Data protection

Datenschutzerklärung

Stand: Februar 2024

1. Verantwortlicher im Sinne der DSGVO

Verantwortliche Stelle für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) ist:

Lucia Cantir – Skinlaser Lucy Volkartstraße 79b 80636 München Deutschland

Telefon: +49 151 75483124 E-Mail: skinlaserlucy@gmail.com Website: https://skinlaserlucy.de

Da der Betrieb gesetzlich nicht zur Bestellung einer Datenschutzbeauftragten verpflichtet ist, können Sie sich bei datenschutzrechtlichen Fragen direkt an die oben genannte verantwortliche Stelle wenden. Die Informationspflichten gegenüber betroffenen Personen ergeben sich aus Art. 13 DSGVO.

2. Geltungsbereich und allgemeine Hinweise

Diese Datenschutzerklärung gilt für die Website von Skinlaser Lucy, für Terminbuchungen, für die Durchführung der Behandlungen vor Ort (Diodenlaser-Haarentfernung, Wimpernlifting, Brauenlifting, Massagen), für Zahlungen, für die Kommunikation per Telefon, WhatsApp und Instagram-Direktnachricht sowie für die Werbe- und Analysefunktionen auf der Website.

2.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Kundinnen, Kunden und Websitebesucher grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, zur Durchführung unserer Behandlungen sowie zur Erfüllung gesetzlicher Pflichten erforderlich ist oder soweit eine Einwilligung vorliegt.

2.2 Rechtsgrundlagen

Soweit wir für Verarbeitungsvorgänge eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen ist Art. 6 Abs. 1 lit. b DSGVO maßgeblich. Soweit eine Verarbeitung zur Erfüllung rechtlicher Verpflichtungen (z. B. steuer- oder handelsrechtlicher Aufbewahrungspflichten) erforderlich ist, beruht sie auf Art. 6 Abs. 1 lit. c DSGVO. Verarbeiten wir Daten auf Grundlage berechtigter Interessen, ist Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage. Für die Verarbeitung besonderer Kategorien personenbezogener Daten – insbesondere Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO – stützen wir uns aus Gründen maximaler Rechtssicherheit zusätzlich auf eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.

2.3 Speicherdauer (Grundsatz)

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Eine darüber hinausgehende Speicherung erfolgt nur, wenn dies durch europäische oder nationale Gesetzgeber – insbesondere durch handels- oder steuerrechtliche Aufbewahrungsfristen – vorgesehen ist. Eine zusammenfassende Übersicht der Speicherdauern finden Sie in Ziffer 22.

3. Hosting der Website (Strato AG)

Unsere Website wird gehostet bei der Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland. Bei jedem Aufruf der Website werden technisch erforderliche Daten (insbesondere IP-Adresse, Anfragezeitpunkt, abgerufene Ressource, Browsertyp) durch den Hosting-Anbieter verarbeitet.

Zweck: Sichere, stabile und performante Bereitstellung der Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch fehlerfreien Darstellung) sowie Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichen oder vertraglichen Anfragen.

Mit der Strato AG besteht eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO, die für Hosting-Verträge ab dem 18. Juli 2022 nach Anbieterangaben automatisch einbezogen ist. Die Datenverarbeitung findet auf Servern in Deutschland statt.

4. Server-Logfiles

Beim Aufruf der Website werden durch den Hosting-Anbieter automatisiert folgende Daten in sogenannten Server-Logfiles erfasst:

  • IP-Adresse (gekürzt bzw. anonymisiert, soweit möglich)
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei
  • übertragene Datenmenge
  • Meldung über erfolgreichen Abruf
  • verwendeter Browser und Betriebssystem
  • Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Sicherstellung der Stabilität, Funktionalität und Sicherheit der Website sowie Abwehr von Cyberangriffen.

Die Logfiles werden nach Angaben des Anbieters für maximal 7 Tage gespeichert, sofern keine sicherheitsrelevanten Vorfälle eine längere Speicherung erforderlich machen.

5. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an der Zeichenfolge „https://“ und am Schlosssymbol in der Adresszeile Ihres Browsers.

6. Kontaktaufnahme (E-Mail, Telefon, Kontaktformular)

Wenn Sie uns per E-Mail, Telefon, Kontaktformular oder Messenger kontaktieren, werden die von Ihnen mitgeteilten Daten (Name, Kontaktdaten, Anliegen) zur Bearbeitung Ihrer Anfrage und für den Fall von Anschlussfragen gespeichert.

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage der Anbahnung oder Erfüllung eines Behandlungsvertrags dient.
  • Art. 6 Abs. 1 lit. f DSGVO bei sonstigen Anfragen aus berechtigtem Interesse an einer effizienten Kommunikation.

Anfragedaten werden gelöscht, sobald sie zur Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind, spätestens jedoch nach 24 Monaten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Terminbuchung über Planity

Zur Online-Terminbuchung setzen wir den Dienst Planity der Planity SAS, 50 Avenue des Champs-Élysées, 75008 Paris, Frankreich, ein. Bei der Buchung werden insbesondere folgende Daten verarbeitet:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Telefonnummer
  • gewünschte Behandlung, Termin und Mitarbeiter:in
  • ggf. ergänzende Hinweise zur Behandlung

Zweck: Anbahnung, Durchführung und Abwicklung des Behandlungsvertrags, automatisierte Terminerinnerung sowie Verwaltung Ihres Kundenkontos.

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).
  • Soweit im Rahmen der Kundenkartei oder Terminnotizen gesundheitsbezogene Hinweise verarbeitet werden, ausschließlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

Mit Planity besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt auf Servern innerhalb der Europäischen Union. Da Planity eine eigenständige Plattform für Beauty- und Wellnesstermine betreibt, gelten ergänzend die Datenschutzinformationen von Planity (https://www.planity.com/datenschutz).

8. Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO)

Im Rahmen unserer Tätigkeit – insbesondere bei der Diodenlaser-Haarentfernung, beim Wimpern- und Brauenlifting sowie bei Massagen – verarbeiten wir besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO. Dazu gehören insbesondere:

  • Hauttyp nach Fitzpatrick und Hautbeschaffenheit
  • Vorerkrankungen, Allergien, Medikamenteneinnahme
  • Schwangerschaft und Stillzeit
  • Kontraindikationen (z. B. Photosensibilität, Tätowierungen, Hauterkrankungen)
  • Behandlungsdokumentation (Geräteeinstellungen, Reaktionen, Verlauf, Nachsorge)

Rechtsgrundlagen:

  • Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO – ausdrückliche, schriftliche und freiwillige Einwilligung im Rahmen unseres Anamnese- und Aufklärungsbogens.
  • Ergänzend Art. 6 Abs. 1 lit. b DSGVO zur Durchführung des Behandlungsvertrags.
  • Für die Erfüllung der Dokumentationspflichten bei Laserbehandlungen ergänzend Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der Verordnung zum Schutz vor schädlichen Wirkungen nichtionisierender Strahlung bei der Anwendung am Menschen (NiSV).

Zwecke:

  • sichere und individuell angepasste Behandlung
  • Vermeidung gesundheitlicher Risiken (Kontraindikationsprüfung)
  • Erfüllung der Dokumentations- und Aufklärungspflichten gemäß NiSV
  • Nachverfolgung des Behandlungserfolgs und Verteidigung gegen etwaige Haftungs- oder Gewährleistungsansprüche

Vertraulichkeit: Die Anamnese- und Behandlungsbögen werden in einem zugriffsgeschützten Bereich verwahrt. Digitale Daten werden ausschließlich auf gesicherten, passwortgeschützten Systemen gespeichert. Der Zugriff ist auf die behandelnden Personen beschränkt.

Erhebungswege: Gesundheitsbezogene Angaben werden ausschließlich über den schriftlichen Anamnese- bzw. Aufklärungsbogen oder im persönlichen Gespräch im Studio erhoben – not routinemäßig über WhatsApp, Instagram-DM oder andere Messenger-Kanäle.

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Aus Sicherheitsgründen kann ein Widerruf zur Folge haben, dass weitere Behandlungen nicht mehr durchgeführt werden können.

9. Behandlungsdokumentation

Wir dokumentieren Behandlungen mit Notizen zum Behandlungsverlauf, zu eingesetzten Geräten bzw. Parametern, Hautreaktionen sowie zu empfohlenen Nachsorgeschritten. Die Dokumentation dient der sicheren Fortsetzung von Behandlungsserien, der Qualitätskontrolle sowie der Verteidigung gegen etwaige Haftungs- oder Gewährleistungsansprüche.

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO für den behandlungsbezogenen Kern.
  • Art. 6 Abs. 1 lit. f DSGVO für die weitergehende Aufbewahrung zu Dokumentations- und Rechtsverteidigungszwecken.
  • Bei Gesundheitsdaten zusätzlich Art. 9 Abs. 2 lit. a DSGVO (Erhebung) und Art. 9 Abs. 2 lit. f DSGVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) für die anschließende Aufbewahrung.

10. Foto- und Videoaufnahmen (Vorher-/Nachher-Bilder)

Foto- und Videoaufnahmen werden nur mit Ihrer ausdrücklichen, schriftlichen Einwilligung erstellt. Wir unterscheiden strikt zwischen folgenden Zwecken und holen für jeden Zweck eine gesonderte Einwilligung ein. Die Verweigerung einer Einwilligung führt not zur Verweigerung der Behandlung.

a) Interne Behandlungsdokumentation

  • Zweck: Verlaufskontrolle, Qualitätssicherung, Nachvollziehbarkeit der Behandlung.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und – soweit die Bilder Rückschlüsse auf den Gesundheitszustand oder behandelte Körperbereiche zulassen – zusätzlich Art. 9 Abs. 2 lit. a DSGVO.
  • Speicherort: geschützte interne Patientenakte; Aufbewahrung wie Behandlungsdokumentation (siehe Ziffer 22).

b) Veröffentlichung auf Website, Instagram, Facebook oder in Werbematerial

  • Zweck: Marketing, Außendarstellung, Information potenzieller Kund:innen.
  • Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO, ergänzend Art. 9 Abs. 2 lit. a DSGVO sowie § 22 KunstUrhG (Recht am eigenen Bild).
  • Vor jeder Veröffentlichung holen wir eine separate, schriftliche Einwilligung ein, in der Sie die Reichweite festlegen (z. B. nur Hautausschnitt, anonymisiert, ohne Gesicht oder mit Gesicht; Story/Reel/Feed/Anzeige).

Widerruf: Sie können jede Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Bei Widerruf entfernen wir das Bildmaterial unverzüglich aus von uns kontrollierten Kanälen. Bereits ausgelieferte Kampagnen, Reposts Dritter, Suchmaschinen-Caches oder fremde Weiterverarbeitungen liegen außerhalb unseres Einflussbereichs.

11. Zahlungsdienstleister

Zur Abwicklung von Zahlungen setzen wir die nachfolgenden Anbieter ein. Beim Zahlungsvorgang werden die für die jeweilige Zahlungsart erforderlichen Daten (z. B. Name, Rechnungsadresse, Betrag, Bank- bzw. Kartendaten, Transaktionsreferenzen) an den jeweiligen Anbieter übermittelt.

Rechtsgrundlage für die Übermittlung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), ergänzend Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Pflichten) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer reibungslosen und betrugssicheren Zahlungsabwicklung).

Die Zahlungsdienstleister handeln im Hinblick auf ihre eigene Zahlungsabwicklung, Betrugsprävention, Identitätsprüfung und regulatorische Pflichten regelmäßig als eigene Verantwortliche nach ihren jeweils eigenen Datenschutzbestimmungen.

11.1 Stripe Terminal

Anbieter für EU-Kund:innen: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Bei Kartenzahlungen am Terminal werden Karten- und Transaktionsdaten direkt an Stripe übermittelt; wir selbst speichern keine vollständigen Kartendaten. Eine Übermittlung an die Muttergesellschaft Stripe, Inc. in den USA ist möglich; sie ist über EU-Standardvertragsklauseln und das EU-US Data Privacy Framework abgesichert. Datenschutzhinweise: https://stripe.com/de/privacy.

11.2 PayPal

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg. Bei Zahlung über PayPal werden Ihre Identifikations- und Kontaktdaten an PayPal übermittelt. PayPal kann Bonitätsauskünfte einholen, soweit dies zur Abwicklung notwendig ist. Datenschutzhinweise: https://www.paypal.com/de/webapps/mpp/ua/privacy-full.

11.3 Klarna

Anbieter: Klarna Bank AB (publ), Sveavägen 46, 111 34 Stockholm, Schweden. Bei Auswahl einer Zahlungsmethode von Klarna werden personenbezogene Daten an Klarna übermittelt; Klarna kann Bonitätsprüfungen und Risk-/Fraud-Assessments durchführen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Zahlungsausfallschutz). Datenschutzhinweise: https://www.klarna.com/de/datenschutz.

12. Cookies und vergleichbare Technologien (TDDDG)

Unsere Website verwendet Cookies sowie vergleichbare Technologien (z. B. LocalStorage, Pixel, Tags). Maßgebliche deutsche Spezialnorm ist seit Mai 2024 das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz; Nachfolger des TTDSG).

12.1 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website unbedingt erforderlich (z. B. Session-Verwaltung, Speicherung der Cookie-Auswahl). Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO.

12.2 Nicht notwendige Cookies (Analyse, Marketing)

Cookies und Technologien zu Analyse-, Tracking- und Marketingzwecken (insbesondere Google Analytics, Meta-Pixel, Google Ads) werden ausschließlich nach Ihrer vorherigen, ausdrücklichen Einwilligung über unser Consent-Management-Tool gesetzt. Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookie-Einstellungen auf unserer Website (Link „Cookie-Einstellungen“ im Footer) anpassen.

13. Consent-Management

Zur Einholung und Verwaltung Ihrer Einwilligungen setzen wir ein Consent-Management-Tool ein. Dabei werden Einwilligungsstatus, Zeitpunkt, Browser- und Geräteinformationen sowie eine pseudonyme Nutzerkennung gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht zur Nachweisbarkeit der Einwilligung gemäß Art. 7 Abs. 1 DSGVO) sowie Art. 6 Abs. 1 lit. f DSGVO.

Sämtliche nicht erforderlichen Tags – insbesondere Meta-Pixel, Google Analytics und Google-Ads-Tags – werden vor Erteilung der Einwilligung technisch blockiert.

14. Google Analytics

Auf unserer Website nutzen wir – nur nach Ihrer Einwilligung – den Webanalysedienst Google Analytics 4 der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“). Google verarbeitet Nutzungsinformationen (z. B. besuchte Seiten, Verweildauer, Geräte- und Browsertyp, gekürzte IP-Adresse) zur Analyse des Nutzungsverhaltens.

Wir verwenden Google Analytics mit aktivierter IP-Anonymisierung. Nach aktuellen Hinweisen von Google werden bei EU-Traffic IP-Adressen vor der Protokollierung verworfen; eine spätere Weiterverarbeitung kann jedoch auch über Server in den USA erfolgen.

Rechtsgrundlagen:

  • § 25 Abs. 1 TDDDG (Speicherung/Auslesen von Informationen)
  • Art. 6 Abs. 1 lit. a DSGVO (Verarbeitung der Daten)

Drittlandtransfer: Eine Übermittlung in die USA an die Google LLC ist möglich. Die Übermittlung ist abgesichert durch EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie durch die Zertifizierung von Google LLC unter dem EU-US Data Privacy Framework.

Speicherdauer: Nutzerbezogene Daten werden in GA4 nach 14 Monaten automatisch gelöscht. Eine kürzere Frist (2 Monate) ist möglich und wird empfohlen, soweit für die Auswertung ausreichend.

Widerruf: Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen. Weitere Informationen: https://policies.google.com/privacy.

15. Google Ads und Conversion-Tracking

Wir nutzen – nur nach Einwilligung – das Werbeprogramm Google Ads der Google Ireland Limited einschließlich Conversion-Tracking und gegebenenfalls Remarketing. Damit können wir die Wirksamkeit unserer Anzeigen messen und Zielgruppen ansprechen.

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

Technische Umsetzung: Wir setzen den Google Consent Mode in der Variante „Basic“ ein. Google-Tags bleiben bis zur Erteilung einer Einwilligung im Consent-Banner blockiert; vor Interaktion mit dem Banner werden keine Daten an Google übertragen.

Drittlandtransfer: Eine Übermittlung an Google LLC in die USA ist über EU-Standardvertragsklauseln und das EU-US Data Privacy Framework abgesichert.

Speicherdauer: Conversion-Cookies behalten ihre Gültigkeit in der Regel für maximal 90 Tage.

16. Meta-Pixel (Facebook-Pixel)

Auf unserer Website nutzen wir – nur nach Einwilligung – den Meta-Pixel der Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland. Über den Pixel können wir das Verhalten von Nutzer:innen nach Klick auf eine Facebook- oder Instagram-Anzeige nachvollziehen, Conversions messen und Zielgruppen für Werbung (Custom Audiences, Retargeting) bilden.

Verarbeitet werden insbesondere: IP-Adresse, Browser-Informationen, besuchte Seiten, Klickverhalten, Pixel- und Cookie-Kennungen sowie ggf. die Facebook- oder Instagram-Nutzerkennung, falls Sie bei Meta eingeloggt sind. Nach den Meta Business Tools Terms umfasst „Event Data“ insbesondere Informationen über Handlungen, die Personen auf Websites oder Apps vornehmen.

Rechtsgrundlage:

  • § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Zwischen uns und Meta besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO für die Erhebung und Übermittlung der Event-Daten. Die Vereinbarung (Controller Addendum) ist abrufbar unter https://www.facebook.com/legal/controller_addendum.

Drittlandtransfer: Meta kann Daten an die Meta Platforms, Inc. in den USA übermitteln. Die Übermittlung ist abgesichert durch EU-Standardvertragsklauseln sowie durch die Zertifizierung von Meta unter dem EU-US Data Privacy Framework.

Widerruf: Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen. Weitere Informationen: https://www.facebook.com/privacy/policy.

17. Präsenz in sozialen Netzwerken (Instagram, Facebook)

Wir betreiben Profile in den sozialen Netzwerken Instagram and Facebook, jeweils betrieben von der Meta Platforms Ireland Limited. Bei der Interaktion mit unseren Profilen (Likes, Kommentare, Direktnachrichten, Story-Reaktionen) werden personenbezogene Daten durch Meta verarbeitet.

Zweck: Kommunikation mit Interessent:innen und Kund:innen, Außendarstellung, Marketing. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer modernen Außendarstellung) bzw. Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichen Anfragen.

Für die Verarbeitung von Insights-Daten besteht zwischen uns und Meta eine Vereinbarung über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO (https://www.facebook.com/legal/terms/page_controller_addendum). Die wesentliche Verantwortung für die Datenverarbeitung in den Netzwerken selbst liegt bei Meta.

Wir weisen darauf hin, dass Daten von Nutzer:innen sozialer Netzwerke regelmäßig auch außerhalb der EU verarbeitet werden können. Hieraus können sich für die Nutzer:innen Risiken ergeben, weil z. B. die Durchsetzung der Rechte erschwert sein könnte.

18. WhatsApp Business

Soweit Sie uns per WhatsApp kontaktieren, werden Ihre Telefonnummer, Profilinformationen und der Nachrichteninhalt durch die WhatsApp Ireland Limited, 4 Grand Canal Square, Dublin, Irland verarbeitet. WhatsApp ist ein Dienst der Meta-Gruppe.

Zweck: Kommunikation mit Kund:innen, Beantwortung von Anfragen, Terminabsprachen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertragliche bzw. vorvertragliche Kommunikation) sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO. Mit dem Versand einer Nachricht über WhatsApp willigen Sie zugleich konkludent in die Verarbeitung durch WhatsApp ein.

Drittlandtransfer: Eine Übermittlung an WhatsApp LLC und Meta Platforms, Inc. in die USA ist möglich; sie ist nach dem Business Data Transfer Addendum von WhatsApp über EU-Standardvertragsklauseln und das EU-US Data Privacy Framework abgesichert.

Wichtiger Hinweis: Bitte übermitteln Sie keine Gesundheitsdaten (z. B. detaillierte Krankheitsbilder, Hautfotos, Medikationsangaben) über WhatsApp. Solche Angaben verarbeiten wir routinemäßig ausschließlich über persönliche Gespräche oder den schriftlichen Anamnesebogen im Studio.

19. Manychat (Instagram-DM-Automatisierung)

Zur automatisierten Beantwortung von Erstanfragen, zur Versendung vorbereiteter Antworten und zur Pflege von Kontakten über Instagram-Direktnachrichten setzen wir Manychat, Inc., 535 Mission Street, 14th Floor, San Francisco, CA 94105, USA ein.

Verarbeitet werden insbesondere:

  • Instagram-Benutzername und Profil-ID
  • Inhalt der Konversation
  • Klick- und Interaktionsverhalten innerhalb der Automation
  • Tags und Segmentierungsinformationen

Rolle: Nach dem Manychat-DPA verarbeitet Manychat je nach Datenkategorie teils als Auftragsverarbeiter, teils als eigener Verantwortlicher.

Rechtsgrundlagen:

  • Für die automatisierte Bearbeitung allgemeiner Direktnachrichten oder Terminanfragen: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO.
  • Für werbliche Follow-up-Strecken, Lead-Magneten oder sonstige Marketingkommunikation: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. durch aktiven Start der Konversation oder durch Nutzung eines vordefinierten Triggers).

Important: Manychat wird not zur Erhebung oder Verarbeitung von Gesundheitsdaten eingesetzt.

Drittlandtransfer: Die Datenverarbeitung findet in den USA statt. Wir haben mit Manychat einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Die Übermittlung in die USA wird durch EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Trotz dieser Maßnahmen bestehen aufgrund weitreichender Zugriffsbefugnisse US-amerikanischer Behörden Restrisiken, die nicht vollständig ausgeschlossen werden können.

Widerruf: Sie können der Verarbeitung jederzeit widersprechen, indem Sie uns per Direktnachricht „Stop“ senden oder uns auf einem anderen Kommunikationsweg kontaktieren.

Speicherdauer: Konversations- und Tag-Daten werden gelöscht, sobald sie für den Zweck der Erhebung nicht mehr erforderlich sind, spätestens nach 24 Monaten Inaktivität.

20. Telefonische Kommunikation

Wenn Sie uns telefonisch kontaktieren, werden Ihre Telefonnummer und der Inhalt des Gesprächs verarbeitet, soweit dies zur Bearbeitung Ihres Anliegens erforderlich ist. Notizen aus dem Telefongespräch werden nur in dem Umfang gespeichert, der zur Vorbereitung oder Durchführung der Behandlung notwendig ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO.

21. Übermittlung in Drittländer (insbesondere USA)

Eine Reihe der von uns eingesetzten Dienste (insbesondere Stripe, PayPal, Meta, Google, WhatsApp, Manychat) ist mit einer Datenübermittlung in die USA oder andere Drittländer außerhalb des EWR verbunden.

Wir übermitteln personenbezogene Daten in Drittländer ausschließlich, wenn:

  • ein Angemessenheitsbeschluss der EU-Kommission vorliegt (insbesondere EU-US Data Privacy Framework gemäß Art. 45 DSGVO – sofern der jeweilige Empfänger aktiv unter dem DPF zertifiziert ist), oder
  • geeignete Garantien im Sinne von Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln) bestehen, oder
  • Sie ausdrücklich gemäß Art. 49 Abs. 1 lit. a DSGVO in die Übermittlung eingewilligt haben.

Insbesondere sind Meta und Stripe nach dem EU-US Data Privacy Framework zertifiziert; WhatsApp verweist in seinem Business Data Transfer Addendum ebenfalls auf das DPF. Für Manychat dokumentieren wir die jeweils aktuelle Transfergrundlage anhand des Manychat-DPA und des Zertifizierungsstatus separat in unserer Datenschutzdokumentation.

Wir weisen darauf hin, dass insbesondere bei Übermittlungen in die USA nicht ausgeschlossen werden kann, dass US-Behörden im Rahmen ihrer gesetzlichen Befugnisse auf personenbezogene Daten zugreifen und dass die Durchsetzung von Betroffenenrechten erschwert sein kann.

22. Speicherdauer (zusammenfassende Übersicht)

DatenkategorieSpeicherdauer
Server-Logfilesbis zu 7 Tage
Kontaktanfragen (E-Mail, Formular)bis zu 24 Monate
Buchungs- und Kundendaten (Planity)3 Jahre nach letztem Kontakt
Anamnese-, Aufklärungs- und Behandlungsbögen (NiSV / Haftung)mindestens bis zum Ende der regelmäßigen Verjährungsfrist (3 Jahre, gerechnet ab Schluss des Jahres der letzten Behandlung); aus Haftungsgründen empfohlene Aufbewahrung: 10 Jahre
Foto-/Videoaufnahmen Behandlungsdokumentationwie Patientenakte
Foto-/Videoaufnahmen Marketingbis Widerruf bzw. Wegfall des Zwecks
Rechnungen und Buchungsbelege8 Jahre (§ 147 AO i. d. F. ab 2025)
Sonstige steuer- und handelsrechtliche Unterlagen6 bzw. 10 Jahre je nach Unterlagenart
Google Analytics (GA4)14 Monate (empfohlen: 2 Monate)
Google Ads Conversion-Cookiesbis zu 90 Tage
Manychat-Konversationen24 Monate Inaktivität
Einwilligungsnachweisebis Widerruf zzgl. Nachweis-/Verteidigungsbedarf

Veröffentlichte Fotos auf Social-Media-Plattformen werden nach Widerruf für die Zukunft aus unseren eigenen Auftritten entfernt. Auf bereits ausgelieferte Kampagnen, Reposts, Suchmaschinen-Caches oder fremde Weiterverarbeitungen haben wir nur begrenzten Einfluss.

23. Ihre Rechte als betroffene Person

Ihnen stehen gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO) gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO
  • Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Zur Geltendmachung Ihrer Rechte genügt eine formlose Mitteilung an die unter Ziffer 1 genannten Kontaktdaten. Wir behalten uns vor, Ihre Identität vor Auskunftserteilung oder Löschung in angemessener Weise zu verifizieren, um unbefugte Zugriffe auf Kundendaten zu verhindern.

24. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Zuständig für nicht-öffentliche Stellen in Bayern – und damit für unseren Geschäftssitz in München – ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18, 91522 Ansbach Telefon: +49 (0) 981 53 1300 E-Mail: poststelle@lda.bayern.de Website: https://www.lda.bayern.de

25. Automatisierte Entscheidungsfindung

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet bei uns nicht statt. Lediglich Zahlungsdienstleister wie Klarna können im Rahmen einer Zahlungsentscheidung Bonitätsprüfungen vornehmen; insoweit gelten die Datenschutzhinweise des jeweiligen Anbieters.

26. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Mai 2026. Durch die Weiterentwicklung unserer Website, gesetzliche Änderungen oder neue Dienste kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Version ist stets unter dem Menüpunkt „Datenschutz“ auf unserer Website abrufbar.

en_USEnglish
de_DEDeutsch ru_RUРусский en_USEnglish