Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze der Mitgliedsstaaten sowie weiterer datenschutzrechtlicher Bestimmungen ist:

Benjamin Wegscheider
Einzelunternehmer (Kleinunternehmer gemäß § 19 UStG)
Parkstraße 2b
82061 Neuried
Deutschland

E-Mail: b.wegscheider@gmx.de

Das Studio ist unter dem Namen „RoboRelax“ in der Elvirastraße 21, 80636 München (bis 31.05.2026) bzw. ab dem 01.06.2026 in der Sonnenstraße 6 (3. OG), 80331 München erreichbar. Ladungsfähige Anschrift ist jedoch die oben angegebene Privatadresse in Neuried.

Im Rahmen unseres Angebots verarbeiten wir folgende Kategorien personenbezogener Daten:

• Bestandsdaten (z. B. Name, Anschrift)
• Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer)
• Vertragsdaten (z. B. gebuchte Behandlung, Termin, gewähltes Öl, Gutscheincodes, Zahlungsstatus)
• Zahlungsdaten (pseudonyme Transaktions-IDs über unseren Zahlungsdienstleister SumUp – vollständige Kreditkarten- oder Bankdaten werden von uns selbst nicht gespeichert)
• Nutzungsdaten (z. B. besuchte Seiten, Zugriffs­zeiten, Interaktionen mit dem Buchungssystem)
• Meta-/Kommunikationsdaten (z. B. Geräte-Informationen, IP-Adressen – gekürzt/pseudonymisiert –, User-Agent, HTTP-Header)
• Feedback- und Bewertungsdaten, sofern Du uns nach einer Behandlung eine Rückmeldung gibst
• Einwilligungsdaten (z. B. Consent für funktionale Cookies, Push-Benachrichtigungen oder Newsletter)

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

• Erbringung unserer vertraglichen Leistungen (Terminbuchung, Durchführung der gebuchten Massage/Behandlung, Ausstellung und Einlösung von Gutscheinen)
• Abwicklung von Zahlungen und Rechnungsstellung, inklusive gesetzlicher Aufbewahrungspflichten
• Kommunikation mit Dir per E-Mail (Buchungsbestätigungen, Erinnerungen, Terminänderungen, Nachbearbeitung, Antworten auf Kontaktanfragen)
• Versand von Push-Benachrichtigungen an Mitarbeitende und Kundinnen/Kunden, sofern eine ausdrückliche Einwilligung vorliegt
• Betrieb, Sicherheit und Stabilität der Website (Schutz vor Missbrauch, Fehleranalyse, technische Aufrechterhaltung)
• Verbesserung unseres Angebots, aggregierte Reichweitenmessung (nur mit Einwilligung)
• Erfüllung gesetzlicher Pflichten (Steuer-, Handels- und Buchhaltungsrecht)

Wir verarbeiten Deine Daten ausschließlich auf Grundlage der Vorschriften der DSGVO. Für die jeweilige Verarbeitung nutzen wir folgende Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. für Newsletter, Push-Benachrichtigungen, analyse-/funktionale Cookies)
• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (z. B. Terminbuchung, Gutscheinkauf, Kontaktanfragen)
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (insbesondere steuer- und handelsrechtliche Aufbewahrungspflichten)
• Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen (z. B. IT-Sicherheit, Missbrauchs­prävention, stabile Auslieferung der Website, direkte Kommunikation mit Bestandskunden)

Für das Setzen von Cookies und vergleichbaren Technologien auf Deinem Endgerät gilt zusätzlich § 25 TTDSG. Nicht technisch notwendige Cookies werden nur mit Deiner ausdrücklichen Einwilligung gesetzt.

Dir stehen als betroffener Person folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch gegen die Verarbeitung, die auf Art. 6 Abs. 1 lit. f DSGVO beruht (Art. 21 DSGVO)
• Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO)
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde für uns ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA): www.lda.bayern.de.

Für die Ausübung Deiner Rechte genügt eine formlose Nachricht an b.wegscheider@gmx.de.

Wir löschen personenbezogene Daten, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten mehr bestehen.

• Buchungen, Rechnungen, Zahlungsbelege: 10 Jahre gemäß § 257 HGB und § 147 AO
• Kontaktanfragen (E-Mail, Kontaktformular): bis zur abschließenden Bearbeitung Deines Anliegens, anschließend gemäß gesetzlicher Aufbewahrungsfristen (regelmäßig 3 Jahre für Geschäftsbriefe)
• Newsletter-Daten: bis zur Abmeldung; der Anmelde-Datensatz (IP und Zeitstempel der Opt-In-Bestätigung) wird zur Dokumentation der Einwilligung weiter aufbewahrt
• Push-Subscriptions: bis zur Abmeldung oder bis der Push-Endpunkt vom Browser/Betriebssystem als ungültig gemeldet wird
• Server-Logfiles: in der Regel 7–30 Tage, danach automatische Löschung bzw. Anonymisierung
• Feedback/Bewertungen: bis zum Widerruf bzw. solange es für die Darstellung/Analyse erforderlich ist

Wir setzen auf unserer Website Cookies und funktional vergleichbare Technologien (z. B. localStorage) ein. Unterschieden wird zwischen:

• Technisch notwendige Cookies und Speicher – etwa für Session-Handling, Login (Cookie rr-token im Admin-Bereich), Warenkorb, Buchungs-Flow und Speicherung Deiner Consent-Entscheidung. Ohne diese würde die Website nicht funktionieren. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG, Art. 6 Abs. 1 lit. b/f DSGVO.
• Funktionale Cookies / Speicher – z. B. für Push-Benachrichtigungen (Registrierung des Service Workers). Rechtsgrundlage: § 25 Abs. 1 TTDSG, Art. 6 Abs. 1 lit. a DSGVO.
• Analyse-/Marketing-Cookies – aktuell nicht aktiv. Sollten wir solche Tools in Zukunft einsetzen, geschieht dies ausschließlich nach vorheriger, ausdrücklicher Einwilligung über unseren Consent-Banner.

Deine Consent-Entscheidung wird lokal unter dem Schlüssel roborelax_consent in Deinem Browser gespeichert. Du kannst die Einwilligung jederzeit über den Cookie-Banner bzw. den Datenschutz-Link im Footer widerrufen oder anpassen.

Unsere Website wird bei der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet. Für europäische Besucher werden Anfragen bevorzugt über EU-Rechenzentren (z. B. Frankfurt, Dublin) ausgeliefert.

Beim Aufruf der Website werden aus technischen Gründen Verbindungsdaten an Vercel übertragen (z. B. IP-Adresse, User-Agent, Referrer, Zeitstempel, aufgerufene URL). Mit Vercel besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Für die Übermittlung in die USA stützen wir uns zusätzlich auf die EU-Standardvertragsklauseln bzw. die Zertifizierung von Vercel unter dem EU-US Data Privacy Framework.

Datenschutzerklärung von Vercel: vercel.com/legal/privacy-policy

Wenn Du uns per E-Mail oder über das Kontaktformular (Route /api/contact) kontaktierst, werden die von Dir gemachten Angaben (Name, E-Mail-Adresse, Inhalt der Nachricht) zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (bei vertragsbezogenen Anfragen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Bearbeitung Deines Anliegens). Die Daten werden gelöscht, sobald sie für den Zweck ihrer Erhebung nicht mehr erforderlich sind – gesetzliche Aufbewahrungspflichten bleiben unberührt.

Bei einer Online-Buchung verarbeiten wir folgende Daten: Name, E-Mail-Adresse, gewählte Behandlung und Dauer, Termin (Datum/Uhrzeit), gegebenenfalls gewähltes Öl, Preis, Zahlungsart und -status, Gutscheincode (falls verwendet) sowie eine eindeutige Buchungs- und Session-ID.

Diese Daten sind für die Durchführung des Vertrags zwingend erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Zugriff auf die Daten haben ausschließlich berechtigte Mitarbeitende von RoboRelax im Rahmen ihrer Aufgaben (z. B. Kalenderansicht, Durchführung der Behandlung, Buchhaltung). Rechnungsrelevante Daten werden gemäß § 257 HGB und § 147 AO 10 Jahre aufbewahrt.

Optional versenden wir automatisierte Reminder-, Nachbetreuungs- und Feedback-E-Mails zum gebuchten Termin (Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO). Du kannst diesem Versand jederzeit formlos per E-Mail widersprechen.

Für Online-Zahlungen nutzen wir den Dienst der SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, D02 K580, Irland. Wenn Du online bezahlst, wirst Du auf eine SumUp-Checkout-Seite weitergeleitet bzw. ein SumUp-Zahlungsfeld eingebunden. Deine Zahlungsdaten (Kreditkarten-/SEPA-Daten) verarbeitet ausschließlich SumUp; wir erhalten von SumUp lediglich eine Zahlungsbestätigung bzw. pseudonyme Transaktions-Identifikatoren (Checkout-IDs, Status, Betrag).

SumUp ist nach PCI-DSS zertifiziert. Rechtsgrundlage für die Weitergabe der für die Zahlung erforderlichen Daten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutzerklärung von SumUp: sumup.com/legal/privacy/

Unsere Website kann Dir Push-Benachrichtigungen senden (z. B. Buchungs-Updates im Admin-Bereich, Hinweise zu Terminen oder Aktionen). Der Versand erfolgt nur, wenn Du zuvor Deine ausdrückliche Einwilligung über die Browser-Dialoge und unseren Consent-Mechanismus erteilt hast (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG).

Technisch verwenden wir das Web-Push-Protokoll mit VAPID-Schlüsseln. Dabei werden der vom Browser bereitgestellte Push-Endpunkt (URL bei Google/Mozilla/Apple-Pushservern) sowie zugehörige kryptographische Schlüssel in unserer Datenbank gespeichert, um die Nachrichten zustellen zu können. Ein Bezug zu Deiner Person entsteht erst durch die Verknüpfung mit Deinem Account (sofern vorhanden).

Du kannst die Einwilligung jederzeit widerrufen – entweder über die Benachrichtigungs­einstellungen Deines Browsers/Geräts oder indem Du Dich in unserem System abmeldest (Route /api/push/unsubscribe). Nach erfolgreicher Abmeldung wird die Subscription bei uns gelöscht.

Für den Versand von Transaktions- und Service-E-Mails (z. B. Buchungsbestätigungen, Erinnerungen, Gutschein-PDFs, Antworten auf Kontaktanfragen, Newsletter) nutzen wir einen SMTP-Server. Eingesetzt wird die Business-Mail-Lösung der Zoho Corporation B.V. (Standard-Host: smtp.zoho.eu, EU-Rechenzentrum).

Verarbeitet werden dabei Deine E-Mail-Adresse, Dein Name sowie der Inhalt der Nachricht. Die Übertragung erfolgt per STARTTLS. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (für vertragsbezogene Mails) bzw. Art. 6 Abs. 1 lit. a DSGVO (für einwilligungsbasierte Mails wie Newsletter). Mit unserem Mail-Anbieter besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Zur dauerhaften Speicherung und Synchronisation unserer Anwendungsdaten (Buchungen, Kunden, Gutscheine, Events, Push-Subscriptions, Feedback etc.) nutzen wir Supabase, betrieben von der Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992. Wir verwenden eine in der EU gehostete Supabase-Region, sofern verfügbar.

Mit Supabase besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Für den Fall von Drittstaatenübermittlungen stützen wir uns auf die EU-Standardvertragsklauseln (SCCs) sowie zusätzliche technische und organisatorische Maßnahmen (verschlüsselte Verbindungen, Zugriffsbeschränkungen).

Datenschutzerklärung von Supabase: supabase.com/privacy

Wenn Du unseren Newsletter abonnierst, verwenden wir Deine E-Mail-Adresse, um Dir Informationen zu neuen Behandlungen, Angeboten und Events zuzusenden. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach der Anmeldung erhältst Du eine Bestätigungs-E-Mail mit einem Aktivierungslink. Erst nach Klick auf diesen Link wird Deine Adresse in den Verteiler aufgenommen.

Zur Nachweisbarkeit der Einwilligung speichern wir den Zeitpunkt der Anmeldung, die IP-Adresse sowie den Zeitpunkt der Bestätigung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 7 Abs. 2 Nr. 3 UWG.

Du kannst Deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, z. B. durch Klick auf den Abmeldelink in jedem Newsletter oder durch formlose Nachricht an b.wegscheider@gmx.de.

Beim Aufruf unserer Website erhebt unser Hosting-Provider Vercel automatisch technische Informationen, die Dein Browser übermittelt (sog. Server-Logfiles):

• gekürzte bzw. pseudonymisierte IP-Adresse
• Datum und Uhrzeit des Zugriffs
• aufgerufene URL
• Referrer (zuvor besuchte Seite)
• verwendeter Browser und Betriebssystem (User-Agent)
• HTTP-Statuscode und übertragene Datenmenge

Diese Daten werden zur Sicherstellung eines reibungslosen Verbindungsaufbaus, zur Abwehr von Angriffen (z. B. DDoS) und zur Fehlerdiagnose verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Funktionsfähigkeit unserer Infrastruktur). Eine Zusammenführung mit anderen Datenquellen findet nicht statt. Die Logs werden regelmäßig, spätestens nach 30 Tagen, gelöscht oder anonymisiert, sofern keine sicherheitsrelevanten Ereignisse eine längere Aufbewahrung erfordern.

Zum Schutz vor automatisierten Anfragen (Spam, Bots, Brute-Force) setzen wir auf den Formularen Buchung, Kontakt, Newsletter und Login den Dienst hCaptcha ein. Anbieter ist die Intuition Machines, Inc. (2261 Market Street #4332, San Francisco, CA 94114, USA). hCaptcha wird teilweise über Infrastruktur der Cloudflare, Inc. ausgeliefert; für europäische Besucher werden Anfragen bevorzugt über EU-Endpunkte verarbeitet.

Beim Aufruf eines geschützten Formulars werden u. a. Deine IP-Adresse, Browser-Metadaten (User-Agent, Spracheinstellungen, Bildschirmgröße), Maus- und Tastatur-Interaktionen sowie ein Captcha-Token an hCaptcha übermittelt. Auf Basis dieser Signale entscheidet hCaptcha, ob es sich um einen menschlichen Nutzer oder einen Bot handelt. Wir selbst erhalten lediglich das Verifikations-Ergebnis (gültig/ungültig).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von Missbrauch und der Sicherstellung der Funktionsfähigkeit unserer Formulare). Für Übermittlungen in die USA stützen wir uns auf die EU-Standardvertragsklauseln sowie auf zusätzliche technische Maßnahmen.

Hinweis: Aktuell nutzen wir hCaptcha im Pro-Trial bis zum 9. Mai 2026. Danach wechseln wir automatisch in den Free-Tier; an Art und Umfang der verarbeiteten Daten ändert sich dadurch nichts.

Datenschutzerklärung von hCaptcha: hcaptcha.com/privacy

Für den automatisierten Versand von Transaktions-E-Mails (Buchungsbestätigungen, Erinnerungen, Newsletter, NPS-/Feedback- Umfragen, Daily-Recap an unser Team) setzen wir zusätzlich zum SMTP-Versand (siehe §13) den Dienst Resend ein. Anbieter ist die Resend, Inc., 2261 Market Street #5039, Dover, DE 19901, USA.

An Resend werden zur Zustellung der E-Mails Deine E-Mail-Adresse, Dein Name sowie der Inhalt der Nachricht (z. B. Buchungsdaten, Termin, Behandlung, Rechnungsnummer) übermittelt. Resend verarbeitet diese Daten ausschließlich weisungsgebunden für uns; ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO liegt vor.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, z. B. Buchungsbestätigung), Art. 6 Abs. 1 lit. a DSGVO (Newsletter, NPS-Umfragen mit Einwilligung) sowie Art. 6 Abs. 1 lit. f DSGVO (interne Daily-Recap-Mails an unser Team). Für Übermittlungen in die USA stützen wir uns auf die EU-Standardvertragsklauseln.

Datenschutzerklärung von Resend: resend.com/legal/privacy-policy

Sofern aktiviert, synchronisieren wir Kunden-Stammdaten (Name, E-Mail-Adresse, Telefonnummer) und Buchungs-Historie (gebuchte Behandlungen, Termine, Status, Umsatzkennzahlen) mit unserem Customer-Relationship-Management-System Zoho CRM. Anbieter ist die Zoho Corporation B.V. mit europäischer Daten-Region (zoho.eu, Rechenzentren in der EU).

Zweck der Verarbeitung ist die strukturierte Pflege unserer Kundenbeziehungen, die Bereitstellung passender Angebote sowie eine effiziente Kommunikation mit Bestandskunden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (für die Vertragsabwicklung erforderliche Daten) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer geordneten Kundenverwaltung). Mit Zoho besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Hinweis zur Aktivierung: Der Zoho-CRM-Sync ist im Code vorhanden, wird aber erst aktiv, sobald die entsprechenden Zugangsdaten in unserer Konfiguration hinterlegt sind. Sobald der Sync läuft, gilt diese Beschreibung; eine separate Information beim Aktivieren erfolgt nicht, da die Verarbeitung hier bereits transparent dokumentiert ist.

Datenschutzerklärung von Zoho: zoho.com/privacy.html

Optional kannst Du wählen, Buchungsbestätigungen und Termin-Reminder zusätzlich per WhatsApp zu erhalten. Hierfür nutzen wir die Meta WhatsApp Business API. Anbieter ist die Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland.

Verarbeitet werden in diesem Fall Deine Telefonnummer, Deine Buchungs-ID sowie der Inhalt der Nachricht (z. B. Termin, Studio- Adresse, Stornolink). Der Versand erfolgt ausschließlich, wenn Du im Buchungsflow aktiv eine Telefonnummer hinterlegst und die Option „Bestätigung per WhatsApp erhalten“ ausdrücklich ankreuzt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst Deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, z. B. per E-Mail an b.wegscheider@gmx.de oder durch Antwort „STOP“ auf eine WhatsApp-Nachricht. Die Übermittlung an Meta erfolgt unter den EU-Standardvertragsklauseln.

Datenschutzerklärung von Meta/WhatsApp: whatsapp.com/legal/business-privacy-policy

Zur Anzeige aktueller Kundenbewertungen auf unserer Website lesen wir regelmäßig (zeitgesteuert per Cron-Job) öffentlich verfügbare Bewertungen aus unserem Google Business Profile über die Google My Business / Google Reviews API ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Verarbeitet werden ausschließlich die von den Bewertenden selbst auf Google öffentlich publizierten Inhalte (Anzeigename, Sterne-Bewertung, Bewertungstext, Datum). Wir senden in diesem Kontext keine personenbezogenen Daten unserer Kundinnen und Kunden an Google; es findet ausschließlich ein Lesezugriff auf unser eigenes Unternehmensprofil statt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der transparenten Darstellung der Kundenzufriedenheit). Wenn Du eine Bewertung bei Google entfernen lassen möchtest, kannst Du dies direkt in Deinem Google-Konto tun; Deine Bewertung verschwindet dann beim nächsten Sync auch von unserer Website.

Datenschutzerklärung von Google: policies.google.com/privacy

Wir passen diese Datenschutzerklärung an, sobald sich Rechtslage, unsere Dienste oder die Datenverarbeitung ändern. Die jeweils aktuelle Version findest Du stets auf dieser Seite. Es gilt die zum Zeitpunkt Deines Besuchs veröffentlichte Fassung.

Stand: 25. April 2026