Datenschutzerklärung – Inanna Wellness Berlin

Inanna GmbH
Datenschutzerklärung

Diese deutsche Fassung ist die rechtlich maßgebliche Sprachversion. Im Falle von Abweichungen gegenüber der englischen Übersetzung (Privacy Policy) oder der russischen Übersetzung (Политика конфиденциальности) ist ausschließlich der deutsche Wortlaut verbindlich.

§ 1 Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) ist:

Inanna GmbH
Charlottenstraße 19
10117 Berlin

Vertreten durch den Geschäftsführer Herrn Siddharth Raja
Handelsregister: HRB 237773 B, Amtsgericht Charlottenburg
USt-IdNr.: DE352548770

E-Mail: keepshining@inanna.beauty 
WhatsApp: https://inanna.spa/whatsapp 
Telefon: 0800 0808 800 (kostenfrei innerhalb Deutschlands)
Website: https://inanna.beauty 

§ 2 Datenschutz-Kontakt

Die Inanna GmbH hat keinen Datenschutzbeauftragten bestellt, da die Voraussetzungen des Art. 37 DSGVO und des § 38 BDSG nicht erfüllt sind. Sämtliche datenschutzrechtlichen Anfragen richten Sie bitte an:

E-Mail: keepshining@inanna.beauty 
Betreff: „Datenschutzanfrage“

Wir antworten unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO).

§ 3 Überblick über Verarbeitungstätigkeiten und Rechtsgrundlagen

Die Inanna GmbH verarbeitet personenbezogene Daten zu den nachstehend bezeichneten Zwecken. Jede Verarbeitungstätigkeit stützt sich auf eine eigenständige Rechtsgrundlage der DSGVO, die in den jeweiligen Abschnitten näher dargelegt wird:

–    Bereitstellung der Website und Gewährleistung ihrer Sicherheit (Art. 6 Abs. 1 lit. f DSGVO)
–    Cookie-Verwaltung und Webanalyse (§ 25 TDDDG; Art. 6 Abs. 1 lit. a DSGVO)
–    Content Delivery und Sicherheitsdienste über CDN (§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO)
–    Serverseitiges Tag-Management und Conversion-Tracking (Art. 6 Abs. 1 lit. a und Art. 6 Abs. 1 lit. f DSGVO)
–    Heatmap- und Sitzungsanalyse (Art. 6 Abs. 1 lit. a DSGVO)
–    3D-Rundgang durch die Räumlichkeiten (Art. 6 Abs. 1 lit. a und Art. 6 Abs. 1 lit. f DSGVO)
–    Terminbuchung und -verwaltung über unsere Buchungsplattform (Art. 6 Abs. 1 lit. b DSGVO)
–    Terminbuchung über die Drittplattform Treatwell (Art. 6 Abs. 1 lit. b DSGVO)
–    Durchführung von Behandlungs- und Dienstleistungsverträgen (Art. 6 Abs. 1 lit. b DSGVO)
–    Produktverkauf im Geschäft und Point-of-Sale-Transaktionen (Art. 6 Abs. 1 lit. b DSGVO)
–    Produktversand über Versanddienstleister (Art. 6 Abs. 1 lit. b DSGVO)
–    Verwaltung von Aktionsgutscheinen und Prämienprogrammen (Art. 6 Abs. 1 lit. f DSGVO)
–    Umsatzsteuererstattung für Nicht-EU-Kunden über Global Blue (Art. 6 Abs. 1 lit. c DSGVO)
–    Verarbeitung gesundheitsbezogener Daten zu Behandlungszwecken (Art. 9 Abs. 2 lit. a DSGVO)
–    Diagnostische Bildgebung und Hautanalyse mittels Canfield®-Bildsystemen und Biologique Recherche® Skin Instant Lab™ (Art. 9 Abs. 2 lit. a DSGVO)
–    Individuelle Mikronährstoffrezeptur über HCK Mikronährstoffe (Art. 9 Abs. 2 lit. a DSGVO)
–    Überweisung zur Blutuntersuchung im Rahmen der Mikronährstoffanalyse über IMD Labor (Art. 9 Abs. 2 lit. a DSGVO)
–    Vorher-Nachher-Dokumentation und Fotografie (Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO)
–    Videoüberwachung öffentlich zugänglicher Bereiche der Geschäftsräume (Art. 6 Abs. 1 lit. f DSGVO; § 4 BDSG)
–    Zahlungsabwicklung (Art. 6 Abs. 1 lit. b DSGVO)
–    Kommunikation über E-Mail, WhatsApp, Social Media, Live-Chat und Telefon (Art. 6 Abs. 1 lit. b und Art. 6 Abs. 1 lit. f DSGVO)
–    KI-gestützte Erstellung und Qualitätssicherung von Kommunikation (Art. 6 Abs. 1 lit. f DSGVO)
–    Newsletter und Marketingkommunikation (Art. 6 Abs. 1 lit. a DSGVO)
–    Veranstaltungseinladungen und Kommunikation zur Kundenpflege (Art. 6 Abs. 1 lit. a und Art. 6 Abs. 1 lit. f DSGVO)
–    Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO)
–    Bewerbungs- und Einstellungsverfahren (Art. 6 Abs. 1 lit. b und Art. 88 DSGVO i. V. m. § 26 BDSG)
–    Presse- und Öffentlichkeitsarbeit (Art. 6 Abs. 1 lit. f DSGVO)
–    Google-Ads-Kampagnenverwaltung über Agentur (Art. 6 Abs. 1 lit. a DSGVO)
–    Verarbeitung von Daten Minderjähriger mit Einwilligung des Erziehungsberechtigten (Art. 6 Abs. 1 lit. a, Art. 8, Art. 9 Abs. 2 lit. a DSGVO)
 

§ 4 Website-Hosting und Server-Logdateien

Unsere Website wird auf einem dedizierten Server der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (eingetragen beim Amtsgericht Ansbach unter HRB 6089), gehostet. Hetzner betreibt Rechenzentren ausschließlich innerhalb des Europäischen Wirtschaftsraums und handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrags.

Beim Besuch unserer Website erhebt und speichert der Hosting-Server automatisch Informationen in Server-Logdateien, die Ihr Browser an uns übermittelt. Diese Daten sind technisch erforderlich, um die Website darzustellen und ihre Stabilität sowie Sicherheit zu gewährleisten. Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und effizienten Bereitstellung der Website).

Unsere Website basiert auf Craft CMS und wird mit aktuellen Sicherheitsupdates gepflegt. Das CMS setzt technisch notwendige Sitzungs- und Sicherheitscookies (CRAFT_CSRF_TOKEN und CraftSessionId), die für die Funktion und Sicherheit der Website unentbehrlich sind. Diese Cookies bedürfen keiner Einwilligung gemäß § 25 Abs. 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG). Craft CMS ist auf dem vorstehend beschriebenen dedizierten Server selbst gehostet; eine Datenübermittlung an den Hersteller (Pixel & Tonic, Inc.) findet nicht statt.

In Server-Logdateien werden folgende Daten erhoben:

–    IP-Adresse des anfragenden Geräts
–    Datum und Uhrzeit des Zugriffs
–    Name und URL der abgerufenen Datei
–    Website, von der aus der Zugriff erfolgte (Referrer-URL)
–    Browsertyp und -version, Betriebssystem
–    Menge der übertragenen Daten
–    HTTP-Statuscode

Eine Zusammenführung mit anderen Datenquellen findet nicht statt. Server-Logdateien werden nach 14 Tagen automatisch gelöscht, es sei denn, eine weitergehende Aufbewahrung ist zu Sicherheitszwecken erforderlich.

§ 5 Cookies und Einwilligungsverwaltung

5.1 Allgemeine Hinweise

Unsere Website verwendet Cookies – kleine Textdateien, die von Ihrem Browser auf Ihrem Endgerät gespeichert werden. Einige Cookies sind technisch notwendig, um die Funktionsfähigkeit der Website zu gewährleisten (§ 25 Abs. 2 TDDDG). Andere dienen Analyse- und Marketingzwecken und bedürfen Ihrer vorherigen Einwilligung (§ 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO).

5.2 Einwilligungsverwaltung (Cookiebot)

Wir verwenden Cookiebot, einen Dienst der Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark, um Ihre Cookie-Einwilligung einzuholen, zu verwalten und zu dokumentieren. Usercentrics handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Beim Besuch unserer Website zeigt Cookiebot einen Einwilligungsbanner an, über den Sie nicht erforderliche Cookies akzeptieren oder ablehnen können. Ihre Präferenzen werden in einem Cookie auf Ihrem Endgerät gespeichert und durch Cookiebot zum Nachweis der Einhaltung von § 25 TDDDG und Art. 7 Abs. 1 DSGVO dokumentiert.

Cookiebot verarbeitet dabei folgende Daten: Ihre anonymisierte IP-Adresse, Datum und Uhrzeit der Einwilligung, den Browser-User-Agent, die URL, von der aus die Einwilligung erteilt wurde, einen anonymen verschlüsselten Schlüsselwert sowie Ihren Einwilligungsstatus. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (Nachweispflicht) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an rechtskonformer Cookie-Nutzung). Die Aufbewahrungsdauer beträgt 12 Monate.

5.3 Technisch notwendige Cookies

Diese Cookies sind für die grundlegenden Funktionen der Website unentbehrlich und bedürfen keiner Einwilligung gemäß § 25 Abs. 2 TDDDG. Hierzu zählen Sitzungscookies, das Cookiebot-Einwilligungscookie sowie Cookies, die für die Einbindung des Shore-Buchungssystems erforderlich sind.

5.4 Analysecookies (einwilligungspflichtig)

Mit Ihrer Einwilligung setzen wir Google Analytics 4 ein, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Ireland handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Google Analytics verwendet Cookies, um Ihre Nutzung der Website auszuwerten. Die IP-Anonymisierung ist aktiviert. Die Verarbeitung beruht auf Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO. Ein Widerruf ist jederzeit über den Cookiebot-Einwilligungsbanner oder Ihre Browsereinstellungen möglich.

Google ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: https://policies.google.com/privacy.

5.5 Marketingcookies (einwilligungspflichtig)

Mit Ihrer Einwilligung können Cookies von Werbe- und Social-Media-Plattformen eingesetzt werden, um zielgerichtete Inhalte bereitzustellen und die Kampagnenwirksamkeit zu messen. Diese Cookies werden erst nach ausdrücklicher Einwilligung über den Cookiebot-Banner gesetzt. Die vorstehende Datenverarbeitung beruht auf Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO.

5.6 Content Delivery Network (Cloudflare)

Unsere Website nutzt das Content Delivery Network (CDN) und die Sicherheitsdienste der Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Beim Zugriff auf unsere Website wird Ihre Verbindung über das global verteilte Servernetzwerk von Cloudflare geleitet, wobei Ihre IP-Adresse, Browserinformationen und Anfragedaten verarbeitet werden können. Bestimmte technisch notwendige Cookies (z. B. _cfuvid) können von Cloudflare gesetzt werden. Diese sind gemäß § 25 Abs. 2 TDDDG von der Einwilligungspflicht ausgenommen; die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Performance). Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert. Cloudflare ist für die CDN- und Sicherheitsverarbeitung datenschutzrechtlich Verantwortlicher.

5.7 Serverseitiges Tag-Management (Stape)

Wir nutzen die Stape Europe OÜ (Registernummer 16564377), Tallinn, Estland, als Hosting-Anbieter für unseren serverseitigen Google Tag Manager (sGTM). Bei Interaktion mit unserer Website werden Tracking-Daten (wie Seitenaufrufe, Conversion-Ereignisse und Geräteinformationen) zunächst an einen von Stape gehosteten Servercontainer unter der Subdomain vipimo.inanna.beauty gesendet, bevor sie an Analyse- und Werbeplattformen (z. B. Google Analytics, Google Ads, Meta) weitergeleitet werden.

Stape handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Der Stape-Container wird auf europäischer Infrastruktur betrieben. Die über den serverseitigen Container gesetzten Cookies (z. B. _ga, _ga_#, _gcl_au, _gcl_ls, FPID, FPAU, FPLC, FPGSID) sind First-Party-Cookies auf der Domain inanna.beauty. Sie bedürfen Ihrer vorherigen Einwilligung gemäß § 25 Abs. 1 TDDDG; Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO.

5.8 Heatmap- und Sitzungsanalyse (Microsoft Clarity)

Mit Ihrer Einwilligung setzen wir Microsoft Clarity ein, einen Dienst der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland, um das Nutzungsverhalten auf unserer Website mittels Heatmaps und anonymisierter Sitzungsaufzeichnungen zu analysieren. Microsoft Clarity setzt die Cookies _clck (1 Jahr) und _clsk (1 Tag) auf der Domain inanna.beauty.

Die Verarbeitung beruht auf Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO. Microsoft ist nach dem EU-US Data Privacy Framework zertifiziert. Ein Widerruf ist jederzeit über den Cookiebot-Einwilligungsbanner möglich. Weitere Informationen: https://clarity.microsoft.com/terms.

5.9 3D-Rundgang (Matterport)

Unsere Kontaktseite enthält einen interaktiven 3D-Rundgang durch unsere Räumlichkeiten, bereitgestellt von Matterport, Inc., 352 E. Java Dr., Sunnyvale, CA 94089, USA. Beim Laden des Rundgangs verarbeitet Matterport Ihre IP-Adresse, Geräteinformationen und Interaktionsdaten. Matterport ist für diese Verarbeitung datenschutzrechtlich Verantwortlicher. Matterport setzt technisch notwendige Cloudflare-Cookies (_cfuvid) sowie eine anonyme Sitzungskennung (sc_anonymous_id) über seine Domains (cdn-2.matterport.com, my.matterport.com, static.matterport.com). Diese Cookies sind gemäß § 25 Abs. 2 TDDDG von der Einwilligungspflicht ausgenommen.

Der 3D-Rundgang wird erst nach Ihrer Einwilligung geladen (Zwei-Klick-Einbindung). Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. a DSGVO. Matterport hat seinen Sitz in den Vereinigten Staaten und ist nach dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss vom 10. Juli 2023). Sie können eine Datenübermittlung vermeiden, indem Sie den Rundgang nicht laden.

5.10 Cookie-Tabelle

Die nachstehende Tabelle führt sämtliche Cookies auf, die beim Cookiebot-Scan vom 2. Februar 2026 auf inanna.beauty identifiziert wurden, mit aktualisierten Klassifizierungen. Die Cookies sind nach Cookiebot-Einwilligungskategorien gruppiert. Cookies der Kategorie „Notwendig“ bedürfen keiner Einwilligung (§ 25 Abs. 2 TDDDG). Alle übrigen Kategorien erfordern eine vorherige Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO).

Notwendige Cookies (10)
CookieConsent (inanna.beauty) — HTTP — 1 Jahr — Speichert den Cookie-Einwilligungsstatus (Cookiebot)
CookieConsent (vipimo.inanna.beauty) — HTTP — 1 Jahr — Speichert den Cookie-Einwilligungsstatus (serverseitig)
CRAFT_CSRF_TOKEN (inanna.beauty) — HTTP — Sitzung — CSRF-Schutztoken für das CMS (Craft CMS)
CraftSessionId (inanna.beauty) — HTTP — Sitzung — Sitzungskennung für das CMS (Craft CMS)
_cfuvid (cdn-2.matterport.com) — HTTP — Sitzung — Cloudflare-CDN-Lastverteilung
_cfuvid (my.matterport.com) — HTTP — Sitzung — Cloudflare-CDN-Lastverteilung
_xsd (vipimo.inanna.beauty) — HTML — Persistent — Interne Daten des serverseitigen GTM
sc_anonymous_id (static.matterport.com) — HTML — Persistent — Anonyme Sitzung für 3D-Rundgang
v3:superchat-session-* (widget.superchat.de) — HTML — Sitzung — Superchat: Sitzungsstatus des Live-Chat-Widgets
v3:superchat-session-previous-state-* (widget.superchat.de) — HTML — Sitzung — Superchat: Vorheriger Sitzungsstatus des Live-Chat-Widgets

Statistik-Cookies (6) – einwilligungspflichtig
_clck (inanna.beauty) — HTTP — 1 Jahr — Microsoft Clarity: Besucheridentifikation für Heatmaps
_clsk (inanna.beauty) — HTTP — 1 Tag — Microsoft Clarity: Sitzungsbezogene Verhaltensdaten
FPAU (inanna.beauty) — HTTP — 90 Tage — Google Analytics: First-Party-Zielgruppen-Kennung (serverseitig)
FPGSID (inanna.beauty) — HTTP — 1 Tag — Google Analytics: Sitzungskennung (serverseitig)
FPID (inanna.beauty) — HTTP — 400 Tage — Google Analytics: Persistente Besucherkennung (serverseitig)
FPLC (inanna.beauty) — HTTP — 1 Tag — Google Analytics: Cross-Domain-Verknüpfung (serverseitig)

Marketing-Cookies (18) – einwilligungspflichtig
_ga (inanna.beauty) — HTTP — 2 Jahre — Google Analytics: geräte- und kanalübergreifendes Besucher-Tracking
_ga_# (inanna.beauty) — HTTP — 2 Jahre — Google Analytics: Sitzungs- und Besucherdaten (Property-Ebene)
_gcl_au (inanna.beauty) — HTTP — 90 Tage — Google Ads: Conversion-Linker für Werbezuordnung
_gcl_ls (vipimo.inanna.beauty) — HTML — Persistent — Google Ads: Conversion-Tracking-Rate
_fbp (inanna.beauty) — HTTP — 90 Tage — Meta/Facebook: Werbeauslieferung und -messung
IDE (doubleclick.net) — HTTP — 400 Tage — Google/DoubleClick: Werbeidentifikation
ads/ga-audiences (google.com) — Pixel — Sitzung — Google Ads: Remarketing-Zielgruppenabgleich
pagead/1p-user-list/# (google.com) — Pixel — Sitzung — Google Ads: First-Party-Zielgruppenlisten-Abgleich
_/set_cookie (vipimo.inanna.beauty) — Pixel — Sitzung — Serverseitiger GTM: Setzt erforderliche Analyse-/Marketing-Cookies
lastExternalReferrer (connect.facebook.net) — HTML — Persistent — Meta: Verweis-Quellen-Tracking
lastExternalReferrerTime (connect.facebook.net) — HTML — Persistent — Meta: Verweis-Zeitstempel
channel_flow (inanna.beauty) — HTTP — 400 Tage — Marketing-Kanal-Attribution (serverseitig)
channel_flow_first (inanna.beauty) — HTTP — 400 Tage — Erste Marketing-Kanal-Attribution
channel_flow_last (inanna.beauty) — HTTP — 400 Tage — Letzte Marketing-Kanal-Attribution
kuki (inanna.beauty) — HTTP — 400 Tage — Sitzungs- und Besucherkennung (serverseitig)
test_cookie (doubleclick.net) — HTTP — 1 Tag — Google-Werbung: Prüft Cookie-Unterstützung des Browsers
_gtmeec (inanna.beauty) — HTTP — 90 Tage — Google Tag Manager: Erweiterte Conversion-Daten

§ 6 Terminbuchung (Shore)

Wir nutzen die Shore GmbH, Ridlerstraße 31, 80339 München, als Buchungs- und Terminverwaltungsplattform. Bei einer Terminbuchung über unsere Website, telefonisch, per WhatsApp oder vor Ort werden folgende Daten über Shore verarbeitet:

–    Name, E-Mail-Adresse, Telefonnummer
–    Gewünschtes Datum und Uhrzeit des Termins
–    Ausgewählte Dienstleistung(en)
–    Etwaige von Ihnen im Buchungsprozess hinterlegte Anmerkungen

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung oder vorvertragliche Maßnahmen). Shore handelt als Auftragsverarbeiter in unserem Auftrag gemäß Art. 28 DSGVO. Ihre Buchungsdaten werden auf Servern innerhalb der Europäischen Union gespeichert.

Darüber hinaus erhalten wir Terminbuchungen über Treatwell B.V., Nieuwezijds Voorburgwal 120–126, 1012 SH Amsterdam, Niederlande. Treatwell ist für die eigene Plattform datenschutzrechtlich Verantwortlicher und übermittelt Buchungsdaten (Name, E-Mail-Adresse, Telefonnummer, ausgewählte Dienstleistung und gewünschter Terminzeitpunkt) an uns zur Terminabwicklung. Rechtsgrundlage für unsere Verarbeitung der über Treatwell empfangenen Daten ist Art. 6 Abs. 1 lit. b DSGVO.

§ 7 Vertragsdurchführung, Leistungserbringung und Produktverkauf

Wenn Sie Behandlungen oder Dienstleistungen bei Inanna in Anspruch nehmen, verarbeiten wir die zur Vertragsdurchführung erforderlichen personenbezogenen Daten. Dies umfasst Ihre Kontaktdaten, Terminhistorie, Behandlungsaufzeichnungen, Dienstleistungspräferenzen sowie sämtliche Korrespondenz im Zusammenhang mit Ihrer Betreuung. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO.

Beim Erwerb kosmetischer oder körperpflegender Produkte in unseren Geschäftsräumen verarbeiten wir die für die Kauftransaktion erforderlichen Daten, einschließlich Artikelbezeichnung, Kaufpreis, Zahlungsart und Transaktionsreferenz. Diese Daten werden über unser Kassensystem (Shore POS) verarbeitet und an unsere Buchhaltungsplattform (LexOffice) zur Erfüllung steuerlicher Pflichten übermittelt. Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufbewahrungspflichten).

Sofern ausnahmsweise ein Produktversand an Sie auf Ihren Wunsch erfolgt, verarbeiten wir zusätzlich Ihre Lieferadresse und übermitteln diese an unseren Versanddienstleister DHL (Deutsche Post DHL Group, Charles-de-Gaulle-Straße 20, 53113 Bonn) ausschließlich zum Zweck der Zustellung. DHL ist für den Transport- und Zustellvorgang datenschutzrechtlich Verantwortlicher. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Für Nicht-EU-Kunden, die Produkte in unseren Geschäftsräumen erwerben, nutzen wir die Global Blue Tax Free App (Global Blue AG, Zugerstrasse 70, 6340 Baar, Schweiz) zur Bearbeitung der Dokumentation für die Umsatzsteuerrückerstattung. Dabei werden Reisepass- bzw. Ausweisdaten, Staatsangehörigkeit, Kaufdetails und der Rückerstattungsbetrag verarbeitet. Die Verarbeitung beruht auf Art. 6 Abs. 1 lit. c DSGVO (Erfüllung umsatzsteuerrechtlicher Vorschriften) und Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Kaufvertrags). Global Blue ist für das Tax-Free-Erstattungsverfahren datenschutzrechtlich Verantwortlicher. Die Schweiz verfügt über einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO.

Soweit wir Unterlagen nach Abschluss einer Behandlung oder eines Verkaufs zu gesetzlichen Zwecken aufbewahren (z. B. steuer- und handelsrechtliche Pflichten gemäß § 147 AO und § 257 HGB), ist Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO. Die Aufbewahrung richtet sich nach den gesetzlich vorgeschriebenen Fristen (bis zu zehn Jahre für steuerrelevante Belege, bis zu sechs Jahre für Handelskorrespondenz); anschließend werden die Daten gelöscht.

Soweit Sie an einem Aktionsgutschein- oder Prämienprogramm teilnehmen (§ 16 der Allgemeinen Geschäftsbedingungen), verarbeiten wir die zur Programmverwaltung erforderlichen Daten: Ihren Namen, Ihr Geburtsdatum (für das Inanna Birthday®-Programm), Ihren Empfehlungsstatus (für das Inanna Ambassador®-Programm) sowie Guthabenstand und Einlösehistorie. Diese Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenbindung und Empfehlungsmanagement). Ihnen steht ein jederzeitiges Widerspruchsrecht gemäß Art. 21 DSGVO zu.

§ 8 Gesundheitsbezogene Daten (Besondere Kategorien)

Inanna erbringt nichtmedizinische Wellness-, Hautpflege-, Körper- und Haar-/Kopfhautbehandlungen. Um diese Leistungen sicher erbringen zu können, erheben und verarbeiten wir gegebenenfalls gesundheitsbezogene Informationen, die besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO darstellen. Dies umfasst:

–    Angaben in unserem Gesundheits- und Aufnahmefragebogen (Hauterkrankungen, Allergien, Medikation, Krankengeschichte, Schwangerschaftsstatus, kürzlich durchgeführte Eingriffe)
–    Haut- und Kopfhautbefunde im Rahmen von Beratungen
–    Kontraindikationsprüfungen vor bestimmten Behandlungen (z. B. Laser, Radiofrequenz, chemische Peelings, Microneedling)
–    Behandlungsnotizen und Verlaufsdokumentation

Haut- und Kopfhautbefunde können mittels der Canfield® VISIA®- und D2® HairMetrix®-Bildsysteme erhoben werden, die hochauflösende Aufnahmen Ihrer Haut oder Kopfhaut anfertigen, sowie mittels des Biologique Recherche® Skin Instant Lab™, das biophysikalische Hautparameter wie Hydratation, Sebum und Elastizität misst. Bild- und Messdaten werden sicher in unseren Räumlichkeiten gespeichert und als besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO behandelt. Rechtsgrundlage ist Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.

Unsere Canfield®-Bildsysteme erfordern eine regelmäßige Wartung durch die Canfield Scientific GmbH, Otto-Brenner-Straße 203, 33604 Bielefeld (eine hundertprozentige Tochtergesellschaft der Canfield Scientific, Inc., USA). Im Rahmen von Supportleistungen kann das technische Personal von Canfield auf dem Gerät gespeicherte diagnostische Aufnahmen zugreifen. Die Canfield Scientific GmbH handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Verarbeitung findet in Deutschland statt.

Allgemeine Rechtsgrundlage für die Verarbeitung gesundheitsbezogener Daten ist Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie mit dem Ausfüllen des Gesundheitsfragebogens und der Unterzeichnung der Behandlungseinwilligungserklärung vor Ihrem ersten Termin erteilen. Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen; der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Sollte infolge des Widerrufs die sichere Durchführung bestimmter Behandlungen nicht mehr gewährleistet sein, behalten wir uns vor, die Leistung abzulehnen (§ 9 der Allgemeinen Geschäftsbedingungen).

Zur Erstellung individueller Mikronährstoffrezepturen nutzen wir die Plattform von HCK Mikronährstoffe (HCK Mikronährstoffe AG, Untere Bahnhofstrasse 28, 9500 Wil, Schweiz). Gesundheitsdaten des Kunden – einschließlich Ernährungsinformationen, Supplementierungsbedarf und gegebenenfalls Blutwerte – werden in die HCK-Plattform eingegeben, um individuelle Nahrungsergänzungsrezepturen zusammenzustellen. Diese Daten stellen besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO dar. Die Verarbeitung beruht auf Art. 9 Abs. 2 lit. a DSGVO (Ihre ausdrückliche Einwilligung). HCK handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Schweiz verfügt über einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO.
Soweit Blutuntersuchungen im Rahmen einer Mikronährstoffbewertung durchgeführt werden, überweisen wir die Proben an das IMD Institut für Medizinische Diagnostik Berlin-Potsdam GbR, Nicolaistraße 22, 12247 Berlin. Das IMD ist datenschutzrechtlich Verantwortlicher und unterliegt den Vorschriften für medizinische Laboratorien sowie der ärztlichen Schweigepflicht. Wir übermitteln Ihren Namen und die relevanten Gesundheitsinformationen ausschließlich zum Zweck der Durchführung der Analyse. Rechtsgrundlage ist Art. 9 Abs. 2 lit. a DSGVO (Ihre ausdrückliche Einwilligung). Die uns zurückgemeldeten Blutwerte werden als Teil Ihrer Gesundheitsakte im Rahmen dieses Abschnitts verarbeitet.

Gesundheitsbezogene Daten werden mit höchster Vertraulichkeit behandelt, sind nur den behandelnden Fachkräften und dem zwingend erforderlichen Verwaltungspersonal zugänglich und werden, soweit technisch möglich, getrennt von allgemeinen Kundendaten gespeichert.

§ 9 Vorher-Nachher-Dokumentation

Mit Ihrer gesonderten, ausdrücklichen Einwilligung können wir Fotografien der Behandlungsbereiche vor und nach einer Behandlungsserie zum Zweck der Fortschrittsdokumentation und Behandlungsplanung anfertigen. Diese Aufnahmen können gesundheitsbezogene Informationen enthalten und werden als besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO behandelt.

Die Verarbeitung stützt sich auf Art. 9 Abs. 2 lit. a DSGVO; die Einwilligung wird gesondert von der allgemeinen Behandlungseinwilligung erteilt. Die Fotografien werden sicher gespeichert und weder an Dritte weitergegeben noch veröffentlicht oder zu Marketingzwecken verwendet, es sei denn, Sie erteilen hierfür eine zusätzliche, gesonderte schriftliche Einwilligung. Ein Widerruf und die Geltendmachung des Löschungsanspruchs sind jederzeit möglich.

§ 10 Videoüberwachung der Geschäftsräume

Wir betreiben ein Videoüberwachungssystem im Eingangsbereich, am Empfang, in Fluren und in der Verkaufsfläche (Spa Shop) unserer Geschäftsräume. Die Überwachung dient dem Schutz der Räumlichkeiten und des Warenbestands, der Sicherheit von Mitarbeitern und Kunden sowie der Verhütung und Aufklärung von Straftaten einschließlich Diebstahl. Behandlungsräume, Beratungsbereiche und Sanitärräume werden nicht überwacht. Das System zeichnet ausschließlich Bilddaten auf; eine Tonaufzeichnung findet nicht statt.

Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 4 BDSG (berechtigtes Interesse an der Sicherheit öffentlich zugänglicher Bereiche). Die Aufnahmen werden lokal auf Aufzeichnungsgeräten in den Geschäftsräumen gespeichert und nicht an Dritte, Cloud-Dienste oder externe Auftragsverarbeiter übermittelt.

Die Speicherdauer beträgt 72 Stunden; anschließend werden die Aufnahmen automatisch überschrieben. Hiervon ausgenommen ist Bildmaterial, dessen Aufbewahrung für die Aufklärung eines konkreten Vorfalls oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. In diesem Fall wird es bis zum Abschluss der Angelegenheit aufbewahrt.

Überwachte Bereiche sind durch Beschilderung gemäß Art. 13 DSGVO und § 4 Abs. 2 BDSG gekennzeichnet.

§ 11 Zahlungsabwicklung

Wir bieten verschiedene Zahlungsmethoden an. Welche Daten verarbeitet werden, richtet sich nach der von Ihnen gewählten Methode:

11.1 Karten- und Digital-Wallet-Zahlungen über Shore Pay (Stripe)

Kartenzahlungen in unseren Räumlichkeiten – einschließlich Visa, Mastercard, American Express, EC-Karte/Girocard, Apple Pay und Google Pay – sowie Online-Zahlungen über unsere Buchungsplattform werden über Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland, im Rahmen des integrierten Shore-Pay-Systems abgewickelt. Kontaktlose Zahlungen über NFC-fähige Karten und mobile Endgeräte werden über dieselbe Infrastruktur verarbeitet. Stripe verarbeitet Ihre Zahlungskartendaten unmittelbar; wir erhalten und speichern Ihre vollständigen Kartendaten nicht. Stripe ist nach dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Stripe handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO für die Transaktionsausführung in unserem Auftrag und zugleich als datenschutzrechtlich Verantwortlicher für die PCI-regulierte Kartendatenverarbeitung und Betrugsvermeidung.

11.2 Fernzahlungslinks (SumUp)

Für Fernzahlungen – einschließlich Anzahlungen, Gutscheinerwerben und der Abwicklung von Stornierungsgebühren über versendete Zahlungslinks (z. B. per WhatsApp oder E-Mail) – nutzen wir SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland. SumUp verarbeitet Ihre Zahlungskartendaten unmittelbar; wir erhalten und speichern Ihre vollständigen Kartendaten nicht. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. SumUp handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO für die Transaktionsausführung in unserem Auftrag und zugleich als datenschutzrechtlich Verantwortlicher für die PCI-regulierte Kartendatenverarbeitung und Betrugsvermeidung.

11.3 PayPal

PayPal-Zahlungen werden von PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, 2449 Luxemburg, als datenschutzrechtlich Verantwortlichem verarbeitet. Die Verarbeitung beruht auf Art. 6 Abs. 1 lit. b DSGVO.

11.4 Banküberweisung (Commerzbank)

Banküberweisungen und Lastschriftzahlungen werden von der Commerzbank AG, Kaiserplatz, 60261 Frankfurt am Main, gemäß den bankaufsichtsrechtlichen Vorschriften verarbeitet. Die Commerzbank ist datenschutzrechtlich Verantwortlicher. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO.

11.5 Barzahlung

Bei Barzahlungen findet keine zahlungsbezogene Verarbeitung personenbezogener Daten statt. Quittungen werden zu steuerlichen Zwecken gemäß Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO aufbewahrt.

§ 12 Kommunikationskanäle

12.1 E-Mail (Microsoft 365)

Unsere E-Mail-Korrespondenz wird über Microsoft 365 der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland, betrieben. Wenn Sie uns unter keepshining@inanna.beauty kontaktieren, werden Ihre Nachrichteninhalte, E-Mail-Adresse und zugehörigen Metadaten auf der Infrastruktur von Microsoft verarbeitet. Microsoft handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrags. Microsoft ist nach dem EU-US Data Privacy Framework zertifiziert. Die Verarbeitung beruht auf Art. 6 Abs. 1 lit. b DSGVO (vertragliche Kommunikation) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Geschäftskommunikation).

12.2 WhatsApp, Instagram, Facebook, Telegram und SMS (Superchat)

Wir nutzen die Superchat GmbH, Franz-Joseph-Straße 11, 80801 München, als einheitliche Messaging-Plattform zur Verwaltung der Kundenkommunikation über WhatsApp Business API, Facebook Messenger, Instagram-Direktnachrichten, Telegram und SMS (über Twilio, Inc., 101 Spear Street, San Francisco, CA 94105, USA, als zugrunde liegendem SMS-Gateway). Superchat handelt in unserem Auftrag als Auftragsverarbeiter gemäß Art. 28 DSGVO.
Wenn Sie uns über einen dieser Kanäle kontaktieren, können folgende Daten verarbeitet werden: Ihr Name und Profilinformationen gemäß der jeweiligen Plattform, Ihre Nachrichten und etwaige Anhänge, Ihre Telefonnummer (WhatsApp, Telegram und SMS) sowie Kommunikationszeitstempel. Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (vertragliche Kommunikation) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung über Ihren bevorzugten Kanal).
Die zugrunde liegenden Plattformbetreiber verarbeiten Ihre Daten als jeweils datenschutzrechtlich Verantwortliche:

–    WhatsApp, Instagram, Facebook Messenger: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland
–    SMS: Twilio, Inc., San Francisco, CA, USA (nach dem EU-US Data Privacy Framework zertifiziert)
–    Telegram: Telegram FZ-LLC, Dubai, Vereinigte Arabische Emirate

Nähere Einzelheiten entnehmen Sie bitte der Datenschutzerklärung der jeweiligen Plattform. Sollten Sie diese Dienste nicht nutzen wollen, erreichen Sie uns per E-Mail unter keepshining@inanna.beauty.

12.3 Telefon (Deutsche Telekom Cloud PBX)

Unser Telefondienst wird über die Deutsche Telekom Cloud PBX bereitgestellt, ein Produkt der Deutsche Telekom AG, Friedrich-Ebert-Allee 140, 53113 Bonn. Wenn Sie uns unter 0800 0808 800 (innerhalb Deutschlands) anrufen, werden Ihre Rufnummer und Anrufmetadaten (Zeitpunkt, Dauer) von der Deutschen Telekom im Rahmen der Cloud-PBX-Infrastruktur verarbeitet. Die Deutsche Telekom handelt als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags. Wir können Ihre Rufnummer in unseren Kundenunterlagen zum Zweck des Rückrufs oder der Terminverwaltung erfassen. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verwaltung der Kundenkommunikation).

Telefongespräche werden nicht aufgezeichnet.

12.4 Live-Chat-Widget (Superchat)

Unsere Website enthält ein Live-Chat-Widget der Superchat GmbH (siehe § 12.2). Bei Nutzung des Live-Chats verarbeitet Superchat Ihre Nachrichten, den Sitzungsstatus und Browser-Metadaten. Technisch notwendige Sitzungscookies (v3:superchat-session-*) werden auf widget.superchat.de zur Aufrechterhaltung der Chat-Sitzung gesetzt. Diese Cookies bedürfen keiner Einwilligung gemäß § 25 Abs. 2 TDDDG. Die Verarbeitung beruht auf Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Kommunikation) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung von Echtzeitunterstützung).

§ 13 KI-gestützte Kommunikation (Anthropic / Claude)

Wir nutzen Claude, ein großes Sprachmodell der Anthropic, PBC, 548 Market Street, San Francisco, CA 94104, USA (europäischer Geschäftsbetrieb über Anthropic UK Limited), zur Unterstützung bei der Erstellung, Überprüfung und Verbesserung interner und kundengerichteter Kommunikation, Behandlungsdokumentation und operativer Inhalte. Claude wird im Rahmen des Unternehmensplans von Anthropic genutzt, der einen Auftragsverarbeitungsvertrag sowie vertragliche Zusicherungen zur Datenverarbeitung umfasst.

Beim Einsatz von Claude werden relevante Texte – die anonymisierte oder pseudonymisierte Kundeninformationen, Behandlungsbeschreibungen oder Korrespondenzinhalte enthalten können – an die Infrastruktur von Anthropic zur Verarbeitung übermittelt. Wir beschränken die in jede Eingabe einbezogenen personenbezogenen Daten auf das erforderliche Minimum und anonymisieren oder pseudonymisieren Angaben, die Rückschlüsse auf die Identität des Kunden zulassen, soweit dies praktisch umsetzbar ist.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter, qualitativ hochwertiger Kommunikation und operativer Unterstützung). Soweit die Verarbeitung gesundheitsbezogene Daten berührt, stellen wir sicher, dass die Eingaben so weit anonymisiert werden, dass sie keine personenbezogenen Daten mehr darstellen, oder stützen die Verarbeitung auf Art. 9 Abs. 2 lit. a DSGVO (Ihre ausdrückliche Einwilligung zur behandlungsbezogenen Verarbeitung).

Anthropic hat seinen Sitz in den Vereinigten Staaten. Die Datenübermittlung wird durch vertragliche Zusicherungen von Anthropic abgesichert, einschließlich Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO, soweit das EU-US Data Privacy Framework nicht greift. Claude speichert im Rahmen des Unternehmensplans keine Konversationsdaten zum Zweck des Modelltrainings.

§ 14 Newsletter-Kommunikation (Brevo)

Wir nutzen die Brevo GmbH (ehemals Sendinblue), Köpenicker Straße 126, 10179 Berlin, zum Versand von Newslettern und regelmäßigen Behandlungsinformationen an Kunden, die zuvor ihre Einwilligung erteilt haben. Brevo handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Bei der Anmeldung zum Newsletter werden folgende Daten verarbeitet: Ihre E-Mail-Adresse, Name (sofern angegeben), Anmeldezeitpunkt, IP-Adresse zum Zeitpunkt der Anmeldung (zur Double-Opt-in-Verifizierung) sowie Interaktionsdaten (Öffnungs- und Klickverhalten) zum Zweck der inhaltlichen Relevanzsteigerung. Die Anmeldung erfolgt im Double-Opt-in-Verfahren.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung). Sie können sich jederzeit über den Abmeldelink in jedem Newsletter, per E-Mail an keepshining@inanna.beauty oder per WhatsApp unter https://inanna.spa/whatsapp abmelden. Der Widerruf wirkt für die Zukunft und berührt nicht die Rechtmäßigkeit der vorherigen Verarbeitung. Nach der Abmeldung wird Ihre E-Mail-Adresse ausschließlich auf einer Sperrliste zur Verhinderung einer erneuten Aufnahme gespeichert; diese Aufbewahrung beruht auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Einhaltung Ihres Widerrufs).

§ 15 Veranstaltungseinladungen und Kundenkommunikation (Greenvelope)

Für personalisierte Veranstaltungseinladungen, Geburtstagsgrüße, die Zustellung von Aktionsgutscheinen (einschließlich Inanna Ambassador®- und Inanna Birthday®-Gutscheinen gemäß § 16 der Allgemeinen Geschäftsbedingungen) sowie ausgewählte Kommunikation zur Kundenpflege nutzen wir Greenvelope, Inc., Gig Harbor, WA, USA, einen digitalen Einladungsdienst. Greenvelope ist datenschutzrechtlich Verantwortlicher und verarbeitet den Namen, die E-Mail-Adresse und die Antwortdaten des Empfängers. Ein automatisierter Versand findet nicht statt.

Die Verarbeitung beruht auf Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung, soweit die Kommunikation marketingbezogen ist) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Pflege der Kundenbeziehung durch personalisierte Kommunikation, z. B. Geburtstagsgrüße bei freiwilliger Angabe Ihres Geburtsdatums). Sie können die Einwilligung jederzeit per E-Mail an keepshining@inanna.beauty oder per WhatsApp widerrufen.

Greenvelope hat seinen Sitz in den Vereinigten Staaten. Die Übermittlung wird durch Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Weitere Informationen finden Sie in der Datenschutzerklärung von Greenvelope unter greenvelope.com/privacy.

§ 16 Social-Media-Auftritte

Wir unterhalten öffentliche Profile auf den folgenden Plattformen: Instagram (instagram.com/inanna.wellness, aktiv), YouTube (aktiv), Facebook (ruhendes Profil) und LinkedIn (vorwiegend für die Personalgewinnung genutzt). Bei Interaktion mit einem dieser Profile werden Ihre Daten vom jeweiligen Plattformbetreiber als datenschutzrechtlich Verantwortlichem verarbeitet. Wir erhalten anonymisierte, aggregierte Analysedaten im Rahmen gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO (für Instagram und Facebook über die Meta Page Insights-Bedingungen; für LinkedIn über das LinkedIn Page Insights Joint Controller Addendum).

Direktnachrichten werden über Superchat verwaltet (siehe § 12.2). Rechtsgrundlage für unsere Verarbeitung von Social-Media-Interaktionen ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der öffentlichen Darstellung des Unternehmens und an der Interaktion mit Kunden und Interessenten).

Fotografien und Videoinhalte, die auf unseren Social-Media-Profilen und unserer Website veröffentlicht werden, können Models zeigen, die eine gesonderte schriftliche Einwilligung zur Nutzung ihres Bildes auf sämtlichen Plattformen des Anbieters erteilt haben. Die Bildrechte der Models unterliegen individuellen Einwilligungsvereinbarungen und sind nicht 

Gegenstand dieser Datenschutzerklärung.

§ 17 Buchhaltung und steuerliche Compliance (LexOffice)

Für die digitale Verwaltung, Verarbeitung und Aufbewahrung von Buchhaltungs- und steuerrelevanten Daten nutzen wir LexOffice, eine cloudbasierte Buchhaltungsplattform der Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg im Breisgau. LexOffice verarbeitet Rechnungsdaten, Zahlungsbelege und Kundentransaktionsdaten, die über unser Kassensystem (Shore POS) übermittelt werden, zum Zweck der laufenden Buchführung und Erfüllung gesetzlicher Aufbewahrungspflichten.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (Erfüllung steuerlicher Pflichten gemäß § 147 AO und § 257 HGB). Haufe-Lexware handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Daten werden innerhalb des Europäischen Wirtschaftsraums verarbeitet und gespeichert.

Unsere Jahresabschlüsse und Steuererklärungen werden von der Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft (EY), Friedrichstraße 140, 10117 Berlin, erstellt. EY ist datenschutzrechtlich Verantwortlicher und unterliegt der gesetzlichen Berufsverschwiegenheitspflicht (Wirtschaftsprüferordnung – WPO; Steuerberatungsgesetz – StBerG). Wir übermitteln Rechnungsdaten, Zahlungsbelege und Kundentransaktionsdaten an EY ausschließlich zum Zweck der Erstellung des Jahresabschlusses und der Steuererklärungen. Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. c DSGVO (Erfüllung steuer- und handelsrechtlicher Pflichten).

Eine Übermittlung in Drittländer findet nicht statt.

§ 18 Personalgewinnung (JOIN)

Wir nutzen JOIN (join.com GmbH, Berlin) als Plattform für die Personalgewinnung. Wenn Sie sich über JOIN oder über eine auf JOIN veröffentlichte Stellenanzeige bei der Inanna GmbH bewerben, werden folgende Daten verarbeitet: Ihr Name, Kontaktdaten, Lebenslauf, Anschreiben, Qualifikationsnachweise sowie etwaige zusätzlich von Ihnen eingereichte Unterlagen. JOIN handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Die Verarbeitung beruht auf Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) i. V. m. § 26 BDSG (Datenverarbeitung für Beschäftigungszwecke; Übergangsvorschrift bis zur Verabschiedung eines eigenständigen Beschäftigtendatenschutzgesetzes). Bei erfolgloser Bewerbung werden Ihre Daten innerhalb von sechs Monaten nach Abschluss des Bewerbungsverfahrens gelöscht, es sei denn, Sie haben in eine längere Aufbewahrung für künftige Vakanzen eingewilligt. Eine automatisierte Vorauswahl findet nicht statt.

§ 19 Presse- und Öffentlichkeitsarbeit (Presseportal)

Für die Verbreitung von Pressemitteilungen und öffentlichen Kommunikationen nutzen wir Presseportal, einen Dienst der news aktuell GmbH (ein Unternehmen der dpa-Gruppe), Mittelweg 144, 20148 Hamburg. news aktuell handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Presseportal verarbeitet den Inhalt von Pressemitteilungen sowie zugehörige Kontaktdaten (Name und E-Mail-Adresse des Pressekontakts) zum Zweck der Medienverbreitung. Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an öffentlicher Kommunikation). Sie betrifft ausschließlich professionelle Medienkontakte und umfasst keine personenbezogenen Kundendaten.

§ 20 Google-Ads-Kampagnenverwaltung (Oplayo)

Wir nutzen die Oplayo GmbH, Skalitzer Strasse 33, 10999 Berlin (eingetragen beim Amtsgericht Berlin-Charlottenburg unter HRB 195942), als Agentur für die Verwaltung unserer Google-Ads-Kampagnen. Oplayo verwaltet unsere Kampagnen einschließlich Keyword-Strategie, Gebotsmanagement, Zielgruppenaussteuerung und Conversion-Analyse. In dieser Funktion kann Oplayo auf aggregierte Kampagnenleistungsdaten, Conversion-Daten und Zielgruppen-Insights der Google-Ads-Plattform zugreifen.

Unmittelbar personenidentifizierende Kundendaten erhält Oplayo von uns nicht. Über den Verwaltungszugang zu unserem Google-Ads-Konto kann Oplayo jedoch pseudonymisierte oder aggregierte Nutzerdaten aus dem Google-Werbe-Ökosystem verarbeiten (z. B. Conversion-Ereignisse, Remarketing-Zielgruppen). Oplayo handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung zu Marketingcookies) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an wirksamer Werbung).

§ 21 Empfänger und Auftragsverarbeiter

Wir übermitteln personenbezogene Daten an die folgenden Kategorien von Empfängern:

Auftragsverarbeiter (Verarbeitung in unserem Auftrag gemäß Art. 28 DSGVO)
–    Hetzner Online GmbH, Gunzenhausen – Dediziertes Server-Hosting
–    Shore GmbH, München – Terminbuchung, CRM und Kassensystem
–    Superchat GmbH, München – Einheitliche Messaging-Plattform und Live-Chat-Widget
–    Twilio, Inc., San Francisco, CA, USA – SMS-Gateway (über Superchat)
–    Microsoft Ireland Operations Limited, Dublin, Irland – E-Mail-Hosting (Microsoft 365) und Heatmap-Analyse (Microsoft Clarity)
–    Usercentrics A/S (Cookiebot), Kopenhagen, Dänemark – Cookie-Einwilligungsverwaltung
–    Google Ireland Limited, Dublin, Irland – Webanalyse (Google Analytics 4)
–    Deutsche Telekom AG, Bonn – Cloud-PBX-Telefonie
–    Anthropic, PBC / Anthropic UK Limited – KI-gestützte Kommunikation (Claude)
–    Brevo GmbH, Berlin – Newsletter und E-Mail-Marketing
–    Haufe-Lexware GmbH & Co. KG (LexOffice), Freiburg im Breisgau – Cloudbasierte Buchhaltung
–    HCK Mikronährstoffe AG, Wil, Schweiz – Individuelle Mikronährstoffrezeptur
–    Canfield Scientific GmbH, Bielefeld – Wartung diagnostischer Bildsysteme
–    join.com GmbH, Berlin – Plattform für die Personalgewinnung
–    news aktuell GmbH (Presseportal), Hamburg – Presseverteilung
–    Stape Europe OÜ, Estland – Serverseitiges Google-Tag-Manager-Hosting
–    Oplayo GmbH, Berlin – Google-Ads-Kampagnenverwaltung

Datenschutzrechtlich Verantwortliche Dritte
–    SumUp Limited, Dublin, Irland – Verarbeitung von Fernzahlungslinks; zugleich Auftragsverarbeiter für die Transaktionsausführung
–    Stripe Payments Europe, Ltd., Dublin, Irland – Karten-, Digital-Wallet- und Online-Zahlungsverarbeitung (über Shore Pay); zugleich Auftragsverarbeiter für die Transaktionsausführung
–    PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg – Zahlungsverarbeitung
–    Commerzbank AG, Frankfurt am Main – Bankdienstleistungen
–    Meta Platforms Ireland Limited, Dublin, Irland – WhatsApp, Instagram, Facebook
–    Telegram FZ-LLC, Dubai, VAE – Telegram-Messaging
–    Greenvelope, Inc., USA – Digitale Einladungen
–    Deutsche Post DHL Group, Bonn – Produktversand (sofern zutreffend)
–    Cloudflare, Inc., San Francisco, USA – Content Delivery Network und Sicherheitsdienste
–    Matterport, Inc., Sunnyvale, USA – 3D-Rundgang
–    Treatwell B.V., Amsterdam, Niederlande – Terminbuchungsplattform
–    Global Blue AG, Baar, Schweiz – Umsatzsteuerrückerstattung
–    IMD Institut für Medizinische Diagnostik Berlin-Potsdam GbR, Berlin – Blutuntersuchungslabor
–    YouTube (Google Ireland Limited), Dublin, Irland – Video-Hosting
–    LinkedIn Ireland Unlimited Company, Dublin, Irland – Berufliches Netzwerk
–    Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft (EY), Berlin – Jahresabschlüsse und Steuererklärungen (Verantwortlicher unter Berufsverschwiegenheit)

Sonstige Empfänger
–    Öffentliche Stellen – soweit eine Offenlegung gesetzlich vorgeschrieben ist (Art. 6 Abs. 1 lit. c DSGVO)

Personenbezogene Daten werden weder an Dritte verkauft noch für Zwecke weitergegeben, die über die in dieser Datenschutzerklärung beschriebenen hinausgehen.

§ 22 Übermittlungen in Drittländer

Einige der in dieser Datenschutzerklärung genannten Dienstleister haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) oder übermitteln Daten dorthin. Wir stellen sicher, dass geeignete Garantien bestehen:

–    Vereinigte Staaten (Microsoft, Google, Stripe, Cloudflare): Zertifiziert nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023).
–    Vereinigte Staaten (Meta Platforms): Zertifiziert nach dem EU-US Data Privacy Framework.
–    Vereinigte Staaten (Matterport): Zertifiziert nach dem EU-US Data Privacy Framework.
–    Vereinigte Staaten (Anthropic / Claude): Abgesichert durch Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Claude speichert im Rahmen des Unternehmensplans keine Konversationsdaten zum Zweck des Modelltrainings.
–    Vereinigte Staaten (Twilio): Zertifiziert nach dem EU-US Data Privacy Framework.
–    Vereinigte Staaten (Greenvelope): Abgesichert durch Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
–    Schweiz (HCK Mikronährstoffe, Global Blue): Angemessenheitsbeschluss gemäß Art. 45 DSGVO.
–    Vereinigte Arabische Emirate (Telegram): Kein Angemessenheitsbeschluss. Die Übermittlung erfolgt auf Grundlage von Art. 49 Abs. 1 lit. a DSGVO (Ihre ausdrückliche Einwilligung durch freiwillige Nutzung von Telegram). Sie können diese Übermittlung vermeiden, indem Sie stattdessen E-Mail oder WhatsApp nutzen.

§ 23 Aufbewahrungsfristen

Wir bewahren personenbezogene Daten nur so lange auf, wie es für den jeweiligen Zweck erforderlich oder gesetzlich vorgeschrieben ist:

–    Server-Logdateien: 14 Tage.
–    Einwilligungsnachweise (Cookiebot): 12 Monate.
–    Serverseitige Tagging-Daten (Stape): Keine dauerhafte Speicherung personenbezogener Daten; die Daten werden durchgeleitet und an die Zielplattformen weitergeleitet.
–    Microsoft-Clarity-Heatmap-Daten: Höchstens 13 Monate (Standardaufbewahrung von Microsoft).
–    Behandlungs- und Kundenunterlagen: Dauer der Kundenbeziehung zuzüglich drei Jahre (§ 195 BGB), sofern keine längere gesetzliche Aufbewahrungsfrist gilt.
–    Kaufbelege: Zehn Jahre (steuerrelevante Rechnungen, § 147 AO); Lieferadressdaten nach erfolgreicher Zustellung und Ablauf etwaiger Rückgabe- oder Gewährleistungsfristen.
–    Daten zu Aktionsgutscheinen und Prämienprogrammen: Dauer der Programmteilnahme zuzüglich der Gültigkeitsdauer ausstehender Gutscheine; Geburtsdatum für die Dauer der Kundenbeziehung.
–    Global-Blue-Tax-Free-Transaktionsdaten: Zehn Jahre (§ 147 AO).
–    Gesundheitsfragebögen und Einwilligungserklärungen: Dauer der Kundenbeziehung zuzüglich drei Jahre. Wird die Einwilligung vor Ablauf dieser Frist widerrufen, erfolgt die weitere Aufbewahrung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verteidigung von Rechtsansprüchen) bis zum Ablauf der Verjährungsfrist.
–    Canfield®-Diagnosebilder: Bis zum Widerruf der Einwilligung oder drei Jahre nach dem letzten Termin, je nachdem, welcher Zeitpunkt später liegt.
–    HCK-Mikronährstoffrezepturen: Dauer der Kundenbeziehung zuzüglich drei Jahre.
–    Daten zur Überweisung an das IMD-Labor: Dauer der Kundenbeziehung zuzüglich drei Jahre.
–    Vorher-Nachher-Fotografien: Bis zum Widerruf der Einwilligung oder drei Jahre nach dem letzten Termin, je nachdem, welcher Zeitpunkt später liegt.
–    Videoüberwachungsaufnahmen: 72 Stunden; Verlängerung nur bei Bedarf für die Aufklärung eines Vorfalls oder die Geltendmachung von Rechtsansprüchen.
–    KI-verarbeitete Daten (Claude): Keine Aufbewahrung durch Anthropic im Rahmen des Unternehmensplans.
–    Newsletter-Abonnentendaten: Bis zur Abmeldung; die E-Mail-Adresse verbleibt anschließend auf der Sperrliste.
–    Einladungsdaten (Greenvelope): Dauer des Kommunikationszyklus der Veranstaltung; Löschung auf Anfrage oder bei Wegfall des Verarbeitungszwecks.
–    Rechnungen und steuerrelevante Belege: Zehn Jahre (§ 147 AO).
–    Handelskorrespondenz: Sechs Jahre (§ 257 HGB).
–    Telefonverbindungsdaten (Cloud-PBX-Metadaten): Sechs Jahre als Handelskorrespondenz (§ 257 HGB); Gesprächsinhalte werden nicht aufgezeichnet.
–    Social-Media-Interaktionsdaten: Plattformgesteuert im Rahmen der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO); von der Anbieterin abgerufene aggregierte Statistiken werden für die Dauer der Nutzung des jeweiligen Kanals aufbewahrt.
–    Bewerbungsunterlagen (erfolglose Bewerbung): Sechs Monate nach Abschluss des Bewerbungsverfahrens.
–    Google-Ads-Conversion-Daten: Gemäß den Aufbewahrungseinstellungen von Google; derzeit auf 14 Monate konfiguriert.

Nach Ablauf der jeweils geltenden Aufbewahrungsfrist werden die Daten sicher gelöscht oder anonymisiert.

§ 24 Ihre Rechte

Ihnen stehen nach der DSGVO die folgenden Rechte zu. Zur Ausübung wenden Sie sich bitte an keepshining@inanna.beauty oder per WhatsApp an https://inanna.spa/whatsapp mit dem Betreff „Datenschutzanfrage“:

24.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten über Sie verarbeiten, und gegebenenfalls eine Kopie dieser Daten nebst Informationen über Verarbeitungszwecke, Datenkategorien, Empfänger, Aufbewahrungsfristen und Ihre weitergehenden Rechte zu erhalten.

24.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger und die Vervollständigung unvollständiger Daten zu verlangen.

24.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung verlangen, wenn die Daten für den Verarbeitungszweck nicht mehr erforderlich sind, die Einwilligung widerrufen wird (und keine anderweitige Rechtsgrundlage besteht) oder die Verarbeitung unrechtmäßig ist. Dieses Recht besteht nicht, soweit die Aufbewahrung gesetzlich vorgeschrieben oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

24.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen – etwa während der Überprüfung der Richtigkeit der Daten oder bei unrechtmäßiger Verarbeitung, der Sie nicht mit einer Löschung begegnen möchten.

24.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung oder auf Vertragserfüllung beruht und automatisiert erfolgt, haben Sie das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

24.6 Widerspruchsrecht (Art. 21 DSGVO)

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, können Sie jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einlegen. Wir stellen die Verarbeitung daraufhin ein, es sei denn, wir weisen zwingende schutzwürdige Gründe nach.

24.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der auf Grundlage der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Wir antworten innerhalb eines Monats nach Eingang. Diese Frist kann um zwei weitere Monate verlängert werden, sofern dies unter Berücksichtigung der Komplexität und Anzahl der Anträge erforderlich ist; in diesem Fall informieren wir Sie innerhalb des ersten Monats.

§ 25 Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Die für die Inanna GmbH zuständige Behörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219, 10969 Berlin

Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de 
Website: https://www.datenschutz-berlin.de 

§ 26 Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist in bestimmten Fällen gesetzlich vorgeschrieben (z. B. steuerliche Vorschriften gemäß § 147 AO) und kann darüber hinaus für die Vertragserfüllung erforderlich sein. Im Falle gesundheitsbezogener Daten kann die Nichtbereitstellung zutreffender Angaben dazu führen, dass bestimmte Behandlungen nicht sicher durchgeführt werden können.

§ 27 Automatisierte Entscheidungsfindung

Wir setzen keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO ein, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in vergleichbarer Weise erheblich beeinträchtigt.

§ 28 Verarbeitung von Daten Minderjähriger

Soweit Leistungen an Kunden unter 18 Jahren erbracht werden, erfolgt die Verarbeitung personenbezogener Daten auf Grundlage der Einwilligung des gesetzlichen Vertreters (Art. 6 Abs. 1 lit. a, Art. 8 DSGVO). Gesundheitsbezogene Daten Minderjähriger werden gemäß Art. 9 Abs. 2 lit. a DSGVO mit ausdrücklicher Einwilligung des gesetzlichen Vertreters verarbeitet. Für Daten Minderjähriger gelten dieselben Vertraulichkeits- und Datenminimierungsmaßstäbe wie für alle Kundendaten.

§ 29 Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für Ihre Rechte und Freiheiten führt, benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO). Besteht voraussichtlich ein hohes Risiko, informieren wir darüber hinaus Sie unverzüglich (Art. 34 DSGVO).

§ 30 Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung aktualisieren, um Änderungen unserer Verarbeitungstätigkeiten, der Rechtslage oder unserer Dienstleistungen abzubilden. Die jeweils aktuelle Fassung ist stets unter https://inanna.beauty/datenschutzerklaerung/ abrufbar. Wesentliche Änderungen teilen wir Ihnen mindestens 30 Tage vor Inkrafttreten in Textform (§ 126b BGB) mit.