Datenschutzerklärung

Präambel

Uns, der Hildebrandt & Höfling GbR (nachfolgend: „Studio Lenori”, „wir” oder „uns”), liegt der Schutz Ihrer Privatsphäre und Ihrer personenbezogenen Daten am Herzen. Wir informieren Sie nachfolgend transparent darüber, welche personenbezogenen Daten wir bei Besuch und Nutzung unserer Website erheben, zu welchen Zwecken wir sie verarbeiten und welche Rechte Ihnen zustehen.

1 | Allgemeines und Begriffsbestimmungen

Durch das Inkrafttreten der EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679; nachfolgend: „DSGVO”) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG, in Kraft seit 14. Mai 2024) sind uns als Verantwortlichem besondere Informations- und Schutzpflichten auferlegt worden.

Den nachfolgenden Datenschutzhinweisen liegen die Begriffsbestimmungen des Art. 4 DSGVO zugrunde:

  • Personenbezogene Daten (Art. 4 Nr. 1 DSGVO): alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Verarbeitung (Art. 4 Nr. 2 DSGVO): jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Speichern, Verwenden, Übermitteln, Löschen u.a.).
  • Verantwortlicher (Art. 4 Nr. 7 DSGVO): die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet.
  • Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO): eine Stelle, die Daten im Auftrag des Verantwortlichen verarbeitet.
  • Einwilligung (Art. 4 Nr. 11 DSGVO): jede freiwillige, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person.

2 | Verantwortlicher

Hildebrandt & Höfling GbR (Studio Lenori)
Gesellschafterinnen: Nele Hildebrandt, Debora Höfling
Hunsrückstraße 6
63303 Dreieich

E-Mail: hello@studiolenori.de
Telefon: 015567369316

3 | Rechtsgrundlagen der Datenverarbeitung

Jede Verarbeitung personenbezogener Daten durch uns erfolgt auf Grundlage einer der nachfolgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): wenn Sie uns Ihre ausdrückliche Einwilligung erteilt haben;
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen): wenn die Verarbeitung zur Durchführung eines Vertrags oder zur Umsetzung vorvertraglicher Maßnahmen auf Ihre Anfrage hin erforderlich ist;
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung): wenn die Verarbeitung zur Erfüllung einer uns treffenden gesetzlichen Pflicht erforderlich ist (z. B. steuerrechtliche Aufbewahrungspflichten);
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen): wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich ist und Ihre Interessen nicht überwiegen.

Für die Speicherung von Informationen auf Ihrem Endgerät oder den Zugriff darauf gilt ergänzend das TDDDG:

  • § 25 Abs. 1 TDDDG: bei Einwilligung der betroffenen Person;
  • § 25 Abs. 2 Nr. 2 TDDDG: wenn der Zugriff unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen.

4 | Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen ein, um Ihre Daten vor unberechtigtem Zugriff, Verlust oder Manipulation zu schützen. Unsere Website wird über eine SSL/TLS-verschlüsselte Verbindung (HTTPS) betrieben. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend überprüft und verbessert.

5 | Datenlöschung und Speicherdauer

Ihre personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Gesetzliche Aufbewahrungspflichten können sich insbesondere aus dem Handelsgesetzbuch (§ 257 HGB, bis zu 10 Jahre) und der Abgabenordnung (§ 147 AO, bis zu 10 Jahre) ergeben. Nach Ablauf dieser Fristen werden die betreffenden Daten routinemäßig gelöscht, sofern keine andere Rechtsgrundlage fortbesteht.

6 | Hosting

Unsere Website wird von Bluehost (Newfold Digital, Inc., 5335 Gate Pkwy, Jacksonville, FL 32256, USA) gehostet.

Mit Bluehost haben wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Da Bluehost seinen Sitz in den USA hat und dort personenbezogene Daten verarbeitet werden können, erfolgt diese Übermittlung auf Grundlage von Standarddatenschutzklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO, die wir mit Bluehost vereinbart haben.

Bei jedem Aufruf unserer Website werden automatisch sogenannte Server-Logfiles erhoben. Diese enthalten:

  • IP-Adresse des anfragenden Rechners (gekürzt/anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei
  • Referrer-URL (zuvor besuchte Seite)
  • Verwendeter Browser und Betriebssystem
  • Zugriffsstatus (HTTP-Statuscode) und übertragene Datenmenge

Diese Daten werden ausschließlich zur Gewährleistung der Stabilität, Sicherheit und Fehleranalyse der Website gespeichert und in der Regel nach 7 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: Betrieb und Sicherheit der Website).

7 | Kontaktformular und E-Mail-Kontakt

Wenn Sie uns über unser Kontaktformular oder per E-Mail kontaktieren, werden die von Ihnen übermittelten Daten bei uns gespeichert und zur Bearbeitung Ihrer Anfrage verwendet. Hierzu zählen in der Regel:

  • Vor- und Nachname
  • E-Mail-Adresse
  • ggf. Telefonnummer
  • Inhalt Ihrer Nachricht
  • ggf. Angaben zur Herkunft (wie Sie auf uns aufmerksam wurden)

Diese Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet und nach vollständiger Erledigung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Ihre freiwilligen Angaben (z. B. Telefonnummer, Herkunft) werden nur für den jeweiligen Kontaktzweck genutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

8 | Workshop-Buchungen und Bestellungen

Über unsere Website können Workshops gebucht (über Amelia) sowie Produkte (z. B. DIY-Boxen) bestellt werden (über WooCommerce). Dabei werden folgende Daten verarbeitet:

  • Vor- und Nachname
  • Lieferadresse (bei Bestellungen)
  • E-Mail-Adresse
  • ggf. Telefonnummer
  • Zahlungsdaten (verarbeitet durch den Zahlungsdienstleister)
  • Bestell- und Buchungsdetails

Die Verarbeitung dieser Daten ist zur Vertragsabwicklung zwingend erforderlich. Sie können Bestellungen und Buchungen auch ohne Anlegen eines Kundenkontos als Gast vornehmen; auf Wunsch ist auch ein Kundenkonto möglich, das zukünftige Buchungen und Bestellungen erleichtert.

Zur Erfüllung steuerrechtlicher und handelsrechtlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB) werden Rechnungs- und Bestelldaten bis zu 10 Jahre aufbewahrt.

Wir haben mit den Anbietern WooCommerce sowie Amelia Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).

9 | Zahlungsabwicklung

Wir bieten auf unserer Website mehrere Zahlungsmöglichkeiten an. Die Zahlungsabwicklung erfolgt je nach Ihrer Auswahl über einen der nachfolgenden Zahlungsdienstleister.

PayPal

Die Zahlungsabwicklung über PayPal erfolgt durch PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg. Wenn Sie eine Zahlung über PayPal vornehmen, werden Ihre Zahlungsdaten an PayPal übermittelt und dort nach den PayPal-eigenen Datenschutzbestimmungen verarbeitet. PayPal agiert dabei als eigenständiger Verantwortlicher.

Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung von PayPal unter: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Stripe

Die Zahlungsabwicklung über Stripe erfolgt durch Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland. Stripe ist für EU-Kunden die verantwortliche Stelle im Sinne der DSGVO.

Wenn Sie eine Zahlung über Stripe vornehmen, werden die für den Zahlungsvorgang erforderlichen Daten (z. B. Name, Adresse, Zahlungsdaten wie Kreditkartennummer oder Kontodaten, Bestellbetrag) an Stripe übermittelt. Stripe nimmt dabei eine Doppelrolle ein: Als Verantwortlicher verarbeitet Stripe Ihre Daten zur Erfüllung eigener regulatorischer Verpflichtungen; als Auftragsverarbeiter agiert Stripe ausschließlich nach unserer Weisung zur technischen Abwicklung des Zahlungsvorgangs. Wir haben mit Stripe einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen.

Da Stripe Daten auch in die USA übermitteln kann, stützt sich Stripe auf das EU-US Data Privacy Framework (DPF), an dem Stripe als zertifiziertes Unternehmen teilnimmt, sowie ergänzend auf Standarddatenschutzklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO.

Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung von Stripe unter: https://stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10 | Newsletter

Wenn Sie unseren Newsletter abonnieren möchten, benötigen wir Ihre E-Mail-Adresse sowie ggf. Ihren Namen. Wir verwenden für den Versand unseres Newsletters den Dienst Brevo (Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland). Brevo verarbeitet personenbezogene Daten auf Servern in der EU.

Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail, mit der Sie Ihre Anmeldung aktiv bestätigen müssen. Dies dient dem Nachweis Ihrer Einwilligung und dem Schutz vor Missbrauch.

Wir weisen darauf hin, dass wir das Nutzerverhalten im Newsletter auswerten können (Öffnungsraten, Klickverhalten). Diese Auswertungen erfolgen pseudonymisiert.

Ihre Einwilligung zur Zusendung des Newsletters können Sie jederzeit widerrufen, ohne dass Ihnen dadurch Nachteile entstehen. Den Widerruf können Sie durch Klick auf den Abmeldelink in jeder Newsletter-E-Mail oder durch Nachricht an uns erklären. Nach dem Widerruf werden Ihre Daten aus dem Verteiler gelöscht.

Wir haben mit Brevo einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); § 25 Abs. 1 TDDDG.

11 | E-Mail-Kommunikation

Für unsere geschäftliche E-Mail-Kommunikation nutzen wir Migadu (Migadu Mail SAS, 4 rue du 22 novembre, 67000 Strasbourg, Frankreich), einen europäischen E-Mail-Dienst, der über unsere eigene Domain betrieben wird.

Bei der E-Mail-Kommunikation mit uns werden die übermittelten personenbezogenen Daten (Name, E-Mail-Adresse, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage gespeichert. Migadu verarbeitet Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

12 | Webanalyse (Google Analytics)

Wir nutzen auf unserer Website Google Analytics 4, einen Webanalysedienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Google Analytics verwendet Cookies, die eine Analyse Ihrer Nutzung unserer Website ermöglichen.

Die durch Cookies erzeugten Informationen über Ihre Nutzung unserer Website werden in der Regel an Server von Google in den USA übertragen und dort gespeichert. Wir haben IP-Anonymisierung aktiviert, sodass Ihre IP-Adresse innerhalb der EU vor einer etwaigen Übertragung in die USA gekürzt wird. Google Ireland Limited ist für EU/EWR-Nutzer zuständige Stelle. Google ist beim EU-US Data Privacy Framework (DPF) zertifiziert. Wir haben mit Google einen Auftragsverarbeitungsvertrag abgeschlossen.

Google Analytics wird ausschließlich auf Grundlage Ihrer vorherigen Einwilligung eingesetzt. Der Einsatz erfolgt erst, nachdem Sie im Cookie-Banner aktiv zugestimmt haben. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Einstellungen im Cookie-Einstellungs-Tool auf unserer Website anpassen oder das Browser-Add-on zur Deaktivierung installieren: https://tools.google.com/dlpage/gaoptout

Weitere Informationen: https://policies.google.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG (Einwilligung).

13 | Prozessautomatisierung

Zur Automatisierung von Geschäftsprozessen (z. B. Buchungsbestätigungen, interne Workflows) setzen wir den Dienst Make (Make a.s., Škrétova 490/12, Vinohrady, 120 00 Prag, Tschechien) ein. Dabei können personenbezogene Daten zwischen verschiedenen von uns eingesetzten Systemen übertragen werden. Wir haben mit Make einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

14 | Cookies und Einwilligungsmanagement

Unsere Website verwendet Cookies und ähnliche Technologien. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Sie können keine Programme ausführen oder Viren übertragen.

Wir unterscheiden:

  • Technisch notwendige Cookies: Diese sind für den Betrieb der Website und ausdrücklich angeforderte Funktionen (z. B. Warenkorb, Session) zwingend erforderlich und werden ohne gesonderte Einwilligung gesetzt.
  • Nicht notwendige Cookies (z. B. Analyse-Cookies von Google Analytics): Diese werden ausschließlich auf Grundlage Ihrer aktiven Einwilligung gesetzt.

Zur Verwaltung Ihrer Cookie-Einwilligungen nutzen wir das Tool Real Cookie Banner (devowl.io GmbH, Große Wassergasse 1, 93047 Regensburg, Deutschland). Dieses ermöglicht Ihnen, Ihre Einwilligungen jederzeit einzusehen und zu widerrufen.

Rechtsgrundlage für notwendige Cookies: § 25 Abs. 2 Nr. 2 TDDDG.
Rechtsgrundlage für alle übrigen Cookies: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

15 | Links zu sozialen Medien

Auf unserer Website befinden sich ausschließlich einfache Verlinkungen (Links) zu unseren Profilen in sozialen Netzwerken (z. B. Instagram, Pinterest). Beim bloßen Besuch unserer Website werden keine Daten an diese Plattformen übermittelt. Erst wenn Sie aktiv auf einen Link klicken und die externe Plattform aufrufen, gelten deren Datenschutzbestimmungen.

16 | Bewertungen

Auf unserer Website haben Sie die Möglichkeit, Bewertungen zu hinterlassen. Die dabei eingegebenen Daten (z. B. Name, Bewertungstext) werden zum Zweck der Veröffentlichung verarbeitet. Die Angabe Ihres Namens kann auch anonym oder unter einem Pseudonym erfolgen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

17 | Weitergabe personenbezogener Daten / Auftragsverarbeitung

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur, soweit dies gesetzlich erlaubt ist oder Sie eingewilligt haben. Als Empfänger kommen insbesondere in Betracht:

  • Hosting-Anbieter (Bluehost)
  • Zahlungsdienstleister (PayPal)
  • Newsletter-Dienstleister (Brevo)
  • E-Mail-Dienstleister (Migadu)
  • Buchungs- und Shop-Software (Amelia, WooCommerce)
  • Automatisierungsdienstleister (Make)
  • Webanalyse-Dienste (Google Analytics) — ausschließlich mit Ihrer Einwilligung
  • Steuer- und Rechtsberater, soweit gesetzlich erforderlich
  • Staatliche Behörden, soweit wir dazu gesetzlich verpflichtet sind (Art. 6 Abs. 1 lit. c DSGVO)

Mit allen Dienstleistern, die Daten in unserem Auftrag verarbeiten, haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen.

18 | Drittlandübermittlungen

Einige der von uns eingesetzten Dienste übermitteln Daten in Länder außerhalb der EU/des EWR (insbesondere in die USA). Derartige Übermittlungen erfolgen nur, wenn ein angemessenes Schutzniveau gewährleistet ist, insbesondere durch:

  • den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF) vom 10. Juli 2023 für zertifizierte US-Unternehmen (Art. 45 DSGVO), oder
  • Standarddatenschutzklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO.

19 | Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.

20 | Ihre Rechte als betroffene Person

Sie können Ihre nachfolgenden Rechte jederzeit unter den in Abschnitt 2 genannten Kontaktdaten geltend machen:

  • Auskunftsrecht (Art. 15 DSGVO): Auskunft über die von uns verarbeiteten Daten.
  • Berichtigungsrecht (Art. 16 DSGVO): Berichtigung unrichtiger oder unvollständiger Daten.
  • Löschungsrecht (Art. 17 DSGVO): Löschung Ihrer Daten, soweit keine Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Einschränkung unter bestimmten Voraussetzungen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format.
  • Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen auf Art. 6 Abs. 1 lit. f DSGVO gestützte Verarbeitungen.
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit mit Wirkung für die Zukunft, ohne Nachteile.
  • Beschwerderecht (Art. 77 DSGVO): Beschwerde bei der zuständigen Aufsichtsbehörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
    Gustav-Stresemann-Ring 1, 65189 Wiesbaden
    https://datenschutz.hessen.de

21 | Keine Pflicht zur Bereitstellung personenbezogener Daten

Es besteht grundsätzlich keine gesetzliche oder vertragliche Pflicht, uns personenbezogene Daten bereitzustellen. Für bestimmte Leistungen (z. B. Buchung, Bestellung, Newsletter) ist die Angabe bestimmter Daten jedoch notwendig. Ohne diese Daten können die jeweiligen Leistungen nicht erbracht werden.

22 | Aktualität und Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei technologischen oder rechtlichen Änderungen anzupassen. Die jeweils aktuelle Fassung ist jederzeit auf unserer Website abrufbar.

Stand: 01.04.2026

Consent Management Platform by Real Cookie Banner