Datenschutzerklärung

Stand: 17. März 2026

1. Verantwortlicher

Caps & Collars GmbH
Heimhuder Straße 56, 20148 Hamburg
E-Mail: info@capsncollars.com
Geschäftsführer: Oliver Rößling

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen:

  • Bestandsdaten (Namen, Adressen, Kontaktdaten)
  • Inhaltsdaten (Profilinformationen, Qualifikationen, Bewertungen)
  • Vertragsdaten (Vertragsgegenstand, Laufzeit, Abonnementtyp)
  • Zahlungsdaten (Bankverbindung, Rechnungsadresse)
  • Nutzungsdaten (besuchte Seiten, Interesse an Inhalten, Zugriffszeiten)
  • Meta-/Kommunikationsdaten (IP-Adressen, Geräteinformationen)

3. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten im Einklang mit der DSGVO auf folgenden Rechtsgrundlagen:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für optionale Funktionen wie Newsletter, Entwicklungsprofile und Fortschrittstracking
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Für die Registrierung, Vermittlung und Abrechnung von Coaching-Sessions
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Für steuerliche und handelsrechtliche Aufbewahrungspflichten
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Für Sicherheit, Missbrauchsprävention und Plattformoptimierung

4. Registrierung und Nutzerkonto

(1) Bei der Registrierung erheben wir: Name, E-Mail-Adresse, Passwort (kryptographisch gehasht mit bcrypt, nicht im Klartext gespeichert) und Rolle (Klient oder Coach).

(2) Coaches geben zusätzlich an: Fachgebiete, Qualifikationen, berufliche Erfahrung, Foto und ggf. Zertifizierungsnachweise.

(3) Diese Daten werden zur Vertragserfüllung und Bereitstellung der Plattformfunktionen verarbeitet. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

(4) Bei Kontolöschung werden personenbezogene Daten innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Coaching-Sessions und Vermittlung

(1) Bei der Buchung einer Session verarbeiten wir: Datum, Uhrzeit, Thema, Format und ggf. Notizen des Klienten.

(2) Bewertungen und Feedback werden nach der Session erhoben und auf dem Coach-Profil veröffentlicht. Der Name des Klienten wird nur mit Initialen angezeigt.

(3) Coaching-Inhalte und Gesprächsnotizen werden NICHT durch den Betreiber gespeichert oder eingesehen. Diese verbleiben zwischen Coach und Klient.

6. Zahlungsabwicklung

(1) Die Zahlungsabwicklung erfolgt über den zertifizierten Zahlungsdienstleister Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland). Stripe ist PCI-DSS Level 1 zertifiziert.

(2) Bei der Zahlung werden folgende Daten an Stripe übermittelt: Name, E-Mail-Adresse, Rechnungsadresse und Zahlungsinformationen (Kreditkartendaten, SEPA-Mandat). Diese Daten werden ausschließlich von Stripe verarbeitet. Der Betreiber speichert KEINE vollständigen Kreditkartennummern oder Bankverbindungen. Es werden lediglich eine Referenz-ID (Stripe Customer ID) und die letzten 4 Ziffern der Karte gespeichert.

(3) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Datenschutzerklärung von Stripe finden Sie unter: stripe.com/de/privacy.

(4) Stripe verarbeitet Daten auf Servern in der EU (Irland). Eine Datenübermittlung in die USA erfolgt auf Basis des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission).

(5) Rechnungsdaten werden für die Dauer der gesetzlichen Aufbewahrungsfrist (10 Jahre gemäß § 14b UStG, §§ 147, 257 HGB) gespeichert.

(6) Bei Nutzung von SEPA-Lastschrift erteilen Sie ein SEPA-Mandat. Der Mandatstext wird Ihnen bei der Einrichtung angezeigt. Die Mandat-Referenz wird für die Vertragslaufzeit zuzüglich der gesetzlichen Aufbewahrungsfrist gespeichert.

6a. Stripe Connect (Coach-Auszahlung)

(1) Fuer die automatische Provisionsabrechnung und Auszahlung an Coaches nutzen wir Stripe Connect. Coaches richten im Rahmen der Registrierung ein Stripe Express-Konto ein.

(2) Dabei werden folgende Daten direkt an Stripe uebermittelt: Name, Geburtsdatum, Adresse, Bankverbindung (IBAN), ggf. Ausweisdokument zur Identitaetspruefung und Steuernummer/USt-IdNr. Diese Daten werden ausschliesslich von Stripe verarbeitet. Der Betreiber hat KEINEN Zugriff auf Bankverbindungen oder Ausweisdokumente der Coaches.

(3) Der Betreiber speichert lediglich die Stripe-Account-ID und den Verbindungsstatus (aktiv/inaktiv) des Coach-Kontos.

(4) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung). Die Einrichtung des Stripe-Kontos ist Voraussetzung fuer die Auszahlung von Coaching-Honoraren.

(5) Die Datenschutzerklaerung von Stripe gilt fuer alle direkt an Stripe uebermittelten Daten: stripe.com/de/privacy.

(6) Transaktionsdaten (Buchungen, Provisionshoehe, Auszahlungsbetraege) werden fuer die Dauer der Geschaeftsbeziehung zuezueglich der gesetzlichen Aufbewahrungsfristen (10 Jahre) gespeichert.

7. Cookies und Tracking

(1) Die Plattform verwendet ausschließlich technisch notwendige Cookies (Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 TDDDG). Ein Cookie-Banner ist daher nicht erforderlich. Im Einzelnen:

  • sparrd_session: Anmeldestatus (kryptographisch signierter Token, httpOnly, SameSite=Lax, Secure). Laufzeit: 90 Tage.
  • sparrd_lang: Spracheinstellung (DE/EN/FR/ES). Laufzeit: 365 Tage.
  • localStorage (theme): Hell-/Dunkel-Modus. Kein Cookie, nur lokale Speicherung im Browser.

(2) Es werden KEINE analytischen, Marketing- oder Tracking-Cookies gesetzt. Es werden KEINE Daten an Google Analytics, Facebook Pixel, Hotjar oder vergleichbare Dienste übermittelt.

(3) Die Plattform verwendet KEINE Fingerprinting-Technologien oder vergleichbare Identifikationsmethoden.

8. Hosting, Server und CDN

(1) Die Plattform wird auf Servern in Deutschland gehostet (Standort: Frankfurt am Main). Die Datenverarbeitung erfolgt ausschließlich innerhalb der EU/des EWR.

(2) Die Plattform nutzt Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) als Content Delivery Network (CDN) und DDoS-Schutz. Cloudflare verarbeitet dabei IP-Adressen der Besucher. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert. Die Nutzung erfolgt auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Performance der Plattform). Datenschutzerklärung: cloudflare.com/privacypolicy.

(3) Server-Logfiles werden für maximal 7 Tage gespeichert und enthalten: IP-Adresse (gekürzt nach 7 Tagen), Zeitstempel, aufgerufene URL, HTTP-Statuscode und Browser-Typ. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

9. E-Mail-Kommunikation

(1) Wir versenden transaktionale E-Mails (Registrierungsbestätigung, Buchungsbestätigung, Passwort-Reset) auf Basis der Vertragserfüllung.

(2) Der Versand von Marketing-E-Mails (Newsletter, Angebote) erfolgt nur mit ausdrücklicher Einwilligung und kann jederzeit widerrufen werden.

10. Rechte der betroffenen Personen

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine Aufbewahrungspflichten entgegenstehen.
  • Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@capsncollars.com

11. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 7. OG, 20459 Hamburg
datenschutz-hamburg.de

12. Speicherdauer und Löschfristen

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Kontodaten (Name, E-Mail): Für die Dauer der Mitgliedschaft, danach Löschung innerhalb von 30 Tagen
  • Rechnungs- und Zahlungsdaten: 10 Jahre (§ 14b UStG, §§ 147, 257 HGB)
  • Vertragsbezogene Korrespondenz: 6 Jahre (§ 257 HGB)
  • Server-Logfiles: 7 Tage
  • Bewertungen: Für die Dauer der Mitgliedschaft des Coaches, danach Anonymisierung
  • Session-Cookies: 90 Tage (automatisch vom Browser gelöscht)

Nach Ablauf der Aufbewahrungsfristen werden Daten automatisch gelöscht oder anonymisiert.

13. Sicherheitsmaßnahmen (Art. 32 DSGVO)

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • Verschlüsselte Übertragung aller Daten (TLS/HTTPS)
  • Kryptographisches Hashing von Passwörtern (bcrypt)
  • Signierte Session-Tokens (kein Klartext in Cookies)
  • Keine Speicherung von Kreditkartendaten (PCI-DSS via Stripe)
  • Zugriffsbeschränkungen und Rollenbasierte Autorisierung
  • Security Headers (X-Frame-Options, X-Content-Type-Options, Referrer-Policy)
  • Regelmäßige Sicherheitsprüfungen der Plattform
  • DDoS-Schutz via Cloudflare

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Datenverarbeitungen anzupassen. Nutzer werden über wesentliche Änderungen per E-Mail informiert.

15. Externe Dienste

(1) Schriftarten: Alle Schriftarten werden lokal gehostet. Es findet KEIN Laden von Google Fonts oder anderen externen Schriftdiensten statt.

(2) CDN: Externe Ressourcen (z.B. JavaScript-Bibliotheken) werden mit Subresource Integrity (SRI) geladen, um Manipulation zu verhindern.

(3) Kartenmaterial: Wird derzeit nicht eingesetzt. Bei künftiger Nutzung wird dies hier ergänzt.

Letzte Aktualisierung: 17. März 2026