Datenschutzerklärung

Die Auslieferung dieser Website (statische Inhalte, serverseitige Funktionen und API-Routen unter /api) erfolgt über die Edge- und Serverless-Infrastruktur des folgenden Auftragsverarbeiters gemäß Art. 28 DSGVO:

Bei jedem Aufruf einer Seite oder API-Route verarbeitet Vercel technisch zwingend die folgenden Verbindungsdaten in Server-Logs (siehe ergänzend Ziffer 4):

• IP-Adresse des aufrufenden Endgeräts
• Datum und Uhrzeit des Zugriffs (UTC)
• angefragte URL, HTTP-Methode und HTTP-Statuscode
• übermittelte Header (insbesondere User-Agent und Referer)
• übertragene Datenmenge

Zweck: ausschließlich Auslieferung der angefragten Ressource, Stabilisierung des Betriebs, Abwehr und forensische Aufklärung missbräuchlicher Zugriffe (z. B. automatisierte Massenanfragen, Brute-Force, Injection-Versuche) sowie Diagnose technischer Fehlerzustände. Eine Auswertung zu Reichweiten-, Marketing- oder Profilbildungszwecken findet nicht statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse des Verantwortlichen besteht in der technisch zuverlässigen, sicheren und manipulationsfreien Bereitstellung des Angebots; ein gleich geeignetes, milderes Mittel besteht für den Betrieb einer öffentlich erreichbaren Website nicht.

Drittlandübermittlung: Vercel Inc. hat ihren Sitz in den USA und kann Daten in den USA verarbeiten. Vercel ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend liegen Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie ein Auftragsverarbeitungsvertrag (Data Processing Agreement) vor. Trotz dieser Garantien verbleibt ein Restrisiko, dass US-Behörden auf Grundlage US-amerikanischer Überwachungsgesetze (insbesondere FISA 702, Executive Order 12333, CLOUD Act) auf Daten zugreifen, ohne dass dem im gleichen Umfang wie unter dem Schutzniveau der DSGVO begegnet werden kann.

Datenschutzerklärung Vercel: https://vercel.com/legal/privacy-policy

Die in dieser Erklärung verwendeten Schriftarten (Inter, Bodoni Moda) werden zur Build-Zeit lokal in das Projekt eingebunden und über die eigene Domain ausgeliefert. Es findet beim Aufruf der Website keine Verbindung zu Google-Fonts-Servern oder anderen Schriftarten-CDN statt.

Die Domain wird verwaltet durch:

STRATO verarbeitet im Rahmen der DNS-Auflösung die zur Adressierung erforderlichen technischen Verbindungsdaten (insb. IP-Adresse des anfragenden Resolvers, abgefragte Hostnamen). Die eigentliche Auslieferung der Inhalte erfolgt anschließend durch Vercel (Ziffer 2). Eine Speicherung von Inhaltsdaten oder Formulareingaben durch STRATO findet im Rahmen dieser Website nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (technisch erforderliche Erreichbarkeit der Domain).

Beim Aufruf der Website werden auf der Hosting-Plattform (Vercel) systembedingt die in Ziffer 2 aufgeführten Verbindungsdaten in Logs erfasst. Diese Logs werden ausschließlich zur technischen Auslieferung, zur Fehlerdiagnose sowie zur Abwehr und forensischen Aufklärung missbräuchlicher Zugriffe verarbeitet.

• Datenkategorien: IP-Adresse, Zeitstempel (UTC), HTTP-Methode, angefragte URL, Statuscode, User-Agent, Referer, übertragene Datenmenge.
• Zweck: technische Bereitstellung, IT-Sicherheit, Abwehr und Aufklärung von Angriffsversuchen, Diagnose technischer Fehler. Keine Auswertung zu Reichweiten-, Werbe- oder Profilbildungszwecken.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Speicherdauer: Aufbewahrung ausschließlich auf Ebene des Auftragsverarbeiters Vercel im Rahmen dessen Standard-Retention für Plattform-Logs, in der Regel maximal 30 Tage. Eine eigenständige, dauerhafte Speicherung dieser Logs durch den Verantwortlichen findet nicht statt; eine darüberhinausgehende Aufbewahrung erfolgt ausschließlich, sofern und soweit konkrete Anhaltspunkte für einen Sicherheitsvorfall die weitere Auswertung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich machen.
• Verknüpfung: Eine Zusammenführung dieser Logs mit Buchungs-, Kontakt-, Kundenprofil- oder Einwilligungsdaten findet nicht statt.

Unter dem Pfad /admin existiert ein passwortgeschützter Verwaltungsbereich, der ausschließlich der Inhaberin und intern berechtigten Personen vorbehalten ist. Eine Registrierung oder Anmeldung durch Website-Besucherinnen und -Besucher findet nicht statt.

• Anmeldung über E-Mail-Adresse und Passwort. Passwörter werden ausschließlich als bcrypt-Hash gespeichert; die Klartext-Passwörter sind weder einseh- noch wiederherstellbar.
• Nach erfolgreicher Anmeldung wird ein signiertes JSON Web Token in einem technisch notwendigen, HttpOnly- und Secure-Cookie mit dem Namen adminToken gesetzt (SameSite=Lax, Lebensdauer 7 Tage).
• Das Cookie ist für JavaScript nicht auslesbar und dient ausschließlich der Authentifizierung im internen Verwaltungsbereich.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch unbedingt erforderlicher Speicherzugriff) i. V. m. Art. 6 Abs. 1 lit. f DSGVO (Schutz der internen Verwaltung).

Auf dieser Website werden ausschließlich technisch notwendige Speicherzugriffe gemäß § 25 Abs. 2 Nr. 2 TDDDG sowie – falls Sie ausdrücklich einwilligen – Speicherzugriffe gemäß § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO eingesetzt.

7.1 Eingesetzte Speicherzugriffe

• Local Storage – Schlüssel beautybarakademie_consent: speichert Ihre Auswahl aus dem Cookie-Banner (Kategorien essential, analytics, marketing, external), eine zufällig erzeugte Einwilligungs-ID, einen Zeitstempel sowie die Versionsnummer dieser Datenschutzerklärung. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich, um Ihren erklärten Willen zu konservieren) i. V. m. Art. 6 Abs. 1 lit. c DSGVO (Nachweis nach Art. 7 Abs. 1 DSGVO).
• Cookie adminToken (HttpOnly, Secure, SameSite=Lax, 7 Tage): wird ausschließlich gesetzt, wenn Sie sich im internen Administrationsbereich anmelden (siehe Ziffer 6). Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO.

Darüber hinaus werden auf dieser Website keine weiteren Cookies, Pixel, Fingerprinting-, Analyse- oder Marketingtechnologien eingesetzt. Insbesondere werden weder Google Analytics, Meta Pixel, TikTok Pixel noch vergleichbare Werkzeuge geladen oder ausgeführt.

7.2 Einwilligungsprotokoll

Bei Bestätigung Ihrer Auswahl im Cookie-Banner wird zur Erfüllung der Nachweispflicht aus Art. 7 Abs. 1 DSGVO ein Eintrag im Einwilligungsprotokoll gespeichert (Endpunkt /api/consent/log). Verarbeitete Daten:

• zufällig erzeugte Einwilligungs-ID (kein Personenbezug aus sich heraus),
• von Ihnen gewählte Kategorien-Präferenzen,
• Zeitstempel der Einwilligung,
• Version dieser Datenschutzerklärung,
• IP-Adresse und User-Agent-Header zum Zeitpunkt der Einwilligung – ausschließlich zur Beweissicherung der konkreten Einwilligungserklärung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 7 Abs. 1 DSGVO. Die Protokolle werden für die Dauer des Bestehens der Einwilligung sowie für die Dauer möglicher Verjährungsfristen aufbewahrt und anschließend gelöscht.

7.3 Widerruf und Verwaltung

Sie können Ihre einmal getroffene Einwilligungsentscheidung jederzeit über das Cookie-Banner anpassen oder vollständig widerrufen. Zusätzlich können Sie Cookies und lokale Speicherinhalte über die Einstellungen Ihres Browsers löschen oder einschränken; durch das Löschen des Local-Storage-Schlüssels wird der Banner beim nächsten Besuch erneut angezeigt.

7.4 Hinweis zum Google Consent Mode v2

Die Website initialisiert vor dem Setzen jedweder Einwilligung den Google Consent Mode v2 mit dem Status denied für sämtliche nicht zwingend erforderlichen Kategorien (analytics_storage, ad_storage, ad_user_data, ad_personalization, personalization_storage). Eine darüberhinausgehende Einbindung von Google-Diensten – insbesondere Google Analytics, Google Ads, Google Tag Manager – findet auf dieser Website nicht statt; ohne ausdrückliche Einwilligung werden auch dann keine Daten an Google übermittelt, wenn künftig entsprechende Skripte aktiviert würden.

7.5 Ausschluss von Tracking, Profilbildung und Werbeverarbeitung

Auf dieser Website werden ausdrücklich nicht eingesetzt: Webanalyse-Werkzeuge, Tracking-, Re-Targeting- oder Conversion-Pixel, eingebettete Social-Media-Plugins, Heatmap- oder Session-Recording-Werkzeuge, A/B-Testing-Werkzeuge mit Personenbezug sowie Fingerprinting- oder geräteübergreifende Identifizierungstechniken. Eine Profilbildung im Sinne von Art. 4 Nr. 4 DSGVO findet nicht statt. Personenbezogene Daten werden weder verkauft noch zu Zwecken der Werbung, der Marktforschung oder der Vermarktung an Dritte übermittelt. Es werden keine Direktwerbung-Maßnahmen, kein Newsletter-Versand und keine kommerziellen Folgekontakte ohne ausdrückliche, gesondert eingeholte Einwilligung durchgeführt.

Da die Hosting-Infrastruktur (Vercel, vgl. Ziffer 2) auf serverlosen Funktionen basiert und keinen dauerhaften, instanzübergreifenden Dateispeicher bereitstellt, werden die in den Ziffern 5.1 bis 5.3 genannten Eingaben (Buchungen, Kontaktnachrichten, Kundenprofile) sowie redaktionelle Konfigurationsdateien (z. B. die Liste der Behandlungen und Schulungen) zur dauerhaften Speicherung über die Versionsverwaltungs-API von GitHub in ein privates, nur für die Inhaberin und berechtigte interne Personen zugängliches Repository geschrieben.

Konkret betroffene Dateien (im privaten Repository, im Verzeichnis data/):

• bookings.json – Buchungen (Behandlungen und Schulungen) inkl. der in Ziffer 5.2 genannten Daten.
• customers.json – internes Kundenprofil gemäß Ziffer 5.3.
• messages.json – Nachrichten aus dem Kontaktformular gemäß Ziffer 5.1.
• services.json, settings.json, gallery.json, auth.json – redaktionelle Inhalte, Öffnungszeiten/Sperrzeiten, Galerie, gehashte Zugangsdaten der Inhaberin (kein Personenbezug zu Besucherinnen und Besuchern).

Übertragung und Zugriff erfolgen ausschließlich verschlüsselt (HTTPS) unter Verwendung eines geheimen, nur serverseitig hinterlegten Zugangstokens. GitHub erhält dadurch technisch Zugriff auf die in den genannten Dateien enthaltenen Klartextinhalte und protokolliert plattformseitig die zugehörigen Zugriffsmetadaten (Commit-Logs).

Zweck: Dauerhafte und konsistente Speicherung sowie Versionierung der Buchungs-, Kontakt- und Konfigurationsdaten über mehrere serverlose Instanzen hinweg.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Behandlungs- bzw. Ausbildungsvertrags), Art. 6 Abs. 1 lit. c DSGVO (Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherstellung eines konsistenten, manipulationssicheren Datenbestandes).
Auftragsverarbeitung und Drittlandübermittlung: Mit GitHub Inc. besteht ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO. GitHub Inc. ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend werden Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO als Garantie für ein angemessenes Schutzniveau verwendet. Es gelten die unter Ziffer 11 dargestellten Restrisiken einer Übermittlung in die USA.

Datenschutzerklärung GitHub: https://docs.github.com/en/site-policy/privacy-policies/github-general-privacy-statement

Der Verantwortliche trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten betroffener Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Konkret aus der Architektur dieser Website abgeleitet sind insbesondere:

• Transportverschlüsselung: erzwungene Auslieferung sämtlicher Inhalte und API-Antworten über HTTPS/TLS auf Ebene der Hosting-Plattform.
• Eingabevalidierung: serverseitige Schemavalidierung sämtlicher Formulareingaben (Pflichtfeld- und Längenprüfung, E-Mail-Format, Telefonnummer-Format, Begrenzung des freitextlichen Anmerkungsfeldes auf 500 Zeichen) zur Verhinderung von Manipulations- und Injection-Versuchen.
• Buchungsintegrität: atomare, durch ein serverseitiges Mutex serialisierte Schreibvorgänge mit nachgelagerter Lese-Verifikation und Verhinderung von Doppel- bzw. Überlappungsbuchungen.
• Zugriffsschutz Administrationsbereich: ausschließliche Speicherung von Passwörtern als bcrypt-Hash (Cost-Faktor 12), serverseitig signiertes JSON Web Token, Übertragung ausschließlich in einem HttpOnly- und Secure-Cookie mit auf sieben Tage begrenzter Lebensdauer und SameSite-Lax-Attribut.
• Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Erhebung ausschließlich der für Vertragsanbahnung, -durchführung oder Beantwortung der konkreten Anfrage erforderlichen Datenfelder. Es werden insbesondere keine Geburtsdaten, Anschriften, Zahlungs-, Gesundheits-, Tracking- oder Profilbildungsdaten erhoben.
• Gesicherte Schnittstelle zum Persistenz-Provider: Übertragung an GitHub ausschließlich transportverschlüsselt über die offizielle REST-API mit einem ausschließlich serverseitig gehaltenen Zugriffstoken; das Token wird zu keinem Zeitpunkt an Endgeräte der Website-Nutzerinnen und -Nutzer ausgeliefert.
• Zugangsbeschränkung: Lese- und Schreibzugriff auf die in Ziffer 8 namentlich genannten Dateien ist ausschließlich der Inhaberin sowie ausdrücklich berechtigten internen Personen vorbehalten; der zugehörige Authentifizierungsmechanismus ist in Ziffer 6 beschrieben.
• Trennungsgebot: Server-Logs (Ziffer 4), Einwilligungsprotokoll (Ziffer 7.2) und vertragsbezogene Daten (Ziffern 5.2, 5.3, 8) werden nicht zueinander in Beziehung gesetzt oder zu einem einheitlichen Profil verknüpft.

Die Wirksamkeit der Maßnahmen wird anlassbezogen überprüft und bei Bedarf an die technische und rechtliche Entwicklung angepasst.

Eine Weitergabe personenbezogener Daten erfolgt ausschließlich, soweit dies zur Erbringung der konkret angefragten Leistung technisch erforderlich ist oder eine gesetzliche Verpflichtung besteht. Eingebunden sind ausschließlich die folgenden Empfänger bzw. Auftragsverarbeiter:

• Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA – Hosting, Auslieferung der Website und Ausführung der serverlosen Funktionen; Auftragsverarbeitung gemäß Art. 28 DSGVO. Im Detail Ziffer 2.
• STRATO AG, Pascalstraße 10, 10587 Berlin, Deutschland – Domainverwaltung und DNS-Auflösung. Im Detail Ziffer 3.
• GitHub Inc., 88 Colin P Kelly Jr Street, San Francisco, CA 94107, USA (Tochtergesellschaft der Microsoft Corporation) – persistente Speicherung der unter Ziffer 8 namentlich aufgeführten Buchungs-, Kontakt-, Kundenprofil- und Konfigurationsdateien; Auftragsverarbeitung gemäß Art. 28 DSGVO.
• Steuerberatung und Finanzbehörden: Übermittlung steuer- und handelsrechtlich relevanter Buchungs- und Abrechnungsdaten ausschließlich im gesetzlich oder vertraglich erforderlichen Umfang (insbesondere im Rahmen der laufenden Buchführung sowie im Rahmen einer Betriebsprüfung); Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i. V. m. den jeweiligen steuer- und handelsrechtlichen Vorschriften.

Eine Übermittlung personenbezogener Daten zu Werbe-, Marktforschungs- oder Vermarktungszwecken sowie ein Verkauf personenbezogener Daten an Dritte finden ausnahmslos nicht statt. Eine Übermittlung in Drittländer ist auf die unter Ziffer 11 dargestellte Übermittlung in die USA an die vorstehend benannten Auftragsverarbeiter beschränkt.

Im Rahmen des Hostings (Vercel; vgl. Ziffer 2) und der persistenten Speicherung (GitHub; vgl. Ziffer 8) findet eine Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika statt. Die USA gelten – mit Ausnahme der ausdrücklich unter dem EU-US Data Privacy Framework zertifizierten Unternehmen – nicht als sicherer Drittstaat im Sinne von Art. 45 DSGVO.

Konkret betroffene Datenkategorien

• auf Ebene Vercel: sämtliche unter Ziffer 2 und Ziffer 4 beschriebenen Verbindungs- und Server-Logdaten sowie die im Rahmen des Aufrufs der Formulare und API-Routen übermittelten Eingabewerte zum Zeitpunkt der Verarbeitung;
• auf Ebene GitHub: ausschließlich die unter Ziffer 8 namentlich aufgeführten Buchungs-, Kontakt-, Kundenprofil- und Konfigurationsdateien.

Schutzmechanismen

• Sowohl Vercel Inc. als auch GitHub Inc. sind unter dem EU-US Data Privacy Framework zertifiziert; Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023 nach Art. 45 Abs. 3 DSGVO.
• Ergänzend werden Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO in der von der Europäischen Kommission durch Durchführungsbeschluss (EU) 2021/914 verabschiedeten Fassung als zusätzliche Garantie für die Übermittlung herangezogen.
• Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO.
• Die Übertragung erfolgt ausschließlich transportverschlüsselt (TLS); die Authentifizierung gegenüber GitHub erfolgt ausschließlich serverseitig mit einem nicht in den Browser ausgelieferten Zugriffstoken.

Restrisiko-Erklärung

Trotz der vorstehenden Garantien kann nicht vollständig ausgeschlossen werden, dass US-Sicherheits- und Strafverfolgungsbehörden auf Grundlage US-amerikanischer Überwachungsgesetze – insbesondere Section 702 des Foreign Intelligence Surveillance Act (FISA 702), Executive Order 12333 sowie des Clarifying Lawful Overseas Use of Data Act (CLOUD Act) – Zugriff auf bei US-Anbietern verarbeitete Daten erhalten. Ein dem Schutzniveau der DSGVO vollständig gleichwertiger gerichtlicher Rechtsschutz für betroffene Personen ist insoweit nicht in jedem Fall sichergestellt. Der Verantwortliche hat dieses Restrisiko vor dem Einsatz der genannten Anbieter geprüft, durch die vorstehenden zusätzlichen Garantien sowie durch konsequente Datenminimierung (Ziffer 9) auf das technisch unvermeidbare Maß reduziert und hält die verbleibende Übermittlung im Hinblick auf den ordnungsgemäßen Betrieb der Website und die Erfüllung der eingegangenen Verträge für erforderlich. Auf Verlangen teilt der Verantwortliche die konkret eingesetzten Garantien einschließlich einer Kopie der jeweils anwendbaren Standardvertragsklauseln nach Maßgabe von Art. 15 DSGVO mit (vgl. Ziffer 13).

Personenbezogene Daten werden ausschließlich so lange gespeichert, wie dies für die unter den jeweiligen Ziffern definierten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies anordnen. Im Einzelnen:

• Server-Logs (Vercel): Aufbewahrung auf Ebene des Auftragsverarbeiters nach dessen Standard-Retention für Plattform-Logs, in der Regel maximal 30 Tage. Eine eigenständige Speicherung durch den Verantwortlichen erfolgt nicht. Eine längere Aufbewahrung erfolgt ausschließlich, sofern und soweit konkrete Anhaltspunkte für einen Sicherheitsvorfall die weitere Auswertung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich machen.
• Allgemeine Kontaktanfragen ohne Vertragsbezug: Löschung, sobald das Anliegen abschließend bearbeitet ist und der weiteren Speicherung weder berechtigte Interessen noch gesetzliche Pflichten entgegenstehen, spätestens jedoch zwölf Monate nach Eingang der Anfrage.
• Terminbuchungen (Behandlungen und Ausbildungen) sowie internes Kundenprofil: für die Dauer des Vertragsverhältnisses sowie anschließend nach Maßgabe der gesetzlichen Aufbewahrungspflichten – insbesondere § 257 HGB (sechs bzw. zehn Jahre für Handelsbücher und Buchungsbelege) und § 147 Abs. 3 AO (zehn Jahre für steuerlich relevante Unterlagen). Nach Ablauf der jeweils einschlägigen Frist erfolgt die Löschung oder, soweit eine Löschung technisch nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, die Einschränkung der Verarbeitung gemäß Art. 18 DSGVO.
• Einwilligungsprotokoll (Cookie-Banner): für die Dauer des Bestehens der Einwilligung; nach deren Widerruf zusätzlich für die Dauer der regelmäßigen Verjährungsfrist von drei Jahren ab Schluss des Jahres des Widerrufs (§ 199 Abs. 1 BGB i. V. m. § 195 BGB) zur Beweissicherung der erteilten und ggf. widerrufenen Einwilligung. Anschließend erfolgt unverzügliche Löschung.
• Zugangsdaten Administrationsbereich (bcrypt-Hash, JWT-Cookie): Speicherung des Passwort-Hashes für die Dauer der Berechtigung der jeweiligen Person; das Sitzungs-Cookie adminToken verfällt automatisch nach sieben Tagen.

Mit Wegfall des Verarbeitungszwecks und Ablauf etwaiger gesetzlicher Aufbewahrungspflichten werden die betreffenden Daten unverzüglich gelöscht. Auf Antrag prüft der Verantwortliche eine vorzeitige Löschung im Einzelfall am Maßstab der Voraussetzungen von Art. 17 DSGVO.

Auf der Website befinden sich ausschließlich klassische Hyperlinks zu Profilen des Verantwortlichen bei Instagram und Facebook sowie zu einem Routenplaner-Dienst (Google Maps). Es werden ausdrücklich keine eingebetteten Inhalte, Plug-ins, iFrames, Like- oder Share-Buttons, Tracking-Pixel oder vergleichbaren Auto-Loader-Komponenten der genannten Anbieter geladen oder ausgeführt. Eine Datenübermittlung an die jeweiligen Anbieter findet erst dann statt, wenn die nutzende Person den Link aktiv anklickt; ab diesem Zeitpunkt gelten ausschließlich die Datenschutzbestimmungen des aufgerufenen Anbieters, auf die der Verantwortliche keinen Einfluss hat.

Rechtsgrundlage für die Darstellung der reinen Hyperlinks: Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse besteht in der ortsbezogenen Auffindbarkeit des Studios sowie in der Bereitstellung öffentlich zugänglicher Kontaktwege; ein gleich geeignetes, milderes Mittel zur Verlinkung externer Profile besteht nicht.

Datenschutzhinweise der verlinkten Anbieter:
https://www.facebook.com/privacy/explanation
https://privacycenter.instagram.com/policy/
https://policies.google.com/privacy

beautybar.unna@gmail.com

0179 236 4862