Datenschutzerklärung

Verantwortliche Stelle für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) ist:

Lucia Cantir – Skinlaser Lucy
Volkartstraße 79b
80636 München
Deutschland

Telefon: +49 151 75483124
E-Mail: skinlaserlucy@gmail.com
Website: https://skinlaserlucy.de

Da der Betrieb gesetzlich nicht zur Bestellung einer Datenschutzbeauftragten verpflichtet ist, können Sie sich bei datenschutzrechtlichen Fragen direkt an die oben genannte verantwortliche Stelle wenden. Die Informationspflichten gegenüber betroffenen Personen ergeben sich aus Art. 13 DSGVO.

Diese Datenschutzerklärung gilt für die Website von Skinlaser Lucy, für Terminbuchungen, für die Durchführung der Behandlungen vor Ort (Diodenlaser-Haarentfernung, Wimpernlifting, Brauenlifting, Massagen), für Zahlungen, für die Kommunikation per Telefon, WhatsApp und Instagram-Direktnachricht sowie für die Werbe- und Analysefunktionen auf der Website.

2.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Kundinnen, Kunden und Websitebesucher grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, zur Durchführung unserer Behandlungen sowie zur Erfüllung gesetzlicher Pflichten erforderlich ist oder soweit eine Einwilligung vorliegt.

2.2 Rechtsgrundlagen

Soweit wir für Verarbeitungsvorgänge eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen ist Art. 6 Abs. 1 lit. b DSGVO maßgeblich. Soweit eine Verarbeitung zur Erfüllung rechtlicher Verpflichtungen (z. B. steuer- oder handelsrechtlicher Aufbewahrungspflichten) erforderlich ist, beruht sie auf Art. 6 Abs. 1 lit. c DSGVO. Verarbeiten wir Daten auf Grundlage berechtigter Interessen, ist Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage. Für die Verarbeitung besonderer Kategorien personenbezogener Daten – insbesondere Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO – stützen wir uns aus Gründen maximaler Rechtssicherheit zusätzlich auf eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.

2.3 Speicherdauer (Grundsatz)

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Eine darüber hinausgehende Speicherung erfolgt nur, wenn dies durch europäische oder nationale Gesetzgeber – insbesondere durch handels- oder steuerrechtliche Aufbewahrungsfristen – vorgesehen ist. Eine zusammenfassende Übersicht der Speicherdauern finden Sie in Ziffer 22.

Unsere Website wird gehostet bei der Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland. Bei jedem Aufruf der Website werden technisch erforderliche Daten (insbesondere IP-Adresse, Anfragezeitpunkt, abgerufene Ressource, Browsertyp) durch den Hosting-Anbieter verarbeitet.

Zweck: Sichere, stabile und performante Bereitstellung der Website.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichen oder vertraglichen Anfragen.

Mit der Strato AG besteht eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO, die für Hosting-Verträge ab dem 18. Juli 2022 nach Anbieterangaben automatisch einbezogen ist. Die Datenverarbeitung findet auf Servern in Deutschland statt.

Beim Aufruf der Website werden durch den Hosting-Anbieter automatisiert folgende Daten in sogenannten Server-Logfiles erfasst:

• IP-Adresse (gekürzt bzw. anonymisiert, soweit möglich)
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• übertragene Datenmenge
• Meldung über erfolgreichen Abruf
• verwendeter Browser und Betriebssystem
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Sicherstellung der Stabilität, Funktionalität und Sicherheit der Website sowie Abwehr von Cyberangriffen.

Die Logfiles werden nach Angaben des Anbieters für maximal 7 Tage gespeichert, sofern keine sicherheitsrelevanten Vorfälle eine längere Speicherung erforderlich machen.

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an der Zeichenfolge „https://" und am Schlosssymbol in der Adresszeile Ihres Browsers.

Wenn Sie uns per E-Mail, Telefon, Kontaktformular oder Messenger kontaktieren, werden die von Ihnen mitgeteilten Daten (Name, Kontaktdaten, Anliegen) zur Bearbeitung Ihrer Anfrage und für den Fall von Anschlussfragen gespeichert.

Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage der Anbahnung oder Erfüllung eines Behandlungsvertrags dient.
• Art. 6 Abs. 1 lit. f DSGVO bei sonstigen Anfragen aus berechtigtem Interesse an einer effizienten Kommunikation.

Anfragedaten werden gelöscht, sobald sie zur Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind, spätestens jedoch nach 24 Monaten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Zur Online-Terminbuchung setzen wir den Dienst Planity der Planity SAS, 50 Avenue des Champs-Élysées, 75008 Paris, Frankreich, ein. Bei der Buchung werden insbesondere folgende Daten verarbeitet:

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer
• gewünschte Behandlung, Termin und Mitarbeiter:in
• ggf. ergänzende Hinweise zur Behandlung

Zweck: Anbahnung, Durchführung und Abwicklung des Behandlungsvertrags, automatisierte Terminerinnerung sowie Verwaltung Ihres Kundenkontos.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen). Soweit im Rahmen der Kundenkartei oder Terminnotizen gesundheitsbezogene Hinweise verarbeitet werden, ausschließlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

Mit Planity besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt auf Servern innerhalb der Europäischen Union. Ergänzend gelten die Datenschutzinformationen von Planity (https://www.planity.com/datenschutz).

Im Rahmen unserer Tätigkeit – insbesondere bei der Diodenlaser-Haarentfernung, beim Wimpern- und Brauenlifting sowie bei Massagen – verarbeiten wir besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO. Dazu gehören insbesondere:

• Hauttyp nach Fitzpatrick und Hautbeschaffenheit
• Vorerkrankungen, Allergien, Medikamenteneinnahme
• Schwangerschaft und Stillzeit
• Kontraindikationen (z. B. Photosensibilität, Tätowierungen, Hauterkrankungen)
• Behandlungsdokumentation (Geräteeinstellungen, Reaktionen, Verlauf, Nachsorge)

Rechtsgrundlagen: Art. 9 Abs. 2 lit. a DSGVO i. V. m. Art. 6 Abs. 1 lit. a DSGVO – ausdrückliche, schriftliche und freiwillige Einwilligung im Rahmen unseres Anamnese- und Aufklärungsbogens. Ergänzend Art. 6 Abs. 1 lit. b DSGVO zur Durchführung des Behandlungsvertrags. Für die Erfüllung der Dokumentationspflichten bei Laserbehandlungen ergänzend Art. 6 Abs. 1 lit. c DSGVO i. V. m. der NiSV.

Zwecke: sichere und individuell angepasste Behandlung, Vermeidung gesundheitlicher Risiken, Erfüllung der Dokumentations- und Aufklärungspflichten gemäß NiSV, Nachverfolgung des Behandlungserfolgs und Verteidigung gegen etwaige Haftungs- oder Gewährleistungsansprüche.

Vertraulichkeit: Die Anamnese- und Behandlungsbögen werden in einem zugriffsgeschützten Bereich verwahrt. Digitale Daten werden ausschließlich auf gesicherten, passwortgeschützten Systemen gespeichert. Der Zugriff ist auf die behandelnden Personen beschränkt.

Erhebungswege: Gesundheitsbezogene Angaben werden ausschließlich über den schriftlichen Anamnese- bzw. Aufklärungsbogen oder im persönlichen Gespräch im Studio erhoben – nicht routinemäßig über WhatsApp, Instagram-DM oder andere Messenger-Kanäle.

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Aus Sicherheitsgründen kann ein Widerruf zur Folge haben, dass weitere Behandlungen nicht mehr durchgeführt werden können.

Wir dokumentieren Behandlungen mit Notizen zum Behandlungsverlauf, zu eingesetzten Geräten bzw. Parametern, Hautreaktionen sowie zu empfohlenen Nachsorgeschritten. Die Dokumentation dient der sicheren Fortsetzung von Behandlungsserien, der Qualitätskontrolle sowie der Verteidigung gegen etwaige Haftungs- oder Gewährleistungsansprüche.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für den behandlungsbezogenen Kern. Art. 6 Abs. 1 lit. f DSGVO für die weitergehende Aufbewahrung zu Dokumentations- und Rechtsverteidigungszwecken. Bei Gesundheitsdaten zusätzlich Art. 9 Abs. 2 lit. a DSGVO (Erhebung) und Art. 9 Abs. 2 lit. f DSGVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen).

Foto- und Videoaufnahmen werden nur mit Ihrer ausdrücklichen, schriftlichen Einwilligung erstellt. Wir unterscheiden strikt zwischen folgenden Zwecken und holen für jeden Zweck eine gesonderte Einwilligung ein. Die Verweigerung einer Einwilligung führt nicht zur Verweigerung der Behandlung.

a) Interne Behandlungsdokumentation

Zweck: Verlaufskontrolle, Qualitätssicherung, Nachvollziehbarkeit der Behandlung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und – soweit die Bilder Rückschlüsse auf den Gesundheitszustand zulassen – zusätzlich Art. 9 Abs. 2 lit. a DSGVO. Speicherort: geschützte interne Patientenakte.

b) Veröffentlichung auf Website, Instagram, Facebook oder in Werbematerial

Zweck: Marketing, Außendarstellung, Information potenzieller Kund:innen. Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO, ergänzend Art. 9 Abs. 2 lit. a DSGVO sowie § 22 KunstUrhG. Vor jeder Veröffentlichung holen wir eine separate, schriftliche Einwilligung ein, in der Sie die Reichweite festlegen.

Widerruf: Sie können jede Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Bei Widerruf entfernen wir das Bildmaterial unverzüglich aus von uns kontrollierten Kanälen. Bereits ausgelieferte Kampagnen, Reposts Dritter, Suchmaschinen-Caches oder fremde Weiterverarbeitungen liegen außerhalb unseres Einflussbereichs.

Zur Abwicklung von Zahlungen setzen wir die nachfolgenden Anbieter ein. Beim Zahlungsvorgang werden die für die jeweilige Zahlungsart erforderlichen Daten an den jeweiligen Anbieter übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, ergänzend Art. 6 Abs. 1 lit. c DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO. Die Zahlungsdienstleister handeln regelmäßig als eigene Verantwortliche.

11.1 Stripe Terminal

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland. Karten- und Transaktionsdaten werden direkt an Stripe übermittelt; wir selbst speichern keine vollständigen Kartendaten. Übermittlung an Stripe, Inc. (USA) ist möglich; abgesichert über EU-Standardvertragsklauseln und EU-US Data Privacy Framework. Hinweise: https://stripe.com/de/privacy.

11.2 PayPal

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxembourg. PayPal kann Bonitätsauskünfte einholen. Hinweise: https://www.paypal.com/de/webapps/mpp/ua/privacy-full.

11.3 Klarna

Anbieter: Klarna Bank AB (publ), Stockholm, Schweden. Klarna kann Bonitätsprüfungen und Risk-/Fraud-Assessments durchführen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Hinweise: https://www.klarna.com/de/datenschutz.

Unsere Website verwendet Cookies sowie vergleichbare Technologien (z. B. LocalStorage, Pixel, Tags). Maßgebliche deutsche Spezialnorm ist seit Mai 2024 das TDDDG.

12.1 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website unbedingt erforderlich. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO.

12.2 Nicht notwendige Cookies (Analyse, Marketing)

Cookies zu Analyse-, Tracking- und Marketingzwecken (insbesondere Google Analytics, Meta-Pixel, Google Ads) werden ausschließlich nach Ihrer vorherigen, ausdrücklichen Einwilligung gesetzt. Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit widerrufen.

Zur Einholung und Verwaltung Ihrer Einwilligungen setzen wir ein Consent-Management-Tool ein. Dabei werden Einwilligungsstatus, Zeitpunkt, Browser- und Geräteinformationen sowie eine pseudonyme Nutzerkennung gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Nachweispflicht nach Art. 7 Abs. 1 DSGVO) sowie Art. 6 Abs. 1 lit. f DSGVO. Sämtliche nicht erforderlichen Tags werden vor Einwilligung technisch blockiert.

Auf unserer Website nutzen wir – nur nach Ihrer Einwilligung – Google Analytics 4 der Google Ireland Limited, Dublin, Irland. Wir verwenden Google Analytics mit aktivierter IP-Anonymisierung.

Rechtsgrundlagen: § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO. Drittlandtransfer: USA über EU-Standardvertragsklauseln und EU-US Data Privacy Framework. Speicherdauer: 14 Monate. Widerruf jederzeit über Cookie-Einstellungen. Weitere Infos: https://policies.google.com/privacy.

Wir nutzen – nur nach Einwilligung – Google Ads einschließlich Conversion-Tracking und ggf. Remarketing.

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Umsetzung: Google Consent Mode „Basic". Drittlandtransfer: USA über SCC und DPF. Conversion-Cookies: max. 90 Tage.

Auf unserer Website nutzen wir – nur nach Einwilligung – den Meta-Pixel der Meta Platforms Ireland Limited, Dublin, Irland. Verarbeitet werden u. a. IP, Browser-Infos, besuchte Seiten, Klickverhalten, Pixel-/Cookie-Kennungen und ggf. die Meta-Nutzerkennung.

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Zwischen uns und Meta besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO: https://www.facebook.com/legal/controller_addendum. Drittlandtransfer: USA über SCC und DPF. Widerruf jederzeit über Cookie-Einstellungen. Weitere Infos: https://www.facebook.com/privacy/policy.

Wir betreiben Profile bei Instagram und Facebook (Meta Platforms Ireland Limited). Bei Interaktion werden personenbezogene Daten durch Meta verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO. Für Insights-Daten besteht eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO: https://www.facebook.com/legal/terms/page_controller_addendum. Daten können auch außerhalb der EU verarbeitet werden.

Bei Kontakt per WhatsApp werden Telefonnummer, Profilinfos und Nachrichteninhalte durch die WhatsApp Ireland Limited, Dublin, Irland verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO. Drittlandtransfer: USA (WhatsApp LLC / Meta Platforms, Inc.) über SCC und DPF.

Wichtig: Bitte übermitteln Sie keine Gesundheitsdaten über WhatsApp. Solche Angaben verarbeiten wir ausschließlich im persönlichen Gespräch oder über den schriftlichen Anamnesebogen im Studio.

Zur automatisierten Beantwortung von Instagram-Direktnachrichten setzen wir Manychat, Inc., San Francisco, USA ein. Verarbeitet werden u. a. Instagram-Benutzername/Profil-ID, Konversationsinhalt, Interaktionsverhalten, Tags und Segmente.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b bzw. f DSGVO für allgemeine Anfragen; Art. 6 Abs. 1 lit. a DSGVO für werbliche Follow-ups. Wichtig: Manychat wird nicht zur Erhebung von Gesundheitsdaten eingesetzt.

Drittlandtransfer: USA, AVV nach Art. 28 DSGVO geschlossen, abgesichert durch EU-Standardvertragsklauseln. Restrisiken durch US-Behördenzugriffe bestehen. Widerruf: jederzeit per „Stop"-Nachricht. Speicherdauer: 24 Monate Inaktivität.

Bei telefonischem Kontakt werden Telefonnummer und Gesprächsinhalt verarbeitet, soweit zur Bearbeitung erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. f DSGVO.

Eine Reihe der eingesetzten Dienste (Stripe, PayPal, Meta, Google, WhatsApp, Manychat) ist mit Datenübermittlung in die USA oder andere Drittländer verbunden. Wir übermitteln Daten nur, wenn:

• ein Angemessenheitsbeschluss der EU-Kommission vorliegt (insb. EU-US Data Privacy Framework, Art. 45 DSGVO),
• geeignete Garantien nach Art. 46 DSGVO bestehen (insb. EU-Standardvertragsklauseln), oder
• Sie ausdrücklich nach Art. 49 Abs. 1 lit. a DSGVO einwilligen.

Meta und Stripe sind nach dem EU-US Data Privacy Framework zertifiziert; WhatsApp verweist im Business Data Transfer Addendum ebenfalls auf das DPF. Für Manychat dokumentieren wir die jeweils aktuelle Transfergrundlage separat. Bei USA-Übermittlungen kann nicht ausgeschlossen werden, dass US-Behörden zugreifen.

Veröffentlichte Fotos auf Social-Media-Plattformen werden nach Widerruf für die Zukunft aus unseren eigenen Auftritten entfernt. Auf bereits ausgelieferte Kampagnen, Reposts, Suchmaschinen-Caches oder fremde Weiterverarbeitungen haben wir nur begrenzten Einfluss.

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO) gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO
• Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Zur Geltendmachung Ihrer Rechte genügt eine formlose Mitteilung an die unter Ziffer 1 genannten Kontaktdaten. Wir behalten uns vor, Ihre Identität vor Auskunftserteilung oder Löschung angemessen zu verifizieren.

Unbeschadet anderweitiger Rechtsbehelfe steht Ihnen gemäß Art. 77 DSGVO ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde zu. Zuständig für nicht-öffentliche Stellen in Bayern:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: +49 (0) 981 53 1300
E-Mail: poststelle@lda.bayern.de
Website: https://www.lda.bayern.de

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet bei uns nicht statt. Lediglich Zahlungsdienstleister wie Klarna können im Rahmen einer Zahlungsentscheidung Bonitätsprüfungen vornehmen; insoweit gelten die Datenschutzhinweise des jeweiligen Anbieters.

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Mai 2026. Durch die Weiterentwicklung unserer Website, gesetzliche Änderungen oder neue Dienste kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Version ist stets unter dem Menüpunkt „Datenschutz" auf unserer Website abrufbar.