Datenschutzrichtlinie

1. Einführung

Zyvora wird von ShadowPing LLC („ShadowPing”, „wir”, „uns” oder „unser”) entwickelt und betrieben. Diese Datenschutzrichtlinie beschreibt, wie wir Informationen erfassen, verwenden, speichern und schützen, wenn Sie die Zyvora-Plattform (die „Plattform”) nutzen.

Diese Richtlinie deckt zwei Kategorien von Personen ab: (1) Abonnenten — Unternehmen und ihre Mitarbeiter, die Zyvora zur Verwaltung ihrer Abläufe nutzen, und (2) Endkunden — die Kunden dieser Unternehmen, deren Daten von Abonnenten in die Plattform eingegeben werden.

2. Informationen, die wir erfassen

Abonnentenkontodaten: Bei der Registrierung erfassen wir Ihren Geschäftsnamen, Kontaktinformationen, Abrechnungsdetails und Kontoanmeldedaten. Dies wird zur Erstellung und Wartung Ihres Kontos verwendet.

Geschäftsbetriebsdaten: Daten, die Sie zur Verwaltung Ihres Unternehmens eingeben — einschließlich Mitarbeiterprofilen, Servicekatalogen, Zeitplänen, Termindatensätzen, Verkaufsstellentransaktionen, Bestandsdatensätzen, Gehaltsabrechnungsdaten und Geschäftseinstellungen. Sie besitzen diese Daten.

Endkundendaten: Informationen über Ihre Kunden, die Sie in die Plattform eingeben — einschließlich Namen, Kontaktdetails, Terminverlauf, Zahlungsdatensätze, Treuepunkte, Einwilligungsdatensätze und (falls klinische Funktionen aktiviert sind) gesundheitsbezogene Informationen. Sie sind der Datenverantwortliche für die Daten Ihrer Kunden; ShadowPing fungiert als Datenverarbeiter in Ihrem Auftrag.

Visuelle und biometrieähnliche Daten: Wenn Sie Zyvonas Nagelidenti­fizierungs- oder Vorher-/Nachher-Fotofunktionen nutzen, erfasst und speichert die Plattform Fotografien der Nägel, Haut oder anderer körperlicher Merkmale von Kunden. Diese Bilder können mit der Identität eines Kunden in der Plattform verknüpft werden. Sie sind verantwortlich für die Einholung angemessener Zustimmung von Ihren Kunden, bevor Sie solche Bilder erfassen.

Audio- und Videoüberwachungsdaten: Wenn Sie eine Kamera oder Sicherheitssystem-Integration (wie Solink, Verkada, Eagle Eye oder Spot AI) verbinden, können Audio- und Videoaufnahmen Ihrer Geschäftsflächen — einschließlich Aufnahmen von Endkunden, die Ihren Salon besuchen — erfasst und durch diese Integration verarbeitet werden. ShadowPing speichert Kameraaufnahmen nicht direkt; sie werden vom Drittanbieter-Kamerahersteller nach dessen eigenen Bedingungen verarbeitet und gespeichert. Sie sind verantwortlich für die Einhaltung aller geltenden Aufnahmezustimmungsgesetze und das Anbringen erforderlicher Hinweise in Ihren Räumlichkeiten.

Kommunikationsdaten: SMS-, RCS-, E-Mail- und Sprachkommunikation, die über die Plattform versendet wird (über Twilio und Azure Communication Services). Nachrichteninhalt, Lieferstatus und Zeitstempel werden für die Postfachverwaltung und Compliance gespeichert.

Zahlungsdaten: Zahlungstransaktionen, die über integrierte Zahlungsabwickler verarbeitet werden (Square, Stripe usw.). Rohe Kartennummern werden niemals von ShadowPing gespeichert — nur tokenisierte Referenzen, die vom Zahlungsabwickler bereitgestellt werden.

Nutzungs- und Analysedaten: Protokolldaten, Merkmalnutzungsmuster, Fehlerberichte und Leistungsmetriken. Diese Daten werden verwendet, um die Plattform zu verbessern, und werden nicht mit Dritten zu Werbezwecken geteilt.

Geräte- und Hardwaredaten: IP-Adressen, Browser-/App-Typ, Geräteidentifikatoren und Sitzungsdaten, die erfasst werden, wenn Sie auf die Plattform zugreifen. Wenn Sie integrierte Hardware (iPads, Kartenleser, Barcode-Scanner, Kassenrollen-Drucker) verwenden, können Geräteidentifikatoren und Hardwareinteraktionsdaten erfasst werden.

Klinische Daten (falls zutreffend): Wenn Sie Zyvonas klinische Funktionen nutzen (SOAP-Notizen, HIPAA-gekennzeichnete Formulare), werden geschützte Gesundheitsinformationen (PHI) mit verbesserten Sicherheitskontrollen und strikter Zugriffsprotokolierung gespeichert. Eine Business Associate Agreement (BAA) ist für die Nutzung klinischer Funktionen erforderlich.

3. Wie wir Ihre Informationen verwenden

Wir verwenden die Informationen, die wir erfassen, um:

• Bereitstellung, Betrieb und Verbesserung der Zyvora-Plattform und ihrer Funktionen
• Verwaltung Ihres Abonnements, Abrechnung und Zahlungen
• Versendung von Transaktionskommunikationen (Rechnungen, Kontowarnungen, Zahlungsfehlermitteilungen)
• Aktivierung der KI-gestützten Funktionen der Plattform (Planung, intelligenter Assistent, Risikobewertung, Coaching-Notizen)
• Bereitstellung von Kundensupport und Beantwortung Ihrer Anfragen
• Überwachung der Plattformsicherheit, Betrugserkennung und Gewährleistung der Systemintegrität
• Einhaltung gesetzlicher Verpflichtungen

Wir verwenden Ihre Daten oder die Daten Ihrer Kunden nicht für Werbung, Marketing durch Dritte oder einen Zweck, der nicht mit der Bereitstellung der Plattform zusammenhängt.

4. Datenweitergabe und Dritte

Wir verkaufen Ihre Daten nicht. Wir teilen Daten nur soweit notwendig, um die Plattform zu betreiben:

• Zahlungsabwickler: Square, Stripe, PayPal, Global Payments, TSYS, Chase — zur Verarbeitung von Kundentransaktionen. Ihre Abwickleranmeldedaten werden in Azure Key Vault gespeichert, nie in der Datenbank.
• Zahlungs-Hardware-SDKs: Stripe Terminal und Square Terminal SDKs werden für persönliche kartengestützte Zahlungen verwendet. Diese SDKs verarbeiten Kartendaten direkt auf dem Hardwaregerät und übertragen sie an den jeweiligen Zahlungsabwickler.
• Kommunikationsanbieter: Twilio (SMS, MMS, RCS, Sprachanrufe) und Azure Communication Services (E-Mail) — zur Zustellung von Nachrichten, die über die Plattform versendet werden.
• KI-Anbieter: Anfragen an KI-Dienste (einschließlich Anthropic Claude, Google Gemini, Groq und OpenAI, geleitet durch ShadowPings KI-Proxy-Schicht) sind auf das beschränkt, was notwendig ist, um die angeforderte Ausgabe zu generieren. Für klinische und HIPAA-bezogene Funktionen nutzt ShadowPing speziell Azure OpenAI Service — einen separaten von Microsoft gehosteten Dienst, der durch eine Business Associate Agreement (BAA) mit Microsoft geregelt wird — anstelle der Consumer API von OpenAI. Daten, die an KI-Anbieter gesendet werden, werden von diesen unter unseren Unternehmensvereinbarungen nicht für das Training von Modellen gespeichert.
• Cloud-Infrastruktur: Microsoft Azure — die Plattform wird auf Azure gehostet (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Daten werden in sicheren, zugriffskontrollierten Azure-Umgebungen gespeichert.
• Bildübermittlung: Imgix wird verwendet, um Kundenfotos zu servieren (einschließlich Vorher-/Nachher-Bilder und Profilfotos). In Azure Blob Storage gespeicherte Bilder werden über das Imgix CDN für optimierte Anzeige bereitgestellt.
• Push-Benachrichtigungen: Apple Push Notification Service (APNs) und Google Firebase Cloud Messaging (FCM) werden verwendet, um Push-Benachrichtigungen auf Mobilgeräten zuzustellen. Gerätetoken und Benachrichtigungsinhalte werden an diese Anbieter zur Zustellung übermittelt.
• Kamera- und Sicherheitsintegrationen: Wenn Sie eine Kamera- oder Sicherheitssystemintegration (Solink, Verkada, Eagle Eye, Spot AI) aktivieren, können Kundennamen, Mitarbeiternamen, Transaktionsmetadaten, Zeitstempel, Ereignisdaten und Audio, das von der Kamerahardware erfasst wird, falls unterstützt, von der Plattform an den Kameraabieter übermittelt werden, um Event-Verknüpfung und KI-gestützte Video-Review-Funktionen zu ermöglichen. Diese Anbieter verarbeiten und speichern Video- und Audioaufnahmen gemäß ihrer eigenen Datenschutzrichtlinien. API-Anmeldedaten für Kameraintegrationen werden in Azure Key Vault gespeichert und dauerhaft gelöscht, wenn Sie die Integration trennen oder Ihr Konto beenden.
• Hardware-SDKs: Star Micronics (Kassenrollen-Drucker-SDK) und Zebra (Barcode-Scanner-SDK) werden für Hardware-Integrationen verwendet. Druckaufträge können Kunden- und Transaktionsdaten enthalten; Barcode-Scandaten (einschließlich Geschenkkartennummern und Kundenb­arcodes) werden lokal von diesen SDKs verarbeitet.
• Finanzintegrationen: Plaid kann verwendet werden, um Bankkonten für Abstimmungszwecke zu verknüpfen. QuickBooks, Xero und ähnliche Buchhaltungsintegrationen erhalten Finanztransaktionsdaten entsprechend Ihrer Konfiguration.
• Gehaltsabrechnungsintegrationen: Wenn Sie eine Gehaltsabrechnungsintegration (wie Gusto, ADP oder Paychex) verbinden, werden Personalinformationen einschließlich Namen, Stunden, Vergütung und Steuerdaten an den Gehaltsabrechnungsanbieter übermittelt, um die Gehaltsabrechnung in Ihrem Auftrag zu verarbeiten.
• Reputation- und Marketing-Integrationen: Wenn Sie Reputationsverwaltungstools (wie Birdeye oder Podium) oder Marketingplattformen (wie Google, Meta, Mailchimp oder TikTok Business) verbinden, werden kundenrelevante Daten für diese Integrationen (wie Kontaktdetails und Bewertungsanfragen) entsprechend Ihrer Konfiguration mit dem jeweiligen Anbieter geteilt.
• Beschaffungsintegrationen: Wenn Sie Beschaffungs- oder Lieferantenintegrationen (wie SalonInteractive oder Shopify) verbinden, werden Bestands- und Bestelldaten entsprechend Ihrer Konfiguration mit diesen Anbietern geteilt.
• Rechtliche Anforderungen: Wir können Daten offenlegen, wenn dies von Gesetzen, Gerichtsbeschluss oder zum Schutz der Rechte, des Eigentums oder der Sicherheit von ShadowPing, unseren Benutzern oder anderen erforderlich ist.

5. Datenspeicherung und Sicherheit

Alle Plattformdaten werden auf Microsoft-Azure-Infrastruktur mit unternehmensweiten Sicherheitskontrollen gespeichert. Wir implementieren die folgenden Sicherheitsmaßnahmen:

• Multi-Mandanten-Zeilensicherheit auf allen Datenbanktabellen — Ihre Daten sind von anderen Mandanten isoliert
• Azure Key Vault für alle vertraulichen Anmeldedaten (Zahlungsabwickler-Schlüssel, API-Token, OAuth-Token)
• AES-256-Verschlüsselung für ruhende Daten und TLS 1.2+ für Daten in der Übertragung
• Unveränderliches, nur-anhängliches Audit-Log für alle Datenzugriffe und Änderungen
• Rollenbasierte Zugriffskontrolle mit über 250 granularen Berechtigungen
• SAS-Token-Zugriff mit 15-Minuten-Ablauf für Datei-/Medienzugriff
• Automatische Sicherheitsüberwachung, Anomalieerkennung und Ratenbegrenzung

Rohkartendaten werden nie auf unseren Servern gespeichert. Abwickleranmeldedaten werden ausschließlich in Azure Key Vault gespeichert.

6. Enddaten des Kunden und Ihre Verantwortungen

Als Abonnent sind Sie der Datenverantwortliche für die personenbezogenen Daten Ihrer Kunden, die auf der Plattform gespeichert sind. ShadowPing verarbeitet diese Daten als Datenverarbeiter in Ihrem Namen, nur um die Plattformdienste bereitzustellen.

Sie sind verantwortlich für:

• Einholen aller gesetzlich erforderlichen Zustimmungen von Ihren Kunden vor der Erfassung ihrer Daten, einschließlich der Zustimmung zu Fotografien, biometrisch ähnlichen Bildern und allen Daten, die über verbundene Integrationen erfasst werden
• Mitteilung an Ihre Kunden, wenn Ihre Geschäftsräume einer Audio- oder Videoaufzeichnung durch eine verbundene Kameraintegration unterliegen, und Anbringung aller gesetzlich erforderlichen Aufzeichnungshinweise
• Bearbeitung der Anfragen Ihrer Kunden zu Betroffenenrechten (Zugriff, Berichtigung, Löschung)
• Einhaltung der geltenden Datenschutzgesetze in Ihrer Gerichtsbarkeit, einschließlich GDPR, CCPA und alle anderen geltenden Vorschriften

Zyvora bietet Tools zur Unterstützung der GDPR-Compliance, einschließlich Kundendenexport, Workflow zur Recht auf Löschung mit Audit-Trails und Zustimmungsverfolgung pro Salon mit Versionierung von Rechtstexten.

7. GDPR und internationale Datentransfers

Wenn Sie sich im Europäischen Wirtschaftsraum (EWR), Vereinigten Königreich oder einer anderen Gerichtsbarkeit mit Datenschutzgesetzen befinden, haben Sie möglicherweise spezifische Rechte in Bezug auf Ihre personenbezogenen Daten. Diese können das Recht auf Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Übertragung Ihrer Daten sowie das Recht, bestimmten Verarbeitungen widersprechen zu können, umfassen.

Datentransfers außerhalb des EWR werden unter angemessenen Sicherungsmaßnahmen durchgeführt, einschließlich Standard-Vertragsbedingungen, wo zutreffend. Bitte kontaktieren Sie uns unter privacy@zyvora.app, wenn Sie Fragen zu internationalen Datentransfers haben.

8. CCPA (Einwohner von Kalifornien)

Wenn Sie ein Einwohner von Kalifornien sind, haben Sie Rechte unter dem California Consumer Privacy Act (CCPA), einschließlich des Rechts zu erfahren, welche personenbezogenen Daten wir erfassen, das Recht, Ihre personenbezogenen Daten zu löschen, und das Recht, sich vom Verkauf Ihrer personenbezogenen Daten abzumelden.

ShadowPing verkauft keine personenbezogenen Daten. Um Ihre CCPA-Rechte auszuüben, kontaktieren Sie uns unter privacy@zyvora.app.

9. Datenspeicherung

Wir speichern Abonnentendaten so lange, wie Ihr Abonnement aktiv ist. Nach der Stornierung sind Daten 90 Tage lang im schreibgeschützten Modus zugänglich, dann in den Speicher archiviert. Archivierte Daten werden mindestens 7 Jahre für rechtliche und Compliance-Zwecke beibehalten, sofern Sie keine frühere Löschung anfordern.

Enddaten werden gemäß den konfigurierbaren Aufbewahrungsrichtlinien innerhalb der Plattform beibehalten (standardmäßig 7-jährige Aufbewahrung für Kundendokumente). Klinische Daten unterliegen den Anforderungen zur Aufbewahrung von Gesundheitsunterlagen in Ihrer Gerichtsbarkeit.

Kamera-Integrations-Metadaten — einschließlich VideoBookmark-Datensätze, Ereignismetadaten und ablaufende Zugriffs-URLs im Zusammenhang mit Kameraintegrationen wie Solink — werden beibehalten, während die Integration aktiv ist, und für 90 Tage nach Trennung oder Kontokündigung, danach werden sie dauerhaft gelöscht. Tatsächliche Videoinhalte werden von ShadowPing nicht gespeichert; sie bleiben beim Drittkamera-Anbieter unter deren eigenen Aufbewahrungsrichtlinien. Kamera-Integrations-Anmeldedaten, die im Azure Key Vault gespeichert sind, werden bei der Trennung der Integration oder der Beendigung Ihres Kontos vernichtet.

Audit-Log-Daten werden 12 Monate lang im aktiven Speicher aufbewahrt und danach in Langzeit-Speicher archiviert.

10. Cookies und Verfolgung

Die Zyvora-Webanwendung verwendet Session-Cookies und lokalen Speicher für Authentifizierung und Anwendungsstatus. Wir verwenden keine Drittanbieter-Werbecookies oder Tracking-Pixel.

Die Zyvora-Marketingwebsite (zyvora.app) kann Analytics-Tools verwenden, um das Besucherverhalten zu verstehen. Keine persönlich identifizierbaren Informationen werden durch diese Analysen erfasst.

11. Datenschutz von Kindern

Die Plattform ist für geschäftliche Nutzung vorgesehen und richtet sich nicht an Personen unter 18 Jahren. Wir erfassen wissentlich keine personenbezogenen Daten von Minderjährigen. Wenn ein Abonnent Informationen über Minderjährige erfasst (z. B. für Jugenddienste), ist der Abonnent verantwortlich für die Erlangung der angemessenen elterlichen Zustimmung.

12. Änderungen dieser Richtlinie

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren. Wir benachrichtigen Sie über wesentliche Änderungen per E-Mail oder innerhalb der Plattform. Das „Gültigkeitsdatum” oben auf dieser Seite gibt an, wann die aktuelle Version veröffentlicht wurde.

13. Kontaktieren Sie uns

Bei Fragen zum Datenschutz, Anfragen von Betroffenen oder um eine Business Associate Agreement (BAA) für die Nutzung klinischer Funktionen anzufordern, kontaktieren Sie uns bitte:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app