Datenschutz­erklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG 2018) ist:

Diese Datenschutzerklärung gilt für alle Leistungen, Websites und digitalen Systeme von HIMALYA Wellness, insbesondere für himalya-wellness.com und buchen.himalya-wellness.com.

Je nach Art der Nutzung verarbeiten wir folgende Kategorien personenbezogener Daten:

• Stammdaten: Vor- und Nachname, Geburtsdatum (optional)
• Kontaktdaten: E-Mail-Adresse, Telefonnummer, Adresse (für mobile Massage oder Rechnung)
• Buchungsdaten: Termin, Massageart, Dauer, Notizen zum Termin
• Gesundheitsbezogene Daten: Angaben aus dem Anamnesebogen (Vorerkrankungen, Kontraindikationen) — ausschließlich zur sicheren Behandlungsdurchführung (siehe § 6)
• Zahlungsdaten: Transaktionsinformationen, Zahlungsbestätigung (verarbeitet durch Stripe — keine Speicherung von Kartendaten bei HIMALYA Wellness)
• Kommunikationsdaten: Inhalte von E-Mails, WhatsApp-Nachrichten, Formulareingaben
• Technische Daten: IP-Adresse, Browsertyp, Gerätedaten, aufgerufene Seiten, Zeitstempel
• Marketing-Daten: Newsletter-Einwilligung, E-Mail-Öffnungen (nur bei ausdrücklicher Einwilligung)

Wir verarbeiten deine Daten ausschließlich zu den folgenden, klar definierten Zwecken:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Terminvereinbarung, Durchführung der Massagebehandlung, mobile Termine, Rechnungsstellung, Gutscheinabwicklung, Mitgliedschaftsverwaltung
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrungspflichten nach BAO und UGB (7 Jahre für Rechnungen), Gewerberecht
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): IT-Sicherheit, Betrugsprävention, Schutz vor Missbrauch, Verbesserung der Dienstleistungsqualität
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Newsletter, Marketing-E-Mails, nicht notwendige Cookies, Google Analytics 4 — jederzeit widerrufbar
• Gesundheitsdaten (Art. 9 Abs. 2 lit. a & c DSGVO): Anamnesebogen zur sicheren Behandlungsdurchführung (ausdrückliche Einwilligung + lebenswichtiges Interesse)

Es findet keine automatisierte Entscheidungsfindung oder Profilerstellung im Sinne des Art. 22 DSGVO statt.

Unsere Hauptwebsite himalya-wellness.com wird über den Website-Builder Framer betrieben.

4.1Framer ist ein in der EU ansässiger Anbieter. Die Datenverarbeitung erfolgt auf Basis unseres berechtigten Interesses an einem sicheren und funktionierenden Webauftritt (Art. 6 Abs. 1 lit. f DSGVO). Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO besteht mit Framer.

4.2Beim Aufruf der Website werden automatisch technische Daten durch den Hosting-Server erfasst (sog. Server-Logs). Diese dienen ausschließlich der technischen Sicherheit und werden nicht für Marketingzwecke genutzt.

Für Online-Buchungen, Terminverwaltung, Kundenkommunikation, Gutscheinverkauf, Mitgliedschaftsverwaltung und unser CRM (Customer Relationship Management) nutzen wir GoHighLevel.

5.1Über buchen.himalya-wellness.com (GoHighLevel Subdomain) werden folgende Daten verarbeitet:

• Name, E-Mail-Adresse, Telefonnummer
• Gebuchte Leistung, Terminzeit, Dauer
• Adresse (bei mobilen Terminen)
• Kommunikationsverlauf (E-Mails, SMS, Erinnerungen)
• Buchungshistorie und Zahlungsstatus
• Angaben aus dem digitalen Anamnesebogen (§ 6)
• Notizen und Tags im CRM (intern, für bessere Betreuung)

5.2GoHighLevel agiert als unser Auftragsverarbeiter gem. Art. 28 DSGVO. Ein schriftlicher Auftragsverarbeitungsvertrag (AVV) besteht. Die Daten werden ausschließlich auf unsere Weisung und für die genannten Zwecke verarbeitet.

5.3Automatische Erinnerungs-E-Mails und SMS (z. B. 24h vor dem Termin) werden ebenfalls über GoHighLevel versendet. Diese sind Bestandteil der Vertragserfüllung und bedürfen keiner gesonderten Einwilligung.

Vor der ersten Behandlung füllen Kunden einen digitalen Anamnesebogen (Gesundheitsfragebogen) aus. Dieser dient ausschließlich der sicheren und bedarfsgerechten Durchführung der Massagebehandlung.

6.1Im Anamnesebogen werden folgende gesundheitsbezogene Angaben erhoben:

• Bekannte Vorerkrankungen, chronische Beschwerden
• Vergangene oder geplante Operationen
• Schwangerschaft und Stadium
• Herz-Kreislauf-Erkrankungen, Blutdruckprobleme
• Hauterkrankungen, Allergien (inkl. Öle/Latex)
• Aktuelle Medikamente mit Relevanz für die Behandlung
• Individuelle Wünsche und Druckempfindlichkeiten

6.2Rechtsgrundlage für die Verarbeitung dieser besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO):

• Ausdrückliche Einwilligung des Kunden vor Ausfüllen des Formulars (Art. 9 Abs. 2 lit. a DSGVO)
• Schutz lebenswichtiger Interessen bei Kontraindikationen (Art. 9 Abs. 2 lit. c DSGVO)

6.3Der Anamnesebogen wird digital über GoHighLevel erfasst und dort verschlüsselt gespeichert (§ 5). Der Zugang ist auf den Behandler (Lukas Wiesflecker) beschränkt. Eine Weitergabe an Dritte findet nicht statt.

6.4Die Einwilligung kann jederzeit widerrufen werden. In diesem Fall können wir keine Behandlung durchführen, da die Überprüfung von Kontraindikationen zu unserer Sorgfaltspflicht gehört.

6.5Speicherdauer: Gesundheitsdaten werden nach Beendigung der Kundenbeziehung, spätestens nach 3 Jahren, vollständig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Für die Online-Zahlungsabwicklung (Kreditkarte, Debitkarte, Apple Pay, Google Pay) nutzen wir Stripe.

7.1Wenn du eine Online-Zahlung durchführst, wirst du an die sichere Zahlungsumgebung von Stripe weitergeleitet. Folgende Daten werden an Stripe übermittelt:

• Name, E-Mail-Adresse
• Zahlungsbetrag und Währung
• Zahlungsmittel-Daten (direkt und ausschließlich durch Stripe erfasst)
• IP-Adresse und Gerätedaten (für Betrugsprävention)

7.2Stripe agiert für die Zahlungsverarbeitung als eigenständiger Verantwortlicher gemäß DSGVO. Stripe ist nach dem EU–US Data Privacy Framework (DPF) zertifiziert und verarbeitet Daten auf Basis der EU-Standardvertragsklauseln. HIMALYA Wellness erhält von Stripe ausschließlich eine Zahlungsbestätigung.

7.3Stripe ist nach dem irischen Recht und DSGVO vollständig reguliert. Die Datenschutzerklärung von Stripe ist unter stripe.com/at/privacy abrufbar.

8.1Wenn du uns per E-Mail, Telefon, WhatsApp oder Kontaktformular kontaktierst, verarbeiten wir deine Angaben ausschließlich zur Bearbeitung deiner Anfrage.

8.2Automatische Buchungsbestätigungen, Terminerinnerungen und Folge-E-Mails werden über GoHighLevel versendet (§ 5). Transaktionale E-Mails (Buchungsbestätigung, Gutschein-Zustellung) erfordern keine gesonderte Einwilligung und sind Bestandteil der Vertragserfüllung.

8.3Marketing-E-Mails (Newsletter, Angebote, Aktionen) werden nur mit deiner ausdrücklichen, jederzeit widerrufbaren Einwilligung versendet (Art. 6 Abs. 1 lit. a DSGVO). Die Abmeldung ist jederzeit per Link in der E-Mail möglich.

8.4Speicherdauer: Kommunikationsdaten werden max. 24 Monate nach letztem Kontakt oder nach Erledigung der Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

9.1Unsere Websites nutzen Cookies und ähnliche Technologien. Wir unterscheiden:

• Technisch notwendige Cookies: Für den Betrieb der Website zwingend erforderlich (Session-Management, Sicherheit). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — keine Einwilligung erforderlich.
• Analyse-Cookies (Google Analytics 4): Nur nach deiner ausdrücklichen Einwilligung über unseren Cookie-Banner. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
• GoHighLevel-Cookies: Auf buchen.himalya-wellness.com werden funktionale Cookies für das Buchungssystem gesetzt. Diese sind technisch notwendig für die Funktion des Buchungsportals.

9.2Du kannst deine Cookie-Einstellungen jederzeit über unseren Cookie-Banner oder die Browsereinstellungen anpassen. Das Deaktivieren technisch notwendiger Cookies kann die Funktionsfähigkeit der Website beeinträchtigen.

Unsere Website himalya-wellness.com verwendet Google Analytics 4 zur Analyse des Nutzungsverhaltens, sofern du über den Cookie-Banner eingewilligt hast.

10.1Google Analytics 4 erfasst bei Einwilligung: anonymisierte IP-Adressen, aufgerufene Seiten, Verweildauer, Gerätedaten, Referrer, Conversions. Die Daten dienen ausschließlich der Verbesserung unseres Webangebots.

10.2Deine Einwilligung kannst du jederzeit über unseren Cookie-Banner oder unter tools.google.com/dlpage/gaoptout widerrufen.

10.3Ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO besteht mit Google. Datenübertragungen in die USA werden über EU-Standardvertragsklauseln und das Data Privacy Framework (DPF) abgesichert.

Im Rahmen unserer Geschäftstätigkeit setzen wir weitere DSGVO-konforme Dienstleister ein:

11.1Mit allen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, besteht ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO.

12.1Folgende Dienstleister übertragen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA:

• GoHighLevel (USA): EU-Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO
• Google Analytics / Google LLC (USA): EU–US Data Privacy Framework (DPF) + SCC
• Stripe (USA/Irland): EU-Niederlassung (Stripe Payments Europe, Dublin); DPF-zertifiziert

12.2Die USA gelten nach DSGVO als Drittland ohne angemessenes Datenschutzniveau. Die genannten Schutzmaßnahmen (SCC, DPF) sind die nach aktuellem Stand der Technik und Rechtsprechung geeignetsten verfügbaren Mechanismen.

12.3Du hast das Recht, auf Anfrage eine Kopie der angewendeten Schutzmaßnahmen zu erhalten (Art. 15 Abs. 2, Art. 46 Abs. 1 DSGVO).

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Nach Ablauf der jeweiligen Speicherfrist werden die Daten sicher gelöscht oder anonymisiert.

Gemäß DSGVO stehen dir folgende Rechte zu, die du jederzeit kostenfrei und ohne Begründung geltend machen kannst:

14.1Anfragen zur Ausübung deiner Rechte richtest du schriftlich an: [email protected]. Wir beantworten Anfragen innerhalb von 30 Tagen gem. Art. 12 Abs. 3 DSGVO.

14.2Widerruf von Einwilligungen: Einwilligungen (z. B. Newsletter, Cookies, Anamnesebogen) können jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

14.3Beschwerderecht: Du hast das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen:

15.1Wir treffen angemessene technische und organisatorische Maßnahmen (TOMs) gemäß Art. 25 und Art. 32 DSGVO, um deine Daten zu schützen:

• SSL/TLS-Verschlüsselung für alle Datenübertragungen auf himalya-wellness.com und buchen.himalya-wellness.com
• Zugriffsbeschränkung: Personenbezogene Daten (insb. Gesundheitsdaten) sind ausschließlich für Lukas Wiesflecker als Behandler zugänglich
• Passwortschutz und Zwei-Faktor-Authentifizierung für alle genutzten Systeme (GoHighLevel, Google, Stripe)
• Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern, die Daten in unserem Auftrag verarbeiten
• Datensparsamkeit: Wir erheben nur Daten, die für den jeweiligen Zweck tatsächlich erforderlich sind (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO)
• Regelmäßige Überprüfung der eingesetzten Systeme und Datenschutzmaßnahmen

15.2Bei einem Datenschutzvorfall (Data Breach) werden betroffene Personen und die österreichische Datenschutzbehörde innerhalb der gesetzlichen Fristen (72 Stunden) informiert (Art. 33, 34 DSGVO).

16.1Diese Datenschutzerklärung kann aktualisiert werden, wenn neue Systeme eingesetzt werden, sich gesetzliche Anforderungen ändern oder Verarbeitungszwecke angepasst werden.

16.2Die jeweils aktuelle Version ist auf himalya-wellness.com/daten abrufbar. Das Datum der letzten Aktualisierung ist unten angegeben.

16.3Bei wesentlichen Änderungen, die die Verarbeitung deiner Daten betreffen, informieren wir dich sofern möglich per E-Mail oder bei deinem nächsten Login im Buchungssystem.