Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Roland Grünewald
Blammerbergstraße 115
71263 Weil der Stadt
Deutschland
E-Mail: kontakt@casepoint.de

2. Überblick

Casepoint ist eine Online-Terminbuchungsplattform für Praxen und andere Dienstleister. Über die Plattform können öffentliche Buchungsseiten, Erinnerungen, Kalenderanbindungen, kostenpflichtige Terminbuchungen, Dokumentvorlagen und auf Wunsch eigene Domains genutzt werden. Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten wir dabei verarbeiten, zu welchen Zwecken dies geschieht und welche Rechte Sie haben. Die Verarbeitung erfolgt gemäß der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG).

3. Erhobene Daten und Verarbeitungszwecke

3.1 Terminbuchung

Wenn Sie über unsere Plattform einen Termin buchen, erheben wir folgende Daten:

  • Name
  • E-Mail-Adresse
  • Telefonnummer (optional)
  • Nachricht / Anmerkungen (optional)
  • Termindetails (Datum, Uhrzeit, Leistung)

Zweck: Durchführung und Bestätigung der Terminbuchung, Versand von Bestätigungs- und Erinnerungsmails sowie Stornierungsabwicklung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.2 Nutzerkonto (Anbieter / Admin)

Für Anbieter, die unsere Plattform nutzen, verarbeiten wir:

  • E-Mail-Adresse
  • gehashte bzw. über den Authentifizierungsdienst verwaltete Zugangsdaten
  • Praxisname, Adresse, Logo und weitere Stammdaten
  • Datenschutz- und Impressumslinks
  • Konfigurationsdaten zur Buchungsseite
  • Kalenderverbindungs-Tokens (Apple iCloud / Google Calendar)

Zweck: Betrieb und Verwaltung des Buchungssystems.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.3 Kalenderintegration

Auf Wunsch des Anbieters wird eine Verbindung zu Apple Calendar (iCloud CalDAV) oder Google Calendar hergestellt. Dabei werden OAuth-Token bzw. App-Passwörter verschlüsselt gespeichert und ausschließlich zur Synchronisation von Terminen verwendet. Es werden keine Kalenderinhalte außerhalb des Buchungssystems gespeichert oder analysiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Anbieters)

3.4 Eigene Domains des Anbieters

Wenn ein Anbieter eine eigene Domain oder Subdomain mit seiner Buchungsseite verbinden möchte, verarbeiten wir die hinterlegte Domain, den Verbindungsstatus, technische DNS-Prüfergebnisse sowie Konfigurationsdaten für die Hosting-Freischaltung. Die Aktivierung erfolgt derzeit bewusst begleitet und teilweise manuell durch unseren internen Support- und Plattformbereich.

Zweck: Bereitstellung und Absicherung kundeneigener Domains für Buchungsseiten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.5 Hochgeladene Praxisdokumente

Premium-Anbieter können PDF-Dokumente hochladen und im System verwalten, etwa für Vorbereitung, Verträge, rechtliche Hinweise, Stammdaten oder Kommunikation rund um Termine. Dabei verarbeiten wir den Dokumenttitel, Kategorie, Zuordnung, technische Dateiinformationen und die hochgeladene PDF-Datei selbst.

Zweck: Bereitstellung, Verwaltung und Auslieferung praxisbezogener Dokumente innerhalb des Buchungssystems.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.6 Zahlungen für Termine und Casepoint-Abrechnung

Sofern ein Anbieter kostenpflichtige Termine anbietet, verarbeiten wir hierfür Zahlungs- und Statusdaten wie Zahlungsart, Zahlungsstatus, Checkout- oder Bestellreferenzen sowie die Zuordnung zur Buchung. Unabhängig davon verarbeiten wir für das eigene Casepoint-Abo eines Anbieters außerdem abonnementbezogene Abrechnungsdaten wie Kunden- und Abonnement-IDs, Laufzeit, Plan und Status.

Zweck: Zahlungsabwicklung für Termine, Verwaltung von Casepoint-Abonnements und Support bei Abrechnungsfragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

4. Eingesetzte Dienste und Empfänger

Supabase (Datenbank & Authentifizierung)

Wir nutzen Supabase als Datenbank-, Storage- und Authentifizierungsdienst. Darüber werden insbesondere Kontodaten, Buchungen, Konfigurationsdaten, hochgeladene Dokumente und technische Zugriffsdaten verarbeitet. Die Projektregion ist auf Frankfurt am Main ausgerichtet. Supabase verarbeitet die Daten in unserem Auftrag gemäß Art. 28 DSGVO.

Resend (E-Mail-Versand)

Für den Versand von Bestätigungs-, Erinnerungs- und System-E-Mails nutzen wir Resend. Dabei werden nur die für den jeweiligen Versand notwendigen Daten wie Name, E-Mail-Adresse und Termindetails übermittelt.

Stripe (Zahlungsabwicklung und Abrechnung)

Sofern ein Anbieter kostenpflichtige Termine über Stripe anbietet oder sein eigenes Casepoint-Abo über Stripe verwaltet, werden die hierfür erforderlichen Daten an Stripe übermittelt. Dazu können insbesondere Name, E-Mail-Adresse, Buchungsdaten, Zahlungsstatus, Checkout-Referenzen und abrechnungsbezogene Informationen gehören.

PayPal (Zahlungsabwicklung)

Sofern ein Anbieter PayPal für kostenpflichtige Termine aktiviert, werden die hierfür erforderlichen Daten an PayPal übermittelt. Dazu gehören insbesondere Name, E-Mail-Adresse, Buchungsdaten, Zahlungsstatus und transaktionsbezogene Informationen.

Hosting / Server-Infrastruktur

Die Plattform wird auf einer selbst verwalteten VPS- und Proxy-Infrastruktur betrieben. Dabei verarbeiten wir technische Zugriffsdaten wie IP-Adresse, Zeitstempel, aufgerufene Pfade, angefragte Hostnamen und Fehlermeldungen, soweit dies für den sicheren Betrieb, die Auslieferung der Anwendung und die Freischaltung kundeneigener Domains erforderlich ist.

Apple Calendar / CalDAV

Sofern ein Anbieter seine Apple-Calendar-Integration aktiviert, kommuniziert die Plattform über CalDAV mit den Apple-Servern. Dabei werden nur die für die Kalender-Synchronisation erforderlichen Termin- und Verbindungsdaten verarbeitet.

Google Calendar API

Sofern ein Anbieter seine Google-Calendar-Integration aktiviert, kommuniziert die Plattform über die Google Calendar API mit den Google-Servern (Google LLC, USA). Dabei werden nur Termindetails übertragen. Google verarbeitet diese Daten gemäß der Google-Datenschutzrichtlinie.

5. Datenspeicherung und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

  • Buchungs- und Kontodaten: grundsätzlich für die Dauer der laufenden Nutzung und der damit verbundenen Geschäftsbeziehung.
  • Abrechnungs- und steuerrelevante Daten: im Regelfall für die gesetzlich erforderlichen Aufbewahrungsfristen, insbesondere bis zu 10 Jahre gemäß handels- und steuerrechtlichen Vorgaben.
  • Kalender-Tokens, Domain-Konfigurationen und sonstige technische Einstellungen: bis zur Entfernung durch den Anbieter oder bis zur Beendigung der Nutzung, sofern keine abweichenden gesetzlichen Pflichten bestehen.
  • Hochgeladene Praxisdokumente: bis zur Löschung durch den Anbieter oder bis zur Beendigung der Nutzung.

Soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen, werden Daten nach Wegfall des Verarbeitungszwecks gelöscht oder anonymisiert.

6. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten berichtigen lassen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
  • Einschränkung (Art. 18 DSGVO): Sie können die Verarbeitung einschränken lassen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten Format erhalten.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich an: kontakt@casepoint.de

Sie haben außerdem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Die zuständige Behörde für Baden-Württemberg ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW).

7. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies und ähnliche technisch erforderliche Sitzungsmechanismen zur Aufrechterhaltung der Anmeldung und zur sicheren Nutzung der Plattform. Es werden keine Tracking- oder Marketing-Cookies eingesetzt. Eine Einwilligung ist daher nicht erforderlich.

8. Datensicherheit

Alle Daten werden verschlüsselt übertragen (TLS/HTTPS). Datenbankzugriffe sind durch Row-Level Security (RLS) abgesichert. Zugangsdaten werden über den Authentifizierungsdienst geschützt verarbeitet, Passwörter nicht im Klartext gespeichert. Kalender-Tokens und vergleichbare Verbindungsdaten werden verschlüsselt abgelegt. Zugriffe auf die Server- und Proxy-Infrastruktur sind auf den erforderlichen Betrieb beschränkt.

9. Aktualität dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Plattform oder der Rechtslage anzupassen. Die jeweils aktuelle Version ist unter app.casepoint.de/datenschutz abrufbar.