Datenschutzerklärung

Datenschutzerklärung

Stand: 04. Oktober 2025

Hinweis für Unternehmenskunden: Diese Datenschutzerklärung ist Bestandteil Ihrer Vertragsunterlagen. Version vom 04.10.2025 gilt für alle Verträge, die ab dem 04.10.2025 geschlossen werden.

1. Verantwortlicher für den Datenschutz
Mobiler Massageservice MAXAGE
Inhaber: Max Dobrov
Geprüfter Fachpraktiker für Massage, Wellness und Prävention

Anschrift:
Köslinstr. 82
38124 Braunschweig

Kontakt:
Telefon: +49 1520 356 444 5
E-Mail: info@maxage.de

Als Ihr persönlicher Begleiter für mobile Wellness-Dienstleistungen nehme ich den Schutz Ihrer Daten ebenso ernst wie Ihr körperliches Wohlbefinden. Bei allen Fragen zum Datenschutz wenden Sie sich bitte direkt an mich.

2. Übersicht der Datenverarbeitung
Diese Datenschutzerklärung erläutert, wie ich personenbezogene Daten von Privatkunden (Verbrauchern) und Unternehmenskunden (Auftraggebern) sowie deren Mitarbeitern verarbeite. Die Verarbeitung erfolgt stets im Einklang mit der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und anderen anwendbaren Rechtsvorschriften.

3. Hosting und Server-Logfiles
Diese Website wird bei IONOS SE (Elgendorfer Str. 57, 56410 Montabaur) gehostet. Bei jedem Zugriff werden automatisch Informationen in Server-Logfiles erfasst: Ihre IP-Adresse, Browsertyp, Datum und Uhrzeit des Zugriffs.
• Rechtsgrundlage: Berechtigtes Interesse an der sicheren und stabilen Darstellung der Website (Art. 6 Abs. 1 lit. f DSGVO).
• Auftragsverarbeitung: IONOS verarbeitet diese Daten als mein Auftragsverarbeiter auf Grundlage eines Vertrags zur Auftragsverarbeitung (AVV) gem. Art. 28 DSGVO.
• Datenschutzerklärung von IONOS: https://www.ionos.de/datenschutzerklaerung

4. Cookies
Meine Website verwendet Cookies. Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und diese nur im Einzelfall erlauben.
• Rechtsgrundlage: Notwendige Cookies auf Grundlage meines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). Alle anderen Cookies nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

4.1 Consent-Management mit „Real Cookie Banner“
Um die eingesetzten Cookies und vergleichbare Technologien (z. B. Tracking-Pixel, Web-Beacons) sowie die dazugehörigen Einwilligungen zu verwalten, nutze ich das Consent-Management-Tool „Real Cookie Banner“. Wie „Real Cookie Banner“ im Detail funktioniert, erfahren Sie unter https://devowl.io/de/rcb/datenverarbeitung/.
Rechtsgrundlagen für die damit verbundene Verarbeitung personenbezogener Daten sind Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer nutzerfreundlichen und rechtskonformen Verwaltung von Einwilligungen).
Die Angabe personenbezogener Daten ist hierfür weder gesetzlich noch vertraglich vorgeschrieben. Ohne diese Daten kann ich Ihre Cookie-Einstellungen jedoch nicht speichern und berücksichtigen.

5. Analyse-Tools und Tracking (Google Analytics)
Um die Nutzung meiner Website analysieren zu können, setze ich Google Analytics ein. Die Erfassung und Verarbeitung von Daten erfolgt ausschließlich nach Ihrer vorherigen Einwilligung über das Cookie-Banner.
• IP-Anonymisierung: Ich habe die Funktion zur Anonymisierung der IP-Adresse aktiviert, sodass Ihre IP-Adresse innerhalb der EU/EWR vor der Übermittlung an Google gekürzt wird.
• Rechtsgrundlage: Ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG).
• Widerruf Ihrer Einwilligung: Sie können Ihre Einwilligung jederzeit über das Cookie-Banner widerrufen oder ändern. Zusätzlich können Sie die Erfassung durch Google Analytics verhindern, indem Sie das folgende Browser-Add-on herunterladen und installieren: Browser-Add-on zum Deaktivieren von Google Analytics (https://tools.google.com/dlpage/gaoptout?hl=de).

6. reCAPTCHA
Um meine Website und Buchungsformulare vor Missbrauch und Spam-Bots zu schützen, verwende ich den Dienst reCAPTCHA der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
• Datenverarbeitung: reCAPTCHA analysiert das Verhalten des Websitebesuchers anhand verschiedener Merkmale (z.B. IP-Adresse, Verweildauer auf der Website, Mausbewegungen des Users). Diese Auswertung beginnt automatisch, sobald Sie meine Website betreten.
• Rechtsgrundlage: Die Verarbeitung erfolgt auf Basis meines berechtigten Interesses an der Sicherheit meiner Website und der Abwehr von Spam (Art. 6 Abs. 1 lit. f DSGVO).
• Datenübermittlung: Ihre Daten werden an Google übermittelt und dort weiterverarbeitet. Die Speicherdauer der erhobenen Daten wird von Google festgelegt und unterliegt deren Datenschutzbestimmungen.
• Datenschutzerklärung von Google: Weitere Informationen zum Umgang mit Ihren Daten durch Google finden Sie in der Datenschutzerklärung von Google: https://policies.google.com/privacy

7. Datenweitergabe an Dritte
Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet grundsätzlich nicht statt. Ausnahmen gelten nur in den folgenden, genau definierten Fällen:
• Auftragsverarbeiter (Art. 28 DSGVO): Dienstleister, die mich unterstützen (IONOS, Setmore, Stripe, FastBill, mein Steuerbüro). Diese sind strikt an meine Weisungen gebunden.
• Bei gesetzlicher Verpflichtung: An Behörden im Falle einer rechtlichen Verpflichtung.
• Ausdrückliche Ausnahmen: Ich gebe niemals Daten weiter an Werbepartner, soziale Netzwerke für Werbezwecke oder Adresshändler.

8. Besonders geschützte Gesundheitsdaten (Art. 9 DSGVO)
8.1 Zweck und Rechtsgrundlage
Die Erhebung Ihrer Gesundheitsdaten dient der Prüfung auf Kontraindikationen, der sicheren Durchführung der Massage und der Erfüllung meiner Sorgfaltspflichten. Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), die Sie mit dem Anamnesebogen erteilen.

8.2 Speicherung und Sicherheit
Ihren Gesundheitsdaten gewähre ich höchsten Schutz:
• Löschung aus dem E-Mail-Postfach: Daten werden innerhalb von 24 Std. nach Eingang aus dem E-Mail-Postfach vollständig gelöscht.
• Lokale, verschlüsselte Speicherung: Daten werden ausschließlich auf einem physischen, lokal verschlüsselten Datenträger (AES-256-Verschlüsselung via VeraCrypt mit PIM-Schutz) gesichert.
• Keine Cloud, keine Papierkopien.

8.3 Speicherdauer
Gesundheitsdaten werden spätestens gelöscht:
• Für Privatkunden: 6 Monate nach der letzten Sitzung.
• Für Mitarbeiter von Unternehmen: Unverzüglich nach Beendigung der Vertragsbeziehung mit dem Auftraggeber.
• Sofort bei Widerruf Ihrer Einwilligung.

9. Nutzung von WhatsApp Business
Für die Kommunikation nutze ich den Dienst WhatsApp Business der Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland.
• Zweck: Schnelle Terminabsprachen, kurzfristige Fragen und die Übermittlung von kurzen, faktenbasierten Gesundheitsinformationen (z.B. „Ich nehme nun Medikament X“).
• Übermittlung von Daten in Drittländer: WhatsApp erhält Zugriff auf die in Ihrem Telefonbuch gespeicherten Kontaktdaten und speichert diese auf Servern von Meta Platforms Inc. in den USA. Die Europäische Kommission hat für die USA keinen Angemessenheitsbeschluss erlassen. Die Datenübermittlung erfolgt auf der Grundlage von Standardvertragsklauseln der EU-Kommission sowie nach Aussage von Meta auf der Grundlage des EU-US Data Privacy Framework (DPF).
• Hinweis: Die Übermittlung detaillierter Gesundheitsinformationen und der Anamnesebögen sollte ausschließlich per E-Mail an info@maxage.de erfolgen, da hierbei die von mir implementierten, höheren Sicherheitsstandards (lokale Verschlüsselung) greifen.
• Rechtsgrundlage: Die Nutzung von WhatsApp für kurze Informationen geschieht auf Basis Ihres Einverständnisses und meines berechtigten Interesses an einer effizienten Kommunikation (Art. 6 Abs. 1 lit. a, f DSGVO).
• Datenschutzerklärung von WhatsApp: Weitere Informationen zur Datenverarbeitung durch WhatsApp finden Sie in deren Datenschutzerklärung: https://www.whatsapp.com/legal/privacy-policy

10. Datenverarbeitung bei Privatkunden
10.1 Vertragsanbahnung und -durchführung (Art. 6 Abs. 1 lit. b DSGVO)
Ihre Daten (Name, Kontaktdaten, Adresse, Terminwünsche und Servicepräferenzen) werden für folgende Zwecke verarbeitet:
• Organisation und Durchführung der gebuchten Wellness-Dienstleistungen
• Erstellung und Versand von Rechnungen
• Kommunikation zu Terminänderungen oder -bestätigungen
Rechtsgrundlage: Vertragserfüllung und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie gesetzliche Aufbewahrungspflichten (§ 147 AO).
Speicherdauer: Alle vertragsbezogenen Daten werden gemäß steuerrechtlichen Vorschriften für 10 Jahre aufbewahrt und anschließend gelöscht.
Datenempfänger: Zahlungsdienstleister (Stripe, Link) und mein Buchhaltungssystem (FastBill) als Auftragsverarbeiter.

10.2 Eingesetzte Tools und Dienstleister
Für die reibungslose Abwicklung von Buchungen und Zahlungen setze ich die folgenden Dienstleister ein, die als meine Auftragsverarbeiter (Art. 28 DSGVO) handeln und mit denen Verträge zur Auftragsverarbeitung (AVV) abgeschlossen wurden.

Buchungssystem „Setmore“
• Anbieter: Setmore, Inc., an Oregon corporation, 1033 SE Main Street, Ste. 5, Portland, Oregon 97214, USA.
• Zweck: Online-Terminvereinbarung, Verwaltung meines Kalenders, Annahme von Buchungen und Erfassung der für die Terminbuchung notwendigen Daten (Name, E-Mail, Telefonnummer, gewünschter Termin, Service, ggf. Zahlungsinformationen).
• Datenübermittlung: Da der Anbieter in den USA ansässig ist, erfolgt eine Datenübermittlung in ein Drittland. Ein Angemessenheitsbeschluss der EU-Kommission für die USA besteht derzeit nicht. Die Übermittlung erfolgt daher auf Grundlage von Standardvertragsklauseln gemäß Art. 46 DSGVO. Zusätzlich habe ich mit dem Anbieter ein Data Processing Addendum (Auftragsverarbeitungsvertrag) abgeschlossen.
• Datenschutzerklärung: https://www.setmore.com/privacy

Zahlungsabwickler „Stripe“
• Anbieter: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.
• Zweck: Abwicklung von Kreditkarten- und Lastschriftzahlungen (SEPA).
• Datenübermittlung: Bei Nutzung von Stripe erfolgt eine Übermittlung Ihrer Zahlungsdaten (z.B. Kreditkartennummer) in die USA. Diese Übermittlung stützt sich auf EU-Standardvertragsklauseln und nach Aussage von Stripe auf das EU-US Data Privacy Framework (DPF). Stripe ist als Zahlungsdienstleister PCI-DSS zertifiziert.
• Wichtig: Ich erhalte keinen Zugriff auf Ihre vollständigen Zahlungsdaten (z.B. Kreditkartennummer). Mir werden nur die zur Bestätigung der Zahlung notwendigen Informationen (z.B. letzte vier Stellen der Karte, Transaktions-ID) angezeigt.
• Datenschutzerklärung: https://stripe.com/de/privacy

Zahlungsabwickler „Link“
• Anbieter: Link Financial Technologies Inc., 405 Howard Street, San Francisco, CA 94105, USA. (Hinweis: Link ist Teil des Stripe-Konzerns).
• Zweck: Anbietung alternativer Zahlmethoden (wie z.B. „Klarna“, „PayPal“ etc. über einen einzigen Integration).
• Datenübermittlung: Auch hier erfolgt eine Datenübermittlung in die USA, gestützt auf die gleichen Rechtsgrundlagen wie bei Stripe (Standardvertragsklauseln und DPF).
• Datenschutzerklärung: https://link.com/de/privacy

Rechtsgrundlage für die Datenverarbeitung durch diese Tools: Die Nutzung dieser Dienstleister ist für die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) erforderlich, um Ihnen eine sichere und komfortable Online-Buchung und Zahlabwicklung zu ermöglichen.

11. Datenverarbeitung bei Unternehmenskunden und deren Mitarbeitern
11.1 Verarbeitung der Auftraggeberdaten
Verarbeitung von Firmenstammdaten und Daten des Ansprechpartners zur Vertragsdurchführung und Rechnungsstellung (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).

11.2 Verarbeitung der Mitarbeiterdaten
• Anamnese: Die Übermittlung des Anamnesebogens muss zwingend von der privaten E-Mail-Adresse des Mitarbeiters an info@maxage.de erfolgen. Eine Übermittlung durch den Arbeitgeber ist unzulässig.
• Rechtsgrundlage: Die Verarbeitung der Gesundheitsdaten der Mitarbeiter erfolgt auf Basis deren eigenen Einwilligungserklärung im Anamnesebogen (Art. 9 Abs. 2 lit. a DSGVO).

12. Ihre Rechte
Sie haben das Recht auf:
• Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung Ihrer Daten.
• Datenübertragbarkeit.
• Widerruf Ihrer Einwilligung jederzeit mit Wirkung für die Zukunft.
• Beschwerde bei einer Aufsichtsbehörde (Die Landesbeauftragte für den Datenschutz Niedersachsen).

13. Pflicht zur Bereitstellung von Daten
Die Bereitstellung Ihrer persönlichen und gesundheitlichen Daten ist vertragliche Voraussetzung. Ohne diese Daten kann ich keine Dienstleistung erbringen.

14. Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung hat den Stand 04. Oktober 2025. Die aktuelle Version ist unter https://www.maxage.de/datenschutz abrufbar.

Ich hoffe, diese transparente Darstellung meiner Datenschutzpraktiken gibt Ihnen Sicherheit. Für persönliche Rückfragen zu Ihren Daten stehe ich Ihnen jederzeit gerne zur Verfügung.