top of page

Datenschutzerklärung (Stand 2025)

1. Einleitung

Wir, Sohra Niazy und Ghezal Niazy, Betreiber der Kala Studio Kosmetikstudios (nachfolgend „wir“, „uns“ oder „unser“), nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Diese Datenschutzerklärung informiert Sie umfassend darüber, welche Daten wir erheben, wie wir sie verwenden, weitergeben und schützen, wenn Sie unsere Websites, Mobile-Apps und “offline” angebotenen Dienstleistungen (zusammen „unsere Services“ oder „Dienste“) nutzen bzw. in Anspruch nehmen.

Bitte lesen Sie diese Datenschutzerklärung sorgfältig durch und stellen Sie sicher, dass Sie unsere Datenschutzpraktiken verstehen. Sollten Sie mit einzelnen Regelungen nicht einverstanden sein, nutzen Sie unsere Dienste nicht weiter oder kontaktieren Sie uns, um etwaige Unklarheiten zu klären.

 

2. Verantwortlicher & Datenschutzbeauftragter

Verantwortliche Stelle
Kala Studio Kosmetikstudios
Sohra Niazy und Ghezal Niazy GbR 
Dorotheenstraße 159
22299 Hamburg
E-Mail: kontakt@kala-studio.de

Datenschutzbeauftragter
Aufgrund unserer Unternehmensgröße ist derzeit kein externer Datenschutzbeauftragter bestellt. Bei Fragen zum Thema Datenschutz wenden Sie sich bitte an die o. g. E-Mail-Adresse.

 

3. Geltungsbereich & Anwendungsbereich

Diese Datenschutzerklärung gilt für

  1. die Nutzung unserer Websites (www.kala-studio.de und etwaige Subdomains),

  2. die Verwendung unserer Mobile-App(s),

  3. die Inanspruchnahme unserer stationären Dienstleistungen in unseren Kosmetikstudios (z. B. Behandlungen, Beratungen, Workshops),

  4. alle mit Ihnen entstehenden Kommunikations- und Geschäftsbeziehungen (per E-Mail, Telefon, Online-Formulare, Terminbuchungssysteme).

Sie umfasst sowohl die Erhebung und Verarbeitung personenbezogener Daten durch technische Systeme (Cookies, Tracking, Server-Logs) als auch sämtliche analogen Vorgänge (z. B. Karteikarten, Beratungsbögen, Fotoaufnahmen) in unseren Studios.

 

4. Kategorien personenbezogener Daten & Datenquellen

4.1 Personenbezogene Daten, die wir direkt von Ihnen erheben

  • Stammdaten: Name, Anschrift, Geburtsdatum, Geschlecht, Kontaktangaben (E-Mail, Telefonnummer).

  • Termin- und Buchungsdaten: Gewünschtes Behandlungsdatum, gewählter Service, Preisinformationen, Zahlungsnachweis.

  • Gesundheits- und Hautdaten: Angaben zu Allergien, Vorerkrankungen, Hauttyp, eventuell relevante medizinische Informationen (z. B. Schwangerschaft, Hauterkrankungen), soweit diese für die Behandlungsdurchführung erforderlich sind.

  • Fotos & Videoaufnahmen: Behandlungsbegleitende Fotos (Vorher-/Nachher-Aufnahmen) oder zur Dokumentation, wenn Sie uns eine ausdrückliche Einwilligung erteilen.

  • Zahlungsdaten: Für Onlinezahlungen (Kreditkarte, PayPal, Stripe, Wix Payments) werden nur die zur Zahlungsabwicklung nötigen, von den Zahlungsdienstleistern bereitgestellten Daten übermittelt (z. B. Zahlungstoken, Transaktions-ID). Wir speichern niemals vollständige Kreditkartennummern auf unseren Systemen.

  • Kommunikationsdaten: Inhalte aus E-Mails, Chats oder Kontaktformularen, die Sie uns senden (z. B. Anfragen, Beschwerden, Feedback).

4.2 Personenbezogene Daten, die automatisch bzw. technisch generiert werden

  • Server-Log-Daten: Zeitpunkt, IP-Adresse (ggf. anonymisiert), angeforderte URL, Browsertyp, Betriebssystem, Referrer-URL, Fehlermeldungen, übertragene Datenmenge.

  • Tracking-Daten: Cookies, Web-Beacons, Pixel-Tags und ähnliche Technologien (z. B. Google Analytics, Facebook Pixel) zur Analyse der Nutzung unserer Websites.

  • Geräte- und Standortdaten: Informationen zu Ihrem Endgerät (z. B. Geräte-Modell, Betriebssystemversion) und – sofern Sie dem zugestimmt haben – grobe Standortdaten (z. B. Land, Region).

4.3 Daten, die wir von Dritten erhalten

  • Anmelde-Daten via Social Login: Sofern Sie sich über Facebook, Google oder andere Drittanbieter bei uns registrieren oder einloggen, erhalten wir von diesen Anbietern nur Daten, denen Sie dort zugestimmt haben (z. B. Name, Profilbild, E-Mail-Adresse).

  • Drittanbieter-Apps: Wenn Sie Dienste von Drittanbietern (z. B. Reservierungstools, Online-Terminbuchung über Wix, externe Gutschein- oder Bewertungsplattformen) nutzen, nehmen wir nur die Daten, die wir zwingend benötigen, in unsere Systeme auf.

 

5. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten nur, soweit und solange dies für einen der folgenden Zwecke erforderlich ist:

Zweck der Verarbeitung

Zweck 1 – Vertragsabwicklung & Leistungserbringung
• Beschreibung: Terminverwaltung, Behandlungsdurchführung, Rechnungs- und Zahlungsabwicklung.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• Betroffene Daten: Stammdaten, Buchungsdaten, Zahlungsdaten.

Zweck 2 – Pflichten aus Gesetzen
• Beschreibung: Erfüllung steuerlicher, handelsrechtlicher oder medizinischer Aufbewahrungspflichten.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung).
• Betroffene Daten: Rechnungsdaten, Buchungsdaten, Gesundheitsdaten (je nach gesetzlicher Pflicht).

Zweck 3 – Marketing & Newsletter (nur mit Einwilligung)
• Beschreibung: Versand von Newslettern, Angeboten, Einladungen zu Events.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
• Betroffene Daten: E-Mail-Adresse, ggf. Name und Präferenzen.

Zweck 4 – Berechtigtes Interesse
• Beschreibung:

  1. Verbesserung unserer Dienstleistungen und Website-Performance

  2. Analyse von Nutzungsstatistiken (z. B. Google Analytics, Meta Pixel)

  3. IT-Sicherheit, Betrugsprävention, Aufklärung von Missbrauch
    • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
    • Betroffene Daten: Log-Daten, Tracking-Daten, anonymisierte Statistiken.

Zweck 5 – Erfüllung gesetzlicher Pflichten im Gesundheitsbereich
• Beschreibung: Dokumentation von Behandlungen, ärztlich vorgeschriebene Aufzeichnungen.
• Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung)

  • Bei besonderen Gesundheitsdaten: Art. 9 Abs. 2 lit. h DSGVO (für öffentliche Gesundheitszwecke)
    • Betroffene Daten: Gesundheitsdaten, Behandlungsdaten.

Zweck 6 – Einwilligung für sensible Daten (z. B. Gesundheitsdaten)
• Beschreibung: Erhebung von Allergien, Vorerkrankungen, Hautbildern, Schwangerschaftsstatus.
• Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (Einwilligung bei besonderen Kategorien personenbezogener Daten).
• Betroffene Daten: Gesundheitsdaten, Fotos/Videos (Vorher-Nachher-Aufnahmen).

Zweck 7 – Auskunftsersuchen und Informationspflichten gegenüber Behörden
• Beschreibung: Beantwortung von Betroffenenanfragen, Kooperation mit Datenschutzbehörden.
• Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Pflichten)

  • Art. 15 DSGVO (Auskunftsrecht)
    • Betroffene Daten: alle personenbezogenen Daten, die vom Auskunftsersuchen betroffen sind.

 

 

6. Weitergabe und Offenlegung von Daten

6.1 Auftragsverarbeiter & Dienstleister

Wir bedienen uns ausgewählter externer Dienstleister, die uns beim Betrieb unserer Studios und Online-Auftritte unterstützen. Vertraglich sind diese Dienstleister zur Einhaltung der Datenschutzgesetze (Art. 28 DSGVO) verpflichtet:

  • Hosting & IT-Infrastruktur (Wix.com Ltd., Wix Payments, Stripe, PayPal, Google Cloud, Microsoft Azure o. Ä.)

  • Marketing-Tools & Newsletter-Versandt (Mailchimp, Sendinblue, Brevo, Eloqua)

  • Analyse- und Trackingdienste (Google Analytics, Meta Pixel, Hotjar, Matomo)

  • Zahlungsdienste (Wix Payments, Stripe, PayPal)

  • Cloud- & Speicherlösungen (z. B. Dropbox Business, AWS S3, Google Drive)

  • Externe Buchhaltung und Steuerberatung (steuerberatende Partner)

6.2 Offenlegung zu sonstigen Zwecken

Wir können Ihre Daten darüber hinaus in folgenden Fällen offenlegen:

„Wir können Ihre Daten auch unter folgenden Umständen offenlegen:
(i) um rechtswidrige Aktivitäten oder sonstiges Fehlverhalten zu untersuchen, aufzudecken, zu verhindern oder dagegen vorzugehen;
(ii) um unsere Rechte zur Verteidigung geltend zu machen oder auszuüben;
(iii) um unsere Rechte, unser Eigentum oder unsere persönliche Sicherheit sowie die Sicherheit unserer Nutzer oder der Öffentlichkeit zu schützen;
(iv) im Falle eines Kontrollwechsels bei uns oder bei einem unserer verbundenen Unternehmen (im Wege einer Verschmelzung, des Erwerbs oder Kaufs (im Wesentlichen) aller Vermögenswerte u. a.);
(v) um Ihre Daten mittels befugter Drittanbieter zu erfassen, vorzuhalten und/oder zu verwalten (z. B. Cloud-Service-Anbieter), soweit dies für geschäftliche Zwecke angemessen ist;
(vi) um mit Drittanbietern gemeinsam an der Verbesserung Ihres Nutzererlebnisses zu arbeiten.
Zur Vermeidung von Missverständnissen möchten wir darauf hinweisen, dass wir nicht personenbezogene Daten nach eigenem Ermessen an Dritte übermitteln bzw. weitergeben oder anderweitig verwenden können.“

6.3 Soziale Interaktionen, Foren & Bewertungen

„Bitte beachten Sie, dass unsere Dienste soziale Interaktionen (z. B. Inhalte, Informationen und Kommentare öffentlich posten und mit anderen Nutzern chatten) ermöglichen. Wir weisen Sie darauf hin, dass alle Inhalte oder Daten, die Sie in diesen Bereichen zur Verfügung stellen, von anderen Personen gelesen, erfasst und verwendet werden können. Wir raten davon ab, Informationen zu posten oder mit anderen zu teilen, die Sie nicht öffentlich machen wollen. Wenn Sie Inhalte auf unseren digitalen Assets hochladen oder anderweitig im Rahmen der Nutzung eines Dienstes zur Verfügung stellen, erfolgt dies auf eigenes Risiko. Wir können nicht die Aktionen anderer Nutzer oder Mitglieder der Öffentlichkeit mit Zugriff auf Ihre Daten oder Inhalte kontrollieren.“

Das heißt:

  • Kommentare, Bewertungen, Forenbeiträge etc. sind öffentlich zugänglich.

  • Betroffene Daten (z. B. Ihr Nutzername, Foto, Kommentartext) können von anderen Nutzern gespeichert oder weiterverwendet werden.

  • Denken Sie bitte stets daran, keine vertraulichen oder sensiblen Details in öffentliche Bereiche einzustellen.

 

7. Cookies & Tracking-Technologien

7.1 Verwendete Cookie-Kategorien

  1. Unbedingt erforderliche Cookies (technisch notwendig)
    – Ermöglichen grundlegende Basisfunktionen, z. B. Warenkorbfunktion, Sitzungsmanagement, Sicherheitseinstellungen.
    – Werden ohne Ihre Zustimmung gesetzt, da sonst der Betrieb unserer Website nicht möglich wäre.

  2. Performance-/Analytics-Cookies
    – Z. B. Google Analytics, Matomo, Hotjar.
    – Erfassen anonymisierte Nutzungsdaten (Seitenaufrufe, Verweildauer, Klickverhalten), um die Leistung unserer Dienste zu optimieren.
    – Grundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

  3. Funktionale Cookies
    – Speichern individuelle Einstellungen (Sprache, bevorzugte Ansicht, Anmeldeinformationen, Cookie-Status), damit Sie eine personalisierte Erfahrung haben.
    – Grundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), wenn technisch nicht unbedingt erforderlich.

  4. Marketing-/Tracking-Cookies
    – Ermöglichen uns und unseren Werbepartnern, besuchsübergreifende Profile zu erstellen, um Ihnen personalisierte Werbung zu zeigen (z. B. Google Ads, Facebook Ads, Affiliate-Netzwerke).
    – Grundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

7.2 Cookie-Banner & Einwilligungssteuerung

  • Beim ersten Besuch unserer Websites erscheint ein Cookie-Banner; Sie können auswählen, ob Sie Marketing-/Tracking- sowie Performance-/Analytics-Cookies zulassen möchten.

  • Unbedingt erforderliche Cookies sind technisch notwendig und werden unabhängig von Ihrer Einwilligung gesetzt.

  • Sie können Ihre Cookie-Einstellungen jederzeit ändern, indem Sie auf das Cookie-Einstellungen-Symbol (ggf. Fußbereich der Webseite) klicken oder den Browser so konfigurieren, dass er neue Cookies verwirft bzw. Sie bei neuen Cookies warnt.

  • Wix-integrierter Cookie-Banner: Wir verwenden das Cookie-Banner von Wix. Es deckt alle Wix-eigenen Funktionen (Wix Analytics, Wix Payments, Wix Bookings, Google Maps, Facebook Like-Button usw.) ab. Drittanbieter-Apps aus dem Wix-App-Markt oder benutzerdefinierte JavaScript-Einbettungen sind jedoch nicht automatisch durch das Banner geschützt.

    • Ihre Verantwortung:

      • Drittanbieter-Apps (installiert über den Wix App-Markt) und benutzerdefinierter Code müssen ggf. manuell blockiert werden, bis Ihre ausdrückliche Einwilligung vorliegt.

      • Prüfen Sie unter „Apps verwalten“ in der Wix-Admin-Oberfläche, welche Apps Sie nutzen.

      • Code-Schnipsel (z. B. Custom HTML/JavaScript) können Sie über das Cookie-Banner manuell blockieren, bis der Nutzer zustimmt.

Mehr Details finden Sie in unserer separaten [Cookie-Richtlinie].

 

8. Verarbeitung besonderer Kategorien personenbezogener Daten

8.1 Gesundheitsdaten & Kosmetikspezifische Daten

Im Rahmen kosmetischer Behandlungen können wir von Ihnen besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeiten, darunter z. B.:

  • Informationen über Hauterkrankungen, Allergien, Vorerkrankungen, Medikationen

  • Schwangerschaftsstatus

  • Ess- oder Verhaltensstörungen (wenn für Behandlungsplanung relevant)

Rechtsgrundlage:

  • Ihre ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) vor jeder Datenerhebung.

  • Aufbewahrungspflichten: Sofern die Daten für die Erfüllung gesetzlicher Anforderungen (z. B. Hygienevorschriften, ärztliche Dokumentationspflichten) notwendig sind, stützen wir uns zusätzlich auf Art. 9 Abs. 2 lit. h DSGVO (Bereitstellung von Gesundheits- oder Sozialfürsorge).

8.2 Fotos/Videos („Vorher-/Nachher-Bilder“)

  • Wir erstellen in Einzelfällen Fotos für Ihre Kartei (z. B. Hautbefund, Behandlungsverlauf) oder zu Marketingzwecken.

  • Hierfür holen wir stets eine separate Einwilligung ein (schriftlich oder digital).

  • Sie können die Einwilligung jederzeit widerrufen; wir löschen dann unverzüglich die betreffenden Aufnahmen, sofern keine gesetzlichen Aufbewahrungspflicht (z. B. bei ärztlich dokumentierten Behandlungen) entgegensteht.

 

9. Speicherdauer

  • Termin- und Zahlungsdaten: i. d. R. 6 Jahre (Handels- und steuerrechtliche Aufbewahrungsfrist).

  • Vertragsunterlagen, Gesundheitsdaten: Je nach Vorgabe mindestens 10 Jahre (medizinische Dokumentationspflicht).

  • Kommunikationsdaten (E-Mails, Chatverläufe): Bis zu 3 Jahre nach letztem Kontakt, sofern keine weitergehende gesetzliche Aufbewahrungspflicht vorliegt.

  • Log-Dateien, Tracking-Daten: Maximal 26 Monate (Google Analytics) oder 13 Monate (Meta Pixel), danach anonymisiert bzw. gelöscht.

  • Newsletter- und Marketingdaten: Solange Sie der Zusendung zustimmen bzw. bis Sie Ihr Widerrufsrecht ausüben.

Nach Ablauf dieser Fristen werden die jeweiligen Daten routinemäßig gelöscht oder anonymisiert, sofern keine gesetzlichen oder berechtigten Interessen unsererseits einer sofortigen Löschung entgegenstehen.

 

10. Datensicherheit & technische Maßnahmen

Wir setzen umfassende technische und organisatorische Maßnahmen (TOMs) ein, um Ihre Daten bestmöglich zu schützen – insbesondere:

  1. Verschlüsselung

    • Volle HTTPS/SSL-Verschlüsselung unserer Websites.

    • Bei sensiblen Formularen (z. B. Zahlungsdaten, Gesundheitsangaben) zusätzliches TLS-Protokoll.

  1. Zugriffskontrollen & Rechtemanagement

    • Minimalprinzip (Least Privilege): Alle Mitarbeiter erhalten nur Zugriff auf Daten, die zur Aufgabenerfüllung zwingend notwendig sind.

    • Verschiedene Rollen und Berechtigungen im Content-Management-System (Wix) und in unserer internen Datenbank (z. B. Terminverwaltung).

  1. Pseudonymisierung & Anonymisierung

    • Bei statistischen Auswertungen oder Marketingreports werden personenbezogene Daten pseudonymisiert oder anonymisiert.

    • Logdaten werden nach 26 Monaten (Google Analytics) bzw. 13 Monaten (Meta Pixel) automatisch anonymisiert.

  1. Backup & Notfallkonzept

    • Tägliche Backups der Datenbanken auf getrennten Servern.

    • Definierte Backup-Aufbewahrungsfristen.

    • Regelmäßige Restore-Tests, um Verfügbarkeit im Notfall sicherzustellen.

  1. Firewall & Virenschutz

    • Unsere Server sind durch Firewall-Lösungen geschützt.

    • Regelmäßige Updates aller Betriebssysteme und Applikationen.

    • Aktive Viren-/Malware-Scans auf Endgeräten und Servern.

  1. Vertraulichkeitsvereinbarungen & Schulungen

    • Alle Mitarbeiter und externen Dienstleister unterzeichnen eine Vertraulichkeitsvereinbarung (NDA).

    • Regelmäßige Schulungen zu Datenschutz, IT-Sicherheit und DSGVO-Richtlinien.

  1. Zugriff von Drittanbietern

    • Unsere Hosting- und Zahlungsdienstleister (Wix, Stripe, PayPal, Google Cloud, Meta) sind vertraglich zur Einhaltung von Datenschutz und Datensicherheit gemäß Art. 28 DSGVO verpflichtet.

    • Alle Daten, die diese Drittanbieter verarbeiten, liegen in Rechenzentren, die mindestens den ISO 27001-Standard erfüllen und in Regionen operieren, die ein angemessenes Datenschutzniveau (z. B. EU-Standardvertragsklauseln) bieten.

Hinweis: Trotz aller Maßnahmen kann keine vollständig risikofreie Datenübertragung garantiert werden. Wir empfehlen Ihnen, sichere Passwörter zu verwenden und keine hochsensiblen Daten (z. B. Bankverbindungen) unverschlüsselt per E-Mail an uns zu übermitteln.

 

11. Einbindung Dritter & Internationale Datenübermittlung

11.1 Einbindung von Drittanbietern

  • Google Analytics: Wir nutzen Google Analytics (mit aktivierter IP-Anonymisierung) zur Auswertung der Website-Nutzung. Dabei werden Cookies auf Ihrem Endgerät gesetzt. Grundlage ist Ihr Opt-In (Art. 6 Abs. 1 lit. a DSGVO).

  • Meta Pixel (Facebook Ads): Zur Erfolgsmessung unserer Werbekampagnen binden wir das Meta Pixel ein. Ihr Browsing-Verhalten wird dabei pseudonymisiert erfasst. Grundlage ist ebenfalls Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

  • Google Maps: Zur Anzeige unserer Standorte nutzen wir Google Maps. Durch die Einbindung werden Ihre IP-Adresse und Ihr Standort an Google weitergegeben.

  • Facebook Like-Button, Instagram-Feed: Sofern auf unserer Seite vorhanden, werden Social-Plugins eingesetzt. Diese Plugins können Daten (z. B. IP-Adresse) an Meta-Plattformen übermitteln, sobald Sie die Seite aufrufen.

Bitte beachten Sie: Diese Drittanbieter unterliegen eigenen Datenschutzbestimmungen. Weitere Infos finden Sie in den Datenschutzrichtlinien der jeweiligen Dienste.

11.2 Datenübermittlung in Drittstaaten

Im Rahmen der Nutzung von externen Dienstleistern (Wix, Stripe, PayPal, Google, Meta etc.) kann es zur Übertragung von personenbezogenen Daten in Länder außerhalb der EU/EWR kommen (z. B. USA, Israel, Südkorea). Wir stellen sicher, dass:

  • Standardvertragsklauseln der EU geschlossen werden,

  • angemessene technische und organisatorische Sicherungsmaßnahmen angewandt werden,

  • oder alternative Mechanismen (z. B. Binding Corporate Rules) genutzt werden.

Eine vollständige Liste der von uns eingesetzten Drittanbieter und deren Sitzländer können Sie auf Anfrage jederzeit von uns erhalten (kontakt@kala-studio.de).

 

12. Rechte der Betroffenen (nach DSGVO)

Als betroffene Person steht Ihnen Folgendes zu:

  1. Auskunftsrecht (Art. 15 DSGVO)
    Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, haben Sie das Recht auf Zugriff auf diese Daten sowie auf weitere Informationen (Verarbeitungszwecke, Empfänger etc.).

  2. Recht auf Berichtigung (Art. 16 DSGVO)
    Sind Ihre bei uns gespeicherten Daten unrichtig oder unvollständig, können Sie deren Berichtigung oder Vervollständigung verlangen.

  3. Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
    Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern

    • die Daten für die genannten Zwecke nicht mehr erforderlich sind,

    • Sie Ihre Einwilligung widerrufen und keine andere Rechtsgrundlage besteht,

    • Sie der Verarbeitung widersprechen und keine vorrangigen berechtigten Gründe vorliegen,

    • Daten unrechtmäßig verarbeitet wurden,

    • die Löschung gesetzlich vorgeschrieben ist (z. B. Löschpflicht nach HGB).

  1. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
    Statt Löschung können Sie in bestimmten Fällen (z. B. wenn die Richtigkeit der Daten bestritten wird) eine Einschränkung der Verarbeitung verlangen. Wir markieren die Daten dann entsprechend und verwenden sie nur eingeschränkt.

  2. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, oder die Übermittlung an einen anderen Verantwortlichen zu verlangen, soweit die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht.

  3. Widerspruchsrecht (Art. 21 DSGVO)
    Sie können jederzeit der Verarbeitung Ihrer personenbezogenen Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Betroffen ist insbesondere Verarbeitung auf Basis von Art. 6 Abs. 1 lit. e oder f DSGVO (berechtigtes Interesse). Wird dem Widerspruch stattgegeben, verarbeiten wir Ihre Daten nicht mehr, sofern keine vorrangigen legitimen Gründe vorliegen.

  4. Widerruf von Einwilligungen (Art. 7 DSGVO)
    Sie können Ihre einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (z. B. im Cookie-Banner, Newslettern oder Formularen). Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt.

  5. Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
    Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen (in Deutschland z. B. Landesdatenschutzbeauftragte/r Ihres Bundeslandes).

Ausübung der Rechte
Bitte richten Sie Ihre Anfragen zur Ausübung Ihrer Betroffenenrechte an:
E-Mail: kontakt@kala-studio.de

 

13. Zusätzliche Rechte nach kalifornischem Verbraucherschutzgesetz (CCPA)

Falls Sie als Einwohner Kaliforniens („Consumer“) unsere Services nutzen, stehen Ihnen nach dem California Consumer Privacy Act (CCPA) folgende zusätzliche Rechte zu:

  1. Recht auf Auskunft („Right to Know“)
    Sie können Auskunft darüber verlangen, welche Kategorien personenbezogener Daten wir in den letzten 12 Monaten über Sie erhoben haben, mit welchen Kategorien von Drittparteien wir Ihre Daten geteilt haben, sowie den spezifischen Datenanforderungen.

  2. Recht auf Löschung („Right to Delete“)
    Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, die wir in den letzten 12 Monaten erhoben oder erhalten haben, sofern keine Ausnahme greift (z. B. gesetzliche Aufbewahrungspflichten, Verbraucherrecht).

  3. Recht auf Nicht-Verkauf Ihrer Daten („Right to Opt-Out“)
    Wir verkaufen keine personenbezogenen Daten an Dritte.

  4. Recht auf gleiche Servicequalität („Right to Non-Discrimination“)
    Bei Ausübung Ihrer Rechte dürfen wir Sie nicht diskriminieren (z. B. durch Preiserhöhungen, Serviceeinschränkungen).

Um Ihre CCPA-Rechte auszuüben, senden Sie bitte eine E-Mail mit dem Betreff „California Privacy Rights“ an kontakt@kala-studio.de – vollständige Anfragen erkennen wir nur an, wenn alle erforderlichen Informationen (Name, E-Mail, Nachweis des kalifornischen Wohnsitzes) enthalten sind.

 

14. Datenschutzerklärung für Datenverarbeitung in unseren Studios („Offline“-Bereich)

14.1 Kundenkarteikarte & Papierformulare

In unseren Kosmetikstudios erfassen wir zu Behandlungszwecken teils analog:

  • Persönliche Daten (Name, Anschrift, Geburtsdatum, Telefonnummer)

  • Gesundheits- und Hautdaten (z. B. Allergien, Vorerkrankungen, Hauttyp)

  • Behandlungsprotokolle, Beratungsnotizen, Vorher-/Nachher-Bilder (nur mit Einwilligung)

Diese personenbezogenen Daten werden in verschlossenen Karteikästen oder gesicherten Schränken (zugriffsgeschützt) aufbewahrt. Der Zugriff erfolgt nur durch autorisiertes Personal (Kosmetikerinnen, Studioleitung). Nach Abschluss der Aufbewahrungsfristen (Kapitel 9) werden Analogen Unterlagen datenschutzkonform vernichtet (Schreddern).

14.2 Video-/Fotoaufnahmen

  • Aufnahmen zu Diagnose- oder Dokumentationszwecken fertigen wir nur nach ausdrücklicher Einwilligung an.

  • Marketing- oder Social-Media-Zwecke: Fotos/Videos werden nur gemacht, wenn Sie dies freiwillig gestatten. Sie können jederzeit die Löschung verlangen.

14.3 Terminbuchungssystem („Wix Bookings“)

  • Online-Terminbuchung über Wix Bookings: Wir erhalten nur die Daten, die Sie selbst eingeben (Name, E-Mail, Telefonnummer, gewünschter Service, Terminzeit).

  • Vor-Ort-Bezahlung-Option: wurde deaktiviert; Kunden bezahlen ausschließlich online (Wix Payments, PayPal, Stripe) vor Terminbeginn.

  • Zahlungsdaten: Werden vollständig von Wix oder den Zahlungsdienstleistern verschlüsselt verarbeitet; wir speichern lediglich eine Transaktions-ID zur Zuordnung.

 

15. Technische & Organisatorische Maßnahmen (TOMs) – „Best gesichertste“ Standards

Um den höchstmöglichen Schutz Ihrer Daten zu gewährleisten, setzen wir folgende Maßnahmen ein:

15.1 Physische Sicherheit & Zutrittskontrollen

  • Unsere Studios sind alarmgesichert, mit Zugangskontrolle sowie Kamerabeaufsichtigung in öffentlichen Bereichen (Datenschutz durch Technikgestaltung).

  • Aktenräume und Schränke, in denen personenbezogene Daten in Papierform lagern, sind abschließbar. Nur berechtigte Mitarbeiter haben Zutritt (Schlüsselkasten mit Protokoll).

  • Serverräume und Geräte, auf denen digitale Daten gespeichert sind, befinden sich in gesicherten, klimatisierten Räumen, nur zugänglich für IT-Administratoren.

15.2 Verschlüsselung & Netzwerksicherheit

  • Websites und Mobile-App: TLS/SSL-Verschlüsselung (HTTPS, HSTS-Header).

  • Datenbanken & Backups: Verschlüsselte Speicherung (AES-256) auf Servern, die ISO 27001- und PCI-DSS-zertifiziert sind.

  • VPN & Firewalls: Eingehender und ausgehender Datenverkehr wird über Firewalls geprüft; Mitarbeiterzugriffe von extern werden nur per VPN mit 2-Faktor-Authentifizierung (2FA) ermöglicht.

15.3 Zugriffskontrolle & Berechtigungskonzept

  • Least-Privilege-Prinzip: Jeder Mitarbeiter erhält nur minimale Berechtigungen, die zur Erfüllung seines Aufgabengebiets erforderlich sind.

  • Regelmäßige Überprüfung: Monatliche Audits der Nutzerkonten und Berechtigungen in unseren Systemen (Wix, interne CRM-Software).

  • Passwort-Richtlinien: Komplexitätsanforderungen (mind. 12 Zeichen, Kombination aus Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) und 90-Tage-Wechselpflicht.

  • 2FA: Aktiviert bei allen Administrationszugängen (E-Mail, Hosting-Portal, Datenbank-Admin, Zahlungsdienstleister-Dashboards).

15.4 Pseudonymisierung & Datenminimierung

  • Archivierung: Sobald Daten nur noch für statistische Zwecke benötigt werden, werden Sie pseudonymisiert.

  • Anonymisierte Reports: Nutzungsstatistiken und Log-Analysen erfolgen standardmäßig anonymisiert.

  • Datenminimierung: Nur erforderliche Daten werden erhoben. Beispiel: Wir fragen nur dann nach dem Geburtsdatum, wenn es zur Altersprüfung bei bestimmten Behandlungen erforderlich ist.

15.5 Betrugsprävention & Sicherheitsüberwachung

  • Intrusion Detection System (IDS): Erkennt und meldet unautorisierte Zugriffsversuche auf unsere Server.

  • Vulnerability Scans & Penetration Tests: Halbjährlich durch externe IT-Security-Dienstleister, um potenzielle Schwachstellen zu identifizieren.

  • Antivirus-Software & automatische Updates: Laufender Schutz vor Schadsoftware auf allen Endgeräten.

  • Log-Monitoring: 24/7-Überwachung zentraler System- und Zugriffsprotokolle.

15.6 Mitarbeiter-Schulungen & Vertraulichkeitsvereinbarung

  • Onboarding-Schulung: Jeder neue Mitarbeiter durchläuft eine DSGVO- und IT-Sicherheits-Einführung.

  • Jährliche Auffrischung: Pflichtteilnahme an Datenschutz-Workshops (z. B. Awareness-Kampagnen, Phishing-Simulation).

  • Vertraulichkeitserklärung (NDA): Alle Mitarbeiter und externen Dienstleister unterzeichnen eine Geheimhaltungsvereinbarung, in der sie sich verpflichten, personenbezogene Daten streng vertraulich zu behandeln.

 

16. Umgang mit Datenpannen (Data Breach)

Sollte es trotz aller Maßnahmen zu einer Datenschutzverletzung („Data Breach“) kommen, gelten bei uns folgende Prozesse:

  1. Sofortige Erstbewertung: IT-Security-Team prüft Art und Umfang des Vorfalls.

  2. Eindämmung: Betroffene Systeme werden isoliert, um weitere Schäden zu verhindern.

  3. Bewertung der Eintrittswahrscheinlichkeit & Schwere: Feststellung, ob ein Risiko für die Betroffenen vorliegt.

  4. Meldung an Aufsichtsbehörde: Bei meldepflichtigen Vorfällen innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde (z. B. Hamburgische Landesbeauftragte für Datenschutz und Informationsfreiheit), sofern ein hohes Risiko für Betroffene nicht ausgeschlossen werden kann.

  5. Information der Betroffenen: Betroffene werden unverzüglich und transparent in geeigneter Form (E-Mail oder Post) informiert, falls persönliche Daten offengelegt wurden und ein hohes Risiko besteht (z. B. Identitätsdiebstahl, finanzielle Schäden).

  6. Beteiligung externer Experten: Gegebenenfalls hinzuziehen von IT-Forensikern, Datenschutzberatern und Rechtsanwälten.

  7. Dokumentation & Präventionsmaßnahmen: Vollständige Dokumentation des Vorfalls, Maßnahmen zur Beseitigung und Verstärkung künftiger Sicherheitsvorkehrungen.

 

17. Einbindung Sozialer Netzwerke & Bewertungen

  • Facebook, Instagram, TikTok & Co.
    Wenn Sie Inhalte (z. B. Fotos, Kommentare, Bewertungen) auf unseren Social-Media-Kanälen posten oder mit uns interagieren, müssen Sie damit rechnen, dass Ihre Angaben öffentlich sichtbar sind.

  • Bewertungsportale (z. B. Jameda, Google My Business)
    Ursprüngliche Bewertungen können von Dritten eingesehen und zitiert werden. Bitte beachten Sie vorab, welche personenbezogenen Daten Sie in Rezensionen veröffentlichen.

  • Foren & Chats auf unseren Plattformen
    Sofern wir Foren oder Chatrooms anbieten, gelten für dort gepostete Inhalte dieselben Hinweise wie unter Abschnitt 6.3.

 

18. Datenerhebung durch Dritte (z. B. Google, Facebook) und Ihre Möglichkeiten

  • Google Fonts / Google Maps: Schriftarten und Kartenmaterial werden von Google-Servern nachgeladen, wodurch Google erkennt, dass jemand Ihre IP-Adresse besucht hat. Näheres entnehmen Sie der Datenrichtlinie von Google: https://policies.google.com/privacy

  • YouTube-Einbettungen: Videos werden im „Erweiterten Datenschutzmodus“ eingebunden, um möglichst wenige Cookies vorab zu setzen. Dennoch werden ggf. personenbezogene Daten an YouTube/Google übermittelt.

  • Facebook & Instagram Plugins: Bereits das Laden dieser Plugins löst eine Verbindung zu Facebook-Servern aus und kann Informationen über Ihr Nutzungsverhalten über Plattformen hinweg sammeln.

Ihr Recht: Sie können in den Einstellungen Ihres Browsers das Setzen von Drittanbieter-Cookies unterbinden. Nutzen Sie ggf. Browser-Add-ons („uBlock Origin“, „Privacy Badger“) oder spezielle Datenschutz-Plugins, um externe Tracker zu blockieren.

 

19. Minderjährigenschutz

Unsere Kosmetikdienstleistungen richten sich grundsätzlich an volljährige Personen (mindestens 18 Jahre). Falls Minderjährige (unter 16 Jahre) unsere Dienste nutzen möchten, ist die schriftliche Zustimmung der Erziehungsberechtigten zwingend erforderlich. Wir erheben keine wissentlich personenbezogenen Daten von Kindern unter 16 Jahren ohne Zustimmung ihrer Eltern. Sollten wir Kenntnis erhalten, dass personenbezogene Daten eines Kindes unter 16 Jahren ohne entsprechende Einwilligung vorliegen, werden wir diese Daten umgehend löschen, es sei denn, gesetzliche Aufbewahrungsfristen stehen dem entgegen.

 

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung jederzeit ohne Vorankündigung zu ändern. Die jeweils aktuelle Fassung finden Sie auf unserer Website unter www.kala-studio.de/datenschutz. Wesentliche Änderungen, die Ihre Rechte erheblich beeinflussen, werden wir Ihnen gesondert per E-Mail (sofern vorhanden) oder durch einen Hinweis auf unserer Website mitteilen.

Ihr weiterer Besuch unserer digitalen Services gilt als Zustimmung zur jeweils aktuellen Datenschutzerklärung.

 

21. Kontakt & Beschwerden

Sie haben Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder möchten eines Ihrer Betroffenenrechte ausüben? Dann kontaktieren Sie uns bitte:

Sohra Niazy und Ghezal Niazy GbR, 
Kala Studio Kosmetikstudio
Dorotheenstraße 159
22299 Hamburg
E-Mail: kontakt@kala-studio.de

Sollten Sie der Ansicht sein, dass wir gegen datenschutzrechtliche Vorschriften verstoßen haben oder Ihre Anfragen nicht zufriedenstellend beantwortet wurden, steht es Ihnen frei, eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzureichen. 

22. Rechtlicher Hinweis

Diese Datenschutzerklärung stellt keine Rechtsberatung dar. Trotz sorgfältiger Pflege kann keine Garantie dafür übernommen werden, dass diese Erklärung alle rechtlichen Anforderungen dauerhaft erfüllt. Für eine rechtsverbindliche Prüfung und Anpassung empfehlen wir die Konsultation eines fachkundigen Datenschutzanwalts oder spezialisierten Dienstleisters.

 

Ende der Datenschutzerklärung

bottom of page