Datenschutzerklärung
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Plattform ist:
CrownSolutions Inhaber: Tobias Brügmann Ihlsee 1 23701 Süsel E-Mail: tobi@crown-solutions.de
2. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO i.V.m. § 38 BDSG für CrownSolutions nicht erforderlich. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an den Inhaber unter tobi@crown-solutions.de.
3. Geltungsbereich und unsere Rolle
CrownBooking ist eine Software-as-a-Service-Plattform für Dienstleister.
Wir verarbeiten Ihre Daten als Geschäftskunde als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Daten, die Sie über CrownBooking von Ihren eigenen Endkunden erheben (z.B. Buchungen über Ihre Buchungsseite), verarbeiten wir ausschließlich im Auftrag und nach Ihren Weisungen als Auftragsverarbeiter (Art. 28 DSGVO).
Diese Datenschutzerklärung beschreibt ausschließlich die Verarbeitung in unserer Rolle als Verantwortlicher.
4. Hosting
Die Plattform wird in Rechenzentren der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, in Deutschland gehostet. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Rechenzentren sind nach ISO/IEC 27001 zertifiziert.
5. Server-Logfiles
Bei jedem Zugriff auf crownbooking.de werden automatisch folgende Daten erfasst und für maximal 14 Tage gespeichert:
- IP-Adresse (gekürzt)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene Seite/Datei
- Übertragene Datenmenge
- Browser und Betriebssystem (User-Agent)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung der Systemsicherheit, der Erkennung von Missbrauch und der Fehleranalyse.
6. Cookies
Wir verwenden ausschließlich technisch erforderliche Cookies. Es findet kein Tracking, keine Reichweitenanalyse und keine Werbung statt. Daher ist kein Cookie-Banner erforderlich.
| Cookie | Zweck | Lebensdauer | Eigenschaften |
|---|---|---|---|
authjs.session-token | Aufrechterhaltung Ihrer Anmeldung (NextAuth) | 30 Tage | httpOnly, secure, SameSite=Strict |
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. b DSGVO (technisch unbedingt erforderlich für die Bereitstellung des angefragten Dienstes).
7. Account-Registrierung und Anmeldung
Bei der Registrierung als Geschäftskunde verarbeiten wir folgende Daten:
- Name, Firma, Anschrift
- E-Mail-Adresse
- Passwort (gespeichert ausschließlich als bcrypt-Hash, nicht im Klartext)
- Telefonnummer (optional, sofern im späteren Onboarding angegeben)
- Login-Zeitpunkte und IP-Adresse zur Anmeldung
Zweck: Bereitstellung der Plattform, Authentifizierung, Vertragsabwicklung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis zur Beendigung des Vertragsverhältnisses, anschließend Löschung oder Anonymisierung innerhalb von 12 Monaten — ausgenommen Daten, die wir aufgrund gesetzlicher Aufbewahrungspflichten (siehe Abschnitt 10) länger speichern müssen.
8. Account-Löschung
Sie können Ihren Account jederzeit selbst in den Einstellungen löschen. Vor der Löschung erhalten Sie automatisch eine E-Mail an die hinterlegte Adresse; sofern Buchungs- oder Kundendaten vorhanden sind, ist dieser eine ZIP-Datei mit Ihrem Datenexport beigefügt (Datenübertragbarkeit gemäß Art. 20 DSGVO). Anschließend werden sämtliche zu Ihrem Betrieb gehörenden Daten unwiderruflich aus unserer aktiven Datenbank entfernt; ein laufendes Abonnement wird im selben Vorgang bei unserem Zahlungsdienstleister gekündigt.
Automatische Löschung bei längerer Inaktivität: Besteht kein aktives Abonnement mehr und nutzen Sie die Plattform über einen längeren Zeitraum nicht, löschen wir Ihren Account in zwei Stufen automatisch. Nach 166 Tagen Inaktivität versenden wir eine Vorwarnung per E-Mail; weitere 14 Tage später erfolgt die endgültige Löschung. Während eines aktiven Abonnements findet keine automatische Löschung statt.
Rechtsgrundlage: Art. 17 DSGVO (Recht auf Löschung) und Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung).
9. Vertragsabwicklung und Plattform-Nutzung
Während der Nutzung der Plattform verarbeiten wir Daten zu Mitarbeitern, Dienstleistungen, Öffnungszeiten und sonstige Konfigurationen, die Sie als Geschäftskunde selbst pflegen.
Zweck: Bereitstellung der vertraglich vereinbarten Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Für die Dauer des Vertragsverhältnisses.
10. Zahlungsabwicklung
Für die Abwicklung von Abonnementzahlungen nutzen wir Creem (Armitage Labs OÜ, Telliskivi tn 57b/1, 10412 Tallinn, Estland). Creem ist Merchant of Record und damit rechtlich Verkäufer gegenüber dem Geschäftskunden; CrownSolutions tritt als Anbieter der Software auf.
Übermittelte Daten: Name, E-Mail-Adresse des Geschäftskunden, Tenant-Metadaten (Abonnement-ID, Plan); keine Zahlungsmittel-Daten (diese werden direkt auf den Servern von Creem verarbeitet).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Drittlandtransfer: Creem hat seinen Sitz in Estland (EU/EWR). Creem setzt jedoch eigene Sub-Auftragsverarbeiter (z.B. für Cloud-Infrastruktur und Hilfsdienste) ein, die teilweise in Drittländern wie den USA ansässig sind. Diese Übermittlungen erfolgen auf Grundlage geeigneter Garantien gemäß Kapitel V DSGVO — Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO und/oder dem EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.7.2023). Die vollständige Liste der Sub-Auftragsverarbeiter finden Sie unter creem.io/dpa.
Aufbewahrungspflicht: Rechnungs- und Zahlungsdaten unterliegen einer gesetzlichen Aufbewahrungsfrist von 10 Jahren (§ 147 Abs. 3 AO).
11. E-Mail-Versand
Für den Versand von System-E-Mails (Account-Bestätigung, Passwort-Reset, Support-Antworten) nutzen wir den deutschen Anbieter IONOS SE, Elgendorfer Str. 57, 56410 Montabaur. Die Übertragung erfolgt verschlüsselt (STARTTLS, TLS erzwungen).
Übermittelte Daten: Empfänger-E-Mail-Adresse, Inhalt der Nachricht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation).
Drittlandtransfer: Nein. Mit IONOS besteht ein Auftragsverarbeitungsvertrag.
12. Audit-Trail
Sicherheitsrelevante Datenoperationen (Logins, Änderungen an personenbezogenen Daten, administrative Aktionen) werden in einem Audit-Trail mit Zeitstempel, ausführender Identität und Vorgangstyp protokolliert. Dies dient der Nachvollziehbarkeit und Erfüllung der Eingabekontrolle nach Art. 32 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Nachvollziehbarkeit) i.V.m. Art. 32 DSGVO.
Speicherdauer: Audit-Trail-Einträge werden gemäß einer eigenen Aufbewahrungs- und Löschstrategie verarbeitet.
13. Technische Fehlerprotokollierung
Tritt im Frontend ein technischer Fehler auf, wird dieser zur Fehleranalyse intern protokolliert. Erfasst werden: Fehlermeldung, Stack-Trace, aufgerufene URL, User-Agent sowie eine pseudonyme Konto-Kennung. Es findet keine Übermittlung an externe Drittanbieter statt — die Daten verbleiben auf unseren eigenen Servern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen, fehlerfreien Plattform).
14. Externe Links (Google Maps)
In bestimmten Bereichen der Plattform werden Adressen als anklickbare Links zu Google Maps dargestellt. Es findet keine Einbettung von Google Maps in die Seite statt; ein Aufruf von Google erfolgt erst nach aktivem Klick auf den Link. Erst dann werden Daten (insbesondere die IP-Adresse) an Google übermittelt. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
15. Empfänger / Auftragsverarbeiter
| Auftragsverarbeiter | Sitz | Zweck | AVV |
|---|---|---|---|
| Hetzner Online GmbH | Deutschland | Hosting Server, Datenbank, Backups | abgeschlossen |
| IONOS SE | Deutschland | E-Mail-Versand | abgeschlossen |
| Creem (Armitage Labs OÜ) | Estland (EU) | Zahlungsabwicklung | über Merchant Terms wirksam (creem.io/dpa) |
Eine darüber hinausgehende Weitergabe von Daten erfolgt nicht, sofern nicht eine gesetzliche Verpflichtung besteht.
16. Drittlandtransfers
Direkte Datenübermittlungen in Drittländer außerhalb der EU/des EWR finden durch uns nicht statt. Die in Abschnitt 10 erwähnten Sub-Auftragsverarbeiter unseres Zahlungsdienstleisters Creem haben teilweise Sitz in Drittländern. Die rechtlichen Garantien dafür sind in Abschnitt 10 beschrieben.
17. Sicherheit der Verarbeitung
Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO um, unter anderem:
- TLS 1.2 oder höher für alle Datenübertragungen (TLS 1.3 bevorzugt)
- bcrypt-Passwort-Hashing mit erzwungener Mindestlänge von 12 Zeichen
- GPG-verschlüsselte tägliche Backups (RSA-4096)
- Strikte Mandantentrennung
- Audit-Trail für sicherheitsrelevante Aktionen
- 24/7-Monitoring der Infrastruktur
Sicherungskopien: Jede Nacht werden alle Datenbanken und Konfigurationen verschlüsselt gesichert und auf einem getrennten Speicher (Hetzner Storage Box, Standort Deutschland) abgelegt. Die Aufbewahrung erfolgt rollierend: 7 tägliche, 4 wöchentliche und 3 monatliche Sicherungen. Spätestens nach 90 Tagen wird jede Sicherung automatisch überschrieben. Wird ein Backup wieder eingespielt, werden zwischenzeitlich gelöschte personenbezogene Daten erneut entfernt.
Eine ausführliche Darstellung finden Sie in unserem Sicherheitskonzept unter crown-solutions.de/sicherheitskonzept.
18. Ihre Rechte als betroffene Person
Nach der DSGVO stehen Ihnen folgende Rechte zu:
- Auskunft (Art. 15 DSGVO) über die zu Ihrer Person gespeicherten Daten
- Berichtigung (Art. 16 DSGVO) unrichtiger Daten
- Löschung (Art. 17 DSGVO), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) in einem strukturierten, maschinenlesbaren Format
- Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage berechtigter Interessen
Zur Ausübung Ihrer Rechte wenden Sie sich an: tobi@crown-solutions.de.
19. Widerrufsrecht bei Einwilligungen
Sofern eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
20. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für CrownSolutions zuständig ist:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Holstenstraße 98 24103 Kiel www.datenschutzzentrum.de
21. Pflicht zur Bereitstellung der Daten
Die Bereitstellung Ihrer personenbezogenen Daten ist für die Nutzung der Plattform erforderlich. Ohne diese Daten können wir keinen Account anlegen und unsere Leistungen nicht erbringen.
22. Automatisierte Entscheidungsfindung, Profiling und KI-Einsatz
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO und kein Profiling statt. Es werden keine KI-Systeme eingesetzt, die personenbezogene Daten unserer Geschäftskunden für Entscheidungen, Scoring oder Training verwenden.
23. Keine Analyse, kein Tracking, keine Werbung
Es werden keine Analyse-, Tracking- oder Werbe-Tools eingesetzt — weder Google Analytics, Plausible, Matomo, PostHog, Mixpanel noch andere. E-Mails enthalten keine Tracking-Pixel. Es findet keine pseudonyme Nutzeranalyse statt.
Wir versenden keine Newsletter und keine werbliche Kommunikation. Marketing-E-Mails (z.B. zu neuen Produktfunktionen) versenden wir ausschließlich nach gesondert eingeholter Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die jederzeit widerrufen werden kann.
24. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienstleistungen anzupassen. Die jeweils aktuelle Version ist unter crownbooking.de/datenschutz abrufbar.
Version 1.0 – Stand 10. Mai 2026