Datenschutzerklärung

für die Inhalte und Funktionen des eviyo Buchungssystems (nachfolgend „Services")

Stand: Mai 2026

Einleitung

Datenschutzerklärungen sind oft schwer zu lesen. Das verstehen wir. Und möchten es anders machen. Wir möchten Dir mit unserer Datenschutzerklärung eine einfach verständliche Erklärung über die Art und Weise der Verarbeitung Deiner personenbezogenen Daten durch uns geben. Hierfür gliedern wir unsere Datenschutzerklärung klar strukturiert für Dich auf und zeigen Dir zu jedem Themenbereich, ob und wie wir Deine personenbezogenen Daten verarbeiten.

Inhaltsverzeichnis

  1. Allgemeines
  2. Allgemeine Informationen zur Datenverarbeitung
  3. Betroffenenrechte
  4. Angaben zu den verwendeten Cookies und weiteren Technologien
  5. Datenverarbeitung im Zusammenhang mit der Nutzung unserer Services
  6. Kommunikations-Services
  7. Buchungsabwicklung über das Buchungssystem
  8. Payment-Abwicklung
  9. Bereitstellung unserer Services (Hosting & Backend)
  10. Tracking & Tools
  11. Fanpages auf Social Media

1. Allgemeines

Der Schutz Deiner personenbezogenen Daten und Deiner Privatsphäre ist uns überaus wichtig. Deshalb möchten wir Dir umfassende Transparenz bezüglich der Verarbeitung Deiner personenbezogenen Daten (DSGVO) sowie bezüglich der Speicherung von Informationen auf Deinem Endgerät (TDDDG) bieten. Denn nur, wenn die Verarbeitung von personenbezogenen Daten und Informationen für Dich als betroffene Person nachvollziehbar ist, bist Du ausreichend über den Umfang, die Zwecke und den Nutzen der Verarbeitung informiert.

Diese Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten sowie für die Speicherung von Informationen auf Deinen Endgeräten. Sie gilt also sowohl im Rahmen der Erbringung unserer Leistungen im Buchungssystem (für Anbieter wie auch für deren Endkundinnen und Endkunden) als auch innerhalb externer Onlinepräsenzen wie z.B. unserer Social-Media-Fanpages.

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie sonstiger datenschutzrechtlicher Vorgaben ist die

Aleyna Kirmizi & Kristina Baric eviyo GbR
Pfaffenweg 34
89231 Neu-Ulm
Deutschland
Telefon: +49 176 47090180
E-Mail: team@eviyo.de

Im Folgenden „Verantwortlicher" oder „wir" genannt.

Hinweis für Endkundinnen und Endkunden: Wenn Du über das eviyo Buchungssystem eine Aktivität bei einem Anbieter buchst, ist der jeweilige Anbieter (z.B. der Karting-Park, das Yoga-Studio etc.) für die mit der Aktivität verbundene Datenverarbeitung eigenständig verantwortlich. Die eviyo GbR ist insoweit Auftragsverarbeiter des Anbieters im Sinne von Art. 28 DSGVO und stellt das Buchungssystem als technische Plattform bereit.

2. Allgemeine Informationen zur Datenverarbeitung

2.1 Verarbeitung personenbezogener Daten

Personenbezogene Daten (nachfolgend auch „Daten") sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise:

  • Personaldaten – Name, Geburtsdatum
  • Kommunikationsdaten – Anschrift, Telefonnummer, E-Mail-Adresse
  • Kontodaten – Konto-, Kreditkartennummer (verarbeitet ausschließlich durch unseren Zahlungsdienstleister)
  • Geodaten – IP-Adresse & Standortdaten

2.2 Rechtliche Grundlagen zur Verarbeitung Deiner personenbezogenen Daten

Wir verarbeiten personenbezogene Daten nur innerhalb der rechtlich zulässigen Grenzen. Diese rechtlichen Grundlagen sind in Art. 6 Abs. 1 DSGVO normiert.

  • Einwilligung – Art. 6 Abs. 1 lit. a DSGVO
  • Zur Vertragserfüllung – Art. 6 Abs. 1 lit. b DSGVO
  • Berechtigtes Interesse – Art. 6 Abs. 1 lit. f DSGVO

2.3 Diese Datenkategorien verarbeiten wir

  • Stammdaten (z.B. Namen, Anschriften)
  • Kontaktdaten (z.B. E-Mail-Adressen, Telefonnummern)
  • Inhaltsdaten (z.B. Texteingaben in Buchungsformularen, Anbieter-Profile)
  • Vertragsdaten (z.B. gebuchte Aktivität, Variante, Slot, Teilnehmerzahl, Preis)
  • Zahlungsdaten (durch Stripe; siehe Ziff. 8)
  • Nutzungsdaten (z.B. Buchungs-Historie, Zugriffszeiten)
  • Verbindungsdaten (z.B. Geräte-Informationen, IP-Adressen)

2.4 Sicherheitsmaßnahmen

Nach Maßgabe der gesetzlichen Vorgaben und unter Berücksichtigung des Stands der Technik treffen wir geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählen u.a. transportverschlüsselte Datenübertragung per HTTPS/TLS, Zugangskontrollen zu unseren Datenbanken (Row-Level-Security in Supabase), regelmäßige Backups sowie das Prinzip der Datenminimierung. Stripe-Zahlungsdaten werden ausschließlich bei Stripe (PCI-DSS zertifiziert) gespeichert; wir selbst speichern keine Kreditkarten- oder Bankverbindungsdaten.

2.5 Übermittlung an Dritte

Im Rahmen unserer Verarbeitungsmaßnahmen Deiner personenbezogenen Daten kommt es vor, dass diese Daten an andere Stellen übermittelt oder offengelegt werden. Diese Dritten können z.B. unsere Zahlungsdienstleister (Stripe), Hosting-/Infrastruktur-Anbieter (Vercel, Supabase) sowie der Anbieter (Provider), bei dem Du eine Aktivität buchst, sein. Wir schließen mit allen Auftragsverarbeitern entsprechende Verträge nach Art. 28 DSGVO.

2.6 Drittlandübermittlung

Einige unserer Dienstleister (insb. Vercel, Stripe) sind in den USA ansässig. Eine Drittlandübermittlung erfolgt nur in Übereinstimmung mit den gesetzlichen Vorgaben (Art. 44 ff. DSGVO). Die Datenübertragung in die USA stützt sich auf den Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 zum EU-US Data Privacy Framework (DPF) sowie auf die EU-Standardvertragsklauseln.

2.7 Löschung von Daten

Die von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht, sobald deren zur Verarbeitung erlaubten Einwilligungen widerrufen werden oder sonstige Erlaubnisse entfallen. Für Buchungsdaten gelten handels- und steuerrechtliche Aufbewahrungspflichten (in der Regel 10 Jahre nach § 147 AO).

3. Betroffenenrechte

Werden Deine personenbezogenen Daten verarbeitet, bist Du Betroffener i.S.d. DSGVO und es stehen Dir folgende Rechte gegenüber dem Verantwortlichen zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Deine Anfragen kannst Du formlos per E-Mail an team@eviyo.de richten. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling erfolgen nicht.

4. Angaben zu den verwendeten Cookies und weiteren Technologien

Wir nutzen Cookies und vergleichbare Technologien (z.B. Local Storage, Session-Cookies, Authentifizierungs-Tokens), um unsere Services zu erbringen. Funktionale Cookies sind für den technischen Betrieb des Buchungssystems erforderlich (z.B. um Dich nach dem Login eingeloggt zu halten oder um den Warenkorb zwischen Seitenaufrufen zu persistieren). Diese werden auf Basis von § 25 Abs. 2 Nr. 2 TDDDG gesetzt.

Sofern wir Statistik- oder Marketing-Cookies einsetzen, holen wir dafür Deine Einwilligung (§ 25 Abs. 1 TDDDG) über einen Consent-Banner ein. Diese kannst Du jederzeit widerrufen.

Konkret setzt das Buchungssystem folgende notwendige Cookies/Tokens:

  • Supabase-Auth-Cookies (sb-*-auth-token) – speichern Deine Login-Session.
  • Lokaler Speicher (eviyo:cart) – speichert ausgewählte Slots vor dem Checkout.
  • Stripe-Cookies (__stripe_*) – für die Zahlungsabwicklung sowie zur Betrugsprävention.

5. Datenverarbeitung im Zusammenhang mit der Nutzung unserer Services

5.1 Informatorische Nutzung

Das rein informatorische Aufrufen unserer Services erfordert eine Verarbeitung von folgenden personenbezogenen Daten und Informationen: Gerätetyp und Geräteversion, verwendetes Betriebssystem, IP-Adresse des Endgeräts, Uhrzeit des Aufrufs. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Funktionsfähigkeit).

5.2 Registrierung als Anbieter

Wenn Du Dich als Anbieter (Provider) im eviyo Buchungssystem registrierst, verarbeiten wir folgende Daten: Name, E-Mail-Adresse, Passwort (gehasht über Supabase Auth), Unternehmensdaten (Firmenname, Anschrift, USt-IdNr., Steuer-Nr.), Bankverbindung sowie ggf. weitere im Onboarding angegebene Daten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Deine Daten werden in einer von Supabase betriebenen PostgreSQL-Datenbank gespeichert (siehe Ziff. 9).

5.3 Nutzung des Buchungssystems durch Endkundinnen und Endkunden

Wenn Du als Endkundin oder Endkunde über das Buchungs-Widget eines Anbieters eine Aktivität buchst, werden folgende Daten verarbeitet: Name, E-Mail-Adresse, optional Telefonnummer, gewählte Aktivität / Variante / Slot, Teilnehmerzahl und ggf. weitere Angaben des Anbieters (z.B. Altersangaben). Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Diese Daten werden dem von Dir gewählten Anbieter zur Verfügung gestellt, da die für die Aktivität entstehende Vertragsbeziehung direkt zwischen Dir und dem Anbieter zustande kommt. Die eviyo GbR ist insoweit Auftragsverarbeiter des Anbieters.

5.4 Single Sign-On (SSO)

Über Supabase Auth kannst Du Dich – wenn der Anbieter dies aktiviert hat – mit einem Google-, Apple- oder ähnlichen Drittanbieter-Konto anmelden. Dabei wird Dein Anmeldenamen bzw. ein Identifier an den von Dir gewählten Drittanbieter übertragen. Wir erhalten von dort als Bestätigung einen Token sowie Deine E-Mail-Adresse. Weitere Informationen zur Datenverarbeitung findest Du in der Datenschutzerklärung des jeweiligen Drittanbieters.

6. Kommunikations-Services

6.1 Kontaktaufnahme per E-Mail

Wir verarbeiten Deine personenbezogenen Daten, die Du uns im Rahmen der Kontaktaufnahme zur Verfügung stellst, zum Zweck der Beantwortung Deiner Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. – bei sonstigen Anfragen – Art. 6 Abs. 1 lit. f DSGVO.

6.2 Buchungsbestätigungen und Erinnerungen

Nach Abschluss einer Buchung erhältst Du automatisch eine Buchungsbestätigung per E-Mail. Auf Wunsch des Anbieters können zusätzlich Erinnerungs-E-Mails sowie nach Ablauf der Aktivität eine einmalige Bitte um Bewertung versendet werden. Rechtsgrundlage für die Bestätigung ist Art. 6 Abs. 1 lit. b DSGVO; Rechtsgrundlage für die Bewertungseinladung ist § 7 Abs. 3 UWG i.V.m. Art. 6 Abs. 1 lit. f DSGVO. Du kannst der Verarbeitung jederzeit widersprechen.

7. Buchungsabwicklung über das Buchungssystem

Im Rahmen der Buchung einer Aktivität verarbeiten wir Deine Daten zum Zweck der Bearbeitung und Abwicklung der Buchung sowie zur Gewährleistung der Sicherheit unserer informationstechnischen Systeme. Verarbeitete Datenkategorien sind Stammdaten, Kontaktdaten, Nutzungsdaten, Verbindungsdaten, Vertragsdaten und Zahlungsdaten. Wir geben Deine Daten nicht an unbefugte Dritte weiter.

Die Rechtsgrundlage dieser Verarbeitungsmaßnahmen resultiert aus:

  • Art. 6 Abs. 1 lit. b DSGVO – für die Abwicklung der Buchung
  • Art. 6 Abs. 1 lit. f DSGVO – für die Sicherheit unserer Systeme
  • Art. 6 Abs. 1 lit. c DSGVO – für die Erfüllung steuer- und handelsrechtlicher Pflichten

8. Payment-Abwicklung

Zur Abwicklung von Zahlungen integrieren wir den Payment Service Provider Stripe. Verarbeitete Daten sind dabei Stammdaten, Kontaktdaten, Vertragsdaten und Zahlungsdaten (Kreditkarten- bzw. Bankverbindungsdaten). Die Zahlungsdaten werden ausschließlich bei Stripe erhoben und verarbeitet; wir selbst erhalten lediglich die Information über die Bestätigung oder eine Negativbeauskunftung der Zahlung.

Stripe – Zahlungsabwicklung erfolgt über die Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Die im Rahmen des Bestellvorgangs mitgeteilten Informationen (Name, Anschrift, ggf. Kontonummer, ggf. Kreditkartennummer, Rechnungsbetrag, Währung, Transaktionsnummer) werden gemäß Art. 6 Abs. 1 lit. b DSGVO weitergegeben. Nähere Informationen zum Datenschutz von Stripe findest Du unter https://stripe.com/de/privacy. Eine Drittlandübermittlung in die USA erfolgt auf Basis des EU-US Data Privacy Framework (DPF) sowie der EU-Standardvertragsklauseln.

Stripe behält sich vor, eine Bonitätsprüfung auf der Grundlage mathematisch-statistischer Verfahren durchzuführen, um das berechtigte Interesse an der Feststellung der Zahlungsfähigkeit zu wahren. Du kannst dieser Verarbeitung Deiner Daten jederzeit durch eine Nachricht an Stripe widersprechen; Stripe bleibt jedoch weiterhin berechtigt, Deine personenbezogenen Daten zu verarbeiten, sofern dies zur vertragsgemäßen Zahlungsabwicklung erforderlich ist.

9. Bereitstellung unserer Services (Hosting & Backend)

9.1 Vercel (Hosting der Web-Anwendung)

Zur Auslieferung des Buchungssystems nutzen wir den Dienst „Vercel" der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel ist ein Tool zum Erstellen und Hosten von Websites. Wenn Du unsere Services besuchst, erfasst Vercel Logfiles inklusive Deiner IP-Adresse, Zeitstempel, Browser-Informationen und der angefragten URLs. Sollte Vercel diese Daten in ein Drittland transferieren (insb. die USA), so geschieht dies auf Basis des EU-US Data Privacy Framework (DPF) und der mit Vercel vereinbarten EU-Standardvertragsklauseln. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Darstellung der Website).

Weitere Details zu Vercel kannst Du der Datenschutzerklärung von Vercel entnehmen: https://vercel.com/legal/privacy-policy.

9.2 Supabase (Datenbank, Authentifizierung & Speicher)

Für die Speicherung von Anbieter-, Buchungs- und Kundendaten sowie für die Authentifizierung nutzen wir den Backend-as-a-Service-Dienst „Supabase" der Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992. Die Datenbankserver, auf denen unser Datenbestand betrieben wird, stehen in der Europäischen Union (Region Frankfurt, AWS eu-central-1). Verarbeitet werden alle im Rahmen der Nutzung unserer Services anfallenden personenbezogenen Daten (insb. Stamm-, Kontakt-, Vertrags- und Verbindungsdaten). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO. Mit Supabase haben wir einen Auftragsverarbeitungsvertrag (Data Processing Addendum) gemäß Art. 28 DSGVO geschlossen.

Weitere Details findest Du in der Datenschutzerklärung von Supabase: https://supabase.com/privacy.

9.3 Erhebung von Zugriffsdaten und Logfiles

Wir bzw. Vercel und Supabase erheben Daten zu jedem Zugriff auf den Server (Serverlogfiles). Zu den Serverlogfiles können Adresse und Name der abgerufenen Services und Dateien, Datum und Uhrzeit des Abrufs, übertragene Datenmengen, Meldung über erfolgreichen Abruf, Gerätetyp nebst Version, Betriebssystem, Referrer URL und im Regelfall IP-Adressen sowie der anfragende Provider gehören. Die Serverlogfiles können zu Zwecken der Sicherheit eingesetzt werden, z.B. zur Abwehr von DDoS-Attacken. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

9.4 E-Mail-Versand

Für den Versand transaktionaler E-Mails (Buchungs- bestätigungen, Erinnerungen, Bewertungseinladungen) nutzen wir einen SMTP-Versanddienstleister. Verarbeitet werden Empfänger-E-Mail-Adresse, Absender, Zeitstempel und der Inhalt der E-Mail. E-Mails werden im Internet grundsätzlich nicht Ende-zu-Ende verschlüsselt versendet; sie sind zwischen den Mailservern aber TLS-verschlüsselt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und f DSGVO.

10. Tracking & Tools

10.1 Vercel Web Analytics

Wir nutzen „Vercel Web Analytics" der Vercel Inc., um die Nutzung unserer Services anonymisiert zu analysieren. Vercel Web Analytics ermöglicht es uns, Informationen über die beliebtesten Seiten, Verweiser und Demografien wie Standort, Betriebssysteme und Browser-Informationen zu verfolgen. Dabei werden keine Cookies gesetzt; es erfolgt keine Speicherung oder Verknüpfung von personenbezogenen Daten, alle Datenpunkte sind aggregiert und nicht re-identifizierbar. Die Sitzungsdauer ist auf 24 Stunden begrenzt. Eine Drittlandübermittlung in die USA erfolgt ggf. auf Basis des EU-US Data Privacy Framework (DPF). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

10.2 Google Maps

Wir nutzen Google Maps zur Anzeige interaktiver Karten (z.B. der Standorte unserer Anbieter). Verarbeitete Daten sind Nutzungs-, Standort- und Verbindungsdaten. Empfänger ist die Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Eine Drittlandübermittlung kann erfolgen und ist abgesichert über das EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln. Rechtsgrundlage ist Deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Solltest Du Deine Einwilligung nicht erteilen oder widerrufen, werden Karten nicht geladen.

10.3 Stripe (Betrugsprävention)

Im Rahmen der Zahlungsabwicklung setzt Stripe Cookies und ähnliche Technologien (z.B. __stripe_mid, __stripe_sid) zur Betrugsprävention ein. Diese sind für die sichere Abwicklung Deiner Zahlung zwingend erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und f DSGVO.

11. Fanpages auf Social Media

Wir unterhalten Fanpages auf den Websites der sozialen Netzwerke des Internets (insb. Instagram, LinkedIn, TikTok, Facebook, YouTube). Wir verarbeiten in diesem Rahmen personenbezogene Daten, um mit den dort aktiven Nutzern zu kommunizieren oder um Informationen über uns anzubieten. Wir weisen Dich darauf hin, dass Deine Daten beim Besuch unserer Fanpages außerhalb des Raums der Europäischen Union verarbeitet werden können. Verantwortlich hierfür sind die Betreiber der jeweiligen sozialen Netzwerke. Eine detaillierte Darstellung der jeweiligen Verarbeitungsformen und der Widerspruchsmöglichkeiten findest Du in den Datenschutzerklärungen der jeweiligen Anbieter:

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Deinen erneuten Besuch gilt dann die neue Datenschutzerklärung.

Bei Fragen zum Datenschutz erreichst Du uns jederzeit unter team@eviyo.de.