Datenschutzerklärung

1. Verantwortliche (gemeinsame Verantwortlichkeit, Art. 26 DSGVO)

Für die Verarbeitung personenbezogener Daten auf dieser Website sind zwei Unternehmen gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO:

Apropos Haare GmbH — Mönchhofstr. 3b (Ecke Lutherstraße), 69120 Heidelberg · GF: Andrea Sladek und Stefanie Mohr · Amtsgericht Mannheim, HRB 724439

Apropos Haare Mannheim GmbH — Tattersallstraße 41, 68165 Mannheim · GF: Mathias Gramlich · Amtsgericht Mannheim, HRB 728061

Die Apropos Haare GmbH betreibt diese Website; beide Unternehmen sind hinsichtlich der hierüber erhobenen Daten gemeinsam Verantwortliche und haben Zugriff darauf. In einer Vereinbarung nach Art. 26 Abs. 1 DSGVO wurde festgelegt, wer welche DSGVO-Pflichten erfüllt. Das Wesentliche: Die Apropos Haare GmbH ist primäre Anlaufstelle für Betroffenenrechte; Anfragen können wahlweise an beide Unternehmen über die gemeinsame Kontaktadresse gerichtet werden. Die interne Aufgabenverteilung lässt Ihre Rechte unberührt — Sie können diese gegenüber jedem der beiden Verantwortlichen geltend machen.

Gemeinsame Datenschutz-Kontaktstelle: datenschutz@aproposhaare.de

Es wurde kein Datenschutzbeauftragter bestellt (§ 38 Abs. 1 BDSG; Art. 37 DSGVO).

2. Arten der verarbeiteten Daten

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) erheben wir nicht aktiv. Geben Sie freiwillig im Anmerkungsfeld einer Buchung gesundheitsbezogene Hinweise an (z.B. Allergien), verarbeiten wir diese nur auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO); bitte teilen Sie solche Angaben nur mit, soweit Sie dies wünschen. Die Bezahlung Ihrer Dienstleistung erfolgt im Salon vor Ort und ist nicht Teil dieses Onlineangebots.

• Bestandsdaten (z.B. Name)
• Kontaktdaten (z.B. E-Mail-Adresse, Telefonnummer)
• Inhaltsdaten (z.B. Texteingaben in Formularen, Profilfoto, Bewerbungsunterlagen)
• Behandlungsdaten (z.B. gebuchte Dienstleistungen, Terminhistorie)
• Vertragsdaten (z.B. gebuchte Leistung, zugeordneter Salon)
• Nutzungs- und Zugriffsdaten (z.B. aufgerufene Seiten, IP-Adresse, Zeitpunkt)

3. Zwecke der Verarbeitung

Zurverfügungstellung des Onlineangebots, seiner Inhalte und Funktionen · Online-Terminbuchung und Kundenkonto-Verwaltung · Versand von Terminbestätigungen und -erinnerungen · Beantwortung von Kontakt- und Bewerbungsanfragen · Sicherheits- und Missbrauchsschutz · interne Auswertung zur Verbesserung des Angebots.

4. Rechtsgrundlagen (Überblick)

Wir verarbeiten personenbezogene Daten nur auf gesetzlicher Grundlage:

• Art. 6 Abs. 1 lit. a (Einwilligung, i.V.m. Art. 7) — z.B. Push-Benachrichtigungen, Profilfoto, werbliche Kontaktaufnahme;
• Art. 6 Abs. 1 lit. b (Vertrag / vorvertragliche Maßnahmen) — z.B. Buchung, Kundenkonto, Warteliste, Bewerbung;
• Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung) — z.B. Aufbewahrungs- und Nachweispflichten;
• Art. 6 Abs. 1 lit. f (berechtigtes Interesse) — z.B. sicherer Betrieb, Reichweitenmessung, interne Analysen, Missbrauchsschutz.

5. Weitergabe an Dritte, Auftragsverarbeiter und Drittlandübermittlung

Eine Weitergabe erfolgt nur auf gesetzlicher Grundlage (Vertragserfüllung, Einwilligung, rechtliche Pflicht oder berechtigtes Interesse). Auftragsverarbeiter werden auf Grundlage eines Vertrags nach Art. 28 DSGVO eingesetzt:

Drittlandübermittlung: Für Cloudflare auf Grundlage des EU-US Data Privacy Framework und ergänzend der Standardvertragsklauseln (EU) 2021/914; für Resend auf Grundlage der Standardvertragsklauseln (EU) 2021/914 (USA). Der für den E-Mail-Versand über Belbo eingesetzte Mail-Dienstleister (USA) ist über Belbos AV-/SCC-Kette abgesichert. Die OpenStreetMap-Kartenkacheln werden von der OpenStreetMap Foundation im Vereinigten Königreich bereitgestellt; die Übermittlung stützt sich auf den EU-Angemessenheitsbeschluss für das Vereinigte Königreich. Der über Belbo eingesetzte SMS-Dienstleister (Niederlande) verarbeitet innerhalb des EWR.

• Cloudflare, Inc. — Hosting, Datenbank, Datei-Speicher, Reichweitenmessung, Bot-Schutz — Sitz: USA
• Belbo Business Software GmbH — Buchungssystem — Sitz: Berlin
• Mail-Dienstleister (Unterauftragsverarbeiter von Belbo) — E-Mail-Versand (Bestätigung/Erinnerung) — Sitz: USA
• SMS-Dienstleister (Unterauftragsverarbeiter von Belbo) — SMS-Versand — Sitz: Niederlande (EU)
• Resend — Transaktions-E-Mails unserer Formulare — Sitz: USA
• OpenStreetMap Foundation — Kartenkacheln — Sitz: Vereinigtes Königreich (Drittland)

6. Erbringung vertraglicher Leistungen — Buchung und Kundenkonto

Online-Terminbuchung (Belbo): Bei der Buchung verarbeiten wir Bestands-, Kontakt-, Behandlungs- und Vertragsdaten zur Durchführung des Termins (Art. 6 Abs. 1 lit. b DSGVO). Eingesetzt wird das System der Belbo Business Software GmbH (Berlin) als Auftragsverarbeiter; es gilt zusätzlich die Datenschutzerklärung von Belbo. Belbo verarbeitet Ihre Daten ausschließlich zur Bereitstellung des Dienstes und kontaktiert Sie nicht zu eigenen Werbezwecken.

Kundenkonto: Sie können ein Konto anlegen. Die Anmeldung erfolgt ohne eigenes Passwort — die Authentifizierung läuft über das Buchungssystem Belbo; wir speichern kein Passwort. Die Konten sind nicht öffentlich und nicht durch Suchmaschinen indexierbar. Nach Kündigung werden die Konto-Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten (Abschnitt 14) entgegenstehen. Bei der Registrierung speichern wir zum Schutz vor Missbrauch und als Einwilligungs-Nachweis einen Hashwert Ihrer IP-Adresse und Browser-Kennung sowie den Zeitpunkt; bei der Anmeldung speichern wir den Zeitpunkt der letzten Anmeldung, Ihre IP-Adresse wird dabei nur kurzzeitig und nicht dauerhaft verarbeitet (Art. 6 Abs. 1 lit. f DSGVO).

Profil und Profilfoto: Ein optional hochgeladenes Profilfoto wird auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bei unserem Hosting-Dienstleister gespeichert (Abschnitt 5). Sie können es jederzeit selbst wieder entfernen; darüber hinaus wird es nicht länger gespeichert, als es für den genannten Zweck erforderlich ist.

Warteliste: Name und Kontaktangaben werden zur Benachrichtigung über freiwerdende Termine verarbeitet (Art. 6 Abs. 1 lit. b DSGVO), bis zur Vermittlung, Ihrem Widerruf oder Löschung des Eintrags auf Anfrage, spätestens jedoch 12 Monate nach Eintrag.

7. Kontakt- und Bewerbungsformulare

Bei Kontaktaufnahme oder Bewerbung verarbeiten wir Name, E-Mail-Adresse, Nachrichteninhalt und ggf. hochgeladene Bewerbungsunterlagen (PDF/JPEG/PNG) zur Bearbeitung Ihrer Anfrage (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO). Der Versand erfolgt über den Transaktionsmail-Dienst Resend; Bewerbungsunterlagen werden zusätzlich bei unserem Hosting-Dienstleister gespeichert (Abschnitt 5) und aufbewahrt, solange dies für das Bewerbungsverfahren erforderlich ist.

8. Server-Logfiles

Beim Zugriff auf die Website werden Zugriffsdaten in Server-Logfiles verarbeitet (aufgerufene Seite/Datei, Datum/Uhrzeit, übertragene Datenmenge, Browsertyp und -version, Betriebssystem, Referrer-URL, IP-Adresse) auf Grundlage unseres berechtigten Interesses an Sicherheit und Stabilität (Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung erfolgt nur kurzzeitig zur Auslieferung und Missbrauchsabwehr; zu Beweiszwecken erforderliche Daten sind bis zur Klärung des Vorfalls von der Löschung ausgenommen.

9. Cookies, Endgerätespeicherung (§ 25 TDDDG) und Reichweitenmessung

• Technisch notwendig (keine Einwilligung): Ihre Anmeldesitzung wird unter dem Bezeichner „apropos_session“ gespeichert — als technisch notwendiges HttpOnly-Cookie (Laufzeit max. 1 Stunde) und ergänzend im lokalen Speicher (localStorage) Ihres Browsers als Berechtigungsnachweis für die domänenübergreifende Anmeldung. Für die Buchung können weitere technisch notwendige Sitzungs-Cookies gesetzt werden. Diese werden mit Ende der Sitzung bzw. beim Abmelden gelöscht.
• Reichweitenmessung: Wir nutzen Cloudflare Web Analytics — cookielos und ohne personenbezogene Daten. Eine Einwilligung nach § 25 TDDDG ist daher nicht erforderlich (Art. 6 Abs. 1 lit. f DSGVO). Werbe- oder Tracking-Cookies setzen wir nicht.
• Einwilligungspflichtig: Die Aktivierung von Push-Benachrichtigungen (Abschnitt 10) erfordert eine Endgerätespeicherung über einen Service-Worker und erfolgt nur mit Ihrer Einwilligung.

10. Terminbestätigungen, -erinnerungen und Push-Benachrichtigungen

Bestätigungs- und Erinnerungsnachrichten (über Belbo): Im Zusammenhang mit Ihrer Buchung versenden wir Terminbestätigungen und -erinnerungen per E-Mail und/oder SMS. Der Versand erfolgt über Unterauftragsverarbeiter von Belbo: einen Mail-Dienstleister (USA) für E-Mail und einen SMS-Dienstleister (Niederlande/EU) für SMS. Rechtsgrundlage ist die Durchführung des Buchungsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO). Eine darüber hinausgehende werbliche Kontaktaufnahme (Angebote, Aktionen) erfolgt ausschließlich, wenn Sie im Rahmen der Buchung ausdrücklich einwilligen (Art. 6 Abs. 1 lit. a DSGVO); diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Push-Benachrichtigungen (Web-Push): Wenn Sie Push-Benachrichtigungen aktivieren, speichern wir eine technische Push-Subscription (Endpoint und kryptografische Schlüssel Ihres Browsers), verknüpft mit Ihrem Konto. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG; die Einwilligung erteilen Sie über die Benachrichtigungsfreigabe Ihres Browsers. Die technische Zustellung erfolgt über den Push-Dienst Ihres Browser-Herstellers; dabei können Daten in Drittländer (u.a. USA) übermittelt werden. Widerruf jederzeit durch Abbestellen oder Entzug der Browser-Berechtigung. Speicherung bis zum Widerruf bzw. zur Konto-Löschung.

11. Eingebundene Dienste und Inhalte Dritter

• Kartendarstellung — OpenStreetMap: Beim Laden einer Karte ruft Ihr Browser Kartenkacheln direkt von der OpenStreetMap Foundation (Vereinigtes Königreich, Drittland) ab; dabei wird Ihre IP-Adresse übertragen (Art. 6 Abs. 1 lit. f DSGVO; Übermittlung auf Grundlage des EU-Angemessenheitsbeschlusses für das Vereinigte Königreich). Wir setzen kein Google Maps ein.
• Schriftarten: Verwendete Schriftarten werden lokal von unserem Server ausgeliefert; es erfolgt kein externer Abruf bei Google Fonts oder Dritten.
• Bot-Schutz — Cloudflare Turnstile: Bei sicherheitsrelevanten Funktionen (z.B. „Passwort vergessen“) wird ein Turnstile-Token verarbeitet; es werden keine Cookies gesetzt und keine personenbezogenen Daten an Cloudflare übermittelt (Art. 6 Abs. 1 lit. f DSGVO).

12. Interne Auswertungen und Einwilligungs-Nachweis

Interne Auswertungen / Profilbildung: Aus Buchungs- und Nutzungsdaten leiten wir Kennzahlen ab (z.B. Besuchsrhythmus, Kundenbindung, Lebenszeitwert, Demografie nach Postleitzahl/Alter) zur internen Betriebssteuerung (Art. 6 Abs. 1 lit. f DSGVO). Sie können dieser Verarbeitung aus Gründen Ihrer besonderen Situation jederzeit widersprechen (Art. 21 Abs. 1 DSGVO). Eine automatisierte Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung (Art. 22 DSGVO) findet nicht statt. Speicherung: Buchungs- und Analysedaten werden spätestens 12 Monate nach dem Termin anonymisiert; interne Auswertungs-, Rückgewinnungs- und Protokolldaten spätestens nach 24 Monaten anonymisiert oder gelöscht.

Einwilligungs-Nachweis: Über unsere Formulare (insbesondere bei der Registrierung) erteilte Einwilligungen protokollieren wir (Zweck, Zeitpunkt, Version) zusammen mit einem Hash der E-Mail-Adresse und der IP-/Browser-Angaben, um den Nachweis nach Art. 7 Abs. 1 DSGVO führen zu können (Art. 6 Abs. 1 lit. f DSGVO). IP-, Browser- und E-Mail-Hash entfernen wir, sobald sie für den Nachweiszweck nicht mehr erforderlich sind (in der Regel nach 12 Monaten); der reine, anonyme Einwilligungs-Nachweis bleibt zu Beweiszwecken erhalten. Für einwilligungsbasierte Verarbeitungen (Push-Benachrichtigungen, Profilfoto) bleibt der Einwilligungs-Nachweis bis zu Ihrem Widerruf vollständig erhalten.

13. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO), ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird. Zur Wahrnehmung Ihrer Rechte wenden Sie sich bitte an datenschutz@aproposhaare.de.

14. Löschung von Daten

Daten werden gelöscht, sobald sie für ihren Zweck nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen; andernfalls wird ihre Verarbeitung auf den Aufbewahrungszweck eingeschränkt. Gesetzliche Aufbewahrung: 6 Jahre nach § 257 HGB bzw. 10 Jahre nach § 147 AO (Art. 6 Abs. 1 lit. c DSGVO). Datenschutzanfragen werden 36 Monate aufbewahrt und danach gelöscht. Die automatisierte Bereinigung läuft täglich; entfernt werden ausschließlich personenbezogene Felder — anonymisierte Datensätze bleiben für interne Statistik erhalten.

15. Beschwerde- und Widerspruchsrecht

Sie können der künftigen Verarbeitung Ihrer Daten jederzeit widersprechen, insbesondere der Verarbeitung für Zwecke der Direktwerbung. Außerdem haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren, insbesondere beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (www.baden-wuerttemberg.datenschutz.de).

16. Aktualität und Änderungen

Stand: 23. Juni 2026 (Version 2). Wir passen diese Erklärung an, wenn sich die Datenverarbeitung oder die Rechtslage ändert. Soweit Einwilligungen erforderlich sind oder Regelungen des Vertragsverhältnisses betroffen sind, erfolgen Änderungen nur mit Ihrer Zustimmung.