Slotara Logo Slotara
Slotara / Ratgeber / DSGVO & Datenschutz
🛡️ Datenschutz 2026

DSGVO-konforme Buchungssoftware:
7 Pflichten und was wirklich zählt.

Buchungssoftware verarbeitet personenbezogene Daten (Name, E-Mail, Termin) und unterliegt damit vollständig der DSGVO. Die 7 wichtigsten Pflichten: Hosting in Deutschland/EU, Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, Datenschutzhinweis auf der Buchungsseite, minimale Pflichtfelder, Löschkonzept, verschlüsselte Übertragung (TLS/HTTPS) und keine US-Tracking-Tools ohne Einwilligung. Von den bekannten Systemen erfüllt nur Slotara alle 7 Punkte ohne Einschränkungen.

Aktualisiert: 2026-04-12 | Lesezeit: 9 Minuten | Von Marcus Mayer, intellimSystems
7-Punkte-Checkliste AVV-Pflicht erklärt Hosting-Check Branchenrisiken Praxen & Salons
Grundlagen

Warum Buchungssoftware immer DSGVO-relevant ist.

📋

Personenbezogene Daten

Name, E-Mail-Adresse und Buchungshistorie sind personenbezogene Daten nach Art. 4 DSGVO — ohne Ausnahme.

🔗

Auftragsverarbeitung

Du übergibst Kundendaten an einen Softwareanbieter — das ist Auftragsverarbeitung und erfordert einen AVV nach Art. 28 DSGVO.

⚕️

Gesundheitsbezug möglich

Bei Praxen, Therapeuten und Coaches können Buchungsdaten einen Gesundheitsbezug haben — Art. 9 DSGVO, höchste Schutzklasse.

🌍

Drittlands-Übermittlung

US-Server ohne SCCs (Standard Contractual Clauses) sind eine unzulässige Drittlandsübermittlung nach Art. 44 ff. DSGVO.

Definition

Auftragsverarbeitung (Art. 28 DSGVO) liegt vor, wenn ein Unternehmen personenbezogene Daten im Auftrag eines anderen Unternehmens verarbeitet. Als Dienstleister bist du Verantwortlicher — dein Buchungssystem-Anbieter ist Auftragsverarbeiter. Dieser Unterschied begründet die AVV-Pflicht und die Haftungsverteilung.

DSGVO-Checkliste

Die 7 Pflichten für DSGVO-konforme Buchungssoftware.

Geh diese Punkte für dein aktuelles System durch. Jeder offene Punkt ist ein potenzielles Bußgeld-Risiko.

1

Hosting-Standort: Server in Deutschland oder EU?

Risiko: Hoch

Buchungsdaten sind personenbezogene Daten (Name, E-Mail, Termin, oft auch Gesundheitsbezug). US-Server ohne SCCs (Standard Contractual Clauses) sind nach DSGVO unzulässig.

✓ So prüfst du es

Frage: Wo werden Kundendaten gespeichert? → Nur "EU" oder "Deutschland" ist ausreichend — "US-Server mit SCC" ist Grauzone.

Slotara: ✅ Hosting ausschließlich in Deutschland (Rechenzentrum Frankfurt/Deutschland).

2

Auftragsverarbeitungsvertrag (AVV) abschließen

Risiko: Kritisch

Jedes Unternehmen, das Kundendaten an einen Software-Anbieter übergibt, braucht einen AVV gemäß Art. 28 DSGVO. Ohne AVV drohen Bußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes.

✓ So prüfst du es

Frage: Stellt der Anbieter einen AVV zur Verfügung? → Muss schriftlich und rechtsverbindlich sein, keine "Allgemeinen Geschäftsbedingungen" als Ersatz.

Slotara: ✅ Slotara stellt einen rechtssicheren AVV gemäß Art. 28 DSGVO bereit.

3

Datenschutzerklärung auf der Buchungsseite

Risiko: Hoch

Kunden müssen vor der Buchung über die Datenverarbeitung informiert werden — Art. 13 DSGVO. Ein Link auf die Datenschutzerklärung reicht nur wenn die relevanten Informationen dort vorhanden sind.

✓ So prüfst du es

Frage: Zeigt die Buchungsseite einen Datenschutzhinweis mit Link? → Muss beim ersten Dateneingabe-Schritt sichtbar sein.

Slotara: ✅ Slotara zeigt Datenschutzhinweis + konfigurierbaren Link zur eigenen Datenschutzerklärung.

4

Minimale Datenerhebung (Datensparsamkeit)

Risiko: Mittel

DSGVO Art. 5 fordert Datensparsamkeit: Nur Daten erheben, die für den Buchungszweck tatsächlich notwendig sind. Pflicht-Felder wie "Geburtsdatum" oder "Adresse" bei einer Massage-Buchung sind unzulässig.

✓ So prüfst du es

Frage: Welche Pflichtfelder fordert das Buchungsformular? → Nur Name + E-Mail + Terminwahl sind typischerweise begründbar.

Slotara: ✅ Pflichtfelder in Slotara konfigurierbar — Standard: Name + E-Mail.

5

Datenlöschung und Aufbewahrungsfristen

Risiko: Mittel

Kundendaten dürfen nicht unbegrenzt gespeichert werden — DSGVO Art. 5 (e). Ausnahme: steuerliche Aufbewahrungspflicht (10 Jahre für Rechnungsdaten). Termin-Daten ohne Rechnungsbezug müssen nach einer definierten Frist gelöscht werden.

✓ So prüfst du es

Frage: Gibt es eine automatische Datenlöschung oder manuelle Löschfunktion im System?

Slotara: ✅ Slotara ermöglicht manuelle Datenlöschung — automatische Löschfristen auf Roadmap.

6

Verschlüsselung (TLS/HTTPS) und sichere Übertragung

Risiko: Hoch

Alle Buchungsdaten müssen verschlüsselt übertragen werden. HTTP statt HTTPS ist ein DSGVO-Verstoß — auch für eingebettete Widgets.

✓ So prüfst du es

Frage: Verwendet die Buchungsseite HTTPS? Prüfe Widget-URL und direkte Buchungsseite.

Slotara: ✅ Alle Slotara-Endpunkte nutzen TLS 1.3, HTTPS erzwungen.

7

Keine unerlaubten Drittanbieter (Tracking, Analytics)

Risiko: Hoch

US-Tracking-Tools (Google Analytics, Meta Pixel) auf der Buchungsseite ohne explizite Einwilligung verstoßen gegen DSGVO. Buchungsseiten sind besonders sensibel — Kunden hinterlassen dort bewusst personenbezogene Daten.

✓ So prüfst du es

Frage: Welche Drittanbieter-Skripte lädt die Buchungsseite? → Über den Browser-Inspektor (Network-Tab) prüfbar.

Slotara: ✅ Keine US-Tracking-Skripte auf Slotara-Buchungsseiten.

Risikoklassen

DSGVO-Risiko nach Branche.

Nicht jede Branche trägt das gleiche Risiko — aber alle müssen handeln.

🏥

Praxen & Gesundheitsbereich

Risiko: Sehr hoch

Gesundheitsdaten sind nach Art. 9 DSGVO "besondere Kategorien" personenbezogener Daten — höchste Schutzklasse. US-Server mit Patientendaten ist ein schwerwiegender Verstoß.

Empfehlung

Nur Software mit Hosting in Deutschland/EU und spezifischem Gesundheitsdaten-Schutz einsetzen.

✂️

Friseursalons & Beauty

Risiko: Hoch

Kundendaten (Name, Buchungshistorie, bevorzugte Services) unterliegen der DSGVO. Fresha als britisches Unternehmen post-Brexit ist eine Grauzone ohne expliziten Angemessenheitsbeschluss.

Empfehlung

AVV prüfen, Hosting-Standort bestätigen lassen.

🎯

Coaches & Berater

Risiko: Hoch

Coaching-Themen können sensibel sein (Beziehungen, Karriere, mental health). Buchungsdaten + Notizen dürfen nicht auf US-Servern liegen.

Empfehlung

Besonders Calendly kritisch prüfen — US-Datenhaltung ohne explizite EU-Konfiguration.

🏢

B2B-Dienstleister

Risiko: Mittel

Auch juristische Personen sind bei personenbezogenen Ansprechpartnern betroffen. X-Rechnung + DSGVO zusammen erfordern eine Software-Lösung aus einer Hand.

Empfehlung

AVV + elektronische Rechnungsstellung in einer Lösung klären.

AVV nach Art. 28 DSGVO

Was ein rechtsgültiger AVV enthalten muss.

Kein AVV = Bußgeld-Risiko. Das sind die Pflichtinhalte.

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten (Name, E-Mail, Buchungsdaten)
  • Kategorien betroffener Personen (Kunden)
  • Rechte und Pflichten des Verantwortlichen
  • Technische und organisatorische Maßnahmen (TOMs)
  • Weisungsbindung des Auftragsverarbeiters
  • Unterauftragnehmer (z.B. Hosting-Provider)
  • Rückgabe oder Löschung nach Vertragsende

⚠️ Achtung

AGB-Verweise ersetzen keinen AVV. Ein Link auf "Terms of Service" oder "Privacy Policy" ist kein gültiger Auftragsverarbeitungsvertrag. Prüfe ob dein Anbieter einen echten, unterschreibbaren AVV-Dokument bereitstellt.

Fakt

Bußgelder für fehlende AVVs oder unzulässige Drittlandsübermittlungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO). Bei schwerem Verstoß bis 20 Millionen oder 4 % des Jahresumsatzes.

Systemvergleich

DSGVO-Check: Welche Buchungssoftware besteht?

Software Hosting DE/EU AVV verfügbar Keine US-Tracker Gesamtbewertung
Slotara 🇩🇪 Deutschland ✅ Ja (Art. 28) ✅ Keine ✅ Sehr gut
Cituro 🇩🇪 Deutschland ✅ Ja ✅ Keine ✅ Gut
eTermin 🇦🇹 Österreich (EU) ✅ Ja ⚠️ Prüfen 🟡 Gut
Fresha 🇬🇧 UK / US-Cloud ⚠️ Eingeschränkt ⚠️ Prüfen ⚠️ Eingeschränkt
Calendly 🇺🇸 USA ⚠️ DPA verfügbar ❌ US-Tracker ❌ Problematisch

DSGVO-konform buchen — ohne Aufwand.

Slotara: Hosting in Deutschland, AVV nach Art. 28 DSGVO, keine US-Tracker, konfigurierbare Datenschutzhinweise. Kostenloser Start — kein Kreditkarte nötig.

Kostenlos testen Sicherheitsarchitektur ansehen

Hosting Deutschland · AVV verfügbar · Keine US-Tracker

Häufige Fragen

FAQ: DSGVO & Buchungssoftware

Ja. Buchungssoftware verarbeitet personenbezogene Daten (Name, E-Mail, Termin) im Auftrag des Dienstleisters — das begründet eine Auftragsverarbeitung nach Art. 28 DSGVO. Der Dienstleister bleibt Verantwortlicher, der Softwareanbieter wird zum Auftragsverarbeiter. Ein AVV (Auftragsverarbeitungsvertrag) ist Pflicht.

Kritisch. Calendly speichert Daten auf US-Servern. Für Gesundheitsdaten (Art. 9 DSGVO — besondere Kategorien) ist US-Hosting ohne adäquaten Schutzrahmen unzulässig. Praxen sollten ausschließlich Anbieter mit EU/Deutschland-Hosting und explizitem Gesundheitsdaten-Schutz nutzen. Slotara hostet in Deutschland und bietet AVV gemäß Art. 28 DSGVO.

Ein Auftragsverarbeitungsvertrag (AVV) ist ein Vertrag zwischen dir (Verantwortlicher) und dem Software-Anbieter (Auftragsverarbeiter), der regelt, wie deine Kundendaten verarbeitet werden. Er ist nach Art. 28 DSGVO zwingend erforderlich, wenn du einem Dienstleister personenbezogene Daten zur Verarbeitung übergibst. Ohne AVV kann ein Bußgeld bis 10 Mio. € oder 2 % des Jahresumsatzes drohen.

Eingeschränkt. Fresha ist ein britisches Unternehmen — Großbritannien hat nach dem Brexit einen Angemessenheitsbeschluss der EU-Kommission, der bis Mai 2025 galt und verlängert wurde. Das Risiko liegt in der Datenhaltung: Fresha nutzt US-Cloud-Infrastruktur (AWS). Für deutsche Dienstleister mit sensiblen Kundendaten empfehlen wir sicherheitshalber Anbieter mit nachweislichem EU-Hosting.

Nicht ohne explizite Einwilligung. Google Analytics überträgt Daten in die USA. Auf Buchungsseiten, wo Kunden aktiv personenbezogene Daten eingeben, ist das besonders heikel. Entweder: Cookie-Consent mit GA nur nach Einwilligung laden, oder auf ein DSGVO-konformes Analytics-Tool wechseln (z.B. Matomo mit eigenem Hosting).

Für volle DSGVO-Konformität in Deutschland empfehlen wir Slotara: Hosting in Deutschland, AVV nach Art. 28 DSGVO, keine US-Tracking-Skripte, konfigurierbare Datenschutzhinweise auf der Buchungsseite, minimale Pflichtfelder. Cituro ist ebenfalls ein deutsches Unternehmen. Calendly und Fresha haben Einschränkungen (US-Server bzw. UK-Infrastruktur).

Rechnungsdaten müssen nach §147 AO 10 Jahre aufbewahrt werden. Reine Terminbuchungen ohne Rechnungsbezug sollten spätestens nach 2–3 Jahren gelöscht werden — es gibt keine einheitliche Frist, aber das Prinzip der Datensparsamkeit (Art. 5 DSGVO) verlangt eine begründete Speicherdauer. Praxistipp: Löschkonzept dokumentieren und im AVV festhalten.

MM

Marcus Mayer

Gründer, intellimSystems

Entwickler von Slotara. Hat Slotara explizit für den deutschen Markt mit DSGVO-konformem Hosting, AVV-Verpflichtung und ohne US-Cloud-Abhängigkeiten gebaut. Kein Rechtsanwalt — dieser Artikel ersetzt keine Rechtsberatung.

⚠️ Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Bei konkreten DSGVO-Fragen empfehlen wir einen Datenschutzbeauftragten oder Rechtsanwalt zu konsultieren.

Weiterlesen

Sicherheit & DSGVO

Technische Schutzmaßnahmen, Serverstandort, Verschlüsselung

Software-Vergleich 2026

5 Systeme mit DSGVO-Check: Slotara, Calendly, Fresha & mehr

Slotara vs. Calendly

Warum Calendly für deutsche Dienstleister problematisch ist

X-Rechnung Pflicht 2025

DSGVO + X-Rechnung: Beides in einer Software lösen
Kostenlos starten Alle Ratgeber Für Praxen Für Coaches Preise