Mimos

Datenschutzerklärung

Stand: 6. Juli 2026

Dies ist unsere Datenschutzerklärung. Die Nutzungsbedingungen (EULA) von Mimos befinden sich auf einer separaten Seite. Zu den Nutzungsbedingungen →

1. Über diese Richtlinie und für wen sie gilt

Mimos ist eine mandantenfähige Software-as-a-Service-Plattform (SaaS), die Hundesalons und andere Tierpflegebetriebe nutzen, um Kund:innen, Tiere, Termine, Nachrichten und einen Online-Buchungsshop zu verwalten. Betrieben wird die Plattform von Mimos Technology Inc. ("Mimos", "wir", "uns"), 108 W 39th St, STE1006 PMB2057 New York City, 10018 NY, USA.

Diese Richtlinie erklärt, welche personenbezogenen Daten wir verarbeiten, warum, auf welcher Rechtsgrundlage, mit wem wir sie teilen, wie lange wir sie aufbewahren und welche Rechte du hast. Sie gilt für:

  • Tierpflegebetriebe, die Mimos abonnieren (unsere direkten Kund:innen), und die Mitarbeitenden in diesen Betrieben, die ein Konto haben.
  • Tierhalter:innen ("Kund:innen"), deren Daten ein Tierpflegebetrieb in Mimos speichert oder die über den Online-Shop eines Betriebs buchen.
  • Besucher:innen unserer Anwendung und unserer Buchungsseiten.

2. Unsere Rolle: Verantwortlicher und Auftragsverarbeiter

Mimos hat zwei verschiedene datenschutzrechtliche Rollen. Es ist wichtig zu verstehen, welche auf dich zutrifft.

Wir sind Verantwortlicher für personenbezogene Daten, bei denen wir Zweck und Mittel der Verarbeitung bestimmen — im Wesentlichen:

  • Konto- und Mitarbeitendendaten (Registrierung, Authentifizierung, Abrechnungsverwaltung, Support, Sicherheit).
  • Technische und Nutzungsdaten, die wir erheben, um die Plattform zu betreiben, abzusichern und zu verbessern.
  • Kommunikation zwischen uns und unseren geschäftlichen Kund:innen.

Wir sind Auftragsverarbeiter (und der Tierpflegebetrieb ist Verantwortlicher) für die personenbezogenen Daten, die ein Betrieb über seine eigenen Kund:innen und deren Tiere eingibt oder erzeugt — zum Beispiel Kontaktdaten der Kund:innen, Tierakten, Terminverlauf, Fotos, Impfnachweise und Nachrichtenprotokolle. Diese Daten verarbeiten wir ausschließlich nach den dokumentierten Weisungen des Betriebs zum Zweck der Bereitstellung des Dienstes. Jeder Betrieb ist selbst dafür verantwortlich, eine Rechtsgrundlage für die Erhebung dieser Daten zu haben und auf die Datenschutzanfragen seiner eigenen Kund:innen zu reagieren; unsere Verarbeitung richtet sich nach einem Auftragsverarbeitungsvertrag (DPA), der Teil unserer Bedingungen ist.

Wenn du Tierhalter:in bist und auf die Informationen zugreifen, sie berichtigen oder löschen möchtest, die ein Hundesalon über dich gespeichert hat, wende dich bitte direkt an diesen Salon — er kontrolliert deinen Datensatz. Wir unterstützen ihn dabei als sein Auftragsverarbeiter.

3. Personenbezogene Daten, die wir verarbeiten

Welche Daten genau vorhanden sind, hängt davon ab, wie ein Betrieb Mimos konfiguriert und was er erfassen möchte. Die folgenden Kategorien spiegeln wider, was die Plattform speichern kann.

3.1 Geschäfts- und Mitarbeitendenkonten (Mimos als Verantwortlicher)

  • Identität & Kontakt: Vor- und Nachname, E-Mail-Adresse, Telefonnummer.
  • Authentifizierung & Sicherheit: gehashtes Passwort, Token zur E-Mail-Bestätigung und zum Zurücksetzen des Passworts, "Angemeldet bleiben"-Token, Zähler für fehlgeschlagene Anmeldungen und Sperrstatus sowie Anmelde-Metadaten (Zeitstempel und IP-Adressen der aktuellen/letzten Anmeldung).
  • Profil: optionales Profilfoto und — für Mitarbeitende, die als buchbare Groomer:innen tätig sind — Biografie, Spezialgebiete, Kalenderfarbe, Einstellungsdatum und Provisionssatz.
  • Arbeitsdaten: Arbeitszeiten, Abwesenheiten (einschließlich eines etwaigen erfassten Grundes), Standortzuweisungen und die Konfiguration/Einstellungen des Betriebs.
  • Rolle & Zugehörigkeit: zu welchem/welchen Betrieb(en) die Person gehört und welche Rolle sie hat (Admin oder Mitglied).

3.2 Kund:innen- und Tierdaten (Mimos als Auftragsverarbeiter, im Auftrag des Betriebs)

  • Angaben zu Tierhalter:innen ("Kund:innen"): Name, E-Mail-Adresse(n), Telefonnummer(n), Post-/Rechnungsadresse(n), Freitextnotizen, Akquisequelle, Haushaltsbeziehungen sowie Tags/Labels.
  • Nachrichtenpräferenzen und Einwilligung: ob die Kund:in in automatisierte Erinnerungs-/Marketingnachrichten eingewilligt hat, wann die Einwilligung erteilt oder widerrufen wurde und welcher Kanal bevorzugt wird (SMS, email oder keiner).
  • Tierakten: Name, Tierart, Rasse, Geburtsdatum, Geschlecht, Größe, Gewicht, Fell/Temperament, Allergien und medizinische Notizen sowie Tierfotos (Profilfoto und Vorher-/Nachher-Fotos der Pflege).
  • Impfnachweise: Name/Art des Impfstoffs, Verabreichungs- und Ablaufdaten, Verifizierung und etwaige Übersteuerungsgründe/-notizen sowie ein hochgeladenes Nachweisdokument (Foto oder PDF eines Zertifikats).
  • Termine & Leistungsverlauf: Buchungen, Zeiten, Status, Preis-Momentaufnahmen, Terminnotizen/Sonderanweisungen und welche:r Mitarbeitende die Leistung erbracht hat.
  • Einwilligungen & Unterschriften: beim Check-in erfasste Verzichts-/Einwilligungsdokumente, einschließlich Foto-Einwilligungskennzeichen, Name der unterzeichnenden Person und einer digitalen Signaturdatei, zuzüglich Dokumentversion/Sprachversion und Zeitstempel.
  • Bewertungen & Erfahrungsberichte: von Kund:innen abgegebene Bewertungen und Freitextkommentare (teils über tokenisierte Links) sowie etwaige Name/Foto der verfassenden Person, die ein Betrieb veröffentlichen möchte.
  • Kommunikation: ein Protokoll der an Kund:innen gesendeten oder von ihnen empfangenen Nachrichten, einschließlich Telefonnummer/E-Mail der empfangenden Person, Kanal (SMS, WhatsApp, email), Nachrichtentext, Richtung, Zustellstatus und etwaigem Fehler.

Hinweis zu sensiblen Daten. Allergien und medizinische Notizen zu Tieren sind Gesundheitsinformationen über Tiere, keine besonderen Kategorien personenbezogener Daten über Menschen. Freitextfelder (Kund:innennotizen, Terminnotizen, Bewertungskommentare) können jedoch alles enthalten, was eine Person eintippt. Betriebe sollten es vermeiden, besondere Kategorien personenbezogener Daten über Personen in diesen Feldern zu erfassen.

3.3 Automatisch erhobene Daten

  • Sitzungs- und Authentifizierungs-Cookies (siehe §6).
  • Server- und Sicherheitsprotokolle einschließlich IP-Adresse, Anfrage-Metadaten und User-Agent, die zum Betrieb, zur Absicherung und zur Fehlerbehebung des Dienstes verwendet werden. Passwörter, Token, OTP-Codes und ähnliche Geheimnisse werden aus unseren Protokollen herausgefiltert.
  • Leistungs- und Tracing-Telemetrie über unseren Anbieter für Anwendungs-Performance-Monitoring (siehe §7), bestehend aus Anfrage- und Tracing-Metadaten.
  • Produktanalyse-Ereignisse (z. B. Funnel-/Nutzungsereignisse mit einer Sitzungskennung und der angemeldeten Person, sofern zutreffend).
  • Mobile Push-Token für Mitarbeitende, die die begleitende iOS- oder Android-App nutzen (Geräte-Token, Plattform, Umgebung, Zeitpunkt der letzten Sichtung). Die Zustellung erfolgt über Apple Push Notification service (APNs) auf iOS und Firebase Cloud Messaging (FCM) auf Android; die erhobenen Token-Daten sind auf beiden Plattformen dieselben.
  • Abonnement- und Kaufdaten für Mimos Pro (unser kostenpflichtiger Tarif). Wenn du über den App Store oder Google Play abonnierst, verarbeiten wir die Transaktionskennung des Stores, die Produktkennung (z. B. den Monats- oder Jahrestarif), eine pseudonyme kontobezogene Kennung, die die App an den Store sendet (Apple appAccountToken / Google obfuscatedAccountId, abgeleitet aus deiner Konto-ID), und den resultierenden Anspruchs- bzw. Abonnementstatus. Wenn du im Web über Stripe abonnierst, verarbeiten wir deine Stripe-Kunden- und -Abonnementkennungen, die Produktkennung und den Abonnementstatus. Wir verarbeiten dies ausschließlich, um den Zugang zu Mimos Pro zu gewähren und zu verwalten.

Wir speichern keine Zahlungskartennummern oder Bankkontodaten; Mimos ist kein Zahlungsdienstleister.

4. Warum wir Daten verarbeiten und unsere Rechtsgrundlagen

Soweit die DSGVO (EU/EEA), das brasilianische LGPD oder andere anwendbare Datenschutzgesetze gelten, stützen wir uns auf folgende Grundlagen:

ZweckBeispieleRechtsgrundlage
Bereitstellung des Dienstes für BetriebeKonten erstellen/verwalten, Kund:innen- & Tierakten speichern, Buchungen abwickelnVertragserfüllung
Verarbeitung von Kund:innen-/Tierdaten für einen BetriebHosting und Betrieb der CRM-Daten des BetriebsAuftragsverarbeiter nach Weisung des Betriebs (der Betrieb stützt sich auf seine eigene Grundlage)
Authentifizierung & KontosicherheitAnmeldung, Passwort-Zurücksetzen, Sperrung, RatenbegrenzungBerechtigte Interessen / Vertrag
Dienstbezogene KommunikationBestätigungen, Passwort-Zurücksetzungen, Einladungen, Terminerinnerungen/-benachrichtigungenVertrag / berechtigte Interessen; Einwilligung für Marketing-/Erinnerungsnachrichten an Kund:innen, sofern erforderlich
Zuverlässigkeits- & SicherheitsüberwachungFehlerverfolgung, Leistungsüberwachung, MissbrauchspräventionBerechtigte Interessen
Erfüllung gesetzlicher PflichtenSteuer-/Buchhaltungsunterlagen, Beantwortung rechtmäßiger AnfragenRechtliche Verpflichtung
Verbesserung des ProduktsAggregierte/NutzungsanalysenBerechtigte Interessen

Für unser eigenes Marketing gegenüber Betrieben oder soweit anderweitig eine Einwilligung erforderlich ist, stützen wir uns auf die Einwilligung, die du jederzeit widerrufen kannst.

5. Kund:innen-Nachrichten und Einwilligung

Mimos kann SMS- und email-Nachrichten an die Kund:innen eines Betriebs senden (zum Beispiel Terminerinnerungen und -bestätigungen), wobei WhatsApp-Nachrichten dort verfügbar sind, wo sie aktiviert sind. Die Plattform erfasst und setzt die Nachrichten-Einwilligung durch: Einwilligungsstatus und Zeitstempel einer Kund:in werden gespeichert, und automatisierte Nachrichten an Kund:innen sind an diese Einwilligung gekoppelt. Kund:innen können ihre Einwilligung jederzeit widerrufen, indem sie sich an den Betrieb wenden oder den Abmeldehinweisen folgen, sofern bereitgestellt. Nachrichtenprotokolle werden als Teil der Aufzeichnungen des Betriebs aufbewahrt (siehe §9).

6. Cookies und ähnliche Technologien

Mimos verwendet eine geringe Anzahl unbedingt erforderlicher Cookies, um zu funktionieren; es werden keine Werbe-Cookies eingesetzt. Dazu gehören:

  • Ein Sitzungs-Cookie (z. B. _pet_crm_session), das dich angemeldet hält und vor Cross-Site-Request-Forgery schützt. Es ist HttpOnly, SameSite=Lax und (in der Produktion) Secure (nur über HTTPS).
  • Ein "Angemeldet bleiben"-Cookie, das nur gesetzt wird, wenn du diese Option bei der Anmeldung wählst, sodass du über Browser-Sitzungen hinweg angemeldet bleibst; es wird beim Abmelden gelöscht.

Da diese Cookies für die Bereitstellung eines von dir angeforderten Dienstes unerlässlich sind, bedürfen sie nach den ePrivacy-Regeln keiner Einwilligung. Sollten wir später nicht erforderliche Cookies oder Analysen von Drittanbietern einsetzen, die Cookies setzen, zeigen wir ein Einwilligungsbanner und aktualisieren diesen Abschnitt.

7. Dienstleister und Unterauftragsverarbeiter

Wir geben personenbezogene Daten an die nachfolgend genannten Dritten ausschließlich zur Bereitstellung des Dienstes weiter. Jeder von ihnen ist an datenschutzrechtliche Bedingungen gebunden. Diese Liste kann sich ändern; wir halten sie aktuell.

AnbieterRolleBetroffene Daten
RenderAnwendungs-Hosting, verwaltete PostgreSQL-Datenbank, Backups, ProtokolleAlle Anwendungsdaten
Cloudflare R2Objektspeicher für hochgeladene DateienFotos (Profilfotos, Tiere, Pflege, Erfahrungsberichte), Logos, Impfnachweise
Redis (verwaltet)Hintergrund-Job-Warteschlange / CacheVorübergehende Job-Daten mit Verweis auf Datensätze
ResendVersand transaktionaler E-MailsName & E-Mail der empfangenden Person, Nachrichteninhalt (Bestätigungen, Zurücksetzungen, Einladungen, Erinnerungen)
SweegoZustellung transaktionaler SMS (Terminerinnerungen, -bestätigungen)Telefonnummer der empfangenden Person (E.164), Nachrichteninhalt
Apple Push Notification service (APNs)iOS-Push-Benachrichtigungen an die Mitarbeitenden-AppGeräte-Push-Token, Benachrichtigungsinhalt
Google — Firebase Cloud Messaging (FCM)Android-Push-Benachrichtigungen an die Mitarbeitenden-AppGeräte-Push-Token, Benachrichtigungsinhalt
Apple — App Store / StoreKitVerarbeitung des Mimos-Pro-Abonnements und Übermittlung von Transaktions- und Anspruchsdaten an unsTransaktionskennung, Produktkennung, pseudonyme kontobezogene Kennung (appAccountToken), Abonnementstatus
Google — Google Play BillingVerarbeitung des Mimos-Pro-Abonnements und Übermittlung von Transaktions- und Anspruchsdaten an unsKauf-/Transaktionskennung, Produktkennung, pseudonyme kontobezogene Kennung (obfuscatedAccountId), Abonnementstatus
StripeVerarbeitung des Mimos-Pro-Abonnements im Web (Stripe Checkout) und Übermittlung von Abonnement- und Anspruchsdaten an unsStripe-Kunden- und -Abonnementkennungen, Produkt-/Preiskennung, Abonnementstatus (keine Kartendaten)
DatadogAnwendungs-Performance-Monitoring (Produktion)Anfrage-/Tracing-Metadaten
SlackInterne Betriebsbenachrichtigungen an Mimos (z. B. neue Anmeldungen/Buchungen)Begrenzte Konto-/Buchungs-Metadaten
Companion mobile backend webhookBenachrichtigung unserer mobilen App über DatenänderungenKonto-ID, Ereignistyp, Zeitstempel (signiert)
Fontshare (Indian Type Foundry)Stellt die in der Oberfläche verwendete Webschrift bereitIP/User-Agent des Browsers beim Laden der Schrift

Geplant (noch nicht aktiv): die Fehlerverfolgung über Sentry ist in unserem Code integriert, aber in der Produktion nicht aktiviert, sodass sie heute keine personenbezogenen Daten verarbeitet. Wenn wir sie aktivieren, aktualisieren wir diesen Abschnitt; Fehlerberichte können dann IP-Adresse, Anfrage-Header und die Kennungen der betroffenen Person enthalten.

Wir verkaufen keine personenbezogenen Daten und geben sie nicht für Werbung Dritter weiter.

8. Internationale Datenübermittlungen

Unsere Anbieter können Daten außerhalb des Landes verarbeiten, in dem du dich befindest, einschließlich in den Vereinigten Staaten. Soweit Daten aus dem EEA/UK übermittelt werden, stützen wir uns auf geeignete Garantien wie die Standardvertragsklauseln der Europäischen Kommission (Standard Contractual Clauses) (und das UK Addendum, sofern relevant) oder eine Angemessenheits-/Data-Privacy-Framework-Zertifizierung eines Anbieters. Einzelheiten zu den Garantien für eine bestimmte Übermittlung sind auf Anfrage unter hallo@joinmimos.com erhältlich.

9. Speicherdauer

  • Konto- und Mitarbeitendendaten werden aufbewahrt, solange das Abonnement des Betriebs aktiv ist, sowie für einen angemessenen Zeitraum danach, und anschließend gelöscht oder anonymisiert, vorbehaltlich gesetzlicher Aufbewahrungspflichten (z. B. Steuer/Buchhaltung).
  • Kund:innen-, Tier-, Termin-, Foto- und Impfnachweisdatensätze werden für den Betrieb (den Verantwortlichen) so lange aufbewahrt, wie er sie behält. Einige Datensätze nutzen ein Soft-Delete-Verfahren (als gelöscht markiert und ausgeblendet, aber aufbewahrt), damit Verlaufs- und Termindaten konsistent bleiben; sie werden nicht automatisch entfernt.
  • Änderungsverlauf / Audit-Trail. Zur Integrität und Nachvollziehbarkeit werden Änderungen an zentralen Datensätzen in einem Audit-Protokoll versioniert und für die Lebensdauer des Kontos aufbewahrt, sofern sie nicht entfernt werden.
  • Nachrichtenprotokolle werden als Teil der Kommunikationsunterlagen des Betriebs aufbewahrt.
  • Kontoschließung / Löschung. Wenn ein Geschäftskonto gelöscht wird, werden die zugehörigen Daten (Mitgliedschaften, Kund:innen, Tiere, Termine, Leistungen, Einladungen usw.) entfernt. Auf Anfrage löschen oder geben wir die Daten eines Betriebs gemäß unserem DPA und dem geltenden Recht zurück.
  • Backups werden für ein begrenztes rollierendes Zeitfenster aufbewahrt und dann überschrieben; Löschanfragen werden in aktiven Systemen sofort umgesetzt und greifen, sobald die Backups auslaufen.

Wenn du einen bestimmten Aufbewahrungsplan dokumentiert haben möchtest, kontaktiere uns unter hallo@joinmimos.com.

10. Wie wir Daten schützen

  • Verschlüsselung bei der Übertragung: HTTPS/TLS wird in der gesamten Anwendung erzwungen (HSTS/force_ssl in der Produktion); Cookies sind Secure und HttpOnly.
  • Passwortschutz: Passwörter werden mit bcrypt gehasht (Arbeitsfaktor 12) und niemals im Klartext gespeichert oder protokolliert.
  • API-Zugriff: der programmatische Zugriff nutzt bearer token, die nur als gesalzener HMAC-SHA256-Digest gespeichert werden (das Rohtoken wird nie dauerhaft gespeichert); Token können widerrufen werden und laufen ab.
  • Missbrauchsprävention: Ratenbegrenzung an den Endpunkten für Anmeldung, Registrierung, Passwort-Zurücksetzen und OTP sowie Kontosperrung nach wiederholt fehlgeschlagenen Anmeldungen.
  • Protokollhygiene: Passwörter, Token, OTPs und andere Geheimnisse werden aus den Anwendungsprotokollen herausgefiltert.
  • Mandantenisolierung: die Daten jedes Betriebs werden pro Konto logisch getrennt.
  • Zugriffskontrolle: rollenbasierte Berechtigungen (Admin/Mitglied) und Richtlinienprüfungen steuern den Zugriff innerhalb eines Kontos.
  • Sicherheit der mobilen Sitzung: die mobile App speichert ihr Sitzungs-Token im sicheren Speicher des Geräts (iOS Keychain / Android Keystore), optional geschützt durch die Gerätebiometrie, wenn du sie aktivierst; biometrische Daten verlassen niemals dein Gerät und werden vollständig vom Betriebssystem verarbeitet.

Kein System ist vollkommen sicher, aber wir treffen angemessene und geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten und benachrichtigen betroffene Personen und Behörden über eine Verletzung des Schutzes personenbezogener Daten, soweit das Gesetz dies verlangt.

11. Deine Rechte

Vorbehaltlich des geltenden Rechts (etwa der DSGVO und des LGPD) kannst du das Recht haben, folgendes zu tun:

  • Auskunft über die personenbezogenen Daten zu erhalten, die wir über dich gespeichert haben, und eine Kopie zu bekommen.
  • Berichtigung unrichtiger oder unvollständiger Daten zu verlangen.
  • Löschung deiner Daten ("Recht auf Vergessenwerden") unter bestimmten Umständen zu verlangen.
  • Einschränkung oder Widerspruch gegen bestimmte Verarbeitungen, einschließlich der auf berechtigten Interessen beruhenden Verarbeitung und der Direktwerbung.
  • Datenübertragbarkeit — deine Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
  • Einwilligung zu widerrufen, und zwar jederzeit, soweit die Verarbeitung auf einer Einwilligung beruht.
  • Beschwerde einzulegen bei deiner örtlichen Datenschutz- oder Aufsichtsbehörde.

Wie du deine Rechte ausübst:

  • Wenn Mimos Verantwortlicher ist (deine Konto-/Mitarbeitendendaten), kontaktiere uns unter hallo@joinmimos.com. Wir antworten innerhalb der gesetzlich vorgeschriebenen Frist (ein Monat nach der DSGVO, verlängerbar). Möglicherweise müssen wir deine Identität überprüfen.
  • Wenn deine Daten von einem Tierpflegebetrieb eingegeben wurden (d. h. du bist Kund:in dieses Betriebs), wende dich an diesen Betrieb — er ist der Verantwortliche. Wir unterstützen ihn bei der Erfüllung deiner Anfrage.

12. Kinder

Mimos ist für Betriebe und Erwachsene bestimmt. Es richtet sich nicht an Kinder, und wir erheben nicht wissentlich personenbezogene Daten von Kindern. Wenn du glaubst, dass ein Kind personenbezogene Daten bereitgestellt hat, kontaktiere uns, und wir löschen sie.

13. Automatisierte Entscheidungsfindung

Wir nutzen die hier beschriebenen personenbezogenen Daten nicht, um ausschließlich durch automatisierte Mittel Entscheidungen zu treffen, die rechtliche oder ähnlich erhebliche Auswirkungen auf dich haben.

14. Änderungen dieser Richtlinie

Wir können diese Richtlinie aktualisieren, um Änderungen am Produkt, bei unseren Anbietern oder an der Rechtslage Rechnung zu tragen. Wir veröffentlichen die aktualisierte Fassung mit einem neuen "Zuletzt aktualisiert"-Datum und weisen bei wesentlichen Änderungen zusätzlich darauf hin (z. B. in der App oder per email). Die fortgesetzte Nutzung nach dem Wirksamkeitsdatum gilt als Zustimmung, soweit gesetzlich zulässig.

15. Kontakt

Fragen, Anfragen oder Beschwerden zum Datenschutz:

E-Mail: hallo@joinmimos.com

Post: Mimos Technology Inc., 108 W 39th St, STE1006 PMB2057 New York City, 10018 NY, USA

Diese englische Fassung ist der maßgebliche Text. Übersetzungen in andere Sprachen können der Einfachheit halber bereitgestellt werden; im Konfliktfall hat die englische Fassung Vorrang.