Datenschutzerklärung
Produkt: Cito – Termine-Plattform · Anbieter: Hoffmann Hosting (Stefan Hoffmann) · Stand: 3. Juni 2026
Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Nachfolgend informieren wir Sie über die Verarbeitung personenbezogener Daten bei Nutzung von Cito – einschließlich Marketing-Website, Terminbuchungs-Plattform (Web), Backend-Service und der nativen iOS-Manager-App.
1. Verantwortlicher
Hoffmann Hosting
Stefan Hoffmann
Pastorserlen 4
53844 Troisdorf
Deutschland
Telefon: +49 151 448511881
E-Mail: info@hoffmann-hosting.de
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die in dieser Erklärung beschriebenen Verarbeitungen, soweit nicht ausdrücklich ein anderer Verantwortlicher genannt wird.
2. Geltungsbereich
Diese Datenschutzerklärung gilt für:
| Bereich | Adresse / Zugang | Zielgruppe |
|---|---|---|
| Marketing-Website | https://cito-app.de | Interessenten, Besucher |
| Termine-Plattform (Web) | https://termine.cito-app.de | Anbieter/Manager, Endkunden (Buchung) |
| Optional: Custom Domains | Von Anbietern konfigurierte Domains | Endkunden des jeweiligen Anbieters |
| iOS-Manager-App | „Cito“ im Apple App Store | Registrierte Anbieter/Manager |
| Abonnement-Webshop | https://dashboard.hoffmann-hosting.de | Anbieter (Vertragsabschluss) |
Testing-Umgebungen (z. B. webtest.cito-app.de, testing.cito-app.de) unterliegen denselben Grundsätzen; dort werden in der Regel keine produktiven Kundendaten verarbeitet.
3. Marketing-Website (cito-app.de)
3.1 Hosting und Server-Logfiles
Die statische Landing Page wird auf Servern in Deutschland gehostet. Beim Aufruf werden technisch notwendige Server-Logdaten verarbeitet (z. B. IP-Adresse, Datum/Uhrzeit, angeforderte URL, Referrer, Browsertyp).
- Zweck: Betrieb, Sicherheit, Fehleranalyse
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb)
- Speicherdauer: Kurzzeitig, nur solange für die genannten Zwecke erforderlich
3.2 Externe Ressourcen (CDNs)
Auf der Marketing-Website können Schriftarten (Google Fonts), Icons (Lucide) und ähnliche Ressourcen über Content Delivery Networks eingebunden sein. Dabei können IP-Adressen und technische Metadaten an die jeweiligen Anbieter übermittelt werden. Details entnehmen Sie den Datenschutzhinweisen der Anbieter.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (darstellungsfähige, wartbare Website) bzw. Art. 6 Abs. 1 lit. a DSGVO, sofern eine Einwilligung eingeholt wird
3.3 Kontaktanfragen
Wenn Sie uns per E-Mail oder Kontaktformular anschreiben, verarbeiten wir die von Ihnen mitgeteilten Daten zur Bearbeitung Ihrer Anfrage.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f DSGVO (allgemeine Anfragen)
4. Terminbuchung als Endkunde (ohne Konto)
Wenn Sie als Kunde einen Termin über die Buchungsseite eines Anbieters buchen, verarbeiten wir die von Ihnen angegebenen Daten, z. B.:
- Name, E-Mail-Adresse, ggf. Telefonnummer
- Terminwunsch, gewählte Terminart, Notizen
- Technische Buchungs-ID und Status (bestätigt, storniert usw.)
Zweck: Durchführung der Buchung, Bestätigung, Erinnerungen, Änderungen und Stornierungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen).
Verantwortlichkeit: Verantwortlicher gegenüber dem Endkunden ist in der Regel der jeweilige Terminanbieter (z. B. Praxis, Beratung, Dienstleister). Hoffmann Hosting stellt die technische Plattform bereit und verarbeitet die Daten in diesem Verhältnis als Auftragsverarbeiter für den Anbieter, sofern ein entsprechender Vertrag zur Auftragsverarbeitung besteht.
Endkunden wenden sich für buchungsbezogene Auskünfte, Berichtigung oder Löschung primär an ihren Terminanbieter. Wir unterstützen Anbieter auf Anfrage bei der Erfüllung datenschutzrechtlicher Pflichten.
5. Manager-Bereich (Anbieter / Web-App)
5.1 Anmeldung (Single Sign-On)
Anbieter und Manager melden sich über OpenID Connect (OIDC) an, bereitgestellt über unsere Authentik-Instanz (https://auth.hoffmann-hosting.de). Verarbeitet werden u. a.:
- E-Mail-Adresse, Name (aus dem ID-Token)
- Technische Kennungen (
sub, ggf.cito_vendor_id) - Session- und JWT-Informationen für die API-Nutzung
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzungsvertrag) und lit. f DSGVO (IT-Sicherheit, Missbrauchsprävention)
5.2 Nutzung der Plattform
Im Manager-Bereich werden u. a. verarbeitet:
- Firmen- und Profildaten des Anbieters
- Termine, Kalenderdaten, Serientermine
- Kundendaten aus Buchungen (siehe Abschnitt 4)
- E-Mail-Vorlagen und SMTP-Einstellungen
- Custom-Domain-Konfiguration, Design-Einstellungen
- Optional: Zoom- oder andere Videokonferenz-Verknüpfungen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
- Speicherdauer: Solange das Nutzerkonto aktiv ist und der Vertrag besteht; danach Löschung oder Sperrung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
5.3 Abonnementstatus
Der Zugriff auf Manager-Funktionen setzt ein aktives Abonnement voraus. Der Abo-Status (z. B. active, Laufzeitende, Bezugsquelle Web/iOS) wird in Authentik als Benutzerattribute geführt und vom Backend ausgewertet.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
6. iOS-Manager-App (Cito)
Die iOS-App richtet sich ausschließlich an registrierte Anbieter/Manager, nicht an Endkunden zur Terminbuchung.
| Kategorie | Beschreibung |
|---|---|
| Login & API-Session | Wie im Web-Manager (OIDC / Backend-JWT) |
| Termin- & Kundendaten | Abruf über dieselbe Backend-API |
| Push-Benachrichtigungen | Geräte-Token (Apple Push Notification Service, APNs) für Hinweise z. B. bei neuer Buchung, Storno oder Erinnerung |
| In-App-Abonnements | Kauf- und Abo-Informationen über Apple StoreKit; Synchronisation mit dem Backend |
Push-Benachrichtigungen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (zeitnahe Information über geschäftsrelevante Ereignisse); soweit erforderlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
- Push können Sie in den iOS-Systemeinstellungen deaktivieren.
In-App-Käufe
Abonnements über den App Store unterliegen zusätzlich den Datenschutzbestimmungen von Apple Inc. Zahlungsdaten werden von Apple verarbeitet, nicht von uns direkt.
7. E-Mail-Versand
Für Terminbestätigungen, Erinnerungen und Benachrichtigungen kann ein vom Anbieter konfigurierter SMTP-Server genutzt werden (eigener Mailserver oder Drittanbieter). Dabei werden E-Mail-Adressen und Inhalte der Nachrichten verarbeitet.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO
8. Online-Meetings (optional)
Wenn ein Anbieter eine Videokonferenz-Integration (z. B. Zoom) verbindet, können Termindaten mit Online-Meetings verknüpft werden. Es erfolgt eine zusätzliche Verarbeitung nach den Datenschutzbestimmungen des jeweiligen Konferenzanbieters.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
9. Abonnement und Webshop
Abonnements für Cito können über den Webshop unter https://dashboard.hoffmann-hosting.de oder als In-App-Abonnement in der iOS-App abgeschlossen werden.
Verarbeitet werden u. a.:
- Vertrags- und Rechnungsdaten (Webshop)
- Abo-Status, Laufzeitende, Bezugsquelle (Web/iOS)
- Bei iOS: Apple Server Notifications zur Abo-Aktualisierung
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
10. Server-Logfiles, Sicherheit und Cookies
10.1 Technische Protokolle
Beim Aufruf der Web-App und API fallen technische Daten an (IP-Adresse, Zeitpunkt, User-Agent, angeforderte Ressource). Diese dienen Betrieb, Fehleranalyse und Abwehr von Angriffen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
10.2 Cookies und lokale Speicherung
Für Anmeldung und Session-Verwaltung werden technisch notwendige Speichermechanismen verwendet (z. B. Token im Browser, sicherer Speicher in der App). Es werden keine Tracking-Cookies zu Werbezwecken eingesetzt.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO
11. Empfänger und Auftragsverarbeiter
Personenbezogene Daten können an folgende Kategorien von Empfängern übermittelt werden, soweit dies für die genannten Zwecke erforderlich ist:
| Empfänger | Zweck |
|---|---|
| Hosting-Provider (Server in Deutschland) | Betrieb der Infrastruktur |
| Authentik / Identity-Provider | Anmeldung, Benutzerverwaltung, Abo-Attribute |
| Apple (APNs, App Store) | Push, In-App-Abonnements |
| E-Mail-/SMTP-Dienstleister | Versand von Nachrichten (konfigurierbar durch Anbieter) |
| Videokonferenz-Anbieter (optional) | Online-Termine |
| IT-Dienstleister von Hoffmann Hosting | Wartung, Support (gebunden als Auftragsverarbeiter) |
Eine Übermittlung in Drittländer (außerhalb EU/EWR) erfolgt nur, wenn dies technisch erforderlich ist (z. B. Apple, Zoom) und die gesetzlichen Voraussetzungen erfüllt sind (insbesondere Standardvertragsklauseln der EU-Kommission, Art. 46 DSGVO).
12. Speicherdauer
Personenbezogene Daten werden gelöscht, sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungspflichten (z. B. handels- oder steuerrechtlich) entgegenstehen.
- Buchungsdaten: Verwaltung durch den Anbieter; Löschung nach Vertragsende oder auf Weisung des Anbieters
- Logdaten: Regelmäßige Löschung nach technischer Notwendigkeit
- Abo-/Vertragsdaten: Gemäß gesetzlicher Aufbewahrungsfristen
13. Ihre Rechte
Sie haben nach der DSGVO insbesondere folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Kontakt für Datenschutzanfragen: info@hoffmann-hosting.de
Endkunden wenden sich für buchungsbezogene Daten in der Regel an ihren Terminanbieter. Anbieter können uns als Plattformbetreiber für technische Unterstützung kontaktieren.
Zuständige Aufsichtsbehörde (Beispiel für unseren Sitz):
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
https://www.ldi.nrw.de
14. Pflicht zur Bereitstellung
Die Bereitstellung personenbezogener Daten ist für eine Terminbuchung bzw. für die Nutzung des Manager-Bereichs erforderlich, soweit die jeweiligen Felder als Pflichtfelder gekennzeichnet sind oder die Funktion ohne diese Daten nicht erbracht werden kann. Ohne Anmeldedaten ist die Nutzung des Manager-Bereichs nicht möglich.
15. Automatisierte Entscheidungsfindung
Es findet keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
16. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen und unseren Leistungen entspricht. Die jeweils aktuelle Version ist unter den verlinkten URLs abrufbar.