Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Square Appointments ist ein Online Buchungs und Terminplanungs Tool von Block Inc. (ehemals Square), das auf Websites eingebettet werden kann. Es erfasst Kundennamen, E Mail Adressen, Telefonnummern, Servicepräferenzen und Zahlungsdaten zur Buchungsabwicklung. Während die Hauptverarbeitung auf Vertragserfüllung beruht, setzt das eingebettete Widget Cookies, die nach ePrivacy einwilligungspflichtig sind. Sämtliche Daten werden in den USA verarbeitet, eine EU Datenresidenz ist nicht verfügbar.
Square Appointments ist die Buchungs und Terminplanungs Lösung von Block Inc. (ehemals Square Inc., USA). Sie wird per iframe oder JavaScript Widget in Websites eingebunden und ermöglicht es Endkunden, Termine zu buchen, Anzahlungen zu leisten und Erinnerungen zu erhalten. Square verbindet die Buchung mit dem Square Customer Directory und kann optional mit Square POS und Square Marketing kombiniert werden.
Erfasst werden Name, E Mail, Telefonnummer, gewählte Dienstleistung, bevorzugtes Personal, Datum, Uhrzeit, Buchungsnotizen und ggf. Zahlungsdaten. Das Widget setzt First Party Cookies (Sitzung, CSRF Schutz) sowie Cookies von squareup.com und square.site (Geräte Erkennung, Werbung). IP Adresse und User Agent werden beim Laden des Widgets an Block Inc. übertragen.
Rechtsgrundlage für die Buchungsdaten ist Vertragserfüllung (Art. 6(1)(b) DSGVO). Für nicht notwendige Cookies des Widgets ist nach § 25 TTDSG und Art. 5(3) ePrivacy eine vorherige Einwilligung erforderlich. Werden gesundheitsbezogene Termine gebucht, gelten die strengen Anforderungen des Art. 9 DSGVO und es ist eine ausdrückliche Einwilligung notwendig.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Block Inc. verarbeitet sämtliche Buchungs , Kunden und Zahlungsdaten in den USA. Es gibt keine EU Datenresidenz Option. Die Übermittlung beruht auf Standardvertragsklauseln (Art. 46 DSGVO) und der Teilnahme von Block Inc. am EU US Data Privacy Framework. Empfehlenswert sind ergänzende Maßnahmen wie Pseudonymisierung, restriktive Zugriffsrechte und ein vollständiger AVV mit Block Inc.
Schließen Sie den AVV mit Block Inc. ab, blockieren Sie das Widget bis zur Einwilligung in einer Buchungs Cookie Kategorie, integrieren Sie eine Datenschutzhinweis vor dem Buchungsformular, dokumentieren Sie die Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten und prüfen Sie EU Alternativen wie Doctolib oder Cal.com (selbst gehostet) für sensible Anwendungsfälle.
Websites using Square Appointments must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für einfache Terminbuchungen in der Regel nicht erforderlich. Sie wird empfohlen, wenn Square Appointments gesundheitsbezogene Buchungsdaten verarbeitet (Arzttermine, Therapie), die unter Art. 9 DSGVO besondere Kategorien darstellen, oder wenn die Integration mit Zahlungsabwicklung in großem Umfang erfolgt.
Sample consent text
Dieses Buchungs Widget wird von Square Appointments (Block Inc., USA) bereitgestellt. Zur Abwicklung Ihrer Buchung erhebt Square Ihren Namen, Ihre E Mail Adresse, Telefonnummer und Buchungsdetails. Die Daten werden in den USA verarbeitet. Diese Buchungsdaten sind zur Erfüllung Ihrer Anfrage erforderlich. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Third-party domains contacted
squareup.comsquarecdn.comapi.squareup.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _sq_session | session | Session | Session identifier used to maintain the active booking flow state |
| _sq_anon_id | persistent | 1 year | Anonymous visitor identifier used to track booking funnel behaviour |
Square Appointments verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Square Appointments erfasst Kundenname, E Mail Adresse, Telefonnummer, gewählte Dienstleistung, bevorzugtes Personal, Termin und Uhrzeit, Buchungsnotizen sowie Zahlungsdaten für Anzahlungen. Beim Laden des Widgets werden zudem IP Adresse und Geräteinformationen protokolliert. Diese Daten werden im Square Customer Directory gespeichert und mit dem Kundenprofil verknüpft.
Für die reinen Buchungsdaten ist keine Einwilligung erforderlich, da Vertragserfüllung die Rechtsgrundlage liefert. Eine Einwilligung ist jedoch für nicht notwendige Cookies des Widgets erforderlich, bevor der Buchungsprozess startet. Vor der Eingabe persönlicher Daten muss ein Datenschutzhinweis angezeigt werden, der Square als Auftragsverarbeiter und die US Übermittlung erläutert.
Vertragserfüllung gemäß Art. 6(1)(b) DSGVO ist die primäre Rechtsgrundlage für die Verarbeitung der Buchungsdaten. Einwilligung gemäß Art. 6(1)(a) ist für nicht notwendige Cookies des Widgets erforderlich. Werden Square Marketing Funktionen genutzt, um Kunden nach dem Termin zu kontaktieren, ist eine separate Marketing Einwilligung notwendig.
Ja. Block Inc. ist ein US Unternehmen und verarbeitet alle Buchungs , Kunden und Zahlungsdaten auf US Infrastruktur. Standardvertragsklauseln gelten. Organisationen sollten den AVV von Block Inc. unterzeichnen, um die Übermittlungsgarantie zu formalisieren, und die Übermittlung im Verzeichnis von Verarbeitungstätigkeiten dokumentieren.
Für Standardbuchungen in der Regel nicht. Eine DSFA ist erforderlich, wenn Square Appointments für gesundheitsbezogene Buchungen genutzt wird, wo die Termindaten unter Art. 9 DSGVO als Gesundheitsdaten gelten, oder wenn die Integration mit Zahlungssystemen große Mengen finanzieller personenbezogener Daten verarbeitet. Die Kombination Gesundheitsdaten plus US Übermittlung erfordert eine DSFA.
Zeigen Sie auf Ihrer Buchungsseite einen Datenschutzhinweis vor der Dateneingabe, der Square als Auftragsverarbeiter und die US Übermittlung benennt. Holen Sie ePrivacy Einwilligung ein, bevor das Widget Skript lädt. Schließen Sie den Block Inc. AVV ab. Aktualisieren Sie Ihre Datenschutzerklärung. Für Gesundheitsbuchungen holen Sie ausdrückliche Einwilligung nach Art. 9 ein. Konfigurieren Sie Square Marketing so, dass Buchungsdaten nicht ohne separate Einwilligung für Marketing genutzt werden. Dokumentieren Sie die Verarbeitung im VVT.
Calendly bietet Optionen für EU Datenresidenz. Acuity Scheduling (zu Squarespace gehörig) bietet EU Datenverarbeitung. Für volle EU Souveränität können Open Source Tools wie Cal.com auf EU Infrastruktur selbst gehostet werden. Doctolib ist eine französische Buchungsplattform speziell für das Gesundheitswesen mit eingebauter DSGVO Konformität für medizinische Termindaten.
Mit Vorsicht. Termindaten in einem medizinischen Kontext (Arzt, Therapeut, Facharzt) können unter Art. 9 DSGVO als Gesundheitsdaten gelten und benötigen ausdrückliche Einwilligung sowie höhere Schutzstandards. Vor der Nutzung von Square für medizinische Buchungen müssen ausdrückliche Patienteneinwilligungen eingeholt, eine DSFA durchgeführt und der AVV mit Block Inc. um Art. 9 Daten ergänzt werden. EU Alternativen wie Doctolib sind speziell für diesen Zweck konzipiert.