Plan Oase

Datenschutzerklaerung

Stand: 2026-05-28

1. Verantwortlicher

Spueren spueren – Koerperarbeit Inh. Nils Kunz Bellealliancestr. 37 20259 Hamburg Deutschland E-Mail: nils.kunz@gmx.de

Vollstaendige Kontaktdaten siehe Impressum.

Diese Erklaerung gilt fuer die Nutzung der SaaS-Anwendung Plan Oase durch die Studio-Betreiber (Tenants). Fuer die Verarbeitung von Endkunden-Buchungsdaten ist das jeweilige Studio Verantwortlicher, Plan Oase ist Auftragsverarbeiter nach Art. 28 DSGVO (AVV).

2. Erhobene Daten

  • Signup: Studio-Name, Studio-Kuerzel (Slug), Admin- und Team-E-Mail-Adresse, Passwoerter als bcrypt-Hash (cost 12) — die Klartext-Passwoerter sind dem Anbieter zu keinem Zeitpunkt bekannt.
  • Login: IP-Adresse fuer Rate-Limit-Zeitfenster (10 Minuten, danach automatisch geloescht).
  • Session: verschluesseltes HTTP-Cookie plan-oase-session (iron-session, HttpOnly, Secure, SameSite=Lax). Inhalt: Tenant-ID und User-Rolle, keine personenbezogenen Klartextdaten.
  • Billing: Stripe-Customer-ID. Zahlungsdaten selbst verarbeitet Stripe (siehe Punkt 4); wir speichern keine Kreditkarten-, SEPA- oder Bankkonto-Daten.
  • Audit-Log: Sicherheits- und Compliance-relevante Aktionen (Login, Passwortwechsel, Datenexport, Loeschungen) mit Zeitstempel und User-ID. Rechtsgrundlage: berechtigtes Interesse an Forensik und Manipulations-Nachweis (Art. 6 Abs. 1 lit. f DSGVO).
  • System-Mails: E-Mail-Adressen, an die wir transaktionale Nachrichten versenden (Signup-Bestaetigung, Passwort-Reset, Trial-Ende-Erinnerung, Rechnungen). Versand erfolgt ueber den im Anhang aufgefuehrten SMTP-Dienstleister.

3. Zwecke und Rechtsgrundlagen

  • Vertragserfuellung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Buchungs- und Schichtplanungs-Software, Trial- Verwaltung, Abrechnung.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Rate-Limiting, Missbrauchs-Abwehr, IT-Sicherheit, Forensik im Schadensfall.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Steuerliche Aufbewahrungsfristen fuer Rechnungsdaten (10 Jahre, § 147 AO).

4. Empfaenger / Auftragsverarbeiter

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Hosting der Anwendung und der Datenbank in deutschen Rechenzentren (Nuernberg/Falkenstein). AVV nach Art. 28 DSGVO geschlossen (Version 1.2 vom 16.02.2026, abgeschlossen 28.05.2026). Als von Hetzner genehmigter Sub-Auftragsverarbeiter fuer technischen Support in der EU eingesetzt: Hetzner Finland Oy, Huurrekuja 10, 04360 Tuusula, Finnland.
  • Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland — Zahlungsabwicklung und Rechnungsstellung. Stripe verarbeitet Zahlungsdaten als eigener Verantwortlicher gemaess seiner Datenschutzerklaerung. Eine Uebermittlung an die Stripe-Konzernmutter in den USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheits- beschluss der EU-Kommission vom 10.07.2023) und der Standard- vertragsklauseln.

5. Speicherdauer

  • Tenant aktiv: Dauer des Vertragsverhaeltnisses.
  • Trial ohne Upgrade: 14 Tage; danach unwiderrufliche Loeschung saemtlicher Tenant-Daten am Ende des Tages, an dem die Frist endet.
  • Nach regulaerer Kuendigung: 30 Tage Cancel-Retention (Wiederherstellung moeglich), danach unwiderrufliche Loeschung saemtlicher Buchungs- und Stammdaten.
  • Pre-Hard-Delete-Datenexport: 30 Tage nach Bereitstellung verfuegbar, danach Loeschung der Export-Datei (SPEC §14.6.1).
  • Audit-Log: 3 Jahre nach Tenant-Loeschung (Forensik- und Compliance- Nachweis).
  • Login-Versuche / IP-Logs: 10 Minuten (Rate-Limit-Zeitfenster).
  • Rechnungsdaten: 10 Jahre nach steuerrechtlicher Pflicht (§ 147 AO).

6. Cookies

Wir setzen ausschliesslich ein technisch notwendiges Session-Cookie (plan-oase-session) ein. Es ist HTTP-Only, Secure und SameSite=Lax konfiguriert, hat keine Trackingfunktion und ist fuer den Login zwingend erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG, keine Einwilligung erforderlich). Wir setzen keine Drittanbieter-Tracking-, Analyse- oder Werbecookies ein.

7. Betroffenenrechte (Art. 15-22 DSGVO)

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung der Verarbeitung (Art. 18), Datenuebertragbarkeit (Art. 20) und Widerspruch (Art. 21). Sofern die Verarbeitung auf Ihrer Einwilligung beruht, koennen Sie diese mit Wirkung fuer die Zukunft jederzeit widerrufen.

8. Beschwerderecht

Sie koennen sich jederzeit bei der zustaendigen Datenschutz- Aufsichtsbehoerde beschweren. Fuer den Anbieter zustaendig ist: Der Hamburgische Beauftragte fuer Datenschutz und Informationsfreiheit (HmbBfDI) Ludwig-Erhard-Str. 22, 7. OG 20459 Hamburg Telefon: +49 40 428 54-4040 E-Mail: mailbox@datenschutz.hamburg.de Web: https://datenschutz-hamburg.de

9. Kontakt fuer Anfragen Betroffener (SAR)

datenschutz@plan-oase.de

Zur Verifizierung Ihrer Identitaet koennen wir Rueckfragen stellen (etwa Bestaetigung ueber die im System hinterlegte E-Mail-Adresse). Anfragen werden innerhalb der gesetzlichen Frist von 30 Tagen (Art. 12 Abs. 3 DSGVO) beantwortet.

10. Aenderungen dieser Erklaerung

Wir behalten uns vor, diese Datenschutzerklaerung an geaenderte Rechtslage oder Funktionsumfang anzupassen. Die jeweils aktuelle Version ist unter dieser URL abrufbar. Bei wesentlichen Aenderungen werden bestehende Tenants per E-Mail informiert.