Stand: 13.06.2026 · Version V2.02
Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten wir bei der Nutzung von Zencio verarbeiten. Personenbezogene Daten sind alle Informationen, mit denen Sie identifiziert werden können oder identifizierbar sind.
Verantwortlich im Sinne der DSGVO ist:
BELA Media
Lindenhofstraße 74
68163 Mannheim
E-Mail: [email protected]
Weitere Angaben finden Sie im Impressum.
Die Plattform wird auf Servern eines Hosting-Dienstleisters innerhalb der Europäischen Union betrieben, derzeit nach unserem Stand bei netcup GmbH. Beim Aufruf der Seiten werden technische Zugriffsdaten verarbeitet, insbesondere IP-Adresse, Datum und Uhrzeit, angefragte URL, Referrer-URL, Browser, Betriebssystem, übertragene Datenmenge und Serverstatus. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, stabilen und performanten Betrieb der Plattform. Mit Hosting-Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, besteht ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO.
Der Datenverkehr der Website kann über Dienste der Cloudflare, Inc. (USA) geleitet werden. Cloudflare dient der sicheren und performanten Auslieferung, der Absicherung gegen Angriffe sowie der Stabilität der Plattform. Dabei verarbeitet Cloudflare technische Zugriffsdaten wie IP-Adresse, angefragte URL, Browser- und Geräteinformationen, DNS-Informationen, Sicherheitsereignisse und Zeitpunkte der Zugriffe. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Soweit Daten in die USA übertragen werden, stützen wir die Übermittlung auf geeignete Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln, soweit erforderlich. Weitere Informationen: Cloudflare Privacy Policy.
Wir behandeln personenbezogene Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften. Die Verarbeitung erfolgt insbesondere zur Bereitstellung der Website, zur Verwaltung von Nutzerkonten, zur Bearbeitung von Studioeinträgen, Buchungen, Bewertungen und Anfragen sowie zur Sicherheit und Weiterentwicklung der Plattform.
Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Für Cookie- und Tracking-Einwilligungen können Sie die Einstellungen über den CookieScript-Consent-Banner ändern; alternativ genügt eine formlose Nachricht an uns.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren, insbesondere bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
Wir verwenden technisch notwendige Cookies und vergleichbare Speichertechnologien, damit die Plattform funktioniert. Dazu gehören insbesondere Session-Cookies für Login und Sitzungsverwaltung, CSRF-Schutz, sicherheitsrelevante Cookies, gespeicherte Formular- und Statusinformationen sowie Cookies zur Speicherung Ihrer Cookie-Einstellungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer funktionsfähigen und sicheren Website. Soweit § 25 TDDDG anwendbar ist, erfolgt die Speicherung auf Grundlage von § 25 Abs. 2 TDDDG.
Für die Verwaltung von Cookie- und Tracking-Einwilligungen nutzen wir CookieScript. CookieScript speichert Ihre Auswahl, damit zustimmungspflichtige Dienste nur nach entsprechender Einwilligung geladen werden und Ihre Entscheidung bei späteren Besuchen berücksichtigt werden kann. Dabei können technische Daten wie IP-Adresse in gekürzter oder gehashter Form, Browserinformationen, Einwilligungsstatus, Zeitpunkt und Geräteinformationen verarbeitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Nachweispflichten sowie Art. 6 Abs. 1 lit. f DSGVO für die technische Bereitstellung des Consent Managements.
Die Plattform kann lokal speichern, welche Studios zuletzt angesehen wurden (place_recent_studios, bis zu 90 Tage), welche Suchlocation zuletzt verwendet wurde (place_search_location, bis zu 180 Tage) und ob Sie den hellen oder dunklen Darstellungsmodus gewählt haben (localStorage). Diese Informationen dienen der komfortablen Nutzung der Website. Sie können den Verlauf im Konto löschen oder Cookies und lokale Website-Daten im Browser entfernen.
Soweit Sie einwilligen, nutzen wir Google Analytics 4 über Google Tag (G-8D3DTEWYZZ), um die Nutzung der Website statistisch auszuwerten und die Plattform zu verbessern. Dabei können pseudonyme Nutzungsdaten verarbeitet werden, insbesondere Seitenaufrufe, Ereignisse, Referrer, ungefähre Standortdaten, Geräte- und Browserinformationen sowie technische Kennungen. Anbieter ist Google Ireland Limited; eine Verarbeitung durch Google LLC in den USA kann nicht ausgeschlossen werden. Soweit dabei Daten in die USA übertragen werden, stützen wir die Übermittlung auf geeignete Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln, soweit erforderlich. Rechtsgrundlage ist Ihre Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit über CookieScript widerrufen.
Beim Betrieb der Plattform entstehen technische Server- und Anwendungslogs. Diese können insbesondere IP-Adresse, Zeitpunkt, URL, Referrer, Browser- und Geräteinformationen, Statuscodes, Fehlermeldungen, Sicherheitsereignisse und technische Kontextdaten enthalten. Server-Log-Dateien werden in der Regel spätestens nach 14 Tagen gelöscht; Anwendungslogs werden nach den technischen Erfordernissen des sicheren Betriebs rotiert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Bei der Registrierung und Kontonutzung verarbeiten wir insbesondere Name, Vorname, Nachname, Anzeigename, E-Mail-Adresse, Passwort-Hash, E-Mail-Verifizierungsstatus, Rollen und Berechtigungen, Zwei-Faktor-Authentifizierungsdaten, Wiederherstellungscodes, Sessiondaten, IP-Adresse, User-Agent, Login- und Sicherheitsereignisse sowie freiwillige Profildaten. Dies dient der Bereitstellung des Kontos, der Authentifizierung, der Sicherheit und der Kontoverwaltung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.
Für API-Token verarbeiten wir Tokenname, Berechtigungen, Erstellungszeitpunkt und Nutzungshinweise wie den letzten Zugriff. Der eigentliche Token wird nur gehasht gespeichert.
Wenn Sie Studios merken, speichern wir die Zuordnung zwischen Ihrem Nutzerkonto und dem jeweiligen Studio. Öffentliche Studio-Profilaufrufe werden zudem in aggregierter Form pro Studio und Tag gezählt; hierfür wird in der Sitzung vermerkt, ob ein Studio am jeweiligen Tag bereits gezählt wurde. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für Kontofunktionen und Art. 6 Abs. 1 lit. f DSGVO für Reichweiten- und Qualitätsmessung ohne personenbezogene Auswertung.
Wenn Sie einen Termin buchen oder eine Anfrage stellen, verarbeiten wir die hierfür erforderlichen Daten, insbesondere Name, E-Mail-Adresse, Telefonnummer, gewünschte Behandlung, Studio, Datum, Uhrzeit, Zeitfenster, freiwillige Nachricht, Buchungsstatus, Datenschutz-Akzeptanz, E-Mail-Verifizierungszeitpunkt, Bestätigungen, Ablehnungen, Stornierungen und Statusereignisse. Bei Gastanfragen nutzen wir signierte Links und eine E-Mail-Bestätigung, bevor eine Anfrage an das Studio weitergeleitet wird. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; ergänzend Art. 6 Abs. 1 lit. f DSGVO für Missbrauchsvermeidung, Nachvollziehbarkeit und sichere Abwicklung.
Buchungsdaten werden an das jeweilige Studio, an hinterlegte Studio-Kontaktadressen oder an verifizierte Studio-Inhaber:innen übermittelt, soweit dies zur Bearbeitung, Bestätigung, Ablehnung, Durchführung oder Stornierung erforderlich ist. Studio-Inhaber:innen sehen im Portal die für sie relevanten Buchungen und können Statusänderungen auslösen.
Bei Bewertungen verarbeiten wir Nutzerkonto, Studio, Sternebewertung, Bewertungstext, optionalen Buchungsbezug, Moderationsstatus, Ablehnungsgrund, Zeitpunkte sowie Antworten von Studio-Inhaber:innen. Freigegebene Bewertungen und freigegebene Antworten können öffentlich angezeigt werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Bereitstellung authentischer Erfahrungsberichte, Moderation und Qualitätssicherung.
Wenn Sie ein Studio beanspruchen oder im Inhaber-Portal verwalten, verarbeiten wir Ihre Kontodaten, das Studio, Claim-Methode, Claim-Kontakt, Studio-Name, Adresse, Telefonnummer, E-Mail, Verifizierungsstatus, interne Prüfinformationen, Änderungsanträge und Moderationsentscheidungen. Verifizierte Inhaber:innen können Studioangaben wie Beschreibung, Öffnungszeiten, Behandlungen, Preise, Kontaktdaten, Website, Bilder, Galerie, Hero-Bild und Buchungseinstellungen pflegen. Diese Angaben können öffentlich angezeigt werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für Berechtigungsprüfung, Missbrauchsvermeidung und Datenqualität.
Bei Kontaktanfragen und Meldungen zu falschen Studioangaben verarbeiten wir Name, E-Mail-Adresse, Betreff, Nachricht, betroffene Studioseite, Feedbacktyp, URL, Referrer, IP-Adresse, User-Agent und Bearbeitungsstatus. Studios können über signierte Links mitteilen, dass sie keine weiteren Anfragen über die Plattform erhalten möchten; hierfür speichern wir Studio-ID, betroffene E-Mail-Adresse, Grund, Quelle und Zeitpunkt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO und, soweit gesetzliche Pflichten betroffen sind, Art. 6 Abs. 1 lit. c DSGVO.
Wir versenden transaktionale E-Mails, insbesondere zur Registrierung, E-Mail-Verifizierung, Passwortverwaltung, Sicherheitsbenachrichtigung, Buchung, Anfrage, Stornierung, Studio-Verifizierung, Pro-Einwilligung und Kontaktbearbeitung. Dabei verarbeiten wir Empfängeradresse, Name, Inhalt der Nachricht, Betreff, Versandzeitpunkt und technische Versanddaten. Ausgehende E-Mails werden intern zur Nachvollziehbarkeit protokolliert; diese E-Mail-Logs enthalten Empfänger, Betreff, Mailable-Typ, HTML-Inhalt und ggf. Buchungsbezug und werden automatisiert nach 90 Tagen gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO sowie Art. 6 Abs. 1 lit. c DSGVO, soweit Nachweispflichten bestehen.
Für den E-Mail-Versand können SMTP-Dienstleister oder Amazon SES eingesetzt werden. Zusätzlich verarbeiten wir Rückläufer, Zustellfehler und Unterdrückungslisten, damit keine weiteren E-Mails an dauerhaft nicht erreichbare oder gesperrte Empfängeradressen versendet werden.
Für das kostenpflichtige Angebot „Studio Pro" nutzen wir Stripe (Stripe Payments Europe, Ltd., Irland; ggf. Stripe, Inc., USA). Bei Abschluss, Verwaltung oder Kündigung eines Abonnements verarbeiten wir bzw. Stripe insbesondere Name, E-Mail-Adresse, Stripe-Kundenkennung, Abo-Status, Preis, Testzeitraum, Rechnungs- und Zahlungsstatus, Transaktionsdaten, Zahlungsmittel-Metadaten sowie technische Zugriffsdaten. Vollständige Kartendaten werden direkt durch Stripe verarbeitet; wir speichern keine vollständigen Kartennummern. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für sichere Zahlungsabwicklung und Betrugsprävention. Soweit dabei Daten in die USA übertragen werden, stützen wir die Übermittlung auf geeignete Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln, soweit erforderlich.
Vor dem Pro-Checkout speichern wir die Einwilligung zum vorzeitigen Leistungsbeginn und die Kenntnisnahme zum Erlöschen des Widerrufsrechts mit Version, Wortlaut, Zeitpunkt, IP-Adresse und User-Agent. Dies dient dem gesetzlichen Nachweis. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen: Stripe Datenschutzerklärung.
Zum Schutz von Kontakt-, Registrierungs-, Login-, Passwort-, Claim-, Feedback- und Buchungsformularen setzen wir Cloudflare Turnstile ein. Turnstile verarbeitet technische Signale wie IP-Adresse, User-Agent, Sitekey, Token, Interaktions- und Geräteinformationen, um automatisierte Zugriffe zu erkennen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen: Cloudflare Turnstile Privacy Addendum.
Für Orts-, Adress- und Standortvorschläge nutzen wir Dienste wie Photon von komoot und in bestimmten Fällen Nominatim auf Basis von OpenStreetMap. Wenn Sie die Suche verwenden oder Koordinaten auflösen lassen, können Suchbegriffe, Koordinaten, IP-Adresse, Browserinformationen und Zeitpunkt an diese Dienste übermittelt werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen: komoot Datenschutz und OSMF Privacy Policy.
Karten werden mit der lokal eingebundenen Open-Source-Bibliothek Leaflet dargestellt. Kartenkacheln werden über CARTO-Basemaps mit OpenStreetMap-Daten geladen. Dabei stellt Ihr Browser Verbindungen zu den Kartenservern her; verarbeitet werden insbesondere IP-Adresse, technische Browserdaten, angefragte Kartenkacheln und Zeitpunkt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Die verwendete Schriftart „Nunito" wird lokal von unserem eigenen Server ausgeliefert. Beim Laden der Schrift wird keine Verbindung zu Servern Dritter (etwa Google Fonts oder Bunny Fonts) aufgebaut; insbesondere wird Ihre IP-Adresse hierfür nicht an einen externen Anbieter übermittelt.
Zur Erkennung und Behebung technischer Fehler setzen wir Sentry der Functional Software, Inc. (USA) ein. Bei technischen Fehlern können IP-Adresse, Zeitpunkt, URL, Browser- und Geräteinformationen, Fehlermeldung, Stacktrace, Anfragekontext und technische Ereignisse verarbeitet werden. Standardmäßig ist die Übermittlung personenbezogener Standarddaten in der Konfiguration deaktiviert; dennoch können personenbezogene Daten in Fehlerkontexten enthalten sein. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Soweit dabei Daten in die USA übertragen werden, stützen wir die Übermittlung auf geeignete Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln, soweit erforderlich. Weitere Informationen: Sentry Privacy Policy.
Wir setzen externe Dienstleister ein, insbesondere für Hosting, Content Delivery, Formularschutz, E-Mail-Versand, Zahlungsabwicklung, Fehleranalyse, Karten- und Geocoding-Dienste sowie Consent Management. Soweit Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir Verträge zur Auftragsverarbeitung gem. Art. 28 DSGVO. Bestimmte Dienste, etwa Stripe, Google, Cloudflare, CARTO, komoot oder OpenStreetMap-Dienste, können je nach Verarbeitung auch eigenständig Verantwortliche sein.
Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Server-Logs werden in der Regel spätestens nach 14 Tagen gelöscht, E-Mail-Logs nach 90 Tagen. Konto- und Profildaten speichern wir für die Dauer des Nutzerkontos. Buchungsdaten, Claim-Daten, Pro-Einwilligungen, Kontaktanfragen, Bewertungen, Opt-outs, Sperrlisten und interne Statusereignisse speichern wir, solange dies für Abwicklung, Nachvollziehbarkeit, Missbrauchsvermeidung, Qualitätssicherung, gesetzliche Pflichten oder Rechtsansprüche erforderlich ist. Danach werden Daten gelöscht, anonymisiert oder gesperrt.
Sie haben nach Maßgabe der gesetzlichen Voraussetzungen jederzeit das Recht auf:
Zur Ausübung dieser Rechte genügt eine formlose Nachricht über das Kontaktformular oder per E-Mail an [email protected].