Datenschutzhinweise
von KittyDollLashes
Inhaberin: Evelin Shefer
Anschrift: Wundtstraße 4, 14059 Berlin
Kontakt: KittyDollLashes@gmail.com
Stand: 10.06.2026
§ 1 Verantwortliche
(1) Verantwortliche für die Verarbeitung deiner personenbezogenen Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) bin ich: Evelin Shefer KittyDollLashes Wundtstraße 4, 14059 Berlin KittyDollLashes@gmail.com
(2) Für Fragen zum Datenschutz oder zur Wahrnehmung deiner Rechte kannst du mich jederzeit unter der oben genannten Adresse erreichen.
§ 2 Allgemeines
(1) Ich verarbeite personenbezogene Daten meiner Kundinnen ausschließlich im Rahmen der geltenden datenschutzrechtlichen Vorschriften, insbesondere der DSGVO und des Bundesdatenschutzgesetzes (BDSG).
(2) Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO).
(3) Diese Hinweise informieren dich darüber, welche Daten ich zu welchen Zwecken erhebe, an wen ich sie weitergebe, wie lange ich sie speichere und welche Rechte du hast.
§ 3 Welche Daten ich verarbeite
Je nach Kontakt und Behandlung verarbeite ich insbesondere folgende Daten:
- (1) Stammdaten: Vor- und Nachname, Anschrift, Telefonnummer, E-Mail-Adresse, Instagram-Name, Geburtsdatum (freiwillig)
- (2) Termin-/Buchungsdaten: gewählte Behandlung, Datum/Uhrzeit, Status, Buchungs- und Kommunikationsverlauf.
- (3) Kommunikationsinhalte aus E-Mail, Instagram-Direktnachricht und sonstigem Schriftverkehr.
- (4) Gesundheitsangaben (besondere Kategorien, Art. 9 DSGVO): Allergien, Unverträglichkeiten, Augen-/Hauterkrankungen, Augenoperationen, Schwangerschaft/Stillzeit, Medikamente, Kontaktlinsen. Du machst diese Angaben freiwillig im Buchungsformular; sie werden verschlüsselt (AES-256) in meiner Datenbank (Supabase, Server Frankfurt/EU) gespeichert und getrennt von den übrigen Buchungsdaten besonders geschützt.
- (5) Nachweis- und Sicherheitsdaten (zur Abwehr von Missbrauch und zur Forderungssicherung): IP-Adresse, Browser-/Gerätekennung (User-Agent), eine clientseitig berechnete Geräte-Kennung, E-Mail-Qualitäts-Status, Adress-Plausibilitäts-Status, Geokoordinaten der angegebenen Adresse, Zeitstempel von Buchung und E-Mail-Bestätigung.
- (6) Rechnungs-/Zahlungsdaten: Behandlungsdatum, Betrag, Zahlungsart; bei SEPA-Vorkasse Kontoinhaberin und IBAN.
- (7) Bildaufnahmen: a) zur internen Behandlungs- und Beweisdokumentation; b) für Werbung nur mit gesonderter Einwilligung.
- (8) Bei minderjährigen Kundinnen zusätzlich Kontaktdaten und Einwilligung der gesetzlichen Vertreter.
§ 4 Zwecke und Rechtsgrundlagen der Verarbeitung
- a) Terminvereinbarung, Kommunikation, Behandlung — Art. 6 Abs. 1 lit. b
- b) Rechnungsstellung, gesetzliche Aufbewahrung — Art. 6 Abs. 1 lit. c (§ 147 AO, § 257 HGB)
- c) Organisation/Betrieb — Art. 6 Abs. 1 lit. f
- d) Gesundheitsangaben zur sicheren Behandlung — Art. 9 Abs. 2 lit. a i. V. m. Art. 6 Abs. 1 lit. a (ausdrückliche Einwilligung über das Buchungsformular); verschlüsselte Speicherung in meiner Datenbank
- e) Geburtstags-Gruß — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an persönlicher Kundenbindung). Die Angabe des Geburtsdatums ist freiwillig und jederzeit widerrufbar.
- f) Missbrauchs-/Betrugsprävention und Forderungssicherung (IP, Geräte-Kennung, Bot-Schutz, E-Mail-/Adressprüfung) — Art. 6 Abs. 1 lit. f
- g) IT-Sicherheit, Stabilität, Server-Logs — Art. 6 Abs. 1 lit. f
- h) interne Bild-Beweisdokumentation — Art. 6 Abs. 1 lit. f
- i) Werbe-Fotos — Art. 6 Abs. 1 lit. a sowie § 22 KunstUrhG
- j) Durchsetzung/Abwehr rechtlicher Ansprüche — Art. 6 Abs. 1 lit. b und lit. f
- k) Öffentliche Bewertungen — wenn du über die Bewertungs-Seite eine Bewertung abgibst, verarbeite ich deinen angegebenen Vornamen, deinen Bewertungstext und die Sternezahl (ein optionaler Instagram-Handle wird gespeichert, aber nicht öffentlich gezeigt) zum Zweck der öffentlichen Darstellung auf meiner Website — Art. 6 Abs. 1 lit. a (Einwilligung). Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar; auf Wunsch lösche ich deine Bewertung.
§ 5 Empfänger der Daten und Auftragsverarbeitung
(1) Deine Daten gebe ich nur weiter, soweit dies zur Erfüllung der Zwecke aus § 4 erforderlich ist oder du eingewilligt hast. Empfänger sind insbesondere:
- a) Vercel Inc. — Hosting (Server Frankfurt)
- b) Supabase Inc. — Datenbank (Server Frankfurt); Gesundheitsangaben ausschließlich verschlüsselt (AES-256)
- c) Resend Inc. — E-Mail-Versand
- d) OpenStreetMap Foundation (UK) — Adress-Plausibilität (ohne Name/E-Mail)
- e) Meta Platforms Ireland — nur bei Kommunikation über Instagram-Direktnachricht
- f) Steuerberater, Finanzbehörden, Rechtsanwälte, Inkasso, Gerichte — soweit erforderlich
Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO
§ 5a Cookies und lokale Speicherung
(1) Ich setze ausschließlich technisch notwendige Cookies und vergleichbare Speichertechniken ein. Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 TDDDG); eine Verarbeitung zu Werbe-, Analyse- oder Trackingzwecken findet nicht statt.
(2) Im Einzelnen:
- a) Login-Session (Supabase Auth) — nur für meinen Admin-Zugang, nicht für Kundinnen.
- b) Hinweis-Speicher (lokale Speicherung „localStorage“) — merkt sich, dass dieser Hinweis bestätigt wurde.
(3) Da keine Cookies zu Marketing-, Analyse- oder Profilingzwecken gesetzt werden, gibt es keinen „Alle ablehnen“-Button — es gibt nichts zu blockieren.
§ 6 Übermittlung in Drittländer
Bei einzelnen Diensten kann ein Zugriff aus einem Drittland (insbesondere USA) nicht ausgeschlossen werden:
(1) Buchungsdaten und Gesundheitsangaben werden auf Servern in der EU gespeichert (Vercel Frankfurt, Supabase Frankfurt); Gesundheitsangaben zusätzlich verschlüsselt.
(2) Soweit ein Zugriff durch die US-Anbieter bzw. deren Mutterunternehmen nicht ausgeschlossen werden kann: – Vercel, Resend, Meta: EU-US Data Privacy Framework (Art. 45 DSGVO), ergänzt um Standardvertragsklauseln in den AVV. – Supabase: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) in den AVV; Speicherung bei Supabase in der EU.
(3) OpenStreetMap (UK): Angemessenheitsbeschluss der EU-Kommission (Art. 45).
§ 7 Speicherdauer
Ich speichere deine Daten nur so lange, wie es für die Zwecke aus § 4 erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorschreiben:
- (1) Stamm-, Termin- und Kommunikationsdaten: max. 12 Monate nach dem letzten Termin, zzgl. Verjährungsfristen bei offenen Ansprüchen.
- (2) Gesundheitsangaben (verschlüsselt): bis zu 3 Jahre nach dem Termin (Nachweis bei etwaigen Ansprüchen, § 195 BGB), danach Löschung.
- (3) Nachweis-/Sicherheitsdaten (IP, Geräte-Kennung etc.): 3 Jahre, danach Anonymisierung; bei laufender Forderung bis zum Abschluss.
- (4) Rechnungs-/Zahlungsdaten: 10 Jahre (§ 147 AO).
- (5) Server-Logs (Vercel): ca. 30 Tage.
- (6) Werbe-Fotos: bis zum Widerruf der Einwilligung.
- (7) Interne Beweisfotos: bis zu 3 Jahre nach dem Termin, bei laufender Auseinandersetzung bis zum Abschluss.
§ 8 Pflicht zur Bereitstellung
(1) Die Bereitstellung der für Termin, Behandlung und Abrechnung erforderlichen Daten ist notwendig. Ohne diese Daten kann kein Behandlungsvertrag zustande kommen.
(2) Die Angabe von Gesundheitsdaten ist freiwillig. Ohne relevante Angaben kann ich die Behandlung im Einzelfall aus Sicherheitsgründen nicht oder nur eingeschränkt durchführen.
(3) Die Erteilung der Einwilligung in die Anfertigung und Verwendung von Werbeaufnahmen ist freiwillig. Eine Verweigerung hat keinerlei Einfluss auf die Behandlung (Koppelungsverbot, Art. 7 Abs. 4 DSGVO).
§ 9 Deine Rechte
Dir stehen mir gegenüber die folgenden Rechte zu:
- a) Auskunft (Art. 15 DSGVO),
- b) Berichtigung (Art. 16 DSGVO),
- c) Löschung (Art. 17 DSGVO),
- d) Einschränkung der Verarbeitung (Art. 18 DSGVO),
- e) Datenübertragbarkeit (Art. 20 DSGVO),
- f) Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO),
- g) Widerruf von Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
- h) Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO, siehe § 10).
Zur Wahrnehmung dieser Rechte kannst du dich jederzeit formlos an mich wenden (Kontaktdaten siehe § 1). Bei minderjährigen Kundinnen können die Rechte auch durch die gesetzlichen Vertreter ausgeübt werden.
§ 10 Beschwerderecht
(1) Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere im Mitgliedstaat deines gewöhnlichen Aufenthalts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).
(2) Für mich zuständige Aufsichtsbehörde ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)
Alt-Moabit 59–61, 10555 Berlin
Telefon: 030 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Internet: www.datenschutz-berlin.de
§ 11 Widerruf von Einwilligungen
(1) Soweit eine Verarbeitung auf einer Einwilligung beruht (insbesondere Gesundheitsdaten und Werbeaufnahmen), kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).
(2) Der Widerruf kann formlos in Textform erfolgen, etwa per E-Mail an KittyDollLashes@gmail.com.
(3) Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
§ 12 Keine automatisierte Entscheidung / kein Profiling
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.
§ 13 Datenverarbeitung im Zusammenhang mit Gutscheinen
Beim Verkauf und der Einlösung von Gutscheinen verarbeite ich personenbezogene Daten, soweit dies zur Vertragsdurchführung, Gutscheinverwaltung, Zahlungsabwicklung sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist (Art. 6 Abs. 1 lit. b und lit. c DSGVO). Die Speicherdauer richtet sich nach § 7 Abs. 2 dieser Hinweise. Bei minderjährigen Kundinnen erfolgt die Verarbeitung im Zusammenhang mit Gutscheinen ausschließlich mit Zustimmung der gesetzlichen Vertreter.
§ 14 Datenverarbeitung bei minderjährigen Kundinnen
(1) Bei Kundinnen unter 18 Jahren verarbeite ich personenbezogene Daten nur mit Zustimmung der gesetzlichen Vertreter.
(2) Die Einwilligung der gesetzlichen Vertreter erfolgt in Textform (§ 126b BGB) entsprechend § 10 der AGB.
(3) Die in § 9 dieser Hinweise genannten Rechte können auch durch die gesetzlichen Vertreter ausgeübt werden.
§ 15 Aktualisierung dieser Datenschutzhinweise
(1) Diese Hinweise werden bei Änderungen der Verarbeitungspraxis oder der Rechtslage angepasst. Maßgeblich ist die jeweils aktuell auf der Website kittydolllashes.de oder im Studio einsehbare Fassung.
(2) Über wesentliche Änderungen, die deine Rechte betreffen, informiere ich aktiv im Rahmen der weiteren Kommunikation.