Datenschutz­erklärung

1. Verantwortliche

Antje Eberhardt
AestheticElevate
Hermann-Hesse-Str. 11
70825 Korntal-Münchingen
E-Mail:
Telefon:

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen des § 38 BDSG nicht vorliegen.

2. Hosting

Die Website wird bei BunnyWay d.o.o. (Ljubljana, Slowenien) gehostet, Origin-Rechenzentrum Frankfurt am Main, Deutschland. Die Auslieferung erfolgt ausschließlich über POPs in den EU-Mitgliedstaaten sowie in Norwegen, Island, im Vereinigten Königreich und in der Schweiz. Bunny verarbeitet pseudonymisierte Zugriffsdaten (gekürzte IP, Zeit, URL, User-Agent) zur Bereitstellung und Angriffsabwehr.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sichere Bereitstellung der Website).
Speicherdauer: 3 Tage, danach automatische Löschung.
AVV: Art. 28 DSGVO.
Drittlandübermittlung: Auslieferung an POPs im Vereinigten Königreich und in der Schweiz auf Grundlage der Angemessenheitsbeschlüsse der EU-Kommission (UK: 28.06.2021; CH: 26.07.2000, aktualisiert 15.01.2024). Norwegen und Island sind EWR-Staaten; die DSGVO gilt dort unmittelbar.

3. E-Mail-Kontakt

E-Mails an Adressen der Domain aestheticelevate.de werden durch die Zoho Corporation B.V. (Amsterdam, Niederlande) verarbeitet. Verarbeitet werden Name, E-Mail-Adresse und Nachrichteninhalt zur Beantwortung deiner Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f (berechtigtes Interesse an Anfrage-Beantwortung).
Speicherdauer: bis zur abschließenden Bearbeitung; Handelsbriefe 6 Jahre (§ 257 Abs. 4 HGB, § 147 Abs. 3 AO), Buchungsbelege 10 Jahre (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB).
AVV: Art. 28 DSGVO.

4. Webanalyse – Matomo

Diese Website nutzt Matomo (selbst gehostet bei Hetzner Online GmbH, Rechenzentrum Nürnberg, Deutschland). Matomo läuft ohne Cookies, mit gekürzter IP und respektiert „Do Not Track".

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Reichweitenmessung).
Speicherdauer: Rohdaten max. 12 Monate.
AVV: Art. 28 DSGVO (Hetzner).

Widerspruch (Art. 21 DSGVO): Du kannst der Messung jederzeit widersprechen – per Klick unten.

Hinweis zum Opt-Out: Deine Auswahl wird als Eintrag (ae_matomo_optout) im localStorage deines Browsers gespeichert, damit der Widerspruch über Seitenaufrufe hinweg erhalten bleibt. Diese Speicherung ist nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei, weil sie ausschließlich dazu dient, den von dir ausdrücklich gewünschten Opt-Out umzusetzen.

5. Terminbuchung – Zoho Bookings & Zoho Meeting

Für kostenlose Erstgespräche nutze ich Zoho Bookings und Zoho Meeting (Zoho Corporation B.V., Amsterdam, Niederlande). Beim Klick auf einen Buchungs-Button wirst du auf die Buchungsseite von Zoho weitergeleitet. Verarbeitet werden Institut, Name, E-Mail, ggf. Telefon, Terminwunsch und Anliegen. Zoho Bookings legt dabei automatisch einen Kontakteintrag in einer internen Kundentabelle an, der über den einzelnen Termin hinaus bestehen bleibt. Aufzeichnungen der Online-Meetings erfolgen nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung mit Buchung) und lit. b (vorvertragliche Maßnahmen).
Speicherdauer: Buchungs- und Kontaktdaten werden spätestens 24 Monate nach dem letzten Termin gelöscht, sofern kein Mandats-/Kundenverhältnis zustande kommt; andernfalls gelten die Fristen aus § 6 (CRM). Auf Widerruf oder Widerspruch erfolgt die Löschung früher, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Bereitstellung: Die Angabe der als Pflichtfeld markierten Daten (Institut, Name, E-Mail) ist für die Buchung erforderlich; ohne diese Angaben kann der Termin nicht vereinbart werden.
AVV: Art. 28 DSGVO.

6. Kundenbeziehungsmanagement – CentralStationCRM

Für die Nachverfolgung von Anfragen sowie das Angebots- und Vertragsmanagement nutze ich CentralStationCRM (42he GmbH, Köln, Deutschland). Das Hosting erfolgt ausschließlich in Deutschland; es findet keine Übermittlung personenbezogener Daten in Drittländer statt. Verarbeitet werden Institut, Name, Kontaktdaten, Anliegen, Terminhistorie und Gesprächsnotizen. Die Übernahme erfolgt manuell, kein Auto-Import.

Rechtsgrundlage: für Bestandskund:innen Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), i. V. m. lit. c für gesetzliche Aufbewahrungspflichten; für Interessent:innen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Anbahnung und Kommunikation).
Speicherdauer: Interessent:innen bis 24 Monate nach letztem Kontakt; Bestandskund:innen bis zum Ablauf der Verjährungsfristen vertraglicher Ansprüche (§§ 195, 199 BGB, längstens 10 Jahre nach § 199 Abs. 4 BGB); auf Widerruf bzw. Widerspruch früher, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
AVV: Art. 28 DSGVO.

7. Buchhaltung – sevDesk

Zur Erstellung und Aufbewahrung von Rechnungen nutze ich sevDesk GmbH (Offenburg, Deutschland). Verarbeitet werden Name, Rechnungsanschrift, Leistungsbeschreibung, Betrag sowie ggf. Umsatzsteuer-Identifikationsnummer.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i. V. m. Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung nach § 14 UStG, §§ 238 ff. HGB, § 147 AO).
Speicherdauer: 10 Jahre (§ 147 AO, § 257 HGB).
AVV: Art. 28 DSGVO.

8. Deine Rechte

Du hast das Recht auf:

• ✦Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17)
• ✦Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21)
• ✦Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Ausübung deiner Rechte:

Beschwerderecht bei der Aufsichtsbehörde: Landesbeauftragter für Datenschutz Baden-Württemberg.

Eine automatisierte Entscheidungsfindung einschließlich Profiling (Art. 22 DSGVO) findet nicht statt.

9. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Leistungen setze ich Stripe Payments Europe, Limited (Dublin, Irland) ein. Auf dieser Website selbst ist kein Stripe-Code eingebunden; die Zahlungsabwicklung findet ausschließlich im Stripe-eigenen Checkout statt (separater Link oder separate Seite).

Verarbeitete Daten: Name, E-Mail, Rechnungsadresse, Zahlungsmittel (Karten-/IBAN-Daten gehen ausschließlich an Stripe, nicht an mich), Betrag, Transaktions-ID.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: für steuer- und handelsrechtliche Aufbewahrung bis zu 10 Jahre (§ 147 AO, § 257 HGB); bei Stripe selbst gemäß deren Aufbewahrungsrichtlinien.
Rolle: Stripe ist für die Zahlungsdaten eigener Verantwortlicher nach Art. 4 Nr. 7 DSGVO (kein AVV nach Art. 28 DSGVO).
Drittlandübermittlung: EU-Standardvertragsklauseln (Art. 46 DSGVO) und Zertifizierung von Stripe Inc. unter dem EU-US Data Privacy Framework.

Details: Stripe-Datenschutzerklärung.

10. Externe Links – Social Media & Messenger

Auf dieser Website findest du an mehreren Stellen Links zu meinem Instagram-Profil sowie – bei entsprechender Kontaktaufnahme – zu WhatsApp. Es handelt sich um reine Textlinks ohne eingebettete Plugins; beim bloßen Aufruf dieser Website werden keine Daten an diese Anbieter übermittelt.

Erst mit deinem Klick baut dein Browser eine Verbindung zu den jeweiligen Anbietern auf. Dort werden u. a. deine IP-Adresse sowie Informationen zur aufgerufenen Seite verarbeitet. Beide Dienste werden von Meta Platforms Ireland Ltd. (Dublin, Irland) betrieben; eine Übermittlung personenbezogener Daten in die USA zur Meta Platforms Inc. findet statt. Meta ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Auffindbarkeit und Erreichbarkeit über gängige Kommunikationskanäle).
Verarbeitung auf dieser Website: keine; es werden weder Plugins noch Cookies geladen.
Rolle: Meta ist für die Datenverarbeitung nach deinem Klick eigener Verantwortlicher nach Art. 4 Nr. 7 DSGVO (kein AVV nach Art. 28 DSGVO).
Drittlandübermittlung: Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 (EU-US Data Privacy Framework).

Kontaktaufnahme über WhatsApp oder Instagram-Direktnachricht: Wenn du mich aktiv über einen dieser Kanäle kontaktierst, verarbeite ich die von dir übermittelten Daten (u. a. angezeigter Name, Nachrichteninhalt, ggf. Telefonnummer oder Instagram-Handle) zur Beantwortung deiner Anfrage. Die Nachrichten laufen dabei weiterhin über die Systeme von Meta.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f (berechtigtes Interesse an Anfrage-Beantwortung).
Speicherdauer: bis zur abschließenden Bearbeitung; bei geschäftlich relevanter Korrespondenz bis zu 10 Jahre (§ 147 AO, § 257 HGB).
Drittlandübermittlung: EU-US Data Privacy Framework (siehe oben).

Auf die dortigen Datenverarbeitungen habe ich keinen Einfluss. Details: Instagram-Datenrichtlinie und WhatsApp-Datenschutzrichtlinie (EWR).

Transparenzhinweis zur WhatsApp-Business-App: Für die geschäftliche Kommunikation nutze ich die offizielle WhatsApp Business-App (nicht die WhatsApp Business Platform/API) auf einem separaten geschäftlichen Mobilfunkanschluss. Die Kontaktsynchronisation der Business-App ist deaktiviert – es werden also keine Rufnummern Dritter aus meinem Adressbuch an Meta übermittelt. Geschäftliche Kontaktdaten (Kundinnen und Kunden, Lieferantinnen und Lieferanten) speichere ich ausschließlich in meinen serverseitigen Fachanwendungen und nicht im Adressbuch des Endgeräts.
Wenn du mich über WhatsApp Business kontaktierst, verarbeitet Meta dennoch – unabhängig von mir – deine Rufnummer sowie Verbindungs- und Metadaten gemäß der eigenen Datenrichtlinie. Hierauf habe ich keinen Einfluss. Wenn du die Übermittlung deiner Rufnummer an Meta vermeiden möchtest, kontaktiere mich bitte per E-Mail () oder über das Buchungssystem.

Gemeinsame Verantwortlichkeit für Instagram-Insights (Art. 26 DSGVO): Ich betreibe ein Instagram-Business-Profil (@antje_aestheticelevate) und nutze die von Meta bereitgestellten Insights (aggregierte, pseudonymisierte Statistiken zu Reichweite, Interaktionen und Zielgruppe). Für die Verarbeitung dieser Insights-Daten bin ich gemeinsam mit Meta Platforms Ireland Ltd. verantwortlich. Die Zuständigkeitsverteilung regelt das Seiten-Insights-Ergänzung von Meta. Danach trägt Meta die primäre Verantwortung für die Informationspflichten (Art. 12, 13 DSGVO) und die Betroffenenrechte (Art. 15–22 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Marktkommunikation und Reichweitenanalyse).
Die Ausübung deiner Betroffenenrechte kannst du sowohl bei mir als auch bei Meta geltend machen.

11. Stand

23. April 2026.