Datenschutzerklärung

Stand: Mai 2026

1. Datenschutz auf einen Blick

Diese Erklärung gibt Ihnen einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen oder über das Online-Buchungssystem einen Termin vereinbaren. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

SSL- / TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie am „https://" in der Adresszeile und am Schloss-Symbol des Browsers.

2. Verantwortliche Stelle

Aylin Ayas
Sea Beauty Cosmetics
Jahnstraße 2A
63594 Hasselroth
E-Mail: [email protected]

3. Hosting und CDN

Unsere Website wird bei folgendem Anbieter gehostet:

Hetzner Online GmbH
Industriestraße 25, 91710 Gunzenhausen

Vor dem Server ist ein Reverse-Proxy / CDN von Cloudflare Germany GmbH (Rosa-Luxemburg-Straße 14, 10178 Berlin) geschaltet, das Anfragen entgegennimmt, vor Angriffen schützt und beschleunigt. Mit beiden Anbietern bestehen Verträge zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO. Die technische Betreuung erfolgt durch Betcher Design.

4. Online-Terminbuchung

Wenn Sie über das Buchungssystem auf dieser Website einen Termin vereinbaren, verarbeiten wir folgende Daten:

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer
• Notiz / Anliegen (freiwillig)
• gewählte Leistung, Mitarbeiterin, Datum und Uhrzeit
• Zeitpunkt der Einwilligung in diese Datenschutzerklärung

Diese Daten verwenden wir ausschließlich, um Ihren Termin zu organisieren, Sie per E-Mail zu bestätigen und im Falle einer Änderung oder Stornierung mit Ihnen in Kontakt zu treten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und Erfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die Checkbox bei der Buchung).

Ihre Daten werden gelöscht, sobald sie für den Buchungs- bzw. Behandlungszweck nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO) entgegenstehen.

Kalender-Abonnement der Mitarbeiterinnen

Unsere Mitarbeiterinnen abonnieren ihre Termin-Liste über einen verschlüsselten, persönlichen Kalender-Link (iCalendar / ICS) auf ihrem eigenen Gerät (z. B. Apple Kalender). Die Termin-Daten werden dabei direkt von unserem Server an das Endgerät der Mitarbeiterin übertragen. Eine Weitergabe an Drittanbieter erfolgt nicht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie unser berechtigtes Interesse an einer reibungslosen Terminorganisation (Art. 6 Abs. 1 lit. f DSGVO).

5. Online-Bezahlung (Stripe)

Schulungen und Pakete werden online bezahlt. Hierfür nutzen wir den Zahlungs-Anbieter Stripe Payments Europe Limited (Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Irland). Bei Bezahlung werden Sie auf eine sichere Stripe-Seite weitergeleitet, auf der Sie Ihre Zahlungsdaten eingeben (Karte, Apple Pay, Google Pay, Klarna oder PayPal). Wir selbst speichern keine Kreditkarten- oder Konto-Daten. Stripe übermittelt uns nach erfolgter Zahlung lediglich den Status (bezahlt / nicht bezahlt) und Ihre Rechnungsanschrift für die Rechnungsstellung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe-Datenschutz: stripe.com/de/privacy.

6. E-Mail-Versand (SMTP)

Bestätigungs-, Stornierungs- und Erinnerungs-E-Mails versenden wir über einen externen E-Mail-Provider als Auftragsverarbeiter. Die Übertragung erfolgt verschlüsselt (STARTTLS). Die übermittelten Daten beschränken sich auf E-Mail-Adresse, Name und Termin-Inhalt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7. Schriftarten

Diese Website nutzt die Schriftarten „Cormorant Garamond" und „Inter". Beide sind lokal auf unserem Server gehostet und werden ausschließlich von seabeautycosmetics.de ausgeliefert. Es findet keine Verbindung zu Google Fonts oder anderen Drittanbietern statt.

8. Server-Log-Dateien

Beim Besuch dieser Seite werden automatisch Daten protokolliert: Browsertyp und -version, Betriebssystem, Referrer-URL, Hostname, Zeitpunkt und IP-Adresse. Eine Zusammenführung mit anderen Datenquellen erfolgt nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am störungsfreien Betrieb). Speicherdauer: max. 7 Tage.

9. Cookies, Marketing und Tracking

9.1 Technisch notwendige Cookies

Diese Cookies werden ohne Ihre Einwilligung gesetzt, da sie für den Betrieb der Seite zwingend erforderlich sind. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO.

• PHPSESSID für den Login-geschützten Admin-Bereich (Sitzungsdauer)
• sb_customer für das Kundenkonto „Meine Termine" nach Magic-Link-Login (30 Tage Gültigkeit, HttpOnly, Secure, SameSite=Lax)
• sb_consent (localStorage) speichert Ihre Cookie-Auswahl, damit der Banner nicht erneut erscheint (max. 12 Monate)
• Cloudflare-Cookies zur Bot-Abwehr und Lastverteilung

9.2 Marketing- und Tracking-Cookies (nur mit Einwilligung)

Mit Ihrer Einwilligung über unseren Cookie-Banner setzen wir die folgenden Dienste ein. Rechtsgrundlage: § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer oder hier widerrufen: Cookie-Einstellungen öffnen. Der Widerruf hat keine Auswirkung auf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Meta Pixel (Facebook / Instagram)

Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Wir nutzen das Meta Pixel, um die Wirksamkeit unserer Anzeigen auf Facebook und Instagram zu messen, Zielgruppen für Werbeanzeigen zu bilden (Custom Audiences, Lookalike Audiences) und Conversions wie eine erfolgte Terminbuchung zu erfassen. Dabei verarbeitet Meta unter anderem Ihre IP-Adresse, Browser-Informationen, besuchte Seiten und Interaktionen. Eine Übermittlung an Meta in den USA findet statt; Meta ist nach dem EU-US Data Privacy Framework zertifiziert (Adäquanzbeschluss der EU-Kommission vom 10. Juli 2023). Mit Meta besteht zudem eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO. Ergänzend zum browserseitigen Pixel setzen wir die serverseitige Meta Conversions API ein: Conversions wie eine Terminbuchung werden zusätzlich direkt von unserem Server an Meta übermittelt. Dabei werden Ihre E-Mail-Adresse und Telefonnummer ausschließlich in zuvor mit dem Verfahren SHA-256 unwiderruflich gehashter Form sowie Ihre IP-Adresse und Browser-Informationen übertragen, damit dasselbe Ereignis browser- und serverseitig doppelungsfrei gemessen werden kann. Rechtsgrundlage ist auch hierfür ausschließlich Ihre Einwilligung; ohne Einwilligung findet keine serverseitige Übermittlung statt. Datenschutz-Informationen: facebook.com/privacy/policy.

Google Ads (inkl. Conversion-Tracking und Remarketing)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutter: Google LLC, USA). Wir nutzen Google Ads, um auf Google und im Google Display-/Search-Netzwerk Werbeanzeigen zu schalten. Mit dem Google-Ads-Tag und dem Conversion-Tag wird gemessen, welche Anzeigen zu einer Buchung oder einem Telefon-Klick geführt haben, und wir können Sie über Remarketing erneut ansprechen. Übermittelt werden dabei u. a. IP-Adresse, Browser-Informationen, besuchte Seiten, Klick-Verhalten sowie eine pseudonyme Conversion-ID. Eine Übermittlung in die USA findet statt; Google ist nach dem EU-US Data Privacy Framework zertifiziert. Datenschutz-Informationen: policies.google.com/privacy.

9.3 Hinweis zur Drittlandübermittlung

Bei Aktivierung der Marketing-Dienste werden personenbezogene Daten in die USA übermittelt. Die genannten Anbieter sind unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen die EU-Standardvertragsklauseln. Trotz dieser Schutzmaßnahmen weisen wir darauf hin, dass US-Behörden unter bestimmten Umständen auf personenbezogene Daten zugreifen können und ein vergleichbares Datenschutzniveau wie in der EU nicht in jedem Einzelfall garantiert werden kann.

10. Kundenkonto „Meine Termine"

Über die Seite /meine-termine können Kundinnen ihre Termine und Karten einsehen. Der Login erfolgt passwortlos: Sie geben Ihre E-Mail-Adresse ein und erhalten einen Login-Link, der 15 Minuten gültig ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die Sitzung läuft 30 Tage, kann jederzeit über „Abmelden" beendet werden.

11. Bewertungs-Anfragen

Nach Ihrem Besuch laden wir Sie per E-Mail einmalig ein, eine Bewertung abzugeben. Eingehende Bewertungen veröffentlichen wir erst nach manueller Freigabe. Sie können der Verwendung Ihres Vornamens jederzeit widersprechen (siehe Punkt 12). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Qualitätsfeedback).

12. Ihre Rechte

Sie haben jederzeit das Recht auf:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Wenden Sie sich dafür formlos an die unter Punkt 2 genannte Adresse.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Internet: datenschutz.hessen.de