Datenschutzerklärung

Verantwortliche Stelle (Art. 4 Nr. 7 DSGVO)

MIYU Skinlab (Inh. Marie Bacelos)

Beethovenweg 9

33818 Leopoldshöhe

E-Mail: miyu.skinlab@gmail.com

Telefon: +49 160 5708176

1. Geltungsbereich

Diese Erklärung informiert über die Verarbeitung personenbezogener Daten von Kund:innen,

Interessent:innen, Website-Besucher:innen und Kontaktpersonen im Rahmen unseres Studios,

unserer Website sowie unserer Social-Media- und Messenger-Kommunikation.

2. Rechtsgrundlagen

Je nach Zweck verarbeiten wir Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung),

Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflichten), Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen,

z. B. IT-Sicherheit/Abwehr von Ansprüchen), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. Foto-Werbung)

sowie - bei Gesundheitsdaten - Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

3. Kategorien personenbezogener Daten

• Stammdaten (Name, Anschrift, Kontakt, Geburtsdatum)

• Termin-/Vertragsdaten (gebuchte Leistungen, Historie, Rechnungs-/Zahlungsdaten)

• Gesundheits-/Anamnesedaten (Allergien, Vorerkrankungen, Medikation,

Verträglichkeiten, Patch-Test-Ergebnisse)

• Kommunikationsdaten (E-Mails, Telefonnotizen, Nachrichten via WhatsApp Business/Instagram Direct)

• Bilddaten (Vorher/Nachher-Fotos; Marketing nur mit gesonderter Einwilligung)

• Website-/Nutzungsdaten (Server-Logs, Cookies; siehe Abschnitt 8)

4. Zwecke der Verarbeitung

• Terminabwicklung, Beratung, Durchführung und Dokumentation von Behandlungen

• Abrechnung & gesetzliche Aufbewahrung

• Kommunikation (Termine, Rückfragen, Nachbehandlung)

• IT-Sicherheit (Protokollierung, Fehleranalyse, Abwehr von Ansprüchen)

• Marketing (nur mit Einwilligung; z. B. Foto-Nutzung online/offline)

5. Terminabstimmung & Kommunikation via WhatsApp Business / Instagram Direct / Facebook

Wir bieten die Kontaktaufnahme über WhatsApp Business, Instagram Direct und Facebook Messenger

(Account: miyu.skinlab) an. Die Anbieter (WhatsApp/Meta) verarbeiten dabei eigenständig Nutzungs- und Metadaten und können Daten in Drittländer übermitteln. Bitte senden Sie über Messenger keine sensiblen Gesundheitsdaten; nutzen Sie hierfür vorzugsweise Telefon oder E-Mail.

6. Zahlungsabwicklung (Bar & PayPal)

Bei Barzahlung verarbeiten wir lediglich abrechnungsrelevante Daten (Bon/Rechnung).

Bei Nutzung von PayPal verarbeitet PayPal (Europe) S.à r.l. et Cie, S.C.A. Zahlungen als

eigene Verantwortliche nach deren Datenschutzhinweisen.

7. Empfänger & Auftragsverarbeiter

Es werden - soweit erforderlich - Auftragsverarbeiter gemäß Art. 28 DSGVO eingesetzt

(mit Auftragsverarbeitungsverträgen). Konkrete Kategorien/Anbieter:

• Website/Hosting & ggf. Consent-Banner: Google Sites – Google Ireland Limited / Google LLC

• (Bereitstellung der Website; Auslieferung über Google-Infrastruktur/CDN; Einbindung externer Inhalte möglich)

• Cloud-Speicher/Backup: Apple iCloud – Apple Distribution International Ltd. (Irland) mit globaler Infrastruktur

• E-Mail/IT-Dienstleister: Google (z. B. Gmail) – Google Ireland Limited / verbundene Konzerngesellschaften

• Steuerberatung (Kategorie) und Zahlungsdienst PayPal (jeweils eigene Verantwortliche)

• Behörden nur bei Rechtspflicht (z. B. Gesundheitsamt/Finanzamt)

8. Website, Cookies & Consent (Google Sites)

Die Website wird mit Google Sites betrieben. Essenzielle Cookies (technisch notwendig) können ohne Einwilligung eingesetzt werden (§ 25 Abs. 2 TTDSG). Nicht essenzielle Cookies/Tools (z. B. Statistik/Marketing oder eingebettete Drittinhalte wie YouTube-Videos, Google Maps, Social-Plugins) werden erst nach Einwilligung gesetzt/aktiviert (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG).

Einwilligungen können jederzeit über das Cookie-Banner/Einwilligungs-Tool verwaltet oder widerrufen werden; bis zur Einwilligung werden solche Dienste blockiert (z. B. Zwei-Klick-Lösung/Platzhalter).

9. Drittlandübermittlungen (u. a. iCloud, WhatsApp/Instagram, ggf. Google/CDN)

Sofern Dienste außerhalb des EWR eingesetzt werden oder von dort aus zugänglich sind (z. B. Apple iCloud, Google-Dienste für Hosting/Einbettungen, WhatsApp/Instagram (Meta), Content-Delivery-Networks), beruhen Übermittlungen auf einem Angemessenheitsbeschluss (soweit vorhanden, z. B. EU-US Data Privacy Framework) oder auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie zusätzlichen technischen/organisatorischen Maßnahmen (u. a. Verschlüsselung, Zugriffskontrollen, Rollen-/Berechtigungskonzepte). Restrisiken (z. B. behördliche Zugriffe im Drittland) können bestehen.

10. Speicherdauer & Löschung

• Behandlungs-/Anamnesedaten: bis sie für Zwecke nicht mehr erforderlich sind und zivilrechtliche

Verjährungsfristen abgelaufen sind; anschließend Löschung/Anonymisierung.

• Rechnungs-/Buchhaltungsdaten: 10 Jahre (§§ 146 ff. AO).

• Kommunikation: nach Erledigung, soweit keine Nachweis-/Verjährungsfristen entgegenstehen.

• Fotos (Doku/Marketing): bis Widerruf, längstens 5 Jahre, sofern keine längeren Pflichten bestehen.

11. Foto-/Video-Nutzung

Interne Fotodokumentation und werbliche Nutzung (Website/Instagram/Facebook/WhatsApp/Print)

erfolgen nur mit getrennten Einwilligungen; Widerruf ist jederzeit mit Wirkung für die Zukunft möglich.

12. Minderjährige

Leistungen für Minderjährige nur mit Einwilligung der sorgeberechtigten Person; diese wird

über Inhalte und Zwecke informiert.

13. Rechte der betroffenen Personen (Art. 15–22 DSGVO)

Sie haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und

Widerspruch gegen Verarbeitungen nach Art. 6 Abs. 1 lit. e/f DSGVO. Einwilligungen können jederzeit

widerrufen werden (Wirkung für die Zukunft). Kontakt für Rechte/Widerruf: miyu.skinlab@gmail.com

Wir antworten innerhalb eines Monats.

Beschwerderecht: Landesbeauftragte*r für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

(LDI NRW).

14. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir setzen angemessene technische und organisatorische Maßnahmen (TOM) um: Zugriffskontrollen, Verschlüsselung, Rollenkonzepte, Backups, Auftragsverarbeitungsverträge, Schulungen, Datenminimierung.

15. Pflichtangaben / Folgen der Nichtbereitstellung

Für Terminabwicklung und Behandlung sind bestimmte Daten erforderlich (Kontakt, Anamnese).

Ohne diese Daten ist eine Behandlung nicht möglich.

16. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung/Profiling im Sinne von Art. 22 DSGVO statt.

17. Aktualisierung

Wir passen diese Erklärung bei Bedarf an (z. B. neue Dienste/Gesetze).

Die aktuelle Fassung ist online abrufbar und im Studio einsehbar.

Stand: 12/2025