Book Now

DSGVO-konform

Datenschutzerklärung

Halo Labs GmbH · Stand: März 2026

1. Verantwortlicher und Kontaktdaten

Halo Labs GmbH

Jahnstr. 25, 80469 München, Deutschland

E-Mail: info@myhalolabs.com

Telefon: +49 159 0200 7800

Die Bestellung eines Datenschutzbeauftragten ist gesetzlich nicht erforderlich. Für alle datenschutzrechtlichen Anfragen wenden Sie sich bitte an die oben genannte Adresse.

2. Übersicht der Datenverarbeitung

Die Halo Labs GmbH betreibt ein Medical Spa (MedSpa) und bietet ästhetische und Wellness-Behandlungen an. Wir erbringen unsere Leistungen über unsere Website und mobile Applikation (zusammen die „Plattform”). Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten erheben, verwenden, speichern und schützen.

Wir verarbeiten personenbezogene Daten nur im erforderlichen Umfang und im Einklang mit der DSGVO, dem BDSG und dem TTDSG.

3. Kategorien personenbezogener Daten

3.1 Von Ihnen direkt bereitgestellte Daten

  • Name, E-Mail-Adresse, Telefonnummer, Postanschrift
  • Geburtsdatum und Geschlecht (soweit für Behandlungen relevant)
  • Buchungs- und Termindaten
  • Zahlungs- und Rechnungsdaten (verarbeitet über PayPal, SumUp und Finom)
  • Kommunikation mit uns (E-Mails, Kontaktformular, Chat-Nachrichten)
  • Feedback und Bewertungen

3.2 Gesundheits- und medizinische Daten (besondere Kategorien)

Als MedSpa erheben und verarbeiten wir möglicherweise gesundheitsbezogene Daten gemäß Art. 9 DSGVO, darunter:

  • Behandlungsrelevante Krankengeschichte (Allergien, Hauterkrankungen, Medikamente)
  • Behandlungsaufzeichnungen und klinische Notizen
  • Vorher-/Nachher-Dokumentation (Fotografien mit Ihrer Einwilligung)
  • Anamnesebögen und Gesundheitsfragebögen

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) bzw. Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 BDSG. Die Einwilligung kann jederzeit widerrufen werden (Abschnitt 10).

3.3 Automatisch erhobene Daten

  • IP-Adresse (soweit möglich anonymisiert)
  • Browsertyp, Betriebssystem, Gerätetyp
  • Zugriffsdatum/-uhrzeit, besuchte Seiten, Referrer
  • Cookies und ähnliche Tracking-Technologien (Abschnitt 7)

4. Zwecke und Rechtsgrundlagen der Verarbeitung

ZweckRechtsgrundlage
Terminbuchung und BehandlungsverwaltungArt. 6 Abs. 1 lit. b DSGVO
Verarbeitung von Gesundheitsdaten für BehandlungenArt. 9 Abs. 2 lit. a / lit. h DSGVO
ZahlungsabwicklungArt. 6 Abs. 1 lit. b DSGVO
Kundenservice und KommunikationArt. 6 Abs. 1 lit. b / lit. f DSGVO
Newsletter und MarketingArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Webanalyse und WerbungArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Erfüllung gesetzlicher PflichtenArt. 6 Abs. 1 lit. c DSGVO
Betrieb und Sicherheit der PlattformArt. 6 Abs. 1 lit. f DSGVO

5. Drittanbieter und Datenübermittlungen

5.1 Zahlungsabwicklung

  • PayPal (Europe) S.à r.l. et Cie, S.C.A. — Zahlungsabwicklung als eigenverantwortliche Stelle. Art. 6 Abs. 1 lit. b DSGVO.
  • SumUp Limited — Kartenzahlung am Point of Sale. Art. 6 Abs. 1 lit. b DSGVO.
  • Finom B.V. — Geschäftskonto und Finanzverwaltung. Art. 6 Abs. 1 lit. b/c DSGVO.

5.2 Analyse und Werbung

  • Google Ireland Limited — Google Analytics, Google Ads, Google Tag Manager. Mögliche Datenübermittlung in die USA. Rechtsgrundlage: Einwilligung (Cookie-Banner). IP-Anonymisierung aktiv.
  • Meta Platforms Ireland Limited — Meta Pixel, Facebook Ads, Instagram-Werbung. Mögliche Datenübermittlung in die USA. Rechtsgrundlage: Einwilligung (Cookie-Banner).

5.3 Buchungssystem und CRM

Proprietäres System der Halo Labs GmbH, gehostet auf Supabase-Infrastruktur in Frankfurt am Main. Art. 6 Abs. 1 lit. b DSGVO.

5.4 E-Mail-Marketing

Brevo SAS (ehem. Sendinblue), 106 boulevard Haussmann, 75008 Paris, Frankreich. Verarbeitung innerhalb der EU. Abmeldung jederzeit über den Link in der E-Mail. Art. 6 Abs. 1 lit. a DSGVO.

5.5 Internationale Datenübermittlungen

Bei Übermittlungen in Drittländer stellen wir angemessene Garantien sicher (Angemessenheitsbeschlüsse, EU-U.S. Data Privacy Framework, Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO).

6. Speicherdauer

DatenkategorieSpeicherdauer
Konto- und KontaktdatenDauer der Geschäftsbeziehung + 3 Jahre
Gesundheits- und Behandlungsdaten10 Jahre nach letzter Behandlung (§ 630f BGB)
Rechnungen und Finanzunterlagen10 Jahre (§ 147 AO, § 257 HGB)
Marketing-EinwilligungsnachweiseBis Widerruf + Dokumentationszeitraum
Webanalysedaten14 Monate (Google Analytics)
Protokolldateien7 Tage

7. Cookies und Tracking-Technologien

Gemäß § 25 TTDSG und Art. 6 Abs. 1 lit. a DSGVO holen wir Ihre Einwilligung ein, bevor nicht technisch notwendige Cookies gesetzt werden.

7.1 Technisch notwendige Cookies

Session-, Sicherheits- und Load-Balancing-Cookies. Rechtsgrundlage: § 25 Abs. 2 TTDSG.

7.2 Analyse-Cookies

Google Analytics zur Analyse des Nutzerverhaltens. Rechtsgrundlage: Einwilligung.

7.3 Marketing-Cookies

Google Ads und Meta Pixel für zielgerichtete Werbung. Rechtsgrundlage: Einwilligung.

7.4 Cookie-Einstellungen verwalten

Sie können Ihre Einstellungen jederzeit über unser Cookie-Consent-Banner oder Ihre Browsereinstellungen anpassen.

8. Hosting und technische Infrastruktur

Unsere Plattform wird auf Supabase (Supabase Inc.) im Rechenzentrum Frankfurt am Main (eu-central-1) gehostet. Ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) liegt vor. Keine internationale Datenübermittlung für das Hosting. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

9. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, darunter:

  • Verschlüsselung der Daten bei der Übertragung (TLS/SSL)
  • Zugangskontrollen und rollenbasierte Berechtigungen
  • Regelmäßige Sicherheitsüberprüfungen und Updates
  • Mitarbeiterschulungen zum Datenschutz
  • Sichere Speicherung von Gesundheitsdaten mit eingeschränktem Zugang

10. Ihre Rechte nach der DSGVO

Zur Ausübung Ihrer Rechte kontaktieren Sie uns über die Angaben in Abschnitt 1.

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
  • Beschwerderecht (Art. 77 DSGVO): Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach

11. Datenverarbeitung von Minderjährigen

Unsere Leistungen richten sich grundsätzlich an Personen ab 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren ohne elterliche Einwilligung.

12. Automatisierte Entscheidungsfindung

Wir verwenden keine automatisierte Entscheidungsfindung einschließlich Profiling mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO.

13. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung gelegentlich aktualisieren. Die jeweils aktuelle Version ist stets auf unserer Plattform abrufbar. Bei wesentlichen Änderungen informieren wir Sie auf geeignetem Weg.

14. Kontakt

Halo Labs GmbH

Jahnstr. 25, 80469 München, Deutschland

E-Mail: info@myhalolabs.com

Telefon: +49 159 0200 7800

GDPR-compliant

Privacy Policy

Halo Labs GmbH · Last updated: March 2026

1. Controller and Contact Information

Halo Labs GmbH

Jahnstr. 25, 80469 München, Germany

Email: info@myhalolabs.com

Phone: +49 159 0200 7800

A Data Protection Officer has not been appointed as it is not legally required. For all data protection inquiries, please contact us at the address above.

2. Overview of Data Processing

Halo Labs GmbH operates a medical spa (MedSpa) providing aesthetic and wellness treatments through our website and mobile application (together: the “Platform”). This privacy policy explains how we collect, use, store, and protect your personal data.

We process personal data only to the extent necessary and in accordance with the GDPR, the German Federal Data Protection Act (BDSG), and the TTDSG.

3. Categories of Personal Data We Collect

3.1 Data You Provide Directly

  • Name, email address, phone number, postal address
  • Date of birth and gender (where relevant for treatments)
  • Booking and appointment data
  • Payment and billing information (processed via PayPal, SumUp, and Finom)
  • Communications with us (emails, contact form submissions, chat messages)
  • Feedback and reviews

3.2 Health and Medical Data (Special Category Data)

As a MedSpa, we may collect health-related data qualifying as special category data under Article 9 GDPR, including:

  • Medical history relevant to treatments (allergies, skin conditions, medications)
  • Treatment records and clinical notes
  • Before/after documentation (photographs with your consent)
  • Consultation forms and health questionnaires

Legal basis: Art. 9(2)(a) GDPR (explicit consent) or Art. 9(2)(h) GDPR in conjunction with § 22 BDSG. You may withdraw consent at any time (see Section 10).

3.3 Data Collected Automatically

  • IP address (anonymised where possible)
  • Browser type and version, operating system, device type
  • Date and time of access, pages visited, referral source
  • Cookies and similar tracking technologies (see Section 7)

4. Purposes and Legal Bases for Processing

PurposeLegal Basis
Appointment booking and treatment managementArt. 6(1)(b) GDPR
Processing health data for treatmentsArt. 9(2)(a)/(h) GDPR
Payment processingArt. 6(1)(b) GDPR
Customer service and communicationArt. 6(1)(b)/(f) GDPR
Newsletter and marketingArt. 6(1)(a) GDPR (consent)
Web analytics and advertisingArt. 6(1)(a) GDPR (consent)
Compliance with legal obligationsArt. 6(1)(c) GDPR
Platform operation and securityArt. 6(1)(f) GDPR

5. Third-Party Service Providers and Data Transfers

5.1 Payment Processing

  • PayPal (Europe) S.à r.l. et Cie, S.C.A. — Payment processing as independent controller. Art. 6(1)(b) GDPR.
  • SumUp Limited — Point-of-sale card payment processing. Art. 6(1)(b) GDPR.
  • Finom B.V. — Business banking and financial management. Art. 6(1)(b)/(c) GDPR.

5.2 Analytics and Advertising

  • Google Ireland Limited — Google Analytics, Google Ads, Google Tag Manager. Data may be transferred to the US. Legal basis: consent (cookie banner). IP anonymisation enabled.
  • Meta Platforms Ireland Limited — Meta Pixel, Facebook Ads, Instagram advertising. Data may be transferred to the US. Legal basis: consent (cookie banner).

5.3 Booking and CRM

Proprietary system developed by Halo Labs GmbH, hosted on Supabase infrastructure in Frankfurt am Main, Germany. Art. 6(1)(b) GDPR.

5.4 Email Marketing

Brevo SAS (formerly Sendinblue), 106 boulevard Haussmann, 75008 Paris, France. All data processed within the EU. You can unsubscribe at any time via the link in each email. Art. 6(1)(a) GDPR.

5.5 International Data Transfers

Where data is transferred outside the EEA, appropriate safeguards are in place: EU adequacy decisions, EU-U.S. Data Privacy Framework, or Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR.

6. Data Retention

Data CategoryRetention Period
Account and contact dataDuration of business relationship + 3 years
Health and treatment data10 years after last treatment (§ 630f BGB)
Invoices and financial records10 years (§ 147 AO, § 257 HGB)
Marketing consent recordsUntil consent withdrawn + documentation period
Website analytics data14 months (Google Analytics)
Log files7 days

7. Cookies and Tracking Technologies

In compliance with § 25 TTDSG and Art. 6(1)(a) GDPR, we obtain your consent before setting any non-essential cookies.

7.1 Strictly Necessary Cookies

Session cookies, security cookies, and load-balancing cookies. Legal basis: § 25(2) TTDSG.

7.2 Analytics Cookies

Google Analytics for understanding user behaviour. Legal basis: consent.

7.3 Marketing and Advertising Cookies

Google Ads and Meta Pixel for targeted advertising. Legal basis: consent.

7.4 Managing Your Cookie Preferences

You can manage your preferences at any time through our cookie consent banner or your browser settings.

8. Hosting and Technical Infrastructure

Our platform is hosted on Supabase (Supabase Inc.) in their Frankfurt am Main (eu-central-1) data centre. A data processing agreement (Art. 28 GDPR) is in place. No international data transfer occurs for hosting purposes. Legal basis: Art. 6(1)(f) GDPR.

9. Data Security

We implement appropriate technical and organisational measures pursuant to Art. 32 GDPR, including:

  • Encryption of data in transit (TLS/SSL)
  • Access controls and role-based permissions
  • Regular security assessments and updates
  • Employee training on data protection
  • Secure storage of health data with restricted access

10. Your Rights Under the GDPR

To exercise any of these rights, please contact us using the details in Section 1.

  • Right of access (Art. 15 GDPR)
  • Right to rectification (Art. 16 GDPR)
  • Right to erasure (Art. 17 GDPR)
  • Right to restriction (Art. 18 GDPR)
  • Right to data portability (Art. 20 GDPR)
  • Right to object (Art. 21 GDPR)
  • Right to withdraw consent (Art. 7(3) GDPR)
  • Right to lodge a complaint (Art. 77 GDPR): Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Germany

11. Data Processing of Minors

Our services are directed at persons aged 18 and over. We do not knowingly collect personal data from minors under 16 without parental consent.

12. Automated Decision-Making

We do not use automated decision-making, including profiling, that produces legal effects or similarly significant effects within the meaning of Art. 22 GDPR.

13. Changes to This Privacy Policy

We may update this privacy policy from time to time. The current version is always available on our Platform. We will notify you of material changes through appropriate channels.

14. Contact Us

Halo Labs GmbH

Jahnstr. 25, 80469 München, Germany

Email: info@myhalolabs.com

Phone: +49 159 0200 7800

  • Treatments