Datenschutzerklärung
Stand: Mai 2026. Bei KittyDoll Lashes nehme ich den Schutz deiner persönlichen Daten ernst. Hier erfährst du, welche Daten ich erhebe, wofür ich sie verwende und welche Rechte du nach der DSGVO hast.
1. Verantwortlicher
KittyDollLashes
Inhaberin: Evelin Shefer
Wundtstraße 4, 14059 Berlin
E-Mail: KittyDollLashes@gmail.com
2. Welche Daten ich erhebe
- Stammdaten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Adresse (für Rechnungsstellung), optional Instagram-Handle
- Termin-Daten: Datum, gewählter Service, Status, ggf. Notizen
- Gesundheitsangaben aus dem Aufnahmeformular (Allergien, Vorerkrankungen) — zur sicheren Behandlung
- Technische Daten: anonymisierte IP-Adresse (gekürzt auf /24), Browser/Geräte-Typ — nur für Rate-Limiting und Spam-Schutz
- Buchungs-Identifikation: bei jeder Online-Buchung speichere ich zusätzlich die vollständige IP-Adresse, den User-Agent (Browser-Kennung) sowie einen Browser-Fingerprint (Hash aus Browser-Eigenschaften, keine Geräte-Seriennummer) — ausschließlich zum Zweck der Identifikation im Falle eines unentschuldigten Nicht-Erscheinens zum Termin und zur Durchsetzung des in den AGB vereinbarten Ausfallhonorars. Widerspruchsrecht (Art. 21 DSGVO): Du kannst dem Fingerprint jederzeit widersprechen — entweder über den Button unten oder per E-Mail. Browser, die Fingerprinting blockieren (Brave-Strict, Firefox-Resist-Fingerprinting, gängige Adblocker), sehen ohnehin keinen gespeicherten Fingerprint — die Buchung läuft trotzdem durch.
- Adress-Validierung: zur Plausibilitätsprüfung der eingegebenen Adresse wird diese einmalig an OpenStreetMap Nominatim übermittelt (zur Geolokalisierung). Das Ergebnis (gültig / ungültig / Abweichung) sowie die ermittelten Koordinaten werden zur Buchung gespeichert.
- Zahlungsdaten: bei Rechnungen — Betrag, Verwendungszweck (keine Kreditkarten- oder IBAN-Daten gespeichert)
3. Zweck und Rechtsgrundlage
- Terminverwaltung & Behandlung — Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- Rechnungsstellung & Aufbewahrung — Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht, §147 AO – 10 Jahre Aufbewahrung)
- Gesundheitsangaben — Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung über Aufnahmeformular)
- Spam-/Bot-Schutz — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem missbrauchsfreien Buchungssystem)
- Erinnerungs-Mails — Art. 6 Abs. 1 lit. b DSGVO (Servicebezogene Kommunikation im Rahmen der Buchung)
- Buchungs-Identifikation (IP, User-Agent, Fingerprint, Adress-Validierung)— Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Identifizierung der Vertragspartnerin zur Durchsetzung des Ausfallhonorars bei Nicht-Erscheinen) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
4. Speicherdauer
- Termin- und Stammdaten: solange die Geschäftsbeziehung besteht (also so lange du grundsätzlich erneut Termine buchen könntest). Hintergrund: Stammkundinnen-Tier und Wiedererkennung beim nächsten Besuch setzen voraus, dass deine Termin-Historie erhalten bleibt. Du kannst deine Daten jederzeit über den Link in deiner Bestätigungsmail oder per E-Mail-Antrag löschen lassen.
- Rechnungsdaten: 10 Jahre — gesetzliche Aufbewahrungspflicht (§147 AO)
- Aufnahmeformular / Gesundheitsangaben: solange die Geschäftsbeziehung besteht (Allergien und Vorerkrankungen sind für sichere Folgebehandlungen relevant). Auf Wunsch jederzeit löschbar.
- Audit-Log: 30 Tage (automatisch)
- Rate-Limit-Daten / anonymisierte IPs: 24 Stunden (automatisch)
- Buchungs-IP, User-Agent, Fingerprint, Adress-Validierungs-Ergebnis: an die jeweilige Buchung gekoppelt. Werden gemeinsam mit der Buchung gelöscht — bei unbezahltem Ausfallhonorar bis zum Abschluss der Forderungsdurchsetzung, längstens jedoch bis zum Ende der gesetzlichen Verjährungsfrist (3 Jahre, §195 BGB).
- Sentry-Fehlerprotokolle: 90 Tage (Standard von Sentry)
5. Auftragsverarbeiter (Dienstleister)
Ich nutze technische Dienstleister, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestehen:
- Vercel Inc. (USA) — Webhosting der Buchungs-Website. Datenübermittlung in die USA auf Basis EU-US Data Privacy Framework.
- Supabase Inc. (USA) / EU-Datenbank-Region — Datenbank für Termine, Kunden, Rechnungen.
- Resend Inc. (USA) — Versand transaktionaler E-Mails (Bestätigungen, Erinnerungen, Mahnungen).
- Sentry, GmbH (DE / USA) — Fehler-Monitoring (anonymisierte Fehlerprotokolle).
- Intuition Machines, Inc. (USA) — hCaptcha (Bot-Schutz).
- JotForm Inc. (USA) — Aufnahmeformular für Erstkundinnen (Gesundheitsangaben).
- OpenStreetMap Foundation (UK) — Adress-Validierung über Nominatim. Übermittelt wird die eingegebene Adresse (Straße, PLZ, Ort) ohne Bezug zu Namen oder E-Mail.
6. Cookies und Tracking
Diese Seite setzt keine Tracking- oder Marketing-Cookies. Verwendet werden ausschließlich technisch notwendige Mechanismen:
- Session-Cookie für Admin-Login (nur auf
/admin-Seiten) - localStorage für die Cookie-Hinweis-Bestätigung
- Service Worker für PWA-Caching (Offline-Fähigkeit)
- hCaptcha setzt eigene Cookies bei sichtbarem Captcha-Challenge — nur im Bot-Verdachtsfall
7. Deine Rechte
Nach DSGVO hast du jederzeit das Recht auf:
- Auskunft über deine gespeicherten Daten (Art. 15)
- Berichtigung falscher Daten (Art. 16)
- Löschung („Recht auf Vergessenwerden“, Art. 17) — soweit nicht durch Aufbewahrungspflichten ausgeschlossen
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit (Art. 20)
- Widerspruch gegen die Verarbeitung (Art. 21)
- Beschwerde bei der zuständigen Aufsichtsbehörde (für Berlin: Berliner Beauftragte für Datenschutz und Informationsfreiheit)
8. So übst du deine Rechte aus
Mit Bestätigungs-Link aus deiner Email: Klick in der Email auf „Termin bearbeiten / stornieren“ und wähle dort „Datenrechte“. Dort kannst du Daten herunterladen oder löschen lassen — automatisch und sofort.
Ohne Link: Schreib eine E-Mail an KittyDollLashes@gmail.com mit Betreff „Datenanfrage“. Antwort innerhalb von 14 Tagen, bei einfacher Auskunft meist binnen 48 Stunden.
9. Datensicherheit
Alle Verbindungen erfolgen TLS-verschlüsselt (HTTPS). Die Datenbank ist im Ruhezustand verschlüsselt. Zugriff auf Kundendaten habe ausschließlich ich (Alessio). Audit-Logs erfassen administrative Zugriffe. Bei einer Datenpanne werde ich die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO innerhalb von 72 Stunden benachrichtigen.
10. Änderungen dieser Erklärung
Bei wesentlichen Änderungen aktualisiere ich diese Seite. Du findest immer den aktuellen Stand oben rechts.