Calenso Release Mai 2026: Workflows, Rollen, Security

Das steckt im Calenso Release Mai 2026

Dieses Release bündelt elf neue Funktionen sowie eine grosse Anzahl Verbesserungen, die wir in den letzten Wochen iterativ ausgeliefert haben. Im Zentrum stehen drei Themen: Workflow-Automatisierung mit Regeln, Self-Service für Administrator:innen und ein strukturierter Sicherheitsschwerpunkt. Daher richtet sich das Update sowohl an Partner, die ihre Kunden-Reisen verfeinern wollen, als auch an Organisationen mit erhöhten Compliance-Anforderungen.

Sicherheit & Responsible Disclosure

Sicherheit ist für uns kein Nebenprojekt, sondern ein eigener, kontinuierlicher Arbeitsstrang. Mit diesem Release haben wir in mehreren parallelen Initiativen unsere Plattform gehärtet, von tieferen Code-Audits über Dependency-Updates bis hin zur formalen Annahme externer Sicherheitsmeldungen.

Ein grosses Dankeschön an Grayscale

Im Rahmen eines Responsible-Disclosure-Prozesses hat das Security-Team von Grayscale mehrere Schwachstellen in unserer Plattform identifiziert und uns auf professionellem Weg gemeldet. Alle Befunde wurden innerhalb des vereinbarten Zeitfensters geschlossen, getestet und als Patch ausgeliefert. Vielen Dank für die exzellente Zusammenarbeit, die klar dokumentierten Meldungen und die enge Abstimmung bis zum vollständigen Fix.

Was wir in dieser Auslieferung adressiert haben

Aus Rücksicht auf laufende Sicherheitsprozesse beschreiben wir die einzelnen Befunde hier bewusst nur auf Kategorieebene, also ohne technische Details, die einen Angriffspfad rekonstruierbar machen könnten. Daher folgt eine zusammengefasste Liste, die das Ausmass der Massnahmen transparent macht. Für Partner mit formellem Compliance-Bedarf stellen wir auf Anfrage und unter NDA eine ausführlichere Übersicht bereit.

• Verschärfte Eingabe-Prüfungen an mehreren Stellen unserer Schnittstellen, sodass nur erlaubte Werte akzeptiert werden.
• Strikte Trennung von Debug- und Production-Umgebungen: Debug-Werkzeuge sind aus öffentlich erreichbaren Pfaden konsequent entfernt und durch idiomatisches Logging ersetzt.
• Bereinigung historischer Artefakte in den Frontend-Bundles, inklusive Rotation der betroffenen Credentials.

Zusätzlich haben wir die Pfade rund um Routing, Validierung und Zahlung gezielt gehärtet:

• Härtung von Routing- und Redirect-Verhalten, damit öffentliche Endpunkte keine Hinweise auf interne Pfadstrukturen oder Deployment-Layout mehr preisgeben.
• Konsistente Validierungs-Logik zwischen Frontend und Backend im Buchungspfad, damit das serverseitige Schutzniveau dem clientseitigen exakt entspricht.
• Lückenlose Protokollierung aller Zahlungs- und Rückerstattungs-Vorgänge (Stripe, PayPal), zudem zusätzliche Abgleichs-Prüfungen und proaktive Hinweise bei auffälligen Zuständen.

Plattformweite Härtung

• Aktueller Sicherheits-Patchstand auf allen Services: sämtliche Node.js-basierten Dienste laufen auf der aktuellen, vollständig gepatchten Laufzeitversion.
• Sensible Berechtigungen wie Whitelabel sind klar entkoppelt vom Abo: sie werden jetzt einzeln und nachvollziehbar freigeschaltet. Dadurch lassen sich Berechtigungen sauber prüfen, und Stufenwechsel führen nicht mehr versehentlich zu zu vielen Rechten.
• Laufende Audits und Reviews: unabhängig von externen Disclosure-Meldungen investieren wir kontinuierlich in interne Code- und Architektur-Audits, automatisierte Sicherheits-Checks im CI sowie regelmässige Dependency- und Threat-Reviews.

Wir wissen, wie viel Vertrauen Sie uns als Plattform schenken, und nehmen das ernst. Verbesserungsvorschläge, Sicherheitsmeldungen oder Hinweise sind daher jederzeit willkommen, entweder über den dokumentierten Disclosure-Kanal oder direkt an Ihren Calenso-Kontakt.

Verbesserungen & Optimierungen

Workflows

• Workflow-Vorrang bei Gast-Benachrichtigungen: ist ein Workflow für Gast-Mails aktiv, werden die klassischen Calenso-Mails dazu automatisch unterdrückt, sodass keine Doppelmails mehr entstehen.
• MwSt.-Berechnung stabilisiert: die Steuerlogik im Workflow-Service liefert nun zuverlässig die zugesagten Werte.
• Sonderzeichen in Termin-Titeln werden korrekt angezeigt: Zeichen wie & erscheinen in Bestätigungs-Mails und Übersichten jetzt sauber statt als kryptische Zeichenfolge.

Dashboard

• Stornierungsgrund mit mehr Zeichen: das Eingabefeld für den Stornierungsgrund akzeptiert nun deutlich mehr Zeichen, sodass ausführliche Begründungen problemlos passen.
• Pflicht-Buchungsfragen werden vor dem Speichern erzwungen: leere Pflichtfelder blockieren das Speichern sauber, statt unvollständige Records zu produzieren.
• Interne Kommentare im internen Buchungs-Widget sichtbar: Buchungsfragen mit “nur intern sichtbar”-Kommentar zeigen sich nun verlässlich im internen Widget.
• Coupons und Voucher im Kundenprofil: im Kunden-Detail sehen Sie neu, welche Gutscheine oder Voucher der Kundin zugeordnet sind.

Daneben fokussieren mehrere Optimierungen auf ein aufgeräumteres und schnelleres Dashboard:

• Bereinigte Statistiken: vergangene und archivierte Events fliessen nicht mehr versehentlich in die Auslastungs-Statistik ein.
• Notifications-Bereich vollständig entfernt: das selten genutzte alte Notification-Center ist aus dem Dashboard verschwunden, da Workflows hier inzwischen die richtige Wahl sind.
• Dashboard läuft schlanker: nicht mehr genutzte Design-Komponenten wurden entfernt, dadurch lädt das Dashboard etwas schneller.
• Lokale Zeitzone für die Anzeige: Datums-Anzeigen verwenden konsequent die Partner-Zeitzone, nicht mehr roh UTC.

Buchungs-Widget

• Whitelabel jetzt unabhängig vom Abo aktivierbar: das macht die Aktivierung sauberer, einfacher prüfbar und stabiler bei Marken-Migrationen.
• Widget bleibt nicht mehr hängen, wenn der Service-Step übersprungen ist: der nächste Schritt löst jetzt sauber auf.
• Zahlungs-Intent nach /book-Fehler frisch erzeugt: bei Retry wird konsequent ein neuer Payment-Intent erstellt, damit kein veralteten Token mehr wiederverwendet wird.
• Standortsuche nach Postleitzahl: im Smart Widget werden Filialen jetzt nach Distanz zur PLZ sortiert.

Integrationen & Kalender

• Microsoft Graph: gebündelte Anfragen jetzt vollständig protokolliert: auch zusammengefasste Office 365-Aufrufe erscheinen im Aktivitätsprotokoll – wichtig für lückenlose Audit-Nachweise.
• Office 365-Kalender-Import zuverlässiger: der Import bricht bei bestimmten Filter-Konstellationen nicht mehr unerwartet ab.
• Hubspot-Termin-Zuordnung korrigiert: Termine landen in Hubspot wieder bei der richtigen Owner-ID.
• Entra ID Bulk-Kalendersync wieder verfügbar.
• Microsoft Teams Link in der Gruppen-Terminübersicht: der Teams-Meeting-Link erscheint nun zuverlässig.

Zahlungen

• Bessere Nachvollziehbarkeit bei Zahlungsfehlern: schlägt eine Buchung nach erfolgter Zahlung fehl, kann der Support den Fehler jetzt schneller untersuchen und beheben.
• SMS-Provider-Credentials-Save robuster: das Speichern verlangt nicht mehr fälschlich das Custom-Sender-Feature.
• SMS-Standard-Provider: verifizierter Wert geschützt: ein Re-Save mit leerem Eingabefeld überschreibt den verifizierten Wert nicht mehr.

Performance

• Service-Liste lädt deutlich schneller: durch Query-Optimierungen reagiert die Servicekategorien-Liste auch bei vielen Einträgen in Bruchteilen einer Sekunde.
• Terminliste lädt bei vielen Buchungen spürbar schneller: auch bei tausenden Terminen reagiert die Übersicht jetzt verzögerungsfrei.

Häufige Fragen zum Calenso Release Mai 2026

• Was ist neu im Calenso Release Mai 2026? +
  Im Calenso Release Mai 2026 sind die beiden grössten Neuerungen die Workflow Conditions Engine (kostenpflichtiges Add-on auf dem Enterprise-Abo) und die Self-Service-Rollenverwaltung. Hinzu kommen das neue Raum-Buchungen mit Ressourcenplanung, eine konfigurierbare Kunden-Tabelle, ein globales Add-on-Upsell-Modul, neue Provider für den US-Markt (SendGrid, Twilio) sowie ein eigener Sicherheits-Durchgang, den wir gemeinsam mit dem Security-Team von Grayscale durchgeführt haben.
• Muss ich für das Update etwas tun? +
  Nein. Das Update wird automatisch für alle Calenso-Instanzen ausgerollt. Sie müssen nichts installieren oder neu konfigurieren. Falls Sie ein kostenpflichtiges Add-on wie die Workflow Conditions Engine oder die einzeln aktivierbaren Gruppentermin-Zeitfenster aktivieren möchten, sprechen Sie uns direkt an. Auch der Wechsel auf SendGrid oder Twilio ist ein optionaler Schritt und nicht erforderlich, wenn Sie aus dem EU-Raum buchen.
• Was bringt die Workflow Conditions Engine konkret? +
  Die Workflow Conditions Engine erlaubt es Ihnen, Workflow-Trigger über IF/THEN-Regeln zu filtern. Sie definieren pro Workflow, unter welchen Bedingungen er überhaupt feuern darf, zum Beispiel nur für Kundinnen aus einem bestimmten Segment, für Services einer bestimmten Kategorie oder wenn ein benutzerdefiniertes Feld einen bestimmten Wert enthält. Dadurch ersetzen Sie viele duplizierte Workflows durch wenige, klar parametrisierte. Das Add-on ist auf dem Enterprise-Abo verfügbar.
• Wie aktiviere ich die Self-Service-Rollenverwaltung? +
  Die Self-Service-Rollenverwaltung ist im Dashboard unter Einstellungen > Rollen & Berechtigungen verfügbar. Voraussetzung ist eine Administrator-Rolle. Sie können entweder eine bestehende Rolle kopieren und anpassen oder eine neue Rolle von Grund auf mit dem gewünschten Berechtigungs-Set anlegen. Anschliessend weisen Sie die Rolle Ihren Mitarbeitenden zu. Eine Support-Anfrage ist dafür nicht mehr nötig.
• Sind SendGrid und Twilio auch für EU-Partner relevant? +
  SendGrid und Twilio integrieren wir primär für unsere US-Kund:innen, weil beide Dienste in Nordamerika der etablierte Standard sind und dort die besten Zustellraten liefern. Für EU-Setups bleibt Brevo (E-Mail) der empfohlener E-Mail-Standard. Für SMS stehen weiterhin Brevo, SMSAPI, eCall-Messaging und Swisscom zur Verfügung. An bestehenden EU-Konfigurationen ändert sich folglich nichts. Wer trotzdem SendGrid oder Twilio nutzen möchte, hinterlegt API-Key und Absenderdomain auf Partner-Ebene.
• Welche Sicherheitsmassnahmen hat Calenso mit Grayscale umgesetzt? +
  Aus Rücksicht auf laufende Sicherheitsprozesse beschreiben wir die einzelnen Befunde nur auf Kategorieebene. Dazu gehören strengere Eingabe-Prüfungen an mehreren Stellen unserer Schnittstellen, eine strikte Trennung zwischen Debug- und Production-Umgebungen, das Bereinigen historischer Artefakte in Frontend-Bundles, die Härtung von Routing- und Redirect-Verhalten sowie eine vollständige Prüf-Abdeckung über alle Zahlungs-Pfade. Für Partner mit Compliance-Bedarf stellen wir auf Anfrage und unter NDA eine ausführlichere Übersicht bereit. Eine Sicherheitsmeldung können Sie jederzeit über unsere Vulnerability Disclosure Policy einreichen.

Fazit & Ausblick

Ob Workflow Conditions Engine, Self-Service-Rollenverwaltung oder der gemeinsam mit Grayscale durchgeführte Sicherheits-Durchgang — das Mai-Release sorgt für ein automatisierbareres, besser administrierbares und nachweislich gehärteteres Arbeiten mit Calenso. Daher lohnt sich der Blick auf das Update für alle Partner, die ihre Kunden-Reisen präziser steuern oder Compliance-Anforderungen vereinfachen wollen. Vielen Dank für Ihre laufenden Hinweise und Ideen!