Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testen
mobileCta.note
Calendly ist ein US-amerikanisches Terminplanungs-Tool, das Name, E-Mail-Adresse, Zeitzone und IP-Adresse von Einladenden verarbeitet. SCCs sind für EU-Nutzer erforderlich, da alle Daten in den USA gespeichert werden.
Calendly ist der am weitesten verbreitete Scheduling SaaS und wird von Calendly LLC (Atlanta, Georgia) betrieben. Er stellt eine öffentliche Buchungsseite (calendly.com/ihr-name) oder einen eingebetteten Widget bereit, mit dem Eingeladene einen Termin aus dem Kalender des Hosts auswählen. Calendly integriert sich mit Google Workspace, Microsoft 365, iCloud, Zoom, Google Meet, Microsoft Teams, Stripe und Salesforce.
Wenn der Publisher das Calendly Widget einbettet, lädt der iFrame von calendly.com und setzt dort folgende Cookies: __calendly_session (Sitzung, 30 Tage), _GRECAPTCHA (Google reCAPTCHA Token für Bot Erkennung), ajs_anonymous_id (Segment, 1 Jahr), ajs_user_id (eingeloggter Identifier) sowie _gid und _ga vom eingebetteten Google Analytics 4, sofern nicht blockiert. Die Publisher Domain erhält keine Calendly Cookies, da der iFrame auf der calendly.com Origin läuft.
Sobald der Eingeladene einen Termin bestätigt, ist die Rechtsgrundlage Vertragserfüllung oder Anbahnung (Art. 6(1)(b) DSGVO). Das Laden des Calendly iFrames setzt jedoch Drittanbieter Cookies und überträgt IP Adresse, User Agent und URL an Calendly vor jeder vertraglichen Beziehung; daher ist eine Einwilligung nach §25 TTDSG und Art. 6(1)(a) DSGVO für den Widget erforderlich. Der EuGH (Fashion ID, 2019) bestätigt, dass die einbettende Website für die mit dem iFrame ausgetauschten Daten gemeinsam Verantwortlicher ist.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Calendly LLC ist seit dem 11. Oktober 2023 unter dem EU US Data Privacy Framework zertifiziert. Standardmäßig werden Kundendaten auf AWS US East und US West gehostet. 2023 hat Calendly eine EU Region Option (AWS Irland) für Enterprise Kunden eingeführt. Der Calendly AVV enthält die EU SCC (Modul 2) und führt Segment, Google Analytics, Stripe, Google reCAPTCHA, Sentry und Datadog als Unterauftragsverarbeiter auf.
Koppeln Sie die Calendly Einbettung an die Kategorie Produktivität oder Marketing Ihrer CMP. Ersetzen Sie den iFrame durch einen statischen Button, der die Einbettung erst nach Einwilligung lädt. Schließen Sie den Calendly AVV ab und aktivieren Sie die EU Region, falls in Ihrem Plan verfügbar. Deaktivieren Sie den eingebetteten Google Analytics 4 Tracker in den Calendly Einstellungen. Dokumentieren Sie Calendly LLC und seine Unterauftragsverarbeiter im Verarbeitungsverzeichnis (Art. 30 DSGVO) und in der Datenschutzerklärung. Bei kostenpflichtigen Beratungen beachten Sie das Widerrufsrecht der Verbraucherrechte Richtlinie.
Privacy first europäische Alternativen sind Cal.com (Open Source, US Hauptsitz mit EU Hosting Option), Doodle (Schweiz), TidyCal (USA), HubSpot Meetings (USA, EU Datenresidenz Add on), Microsoft Bookings (Microsoft 365 EU Data Boundary), Mixmax und Chili Piper für Vertriebsteams.
Websites using Calendly must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird in Healthcare, Recruiting oder Coaching empfohlen, wo Calendly sensible Metadaten verarbeiten kann. Datenfluss in die USA und Rechtsgrundlage dokumentieren.
Sample consent text
Wir setzen Calendly ein, eine US Scheduling Plattform der Calendly LLC, damit Sie einen Termin bei uns buchen können. Der Calendly Widget wird erst geladen, nachdem Sie die Kategorie Produktivität in unseren Cookie Einstellungen akzeptieren; anschließend werden die Cookies __calendly_session und _GRECAPTCHA auf calendly.com gesetzt. Bei der Bestätigung eines Termins werden Ihr Name, Ihre E Mail Adresse, die Terminwahl und individuelle Antworten von Calendly in den USA auf Grundlage des EU US Data Privacy Framework und der EU Standardvertragsklauseln verarbeitet. Sie können Ihre Einwilligung jederzeit widerrufen.
Third-party domains contacted
calendly.comcalendly.comassets.calendly.comassets.calendly.comapi.calendly.comapi.calendly.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| __calendly_session | Third party (calendly.com) | Session | Maintains the booking session on calendly.com while the invitee is choosing a slot. |
| __calendly_session | session | Session | Calendly functional session cookie required for scheduling widget operation |
| __cf_bm | Third party (calendly.com) | 30 minutes | Cloudflare bot management cookie used by Calendly to filter malicious traffic. |
| _ga_calendly | persistent | 2 years | Calendly analytics cookie tracking widget usage — requires consent |
| _ga | Third party (calendly.com) | 2 years | Google Analytics visitor identifier used by Calendly for product analytics. |
| _gid | Third party (calendly.com) | 24 hours | Google Analytics session identifier used by Calendly. |
| AWSALB | Third party (calendly.com) | 7 days | AWS Application Load Balancer sticky cookie used to route the invitee to the same backend. |
Calendly verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Calendly stellt einen DPA mit SCCs für EU-Kunden bereit. Die Kernfunktion der Terminplanung ist DSGVO-konform einsetzbar, wenn der DPA unterzeichnet wird und Eingeladene über die US-Datenübermittlung informiert werden. Das eingebettete Widget setzt Analytics-Cookies, die eine Einwilligung erfordern.
Calendly erfasst Name, E-Mail-Adresse, Zeitzone, IP-Adresse und Antworten auf Intake-Formularfragen. Wenn der Veranstalter Integrationen wie Salesforce oder HubSpot aktiviert hat, werden diese Daten an die entsprechenden Drittdienste weitergeleitet.
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) gilt für die Terminplanung als Teil eines Dienstleistungs- oder vorvertraglichen Verhältnisses. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) kann für interne Terminplanung gelten. Marketing-Follow-up erfordert stets eine separate ausdrückliche Einwilligung.
Ja. Alle Calendly-Daten werden in den USA verarbeitet. SCCs sind für die Übermittlung personenbezogener EU-Daten erforderlich. Laden Sie den Calendly-DPA im Admin-Portal herunter, unterzeichnen Sie ihn und überprüfen Sie, ob Calendly nach dem EU-US Data Privacy Framework zertifiziert ist.
Ja. Das eingebettete Calendly-Widget setzt Analytics- und funktionale Cookies. Analytics-Cookies verfolgen die Nutzung des Terminplanungstools und erfordern eine Einwilligung nach ePrivacy-Richtlinie. Verwenden Sie einen Link zum Calendly-Portal statt des Widgets, um die Cookie-Einwilligungspflicht zu umgehen.
Nur mit separater Einwilligung. Die Rechtsgrundlage für die E-Mail-Adresse der Eingeladenen via Terminplanung ist Vertragserfüllung oder vorvertragliche Maßnahmen, nicht Marketing. Für Marketing-Kommunikation ist eine separate, ausdrückliche Einwilligung der Eingeladenen erforderlich.
Calendly stellt Werkzeuge im Admin-Portal bereit, um Eingeladenen-Daten zu löschen. Suchen Sie den Eingeladenen nach E-Mail-Adresse und löschen Sie seine Buchungsdaten. Dokumentieren Sie die Löschung als Nachweis für die DSGVO-Nachweispflicht. Bei Integrationen (Salesforce, HubSpot) müssen Daten auch dort gelöscht werden.
EU-gehostete Terminplanungs-Alternativen sind Doodle (Schweiz), YouCanBook.me (EU-Option verfügbar) und Cal.com (selbst hostbar, Open Source). Für vollständig EU-basierte Verarbeitung ohne US-Datentransfer empfiehlt sich Cal.com mit Self-Hosting auf EU-Infrastruktur.
Drittanbieter Cookies auf calendly.com: __calendly_session (Sitzung), __cf_bm (Cloudflare Bot Schutz, 30 Minuten), _ga und _gid (Google Analytics), AWSALB (AWS Load Balancer Routing, 7 Tage).
Ja. Das Embed setzt nicht erforderliche Analytics, Bot Management und Session Cookies und lädt Skripte von calendly.com. § 25 TDDDG / Art. 5 Abs. 3 ePrivacy verlangen eine vorherige Einwilligung.
Einwilligung (Art. 6 Abs. 1 lit. a + § 25 TDDDG) für Cookies. Vertragserfüllung (lit. b) für die Buchungsdaten nach Auswahl des Termins.
Ja. Standardspeicherung in AWS US East. Enterprise Kunden können EU Residenz in Frankfurt anfordern. Transfers durch EU SCCs und die EU US Data Privacy Framework Zertifizierung der Calendly LLC abgesichert.
Empfohlen in Healthcare, Recruiting oder Coaching mit sensiblen Metadaten oder bei hochvolumigen B2C Buchungen.
Calendly DPA unterzeichnen, EU Residenz auf Enterprise anfordern, Calendly als US Auftragsverarbeiter im Verzeichnis nach Art. 30 DSGVO eintragen, Embed hinter der CMP blockieren, eigene Fragen minimieren, Default Analytics Integrationen deaktivieren.
EU Alternativen: Cal.com (Open Source, Schweiz), Skej (Estland), Doodle (Schweiz), Microsoft Bookings (USA/EU), TidyCal (USA), SimplyBook.me (Estland), Vyte (Frankreich), Youcanbook.me (UK), Acuity Scheduling (USA, Squarespace).
Listen Sie jedes Calendly Cookie mit Name, Zweck, Speicherdauer und Rechtsgrundlage (Einwilligung). Erwähnen Sie calendly.com als Drittanbieter Domain und den US Transfer mit Verweis auf das EU US Data Privacy Framework.