Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten bei der Nutzung der Stage Seven Raumbuchungsplattform.
1. Verantwortlicher & Dienstanbieter
Verantwortlicher für die Datenverarbeitung im Sinne der DSGVO:
Stage SevenLohne
Website: www.stage7-lohne.de
Die technische Umsetzung und der Betrieb der Plattform erfolgen durch:
NEST IntegralWebsite: www.nest-integral.de
NEST Integral fungiert als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.
2. Hosting
Die Plattform wird gehostet bei:
Hetzner Online GmbHIndustriestr. 25, 91710 Gunzenhausen, Deutschland
Serverstandort: Deutschland
Weitere Informationen: Datenschutzerklärung von Hetzner.
3. Öffentlicher Kalender (ohne Anmeldung)
Die Startseite zeigt einen öffentlichen Belegungskalender. Dieser ist ohne Anmeldung einsehbar und zeigt ausschließlich:
- Ob ein Raum zu einer bestimmten Zeit belegt ist
- Bezeichnungen von öffentlichen Kursen (z. B. Kursname, Uhrzeit, Raum)
Es werden keine personenbezogenen Daten der Buchenden angezeigt. Weder Namen, E-Mail-Adressen noch sonstige persönliche Informationen sind im öffentlichen Kalender sichtbar.
Beim Besuch des öffentlichen Kalenders werden keine Cookies gesetzt und keine Benutzerkonten benötigt.
4. Benutzerkonten (Team-Bereich)
Für die aktive Nutzung der Raumbuchung ist ein Benutzerkonto erforderlich. Konten werden ausschließlich von Administratoren angelegt. Es gibt drei Rollen:
- Admin – Vollzugriff auf Verwaltung, Buchungen und Benutzerdaten
- Trainer:innen – Kann eigene Buchungen und Buchungen von Gatekeepern verwalten
- Gatekeeper – Kann eigene Buchungen erstellen und verwalten
4.1 Erhobene Daten
| Datum | Zweck | Rechtsgrundlage |
|---|---|---|
| Name | Identifikation, Anzeige im System | Art. 6 Abs. 1 lit. b DSGVO |
| E-Mail-Adresse | Login per Einmal-Code (OTP), Buchungsbestätigungen, Kontakt | Art. 6 Abs. 1 lit. b DSGVO |
| Crew-Zugehörigkeit (nur Gatekeeper) | Zuordnung zu einer Trainingsgruppe | Art. 6 Abs. 1 lit. b DSGVO |
| Buchungsdaten (Raum, Datum, Uhrzeit, Zweck) | Durchführung und Verwaltung der Raumbuchung | Art. 6 Abs. 1 lit. b DSGVO |
4.2 Anmeldeverfahren
Die Anmeldung erfolgt passwortlos per E-Mail. Bei jedem Login wird ein 6-stelliger Einmal-Code (OTP) an die hinterlegte E-Mail-Adresse gesendet. Dieser Code ist 10 Minuten gültig. Es werden keine Passwörter gespeichert.
4.3 Gerät merken
Optional kann ein Gerät für bis zu 365 Tage gemerkt werden. Dabei wird ein kryptographisch sicheres Token als Cookie gespeichert. In der Datenbank wird nur ein Hash dieses Tokens abgelegt – das Token selbst wird nicht gespeichert. Wird ein Gerät länger als 90 Tage nicht benutzt, wird die Verknüpfung automatisch aufgehoben.
5. E-Mail-Versand
Für den Versand von Login-Codes und Buchungsbestätigungen nutzen wir den Dienst Brevo (ehemals Sendinblue):
Brevo (Sendinblue GmbH)Köpenicker Str. 126, 10179 Berlin, Deutschland
Brevo verarbeitet E-Mail-Adressen und Nachrichteninhalte in unserem Auftrag. Die Verarbeitung erfolgt auf Servern in der EU. Weitere Informationen: Datenschutzerklärung von Brevo.
6. Cookies & lokale Speicherung
Diese Plattform verwendet ausschließlich technisch notwendige Cookies:
| Cookie | Zweck | Gültigkeit |
|---|---|---|
s7.auth |
Authentifizierungs-Session nach Login | 1 Jahr (rollierend) |
s7.remember |
Gerät merken (optionales Komfort-Feature) | 1 Jahr |
.AspNetCore.Antiforgery.* |
Schutz vor Cross-Site-Request-Forgery (CSRF) | Session |
Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Es findet kein Tracking durch Drittanbieter statt.
Die Plattform kann als Progressive Web App (PWA) installiert werden. Dabei werden statische Dateien (CSS, Schriften, Icons) lokal im Browser-Cache gespeichert, um die Ladezeit zu verbessern. Es werden keine personenbezogenen Daten lokal gespeichert.
7. Speicherdauer
Buchungsdaten werden für die Dauer der aktiven Nutzung des Systems gespeichert. Benutzerkonten bestehen, solange sie von einem Administrator verwaltet werden. Löschanfragen können jederzeit gestellt werden.
Login-Codes (OTP) werden nach Benutzung oder spätestens nach 10 Minuten invalidiert. Rate-Limiting-Daten (Schutz vor Brute-Force-Angriffen) werden automatisch nach Ablauf des Zeitfensters gelöscht.
8. Ihre Rechte
Sie haben jederzeit folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Auskunft über gespeicherte Daten
- Berichtigungsrecht (Art. 16 DSGVO): Berichtigung unrichtiger Daten
- Löschungsrecht (Art. 17 DSGVO): Löschung Ihrer Daten
- Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in einem gängigen Format
- Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung
Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte über die im Impressum angegebenen Kontaktdaten.
9. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die zuständige Aufsichtsbehörde ist die Landesbeauftragte für den Datenschutz Niedersachsen.
10. Technische Sicherheitsmaßnahmen
- Verschlüsselte Datenübertragung über HTTPS/TLS
- Passwortloses Login (kein Passwort-Leak-Risiko)
- Login-Codes kryptographisch sicher generiert und zeitlich begrenzt
- Geräte-Tokens als SHA-256-Hash in der Datenbank (nicht im Klartext)
- Rate-Limiting zum Schutz vor Brute-Force-Angriffen (persistent in Datenbank)
- Content Security Policy (CSP) und weitere HTTP-Sicherheits-Header
- Datenbank verschlüsselt angebunden (SSL/TLS)
11. Aktualität
Diese Datenschutzerklärung ist aktuell gültig. Stand: Juni 2026