Acuity Scheduling und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Acuity Scheduling ein, verarbeitet er regelmäßig Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen, grobe Standortdaten sowie Nutzer-Inhalte aus dem Buchungsformular zum Zweck der Online-Terminbuchung – auf Basis einer Drittanbieter-Inhalte-Einwilligung beim Embed sowie der Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO) und ergänzender berechtigter Interessen. Diese Seite ordnet ein, welche Daten Acuity Scheduling verarbeitet, in welche Tool-Kategorie das Werkzeug fällt und welche Pflichtangaben zu Acuity Scheduling typischerweise in die Datenschutzerklärung gehören.

A. Acuity Scheduling – Zweck und Funktionsweise

Acuity Scheduling ist ein Software-as-a-Service-Dienst zur Online-Terminbuchung. Webseitenbesucher können über ein Buchungsformular freie Zeitfenster wählen, ihre Kontaktdaten eingeben und – je nach Konfiguration des Webseitenbetreibers – direkt einen Termin verbindlich buchen, ggf. mit Vorkasse oder Anzahlung. Anbieter ist Squarespace (Acuity wurde 2019 von Squarespace übernommen und wird seitdem als Produkt der Squarespace-Gruppe vermarktet).

Acuity Scheduling bietet mehrere Integrationsvarianten:

• JavaScript-Embed über das Snippet https://embed.acuityscheduling.com/js/embed.js, das auf der Webseite ein Buchungs-Iframe von app.acuityscheduling.com einbettet. Diese Variante ist Schwerpunkt der vorliegenden Seite.
• Direct-Link / Pop-up-Button: Der Webseitenbetreiber verlinkt auf eine Acuity-gehostete Buchungsseite oder öffnet sie in einem Pop-up.
• Acuity-API und Webhooks zur Anbindung an Drittsysteme (z.B. CRM, Kalender) – diese serverseitige Nutzung ist hier nicht Gegenstand.

Klassische Nebenfunktionen von Acuity Scheduling sind Erinnerungs-E-Mails und SMS, Kalender-Synchronisation (Google Calendar, Outlook, iCloud), Zahlungsabwicklung via Stripe/Square/PayPal sowie automatisierte Folgekommunikation. Der vorliegende Beitrag konzentriert sich auf die Embed-/Buchungsformular-Integration, weil hier Daten der Webseitenbesucher unmittelbar an Acuity bzw. Squarespace übertragen werden und die Pflichtangaben in der Datenschutzerklärung des Webseitenbetreibers entsprechend zugeschnitten sein müssen.

B. Pflichtangaben zu Acuity Scheduling in der Datenschutzerklärung

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf eingesetzte Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkter Erhebung zusätzlich die Kategorien personenbezogener Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden für Acuity Scheduling in den nachfolgenden Abschnitten C bis H aufgeschlüsselt.

In der Praxis wird in vielen Datenschutzerklärungen für jedes Tool – auch für Acuity Scheduling – ein eigener Textbaustein eingefügt. Diese „Textbaustein-pro-Tool"-Praxis hat sich eingebürgert, ist aber wenig sachgerecht: Sie bläht die Datenschutzerklärung auf, führt zu inhaltlichen Wiederholungen, erschwert die Pflege bei Tool-Wechseln und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO (präzise, transparent, verständlich, leicht zugänglich). Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Terminbuchung, Verkauf, Tracking …) beschreibt und konkrete Dienstleister wie Acuity Scheduling lediglich in einem Anhang Empfänger auflistet.

C. Acuity Scheduling – Anbieter

Vertragspartner für Webseitenbetreiber mit Sitz in Deutschland bzw. im EWR ist nach den öffentlich zugänglichen Angaben des Anbieters die Squarespace Ireland Limited, Ship Street Great, Dublin 8, D08 N12C, Irland. Muttergesellschaft und Empfänger der Daten in den USA ist die Squarespace, Inc., 225 Varick Street, 12th Floor, New York, NY 10014, USA.

Acuity Scheduling wurde 2019 von Squarespace übernommen; die Produktdatenschutzhinweise von acuityscheduling.com/privacy.php werden zur einheitlichen Squarespace-Privacy-Policy umgeleitet. Squarespace, Inc. ist nach den öffentlich zugänglichen Angaben Teilnehmerin am EU-US Data Privacy Framework (DPF). Der Status sollte vor Einsatz vom Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search aktuell verifiziert werden. Für Datentransfers, die nicht vom DPF gedeckt sind, sieht der Squarespace-DPA EU-Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914) vor.

Quellen:

D. Acuity Scheduling – Datenverarbeitung im Ablauf

E. Erhobene Daten bei Acuity Scheduling

Beim Einsatz des Acuity-Scheduling-Embed werden auf der Webseite typischerweise folgende Datenarten verarbeitet: IP-Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer, User-Agent, Geräte- und Browsertyp, grober Standort (über IP), Cookies aus dem Iframe-Kontext sowie alle vom Besucher in das Buchungsformular eingegebenen Inhalte (insb. Name, E-Mail-Adresse, ggf. Telefon, Anlass des Termins, Wunschtermin und Zusatzfragen) und Conversion-Ereignisse (z.B. erfolgreiche Terminbuchung).

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Acuity-/Squarespace-Webserver bei jedem Aufruf des Embeds vom Endgerät erhält, insb. IP-Adresse, Datum, Uhrzeit, URL des Embeds, Referrer, Browser-, Betriebssystem- und Geräteangaben sowie technische Metadaten.
• Endgeräte-Daten: Angaben zum Endgerät, z.B. Gerätetyp, Betriebssystem, Bildschirmauflösung und Touch-Unterstützung.
• Browserinformationen: Browsername, Browserversion und ggf. Spracheinstellung.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter grober Standort des Nutzers auf Stadt- oder Gemeindeebene.
• Nutzer-Inhalte: Vom Besucher in das Acuity-Buchungsformular eingestellte Inhalte, insb. Name, E-Mail-Adresse, Telefonnummer, Anlass und Freitextfelder, hochgeladene Dateien sowie Antworten auf vom Webseitenbetreiber definierte Zusatzfragen.
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant festgelegte Nutzerinteraktionen, insb. abgeschlossene Terminbuchung, ggf. Anzahlung oder Vorkasse-Zahlung sowie Aufruf einer Bestätigungsseite.
• Cookies: Acuity Scheduling setzt im Iframe-Kontext Cookies, etwa zur Sitzungssteuerung und zum Schutz vor Missbrauch.

F. Acuity Scheduling – Nutzungszwecke

Der Webseitenbetreiber nutzt die über Acuity Scheduling erhobenen Daten typischerweise zur Bereitstellung des Buchungsformulars, zur Anbahnung und Abwicklung des Termins (einschließlich Vor- und Nachkommunikation), zur Erinnerung des Buchenden, zur Sicherheit gegen Missbrauch (z.B. Spam-Buchungen) sowie ggf. zur Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten bei kostenpflichtigen Terminen.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung des Buchungsformulars und des Iframes auf der Webseite, Darstellung freier Zeitfenster, Anzeige von Bestätigungen sowie Fehlererkennung und Fehlerbehebung.
• Vertragsdurchführung: Anbahnung, Durchführung und Abwicklung des Termins zwischen Webseitenbetreiber und Buchendem, ggf. einschließlich Zahlungsabwicklung bei kostenpflichtigen Leistungen und Erstellung eines Nutzungskontos für wiederkehrende Buchungen.
• Sicherheit und Missbrauchsschutz: Erkennung von Spam- und Bot-Buchungen, Schutz vor Angriffen auf das Buchungsformular und Authentifizierung wiederkehrender Nutzer.
• Kommunikation: Versand von Buchungsbestätigungen, Terminerinnerungen, Stornierungs- und Verschiebungs­benachrichtigungen sowie Beantwortung von Anfragen rund um den Termin.
• Erfüllung von Aufbewahrungspflichten: Einhaltung gesetzlicher Aufbewahrungsfristen bei entgeltlichen Terminen (z.B. § 257 HGB, § 147 AO).
• Compliance und Rechtsdurchsetzung: Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen aus dem Terminverhältnis (z.B. Stornogebühren).

G. Rechtsgrundlagen für Acuity Scheduling

Acuity Scheduling fällt nach der Tool-Kategorisierung primär in die Kategorie Drittanbieter-Inhalte / Terminbuchung: Das Embed löst Drittserver-Requests aus und stellt zugleich eine Funktion zur Vertragsanbahnung bereit.

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG (Drittanbieter-Inhalte-Einwilligung) für das Laden und Ausführen des Acuity-Embeds inkl. ggf. nicht-essentieller Cookies. Da das Skript bereits beim Seitenaufruf Drittserver-Requests auslöst und Cookies setzen kann, ist regelmäßig eine ausdrückliche Einwilligung über das Consent-Banner erforderlich. Alternativ kann das Embed erst nach Klick auf einen Platzhalter („Termin buchen") geladen werden, wodurch sich die Einwilligungsfrage in den Klick verlagert.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-durchführung) für die Verarbeitung der Buchungsangaben (Name, E-Mail, Wunschtermin, Zusatzfelder), wenn der Termin selbst Gegenstand eines Vertrages oder einer vorvertraglichen Maßnahme zwischen Webseitenbetreiber und Buchendem ist.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für ergänzende Verarbeitungen, insbesondere mit den Interessen Effizienz (effiziente Terminorganisation), Sicherheit und Missbrauchsschutz (Spam-/Botabwehr) sowie Rechtsausübung (Nachweis von Buchungen).
• Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit handels- und steuerrechtlichen Aufbewahrungspflichten, soweit der Termin zu einem entgeltlichen Vorgang führt.

Die einschlägige Rechtsgrundlage hängt von der konkreten Einbindung (Direkt-Embed vs. Click-to-load), der Art des Termins (kostenfrei vs. kostenpflichtig) und der Konfiguration im Acuity-Backend ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Acuity Scheduling – Besonderheiten und Hinweise

• AVV/DPA: Squarespace stellt unter https://www.squarespace.com/dpa ein Data Processing Addendum bereit. Vertragspartner für europäische Kunden ist nach den dortigen Angaben die Squarespace Ireland Limited; das DPA bindet auch die Squarespace, Inc. als Subprozessor ein und verweist auf SCC (Modul 2/3).
• Drittlandtransfer / DPF: Datenübermittlungen in die USA an Squarespace, Inc. erfolgen nach Anbieterangaben auf Basis des EU-US Data Privacy Framework und ergänzend SCC. Webseitenbetreiber sollten den DPF-Status unter https://www.dataprivacyframework.gov/s/participant-search aktuell verifizieren und ggf. eine Transfer Impact Assessment (TIA) dokumentieren.
• Subprozessoren: Squarespace nennt als Empfänger u.a. Hosting-, IT-Sicherheits- und Kommunikationsdienstleister. Bei optionalen Funktionen wie Zahlungsabwicklung (Stripe, Square, PayPal), Kalender-Sync (Google, Microsoft, Apple) und SMS-Versand kommen weitere eigenständig Verantwortliche oder Auftragsverarbeiter hinzu, die der Webseitenbetreiber selbst aktivieren muss.
• Embed-Variante / Consent-Steuerung: Webseitenbetreiber sollten prüfen, ob sie das Acuity-Embed direkt einbinden oder per „Click-to-load"-Platzhalter erst nach Nutzeraktion laden. Letzteres reduziert die Last vor Einwilligung.
• Cookies und Opt-out: Acuity setzt im Iframe-Kontext Cookies. Die Steuerung erfolgt regelmäßig über das Consent-Banner des Webseitenbetreibers; ein dedizierter Opt-out-Link auf Acuity-Seite ist nicht standardisiert dokumentiert.
• Konfigurationen im Acuity-Backend: Datenminimierung lässt sich u.a. dadurch erreichen, dass im Buchungsformular nur erforderliche Pflichtfelder konfiguriert werden, optionale SMS-Erinnerungen nur mit zusätzlicher Einwilligung aktiviert werden und Speicherzeiten für Kunden- und Terminhistorien angemessen begrenzt werden.

I. Acuity Scheduling – FAQ

J. Acuity Scheduling – Fazit

Acuity Scheduling ist ein verbreitetes Terminbuchungstool, das beim Embed Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen, grobe Standortdaten und vom Besucher eingegebene Nutzer-Inhalte verarbeitet, ergänzt um Conversion-Ereignisse rund um die Buchung. Vertragspartner für europäische Webseitenbetreiber ist nach Anbieterangaben die Squarespace Ireland Limited, mit Datentransfer an die Squarespace, Inc. in den USA auf Basis von DPF und SCC. Als Rechtsgrundlagen kommen regelmäßig eine Drittanbieter-Inhalte-Einwilligung beim Embed sowie Vertragsanbahnung und berechtigte Interessen in Betracht.

Für die Datenschutzerklärung gilt: Es ist meist wenig sinnvoll, für Acuity Scheduling einen eigenen Textbaustein einzufügen. Solche Textbausteine wiederholen sich inhaltlich, blähen die Datenschutzerklärung auf, sind schwer pflegbar und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der die Verarbeitungen nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Terminbuchung, Verkauf, Tracking …) übergreifend erklärt und konkrete Dienstleister wie Acuity Scheduling nur im Anhang Empfänger ausweist. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com