Rechtliches
Datenschutzerklärung
Gemäß DSGVO, BDSG und TDDDG — Stand: Juli 2026
Verantwortliche
Verantwortlich im Sinne der DSGVO:
Lilly Rix
c/o IP-Management #7380
Ludwig-Erhard-Straße 18
20459 Hamburg
Deutschland
E-Mail: info@lillyynails.de
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich.
Erhobene Daten & Zwecke
Bei der Terminbuchung erheben wir:
- Vor- und Nachname, E-Mail-Adresse, Telefonnummer
- Instagram-Handle (optional, zur Kommunikation)
- Designwunsch und Inspirationsbilder (zur Vorbereitung)
- Zahlungsdaten (PayPal-Transaktions-ID oder Überweisungsreferenz)
- Termindetails (Datum, Uhrzeit, gebuchte Leistungen)
Bei der Kontoregistrierung:
- E-Mail-Adresse und Passwort (verschlüsselt mit bcrypt)
- Vor- und Nachname
Beim Kauf einer Online-Schulung (Lillynails Akademie):
- Name, E-Mail-Adresse, Rechnungsanschrift (über unseren Zahlungsdienstleister Copecart)
- Zahlungs- und Bestelldaten (Transaktions-ID, Produkt, Betrag, USt.)
- Lernfortschritt (zuletzt gesehene Position, abgeschlossene Lektionen)
- Quiz-Ergebnisse und Abschlusszertifikat (Zertifikatsnummer, Datum)
- IP-Adresse und Geräte-Information beim Video-Streaming (zur Missbrauchsprävention und sichtbaren Wasserzeichen in Videos)
Bei Newsletter- oder Waitlist-Anmeldung:
- E-Mail-Adresse, Zeitpunkt und IP-Adresse der Einwilligung (Double-Opt-In wird zur Beweissicherung gespeichert)
Bei Kontaktaufnahme per E-Mail:
Wir verarbeiten die von dir mitgeteilten Inhalte und Kontaktdaten zur Bearbeitung deiner Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b oder lit. f DSGVO. Die Daten werden gelöscht, sobald die Anfrage abschließend beantwortet ist und keine gesetzliche Aufbewahrungspflicht besteht.
Zwecke der Verarbeitung:
- Durchführung und Verwaltung von Terminbuchungen
- Versand von Buchungsbestätigungen und Erinnerungen
- Abwicklung von Zahlungen
- Bereitstellung des Kundenportals und der Schulungs-Plattform
- Schutz urheberrechtlich geschützter Lerninhalte (Wasserzeichen, signierte Stream-URLs)
- Benachrichtigung über neue verfügbare Termine oder Produkte (nur mit Einwilligung)
- Erfüllung steuerlicher und handelsrechtlicher Aufbewahrungspflichten
Server-Logfiles
Beim Aufruf unserer Website werden durch unseren Hosting-Provider automatisch technische Daten erfasst und in sogenannten Server-Logfiles gespeichert:
- IP-Adresse des anfragenden Geräts (gekürzt, sofern möglich)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL und Referrer-URL
- Übertragene Datenmenge und HTTP-Statuscode
- User-Agent (Browser, Betriebssystem)
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Sicherheit, Stabilität und Missbrauchserkennung. Logfiles werden in der Regel nach 14 Tagen gelöscht, sofern kein Sicherheitsvorfall einer längeren Speicherung bedarf.
Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Verarbeitung von Buchungs-, Kauf- und Zahlungsdaten zur Erbringung unserer Dienstleistungen.
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Newsletter-Anmeldung, Waitlist und Verwendung nicht notwendiger Cookies.
- Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Aufbewahrung von Buchungs-, Kauf- und Zahlungsbelegen gemäß § 147 AO und § 257 HGB.
- Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Betrieb und Sicherheit der Website, Schutz urheberrechtlich geschützter Inhalte, Missbrauchsprävention.
Speicherdauer
Buchungs-, Kauf- und Zahlungsbelege werden entsprechend der gesetzlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB) 10 Jahre gespeichert.
Kundenkontodaten und Lernfortschritte werden gelöscht, sobald du die Löschung deines Kontos verlangst und keine gesetzliche Aufbewahrungspflicht entgegensteht.
Newsletter- und Waitlist-Abonnements werden bis zum Widerruf der Einwilligung gespeichert. Der Widerruf ist jederzeit über den Abmeldelink in jeder E-Mail möglich.
Server-Logfiles werden nach 14 Tagen automatisch gelöscht.
Auftragsverarbeiter & Drittdienste
Wir setzen folgende Dienstleister ein, die Zugriff auf deine Daten haben können. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge (Art. 28 DSGVO), sofern erforderlich.
Supabase (Datenbank, Authentifizierung & Speicher)
Supabase Inc., 970 Tresser Blvd Suite 1000, Stamford, CT 06901, USA. Datenhaltung auf EU-Servern (Frankfurt, AWS eu-central-1). Standardvertragsklauseln & DPA abgeschlossen.
PayPal (Zahlungsabwicklung)
PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg. Bei PayPal-Zahlungen gelten die Datenschutzhinweise von PayPal.
Copecart (Zahlungsabwicklung & Rechnungsstellung für Schulungen)
Copecart GmbH, Schloßstraße 86, 12163 Berlin, Deutschland. Copecart tritt als Wiederverkäufer (Reseller) auf, übernimmt Zahlungsabwicklung, Rechnungsstellung und USt.-Abführung. Eigene Datenschutzhinweise von Copecart.
Cloudflare Stream (Video-Hosting für Schulungen)
Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Lehrvideos werden über Cloudflare Stream ausgeliefert. Beim Abspielen werden IP-Adresse und technische Geräte-Information an Cloudflare übertragen. Cloudflare ist nach dem EU-U.S. Data Privacy Framework zertifiziert; Standardvertragsklauseln & DPA bestehen. Cloudflare Datenschutz.
Zum Schutz der Inhalte vor unbefugter Weiterverbreitung werden zusätzlich personalisierte Wasserzeichen (E-Mail) sowie signierte, zeitlich begrenzte Streaming-URLs eingesetzt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Schutz urheberrechtlich geschützter Inhalte).
Resend (E-Mail-Versand)
Resend Inc., 2261 Market Street #5451, San Francisco, CA 94114, USA. Versand von Transaktions-E-Mails (Buchungsbestätigungen, Erinnerungen, Zertifikate) sowie – nach Einwilligung – von Newsletter-/Waitlist-Mails. Standardvertragsklauseln & DPA abgeschlossen.
Vercel (Hosting)
Vercel Inc., 340 Pine Street Suite 900, San Francisco, CA 94104, USA. Website-Hosting mit Serverstandort in Frankfurt (EU). Vercel ist nach dem EU-U.S. Data Privacy Framework zertifiziert.
Cookies & lokaler Speicher
Wir verwenden technisch notwendige Cookies und Local-Storage-Einträge für die Authentifizierung (Supabase Session), das Speichern der Cookie-Einwilligung sowie den Fortschritt im Lernportal. Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG.
Weitere Cookies (Analyse, Marketing) werden ausschließlich nach deiner ausdrücklichen Einwilligung gemäß § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO gesetzt. Aktuell sind keine solchen Dienste aktiv.
Du kannst Cookies in deinem Browser jederzeit deaktivieren oder löschen. Die Nutzbarkeit der Website kann dadurch eingeschränkt werden.
Datenübermittlung in Drittländer
Einige unserer Dienstleister haben ihren Sitz außerhalb der EU/des EWR (insbesondere USA). Die Übermittlung erfolgt nur auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO – in der Regel Standardvertragsklauseln der EU-Kommission und ergänzender technischer Maßnahmen. Soweit Anbieter nach dem EU-U.S. Data Privacy Framework zertifiziert sind, ist dies als Angemessenheitsbeschluss anzusehen.
Deine Rechte
Du hast gegenüber uns folgende Rechte bezüglich deiner personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO): Welche Daten wir über dich gespeichert haben.
- Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten.
- Löschung (Art. 17 DSGVO): Löschung deiner Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht.
- Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung.
- Datenübertragbarkeit (Art. 20 DSGVO): Deine Daten in maschinenlesbarem Format erhalten.
- Widerspruch (Art. 21 DSGVO): Widerspruch gegen bestimmte Verarbeitungen, insbesondere auf Grundlage berechtigter Interessen.
- Widerruf (Art. 7 Abs. 3 DSGVO): Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung deiner Rechte wende dich per E-Mail an: info@lillyynails.de
Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde für unseren Sitz ist:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Ludwig-Erhard-Straße 22, 20459 Hamburg
Tel.: +49 40 42854-4040
E-Mail: mailbox@datenschutz.hamburg.de
datenschutz.hamburg.de
Sicherheit der Datenverarbeitung
Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die Verbindung zur Website ist vollständig TLS-/HTTPS-verschlüsselt. Passwörter werden ausschließlich gehasht gespeichert. Zugriff auf personenbezogene Daten ist auf das notwendige Maß beschränkt (Row-Level-Security in der Datenbank).
Aktualität & Änderungen
Diese Datenschutzerklärung ist aktuell gültig (Stand: Juni 2026). Wir behalten uns vor, diese Erklärung bei Änderungen der rechtlichen Lage oder unserer Dienste anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar.