1. Verantwortlicher
Verantwortlicher für die Datenverarbeitung auf dieser Website und in der mobilen App 'Massage Finder' ist:
2. Allgemeine Hinweise
Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der DSGVO. massage-finder.de ist ein kostenloses Discovery-Portal für Massage-Studios in Deutschland, verfügbar als Website und als mobile App (Android). Die Nutzung als Endkunde ist ohne Registrierung möglich. Studio-Inhaber können ihren Eintrag kostenlos anlegen und verwalten.
3. Zwecke der Verarbeitung
Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:
- Bereitstellung und Sicherheit der Website
- Anzeige und Verwaltung von Studio-Einträgen
- Versand von Magic-Link-E-Mails zur Authentifizierung von Studio-Inhabern
- Versand von Benachrichtigungen im Rahmen des Claim-Prozesses
- Speicherung von Favoriten und Buchungshistorie für eingeloggte Nutzer (Cognito)
- Weiterleitung von Buchungsanfragen an das jeweilige Studio-System
- Seeding und Synchronisation von Studio-Daten aus dem Khun-Nuad-System
- Erfüllung gesetzlicher Pflichten
Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, soweit gesondert eingeholt)
4. Server-Logfiles
Beim Aufruf der Website werden automatisch technische Daten erfasst:
- IP-Adresse
- Datum und Uhrzeit
- aufgerufene Seite
- Referrer-URL
- Browsertyp und Betriebssystem
Diese Daten sind technisch erforderlich für Betrieb, Stabilität und Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
5. Studio-Registrierung und Magic-Link-Auth
Wenn du dein Studio einträgst oder dich per Magic Link anmeldest, verarbeiten wir:
- Studio-Name, Adresse, Telefon, E-Mail
- Google Place ID (sofern über Google-Suche eingetragen)
- Öffnungszeiten, Beschreibung, Website (aus Google Places oder manuell)
- Magic-Link-Token (TTL 48h, in DynamoDB gespeichert)
- Session-Token (TTL 7 Tage, in localStorage gespeichert)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Authentifizierung von Studio-Inhabern und dem Schutz vor unbefugtem Zugriff).
6. Nutzerkonten (Cognito) und Favoriten
Wenn du dich mit Google über Amazon Cognito anmeldest, verarbeiten wir:
- Name, E-Mail-Adresse, Profilbild (von Google übermittelt)
- Cognito User Sub (eindeutige ID)
- Favorisierte Studios (in DynamoDB gespeichert, TTL 2 Jahre)
- Buchungshistorie (in DynamoDB gespeichert)
- Telefonnummer (optional, nur in localStorage gespeichert)
- Anzeige von Favoriten und Buchungshistorie
- Personalisierung der Nutzererfahrung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittanbieter: Amazon Cognito (AWS eu-central-1), Google OAuth.
7. Buchungen und Buchungsweiterleitung
Massage Finder verarbeitet Buchungsdaten auf zwei Wegen:
MF-native Buchungen
Wenn du direkt über massage-finder.de eine Buchung vornimmst, speichern wir die Buchungsdaten in unserem System.
- Name, E-Mail, Telefonnummer
- gewählter Service, Datum, Uhrzeit
- Personenanzahl
- Massage Finder sendet Bestätigungs- und Stornierungsmails an den Kunden.
- Buchungsstatus und -historie werden in unserem System gespeichert.
- Das Studio erhält die Buchungsanfrage per E-Mail mit Magic-Link-Aktionen (Bestätigen/Ablehnen).
KN-synchronisierte Buchungen
Buchungen, die du auf einer Khun-Nuad-Studio-Website im eingeloggten Zustand über dein Massage Finder Konto tätigst, werden automatisch in dein Massage Finder Profil zurücksynchronisiert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) für beide Buchungswege.
7. Buchungen und Buchungsweiterleitung
Massage Finder verarbeitet Buchungsdaten auf zwei Wegen:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) für beide Buchungswege.
8. Cross-Domain Login und Buchungssynchronisation
Du kannst dich mit deinem Massage Finder Konto auf teilnehmenden Studio-Websites (z. B. Khun Nuad Studios) einloggen. Dabei werden nach deiner ausdrücklichen Einwilligung auf einem Consent-Screen folgende personenbezogene Daten an das jeweilige Studio übermittelt:
- Name
- E-Mail-Adresse
- Telefonnummer
- Die Übermittlung erfolgt über ein signiertes Token (JWT), das in deinem Browser gespeichert wird (localStorage, Gültigkeit 180 Tage). Das Token wird ausschließlich auf der jeweiligen Studio-Website verwendet.
- Wenn du eingeloggt eine Buchung auf einer Studio-Website durchführst, wird diese Buchung automatisch in deinem Massage Finder Profil unter 'Meine Termine' angezeigt. Die Synchronisation erfolgt über eine verschlüsselte Nachrichtenwarteschlange (SNS/SQS) innerhalb der AWS-Infrastruktur in der EU.
- Du kannst über Massage Finder Buchungen stornieren, die du eingeloggt auf einer Studio-Website getätigt hast. Die Stornierungsanfrage wird an das Studio weitergeleitet.
- Das Studio verarbeitet die empfangenen Daten als eigenständiger Verantwortlicher gemäß seiner eigenen Datenschutzerklärung. Frye.tech hat keinen Einfluss auf die weitere Verarbeitung durch das Studio.
Rechtsgrundlagen:
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die Übermittlung der personenbezogenen Daten an das Studio
• Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) für die Buchungssynchronisation
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die Prüfung, ob dein Konto noch aktiv ist (Introspect)
9. Claim-Prozess
Wenn du einen bestehenden Studio-Eintrag beanspruchst, verarbeiten wir:
- Deine E-Mail-Adresse
- Anonymisierte Darstellung deiner E-Mail gegenüber dem bisherigen Inhaber
- Claim-Token und Status (TTL 14 Tage in DynamoDB)
- Bei Ablehnung: Sperrfrist 3 Monate
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung missbräuchlicher Übernahmen von Studio-Einträgen und am Schutz bestehender Inhaber).
10. Abrechnung und Zahlungsdaten (Marketplace)
Wenn die Marketplace-Abrechnung für ein Studio aktiv ist, erhebt Massage Finder eine Gebühr pro bestätigter Buchung. In diesem Zusammenhang verarbeiten wir folgende Daten:
- Studio-Name und Adresse
- Steuer-ID / USt-IdNr.
- Abrechnungszeitraum
- Rechnungsbeträge
- Zahlungsstatus
Rechtsgrundlagen:
• Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung)
• Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten)
11. Studio-Daten aus Drittquellen
Wir erheben Studio-Daten teilweise nicht direkt bei den betroffenen Studios, sondern aus dem verbundenen Khun-Nuad-System. Gemäß Art. 14 DSGVO informieren wir wie folgt:
- Studio-Name, Adresse, Koordinaten
- Öffnungszeiten, Services, Preise
- Kontaktdaten des Studios (keine Kundendaten)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung aktueller Studio-Informationen für Endkunden).
12. Cookies, Local Storage und ähnliche Technologien
Unsere Website bzw. unsere Anwendung kann technisch notwendige Cookies oder vergleichbare Technologien verwenden, um grundlegende Funktionen, Sicherheit, Spracheinstellungen, Sitzungsverwaltung oder Login-Zustände bereitzustellen.
Soweit ausschließlich technisch notwendige Technologien eingesetzt werden, erfolgt dies auf Grundlage unseres berechtigten Interesses an einer funktionsfähigen und sicheren Bereitstellung der Website und Dienste.
Das Cross-Domain-Token (JWT, localStorage, 180 Tage Gültigkeit) wird ausschließlich nach ausdrücklicher Einwilligung auf dem Consent-Screen gespeichert und fällt daher unter § 25 Abs. 1 TDDDG (einwilligungspflichtige Speicherung).
Soweit nicht notwendige Cookies oder ähnliche Technologien, insbesondere für Tracking, Analyse, Marketing oder externe Komfortfunktionen, eingesetzt werden, erfolgt dies nur nach gesonderter Einwilligung.
Rechtsgrundlagen:
• Art. 6 Abs. 1 lit. f DSGVO für notwendige Funktionen
• Art. 6 Abs. 1 lit. a DSGVO für einwilligungsbedürftige Verarbeitungen
• ergänzend § 25 TDDDG für das Speichern von Informationen in Endeinrichtungen bzw. den Zugriff darauf
13. Mobile App (Android)
Die App 'Massage Finder' (Android) ist ein nativer Wrapper, der den mobilen Zugang zum Online-Dienst unter https://massage-finder.de ermöglicht. Die App nutzt Apache Capacitor und lädt die Website in einer eingebetteten WebView.
Bei der Nutzung der App können zusätzlich zu den unter Abschnitt 4–10 beschriebenen Verarbeitungen folgende Daten verarbeitet werden:
- Standortdaten (GPS) – nur nach ausdrücklicher Freigabe durch den Nutzer, zur Umkreissuche nach Studios. Die Position wird lokal in der App für bis zu 5 Minuten zwischengespeichert, um wiederholte GPS-Abfragen zu vermeiden.
- Geräte-Informationen (User-Agent, Betriebssystem, App-Version) – technisch erforderlich für die Bereitstellung der Inhalte
- Spracheinstellung – lokal auf dem Gerät gespeichert (SharedPreferences)
- Login-Daten – identisch mit der Website (Amazon Cognito OAuth, siehe Abschnitt 6)
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung der App und der Erkennung von Missbrauch), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für Standort und Tracking).
14. Eingesetzte Dienstleister / Empfänger
Zur Erbringung unserer Leistungen setzen wir Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten können. Dazu gehören insbesondere Anbieter in den Bereichen:
- Cloud-Hosting / Infrastruktur (AWS eu-central-1)
- E-Mail-Kommunikation (SMTP)
- Amazon Cognito (Authentifizierung)
- Google OAuth / Maps API
- DNS- und Domainverwaltung
Mit diesen Dienstleistern schließen wir – soweit erforderlich – Verträge zur Auftragsverarbeitung.
15. Hosting und Verarbeitung in der EU
Die primären produktiven Datenverarbeitungskomponenten werden in der Regel in der EU betrieben, insbesondere in AWS eu-central-1 (Frankfurt am Main, Deutschland).
Öffentliche Inhalte können aus Performance- und Sicherheitsgründen über Caching- oder Content-Delivery-Technologien ausgeliefert werden. Dabei können technische Verbindungsdaten wie IP-Adressen verarbeitet werden.
16. Drittlandbezug / Zugriff aus Thailand
Unser Unternehmen hat seinen Sitz in Thailand. Personenbezogene Daten werden primär in der EU verarbeitet. Es kann jedoch im Einzelfall dazu kommen, dass autorisierte Personen in Thailand im Rahmen von Support, Wartung, Fehleranalyse oder technischer Administration auf in der EU gespeicherte Daten zugreifen.
Soweit hierbei ein Drittlandtransfer im Sinne der DSGVO vorliegt, erfolgt dieser auf Grundlage geeigneter Garantien, insbesondere der EU-Standardvertragsklauseln nach Art. 46 DSGVO sowie ergänzender technischer und organisatorischer Maßnahmen. Dazu gehören insbesondere Zugriffsbegrenzungen, rollenbasierte Berechtigungen, Verschlüsselung, Protokollierung und fallbezogener Zugriff.
Eine Kopie der maßgeblichen Garantien kann auf Anfrage angefordert werden, soweit dem keine gesetzlichen oder vertraglichen Geheimhaltungspflichten entgegenstehen.
17. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.
- Dauer des Vertragsverhältnisses
- Bearbeitung von Anfragen
- gesetzliche Aufbewahrungsfristen
- Nachweis- und Verteidigungsinteressen
- technische Backup- und Wiederherstellungszyklen
Soweit Daten nach Vertragsende nicht mehr benötigt werden, werden sie gelöscht oder gesperrt, sofern keine gesetzlichen Pflichten entgegenstehen.
18. Pflicht zur Bereitstellung von Daten
Die Bereitstellung personenbezogener Daten ist teilweise gesetzlich oder vertraglich erforderlich. Ohne die erforderlichen Daten können wir bestimmte Leistungen, insbesondere Registrierung, Buchung, Support oder Vertragsdurchführung, ggf. nicht bereitstellen.
19. Automatisierte Entscheidungen / Profiling
Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt, sofern wir nicht ausdrücklich etwas anderes angeben.
20. Rechte der betroffenen Personen
Du hast im Rahmen der gesetzlichen Voraussetzungen folgende Rechte:
- Recht auf Auskunft
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
- Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen
Zur Ausübung deiner Rechte genügt eine Mitteilung an die oben genannten Kontaktdaten. Für die Datenübertragbarkeit (Art. 20 DSGVO) kannst du einen Export deiner Daten (Profil, Buchungshistorie, Favoriten) in maschinenlesbarem Format per E-Mail an info@frye.tech anfordern.
21. Beschwerderecht bei einer Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen Datenschutzrecht verstößt. Dieses Recht ergibt sich aus Art. 77 DSGVO.
22. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund rechtlicher, technischer oder organisatorischer Änderungen erforderlich ist. Es gilt jeweils die auf dieser Website veröffentlichte Fassung.