Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten auf kamai-institut.de gemäß DSGVO, BDSG und TDDDG.

Stand: Mai 2026

01Verantwortlicher
02Grundsätze
03Hosting & Infrastruktur
04Kontaktformular
05KI-Hautanalyse
06Newsletter
07Zahlungsabwicklung
08Analyse & Marketing
09Eingebettete Medien
10KI-Funktionen
11Cookies & Consent
12Ihre Rechte
13Datensicherheit
14Aktualität

1. Verantwortlicher

Kamai Kosmetikinstitut GmbH
Helmholtzstraße 8
69120 Heidelberg
Deutschland

Telefon: +49 6221 — 90 66 849
E-Mail: info@kamai-institut.de

Geschäftsführung: Hadis Kamai, Manuel Ilka

2. Grundsätze

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Website und Dienstleistungen erforderlich ist oder eine gesetzliche Grundlage besteht. Wir richten uns nach der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

3. Hosting und technische Infrastruktur

3.1 Vercel (Webhosting)

Diese Website wird gehostet bei Vercel Inc., 340 Pine Street, Suite 701, San Francisco, CA 94104, USA. Beim Aufruf unserer Website werden automatisch technische Zugriffsdaten (IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Datum und Uhrzeit des Zugriffs) in Server-Logfiles erfasst und nach spätestens 30 Tagen gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).

Drittlandtransfer: Vercel ist unter dem EU-US Data Privacy Framework zertifiziert; ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO besteht.

3.2 Sanity.io (Content-Management-System)

Inhalte dieser Website werden über das Headless-CMS Sanity der Sanity AS, Strandveien 43, 1366 Lysaker, Norwegen ausgeliefert. Dabei werden keine personenbezogenen Daten der Website-Besucher an Sanity übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3.3 Supabase (Datenbank / Backend)

Für Backend-Funktionen setzen wir Supabase (Supabase Inc., 970 Toa Payoh North, Singapur) ein. Es besteht ein AVV gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3.4 Resend (Transaktionsmails)

Für den Versand automatisierter E-Mails (Kontaktformular-Bestätigungen, Rückruf-Bestätigungen aus der KI-Hautanalyse, Benachrichtigungen an unser Institut) nutzen wir Resend (Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA). Dabei werden Ihre E-Mail-Adresse, Ihr Vorname sowie der eigentliche Mailinhalt an Resend übermittelt und zur Zustellung verarbeitet. Es besteht ein AVV gemäß Art. 28 DSGVO; Resend ist unter dem EU-US Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO.

3.5 Brevo (Newsletter-Versand und Kontaktverwaltung)

Für die Verwaltung unseres Newsletter-Verteilers und den Versand der Newsletter-Bestätigungs-Mails (Double-Opt-in) nutzen wir Brevo (Sendinblue SAS, 7 rue de Madrid, 75008 Paris, Frankreich). Verarbeitet werden E-Mail-Adresse, Vorname sowie der Status Ihrer Anmelde-Bestätigung. Server-Standort: EU. Es besteht ein AVV gemäß Art. 28 DSGVO. Details zur Newsletter-Nutzung siehe Ziffer 6.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.6 Upstash (Rate-Limiting)

Zum Schutz unserer Formulare und API-Endpunkte vor Missbrauch verwenden wir den Redis-Dienst von Upstash, Inc. (Wilmington, Delaware, USA). Verarbeitet werden ausschließlich Ihre IP-Adresse sowie der Zeitpunkt der Anfrage zum Zweck der Missbrauchsabwehr. Daten werden nach kurzer Frist (max. 1 Stunde) automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsabwehr).

4. Kontaktformular

Wenn Sie uns über unser Kontaktformular kontaktieren, werden die von Ihnen eingegebenen Daten (mindestens Name und E-Mail-Adresse sowie Ihre Nachricht) zum Zweck der Bearbeitung Ihrer Anfrage gespeichert. Die Daten werden nicht ohne Ihre Einwilligung an Dritte weitergegeben und nach abschließender Bearbeitung Ihrer Anfrage gelöscht, spätestens nach drei Jahren, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO.

5. KI-Hautanalyse und Rückruf-Anfrage

5.1 Ablauf der KI-Hautanalyse

Auf der Seite /hautanalyse bieten wir eine kostenlose KI-gestützte Hautanalyse an. Dabei erheben wir Ihren Vornamen, Ihre E-Mail-Adresse sowie ein von Ihnen hochgeladenes Selfie. Das Foto wird unmittelbar nach dem Upload an die Google-Gemini-API (siehe Ziffer 10) übermittelt, dort verarbeitet und das Ergebnis (Hauttyp, Beobachtungen, Pflegeempfehlungen) an Sie zurückgegeben.

Speicherung des Fotos: Das hochgeladene Foto wird zu keinem Zeitpunkt auf unseren Servern gespeichert. Es bleibt ausschließlich während des API-Aufrufs flüchtig im Arbeitsspeicher und wird unmittelbar nach Erhalt der Analyse verworfen.

Speicherung von Vorname und E-Mail-Adresse: Diese Daten werden ohne weitere Einwilligung (siehe 5.2 und Ziffer 6) ebenfalls nicht persistiert, sondern lediglich für die Personalisierung der Ergebnisanzeige im Browser-Tab verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in die Datenverarbeitung über die Pflicht-Checkbox).

5.2 Rückruf-Anfrage nach der Analyse

Im Anschluss an die Analyse können Sie freiwillig einen persönlichen Rückruf anfordern. Hierfür erheben wir zusätzlich Ihre Telefonnummer, Ihre Wunsch-Zeitfenster für den Anruf sowie optional eine kurze Nachricht. Diese Informationen werden zusammen mit Ihrer Analyse (Hauttyp, Anliegen, empfohlene Behandlungen) per E-Mail über Resend (siehe Ziffer 3.4) an unser Institut (info@kamai-institut.de) übermittelt. Sie erhalten parallel eine Bestätigungs-E-Mail.

Aufbewahrung: Ihre Anfrage wird in unserer E-Mail-Inbox aufbewahrt, solange dies zur Bearbeitung Ihres Anliegens und zur Anschlusskommunikation erforderlich ist, längstens jedoch 3 Jahre. Nach Abschluss erfolgt die Löschung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) i. V. m. Ihrer Einwilligung über die Datenschutz-Checkbox.

7. Zahlungsabwicklung (PayPal)

Zahlungen werden über den verlinkten Shop abgewickelt und erfolgen über PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, 2449 Luxemburg). Die Datenschutzerklärung von PayPal ist abrufbar unter paypal.com/de/webapps/mpp/ua/privacy-full.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Analyse- und Marketing-Dienste

Die folgenden Dienste werden nur nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner aktiviert.

8.1 Google Analytics

Wir nutzen Google Analytics der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Der Dienst analysiert das Nutzungsverhalten auf unserer Website mithilfe von Cookies. IP-Adressen werden vor der Übertragung anonymisiert (IP-Anonymisierung aktiviert).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Widerruf: Jederzeit über unsere Cookie-Einstellungen.

Drittlandtransfer: Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert.

Datenschutzerklärung Google: policies.google.com/privacy

8.2 Google Ads

Über Google Ads (Google Ireland Limited, s. o.) schalten wir Werbeanzeigen und messen deren Erfolg mittels Conversion-Tracking.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Widerruf: Jederzeit über unsere Cookie-Einstellungen.

8.3 Meta Pixel (Facebook / Instagram)

Wir setzen das Meta Pixel der Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland ein. Es erfasst Interaktionen auf unserer Website und ermöglicht zielgruppenbasierte Werbung auf Facebook und Instagram sowie die Erfolgsmessung unserer Kampagnen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Widerruf: Jederzeit über unsere Cookie-Einstellungen.

Drittlandtransfer: Meta Platforms Inc. (USA) ist unter dem EU-US Data Privacy Framework zertifiziert.

Datenschutzerklärung Meta: facebook.com/privacy/policy

9. Eingebettete Medien

9.1 YouTube

Auf unserer Website sind Videos von YouTube (YouTube LLC, 901 Cherry Ave., San Bruno, CA 94066, USA; ein Dienst von Google Ireland Limited) eingebettet. Wir nutzen den erweiterten Datenschutzmodus, sodass keine Cookies gesetzt werden, solange Sie ein Video nicht starten. Beim Abspielen eines Videos stellt Ihr Browser eine Verbindung zu YouTube-Servern her; dabei können u. a. Ihre IP-Adresse und Nutzungsdaten übertragen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner) bzw. Art. 6 Abs. 1 lit. f DSGVO.

9.2 Vimeo

Auf unserer Website sind Videos von Vimeo (Vimeo LLC, 555 West 18th Street, New York, NY 10011, USA) eingebettet. Beim Abspielen eines Videos stellt Ihr Browser eine Verbindung zu Vimeo-Servern her; dabei können u. a. Ihre IP-Adresse übertragen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner).

Datenschutzerklärung Vimeo: vimeo.com/privacy

10. KI-gestützte Funktionen (Google Gemini)

Für die KI-Hautanalyse (siehe Ziffer 5) sowie für weitere künftige KI-gestützte Funktionen nutzen wir die Google Gemini API (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Sub-Auftragsverarbeiter: Google LLC, USA).

Welche Daten übermittelt werden: Im Rahmen der KI-Hautanalyse übermitteln wir das von Ihnen hochgeladene Selfie sowie unsere Analyse-Anweisung („Prompt") an die Gemini-API. Andere personenbezogene Daten (z. B. Ihren Vornamen oder Ihre E-Mail-Adresse) übermitteln wir nicht.

Was Google damit macht: Google verarbeitet das Bild ausschließlich zur Erstellung der Analyseantwort und nutzt es laut Google-Terms nicht zum Training eigener Modelle bei kostenpflichtigen API-Aufrufen. Die Verarbeitung erfolgt flüchtig, das Bild wird nach Google-Angaben nicht dauerhaft gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die Datenschutz-Checkbox im Hautanalyse-Formular).

Drittlandtransfer: Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ein AVV gemäß Art. 28 DSGVO besteht über die Google Cloud Data Processing & Security Terms.

11. Cookies und Consent-Management

Unsere Website verwendet Cookies. Wir unterscheiden:

Technisch notwendige Cookies: Für den Betrieb der Website unerlässlich; werden ohne gesonderte Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Analyse- und Marketing-Cookies: Werden ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner aktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Ihre Cookie-Einstellungen können Sie jederzeit über den Cookie-Banner oder die Cookie-Einstellungen auf unserer Website anpassen und bereits erteilte Einwilligungen widerrufen.

12. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte:

Recht	Grundlage
Auskunft über verarbeitete Daten	Art. 15 DSGVO
Berichtigung unrichtiger Daten	Art. 16 DSGVO
Löschung („Recht auf Vergessenwerden")	Art. 17 DSGVO
Einschränkung der Verarbeitung	Art. 18 DSGVO
Datenübertragbarkeit	Art. 20 DSGVO
Widerspruch gegen die Verarbeitung	Art. 21 DSGVO
Widerruf einer Einwilligung	Art. 7 Abs. 3 DSGVO

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@kamai-institut.de

Sie haben außerdem das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a, 70173 Stuttgart
baden-wuerttemberg.datenschutz.de

13. Datensicherheit

Unsere Website nutzt SSL/TLS-Verschlüsselung. Wir setzen darüber hinaus technische und organisatorische Maßnahmen (TOMs) ein, um Ihre personenbezogenen Daten gegen unberechtigten Zugriff, Verlust oder Zerstörung zu schützen.

14. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand Mai 2026. Wir behalten uns vor, sie bei Änderungen unserer Website oder bei geänderten gesetzlichen Anforderungen anzupassen. Die jeweils aktuelle Fassung ist stets auf unserer Website abrufbar.