LIVE Webinar für Unternehmen, Einzelunternehmer und Agenturen.
Jetzt kostenlos teilnehmen.
Alle Beiträge
Software

Calendly Datenschutz: Einfach erklärt

Doğa Kaplan
22.4.2025
7
 Min. Lesezeit
Inhalt

Wenn du Termine online vereinbaren möchtest, ist Calendly ein beliebtes Tool. Doch wie steht es um den Datenschutz? Dieser Artikel erklärt dir auf einfache Weise, wie Calendly mit deinen Daten umgeht und welche Alternativen es gibt. Eine besonders DSGVO-konforme Alternative ist Zeeg, die speziell für den europäischen Raum entwickelt wurde.

Jetzt mit Zeeg loslegen

Probiere jeden der kostenpflichtigen Tarife kostenlos in einer 14-tägigen Testphase aus. Du kannst auch den kostenlosen Tarif für immer behalten.

Jetzt Demo buchen

Internationale Datenübertragungen bei Calendly Datenschutz - Update 2025

Das Thema internationale Datenübertragungen ist für Nutzer von Calendly, besonders aus der EU, sehr wichtig. Im April 2025 hat Calendly seine Datenschutzrichtlinien aktualisiert, vor allem im Hinblick auf Datenspeicherung und internationale Datenübertragungen¹.

Wo werden deine Daten gespeichert?

Im Gegensatz zu früheren Angaben, bei denen Calendly hauptsächlich auf Amazon Web Services setzte, werden die Daten von Calendly-Nutzern und Eingeladenen jetzt in US-amerikanischen Rechenzentren gespeichert, die von Google und Amazon Web Services (AWS) betrieben werden. Calendly hat außerdem Datenverarbeitungsverträge (DPAs) mit allen Unterauftragsverarbeitern abgeschlossen.

Infrastruktur und Compliance

Die Calendly-Anwendung wird mittlerweile auf Kubernetes und Google Cloud Services (GCS) gehostet. Die Rechenzentren von Google sind nach verschiedenen Standards zertifiziert:

  • ISO 27001
  • SOC 1 und SOC 2/SSAE 16/ISAE 3402
  • PCI Level 1
  • FISMA Moderate
  • Sarbanes-Oxley (SOX)

Rechtliche Grundlagen für Datenübertragungen aus der EU

Für die rechtmäßige Übertragung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) oder dem Vereinigten Königreich in die USA hat Calendly die neuesten Standardvertragsklauseln (SCCs) und das UK-Addendum in sein Datenverarbeitungsabkommen integriert.

Die Standardvertragsklauseln sind Musterverträge, die Verpflichtungen für den Umgang mit personenbezogenen Daten festlegen. Sie erlauben die legale Übertragung von Daten aus dem EWR in Länder wie die USA, die von der EU nicht als ausreichend sicher eingestuft wurden.

Das UK-Addendum ist eine Ergänzung zu den Standardvertragsklauseln, die nach dem Brexit von der britischen Datenschutzbehörde eingeführt wurde, um Datenübertragungen aus dem Vereinigten Königreich zu regeln.

Transfer Impact Assessment (TIA)

Wenn du als Nutzer aus der EU ein Transfer Impact Assessment (eine Folgenabschätzung für Datenübertragungen) durchführen musst, bietet Calendly ein TIA-FAQ-Dokument an. Du kannst dieses anfordern, um spezifische Informationen über die Datenverarbeitung bei Calendly und die Anwendbarkeit US-amerikanischer Überwachungsgesetze zu erhalten.

Diese Informationen sind besonders relevant für dich, wenn du personenbezogene Daten von Personen aus dem EWR oder dem Vereinigten Königreich sammelst und Calendly für die Terminplanung nutzt.

👉🏻 Mehr lesen:

Datenverschlüsselung bei Calendly

Um deine Daten zu schützen, setzt Calendly verschiedene Verschlüsselungsmethoden ein²:

  • Alle Verbindungen zwischen deinem Browser und Calendly werden mit TLS SHA-256 und RSA-Verschlüsselung gesichert
  • Deine gespeicherten Daten werden im Ruhezustand verschlüsselt
  • Passwörter werden nicht im Klartext gespeichert, sondern als verschlüsselte Hashes
  • Für die iCloud Calendar-Integration werden Passwörter mit zusätzlicher Salted-Verschlüsselung gesichert

Calendly - Sicherheit und Compliance der Plattform

Kalender-Integrationen

Calendly integriert sich mit verschiedenen Kalender-Diensten:

  • Google Calendar und Office365: Calendly nutzt OAuth-Authentifizierung, sammelt also keine Passwörter dieser Dienste
  • Outlook Plug-in: Kommuniziert über verschlüsselte Websockets mit Calendly
  • iCloud Kalender: Diese Integration wird seit August 2024 nicht mehr für neue Verbindungen unterstützt

Besonders wichtig: Calendly ist darauf ausgelegt, nur die minimal notwendigen Daten aus deinen verbundenen Kalendern zu nutzen, um seinen Service anzubieten.

Sicherheitsmaßnahmen

Calendly hat verschiedene Sicherheitsmaßnahmen implementiert:

  • Verschlüsselte Datenübertragung mit TLS SHA-256
  • Verschlüsselung aller gespeicherten Daten
  • Speicherung von Passwörtern als verschlüsselte Hashes
  • Isolation der Dienste in Containern für zusätzliche Sicherheit
  • Kontinuierliche Überwachung auf Sicherheitslücken
  • Regelmäßige Updates mit den neuesten Sicherheitspatches

Vorfallreaktionsplan

Calendly verfügt über einen Vorfallreaktionsplan für Datenschutzverletzungen:

  1. Identifikation: Überwachungssysteme und manuelle Meldungen können Vorfälle erkennen
  2. Eindämmung: Betroffene Systeme werden schnell isoliert
  3. Wiederherstellung: Daten werden aus sauberen Backups wiederhergestellt
  4. Nachbereitung: Jeder Vorfall wird analysiert, um zukünftige Probleme zu vermeiden

Mitarbeitersicherheit

Alle Calendly-Mitarbeiter durchlaufen Hintergrundüberprüfungen vor der Einstellung und erhalten regelmäßige Schulungen zu Datenschutz, DSGVO und anderen Compliance-Themen.

Diese Informationen zeigen, dass Calendly erhebliche Anstrengungen unternimmt, um die Sicherheit und den Schutz deiner Daten zu gewährleisten. Diese Maßnahmen sind wichtige Bausteine für die DSGVO-Konformität, ersetzen aber nicht die Notwendigkeit, einen AVV abzuschließen und Einwilligungen einzuholen³.

Welche Daten sammelt Calendly?

Calendly sammelt verschiedene persönliche Daten von dir:

Wenn du ein Konto erstellst, speichert Calendly deinen Namen, deine E-Mail-Adresse, deinen Benutzernamen und dein Passwort. Bei kostenpflichtigen Versionen kommen deine Rechnungsadresse und Kreditkarteninformationen hinzu – wobei nur die letzten vier Ziffern deiner Kreditkartennummer gespeichert werden.

Wenn du die Website von Calendly besuchst oder Formulare ausfüllst, werden weitere Daten gesammelt, wie dein Name, deine E-Mail-Adresse, Telefonnummer und Informationen zu deinem Unternehmen.

Calendly nutzt auch Cookies und ähnliche Technologien, um Informationen über dein Gerät, deinen Browser und deine Nutzung der Website zu sammeln. Dazu gehören deine IP-Adresse, dein Gerätemodell, dein Betriebssystem und dein ungefährer Standort.

Außerdem analysiert Calendly, wie du den Service nutzt, zum Beispiel welche Meeting-Typen du am häufigsten verwendest oder wie viele Meetings du planst.

Deine Rechte und Einstellungsmöglichkeiten

Als Calendly-Nutzer hast du verschiedene Möglichkeiten, den Umgang mit deinen Daten zu kontrollieren:

Du kannst deine persönlichen Daten in deinem Konto jederzeit überprüfen und aktualisieren, indem du dich einloggst und zu den Kontoeinstellungen gehst.

Wenn du keine Werbe-E-Mails von Calendly erhalten möchtest, kannst du diese abbestellen. Klicke dazu auf den Abmelde-Link in den E-Mails. Beachte aber, dass du weiterhin Service-E-Mails erhältst, etwa Benachrichtigungen zu deinen Terminen.

Du kannst auch einstellen, welche Cookies Calendly verwenden darf. Dies kannst du entweder über deine Browser-Einstellungen tun oder über das Cookie-Management-Modul von Calendly, das du über die Fußzeile der Website unter "Cookie-Einstellungen" findest.

Je nach deinem Wohnort hast du möglicherweise weitere Rechte, zum Beispiel das Recht auf Auskunft, Korrektur, Löschung deiner Daten oder das Recht auf Datenübertragbarkeit. Um diese Rechte auszuüben, kannst du Calendly per E-Mail an privacy@calendly.com kontaktieren.

Was bedeutet das Data Processing Addendum (DPA) von Calendly?

Das Data Processing Addendum (DPA) ist ein wichtiger Bestandteil der Nutzungsbedingungen von Calendly und regelt den Umgang mit personenbezogenen Daten. Hier sind die wichtigsten Punkte für dich zusammengefasst⁴:

Rollen und Verantwortlichkeiten

  • Du als Kunde bist der Verantwortliche (Controller) für die personenbezogenen Daten
  • Calendly ist der Auftragsverarbeiter (Processor), der Daten nur gemäß deiner Anweisungen verarbeitet

Wichtige Inhalte des DPA

  1. Datenübertragung in die USA: Calendly bestätigt, dass alle Datenübertragungen aus der EU, der Schweiz oder dem Vereinigten Königreich in die USA durch das Data Privacy Framework oder alternativ durch Standardvertragsklauseln abgesichert sind.
  2. Keine unerlaubte Datennutzung: Calendly verpflichtet sich, personenbezogene Daten nicht zu verkaufen, weiterzugeben oder für andere Zwecke zu nutzen als in den Nutzungsbedingungen vereinbart.
  3. Unterauftragsverarbeiter: Calendly darf Unterauftragsverarbeiter (Sub-Processors) einsetzen, informiert dich aber über Änderungen und gibt dir die Möglichkeit, Einspruch zu erheben.
  4. Datensicherheit: Calendly setzt technische und organisatorische Maßnahmen ein, um die Sicherheit, Vertraulichkeit und Integrität der Daten zu gewährleisten.
  5. Meldung von Datenschutzverletzungen: Bei Sicherheitsverletzungen informiert Calendly dich umgehend und unterstützt bei der Untersuchung.
  6. Unterstützung bei Betroffenenanfragen: Calendly hilft dir dabei, Anfragen von betroffenen Personen zu beantworten, die ihre Rechte nach der DSGVO ausüben möchten.

Das DPA von Calendly ist ein wichtiger Schritt zur DSGVO-Konformität und sollte vor der Nutzung des Dienstes abgeschlossen werden. Du kannst das vollständige DPA auf der Website von Calendly einsehen oder anfordern.

So nutzt du Calendly DSGVO-konform

Wenn du Calendly trotz Datenschutzbedenken einsetzen möchtest, solltest du folgende Maßnahmen ergreifen:

  1. Einwilligung einholen: Verwende ein professionelles Cookie-Consent-Tool, das eine echte, informierte Zustimmung deiner Besucher ermöglicht, bevor Daten an Calendly übermittelt werden.
  2. AVV abschließen: Schließe einen Auftragsverarbeitungsvertrag mit Calendly ab. Das Unternehmen bietet hierzu ein "Data Processing Addendum" an, das die gesetzlichen Anforderungen erfüllt.
  3. Datenschutzerklärung anpassen: Informiere transparent über die Nutzung von Calendly, welche Daten übermittelt werden, auf welcher Rechtsgrundlage dies geschieht, und dass eine Übertragung in die USA stattfindet.
  4. Richtige Einbindungsmethode wählen: Beachte, dass die Art der Einbindung entscheidend ist.

Calendly DSGVO-konform einbinden - die Optionen

Es gibt drei Hauptmethoden, Calendly auf deiner Website zu integrieren:

  1. iFrame-Einbindung: Direkte Einbettung in deine Website – benutzerfreundlich, aber datenschutzrechtlich bedenklich, da sofort Daten übertragen werden.
  2. Popup-Lösung: Ein Klick öffnet Calendly in einem Popup – ähnliche Datenschutzprobleme wie bei iFrames.
  3. Direkte Verlinkung: Die empfohlene Methode aus Datenschutzsicht. Der Nutzer klickt bewusst auf einen Link zu Calendly und verlässt deine Website.

Bei der direkten Verlinkung solltest du einen Hinweis platzieren, dass der Nutzer zu einem US-amerikanischen Anbieter weitergeleitet wird und auf deine Datenschutzerklärung verweisen.

Alternative zu Calendly: Zeeg

Wenn dir die Datenschutzaspekte bei Calendly Sorgen bereiten, könnte Zeeg eine passende Alternative für dich sein. Zeeg ist ein Terminplanungstool, das speziell für den europäischen Markt und mit Fokus auf DSGVO-Konformität entwickelt wurde.

  • Serverstandort in Europa: Im Gegensatz zu Calendly werden bei Zeeg alle Daten auf Servern innerhalb der EU gespeichert. Das bedeutet, dass keine Datenübertragung in die USA stattfindet.
  • DSGVO-Konformität: Zeeg wurde von Grund auf so konzipiert, dass es den strengen europäischen Datenschutzrichtlinien entspricht.
  • Ähnlicher Funktionsumfang: Zeeg bietet vergleichbare Funktionen wie Calendly. Du kannst Buchungsseiten erstellen, verschiedene Termintypen definieren und Zeeg mit deinem Kalender synchronisieren.
  • Kein AVV notwendig: Da alle Daten in der EU bleiben und die DSGVO vollständig eingehalten wird, entfällt die komplizierte rechtliche Absicherung, die bei US-Diensten nötig ist.
  • Deutschsprachiger Support: Zeeg bietet Kundenservice auf Deutsch an, was bei Fragen oder Problemen hilfreich sein kann.

Wenn du hauptsächlich im europäischen Raum tätig bist und Wert auf Datenschutz legst, ist Zeeg eine ernsthafte Überlegung wert, da es dir viele rechtliche Komplikationen erspart und gleichzeitig alle wichtigen Funktionen für die Terminplanung bietet.

Unzufrieden mit Calendly?

Probiere jeden der kostenpflichtigen Tarife kostenlos in einer 14-tägigen Testphase aus. Du kannst auch den kostenlosen Tarif für immer behalten.

Jetzt kostenlos registrieren

Fazit

Calendly ist ein praktisches Tool zur Terminplanung, das dir viel Zeit sparen kann. Allerdings bringt die Nutzung datenschutzrechtliche Herausforderungen mit sich, da die Daten in den USA gespeichert werden.

Wenn du Calendly nutzen möchtest, solltest du unbedingt die notwendigen Schritte für DSGVO-Konformität umsetzen: Einwilligungen einholen, einen AVV abschließen und deine Datenschutzerklärung anpassen. Die sicherste Einbindungsmethode ist die direkte Verlinkung.

Für alle, die vollständige DSGVO-Konformität ohne zusätzlichen Aufwand suchen, ist Zeeg eine gute Alternative. Mit Servern in der EU und einem Fokus auf europäischen Datenschutz bietet Zeeg ähnliche Funktionen wie Calendly, aber mit weniger rechtlichen Bedenken.

Letztendlich musst du selbst abwägen, was für deine Situation am besten passt – Funktionalität, Benutzerfreundlichkeit oder maximaler Datenschutz.

Quelle

  1. https://help.calendly.com/hc/en-us/articles/360007295834-Data-Storage-and-International-Data-Transfers#3
  2. https://help.calendly.com/hc/de/articles/360007295834-Datenspeicherung-und-Datenschutz#2 
  3. https://help.calendly.com/hc/en-us/articles/360009867334-Calendly-Platform-Security-and-Compliance 
  4. https://calendly.com/legal/data-processing-addendum 

Häufig gestellte Fragen (FAQ)

Ist Calendly DSGVO-konform?

Calendly selbst ist nicht automatisch DSGVO-konform, da die Daten in den USA gespeichert werden. Du kannst aber Maßnahmen ergreifen, um die Nutzung DSGVO-konformer zu gestalten, wie das Abschließen eines AVV und das Einholen von Einwilligungen.

Wo werden meine Daten bei Calendly gespeichert?

Alle Daten werden in Rechenzentren in den USA gespeichert, die von Amazon Web Services und teilweise Google (für Backups) betrieben werden.

Brauche ich einen Auftragsverarbeitungsvertrag mit Calendly?

Ja, wenn du Calendly geschäftlich nutzt und personenbezogene Daten deiner Kunden oder Mitarbeiter verarbeitest, benötigst du einen AVV. Calendly bietet dafür ein "Data Processing Addendum" an.

Welche Alternativen zu Calendly gibt es?

Zeeg ist eine DSGVO-konforme Alternative mit Serverstandort in der EU. Es gibt auch andere Alternativen wie Terminello, Cal.com oder SimplyBook.me, die teilweise Serverstandorte in Europa anbieten.

Kann ich Calendly kostenlos nutzen?

Ja, Calendly bietet eine kostenlose Basisversion an. Die Datenschutzanforderungen gelten aber unabhängig davon, ob du die kostenlose oder eine kostenpflichtige Version nutzt.