Zuletzt aktualisiert: Juni 2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Ing. Kenny Tran, BA
Einzelunternehmer
Marx-Reichlich Straße 2A
5020 Salzburg, Österreich
UID: ATU82918318
E-Mail: datenschutz@blushy.at
Wir betreiben unter blushy.at die Software-as-a-Service-Plattform „blushy" für Beauty- und Wellness-Studios („Dienst" oder „Plattform").
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich. Bei allen Anliegen zum Datenschutz erreichen Sie uns unter datenschutz@blushy.at.
blushy verarbeitet personenbezogene Daten in zwei unterschiedlichen Rollen. Diese Unterscheidung ist datenschutzrechtlich entscheidend:
Für die Daten der Studios und deren Mitarbeitenden, die diese im Rahmen der Vertragsbeziehung mit uns angeben (Registrierung, Account, Abrechnung, Support), sowie für die Besucher dieser Website ist blushy Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO.
Soweit ein Studio im Rahmen der Plattform Daten seiner Endkundinnen und Endkunden (Kontaktdaten, Terminhistorie, Behandlungsnotizen etc.) verarbeitet, ist das Studio Verantwortlicher und blushy Auftragsverarbeiter im Sinne von Art. 4 Z 8 DSGVO. Die Bedingungen dieser Auftragsverarbeitung sind im Auftragsverarbeitungsvertrag (AVV) geregelt, der mit jedem Studio bei der Registrierung verbindlich geschlossen wird.
Endkundinnen und Endkunden eines Studios wenden sich für Auskunfts-, Löschungs- oder sonstige Anfragen primär an das jeweilige Studio. blushy unterstützt das Studio bei der Erfüllung dieser Anfragen, kann aber nicht eigenständig über die Daten verfügen.
Für den Betrieb der Plattform setzen wir sorgfältig ausgewählte Dienstleister („Sub-Auftragsverarbeiter") ein. Mit jedem dieser Anbieter haben wir einen Vertrag über die Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen, der die datenschutzrechtlichen Pflichten regelt.
Die jeweils aktuelle Liste der Sub-Auftragsverarbeiter steht auch als Anlage zum AVV (Abschnitt 8 der AGB) zur Verfügung. Wir informieren unsere Studios bei Änderungen vorab.
| Anbieter | Zweck | Sitz | Drittland |
|---|---|---|---|
| Supabase Inc. | Datenbank (PostgreSQL), Authentifizierung, Dateispeicher | San Francisco, USA — Datenhaltung in EU-Region (Frankfurt) | USA (SCC) |
| Cloudflare, Inc. | Hosting (Pages, Workers), Edge-Netzwerk, R2-Speicher (EU-Jurisdiktion), Hyperdrive, Bot-Schutz (Turnstile) | San Francisco, USA — EU-Datenresidenz für R2 aktiviert | USA (SCC + DPF) |
| Stripe Payments Europe Ltd / Stripe, Inc. | Abrechnung des blushy-Abos sowie Zahlungsabwicklung für Studios via Stripe Connect | Dublin, Irland (EU) / San Francisco, USA | USA (SCC + DPF) für Konzernübermittlungen |
| Resend, Inc. | Versand transaktionaler E-Mails (Bestätigungen, Erinnerungen, Reset-Links) | San Francisco, USA | USA (SCC + DPF) |
| Meta Platforms Ireland Ltd | WhatsApp Business Cloud API (Versand von Nachrichten an Endkundinnen) | Dublin, Irland (EU) | Konzernübermittlung in die USA möglich (SCC + DPF) |
| PostHog Inc. | Produktanalyse — EU-Cloud konfiguriert | San Francisco, USA — Verarbeitung in EU-Region | USA (SCC + DPF) für Verwaltung |
| BetterStack s.r.o. | Server-Logs, Monitoring, Uptime-Checks | Prag, Tschechien (EU) | — |
| Anthropic PBC | KI-Modelle für den Assistenten „Lars" (Claude API). Zero-Data-Retention vereinbart. | San Francisco, USA | USA (SCC + DPF) |
| Google LLC / Google Ireland Ltd | KI-Modelle (Gemini API), Google Calendar API für Kalender-Synchronisierung | Dublin, Irland (EU) / Mountain View, USA | USA (SCC + DPF) |
| Langfuse GmbH | Observability für KI-Aufrufe (Prompt/Antwort-Logs zur Qualitätssicherung) | Berlin, Deutschland (EU) | — |
SCC = Standardvertragsklauseln der EU-Kommission, DPF = EU-US Data Privacy Framework.
Einige der oben genannten Dienstleister haben ihren Sitz oder verarbeiten Daten außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA. Für diese Übermittlungen sichern wir ein angemessenes Datenschutzniveau auf folgenden Grundlagen:
Trotz dieser Maßnahmen weisen wir darauf hin, dass nach dem Urteil des Europäischen Gerichtshofs in der Rechtssache C-311/18 („Schrems II") in den USA insbesondere Zugriffe staatlicher Behörden möglich sind, die nicht vollständig mit EU-Datenschutzstandards übereinstimmen. Die Übermittlung erfolgt ausschließlich, soweit für den Vertragszweck erforderlich oder auf Grundlage einer Einwilligung.
Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
| Datenkategorie | Speicherdauer |
|---|---|
| Studio-Account und Login-Daten | Dauer der Vertragsbeziehung + 30 Tage Karenz für Datenexport |
| Endkundendaten im Auftrag des Studios | Bis zur Löschung durch das Studio bzw. bis zum Vertragsende mit dem Studio |
| Rechnungs- und Buchhaltungsdaten | 7 Jahre (§ 132 BAO, § 212 UGB) |
| Backups | Rollierende Aufbewahrung bis zu 35 Tage |
| Server- und Sicherheits-Logs | 30 Tage; sicherheitsrelevante Logs bis zu 90 Tage |
| Produktanalyse-Ereignisse | 12 Monate |
| Newsletter-Daten (E-Mail an Studio-Kunden) | Bis Widerruf der Einwilligung |
| Versandprotokolle (E-Mail, SMS, WhatsApp) | 24 Monate |
| KI-Prompts und -Antworten (Langfuse) | 90 Tage |
Sie haben in Bezug auf Ihre personenbezogenen Daten folgende Rechte:
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@blushy.at
Hinweis: Sind Sie Endkundin oder Endkunde eines Studios, das blushy einsetzt, ist primär das jeweilige Studio Ihr Ansprechpartner als Verantwortlicher. blushy unterstützt das Studio bei der Bearbeitung Ihrer Anfrage.
Wenn Sie sich für unseren Newsletter anmelden, verwenden wir das Double-Opt-In-Verfahren. Wir versenden Newsletter nur an E-Mail-Adressen, deren Inhaber die Anmeldung über einen Bestätigungslink verifiziert haben.
Sie können sich jederzeit über den in jedem Newsletter enthaltenen Abmeldelink wieder austragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Studios können über blushy Marketing-Nachrichten (E-Mail, SMS, WhatsApp) an ihre eigenen Endkundinnen versenden. Für die Rechtmäßigkeit dieses Versands — insbesondere für das Vorliegen der erforderlichen Einwilligung (§ 174 TKG 2021, Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 21 DSGVO) — ist das jeweilige Studio als Verantwortlicher zuständig. blushy stellt das technische Werkzeug bereit und übernimmt die Rolle des Auftragsverarbeiters; siehe AVV.
Jede über blushy versandte Marketing-Nachricht enthält einen klar erkennbaren Abmelde-Link (Opt-out), der durch einen signierten Token geschützt ist.
Studios können auf ihrer Website oder über eine eigene URL bei blushy eine Online-Buchungsseite betreiben. Wenn Sie als Endkundin/Endkunde eine Buchung vornehmen, werden Ihre Angaben (Name, Kontakt, Wunschtermin, ggf. Anmerkungen) an die Plattform übermittelt und im Auftrag des Studios verarbeitet.
Verantwortlicher für die Verarbeitung dieser Daten ist das jeweilige Studio. blushy ist Auftragsverarbeiter. Die Datenschutzerklärung des Studios ist daher zusätzlich zu dieser Erklärung maßgeblich und auf der Buchungsseite verlinkt.
Zum Schutz vor missbräuchlichen Buchungen verwenden wir Cloudflare Turnstile (Bot-Erkennung) im unsichtbaren Modus. Hierbei werden technische Daten (z. B. Browser-Verhalten, Geräte- und Interaktionssignale, Token) verarbeitet. Anbieter ist die Cloudflare, Inc. Ergänzend gelten der Turnstile-Datenschutzzusatz von Cloudflare sowie die Datenschutzerklärung von Cloudflare. Rechtsgrundlage ist unser berechtigtes Interesse an der Abwehr von Spam und automatisierten Zugriffen (Art. 6 Abs. 1 lit. f DSGVO).
Über die WhatsApp Business Cloud API von Meta können Studios mit ihren Endkundinnen via WhatsApp kommunizieren — etwa für Bestätigungen, Erinnerungen oder Antworten auf Anfragen. Die Verarbeitung erfolgt im Auftrag des Studios.
Voraussetzung für den Versand ist eine vorherige ausdrückliche Einwilligung der Endkundin (Opt-In), für deren Vorliegen das Studio einsteht. Es werden Telefonnummer, Nachrichteninhalt, Versandzeit und Zustellstatus verarbeitet. Bitte beachten Sie: Meta kann im Rahmen seiner technischen Verarbeitung Daten innerhalb des Meta-Konzerns sowie in die USA übermitteln (SCC + DPF).
Endkundinnen können den Empfang jederzeit durch Antwort mit „STOP" beenden.
Studios können den KI-gestützten Assistenten „Lars" aktivieren, um eingehende Buchungs- und Informationsanfragen schneller zu bearbeiten. Lars greift auf eine vom Studio gepflegte Wissensbasis (Behandlungen, Preise, Öffnungszeiten) zurück.
Lars erstellt ausschließlich Vorschläge. Die finale Entscheidung (z. B. Buchungsbestätigung, Antwort an die Kundin) trifft das Studio. Es findet keine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Bearbeitung von Anfragen). Endkundinnen können der Verarbeitung über ihre Daten durch Lars jederzeit gegenüber dem Studio widersprechen.
blushy ist als Software für Beauty- und Wellness-Studios konzipiert. Behandlungsnotizen und Kundenprofile können je nach Konstellation (z. B. medizinische Kosmetik, Hautanalysen, Allergiehinweise) besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO umfassen.
Die Verantwortung für eine rechtmäßige Verarbeitung solcher Daten — insbesondere die Einholung der ausdrücklichen Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO) oder eine andere geeignete Rechtsgrundlage — liegt beim jeweiligen Studio als Verantwortlichem.
blushy stellt zum Schutz dieser Daten geeignete technische und organisatorische Maßnahmen bereit (Verschlüsselung, rollenbasiertes Berechtigungssystem, strikte Mandantentrennung; siehe Abschnitt 15 dieser Datenschutzerklärung sowie die TOM-Anlage zum AVV (Abschnitt 8.13 der AGB)).
Wir setzen technische und organisatorische Maßnahmen entsprechend Art. 32 DSGVO ein, um Ihre Daten vor Verlust, Manipulation und unbefugtem Zugriff zu schützen, darunter:
Eine detaillierte Übersicht über die technischen und organisatorischen Maßnahmen findet sich in der TOM-Anlage zum AVV (Abschnitt 8.13 der AGB).
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Zuständig in Österreich ist:
Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien, Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Rahmenbedingungen ändern oder wir Verarbeitungstätigkeiten erweitern. Bei wesentlichen Änderungen, die unsere Studios betreffen, informieren wir per E-Mail oder im Dashboard. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.
Stand: Juni 2026. Diese Datenschutzerklärung wird regelmäßig überprüft und bei Bedarf aktualisiert.