Plan Oase

Datenschutzerklaerung

Stand: 2026-05-28

1. Verantwortlicher

Spueren spueren – Koerperarbeit Inh. Nils Kunz Bellealliancestr. 37 20259 Hamburg Deutschland E-Mail: nils.kunz@gmx.de

Vollstaendige Kontaktdaten siehe Impressum.

Diese Erklärung gilt für die Nutzung der SaaS-Anwendung Plan Oase durch die Studio-Betreiber (Tenants). Für die Verarbeitung von Endkunden-Buchungsdaten ist das jeweilige Studio Verantwortlicher, Plan Oase ist Auftragsverarbeiter nach Art. 28 DSGVO (AVV).

2. Erhobene Daten

  • Signup: Studio-Name, Studio-Kürzel (Slug), Admin- und Team-E-Mail-Adresse, Passwörter als bcrypt-Hash (cost 12) — die Klartext-Passwörter sind dem Anbieter zu keinem Zeitpunkt bekannt.
  • Login: IP-Adresse für Rate-Limit-Zeitfenster (10 Minuten, danach automatisch gelöscht).
  • Session: verschluesseltes HTTP-Cookie plan-oase-session (iron-session, HttpOnly, Secure, SameSite=Lax). Inhalt: Tenant-ID und User-Rolle, keine personenbezogenen Klartextdaten.
  • Billing: Stripe-Customer-ID. Zahlungsdaten selbst verarbeitet Stripe (siehe Punkt 4); wir speichern keine Kreditkarten-, SEPA- oder Bankkonto-Daten.
  • Audit-Log: Sicherheits- und Compliance-relevante Aktionen (Login, Passwortwechsel, Datenexport, Loeschungen) mit Zeitstempel und User-ID. Rechtsgrundlage: berechtigtes Interesse an Forensik und Manipulations-Nachweis (Art. 6 Abs. 1 lit. f DSGVO).
  • System-Mails: E-Mail-Adressen, an die wir transaktionale Nachrichten versenden (Signup-Bestätigung, Passwort-Reset, Trial-Ende-Erinnerung, Rechnungen). Versand erfolgt über den im Anhang aufgefuehrten SMTP-Dienstleister.

3. Zwecke und Rechtsgrundlagen

  • Vertragserfuellung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Buchungs- und Schichtplanungs-Software, Trial- Verwaltung, Abrechnung.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Rate-Limiting, Missbrauchs-Abwehr, IT-Sicherheit, Forensik im Schadensfall.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Steuerliche Aufbewahrungsfristen für Rechnungsdaten (10 Jahre, § 147 AO).

4. Empfaenger / Auftragsverarbeiter

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Hosting der Anwendung und der Datenbank in deutschen Rechenzentren (Nuernberg/Falkenstein). AVV nach Art. 28 DSGVO geschlossen (Version 1.2 vom 16.02.2026, abgeschlossen 28.05.2026). Als von Hetzner genehmigter Sub-Auftragsverarbeiter für technischen Support in der EU eingesetzt: Hetzner Finland Oy, Huurrekuja 10, 04360 Tuusula, Finnland.
  • Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland — Zahlungsabwicklung und Rechnungsstellung. Stripe verarbeitet Zahlungsdaten als eigener Verantwortlicher gemaess seiner Datenschutzerklaerung. Eine Uebermittlung an die Stripe-Konzernmutter in den USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheits- beschluss der EU-Kommission vom 10.07.2023) und der Standard- vertragsklauseln.

5. Speicherdauer

  • Tenant aktiv: Dauer des Vertragsverhaeltnisses.
  • Trial ohne Upgrade: 14 Tage; danach unwiderrufliche Löschung saemtlicher Tenant-Daten am Ende des Tages, an dem die Frist endet.
  • Nach regulaerer Kuendigung: 30 Tage Cancel-Retention (Wiederherstellung möglich), danach unwiderrufliche Löschung saemtlicher Buchungs- und Stammdaten.
  • Pre-Hard-Delete-Datenexport: 30 Tage nach Bereitstellung verfuegbar, danach Löschung der Export-Datei (SPEC §14.6.1).
  • Audit-Log: 3 Jahre nach Tenant-Löschung (Forensik- und Compliance- Nachweis).
  • Login-Versuche / IP-Logs: 10 Minuten (Rate-Limit-Zeitfenster).
  • Rechnungsdaten: 10 Jahre nach steuerrechtlicher Pflicht (§ 147 AO).

6. Cookies

Wir setzen ausschliesslich ein technisch notwendiges Session-Cookie (plan-oase-session) ein. Es ist HTTP-Only, Secure und SameSite=Lax konfiguriert, hat keine Trackingfunktion und ist für den Login zwingend erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG, keine Einwilligung erforderlich). Wir setzen keine Drittanbieter-Tracking-, Analyse- oder Werbecookies ein.

7. Betroffenenrechte (Art. 15-22 DSGVO)

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschraenkung der Verarbeitung (Art. 18), Datenuebertragbarkeit (Art. 20) und Widerspruch (Art. 21). Sofern die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese mit Wirkung für die Zukunft jederzeit widerrufen.

8. Beschwerderecht

Sie können sich jederzeit bei der zustaendigen Datenschutz- Aufsichtsbehoerde beschweren. Für den Anbieter zustaendig ist: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Ludwig-Erhard-Str. 22, 7. OG 20459 Hamburg Telefon: +49 40 428 54-4040 E-Mail: mailbox@datenschutz.hamburg.de Web: https://datenschutz-hamburg.de

9. Kontakt für Anfragen Betroffener (SAR)

datenschutz@plan-oase.de

Zur Verifizierung Ihrer Identitaet können wir Rueckfragen stellen (etwa Bestätigung über die im System hinterlegte E-Mail-Adresse). Anfragen werden innerhalb der gesetzlichen Frist von 30 Tagen (Art. 12 Abs. 3 DSGVO) beantwortet.

10. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklaerung an geaenderte Rechtslage oder Funktionsumfang anzupassen. Die jeweils aktuelle Version ist unter dieser URL abrufbar. Bei wesentlichen Änderungen werden bestehende Tenants per E-Mail informiert.