🔒 Datenschutzerklärung und Cookie-Richtlinie

ℹ️ Hinweis: Diese deutsche Fassung ist eine unverbindliche Übersetzung zu Informationszwecken. Rechtlich maßgeblich ist ausschließlich die polnische Originalfassung, die dem polnischen Recht und der DSGVO unterliegt. Der in polnischen Vorschriften verwendete Begriff „RODO" entspricht der europäischen Datenschutz-Grundverordnung (DSGVO).
Inhaltsverzeichnis

I Allgemeine Bestimmungen

  1. Diese Datenschutzerklärung der Anwendung GabinetOnline (nachfolgend: „Anwendung" oder „Plattform") hat informativen Charakter und legt die Grundsätze der Verarbeitung personenbezogener Daten durch den Verantwortlichen fest.
  2. Verantwortlicher für die im Zusammenhang mit der Nutzung der Website der Anwendung verarbeiteten personenbezogenen Daten ist Rybczak i Wspólnicy Sp. z o.o. mit Sitz in Jankowice (44-264), ul. Przyjemna 4, eingetragen im Unternehmerregister des Landesgerichtsregisters, geführt vom Amtsgericht in Gliwice, X. Wirtschaftsabteilung, unter der Nummer KRS 0000361541, NIP 642-318-72-10, Regon 243640719, Stammkapital: 17 500,00 PLN, E-Mail-Adresse: biuro@gabinetonline.com.pl, nachfolgend „Verantwortlicher".
  3. GabinetOnline ist eine SaaS-Plattform (Software as a Service) für Friseur-, Kosmetik- und Beauty-Salons (nachfolgend: „Plattformkunden"). Hinsichtlich der personenbezogenen Daten der Endkunden der Salons fungiert der Verantwortliche als Auftragsverarbeiter – Einzelheiten in Abschnitt IV.
  4. Die personenbezogenen Daten werden gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO), dem polnischen Gesetz über den Schutz personenbezogener Daten vom 10. Mai 2018 sowie anderen geltenden Rechtsvorschriften verarbeitet.
  5. Der Verantwortliche verarbeitet die Daten nach den Grundsätzen der Datenminimierung, der Zweckbindung, der Speicherbegrenzung, der Integrität und der Vertraulichkeit.
  6. In Angelegenheiten des Datenschutzes kann unter folgender Adresse Kontakt aufgenommen werden: biuro@gabinetonline.com.pl.

II Status des Besuchers und Art der Daten

  1. Besucher ist jede Person, die die Websites der Anwendung unter der Adresse gabinetonline.com.pl aufruft.
  2. Beim Aufrufen der Websites der Anwendung werden automatisch Daten des Besuchers erhoben, insbesondere: IP-Adresse, Domainname, Browsertyp, Typ des Betriebssystems. Diese Daten können durch Cookies erhoben werden.
  3. Der Verantwortliche verarbeitet anonymisierte Nutzungsdaten zu statistischen und administrativen Zwecken. Diese Daten haben aggregierten und anonymen Charakter, d. h. sie enthalten keine die Person identifizierenden Merkmale.
  4. Nutzer ist eine Person, die ein Konto in der Anwendung besitzt (Inhaber oder Mitarbeiter/in des Salons). Die im Rahmen des Kontos verarbeiteten Daten umfassen: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Firmenname, Abrechnungsdaten.

III Zweck und Rechtsgrundlagen der Verarbeitung

Der Verantwortliche verarbeitet die personenbezogenen Daten der Besucher und Nutzer zu folgenden Zwecken:

  1. Abschluss und Erfüllung des Vertrags über die Erbringung von Leistungen, einschließlich der Ermöglichung der Nutzung der Plattform (Art. 6 Abs. 1 lit. b DSGVO).
  2. Verwaltung des Nutzerkontos sowie Kontakt in Angelegenheiten der Leistung (Art. 6 Abs. 1 lit. b DSGVO).
  3. Ausstellung von Rechnungen und Abrechnungen (Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung).
  4. Archivierung und Sicherung von Informationen für den Fall eines rechtlichen Bedarfs zum Nachweis von Tatsachen (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse).
  5. Feststellung, Geltendmachung oder Abwehr von Ansprüchen (Art. 6 Abs. 1 lit. f DSGVO).
  6. Untersuchung der Kundenzufriedenheit und Verbesserung der Servicequalität (Art. 6 Abs. 1 lit. f DSGVO).
  7. Übersendung von Werbe- und Marketinginformationen – ausschließlich mit gesonderter Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

IV GabinetOnline als Auftragsverarbeiter der Salondaten

  1. Hinsichtlich der personenbezogenen Daten der Endkunden der Salons (Personen, die für Termine eingetragen und in der Kundendatenbank des Salons gespeichert sind) fungiert GabinetOnline als Auftragsverarbeiter (Prozessor) im Sinne von Art. 28 DSGVO. Verantwortlicher für diese Daten bleibt der Salon (Plattformkunde).
  2. Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Plattformkunden zum Zweck der Erbringung der Funktionalitäten der Anwendung (Verwaltung von Kalender, Kunden, Leistungen, SMS-/E-Mail-Kommunikation, Berichten).
  3. Grundlage der Verarbeitung ist der Vertrag über die Auftragsverarbeitung personenbezogener Daten, der zwischen GabinetOnline und jedem Plattformkunden geschlossen wird. Der Vertrag regelt u. a. Umfang, Zweck und Dauer der Datenverarbeitung sowie die Verpflichtungen im Bereich der Sicherheit.
  4. GabinetOnline verarbeitet die Daten der Salonkunden nicht für eigene Marketingzwecke und gibt sie außerhalb der in dieser Erklärung genannten Fälle nicht an Dritte weiter.
  5. Der Salon ist als Verantwortlicher verpflichtet, über eine angemessene Rechtsgrundlage für die Verarbeitung der Daten seiner Kunden zu verfügen sowie die Informationspflicht nach Art. 13–14 DSGVO ihnen gegenüber zu erfüllen.

V KI-Assistent – Datenverarbeitung

Die Anwendung enthält einen integrierten KI-Assistenten auf Basis eines externen Sprachmodells (LLM). Der folgende Abschnitt erklärt, wie die Daten im Rahmen dieser Funktion verarbeitet werden.
  1. Was an das KI-Modell gesendet wird: Vom Nutzer im Chatfenster des KI-Assistenten eingegebene Inhalte können personenbezogene Daten enthalten (z. B. Namen von Kunden, Telefonnummern, Informationen über Termine). Diese Daten werden an den externen Anbieter des Sprachmodells ausschließlich zum Zweck der Generierung der Antwort des Assistenten übermittelt.
  2. Anbieter des KI-Modells: Die Anwendung nutzt die API der Firma Anthropic PBC (Claude) sowie OpenAI (GPT). Die Daten werden von diesen Anbietern als Unterauftragsverarbeiter auf Grundlage abgeschlossener Verträge (DPA) verarbeitet. Einzelheiten in Abschnitt VIII und IX.
  3. Datenminimierung: An das KI-Modell werden ausschließlich die zur Beantwortung erforderlichen Informationen übermittelt. Das System sendet keine Passwörter, Zahlungsdaten oder besonderen Kategorien von Daten (Art. 9 DSGVO).
  4. Gesprächshistorie: Die Inhalte der Gespräche mit dem KI-Assistenten werden in der Datenbank der Plattform auf einem Server in Polen gespeichert und können von einem internen Überwachungssystem (KI-Supervisor) zur Verbesserung der Antwortqualität des Assistenten analysiert werden. Zugriff auf die Historie haben ausschließlich berechtigte Mitarbeitende des Verantwortlichen.
  5. Rechtsgrundlage: Die Verarbeitung der Daten im Rahmen des KI-Assistenten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes).
  6. Wie deaktivieren: Die Nutzung des KI-Assistenten ist freiwillig. Der Nutzer kann das Chatfenster des Assistenten nicht verwenden – dies hat keinen Einfluss auf den Zugang zu den übrigen Funktionen der Anwendung.

VI Integration mit Google Calendar

Die Anwendung bietet eine optionale Integration mit dem Dienst Google Calendar, die die Synchronisierung von Terminen in den privaten Google-Kalender der/des Salonmitarbeitenden ermöglicht. Die Integration ist freiwillig und wird ausschließlich nach der bewussten Verknüpfung des Google-Kontos durch die betreffende Person aktiviert.
  1. Welche Daten übermittelt werden: Nach der Verknüpfung des Kalenders werden zur Synchronisierung des Arbeitsplans Informationen über die von der betreffenden Person betreuten Termine an Google Calendar übermittelt: Datum, Startzeit und Dauer des Termins sowie Name der Leistung. Optional – ausschließlich, wenn der Saloninhaber diese Option in den Einstellungen aktiviert hat (standardmäßig deaktiviert) – wird auch der Vor- und Nachname des Kunden übermittelt.
  2. Was nicht übermittelt wird: An Google werden keine Telefonnummern, E-Mail-Adressen, Zahlungsdaten oder andere Kundendaten außer den oben genannten übermittelt.
  3. Zugriffsumfang: Die Anwendung nutzt die Google-Berechtigung calendar.events, die ausschließlich das Erstellen, Aktualisieren und Löschen von Ereignissen erlaubt, die den Terminen im Kalender des verknüpften Nutzers entsprechen. Die Anwendung liest keine anderen Ereignisse aus dem Kalender des Nutzers und verwaltet keine Kalenderlisten.
  4. Rechtsgrundlage: Die Verarbeitung im Rahmen der Integration erfolgt auf Grundlage der Einwilligung der/des Mitarbeitenden (Art. 6 Abs. 1 lit. a DSGVO), die bei der Verknüpfung des Kalenders erteilt wird, sowie zum Zweck der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
  5. Übermittlung außerhalb des EWR: Verantwortlicher für den Dienst Google Calendar ist Google Ireland Ltd., und die Daten können auch von Google LLC auf Servern in den Vereinigten Staaten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden – Einzelheiten in Abschnitt IX und X.
  6. Einwilligung und ihr Widerruf: Die Verknüpfung des Kalenders erfordert die bewusste Einwilligung der/des Mitarbeitenden, die zusammen mit Datum und IP-Adresse gespeichert wird. Der Nutzer kann den Kalender jederzeit in den Einstellungen seines Profils trennen – ab diesem Zeitpunkt werden keine neuen Termine mehr an Google übermittelt. Zuvor erstellte Ereignisse bleiben im Google-Kalender des Nutzers und können von ihm manuell gelöscht werden.
  7. Konformität mit den Google-Richtlinien: Die Verwendung der über die Google-API-Schnittstellen erhaltenen Informationen erfolgt gemäß der Google API Services User Data Policy, einschließlich der Anforderungen des Limited Use. Die aus Google Calendar erhaltenen Daten werden ausschließlich zum Zweck der Erbringung der beschriebenen Funktion der Terminsynchronisierung verwendet und nicht für andere Zwecke.
  8. Wie deaktivieren: Die Nutzung der Integration ist freiwillig. Die/der Mitarbeitende kann den Kalender überhaupt nicht verknüpfen – dies hat keinen Einfluss auf den Zugang zu den übrigen Funktionen der Anwendung.

VII Freiwilligkeit der Datenangabe

  1. Die Angabe der Daten ist freiwillig, kann jedoch für den Abschluss des Vertrags und die Nutzung der Plattform erforderlich sein (z. B. die E-Mail-Adresse zur Erstellung eines Kontos).
  2. Das Fehlen der zur Registrierung erforderlichen Daten macht die Nutzung der Anwendung unmöglich.
  3. Die Angabe von Daten zum Erhalt von Werbeinformationen ist völlig freiwillig und kann jederzeit widerrufen werden.

VIII Weitergabe personenbezogener Daten

  1. Der Verantwortliche kann personenbezogene Daten an folgende Kategorien von Stellen weitergeben:
  2. Die Daten werden nicht verkauft oder ohne Einwilligung der betroffenen Person zu Marketingzwecken an Dritte weitergegeben.

IX Unterauftragsverarbeiter und Dritte

GabinetOnline nutzt die Dienste folgender Unterauftragsverarbeiter, denen personenbezogene Daten anvertraut werden können:

Stelle Rolle / Dienst Sitz Sicherung des Transfers
Hosting (Anwendungsserver)
OVH Sp. z o.o.
Serverinfrastruktur, Datenbank Polen / EWR Kein Transfer außerhalb des EWR
Anthropic PBC Sprachmodell Claude (KI-Assistent) USA DPA + Standardvertragsklauseln (SCCs)
OpenAI LLC Modell GPT (KI-Assistent – Hilfsanfragen) USA DPA + Standardvertragsklauseln (SCCs)
Google Ireland Ltd. / Google LLC Google Calendar – Synchronisierung der Termine in den Kalender der/des Mitarbeitenden (optional, nach Verknüpfung des Kontos) Irland / USA EU-U.S. Data Privacy Framework
SMS-Betreiber - JustSend Versand von SMS-Nachrichten an Salonkunden Polen Kein Transfer außerhalb des EWR

Der Verantwortliche verpflichtet die Unterauftragsverarbeiter, die Daten ausschließlich gemäß den Weisungen und für die Zwecke der Erbringung der jeweiligen Leistung unter Wahrung angemessener Sicherheitsmaßnahmen zu verarbeiten.

X Datenübermittlung außerhalb des Europäischen Wirtschaftsraums

  1. Im Zusammenhang mit der Nutzung der Dienste von Anthropic PBC und OpenAI LLC können die Inhalte der Gespräche mit dem KI-Assistenten in die Vereinigten Staaten übermittelt werden.
  2. Die Übermittlung der Daten in die USA erfolgt auf Grundlage der von der Europäischen Kommission angenommenen Standardvertragsklauseln (SCCs), die eine geeignete Garantie im Sinne von Art. 46 DSGVO darstellen.
  3. Die mit Anthropic und OpenAI abgeschlossenen DPA-Verträge (Data Processing Addendum) regeln Umfang, Zweck und Bedingungen der Datenverarbeitung und verpflichten die Anbieter, die Daten nach Beendigung des Vertrags zu löschen.
  4. Bei Nutzung der optionalen Integration mit Google Calendar (Abschnitt VI) können die Termindaten an Google LLC in den Vereinigten Staaten übermittelt werden. Grundlage des Transfers ist die Teilnahme von Google LLC am EU-U.S. Data Privacy Framework, das von der Europäischen Kommission als ein angemessenes Datenschutzniveau im Sinne von Art. 45 DSGVO gewährleistend anerkannt wurde.
  5. Der Nutzer hat das Recht, eine Kopie der angewandten Sicherungsmaßnahmen zu erhalten – dazu bitten wir um Kontakt unter biuro@gabinetonline.com.pl.

XI Aufbewahrungsdauer der Daten

Datenkategorie Aufbewahrungsdauer
Daten des Nutzerkontos (Inhaber/Mitarbeiter des Salons) Für die Dauer des Vertrags + 3 Jahre nach dessen Beendigung (Ansprüche)
Abrechnungsdaten und Rechnungen 5 Jahre ab Ende des Steuerjahres (rechtliche Verpflichtung)
Daten der Salonkunden (Kundendatenbank) Bis zur Löschung durch den Salon oder Beendigung des Vertrags mit dem Salon
Gesprächshistorie mit dem KI-Assistenten 12 Monate ab dem Gesprächsdatum, danach automatische Löschung
Daten der Google-Calendar-Verknüpfung (Zugriffstoken, Status, Einwilligung) Bis zur Trennung des Kalenders durch die/den Mitarbeitenden oder Beendigung des Vertrags; Token werden in verschlüsselter Form gespeichert
System- und Sicherheitsprotokolle 90 Tage
Statistische Daten (anonymisiert) Unbefristet (keine Möglichkeit der Identifizierung einer Person)
Auf Grundlage einer Einwilligung verarbeitete Daten Bis zum Widerruf der Einwilligung

XII Rechte der betroffenen Person

  1. Jeder Person, deren Daten der Verantwortliche verarbeitet, stehen folgende Rechte zu:
  2. Zur Ausübung der oben genannten Rechte ist der Verantwortliche zu kontaktieren: schriftlich an die Sitzadresse oder per E-Mail an biuro@gabinetonline.com.pl.
  3. Der Verantwortliche bearbeitet die Anträge ohne unangemessene Verzögerung, nicht länger als innerhalb von 30 Tagen. In Ausnahmefällen kann die Frist um weitere 60 Tage verlängert werden, worüber der Verantwortliche den Antragsteller informiert.
  4. Salonkunden (Personen, die Kunden eines GabinetOnline nutzenden Salons sind) sollten Anträge in erster Linie direkt an den Salon als Verantwortlichen ihrer Daten richten. GabinetOnline als Auftragsverarbeiter leitet einen solchen Antrag unverzüglich an den betreffenden Salon weiter.

XIII Cookie-Richtlinie

  1. Cookies sind IT-Daten, insbesondere Textdateien, die auf dem Endgerät des Besuchers gespeichert und für die Nutzung der Websites der Anwendung bestimmt sind.
  2. Cookies enthalten in der Regel den Namen der Website, von der sie stammen, die Speicherdauer auf dem Endgerät sowie eine eindeutige Nummer. Sie sind für das Gerät sicher und haben keine schädliche Wirkung.
  3. Die Einwilligung in die Speicherung von Cookies ist freiwillig. Ihr Fehlen kann den Zugang zu einigen Funktionen der Anwendung einschränken.
  4. Der Verantwortliche setzt Cookies zu folgenden Zwecken ein:
  5. Der Besucher kann die Bedingungen für die Nutzung von Cookies über die Einstellungen seines eigenen Webbrowsers oder das auf der Website der Anwendung verfügbare Einwilligungsverwaltungspanel festlegen.
  6. Die Einschränkung oder Deaktivierung von Cookies kann sich auf die Funktion einiger Funktionen der Anwendung auswirken, insbesondere das Anmelden unmöglich machen.

XIV Verwendete Cookies

Im Rahmen der Anwendung werden zwei grundlegende Arten von Cookies verwendet: Sitzungs-Cookies (temporär, werden nach Schließen des Browsers gelöscht) sowie dauerhafte Cookies (für eine bestimmte Zeit oder bis zur Löschung durch den Nutzer gespeichert).

Name Art Ablaufzeit Zweck
PHPSESSID Sitzung Bis zum Schließen des Browsers Nativer PHP-Cookie – Aufrechterhaltung der Nutzersitzung, Authentifizierung.
cookies-accepted Dauerhaft 1 Jahr Speicherung der Entscheidung über die Annahme oder Ablehnung der Cookie-Richtlinie.

Detaillierte Informationen zur Verwaltung von Cookies in gängigen Browsern:

XV Datensicherheit

  1. Der Verantwortliche wendet angemessene technische und organisatorische Maßnahmen an, die den Schutz der verarbeiteten personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Offenlegung gewährleisten, insbesondere:
  2. Alle Änderungen am Code der Anwendung, die sich auf die Datenverarbeitung auswirken könnten, unterliegen vor der Bereitstellung in der Produktionsumgebung einem internen Prüf- und Freigabeprozess.
  3. Bei einer Verletzung des Schutzes personenbezogener Daten ergreift der Verantwortliche unverzüglich Maßnahmen gemäß Art. 33–34 DSGVO, einschließlich, sofern erforderlich, der Benachrichtigung des Präsidenten des UODO sowie der betroffenen Personen.

XVI Schlussbestimmungen

  1. Diese Datenschutzerklärung unterliegt dem materiellen und verfahrensrechtlichen polnischen Recht.
  2. Der Verantwortliche behält sich das Recht vor, Änderungen an dieser Datenschutzerklärung vorzunehmen. Über wesentliche Änderungen werden die Nutzer mit einer Frist von mindestens 14 Tagen per E-Mail oder durch eine Benachrichtigung in der Anwendung informiert.
  3. Datum der letzten Aktualisierung dieser Erklärung: Mai 2026.
  4. In allen Angelegenheiten des Datenschutzes bitten wir um Kontakt: biuro@gabinetonline.com.pl.
← Zurück zur Startseite