Rechtliches
Datenschutzerklärung
Diese Datenschutzerklärung informiert dich über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf dieser Website (Art. 13 DSGVO). Verantwortlich ist Sofie Reinik, LASH AFFAIR, Oderstraße 39, 73529 Schwäbisch Gmünd. Kontakt: [email protected].
1. Welche Daten verarbeiten wir?
Bei einer Terminbuchung erheben wir die von dir angegebenen Daten: Name, E-Mail-Adresse, optional Telefonnummer sowie freiwillige Angaben (Quelle/„Wie hast du uns gefunden", Notizen). Diese Daten werden ausschließlich zur Terminabwicklung, Bestätigung und Kontaktaufnahme verwendet.
Bei einer Newsletter-Anmeldung erheben wir deine E-Mail-Adresse. Technisch erzeugen wir zusätzlich zwei zufällige Tokens (Confirmation-Token, Unsubscribe-Token), die das Double-Opt-In-Verfahren und eine sichere Abmeldung ermöglichen.
Im Browser speichern wir während der Buchung deinen Formular-Zwischenstand
(Service-Auswahl, Datum, Kontaktdaten) lokal in deinem Browser unter dem Schlüssel
lash-affair-booking-v2 (localStorage). So musst du beim Wechseln zwischen den Buchungs-Schritten
nichts erneut eingeben. Diese Daten verlassen deinen Browser nicht und werden nach Abschluss bzw. Abbruch
der Buchung wieder gelöscht.
Aus technischen Gründen speichern wir bei Buchungen und Newsletter-Anmeldungen einen
SHA-256-Hash deiner IP-Adresse mit serverseitigem Salt – die IP selbst
wird zu keinem Zeitpunkt persistiert. Dies dient ausschließlich der Missbrauchs-Erkennung
(Rate-Limiting). Der Hash-Wert wird nach 30 Tagen automatisch auf NULL gesetzt
(Anonymisierung).
2. Rechtsgrundlagen
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – deine Buchung zu bearbeiten.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – für das Speichern deiner Daten, das du in der Buchung bestätigst, sowie für den Newsletter-Versand (zusätzlich § 7 Abs. 2 Nr. 3 UWG).
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – für die Sicherheits-Protokollierung (IP-Hash), Rate-Limiting und den Bot-Schutz.
3. Weitergabe an Dritte
- Cloudflare, Inc. – Hosting (Cloudflare Pages), Datenbank (D1, EU-Region) und Bot-Schutz (Turnstile). Mit Cloudflare besteht ein Auftragsverarbeitungs-Vertrag (DPA).
- Google LLC (Google Calendar) – dein Termin wird in unseren Studio-Kalender eingetragen.
Google sendet in unserem Auftrag automatisch eine Kalender-Einladung an deine E-Mail-Adresse
(Parameter
sendUpdates=all). Übertragene Daten: Service-Name, Datum/Uhrzeit, deine E-Mail-Adresse, optional deine Notizen. - Resend, Inc. – technischer Mail-Versand. Pro Buchung werden zwei Mails verschickt (Bestätigung an dich + interne Benachrichtigung an unser Studio); im Newsletter-Flow erfolgt der Versand der Bestätigungs- und der späteren Newsletter-Mails ebenfalls über Resend. Übertragene Daten: Empfänger-Adresse und Mail-Inhalt.
4. Speicherdauer
Buchungsdaten bleiben gespeichert für die Dauer der Geschäftsbeziehung – also solange die Möglichkeit besteht, dass du erneut einen Termin bei uns buchst – sowie für die gesetzlichen Aufbewahrungsfristen aus Handels- und Steuerrecht (z. B. §§ 257 HGB, 147 AO, regulär bis zu 10 Jahre für rechnungs- und buchhaltungsrelevante Unterlagen). Auf Anforderung gemäß Art. 17 DSGVO werden deine personenbezogenen Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Der IP-Hash zu Buchungen und Newsletter-Anmeldungen wird automatisch nach 30 Tagen
auf NULL gesetzt (Anonymisierung).
Newsletter-Anmeldungen bleiben aktiv, bis du dich abmeldest. Nach Abmeldung wird dein Datensatz nicht gelöscht, sondern nur als „abgemeldet" markiert – das verhindert versehentliche Wiederanmeldungen und dient als Nachweis deiner Abmeldung. Eine vollständige Löschung kannst du jederzeit per Mail an [email protected] anfordern.
5. Deine Rechte
Du hast jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Schreibe dazu einfach eine kurze E-Mail an [email protected]. Du kannst dich außerdem bei der für dich zuständigen Datenschutz-Aufsichtsbehörde beschweren.
6. Cookies, Bot-Schutz und Browser-Speicher
Wir setzen keine Tracking-, Analyse- oder Marketing-Cookies. Alles, was wir lokal in deinem Browser speichern, dient ausschließlich dem Funktionieren der Webseite oder dem Schutz vor Missbrauch:
| Name | Typ | Zweck | Lebensdauer |
|---|---|---|---|
cf_clearance | Cookie (First-Party, von Cloudflare gesetzt) | Bot-Schutz nach bestandener Turnstile-Challenge | bis zu 30 Min |
lash-affair-booking-v2 | localStorage | speichert deinen Buchungs-Zwischenstand (Service, Datum, Kontaktdaten), damit beim Schritt-Wechsel nichts verloren geht | bis Buchungs-Abschluss bzw. -Abbruch, lokal in deinem Browser |
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse zum Schutz unserer Website vor Missbrauch und automatisierten Anfragen sowie zur Funktionalität der Buchung).
Der Bot-Schutz Cloudflare Turnstile verarbeitet zur Erkennung automatisierter Anfragen Browser-Eigenschaften und kann das oben genannte Cookie setzen. Verantwortliche Stelle für Turnstile ist Cloudflare, Inc.; zur Datenverarbeitung siehe cloudflare.com/de-de/privacypolicy.
7. Newsletter
Wenn du dich über das Formular im Footer für unseren Newsletter anmeldest, verarbeiten wir deine E-Mail-Adresse, um dir unregelmäßig Einladungen, Angebote und Pflege-Tipps zuzusenden. Die Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und § 7 Abs. 2 Nr. 3 UWG).
Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Wir erzeugen für dich zwei zufällige Tokens (Confirmation- und Unsubscribe-Token) und schicken dir eine Bestätigungsmail mit Link. Dein Datensatz hat zunächst den Status „pending". Erst wenn du den Link anklickst, wechselt der Status auf „bestätigt" – und der verwendete Confirmation-Token wird sofort durch einen neuen ersetzt, damit der Link nicht wiederverwendbar ist. So stellen wir sicher, dass niemand fremd eingetragen wird und Bestätigungs-Links nur einmal funktionieren.
Zusätzlich speichern wir bei der Anmeldung einen SHA-256-Hash deiner IP-Adresse (nicht die IP selbst)
zur Missbrauchs-Erkennung; dieser wird nach 30 Tagen automatisch auf NULL gesetzt.
Deine E-Mail wird ausschließlich für den Newsletter genutzt und nicht an Dritte weitergegeben –
außer an unseren Mail-Versand-Dienstleister Resend, Inc., der die Mails technisch zustellt.
Du kannst den Newsletter jederzeit abbestellen – in jedem Newsletter findest du dafür einen Abmelde-Link. Die Abmeldung läuft zweistufig (Bestätigungsseite, dann Klick auf „Endgültig abmelden"), damit Mail-Scanner deine Abmeldung nicht versehentlich auslösen können. Nach dem Klick verarbeiten wir deine Daten nicht mehr für Werbe-Zwecke; dein Datensatz bleibt als „abgemeldet" markiert (siehe Sektion 4). Alternativ reicht eine kurze Mail an [email protected].
Stand: Mai 2026