Datenschutzerklärung

Transparenz und Sicherheit im Umgang mit Ihren Daten

1. Einleitung

Der Schutz Ihrer persönlichen Daten ist mir ein wichtiges Anliegen. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf meiner Website.

Verantwortliche:
Kopfkunst by Stefanie
Stefanie Schachenhofer
E-Mail: [email protected]
Telefon: +43 677 62892273

2. Erhebung und Verarbeitung von Daten

2.1 Automatisch erfasste Daten

Beim Besuch meiner Website werden automatisch folgende Informationen erfasst:

  • IP-Adresse des zugreifenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei
  • Website, von der aus der Zugriff erfolgte (Referrer)
  • Verwendeter Browser und Betriebssystem
  • Name Ihres Internet-Zugangsanbieters

2.2 Von Ihnen bereitgestellte Daten

Bei der Nutzung meiner Services (Terminbuchung, Kontaktformular) erhebe ich folgende personenbezogene Daten:

  • Name und Kontaktdaten (E-Mail, Telefon)
  • Adresse für den Service
  • Terminwünsche und Service-Details
  • Nachrichten und Kommunikation

2.3 Bot-Schutz und Sicherheitsmaßnahmen

Zum Schutz vor automatisierten Angriffen und zur Gewährleistung der Sicherheit meiner Website werden technische Nutzungsdaten automatisiert analysiert:

  • Verhaltensanalyse: Zur Erkennung von Bots werden technische Nutzungsdaten (z.B. Klickmuster, Mausbewegungen) automatisiert analysiert. Eine direkte Identifizierung ist nicht beabsichtigt und erfolgt nicht. Es findet keine Profilbildung und keine Zusammenführung mit anderen Datenquellen statt.
  • Session-Tracking: Temporäre Session-IDs zur Erkennung verdächtiger Aktivitäten
  • Risiko-Bewertung: Automatische Analyse von Zugriffmustern ohne Personenbezug
  • IP-Blockierung: Temporäre Sperrung verdächtiger IP-Adressen (max. 24h)
  • Request-Logging: Protokollierung verdächtiger Anfragen für Sicherheitsanalysen

Diese Daten werden ausschließlich für Sicherheitszwecke verwendet und nach 24-48 Stunden automatisch gelöscht. Eine personenbezogene Auswertung findet nicht statt. Die Verarbeitung erfolgt auf Grundlage meines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).

2.4 WhatsApp-Integration und Terminanfragen

Bei der Nutzung der WhatsApp-Terminbuchung werden folgende Daten verarbeitet:

  • Terminanfragen: Datum, Uhrzeit, gewählte Services und Kontaktdaten
  • Button-Tracking: Anonyme Erfassung von Klicks auf den "WhatsApp senden" Button
  • Weiterleitung: Automatische Speicherung der Terminanfrage auf meinem Server
  • WhatsApp-Daten: Ihre Telefonnummer wird an WhatsApp übertragen

Die Weiterleitung an WhatsApp erfolgt erst nach Ihrer expliziten Bestätigung durch Klick auf den Button. Parallel wird eine Kopie der Anfrage auf meinem Server gespeichert.

Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Datenübermittlung an WhatsApp/Meta erfolgt in die USA. Weitere Informationen finden Sie in der WhatsApp Datenschutzerklärung und der Meta Datenschutzerklärung.

2.5 Server-Speicherung bei WhatsApp-Weiterleitung

Wenn Sie eine Terminanfrage über WhatsApp senden, werden Ihre Daten zusätzlich auf meinem Server gespeichert:

  • Terminanfrage-Kopie: Alle eingegebenen Daten werden parallel zur WhatsApp-Weiterleitung gespeichert
  • Verwaltungszwecke: Terminplanung, Kundenverwaltung und Nachverfolgung
  • Datensynchronisation: Abgleich zwischen Website-Anfragen und interner Verwaltung

Die parallele Speicherung der Anfrage auf meinem Server dient der Terminplanung und erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).

2.6 Newsletter – Informationen & Angebote per WhatsApp

Über den Newsletter

Mit meinem Newsletter informiere ich Sie in unregelmäßigen Abständen über relevante Neuigkeiten rund um Kopfkunst by Stefanie, insbesondere über:

  • Exklusive Angebote und Aktionen
  • Neue Leistungen und Services
  • Tipps zur Haarpflege und zum Styling
  • Gutschein-Aktionen und Sonderangebote
  • Wichtige Informationen oder Terminerinnerungen

Der Newsletter wird ausschließlich bei relevanten Neuigkeiten versendet. Es erfolgt kein täglicher oder häufiger Versand.

Versand über WhatsApp

Der Newsletter wird ausschließlich über WhatsApp versendet. Die Zustellung erfolgt direkt an die von Ihnen angegebene Telefonnummer.

Newsletter-Anmeldung

Die Anmeldung zum Newsletter erfolgt freiwillig im Rahmen der Terminbuchung. Sie können sich anmelden, indem Sie im Buchungsformular der Marketing-Einwilligung aktiv zustimmen (Checkbox). Ohne diese Einwilligung erfolgt kein Newsletter-Versand.

Hinweis: Wenn Sie bereits einen Termin gebucht und dem Marketing zugestimmt haben, sind Sie automatisch für den Newsletter angemeldet. Der Versand erfolgt über WhatsApp an die von Ihnen hinterlegte Telefonnummer.

Newsletter abbestellen (Widerruf der Einwilligung)

Sie können den Newsletter jederzeit und ohne Angabe von Gründen abbestellen. Der Widerruf wirkt für die Zukunft. Zur eindeutigen Zuordnung bitte ich Sie, bei der Abmeldung Ihren Vor- und Nachnamen sowie Ihre Adresse anzugeben.

Abmeldung per WhatsApp

Senden Sie eine WhatsApp-Nachricht mit dem Text „Newsletter abmelden" an:

Stefanie Schachenhofer
+43 677 62892273

Bitte geben Sie in Ihrer Nachricht Ihren Vor- und Nachnamen sowie Ihre Adresse an.

Abmeldung per SMS

Alternativ können Sie eine SMS mit dem Text „Newsletter abmelden" an folgende Nummer senden:

+43 677 62892273

Bitte geben Sie ebenfalls Ihren Vor- und Nachnamen sowie Ihre Adresse an. Die Abmeldung wird ehestmöglich umgesetzt.

Datenschutz & Rechtsgrundlage

Für den Newsletter-Versand wird ausschließlich Ihre Telefonnummer verarbeitet. Die Verarbeitung erfolgt nur auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Telefonnummer wird ausschließlich für den Newsletter-Versand über WhatsApp verwendet. Es erfolgt keine Weitergabe an Dritte. Die Einwilligung kann jederzeit widerrufen werden. Der Widerruf hat keine Auswirkungen auf bestehende Terminbuchungen oder die Nutzung der Website.

Hinweis: Bei Nutzung von WhatsApp/Meta kann eine Datenübermittlung in die USA stattfinden. Weitere Informationen finden Sie in der WhatsApp Datenschutzerklärung und der Meta Datenschutzerklärung.

2.7 Telefonische Terminvereinbarung

Wenn Sie telefonisch einen Termin vereinbaren, verarbeite ich die von Ihnen angegebenen Daten (Name, Telefonnummer, Adresse, gewünschte Leistungen und Terminwunsch) zur Terminplanung und Durchführung des Auftrags. Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Eine gesonderte Einwilligung ist nicht erforderlich.

2.8 Einsatz von KI-gestützten Assistenzsystemen

Zur effizienteren Beantwortung und Bearbeitung von Terminanfragen, Rückfragen sowie zur internen Qualitätssicherung setze ich auf Wunsch ein KI-gestütztes Assistenzsystem ein. Konkret wird dazu ein Sprachmodell von OpenAI über die offizielle OpenAI API verwendet (Details zu Anbieter, Speicherdauer und Datenübermittlung siehe Abschnitt „Eingesetzter Anbieter: OpenAI“ weiter unten). Die Nutzung erfolgt ausschließlich freiwillig und nur, wenn Sie dieser Verarbeitung ausdrücklich zugestimmt haben (Checkbox „KI-Verarbeitung“ im Buchungsformular bzw. im Kundenprofil).

Welche Daten werden verarbeitet?
  • Name, Kontaktdaten (Telefonnummer, optional E-Mail)
  • Adresse für mobile Services
  • Ausgewählte Leistungen, Terminwunsch und Notizen
  • Von Ihnen bereitgestellte Angaben zu Haartyp, Haarlänge und Besonderheiten (sofern angegeben)
  • Von Ihnen versandte Nachrichten (z. B. per WhatsApp oder E-Mail)

Keine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten) durch die KI. Allergien oder gesundheitsbezogene Hinweise, die Sie mir mitteilen, werden ausschließlich manuell verarbeitet und nicht an das KI-System übergeben, sofern Sie nicht separat und ausdrücklich zustimmen.

Zweck der KI-Verarbeitung
  • Verstehen und Zusammenfassen Ihrer Anfrage
  • Formulierung passender Antwortvorschläge und Terminvorschläge
  • Erklärung meiner Leistungen (z. B. Ablauf, Dauer, Preis)
  • Interne Qualitätssicherung und Verbesserung meines Services

Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO: Jede endgültige Entscheidung (Terminbestätigung, Preis, Durchführung der Leistung) treffe ich persönlich. Die KI unterstützt mich ausschließlich bei der Vorbereitung und Kommunikation.

Eingesetzter Anbieter: OpenAI (Platform API)

Für die KI-gestützte Verarbeitung setze ich ausschließlich Sprachmodelle von OpenAI über die offizielle OpenAI Platform API (Entwickler-/Server-Schnittstelle, api.openai.com) ein. Die öffentliche Verbraucher-App ChatGPT (chat.openai.com bzw. die ChatGPT-App) sowie ChatGPT Team/Enterprise werden nicht mit Kundendaten genutzt. Anbieter ist:

OpenAI, L.L.C.
3180 18th Street
San Francisco, CA 94110, USA
Für Nutzerinnen und Nutzer im EWR vertraglich vertreten durch:
OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre,
117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland
Datenschutz: openai.com/policies/privacy-policy
Datenübermittlung in Drittländer (USA)

Bei der Nutzung der OpenAI-API kann eine Datenübermittlung in die USA stattfinden. OpenAI, L.L.C. ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert (vgl. dataprivacyframework.gov); die EU-Kommission hat dafür mit Angemessenheitsbeschluss vom 10.07.2023 (Art. 45 DSGVO) ein angemessenes Datenschutzniveau festgestellt. Zusätzlich werden mit OpenAI die EU-Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO) abgeschlossen, die auch dann greifen, falls der DPF-Status entfallen sollte. Es wird ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO („OpenAI Data Processing Addendum") geschlossen.

Verwendete Modelle & Konfiguration
  • Eingesetzt wird derzeit das Modell gpt-4o-mini von OpenAI, aufgerufen ausschließlich über die OpenAI Platform API. Der API-Aufruf erfolgt serverseitig durch das Backend dieser Website, das bei meinem Webhoster Hostinger International Ltd. mit Serverstandort Litauen (EU) gehostet wird (siehe Abschnitt 5 „Datenweitergabe an Dritte – Website-Hosting"). Es wird also kein eigener Server bei mir zuhause betrieben, und Ihre Daten werden nicht aus Ihrem Browser oder einem lokalen Rechner direkt an OpenAI gesendet, sondern ausschließlich vom Hostinger-Webserver in der EU aus. Sollte sich das eingesetzte Modell weiterentwickeln (z. B. Nachfolger von gpt-4o-mini), wird dies an dieser Stelle aktualisiert.
  • Für die Nutzung der Platform API gelten die OpenAI Business Terms sowie die API Data Usage Policies. Diese gelten vertraglich nur für die API und nicht für die Verbraucher-App ChatGPT.
  • Kein Training mit Ihren Daten: Daten, die über die OpenAI Platform API übermittelt werden, werden gemäß OpenAI-API-Bedingungen nicht zum Training oder zur Verbesserung allgemeiner Modelle verwendet (API-Default seit 01.03.2023).
  • Speicherdauer beim Anbieter: API-Inhalte werden bei OpenAI standardmäßig max. 30 Tage zur Missbrauchserkennung gespeichert und danach gelöscht. Soweit für meinen Account Zero Data Retention („ZDR") aktiv ist, erfolgt keine Speicherung der Inhalte beim Anbieter.
  • Die Übertragung erfolgt ausschließlich verschlüsselt (TLS 1.2+). Der Zugriff erfolgt über einen persönlich vergebenen, zweckgebundenen API-Schlüssel mit Nutzungslimit und regelmäßiger Rotation.
Datenfluss auf einen Blick

Bei aktiver KI-Einwilligung läuft Ihre Anfrage wie folgt:
Ihr Browser  →  Webserver bei Hostinger (Litauen, EU)  →  OpenAI Platform API (USA, DPF-zertifiziert)  →  zurück an den Webserver in der EU  →  zurück an Sie. Ohne KI-Einwilligung endet der Datenfluss beim Webserver; es findet keine Übermittlung an OpenAI statt.

Welche Daten werden an OpenAI übermittelt?

Es werden ausschließlich die für die jeweilige Anfrage erforderlichen Daten übergeben (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO) – typischerweise Vor-/Nachname, Telefonnummer, Terminwunsch, ausgewählte Leistung, relevante Notizen und der Inhalt Ihrer Nachricht. Nicht übermittelt werden Zahlungs­daten, Gesundheits-/Allergiedaten (Art. 9 DSGVO) sowie Daten anderer Kundinnen und Kunden.

Es erfolgt keine Weitergabe an weitere Dritte über OpenAI hinaus.

Rechtsgrundlage

Die Verarbeitung personenbezogener Daten durch KI-Systeme erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Ohne Ihre Einwilligung werden keine personenbezogenen Daten an KI-Systeme übergeben – die Terminbuchung selbst ist davon unabhängig jederzeit möglich.

Speicherdauer & Nachweis der Einwilligung

Ihre Einwilligung wird gemeinsam mit Datum, Uhrzeit, der jeweils gültigen Version dieser Datenschutzerklärung und (technisch bedingt) Ihrer IP-Adresse gespeichert. Dies dient ausschließlich der Nachweispflicht gemäß Art. 7 Abs. 1 DSGVO. Die Einwilligungsdaten werden solange aufbewahrt, wie Ihre Kundendaten gespeichert sind (siehe Punkt 6).

Widerruf der Einwilligung

Sie können Ihre Einwilligung jederzeit und ohne Angabe von Gründen widerrufen. Der Widerruf wirkt für die Zukunft und hat keine Auswirkungen auf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Eine formlose Mitteilung per E-Mail oder Telefon (siehe Punkt 11) genügt. Nach Widerruf werden keine weiteren Ihrer personenbezogenen Daten an KI-Systeme übermittelt. Bereits vorhandene KI-erzeugte Notizen, Zusammenfassungen oder Vorschläge werden auf Wunsch gelöscht oder dauerhaft als deaktiviert markiert.

2.8.1 KI-Buchungshilfe (Buchungsassistent)

Die KI-Buchungshilfe ist ein optionaler Assistent, der Sie bei der Terminbuchung unterstützt und mir hilft, Ihre Anfrage schnell und korrekt zu verstehen. Sie arbeitet im Hintergrund ausschließlich dann, wenn Sie der KI-Verarbeitung ausdrücklich zugestimmt haben.

Was macht die KI-Buchungshilfe konkret?
  • Anfrage verstehen: Ihre Freitext-Nachricht (z. B. „Ich hätte gerne nächste Woche einen Damenhaarschnitt und Farbe") wird in strukturierte Bestandteile (Leistung, Wunschzeitraum, Besonderheiten) übersetzt.
  • Leistungen erklären: Bei Rückfragen erläutert der Assistent Umfang, Dauer und Preis meiner Leistungen auf Basis meiner internen Beschreibungen.
  • Terminvorschläge: Auf Basis meiner Verfügbarkeit werden passende Slots vorgeschlagen. Reisezeit und Puffer zwischen Terminen werden berücksichtigt.
  • Antwortformulierung: Der Assistent formuliert höfliche, verständliche Antworten, die ich vor dem Versand prüfe und bei Bedarf anpasse.
  • Zusammenfassung für mich: Lange Chat-Verläufe werden in kurzen internen Notizen zusammengefasst, damit ich den Überblick behalte.
Welche Daten sieht die Buchungshilfe?
  • Ihre im Buchungsformular angegebenen Daten (Name, Telefonnummer, Adresse, Leistungen, Terminwunsch, Notizen)
  • Ihre Nachrichten, sofern Sie mir welche schicken
  • Meine internen Leistungsbeschreibungen, Verfügbarkeits- und Reisedaten (keine Daten anderer Kunden)

Nicht übermittelt werden: Zahlungsdaten, Allergien und andere besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), Daten anderer Kundinnen und Kunden sowie Daten, die Sie mir ausdrücklich als „vertraulich" mitgeteilt haben.

Menschliche Kontrolle

Jede Terminbestätigung erfolgt durch mich persönlich. Die KI-Buchungshilfe trifft keine verbindlichen Entscheidungen (kein Art. 22 DSGVO). Sie bereitet Vorschläge vor, die ich vor dem Versand stets prüfe und freigebe. Sie haben jederzeit das Recht, ausschließlich mit mir persönlich (telefonisch, per WhatsApp oder E-Mail) zu kommunizieren.

Speicherdauer der Buchungshilfe-Daten
  • Chat-/Anfrageverläufe: bis zu 12 Monate, anschließend automatische Löschung (sofern kein Termin entsteht)
  • KI-erstellte Zusammenfassungen: werden mit der jeweiligen Anfrage bzw. den Kundendaten gespeichert und unterliegen den gleichen Löschfristen (siehe Punkt 6)
  • Zwischenspeicher bei OpenAI: über die OpenAI-API übermittelte Inhalte werden bei OpenAI standardmäßig max. 30 Tage zur Missbrauchserkennung gespeichert und anschließend gelöscht. Es findet kein Training mit Ihren Daten statt (API-Default; bei aktivem Zero Data Retention erfolgt keine Speicherung).

2.8.2 KI-gestützte Datenverwaltung (interne Admin-App)

In meiner internen, nicht öffentlich zugänglichen Admin-App setze ich KI-Funktionen ein, um Kundendaten effizient zu pflegen und meinen Alltag zu organisieren. Diese Verarbeitung findet ausschließlich innerhalb meiner Systeme statt, im Rahmen meiner Verantwortlichkeit und unter Anwendung derselben Datenschutzstandards wie beim Buchungsassistenten.

Einsatzgebiete der KI-gestützten Datenverwaltung
  • Notizen strukturieren: Freitext-Notizen zu Kundinnen und Kunden (z. B. Wunsch-Styling, Produktpräferenzen) werden in Stichpunkte gegliedert.
  • Kundensegmente vorschlagen: Vorschläge für Tags/Status (z. B. „Stammkunde", „VIP") auf Basis vergangener Termine. Die Zuweisung erfolgt nur, wenn ich sie bestätige.
  • Dublettenerkennung: Erkennen von doppelten Einträgen (gleiche Telefonnummer oder Adresse) zur Vermeidung redundanter Datensätze.
  • Terminoptimierung: Vorschläge für die Reihenfolge von Terminen anhand von Adresse und Fahrzeit (Routenoptimierung).
  • Erinnerungstexte: Automatische Vorschläge für Terminerinnerungen, Follow-ups oder Nachfrage-Nachrichten.
  • Such- und Abfragefunktion: Beantwortung interner Fragen (z. B. „Welche Kunden waren länger als 6 Monate nicht mehr da?") auf Basis meines Datenbestands.
  • Kurzzusammenfassungen: Erzeugen einer kurzen Kundenübersicht vor dem Termin, damit ich gezielt vorbereitet bin.
Welche Daten verarbeitet die Admin-KI?
  • Stammdaten (Name, Telefonnummer, E-Mail, Adresse, Postleitzahl)
  • Termindaten (Datum, Leistung, Dauer, Preis, Status)
  • Allgemeine Kundennotizen (ohne Gesundheits-/Allergie-Daten, sofern nicht ausdrücklich freigegeben)
  • Präferenzen (z. B. Wunschstylist, Haartyp, Haarlänge – nur wenn von Ihnen angegeben)

Nicht verarbeitet werden durch KI: Zahlungs- und Rechnungsdaten, Gesundheits- und Allergiedaten (Art. 9 DSGVO), vollständige Rechnungen/Belege, vertrauliche Nachrichten. Diese Daten werden ausschließlich manuell und lokal in meiner Admin-App verwaltet.

Datenminimierung und Pseudonymisierung

Vor der Übergabe an das KI-System werden – soweit technisch und sinnvoll möglich – personenbezogene Merkmale reduziert (z. B. nur Vorname statt voller Name, gekürzte Adresse). Für rein interne Analysen (z. B. Statistiken, Segmentierung) werden Daten pseudonymisiert verarbeitet. Die Ergebnisse werden ausschließlich in meinen Systemen gespeichert und nicht mit Drittanbietern geteilt.

Protokollierung & technische Sicherheit
  • Alle KI-Abrufe werden intern protokolliert (Datum, Funktion, anonymisierte Request-ID), um Missbrauch zu erkennen.
  • Die Admin-App ist durch persönliche Authentifizierung geschützt und nur für mich zugänglich.
  • Die Datenübertragung erfolgt ausschließlich über verschlüsselte Verbindungen (TLS).
  • Der Zugang zur OpenAI-API ist durch einen zweckgebundenen, persönlich vergebenen API-Schlüssel mit Nutzungslimit und regelmäßiger Rotation abgesichert.
  • Es besteht jederzeit die Möglichkeit, KI-Funktionen in der Admin-App vollständig zu deaktivieren („KI-Modus aus").
Rechtsgrundlage für die KI-Datenverwaltung

Die interne, KI-gestützte Datenverwaltung von Kundendaten, die Sie mir bereits im Rahmen eines bestehenden oder angebahnten Auftragsverhältnisses zur Verfügung gestellt haben, erfolgt auf Grundlage:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Sie der KI-Verarbeitung ausdrücklich zugestimmt haben.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Für rein interne, nicht-inhaltliche Funktionen wie Dublettenerkennung, Routenoptimierung und anonyme Statistiken, soweit keine schutzwürdigen Interessen Ihrerseits überwiegen.
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Soweit die Verarbeitung zur Durchführung des Auftrags erforderlich ist (z. B. Terminplanung).

Soweit eine Funktion über das Erforderliche hinausgeht (z. B. Erstellung personalisierter Vorschläge), hole ich hierfür Ihre gesonderte Einwilligung ein.

Ihre Rechte in Bezug auf die KI-Datenverwaltung
  • Auskunft: Welche KI-bezogenen Daten (z. B. automatisch erstellte Zusammenfassungen, Tags) zu Ihrer Person existieren.
  • Berichtigung: Korrektur falscher KI-generierter Inhalte.
  • Löschung: Entfernung aller KI-generierten Inhalte zu Ihrer Person.
  • Einschränkung/Widerspruch: Sie können der KI-Verarbeitung jederzeit widersprechen; betroffene Funktionen werden für Ihr Profil deaktiviert.
  • Deaktivierung einzelner Funktionen: Sie können mir mitteilen, dass z. B. nur die Buchungshilfe, nicht aber die interne Datenverwaltung eingesetzt werden soll (oder umgekehrt).
Änderungen & Transparenz

Die Einsatzgebiete der KI-Systeme können sich weiterentwickeln. Bei wesentlichen Änderungen aktualisiere ich diesen Abschnitt und die Versionsnummer der Datenschutzerklärung. Sie werden – sofern rechtlich erforderlich – vor weiterer Verarbeitung erneut um Ihre Einwilligung gebeten. Die jeweils zum Zeitpunkt Ihrer Einwilligung gültige Version wird gemeinsam mit Ihrer Zustimmung dokumentiert (siehe „Speicherdauer & Nachweis der Einwilligung" oben).

3. Zweck der Datenverarbeitung

Ich verarbeite Ihre Daten für folgende Zwecke:

  • Service-Bereitstellung: Terminverwaltung, Koordination und Kundenbetreuung
  • Kommunikation: Kontakt mit Kunden über verschiedene Kanäle (E-Mail, Telefon, WhatsApp)
  • Newsletter/Marketing (WhatsApp): Versand von Informationen, Angeboten und Aktionen (nur mit Einwilligung)
  • KI-gestützte Assistenz: Unterstützung bei der Beantwortung von Anfragen und Leistungserklärung (nur mit ausdrücklicher Einwilligung, siehe Punkt 2.8)
  • Rechnungsstellung: Buchhaltung und gesetzliche Aufbewahrungspflichten
  • Qualitätssicherung: Verbesserung meiner Services und Kundenzufriedenheit
  • IT-Sicherheit: Schutz vor Cyberangriffen, Bot-Aktivitäten und Missbrauch
  • Interne Verwaltung: Effiziente Terminplanung und Kundenverwaltung
  • Analyse und Optimierung: Anonyme Auswertung der Website-Nutzung zur Verbesserung
  • Rechtliche Verpflichtungen: Erfüllung gesetzlicher Anforderungen

4. Rechtsgrundlagen

Die Verarbeitung Ihrer Daten erfolgt auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Für die Durchführung meiner Friseur-Services
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Für WhatsApp-Kommunikation, Newsletter-Versand und die optionale KI-gestützte Verarbeitung (siehe Punkt 2.8)
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Für IT-Sicherheit, Bot-Schutz und Service-Verbesserung
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Für Buchhaltung, Steuern und Aufbewahrungspflichten

Bei der Verhaltensanalyse für Bot-Schutz handelt es sich um anonyme Daten ohne Personenbezug, weshalb keine explizite Einwilligung erforderlich ist.

5. Datenweitergabe

Ihre Daten werden nur in folgenden Fällen weitergegeben:

  • Website-Hosting: Ich hoste meine Website bei Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Zypern. Der Serverstandort für diese Website ist Litauen (EU); die Datenverarbeitung findet damit ausschließlich im Gebiet der Europäischen Union statt. Grundlage ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Weitere Informationen: Hostinger Datenschutzerklärung.
  • WhatsApp: Ihre Telefonnummer wird bei Nutzung der WhatsApp-Funktion an Meta übertragen
  • Zahlungsdienstleister: Bei Online-Zahlungen an entsprechende Anbieter
  • Behörden: Bei gesetzlichen Verpflichtungen oder behördlichen Anfragen
  • IT-Sicherheit: Anonyme Sicherheitsdaten an Analyse-Tools zur Bot-Erkennung
  • KI-Dienstleister (OpenAI): Konkret eingesetzt wird die OpenAI-API (OpenAI, L.L.C., USA / OpenAI Ireland Ltd., Irland). Übermittlung nur bei erteilter Einwilligung (siehe Punkt 2.8) und ausschließlich im zur Beantwortung Ihrer Anfrage bzw. zur internen Datenverwaltung erforderlichen Umfang. OpenAI handelt als Auftragsverarbeiter nach Art. 28 DSGVO (Data Processing Addendum), ist nach dem EU-US Data Privacy Framework zertifiziert; zusätzlich sind EU-Standardvertragsklauseln vereinbart. Keine Nutzung Ihrer Daten zum Training der Modelle.
  • Dritte: Nur mit Ihrer ausdrücklichen Einwilligung

Alle Datenübertragungen erfolgen verschlüsselt und unter Beachtung der DSGVO.

Zahlungsabwicklung – Eigene Admin-App, Apple Tap to Pay & Stripe

Zur Abwicklung von Kartenzahlungen nutze ich eine eigene, selbst entwickelte interne Admin-App, die ausschließlich von der verantwortlichen Stelle „Kopfkunst by Stefanie“ verwendet wird. Die App ist nicht öffentlich zugänglich und dient ausschließlich internen Verwaltungs- und Zahlungszwecken.

Die App verwendet die Apple Tap to Pay on iPhone-Schnittstelle, um kontaktlose Kartenzahlungen direkt über ein iPhone entgegenzunehmen. Die Zahlungsabwicklung (Payment Processing) erfolgt dabei vollständig über den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.

Die Admin-App selbst verarbeitet oder speichert keine vollständigen Karten- oder Zahlungsdaten. Sämtliche sensiblen Zahlungsinformationen (z. B. Kartennummern oder Sicherheitscodes) werden ausschließlich direkt durch Stripe und Apple verarbeitet.

Verarbeitete Daten im Rahmen der Zahlung

Im Zuge der Zahlungsabwicklung können folgende Daten verarbeitet werden:

  • Zahlungsbetrag
  • Datum und Uhrzeit der Zahlung
  • Verwendetes Zahlungsmittel (z. B. Debit- oder Kreditkarte, Apple Pay)
  • Transaktions- und Referenznummer
  • Technische Zahlungs- und Gerätedaten (z. B. zur Betrugs- und Missbrauchsprävention)
Zweck der Verarbeitung
  • Durchführung und Abwicklung von Kartenzahlungen
  • Betrugs- und Missbrauchsprävention
  • Buchhaltung sowie steuer- und abgabenrechtliche Pflichten
  • Gesetzlich vorgeschriebene Aufbewahrung
Rechtsgrundlagen

Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren Zahlungsabwicklung)
Datenübermittlung in Drittländer

Im Rahmen der Zahlungsabwicklung kann es zu einer Übermittlung personenbezogener Daten in die USA kommen, insbesondere bei der Nutzung von Apple Pay oder durch technische Infrastruktur von Stripe. Stripe und Apple sind nach dem EU-US Data Privacy Framework zertifiziert und gewährleisten damit ein angemessenes Datenschutzniveau gemäß Art. 45 DSGVO.

Weitere Informationen finden Sie in den Datenschutzerklärungen der jeweiligen Anbieter:

Nutzung der Admin-App, technischer Zugriff und Wartung

Die interne Admin-App wird ausschließlich von der verantwortlichen Stelle „Kopfkunst by Stefanie“ zur Termin-, Verwaltungs- und Zahlungsabwicklung genutzt.

Ein technischer Zugriff auf die App sowie auf zugehörige Systeme ist ausschließlich zum Zweck der Entwicklung, Wartung, Fehlerbehebung, Sicherheit und technischen Betreuung möglich. Der Zugriff erfolgt nur bei Bedarf, zweckgebunden und weisungsgebunden im Auftrag der verantwortlichen Stelle.

Es findet keine eigenständige Nutzung, keine Weitergabe an Dritte und keine Verarbeitung zu eigenen Zwecken statt. Alle Zugriffe sind auf das technisch notwendige Maß beschränkt.

6. Speicherdauer

Ich speichere personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder wie ich gesetzlich dazu verpflichtet bin. Konkret gilt:

  • Kundendaten: Speicherung aufgrund steuer- und handelsrechtlicher Vorgaben mindestens 7 Jahre, in Einzelfällen bis zu 10 Jahre
  • Terminanfragen ohne Terminabschluss: Speicherung maximal 12 Monate, anschließend automatische Löschung
  • Terminanfragen mit Terminabschluss: Speicherung gemeinsam mit den Kundendaten (7–10 Jahre)
  • WhatsApp-Daten: Speicherung maximal 12 Monate, sofern daraus kein Termin/Vertrag entstanden ist. Erfolgt ein Terminabschluss, werden die Daten in die Kundendaten übernommen und entsprechend 7–10 Jahre gespeichert
  • Website-Logs: Speicherung für 3 Monate, anschließend automatische Löschung
  • Bot-Schutz-Daten: Speicherung für 24–48 Stunden, anschließend automatische Löschung
  • Session-Daten: Speicherung maximal 24 Stunden, anschließend automatische Löschung
  • KI-Einwilligung (Nachweis): Speicherung gemeinsam mit den Kundendaten bzw. der Terminanfrage; umfasst Zeitstempel, Version der Datenschutzerklärung und IP-Adresse. Nach Widerruf wird der Status entsprechend aktualisiert, die Historie für den gesetzlichen Nachweis bleibt erhalten.
  • KI-generierte Inhalte (Zusammenfassungen, Vorschläge): Werden gemeinsam mit den zugehörigen Kundendaten gespeichert und unterliegen denselben Löschfristen. Sie können jederzeit deren Löschung verlangen (siehe Punkt 7).
  • OpenAI-API-Zwischenspeicher: Über die OpenAI-API übermittelte Inhalte werden bei OpenAI standardmäßig max. 30 Tage zur Missbrauchserkennung gespeichert und danach gelöscht (bei aktivem Zero Data Retention: keine Speicherung). Kein Training mit Ihren Daten (API-Default).

Darüber hinaus speichere ich Daten nur, wenn gesetzliche Aufbewahrungspflichten bestehen oder Sie mir eine Einwilligung zur längeren Speicherung gegeben haben. Unabhängig davon können Sie jederzeit die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Pflichten entgegenstehen.

7. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht: Informationen über verarbeitete Daten
  • Berichtigungsrecht: Korrektur falscher Daten
  • Löschungsrecht: Löschung Ihrer Daten
  • Einschränkungsrecht: Einschränkung der Verarbeitung
  • Datenübertragbarkeit: Übertragung Ihrer Daten
  • Widerspruchsrecht: Widerspruch gegen die Verarbeitung
  • Beschwerderecht: Beschwerde bei der österreichischen Datenschutzbehörde (https://www.dsb.gv.at)

Zur Ausübung dieser Rechte (einschließlich Löschung von im Rahmen der Terminbuchung gespeicherten Daten) können Sie mich jederzeit per E-Mail kontaktieren. Eine Löschung erfolgt, soweit keine gesetzlichen Aufbewahrungspflichten (z. B. für Rechnungs- und Buchhaltungsdaten) entgegenstehen.

8. Cookies und Tracking

Meine Website verwendet Cookies für folgende Zwecke:

  • Notwendige Cookies: Für die Grundfunktionen der Website
  • Funktionale Cookies: Für Komfortfunktionen (z. B. Vorbelegung ausgewählter Leistungen)

Termin-Cookie („selected_service")

Um den Buchungsvorgang zu erleichtern, setze ich beim Klick auf „Buchen" einen technisch notwendigen Funktions-Cookie „selected_service“, wenn Sie auf der Startseite oder unter „Leistungen“ bei einer konkreten Dienstleistung auf „Buchen“ klicken, damit diese Information für den Terminbuchungsprozess für maximal 5 Minuten vorbefüllt werden kann. Der Cookie enthält keine personenbezogenen Daten.

Rechtsgrundlage ist mein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an einer nutzerfreundlichen und effizienten Terminbuchung. Die Website kann auch ohne diesen Cookie genutzt werden, jedoch ohne automatische Vorbelegung der ausgewählten Leistung.

Cookie-Einstellungen („cookie_consent")

Um Ihre Cookie-Präferenz zu speichern, setze ich einen technisch notwendigen Cookie („cookie_consent"), der Ihre Einwilligung oder Ablehnung von Cookies speichert. Dieser Cookie hat eine Speicherdauer von 365 Tagen (1 Jahr) und wird automatisch gelöscht, wenn Sie Ihre Cookie-Einstellungen ändern.

Rechtsgrundlage ist mein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, Ihre Cookie-Präferenzen zu speichern, um Ihnen bei jedem Besuch die korrekte Cookie-Auswahl anzuzeigen.

Session-Cookie („PHPSESSID")

Für die technische Funktionsfähigkeit der Website verwende ich ein Session-Cookie („PHPSESSID"), das automatisch von meinem Server gesetzt wird. Dieses Cookie ist technisch notwendig und speichert eine eindeutige Session-ID zur Identifikation Ihrer Browsersitzung. Es enthält keine personenbezogenen Daten und wird automatisch gelöscht, sobald Sie Ihren Browser schließen (Session-Cookie).

Rechtsgrundlage ist mein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der technischen Funktionsfähigkeit der Website.

Sie können Cookies jederzeit in den Einstellungen Ihres Browsers verwalten und löschen.

9. Sicherheitsmaßnahmen

Zum Schutz Ihrer Daten setze ich folgende Maßnahmen ein:

  • Verschlüsselte Datenübertragung (SSL/TLS)
  • Regelmäßige Sicherheitsupdates
  • Zugriffskontrollen und Authentifizierung
  • Regelmäßige Backups

10. Externe Dienste

Ich nutze folgende externen Dienste zur Bereitstellung und Absicherung meiner Website:

  • Google Fonts / Font Awesome: Google Fonts / Font Awesome werden lokal eingebunden, es findet keine Datenübertragung an Google statt.
  • Bootstrap/CDN (z. B. über Cloudflare): Für das Website-Design und eine schnelle Auslieferung statischer Inhalte
  • Cloudflare (Content Delivery Network & Security): Zum Schutz vor Angriffen (z. B. DDoS), zur Lastverteilung und Performance‑Optimierung
  • OpenStreetMap: Für die Kartendarstellung
  • Google reCAPTCHA v3: Für Bot-Schutz und Sicherheit

Google reCAPTCHA v3

Ich verwende Google reCAPTCHA v3 zum Schutz vor automatisierten Angriffen und Bot-Aktivitäten. Dieser Dienst wird von Google Inc. bereitgestellt.

  • Zweck: Bot-Schutz, Sicherheit, Missbrauchsverhinderung
  • Datenübertragung: An Google Inc., USA (Drittland)
  • Übertragene Daten: IP-Adresse, Browser-Informationen, Mausbewegungen, Tastatureingaben
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an Sicherheit)
  • Speicherdauer: Nach Google-Angaben bis zu 2 Jahre
  • Opt-out: Nicht möglich, da technisch notwendig für Sicherheit

reCAPTCHA wird nur eingesetzt, soweit dies technisch notwendig ist, um Missbrauch zu verhindern. Als Alternative steht jederzeit die Kontaktaufnahme per E-Mail oder Telefon zur Verfügung.

Hinweis: Google reCAPTCHA überträgt Daten in die USA. Google hat sich dem EU-US Data Privacy Framework angeschlossen, welches einen angemessenen Datenschutzstandard für Datenübertragungen in die USA gewährleistet.

Cloudflare (CDN & Sicherheit)

Ich verwende Dienste der Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) als Content Delivery Network (CDN) und Sicherheitslösung (z. B. DDoS‑Schutz, Web Application Firewall). Dabei werden technisch bedingt Verbindungsdaten (z. B. IP‑Adresse, aufgerufene URLs, Browser‑Informationen) über die Server von Cloudflare geleitet und dort in Logfiles kurzfristig gespeichert, um Angriffe zu erkennen und abzuwehren.

  • Zweck: Sicherheit der Website, Schutz vor Angriffen, Performance‑Optimierung
  • Datenübertragung: An Cloudflare Inc., USA (Drittland)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb)
  • Speicherdauer: Cloudflare‑Logdaten werden in der Regel kurzfristig gespeichert und anschließend anonymisiert bzw. gelöscht

Weitere Informationen finden Sie in der Datenschutzerklärung von Cloudflare. Cloudflare ist nach dem EU‑US Data Privacy Framework zertifiziert und verpflichtet sich damit zu einem angemessenen Datenschutzniveau.

Diese Dienste haben eigene Datenschutzerklärungen, die Sie auf den jeweiligen Websites einsehen können. Bei externen Diensten (z. B. Google Fonts, Font Awesome, Cloudflare) kann eine Datenübertragung in die USA erfolgen. Die Anbieter sind in der Regel nach dem EU‑US Data Privacy Framework zertifiziert und gewährleisten damit ein angemessenes Datenschutzniveau.

11. Kontakt

Bei Fragen zum Datenschutz erreichen Sie mich unter:

E-Mail: [email protected]

Telefon: +43 677 62892273

Adresse: Marienhöhe 16/5, 4391 Waldhausen im Strudengau

12. Änderungen der Datenschutzerklärung

Ich behalte mir vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren. Änderungen werden auf dieser Seite veröffentlicht.

Aktuelle Version: 2026-04-19.4

Kontakt aufnehmen

Haben Sie Fragen zum Datenschutz?

Ich stehe Ihnen gerne für alle Fragen zur Verfügung.

Kontakt Anrufen