🔒 Datenschutzerklärung
und Cookie-Richtlinie
ℹ️ Hinweis: Diese deutsche Fassung ist eine unverbindliche Übersetzung zu Informationszwecken. Rechtlich maßgeblich ist ausschließlich die polnische Originalfassung, die dem polnischen Recht und der DSGVO unterliegt. Der in polnischen Vorschriften verwendete Begriff „RODO" entspricht der europäischen Datenschutz-Grundverordnung (DSGVO).
I Allgemeine Bestimmungen
- Diese Datenschutzerklärung der Anwendung GabinetOnline (nachfolgend: „Anwendung" oder „Plattform") hat informativen Charakter und legt die Grundsätze der Verarbeitung personenbezogener Daten durch den Verantwortlichen fest.
- Verantwortlicher für die im Zusammenhang mit der Nutzung der Website der Anwendung verarbeiteten personenbezogenen Daten ist Rybczak i Wspólnicy Sp. z o.o. mit Sitz in Jankowice (44-264), ul. Przyjemna 4, eingetragen im Unternehmerregister des Landesgerichtsregisters, geführt vom Amtsgericht in Gliwice, X. Wirtschaftsabteilung, unter der Nummer KRS 0000361541, NIP 642-318-72-10, Regon 243640719, Stammkapital: 17 500,00 PLN, E-Mail-Adresse: biuro@gabinetonline.com.pl, nachfolgend „Verantwortlicher".
- GabinetOnline ist eine SaaS-Plattform (Software as a Service) für Friseur-, Kosmetik- und Beauty-Salons (nachfolgend: „Plattformkunden"). Hinsichtlich der personenbezogenen Daten der Endkunden der Salons fungiert der Verantwortliche als Auftragsverarbeiter – Einzelheiten in Abschnitt IV.
- Die personenbezogenen Daten werden gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO), dem polnischen Gesetz über den Schutz personenbezogener Daten vom 10. Mai 2018 sowie anderen geltenden Rechtsvorschriften verarbeitet.
- Der Verantwortliche verarbeitet die Daten nach den Grundsätzen der Datenminimierung, der Zweckbindung, der Speicherbegrenzung, der Integrität und der Vertraulichkeit.
- In Angelegenheiten des Datenschutzes kann unter folgender Adresse Kontakt aufgenommen werden: biuro@gabinetonline.com.pl.
II Status des Besuchers und Art der Daten
- Besucher ist jede Person, die die Websites der Anwendung unter der Adresse gabinetonline.com.pl aufruft.
- Beim Aufrufen der Websites der Anwendung werden automatisch Daten des Besuchers erhoben, insbesondere: IP-Adresse, Domainname, Browsertyp, Typ des Betriebssystems. Diese Daten können durch Cookies erhoben werden.
- Der Verantwortliche verarbeitet anonymisierte Nutzungsdaten zu statistischen und administrativen Zwecken. Diese Daten haben aggregierten und anonymen Charakter, d. h. sie enthalten keine die Person identifizierenden Merkmale.
- Nutzer ist eine Person, die ein Konto in der Anwendung besitzt (Inhaber oder Mitarbeiter/in des Salons). Die im Rahmen des Kontos verarbeiteten Daten umfassen: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Firmenname, Abrechnungsdaten.
III Zweck und Rechtsgrundlagen der Verarbeitung
Der Verantwortliche verarbeitet die personenbezogenen Daten der Besucher und Nutzer zu folgenden Zwecken:
- Abschluss und Erfüllung des Vertrags über die Erbringung von Leistungen, einschließlich der Ermöglichung der Nutzung der Plattform (Art. 6 Abs. 1 lit. b DSGVO).
- Verwaltung des Nutzerkontos sowie Kontakt in Angelegenheiten der Leistung (Art. 6 Abs. 1 lit. b DSGVO).
- Ausstellung von Rechnungen und Abrechnungen (Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung).
- Archivierung und Sicherung von Informationen für den Fall eines rechtlichen Bedarfs zum Nachweis von Tatsachen (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse).
- Feststellung, Geltendmachung oder Abwehr von Ansprüchen (Art. 6 Abs. 1 lit. f DSGVO).
- Untersuchung der Kundenzufriedenheit und Verbesserung der Servicequalität (Art. 6 Abs. 1 lit. f DSGVO).
- Übersendung von Werbe- und Marketinginformationen – ausschließlich mit gesonderter Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
IV GabinetOnline als Auftragsverarbeiter der Salondaten
- Hinsichtlich der personenbezogenen Daten der Endkunden der Salons (Personen, die für Termine eingetragen und in der Kundendatenbank des Salons gespeichert sind) fungiert GabinetOnline als Auftragsverarbeiter (Prozessor) im Sinne von Art. 28 DSGVO. Verantwortlicher für diese Daten bleibt der Salon (Plattformkunde).
- Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Plattformkunden zum Zweck der Erbringung der Funktionalitäten der Anwendung (Verwaltung von Kalender, Kunden, Leistungen, SMS-/E-Mail-Kommunikation, Berichten).
- Grundlage der Verarbeitung ist der Vertrag über die Auftragsverarbeitung personenbezogener Daten, der zwischen GabinetOnline und jedem Plattformkunden geschlossen wird. Der Vertrag regelt u. a. Umfang, Zweck und Dauer der Datenverarbeitung sowie die Verpflichtungen im Bereich der Sicherheit.
- GabinetOnline verarbeitet die Daten der Salonkunden nicht für eigene Marketingzwecke und gibt sie außerhalb der in dieser Erklärung genannten Fälle nicht an Dritte weiter.
- Der Salon ist als Verantwortlicher verpflichtet, über eine angemessene Rechtsgrundlage für die Verarbeitung der Daten seiner Kunden zu verfügen sowie die Informationspflicht nach Art. 13–14 DSGVO ihnen gegenüber zu erfüllen.
V KI-Assistent – Datenverarbeitung
Die Anwendung enthält einen integrierten KI-Assistenten auf Basis eines externen Sprachmodells (LLM). Der folgende Abschnitt erklärt, wie die Daten im Rahmen dieser Funktion verarbeitet werden.
- Was an das KI-Modell gesendet wird: Vom Nutzer im Chatfenster des KI-Assistenten eingegebene Inhalte können personenbezogene Daten enthalten (z. B. Namen von Kunden, Telefonnummern, Informationen über Termine). Diese Daten werden an den externen Anbieter des Sprachmodells ausschließlich zum Zweck der Generierung der Antwort des Assistenten übermittelt.
- Anbieter des KI-Modells: Die Anwendung nutzt die API der Firma Anthropic PBC (Claude) sowie OpenAI (GPT). Die Daten werden von diesen Anbietern als Unterauftragsverarbeiter auf Grundlage abgeschlossener Verträge (DPA) verarbeitet. Einzelheiten in Abschnitt VIII und IX.
- Datenminimierung: An das KI-Modell werden ausschließlich die zur Beantwortung erforderlichen Informationen übermittelt. Das System sendet keine Passwörter, Zahlungsdaten oder besonderen Kategorien von Daten (Art. 9 DSGVO).
- Gesprächshistorie: Die Inhalte der Gespräche mit dem KI-Assistenten werden in der Datenbank der Plattform auf einem Server in Polen gespeichert und können von einem internen Überwachungssystem (KI-Supervisor) zur Verbesserung der Antwortqualität des Assistenten analysiert werden. Zugriff auf die Historie haben ausschließlich berechtigte Mitarbeitende des Verantwortlichen.
- Rechtsgrundlage: Die Verarbeitung der Daten im Rahmen des KI-Assistenten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes).
- Wie deaktivieren: Die Nutzung des KI-Assistenten ist freiwillig. Der Nutzer kann das Chatfenster des Assistenten nicht verwenden – dies hat keinen Einfluss auf den Zugang zu den übrigen Funktionen der Anwendung.
VI Integration mit Google Calendar
Die Anwendung bietet eine optionale Integration mit dem Dienst Google Calendar, die die Synchronisierung von Terminen in den privaten Google-Kalender der/des Salonmitarbeitenden ermöglicht. Die Integration ist freiwillig und wird ausschließlich nach der bewussten Verknüpfung des Google-Kontos durch die betreffende Person aktiviert.
- Welche Daten übermittelt werden: Nach der Verknüpfung des Kalenders werden zur Synchronisierung des Arbeitsplans Informationen über die von der betreffenden Person betreuten Termine an Google Calendar übermittelt: Datum, Startzeit und Dauer des Termins sowie Name der Leistung. Optional – ausschließlich, wenn der Saloninhaber diese Option in den Einstellungen aktiviert hat (standardmäßig deaktiviert) – wird auch der Vor- und Nachname des Kunden übermittelt.
- Was nicht übermittelt wird: An Google werden keine Telefonnummern, E-Mail-Adressen, Zahlungsdaten oder andere Kundendaten außer den oben genannten übermittelt.
- Zugriffsumfang: Die Anwendung nutzt die Google-Berechtigung
calendar.events, die ausschließlich das Erstellen, Aktualisieren und Löschen von Ereignissen erlaubt, die den Terminen im Kalender des verknüpften Nutzers entsprechen. Die Anwendung liest keine anderen Ereignisse aus dem Kalender des Nutzers und verwaltet keine Kalenderlisten.
- Rechtsgrundlage: Die Verarbeitung im Rahmen der Integration erfolgt auf Grundlage der Einwilligung der/des Mitarbeitenden (Art. 6 Abs. 1 lit. a DSGVO), die bei der Verknüpfung des Kalenders erteilt wird, sowie zum Zweck der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
- Übermittlung außerhalb des EWR: Verantwortlicher für den Dienst Google Calendar ist Google Ireland Ltd., und die Daten können auch von Google LLC auf Servern in den Vereinigten Staaten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden – Einzelheiten in Abschnitt IX und X.
- Einwilligung und ihr Widerruf: Die Verknüpfung des Kalenders erfordert die bewusste Einwilligung der/des Mitarbeitenden, die zusammen mit Datum und IP-Adresse gespeichert wird. Der Nutzer kann den Kalender jederzeit in den Einstellungen seines Profils trennen – ab diesem Zeitpunkt werden keine neuen Termine mehr an Google übermittelt. Zuvor erstellte Ereignisse bleiben im Google-Kalender des Nutzers und können von ihm manuell gelöscht werden.
- Konformität mit den Google-Richtlinien: Die Verwendung der über die Google-API-Schnittstellen erhaltenen Informationen erfolgt gemäß der Google API Services User Data Policy, einschließlich der Anforderungen des Limited Use. Die aus Google Calendar erhaltenen Daten werden ausschließlich zum Zweck der Erbringung der beschriebenen Funktion der Terminsynchronisierung verwendet und nicht für andere Zwecke.
- Wie deaktivieren: Die Nutzung der Integration ist freiwillig. Die/der Mitarbeitende kann den Kalender überhaupt nicht verknüpfen – dies hat keinen Einfluss auf den Zugang zu den übrigen Funktionen der Anwendung.
VII Freiwilligkeit der Datenangabe
- Die Angabe der Daten ist freiwillig, kann jedoch für den Abschluss des Vertrags und die Nutzung der Plattform erforderlich sein (z. B. die E-Mail-Adresse zur Erstellung eines Kontos).
- Das Fehlen der zur Registrierung erforderlichen Daten macht die Nutzung der Anwendung unmöglich.
- Die Angabe von Daten zum Erhalt von Werbeinformationen ist völlig freiwillig und kann jederzeit widerrufen werden.
VIII Weitergabe personenbezogener Daten
- Der Verantwortliche kann personenbezogene Daten an folgende Kategorien von Stellen weitergeben:
- Anbieter von IT-Infrastruktur (Hosting, Server) mit Standort in Polen oder im EWR,
- Anbieter von Zahlungsdiensten und SMS-Betreiber – im zur Erbringung dieser Leistungen erforderlichen Umfang,
- Stellen, die rechtliche, buchhalterische und steuerliche Dienstleistungen erbringen,
- Anbieter von KI-Modellen (Anthropic, OpenAI) – ausschließlich hinsichtlich der Inhalte der Gespräche mit dem KI-Assistenten, auf Grundlage abgeschlossener DPA.
- Die Daten werden nicht verkauft oder ohne Einwilligung der betroffenen Person zu Marketingzwecken an Dritte weitergegeben.
IX Unterauftragsverarbeiter und Dritte
GabinetOnline nutzt die Dienste folgender Unterauftragsverarbeiter, denen personenbezogene Daten anvertraut werden können:
| Stelle |
Rolle / Dienst |
Sitz |
Sicherung des Transfers |
Hosting (Anwendungsserver) OVH Sp. z o.o. |
Serverinfrastruktur, Datenbank |
Polen / EWR |
Kein Transfer außerhalb des EWR |
| Anthropic PBC |
Sprachmodell Claude (KI-Assistent) |
USA |
DPA + Standardvertragsklauseln (SCCs) |
| OpenAI LLC |
Modell GPT (KI-Assistent – Hilfsanfragen) |
USA |
DPA + Standardvertragsklauseln (SCCs) |
| Google Ireland Ltd. / Google LLC |
Google Calendar – Synchronisierung der Termine in den Kalender der/des Mitarbeitenden (optional, nach Verknüpfung des Kontos) |
Irland / USA |
EU-U.S. Data Privacy Framework |
| SMS-Betreiber - JustSend |
Versand von SMS-Nachrichten an Salonkunden |
Polen |
Kein Transfer außerhalb des EWR |
Der Verantwortliche verpflichtet die Unterauftragsverarbeiter, die Daten ausschließlich gemäß den Weisungen und für die Zwecke der Erbringung der jeweiligen Leistung unter Wahrung angemessener Sicherheitsmaßnahmen zu verarbeiten.
X Datenübermittlung außerhalb des Europäischen Wirtschaftsraums
- Im Zusammenhang mit der Nutzung der Dienste von Anthropic PBC und OpenAI LLC können die Inhalte der Gespräche mit dem KI-Assistenten in die Vereinigten Staaten übermittelt werden.
- Die Übermittlung der Daten in die USA erfolgt auf Grundlage der von der Europäischen Kommission angenommenen Standardvertragsklauseln (SCCs), die eine geeignete Garantie im Sinne von Art. 46 DSGVO darstellen.
- Die mit Anthropic und OpenAI abgeschlossenen DPA-Verträge (Data Processing Addendum) regeln Umfang, Zweck und Bedingungen der Datenverarbeitung und verpflichten die Anbieter, die Daten nach Beendigung des Vertrags zu löschen.
- Bei Nutzung der optionalen Integration mit Google Calendar (Abschnitt VI) können die Termindaten an Google LLC in den Vereinigten Staaten übermittelt werden. Grundlage des Transfers ist die Teilnahme von Google LLC am EU-U.S. Data Privacy Framework, das von der Europäischen Kommission als ein angemessenes Datenschutzniveau im Sinne von Art. 45 DSGVO gewährleistend anerkannt wurde.
- Der Nutzer hat das Recht, eine Kopie der angewandten Sicherungsmaßnahmen zu erhalten – dazu bitten wir um Kontakt unter biuro@gabinetonline.com.pl.
XI Aufbewahrungsdauer der Daten
| Datenkategorie |
Aufbewahrungsdauer |
| Daten des Nutzerkontos (Inhaber/Mitarbeiter des Salons) |
Für die Dauer des Vertrags + 3 Jahre nach dessen Beendigung (Ansprüche) |
| Abrechnungsdaten und Rechnungen |
5 Jahre ab Ende des Steuerjahres (rechtliche Verpflichtung) |
| Daten der Salonkunden (Kundendatenbank) |
Bis zur Löschung durch den Salon oder Beendigung des Vertrags mit dem Salon |
| Gesprächshistorie mit dem KI-Assistenten |
12 Monate ab dem Gesprächsdatum, danach automatische Löschung |
| Daten der Google-Calendar-Verknüpfung (Zugriffstoken, Status, Einwilligung) |
Bis zur Trennung des Kalenders durch die/den Mitarbeitenden oder Beendigung des Vertrags; Token werden in verschlüsselter Form gespeichert |
| System- und Sicherheitsprotokolle |
90 Tage |
| Statistische Daten (anonymisiert) |
Unbefristet (keine Möglichkeit der Identifizierung einer Person) |
| Auf Grundlage einer Einwilligung verarbeitete Daten |
Bis zum Widerruf der Einwilligung |
XII Rechte der betroffenen Person
- Jeder Person, deren Daten der Verantwortliche verarbeitet, stehen folgende Rechte zu:
- Auskunftsrecht – Erhalt von Informationen über die verarbeiteten Daten sowie einer Kopie davon (Art. 15 DSGVO).
- Recht auf Berichtigung – Verlangen der Korrektur unrichtiger oder Ergänzung unvollständiger Daten (Art. 16 DSGVO).
- Recht auf Löschung – Verlangen der Löschung der Daten („Recht auf Vergessenwerden"), wenn keine Rechtsgrundlage für ihre weitere Verarbeitung besteht (Art. 17 DSGVO).
- Recht auf Einschränkung der Verarbeitung – Verlangen der Aussetzung der Verarbeitung in bestimmten Fällen (Art. 18 DSGVO).
- Recht auf Datenübertragbarkeit – Erhalt der Daten in einem maschinenlesbaren Format (Art. 20 DSGVO).
- Widerspruchsrecht – Widerspruch gegen die Verarbeitung auf Grundlage eines berechtigten Interesses (Art. 21 DSGVO).
- Recht auf Widerruf der Einwilligung – jederzeit, ohne Einfluss auf die Rechtmäßigkeit der Verarbeitung vor dem Widerruf (Art. 7 Abs. 3 DSGVO).
- Beschwerderecht – Einreichung einer Beschwerde beim Präsidenten des polnischen Amts für den Schutz personenbezogener Daten (UODO, ul. Stawki 2, 00-193 Warschau, uodo.gov.pl).
- Zur Ausübung der oben genannten Rechte ist der Verantwortliche zu kontaktieren: schriftlich an die Sitzadresse oder per E-Mail an biuro@gabinetonline.com.pl.
- Der Verantwortliche bearbeitet die Anträge ohne unangemessene Verzögerung, nicht länger als innerhalb von 30 Tagen. In Ausnahmefällen kann die Frist um weitere 60 Tage verlängert werden, worüber der Verantwortliche den Antragsteller informiert.
- Salonkunden (Personen, die Kunden eines GabinetOnline nutzenden Salons sind) sollten Anträge in erster Linie direkt an den Salon als Verantwortlichen ihrer Daten richten. GabinetOnline als Auftragsverarbeiter leitet einen solchen Antrag unverzüglich an den betreffenden Salon weiter.
XIII Cookie-Richtlinie
- Cookies sind IT-Daten, insbesondere Textdateien, die auf dem Endgerät des Besuchers gespeichert und für die Nutzung der Websites der Anwendung bestimmt sind.
- Cookies enthalten in der Regel den Namen der Website, von der sie stammen, die Speicherdauer auf dem Endgerät sowie eine eindeutige Nummer. Sie sind für das Gerät sicher und haben keine schädliche Wirkung.
- Die Einwilligung in die Speicherung von Cookies ist freiwillig. Ihr Fehlen kann den Zugang zu einigen Funktionen der Anwendung einschränken.
- Der Verantwortliche setzt Cookies zu folgenden Zwecken ein:
- Aufrechterhaltung der Sitzung des angemeldeten Nutzers (notwendige Cookies),
- Speicherung der Nutzerpräferenzen (funktionale Cookies),
- Erhebung anonymer statistischer Daten über die Nutzung der Anwendung (analytische Cookies),
- Gewährleistung von Sicherheit und Authentifizierung.
- Der Besucher kann die Bedingungen für die Nutzung von Cookies über die Einstellungen seines eigenen Webbrowsers oder das auf der Website der Anwendung verfügbare Einwilligungsverwaltungspanel festlegen.
- Die Einschränkung oder Deaktivierung von Cookies kann sich auf die Funktion einiger Funktionen der Anwendung auswirken, insbesondere das Anmelden unmöglich machen.
XIV Verwendete Cookies
Im Rahmen der Anwendung werden zwei grundlegende Arten von Cookies verwendet: Sitzungs-Cookies (temporär, werden nach Schließen des Browsers gelöscht) sowie dauerhafte Cookies (für eine bestimmte Zeit oder bis zur Löschung durch den Nutzer gespeichert).
| Name |
Art |
Ablaufzeit |
Zweck |
| PHPSESSID |
Sitzung |
Bis zum Schließen des Browsers |
Nativer PHP-Cookie – Aufrechterhaltung der Nutzersitzung, Authentifizierung. |
| cookies-accepted |
Dauerhaft |
1 Jahr |
Speicherung der Entscheidung über die Annahme oder Ablehnung der Cookie-Richtlinie. |
Detaillierte Informationen zur Verwaltung von Cookies in gängigen Browsern:
XV Datensicherheit
- Der Verantwortliche wendet angemessene technische und organisatorische Maßnahmen an, die den Schutz der verarbeiteten personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Offenlegung gewährleisten, insbesondere:
- Verschlüsselung der Verbindungen mittels SSL/TLS-Protokoll (SSL-Zertifikat),
- Verschlüsselung der Daten in der Datenbank,
- Zugriffskontrolle und Authentifizierung der Nutzer,
- regelmäßige Erstellung von Backups,
- Überwachung und Audit der Systemprotokolle,
- Zugriffsrichtlinien nach dem Prinzip der minimalen Berechtigungen.
- Alle Änderungen am Code der Anwendung, die sich auf die Datenverarbeitung auswirken könnten, unterliegen vor der Bereitstellung in der Produktionsumgebung einem internen Prüf- und Freigabeprozess.
- Bei einer Verletzung des Schutzes personenbezogener Daten ergreift der Verantwortliche unverzüglich Maßnahmen gemäß Art. 33–34 DSGVO, einschließlich, sofern erforderlich, der Benachrichtigung des Präsidenten des UODO sowie der betroffenen Personen.
XVI Schlussbestimmungen
- Diese Datenschutzerklärung unterliegt dem materiellen und verfahrensrechtlichen polnischen Recht.
- Der Verantwortliche behält sich das Recht vor, Änderungen an dieser Datenschutzerklärung vorzunehmen. Über wesentliche Änderungen werden die Nutzer mit einer Frist von mindestens 14 Tagen per E-Mail oder durch eine Benachrichtigung in der Anwendung informiert.
- Datum der letzten Aktualisierung dieser Erklärung: Mai 2026.
- In allen Angelegenheiten des Datenschutzes bitten wir um Kontakt: biuro@gabinetonline.com.pl.
← Zurück zur Startseite