Datenschutzerklärung

Stand: Mai 2026 · Produktmarke Chu Nail

1. Verantwortliche Stellen

Plattformbetreiber (App & API):
Cat Loi Technology Co., Ltd. (TNHH Cát Lợi Công nghệ)
Website: catloitech.com
E-Mail: [email protected]

Nagelstudio (Salon): Der jeweilige Salon, bei dem Sie sich registrieren oder einen Termin buchen, ist in der Regel Verantwortlicher im Sinne der DSGVO für die Verarbeitung Ihrer Kundendaten (Name, Telefon, Termine, Stempelkarte). Kontaktieren Sie das Studio direkt für salonbezogene Anfragen.

2. Zwecke und Rechtsgrundlagen (Art. 6 DSGVO)

  • Registrierung & dauerhaftes Kundenkonto — Für Terminbuchung und Stempelkarte (Bonuspunkte) legen Sie in der App ein Kundenkonto an. Die Registrierung setzt die Zustimmung zu den Nutzungsbedingungen und dieser Datenschutzerklärung voraus (bestätigt per Checkbox in der App). Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie ggf. Einwilligung (lit. a) für die ausdrücklich bestätigte Kontoanlage.
  • Login & Sitzung — Vertragserfüllung (lit. b).
  • Terminbuchung — Vertragserfüllung (lit. b).
  • Stempelkarte / QR — Vertragserfüllung, berechtigtes Interesse an Kundenbindung (lit. f).
  • Kamera (Anprobe, QR-Scan) — nur nach Ihrer aktiven Nutzung der Funktion; keine Daueraufzeichnung durch uns.
  • Technische Logs (API, HTTPS) — berechtigtes Interesse an Betrieb und Sicherheit (lit. f).

3. Verarbeitete Datenkategorien

  • Stammdaten: Anzeigename, E-Mail, Telefonnummer
  • Authentifizierung: Passwort (gehasht auf dem Server), Sitzungs-Token
  • Termine: Datum/Uhrzeit (Europe/Berlin), gewählte Leistungen, Mitarbeitername
  • Stempelkarte: Gerätekennung (lokal), Stempelstände, optional Metadaten zum Stempel
  • Inhalte des Salons: Bild-URLs, Social-Links (vom Salon konfiguriert)

4. Speicherdauer

Kundenkonto: Personenbezogene Kontodaten (E-Mail, Passwort, Anzeigename, Gerätekennung für Stempel) werden gespeichert, solange Ihr Kundenkonto besteht. Sie können das Konto jederzeit in der App unter Konto → Konto dauerhaft löschen unwiderruflich löschen (Bestätigung mit Passwort).

Nach Kontolöschung: Ihr Login endet sofort; E-Mail und Passwort werden auf dem Server deaktiviert. Bestehende Termine, die Ihrem Konto zugeordnet waren, werden anonymisiert (z. B. Anzeigename «Gelöschter Kunde», keine Telefonnummer in diesen Datensätzen). Stempel-Warteschlangen auf dem Server werden entfernt. Lokale App-Daten auf Ihrem Gerät werden gelöscht, sobald Sie die App nutzen oder deinstallieren.

Salon & gesetzliche Pflichten: Der Salon kann aus betrieblichen oder gesetzlichen Gründen (z. B. Buchhaltung) anonymisierte oder aggregierte Aufzeichnungen länger aufbewahren. Für inaktive Konten ohne Löschung durch den Nutzer empfehlen wir Salons und den Plattformbetreiber dokumentierte Fristen (z. B. Löschung nach 24–36 Monaten ohne Aktivität), sofern keine gesetzlichen Pflichten entgegenstehen.

5. Empfänger & Auftragsverarbeitung

Hosting und API-Betrieb erfolgen auf Servern in der EU/EWR (z. B. VPS des Plattformbetreibers). Mit Hosting-Dienstleistern werden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen. Eine Übermittlung in Drittländer erfolgt nur bei entsprechender Rechtsgrundlage (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln).

Technische Sicherheit: Die App spricht die API nur über HTTPS (TLS 1.2/1.3) an. Passwörter werden ausschließlich gehasht gespeichert (bcrypt). Telefonnummern in Terminen und Salon-Stammdaten werden auf dem Server verschlüsselt at rest (AES-256 über libsodium), sobald der Betrieb den Verschlüsselungsschlüssel aktiviert hat. Der Datenbankzugriff ist auf den Server begrenzt (kein öffentlicher DB-Port in der Standardkonfiguration).

6. Ihre Rechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft. Sie können eine Beschwerde bei einer Aufsichtsbehörde einreichen (z. B. die für Ihren Wohnsitz zuständige Landesdatenschutzbehörde in Deutschland).

Löschung des App-Kontos: Kunden nutzen in der App Konto → Konto dauerhaft löschen (Passwort erforderlich). Alternativ: [email protected] oder Ihr Salon-Studio.

Anfragen zu salonbezogenen Daten: zuerst an Ihr Nagelstudio; ergänzend an den Plattformbetreiber.

7. Cookies, Werbung & Tracking

Technisch notwendig (ohne Einwilligung): Login-Token und App-Einstellungen auf Ihrem Gerät (flutter_secure_storage, shared_preferences) — nur für Anmeldung, Termine und Stempelkarte. Die Website chu-nail.com speichert nur die Sprachwahl im Browser (localStorage).

Werbung (nur mit Einwilligung, TTDSG/DSGVO): Wenn aktiviert, nutzt die App AppLovin MAX mit Google User Messaging Platform (CMP). Dabei können Werbe-IDs (z. B. GAID auf Android) und Daten zu Anzeigen verarbeitet werden. Vor personalisierter Werbung erscheint ein Einwilligungsdialog; Sie können dies unter Konto → Einwilligungen verwalten ändern. Anzeigen sind mit „Werbung“ gekennzeichnet.

Kein Tracking ohne Zustimmung: Wir setzen keine Analyse- oder Werbe-SDKs ein, bevor die CMP-Einwilligung erteilt wurde (außer technisch notwendige Funktionen).

Illegale Inhalte melden: chu-nail.com/melden.html oder in der App Konto → Inhalt melden.

8. Minderjährige

Die App richtet sich an volljährige Nutzer oder Minderjährige mit Zustimmung der Erziehungsberechtigten.

9. Änderungen

Wir können diese Erklärung anpassen. Die aktuelle Version ist unter dieser URL abrufbar.

Privacy Policy

Last updated: May 2026 · Chu Nail product brand

1. Data controllers

Platform operator (app & API):
Cat Loi Technology Co., Ltd.
catloitech.com · [email protected]

Nail salon: The salon where you register or book is usually the controller under the GDPR for your customer data. Contact the salon for salon-specific requests.

2. Purposes and legal bases (Art. 6 GDPR)

  • Registration & permanent customer account — To book appointments and use the loyalty stamp card, you create a customer account in the app. Registration requires acceptance of our Terms of Use and this Privacy Policy (confirmed via in-app checkboxes). Legal bases: contract performance (Art. 6(1)(b) GDPR) and, where applicable, consent (lit. a) for the explicitly confirmed account creation.
  • Login & session — contract performance (lit. b).
  • Appointments — contract performance (lit. b).
  • Loyalty stamps / QR — contract / legitimate interest in customer loyalty (lit. f).
  • Camera (try-on, QR) — only when you actively use the feature.
  • Technical logs — legitimate interest in security and operation (lit. f).

3. Categories of data

Identity, contact details, credentials (hashed), appointments, loyalty data, salon-configured media URLs.

4. Retention

Customer account: Personal account data is stored while your account exists. You may permanently delete your account in the app under Account → Permanently delete account (password confirmation required).

After deletion: Login ends immediately; email and password are deactivated on the server. Linked appointments are anonymised (e.g. display name “Deleted customer”, phone removed from those records). Server-side stamp queues are removed. Local app data on your device is cleared when you use the deletion flow or uninstall the app.

Salon & legal obligations: The salon may retain anonymised records longer for legal or business reasons. For inactive accounts not deleted by the user, we recommend documented retention limits (e.g. 24–36 months after last activity) where permitted by law.

5. Processors & hosting

Hosting in the EU/EEA where possible; DPAs with infrastructure providers per Art. 28 GDPR.

Technical security: The app uses HTTPS (TLS 1.2/1.3) only. Passwords are stored hashed (bcrypt). Phone numbers in appointments and salon records are encrypted at rest (AES-256 via libsodium) when the operator enables the encryption key. Database access is restricted to the server.

6. Your rights

Access, rectification, erasure, restriction, portability, objection, withdrawal of consent, and complaint to a supervisory authority.

Delete your app account: Use Account → Permanently delete account in the app, or email [email protected] or your salon.

Salon-related requests: contact your nail salon first; the platform operator as a secondary contact.

7. Cookies, ads & tracking

Strictly necessary (no consent): login tokens and app settings on your device for bookings and loyalty cards. This website stores language preference in localStorage only.

Advertising (consent required): When enabled, the app uses AppLovin MAX with Google’s consent form (UMP/CMP). Ad identifiers may be processed. Ads are labeled “Werbung”. Manage choices in Account → Manage consents.

Report illegal content: chu-nail.com/melden.html or Account → Report content in the app.

8. Children

Intended for adults or minors with parental consent.

9. Changes

We may update this policy. The current version is published at this URL.