DATENSCHUTZERKLÄRUNG

Inkrafttreten: 29. April 2026 Letzte Aktualisierung: 22. Mai 2026 Version: 1.2

1. Einleitung

Diese Datenschutzerklärung („Erklärung") beschreibt, wie die Online-Buchungsmanagement-Plattform 1booq (Betreiber: WaveOne Technologies Kft., im Folgenden: „Anbieter") personenbezogene Daten im Rahmen der Nutzung des Dienstes verarbeitet.

Die Verarbeitung personenbezogener Daten erfolgt im Einklang mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates („DSGVO"), dem ungarischen Gesetz CXII von 2011 über das Recht auf informationelle Selbstbestimmung und die Informationsfreiheit („Infotv.") sowie den einschlägigen ungarischen und europäischen Rechtsvorschriften.

Diese Erklärung ist in Verbindung mit den Allgemeinen Geschäftsbedingungen und der Cookie-Richtlinie zu lesen.

2. Verantwortlicher und Kontakt

Verantwortlicher: WaveOne Technologies Kft. Sitz / Postanschrift: 1181 Budapest, Vasvári Pál u. 26, Ungarn Handelsregisternummer: 01-09-451611 Steuernummer: 32961430-1-43

Kontakt in Datenschutzangelegenheiten: privacy@1booq.com Allgemeiner Kundendienst: support@1booq.com

Datenschutzbeauftragter (DSB): Der Anbieter ist zum Zeitpunkt des Inkrafttretens dieser Erklärung gemäß Art. 37 DSGVO nicht zur Benennung eines Datenschutzbeauftragten verpflichtet. Sollte eine solche Benennung aufgrund einer Änderung der Tätigkeit erforderlich werden, werden die Nutzer durch eine Aktualisierung dieser Erklärung informiert.

3. Begriffe und Rollen

Der Dienst ist eine Mehrteilnehmer-Buchungsplattform, in der die Verarbeitung personenbezogener Daten verschiedene Rollen betrifft.

3.1. Typische Nutzergruppen

Provider (dienstleistender Unternehmer): ein Nutzer, der sein eigenes Unternehmen, seine Standorte und buchbaren Termine auf der Plattform verwaltet.
Worker (Mitarbeiter): ein vom Provider eingeladener Mitarbeiter, der die Buchungen des Providers verwaltet.
Client (Kunde): eine natürliche Person oder ein Unternehmen, die/das eine Buchung bei dem/den Provider(n) vornimmt – als registrierter Nutzer oder (sofern der Provider dies gestattet) als anonymer Buchender.

3.2. Rollen als Verantwortlicher und Auftragsverarbeiter

Der Anbieter handelt in folgenden Eigenschaften:

Selbstständiger Verantwortlicher im Rahmen des allgemeinen Betriebs der Plattform (z. B. Registrierung, Authentifizierung, Kontoverwaltung, Abrechnung, Sicherheitszwecke).
Auftragsverarbeiter in Bezug auf die Buchungsdaten der Kunden des Providers in den Fällen, in denen der Provider seine eigenen Kunden zu seinen eigenen geschäftlichen Zwecken auf der Plattform verwaltet. In diesem Fall ist der Provider der selbstständige Verantwortliche für den betreffenden Kundendatenbereich, und der Anbieter speichert und verarbeitet die Daten im Auftrag des Providers technisch. Einzelheiten regelt der Abschnitt [Allgemeine Geschäftsbedingungen – Auftragsverarbeitungsvereinbarung (DPA)].

3.3. Keine gemeinsame Verantwortlichkeit

Der Anbieter und der Provider handeln nicht als gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO. Beide Parteien sind selbstständige Verantwortliche für die in Abschnitt 3.2 dargestellten Datenkategorien und Verarbeitungszwecke. Soweit Daten zwischen den beiden Rollen fließen (z. B. eine Buchung, die der Anbieter im Auftrag des Providers speichert und die zugleich in das eigene Sicherheitsprotokoll des Anbieters eingeht), verarbeitet jede Partei die Daten ausschließlich auf eigener Rechtsgrundlage und im eigenen Zuständigkeitsbereich.

4. Umfang der verarbeiteten Daten

4.1. Registrierungs- und Kontodaten (alle Nutzer)

Name,
E-Mail-Adresse,
Passwort (in bcrypt-Hash-Form),
9-stellige eindeutige Nutzerkennung (User UID),
Profilbild (optional, gespeichert in Supabase Storage),
Geschlecht (optional),
Telefonnummer (optional),
Spracheinstellung (en/hu/de),
Zeitpunkt der E-Mail-Verifizierung,
Kontoeinstellungen und Benachrichtigungspräferenzen.

Anmeldung mit Google oder Apple (OAuth). Nutzer können sich anstelle eines E-Mail-/Passwort-Paares auch mit ihrem Google- oder Apple-Konto registrieren und anmelden. In diesem Fall erhält der Anbieter — auf Grundlage der Autorisierung des Nutzers auf dem Einwilligungsbildschirm des jeweiligen Anbieters — die E-Mail-Adresse und den Namen des Nutzers zur Erstellung bzw. zum Zugriff auf das Konto; Google übermittelt zusätzlich das Profilbild, sofern verfügbar. Bei „Anmelden mit Apple" kann der Nutzer die Apple-Option „E-Mail-Adresse verbergen" wählen; in diesem Fall erhält der Anbieter nur eine anonymisierte Apple-Weiterleitungs-E-Mail-Adresse, die Nachrichten an den Nutzer weiterleitet; Apple übermittelt den Namen nur bei der ersten Anmeldung und kein Profilbild. Der Anbieter erhält und speichert das Google- bzw. Apple-Passwort des Nutzers niemals. Das verknüpfte Konto wird im Abschnitt „Anmeldemethoden" des Profils angezeigt und kann dort eingesehen werden.

4.2. Provider-spezifische Daten

Unternehmensdaten (Firmenname, Handelsregisternummer, Steuernummer, Rechnungsanschrift),
Standorte (provider_site): Adresse, Stadt, Land, GPS-Koordinaten, Zeitzone, Leistungsbeschreibungen, Bilder,
Konfiguration buchbarer Ressourcen (Slots),
vom Provider definierte benutzerdefinierte Datenfelder in Buchungsformularen (z. B. Freitext-Bemerkung, Datum, Zahl, Auswahl).

4.3. Buchungsdaten (aus Sicht von Client und Provider)

Zeitpunkt der Buchung, Dauer, Status (BU/AP/AU/RP/RU/PA/DP/DU/NP/MV),
ausgefüllte Werte des vom Provider definierten Buchungsformulars,
Name, E-Mail-Adresse und Telefonnummer (sofern angegeben) des Buchenden,
optional Bemerkungen und Bewertungen des Clients.

4.4. Zwei-Faktor-Authentifizierung (2FA)

TOTP-Geheimschlüssel (verschlüsselt),
Backup-Codes (in bcrypt-Hash-Form).

4.5. Nachrichten

Inhalt und Metadaten (Absender, Empfänger, Zeitstempel, Lesezeitpunkt) der zwischen Nutzern (Provider <-> Client, Provider <-> Worker) versendeten Direktnachrichten (message).

4.6. Bewertungen und Notizen

Bewertung (rating, Skala 1–5) und Notiz (note), die der Provider über den Client bzw. der Client über den Provider abgeben kann.

4.7. Zahlungs- und Abrechnungsdaten

Credit-Abonnement-Menge (5–1.000 Credits/Monat) und Status (aktiv / pausiert / gekündigt),
Aufzeichnungen einmaliger Credit-Paket-Käufe,
von Paddle verwaltete paddle_customer_id,
Guthaben (credit_balance) und Transaktionen (credit_transaction),
Rechnungsverlauf, Zahlungsbestätigungen.

Wichtig: Kreditkartendaten, IBAN-/Kontonummern und sonstige Zahlungsdaten werden vom Anbieter nicht gespeichert. Diese werden ausschließlich von Paddle (Merchant of Record) verarbeitet.

4.8. Technische und Nutzungsdaten

IP-Adresse (zum Zweck der Anmeldesicherheit und Missbrauchsprävention),
Geräte- und Browserinformationen (User-Agent),
Betriebssystem,
Protokolldaten (erfolgreiche/fehlgeschlagene Anmeldungen, Sicherheitsereignisse),
Fehlermeldungen, Leistungskennzahlen,
Zustell- und Bounce-Ereignisse transaktionaler E-Mails (notwendige Telemetrie unseres E-Mail-Auftragsverarbeiters — MailerSend — zur Sicherstellung zuverlässiger Zustellung; Öffnungs-Tracking-Pixel sind standardmäßig deaktiviert; Details in der Cookie-Richtlinie),
Cookies und vergleichbare Technologien (im Detail in der Cookie-Richtlinie beschrieben).

4.9. Standortdaten

Der Standort der Provider-Standorte (Adresse + GPS-Koordinaten) ist auf der Plattform öffentlich durchsuchbar, sofern der Provider die Auffindbarkeit aktiviert hat (discoverable_flag). Bei der Suche teilt der Client lediglich seine gewählten Stadt-/Länderfilter mit; der Anbieter erhebt keine automatischen präzisen Standortdaten vom Endgerät des Clients.

4.10. Identitätsdaten zur Wiederherstellung des Kontos

Verliert der Nutzer sowohl sein 2FA-Gerät als auch seine Backup-Codes und beantragt eine manuelle Kontowiederherstellung gemäß Abschnitt 5.4 der AGB, kann der Anbieter zur Überprüfung der Anfrage Folgendes anfordern:

eine maskierte Kopie eines amtlichen Lichtbildausweises mit dem auf das Konto registrierten Namen (z. B. nur Name und Foto sichtbar, sonstige Merkmale geschwärzt),
eine Bestätigung von der registrierten E-Mail-Adresse,
ggf. eine Bestätigung der Rechnungsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Wiederherstellung des Kontozugriffs), und Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Verhinderung unbefugten Zugriffs).

Aufbewahrung und Sicherheit: Identitätsverifizierungsdokumente werden über einen sicheren Kanal angenommen, mit strengen Zugriffskontrollen verarbeitet und unverzüglich nach der Überprüfung, spätestens jedoch innerhalb von 30 Tagen gelöscht. Der Anbieter fordert keine Ausweiskopie als unverschlüsselten E-Mail-Anhang an, sofern ein sicherer Upload-Kanal verfügbar ist.

Soweit möglich, wendet der Anbieter alternative Identifikationsmethoden vorrangig an (registrierte E-Mail + Sicherheitsfragen + Rechnungsdaten + administrative Freigabe) und fordert eine Ausweiskopie nur als letztes Mittel an.

4.11. Daten der externen Kalenderverbindung (optional)

Ein registrierter Nutzer kann optional seinen Google Kalender verbinden, damit der Dienst ihn warnen kann, wenn eine neue Buchung mit einem bereits in seinem persönlichen Kalender vorhandenen Termin kollidiert. Diese Verbindung erfolgt ausschließlich auf Opt-in-Basis und kann jederzeit in den Profileinstellungen getrennt werden.

Solange der Kalender verbunden ist, verarbeitet der Anbieter:

ein von Google ausgestelltes OAuth-Zugriffs- und Refresh-Token, in verschlüsselter Form gespeichert und ausschließlich zum Lesen des verbundenen Kalenders verwendet;
die Start- und Endzeiten der Termine im verbundenen Kalender, bei Bedarf abgerufen, um Terminkonflikte zu erkennen;
den Titel und Ort eines kollidierenden Termins, ausschließlich dem Nutzer selbst angezeigt, damit die Konfliktwarnung aussagekräftig ist.

Der Dienst fordert ausschließlich Lesezugriff an (den Berechtigungsumfang calendar.events.readonly) und erstellt, ändert oder löscht nichts im Kalender des Nutzers. Kalendertermininhalte werden vom Anbieter vorübergehend für die Konfliktprüfung verwendet und nicht in der Datenbank des Anbieters gespeichert. Das Trennen des Kalenders löscht die gespeicherten Token und widerruft den Zugriff des Anbieters bei Google.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — Einwilligung. Der Nutzer erteilt die Einwilligung durch das ausdrückliche Verbinden des Kalenders; sie kann jederzeit durch Trennen widerrufen werden.

5. Zwecke und Rechtsgrundlagen der Datenverarbeitung

5.1. Vertragserfüllung – DSGVO Art. 6 Abs. 1 lit. b)

Erstellung, Betrieb und Authentifizierung des Nutzerkontos (einschließlich der optionalen Anmeldung mit einem Google- oder Apple-Konto),
Erfassung, Bestätigung und Stornierung von Buchungen,
Abwicklung von Zahlungs- und Abrechnungsvorgängen,
Bereitstellung der Plattformfunktionen (Kalender, Nachrichten, Bewertung, Guthaben-System).

5.2. Rechtliche Verpflichtung – DSGVO Art. 6 Abs. 1 lit. c)

Buchführungs- und steuerrechtliche Pflichten (Aufbewahrung von Rechnungen für 8 Jahre),
Erfüllung behördlicher Anfragen,
verpflichtende verbraucherschutzrechtliche Informationspflichten,
Pflichten zur Geldwäschebekämpfung (auch seitens Paddle),
Händler-Rückverfolgbarkeit und Provider-Verifizierung gemäß Art. 30 des Digital Services Act (EU 2022/2065): Erhebung, angemessene Überprüfung, Speicherung und — soweit anwendbar — Bereitstellung der Identifikations- und Registrierungsdaten der Provider gegenüber Verbrauchern,
soweit die Plattform in den Anwendungsbereich fällt, Auskunftspflichten von Plattformbetreibern gemäß Richtlinie (EU) 2021/514 (DAC7): Übermittlung der Identifikations- und Finanzdaten des Providers an die zuständige Steuerbehörde (ungarische NAV oder die Steuerbehörde eines anderen EU-Mitgliedstaats).

5.3. Berechtigtes Interesse – DSGVO Art. 6 Abs. 1 lit. f)

IT- und Netzwerksicherheit (Protokollierung, Zugriffskontrolle),
Missbrauchsprävention (Spam, Betrug, automatisierte Angriffe),
Begründung, Durchsetzung und Verteidigung rechtlicher Ansprüche,
Weiterentwicklung und Fehlerbehebung des Dienstes, technische Leistungsoptimierung.

Der Anbieter führt in jedem Fall die gemäß DSGVO Art. 6 Abs. 1 lit. f) erforderliche Interessenabwägung durch und stellt diese auf Anfrage zur Verfügung.

5.4. Einwilligung – DSGVO Art. 6 Abs. 1 lit. a)

Versand von Newslettern / Marketing-Nachrichten,
nicht unbedingt erforderliche Cookies (funktional / analytisch / Marketing),
tatsächlich optionale Profildaten wie z. B. Geschlecht (sofern ausschließlich zu statistischen Zwecken erfasst),
Verbindung eines optionalen externen Kalenders (Google Kalender) zur Erkennung von Buchungskonflikten (siehe Abschnitt 4.11).

Hinweis zu optionalen Profilfeldern: Profilbild und Telefonnummer werden, obwohl ihre Angabe freiwillig ist, bei Bereitstellung gemäß DSGVO Art. 6 Abs. 1 lit. b (Vertragserfüllung) verarbeitet — das Profilbild erscheint auf der öffentlichen Buchungsseite des Providers (vorgesehener Bestandteil des Dienstes), und die Telefonnummer dient der buchungsbezogenen Kommunikation. Die freiwillige Natur bezieht sich darauf, ob der Nutzer sie bereitstellt, nicht auf die Rechtsgrundlage ihrer Verarbeitung nach Bereitstellung.

Die Einwilligung kann jederzeit widerrufen werden; der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

6. Automatisierte Entscheidungsfindung und Profiling

Der Anbieter setzt keine ausschließlich automatisierte Entscheidungsfindung (Art. 22 DSGVO) ein, die gegenüber dem Nutzer rechtliche Wirkung entfalten oder ihn in ähnlich erheblicher Weise beeinträchtigen würde.

Die automatische Buchungsannahme (auto_acc_usr_req_flag) ist eine vom Provider vorab konfigurierte, rein technische Annahmelogik, die kein Profiling im Sinne von Art. 22 DSGVO darstellt.

7. Auftragsverarbeiter und Datenübermittlung

Der Anbieter setzt für den Betrieb des Dienstes folgende Auftragsverarbeiter ein:

Auftragsverarbeiter	Funktion	Ort der Datenverarbeitung	Rechtsgrundlage der Übermittlung
Supabase Inc.	Datenbank (PostgreSQL)	EU-Region	innerhalb des EWR
Vercel Inc.	Hosting, Edge-Netzwerk	USA	EU-U.S. Data Privacy Framework / SCC
Paddle.com Market Ltd.	Zahlungsabwicklung, Rechnungsstellung (Merchant of Record)	Vereinigtes Königreich / USA	UK GDPR Adequacy / SCC
MailerSend (MailerSend Inc.)	Transaktionale E-Mail-Zustellung	USA / EU	EU-U.S. Data Privacy Framework / SCC
GeoNames (Unxos GmbH)	Städte-Autovervollständigung	Deutschland	innerhalb des EWR
OpenStreetMap Foundation	Kartenkacheln	Vereinigtes Königreich	UK GDPR Adequacy

Der Anbieter schließt mit jedem Auftragsverarbeiter eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO ab.

7.1. Garantien bei internationaler Datenübermittlung

Bei Datenübermittlungen außerhalb des EWR:

bevorzugt der Anbieter Auftragsverarbeiter mit EU-U.S. Data Privacy Framework-Zertifizierung,
wendet Standardvertragsklauseln (SCC) an (Module gemäß Durchführungsbeschluss 2021/914 der Europäischen Kommission),
setzt auf Grundlage einer Risikoanalyse ergänzende technische und organisatorische Maßnahmen ein (Transportverschlüsselung, Zugriffskontrolle, Pseudonymisierung).

7.2. Identitäts- und Kalenderdienste von Drittanbietern (Google, Apple)

Der Dienst bietet die folgenden optionalen Integrationen mit Drittanbietern:

Anmeldung mit Google: Wenn ein Nutzer sich mit seinem Google-Konto registriert oder anmeldet, erfolgt die Authentifizierung auf der eigenen Infrastruktur von Google, und der Anbieter erhält ausschließlich die in Abschnitt 4.1 beschriebenen Identitätsdaten.
Anmelden mit Apple: Wenn ein Nutzer sich mit seinem Apple-Konto registriert oder anmeldet, erfolgt die Authentifizierung auf der eigenen Infrastruktur von Apple, und der Anbieter erhält ausschließlich die in Abschnitt 4.1 beschriebenen Identitätsdaten (gegebenenfalls über den Apple-Weiterleitungsdienst „E-Mail-Adresse verbergen").
Google-Kalender-Verbindung: Wenn ein Nutzer seinen Google Kalender verbindet (Abschnitt 4.11), erfolgt der Lesezugriff auf den Kalender über die Google Calendar API.

Bei diesen Integrationen handeln Google (Google Ireland Limited / Google LLC) und Apple (Apple Distribution International Ltd.) jeweils als eigenständiger Verantwortlicher gemäß ihren eigenen Datenschutzrichtlinien (Google-Datenschutzerklärung, Apple-Datenschutzerklärung); der Anbieter ist für diese Tätigkeiten nicht gemeinsam Verantwortlicher mit ihnen. Der Datenaustausch erfolgt ausschließlich infolge der Autorisierung des Nutzers auf dem Einwilligungsbildschirm des jeweiligen Anbieters, und der Nutzer kann diesen Zugriff jederzeit widerrufen — innerhalb von 1booq (Verknüpfung aufheben / trennen) oder in den Sicherheitseinstellungen seines Google- bzw. Apple-Kontos.

8. Datenspeicherung

Gemäß dem Grundsatz der Speicherbegrenzung der DSGVO (Art. 5 Abs. 1 lit. e) wenden wir folgende Speicherfristen an:

Datenkategorie	Speicherdauer
Daten eines aktiven Kontos (Profil, Einstellungen, Präferenzen)	für die Dauer des Bestehens des Kontos
Daten eines deaktivierten/gelöschten Kontos	endgültige Löschung innerhalb von 90 Tagen nach Beendigung
Gesetzliche Buchhaltungs- und Rechnungsdaten (Transaktionen, Rechnungs-Metadaten, steuerrelevante Felder)	8 Jahre — § 169 Gesetz C von 2000 über Buchhaltung (ungarisches Sztv.)
Buchungs-Metadaten, die für Buchhaltungszwecke nicht erforderlich sind	bis zu 90 Tage nach Kontobeendigung
Sicherungen mit personenbezogenen Daten	rollierendes Fenster während des Betriebs; vollständige Löschung innerhalb von 180 Tagen nach Kontobeendigung
E-Mail-Protokolle bei unserem E-Mail-Auftragsverarbeiter (MailerSend)	bis zu 12 Monate
Authentifizierungs-/Sicherheitsprotokolle	bis zu 12 Monate
Plattforminterne Nachrichten	für die Dauer des Bestehens des Kontos; gelöschte Nachrichten werden sofort unzugänglich und innerhalb von 90 Tagen aus den technischen Sicherungen entfernt
Cookie-Präferenzen (im Browser des Nutzers)	bis zu 12 Monate oder bis sie vom Nutzer gelöscht werden

Die Speicherdauer kann ferner durch die Geltendmachung, Ausübung oder Abwehr von Rechtsansprüchen begründet sein; in diesem Fall können die Daten bis zum Abschluss des Verfahrens aufbewahrt werden.

9. Datensicherheit

Der Anbieter setzt angemessene technische und organisatorische Maßnahmen ein, insbesondere:

Verschlüsselung: Verschlüsselung auf Datenbankebene im Ruhezustand, TLS 1.2+ bei der Übertragung,
Passwörter: bcrypt-Hash (10+ Runden),
2FA: optionale TOTP-basierte Zwei-Faktor-Authentifizierung,
Zugriffskontrolle: interner Zugriff nach dem Prinzip der geringsten Berechtigung,
Protokollierung: zentrale Erfassung von Sicherheitsereignissen,
Sicherungen: verschlüsselt gespeichert,
Versionierte Infrastruktur: Änderungen sind auditierbar,
Rate-Limiting: nach 5 fehlgeschlagenen Anmeldeversuchen wird das Konto für 15 Minuten gesperrt,
CSRF-, XSS-, SQL-Injection-Schutz: auf Framework-Ebene sichergestellt.

10. Umgang mit Datenschutzvorfällen

Bei einem Datenschutzvorfall (Verletzung der Sicherheit, Vertraulichkeit oder Integrität) handelt der Anbieter gemäß Art. 33–34 DSGVO:

innerhalb von 72 Stunden nach Feststellung benachrichtigt er die Aufsichtsbehörde, sofern der Vorfall voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt,
birgt der Vorfall ein hohes Risiko, werden die betroffenen Nutzer unverzüglich benachrichtigt,
der Vorfall, seine Auswirkungen und die getroffenen Maßnahmen werden ausführlich dokumentiert.

11. Rechte der betroffenen Personen

Gemäß Art. 15–22 DSGVO haben Sie das Recht:

Auskunft über Ihre personenbezogenen Daten zu verlangen,
Berichtigung unrichtiger Daten zu verlangen,
Löschung zu verlangen („Recht auf Vergessenwerden"),
Einschränkung der Verarbeitung zu verlangen,
Datenübertragbarkeit zu verlangen (in einem strukturierten, maschinenlesbaren Format),
der Verarbeitung zu widersprechen (insbesondere bei auf berechtigtem Interesse basierender Verarbeitung),
Ihre Einwilligung zu widerrufen (sofern die Verarbeitung auf einer Einwilligung beruht),
Beschwerde bei der Aufsichtsbehörde einzulegen.

11.1. Einreichung von Anträgen

Ihre Anträge können Sie wie folgt einreichen:

E-Mail: privacy@1booq.com
Postalisch: an die Sitzadresse des Anbieters.

Der Anbieter beantwortet den Antrag ohne unangemessene Verzögerung, spätestens jedoch innerhalb eines Monats. Die Frist kann aufgrund der Komplexität des Antrags um höchstens weitere 2 Monate verlängert werden; hierüber wird die betroffene Person informiert.

11.2. Identitätsprüfung

Der Anbieter überprüft vor der Bearbeitung des Antrags die Identität des Antragstellers (z. B. über die registrierte E-Mail-Adresse), um eine rechtswidrige Herausgabe zu vermeiden.

11.3. Kosten

Der Anbieter bearbeitet Anträge kostenfrei, es sei denn, der Antrag ist offensichtlich unbegründet oder übermäßig (in diesem Fall kann eine angemessene Kostenerstattung verlangt oder der Antrag abgelehnt werden).

11.4. Verbindungsspezifische Einschränkungen

Hinweis: Ein Betroffenenantrag bezüglich der von einem Provider verwalteten Kundendaten (z. B. ein Client beantragt die Löschung seiner Buchungsdaten bei einem Provider) ist vorrangig an den Provider (als selbstständigen Verantwortlichen) zu richten. Der Anbieter handelt als Auftragsverarbeiter auf Weisung des Providers.

12. Schutz der Daten Minderjähriger

Die registrierte Nutzung des Dienstes steht ausschließlich Personen zur Verfügung, die das 18. Lebensjahr vollendet haben. Der Anbieter erhebt wissentlich keine personenbezogenen Daten von Personen unter 18 Jahren.

Erlangt der Anbieter Kenntnis davon, dass er Daten einer Person unter 18 Jahren verarbeitet (ohne vorherige Zustimmung des gesetzlichen Vertreters), werden diese Daten unverzüglich gelöscht.

Bei nicht registrierten (öffentlichen) Buchungen dürfen Personen unter 18 Jahren ausschließlich unter Aufsicht des gesetzlichen Vertreters und in dessen Namen einen Termin buchen.

13. Nachrichten und Kommunikation

Im Rahmen des Dienstes ist eine Direktnachrichtenkommunikation zwischen Nutzern möglich. Der Anbieter überwacht den Inhalt von Nachrichten nicht routinemäßig, jedoch:

können automatisierte Spam- und Missbrauchsfiltersysteme betrieben werden,
kann der Inhalt aufgrund einer gesetzlichen Verpflichtung oder einer Meldung überprüft werden,
können bei schweren Rechtsverstößen Nachrichten entfernt und das Konto des Nutzers eingeschränkt werden.

Melde- und Abhilfeverfahren (Digital Services Act EU 2022/2065): Rechtswidrige Inhalte können jederzeit per E-Mail an legal@1booq.com gemeldet werden. Die Verfahrensdetails (Begründung, Beschwerdeweg) sind in Abschnitt 11.5 der Allgemeinen Geschäftsbedingungen geregelt.

Gelöschte Nachrichten sind nach der Löschung für die andere Partei nicht mehr zugänglich; auf der Ebene der technischen Sicherung können sie jedoch während der Sicherungsdauer (max. 90 Tage) auf Systemebene erhalten bleiben.

14. Bewertungen, Notizen und Ranking

Der Provider und der Client können sich gegenseitig bewerten (rating), und der Provider kann eine interne Notiz (note) über den Client anfertigen.

Interne Notizen sind für andere Nutzer nicht sichtbar; der Client kann als betroffene Person gemäß Art. 15 DSGVO Auskunft darüber verlangen.
Öffentliche Bewertungen (sofern diese Funktion aktiv ist) können auf der Seite des Providers veröffentlicht werden. Der Nutzer kann die Bearbeitung/Löschung der Bewertung beantragen, und der Anbieter moderiert offensichtlich beleidigende Inhalte.

15. Marketing-Kommunikation

Marketing-Nachrichten (Newsletter, neue Funktionen, Sonderangebote) versendet der Anbieter ausschließlich:

auf Grundlage einer ausdrücklichen vorherigen Einwilligung (bei neuen Nutzern) — DSGVO Art. 6 Abs. 1 lit. a) und § 6 des ungarischen Gesetzes XLVIII von 2008 über kommerzielle Werbung ("Grtv."); oder
im Rahmen des § 6 Abs. 4 Grtv. im Kontext einer bestehenden Kundenbeziehung für denselben oder ähnlichen Dienst (Soft Opt-in).

Jede solche Nachricht enthält einen kostenlosen Ein-Klick-Abmeldelink, und der Nutzer kann seine Marketing-Präferenzen jederzeit in den Kontoeinstellungen ändern.

16. Cookies

Eine detaillierte Beschreibung der Cookies und vergleichbaren Technologien findet sich in der gesondert veröffentlichten Cookie-Richtlinie.

17. Beschwerde und Rechtsschutz

Wenn Sie der Ansicht sind, dass die Datenverarbeitung Ihre Rechte verletzt, können Sie Beschwerde einlegen:

Beim Anbieter: privacy@1booq.com

Oder direkt bei der Aufsichtsbehörde: Ungarische Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH) 1055 Budapest, Falk Miksa u. 9–11. Postanschrift: 1363 Budapest, Pf. 9. E-Mail: ugyfelszolgalat@naih.hu Webseite: https://naih.hu

Darüber hinaus können Sie sich an ein Gericht wenden (Art. 79 DSGVO). Die Klage kann vor dem Gericht am Wohnort oder gewöhnlichen Aufenthaltsort oder vor dem Gericht am Sitz des Anbieters erhoben werden.

18. Änderung der Erklärung

Der Anbieter ist berechtigt, diese Erklärung einseitig zu ändern, insbesondere:

aufgrund geänderter gesetzlicher oder behördlicher Anforderungen,
bei Einführung neuer Dienstfunktionen,
bei Einsatz neuer Auftragsverarbeiter.

Bei wesentlichen Änderungen informiert der Anbieter die Nutzer mindestens 15 Tage vor Inkrafttreten der Änderung per E-Mail oder durch eine Mitteilung innerhalb der Plattform. Für neue, auf Einwilligung beruhende Verarbeitungen holt der Anbieter eine neue, ausdrückliche Einwilligung ein.

19. Kontakt

Datenschutzfragen: privacy@1booq.com Allgemeiner Kundendienst: support@1booq.com Postanschrift: an den Sitz des Anbieters gemäß Abschnitt 2 dieser Erklärung.

Mit der Nutzung des Dienstes bestätigen Sie, dass Sie diese Datenschutzerklärung zur Kenntnis genommen haben.