Datenschutzerklärung

1. Verantwortlicher

Alejandro Fernando Duenas Valcarcel
Lange Str. 33, 26122 Oldenburg, Deutschland
E-Mail: hello@stugro.cloud

Für Datenschutzanfragen sowie die Ausübung von Betroffenenrechten wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Plattformmodell und Rollenverteilung

Stugro ist eine Software-as-a-Service-Plattform (SaaS) für Studios, Tanzschulen, Fitnessunternehmen und ähnliche Betriebe (nachfolgend „Tenants"). Je nach Kontext nimmt Stugro unterschiedliche datenschutzrechtliche Rollen ein:

Stugro als Verantwortlicher

Für die Datenverarbeitung im Zusammenhang mit der Registrierung und Verwaltung von Tenant-Konten auf stugro.cloud ist Alejandro Fernando Duenas Valcarcel der datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Diese Datenschutzerklärung beschreibt primär diese Verarbeitungen.

Stugro als Auftragsverarbeiter

Wenn Tenants über die Plattform Daten ihrer eigenen Kunden verarbeiten (z. B. Namen, E-Mail-Adressen, Buchungs- und Mitgliedschaftsdaten), handelt Stugro als Auftragsverarbeiter gemäß Art. 28 DSGVO im Auftrag des jeweiligen Tenants. Der Tenant ist in diesem Fall der datenschutzrechtlich Verantwortliche gegenüber seinen Kunden und trägt die Verantwortung für die Einhaltung der anwendbaren Datenschutzvorschriften. Die Grundlage dieser Auftragsverarbeitung bildet der Auftragsverarbeitungsvertrag (AVV).

3. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist oder eine gesetzliche Grundlage besteht. Maßgebliche Rechtsgrundlagen sind Art. 6 DSGVO, insbesondere:

• lit. a — Einwilligung (z. B. für optionale Verarbeitungen, soweit eingeholt)
• lit. b — Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
• lit. c — Erfüllung einer rechtlichen Verpflichtung
• lit. f — Wahrung berechtigter Interessen (z. B. Systemsicherheit, Missbrauchsschutz)

4. Hosting und Serverinfrastruktur

Die Plattform und ihre Kerninfrastruktur werden auf einem eigenen Server in Europa (Deutschland) betrieben. Datenbankinfrastruktur, Authentifizierung und Dateispeicher basieren auf einem selbst betriebenen Open-Source-Stack (PostgreSQL / Supabase) auf demselben Server. Daten verlassen diesen Server nicht im Rahmen des regulären Plattformbetriebs — mit Ausnahme der unter Abschnitt 8 genannten Drittanbieter, die für spezifische Funktionen eingesetzt werden.

5. Erhobene Daten, Zwecke und Rechtsgrundlagen

Nutzerkonto und Authentifizierung

Bei der Registrierung erheben wir E-Mail-Adresse und Passwort (verschlüsselt gespeichert via Supabase Auth / bcrypt). Zweck: Bereitstellung des Plattformzugangs. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Buchungen und Zahlungen

Buchungs- und Zahlungsdaten (Name, E-Mail, ggf. Telefon, Bestellreferenz) werden zur Abwicklung von Transaktionen verarbeitet. Zahlungsabwicklung erfolgt über Stripe bzw. PayPal; diese Anbieter verarbeiten Zahlungsdaten in eigener Verantwortung. Stugro übermittelt die zur Zahlungsinitiierung notwendigen Daten (z. B. Bestellbetrag, Kundenreferenz). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Rechtliche Einwilligung bei Buchungen

Im Buchungsprozess wird die Zustimmung zu AGB und Datenschutzerklärung mit Zeitstempel erfasst und gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kommunikation

Transaktionale E-Mails (Buchungsbestätigungen, Passwort-Reset, Einladungen) werden über Postmark (ActiveCampaign, Inc., USA) versendet. Hierbei werden E-Mail-Adresse und relevante Buchungsdaten an Postmark übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Bei direkter Kontaktaufnahme per E-Mail speichern wir die Nachricht und Absenderadresse zur Bearbeitung Ihres Anliegens. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Server-Protokolldaten

Bei jedem Seitenaufruf werden technische Daten (IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Statuscode) in Server-Protokollen erfasst. Diese Daten dienen der Systemsicherheit und Fehlerdiagnose. Sie werden nicht mit Nutzerkonten verknüpft. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit). Die Protokolldaten werden regelmäßig rotiert; die konkrete Aufbewahrungsdauer richtet sich nach der Serverkonfiguration.

6. Technische Sicherheitsdienste

Wir setzen folgende Dienste ausschließlich zum Schutz der Plattform und ihrer Nutzer ein. Keiner dieser Dienste wird für Werbung, Profilerstellung oder Tracking zu kommerziellen Zwecken verwendet.

Fehlerüberwachung (Sentry)

Wir nutzen Sentry (Functional Software, Inc., USA) zur Überwachung und Diagnose technischer Fehler auf der Plattform. Sentry erfasst Fehlerereignisse einschließlich Anfrage-URLs und Fehlermeldungen. Persönliche Daten werden dabei nur dann übertragen, wenn sie Teil einer Fehlermeldung oder eines Anfragepfads sind. Sentry ist so konfiguriert, dass erwartete HTTP-Fehler (z. B. 404, 403) nicht übermittelt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität und Sicherheit).

Bot-Schutz (Cloudflare Turnstile)

Auf Authentifizierungsformularen (Login, Registrierung, Passwort-Reset) und öffentlichen Kontaktformularen wird Cloudflare Turnstile (Cloudflare, Inc., USA) zum Schutz vor automatisierten Angriffen eingesetzt. Die Verifikation erfolgt durch Übermittlung eines Challenge-Tokens an die Cloudflare-Server. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch).

Ratenbegrenzung (Upstash Redis)

Zur Absicherung gegen Brute-Force- und Spam-Angriffe werden IP-Adressen sowie E-Mail-Adressen (als anonymisierte Schlüssel) für begrenzte Zeitfenster in einem Redis-Datenspeicher (Upstash, Inc., USA) gespeichert. Die Daten werden automatisch nach Ablauf des jeweiligen Zeitfensters gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch und unbefugtem Zugriff).

7. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies und lokale Speichermechanismen:

• Sitzungs-Cookie (Auth-Token): Für die Authentifizierung auf der Plattform. Dieser Cookie ist für den Betrieb notwendig und wird beim Abmelden oder Schließen des Browsers gelöscht.
• Sprachpräferenz-Cookie (PARAGLIDE_LOCALE): Speichert die gewählte Anzeigesprache als Sitzungs-Cookie. Kein Tracking-Bezug.
• Cookie-Einstellungen (localStorage): Auf Tenant-Storefronts werden die Cookie-Zustimmungseinstellungen im lokalen Browserspeicher gespeichert, um wiederholte Anfragen zu vermeiden. Diese Daten verlassen das Gerät nicht.

Wir verwenden keine Werbe-Cookies, keine Social-Media-Pixel und kein Conversion-Tracking. Es werden keine Nutzerprofile für Marketingzwecke erstellt.

8. Auftragsverarbeiter und Drittanbieter

Wir setzen folgende externe Dienstleister ein, die personenbezogene Daten in unserem Auftrag oder in gemeinsamer Verantwortung verarbeiten können:

Mit Auftragsverarbeitern werden entsprechende Verträge gemäß Art. 28 DSGVO abgeschlossen oder sind durch die Nutzungsbedingungen des jeweiligen Anbieters abgedeckt.

9. Internationale Datenübertragungen

Die Kerninfrastruktur der Plattform (Datenbank, Authentifizierung, Dateispeicher) wird ausschließlich auf unserem eigenen Server in Deutschland betrieben.

Einige der unter Abschnitt 8 genannten Drittanbieter haben ihren Sitz in den USA oder anderen Ländern außerhalb des Europäischen Wirtschaftsraums (EWR). Für diese Übertragungen stützen wir uns auf geeignete Garantien gemäß Art. 46 DSGVO, insbesondere auf Standardvertragsklauseln (SCC) der Europäischen Kommission, oder — sofern der jeweilige Anbieter daran teilnimmt — auf das EU-US Data Privacy Framework (Art. 45 DSGVO). Weitere Informationen zu den spezifischen Garantien der einzelnen Anbieter können auf Anfrage an hello@stugro.cloud zur Verfügung gestellt werden.

10. Betroffenenrechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Zur Ausübung Ihrer Rechte wenden Sie sich an: hello@stugro.cloud.

Sie haben außerdem das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist u. a. die Landesbeauftragte für Datenschutz Niedersachsen.

Hinweis zu technischen Einschränkungen

Eine vollautomatisierte Selbstlöschung von Nutzerkonten oder ein Datenexport per Knopfdruck sind zum aktuellen Zeitpunkt noch nicht als Self-Service-Funktion verfügbar. Anfragen zur Löschung oder Übertragung Ihrer Daten werden manuell bearbeitet und innerhalb von 30 Tagen beantwortet. Bitte beachten Sie, dass bei bestehenden Buchungshistorien gesetzliche Aufbewahrungspflichten (§ 147 AO, § 257 HGB) einer vollständigen Löschung entgegenstehen können; in diesen Fällen erfolgt eine Anonymisierung der personenbezogenen Daten.

11. Speicherdauer

Daten werden gelöscht oder anonymisiert, sobald der Zweck der Verarbeitung entfällt, spätestens jedoch nach Ablauf gesetzlicher Aufbewahrungsfristen. Für buchhalterisch relevante Unterlagen gelten die handels- und steuerrechtlichen Fristen (i. d. R. 6 bis 10 Jahre gemäß § 147 AO / § 257 HGB).

Daten zur Ratenbegrenzung (Upstash) werden automatisch nach Ablauf des jeweiligen Zeitfensters gelöscht. Server-Protokolldaten werden regelmäßig rotiert; die genaue Aufbewahrungsdauer hängt von der Serverkonfiguration ab. Daten in Sentry (Fehlerprotokolle) unterliegen den Aufbewahrungsfristen des Sentry-Plans.

12. Aktualität dieser Erklärung

Diese Datenschutzerklärung hat den Stand April 2026. Wir behalten uns vor, sie bei Änderungen in der Datenverarbeitung, beim Einsatz neuer Dienste oder bei Änderungen der Rechtslage zu aktualisieren. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.