Datenschutzerklärung

Stand: März 2026 | Version 1.0

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Unicorn Factory Media GmbH
Geschäftsführer: Daniel Haenle, Florian Konrad
In der Kolling 146
66450 Bexbach, Deutschland
E-Mail: hey@bookicorn.net
USt-ID: DE340084710
Handelsregister: HRB 107099, Amtsgericht Saarbrücken

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Websites www.bookicorn.net (Kunden-Marktplatz, Studio-Suche, SEO-Seiten) und app.bookicorn.net (Studio-Admin, Trainer-Dashboard, Kundendashboard, Buchungssystem). Beide Plattformen werden von der Unicorn Factory Media GmbH betrieben.

3. Überblick der Verarbeitungen

Im Rahmen unserer Dienste verarbeiten wir folgende Arten personenbezogener Daten:

  • Bestandsdaten - Name, Adresse, Geburtsdatum
  • Kontaktdaten - E-Mail-Adresse, Telefonnummer
  • Inhaltsdaten - Profilbilder, Nachrichten, Bewertungen
  • Nutzungsdaten - Aufgerufene Seiten, Zugriffszeiten, IP-Adressen
  • Vertragsdaten - Buchungshistorie, Mitgliedschaften, Kursanmeldungen
  • Zahlungsdaten - Zahlungshistorie, Guthabenstände, Auszahlungsinformationen
  • Kommunikationsdaten - Chat-Nachrichten, E-Mail-Korrespondenz

4. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der folgenden Rechtsgrundlagen der DSGVO:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) - Die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten gegeben, z. B. für optionale Cookies oder den Newsletter.
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) - Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, z. B. Registrierung, Kursbuchung, Zahlungsabwicklung.
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung) - Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, z. B. steuerrechtliche Aufbewahrungspflichten.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen) - Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich, z. B. Sicherheit der Plattform, Betrugsprävention, Analyse zur Verbesserung des Angebots.

5. Registrierung und Nutzerkonto

Zur Nutzung bestimmter Funktionen unserer Plattform ist eine Registrierung erforderlich. Die Authentifizierung erfolgt über Supabase Auth (Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992).

Dabei werden folgende Daten verarbeitet:

  • E-Mail-Adresse
  • Name (Vor- und Nachname)
  • Passwort (verschlüsselt gespeichert, kein Klartextzugriff)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Löschung: Nach Kontolöschung werden die Daten spätestens innerhalb von 30 Tagen vollständig gelöscht.

6. Studio-Verwaltung (Admin-Bereich)

Studio-Betreiber nutzen den Admin-Bereich auf app.bookicorn.net zur Verwaltung ihres Studios. Dabei werden folgende Daten verarbeitet:

  • Studioname und Beschreibung
  • Adresse und Standorte
  • Kontaktdaten (E-Mail, Telefon, Website)
  • Bankverbindung (für Auszahlungen über Stripe Connect)
  • Kursangebote, Preise und Zeitpläne
  • Trainerprofile und Zuweisungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung zur Bereitstellung der Plattformdienste).

7. Trainer-Dashboard

Trainer erhalten über app.bookicorn.net Zugang zu einem eigenen Dashboard, in dem sie ihre zugewiesenen Kurse, Teilnehmerlisten und Auszahlungen einsehen können. Dabei werden folgende Daten verarbeitet:

  • Name und Kontaktdaten
  • Qualifikationen und Profilbild
  • Honorare und Auszahlungshistorie
  • Zugewiesene Kurse und Teilnehmerlisten

Für automatische Auszahlungen wird Stripe Connect verwendet. Trainer durchlaufen ein Onboarding bei Stripe, wobei Stripe die Zahlungsdaten direkt verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Kundendashboard

Registrierte Teilnehmer können über app.bookicorn.net ihre Buchungen, ihr Guthaben und ihr Profil verwalten. Dabei werden folgende Daten verarbeitet:

  • Name und E-Mail-Adresse
  • Profilbild und persönliche Einstellungen
  • Buchungshistorie (gebuchte Kurse, Termine, Stornierungen)
  • Guthabenstand (Credits)
  • Zahlungshistorie

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. Kursbuchungen und Zahlungsabwicklung

Bei der Buchung von Kursen werden folgende Daten verarbeitet:

  • Name und E-Mail-Adresse des Teilnehmers
  • Gebuchte Kurse, Termine und Buchungsstatus
  • Buchungshistorie und Stornierungen

Die Zahlungsabwicklung erfolgt über Stripe (Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, USA). Zahlungsdaten (Kreditkartennummer, Bankverbindung) werden direkt bei Stripe verarbeitet und nie auf unseren Servern gespeichert.

Stripe ist unter dem EU-US Data Privacy Framework zertifiziert und gewährleistet damit ein angemessenes Datenschutzniveau. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10. Guthaben-System (Credits)

Teilnehmer können über unsere Plattform Guthaben-Pakete (Credits) erwerben, die zur Buchung von Kursen verwendet werden. Der Kauf erfolgt über Stripe Checkout.

Dabei werden folgende Daten verarbeitet:

  • Guthabenstand des Nutzerkontos
  • Transaktionshistorie (Käufe, Einlösungen)
  • Zahlungsinformationen (verarbeitet durch Stripe)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

11. Chat-Funktion

Unsere Plattform bietet eine Chat-Funktion, über die Teilnehmer mit Studios und Trainern kommunizieren können. Dabei werden folgende Daten verarbeitet:

  • Nachrichteninhalte (Text)
  • Zeitstempel der Nachrichten
  • Absender- und Empfängerinformationen

Speicherdauer: Nachrichten werden für die Dauer der Mitgliedschaft gespeichert. Nach Kontolöschung werden alle Chat-Nachrichten gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

12. E-Mail-Kommunikation

Der Versand von E-Mails erfolgt über den SMTP-Dienst von ALL-INKL.COM (Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland).

Folgende E-Mails werden versendet:

  • Registrierungsbestätigung und E-Mail-Verifizierung
  • Buchungsbestätigungen und Stornierungen
  • Kurserinnerungen
  • Zahlungsbestätigungen und Rechnungen
  • Account-Benachrichtigungen (Passwort zurücksetzen, etc.)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an der Bereitstellung relevanter Informationen).

13. Cookies und ähnliche Technologien

Unsere Websites verwenden Cookies und ähnliche Technologien. Wir unterscheiden zwischen:

  • Technisch notwendige Cookies - Diese sind für den Betrieb der Website erforderlich (z. B. Session-Cookies, Authentifizierungs-Cookies). Sie werden ohne Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • Optionale Cookies - Cookies für Analyse- oder Marketingzwecke werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Beim ersten Besuch unserer Website wird Ihnen ein Cookie-Banner angezeigt, über das Sie Ihre Einwilligung erteilen oder verweigern können. Sie können Ihre Einstellungen jederzeit über die Cookie-Einstellungen ändern.

14. Hosting

Unsere Websites werden bei Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet.

Dabei werden automatisch folgende Daten verarbeitet:

  • IP-Adresse des zugreifenden Geräts
  • Zugriffsdaten (Datum, Uhrzeit, aufgerufene Seite)
  • Übertragene Datenmenge

Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: https://vercel.com/legal/privacy-policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an einer sicheren und effizienten Bereitstellung unserer Website).

15. Server-Log-Dateien

Bei jedem Zugriff auf unsere Websites werden automatisch folgende Daten in Server-Log-Dateien erhoben:

  • Browsertyp und -version
  • Verwendetes Betriebssystem
  • Referrer URL (zuvor besuchte Seite)
  • IP-Adresse des zugreifenden Rechners
  • Uhrzeit der Serveranfrage

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Die Löschung erfolgt automatisch nach 30 Tagen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an der Sicherstellung eines störungsfreien Betriebs).

16. Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Zusätzlich werden beim Absenden des Kontaktformulars technische Herkunftsinformationen übermittelt (Einstiegsseite, verweisende Website, ggf. Kampagnenparameter). Diese Daten werden ausschließlich zur Verbesserung unseres Angebots verwendet und nur für die Dauer der Sitzung im Browser gespeichert (Session Storage). Es werden keine Cookies gesetzt und keine Daten an Dritte weitergegeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Bearbeitung von Anfragen).

17. Drittanbieter und Auftragsverarbeiter

Zur Erbringung unserer Dienste setzen wir folgende Drittanbieter ein:

  • Supabase Inc. (Singapore) - Datenbank und Authentifizierung. Die Daten werden auf AWS-Servern in der EU (Frankfurt) gespeichert.
  • Vercel Inc. (USA) - Hosting und Content Delivery Network (CDN). Zertifiziert unter dem EU-US Data Privacy Framework.
  • Stripe Inc. (USA) - Zahlungsabwicklung und Auszahlungen. Zertifiziert unter dem EU-US Data Privacy Framework.
  • ALL-INKL.COM - Neue Medien Münnich (Deutschland) - E-Mail-Versand über SMTP. Datenverarbeitung ausschließlich in Deutschland.
  • Amazon Web Services EMEA SARL (EU) - Cloud-Infrastruktur (über Supabase). Rechenzentrum in Frankfurt (eu-central-1).

Mit allen Auftragsverarbeitern haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen. Alle US-amerikanischen Anbieter sind unter dem EU-US Data Privacy Framework zertifiziert oder es bestehen Standardvertragsklauseln (Standard Contractual Clauses, SCCs).

18. Kalender-Synchronisation (Google und Apple)

Mit dem Addon „Kalender-Sync" können Studio-Inhaber und Trainer ihre Bookicorn-Kurstermine in den eigenen Google- oder Apple-iCloud-Kalender exportieren. Die Verbindung erfolgt für Google über OAuth 2.0 mit dem Scope https://www.googleapis.com/auth/calendar.app.created. Dieser Scope erlaubt ausschließlich Lese- und Schreibzugriff auf Kalender, die Bookicorn selbst angelegt hat. Andere private Kalender bleiben für Bookicorn unsichtbar.

Folgende Daten werden im verbundenen externen Kalender als Ereignis abgelegt: Kursname, Datum, Uhrzeit, Veranstaltungsort, Trainername, Kategorie sowie die Anzahl und Namen der eingebuchten Teilnehmer. Diese Daten stammen ausschließlich aus dem Bookicorn-Backend.

Folgende Daten werden serverseitig bei Bookicorn gespeichert: die E-Mail-Adresse des verbundenen Google- oder Apple-Kontos, die Bezeichnung und URL des angelegten Kalenders sowie verschlüsselte Zugriffstoken (AES-256-GCM). OAuth-Refresh-Token werden nur in verschlüsselter Form abgelegt und ausschließlich verwendet, um neue Zugriffstoken zu erzeugen. Bei Apple iCloud wird ein vom Nutzer erstelltes app-spezifisches Passwort verschlüsselt gespeichert.

Bookicorn liest keine Inhalte fremder Kalender, fragt keine Kontakte ab, sendet keine Daten an Dritte und verwendet die Calendar-Daten ausschließlich für die ein- und ausgehende Synchronisation der Kurstermine. Beim Trennen der Verbindung („Disconnect") werden die Token sofort gelöscht. Der angelegte Bookicorn-Kalender bleibt im externen Konto bestehen und kann dort manuell entfernt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung Addon-Vertrag) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Nutzers durch aktiven OAuth-Connect-Flow).

Datenempfänger: Google LLC (USA, zertifiziert unter EU-US Data Privacy Framework) bei Google-Verbindung, Apple Inc. (USA, zertifiziert unter EU-US Data Privacy Framework) bei iCloud-Verbindung.

Diese App nutzt und überträgt von Google APIs erhaltene Informationen in Übereinstimmung mit der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen.

19. Datenweitergabe an Studios

Bei einer Kursbuchung werden folgende Daten an das jeweilige Studio weitergegeben:

  • Name des Teilnehmers
  • E-Mail-Adresse
  • Buchungsdetails (Kurs, Termin, Status)

Die Weitergabe erfolgt zur Durchführung des Buchungsvertrags. Studios sind für die Verarbeitung der an sie weitergegebenen Daten eigenverantwortlich. Zwischen Bookicorn und den Studios besteht ein Auftragsverarbeitungsvertrag (AVV).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

20. Betroffenenrechte

Ihnen stehen folgende Rechte bezüglich Ihrer personenbezogenen Daten zu:

  • Art. 15 DSGVO - Auskunftsrecht: Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten.
  • Art. 16 DSGVO - Recht auf Berichtigung: Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung Ihrer Daten zu verlangen.
  • Art. 17 DSGVO - Recht auf Löschung: Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Art. 18 DSGVO - Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
  • Art. 20 DSGVO - Recht auf Datenübertragbarkeit: Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Art. 21 DSGVO - Widerspruchsrecht: Sie haben das Recht, der Verarbeitung Ihrer Daten jederzeit zu widersprechen, sofern die Verarbeitung auf berechtigten Interessen beruht.
  • Art. 7 Abs. 3 DSGVO - Recht auf Widerruf der Einwilligung: Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird davon nicht berührt.

Zur Ausübung Ihrer Rechte können Sie uns jederzeit kontaktieren: hey@bookicorn.net

21. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben.

  • Handels- und steuerrechtliche Aufbewahrungsfristen: bis zu 10 Jahre (§ 257 HGB, § 147 AO)
  • Buchungsdaten: für die Dauer der Geschäftsbeziehung, danach gemäß gesetzlicher Aufbewahrungsfristen
  • Nutzerkonten: Löschung innerhalb von 30 Tagen nach Kontolöschung
  • Server-Logs: Löschung nach 30 Tagen

22. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Die für uns zuständige Aufsichtsbehörde ist:

Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12
66111 Saarbrücken
Deutschland

23. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Die aktuelle Version ist stets auf dieser Seite verfügbar.