies (geplant)
Wir planen den Einsatz von Analyse-Werkzeugen (z.B. Plausible Analytics oder ähnliches), um die Nutzung unserer Website zu verstehen und zu verbessern. Diese Cookies werden erst dann gesetzt, wenn Sie über den Cookie-Banner ausdrücklich einwilligen. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Einstellungen im Cookie-Banner zurücksetzen.
6. Speicherdauer
- Buchungs- und Zahlungsdaten: 10 Jahre ab Buchungsdatum (gesetzliche Aufbewahrungspflicht gemäss Art. 958f OR)
- Kundenprofil: Bis zu einer Löschungsanfrage, spätestens jedoch 3 Jahre nach der letzten Buchungsaktivität
- E-Mail-Verläufe: 6 Monate (Transaktionsnachweise)
- Server-Logs: 30 Tage (Vercel-Standard)
- Stripe-Zahlungsdaten: Gemäss den Aufbewahrungsfristen von Stripe Inc. (in der Regel 7 Jahre für Finanztransaktionen)
7. Ihre Rechte als betroffene Person
Gemäss Schweizer DSG (Art. 25–27) sowie — soweit anwendbar — der EU-DSGVO (Art. 15–22) stehen Ihnen folgende Rechte zu:
- Auskunftsrecht: Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
- Recht auf Berichtigung: Sie können unrichtige oder unvollständige Daten berichtigen lassen.
- Recht auf Löschung («Vergessenwerden»): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
- Recht auf Einschränkung der Bearbeitung: Sie können in bestimmten Situationen verlangen, dass die Bearbeitung Ihrer Daten eingeschränkt wird.
- Recht auf Datenherausgabe (Portabilität): Sie können die Herausgabe Ihrer Daten in einem gängigen, maschinenlesbaren Format verlangen.
- Widerspruchsrecht: Sie können der Datenbearbeitung widersprechen, soweit diese auf einem berechtigten Interesse beruht.
Zur Ausübung Ihrer Rechte wenden Sie sich an: lschule@gmail.com. Wir antworten innerhalb von 30 Tagen.
Sie haben ausserdem das Recht, bei der schweizerischen Aufsichtsbehörde eine Beschwerde einzureichen: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern, edoeb.admin.ch. Für Personen mit Wohnsitz in der EU ist die zuständige Aufsichtsbehörde jene am gewöhnlichen Aufenthaltsort.
8. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz Ihrer Daten:
- Alle Datenübertragungen sind TLS-verschlüsselt (HTTPS).
- In der Datenbank (Supabase/PostgreSQL) ist Row-Level Security (RLS) aktiviert — jeder Nutzer sieht ausschliesslich die Daten, auf die er berechtigt ist.
- Mandantentrennung: Jeder Tenant kann nur auf seine eigenen Kunden- und Termindaten zugreifen.
- Zahlungsdaten werden nie auf unseren Servern gespeichert — die Verarbeitung erfolgt vollständig über Stripe Inc.
- Zugänge sind passwortgeschützt und über OTP/OAuth zusätzlich gesichert.
9. Auftragsverarbeitung durch FreshBooking für Tenants
Unternehmen, die FreshBooking als Buchungsplattform nutzen, übertragen der Schülé Beratung GmbH die Verarbeitung von Personendaten ihrer Kunden (Name, E-Mail, Telefon, Terminhistorie). In diesem Verhältnis handelt das Unternehmen als Verantwortlicher, die Schülé Beratung GmbH als Auftragsverarbeiterin gemäss DSG Art. 9 / DSGVO Art. 28.
Ein Auftragsverarbeitungsvertrag (AVV) wird auf Anfrage bereitgestellt. Kontakt: lschule@gmail.com.
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen, etwa bei gesetzlichen Änderungen oder neuen Diensten. Die aktuell gültige Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.
Schülé Beratung GmbH · Rebhalde 16 · 8903 Birmensdorf · lschule@gmail.com