tattzoo

    Datenschutzerklärung

    Datenschutzerklärung

    Stand: März 2026

    1. Verantwortlicher

    Paul Zieger
    Gustav-Adolf-Platz 5
    97318 Kitzingen
    E-Mail: info@tattzoo.de
    Telefon: +49 176 64791220

    2. Übersicht der Datenverarbeitungen

    Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Plattform und der damit verbundenen Funktionen erforderlich ist. tattzoo ist eine SaaS-Plattform für Tattoo-, Piercing- und PMU-Studios zur Verwaltung von Terminen, Kunden und Geschäftsprozessen.

    3. Rechtsgrundlagen

  1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Plattform, Buchungsabwicklung, Zahlungsverkehr, Kundenkonto
  2. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): KI-Bildgenerierung, Community-Funktionen, optionale E-Mail-Benachrichtigungen
  3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheit der Plattform, Missbrauchsprävention, Fehleranalyse, Web-Analytics
  4. Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO): Consent-Formulare mit Gesundheitsinformationen werden nur mit ausdrücklicher Einwilligung verarbeitet

    5. 4. Erhobene Daten

    4.1 Registrierungsdaten

    Bei der Registrierung erheben wir: Vorname, Nachname, E-Mail-Adresse, Benutzername und Passwort (verschlüsselt gespeichert). Optional: Geburtsdatum, Telefonnummer, Profilbild.

    4.2 Buchungsdaten

    Bei Terminbuchungen: Gewünschter Service, Terminwunsch, Referenzbilder, Körperstelle, Größe, Stil-Präferenzen, Kundennotizen.

    4.3 Gesundheitsdaten

    Consent-Formulare enthalten gesundheitsrelevante Angaben (z. B. Allergien, Medikamente, Hauterkrankungen). Diese werden mit ausdrücklicher Einwilligung erhoben und gemäß gesetzlicher Aufbewahrungspflichten 10 Jahre verschlüsselt gespeichert.

    4.4 Zahlungsdaten

    Zahlungen werden ausschließlich über Stripe abgewickelt. Wir speichern keine Kreditkarten- oder Bankdaten auf unseren Servern.

    4.5 Nutzungsdaten

    Generierte Designs, Community-Interaktionen (Likes, Bookmarks, Follows), Chat-Nachrichten, Benachrichtigungseinstellungen.

    4.6 Technische Daten

    Beim Zugriff auf unsere Plattform werden automatisch übermittelt: IP-Adresse, Browsertyp, Betriebssystem, Zeitpunkt des Zugriffs. Diese Daten werden nicht mit anderen Datenquellen zusammengeführt und nach 30 Tagen gelöscht.

    5. Auftragsverarbeiter und Drittanbieter

    5.1 Supabase (Hosting, Datenbank, Authentifizierung)

    Anbieter: Supabase Inc., San Francisco, USA Serverstandort: EU Frankfurt (aws-eu-central-1) Zweck: Hosting der Datenbank, Benutzer-Authentifizierung, Datei-Speicherung, Echtzeit-Funktionen (Chat) Datenverarbeitung: Alle personenbezogenen Daten werden auf Servern in der EU gespeichert und verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Drittlandtransfer: Siehe Abschnitt 7 Datenschutz: https://supabase.com/privacy

    5.2 Vercel (Frontend-Hosting, Analytics)

    Anbieter: Vercel Inc., San Francisco, USA Zweck: Hosting und Auslieferung der Webanwendung sowie cookielose Web-Analytics zur Verbesserung der Plattform Datenverarbeitung: IP-Adressen werden für die Auslieferung der Inhalte verarbeitet. Analytics erfolgt ohne Cookies und ohne personenbezogenes Tracking. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung und Verbesserung der Plattform) Drittlandtransfer: Siehe Abschnitt 7 Datenschutz: https://vercel.com/legal/privacy-policy

    5.3 Stripe (Zahlungsabwicklung)

    Anbieter: Stripe Payments Europe Ltd., Dublin, Irland / Stripe Inc., San Francisco, USA Zweck: Abwicklung von Abo-Zahlungen, Anzahlungen, Credit-Käufen und Gutschein-Käufen Datenverarbeitung: E-Mail-Adresse und Zahlungsdaten werden direkt an Stripe übermittelt. Wir haben keinen Zugriff auf vollständige Kreditkartendaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Drittlandtransfer: Stripe Payments Europe Ltd. verarbeitet Daten primär in der EU. Siehe auch Abschnitt 7. Datenschutz: https://stripe.com/de/privacy

    5.4 OpenAI (KI-Bildgenerierung)

    Anbieter: OpenAI Inc., San Francisco, USA Zweck: Generierung von Tattoo-Design-Entwürfen im KI-Generator Datenverarbeitung: Der vom Nutzer eingegebene Beschreibungstext (Prompt) wird an die OpenAI API übermittelt. Es werden keine personenbezogenen Daten wie Name oder E-Mail übermittelt. Laut den API-Nutzungsrichtlinien von OpenAI werden API-Anfragen nicht zum Training von Modellen verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung des Generators) Drittlandtransfer: Siehe Abschnitt 7 Datenschutz: https://openai.com/policies/privacy-policy

    5.5 Resend (E-Mail-Versand)

    Anbieter: Resend Inc., San Francisco, USA Infrastruktur: Amazon SES (EU-Region) Zweck: Versand transaktionaler E-Mails (Buchungsbestätigungen, Erinnerungen, Passwort-Reset) Datenverarbeitung: E-Mail-Adresse und Name des Empfängers Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Drittlandtransfer: Siehe Abschnitt 7 Datenschutz: https://resend.com/legal/privacy-policy

    5.6 ImprovMX (E-Mail-Weiterleitung)

    Anbieter: ImprovMX, Frankreich Zweck: Weiterleitung eingehender E-Mails an info@tattzoo.de Datenverarbeitung: Absender-Adresse und E-Mail-Inhalt werden weitergeleitet, nicht dauerhaft gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erreichbarkeit) Drittlandtransfer: Kein Drittlandtransfer (Anbieter in der EU) Datenschutz: https://improvmx.com/privacy

    5.7 OpenStreetMap / Nominatim (Geolokalisierung)

    Anbieter: OpenStreetMap Foundation, Cambridge, Vereinigtes Königreich Zweck: Ortssuche und Geocodierung bei der Standortangabe (z. B. Studio-Suche, Guest Artist Spot-Suche) Datenverarbeitung: Die eingegebene Suchanfrage (Ortsname, PLZ) wird an den Nominatim-Dienst übermittelt. Es werden keine personenbezogenen Daten übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO Datenschutz: https://osmfoundation.org/wiki/Privacy_Policy

    6. Authentifizierung

    6.1 E-Mail/Passwort

    Passwörter werden über Supabase Auth mit bcrypt gehasht gespeichert. Wir haben keinen Zugriff auf Klartext-Passwörter.

    6.2 Google OAuth (optional)

    Bei Nutzung von „Mit Google anmelden" erhalten wir von Google Ireland Ltd.: Name, E-Mail-Adresse und Profilbild-URL. Wir erhalten kein Passwort und keinen weitergehenden Zugriff auf dein Google-Konto. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Nutzung) Datenschutz: https://policies.google.com/privacy

    6.3 Apple Sign-In (optional)

    Bei Nutzung von „Mit Apple anmelden" erhalten wir von Apple Inc.: Name und E-Mail-Adresse (ggf. eine von Apple generierte Relay-Adresse). Wir erhalten kein Passwort. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Nutzung) Datenschutz: https://www.apple.com/legal/privacy/

    7. Datenübermittlung in Drittländer

    Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Basis folgender Rechtsgrundlagen:

    EU-U.S. Data Privacy Framework (DPF): Soweit der jeweilige US-Anbieter unter dem EU-U.S. Data Privacy Framework zertifiziert ist, erfolgt die Datenübermittlung auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023 (Art. 45 DSGVO).

    Standardvertragsklauseln (SCCs): Ergänzend oder alternativ haben wir mit unseren US-Auftragsverarbeitern Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

    Betroffene Anbieter: Supabase Inc., Vercel Inc., Stripe Inc., OpenAI Inc., Resend Inc.

    Du kannst den DPF-Zertifizierungsstatus der genannten Anbieter jederzeit unter https://www.dataprivacyframework.gov überprüfen.

    8. Cookies und Tracking

    Wir verwenden keine Tracking-Cookies, keine Werbe-Tracker und kein Re-Targeting. Ein Cookie-Banner ist daher nicht erforderlich.

      Folgende technisch notwendige Speicherungen werden im Browser vorgenommen:
    • Supabase Auth Token (localStorage): Für die Aufrechterhaltung deiner Anmeldung
    • Theme-Einstellung (localStorage): Für deine bevorzugte Darstellung (Dark/Light Mode)
    • Beta-Zugang (localStorage): Temporär für die Betaphase

    Diese Speicherungen sind für den Betrieb der Plattform technisch erforderlich und fallen nicht unter die Einwilligungspflicht.

    9. Speicherdauer und Löschfristen

    | Datenkategorie | Speicherdauer |
    |---|---|
    | Kundenkonto und Profildaten | Bis zur Löschung des Kontos durch den Nutzer |
    | Buchungsdaten | 10 Jahre nach Abschluss des Vorgangs (§ 147 AO) |
    | Consent-Formulare (Gesundheitsdaten) | 10 Jahre ab Erstellung (gesetzliche Aufbewahrungspflicht) |
    | Rechnungs- und Zahlungsdaten | 10 Jahre (§ 147 AO, § 257 HGB) |
    | Chat-Nachrichten | Bis zur Löschung des Kontos |
    | Generierte Designs | Bis zur Löschung durch den Nutzer oder Löschung des Kontos |
    | Community-Interaktionen (Likes, Follows) | Bis zur Löschung des Kontos |
    | Technische Zugriffsdaten (Logs) | 30 Tage |
    | E-Mail-Versandprotokolle | 90 Tage |

    10. Betroffenenrechte

      Du hast jederzeit folgende Rechte:
    • Auskunft (Art. 15 DSGVO): Welche Daten wir über dich gespeichert haben
    • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
    • Löschung (Art. 17 DSGVO): Löschung deiner Daten, soweit keine Aufbewahrungspflichten bestehen
    • Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
    • Datenübertragbarkeit (Art. 20 DSGVO): Erhalt deiner Daten in einem gängigen, maschinenlesbaren Format
    • Widerspruch (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen
    • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit mit Wirkung für die Zukunft

    Zur Ausübung deiner Rechte wende dich an: info@tattzoo.de

    Wir werden deine Anfrage innerhalb von 30 Tagen beantworten.

    11. Automatisierte Entscheidungsfindung

    Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt. Die KI-Bildgenerierung erzeugt Designvorschläge, trifft jedoch keine Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung.

    12. Pflicht zur Bereitstellung von Daten

    Die Bereitstellung personenbezogener Daten ist teilweise gesetzlich oder vertraglich vorgeschrieben bzw. für einen Vertragsabschluss erforderlich. Bei der Registrierung sind E-Mail-Adresse und Passwort erforderlich, um den Dienst nutzen zu können. Für Buchungen sind die jeweiligen buchungsrelevanten Daten erforderlich. Ohne diese Daten kann der jeweilige Dienst nicht erbracht werden.

    13. Konto-Löschung

    Du kannst dein Konto jederzeit in den Einstellungen selbst löschen. Dabei werden alle personenbezogenen Daten anonymisiert oder gelöscht. Ausgenommen sind Daten, für die gesetzliche Aufbewahrungspflichten bestehen (siehe Abschnitt 9).

    14. Datensicherheit

      Wir setzen technische und organisatorische Maßnahmen zum Schutz deiner Daten ein:
    • Verschlüsselte Übertragung aller Daten (TLS/HTTPS)
    • Row-Level Security auf Datenbankebene (jeder Nutzer sieht nur seine eigenen Daten)
    • Verschlüsselte Speicherung sensibler Daten (Passwörter mit bcrypt, Consent-Formulare in gesichertem Speicher)
    • Zugriffskontrollen und rollenbasierte Berechtigungen
    • Regelmäßige Sicherheitsüberprüfungen
    • Serverstandort ausschließlich in der EU (Frankfurt am Main)

    15. Beschwerderecht

    Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

    Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
    Promenade 18
    91522 Ansbach
    https://www.lda.bayern.de

    16. Änderungen dieser Datenschutzerklärung

    Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage oder Änderungen unserer Plattform anzupassen. Die aktuelle Version ist stets unter https://tattzoo.de/datenschutz abrufbar.