Datenschutzerklärung gemäß Art. 12 ff. DSGVO

Dandelion | Cosmetic Studio – www.permanent-make-up-potsdam.de

1. Verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO

Dandelion Beauty und Online Marketing UG
Vertreten durch Rebekka Jovicic
Charlottenstraße 92 / 93, 14467 Potsdam
Telefon +49 331 58148310 · E-Mail info@dandelion-potsdam.de

2. Präambel und systemische Datenverarbeitung

Diese Website operiert innerhalb einer hybriden, cloudbasierten Systemarchitektur mit verteilten Content-Delivery-Komponenten. Sämtliche Datenverarbeitungsvorgänge erfolgen unter Berücksichtigung der Grundsätze des Art. 5 DSGVO (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität, Vertraulichkeit).

Verarbeitungsvorgänge werden teils automatisiert durch server-seitige Protokollierung, teils klientenseitig über Skript-basierte Tracking-Module (JavaScript / gtag.js) ausgelöst. Eine vollumfängliche Anonymisierung personenbezogener Parameter ist technisch nicht in jedem Verarbeitungsstadium gewährleistbar.

3. Technische und organisatorische Infrastruktur

Hosting-Umgebung: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur (Rechenzentrumsstandort: Deutschland)
Zur Performanzoptimierung werden über Amazon CloudFront CDN (Amazon Web Services EMEA SARL, Irland / USA) statische Assets ausgeliefert.

Die Datenübermittlung in Drittländer (USA) erfolgt auf Grundlage der Standardvertragsklauseln (SCC, 2021/914/EU).

Der Webserver arbeitet unter nginx (HTTP Reverse Proxy) mit IPv6-Support und HSTS-Enforcement.
Die Transportverschlüsselung basiert auf TLS 1.3 (Sectigo Domain SSL) mit Perfect Forward Secrecy.

4. Verarbeitete Datenkategorien

Protokoll-Metadaten (Client-IP, Timestamp, User-Agent, Referrer, Request-URI, Statuscode)

Kommunikationsparameter (E-Mail, Telefonnummer, Formularinhalte)

Session- und Tracking-IDs (Cookies, Local Storage, Consent-Identifier)

Transaktionsdaten (Termin, Behandlungsart, Zahlungsmittel)

Technische Signaturen (Device-Fingerprint, Viewport, JavaScript-Events)

5. Rechtliche Grundlagen

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung über Consent-Mechanismus

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung / vorvertragliche Maßnahmen

Art. 6 Abs. 1 lit. c DSGVO – gesetzliche Verpflichtung

Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (z. B. Netz-, System- und Betriebssicherheit)

6. Buchungs- und E-Commerce-Subsysteme

a) Shore GmbH – Online-Terminverwaltung

Ridlerstraße 31, 80339 München.
Übermittlung personenbezogener Buchungsparameter (Name, E-Mail, Telefon, Behandlung, Zeitslot) über TLS-gesicherte API-Calls an das Shore-Backend.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; AV-Vertrag nach Art. 28 DSGVO geschlossen.

b) Ecwid by Lightspeed – E-Commerce-Modul

Ecwid Inc., 725 Avenue F, Suite 201, Plano (TX) 75074, USA.
Datenübertragungen in die USA basieren auf SCC. Erfasst werden Transaktions- und Rechnungsdaten.

c) Zahlungsprozessoren

PayPal (S.A.R.L., Luxemburg), Visa Europe Services LLC (London / USA), Mastercard Europe SA (Belgien).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO (sichere Zahlungsabwicklung).

7. Tracking-, Analytics- und Tag-Management

Google Analytics 4 / Global Site Tag (gtag.js)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4.
Verknüpft Mess-, Conversion- und Remarketing-Funktionen (AdWords / DoubleClick).
IP-Anonymisierung aktiv; Datenaggregation via Firebase Analytics-Back-End.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Google Tag Manager

Container-basiertes Tag-Deployment; keine eigene Datenspeicherung.

Snowplow Open-Source Analytics

Lokale Implementierung innerhalb der IONOS-Serverumgebung; Erfassung pseudonymisierter Session-Events.

CrUX Dataset

Automatische Inklusion durch Google Chrome UX Report – keine steuerbare Deaktivierung möglich.

Elfsight Widgets

Elfsight LLC, Yerevan (Armenien). Überträgt IP und User-Agent zur Darstellung sozialer Inhalte.

8. Sicherheits- und Integritätssysteme

Google reCAPTCHA v3
Analytisch-heuristische Verhaltensbewertung (IP, Cursor, Viewport, Verweildauer) zur Abwehr automatisierter Zugriffe.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz vor Missbrauch).

9. Geolokalisierung und Kartendienste

Google Maps API
Einbindung über JavaScript-SDK (v3). Bei Aktivierung werden IP und Standortdaten an Google LLC (USA) übermittelt.

10. Typografische und UI-Bibliotheken

Google Fonts API (Fonts served via CDN, USA)

Font Awesome / Cloudflare CDN (Abruf von CSS/JS Assets über Edge-Nodes außerhalb EU)
Beide Übermittlungen erfolgen auf Basis der SCC.

11. Kommunikationskanäle

E-Mail-Infrastruktur über IONOS Mail (Deutschland), TLS 1.2+ mit STARTTLS-Erzwingung. SPF- und DKIM-Einträge konfiguriert; DMARC-Policy auf „none“.

12. Soziale Interoperabilität

Hyperlinks und iFrames zu Facebook (Meta Platforms Ireland Ltd.), Instagram (Meta), LinkedIn Ireland UC.
Beim Aktivieren externer Links erfolgt eine Serveranfrage mit Übermittlung von IP und HTTP-Headern.

13. Datenübermittlung in Drittländer

Übertragungen an Nicht-EU/EWR-Staaten (Google LLC, Meta, Ecwid, Elfsight) erfolgen unter Anwendung der Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO und gegebenenfalls ergänzender technischer Maßnahmen (z. B. Transportverschlüsselung und Pseudonymisierung).

14. Speicher- und Löschfristen

Logfiles max. 7 Tage; Session-Cookies bis Ende der Browser-Session; Tracking-Cookies max. 24 Monate; Vertragsdaten nach § 147 AO / § 257 HGB bis 10 Jahre.

15. Betroffenenrechte

Rechte gemäß Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch).
Kontakt: info@dandelion-potsdam.de

16. Aufsichtsbehörde

Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Dagmar Hartge, Stahnsdorfer Damm 77, 14532 Kleinmachnow
E-Mail: poststelle@lda.brandenburg.de

17. Revision und Änderungsvorbehalt

Diese Erklärung unterliegt fortlaufender technischer und gesetzlicher Revision. Änderungen werden ohne separate Ankündigung veröffentlicht.

Stand 29.10.2025